Perché un indirizzo MAIL FROM vuoto può inviare e-mail?

Stiamo utilizzando il sistema di posta più intelligente. Di recente, abbiamo scoperto che l'hacker aveva violato alcuni account utente e inviato molti spam. Abbiamo un firewall per ratificare il mittente, ma per la seguente e-mail, il firewall non ha potuto farlo a causa dell'indirizzo FROM vuoto. Perché un indirizzo FROM vuoto è considerato OK? In realtà, nel nostro MTA (surgemail), possiamo vedere il mittente nell'intestazione dell'email. Qualche idea?

11:17:06 [xx.xx.xx.xx][15459629] rsp: 220 mail30.server.com
11:17:06 [xx.xx.xx.xx][15459629] connected at 6/16/2010 11:17:06 AM
11:17:06 [xx.xx.xx.xx][15459629] cmd: EHLO ulix.geo.auth.gr
11:17:06 [xx.xx.xx.xx][15459629] rsp: 250-mail30.server.com Hello [xx.xx.xx.xx] 250-SIZE 31457280 250-AUTH LOGIN CRAM-MD5 250 OK
11:17:06 [xx.xx.xx.xx][15459629] cmd: AUTH LOGIN
11:17:06 [xx.xx.xx.xx][15459629] rsp: 334 VXNlcm5hbWU6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 334 UGFzc3dvcmQ6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 235 Authentication successful
11:17:07 [xx.xx.xx.xx][15459629] Authenticated as hackedaccount@domain1.com
11:17:07 [xx.xx.xx.xx][15459629] cmd: MAIL FROM:
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <> Sender ok
11:17:07 [xx.xx.xx.xx][15459629] cmd: RCPT TO:recipient@domain2.com
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <recipient@domain2.com> Recipient ok
11:17:08 [xx.xx.xx.xx][15459629] cmd: DATA

Il vuoto MAIL FROMviene utilizzato per le notifiche sullo stato della consegna. I server di posta sono tenuti a supportarlo ( RFC 1123 sezione 5.2.9 ).

Viene utilizzato principalmente per i messaggi di rimbalzo, per evitare un ciclo infinito. Quando MAIL FROMviene utilizzato con un indirizzo vuoto (rappresentato come <>), il server di ricezione sa di non generare un messaggio di rimbalzo se il messaggio viene inviato a un utente inesistente.

Senza questo, potrebbe essere possibile per qualcuno farti semplicemente falsificando un messaggio a un utente inesistente in un altro dominio, con un indirizzo di ritorno di un utente inesistente nel tuo dominio, risultando in un ciclo infinito di rimbalzare messaggi.

Cosa accadrebbe se blocchi i messaggi con uno spazio vuoto MAIL FROM:?

• I tuoi utenti non riceveranno messaggi di rimbalzo da altri domini: non saprebbero mai se hanno fatto un refuso quando inviano messaggi a un utente in un altro dominio.

I MAIL FROM:messaggi vuoti che stai vedendo probabilmente non provengono da uno spammer.

Invece, uno spammer ha falsificato un indirizzo nel tuo dominio e lo ha utilizzato come indirizzo di ritorno per un messaggio a un altro dominio. Diciamo che lo sei yourdomain.come il mio dominio lo è mydomain.net. Lo spammer invia un messaggio a johnq@mydomain.net, simulando l'indirizzo di ritorno come johnq@yourdomain.com. Poiché non v'è nessun utente johnqnel mio dominio, il mio server di posta invia un messaggio di rimbalzo ( MAIL FROM:<>) al mittente apparente, johnq@yourdomain.com. Questo è quello che probabilmente stai vedendo.

Il blocco dei MAIL FROMmessaggi vuoti farà più male che bene, secondo me. Gli spammer, nella mia esperienza, usano raramente uno spazio vuoto MAIL FROM:poiché possono facilmente falsificare un indirizzo dall'aspetto reale. Quando il messaggio è spam reale, esistono modi molto migliori per rilevarlo e bloccarlo, inclusi RBL, filtri bayesiani e SpamAssassin.

E infine, puoi impedire almeno alcuni dei falsi utilizzando yourdomain.comconfigurando i record SPF appropriati per il tuo dominio.

Aggiornamento: dopo aver esaminato più da vicino il tuo registro, qualcuno è stato in grado di AUTHutilizzare un nome utente e una password validi per il tuo server. Questo lo mette in un'altra categoria di problemi. Tuttavia, tutto ciò che ho detto su è MAIL FROM:ancora valido. Il 99% delle volte sarà il risultato di messaggi di rimbalzo.

È possibile cercare un'opzione per il proprio server di posta per limitare MAIL FROM all'e-mail dell'utente autenticato. Molti sistemi di posta applicano tale limitazione.

E così, forzare gli utenti hackerati a cambiare la password.