Spam z własnego „podwórka”

Czy oprogramowanie antywirusowe zainstalowane na serwerze może być główną i częstą przyczyną zwiększonego ruchu w sieci i zapychania skrzynek pocztowych prowadząc do Spamu? Niestety, ale tak. Poniżej chciałbym nieco zgłębić problem wewnętrznego spamu jaki daje się wszystkim we znaki.

Dlaczego tak się dzieje? Otóż mechanizm działania oprogramowania antywirusowego, które odpowiedzialne jest za powiadomienia użytkowników o wirusie w przesyłanej wiadomości jest dosyć prosty. Ponadto niektóre wirusy z wbudowanym własnym silnikiem SMTP (często wielowątkowym) nie potrzebują już serwera do wysyłania wiadomości do adresatów pobranych ze skrzynki pocztowej zarażonego komputera. Wirusy takie dodatkowo losowo wybierają i ustawiają nadawcę i odbiorcę listu, czyli jednym słowem podszywają się pod użytkownika, na którego spada wina za wysłanie wirusa, a łącząc to z ostatnią sytuacją jaką stworzył słynny już wirus Blaster oraz SoBig, może naprawdę przysporzyć wszystkich o kłopoty.

Co się wtedy dzieje? Oprogramowanie antywirusowe na serwerze odbiorcy najczęściej ma ustawione powiadomienie adresata i nadawcy w przypadku wykrycia wiadomości pocztowej z wirusem. To powoduje, że osoba figurująca jako nadawca dostaje ostrzeżenie, że rozsyła wirusy, co jest oczywiście nieprawdą. W przypadku dużej aktywności wirusa oprogramowanie antywirusowe staje się swego rodzaju serwerem spamu bombardując skrzynki niewinnych użytkowników setkami maili z ostrzeżeniami. Przykład takiej informacji może wyglądać następująco (zaznaczam, że każdy program antywirusowy ma swój często odmienny od innych programów sposób tworzenia komunikatów):

Drogi Użytkowniku,

Wiadomość, która została do Ciebie wysłana od twój@mail.serwer zawierała wirusa. System pocztowy nie będzie próbował dostarczyć jej na Twoje konto pocztowe.

Oto raport Systemu:

= DrWeb detailed report:
drweb.tmp.svNOwe/[text/plain] – Ok
drweb.tmp.svNOwe/patch.exe infected with Win32.HLLM.Dumaru
drweb.tmp.svNOwe/[message body] – Ok

= Following virus(es) has been found:
infected with Win32.HLLM.Dumaru

= Scanning statistic:
Infected : 1

Poniżej jeszcze jeden przykład który z pewnością większość z Was otrzymała:

Subject: [wirus] UWAGA! znaleziono wirusa w Twojej wiadomosci !

Ta wiadomosc zostala utworzona automatycznie przez serwer smtp.wp.pl

W wyslanej przez Ciebie wiadomosci zostal znaleziony wirus sobig.f. Skaner antywirusowy Poczty WP zablokowal jej dostarczenie do adresata oraz definitywnie usunal list z serwera.

Zrob natychmiast kopie swoich danych i zainstaluj najnowszy program antywirusowy!

Ponizej znajduja sie naglowki przechwyconego listu:

Received: from powiat.jaroslaw.pl (HELO KOMPUTERNAME) ([xxx.xxx.xxx.xxx]) (envelope-sender user@domena) by smtp.wp.pl (wp-smtpd) with SMTP for ; 25 Aug 2003 07:41:51 -0000
From: user@domena
To: user@wp.pl
Subject: Re: Your application
Date: Mon, 25 Aug 2003 9:41:53 +0200
X-MailScanner: Found to be clean

„W ciągu ostatnich dni otrzymałem sygnały od kilkudziesięciu użytkowników, że mają zaśmiecone skrzynki ostrzeżeniami o tym, że wysyłają wirusy podczas gdy oni na pewno tego nie zrobili.” – informuje Dariusz Kowalczyk administrator systemu firmy Webvisor.

Czy jest na to rada? Prawdopodobnie dość dobrym rozwiązaniem jest wyłączenie opcji powiadomienia odbiorcy i nadawcy listów w przypadku znalezienia wirusa oraz ustawić tak oprogramowanie, aby analizowało „po cichu” zawirusowane wiadomości i je kasowało. Praktycznie, bowiem nie zdarza się żeby list z wirusem zawierał jakieś pożyteczne informacje dla potencjalnego użytkownika, dlatego w myśl przysłowia „czego oko nie widzi tego sercu nie żal”, także nie ma sensu powiadamiać o jego istnieniu w osobnym komunikacie chyba, że klient sobie życzy takie powiadomienie otrzymywać.