¿Cómo envían spam las botnets? [cerrado]

Navega tus respuestas
2

Parece que no puedo encontrar la respuesta a esta pregunta. Leí que los bots bots se usan como retransmisiones de correo electrónico (tienen servidores smtp instalados).

Wikipedia en Open mail relay:

  

"(...) Las iniciativas de Internet para cerrar los relés abiertos finalmente se han perdido.   Su propósito previsto porque los spammers han creado distribuido   Redes de bots zombis que contienen malware con retransmisión de correo.   capacidad. El número de clientes bajo el control de los spammers es ahora tan   genial que las contramedidas antispam anteriores se centraban en cerrar   Los relés abiertos ya no son efectivos ".

También leí que las botnets se utilizan para cubrir pistas y evitar las listas negras de spam. Esto me trae muchas preguntas:

  1. ¿Las botnets tienen dominios de correo electrónico comprometidos?
  2. ¿Cómo las botnets envían correos electrónicos con direcciones de origen falsas? (sin correo electrónico de servidores de correo electrónico de confianza comprometidos)
  3. Hoy en día, es difícil enviar correo basura a compañías de correo electrónico conocidas (como gmail) Porque no aceptan conexiones telnet y fuente falsa. direcciones Requiere autenticación. Cómo hacer botnets y spammers. lidiar con esto?
  4. Si los bots son relés, no significa que solo puedan enviar spam. a otros bots. ¿Tiene esto algún sentido? Esto ni siquiera afectará usuarios.
  5. ¿Cómo pueden las botnets omitir las listas negras de dominios si se necesitan? ¿Cuentas y, por lo tanto, dominios para enviar en las direcciones de origen?

También leí un pdf desde este enlace: enlace

Declara esto sobre el flujo de dominio:

  

El comodín de dominio abusa de la funcionalidad de DNS nativa al comodín (por ejemplo,   *) un dominio más alto tal que todos los FQDN apuntan a la misma dirección IP. Por ejemplo, * .damballa.com podría encapsular ambos   mypc.atl.damballa.com y myserver.damballa.com. Esta técnica es   más comúnmente asociados con botnets que envían spam y phishing   contenido: la información con caracteres comodín que aparece al azar (por ejemplo,   La red de bots utiliza "asdkjlkwer" de asdkjlkwer.atl.damballa).   operador para identificar de forma única a una víctima, rastrear el éxito utilizando varios   técnicas de entrega, y evite las tecnologías antispam.

¿Puede alguien explicarme las frases en negrita? ¿Quién es la víctima? ¿La máquina comprometida o el objetivo de spam? ¿Cómo ayuda el comodín de dominio en el spam y el phishing?

    
pregunta BrunoMCBraga 07.07.2014 - 01:52
fuente

1 respuesta

10

Primero, información de antecedentes sobre cómo funciona el correo electrónico. El problema básico es que los contactos de servidor a servidor que utilizan SMTP no están autenticados: todo lo que un servidor sabe acerca de la computadora que lo está contactando es

  1. La dirección IP
  2. A quién quiere enviar el correo electrónico la computadora
  3. Quiénes son los que el equipo afirma son
  4. De quién es la computadora que reclama el correo electrónico es de

Tenga en cuenta que los dos últimos elementos no están autenticados: la computadora que envía puede estar libremente sobre ellos.

El correo electrónico ordinario funciona de la siguiente manera (algo simplificado):

  1. El cliente de correo electrónico realiza una conexión al servidor de envío mediante SMTP o IMAP autenticado.
  2. El servidor de envío realiza una conexión SMTP no autenticada al servidor de recepción y entrega el correo electrónico.
  3. El destinatario realiza una conexión POP3 o IMAP autenticada al servidor de recepción y solicita el correo electrónico.

En su lugar, la red de bots de un spammer hace lo siguiente:

  1. Spammer se pone en contacto con la red de bots y le dice que envíe spam
  2. La computadora Botnet actúa como servidor SMTP, realiza una conexión SMTP no autenticada al servidor receptor y entrega el correo electrónico.
  3. El destinatario realiza una conexión POP3 o IMAP autenticada al servidor de recepción y solicita el correo electrónico.

Para responder a sus preguntas:

  1. En general, no.

  2. mintiendo. La dirección "desde" en un correo electrónico es trivial a la falsificación (tan fácil como falsificar en un correo físico). Existen varias técnicas para combatir esto: DomainKeys Identified Mail y Sender Policy Framework son formas de limitar qué direcciones IP pueden enviar correos electrónicos para un nombre de dominio determinado; una técnica anterior era una simple búsqueda inversa de direcciones para ver si la dirección IP se resolvía en el dominio, pero esto tiene problemas de confiabilidad.

  3. Teniendo cuidado con sus mentiras. Si un spammer es cuidadoso acerca de quién dice que proviene el correo electrónico (por ejemplo, si utiliza un dominio "de" que no proporciona información de DKIM o SPF), pueden mentir sin ser atrapados.

  4. Un servidor SMTP puede aceptar correos electrónicos para entrega local o para enviarlos a otro servidor. Un servidor SMTP que no requiere autenticación al aceptar correos electrónicos para enviar en adelante es un relé abierto. Según esta definición, los bots no son relés abiertos, se parecen más a los servidores de correo electrónico tradicionales, con el spammer como el único usuario autorizado.

  5. No está claro lo que estás preguntando aquí. Las botnets en su mayoría no necesitan cuentas conocidas para enviar spam.

  6. Esto es irrelevante para el spamming. Es una técnica para ocultar infraestructura de botnets que permite que múltiples nombres de dominio se resuelvan en una sola dirección IP.

respondido por el Mark 07.07.2014 - 06:02
fuente

Lea otras preguntas en las etiquetas

¿Puedo hash inicialmente las contraseñas con SHA en lugar de hacerlas con bcrypt para desacoplar las solicitudes de las funciones de cifrado lento? ¿El enlace para restablecer el correo electrónico de la contraseña de Microsoft lleva a una URL diferente?