Seznam - ideální pro spammery

Nálepku „Ideální pro spammery“ a pěknou ostudu si minulý a tento týden vysloužil portál Seznam.cz, respektive jeho freemailová služba email.seznam.cz. Ve středu 28. května totiž byl její SMTP server (smtp.seznam.cz, 212.80.76.43) na několik dnů přidán do databáze Open Relay Database (ORDB). Proti této databázi řada – převážně zahraničních – freemailů a ISP ověřuje příchozí poštu a je-li výsledek této kontroly pozitivní, je mail automaticky vyhodnocen jako spam. ORDB však používají i některé poštovní aplikace, jako třeba Kerio Mail Server. Je trochu překvapením, že si toho někdo povšiml až nyní, protože open relay se na zmíněném SMTP serveru nachází již několik let.

Co je open relay (resp. celým názvem open mail relay) a proč představuje problém? Poštovní server je open relay, pokud zpracuje mail, jehož odesílatel ani příjemce nejsou lokálními uživateli. Oba se v tomto případě nachází mimo lokální doménu (respektive mimo lokální rozsah IP adres, čistě technicky.), a poštovní server tak představuje nezúčastněnou třetí stranu celé „transakce“. Daná zpráva na něm zkrátka vůbec nemá co pohledávat. Open relay se bohužel v současnosti stávají doručovateli nevyžádané pošty – pocházející od spammerů – a přispívají tak k obtěžování uživatelů Internetu. Zatímco dříve open relay představovaly užitečnou věc, nyní se jedná o riziko.

Tiskový mluvčí Seznamu k tomu říká: „Je pravda, že v databázi ORDB se objevila naše IP adresa. Příčina vycházela ze skutečnosti, že jsme se při poskytování naší freemailové služby snažili být co nejvstřícnější k našim uživatelům. Těm, kteří nechtějí využívat webového rozhraní, jsme nabídli komfortní POP3 a SMTP přístup bez nutnosti složité konfigurace poštovních klientů. Náš interní systém obrany proti spamu zahrnuje několik úrovní ochranných opatření a v současnosti probíhá vývoj dalších prvků aktivní ochrany našich uživatelů (.). Naši pracovníci samozřejmě neustále kontrolují jednotlivé adresy a v případě jejich zneužití je ruší. I přesto bohužel stále platí obecný problém, že možnosti zneužití služeb tohoto typu zatím nikdo neumí 100procentně zabránit.“

Podle mého názoru to není tak úplně pravda, protože existují minimálně dva jednoduché způsoby, jak zneužití SMTP serveru předejít. Tím jednodušším je POP before SMTP a tím složitějším (ale lepším.) je ASMTP. POP before SMTP představuje elegantní cestu omezení na lokální uživatele: nejdříve se tento autorizuje skrze protokol POP3, v logu se zaznamená jeho IP adresa a z té je povoleno po omezenou dobu (například 15 minut) používání protokolu SMTP. Pak je třeba se opět „autorizovat“ stažením pošty. ASMTP je klasická autorizace, kdy je uživatel vybaven jménem a heslem a standardně se při požadavcích na SMTP server autorizuje. Ani jeden způsob nepředstavuje „složitou konfiguraci poštovního klienta“, první dokonce žádnou.

Ani ORDB však není dokonalou databází, protože registruje pouze tzv. single-stage open relay, ale nikoli již tzv. multi-stage open relay. Multi-stage open relay znamená, že nějaký poštovní server (který sám není open relay) zpracuje mail poštovnímu serveru, jenž již open relay je. Typicky je jedná o SMTP servery poskytovatelů Internetu, které jsou omezeny pouze na zákazníky daného ISP. Jednoduše řečeno: Zákazníkův systém (A) zpracovává veškeré maily a ty nelokální posílá skrze poskytovatelův systém (B). Ačkoli systém B není open relay sám o sobě, může k rozeslání spamu skrze něj dojít zneužitím systému A, který open relay v tomto případě představuje.