Retransmisión de correo abierta

Servidor SMTP que permite a cualquier persona enviar correo electrónico a través de él

Diagrama de retransmisión de correo

Un relé de correo abierto es un servidor de Protocolo simple de transferencia de correo (SMTP) configurado de tal manera que permite a cualquier persona en Internet enviar correo electrónico a través de él, no solo correo destinado a usuarios conocidos u originado por ellos. ^{[1] [2] [3]} Esta solía ser la configuración predeterminada en muchos servidores de correo; de hecho, fue la forma en que se configuró Internet inicialmente, pero los relés de correo abiertos se han vuelto impopulares debido a su explotación por parte de spammers y gusanos . Muchos relés fueron cerrados o fueron colocados en listas negras por otros servidores.

Historia y tecnología

Hasta la década de 1990, los servidores de correo se configuraban intencionalmente como retransmisores abiertos; de hecho, esta era frecuentemente la configuración predeterminada de instalación. ^[1] El método tradicional de almacenamiento y reenvío de correo electrónico a su destino requería que se pasara de computadora a computadora (a través de Internet y más allá) a través de módems en líneas telefónicas. Para muchas redes tempranas, como UUCPNET , FidoNet y BITNET , las listas de máquinas que eran retransmisores abiertos eran una parte central de esas redes. ^[2] El filtrado y la velocidad de entrega de correo electrónico no eran prioridades en ese momento y, en cualquier caso, los servidores gubernamentales y educativos que inicialmente estaban en Internet estaban cubiertos por un edicto federal que prohibía la transferencia de mensajes comerciales. ^{[4] [5]}

Abuso por parte de spammers

A mediados de los años 1990, con el aumento del spam , los spammers recurrieron a redireccionar su correo electrónico a través de servidores de correo electrónico de terceros para evitar la detección ^[6] y explotar los recursos adicionales de estos servidores de retransmisión abierta. Los spammers enviaban un correo electrónico al retransmisor abierto e incluían (efectivamente) una gran lista de copias ocultas , luego el retransmisor abierto retransmitía ese spam a toda la lista. ^[7] Si bien esto redujo en gran medida los requisitos de ancho de banda para los spammers en una época en la que las conexiones a Internet eran limitadas, obligó a que cada spam fuera una copia exacta y, por lo tanto, más fácil de detectar. Después de que el abuso por parte de los spammers se generalizara, el funcionamiento de un retransmisor abierto pasó a ser mal visto entre la mayoría de los administradores de servidores de Internet y otros usuarios destacados. ^[6] Los retransmisores abiertos se desaconsejan en RFC 2505 y RFC 5321 (que define SMTP). La naturaleza de copia exacta del spam que utiliza retransmisiones abiertas facilitó la creación de sistemas de detección de correo electrónico masivo como Razor de Vipul y Distributed Checksum Clearinghouse . Para contrarrestar esto, los spammers se vieron obligados a cambiar a detectores de hash para hacerlos menos efectivos y se eliminó la ventaja de usar relés abiertos ya que cada copia de spam era "única" y debía enviarse individualmente.

Dado que los relés de correo abiertos no hacen ningún esfuerzo por autenticar al remitente de un correo electrónico, son vulnerables a la suplantación de direcciones . ^[2]

Esfuerzos contra el spam

Muchos proveedores de servicios de Internet utilizan listas negras basadas en el sistema de nombres de dominio (DNSBL) para rechazar el correo procedente de retransmisiones abiertas. Una vez que se detecta o se informa de un servidor de correo que permite a terceros enviar correo a través de él, se lo añade a una o más de esas listas, y otros servidores de correo electrónico que utilicen esas listas rechazarán cualquier correo procedente de esos sitios. No es necesario que el retransmisor se utilice para enviar correo basura para que se lo incluya en la lista negra; en cambio, se lo puede incluir en la lista negra después de una prueba sencilla que simplemente confirme el acceso abierto. ^{[8] [ se necesita una mejor fuente ]}

Esta tendencia redujo el porcentaje de remitentes de correo que eran retransmisores abiertos de más del 90% a mucho menos del 1% en el transcurso de varios años. ^[9] Esto llevó a los spammers a adoptar otras técnicas, como el uso de botnets de computadoras zombi para enviar spam.

