Professional Documents
Culture Documents
Todos los derechos protegidos. Distribución gratuita admitida bajo la condición de guardar la forma y el contenido actuales del artículo.
Revista „Hakin9”, Wydawnictwo Software, ul. Lewartowskiego 6, 00-190 Warszawa, piotr@software.com.pl
DOCUMENTO DESCARGADO DE WWW.HACKHISPANO.COM
¿Cómo se envía
un spam?
Tomasz Nidecki
E
bilidad por el envío de spams recae sobre ellos,
dejando a los spammers impunes.
Protocolo SMTP
absorbe muchísimos recursos. Para lle- varlo a Para comprender los métodos utilizados por
cabo, es imprescindible una co- los spammers es necesario saber cómo fun-
nexión rápida y un ordenador dedicado. Incluso ciona el protocolo más común para el envío
si el spammer dispone de tales recursos, el en- del correo electrónico: SMTP. Igual que la
vío puede tardar varias horas. Los proveedores mayoría de los protocolos empleados en
de internet no se entusiasman, por lo general, Internet, está basado en simples comandos
si de repente sus conexiones son utilizadas pa- textuales.
ra el envío de spam y el spammer puede perder
conexión con la red antes de poder enviar la
mayor parte de los mensajes. Si se le detiene
En nuestro artículo
puede sufrir graves consecuencias jurídicas
y perfeccionar el envío emplean dos métodos aprenderás...
básicos. El primero está basado en la mini-
• de qué manera los spammers envían los
mización del tiempo requerido para enviar el
mensaje. Es conocido como fire and forget, spams (empleando ordenadores de personas
es decir, ¨envía y olvida¨. Con este método inocentes),
el ordenador que envía los spams no espera • cómo proteger tu servidor ante spammers,
respuesta de los servidores con los cuales se • cómo funciona el protocolo SMTP,
contacta. El segundo método se basa en el ro- • qué es open relay, open proxy y zombie.
bo de los recursos de personas ajenas que por
algún motivo han configurado mal sus sistemas Qué deberías saber...
o han sido víctimas de virus. La mayoría de los
• cómo emplear las herramientas básicas del
costes y muchas veces, también la responsa-
sistema Linux.
Tabla 1. Lista de los comandos del protocolo SMTP utilizados con más
frecuencia:
> DATA
< 354 go ahead
Comando Descripción
> From: nadie@hakin9.org
HELO <FQDN> Presentarse al servidor > To: todos@example.com
EHLO <FQDN> Presentarse al servidor conectado con la > Subject: Nada
petición de darnos un listado de los >
comandos ESMTP disponibles > Esto es una prueba
MAIL FROM:<dirección> Introducir la dirección de correo > .
electrónico del remitente del email < 250 ok 1075929516 qp 5423
a la que podremos recibir eventuales
mensajes devueltos Después de enviar el mensaje, po-
RCPT TO:<dirección> Introducir la dirección del destinatario del demos terminar la conexión:
mensaje
> QUIT
DATA Pase al modo de recepción del contenido
< 221 Bye
del mensaje
AUTH <mecanismo> Autorización de la conexión (ESMTP); entre El servidor no siempre es capaz
los mecanismos más conocidos tenemos: de llevar a cabo nuestras orde-
LOGIN, PLAIN y CRAM-MD5 nes. Si obtenemos un código
que comience con la cifra 4 (códi-
Podéis encontrar una lista extensa de comandos SMTP y ESMTP en la go de la serie 4xx) eso significa
siguiente dirección: http://fluffy.codeworks.gen.nz/esmtp.html que el servidor temporalmente
rechaza la recepción del mensaje.
< 250 Ok de muchas listas negras es muy < 220 o2.pl ESMTP Wita
> rcpt to:<nobody@example.com> difícil, incluso a veces imposible). > helo hakin9.org
< 250 kogut.o2.pl
< 250 Ok
> mail from:<ania@o2.pl>
> data Empleo del open relay
< 354 End data with S Comprobemos lo fácil que es em-
< 250 Ok
> rcpt to:<
<CR><LF>.<CR><LF>
plear el open relay para el envío de < 250 Ok
> Subject: test
> spam. Como ejemplo tomaremos uno > data
> Esto es una prueba de los servidores polacos que está < 354 End data with S
<CR><LF>.<CR><LF>
> . mal configurado, utilizado por los
> Subject: test
< 250 Ok: queued as 17C349B22 spammers: lenox.designs.pl. Como >
> quit
podemos observar en el Listado 1, > Esto es una prueba
< 221 Bye
en este caso no tuvimos que reali- > .
