Обратное рассеяние (электронная почта)

Backscatter (также известный как outscatter , ошибочно направленные возвраты , возвратный спам или побочный спам ) — это неправильно автоматические возвратные сообщения, отправляемые почтовыми серверами, обычно как побочный эффект входящего спама .

Получатели таких сообщений рассматривают их как форму нежелательной массовой рассылки электронной почты или спама, поскольку они не были запрошены получателями. Они по существу похожи друг на друга и поставляются в больших количествах. Системы, генерирующие обратную рассылку электронной почты, могут быть внесены в различные черные списки электронной почты и могут нарушать интернет- провайдеров Условия обслуживания .

Обратное распространение происходит потому, что черви и спам-сообщения часто подделывают адреса отправителей . ^[1] Вместо того, чтобы просто отклонить спам-сообщение, неправильно настроенный почтовый сервер отправляет сообщение о возврате на такой поддельный адрес. Обычно это происходит, когда почтовый сервер настроен на ретрансляцию сообщения на этап обработки после очереди, например, антивирусное сканирование или проверка на спам, которая затем завершается неудачей, и во время выполнения антивирусного сканирования или проверки на спам клиент уже отключился. В таких случаях обычно невозможно отклонить транзакцию SMTP , поскольку время ожидания клиента истекает во время ожидания завершения антивирусного сканирования или проверки на спам. Лучшее, что можно сделать в этом случае, — это молча отбросить сообщение, а не рисковать вызвать обратное рассеяние.

Меры по уменьшению проблемы включают устранение необходимости в возвратном сообщении за счет выполнения большинства отклонений на начальном этапе SMTP- соединения; а в других случаях отправка возвратных сообщений только на адреса, которые можно с уверенностью определить как не поддельные, и в этих случаях отправитель не может быть проверен, таким образом, сообщение игнорируется (т. е. оно удаляется).

Причина

Авторы спама и вирусов хотят, чтобы их сообщения исходили из законного источника, чтобы заставить получателей открыть сообщение, поэтому они часто используют программное обеспечение для веб-сканирования для сканирования сообщений в сети Usenet , досок объявлений и веб-страниц на предмет законных адресов электронной почты.

Из-за особенностей SMTP- почты почтовые серверы получателей, получающие эти поддельные сообщения, не имеют простого или стандартного способа определить подлинность отправителя. Если они примут электронное письмо на этапе подключения, а затем, после дальнейшей проверки, откажутся от него (например, программное обеспечение определит, что сообщение, вероятно, является спамом), они будут использовать (потенциально поддельный) адрес отправителя, чтобы попытаться добросовестно сообщить о проблема для очевидного отправителя.

Почтовые серверы могут обрабатывать недоставленные сообщения четырьмя принципиально разными способами:

Отклонять . Сервер-получатель может отклонить входящее электронное письмо на этапе подключения, пока сервер-отправитель все еще подключен . Если сообщение отклонено во время соединения с кодом ошибки 5xx, то отправляющий сервер может четко сообщить о проблеме реальному отправителю.
Уронить . Принимающий сервер может первоначально принять полное сообщение, но затем определить, что это спам или вирус, а затем автоматически удалить его, иногда переписывая конечного получателя на «/dev/null» или аналогичный. Такое поведение можно использовать, когда «оценка спама» электронного письма очень высока или если письмо содержит вирус. В RFC 5321 говорится: «Тихое удаление сообщений следует рассматривать только в тех случаях, когда существует очень высокая уверенность в том, что сообщения являются серьезно мошенническими или иным образом неуместными».
Карантин . Сервер-получатель может первоначально принять сообщение целиком, но затем определить, что оно является спамом, и поместить его в карантин — доставив в папки «Нежелательная почта» или «Спам», откуда оно в конечном итоге будет автоматически удалено. Это обычное поведение.
Подпрыгивать . Принимающий сервер может первоначально принять полное сообщение, но затем определить, что оно является спамом или адресовано несуществующему получателю, и сгенерировать ответное сообщение обратно предполагаемому отправителю, указывая, что доставка сообщения не удалась.

Обратное рассеяние происходит, когда используется метод «отказов», а информация об отправителе во входящем электронном письме принадлежала несвязанной третьей стороне.

Уменьшение проблемы

Каждый шаг по борьбе с червями и спам-сообщениями помогает уменьшить обратное рассеяние, но другие распространенные подходы, например, описанные в этом разделе, также уменьшают ту же проблему.

