20.06 2006
Autorespondery są złe!
Kategorie: Komentarze | 16.37:17 |
W ostatnim czasie miałem okazję przekonać się, jak rozległy jest problem tak zwanego backscatteru, czyli automatycznego wysyłania odpowiedzi na domniemany adres nadawcy przez serwer lub program pocztowy. Przekonałem się po tym, jak osoba wynajęta przez ICIC zaczęła w odwecie za mój wpis nt. tej ukraińskiej firmy masowo wysyłać różne reklamy w językach rosyjskim i ukraińskim, podając mój adres e-mailowy jako adres nadawcy. Liczba zwrotów, jakie docierały na mój serwer, okresowo przekraczała kilka tysięcy na minutę (!). Łącznie, gdyby nie skuteczne filtry, orzymałbym najprawdopodobniej kilkaset tysięcy listów zwrotnych na e-maile, których nigdy nie wysłałem. A to wszystko przez producentów oprogramowania, administratorów i... nieświadomych użytkowników.
Wbrew pozorom, to co określa się terminem backscatter to nie tylko zwroty niedostarczonej poczty (czyli dobrze większości z nas znane wiadomości od MAILER-DAEMON-a). Dlatego też należałoby stworzyć jakiś polski termin opisujący całe to zjawisko. Pozwolę sobie więc nazwać je spamem zwrotnym, ponieważ jest równie niepożądane i szkodliwe, jak sam spam. Pokuszę się nawet o stwierdzenie, że o wiele bardziej szkodliwe od samego spamu.
Spam zwrotny to:
Tomasz Andrzej Nidecki, 20.06 2006
Wbrew pozorom, to co określa się terminem backscatter to nie tylko zwroty niedostarczonej poczty (czyli dobrze większości z nas znane wiadomości od MAILER-DAEMON-a). Dlatego też należałoby stworzyć jakiś polski termin opisujący całe to zjawisko. Pozwolę sobie więc nazwać je spamem zwrotnym, ponieważ jest równie niepożądane i szkodliwe, jak sam spam. Pokuszę się nawet o stwierdzenie, że o wiele bardziej szkodliwe od samego spamu.
Spam zwrotny to:
- Zwroty niedostarczonej poczty. Wynikają one ze złej konfiguracji lub konstrukcji serwera pocztowego. Serwer powinien odpowiadać, iż adres e-mail nie istnieje, jeszcze zanim przyjmie list, a nie wysyłać taką informację dopiero po przyjęciu tego listu na domniemany (sfałszowany) adres nadawcy. W przeszłości przeprowadziłem test polskich serwerów pocztowych na okoliczność takiego nieprawidłowego działania. W tamtym wpisie problem jest opisany nieco szerzej, jednak dopiero ostatnie wydarzenia związane z ICIC uświadomiły mi jego powagę.
- Zwroty od systemów antyspamowych, informujące iż wiadomość nie została dostarczona, ponieważ oceniono ją jako spam. Miałbym ochotę urwać pewną część ciała „specjalistom”, którzy napisali systemy antyspamowe z tak zaimplementowaną funkcją. Gdyby system zwracał odpowiedź na etapie połączenia (kopertowym), miałoby to sens (np. by poinformować nadawcę o błędnym zaklasyfikowaniu). Ale wysyłanie zwrotek na domniemany adres nadawcy to spamowanie samo w sobie. Co gorsza, podobne odpowiedzi wysyłają przede wszystkim systemy tak renomowanych firm jak np. Symantec, czyli „specjalistów od bezpieczeństwa sieciowego”. Przepraszam bardzo, ale po otrzymaniu ostatnio kilku tysięcy listów ze spamem zwrotnym z produktów tej firmy, żadnego ich systemu bym nie kupił ani nikomu nie polecił.
- Prośby o potwierdzenie nadania listów z systemów wyzwanie odpowiedź (challenge-response). Wcześniej pisałem już, że właśnie z powodu niebezpieczeństwa wysyłania takiego spamu zwrotnego zrezygnowałem ze stosowania systemu TMDA. Teraz, na własnej skórze widzę, że była to dobra decyzja, albowiem mogłem przyczynić się do bombardowania niewinnych osób. Niestety, muszę więc poradzić wszystkim którzy używają tej metody ochronnej, by jak najszybciej z niej zrezygnowali, jeśli nie chcą by ich adres wylądował na różnorakich czarnych listach.
