Una retransmisión de correo abierta es un servidor de Protocolo simple de transferencia de correo (SMTP) configurado de tal manera que permite a cualquier persona en Internet enviar correo electrónico a través de él, no solo correo destinado a usuarios conocidos o que proviene de ellos. [1] [2] [3] Esta solía ser la configuración predeterminada en muchos servidores de correo; de hecho, fue la forma en que se estableció inicialmente Internet, pero los retransmisores de correo abiertos se han vuelto impopulares debido a su explotación por parte de spammers y gusanos . Muchos relés se cerraron o fueron colocados en listas negras por otros servidores.
Historia y tecnologia
Hasta la década de 1990, los servidores de correo solían configurarse intencionalmente como retransmisiones abiertas; de hecho, esta era con frecuencia la configuración predeterminada de instalación. [1] El método tradicional de almacenamiento y reenvío para transmitir el correo electrónico a su destino requería que se pasara de una computadora a otra (a través de Internet y más allá) a través de módems en las líneas telefónicas. Para muchas de las primeras redes, como UUCPNET , FidoNet y BITNET , las listas de máquinas que eran retransmisiones abiertas eran una parte fundamental de esas redes. [2] El filtrado y la velocidad de entrega del correo electrónico no eran prioridades en ese momento y, en cualquier caso, los servidores gubernamentales y educativos que estaban inicialmente en Internet estaban cubiertos por un edicto federal que prohibía la transferencia de mensajes comerciales. [4] [5]
Abuso por parte de los spammers
A mediados de la década de 1990, con el aumento del spam , los spammers recurrieron a redireccionar su correo electrónico a través de servidores de correo electrónico de terceros para evitar la detección [6] y explotar los recursos adicionales de estos servidores de retransmisión abiertos. Los spammers enviarían un correo electrónico a la retransmisión abierta e (efectivamente) incluirían una gran lista de copia oculta , luego la retransmisión abierta retransmitiría ese spam a toda la lista. [7] Si bien esto redujo en gran medida los requisitos de ancho de banda para los spammers en un momento en que las conexiones a Internet eran limitadas, obligó a cada spam a ser una copia exacta y, por lo tanto, más fácil de detectar. Después de que se generalizara el abuso por parte de los spammers, la operación de un relé abierto llegó a ser mal visto entre la mayoría de los administradores de servidores de Internet y otros usuarios destacados. [6] Se recomiendan los relés abiertos en RFC 2505 y RFC 5321 (que define SMTP). La naturaleza de copia exacta del spam mediante retransmisiones abiertas facilitó la creación de sistemas de detección de correo electrónico masivo, como Vipul's Razor y Distributed Checksum Clearinghouse . Para contrarrestar esto, los spammers se vieron obligados a cambiar al uso de hash busters para hacerlos menos efectivos y se eliminó la ventaja de usar retransmisiones abiertas, ya que cada copia de spam era "única" y tenía que enviarse individualmente.
Dado que los retransmisores de correo abiertos no hacen ningún esfuerzo por autenticar al remitente de un correo electrónico, los retransmisores de correo abiertos son vulnerables a la falsificación de direcciones . [2]
Esfuerzos anti-spam
Muchos proveedores de servicios de Internet utilizan listas negras basadas en el sistema de nombres de dominio (DNSBL) para impedir que el correo acceda a retransmisiones abiertas. Una vez que se detecta o informa un servidor de correo que permite a terceros enviar correo a través de ellos, se agregarán a una o más de esas listas, y otros servidores de correo electrónico que utilicen esas listas rechazarán cualquier correo que provenga de esos sitios. En realidad, no es necesario utilizar la retransmisión para enviar correo no deseado a la lista negra; en cambio, puede ser incluido en la lista negra después de una prueba simple que solo confirma el acceso abierto. [8] [se necesita una mejor fuente ]
Esta tendencia redujo el porcentaje de remitentes de correo que eran retransmisiones abiertas de más del 90% a menos del 1% durante varios años. [9] Esto llevó a los spammers a adoptar otras técnicas, como el uso de botnets de computadoras zombies para enviar spam.