Una consecuencia de la nueva inaceptabilidad de los relés abiertos fue un inconveniente para algunos usuarios finales y ciertos proveedores de servicios de Internet . Para permitir que los clientes usaran sus direcciones de correo electrónico en ubicaciones de Internet distintas a los sistemas de la empresa (como en la escuela o el trabajo), muchos sitios de correo permitieron explícitamente la retransmisión abierta para que los clientes pudieran enviar correo electrónico a través del ISP desde cualquier ubicación. ^[10] Una vez que la retransmisión abierta se volvió inaceptable debido al abuso (e inutilizable debido al bloqueo de los relés abiertos), los ISP y otros sitios tuvieron que adoptar nuevos protocolos para permitir que los usuarios remotos enviaran correo. Estos incluyen hosts inteligentes , SMTP-AUTH , POP antes de SMTP y el uso de redes privadas virtuales (VPN). El Grupo de trabajo de ingeniería de Internet (IETF) ha escrito una lista de las mejores prácticas actuales que cubren las operaciones de envío de correo electrónico en RFC 5068.

Tenga en cuenta que lo anterior solo se convierte en un problema si el usuario desea (o debe) continuar enviando correos electrónicos de forma remota, utilizando el mismo servidor SMTP al que accedía anteriormente de forma local. Si tiene acceso válido a algún otro servidor SMTP desde su nueva ubicación remota, normalmente podrá utilizar ese nuevo servidor para enviar correos electrónicos como si lo hiciera desde su antigua dirección, incluso cuando este servidor esté protegido adecuadamente. (Aunque esto puede implicar una reconfiguración del cliente de correo electrónico del usuario , lo que puede no ser del todo sencillo).

La Ley CAN-SPAM de 2003 prohíbe enviar spam a través de un relé abierto en los Estados Unidos , pero no establece disposiciones sobre su uso para correo electrónico personal ni sobre su funcionamiento en general; la eficacia de la ley ha sido cuestionada. ^{[11] [12]}

Los defensores de la actualidad

El servidor de retransmisión de correo abierto más famoso que opera en la actualidad es probablemente el de John Gilmore [ ^{6] [13],} quien sostiene que la gestión de un servidor de retransmisión de correo abierto es una cuestión de libertad de expresión . Su servidor está incluido en muchas listas negras de retransmisiones de correo abierto (muchas de las cuales se generan por "detección automática", es decir, por listas negras antispam que envían un correo electrónico de prueba (no solicitado) a otros servidores para ver si serán retransmitidos). Estas medidas hacen que se bloquee gran parte de su correo electrónico saliente ^[6] . Junto con su configuración deliberada adicional del servidor, su retransmisión de correo abierto permite a las personas enviar correo electrónico sin que su dirección IP sea visible directamente para el destinatario y, por lo tanto, enviar correo electrónico de forma anónima . En 2002, su retransmisión de correo abierto, junto con otras 24, fue utilizada por un gusano informático para propagarse ^{[14] .}

John Gilmore y otros defensores de la retransmisión abierta declaran que no apoyan el spam ni el envío de correo basura, pero ven una amenaza mayor en los intentos de limitar las capacidades de la Web que pueden bloquear la evolución de las nuevas tecnologías de próxima generación. Comparan las restricciones de comunicación de la red con las restricciones que algunas compañías telefónicas intentaron imponer en sus líneas en el pasado, impidiendo la transferencia de datos informáticos en lugar de la voz. ^[15]

Relés de cierre

Para no ser considerado "abierto", un relé de correo electrónico debe ser seguro y estar configurado para aceptar y reenviar únicamente los siguientes mensajes (los detalles varían de un sistema a otro; en particular, pueden aplicarse restricciones adicionales): ^[16]

• Mensajes de direcciones IP locales a buzones de correo locales
• Mensajes de direcciones IP locales a buzones de correo no locales
• Mensajes de direcciones IP no locales a buzones de correo locales
• Mensajes de clientes autenticados y autorizados

En particular, un relé de correo SMTP debidamente protegido no debería aceptar ni reenviar correos electrónicos arbitrarios desde direcciones IP no locales a buzones no locales por parte de un usuario no autenticado o no autorizado.