- Wszelakiej maści autorespondery. Informacje typu:
- „Nie ma mnie w biurze od ... do ...”,
- „Ten adres jest już nieaktualny, bo dostawałem za dużo spamu, piszcie na inny...”,
- „To jest potwierdzenie otrzymania Twojej wiadomości...”,
- „Przyjęliśmy Państwa zgłoszenie. Bla bla bla, prosimy o kontakt tu i tam itp.”.
- Newslettery, które nie używają subskrypcji double opt-in, czyli do listy dystrybucyjnej dopisywany jest każdy, kto wyśle list pod dany adres (a adres nadawcy może być oczywiście sfałszowany). Zgłosiłem jeden z takich newsletterów do SpamCopa, po czym od administratorów otrzymałem informacje, że oni nie spamują. Wyjaśniłem im, co oznacza double opt-in. Od tego czasu się nie odezwali.
- Automatyczne odpowiedzi od systemów list dyskusyjnych, informujące że mój e-mail nie został wysłany na listę. Choć takie informacje mogą przydawać się przy zapisywaniu na różnorakie listy, to również stanowią spam zwrotny. Jeśli system list dyskusyjnych nie przyjmuje e-maili od danego nadawcy na daną listę, powinien informować o tym albo na etapie kopertowym, albo po prostu list odrzucać bez informacji dla domniemanego nadawcy.
- Prośby o potwierdzenie z różnych systemów korzystających z double opt-in. One stanowią największy problem, ponieważ z jednej strony są konieczne do zweryfikowania, czy nadawca naprawdę chce zapisać się na jakąś listę dyskusyjną lub dystrybucyjną, z drugiej zaś strony trudno je zrealizować na etapie kopertowym. Wynika to z faktu, że gdyby działały na etapie kopertowym, nadawca otrzymałby od swojego MAILER-DAEMON-a informacje o niedostarczeniu poczty, w której mógłby (ale nie musiałby) znaleźć się komunikat serwera listy (a który byłby jedynym miejscem, w jakim mógłby być zawarty np. link aktywacyjny). Informacja taka mogłaby być zaś nieczytelna (odbiorca mógłby myśleć, że list został po prostu odrzucony na dobre). Dlatego też tego typu spam zwrotny zwalczać jest trudno, a przez działania spamerów cała koncepcja list dyskusyjnych powoli rozsypuje się w drobny mak. Tak jak musieliśmy się przyzwyczaić do tego, że listów nie można wysyłać przez dowolny serwer, tak będziemy musieli przyzwyczaić się, że na listy dyskusyjne można będzie zapisać się tylko np. z poziomu stron WWW.
Tomasz Andrzej Nidecki, 20.06 2006
20.06 2006 o 23.15:26
Nie do konca sie zgadzam, cholera bierze gdy jakis system nie dostarczy Ci poczty bo ja akurat za spam uznal a Ty nic o tym nie wiesz. Mam tego typu problemy na prawde bardzo czesto i sugeruje karac za nie wysylanie informacji o odrzuceniu poczty z powodu uznania jej za spam. Aby takie odsylanie nie powodowalo problemu backscatteru sugeruje weryfikowac zagodnosc IP nadawcy listu z IP domeny adresu zwrotnego dla polaczen docelowych (pomijajac RELAY, ktory i tak powinien byc autoryzowany)
20.06 2006 o 23.26:01
@marcinbo: Odrzucać można na etapie kopertowym, wtedy otrzymasz informacje od swojego mailer-daemona z powodem odrzucenia np. "554 This message has been classified as spam.". To jednak wymaga, by analiza treści była robiona już na etapie kopertowym. Nie każdy system to potrafi.
Twoja propozycja zaś spowoduje, że większość połączeń będzie odrzucanych. Wiele większych serwerów [np. w portalach] ma serwer wysyłający i serwer odbierający na różnych IP.
