Открытая почтовая ретрансляция
SMTP-сервер, позволяющий любому человеку отправлять электронную почту через него.
Схема почтовой ретрансляции

Открытый почтовый ретранслятор — это сервер Simple Mail Transfer Protocol (SMTP), настроенный таким образом, что он позволяет любому пользователю Интернета отправлять электронную почту через него, а не только почту, предназначенную или исходящую от известных пользователей. [1] [2] [3] Раньше это была конфигурация по умолчанию на многих почтовых серверах; действительно, именно так изначально был настроен Интернет, но открытые почтовые ретрансляторы стали непопулярными из-за их эксплуатации спамерами и червями . Многие ретрансляторы были закрыты или помещены в черные списки другими серверами.

История и технологии

До 1990-х годов почтовые серверы обычно намеренно настраивались как открытые ретрансляторы; фактически, это часто было настройкой по умолчанию при установке. [1] Традиционный метод хранения и пересылки электронной почты к месту назначения требовал, чтобы она передавалась с компьютера на компьютер (через Интернет и за его пределы) через модемы по телефонным линиям. Для многих ранних сетей, таких как UUCPNET , FidoNet и BITNET , списки машин, которые были открытыми ретрансляторами, были основной частью этих сетей. [2] Фильтрация и скорость доставки электронной почты не были приоритетами в то время, и в любом случае правительственные и образовательные серверы, которые изначально были в Интернете, подпадали под действие федерального указа, запрещающего передачу коммерческих сообщений. [4] [5]

Злоупотребления со стороны спамеров

В середине 1990-х годов, с ростом спама , спамеры прибегали к перенаправлению своей электронной почты через сторонние почтовые серверы, чтобы избежать обнаружения [6] и использовать дополнительные ресурсы этих открытых ретрансляторов. Спамеры отправляли одно электронное письмо на открытый ретранслятор и (фактически) включали большой список скрытых копий , затем открытый ретранслятор ретранслировал этот спам всему списку. [7] Хотя это значительно снижало требования к пропускной способности для спамеров в то время, когда интернет-соединения были ограничены, это заставляло каждый спам быть точной копией и, таким образом, его было легче обнаружить. После того, как злоупотребления со стороны спамеров стали широко распространены, использование открытого ретранслятора стало неодобряться большинством администраторов интернет-серверов и других известных пользователей. [6] Открытые ретрансляторы не рекомендуются в RFC 2505 и RFC 5321 (который определяет SMTP). Природа спама, основанная на точных копиях, с использованием открытых ретрансляторов облегчила создание систем обнаружения массовых рассылок, таких как Vipul's Razor и Distributed Checksum Clearinghouse . Чтобы противостоять этому, спамеры были вынуждены перейти на использование hash busters , чтобы сделать их менее эффективными, а преимущество использования открытых ретрансляторов было сведено на нет, поскольку каждая копия спама была «уникальна» и должна была отправляться индивидуально.

Поскольку открытые почтовые ретрансляторы не предпринимают никаких усилий для аутентификации отправителя электронного письма, открытые почтовые ретрансляторы уязвимы для подмены адресов . [2]

Борьба со спамом

Многие поставщики интернет-услуг используют списки DNSBL (Domain Name System-based Blackhole Lists ), чтобы запретить почту с открытых ретрансляторов. Как только будет обнаружен или сообщен почтовый сервер, который позволяет третьим лицам отправлять почту через него, он будет добавлен в один или несколько таких списков, а другие почтовые серверы, использующие эти списки, будут отклонять любую почту, приходящую с этих сайтов. Ретранслятору не обязательно фактически использоваться для отправки спама, чтобы попасть в черный список; вместо этого он может быть занесен в черный список после простого теста, который просто подтверждает открытый доступ. [8] [ требуется лучший источник ]

Эта тенденция сократила процент отправителей почты, которые были открытыми ретрансляторами, с более чем 90% до менее 1% за несколько лет. [9] Это заставило спамеров использовать другие методы, такие как использование ботнетов из зомби-компьютеров для рассылки спама.

