Spam mail através de SMTP e spoofing de usuário [closed]

Navegue suas respostas
1

Tenho notado que é possível telnet em um servidor de e-mail que possuo e envio mensagens falsificadas para outros clientes. Isso só funciona para o domínio que o servidor de email está considerando; Eu não posso fazer isso para outros domínios.

Por exemplo; digamos que eu possuo example.com . Se eu telnet example.com 25 conseguir enviar uma mensagem para outro usuário sem autenticação: 

HELO local
MAIL FROM: [email protected]
RCPT TO: [email protected]
DATA
SUBJECT: Whatever this is spam
Spam spam spam
.

Eu considero isso um grande problema; como posso proteger isso?

    
por user1529891 08.11.2012 / 03:55

2 respostas

7

Se o servidor de email no qual você está se telnettando for o servidor autoritativo do domínio que você especificou no endereço RCPT TO: (exemplo.com no exemplo acima), provavelmente não há nada com que se preocupar. Isso significa simplesmente que seu servidor de e-mail está aceitando e-mail para endereços no domínio para o qual você o configurou. Como @joeqwerty aponta, é assim que o SMTP funciona. Tente com um endereço de e-mail em um domínio que NÃO esteja sendo gerenciado por este servidor de e-mail.

No entanto, se este for um domínio diferente, isso significa que o seu servidor está transmitindo o que provavelmente é uma coisa ruim. Eu digo "provavelmente" porque há algumas outras coisas para verificar.

Os servidores SMTP decidem se devem ou não encaminhar emails de várias maneiras. Normalmente, eles aceitam todos os e-mails destinados a esse servidor (conforme mencionado acima). Depois disso, eles podem seguir um dos seguintes procedimentos, dependendo de como estão configurados: 1. Retransmitir todos os emails de um determinado endereço IP / intervalo. Isso é comum para os provedores de serviços de Internet, de modo que eles retransmitem emails apenas de seus próprios clientes. Eles às vezes (no Japão, de qualquer maneira) também filtram isso pelo endereço do cliente para verificar se o cliente está usando apenas o endereço dentro do domínio do ISPs.

  1. POP antes de SMTP. Basicamente, ele procura um login POP que requer uma senha (diferente do SMTP). Se houver um login bem-sucedido, o usuário nesse endereço IP provavelmente está autorizado a enviar e-mails também e transmite todas as mensagens SMTP por um determinado período de tempo. POP antes de SMTP

  2. Mecanismo SMTP-AUTH do ESMTP. Esta é uma extensão que permite inserir credenciais de autorização ao enviar e-mails.

Existem outros e também muitos filtros anti-spam diferentes que podem operar em diferentes estágios do processo de envio (no diálogo SMTP, antes de enfileirar, antes de enviar, etc) o que também pode confundir as águas. Eu acho que isso cobre os principais embora.

No seu caso, se

  1. Seu servidor não é autoritativo para o nome de domínio para o qual você está enviando E
  2. Você não está usando o POP antes do SMTP / não autenticou do seu endereço IP com o POP (por exemplo, com o seu cliente de e-mail verificando o e-mail), E
  3. Você não definiu seu endereço IP como um endereço IP confiável para permitir a retransmissão no servidor

Então, você provavelmente tem um problema e deve verificar como limitar a retransmissão para seu servidor de e-mail. Essas configurações são específicas do servidor, portanto, você teria que verificar a documentação para o que estiver usando.

    
por 08.11.2012 / 04:49
4

Sim, porque é assim que o SMTP funciona. Enviar um email para um usuário cujo domínio de email o servidor SMTP é autoritativo não está falsificando o servidor. É assim que os servidores SMTP enviam e-mails para outros servidores SMTP.

Funcionalmente, não há diferença entre você enviar um email via telnet (não autenticado) para um usuário cujo domínio de email o servidor é autoritativo e qualquer outro servidor SMTP enviando uma mensagem para o mesmo usuário.

Eu tive várias pessoas ao longo dos anos "trazer este problema à minha atenção" e aponta a falta de compreensão de como o SMTP realmente funciona. O que eles se confundem é:

Enviar uma mensagem via telnet (não autenticada) para um usuário cujo domínio de e-mail o servidor seja autorizado. É assim que funciona o SMTP.

AND

Enviar uma mensagem via telnet (não autenticada) para um usuário cujo domínio de email o servidor NÃO seja autoritativo. Isso está usando o servidor SMTP como um relé e geralmente não é desejado.

    
por 08.11.2012 / 04:09

Tags

Como executar o script da raiz como outro usuário (com o usuário PATH) Política de uso aceitável / política de uso de computador / política de uso de rede - por que eles são necessários?