Причини розсилки спаму з сайту

1. Спам-розсилка в результаті злому
2. Спам-розсилка без злому
3. Рекомендації по настройці пошти
4. В якості висновку

Всупереч розхожій думці, спам може розсилатися не тільки в результаті злому сайту і завантаження на нього шкідливих скриптів. Є багато варіантів, коли причиною спаму стає компрометація доступів, наявність вразливостей в скриптах або просто некоректно налаштований поштовий сервер.

Діаграма джерел і причин розсилки спаму представлена ​​нижче:

Розглянемо всі можливі причини розсилок поштового спаму з сайту (або сервера) і варіанти вирішення цієї проблеми.

Спам-розсилка в результаті злому

Злом сайту або сервера - це найбільш популярна причина виникнення несанкціонованої розсилки. Як все відбувається? Сайт зламуються хакерами через уразливості в скриптах або в результаті розкриття доступів (облікових записів) до FTP / SSH / адмін-панелі сайту або панелі хостингу. Отримавши можливість завантажувати файли, хакер (або його бот) розміщує спам-скрипти в каталогах сайту або сервера і розсилає спам через них. Виявити джерело спам-розсилки даному випадку допоможе аналіз службових заголовків спам-листи (або балок поштового сервісу) і журналу access_log.
Іноді зламують не саме сайт, а сервер (наприклад, орендований VPS), завантажують по SSH скрипти Perl або Python і через них організовують розсилку поштового спаму або тунель.

Для вирішення проблеми необхідно провести повну діагностику на злом, сканування сайту (сервера) на наявність шкідливих скриптів, видалити не тільки спам-розсильників, але і всі інші хакерські скрипти, а потім закрити уразливості і встановити захист від злому.

Спам-розсилка без злому

Розглянемо більш цікаві варіанти: як спам може розсилатися без злому сайту (сервера) і спам-скриптів. Їх п'ять.

1. Спам через уразливості в скриптах відправки листів
   Якщо на сайті є скрипти, які не перевіряють значення, передані в запиті, то велика ймовірність експлуатації уразливості і розсилки спаму через легітимні скрипти. Так було, наприклад, з розсилкою спаму через рекомендаційний компонент плагіна virtuemart в Joomla, де будь-який бажаючий міг відправити довільний текст безпідставного адресату.
   Другий популярний варіант розсилки спаму - це використання форм зворотного зв'язку, у яких не реалізований механізм захисту від ботів (captcha) або зі слабким захистом (стандартна captcha). Слабкі капчи легко обходяться сучасними спам-ботами, а якщо форма не містить жодних механізмів захисту від ботів, то ймовірність спаму близька до 100%. Наприклад, проблеми часто виникають у сайтів з формами "Зателефонуйте мені" або "Швидке замовлення", які реалізовані у вигляді спливаючого вікна з ajax-обробником.
   Проблема спам-розсилки вирішується за допомогою додавання до форми спеціального поля зі складним механізмом перевірки "я не бот", наприклад, від Google Recaptcha2.
   
2. Спам через масові реєстрацій користувачів або атак на сайт
   На багатьох сайтах, де (можливо і неявно) активована функція реєстрації користувачів, великий потік листів може генеруватися в результаті відправки повідомлень про реєстрацію. Як це працює: спеціальний бот кілька разів на секунду відправляє спеціально сформовані запити на сайт, в результаті чого в базі даних створюються нові користувачі, а адміністратору на email надсилається повідомлення про те, що необхідно схвалити або відхилити реєстрацію (або просто лист-повідомлення з інформацією про те, що на форумі або сайті з'явився новий користувач). Таких листів може відправлятися кілька сотень на годину. Дана проблема часто зустрічається на сайтах Joomla з активним компонентом K2 або на форумах, де адміністратор включив опцію відправлення повідомлень про реєстрацію.
   Здавалося б, спам-розсилки як такої з сайту немає, але хостинг-компанія все одно може заблокувати роботу поштового сервісу для сайту через перевищення ліміту на кількість повідомлень, що відправляються.
   Проблема вирішується за допомогою додавання механізму захисту від автореєстрації (наприклад, через Google Recaptcha2) або (в якості тимчасового рішення) відключення повідомлень про реєстрацію користувачів.

   
   Ще одним джерелом несанкціонованої розсилки листів може бути проактивний захист або плагін моніторингу на сайті. Правда життя в тому, що на всі публічні веб-ресурси (наприклад, якщо сайт проіндексовані в пошуковій системі) йдуть постійні атаки: сканери, боти і хакери шукають "чутливі" файли і уразливості в скриптах. І якщо на сайті є плагін, що відслідковує веб-атаки, то будь-який хакерський запит до сторінок сайту формує відправку повідомлення адміністратору сайту по електронній пошті. З огляду на, що атак в секунду може бути кілька десятків, то подібні повідомлення швидко перетворюються в спам і забивають чергу поштового сервісу, а за це хостер може блокувати поштовий сервіс або навіть цілком сайт. Часто проблема спостерігається на Бітрікс-сайтах, якщо включена проактивний захист і повідомлення адміністратора по email.
   