Одним из последствий новой неприемлемости открытых ретрансляторов стало неудобство для некоторых конечных пользователей и определенных поставщиков услуг Интернета . Чтобы позволить клиентам использовать свои адреса электронной почты в местах в Интернете, отличных от систем компании (например, в школе или на работе), многие почтовые сайты явно разрешили открытую ретрансляцию, чтобы клиенты могли отправлять электронную почту через интернет-провайдера из любого места. [10] После того, как открытая ретрансляция стала неприемлемой из-за злоупотреблений (и непригодной из-за блокировки открытых ретрансляторов), интернет-провайдерам и другим сайтам пришлось принять новые протоколы, чтобы позволить удаленным пользователям отправлять почту. К ним относятся смарт-хосты , SMTP-AUTH , POP перед SMTP и использование виртуальных частных сетей (VPN). Инженерная группа Интернета (IETF) написала лучшие текущие практики, охватывающие операции отправки электронной почты в RFC 5068.

Обратите внимание, что вышеизложенное становится проблемой только в том случае, если пользователь хочет (или должен) продолжать отправлять электронную почту удаленно, используя тот же SMTP-сервер, к которому он ранее обращался локально. Если у них есть действительный доступ к какому-либо другому SMTP-серверу из их нового, удаленного местоположения, то они, как правило, смогут использовать этот новый сервер для отправки электронной почты, как будто со своего старого адреса, даже если этот сервер должным образом защищен. (Хотя это может потребовать некоторой перенастройки почтового клиента пользователя , что может быть не совсем просто.)

Закон CAN-SPAM 2003 года запрещает отправлять спам через открытые ретрансляторы в Соединенных Штатах , но не содержит никаких положений об их использовании для личной электронной почты или об их работе в целом; эффективность закона была поставлена ​​под сомнение. [11] [12]

Современные сторонники

Самый известный открытый почтовый ретранслятор, работающий сегодня, вероятно, принадлежит Джону Гилмору , [6] [13], который утверждает, что запуск открытого ретранслятора является вопросом свободы слова . Его сервер включен во многие черные списки открытых ретрансляторов (многие из которых создаются путем «автоматического обнаружения», то есть антиспамовыми черными списками, отправляющими (незапрошенное) тестовое электронное письмо на другие серверы, чтобы проверить, будут ли они ретранслироваться). Эти меры приводят к блокировке большей части его исходящей электронной почты. [6] Наряду с его дальнейшей преднамеренной настройкой сервера, его открытый ретранслятор позволяет людям отправлять электронную почту без того, чтобы их IP-адрес был непосредственно виден получателю, и, таким образом, отправлять электронную почту анонимно . В 2002 году его открытый ретранслятор, наряду с 24 другими, был использован компьютерным червем для своего распространения. [14]

Джон Гилмор и другие сторонники открытого ретранслятора заявляют, что они не поддерживают спам и спам-рассылку, но видят большую угрозу в попытках ограничить возможности Интернета, которые могут заблокировать развитие новых технологий следующего поколения. Они сравнивают ограничения сетевой коммуникации с ограничениями, которые некоторые телефонные компании пытались установить на своих линиях в прошлом, предотвращая передачу компьютерных данных, а не речи. [15]

Замыкающие реле

Чтобы не считаться «открытым», ретранслятор электронной почты должен быть безопасным и настроенным на прием и пересылку только следующих сообщений (детали будут различаться в зависимости от системы — в частности, могут применяться дополнительные ограничения): [16]

В частности, должным образом защищенный почтовый ретранслятор SMTP не должен принимать и пересылать произвольные электронные письма с нелокальных IP-адресов на нелокальные почтовые ящики от неавторизованного или неавторизованного пользователя.

В общем, любые другие правила, которые администратор выбирает для применения (например, на основе того, что электронное письмо указывает в качестве своего собственного адреса отправителя), должны быть дополнением к вышеизложенным, а не вместо них. [16] В противном случае ретранслятор по-прежнему фактически открыт (например, согласно вышеизложенным правилам): легко подделать заголовок и информацию о конверте электронного письма, значительно сложнее успешно подделать IP-адрес в транзакции TCP/IP из-за трехстороннего рукопожатия , которое происходит при запуске соединения.

