Открытый почтовый ретранслятор - Open mail relay
An открытый почтовый ретранслятор это Простой протокол передачи почты (SMTP) сервер настроен таким образом, что позволяет любому пользователю Интернет отправлять электронное письмо через него, а не только почту, предназначенную известным пользователям или исходящую от них.[1][2][3] Раньше это была конфигурация по умолчанию на многих почтовых серверах; действительно, именно так изначально был настроен Интернет, но открытые почтовые ретрансляторы стали непопулярными из-за их использования спамеры и черви. Многие реле были замкнуты или были включены черные списки другими серверами.
История и технологии
До 1990-х годов почтовые серверы обычно преднамеренно настраивались как открытые ретрансляторы; фактически, это часто было установкой по умолчанию.[1] Традиционный хранить и пересылать Метод ретрансляции электронной почты по назначению требовал, чтобы она передавалась с компьютера на компьютер (через Интернет и за его пределы) через модемы по телефонным линиям. Для многих ранних сетей, таких как UUCPNET, FidoNet и BITNET, списки машин, которые были открытыми реле, были основной частью этих сетей.[2] Фильтрация и скорость доставки электронной почты не была приоритетом в то время, и в любом случае правительственные и образовательные серверы, которые первоначально находились в Интернете, подпадали под действие федерального указа, запрещающего передачу коммерческих сообщений.[4][5]
Злоупотребления спамерами
В середине 1990-х гг. рост спама, спамеры прибегали к перенаправлению своей электронной почты через сторонние почтовые серверы, чтобы избежать обнаружения[6] и использовать дополнительные ресурсы этих серверов открытой ретрансляции. Спамеры отправили бы одно электронное письмо на открытый ретранслятор и (эффективно) включили бы большое Скрытая копия list, то открытый ретранслятор будет передавать этот спам всему списку.[7] Хотя это значительно снизило требования к полосе пропускания для спамеров в то время, когда интернет-соединения были ограничены, это заставило каждый спам быть точной копией и, следовательно, облегчить обнаружение. После того, как злоупотребления со стороны спамеров стали широко распространены, использование открытого ретранслятора стало неодобрительно среди большинства администраторов Интернет-серверов и других известных пользователей.[6] Открытые реле не рекомендуются в RFC 2505 и RFC 5321 (который определяет SMTP). Точная копия спама с использованием открытых ретрансляторов упростила создание систем массового обнаружения электронной почты, таких как Vipul's Razor и Распределенная клиринговая служба контрольной суммы. Чтобы противостоять этому, спамеры были вынуждены перейти на использование хеш-бастеры чтобы сделать их менее эффективными, а преимущество использования открытых ретрансляторов было удалено, поскольку каждая копия спама была "уникальной" и должна была рассылаться индивидуально.
Поскольку открытые почтовые реле не прилагают никаких усилий для аутентифицировать отправителя электронной почты, открытые почтовые реле уязвимы для подмена адреса.[2]
Усилия по борьбе со спамом
Многие интернет-провайдеры используют Черные списки на основе системы доменных имен (DNSBL), чтобы запретить почту от открытых ретрансляторов. После обнаружения почтового сервера или сообщения о нем, который позволяет третьим сторонам отправлять почту через них, они будут добавлены в один или несколько таких списков, а другие почтовые серверы, использующие эти списки, будут отклонять любую почту, поступающую с этих сайтов. Фактически, ретранслятор не нужно использовать для отправки спама в черный список; вместо этого он может быть занесен в черный список после простого теста, который просто подтверждает открытый доступ.[8][нужен лучший источник ]
Эта тенденция снизила процент отправителей почты, которые использовали открытые ретрансляторы, с более чем 90% до менее 1% за несколько лет.[9] Это заставило спамеров использовать другие методы, такие как использование ботнеты из зомби-компьютеры рассылать спам.
