Open Relay - waarom gevaarlijk?

Op een open relay mag iedereen doorsturen vandaar het open

Je kan dus zonder in te loggen mail laten forwarden, dit is eigenlijk bedoeld als je een frontend en een backend mailserver draait.
Het is niet de bedoeling dat iedereen dit via internet kan...

Dat is toch logisch?

Als ik een open relay zou draaien kan een of andere Belgische spammer met afzender a@b.c kunnen mailen naar d@e.f wat dus NIET gewenst is.. Mijn mailserver zou alleen maar lokale mail mogen ontvangen (naam@domein.tld) of van diezelfde mogen versturen...

Ik snap je vraag niet echt eigenlijk 't Lijkt me overduidelijk?

GlowMouse schreef op 31 januari 2004 @ 14:01:
[...]


Ja, ik weet wat een open relay is, maar waar zit nou het gevaar? Hij voegt netjes het IP adres van de verstuurder toe, dus de spammer kan alsnog gevonden worden.

Ja, gevonden worden, maar stel dat hij dat lekker vanaf een gratis dialup-account doet.. Kan hij lekker zn PC-tje aanzetten, 1000-en mails versturen ofzo en vervolgens ga jij ff lekker naar abuse@provider.tld mailen dat ie spammed.. Gevolg: áls er al wat gedaan wordt, dan heb je alsnog superveel spam...

[ Voor 46% gewijzigd door Osiris op 31-01-2004 14:03 ]

Het from adres word vaak gespoofed, ik heb dit zelf ook meegemaakt, ik kreeg ineens 800 mailtjes per dag dat mail gebounced was en dat mail niet bezorgd kon worden

GlowMouse schreef op 31 januari 2004 @ 14:04:
[...]

Wat is dan het verschil met als hij zelf een SMTP server draait? Kan hij ook lekker spammen.

Dat kan hij idd gaan doen ja..

GlowMouse schreef op 31 januari 2004 @ 14:01:
[...]


Ja, ik weet wat een open relay is, maar waar zit nou het gevaar? Hij voegt netjes het IP adres van de verstuurder toe, dus de spammer kan alsnog gevonden worden.

IP's kunnen ook vervalst worden, dat heet IP-Spoofing. Zie hier: http://www.securityfocus.com/infocus/1674

GlowMouse schreef op 31 januari 2004 @ 14:06:
[...]


Voor zover ik weet is IP spoofing al jaren zo goed als onmogelijk. En als je spooft, kun je net zo goed je eigen mailserver opzetten.

Nee, het gaat om 2 dingen: 1) gepakt kunnen worden en 2) al dan niet eigen hardware hebben.

Via open relays kan een kwaadwillende spammer veel moeilijker getraceerd worden, zeker als er ook nog via anonymous proxy oid gestuurd wordt.

Het is veel makkelijker om met een scanner of lijst met open relays aan de slag te gaan: geen kosten, geen hardware. Wordt de relay geblacklist ? dan pak je de volgende.

Dat laatste gaat wat lastiger als je als spammer je eigen mailserver opzet.

GlowMouse schreef op 31 januari 2004 @ 14:34:
[...]

Via de anonieme proxy kan hij dan ook direct verbinden met smtp.tweakers.net, en zelf voor smtp server spelen.

Dat kan een kwaadwillende spammer alleen als hij usernaam/password heeft voor die smtp server van t-net, er vanuitgaande dat de smtp server van t-net GEEN open relay is.

En als de spammer een login heeft, dan is 'ie te traceren. T-net geeft geen logins uit aan onbekenden tenslotte. Mensen met een t-net abo hebben adres en rekening opgegeven.

[...]

Zelfde verhaal, maar nu: proxy geblacklist? volgende!

Ja, erhh

Wat bedoel je hiermee te zeggen ?

Het hele idee is dat een spammer door vrij beschikbare relays en proxies zijn (haar?) gang kan gaan. Een open relay of proxy is door de hele wereld te ge/misbruiken.

