Что такое SMTP-аутентификация? Защита электронной почты от спама

Чтобы отправить по почте письма с угрозами или нежелательную рекламу, достаточно написать на конверте неправильный адрес отправителя. Аналогичный метод можно применить и к электронным письмам. Согласно исследованиям, проведенным «Лабораторией Касперского» в 2017 году, крупнейшим источником спама были США, на долю которых пришлось 13,21%. Среди других заметных глобальных фишинговых событий — «нигерийские» мошенники со схемой получения наследства, а также другие крупные спортивные мероприятия. SMTP-аутентификация обеспечивает базовую безопасность для предотвращения такого нежелательного спама и фишинговых попыток.

Аутентификация SMTP, также известная как SMTP AUTH или ASMTP, является расширением расширенного SMTP (ESMTP), который, в свою очередь, является расширением сетевого протокола SMTP. Он позволяет SMTP-клиенту (т.е. отправителю электронной почты) входить на SMTP-сервер (т.е. провайдеру электронной почты) через механизм аутентификации. Таким образом, только надежные пользователи могут передавать электронные письма в сеть через сервер и пересылать их. Кроме того, данные журнала могут быть использованы для определения того, кто использовал сервер в качестве почтового ретранслятора.

SMTP AUTH предотвращает неправомерное использование SMTP-сервера в качестве открытого почтового ретранслятора и распространение спама в сети. Необходимость этой процедуры обусловлена особенностями, присущими оригинальному SMTP 1982 года, который по умолчанию не обеспечивал аутентификацию пользователей. По этой причине примерно до 1997 года нормой были открытые почтовые ретрансляторы, то есть почтовые серверы, которые пересылали все электронные письма независимо от адреса отправителя или получателя. То, что кажется абсурдным в сегодняшних условиях, изначально имело под собой веские основания: системные ошибки и отказы серверов случались чаще, поэтому открытые почтовые ретрансляторы могли поддерживать регулярный трафик даже в чрезвычайных ситуациях.

Однако повсеместное использование таких незащищенных ретрансляторов привело к распространению спама. Морально сомнительные рекламодатели и злонамеренные преступники (прежде всего, печально известный «король спама» Сэнфорд Уоллес со своей фирмой Cyberpromo) использовали открытые серверы с украденными или вымышленными адресами электронной почты для распространения спама. Эта практика называется «подделка почты».

Поскольку в то время серверы не имели дополнительных механизмов аутентификации, они без проблем принимали спам и отправляли его в сеть. Используя внешнее оборудование, спамеры также экономили свои собственные ресурсы и поэтому не могли быть отслежены. Кроме того, постоянная смена поддельных адресов позволяла обходить спам-фильтры. Для решения проблемы открытых почтовых реле были приняты различные контрмеры — сначала SMTP-After-POP, а затем ESMTP и ASMTP в 1995 году. К 2005/2006 году количество открытых почтовых реле сократилось с нескольких сотен тысяч до ничтожно малой доли.

Хотя ситуация уже не столь критична, как тогда, по данным некоммерческой организации Spamhaus, спамеры по-прежнему находят в сети от 10 до 20 новых открытых серверов в день. Иногда они являются результатом легкомысленности и неопытности администраторов. Однако, по мнению Spamhaus, проблема часто кроется в плохо настроенных или взломанных брандмауэрах и внешних приложениях безопасности — не обязательно в самой конфигурации сервера, как это часто бывает в небольших региональных компаниях. Если приложение пропускает спам, он перенаправляется на сервер через локальное SMTP-соединение с IP-адресом соответствующего приложения, которое затем рассматривает его как достоверное. Кроме того, все больше спамерских ботнетов с «зомбированных» домашних компьютеров используются в качестве ретрансляторов.

Теперь открытые почтовые ретрансляторы, используемые для рассылки спама, обычно определяются как таковые уже через несколько часов или дней и затем попадают в так называемые черные списки. Это означает, что даже легитимные письма попадают в спам-фильтр получателя, поэтому оператор почтового сервера должен сначала позаботиться о том, чтобы закрыть брешь в системе безопасности, а затем попытаться удалить их из списка, чтобы снова нормально работать. Спамеры не только стоят предприятиям денег, генерируя большой трафик за счет скорости работы оборудования, они также могут запятнать репутацию предприятия и отнять много ненужного времени.

Именно по этой причине все почтовые серверы в наши дни используют ESMTP в сочетании с ASMTP. Они всегда требуют аутентификации перед использованием своей службы электронной почты. Оптимально настроенный SMTP-релей (также называемый «умным хостом») — это сервер, который пересылает электронные письма от отправителей третьим лицам только в том случае, если он отвечает за обе стороны. Простым языком: входящие письма отправляются только зарегистрированным пользователям, а исходящие письма могут отправлять только те, кто уполномочен использовать почтовый сервер.