Podtrzymuje więc swoje zdanie, że pod żadnym pozorem informacje takie nie powinny być wysyłane na adres zwrotny.
20.06 2006 o 23.29:04
@marcinbo: AD poprzedniego, najprostszy przykład, czemu Twoja metoda zupełnie by się nie sprawdziła:
WP:
Listy przychodzą z smtp.wp.pl: 212.77.101.1
Listy z innych serwerów są odbierane przez mx.wp.pl: 212.77.101.4
IN A dla domeny wp.pl to: 212.77.100.101
Podobnie pozbyłbyś się możliwości odsyłania pewnie dla o2, onetu, yahoo, hotmaila i generalnie wszystkich większych sajtów.
21.06 2006 o 00.17:58
Popieram postulat, że informacji o zablokowanym spamie nie powinno się odsyłać. Przekonałem się o tym, jak na jednym z moich serwerów zapchał się spool pocztowy, gdy Postfix nie mógł wysłać zwrotów na domeny, które nie funkcjonowały ;) Takiej masy zbędnej poczty jeszcze na oczy nie widziałem... nie chciałbym tego dostać na jedną skrzynkę :)
21.06 2006 o 08.16:18
Apropos oprogramowania, które skanuje pocztę jeszcze w trakcie sesji SMTP.
Polecam Exima, który współpracuje ze Spamassassinem bezpośrednio lub jeszcze lepiej za pośrednictwem wtyczki SA-Exim oraz z całą gamą antywirusów. Antywirusów można zdefiniować kilka jednocześnie, aby zagęścić sito. Exim nie generuje zwrotek od Spamassassina i antywirusów, tylko odpowiada nadawcy komunikatem "550 - jakiś_tekst". Czyli sprawa jest załatwiana w cztery oczy pomiędzy Eximem a wysyłającym pocztę/SPAM programem. Żadni adresaci/nadawcy nie są niepokojeni informacjami o wirusach i SPAMie w przypadku odrzucenia przesyłki.
Trzeba to zobaczyć w akcji, żeby pokochać ;-)
Pozdr.
21.06 2006 o 10.09:01
@Kriz: Polecam przeczytać http://spam.jogger.pl/2006/04/06/spam-spamowi-nierowny/.
21.06 2006 o 10.38:43
Ja mam Postfiksa z amavisd-new jako proxy. Jeśli wie ktoś, jak przesłać do niego maila do sprawdzenia i poczekać na wynik zanim się potwierdzi oryginalnemu nadawcy to dajcie znać.
21.06 2006 o 13.25:51
"nie ma mnie w pracy"
Nie zgodzę się z szanownym autorem, żę należy wyciąć w pień wszystkie autorespondery typu vacation(1). Przyznaję, że mogą one stanowić zagrożenie ale jest ono realne tylko w sytuacji gdy brak w systemie pocztowym jakichkolwiek innych zabezpieczeń typu SpamAssasin i/lub RBL. Jeżeli takie autorespondery są stosowane tylko okresowo, na czas urlopu lub choroby, to prawdopodobieństwo notorycznego ich wykorzystywania przez spamerów jest znikome za to bardzo ułatwiają współpracę pomiędzy firmami. Alternatywą jest bowiem stworzenie adresów funkcjonalnych (list dystrybucyjnych) dla pracowników i rozsyłanie każdego listu przychodzącego do danego działu do kilku pracowników. Spam w czystej formie.
Zgadzam się, że odsyłanie informacji typu: "to konto nie istnieje" albo "Już tu nie pracuję napisz do ..." jest bez sensu i powinno być obsługiwane na etapie kopertowym.
Najważniejsze jednak by zapewnić użytkownikom maksimum wygody. To jest zadanie administratora. Przejżeć, może być automatycznie, codziennie logi serwera pocztowego i reagować na bieżąco np. usuwając fałszywe zwrotki z kolejki serwera.
