與垃圾郵件制造者過招
對于一個(gè)網(wǎng)絡(luò)管理員來說,垃圾郵件的困擾并不是接收這些垃圾郵件,而是試圖防止垃圾郵件發(fā)送者使用你的郵件服務(wù)器來進(jìn)行中繼轉(zhuǎn)發(fā),這項(xiàng)工作很關(guān)鍵,因?yàn)橐坏┧麄兪褂媚愕泥]件服務(wù)器做為轉(zhuǎn)發(fā)站,除了耗費(fèi)昂貴的帶寬資源、導(dǎo)致服務(wù)器速度下降以及使你承受重壓,你也許還可能很快就被大家的“黑名單”搞得暈頭轉(zhuǎn)向,當(dāng)這種情況發(fā)生時(shí),你的用戶的郵件發(fā)送可能會時(shí)斷時(shí)續(xù),你也只能耗費(fèi)許多計(jì)劃外的時(shí)間來清理系統(tǒng)并擺脫這些禁止名單。
當(dāng)然,幾乎每個(gè)網(wǎng)絡(luò)管理員都對“開放中繼”的概念、它有什么壞處以及典型的解決方案等非常熟悉,這些解決方案有諸如對某些IP地址的限制性中繼服務(wù)或者需要認(rèn)證等實(shí)現(xiàn)方式。但是許多網(wǎng)絡(luò)管理
員也許沒有沒有意識到現(xiàn)在的垃圾郵件發(fā)送者已經(jīng)變得更加老謀深算了。
作為一個(gè)測試演練,我上周和這周設(shè)立了幾個(gè)郵件服務(wù)器,既使用了微軟的Exchange也使用了一些免費(fèi)的SMTP/POP3服務(wù)器軟件,并且建立了我自己的協(xié)議分析器(ClearSight)以便于我能夠觀察發(fā)生的情況,面對發(fā)生的情況,我必須承認(rèn)我感到相當(dāng)震驚。
正如你可能想到的那樣,他們很快就發(fā)現(xiàn)了我的服務(wù)器,即使我要求對中繼請求進(jìn)行認(rèn)證,我很快就開始看見成千上萬包含虛假源地址的郵件源源不斷的通過我的Exchange服務(wù)器,我甚至看不到任何郵
件進(jìn)入我的本地文件夾。同時(shí),我還發(fā)現(xiàn)他們已經(jīng)發(fā)現(xiàn)并利用了一個(gè)系統(tǒng)Bug(可能與SQL服務(wù)器相關(guān)),這樣就導(dǎo)致我的服務(wù)器自動產(chǎn)生他們需要的郵件——都不需要進(jìn)行轉(zhuǎn)發(fā)了。
所以我拋棄Exchange并開始使用其他的免費(fèi)服務(wù)器軟件,然而,這讓我的監(jiān)控過程變得更加有趣,也使我對攻擊的多樣性感到震驚。盡管中繼轉(zhuǎn)發(fā)的企圖最初總是遭遇到服務(wù)器發(fā)出的“503-This
mail server requires authentication(這個(gè)郵件服務(wù)器要求認(rèn)證)”的返回信息,我還是很快再次看到垃圾郵件蜂擁而至,他們甚至猜到了“Postmaster(郵箱管理員)”帳號的密碼并且使用郵箱管理員身份
發(fā)送郵件。
我將“Postmaster(郵箱管理員)”帳號禁用后,我仍然看到了許多利用偽造的SMTP命令進(jìn)行登陸、使用錯(cuò)誤Email源地址以及其他諸如在一個(gè)會話中傳送幾個(gè)RSET命令這樣的事情發(fā)生(因?yàn)樵S多服務(wù)器都允許你使某些命令失效)。這時(shí),我意識到這很可能就是我的服務(wù)器時(shí)常斷開某個(gè)連接的原因所在了,因?yàn)樗呀?jīng)被設(shè)置成當(dāng)接收到指定數(shù)目的錯(cuò)誤命令后,就會斷開這個(gè)連接,所以我就將這個(gè)值(指定數(shù)目)設(shè)置得非常低。
我還注意到多數(shù)的中繼轉(zhuǎn)發(fā)嘗試都來自同一個(gè)IP地址,所以我就在我的防火墻中封掉該IP地址,幾分鐘后,我收到了從另一個(gè)不同地點(diǎn)的另一個(gè)不同的IP地址發(fā)來的同樣內(nèi)容的垃圾郵件,我再次將此IP地址阻塞掉,垃圾郵件再次從第三個(gè)源頭發(fā)送過來。非常明顯,在它們之間還保持連接的時(shí)候,它們似乎非常樂意接收到認(rèn)證失敗的通知,但是一旦它們不能在25端口上建立一個(gè)TCP連接,它們將馬上轉(zhuǎn)換源地址。
當(dāng)我選擇拒收所有來自非法域內(nèi)的郵件的時(shí)候,我發(fā)現(xiàn)了一個(gè)非常有趣的副作用,雖然拒收這些郵件看起來仿佛對于我來說是件好事情,因?yàn)檫@些成千上萬的垃圾郵件都是來自一個(gè)充滿ASCII碼垃圾的Email地址。
然而,我所發(fā)現(xiàn)的是,即使我的認(rèn)證要求阻斷了垃圾郵件的中繼企圖,我的服務(wù)器仍然為這些垃圾郵件發(fā)送者的域名發(fā)送DNS(域名服務(wù))請求,結(jié)果就造成了大量的DNS請求,更糟的是,它們源源不斷地產(chǎn)生DNS請求,然后突然每分鐘發(fā)送幾千個(gè)請求,幾乎是對DNS服務(wù)器的DoS攻擊(拒絕服務(wù)攻擊),在這種通信狀況下,我只好取消了拒收這些郵件的設(shè)置。
如果你正在監(jiān)管郵件服務(wù)器,我建議你定期花費(fèi)幾分鐘,使用Sniffer工具確保你的服務(wù)器沒有中招,我也鼓勵(lì)你經(jīng)常給你的系統(tǒng)打補(bǔ)丁,重命名或禁用所有標(biāo)準(zhǔn)帳號,全面了解你的服務(wù)器支持的安全特性。垃圾郵件傳播者(spammer)變得越來越狡猾,我們必須變得更有經(jīng)驗(yàn),千萬不要僅僅依靠身份認(rèn)證或者IP尋址來抵御垃圾郵件的侵襲。
【編輯推薦】
