Por que um endereço MAIL FROM vazio pode enviar um email?

Question

Por que um endereço MAIL FROM vazio pode enviar um email?

#1 resposta do (20 votos)
#2 resposta do (1 votos)

8

Estamos usando o sistema do Smarter Mail. Recentemente, descobrimos que o hacker hackeou algumas contas de usuários e enviou muitos spams. Temos firewall para ratelimitar o remetente, mas para o seguinte email, o firewall não pôde fazer isso por causa do endereço vazio do FROM. Por que um endereço vazio de FROM é considerado OK? Na verdade, em nosso MTA (surgemail), podemos ver o remetente no cabeçalho do email. Alguma idéia?

11:17:06 [xx.xx.xx.xx][15459629] rsp: 220 mail30.server.com
11:17:06 [xx.xx.xx.xx][15459629] connected at 6/16/2010 11:17:06 AM
11:17:06 [xx.xx.xx.xx][15459629] cmd: EHLO ulix.geo.auth.gr
11:17:06 [xx.xx.xx.xx][15459629] rsp: 250-mail30.server.com Hello [xx.xx.xx.xx] 250-SIZE 31457280 250-AUTH LOGIN CRAM-MD5 250 OK
11:17:06 [xx.xx.xx.xx][15459629] cmd: AUTH LOGIN
11:17:06 [xx.xx.xx.xx][15459629] rsp: 334 VXNlcm5hbWU6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 334 UGFzc3dvcmQ6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 235 Authentication successful
11:17:07 [xx.xx.xx.xx][15459629] Authenticated as [email protected]
11:17:07 [xx.xx.xx.xx][15459629] cmd: MAIL FROM:
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <> Sender ok
11:17:07 [xx.xx.xx.xx][15459629] cmd: RCPT TO:[email protected]
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <[email protected]> Recipient ok
11:17:08 [xx.xx.xx.xx][15459629] cmd: DATA

email spam

por garconcn 17.06.2010 / 03:32

2 respostas

1

Você pode pesquisar a opção do servidor de email para limitar MAIL FROM a emails de usuários autenticados. Muitos sistemas de correio aplicam essa limitação.

Assim, forçar usuários hackeados a alterar a senha.

por 18.06.2010 / 16:06

Tags email spam

Como bloquear endereços IP no HAProxy? Existe uma maneira de acessar um servidor específico com o nome do host em uma configuração round-robin?

score 20 · Accepted Answer

O MAIL FROM vazio é usado para notificações de status de entrega. Servidores de correio são obrigados a suportá-lo ( RFC 1123 seção 5.2.9 ).

É usado principalmente para mensagens devolvidas, para evitar um loop infinito. Quando MAIL FROM é usado com um endereço vazio (representado como <> ), o servidor receptor não sabe para gerar uma mensagem devolvida se a mensagem estiver sendo enviada para um usuário inexistente.

Sem isso, é possível que alguém faça DoS simplesmente falsificando uma mensagem para um usuário inexistente em outro domínio, com um endereço de retorno de um usuário inexistente em seu próprio domínio, resultando em um erro loop final de mensagens devolvidas.

O que aconteceria se você bloquear mensagens com um MAIL FROM: ? vazio

Seus usuários não receberiam mensagens devolvidas de outros domínios: eles nunca saberiam se tinham cometido um erro de digitação ao enviar e-mails para um usuário em outro domínio.

As mensagens vazias de MAIL FROM: que você está vendo provavelmente não são não provenientes de um spammer.

Em vez disso, um remetente de spam falsificou um endereço no seu domínio e o usou como o endereço de retorno de uma mensagem para outro domínio. Digamos que você seja yourdomain.com e meu domínio seja mydomain.net . O remetente de spam envia uma mensagem para [email protected] , falsificando o endereço de retorno como [email protected] . Como não há usuário johnq em meu domínio, meu servidor de e-mail envia uma mensagem devolvida ( MAIL FROM:<> ) para o remetente aparente, [email protected] . É isso que você provavelmente está vendo.

Bloquear mensagens vazias de MAIL FROM fará mais mal do que bem, na minha opinião. Os spammers, na minha experiência, raramente usam um MAIL FROM: vazio, já que podem facilmente falsificar um endereço real. Quando a mensagem é um spam real, existem maneiras muito melhores de detectá-la e bloqueá-la, incluindo RBLs, filtros bayesianos e SpamAssassin.

E, finalmente, você pode evitar pelo menos algumas das falsificações usando yourdomain.com configurando os registros SPF corretos para seu domínio.

Atualização: Depois de olhar mais de perto o seu log, alguém conseguiu AUTH usando um nome de usuário e senha válidos para o seu servidor. Isso coloca em toda outra categoria de problemas. No entanto, tudo o que eu disse sobre MAIL FROM: ainda está. 99% do tempo será o resultado de mensagens devolvidas.