对于一个网络管理员来说,垃圾邮件的麻烦不在于收到这些垃圾短信,而在于试图阻止垃圾邮件发送者使用你的邮件服务器进行中继转发。这项工作至关重要,因为一旦他们将你的邮件服务器作为转发站,除了消耗昂贵的带宽资源,降低服务器速度,让你承受沉重的压力之外,你可能很快就会被大家的“黑名单”所迷惑。当这种情况发生时,您的用户的邮件将被发送。
当然,几乎每个网络管理员都熟悉“开放中继”的概念、它的缺点以及典型的解决方案,例如针对某些IP地址的限制性中继服务或身份验证。但是许多网络管理
也许工作人员没有意识到今天的垃圾邮件发送者已经变得更加老练。
作为测试练习,我在上周和本周设置了几个邮件服务器,使用了Microsoft Exchange和一些免费的SMTP/POP3服务器软件,并设置了自己的协议分析器(ClearSight),以便我可以观察发生了什么。我必须承认,面对所发生的事情,我感到非常震惊。
正如你所料,他们很快就找到了我的服务器。即使我要求对中继请求进行身份验证,我很快就开始看到数千封包含虚假源地址的邮件不断通过我的Exchange服务器,我甚至看不到任何邮件。
转到我的本地文件夹。同时,我还发现他们发现并利用了一个系统Bug(可能与SQL server有关),导致我的服务器自动生成了他们需要的邮件3354,他们不需要转发。
所以我放弃了Exchange,开始使用其他免费的服务器软件。然而,这让我的监控过程更加有趣,也让我震惊于攻击的多样性。尽管中继转发尝试一开始总是遇到来自服务器的“503-This”
邮件需要认证”,我很快就看到垃圾邮件再次涌入,他们甚至猜出了“邮政局长”账号的密码,冒用了邮箱管理员的身份。
发送邮件。
在我禁用了我的“Postmaster”帐户后,我仍然看到了许多事情,如使用伪造的SMTP命令登录,使用错误的电子邮件源地址,以及其他事情,如在一个会话中发送几个RSET命令(因为许多服务器允许您使一些命令无效)。这时我意识到,这大概就是我的服务器经常断开某个连接的原因,因为它已经被设置为在收到指定数量的错误命令后断开这个连接,所以我把这个值(指定数量)设置得很低。
我还注意到,大多数中继转发尝试都来自同一个IP地址,所以我在防火墙中阻止了该IP地址。几分钟后,我在另一个不同的地方收到了来自另一个不同IP地址的相同内容的垃圾邮件。我再次屏蔽了IP地址,垃圾邮件再次从第三个来源发出。很明显,在仍然连接的同时,他们似乎很高兴收到认证失败的通知,但一旦无法在25端口建立TCP连接,他们就会立即切换源地址。
当我选择拒绝所有来自非法域的邮件时,我发现了一个非常有趣的副作用,尽管拒绝这些邮件对我来说似乎是一件好事,因为成千上万的垃圾邮件来自一个充满ASCII代码垃圾邮件的电子邮件地址。
然而,我发现的是,即使我的身份验证要求阻止了垃圾邮件中继尝试,我的服务器仍然为这些垃圾邮件制造者的域名发送DNS(域名服务)请求,导致大量的DNS请求。更糟糕的是,他们不断产生DNS请求,然后突然每分钟发出上千个请求,几乎是对DNS服务器的DoS攻击(拒绝服务攻击)。在这种交流情况下,我不得不取消它。
如果你正在监管邮件服务器,我建议你定期花几分钟时间,使用嗅探器工具来确保你的服务器不被捕获。我还鼓励您经常修补您的系统,重命名或禁用所有标准帐户,并完全了解您的服务器支持的安全功能。垃圾邮件发送者变得越来越狡猾,我们必须变得更有经验。切勿仅依靠身份认证或IP地址来抵御垃圾邮件攻击。