"Благими намерениями
дорога в Ад вымощена"
Стало пословицей.

Кратко смысл данной статьи можно выразить так: существующие службы (анонимных)почтовых пересылок ( часто называемых римейлингом или форвардингом) за счётсовместных недоработок открывают путь для тупейшей атаки на отказпроизвольного почтового ящика/сервера с небольшими ресурсами и ... самих себя!Хуже всего то, что методика, описанная ниже, по силам и "чайнику"( правда,последнего потом, ещё можно найти). Кстати и сам автор специализируется совсем в другой области.

Атака описана на примере использования почтовых служб mail.ru, hotmail.ru и анонимного римейлера remailer@replay.com. Все имена (кроме анонима и хостовпочтовых серверов) разумеется изменены. Атакуемый объект принадлежал личноавтору.

Кто хорошо знаком с системами римейлинга/форвардинга может пропустить первыедва раздела.

На эту идею автор натолкнулся, используя бесплатные мейл-сервера дляобеспечения рассылок почты по нескольким филиалам.

Проще говоря, я использовал систему пересылки почты сервера mail.ru, указывая вполе пересылки созданного почтового ящика e-mail'ы семи или восьми филиалов.Таким образом при рассылке 200 килобайтного письма экономился примерно 1 Mbтрафика. Со временем число филиалов выросло, возникла необходимостьобъединить их в группы. Система рассылки стала иерархической, примерно такой:
group1@ ... :( пять адресов)
group2@ ... : ( три адреса)
group3@ ... : ( семь адресов)
all_group@ ... : (три_адреса: group1, group2, group3)

Возможность пересылки на несколько адресов сразу предлагают очень немногопочтовых серверов, в частности mail.ru. Надо отметить также, что этот серверсразу отказывался принимать список для пересылки, когда по ошибке в нём два раза повторялся один и тот же адрес. Более того, если адреса в группахпересекались, то всё равно отсылался лишь один экземпляр письма! Молодцы.

Естественно, начал мучить вопрос, а что будет, если подставить рекурсивнуюссылку, например в адреса для какой-нибудь группы поставить адрес её самой или "all_group".

Почитав литературу, быстро убедился, что ничего не произойдёт, нормальныесервера пересылки вставляют в заголовок характерную строчку, позволяющую имизбежать зацикливания, по схеме: А пересылает на Б, Б на А. При повторномполучении того-же письма оно будет уничтожено, обычно без отсылки извещения.

Иначе открылась бы перспектива "случайно" загрузить сервера огромнымколичеством бессмысленной работы. Пусть, например, А пересылает на (B,C) B -на (A,C) C - (А, Б). Нетрудно увидеть, что эта схема приводит кэкспоненциальному росту количества сообщений в системе. К счастью, думалосьмне, подобное развитие событий исключено.

Прошёл примерно год ... Все чаще на наши адреса стал приходить спам, чьи авторыуспешно пользовались анонимными почтовыми службами (типа remailer@replay.com,remailer@anon.egfa.org ) Сети для удаления первоначального адреса письма.Процедура совсем несложная: в заголовке (или начале письма ) пишете строкувида "Anon-To:адреса_получателей", и отсылаете письмо на remailer@replay.com . В указанные почтовые ящики придут письма с обрезанным заголовком.

Постойте-ка, ведь использование анонимных римейлеров( дальше просто -анонимов), позволяет некоторое количество раз обойти ограничение нарекурсивную пересылку. Рассмотрим нашу последнюю схему: А пересылает на (B,C);
B - на (A,C); C - (А, Б).

В заголовок (начало) письма добавим N строк "Anon-To: A, B, C". A,B,C пустьпересылают на аноним (R) .

Теперь, если послать письмо на A, B или С, то пока R исчерпает все строкиAnon-To, и в сети будет гулять 3**N (три в степени N) писем. Для N=100, этопорядка 10**48 писем, что где-то на 20 порядков больше, чем число проходящихза день во всём Интернете. Вряд ли, какой сервер выдержит это. А ведь N можетбыть скажем равным 20, а адрес C - Вашим ( или Вашего врага, илиpostmaster@kavkaz.org ;-) ). С - получит около 2**21 ( двух миллионов) писем.Если в каждом будет 100 килобайт текста то "выход" составит 200 Gb. Что станетс его сервером и каналом?

Впрочем, в этой схеме средний аноним накроется где-то на N>10 (они и так-топерегружены), но ведь никто не мешает написать более оптимальную схему, вкоторой основная нагрузка падает на форвардер.

Пример.
attack@post - атакуемый объект
Mail.ru, hotmail.ru - форвардеры. Второй форвардер необходим т.к. mail.ru непозволит продублировать адрес даже цепочкой внутренних пересылок, а hotmail.ruпересылает только на один адрес.
Аноним - remailer@replay.com
a_readr@mail.ru пересылает на remailer@replay.com, attack@post иtmp_atck@hotmail.ru [, tmp2_atck@hotmail.ru, tmp3_atck@hotmail.ru ...]

tmp_atck@hotmail.ru на attack@post
[tmp2_atck@hotmail.ru на attack@post
tmp3_atck@hotmail.ru на attack@post
...]

В начале письма N фрагментов:"
::
Anon-To: remailer@replay.com, a_readr@mail.ru
<пустая строка>
" ( самому себе аноним тоже отсылает).

Отсылаем письмо на a_readr@mail.ru. Всё!

При N=2 и без дополнительных адресов tmp2_atck , tmp3_atck, ... attack@post -получил 14 писем. С k дополнительными их было бы (2**N-1)*(2+k). Ещё болееопасной формой атаки является случай, когда один из форвардеров указывает на несуществующий адрес реального почтового сервера, перегружая последний вцелом. Впрочем, это бесконечная тема.

Сразу оговорюсь, что в этой области не силён. Может кто-то и знает/придумаетэффективный способ защиты. Пожалуйста поделитесь.

От большинства атак на отказ можно защититься грамотной конфигурациейсервера. Описанная же методика, в лучшем случае просто забьёт Ваш почтовыйящик или сервер. К сожалению, от нас здесь мало что зависит. Почти ничего. Авот авторы анонимов могут помочь. Обычным пользователям можно пользоватьсяпочтой с ограниченным размером почтового ящика ( если у Вас ещё сохранились такие "старомодные" провайдеры). Скорее всего упадёт лишь Pop-сервер. Еслиместные провайдеры уже забыли о такой "услуге", попробуйте Web - почту типа@netscape.net, с ограниченным почтовым ящиком. Мне кажется, здесь аноним илифорвард выйдет из строя гораздо раньше.

Можно, конечно поставить фильтр на известные анонимы или форвардеры, но ведьими пользуются нормальные пользователи.

Анонимам же достаточно начать обрабатывать сразу все заголовки "Anon-To". Рост превратиться в линейный. Это тоже плохо, но уже совсем не смертельно. Ещёлучше обрабатывать только последнюю строчку переадресовки.

Разумеется, владельцам подобных анонимов были посланы соответствующие письма,но наверняка они затерялись в жалобах на спаммеров, да и римейлеров в Cетикуда больше, чем может найти автор...

На 23 сентября 1999 г. пример ещё работал.

P.S. Пример специально построен на достаточно медленных или перегруженныхсерверах, чтобы их нельзя было эффективно использовать для атаки.

A.V.Komlin