對于一個網(wǎng)絡(luò)管理員來說,垃圾郵件的困擾并不是接收這些垃圾郵件,而是試圖防止垃圾郵件發(fā)送者使用你的郵件服務(wù)器來進行中繼轉(zhuǎn)發(fā),這項工作很關(guān)鍵, 因為一旦他們使用你的郵件服務(wù)器做為轉(zhuǎn)發(fā)站,除了耗費昂貴的帶寬資源、導致服務(wù)器速度下降以及使你承受重壓,你也許還可能很快就被大家的“黑名單”搞得暈 頭轉(zhuǎn)向,當這種情況發(fā)生時,你的用戶的郵件發(fā)送可能會時斷時續(xù),你也只能耗費許多計劃外的時間來清理系統(tǒng)并擺脫這些禁止名單。
當然,幾乎每個網(wǎng)絡(luò)管理員都對“開放中繼”的概念、它有什么壞處以及典型的解決方案等非常熟悉,這些解決方案有諸如對某些IP地址的限制性中繼服務(wù) 或者需要認證等實現(xiàn)方式。但是許多網(wǎng)絡(luò)管理員也許沒有沒有意識到現(xiàn)在的垃圾郵件發(fā)送者已經(jīng)變得更加老謀深算了。
作為一個測試演練,我上周和這周設(shè)立了幾個郵件服務(wù)器,既使用了微軟的Exchange也使用了一些免費的SMTP/POP3服務(wù)器軟件,并且建立 了我自己的協(xié)議分析器(ClearSight)以便于我能夠觀察發(fā)生的情況,面對發(fā)生的情況,我必須承認我感到相當震驚。
正如你可能想到的那樣,他們很快就發(fā)現(xiàn)了我的服務(wù)器,即使我要求對中繼請求進行認證,我很快就開始看見成千上萬包含虛假源地址的郵件源源不斷的通過 我的Exchange服務(wù)器,我甚至看不到任何郵件進入我的本地文件夾。同時,我還發(fā)現(xiàn)他們已經(jīng)發(fā)現(xiàn)并利用了一個系統(tǒng)Bug(可能與SQL服務(wù)器相關(guān)), 這樣就導致我的服務(wù)器自動產(chǎn)生他們需要的郵件——都不需要進行轉(zhuǎn)發(fā)了。
所以我拋棄Exchange并開始使用其他的免費服務(wù)器軟件,然而,這讓我的監(jiān)控過程變得更加有趣,也使我對攻擊的多樣性感到震驚。盡管中繼轉(zhuǎn)發(fā)的 企圖最初總是遭遇到服務(wù)器發(fā)出的“503-This mail server requires authentication(這個郵件服務(wù)器要求認證)”的返回信息,我還是很快再次看到垃圾郵件蜂擁而至,他們甚至猜到了“Postmaster(郵 箱管理員)”帳號的密碼并且使用郵箱管理員身份發(fā)送郵件。
我將“Postmaster(郵箱管理員)”帳號禁用后,我仍然看到了許多利用偽造的SMTP命令進行登陸、使用錯誤Email源地址以及其他諸如 在一個會話中傳送幾個RSET命令這樣的事情發(fā)生(因為許多服務(wù)器都允許你使某些命令失效)。這時,我意識到這很可能就是我的服務(wù)器時常斷開某個連接的原 因所在了,因為它已經(jīng)被設(shè)置成當接收到指定數(shù)目的錯誤命令后,就會斷開這個連接,所以我就將這個值(指定數(shù)目)設(shè)置得非常低。
我還注意到多數(shù)的中繼轉(zhuǎn)發(fā)嘗試都來自同一個IP地址,所以我就在我的防火墻中封掉該IP地址,幾分鐘后,我收到了從另一個不同地點的另一個不同的 IP地址發(fā)來的同樣內(nèi)容的垃圾郵件,我再次將此IP地址阻塞掉,垃圾郵件再次從第三個源頭發(fā)送過來。非常明顯,在它們之間還保持連接的時候,它們似乎非常 樂意接收到認證失敗的通知,但是一旦它們不能在25端口上建立一個TCP連接,它們將馬上轉(zhuǎn)換源地址。
當我選擇拒收所有來自非法域內(nèi)的郵件的時候,我發(fā)現(xiàn)了一個非常有趣的副作用,雖然拒收這些郵件看起來仿佛對于我來說是件好事情,因為這些成千上萬的 垃圾郵件都是來自一個充滿ASCII碼垃圾的Email地址。
然而,我所發(fā)現(xiàn)的是,即使我的認證要求阻斷了垃圾郵件的中繼企圖,我的服務(wù)器仍然為這些垃圾郵件發(fā)送者的域名發(fā)送DNS(域名服務(wù))請求,結(jié)果就造 成了大量的DNS請求,更糟的是,它們源源不斷地產(chǎn)生DNS請求,然后突然每分鐘發(fā)送幾千個請求,幾乎是對DNS服務(wù)器的Dos攻擊(拒絕服務(wù)攻擊),在 這種通信狀況下,我只好取消了拒收這些郵件的設(shè)置。
如果你正在監(jiān)管郵件服務(wù)器,我建議你定期花費幾分鐘,使用Sniffer工具確保你的服務(wù)器沒有中招,我也鼓勵你經(jīng)常給你的系統(tǒng)打補丁,重命名或禁 用所有標準帳號,全面了解你的服務(wù)器支持的安全特性。垃圾郵件傳播者(Spammer)變得越來越狡猾,我們必須變得更有經(jīng)驗,千萬不要僅僅依靠身份認證 或者IP尋址來抵御垃圾郵件的侵襲。