zar pasos complicados para enviar < 250 Ok: queued as 31B1F2EEA0C
> quit
Deberíamos intentar enviarlo un un mensaje. El servidor considera
< 221 Bye
poco más tarde. Si obenemos a todos que conectan con él como
un código que comience con la usuarios autorizados para enviar
cifra 5 eso significa que el ser- correspondencia. Es el tipo del Como observamos en el Listado 2,
servidor open relay más peligroso, bastó con adivinar el nombre
vidor definitivamente rechaza la
puesto que es el más fácil de apro- del usuario para hacerse pasar
recepción de nuestro correo e inten-
vecharse. por él y enviar el mensaje. En el
tos posteriores carecen de sen-
Existen otros open relay, un caso de algunos servidores es su-
tido. Un listado con los comandos poco más difíciles de utilizar por ficiente dar el nombre del dominio
más importantes y los códigos obte- los spammers. Como ejemplo po- local, incluso no tiene que existir
nidos del servidor SMTP se ilustra demos tomar uno de los servidores el usuario por el que nos hacemos
en las Tablas 1 y 2. Servidores de correo que está mal configurado pasar.
open relay Cuando fue del portal polaco O2: kogut.o2.pl. Observamos una situación si-
milar en el Listado 3: otra vez nos
creado el protocolo SMTP, no
existía el problema del
spam y cada usuario tenía la capa- Tabla 2. Lista de los códigos de respuesta más importantes:
cidad de utilizar cualquier servidor
para enviar sus mensajes al mundo. Código Descripción
Ahora, cuando los spammers bus- 220 Servicio activo: el servidor nos da la bienvenida informando
can la oportunidad de aprovecharse
que le podemos enviar el comando
de algún servidor y enviar miles de
mensajes, este método no es acon- 250 Comando aceptado
sejable. Los servidores que permi- 354 Se puede empezar a introducir el contenido del mensaje
ten el envío de correo al mundo sin
autorización son conocidos como 450 El buzón del usuario está ocupado por el momento
open relay. (p. ej.: bloqueado por otro proceso)
Cada servidor que permite 451 Error local durante el procesamiento del correo
a usuarios no autorizados el envío 452 No hay espacio en el disco por el momento
de correo, tarde o temprano cae en
500 No existe el comando
manos de los spammers, lo que
puede acarrear consecuencias 501 Error en el comando o en sus parámetros
muy serias. Primero: porque puede 502 El comando no se implementó
provocar una reducción de eficacia 550 Buzón del usuario inaccesible
del ser vidor, el cual en vez de reci-
552 Se ha excedido el límite de espacio en el disco
bir y entregar mensajes a usuarios
autorizados, enviará spam. Segun- Podéis encontrar una lista completa de códigos y de normas de crearlos en
RFC 2821 (en nuestro CD).
dole es un bocado exquisito para los local. En la mayoría de los casos > Esto es una prueba
> .
spammers. el MTA sin autorización acepta las
< 250 ok 1077563277 qp 13947
conexiones del proxy local tratán-
> quit
Empleo del open proxy dolas del mismo modo que las de < 221 mail.example.com
En el Listado 6 está ilustrado el em- los usuarios locales. En estas si-
pleo de un open proxy que permite tuaciones el spammer no tiene que
conexión por medio de HTTP-CON- conocer ningún ser vidor open relay
NECT en el puerto 80. La mayor y puede tranquilamente llevar
Listado 6. Servidor open
parte de la conexión es la comuni- a cabo su actividad a costa y respo-
proxy empleado para el
envío anónimo de
correspondencia por open
relay
¿De dónde toman los spammers las direcciones open relay
$ telnet 204.170.42.31 80
y open proxy ? > CONNECT kogut.o2.pl:25 HTTP/1.0
Buscar por cuenta propia servidores mal asegurados puede resultar bastante proble- >
mático. Sin embargo, basta con recibir un spam enviado por open relay u open proxy < HTTP/1.0 200 S
para poder utilizarlo. Para verificar si bajo la dirección IP sospechosa hay un open Connection established
relay, podemos usar el script rlytest (http://www.unicom.com/sw/rlytest/ ), en cambio, < 220 o2.pl ESMTP Wita
para detectar un open proxy: pxytest (http://www.unicom.com/sw/pxytest/ ). Ambos se > helo hakin9.org
encuentran en nuestro CD. < 250 kogut.o2.pl
Los spammers que están interesados en per feccionar su actividad utili- > mail from:<ania@o2.pl>
< 250 Ok
zan, sobre todo, bases de direcciones comerciales open relay y open proxy.
> rcpt to:<hakin9@hakin9.org>
Es muy fácil encontrarlas, basta con escribir en cualquier buscador la palabra
< 250 Ok
open proxy u open relay y hacer click en los primeros vínculos (p. ej.: http:// > data
www.openproxies.com/ – 20 USD mensuales, http://www.openrelaycheck.com/ < 354 End data with S
– 199 USD semestrales). <CR><LF>.<CR><LF>
Otro método para obtener direcciones es descargar la zona que contenga > Subject: test
direcciones open relay u open proxy de uno de los servidores DNSBL (véase >
el artículo Protección contra spams en el servidor). De la página web http: > Esto es una prueba
//www.declude.com/junkmail/support/ip4r.htm podéis bajar un listado con todos > .
los servidores de este tipo. Para descargar la zona podemos emplear la aplicación < 250 Ok: queued as 5F4D41A3507
> quit
host: host -l <nom bre de la zona> <dirección DNSBL>. Desgraciadamente,
< 221 Bye
muchos servidores DNSBL no permiten bajar zonas completas.