Одним из следствий новой неприемлемости открытых реле было неудобство для некоторых конечных пользователей и некоторых Интернет-провайдеры. Чтобы клиенты могли использовать свои адреса электронной почты в других местах в Интернете, помимо систем компании (например, в школе или на работе), многие почтовые сайты явно разрешили открытую ретрансляцию, чтобы клиенты могли отправлять электронную почту через ISP из любого места.[10] Когда открытая ретрансляция стала неприемлемой из-за злоупотреблений (и непригодной для использования из-за блокировки открытых ретрансляторов), интернет-провайдерам и другим сайтам пришлось принять новые протоколы, позволяющие удаленным пользователям отправлять почту. К ним относятся умные хосты, SMTP-AUTH, POP перед SMTP, и использование виртуальные частные сети (VPN). В Инженерная группа Интернета (IETF) написал лучшие текущие практики охватывает операции по отправке электронной почты в RFC 5068.
Обратите внимание, что вышеуказанное становится проблемой только в том случае, если пользователь желает (или должен) продолжать отправлять электронную почту удаленно, используя одно и тоже SMTP-сервер, к которому они ранее обращались локально. Если у них есть действующий доступ к некоторым Другой SMTP-сервер из своего нового удаленного местоположения, то они, как правило, смогут использовать этот новый сервер для отправки электронной почты, как если бы со своего старого адреса, даже если этот сервер должным образом защищен. (Хотя это может включать некоторую реконфигурацию пользователя почтовый клиент что может быть не совсем простым.)
В Закон о CAN-SPAM 2003 г. делает незаконной рассылку спама через открытый ретранслятор в Соединенные Штаты, но не предусматривает их использования для личной электронной почты или их работы в целом; эффективность закона была поставлена под сомнение.[11][12]
Современные сторонники
Самый известный открытый почтовый ретранслятор, работающий сегодня, вероятно, Джон Гилмор,[6][13] кто утверждает, что запуск открытого реле - это Свобода слова проблема. Его сервер включен во многие черные списки открытых ретрансляторов (многие из которых создаются "автоматическим обнаружением", то есть черными списками антиспама, отправляющими (незапрашиваемое) тестовое электронное письмо на другие серверы, чтобы узнать, будут ли они ретранслированы). Эти меры приводят к блокировке большей части его исходящей электронной почты.[6] Наряду с его дальнейшей преднамеренной настройкой сервера его открытая ретрансляция позволяет людям отправлять электронную почту без того, чтобы их IP-адрес был напрямую виден получателю, и тем самым отправлять электронную почту. анонимно. В 2002 году его открытая эстафета вместе с 24 другими использовалась компьютерный червь размножаться.[14]
Джон Гилмор и другие сторонники открытого ретранслятора заявляют, что они не поддерживают спам и рассылку спама, но видят большую угрозу в попытках ограничить возможности Интернета, которые могут заблокировать развитие технологий нового поколения. Они сравнивают ограничения сетевой связи с ограничениями, которые некоторые телефонные компании пытались установить для своих линий в прошлом, предотвращая передачу компьютерных данных, а не речи.[15]
Замыкающие реле
Чтобы не считаться «открытым», ретранслятор электронной почты должен быть защищен и настроен на прием и пересылку только следующих сообщений (детали будут отличаться от системы к системе - в частности, могут применяться дополнительные ограничения):[16]
- Сообщения от местных IP-адреса местным почтовые ящики
- Сообщения с локальных IP-адресов в нелокальные почтовые ящики
- Сообщения с нелокальных IP-адресов в локальные почтовые ящики
- Сообщения от клиентов, которые аутентифицированный и уполномоченный
В частности, должным образом защищенный почтовый ретранслятор SMTP не должен принимать и пересылать произвольные сообщения электронной почты с нелокальных IP-адресов в нелокальные почтовые ящики неаутентифицированным или неавторизованным пользователем.