21.06 2006 o 13.27:18
@Steelman: alternatywą jest na czas wyjazdu pracownika X wysyłanie na serwerze kopii listów do pracownika Y, który go zastępuje i który może ew. odpowiedzieć, iż pracownika X chwilowo nie ma.
21.06 2006 o 15.55:51
@Tonid: zgodzę się z pierwszą połową zdania, chociaż nie do końca. Uważam bowiem, że nadawca może sobie nie życzyć (ja wiem jest pgp, ale to wiem *ja*) by wiadomość dostał ktoś inny. Informacja "jestem na urlopie proszę kontaktować się z Y" wysłana przez autoresponder daje nadawcy wybór, czy wysłać jeszcze raz list tym razem do Y (z kopią do X, bo pierwszy list już tam leży), czy uzbroić się w cierpliwość i zaczekać do powrotu X.
Postulat żeby Y odpowiadał że X nie ma jest nie do zrealizowania w powszechnie dziś wykorzystywanych programach pocztowych których nie da się elegancko oskryptować (nawt w TheBat! byłoby to niebanalne). Zabieranie czasu Y jest niedopuszczalne.
Z ciekawości spytam ile z tego rosyjskojęzycznego spamu zwrotnego to były takie właśnie "urlopowe" autorespondery. Jeżeli mniej niż 5% to IMHO można je z listy zagrożeń śmiało skreślić..
21.06 2006 o 16.01:57
@steelman: E-mail w firmie jest zazwyczaj traktowany jako własność firmy, a nie prywatna. Tak więc uważam, iż argument o prywatności jest tu chybiony. Prywatne sprawy można załatwiać z użyciem prywatnych adresów.
Również uważam, że lepszym wyjściem jest czytanie e-maili jednego pracownika przez kogoś w zastępstwie, niż stosowanie autorespondera. A nuż sprawa jest istotna, z interesem dla odbiorcy a nie nadawcy?
Poza tym, zawsze można w zastępstwie założyć nawet w OE drugiemu pracownikowi chwilowo konto tego pierwszego. Wtedy nie ma problemu z odczytywaniem wiadomości i ew. odpowiadaniem na te bardzo istotne. Nie zajmie to zbyt dużo czasu osobie zastępującej pracownika na urlopie.
Co do zagrożenia, nie jest istotne to, ile przeszło, tylko fakt, że takich autoresponderów nie da się wyeliminować. Ani na etapie kopertowym [mailer-daemony można], ani po słowach kluczowych, ani z użyciem filtrów bayesowskich. Nie da się też oddzielić tych "dobrych" odpowiedzi z autorespondera od tych spowodowanych backscatterem, ponieważ autorespondery zazwyczaj nie załączają oryginalnej wiadomości, tak więc nie można filtrować po treści tejże oryginalnej wiadomości.
Fakt więc jest taki, że podczas gdy reguły które stworzyłem do eliminacji na serwerze pięknie wycinały mi wszelkie odpowiedzi od mailer-daemonów, a także te od systemów antyspamowych [bo oryginalne wiadomości były załączone], to autorespondery przechodziły WSZYSTKIE. Tak więc procent odpowiedzi na backscatter, które faktycznie wylądowały w mojej skrzynce wyglądał tak, iż autorespondery stanowiły ponad 90%.
21.06 2006 o 16.38:29
@tonid: Zgadzam się, że argument o prywatności nie jest za mocny.
To czy się skonfiguruje konto w OE czy prześle kopie do kogoś jest rzeczą wtórną. Sama konieczność czytania większej ilości poczty już jest problemem.
Wydaje mi się, ze część autoresponderów można by wyeliminować po nagłówkach. Na pewno vacation(1) wpisuje się jako MUA do nagłówków.
Najlepszym rozwiązaniem wydaje mi się zapewnienie by do autoresponderów nie trafiał spam. Który mógłby być potem powielony. To jest rola użytkowników i administratorów. Twórcy zaś takich aplikacji powinni wstawiać informacje o automacie do nagłówka (vide vacation(1)).
21.06 2006 o 17.01:08
@steelman: Owszem, konieczność czytania większej ilości poczty jest problemem, ale większym problemem może być, jeśli absolutnie nikt nie będzie jej czytał [a jedyne, co dostanie nadawca, to odpowiedź z autorespondera].
