63 - Open Relay - 03/03/2007


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Las siguientes situaciones y sus preguntas asociadas son frecuentes cuando se habla de seguridad en el correo electrónico:

  • ¿por qué a disminuido considerablemente el ancho de banda de la red interna de la organización?
  • envío correos pero los mismos tardan horas en llegar al destinatario ¿qué sucede?
  • se encuentra un tráfico excesivo en los servidores de correo ¿a que se debe?
  • las cuotas de disco destinado a correo es insuficiente siempre ¿qué se debe hacer?
  • los correos de mi organización son considerados Spam ¿por qué?

Todas estas situaciones suelen tener una respuesta en común: OpenRelay [1].

Se denomina así a un servidor de correo (más precisamente el MTA [2] utilizado) que no verifica ninguna credencial para enviar correos desde un dominio considerado.

En otras palabras, es un programa (el mail server) configurado (o mejor dicho sin configurar) que permite a un usuario sin autenticar enviar correos desde ese dominio.

Cabe aclarar que sólo usuarios autorizados deberían poder hacer envíos de correos y al tener Open Relay en el servidor de correo, generalmente instalados por defecto, no se necesita un usuario y una contraseña para realizar el envío.

Como se sabe, en sus principios Internet era una red abierta cuyo objetivo era comunicar a las personas, por lo que los servidores de correo eran Open Relay por defecto y esto podía, ser considerado una ventaja.

Con el advenimiento de las redes actuales y la masividad de las comunicaciones esto, poco a poco, se transformó en una grave vulnerabilidad: permitir a cualquier usuario ubicado en cualquier lugar del mundo enviar correos desde un servidor que conserve el Open Relay.

Por supuesto, existen diferentes bases de datos públicas que mantienen una lista actualizada de las direcciones de los servidores con Open Relay.

Como es fácil de percibir, esto es miel en el paladar de los spammers y otros delincuentes, quienes buscan estos servidores para aprovecharlos para sus fines.

Cuando el Spam comenzó a ser un flagelo, buscando una solución al mismo, se crearon las Listas Negras (Black Lists) que son bases de datos en donde se almacenan las direcciones IP de los servidores que conservan Open Relay.

En su comienzo fue una solución viable ya que la verificación en estas listas era un punto importante para considerar al correo como Spam o proveniente de un dominio "legal".

Con el tiempo esta solución comenzó tener puntos débiles, muchos de los cuales se conservan:

  • Cualquiera puede agregar un dominio/IP/rango en las listas negras por lo que puede perjudicarse intencionalmente o sin desearlo a cualquier servidor/organización/persona.
  • Muchas veces en vez de agregar sólo una dirección IP se agrega un rango completo, por lo que usuarios inocentes pueden pagar el precio del bloqueo. Esto es común cuando un usuario instala un servidor de correo en su hogar. Las listas en vez de bloquear sólo la IP del usuario con problemas, bloquean el rango de IPs de su proveedor de Internet (ISP).
  • Si bien solucionar un Open Relay es sencillo (cerrarlo), luego debe informarse a la Black List en la que se figure para ser dados de baja de la misma. Esto suele acarrear inconvenientes, porque la exclusión puede tardar demasiado, además de que se deben pasar ciertas pruebas impuestas por los mantenedores de las listas.
  • Las listas son usadas como medio de información por delincuentes.

Entonces, las preguntas anteriormente planteadas suelen tener este denominador en común: un persona a encontrado un servidor con Open Relay y no ha dudado de aprovecharse de él. Luego, el abuso que suele hacerse de estos servidores trae como consecuencia:

  • Consumo excesivo de ancho de banda de la red, por lo que las comunicaciones pueden verse afectadas.
  • La gran cantidad de correos encolados en el servidor causan retraso de los correos legales.
  • Consumo excesivo de cuota de disco utilizado por los correos generados por el intruso.
  • El dominio de una organización legal puede ser agregado y sus correos ser considerados Spam.
  • Daños a la imagen de la organización.

Las desventajas mencionadas para las listas han puesto en tela de juicio a los principales mantenedores de Black List al punto de llegar a juicios y demandas por parte de empresas que consideran que han sido injustamente agregadas.

Por otro lado estas listas aseguran que son un punto neurálgico importante para el funcionamiento de Internet ya que si dejaran de actualizarse, se deberían buscar otras formas de validar el origen de los correos.

En este sentido, el debate está abierto. Lo que no debe estar abierto bajo ningún punto de vista es el servidor de correo de nuestra organización que debe configurarse de forma adecuada para evitar los problemas mencionados.

Por eso es fundamental conocer si el servidor está bien configurado y, de no ser así, tomar los recaudos necesarios para solucionar la vulnerabilidad a la brevedad.

Para ello, puede verificar su servidor leyendo la configuración recomendada del software. Además, es bueno buscar si su dominio aparece listado en alguno de las siguientes listas:

http://www.spamhaus.org/sbl/index.lasso
http://dsbl.org/listing
http://www.spamcop.net/bl.shtml
http://www.google.com/search?q=open+relay

O bien, siéntase un hacker y pruebe su servidor Ud. mismo con estas sencillas instrucciones (utilizando telnet):
http://www.tejedoresdelweb.com/slides/spam/img12.html
http://www.uic.edu/depts/accc/ecomm/openrelay.html

Y también pruebe su servidor con servicios gratuitos:
http://www.rediris.es/mail/abuso/ln.es.html
http://www.abuse.net/relay.html
http://www.mob.net/~ted/tools/relaytester.php3
http://spamlinks.net/prevent-secure-relay-test.htm
http://www.google.com/search?q=open+relay+test

Si luego de todo ello ha podido probar que su servidor tiene Open Relay, obtenga las instrucciones de como cerrarlo:
http://www.cyberciti.biz/tips/test-mail-server-for-an-open-relay.html
http://seguinfo.blogspot.com/2007/01/que-hacer-si-se-entra-en-una-lista.html

Y si como esto fuera poco, en nuestro foro puede encontrar consultas al respecto y sus soluciones:
http://www.segu-info.com.ar/foro/?q=spam

Recientemente se ha puesto en funcionamiento una campaña que pretende crear concientización al respecto dando las instrucciones para cerrar los Open Relay y así dar un principio de solución al
Spam, si bien como ya vimos en "Ataques a las bases de Internet" [7], los spammers ya tienen otras alternativas eficientes (los botnets y los zombies).

Además recuerde: NO entregue su cuenta de correo en foros y sitios webs, la misma será robada a la brevedad y su casilla de correo se transformará en un infierno.

[1] Open Relay
http://es.wikipedia.org/wiki/Open_Relay
http://en.wikipedia.org/wiki/Open_mail_relay


[2] MTA
http://es.wikipedia.org/wiki/Mta
http://en.wikipedia.org/wiki/Mta

Buenos Aires, 03 de marzo de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto