Come funziona Bots Spam Dove SMTP in uscita è bloccato

-1

Ho letto che i bot di una rete interna parlano direttamente con i server di posta esterna invece di passare attraverso il server di posta interna per inviare spam.

Query

Se è vero, di come lo fa lo spam dei Bot in modo che le connessioni SMTP in uscita dagli host interni (eccetto il server di posta interno) siano bloccate.

Alcuni pensieri

È ovvio che i bot non utilizzeranno il server di posta interno in quanto potrebbero essere scoperti (da blacklist, Spamhaus), né possono falsificare l'IP del server di posta interno, poiché le risposte dal server di posta esterno verranno eliminate dal server di posta interno (se non ha li ha iniziati).

Mi sono imbattuto in qualcosa chiamato "triangular_spamming", tuttavia questo non si applica al contesto di questa domanda.

Grazie

    
posta user10012 19.05.2016 - 22:26
fonte

1 risposta

-1

Usano schemi di attacco dict o forza bruta, per indovinare le password di altri account di posta elettronica su server di invio esterni o server SMTPS (465/587). A volte i bot hanno una copia di un database email / password compromesso e, dato che molti hanno la stessa password per il proprio account di posta elettronica come per molti account di forum / sito, possono facilmente scoprire quale server di posta è per quel provider (in allo stesso modo in cui i telefoni cellulari possono riempire automaticamente i campi del server quando hai inserito la tua email, ci sono elenchi su Internet quali server dovrebbero essere usati per uno specifico indirizzo e-mail), e poi basta provare la password dal database compromesso.

Dopo averlo fatto, molti server raramente impongono che MAIL FROM corrisponda all'account utente. Alcuni server lo fanno, compresi i maggiori provider di posta elettronica, ma molti più piccoli non lo fanno perché si fidano dei loro utenti. Ciò fa sì che gli spambot possano sfruttare lo spam utilizzando account compromessi, per esempio "relay open hidden".

Ci sono 2 soluzioni che puoi fare come ISP per sfruttare il problema:

Soluzione 1:

Se si esegue una rete e si desidera risolvere questo problema, è possibile bloccare facilmente il traffico in uscita per 25, 465 e 587 e imporre l'utilizzo del proprio servizio di posta. Per evitare il problema che gli utenti possono recuperare la posta ma non inviare e confondersi, è anche possibile bloccare 110, 143, 993 e 995, che impedisce anche di prelevare la posta da fornitori esterni. Ma questo non è obbligatorio per risolvere il problema dello spam.

Quindi chiedi all'utente di utilizzare il tuo servizio di posta. Ciò offre anche una grande opportunità per addebitare una piccola tariffa mensile per il servizio di posta. (Ma non troppo alto in modo che gli utenti ricorrano a servizi VPN anonimi e bypass, assicurati che sia più economico usare il tuo servizio di posta che bypassare la restrizione)

Soluzione 2:

Un'altra cosa, che è comune tra gli ISP più piccoli, è di imporre il loro server come proxy.

Funziona, che se ho un account Gmail con i seguenti dettagli:

User = [email protected] Pass = Somepass

E avere un account ISP di:

User = isp856385 Pass = jdshgk

Dovrò impostare quanto segue nel mio software di posta:

Server: submission.myisp.com
Username: isp856385:[email protected]:smtp.gmail.com
Password: jdshgk:Somepass:587

Fornire una documentazione chiara su questo. La migliore idea è quella di fornire un documento passo-passo facile quando si effettua la registrazione per l'account ISP, come deve essere configurata la posta elettronica. Puoi anche avere un wizard di configurazione sul tuo sito, in cui l'utente può accedere con il proprio account ISP e compilare il proprio account di provider esterno, quindi dirà loro come devono configurare il proprio account all'interno del software di posta.

Quindi puoi applicare le normali regole di limitazione della velocità e del filtro antispam anche a provider esterni. Lo stesso non è necessario per IMAP / POP3, perché qui l'utente ha la possibilità di utilizzare i servizi esterni senza problemi.

Si noti che se si utilizza in questo modo, evitare di limitare il server di invio per essere raggiungibile dall'esterno. Una buona idea è quella di limitare il primo accesso mai effettuato all'interno della rete (per evitare che il server venga utilizzato come piattaforma di attacco per gli account ISP inattivi compromessi per inviare posta), ma una volta che l'account è "attivato", consentire da qualsiasi indirizzo IP , forse con restrizioni del paese per consentire solo dal paese locale.

La ragione di ciò è che le persone normalmente si spostano dalla rete WiFi alla rete mobile con i loro telefoni cellulari e non sempre utilizzano lo stesso operatore su dispositivi mobili e wifi, così da evitare problemi quando non sono sulla rete, consentire il " Proxy SMTP "da utilizzare anche dall'esterno. (a condizione che abbiano un account ISP "attivato")

    
risposta data 19.05.2016 - 23:57
fonte

Leggi altre domande sui tag