Из Википедии, бесплатной энциклопедии
  (Перенаправлен из открытого реле )
Перейти к навигации Перейти к поиску
Схема ретрансляции почты

Разомкнутая релейная почты является Simple Mail Transfer Protocol (SMTP) сервер настроен таким образом , что это позволит любому человеку на Интернете , чтобы отправить электронную почту через него, а не только почту , отправленный или произведенный из известных пользователей. [1] [2] [3] Раньше это была конфигурация по умолчанию на многих почтовых серверах; действительно, именно так изначально был настроен Интернет, но открытые почтовые ретрансляторы стали непопулярными из-за их использования спамерами и червями . Многие реле были закрыты или помещены в черные списки другими серверами.

История и технологии [ править ]

До 1990-х годов почтовые серверы обычно преднамеренно настраивались как открытые ретрансляторы; Фактически, это часто была установка по умолчанию. [1] Традиционный магазин и вперед метод ретрансляции электронной почты к месту назначения требуется , чтобы он был принят от компьютера к компьютеру (через и вне сети Интернет) через модемы по телефонным линиям. Для многих ранних сетей, таких как UUCPNET , FidoNet и BITNET , списки машин, которые были открытыми ретрансляторами, были основной частью этих сетей. [2] Фильтрацияи скорость доставки электронной почты не была приоритетом в то время, и в любом случае правительственные и образовательные серверы, которые изначально были в Интернете, подпадали под действие федерального указа, запрещающего передачу коммерческих сообщений. [4] [5]

Злоупотребления со стороны спамеров [ править ]

В середине 1990-х, с ростом спама , спамеры прибегли к перенаправлению своей электронной почты через сторонние почтовые серверы, чтобы избежать обнаружения [6] и использовать дополнительные ресурсы этих серверов открытой ретрансляции. Спамеры отправили бы одно электронное письмо на открытый ретранслятор и (эффективно) включили бы большой список скрытых копий , а затем открытый ретранслятор ретранслировал бы этот спам на весь список. [7] Хотя это значительно снизило требования к полосе пропускания для спамеров в то время, когда интернет-соединения были ограничены, каждый спам стал точной копией и, следовательно, легче обнаруживался. После того, как злоупотребления со стороны спамеров стали широко распространены, использование открытого ретранслятора стало неодобрительно среди большинства администраторов Интернет-серверов и других известных пользователей.[6] Открытые реле не рекомендуются в RFC 2505 и RFC 5321 (который определяет SMTP). Точная копия спама с использованием открытых ретрансляторов упростила создание систем массового обнаружения электронной почты, таких как Vipul's Razor и Distributed Checksum Clearinghouse . Чтобы противостоять этому, спамеры были вынуждены перейти на использование хеш-прерывателей, чтобы сделать их менее эффективными, а преимущество использования открытых ретрансляторов было устранено, поскольку каждая копия спама была «уникальной» и должна была отправляться индивидуально.

Поскольку открытые почтовые ретрансляторы не прилагают никаких усилий для аутентификации отправителя электронной почты, открытые почтовые ретрансляторы уязвимы для подделки адресов . [2]

Усилия по борьбе со спамом [ править ]

Многие интернет-провайдеры используют черные списки на основе системы доменных имен (DNSBL), чтобы запретить отправку почты через открытые ретрансляторы. После обнаружения почтового сервера или сообщения о нем, который позволяет третьим сторонам отправлять почту через них, они будут добавлены в один или несколько таких списков, а другие почтовые серверы, использующие эти списки, будут отклонять любую почту, поступающую с этих сайтов. Фактически, ретранслятор не нужно использовать для отправки спама в черный список; вместо этого он может быть занесен в черный список после простого теста, который просто подтверждает открытый доступ. [8] [ нужен лучший источник ]

Эта тенденция снизила процент отправителей почты, которые использовали открытые ретрансляторы, с более чем 90% до менее 1% за несколько лет. [9] Это привело спамер принять другие методы, такие как использование ботнетов из компьютеров - зомби для рассылки спама.

