SMTP & SPAM

Da diversi mesi proliferano quelle che credo siano botnet che inviano SPAM tramite SMTP relay autenticati. Forse un po' ovvie le conclusioni, ecco una piccola digressione sull'argomento.

Questo è un comportamento che ho riscontrato già da qualche mese. Su diversi sistemi di posta elettronica che prevedono un SMTP autenticato ho avuto occasione di riscontrare che improvvisamente si riempiono le code di messaggi di posta provenienti da un account legittimo. La cosa interessante è che analizzando i log (principalmente basati su Postfix) ho modo di riscontrare che non ci siano attacchi brute-force su quelle utenze, il che mi lascia pensare che in verità si tratti di un fenomeno esterno che, purtroppo, non sono ancora riuscito a circoscrivere. Considerando il caso recente (di due settimane fa rispetto alla data di pubblicazione) di una password a 12 caratteri, per eludere i sistemi IPS e non saltare all'occhio nei log di 6 mesi dubito fortemente che si possa essere trattato di un "password guess" (considerando che la password era generata con le 4 tipologie di caratteri).

Il risultato è che sul MTA la coda di messaggi aumenti a dismisura in brevissimo tempo (giusto questa settimana, 5999 messaggi in meno di 50 minuti). A medio e lungo termine è facile subire disagi anche gravi, come quello di finire in una o più blacklist di posta elettronica. Questo tipo di conseguenze possono trascinarsi anche per settimane, rendendo difficile, se non impossibile in alcuni casi, l'invio di posta elettronica a destinazione.

Il fenomeno è improvviso e distribuito. Da analisi dei log effettuate successivamente al momento dell'attacco gli IP di origine di queste chiamate vanno da 2 a 15 IP differenti (nel mio caso), il che mi ha fatto concludere che si possa trattare di una (in realtà non una) botnet che viene utilizzata per sferrare questo tipo di traffico nonappena si sia recuperata la password. Contrariamente alla morfologia di SPAM che veniva tentato in passato, qui mi ritrovo a riscontrare quasi sempre messaggi di posta indirizzati a singoli individui (un destinatario per messaggio) anzichè messaggi con 20-30 destinatari alla volta.

Monitorare l'effetto è relativamente semplice. Solitamente il fenomeno comporta un picco delle connessioni sul gateway perimetrale, sia per le connessioni SMTP simultanee che vengono stabilite verso il mondo nel tentativo di consegnare i messaggi, sia per l'intensivo (e sicuramente più pesante) carico di traffico DNS che viene fatto dai resolver per consentire la consegna dei messaggi. Mantenere sott'occhio la lunghezza della coda dei messaggi e il numero delle connessioni medie sul gateway perimetrale rappresenta sicuramente un elemento di riscontro.

Prevenire questo tipo di problemi è un'altra storia. In ambito aziendale è possibile adottare dei filtri sulla posta in uscita affinchè non venga spedito dall'interno dell'Azienda traffico illecito. Quindi l'Azienda che come posta ha il dominio "@en3pylabs.com", perchè dovrebbe mandare messaggi da indirizzi di origine (campo From:) intestati a "yahoo.ph"? Per questa ragione adottare un filtro di posta in uscita come quello disponibile nei XTM Proxy SMTP che verificano il campo "From:" è in realtà un modo per limitare i possibili disagi derivanti da uso illecito del server di posta in uscita.

Una seconda contromisura potrebbe essere quella di ridurre il numero di messaggi di posta elettronica che può essere inviata per singolo utente. Questo potrebbe essere da un lato utile per limitare il traffico in caso di problemi (sebbene non escluda la possibilità di finire in una blacklist) tuttavia potrebbe non essere una soluzione applicabile in organizzazioni di maggiori dimensioni o che fanno della posta elettronica un uso particolarmente intensivo.