De open relay-epoche (1997-2003)
In 1997 begon Cyber Promotions met het massaal spammen van internetgebruikers, aanvankelijk via hun eigen mailservers. Zodra systeembeheerders wereldwijd e-mail van hun IP-adressen begonnen te blokkeren, zochten ze naar alternatieven. Cyber Promotions lukte het om advertenties te versturen via mailservers van andere bedrijven, die vaak open relays waren. Dit kwam omdat in die tijd er nog weinig misbruik was en systeembeheerders deze servers openlieten voor legitieme gebruikers.
Cyber Promotions en andere spammers maakten gebruik van deze open relays, wat leidde tot een verstopping van de netwerken. Systeembeheerders moesten veel tijd besteden om de chaos te verhelpen, terwijl de spammers snel hun methoden wijzigden om niet geblokkeerd te worden. Hierdoor werden DNS-gebaseerde blokkeringen opgezet om IP-adressen van open relays bij te houden en te blokkeren.
De terugkeer van open relays
In 2012 en 2013 heeft een project duizenden SBL-records aangemaakt voor open relay-mailservers. Spammers in verschillende landen maken opnieuw gebruik van open relays om spam te versturen. Ondanks inspanningen worden er dagelijks 10-20 nieuwe open relay-systemen ontdekt en misbruikt. Hoewel het probleem minder groot is dan voorheen, blijft het aanzienlijk, aangezien spam vaak via legitieme mailservers wordt verzonden, wat gevolgen heeft voor de organisaties die deze servers beheren.
Oorzaken van nieuwe open relays
De nieuwe open relays ontstaan vaak door onveilige configuraties, niet alleen van de mailservers zelf, maar ook van firewalls of beveiligingsapparaten. Een slechte configuratie in deze apparaten kan ertoe leiden dat het hele mailsysteem kwetsbaar wordt voor misbruik. Administrators van deze systemen zijn vaak zich niet bewust van hun kwetsbaarheid totdat een spammer gebruikmaakt van hun open relay.
Scenario’s van misconfiguratie
Er zijn twee veelvoorkomende scenario’s die leiden tot de creatie van open relays. Een veelvoorkomend probleem is dat firewalls de bron-IP-adressen van inkomende verbindingen vertalen naar een interne IP, waardoor de mailserver deze ziet als binnenkomende berichten van lokale gebruikers. In een ander scenario accepteert een beveiligingsapparaat verkeer zonder de juiste anti-relayregels toe te passen, waardoor het ook de mailserver in gevaar brengt.
Wat kunnen we doen?
Om open relays te voorkomen, moeten externe beveiligingsapparaten correct worden geconfigureerd. Eenvoudige firewalls of proxy’s mogen het bron-IP-adres niet wijzigen. Fabrikanten van dergelijke apparaten moeten hun producten verbeteren zodat ze niet gemakkelijk deel uitmaken van een open relay-systeem. Training en bewustwording rond e-mailbeveiliging blijven cruciaal, en het testen van alle mailsystemen op open relay-kwetsbaarheden is essentieel.