Co do eliminowania autoresponderów, to najlepiej, by nie było trzeba ich eliminować. Z ich powodu bowiem zużywane są zasoby tej osoby, która zostaje "trafiona" backscatterem. Eliminacja jest ostatecznością. Tych odpowiedzi w ogóle nie powinno być!
Nie da się zrobić tak, by do autoresponderów nie trafiał żaden spam, bo nie ma możliwości stuprocentowego stwierdzenia, czy coś jest spamem, czy nie. A w firmach z zasady nie są stosowane mechanizmy drastyczne, ponieważ utracony przez pomyłkę mail w firmie może oznaczać ogromne straty.
22.06 2006 o 19.30:41
Nieco pozno, ale chcialbym sprecyzowac: przez zgodnosc ip nadawcy i adresu domeny rozumiem zgodnosc na poziomie adresu sieci. Oczywiscie zostaje problem jaka jest maska sieci nadawcy, ale maksymalny dopuszczalny rozmiar (roznica w IP) moze pozostac parametrem systemu kontroli. Nie oto mi jednak chodzi.
Tak naprawde tonid nigdy chyba nie miales problemow z powodu waznej poczty ktora probowales wyslac wielokrotnie i ... cisza.
Zaraz uslysze ze oczywiscie zle ustawione systemy antyspamowe sa tu winne, ale zwroc prosze uwage, ze haslo "nie wysylac odpowiedzi na spam" jest chwytliwe i duzo latwiejsze do wdrozenia niz poprawa antyspamu.
Wydaje sie ze trzeba poszukac lepszych rozwiazan niz blokowanie odpowiedzi, gdyz ono takze godzi w zwyklych userow.
23.06 2006 o 13.35:20
Ja u siebie w pracy wyleczylem ludzi z tego wynalazku.
24.06 2006 o 15.09:13
Tak z punktu siedzenie laika chciałbym zauważyć, że fatalne są zwroty z załączoną oryginalną wiadomością. Przytrafiło mi się dostać zwrotem e-mail z załącznikiem, który wysyłałem przez półtorej godziny. A za chwilę toto im wraca, bo kolega, podając adres, przekręcił jedną literkę. Można szału dostać.
Tak z zupełnie innej beczki, trochę OT, ale to chyba najlepsze miejsce, żeby o tym napisać: zauważyłem, że od kilku dni spadła ilość przychodzącego spamu. I to znacznie, bo przynajmniej o połowę… Ciekawe, bo odkąd mam konto e-mail, ilość spamu powoli wzrastała, a kilka miecięcy temu podskoczyła gwałtownie.
Ktoś jeszcze zauważył to zjawisko?
25.06 2006 o 19.56:56
przepraszam za lekki odejscie od tematu,
widac ze komus sie nudzilo i zrobil liste spamerow ;)
http://www.czara.pl/nakarm/
25.06 2006 o 20.02:04
ilosc spamu praktycznie caly czas wzrasta aczkolwiek zdarzaja sie male chwilowe spadki
tak bylo po upadku zabki np
nie martw sie za miesiac bedziesz dostawal pewie 2 razy wiecej :P
co do autoresponderow wydaje mi sie ze najlepiej by bylo jak by wprowadzic np w naglowku czy sie chce dostac ewentualnego autorepondera czy nie
ustawienie tego byloby na tej samej zasadzie co z read receipt
@Jurgi/Tristesse/Atari8.Info
wolalbys sie nie dowiedziec ze ten e-mail nie doszedl?
25.06 2006 o 21.39:47
@lukasz: Nikomu się nie znudziło... http://spam.jogger.pl/2006/05/15/pomozcie-dokarmic-biednego-harvey-a/
26.06 2006 o 16.55:39
ok
moze jak pierwszy raz przeczytalem ten artykul to mialem mieszane uczucia ale po malu sie przkonuje ze masz racje...
wlasnie dostalem wiadomosc:
"Tw
29.06 2006 o 13.41:38
Opisałem zjawisko na http://pl.wikipedia.org/wiki/Backscatter . Ewentualnie proszę o poprawienie/dopisanie. Uwaga, teraz będę spamować :) Przy okazji jesli ktoś zechciałby na licencji GNU FDL coś od siebie napisać na temat spamu i nie tylko, to zapraszam.
