Ho appena letto un report che ha analizzato la Mnet-D Botnet, ma quello che non ho compreso appieno è come vengono utilizzati per inviare spam?
Da quale indirizzo email è inviata la posta? Ogni bot invia lo spam attraverso un server SMTP? Su ogni bot è installato un server SMTP?
Qualcuno può chiarirmi perché nessun articolo che ho letto sembra far luce su questo.
Da quello che potrei trovare out su di esso in pochi minuti di googling, Mega-D / Ozdok è un tipico smabot: implementa STMP protocollo internamente e fa gestire i tentativi di lavoro intorno a greylisting .
L'indirizzo email utilizzato nella parte "di" della posta dipende dal modello esatto inviato al bot. Se guardi la fortigate descrizione del bot, vedrai quali opzioni potrebbero essere utilizzate per costruire e alcuni campioni. Non sembra che stia usando nulla dalla macchina del client bot, ma sembra spesso utilizzare l'email del destinatario nel campo from (il che significa che puoi proteggerti da questi spam usando SPF o DKIM ).
I robot invieranno la loro posta tramite un server SMTP ma quello sarà il server SMTP del destinatario: cosa viene fatto riferimento nel record DNS MX del loro dominio di posta (o del record A se non ci sono MX ma c'è un A).
Se vuoi un'analogia con il mondo reale, è come se, invece di inviare posta (normale) a casa tua tramite il sistema postale, lo spammer ingaggi un sacco di estranei per consegnarlo direttamente nella cassetta della posta della tua casa.
Per quanto riguarda se ogni spambot ha un server SMTP installato, il più vicino a una risposta è: no, non c'è un server SMTP installato sul client che accetterà e inoltrerà la posta. Tuttavia, accetta i modelli di spam dai server CC così come gli "elenchi di lavoro" contenenti l'indirizzo email di destinazione e quindi fungono da client SMTP per inviare questi messaggi direttamente al server SMTP del destinatario.
Gli indirizzi email personali e cose simili non sono coinvolti. Tutto ciò che serve per inviare e-mail è un server cooperativo che funge da agente di spedizione.
Alcune reti bot utilizzano macchine compromesse per inviare spam attraverso il proprio ISP principale e la maggior parte degli ISP non è allarmata quando uno dei suoi clienti abituali inizia a inviare miliardi di email. L'e-mail di origine in questo modo non richiede alcuna autenticazione oltre al fatto che una macchina è connessa alla rete dell'ISP. I contenuti non sono la loro preoccupazione, a patto che il cliente continui a pagare le bollette.
Altri noleggiano server (molto economici per farlo) e li usano per inviare spam all'ingrosso. Ancora una volta, non una preoccupazione per le persone che hanno fornito il server, a patto che gli assegni del cliente non rimbalzino.
Anche se gli ISP vogliono essere buoni cittadini (e sono disposti a privarsi delle entrate) è strettamente un gioco di whack-a-mole. Fondamentalmente, i protocolli di posta elettronica sono stati progettati quando Internet ha 5 nodi e tutti erano amichevoli.