Обратное рассеяние (электронная почта)

Обратное рассеивание (также известное как рассеяние , неправильно направленные возвраты , обратный ответ или сопутствующий спам ) — это неправильно автоматизированные сообщения о возврате, отправляемые почтовыми серверами, как правило, как побочный эффект входящего спама .

Получатели таких сообщений видят в них форму нежелательной массовой рассылки или спама, поскольку они не были запрошены получателями. Они в значительной степени похожи друг на друга и доставляются в больших количествах. Системы, которые генерируют email backscatter, могут быть включены в различные черные списки электронной почты и могут нарушать условия обслуживания интернет- провайдеров .

Backscatter происходит из-за того, что черви и спам-сообщения часто подделывают адреса отправителей . ^[1] Вместо того, чтобы просто отклонить спам-сообщение, неправильно настроенный почтовый сервер отправляет сообщение о недоставке на такой поддельный адрес. Обычно это происходит, когда почтовый сервер настроен на передачу сообщения на этап обработки после очереди, например, антивирусное сканирование или проверку на спам, которая затем дает сбой, и на момент выполнения антивирусного сканирования или проверки на спам клиент уже отключился. В таких случаях обычно невозможно отклонить транзакцию SMTP , поскольку клиент истечет время ожидания, ожидая завершения антивирусного сканирования или проверки на спам. Лучшее, что можно сделать в этом случае, — молча отбросить сообщение, а не рисковать созданием backscatter.

Меры по уменьшению этой проблемы включают в себя исключение необходимости в сообщении о недоставке путем выполнения большинства отклонений на начальном этапе SMTP- подключения; а в других случаях отправку сообщений о недоставке только на адреса, которые можно надежно считать неподдельными, и в этих случаях отправитель не может быть проверен, таким образом игнорируя сообщение (т. е. отбрасывая его).

Причина

Авторы спама и вирусов хотят, чтобы их сообщения выглядели как отправленные из законного источника, чтобы обмануть получателей и заставить их открыть сообщение, поэтому они часто используют программное обеспечение для сканирования веб-страниц , чтобы сканировать сообщения Usenet , доски объявлений и веб-страницы на предмет законных адресов электронной почты.

Из-за конструкции почты SMTP , почтовые серверы получателей, получающие эти поддельные сообщения, не имеют простого или стандартного способа определить подлинность отправителя. Если они принимают электронное письмо на этапах подключения, а затем, после дополнительной проверки, отклоняют его (например, программное обеспечение определяет, что сообщение, скорее всего, является спамом), они будут использовать адрес (потенциально поддельного) отправителя, чтобы попытаться добросовестно сообщить о проблеме предполагаемому отправителю.

Почтовые серверы могут обрабатывать недоставленные сообщения четырьмя принципиально разными способами:

• Отклонить . Принимающий сервер может отклонить входящее письмо на этапе подключения , пока отправляющий сервер все еще подключен . Если сообщение отклоняется во время подключения с кодом ошибки 5xx, то отправляющий сервер может сообщить о проблеме настоящему отправителю.
• Drop . Принимающий сервер может изначально принять полное сообщение, но затем определить, что это спам или вирус, а затем автоматически удалить его, иногда переписывая конечного получателя на "/dev/null" или что-то подобное. Такое поведение может использоваться, когда "рейтинг спама" письма очень высок или письмо содержит вирус. RFC  5321 гласит: "тихое отбрасывание сообщений следует рассматривать только в тех случаях, когда есть очень высокая уверенность в том, что сообщения являются серьезно мошенническими или иным образом ненадлежащими".
• Карантин . Принимающий сервер может изначально принять полное сообщение, но затем определить, что это спам, и поместить его в карантин — доставив в папки «Спам» или «Нежелательная почта», откуда оно в конечном итоге будет автоматически удалено. Это обычное поведение.
• Bounce . Принимающий сервер может изначально принять полное сообщение, но затем определить, что это спам или сообщение несуществующему получателю, и сгенерировать сообщение о недоставке предполагаемому отправителю, указывающее на то, что доставка сообщения не удалась.