Samenvattend: Open relays (en ook open proxies) zijn fout omdat er door iedereen misbruik van te maken is en dat niet tegen te gaan is! Iedereen kan open proxies en relays gebruiken en misbruiken en kwaadwillenden kunnen dat zo goed als ontraceerbaar doen.

Hiermee wil ik niet zeggen dat user/pass beveiligde proxies of relays wel volledig betrouwbaar zijn, want user/pass logins kunnen ook uitlekken, maar de hoeveelheid gehackte proxies en relays is veel minder dan de hoeveelheid open proxies en relays.

Als alle open proxies van vandaag op morgen dicht gaan dan is het spamgehalte ineens teruggebracht tot bijna nul. Denk daar maar eens over na.

GlowMouse schreef op 31 januari 2004 @ 14:06:
[...]


Voor zover ik weet is IP spoofing al jaren zo goed als onmogelijk. En als je spooft, kun je net zo goed je eigen mailserver opzetten.

Sorry?? IP spoofing onmogelijk? Leg uit, want dat klopt natuurlijk niet (stel dat het al zo is: waarom is het al jaren onmogelijk en waarom zou het daarvoor wel mogelijk geweest zijn?? )

GlowMouse schreef op 31 januari 2004 @ 15:06:
[...]

dat was een voorbeeld voor klaasje@tweakers.net, als ik naar pietje@fok.nl wil sturen verbind ik met mail.fok.nl.

Kom op zeg, verdiep je eens in het protocol!

Sturen NAAR kan altijd. De mailserver ontvangt de mail die jij gestuurd hebt, ziet dat het voor een van de gebruikers met account op de mailserver is, en handelt het af. Dat is de ONTVANGENDE kant.

Jij kan niet bij de mailserver van fok een mail afleveren met een TO: header met hotmail.com, want dan zegt de fok mailserver "daar ben ik niet voor".

[...]

Wanneer je je eigen IP kunt verbergen, kun je ook gebruik maken van een de smtp server van je provider.

Nee natuurlijk niet! Tenminste, niet zonder user/pass. Waarom denk jij dat je user/pass in moet vullen in welke mail client je ook gebruikt ??

Sommige mailservers accepteren verzend-requests alleen e-mail vanuit het eigen IP bereik, andere mailservers accepteren verzend requests ook van buiten het eigen IP bereik, maar dan is nog steeds user/pass nodig.

Ja, behalve bij een Open Relay. D'uhh!

[...]

Dial-up account in Rusland, en ze vinden me nooit met mijn eigen SMTP server

[...]

webopedia. Wanneer je denkt dat het wel kan, zie ik graag een demonstratie.

Nope, ze vinden je niet in Rusland. Dat klopt.

Maar je zal de beheerder in Rusland wel moeten betalen, of op een andere manier zo gek krijgen om jou een server te laten draaien. Kortom, dat zal je kosten. Maar waarom zou je, als spammer, als je nu datgene wat je wil ook gratis kan ?

En erhh, IP spoofing of niet, op het moment dat jij via een anonymous proxy verbinding maakt met een open relay, dan is je schijnbare IP dat van die proxy, en die proxy onthoudt het IP waar je vandaan komt niet. Dat is effectief net zo goed, want dan ben je alsnog niet meer te traceren. Eindresultaat is hetzelfde.

GlowMouse schreef op 31 januari 2004 @ 15:23:
[...]

Wel als je het IP van je buurman met dezelfde provider spooft.

Nee, dan nog moet je username/pass weten om met de mailserver te mogen versturen. En dat wil je niet, want dan is het op jou terug te voeren. Of je moet het password van je buurman bezig, en dan ben je wettelijk strafbaar, ook leuk.

[...]
Als ik bij een kennis een oude 486 neerzet die lekker verbindt en mails verstuurd, kost me dat toch alleen telefoontikken?

Met je eigen SMTP server ? Dan krijgt de ISP vervolgens de klachten over de spam, vogelt de ISP uit op welk telefoonnummer er ingebeld wordt, en kunnen er op die manier stappen ondernomen worden tegen je kennis...