29.06 2006 o 13.50:51
Lzur: po pierwsze, kilka literówek w opisie jest. Po drugie, Backscatter to nie jest zjawisko otrzymywania odpowiedzi od nadawcy. To jest określenie tego zjawiska _tylko_, jeśli jest wykorzystane do niecnych celów. Czyli otrzymanie odpowiedzi od mailer-daemona czy autorespondera na list, który wysyłałeś, to nie jest backscatter. Natomiast otrzymanie automatycznej odpowiedzi na list, którego nigdy nie wysyłałeś, to już jest backscatter.
29.06 2006 o 16.50:18
Poprawiłem, Sądzę, że jest lepiej.
18.07 2006 o 21.05:04
Tonid, co z Tobą? :) Bloga prowadź, super jest :)
19.07 2006 o 22.06:37
Witam,
Testował ktoś może oprogramowanie ze stronki spamitback.com?
Może jest to jakaś alternatywa, dopóki nie powstanie Okopipi...
18.09 2006 o 01.00:05
Nikt nie poruszył problemu autoresponderów na prywatnej poczcie. Jeśli ja wyjeżdżam na dwa miesiące do Honolulu, to mojej prywatnej poczty nie dam do przeczytania nikomu innemu, a przecież muszę poinformować piszących do mnie, że mnie nie ma.
30.11 2006 o 12.55:31
Ja dostalem kiedys maila z linkiem falszywej strony PayPal. Oczywiscie prosbe o zalogowanie spelnilem wpisujac jako login i haslo slowa niecenzuralne. Potem zglosilem spam adminom PayPala. Od tamtej pory otrzymuje po 400-500 maili dziennie, bo jakis spamer wpisal mnie w adresie zwrotnym. Teraz juz nawet adres, z ktorego spam jest wysylany jest adresem moim. Jest jakies rozwiazanie tego problemu? Nawet jeslsli autoresponsy nie odpisywaly na adresy zwrotne, to co zrobic, gdy ktos uzywa twojego adresu jako adresu nadawcy...? Adres mam od wielu lat i nie chce sie z nim zegnac, ale powoli ucze znajomych wysylania na gmaila,ech,bezsilnosc jest najbardziej wku....aca
04.04 2007 o 20.14:44
Poprostu uzywajcie SPF i nie bedzie problemu zwrotow z fake'owych maili. Ja obecnie punktuje domeny bez SPF z bomby za 2 punkty (w SA), a adresy niezgodne z SPF odrzucam odrazu na wstepie bez ceregieli.
Jak by ludziska troche dupska ruszyly i SPF pozakladaly na serwach, to by sie troszke uspokoilo. Powstalyby blacklisty domen i wtedy spamerom by bylo naprawde ciezko, bo rejestracja domeny nie jest darmowa, a RBL'e za chwile w bazach by miala taka nowa domene jesli by z niej wysylal spam.
21.08 2007 o 14.19:35
Tonid... chlopie... zajmij sie wreszcie czyms sensownym... twoja nagonka na np. autorespondery nie rozni sie niczym od idiotycznych rozwiazan w stylu: "skoro nagrywarka CDR pozwala nagrac cokolwiek na plycie, a ty masz nagrywarke to napewno jestes PIRATEM". Tonid... idz do sejmu, spotkasz podobnych do siebie :) zgadzam sie ze spam nalezy tepic i ograniczac ale to jest tak samo jak z piractwem. NIE INACZEJ - tak dlugo jak dlugo ludzie beda "klikali" w spam (tak samo jak kupowali pirackie plytki) tak dlugo spam bedzie wysylany bez wzgledu na metody...
22.02 2008 o 17.53:11
Daawny znajomy - znaczy się co spam jest potrzeba rynku?
31.07 2009 o 11.28:38
tego niestety nie unikniesz :(