نحوه ارسال هرزنامه ها به صورت اسپم (دریافت پیوندک)

نوشته شده در تاریخ: 28/09/00 | نویسنده:نفیسه دانشگرمقدم

امروزه با گسترش هرچه بیشتر کسب و کارهای اینترنتی و استفاده از سرویس های ایمیل کاربران با پدیده ناخوشایندی تحت عنوان دریافت اسپم مواجه هستند. صرف نظر این که از چه شرکت هاستینگی سرویس میزبانی خود را تهیه کرده کرده اید، دریافت اسپم را ممکن است به کرّات تجربه کرده باشید.

برخلاف تصور رایج که فقط هک کردن وب سایت و آپلود اسکریپت های مخرب تنها راه ورود اسپم ها هستند، باید گفت که را های دیگری نیز وجود دارند. به عنوان مثال، ممکن است به دلیل استفاده از یک حساب کاربری نامطمئن، استفاده از اسکریپت های خطرناک یا پیکربندی نادرست سرور ایمیل (Mail server) نیز شاهد ورود اسپم ها باشیم.

در این مقاله قصد داریم به بررسی راه های مختلف ارسال اسپم (هرزنامه) از طریق وب سرور بپردازیم و در ادامه راه های مقابله با ارسال اسپم را معرفی کنیم.

به عنوان یک شرکت هاستینگ یا کسی دارای هاست اشتراکی و یا سرور اختصاصی و یا سرور مجازی می باشد لازم است اطلاعاتی در مورد نحوه ارسال اسپم بدست آورد. در ادامه به بررسی انواع روش های ارسال اسپم در سرورهای ایمیل می پردازیم.

ارسال اسپم از طریق هک

رایج ترین علت ارسال اسپم به هک سایت یا سرور مربوط می شود. اما سوال اینجاست که هکرها چگونه این کار را انجام می دهند؟

یک سایت را می توان از طریق اسکریپت های آسیپ پذیر هک کرد. یکی از روش های هک متداول هک از طریق دسترسی FTP یا SSH است. هکر از طریق این دسترسی حتی می تواند به پنل مدیریتی سرور و یا حتی پنل میزبانی وب دسترسی داشته باشد و کنترل آن را در اختیار بگیرد. این دسترسی این امکان را برای هکر فراهم می کند اسپم اسکریپت ها را روی سایت یا سرور قرار دهد و از طریق آن شروع به ارسال اسپم کند. این ارسال اسپم می تواند به سادگی لیست IPهای یک سرور را در لیست IPهای مسدود شده (Black list) قرار دهد و ارسال ایمیل را از طریق سرور غیر ممکن کند!

برای اینکه متوجه شوید ارسال اسپم از کجا انجام می شود کافیست، بخش هدر ایمیل اسپم و یا لاگ ها سرویس ایمیل را بررسی نمایید. همچنین بررسی فایل access_log نیز می تواند کمک کننده باشد.

گاهی اوقات،خود وب سایت هک نمی شود بلکه از طریق دسترسی SSH به سرور اسکریپت ها روی روی سرور قرار می گیرند و سپس ارسال اسپم از طریق این اسکریپت ها انجام می گیرد.

به منظور رفع این مشکل باید اسکن کامل روی سایت هک شده انجام شود و سرور را به منظور بررسی اسکریپت های مخرب جستجو کرد. شما باید اسکریپت ارسال کننده و تمام اسکریپت های مورد استفاده برای هک را پاک کنید و نقاط آسیپ پذیر سرور را شناسایی و نسبت به محافظت در برابر حملات بعدی اقدام نمایید.

ارسال اسپم بدون انجام هک

در این بخش به بررسی انواع جالب تری از تکنیک های هکر برای ارسال اسپم در هاست های اشتراکی و یا سرورهای مجازی می پردازیم. سوالی که در این بخش مطرح می شود این است که چگونه می توان بدون هک کردن یک وب سایت و یا حتی بدون نصب اسپم اسکریپت ها، اسپم ارسال کرد؟ برای انجام این کار 5 راه وجود دارد.

1. ارسال اسپم از طریق اسکریپت های پستی آسیب پذیر

اسکریپت های موجود در سایت که مقادیر ارسال شده از طریق درخواست ها را بررسی نمی کنند مشکل ساز هستند. اسکریپت ها در صورتی که دارای نقاط آسیب پذیر باشند می توانند مورد سوء استفاده قرار گرفته شوند و در نهایت برای ارسال هرزنامه مورد استفاده قرار بگیرند. به عنوان مثال می توان به افزونه VirtueMart در جوملا اشاره کرد. طبق گزارشات با استفاده از این افزونه هرکسی می تواند متن دلخواه خود را به صورت اسپم برای هر گیرنده ای ارسال کند.