Je eigen smtp server ergens neerpoten werkt wel, maar het is toch veel meer heisa, veel minder makkelijk en veel minder productief (vanuit het oogpunt van een spammer) dan gewoon open relays misbruiken ? En het kost je ook nog meer.

Natuurlijk zijn er andere methoden om te spammen dan alle open relays dichtzitten, maar die zijn lang niet zo efficient.

[...]
Ja, dat is nu het punt waarvoor je mij aan het begin van je bericht vermaande. In plaats van die open relay kun je net zo goed met de ontvangende smtp server connecten.

Ook hier weer: wat werkt sneller voor een spammer ?

Jij wilt dus voor alle spam die je wilt versturen direct naar de ontvangende SMTP server connecten om het direct af te leveren ?

De meeste smpt servers accepteren geen directe verbinding van buiten, dus dan wordt het grootste gedeelte van een e-mail adressen bestand van een spammer nutteloos.

[ Voor 12% gewijzigd door JumpStart op 31-01-2004 15:39 . Reden: toevoeging ]

GlowMouse schreef op 31 januari 2004 @ 15:06:
webopedia. Wanneer je denkt dat het wel kan, zie ik graag een demonstratie.

Ik denk zeker (lees: weet zeker) dat het kan. Het hangt er i.d.d. totaal vanaf hoe en waar je zit en hoe de apparatuur om je heen geconfigd zit. Maar IP spoofing werkt zeker (Google er maar eens naar )
Een voorwaarde is wel dat je _of_ op hetzelfde LAN zit als het adres wat je wilt spoofen _of_ het verkeer van en naar het adres wat je wilt spoofen via jouw netwerk loopt.

... laat ik het even kortsluiten:

GlowMouse: "Waarom is een Open Relay gevaarlijk?"

JumpStart: "Gevaarlijk is misschien niet het goeie woord, 'ongewenst' is beter."

GlowMouse: "Ok, ongewenst dan, maar waarom?"

JumpStart: "Omdat er op grote schaal misbruik van wordt gemaakt door spammers."

GlowMouse: "Ja maar, je kan toch ook zonder open relays spammen?"

JumpStart: "Klopt, maar al die methodes kosten de spammer meer tijd, geld en moeite."

GlowMouse: "IS dat wel zo?"

JumpStart: "Nou ja, het blijkt dat vrijwel alle spam via open proxies loopt."

GlowMouse: _{(mag je zelf invullen)}


Je hebt in ieder geval antwoord op je originele vraag. Het spijt me dat ik verder geen zin heb om te bekvechten over alternatieven. Natuurlijk zijn er alternatieven, maar die zijn allemaal minder goed.

Zet maar gewoon lekker je open-relay aan dan merk je het snelgenoeg dat ze toch bij jou aankloppen. Plus nogeens dat je je verbinding niet meer kan gebruiken omdat deze vol zit van de mail. En omdat misschien je isp adequaat reageert en je afsluit.

JumpStart schreef op 31 januari 2004 @ 15:35:
Nee, dan nog moet je username/pass weten om met de mailserver te mogen versturen. En dat wil je niet, want dan is het op jou terug te voeren. Of je moet het password van je buurman bezig, en dan ben je wettelijk strafbaar, ook leuk.

Authenticatie op SMTP is eigenlijk bij geeneen ISP nodig als je een IP van ze hebt. Het is daarentegen soms wel mogelijk om er van buitenaf op te komen...

Jij wilt dus voor alle spam die je wilt versturen direct naar de ontvangende SMTP server connecten om het direct af te leveren ?

De meeste smpt servers accepteren geen directe verbinding van buiten, dus dan wordt het grootste gedeelte van een e-mail adressen bestand van een spammer nutteloos.

Ehmz, nee, elke SMTP accepteert mail van buiten, hoe kan je anders iemand een maltje sturen

Maar wat betreft deze discussie: Het kan inderdaad zonder problemen via een eigen mailserver, maar dat kost nou eenmaal meer moeite dan open relays gebruiken.

