s it just about money or are there some limitations to running my own SMTP server?
Supponendo di avere abbastanza soldi per le utilità richieste per eseguire il tuo server, e il tuo ISP non filtra le connessioni in entrata sulla porta TCP 25, dovresti stare bene.
Usando Telnet puoi inviare richieste malformate. Queste richieste possono contenere qualsiasi indirizzo email.
I problemi menzionati sopra, SPF, DKIM e DMARC sono tutti MOLTO protezione utile anche se sfortunatamente hanno lo stesso difetto: usano DNS, che usa UDP, che è altrettanto facile da falsificare. Infatti, il server che riceve l'e-mail contraffatta spara queste numerose richieste, ma non prima che riceva l'e-mail contraffatta.
Gli attaccanti traggono vantaggio da un enorme attacco legato ai tempi, qui: sanno di poter battere la legittima risposta del DNS con i propri falsi (in genere, lo stile della forza bruta per aumentare le probabilità di successo, in genere).
L'ostacolo principale è che gli attaccanti possono solo indovinare gli identificatori di pacchetto univoci richiesti per la corrispondenza. Se funziona la prima volta, ottimo, gli aggressori hanno dirottato con successo tutto il traffico SPF, DKIM e DMARC utilizzando l'inquinamento della cache DNS ... per anni, se decidono di farlo ...
Una volta che questo è compiuto, l'attaccante ha stabilito rifiuto del servizio dei servizi di autenticazione, e AFAIK se questi servizi non esistono, allora la posta viene inoltrata piuttosto che lasciata cadere.
Altrimenti gli aggressori devono aspettare che la voce della cache scada e riprovare (e possono anche recuperare un TTL che li aiuterà) ... ci sono stati attacchi documentati seri che permettono a un utente malintenzionato di dirottare il traffico DNS per un'intera zona; questi si basano sull'ingannare i server dei nomi upstream in voci del server dei nomi forgiate nella cache per i domini in questione.
La protezione contro questo si presenta sotto forma di DNSSEC (e possibilmente IPSEC?) oltre a SPF / DKIM / DMARC. Sfortunatamente, Internet non ha accettato all'unanimità questi termini, quindi abbiamo bisogno di un ripiego, che è quello di consegnare la posta solo dopo che i controlli SPF / DKIM / DMARC hanno fallito.
... spoofed IPs ...
Le connessioni TCP forgiate sono molto difficili da stabilire. Devi essere in grado di indovinare con precisione gli identificatori di pacchetto per ogni pacchetto. Possibile, ma poco pratico. Gli aggressori potrebbero essere più propensi a utilizzare una rete pubblica Wi-Fi per condurre i loro attacchi ... per non parlare degli occhiali da sole .
... would there by something to stop me ?
Suppongo che dipenda da dove vivi. Ci sono paesi che non trattano questi tipi di attacchi come incidenti criminali, e poi ci sono paesi che cercheranno di rivendicare che gli aggressori sono turisti !
Inoltre, l'autorità non condurrà generalmente un'indagine a meno che non venga commesso un crimine. Una volta che ti sei infiltrato con successo in un sistema, sei nel ... Alle tue autorità potrebbe non piacere, ma saranno (mesi) troppo tardi.