Одним из последствий новой неприемлемости открытых ретрансляторов стало неудобство для некоторых конечных пользователей и определенных поставщиков интернет-услуг . Чтобы позволить клиентам использовать свои адреса электронной почты в других местах в Интернете, помимо систем компании (например, в школе или на работе), многие почтовые сайты явно разрешили открытую ретрансляцию, чтобы клиенты могли отправлять электронную почту через ISP из любого места. [10] Когда открытая ретрансляция стала неприемлемой из-за злоупотреблений (и непригодной для использования из-за блокировки открытых ретрансляторов), интернет-провайдеры и другие сайты были вынуждены принять новые протоколы, позволяющие удаленным пользователям отправлять почту. К ним относятся смарт-хосты , SMTP-AUTH , POP перед SMTP и использование виртуальных частных сетей (VPN). ВИнженерная рабочая группа Интернета (IETF) написала лучшие текущие практики, касающиеся операций по отправке электронной почты, в RFC 5068.

Обратите внимание, что вышеуказанное становится проблемой только в том случае, если пользователь желает (или должен) продолжать отправлять электронную почту удаленно, используя тот же SMTP-сервер, к которому он ранее обращался локально. Если у них есть действительный доступ к какому-либо другому SMTP-серверу из своего нового удаленного местоположения, то они обычно смогут использовать этот новый сервер для отправки электронной почты, как если бы со своего старого адреса, даже если этот сервер должным образом защищен. (Хотя это может включать некоторую реконфигурацию почтового клиента пользователя, что может быть не совсем простым.)

Закон о CAN-SPAM 2003 года запрещает рассылку спама через открытый ретранслятор в Соединенных Штатах , но не содержит положений об их использовании для личной электронной почты или их работе в целом; эффективность закона была поставлена ​​под сомнение. [11] [12]

Современные сторонники [ править ]

Самый известный открытый почтовый ретранслятор, работающий сегодня, вероятно, принадлежит Джону Гилмору , [6] [13], который утверждает, что использование открытого почтового ретранслятора является проблемой свободы слова . Его сервер включен во многие черные списки открытых ретрансляторов (многие из которых генерируются "автоматическим обнаружением", то есть черными списками антиспама, отправляющими (незапрашиваемое) тестовое электронное письмо на другие серверы, чтобы узнать, будут ли они ретранслированы). Эти меры приводят к тому, что большая часть его исходящей электронной почты блокируется. [6] Наряду с его дальнейшей преднамеренной конфигурацией сервера, его открытый ретранслятор позволяет людям отправлять электронную почту без того, чтобы их IP-адрес был напрямую виден получателю, и тем самым отправлять электронную почту анонимно.. В 2002 году его открытое реле, вместе с 24 другими, было использовано компьютерным червем для распространения. [14]

Джон Гилмор и другие сторонники открытого ретранслятора заявляют, что они не поддерживают спам и рассылку спама, но видят большую угрозу в попытках ограничить возможности Интернета, которые могут заблокировать развитие технологий нового поколения. Они сравнивают ограничения сетевой связи с ограничениями, которые некоторые телефонные компании пытались наложить на свои линии в прошлом, предотвращая передачу компьютерных данных, а не речи. [15]

Замыкающие реле [ править ]

Чтобы не считаться «открытым», ретранслятор электронной почты должен быть безопасным и настроен на прием и пересылку только следующих сообщений (детали будут отличаться от системы к системе - в частности, могут применяться дополнительные ограничения): [16]

  • Сообщения с локальных IP-адресов в локальные почтовые ящики
  • Сообщения с локальных IP-адресов в нелокальные почтовые ящики
  • Сообщения с нелокальных IP-адресов в локальные почтовые ящики
  • Сообщения от клиентов, которые аутентифицированы и авторизованы

В частности, должным образом защищенный почтовый ретранслятор SMTP не должен принимать и пересылать произвольные электронные письма с нелокальных IP-адресов в нелокальные почтовые ящики неаутентифицированным или неавторизованным пользователем.