Обратное рассеивание происходит, когда используется метод «возврата», а информация об отправителе во входящем письме принадлежит несвязанной третьей стороне.

Уменьшение проблемы

Каждый шаг по борьбе с червями и спам-сообщениями помогает уменьшить обратное рассеивание, но другие распространенные подходы, такие как описанные в этом разделе, также уменьшают эту проблему.

Отклонение на этапе соединения

Во время первоначального SMTP- подключения почтовые серверы могут выполнять ряд проверок и часто отклонять электронную почту с кодом ошибки 5xx, пока отправляющий сервер все еще подключен . Отклонение сообщения на этапе подключения таким образом обычно приводит к тому, что отправляющий MTA генерирует локальное сообщение о недоставке или уведомление о неполучении (NDN) локальному, аутентифицированному пользователю. ^[2]

Причины отклонения включают в себя:

• Не удалось проверить получателя ^{[3] [4] [5]}
• Неудачные проверки на подделку, такие как SPF , DKIM или Sender ID
• Серверы, не имеющие подтвержденной обратной записи DNS
• Отправители в списках блокировки ^[6]
• Временное отклонение с помощью методов серого списка

Агенты пересылки почты (MTA), которые пересылают почту, могут избежать генерации обратного рассеивания, используя прозрачный SMTP-прокси .

Проверка получателей недоставленных писем

Почтовые серверы, отправляющие сообщения о недоставке электронной почты, могут использовать ряд мер, чтобы определить, был ли обратный адрес подделан.

Фильтрация обратного рассеяния

Хотя предотвращение обратного рассеивания писем желательно, его влияние можно уменьшить, отфильтровав его, и многие системы фильтрации спама теперь включают возможность попытаться обнаружить и отклонить ^[7] обратно рассеиваемые письма как спам.

Кроме того, системы, использующие такие схемы, как проверка тега адреса возврата, «помечают» исходящие сообщения электронной почты таким образом, что это позволяет им надежно обнаруживать входящие поддельные сообщения о возврате .

Смотрите также

• Джо работа

Ссылки

1. "Труды третьей международной конференции по безопасности и конфиденциальности в сетях связи". 2007 Третья международная конференция по безопасности и конфиденциальности в сетях связи и семинары - SecureComm 2007 . IEEE. 2007. стр. i. doi :10.1109/seccom.2007.4550292. ISBN 978-1-4244-0974-7.
2. В качестве альтернативы, если MTA ретранслирует сообщение, он должен отправить такой NDN только вероятному отправителю Klensin, J (апрель 2001 г.), Simple Mail Transfer Protocol, IETF , стр. 25, doi : 10.17487/RFC2821 , RFC 2821, как указано в обратном путинапример, если пройдена проверка SPF .
3. Скрытая сила фильтрации отправителя и получателя, MS Exchange.org.
4. «Настройка фильтрации получателей», Technet, Microsoft
5. "Проверка адреса получателя", Readme для проверки адреса , Postfix.org.
6. Марсоно, МН (2007), «Отклонение спама во время сеансов SMTP», Труды «Связь, компьютеры и обработка сигналов» , Тихоокеанский регион: IEEE, стр. 236–39.
7. ""Virus Bounce Ruleset" - это набор правил SpamAssassin для обнаружения обратного рассеивания"

Внешние ссылки

• Mail DDoS Attacks through Non Delivery Messages (PDF) , Techzoom, 2004, архивировано из оригинала (бумага) 2013-01-16 , извлечено 2008-04-11.
• «Backscatter», Postfix (readme).
• "Backscatter", SpamLinks, архивировано из оригинала 2008-04-05{{citation}}: CS1 maint: unfit URL (link).
• RFC  3834: Рекомендации по автоматическим ответам на электронную почту.
• «Автоответчики Moronic Mail», FAQ из ада, FI: Iki.
• «Почему автоответчики плохи?», FAQ, SpamCop.
• Не отклоняйте спам: почему не следует отклонять спам.
• 100 возвратов писем? Вас разбросало, PC World.