¿Por qué una dirección de CORREO DESDE vacía puede enviar un correo electrónico?

Estamos utilizando el sistema de correo inteligente. Recientemente, descubrimos que el pirata informático había pirateado algunas cuentas de usuario y enviado muchos spam. Tenemos cortafuegos para ratelimitar al remitente, pero para el siguiente correo electrónico, el cortafuegos no pudo hacer esto debido a la dirección DE vacía. ¿Por qué una dirección FROM vacía se considera correcta? En realidad, en nuestro MTA (surgemail), podemos ver al remitente en el encabezado del correo electrónico. ¿Alguna idea?

11:17:06 [xx.xx.xx.xx][15459629] rsp: 220 mail30.server.com
11:17:06 [xx.xx.xx.xx][15459629] connected at 6/16/2010 11:17:06 AM
11:17:06 [xx.xx.xx.xx][15459629] cmd: EHLO ulix.geo.auth.gr
11:17:06 [xx.xx.xx.xx][15459629] rsp: 250-mail30.server.com Hello [xx.xx.xx.xx] 250-SIZE 31457280 250-AUTH LOGIN CRAM-MD5 250 OK
11:17:06 [xx.xx.xx.xx][15459629] cmd: AUTH LOGIN
11:17:06 [xx.xx.xx.xx][15459629] rsp: 334 VXNlcm5hbWU6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 334 UGFzc3dvcmQ6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 235 Authentication successful
11:17:07 [xx.xx.xx.xx][15459629] Authenticated as [email protected]
11:17:07 [xx.xx.xx.xx][15459629] cmd: MAIL FROM:
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <> Sender ok
11:17:07 [xx.xx.xx.xx][15459629] cmd: RCPT TO:[email protected]
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <[email protected]> Recipient ok
11:17:08 [xx.xx.xx.xx][15459629] cmd: DATA

El vacío MAIL FROMse utiliza para notificaciones de estado de entrega. Los servidores de correo deben admitirlo ( RFC 1123 sección 5.2.9 ).

Se usa principalmente para mensajes de rebote, para evitar un bucle sin fin. Cuando MAIL FROMse usa con una dirección vacía (representada como <>), el servidor receptor sabe que no debe generar un mensaje de devolución si el mensaje se envía a un usuario inexistente.

Sin esto, podría ser posible que alguien lo haga simplemente falsificando un mensaje a un usuario inexistente en otro dominio, con una dirección de retorno de un usuario inexistente en su propio dominio, lo que resulta en un ciclo interminable de mensajes de rebote.

¿Qué pasaría si bloquea los mensajes con un vacío MAIL FROM:?

• Sus usuarios no recibirían mensajes de rebote de otros dominios: nunca sabrían si cometieron un error al enviar correo a un usuario en otro dominio.

Los MAIL FROM:mensajes vacíos que está viendo probablemente no provienen de un spammer.

En cambio, un spammer falsificó una dirección en su dominio y la usó como la dirección de retorno de un mensaje a otro dominio. Digamos que eres yourdomain.comy mi dominio es mydomain.net. El spammer envía un mensaje a [email protected], fingiendo la dirección de retorno como [email protected]. Dado que no hay ningún usuario johnqen mi dominio, mi servidor de correo envía un mensaje de rebote ( MAIL FROM:<>) al remitente aparente, [email protected]. Eso es lo que probablemente estés viendo.

Bloquear MAIL FROMmensajes vacíos hará más daño que bien, en mi opinión. Los spammers, en mi experiencia, rara vez usan un vacío MAIL FROM:ya que pueden falsificar fácilmente una dirección real. Cuando el mensaje es spam real, hay formas mucho mejores de detectarlo y bloquearlo, incluidos los RBL, los filtros bayesianos y SpamAssassin.

Y, por último, puede evitar al menos algunas de las falsificaciones mediante la yourdomain.comconfiguración de registros SPF adecuados para su dominio.

Actualización: después de mirar más de cerca su registro, alguien pudo AUTHusar un nombre de usuario y contraseña válidos para su servidor. Esto lo coloca en otra categoría de problemas. Sin embargo, todo lo que dije MAIL FROM:sigue en pie. El 99% del tiempo será el resultado de mensajes de rebote.

Puede buscar la opción para que su servidor de correo limite MAIL FROM al correo electrónico autenticado del usuario. Muchos sistemas de correo aplican esa limitación.

Y así, obligar a los usuarios pirateados a cambiar la contraseña.