Rozproszenie wstecz (e-mail)

Rozpraszanie wsteczne (znane również jako rozpraszanie zewnętrzne , niewłaściwie kierowane wiadomości zwrotne , blowback lub spam dodatkowy ) to niepoprawnie zautomatyzowane wiadomości zwrotne wysyłane przez serwery pocztowe, zazwyczaj jako efekt uboczny przychodzącego spamu .

Odbiorcy takich wiadomości postrzegają je jako formę niechcianych masowych wiadomości e-mail lub spamu, ponieważ nie były one zamawiane przez odbiorców, są do siebie zasadniczo podobne i są dostarczane w dużych ilościach. Systemy generujące rozproszenie wsteczne wiadomości e-mail mogą znajdować się na różnych czarnych listach poczty e-mail i mogą naruszać Warunki korzystania z usług dostawców usług internetowych .

Rozproszenie wsteczne występuje, ponieważ robaki i spam często fałszują swoje adresy nadawcy . Zamiast po prostu odrzucić wiadomość spamową, źle skonfigurowany serwer pocztowy wysyła wiadomość zwrotną na taki sfałszowany adres. Zwykle dzieje się tak, gdy serwer pocztowy jest skonfigurowany do przekazywania wiadomości do etapu przetwarzania znajdującego się w kolejce, na przykład do skanowania antywirusowego lub sprawdzania spamu, które następnie kończy się niepowodzeniem, a w momencie zakończenia skanowania antywirusowego lub sprawdzania spamu klient już się rozłączył. W takich przypadkach zwykle nie jest możliwe odrzucenie SMTP , ponieważ klient przekroczyłby limit czasu oczekiwania na zakończenie skanowania antywirusowego lub sprawdzania spamu. Najlepszą rzeczą do zrobienia w tym przypadku jest po cichu porzucić wiadomość, zamiast ryzykować tworzenie rozproszenia wstecznego.

Środki mające na celu ograniczenie problemu obejmują unikanie konieczności odsyłania wiadomości poprzez wykonywanie większości odrzuceń na początkowym etapie połączenia SMTP ; aw innych przypadkach wysyłanie wiadomości zwrotnych tylko na adresy, co do których można wiarygodnie stwierdzić, że nie zostały sfałszowane, iw takich przypadkach nie można zweryfikować nadawcy, a tym samym zignorować wiadomość (tj. upuścić ją).

Przyczyna

Autorzy spamu i wirusów chcą, aby ich wiadomości wyglądały, jakby pochodziły z legalnego źródła, aby oszukać odbiorców, aby otworzyli wiadomość, dlatego często używają oprogramowania do indeksowania sieci, aby skanować wpisy w sieci Usenet , fora dyskusyjne i strony internetowe w poszukiwaniu legalnych adresów e-mail.

Ze względu na konstrukcję poczty SMTP serwery pocztowe odbiorców odbierające te sfałszowane wiadomości nie mają prostego, standardowego sposobu ustalenia autentyczności nadawcy. Jeśli zaakceptują wiadomość e-mail podczas fazy połączenia, a następnie, po dalszym sprawdzeniu, odrzucą ją (np. oprogramowanie stwierdzi, że wiadomość jest prawdopodobnie spamem), wykorzystają (potencjalnie sfałszowany) adres nadawcy, aby w dobrej wierze podjąć próbę zgłoszenia problem do widocznego nadawcy.

Serwery pocztowe mogą obsługiwać niedostarczone wiadomości na cztery zasadniczo różne sposoby:

• Odrzuć . Serwer odbierający może odrzucić przychodzącą wiadomość e-mail na etapie połączenia, podczas gdy serwer wysyłający jest nadal połączony . Jeśli wiadomość zostanie odrzucona w czasie połączenia z kodem błędu 5xx, serwer wysyłający może bez problemu zgłosić problem rzeczywistemu nadawcy.
•   Upuść . Serwer odbierający może początkowo zaakceptować całą wiadomość, ale następnie stwierdzić, że jest to spam lub wirus, a następnie usunąć ją automatycznie, czasami zmieniając adresata końcowego na „/dev/null” lub podobnie. Tego zachowania można użyć, gdy „wynik spamu” wiadomości e-mail jest bardzo wysoki lub wiadomość zawiera wirusa. RFC 5321 mówi: „ciche odrzucanie wiadomości powinno być brane pod uwagę tylko w tych przypadkach, w których istnieje bardzo duża pewność, że wiadomości są poważnie oszukańcze lub w inny sposób nieodpowiednie”.
• Kwarantanna . Serwer odbiorczy może początkowo zaakceptować całą wiadomość, ale następnie stwierdzić, że jest to spam i poddać kwarantannie — dostarczając ją do folderów „śmieci” lub „spam”, skąd ostatecznie zostanie automatycznie usunięta. To jest powszechne zachowanie.
• Odbić . Serwer odbierający może początkowo zaakceptować całą wiadomość, ale następnie stwierdzić, że jest to spam lub do nieistniejącego odbiorcy, i wygenerować wiadomość zwrotną do domniemanego nadawcy, wskazującą, że dostarczenie wiadomości nie powiodło się.

Rozpraszanie wsteczne występuje, gdy używana jest metoda „odbicia”, a informacje o nadawcy w przychodzącej wiadomości e-mail były danymi niepowiązanej strony trzeciej.

Zmniejszenie problemu

Każdy krok mający na celu kontrolę robaków i spamu pomaga zredukować rozproszenie wsteczne, ale inne popularne podejścia, takie jak te opisane w tej sekcji, również zmniejszają ten sam problem.

Odrzucenie etapu połączenia

Podczas początkowego połączenia SMTP serwery pocztowe mogą przeprowadzać szereg kontroli i często odrzucają wiadomości e-mail z kodem błędu 5xx, gdy serwer wysyłający jest nadal podłączony . Odrzucenie wiadomości w ten sposób na etapie połączenia zwykle powoduje, że wysyłający MTA generuje lokalną wiadomość zwrotną lub powiadomienie o niedostarczeniu (NDN) do lokalnego, uwierzytelnionego użytkownika.

Powody odrzucenia obejmują:

• Nieudana weryfikacja odbiorcy
• Nieudane testy zabezpieczające przed fałszerstwem, takie jak SPF , DKIM lub identyfikator nadawcy
• Serwery, które nie mają wpisu wstecznego DNS potwierdzonego w przekazywaniu
• Nadawcy na listach zablokowanych .
• Tymczasowe odrzucenie za pomocą metod szarej listy

Agenci przesyłania poczty (MTA), którzy przekazują pocztę, mogą uniknąć generowania rozproszenia wstecznego dzięki zastosowaniu przezroczystego serwera proxy SMTP .

Sprawdzanie adresatów odsyłaczy

Serwery pocztowe wysyłające wiadomości e-mail z odesłaniem mogą korzystać z szeregu środków, aby ocenić, czy adres zwrotny został sfałszowany.

Filtrowanie rozproszenia wstecznego

Chociaż zapobieganie rozproszeniu wstecznemu jest pożądane, możliwe jest również zmniejszenie jego wpływu poprzez filtrowanie, a wiele systemów filtrowania spamu zawiera teraz opcję próby wykrycia i odrzucenia wiadomości e-mail z rozproszeniem wstecznym jako spam.

Ponadto systemy korzystające ze schematów, takich jak Bounce Address Tag Validation, „oznaczają” wychodzące wiadomości e-mail w sposób, który pozwala im niezawodnie wykrywać przychodzące fałszywe wiadomości zwrotne .

Zobacz też

• Praca Joego

Linki zewnętrzne

• Pocztowe ataki DDoS poprzez niedostarczone wiadomości (wersja papierowa) , Techzoom, 2004 .
• „Backscatter”, Postfix (readme) .
• „Backscatter”, SpamLinks , zarchiwizowane z oryginału w dniu 2008-04-05 .
•   RFC 3834 : Zalecenia dotyczące automatycznych odpowiedzi na pocztę elektroniczną.
• „Autorespondery Moronic Mail”, FAQ z piekła rodem , FI: Iki .
• „Dlaczego automatyczne odpowiedzi są złe?”, FAQ , SpamCop .
• Nie odbijaj spamu : dlaczego nie powinieneś odbijać spamu.
• 100 odrzuceń e-maili? Zostałeś rozproszony wstecz , PC World .