Backscatter (также известный как outscatter , неверно направленных отскоков , свободным затвором или коллатерального спама ) неправильно автоматизирован рикошетов , отправленных почтовых серверов, как правило , в качестве побочного эффекта входящего спама .
Получатели таких сообщений рассматривают их как форму нежелательной массовой рассылки электронной почты или спама, поскольку они не были запрошены получателями, в значительной степени похожи друг на друга и доставляются массовыми партиями. Системы , которые генерируют электронной обратного рассеяния могут быть перечислены на различные черные списки электронной почты и может быть нарушением провайдеров Интернет - услуг " Условия предоставления услуг .
Обратное рассеяние возникает из-за того, что черви и спам-сообщения часто подделывают адреса отправителей . Вместо того, чтобы просто отклонить спам-сообщение, неправильно настроенный почтовый сервер отправляет сообщение о недоставке на такой поддельный адрес. Обычно это происходит, когда почтовый сервер настроен для ретрансляции сообщения на этап обработки после очереди, например, антивирусное сканирование или проверка на спам, которая затем не выполняется, и во время антивирусного сканирования или проверки на спам клиент уже отключился. В таких случаях обычно невозможно отклонить транзакцию SMTP , так как время ожидания клиента истекает при ожидании завершения антивирусного сканирования или проверки на спам. Лучшее, что можно сделать в этом случае, - это незаметно отбросить сообщение, не рискуя создать обратное рассеяние.
Меры по уменьшению проблемы включают устранение необходимости в сообщении о недоставке путем выполнения большинства отклонений на начальном этапе подключения SMTP ; и для других случаев отправка сообщений о недоставке только по адресам, которые можно достоверно определить как неподделанные, и в этих случаях отправитель не может быть проверен, таким образом игнорируя сообщение (т. е. отбрасывая его).
Причина
Авторы спама и вирусов хотят создать впечатление, что их сообщения исходят из законного источника, чтобы обмануть получателей и заставить их открыть сообщение, поэтому они часто используют программное обеспечение для сканирования Интернета для сканирования сообщений usenet , досок сообщений и веб-страниц на предмет законных адресов электронной почты.
Из-за конструкции почты SMTP почтовые серверы получателей, получающие эти поддельные сообщения, не имеют простого стандартного способа определения подлинности отправителя. Если они примут электронное письмо на этапах подключения, а затем, после дополнительной проверки, откажутся от него (например, программное обеспечение определит, что сообщение является вероятным спамом), они будут использовать (потенциально поддельный) адрес отправителя, чтобы попытаться добросовестно сообщить об этом. проблема очевидному отправителю.
Почтовые серверы могут обрабатывать недоставленные сообщения четырьмя принципиально разными способами:
- Отклонить . Принимающий сервер может отклонить входящую электронную почту на этапе подключения, пока отправляющий сервер все еще подключен . Если сообщение отклонено во время соединения с кодом ошибки 5xx, то отправляющий сервер может четко сообщить о проблеме настоящему отправителю.
- Падение . Принимающий сервер может сначала принять полное сообщение, но затем определить, что это спам или вирус, а затем удалить его автоматически, иногда путем переписывания конечного получателя на «/ dev / null» или подобное. Такое поведение можно использовать, когда «рейтинг спама» сообщения электронной почты серьезно высок или сообщение содержит вирус. RFC 5321 гласит: «Тихое удаление сообщений следует рассматривать только в тех случаях, когда есть очень высокая уверенность в том, что сообщения являются серьезно мошенническими или иным образом неуместными».
- Карантин . Принимающий сервер может сначала принять полное сообщение, но затем определить, что это спам, и поместить его в карантин, доставив в папки «Нежелательная почта» или «Спам», откуда оно будет автоматически удалено. Это обычное поведение.
- Отскок . Принимающий сервер может сначала принять полное сообщение, но затем определить, что это спам или несуществующему получателю, и сгенерировать возвратное сообщение предполагаемому отправителю, указывающее, что доставка сообщения не удалась.
Обратное рассеяние происходит, когда используется метод «возврата», а информация об отправителе входящего электронного письма принадлежала не связанной с ним третьей стороне.
Уменьшение проблемы
Каждый шаг по борьбе с червями и спам-сообщениями помогает уменьшить обратное рассеяние, но другие распространенные подходы, такие как описанные в этом разделе, также уменьшают ту же проблему.
Отклонение на этапе подключения
Во время начального SMTP- соединения почтовые серверы могут выполнять ряд проверок и часто отклонять электронную почту с кодом ошибки 5xx, в то время как отправляющий сервер все еще подключен . Отклонение сообщения на этапе подключения таким образом обычно приводит к тому, что отправляющий MTA генерирует локальное сообщение о недоставке или уведомление о недоставке (NDN) локальному аутентифицированному пользователю. [1]
Причины отказа включают:
- Ошибка проверки получателя [2] [3] [4]
- Неудачные проверки на защиту от подделки, такие как SPF , DKIM или Sender ID
- Серверы, у которых нет прямой подтвержденной обратной записи DNS
- Отправители в черных списках . [5]
- Временное отклонение с помощью методов серого списка
Агенты пересылки почты (MTA), которые пересылают почту, могут избежать генерации обратного рассеивания, используя прозрачный прокси-сервер SMTP .
Проверка получателей отказов
Почтовые серверы, отправляющие сообщения о недоставке электронной почты, могут использовать ряд мер, чтобы определить, был ли обратный адрес подделан.
Фильтрация обратного рассеяния
Хотя предотвращение обратного рассеяния желательно, также можно уменьшить его влияние путем фильтрации, и многие системы фильтрации спама теперь включают возможность попытки обнаружить и отклонить [6] обратное рассеяние электронной почты как спам.
Кроме того, системы, использующие такие схемы, как проверка тега адреса возврата, «помечают» исходящую электронную почту таким образом, чтобы они могли надежно обнаруживать входящие поддельные сообщения возврата .
Смотрите также
Рекомендации
- ^ В качестве альтернативы, если MTA ретранслирует сообщение, он должен отправлять такое NDN только вероятному отправителю.Кленсин, Дж. (Апрель 2001 г.), Простой протокол передачи почты , IETF , стр. 25, doi : 10.17487 / RFC2821 , RFC 2821 ,
как указано в обратном пути
например, где прошла проверка SPF . - ^ Скрытые возможности фильтрации отправителей и получателей , MS Exchange.org.
- ^ «Настройка фильтрации получателей», Technet , Microsoft
- ^ «Проверка адреса получателя» , readme для проверки адреса , Postfix.org.
- ^ Марсоно, Миннесота (2007), «Отклонение спама во время сеансов SMTP», Proc. Связь, компьютеры и обработка сигналов , Тихоокеанский регион: IEEE, стр. 236–39..
- ^ "" Набор правил Virus Bounce "- это набор правил SpamAssassin для отлова обратного рассеивания "
Внешние ссылки
- Почтовые DDoS-атаки через недоставленные сообщения (бумага) , Techzoom, 2004.
- "Backscatter", Postfix (readme).
- "Backscatter", SpamLinks , заархивировано из оригинала 05.04.2008..
- RFC 3834 : Рекомендации по автоматическим ответам на электронную почту.
- "Дурацкие автоответчики почты", ЧаВо из ада , FI: Iki.
- «Почему автоответчики плохие?», FAQ , SpamCop.
- Не отбрасывайте спам: почему нельзя отказываться от спама.
- 100 возвратов электронной почты? Вы попали в обратное рассеяние , мир ПК.