В общем, любые другие правила, которые администратор выбирает для применения (например, на основе того, что электронное письмо представляет собой собственный конверт с адресом), должны дополнять, а не вместо вышеперечисленного. [16] В противном случае ретранслятор по-прежнему эффективно открыт (например, по указанным выше правилам): легко подделать заголовок и информацию о конверте электронной почты, значительно сложнее успешно подделать IP-адрес в TCP / IP. транзакция из -за трехстороннего рукопожатия, которое происходит при запуске соединения.

Открытые реле также являются результатом недостатков безопасности в программном обеспечении, а не неправильной конфигурации системными администраторами. [17] [18] [19] В этих случаях необходимо применить исправления безопасности, чтобы закрыть реле.

Интернет-инициативы по закрытию открытых ретрансляторов в конечном итоге не достигли своего предназначения, потому что спамеры создали распределенные бот-сети из компьютеров-зомби, которые содержат вредоносные программы с возможностью ретрансляции почты. Количество клиентов, находящихся под контролем спамеров, сейчас настолько велико, что предыдущие меры противодействия спаму, которые были сосредоточены на закрытии открытых реле, больше не эффективны.

См. Также [ править ]

  • Реле (значения)

Ссылки [ править ]

  1. ^ a b Попечители Университета Индианы (2008-04-01). «Что такое открытый почтовый ретранслятор в Unix?» . Услуги университетских информационных технологий . Университет Индианы . Архивировано из оригинала на 2007-06-17 . Проверено 7 апреля 2008 .
  2. ^ a b c "Что такое открытое реле?" . WhatIs.com . Университет Индианы . 2004-07-19. Архивировано из оригинала на 2007-08-24 . Проверено 7 апреля 2008 .
  3. ^ "FTC и международные агентства объявляют" Операция "Защитите свой сервер " " . Федеральная торговая комиссия . 2004-01-29. Архивировано из оригинала 6 марта 2008 года . Проверено 7 апреля 2008 .
  4. ^ RFC 1192 Коммерциализация Интернета
  5. ^ Абер, Джеймс С. «Интернет и всемирная паутина» . ES 351 и 771 . Проверено 7 апреля 2008 .
  6. ^ a b c d «Передают блокировщики спама» . ПРОВОДНОЙ . 2001-07-02. Архивировано из оригинала на 1 июня 2008 года . Проверено 7 апреля 2008 .
  7. ^ Открыть реле. Что это значит?
  8. ^ "Сеть старшего брата теперь контролирует вашу электронную почту" .
  9. ^ Хоффман, Пол (2002-08-20). «Разрешение ретрансляции в SMTP: серия обзоров» . Отчеты IMC . Консорциум Интернет-почты . Архивировано из оригинала на 2007-01-18 . Проверено 13 апреля 2008 .
  10. ^ Аткинс, Стив. "news.admin.net-abuse.email FAQ" . Архивировано из оригинала на 2012-07-27 . Проверено 8 апреля 2008 .
  11. США: новое оружие в борьбе со спамом
  12. ^ Работает ли закон CAN-SPAM?
  13. ^ "Взрыв из прошлого: открытое реле Джона Гилмора" . 2006-12-29 . Проверено 7 апреля 2008 .
  14. ^ «Червь использует открытое реле Джона Гилмора на toad.com для воспроизведения» . 2002-03-07 . Проверено 7 апреля 2008 .
  15. ^ «Открытые ограничения ретрансляции почты с точки зрения Джона Гилмора» . Архивировано из оригинала на 2012-05-03 . Проверено 25 июня 2010 .
  16. ^ a b «Ремонт открытых почтовых реле - Консультации UK JANET» . Архивировано из оригинального 24 февраля 2008 года . Проверено 12 апреля 2008 .
  17. ^ «DSA-554-1 Sendmail - предварительно установленный пароль» . Debian . 2004-09-27 . Проверено 9 мая 2010 .
  18. ^ «MS02-011: Ошибка аутентификации может позволить неавторизованным пользователям проходить аутентификацию в службе SMTP» . Microsoft . 2007-03-29 . Проверено 28 октября 2008 .
  19. ^ «XIMS: сообщения, отправленные на инкапсулированный адрес SMTP, перенаправляются, даже если перенаправление отключено» . Microsoft . 2006-10-26 . Проверено 29 октября 2008 .