En general, cualquier otra regla que un administrador elija aplicar (por ejemplo, en función de lo que un correo electrónico proporciona como su propia dirección de remitente del sobre) debe ser adicional a, en lugar de reemplazar, las anteriores. ^[16] De lo contrario, el relé sigue estando efectivamente abierto (por ejemplo, por las reglas anteriores): es fácil falsificar la información del encabezado y del sobre del correo electrónico, es considerablemente más difícil falsificar con éxito una dirección IP en una transacción TCP/IP debido al protocolo de enlace de tres vías que ocurre cuando se inicia una conexión.

Los relés abiertos también han sido resultado de fallas de seguridad en el software, en lugar de una mala configuración por parte de los administradores del sistema. ^{[17] [18] [19]} En estos casos, se deben aplicar parches de seguridad para cerrar el relé.

Las iniciativas de Internet para cerrar los relés abiertos no han logrado su objetivo, porque los spammers han creado botnets distribuidos de computadoras zombi que contienen malware con capacidad de retransmisión de correo. La cantidad de clientes bajo el control de los spammers es ahora tan grande que las contramedidas antispam anteriores que se centraban en cerrar los relés abiertos ya no son efectivas.

Véase también

• Relé (desambiguación)
• Suplantación de correo electrónico
• Correo no deseado
• Suplantación de identidad (phishing)
• DMARC
• DKIM
• Marco de políticas para remitentes

Referencias

1. The Trustees of Indiana University (2008-04-01). "En Unix, ¿qué es un relé de correo abierto?". Servicios de Tecnología de la Información de la Universidad . Universidad de Indiana . Archivado desde el original el 2007-06-17 . Consultado el 2008-04-07 .
2. "¿Qué es el relé abierto?". WhatIs.com . Universidad de Indiana . 19 de julio de 2004. Archivado desde el original el 24 de agosto de 2007 . Consultado el 7 de abril de 2008 .
3. "FTC y agencias internacionales anuncian "Operación Asegure su Servidor"". Comisión Federal de Comercio . 2004-01-29. Archivado desde el original el 6 de marzo de 2008 . Consultado el 2008-04-07 .
4. RFC 1192 Comercialización de Internet
5. Aber, James S. "Internet y la World Wide Web". ES 351 y 771. Consultado el 7 de abril de 2008 .
6. "Los bloqueadores de spam lo transmiten". WIRED . 2 de julio de 2001. Archivado desde el original el 1 de junio de 2008 . Consultado el 7 de abril de 2008 .
7. Relé abierto. ¿Qué significa?
8. "La red del Gran Hermano ahora controla tu correo electrónico".
9. Hoffman, Paul (20 de agosto de 2002). "Permitir la retransmisión en SMTP: una serie de encuestas". Informes de IMC . Internet Mail Consortium . Archivado desde el original el 18 de enero de 2007. Consultado el 13 de abril de 2008 .
10. Atkins, Steve. "Preguntas frecuentes sobre news.admin.net-abuse.email". Archivado desde el original el 27 de julio de 2012. Consultado el 8 de abril de 2008 .
11. Estados Unidos: una nueva arma en la lucha contra el spam
12. Está funcionando la ley CAN-SPAM?
13. "Un viaje al pasado: el relevo abierto de John Gilmore". 2006-12-29 . Consultado el 2008-04-07 .
14. "Worm utiliza el relé abierto de John Gilmore en toad.com para reproducirse". 2002-03-07 . Consultado el 2008-04-07 .
15. "Restricciones en la retransmisión de correo abierto desde el punto de vista de John Gilmore". Archivado desde el original el 3 de mayo de 2012. Consultado el 25 de junio de 2010 .
16. "Reparación de relés de correo abiertos: consejos de JANET del Reino Unido". Archivado desde el original el 24 de febrero de 2008. Consultado el 12 de abril de 2008 .
17. "DSA-554-1 Sendmail -- Contraseña preestablecida". Debian . 2004-09-27 . Consultado el 2010-05-09 .
18. "MS02-011: Un fallo de autenticación podría permitir que usuarios no autorizados se autentiquen en el servicio SMTP". Microsoft . 2007-03-29 . Consultado el 2008-10-28 .
19. "XIMS: Los mensajes enviados a direcciones SMTP encapsuladas se redireccionan aunque la función de redireccionamiento esté deshabilitada". Microsoft . 2006-10-26 . Consultado el 2008-10-29 .