backscatter

Mail sistemleri kendisine gelen bir maili alıcı ya iletememesi durumunda RFC standartları ile belirtilmiş DSN (Delivery Status Notification) ya da NDR (Non-Delivery Reports) mesajlarını gelen mailin header bölümünde bulunan MAIL FROM ( yani aslında maili atan kişi ) adresine geri döndürmektedir. Özetle ben size bir mail attığım zaman eğer sizin posta kutunuz dolu ise sizin MTA' nız bunu size teslim edemeyeceği için banada durumu özetleyen bir NDR döndürür ( NDR kodları RFC ile belirlenmiştir ). Gelelim backscatter konusuna, eğer bir worm veya spam yapan kişisel spam olarak gönderdikleri binlerce mailin MAIL FROM bölümüne sizin mail adresinizi veya sizin domain bilginizi içeren mailler gönderirse bu durumda sizin posta sunucunuz belki kaldırabileceğinden çok daha fazla NDR mesajı ile boğuşmak zorunda kalacaktır.  Yani aslında sunucunuz DDOS bir atak yemiş oluyor ve artık sunucunuz servis veremez duruma düşüyor. Ayrıca yine siz bu atağın bir parçasıda olabilirsiniz, yani eğer sizin MTA' nız üzerinde backscatter filter gibi bu olayı önleyecek bir sistem yok ise ( yani sizin şirketinizde olmayan mailler için DSN döndürüyorsanız ) sizde bu yapılan DDOS arağın bir üyesi oluyorsunuz. Ayrıca bu hareketiniz ile binlerce gelen spam mail için sürekli DSN dönüyor ve spam yapıyor oluyorsunuz bunun sonucu olarakta black list' lere giriyorsunuz. Peki neden böyle bir atak türü var derseniz aslında bunun ilk nedeni atak değildir, eğer sizde toplu mail gönderiyorsanız bilirsiniz ki mail listenizdeki ölmüş yani artık kullanılmayan mail adresleri için karşı sunucudan binlerce DNS mesajı alırsınız ve bu da ciddi bir sunucuda yoğunluk artık bw kullanımına sebebiyet vermektedir, işte spamcıların ilk amacı bu yüksek bw kullanımı ve sunucu yükünden kurtulmaktır. İkinci olarak ise bu yönlendirilen mesajlar normal mesajlar gibi spam filterlara takılmazlar. Yani siz bir DSN mesajına bakarsanız eğer altında orjinal mesajıda görebilirsiniz ki aslında o orjinal mesaj reklam içerikli spam bir mesajdır.

Peki bundan kurtulmak için ne yapacağız derseniz her MTA için uygun bir backscatter filter kullanmak gerekli ki Exchange Server için Forefront Protection 2010 for Exchange Server bu işi yapmaktadır.

Yada gönderilen maillerin şirket organizasyonunda olduğunun kontrolünü yaparsanız eğer olmayan bir mail adresi kabul edilmeyeceği için DSN de gönderilmeyecektir. Çünkü bu kontrolü yapıyorsanız eğer daha smtp oturumu sırasında mesajı kabul etmeyeceğiniz için bu bir DSN mesajı olarak mail from bölümündeki sahte adrese değil direk size bu maili göndermek isteyen sunucuya dönmektedir ( yani mail kabul edilmez ek bir mesaj gönderilmez yanlış anlama olmasın ).