Как правило, любые другие правила, которые администратор решает применять (например, на основе того, что сообщение электронной почты является собственным конверт из адрес) должен быть дополнением, а не вместо указанного выше.[16] В противном случае ретранслятор по-прежнему эффективно открыт (например, по вышеуказанным правилам): легко подделать заголовок и информацию о конверте электронной почты, значительно сложнее успешно подделать IP-адрес в TCP / IP сделка из-за трехстороннее рукопожатие это происходит при запуске соединения.
Открытые реле также являются результатом недостатков безопасности в программном обеспечении, а не неправильной конфигурации системными администраторами.[17][18][19] В этих случаях необходимо применить исправления безопасности, чтобы закрыть реле.
Интернет-инициативы по закрытию открытых ретрансляторов в конечном итоге не достигли своего предназначения, потому что спамеры создали распределенные бот-сети из компьютеров-зомби, которые содержат вредоносные программы с возможностью ретрансляции почты. Количество клиентов, находящихся под контролем спамеров, сейчас настолько велико, что предыдущие меры противодействия спаму, которые были сосредоточены на закрытии открытых реле, больше не эффективны.
Смотрите также
Рекомендации
- ^ а б Попечители Университета Индианы (2008-04-01). «Что такое открытый почтовый ретранслятор в Unix?». Услуги университетских информационных технологий. Университет Индианы. Архивировано из оригинал на 2007-06-17. Получено 2008-04-07.
- ^ а б c "Что такое открытое реле?". WhatIs.com. Университет Индианы. 2004-07-19. Архивировано из оригинал на 2007-08-24. Получено 2008-04-07.
- ^ «Федеральная торговая комиссия и международные агентства объявляют об операции« Защитите свой сервер »"". Федеральная торговая комиссия. 2004-01-29. Архивировано из оригинал 6 марта 2008 г.. Получено 2008-04-07.
- ^ RFC 1192 Коммерциализация Интернета
- ^ Абер, Джеймс С. «Интернет и всемирная паутина». ES 351 и 771. Получено 2008-04-07.
- ^ а б c d "Блокировщики спама передают это". ПРОВОДНОЙ. 2001-07-02. Архивировано из оригинал 1 июня 2008 г.. Получено 2008-04-07.
- ^ Открытое реле. Что это значит?
- ^ «Сеть старшего брата теперь контролирует вашу электронную почту».
- ^ Хоффман, Пол (20 августа 2002). «Разрешение ретрансляции в SMTP: серия опросов». Отчеты IMC. Консорциум Интернет-почты. Архивировано из оригинал на 2007-01-18. Получено 2008-04-13.
- ^ Аткинс, Стив. "news.admin.net-abuse.email FAQ". Архивировано из оригинал на 2012-07-27. Получено 2008-04-08.
- ^ США: новое оружие в борьбе со спамом
- ^ Работает ли закон CAN-SPAM?
- ^ «Взрыв из прошлого: открытая эстафета Джона Гилмора». 2006-12-29. Получено 2008-04-07.
- ^ «Червь использует открытый ретранслятор Джона Гилмора на toad.com для воспроизведения». 2002-03-07. Получено 2008-04-07.
- ^ «Ограничения открытой ретрансляции почты с точки зрения Джона Гилмора». Архивировано из оригинал на 2012-05-03. Получено 2010-06-25.
- ^ а б «Ремонт открытых почтовых реле - Консультации UK JANET». Архивировано из оригинал 24 февраля 2008 г.. Получено 2008-04-12.
- ^ «DSA-554-1 Sendmail - предварительно установленный пароль». Debian. 2004-09-27. Получено 2010-05-09.
- ^ «MS02-011: ошибка аутентификации может позволить неавторизованным пользователям проходить аутентификацию в службе SMTP». Microsoft. 2007-03-29. Получено 2008-10-28.
- ^ «XIMS: сообщения, отправленные на инкапсулированный SMTP-адрес, перенаправляются, даже если перенаправление отключено». Microsoft. 2006-10-26. Получено 2008-10-29.