Существенной особенностью ASMTP является то, что электронные письма принимаются через порт 587/TCP (порт SMTP AUTH), вместо традиционного порта 25/TCP. Это обязательная особенность ESMTP. Протокол содержит набор механизмов аутентификации с различными уровнями безопасности, которые, в зависимости от своей конфигурации, SMTP-сервер может использовать для проверки благонадежности SMTP-клиента.

Эти механизмы аутентификации включают следующие:

• PLAIN: аутентификация с помощью имени пользователя и пароля клиента. Оба сообщения передаются в незашифрованном виде, а затем кодируются в наборе символов Base64.
• LOGIN: работает аналогично PLAIN, но набор символов Base64 для имени пользователя и пароля передается в два этапа, а не в один.
• CRAM-MD5: альтернатива PLAIN и LOGIN с более высоким уровнем безопасности по принципу «вызов-ответ». Поскольку спамеры могут относительно быстро декодировать персональные данные доступа пользователя из набора символов Base64, пароль не передается на сервер в коде или открытым текстом через этот механизм. Вместо этого сервер предоставляет клиенту некую вычислительную задачу, которая может быть решена только с помощью пароля. Эта задача меняется при каждом входе в систему, поэтому спамеры не могут использовать данные предыдущих подключений к серверу.
• Другие предлагаемые механизмы включают GSSAPI, DIGEST-MD5, MD5, OAUTH10A, OAUTHEBEARER, SCRAM-SHA-1 и NTLM.

Пример аутентификации через LOGIN:

В некоторых почтовых программах, таких как Mozilla Thunderbird, SMTP-аутентификация обычно настраивается автоматически при создании новой учетной записи. Если это не работает, возможно, вам придется сделать это вручную.

В случае с Thunderbird выполните следующие действия:

1. Щелкните правой кнопкой мыши в контекстном меню учетной записи электронной почты и выберите «Настройки».
2. Перейдите к пункту «Сервер исходящих сообщений (SMTP)», выберите свой почтовый сервер и нажмите «Изменить».
3. Активируйте опцию «Использовать имя пользователя и пароль» и введите свой адрес электронной почты.
4. Подтвердите настройки нажатием «OK».

Ниже приведены инструкции для Outlook:

1. Выберите «Настройки учетной записи» в меню
2. Выберите свою учетную запись и нажмите «Изменить»
3. Выберите «Дополнительные настройки»
4. Во вновь открывшемся окне перейдите к разделу «Исходящий сервер» и активируйте опцию «Мой исходящий сервер (SMTP) требует аутентификации».
5. Установите флажок в поле «Использовать те же настройки, что и на моем входящем сервере».
6. Подтвердите его нажатием «OK», и окно закроется.
7. Нажмите «Далее», чтобы Outlook проверил новые настройки учетной записи, и нажмите «Закрыть», как только проверка будет завершена.
8. Для завершения нажмите «Готово», а затем «Закрыть».

В целях защиты вашей конфиденциальности видео не будет загружаться, пока вы не нажмете на него.

Вы можете использовать клиент Telnet, чтобы проверить, работает ли почтовый сервер как открытый ретранслятор или SMTP AUTH (например, если вы устанавливаете собственный почтовый сервер). Некоторые спамеры также используют его для ручного поиска открытых почтовых ретрансляторов. SMTP и ESMTP являются чисто текстовыми протоколами, поэтому вы также можете запустить и выполнить сеанс клиент-сервер вручную. Все, что вам нужно, это ваше имя пользователя и пароль в коде Base64, который вы можете получить на таких сайтах, как base64encode.net.

Тест SMTP AUTH выполняется следующим образом:

1. Попробуйте установить соединение с SMTP-сервером через порт 25/TCP с помощью команды «telnet smtp.example.com 25» (замените «smtp.example.com» на домен вашего почтового сервера).
2. Сервер должен ответить кодом состояния «220 smtp.example.com ESMTP postfix», после чего начнется сеанс связи.
3. Сервер поприветствует вас словами «EHLO smtp.example.com».
4. Сервер предложит выбор механизмов аутентификации, как показано в примере выше, где вы можете выбрать, например, LOGIN, введя команду «AUTH LOGIN».
5. Теперь начинается собственно тест: после команд ‘MAIL FROM’ и ‘RCPT TO’ введите выдуманные адреса отправителя и получателя, т.е. несуществующие. Если сервер ответит сообщением об ошибке, ASMTP настроен правильно, а это значит, что ваш сервер не является открытым почтовым ретранслятором. Если сервер подтверждает обе команды сообщением «250 OK», то в доработке нет необходимости.

В целях защиты вашей конфиденциальности видео не будет загружаться, пока вы на него не нажмете.

В качестве альтернативы вы можете проверить тест SMTP AUTH с помощью внешних инструментов, например, компании MxToolbox, Inc. Она также предлагает средство проверки черного списка, которое позволяет проверить в случае подозрительного поведения.