Retrodispersión (correo electrónico)

Backscatter (también conocido como outscatter , rebotes mal dirigidos , blowback o spam colateral ) son mensajes de rebote automatizados incorrectamente enviados por servidores de correo, generalmente como un efecto secundario del spam entrante .

Los destinatarios de dichos mensajes los ven como una forma de correo electrónico masivo no solicitado o spam, porque no fueron solicitados por los destinatarios. Son sustancialmente similares entre sí y se envían en grandes cantidades. Los sistemas que generan retrodispersión de correo electrónico pueden aparecer en varias listas negras de correo electrónico y pueden infringir los Términos de servicio de los proveedores de servicios de Internet .

La retrodispersión se produce porque los gusanos y los mensajes de spam suelen falsificar sus direcciones de remitente . ^[1] En lugar de simplemente rechazar un mensaje de spam, un servidor de correo mal configurado envía un mensaje de rebote a una dirección falsificada. Esto suele ocurrir cuando un servidor de correo está configurado para retransmitir un mensaje a un paso de procesamiento posterior a la cola, por ejemplo, un análisis antivirus o una comprobación de spam, que luego falla, y en el momento en que se realiza el análisis antivirus o la comprobación de spam, el cliente ya se ha desconectado. En esos casos, normalmente no es posible rechazar la transacción SMTP , ya que un cliente se quedaría sin tiempo mientras espera a que finalice el análisis antivirus o la comprobación de spam. Lo mejor que se puede hacer en este caso es descartar el mensaje en silencio, en lugar de correr el riesgo de crear retrodispersión.

Las medidas para reducir el problema incluyen evitar la necesidad de un mensaje de rebote realizando la mayoría de los rechazos en la etapa inicial de conexión SMTP ; y para otros casos, enviar mensajes de rebote solo a direcciones que se puedan juzgar de manera confiable como no falsificadas, y en esos casos no se puede verificar el remitente, ignorando así el mensaje (es decir, descartándolo).

Causa

Los autores de spam y virus desean que sus mensajes parezcan provenir de una fuente legítima para engañar a los destinatarios para que abran el mensaje, por lo que a menudo utilizan software de rastreo web para escanear publicaciones de Usenet , foros de mensajes y páginas web en busca de direcciones de correo electrónico legítimas.

Debido al diseño del correo SMTP , los servidores de correo de los destinatarios que reciben estos mensajes falsificados no tienen una forma simple o estándar de determinar la autenticidad del remitente. Si aceptan el correo electrónico durante las fases de conexión y luego, después de una verificación adicional, lo rechazan (por ejemplo, el software determina que es probable que el mensaje sea spam), utilizarán la dirección del remitente (posiblemente falsificado) para intentar de buena fe informar el problema al aparente remitente.

Los servidores de correo pueden gestionar mensajes no entregados de cuatro maneras fundamentalmente diferentes:

• Rechazar . Un servidor receptor puede rechazar el correo electrónico entrante durante la etapa de conexión mientras el servidor emisor aún está conectado . Si un mensaje se rechaza en el momento de la conexión con un código de error 5xx, el servidor emisor puede informar el problema al remitente real de forma clara.
• Descartar . Un servidor receptor puede aceptar inicialmente el mensaje completo, pero luego determinar que es spam o virus y luego eliminarlo automáticamente, a veces reescribiendo el destinatario final a "/dev/null" o algo similar. Este comportamiento se puede utilizar cuando la "puntuación de spam" de un correo electrónico es muy alta o el correo contiene un virus. RFC  5321 dice: "El descarte silencioso de mensajes debe considerarse solo en aquellos casos en los que existe una gran confianza en que los mensajes son seriamente fraudulentos o inapropiados de otro modo".
• Cuarentena . Un servidor receptor puede aceptar inicialmente el mensaje completo, pero luego determinar que es spam y ponerlo en cuarentena , enviándolo a las carpetas de "Correo no deseado" o "Spam", desde donde se eliminará automáticamente. Este es un comportamiento común.
• Rebote . Un servidor receptor puede aceptar inicialmente el mensaje completo, pero luego determinar que es spam o que está dirigido a un destinatario inexistente y generar un mensaje de rebote al supuesto remitente indicando que la entrega del mensaje falló.

