对于一个网络管理员来说,垃圾邮件的麻烦不在于收到这些垃圾邮件,而在于试图阻止垃圾邮件发送者使用你的邮件服务器进行中继转发。这项工作至关重要,因为一旦他们将你的邮件服务器作为转发站,
除了消耗昂贵的带宽资源,导致服务器变慢,让你承受沉重的压力,你可能很快就会被大家的“黑名单”迷惑。发生这种情况时,您的用户的电子邮件发送可能是间歇性的。
你只能花大量计划外的时间清理系统,摆脱这些禁止列表。
当然,几乎每个网络管理员都非常熟悉“开放中继”的概念,它的缺点和典型的解决方案,例如对某些IP地址的限制性中继服务或认证的需要。
但是许多网络管理员可能没有意识到垃圾邮件发送者已经变得更加狡猾。
作为测试练习,我在上周和本周安装了几台邮件服务器,不仅使用了Microsoft Exchange,还使用了一些免费的SMTP/POP3服务器软件。
并设置了我自己的协议分析器(ClearSight),以便我可以观察发生了什么。我必须承认,面对所发生的事情,我感到非常震惊。
如你所料,他们很快发现了我的服务器。即使我要求对中继请求进行身份验证,我很快就开始看到数千封包含虚假源地址的电子邮件流经我的Exchange服务器。
我甚至看不到任何邮件进入我的本地文件夹。同时我还发现他们发现并利用了一个系统Bug(可能与SQL server有关),导致我的服务器自动生成了他们需要的邮件——,而没有转发。
所以我放弃了Exchange,开始使用其他免费的服务器软件。然而,这让我的监控过程更加有趣,也让我震惊于攻击的多样性。
虽然中继的尝试一开始总是遇到服务器发来的“503-此邮件服务器需要认证”的返回消息,
我还是很快看到垃圾邮件再次蜂拥而至,他们甚至猜出了“邮政局长”账号的密码,以邮箱管理员的身份发送邮件。
在我禁用了“邮局主管”账户后,
我仍然看到许多事情,如使用假冒的SMTP命令登录,使用错误的电子邮件源地址和在一个会话中发送几个RSET命令(因为许多服务器允许您使一些命令无效)。这时,
我意识到这很可能是我的服务器经常断开一个连接的原因,因为它已经被设置为在收到指定数量的错误命令后断开这个连接,所以我把这个值(指定数量)设置得很低。
我还注意到,大多数中继和转发尝试来自同一个IP地址,所以我在防火墙中阻止了该IP地址。几分钟后,我在另一个不同的地方收到了来自另一个不同IP地址的相同内容的垃圾邮件,我再次屏蔽了该IP地址。
垃圾邮件再次从第三个来源发送。很明显,当他们还在连接的时候,他们似乎很乐意收到认证失败的通知,但是一旦无法在25端口建立TCP连接,他们就会立刻更改源地址。
当我选择拒绝所有来自非法域名的邮件时,我发现了一个非常有趣的副作用,尽管拒绝这些邮件对我来说似乎是一件好事,因为成千上万的垃圾邮件来自一个充满ASCII代码垃圾的电子邮件地址。
但是,我发现的是,即使我的认证要求屏蔽了垃圾邮件的中继企图,我的服务器仍然为这些垃圾邮件发送者的域名发送DNS(域名服务)请求,导致大量的DNS请求。更糟糕的是,他们不断产生DNS请求。
然后突然每分钟发送上千个请求,这几乎是对DNS服务器的DoS攻击(拒绝服务攻击)。在这种沟通情况下,我不得不取消拒绝这些邮件的设置。
如果你在监管邮件服务器,我建议你定期花几分钟时间,使用嗅探器工具,确保你的服务器不被抓住。我还鼓励您经常修补您的系统,重命名或禁用所有标准帐户,并完全了解您的服务器支持的安全功能。
垃圾邮件发送者变得越来越狡猾,我们必须变得更有经验。永远不要仅仅依靠身份验证或IP地址来抵御垃圾邮件攻击。