De TS staart zich blind op de traceerbaarheid, maar daar ligt niet de reden dat spammers open relays gebruiken. Als een spammer al getraceerd kan worden, in de meeste landen (waaronder de V.S.) is spammen niet strafbaar. In de V.S. mag het, als je een werkende "unsubscribe" mogelijkheid biedt, en die werkt ook altijd, je krijgt geen spam meer van de betreffende club (maar wel van dozijnen andere, want je hebt zojuist toegegeven dat mail op jouw account wordt gelezen, en dus is je mail-adres veel waard).

Aanvankelijk gebruikten spammers wel degelijk hun eigen mail-servers (of die van hun ISP) direct, maar natuurlijk werden die al snel geblokkeerd, eerst op individuele basis, later via spam-blacklists (bijv. SpamCop). Open relays werden toen misbruikt om die blokkades te omzeilen, met als reactie de vorming van open-relays-blacklists. (ORB en co.) Er bestaan tegenwoordig al weer programma's om het hele internet af te zoeken naar open relays.

Wat je trouwens tegenwoordig ook tegenkomt zijn web-servers met een "stuur een mailtje naar ons" page die zo beroerd is gebouwd dat een spammer de pagina zelf kan kopieren, eventuele filtering op niet-lokale mail eruit kan slopen, en via die gehackede pagina vervolgens het achterliggende mechanisme kan misbruiken voor spammen. Vorige week bij een grote klant zo'n truc ontdekt en geblokkeerd, er begonnen al aardig wat mail-servers mail van die klant te weigeren. Ook hiervoor zijn zoek-programma's ontwikkeld.

bjck schreef op 01 februari 2004 @ 00:11:
Zet maar gewoon lekker je open-relay aan dan merk je het snelgenoeg dat ze toch bij jou aankloppen. Plus nogeens dat je je verbinding niet meer kan gebruiken omdat deze vol zit van de mail. En omdat misschien je isp adequaat reageert en je afsluit.

Ik heb het gemerkt en er stonden 300.000 email in de queue ik dacht dat ik Exchange uit had gezet maar dit bleek niet zo te zijn. We zijn er van uit gegaan dat de relay 4 maanden (ben 4 maanden ziek geweest) heeft open gestaan. Aangezien alles gewoon werkte heb ik in die tijd geen storings mededeling gekregen. Die 300.000 emails hadden de datum van een dag dus ik moet er even niet aan denken wat er weg gezonden is in al die maanden.

wildhagen schreef op 31 januari 2004 @ 14:05:
[...]

IP's kunnen ook vervalst worden, dat heet IP-Spoofing. Zie hier: http://www.securityfocus.com/infocus/1674

Ip spoofing? Maar 1 kant op ja, afaik. Niet bruikbaar voor dergelijke doelen dus.

we_are_borg schreef op 01 februari 2004 @ 01:03:
[...]


Ik heb het gemerkt en er stonden 300.000 email in de queue ik dacht dat ik Exchange uit had gezet maar dit bleek niet zo te zijn. We zijn er van uit gegaan dat de relay 4 maanden (ben 4 maanden ziek geweest) heeft open gestaan. Aangezien alles gewoon werkte heb ik in die tijd geen storings mededeling gekregen. Die 300.000 emails hadden de datum van een dag dus ik moet er even niet aan denken wat er weg gezonden is in al die maanden.

En nergens op een blacklist geraakt?

bjck schreef op 01 februari 2004 @ 02:48:
[...]


En nergens op een blacklist geraakt?

Weet ik niet maar is niet zo erg de exchange server was alleen voor intern gebruik en normale emails verloop allemaal via een provider. Het was een normale DSL aansluiting wel eens waar 2Mbit down en 512Kbit up maar genoeg om een hoop spam eruit te gooien. De emails die ze op die aansluiting doen is alleen maar om te leren emailen en internetten ed.. Nu alleen nog een mooie cursus hoe beveilig ik exchange voor me en controleer daarna alles een paar keer.