Quali sono gli attacchi comuni al server SMTP?

Alcuni hack sfruttano le debolezze del Simple Mail Transfer Protocol (SMTP).

Account enumeration
Un modo intelligente in cui gli attaccanti possono verificare se esistono account di posta elettronica su un server è semplicemente quello di telnet al server sulla porta 25 ed eseguire il comando VRFY. Il comando VRFY fa sì che il server verifichi l'esistenza di uno specifico ID utente. Gli spammer spesso automatizzano questo metodo per eseguire un attacco di directory harvest, che è un modo di racimolare indirizzi e-mail validi da un server o da un dominio da utilizzare per gli hacker.
Attacchi che utilizzano l'enumerazione degli account

Scrivere questo attacco può testare migliaia di combinazioni di indirizzi e-mail.
Il comando SMTP EXPN potrebbe permettere agli attaccanti di verificare quali mailing list esistono su un server. Puoi semplicemente telnetare al tuo server di posta elettronica sulla porta 25 e provare EXPN sul tuo sistema.
Un altro modo per automatizzare in qualche modo il processo è usare il programma EmailVerify in Essential NetTools di TamoSoft.
Un altro modo per catturare indirizzi e-mail validi è usare theHarvester per racimolare indirizzi tramite Google e altri motori di ricerca. È possibile scaricare BackTrack Linux per masterizzare l'immagine ISO su CD o avviare l'immagine direttamente attraverso VMWare o VirtualBox. Nella GUI di BackTrack, scegliete semplicemente Backtrack→Raccolta di informazioni→SMTP→Goog Mail Enum e inserite ./goog-mail.py -d -l 500 -b google .

Contromisure contro l'enumerazione degli account
Se state eseguendo Exchange, l'enumerazione degli account non sarà un problema. Se non stai eseguendo Exchange, la soluzione migliore per prevenire questo tipo di enumerazione degli account di posta elettronica dipende dalla necessità o meno di abilitare i comandi VRFY e EXPN:
Disabilita VRFY e EXPN a meno che tu non abbia bisogno che i tuoi sistemi remoti raccolgano informazioni sugli utenti e sulle mailing list dal tuo server.
Se hai bisogno delle funzionalità VRFY e EXPN, controlla la documentazione del tuo server di posta elettronica o del firewall di posta elettronica per la possibilità di limitare questi comandi a specifici host sulla tua rete o su Internet.
Assicurati che gli indirizzi e-mail aziendali non siano pubblicati sul web.

Relay

Il relay SMTP permette agli utenti di inviare e-mail attraverso server esterni. I relay di posta elettronica aperti non sono più il problema di una volta, ma è comunque necessario controllarli. Gli spammer e gli hacker possono usare un server di posta elettronica per inviare spam o malware attraverso la posta elettronica sotto le sembianze dell'ignaro proprietario del relay aperto.

Test automatici
Ecco un paio di modi semplici per testare il tuo server per il relay SMTP:
Strumenti online gratuiti: www.abuse.net/relay.html
Strumenti basati su Windows: NetScanTools Pro
In NetScanTools Pro, è sufficiente inserire i valori per il nome del server di posta SMTP, il nome del dominio di invio. All'interno di Test Message Settings, inserisci l'indirizzo email del destinatario e l'indirizzo email del mittente.
Quando il test è completo, clicca semplicemente su View Relay Test Results.

Test manuale
Puoi testare manualmente il tuo server per il relay SMTP collegandoti al server di posta sulla porta 25. Segui questi passi:
1. Telnet al tuo server sulla porta 25.
Puoi farlo in due modi:
Usa la tua applicazione telnet grafica preferita, come HyperTerminal o
SecureCRT.
Inserisci il seguente comando al prompt dei comandi di Windows o UNIX:
telnet mailserver_address 25
Dovresti vedere il banner di benvenuto SMTP quando la connessione viene effettuata.
2. Inserisci un comando per dire al server, "Ciao, mi sto connettendo da questo dominio."
3. Inserisci un comando per dire al server il tuo indirizzo e-mail.
4. Inserisci un comando per dire al server a chi inviare l'e-mail.
5. Inserisci un comando per dire al server che il corpo del messaggio deve seguire.
6. Inserisci il seguente testo come corpo del messaggio:
7. Termina il comando con un punto su una linea da solo.
Il punto finale segna la fine del messaggio. Dopo aver inserito questo periodo finale, il tuo messaggio sarà inviato se il relay è permesso.
8. Controlla il relay sul tuo server:
Cerca un messaggio simile a Relay not allowed di ritorno dal server.
Contromisure contro gli attacchi SMTP relay
Puoi implementare le seguenti contromisure sul tuo server di posta elettronica per disabilitare o almeno controllare il relay SMTP:
Disabilita il relay SMTP sul tuo server di posta. Se non sai se hai bisogno del relay SMTP, probabilmente non ne hai bisogno. Puoi abilitare il relay SMTP per specifici host sul server o all'interno della configurazione del tuo firewall.
Forzare l'autenticazione se il tuo server di posta elettronica lo permette. Potresti essere in grado di richiedere l'autenticazione con password su un indirizzo e-mail che corrisponde al dominio del server di posta elettronica. Controllate la documentazione del vostro server di posta elettronica e del vostro client per i dettagli su come impostarla.

Rivelazioni dell'intestazione della posta elettronica
Se il vostro client e server di posta elettronica sono configurati con i tipici valori predefiniti, un hacker potrebbe trovare informazioni critiche:
Indirizzo IP interno della vostra macchina client di posta elettronica
Versioni software del vostro client e server di posta elettronica insieme alle loro vulnerabilità
Nomi di host che possono divulgare le convenzioni di denominazione della vostra rete

Contromisure contro la divulgazione degli header
La migliore contromisura per prevenire la divulgazione di informazioni negli header di posta elettronica è di configurare il vostro server di posta elettronica o firewall di posta elettronica per riscrivere gli header, cambiando le informazioni mostrate o rimuovendole. Controllate la documentazione del vostro server di posta elettronica o firewall per vedere se questa è un'opzione.
Se la riscrittura dell'intestazione non è disponibile, potreste comunque impedire l'invio di alcune informazioni critiche, come i numeri di versione del software del server e gli indirizzi IP interni.

Malware
I sistemi di posta elettronica sono regolarmente attaccati da malware come virus e worms. Verificate che il vostro software antivirus stia effettivamente funzionando.
EICAR offre un'opzione sicura per verificare l'efficacia del vostro software antivirus.
EICAR è un think tank sul malware con sede in Europa che ha lavorato in collaborazione con i fornitori di anti-malware per fornire questo test di sistema di base. La stringa di test EICAR si trasmette nel corpo di una e-mail o come allegato di un file in modo da poter vedere come rispondono il tuo server e le tue stazioni di lavoro. In pratica accedi a questo file sul tuo computer per vedere se il tuo software antivirus lo rileva: