In che modo le botnet consegnano lo spam? [chiuso]

2

Non riesco a trovare la risposta a questa domanda. Ho letto che i robot botnet sono usati come relay di posta elettronica (hanno installati i server smtp).

Wikipedia su Open mail relay:

"(...)Internet initiatives to close open relays have ultimately missed their intended purpose because spammers have created distributed botnets of zombie computers that contain malware with mail relaying capability. The number of clients under spammers' control is now so great that previous anti-spam countermeasures that focused on closing open relays are no longer effective."

Ho letto anche che le botnet sono usate per coprire le tracce e ignorare le liste nere di spam. Questo mi porta molte domande:

  1. Le botnet hanno domini di posta elettronica compromessi?
  2. In che modo le botnet consegnano e-mail con indirizzi di origine falsi? (senza email server di posta elettronica attendibili compromessi)
  3. Al giorno d'oggi, è difficile inviare spam a società di posta elettronica note (come Gmail) perché non accettano connessioni telnet e fonti false indirizzi. Richiede l'autenticazione. Come fanno botnet e spammer affrontare questo?
  4. Se i robot sono relè, non significa che possono solo inviare spam ad altri bot. Ha senso? Questo non influirà nemmeno utenti.
  5. In che modo le botnet possono aggirare la lista nera dei domini se ne hanno bisogno account e quindi domini da inviare sugli indirizzi di origine?

Ho letto anche un pdf da questo link: link

Lo afferma sul flusso del dominio:

Domain Wildcarding abuses native DNS functionality to wildcard (e.g., *) a higher domain such that all FQDN’s point to the same IP address. For example, *.damballa.com could encapsulate both mypc.atl.damballa.com and myserver.damballa.com. This technique is most commonly associated with botnets that deliver spam and phishing content – whereby the wildcarded information that appears random (e.g. “asdkjlkwer” of asdkjlkwer.atl.damballa) is used by the botnet operator to uniquely identify a victim, track success using various delivery techniques, and bypass anti-spam technologies.

Qualcuno può spiegarmi le frasi in grassetto? Chi è la vittima? La macchina compromessa o il bersaglio spam? Ho l'aiuto dei caratteri jolly del dominio su spam e phishing?

    
posta BrunoMCBraga 07.07.2014 - 01:52
fonte

1 risposta

10

In primo luogo, alcune informazioni di base su come funziona la posta elettronica. Il problema di base è che i contatti server-server che utilizzano SMTP non sono autentificati: tutto ciò che un server sa del computer che sta contattando è

  1. L'indirizzo IP
  2. Chi il computer vuole inviare l'email a
  3. Chi sono le rivendicazioni del computer
  4. Chi il computer rivendica l'email proviene da

Nota che gli ultimi due elementi non sono autenticati: il computer mittente può mentire liberamente su di loro.

La posta ordinaria funziona come segue (in qualche modo semplificato):

  1. Il client di posta elettronica effettua una connessione al server mittente utilizzando SMTP autenticato o IMAP.
  2. Il server di invio effettua una connessione SMTP non autenticata al server ricevente e consegna l'email.
  3. Il destinatario effettua una connessione POP3 o IMAP autenticata al server ricevente e richiede l'e-mail.

La botnet di uno spammer invece fa quanto segue:

  1. botnet dei contatti dello spammer, dice di inviare spam
  2. Il computer botnet funge da server SMTP, effettua la connessione SMTP non autenticata al server ricevente e consegna l'email.
  3. Il destinatario effettua una connessione POP3 o IMAP autenticata al server ricevente e richiede l'e-mail.

Per rispondere alle tue domande:

  1. Generalmente, no.

  2. mentendo. L'indirizzo "da" su una e-mail è banale da falsificare (facile come forgiarlo su un pezzo di posta fisica). Esistono varie tecniche per contrastarlo: DomainKeys Identified Mail e Sender Policy Framework sono modi per limitare quali indirizzi IP sono autorizzati a inviare e-mail per un determinato nome di dominio; una tecnica più vecchia era una semplice ricerca dell'indirizzo inverso per vedere se l'indirizzo IP è stato risolto nel dominio, ma questo ha problemi di affidabilità.

  3. Facendo attenzione alle loro bugie. Se uno spammer fa attenzione a chi rivendica l'email (ad esempio, utilizzando un dominio "from" che non fornisce informazioni DKIM o SPF), può mentire senza essere scoperti.

  4. Un server SMTP può accettare e-mail per la consegna locale o per l'invio a un altro server. Un server SMTP che non richiede l'autenticazione quando accetta l'e-mail da inviare in avanti è un relay aperto. Con questa definizione, i bot non sono open relay: agiscono più come i tradizionali server di posta elettronica, con lo spammer come unico utente autorizzato.

  5. Non è chiaro cosa stai chiedendo qui. Le botnet per lo più non hanno bisogno di account conosciuti per inviare spam.

  6. Questo è irrilevante per lo spamming. È una tecnica per nascondere l'infrastruttura botnet che consente di risolvere più domini su un singolo indirizzo IP.

risposta data 07.07.2014 - 06:02
fonte

Leggi altre domande sui tag