Mengapa alamat MAIL FROM kosong dapat mengirim email?

Kami menggunakan sistem Smarter Mail. Baru-baru ini, kami menemukan bahwa peretas telah meretas beberapa akun pengguna dan mengirimkan banyak spam. Kami memiliki firewall untuk mengecek pengirim, tetapi untuk email berikut, firewall tidak dapat melakukan ini karena alamat FROM yang kosong. Mengapa alamat FROM yang kosong dianggap OK? Sebenarnya, di MTA (surgemail) kami, kami dapat melihat pengirim di tajuk email. Ada ide?

11:17:06 [xx.xx.xx.xx][15459629] rsp: 220 mail30.server.com
11:17:06 [xx.xx.xx.xx][15459629] connected at 6/16/2010 11:17:06 AM
11:17:06 [xx.xx.xx.xx][15459629] cmd: EHLO ulix.geo.auth.gr
11:17:06 [xx.xx.xx.xx][15459629] rsp: 250-mail30.server.com Hello [xx.xx.xx.xx] 250-SIZE 31457280 250-AUTH LOGIN CRAM-MD5 250 OK
11:17:06 [xx.xx.xx.xx][15459629] cmd: AUTH LOGIN
11:17:06 [xx.xx.xx.xx][15459629] rsp: 334 VXNlcm5hbWU6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 334 UGFzc3dvcmQ6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 235 Authentication successful
11:17:07 [xx.xx.xx.xx][15459629] Authenticated as hackedaccount@domain1.com
11:17:07 [xx.xx.xx.xx][15459629] cmd: MAIL FROM:
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <> Sender ok
11:17:07 [xx.xx.xx.xx][15459629] cmd: RCPT TO:recipient@domain2.com
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <recipient@domain2.com> Recipient ok
11:17:08 [xx.xx.xx.xx][15459629] cmd: DATA

Kosong MAIL FROMdigunakan untuk pemberitahuan status pengiriman. Mail server yang diperlukan untuk mendukung itu ( RFC 1123 bagian 5.2.9 ).

Ini digunakan terutama untuk pesan pentalan, untuk mencegah perulangan tanpa akhir. Ketika MAIL FROMdigunakan dengan alamat kosong (diwakili sebagai <>), server penerima tahu untuk tidak menghasilkan pesan bouncing jika pesan tersebut dikirim ke pengguna yang tidak ada.

Tanpa ini, ada kemungkinan bagi seseorang untuk melakukan Anda hanya dengan memalsukan pesan ke pengguna yang tidak ada di domain lain, dengan alamat pengirim pengguna yang tidak ada di domain Anda sendiri, menghasilkan loop tak berkesudahan dari pesan bouncing.

Apa yang akan terjadi jika Anda memblokir pesan dengan yang kosong MAIL FROM:?

• Pengguna Anda tidak akan mendapatkan pesan pentalan dari domain lain: mereka tidak akan pernah tahu apakah mereka membuat kesalahan ketik saat mengirim email ke pengguna di domain lain.

MAIL FROM:Pesan kosong yang Anda lihat mungkin bukan berasal dari spammer.

Sebaliknya, seorang spammer memalsukan alamat di domain Anda dan menggunakannya sebagai alamat pengirim pesan ke domain lain. Katakanlah Anda adalah yourdomain.comdan domain saya adalah mydomain.net. Spammer mengirim pesan ke johnq@mydomain.net, memalsukan alamat pengirim sebagai johnq@yourdomain.com. Karena tidak ada pengguna johnqdi domain saya, server email saya mengirim pesan bouncing ( MAIL FROM:<>) ke pengirim yang jelas johnq@yourdomain.com,. Itulah yang mungkin Anda lihat.

Memblokir MAIL FROMpesan kosong akan lebih berbahaya daripada kebaikan, menurut saya. Spammer, menurut pengalaman saya, jarang menggunakan yang kosong MAIL FROM:karena mereka dapat dengan mudah memalsukan alamat yang tampak asli. Ketika pesan tersebut adalah spam aktual, ada cara yang jauh lebih baik untuk mendeteksi dan memblokirnya, termasuk RBL, filter Bayesian, dan SpamAssassin.

Dan akhirnya, Anda dapat mencegah setidaknya beberapa pemalsuan menggunakan yourdomain.comdengan mengatur catatan SPF yang tepat untuk domain Anda.

Pembaruan: Setelah melihat lebih dekat pada log Anda, seseorang dapat AUTHmenggunakan nama pengguna dan kata sandi yang valid untuk server Anda. Ini menempatkannya dalam kategori masalah lain. Namun, semua yang saya katakan tentang MAIL FROM:masih berdiri. 99% dari waktu itu akan menjadi hasil pesan bouncing.

Anda dapat mencari opsi untuk server surat Anda untuk membatasi MAIL FROM untuk email pengguna yang diautentikasi. Banyak sistem email menerapkan batasan itu.

Maka, paksa pengguna yang diretas untuk mengubah kata sandi.