Acabo de leer un informe que analizó la Mega-D Botnet, ¿pero no entiendo bien cómo se usan para enviar spam?
¿Desde qué dirección de correo electrónico se envía el correo? ¿Cada bot envía el spam a través de un servidor SMTP? ¿Cada bot tiene un servidor SMTP instalado?
¿Alguien me puede aclarar esto? Ningún artículo que haya leído parece arrojar luz sobre esto.
De lo que pude encontrar out acerca de esto en unos minutos de googlear, Mega-D / Ozdok es un smabot bastante típico: implementa el STMP protocol internamente y hace que los procesados funcionen alrededor de greylisting .
La dirección de correo electrónico utilizada en la parte "de" del correo depende de la plantilla exacta que se envió al bot. Si observa la descripción de fortigate del bot, verá qué opciones podría usar para construir y algunas muestras. No parece estar usando nada de la máquina del cliente del bot, pero parece que a menudo usa el correo electrónico del destinatario en el campo desde (lo que significa que puede protegerse contra estos correos no deseados utilizando SPF o DKIM ).
Los bots enviarán su correo a través de un servidor SMTP, pero ese será el servidor SMTP del destinatario: lo que se menciona en el registro DNS MX de su dominio de correo (o el registro A si no hay MX pero hay una A).
Si desea una analogía con el mundo real, es como si, en lugar de enviar correo (regular) a su casa a través del sistema postal, el spammer haya contratado a muchos desconocidos para que lo envíen directamente al buzón de correo de su casa.
En cuanto a si cada spambot tiene un servidor SMTP instalado, más cercano a una respuesta es: no, no hay ningún servidor SMTP instalado en el cliente que acepte y retransmita el correo. Sin embargo, aceptará plantillas de correo no deseado de los servidores CC, así como "listas de trabajos" que contengan la dirección de correo electrónico de destino y luego actuará como un cliente SMTP para enviar estos correos directamente al servidor SMTP del destinatario.
Las direcciones de correo electrónico personales, y cosas similares, no están involucradas. Todo lo que necesita para enviar un correo electrónico es un servidor cooperativo para que actúe como su agente de reenvío.
Algunas redes de bots usan máquinas comprometidas para enviar spam a través de su ISP primario, y la mayoría de los ISP no se alarman cuando uno de sus clientes habituales comienza a enviar miles de millones de correos electrónicos. El envío de correo electrónico de esta manera no requiere ninguna autenticación más allá del hecho de que una máquina está conectada a la red del ISP. Los contenidos no son su preocupación, siempre y cuando el cliente siga pagando sus facturas.
Otros alquilan servidores (muy baratos para hacerlo) y los utilizan para enviar spam al por mayor. Una vez más, no es una preocupación para las personas que suministraron el servidor, siempre y cuando el cheque del cliente no rebote.
Incluso si los ISP quieren ser buenos ciudadanos (y están dispuestos a privarse de los ingresos) es estrictamente un juego de whack-a-mole. Fundamentalmente, los protocolos de correo electrónico se diseñaron cuando Internet tiene 5 nodos, y todos fueron amigables.