3. Відправлення листів через SMTP іншого сервера
   На щастя, некоректно налаштований SMTP на VPS або виділений сервер - явище зараз рідкісне, але тим не менш можливе. Проблема називається "Open Relay" - це поштовий сервер, через який будь-неавторизований користувач може відправляти пошту по SMTP протоколу.
   Якщо на вашому виділеному сервері в результаті некоректних налаштувань присутній SMTP-relay, то сервер буде активно експлуатуватися для спам-розсилок і, швидше за все, його заблокує обслуговуюча компанія по скарзі від SpamCop або іншого моніторингового сервісу. Перевірити коректність налаштування SMTP на сервері можна на цій сторінці . Якщо у вас виявлена ​​некоректна настройка поштового сервера, зверніться до адміністратора.
   
4. Розсилка спаму через злом поштової скриньки домену
   Останнє, що приходить в голову власнику сайту, якого заблокували за спам - це перевірити свої поштові скриньки домену на злом.
   Останнім часом все частіше піддаються компрометації саме корпоративні email, зареєстровані в домені сайту. Доступ до пошти хакери отримують в результаті підбору / перехоплення / крадіжки паролів, а це, в свою чергу, трапляється при роботі користувача з небезпечного з'єднання з мережею, в результаті роботи троянських програм або клавіатурних шпигунів на комп'ютері і мобільному пристрої. Зламати можуть email бухгалтера або менеджера по роботі з клієнтами - тих, хто не особливо присвячений в тему інформаційної безпеки.
   Якщо пошта розміщена в серверах хостера, то спам, що відправляється через зламаний email, буде йти також через поштовий сервер хостинг-компанії, і власник сайту отримає повідомлення про спам-розсилці. За аналізом службових заголовків листів, що відправляються можна визначити, з якого саме email відправляються листи.
   Як превентивний захід слід якомога частіше міняти паролі від поштових скриньок, встановлювати їх складними і різними.
   
5. Відправлення спаму з підміною відправника
   Часто власники сайтів, у яких пошта знаходиться на поштових серверах хостера, отримують так звані NDR (Non Delivery Report) - повідомлення про недоставлених поштових листах. При цьому текст листа може містити спам-повідомлення (рекламний текст, фішингова посилання або шкідливий аттачем). Природно, дані листи користувач поштового ящика не відправляв. В яких випадках дана проблема може виникати?
   Варіанта два:
   1. Злом поштової скриньки, про який ми писали в пункті №4.
   2. Відправлення листів з фальшивого email.
   Наприклад, в якості email відправника хакери можуть використовувати випадкову послідовність символів замість імені користувача: [email protected] В цьому випадку, якщо лист не доставлено одержувачу (а в разі спам-розсилки таких листів сотні або навіть тисячі), то email повертається на [email protected] . Звичайно, найімовірніше даного поштового ящика не буде зареєстровано в домені і лист потрапить або в ящик, який призначений як обробник "по-замовчуванню" для всіх недоставлених листів (наприклад, email адміністратора або власника сайту), або буде видалено. Це ще півбіди. Але найчастіше зловмисники використовують існуючі email для відправки спаму. Ніщо не заважає хакеру відправити email, вказавши в полі From чийсь існуючу адресу, наприклад, [email protected] . Особливо, якщо для домену mysite.ru, на якому зареєстрований email, не налаштовані відповідні аутентифікаційні механізми SPF і DKIM . Тоді все недоставлені листи повернуться на [email protected] і єдиний варіант боротьби з ними - це настройка антиспам-фільтра на поштовому сервері або фільтра, який буде видаляти NDR листи автоматично.

Рекомендації по настройці пошти

Кілька базових рекомендацій щодо безпечної налаштування пошти на домені:

1. Підключіть домен до спеціалізованих поштових сервісів pdd.yandex.ru, корпоративний gmail, mail.ru для бізнесу. Це гарантує коректну роботу SMTP сервера, дозволить працювати з безпечного IMAP і забезпечить належний рівень захисту від спаму.
2. Налаштуйте DMARC, SPF, DKIM для вашого домену, щоб захиститися від помени відправника.

В якості висновку

Як можна помітити, поштовий спам - це проблема не тільки технічного плану, пов'язана з небезпечними настройками поштового сервера і уразливими на сайті. Причиною спаму може бути також і недостатня увага до питань інформаційної безпеки з боку власників сайту, співробітників компанії і сторонніх фахівців. Тому дану проблему потрібно вирішувати в комплексі: як технічними засобами, так і організаційними заходами.