Una consecuencia de la nueva inaceptabilidad de los relés abiertos fue un inconveniente para algunos usuarios finales y ciertos proveedores de servicios de Internet . Para permitir que los clientes usen sus direcciones de correo electrónico en ubicaciones de Internet que no sean los sistemas de la empresa (como en la escuela o el trabajo), muchos sitios de correo permitieron explícitamente la retransmisión abierta para que los clientes pudieran enviar correo electrónico a través del ISP desde cualquier ubicación. [10] Una vez que la retransmisión abierta se volvió inaceptable debido al abuso (e inutilizable debido al bloqueo de retransmisiones abiertas), los ISP y otros sitios tuvieron que adoptar nuevos protocolos para permitir a los usuarios remotos enviar correo. Estos incluyen hosts inteligentes , SMTP-AUTH , POP antes de SMTP y el uso de redes privadas virtuales (VPN). El Grupo de trabajo de ingeniería de Internet (IETF) ha escrito las mejores prácticas actuales que cubren las operaciones de envío de correo electrónico en RFC 5068.
Tenga en cuenta que lo anterior solo se convierte en un problema si el usuario desea (o tiene que) continuar enviando correo electrónico de forma remota, utilizando el mismo servidor SMTP al que antes accedía localmente. Si tienen acceso válido a algún otro servidor SMTP desde su nueva ubicación remota, entonces normalmente podrán usar ese nuevo servidor para enviar correos electrónicos como si fueran desde su antigua dirección, incluso cuando este servidor esté debidamente protegido. (Aunque esto puede implicar alguna reconfiguración del cliente de correo electrónico del usuario, lo que puede no ser del todo sencillo).
La Ley CAN-SPAM de 2003 hace que sea ilegal enviar spam a través de una retransmisión abierta en los Estados Unidos , pero no establece ninguna disposición sobre su uso para el correo electrónico personal o su funcionamiento en general; se ha cuestionado la efectividad del acto. [11] [12]
Defensores de la actualidad
El relevo de correo abierto más famoso que opera hoy en día es probablemente el de John Gilmore , [6] [13] quien sostiene que ejecutar un relevo abierto es un problema de libertad de expresión . Su servidor está incluido en muchas listas negras de retransmisiones abiertas (muchas de las cuales se generan mediante "detección automática", es decir, mediante listas negras antispam que envían un correo electrónico de prueba (no solicitado) a otros servidores para ver si se retransmitirán). Estas medidas provocan el bloqueo de gran parte de su correo electrónico saliente. [6] Junto con su configuración deliberada adicional del servidor, su retransmisión abierta permite a las personas enviar correo electrónico sin que su dirección IP sea directamente visible para el destinatario y, por lo tanto, enviar correo electrónico de forma anónima . En 2002, su relé abierto, junto con otros 24, fue utilizado por un gusano informático para propagarse. [14]
John Gilmore y otros defensores de la retransmisión abierta declaran que no admiten el spam ni el spam, pero ven una amenaza mayor en los intentos de limitar las capacidades web que pueden bloquear la evolución de las nuevas tecnologías de próxima generación. Comparan las restricciones de comunicación de la red con las restricciones que algunas compañías telefónicas intentaron colocar en sus líneas en el pasado, impidiendo la transferencia de datos informáticos en lugar de hablar. [15]
Relés de cierre
Para no considerarse "abierto", una retransmisión de correo electrónico debe ser segura y estar configurada para aceptar y reenviar solo los siguientes mensajes (los detalles variarán de un sistema a otro; en particular, es posible que se apliquen otras restricciones): [16]
- Mensajes de direcciones IP locales a buzones de correo locales
- Mensajes de direcciones IP locales a buzones de correo no locales
- Mensajes de direcciones IP no locales a buzones de correo locales
- Mensajes de clientes autenticados y autorizados
En particular, una retransmisión de correo SMTP debidamente protegida no debe aceptar ni reenviar correos electrónicos arbitrarios de direcciones IP no locales a buzones de correo no locales por parte de un usuario no autenticado o no autorizado.