یکی دیگر از روش های متداول برای ارسال اسپم استفاده از طریق فرم های بازخورد است. برخی برای مقابله با این روش ارسال اسپم از ربات های محافظ (مانند CAPCHA) استفاده می کنند. اما باید به این نکته توجه داشت که با استفاده از ربات های مدرن اسپم، به راحتی می توان از CAPTCHAهای ضعیف عبور کرد. اگر فرم وب سایتی دارای هیچ مکانیزم محافظتی در برابر ربات ها نباشد، احتمال ارسال اسپم بسیار زیاد است. فرم های “تماس با با ما” یا “سفارش سریع” از جمله فرم های دردسرساز هستند. این فرم ها اغلب با استفاده از کنترلرهای ajax به صورت پنجره های pop-up در وب سایت ظاهر می شوند.

برای حل سناریوهای بالا می توان با ایجاد فیلد “من ربات نیستم.” مکانیزم اعتبارسنحی را پیچیده کرد. شما می توانید در فرم های خود از مکانیزم reCAPTCHA گوگل استفاده کنید.

2. ارسال اسپم از طریق ثبت نام کاربران به صورت انبوه یا حملات انبوه وب سایت

در برخی سایت هایی که امکان ثبت نام در آن وجود دارد، می توان با ارسال اعلان های ثبت نام، ایمیل های زیادی را ایجاد کرد. در ادامه به نحوه عملکرد این نوع ارسال اسپم می پردازیم.

با استفاده از یک ربات در هر ثانیه چندین بار درخواست های از پیش طراحی شده ای را به سایت ارسال می کند. این امر سبب ایجاد کاربران جدید در پایگاه داده می شود. مدیر وب سایت به صورت خودکار یک ایمیل جهت تایید یا رد ثبت نام ارسال می کند. از طرف دیگر یک پیام اعلان ساده نیز ارسال می شود که بیانگر این است که یک کاربر جدید ثبت نام کرده است. چنین پیام هایی را می توان با سرعت چند صد ایمیل در ساعت ارسال کرد.معمولا شرکت های هاستینگ در صورتی که تعداد پیام های ارسالی از حد مجازی فراتر رود، ایمیل ها را مسدود می کند.

این مشکل معمولا در سایت های جوملا که از مؤلفه K2 استفاده می کنند و یا فرم هایی که در آن مدیر گزینه “ارسال اعلان ثبت نام” را فعال کرده است، مشاهده می شود. می توانید این مشکل را با افزودن مکانیزمی جهت محافظت در برابر ثبت نام خودکار حل کنید (به عنوان مثال Google reCAPTCHA). یک راه حل موقت دیگر غیرفعال کردن اعلان های ثبت نام کاربر است.

یکی دیگر از روش های ارسال اسپم از طریق پلاگین های نظارتی مورد استفاده است. منایع وبی که در موتورهای جستجو فهرست شده اند، دائما مورد حمله قرار می گیرند. اسکنرها، ربات ها و هکرها به دنبال فایلهای حساس و آسیب پذیر در اسکریپت ها هستند. اگر سایت از یک پلاگین نظارت بر حمله  استفاده کند، هر صفحه یک ایمیل اعلان برای مدیر سایت ایجاد می کند. با توجه به این که ممکن است ده ها حمله در ثانیه وجود داشته باشد، چنین اعلان هایی به سرعت تبدیل به اسپم می شوند و صف سرور ایمیل را مسدود می کنند. به منظور محافظت از سرور شرکت هاستینگ (میزبان) می تواند سرویس ایمیل و یا حتی کل سایت را مسدود کند.

3. ارسال پیام از طریق SMTP یک سرور دیگر

خوشبحتانه پیکربندی نادرست SMTP روی سرور مجازی و یا اختصاصی نادر است، اما با این حال باز هم اتفاق می افتد. این مشکل خاص را اصطلاحا رله باز می نامند. از طریق یک میل سرور هر کاربر غیرمجازی می تواند با استفاده از پروتکل SMTP نامه ارسال کند.

اگر به دلیل تنظیمات نادرست رله SMTP روی سرور اختصاصی شما فعال باشد، سرور می تواند به منظور ارسال اسپم مورد سوء استفاده قرار بگیرد. این ارسال اسپم در نهایت به بلاک شدن از سوی سرویس های مانیتورینگ منجر می شود که باعث مسدود شدن ارسال ایمیل می گردد. از طریق وب سایت mtoolbox.com می توانید صحت پیکربندی SMTP را بررسی کنید. اگر مطابق با بررسی انجام شده سرور ایمیل درست پیکربندی نشده بود بلافاصله با شرکت هاستینگ تماس بگیرید.

4. ارسال اسپم از طریق هک Mailbox دامنه

ایمیل های شرکتی ثبت شده در دامنه سایت به طور فزاینده ای در معرض خطر قرار دارند. هکرها پسوردهای انتخابی، پسوردهای به سرقت رفته و غیره به سرور ایمیل دسترسی پیدا کنند.