La retrodispersión se produce cuando se utiliza el método de "rebote" y la información del remitente en el correo electrónico entrante es la de un tercero no relacionado.

Reducir el problema

Cada paso para controlar los gusanos y los mensajes spam ayuda a reducir la retrodispersión, pero otros enfoques comunes, como los de esta sección, también reducen el mismo problema.

Rechazo en la etapa de conexión

Durante la conexión SMTP inicial , los servidores de correo pueden realizar una serie de comprobaciones y, a menudo, rechazar correos electrónicos con un código de error 5xx mientras el servidor de envío aún está conectado . Rechazar un mensaje en la etapa de conexión de esta manera generalmente hará que el MTA de envío genere un mensaje de rebote local o una Notificación de No Entrega (NDN) a un usuario local autenticado. ^[2]

Las razones del rechazo incluyen:

• Validación de destinatario fallida ^{[3] [4] [5]}
• Comprobaciones antifalsificación fallidas, como SPF , DKIM o Sender ID
• Servidores que no tienen una entrada DNS inversa confirmada hacia adelante
• Remitentes en listas de bloqueo ^[6]
• Rechazo temporal mediante métodos de lista gris

Los agentes de transferencia de correo (MTA) que reenvían correo pueden evitar la generación de retrodispersión mediante el uso de un proxy SMTP transparente .

Comprobación de destinatarios rebotados

Los servidores de correo que envían mensajes de rebote de correo electrónico pueden utilizar una variedad de medidas para determinar si una dirección de retorno ha sido falsificada.

Filtrado de retrodispersión

Si bien es deseable evitar la retrodispersión, también es posible reducir su impacto filtrándola, y muchos sistemas de filtrado de spam ahora incluyen la opción de intentar detectar y rechazar ^[7] el correo electrónico retrodispersado como spam.

Además, los sistemas que utilizan esquemas como Bounce Address Tag Validation "etiquetan" su correo electrónico saliente de una forma que les permite detectar de manera confiable los mensajes de rebote falsos entrantes .

Véase también

• El trabajo de Joe

Referencias

1. "Actas de la tercera conferencia internacional sobre seguridad y privacidad en redes de comunicaciones". 2007 Tercera Conferencia Internacional sobre Seguridad y Privacidad en Redes de Comunicaciones y Talleres - SecureComm 2007 . IEEE. 2007. pp. i. doi :10.1109/seccom.2007.4550292. ISBN 978-1-4244-0974-7.
2. Alternativamente, si el MTA está retransmitiendo el mensaje, sólo debería enviar dicho NDN a un originador plausible Klensin, J (abril de 2001), Simple Mail Transfer Protocol, IETF , pág. 25, doi : 10.17487/RFC2821 , RFC 2821, como se indica en la ruta inversa.por ejemplo, donde se ha pasado una comprobación SPF .
3. El poder oculto del filtrado de remitentes y destinatarios, MS Exchange.org.
4. "Configuración del filtrado de destinatarios", Technet, Microsoft
5. "Verificación de la dirección del destinatario", archivo readme de verificación de dirección , Postfix.org.
6. Marsono, MN (2007), "Rechazo de correo no deseado durante sesiones SMTP", Proc. Communications, Computers and Signal Processing , Pacific Rim: IEEE, págs. 236-39.
7. "El "Conjunto de reglas de rebote de virus" es un conjunto de reglas de SpamAssassin para detectar la retrodispersión"

Enlaces externos

• Ataques DDoS de correo a través de mensajes que no se entregan (PDF) , Techzoom, 2004, archivado desde el original (documento) el 16 de enero de 2013 , consultado el 11 de abril de 2008.
• "Retrodispersión", Postfix (readme).
• "Backscatter", SpamLinks, archivado desde el original el 5 de abril de 2008{{citation}}: CS1 maint: unfit URL (link).
• RFC  3834: Recomendaciones para respuestas automáticas al correo electrónico.
• "Autorespondedores de correo idiotas", una pregunta frecuente del infierno, FI: Iki.
• "¿Por qué son malos los respondedores automáticos?", Preguntas frecuentes, SpamCop.
• No rebote el spam:Por qué no deberías rebotar el spam.
• ¿100 correos electrónicos rebotados? Te han enviado un mensaje de correo electrónico, PC World.