Открытые реле также могли возникнуть из-за уязвимостей безопасности программного обеспечения, а не из-за неправильной настройки системными администраторами. [17] [18] [19] В этих случаях необходимо применить исправления безопасности, чтобы закрыть реле.

Интернет-инициативы по закрытию открытых ретрансляторов в конечном итоге не достигли своей цели, поскольку спамеры создали распределенные ботнеты из зомби-компьютеров, содержащих вредоносное ПО с возможностью ретрансляции почты. Количество клиентов, находящихся под контролем спамеров, теперь настолько велико, что предыдущие меры по борьбе со спамом, направленные на закрытие открытых ретрансляторов, больше неэффективны.

Смотрите также

Ссылки

  1. ^ ab Попечители Университета Индианы (2008-04-01). "В Unix, что такое открытый почтовый ретранслятор?". University Information Technology Services . Университет Индианы . Архивировано из оригинала 2007-06-17 . Получено 2008-04-07 .
  2. ^ abc "Что такое открытое реле?". WhatIs.com . Университет Индианы . 2004-07-19. Архивировано из оригинала 2007-08-24 . Получено 2008-04-07 .
  3. ^ "FTC и международные агентства объявляют об операции "Защитите ваш сервер"". Федеральная торговая комиссия . 2004-01-29. Архивировано из оригинала 6 марта 2008 года . Получено 2008-04-07 .
  4. ^ RFC 1192 Коммерциализация Интернета
  5. ^ Абер, Джеймс С. «Интернет и Всемирная паутина». ES 351 и 771. Получено 2008-04-07 .
  6. ^ abcd "Spam Blockers Pass It On". WIRED . 2001-07-02. Архивировано из оригинала 1 июня 2008 года . Получено 2008-04-07 .
  7. ^ Открытое реле. Что это значит?
  8. ^ «Сеть Большого Брата теперь контролирует вашу электронную почту».
  9. ^ Хоффман, Пол (2002-08-20). "Разрешение ретрансляции в SMTP: серия опросов". Отчеты IMC . Консорциум Internet Mail . Архивировано из оригинала 2007-01-18 . Получено 2008-04-13 .
  10. ^ Аткинс, Стив. "news.admin.net-abuse.email FAQ". Архивировано из оригинала 2012-07-27 . Получено 2008-04-08 .
  11. ^ США: Новое оружие в борьбе со спамом
  12. ^ Работает ли закон CAN-SPAM?
  13. ^ "Взрыв из прошлого: открытая эстафета Джона Гилмора". 2006-12-29 . Получено 2008-04-07 .
  14. ^ "Червь использует открытый ретранслятор Джона Гилмора на toad.com для размножения". 2002-03-07 . Получено 2008-04-07 .
  15. ^ "Ограничения открытой почтовой пересылки с точки зрения Джона Гилмора". Архивировано из оригинала 2012-05-03 . Получено 2010-06-25 .
  16. ^ ab "Ремонт открытых почтовых реле - Советы от UK JANET". Архивировано из оригинала 24 февраля 2008 года . Получено 2008-04-12 .
  17. ^ "DSA-554-1 Sendmail -- Предварительно установленный пароль". Debian . 2004-09-27 . Получено 2010-05-09 .
  18. ^ "MS02-011: Ошибка аутентификации может позволить неавторизованным пользователям пройти аутентификацию на службе SMTP". Microsoft . 2007-03-29 . Получено 2008-10-28 .
  19. ^ "XIMS: Сообщения, отправленные на инкапсулированный SMTP-адрес, перенаправляются, даже если перенаправление отключено". Microsoft . 2006-10-26 . Получено 2008-10-29 .
Взято с "https://en.wikipedia.org/w/index.php?title=Open_mail_relay&oldid=1239125462"