Отказ на этапе подключения

Во время первоначального SMTP- соединения почтовые серверы могут выполнять ряд проверок и часто отклонять электронную почту с кодом ошибки 5xx, пока сервер-отправитель все еще подключен . Отклонение сообщения на этапе соединения таким способом обычно приводит к тому, что отправляющий MTA генерирует локальное сообщение о возврате или уведомление о недоставке (NDN) локальному, аутентифицированному пользователю. ^[2]

К причинам отказа относятся:

Не удалось подтвердить получателя ^[3]^[4]^[5]
Неудачные проверки на подделку, такие как SPF , DKIM или Sender ID.
Серверы, у которых нет обратной записи DNS с прямым подтверждением.
Отправители в списках блокировки ^[6]
Временное отклонение с помощью серого списка методов

Агенты передачи почты (MTA), пересылающие почту, могут избежать обратного рассеяния за счет использования прозрачного прокси-сервера SMTP .

Проверка получателей отказов

Почтовые серверы, отправляющие сообщения о недоставке электронной почты, могут использовать ряд мер, чтобы определить, был ли обратный адрес подделан.

Фильтрация обратного рассеяния

Хотя предотвращение обратного рассеяния желательно, его влияние также можно уменьшить путем его фильтрации, и многие системы фильтрации спама теперь включают возможность попытаться обнаружить и отклонить спам. ^[7] рассылать электронную почту как спам.

Кроме того, системы, использующие такие схемы, как проверка тегов адреса возврата, «маркируют» свои исходящие электронные письма таким образом, чтобы они могли надежно обнаруживать входящие фиктивные сообщения о недоставке .

См. также

Джо работа

Ссылки

^ «Материалы третьей международной конференции по безопасности и конфиденциальности в сетях связи» . 2007 Третья Международная конференция по безопасности и конфиденциальности в сетях связи и семинары - SecureComm 2007 . IEEE. 2007. стр. я. дои : 10.1109/seccom.2007.4550292 . ISBN 978-1-4244-0974-7 .
^ В качестве альтернативы, если MTA ретранслирует сообщение, он должен отправлять такой NDN только вероятному отправителю. Кленсин, Дж. (апрель 2001 г.), Простой протокол передачи почты , IETF , стр. 25, doi : 10.17487/RFC2821 , RFC 2821 , как указано в обратном пути , например, при SPF . прохождении проверки
^ Скрытая сила фильтрации отправителей и получателей , MS Exchange.org .
^ «Настройка фильтрации получателей», Technet , Microsoft.
^ «Подтверждение адреса получателя» , ознакомительная информация по проверке адреса , Postfix.org .
^ Марсоно, Миннесота (2007 г.), «Отказ от спама во время сеансов SMTP», Proc. Коммуникации, компьютеры и обработка сигналов , Тихоокеанский регион: IEEE, стр. 236–39 .
^ «Набор правил отскока вирусов» — это набор правил SpamAssassin для обнаружения обратного рассеяния »

Внешние ссылки

Почтовые DDoS-атаки посредством сообщений о недоставке (PDF) , Techzoom, 2004 г., заархивировано из оригинала (бумажного документа) 16 января 2013 г. , получено 11 апреля 2008 г.
«Backscatter», Постфикс (readme) .
«Backscatter», SpamLinks , заархивировано из оригинала 5 апреля 2008 г.
RFC 3834 : Рекомендации по автоматическим ответам на электронную почту.
«Дебильные почтовые автоответчики», Адский FAQ , FI: Iki .
«Чем плохи автоответчики?», FAQ , SpamCop .
Не возвращайте спам : почему не следует возвращать спам.
100 отказов по электронной почте? Вы были рассеяны , мир ПК .

[1] «Материалы третьей международной конференции по безопасности и конфиденциальности в сетях связи» . 2007 Третья Международная конференция по безопасности и конфиденциальности в сетях связи и семинары - SecureComm 2007 . IEEE. 2007. стр. я. дои : 10.1109/seccom.2007.4550292 . ISBN 978-1-4244-0974-7 .

[2] В качестве альтернативы, если MTA ретранслирует сообщение, он должен отправлять такой NDN только вероятному отправителю. Кленсин, Дж. (апрель 2001 г.), Простой протокол передачи почты , IETF , стр. 25, doi : 10.17487/RFC2821 , RFC 2821 , как указано в обратном пути , например, при SPF . прохождении проверки

[3] Скрытая сила фильтрации отправителей и получателей , MS Exchange.org .

[4] «Настройка фильтрации получателей», Technet , Microsoft.

[5] «Подтверждение адреса получателя» , ознакомительная информация по проверке адреса , Postfix.org .

[6] Марсоно, Миннесота (2007 г.), «Отказ от спама во время сеансов SMTP», Proc. Коммуникации, компьютеры и обработка сигналов , Тихоокеанский регион: IEEE, стр. 236–39 .

[7] «Набор правил отскока вирусов» — это набор правил SpamAssassin для обнаружения обратного рассеяния »

[1]

[2]

[3]

[4]

[5]

[6]

[7]