این اتفاق زمانی رخ می دهد که کاربر در یک اتصال ناامن شبکه به کار خود می پردازد. ممکن است در دستگاه های مورد استفاده (کامپیوتر، موبایل، تبلت و غیره) تروژان ها یا key logger ها وجود داشته باشند. و یا این که هکرها به حسابدار یا مدیری که به مشتریان مختلف ایمیل می زند ایمیل می فرستد به امید این که در صورت در نظر گرفتن امنیت اطلاعات توسط آن مدیر یا حسابدار بتواند ارتباط بگیرد و به اطلاعات مورد نیاز دست پیدا کند.

اگر ایمیل روی سرورهای هاست میزبانی شود، اسپم ارسالی از طریق ایمیل هک شده در واقع از طریق سرور ایمیل شرکت هاستینگ ارسال می شود. با بررسی هدر پیام های ارسال شده می توان متوجه شد که از چه دامنه ای این ایمل ها ارسال شده است.

به عنوان یک اقدام پیشگیرانه، رمزهای عبور باید هر چندوقت یکبار تغییر داده شوند و هر بار با مقادیر پیچیده و متفاوتی تنظیم گردند.

5. ارسال اسپم با استفاده از نام فرستنده جایگزین

اغلب صاحبان سایت هایی که دارای ایمیل روی سرور ایمیل میزبان خود هستند، ایمیل هایی را دریافت می کنند که اصطلاحا به آن ها NDR (مخفف  Non-Delivery Report) گفته می شود. این ها ایمیل هایی هستند که به تحویل داده نشده اند. در چنین مواردی، ایمیل ممکن است یک اسپم باشد و شامل یک متن تبلیغاتی، یک لینک یا پیوست مخرب باشد. واضح است که کاربر ایمیل، این اسپم ها را ارسال نکرده است. پس چه زمانی و چگونه این اتفاق می افتد؟

ار دو طریق این ارسال اسپم صورت می گیرد:

  1. هک یکی از ایمیل های دامنه  (که در بالا به آن اشاره شد.)
  2. ارسال ایمیل از طریق یک آدرس جعلی

روش دوم به این صورت عمل می کند که هکرها می توانند از یک توالی تصادفی از کاراکترها به جای نام کاربری آدرس ایمیل استفاده کنند به طور مثال [email protected]
اگر پیام به گیرنده تحویل داده نشود، ایمیل برگشت می خورد (ممکن است صدها یا هزاران پیام از این دست وجود داشته باشد). اگر این mailbox در دامنه تعریف نشده باشد، پیام ها به inbox پیش فرض تحت عنوان ایمیل های تحویل نشده می رود و یا این که حذف خواهد شد.

حذف ایمیل برگشتی چندان هم بد نیست. اما مهاجمان اغلب از آدرس های ایمیل معتبر برای ارسال اسپم استفاده می کنند و می توانند با استفاده از یک آدرس واقعی (به عنوان مثال [email protected]) در قسمت From ایمیل ارسال کنند. اگر مکانیزم های احراز هویت SPF و DKIM مربوطه در دامنه mysite.com پیکربندی نشده باشد، تمام پیام های تحویل نشده به [email protected] بازگرداده می شوند. تنها راه مقابله با این نوع ارسال اسپم، راه اندازی و تنظیم یک فیلتر آنتی اسپم در سرورهای اشتراکی یا سرورهای اختصاصی است.

پیشنهاداتی برای تنظیم ایمیل

در این قسمت دو توصیه برای پیکربندی ایمین سرویس هایایمیل وجود دارد که در ادامه به آن ها اشاره می کنیم.

1. دامنه خود را به سرویس های اختصاصی ایمیل مانند Gmail  متصل کنید. این کار عملکرد صحیح سرور SMTP را تضمین می کند و امکان استفاده از IMAP را به شما می دهد و سطح مناسبی از حفاظت در برابر اسپم را فراهم می کند.

2. پیکربندی درست SPF، DMARC و DKIM سبب می شود (برای مطالعه بیشتر می توانید این لینک را مطالعه کنید) تا از تغییر آدرس فرستنده جلوگیری کنید.

نتیجه گیری

اسپم ها را نمی توان فقط ناشی از تنظیمات ناامن سرور ایمیل یا نقاط آسیب پذیر سایت دانست. ارسال اسپم می تواند به دلیل عدم توجه صاحبان سایت، مسئولان آی تی و سایر افرادی باشد که مسئول حفظ امنیت اطلاعات هستند. بنابراین برای حل مشکل ارسال اسپم باید ترکیبی از اقدامات فنی و سازمانی باشد.

 

The following two tabs change content below.

نفیسه دانشگرمقدم