En general, cualquier otra regla que un administrador decida hacer cumplir (por ejemplo, en base a lo que un correo electrónico proporciona como su propio sobre de dirección) debe ser adicional, en lugar de en lugar de, a las anteriores. [16] Si no es así, el relé sigue estando efectivamente abierto (por ejemplo, según las reglas anteriores): es fácil falsificar la información del sobre y el encabezado del correo electrónico, es considerablemente más difícil falsificar con éxito una dirección IP en un TCP / IP transacción debido al protocolo de enlace de tres vías que se produce cuando se inicia una conexión.
Los relés abiertos también son el resultado de fallas de seguridad en el software, en lugar de una mala configuración por parte de los administradores del sistema. [17] [18] [19] En estos casos, es necesario aplicar parches de seguridad para cerrar el relé.
Las iniciativas de Internet para cerrar retransmisiones abiertas finalmente no han cumplido con su propósito, porque los spammers han creado botnets distribuidas de computadoras zombis que contienen malware con capacidad de retransmisión de correo. El número de clientes bajo el control de los spammers es ahora tan grande que las contramedidas anti-spam anteriores que se centraban en cerrar los relés abiertos ya no son efectivas.
Ver también
- Relevo (desambiguación)
Referencias
- ↑ a b Los fideicomisarios de la Universidad de Indiana (1 de abril de 2008). "En Unix, ¿qué es una retransmisión de correo abierta?" . Servicios Universitarios de Tecnología de la Información . Universidad de Indiana . Archivado desde el original el 17 de junio de 2007 . Consultado el 7 de abril de 2008 .
- ^ a b c "¿Qué es el relé abierto?" . WhatIs.com . Universidad de Indiana . 2004-07-19. Archivado desde el original el 24 de agosto de 2007 . Consultado el 7 de abril de 2008 .
- ^ "FTC y agencias internacionales anuncian" Operation Secure Your Server " " . Comisión Federal de Comercio . 2004-01-29. Archivado desde el original el 6 de marzo de 2008 . Consultado el 7 de abril de 2008 .
- ^ RFC 1192 Comercialización de Internet
- ^ Aber, James S. "Internet y la World Wide Web" . ES 351 y 771 . Consultado el 7 de abril de 2008 .
- ^ a b c d "Los bloqueadores de spam lo transmiten" . CON CABLE . 2001-07-02. Archivado desde el original el 1 de junio de 2008 . Consultado el 7 de abril de 2008 .
- ^ Abrir relé. ¿Qué significa?
- ^ "La red del hermano mayor ahora controla su correo electrónico" .
- ^ Hoffman, Paul (20 de agosto de 2002). "Permitir la retransmisión en SMTP: una serie de encuestas" . Informes IMC . Consorcio de correo de Internet . Archivado desde el original el 18 de enero de 2007 . Consultado el 13 de abril de 2008 .
- ^ Atkins, Steve. "Preguntas frecuentes de news.admin.net-abuse.email" . Archivado desde el original el 27 de julio de 2012 . Consultado el 8 de abril de 2008 .
- ^ Estados Unidos: una nueva arma en la lucha contra el spam
- ^ ¿Está funcionando la ley CAN-SPAM?
- ^ "Explosión del pasado: relé abierto de John Gilmore" . 2006-12-29 . Consultado el 7 de abril de 2008 .
- ^ "Worm utiliza el relé abierto de John Gilmore en toad.com para reproducir" . 2002-03-07 . Consultado el 7 de abril de 2008 .
- ^ "Restricciones de retransmisión de correo abierto desde el punto de vista de John Gilmore" . Archivado desde el original el 3 de mayo de 2012 . Consultado el 25 de junio de 2010 .
- ^ a b "Reparación de relés de correo abiertos - Asesoramiento de UK JANET" . Archivado desde el original el 24 de febrero de 2008 . Consultado el 12 de abril de 2008 .
- ^ "DSA-554-1 Sendmail - Contraseña preestablecida" . Debian . 2004-09-27 . Consultado el 9 de mayo de 2010 .
- ^ "MS02-011: Una falla de autenticación podría permitir que usuarios no autorizados se autentiquen en el servicio SMTP" . Microsoft . 2007-03-29 . Consultado el 28 de octubre de 2008 .
- ^ "XIMS: los mensajes enviados a la dirección SMTP encapsulada se redireccionan aunque el redireccionamiento esté desactivado" . Microsoft . 2006-10-26 . Consultado el 29 de octubre de 2008 .