Quais são os ataques comuns ao SMTP Server?

Alguns hacks exploram fraquezas no Simple Mail Transfer Protocol (SMTP).

Enumeração de contas
Uma forma inteligente que os atacantes podem verificar se existem contas de e-mail em um servidor é simplesmente telnet para o servidor na porta 25 e executar o comando VRFY. O comando VRFY faz um servidor verificar se existe uma ID de usuário específica. Spammers frequentemente automatizam este método para executar um ataque de coleta de diretório , que é uma forma de coletar endereços de e-mail válidos de um servidor ou domínio para os hackers usarem.
Attacks usando enumeração de contas

Script este ataque pode testar milhares de combinações de endereços de e-mail.
O comando SMTP EXPN pode permitir que os atacantes verifiquem quais listas de discussão existem em um servidor. Você pode simplesmente enviar o e-mail ao seu servidor de e-mail na porta 25 e tentar EXPN no seu sistema.
Uma outra maneira de automatizar um pouco o processo é usar o programa EmailVerify no TamoSoft's Essential NetTools .
Outra maneira de capturar endereços de e-mail válidos é usar oHarvester para coletar endereços via Google e outros mecanismos de busca. Você pode baixar o BackTrack Linux para gravar a imagem ISO em CD ou inicializar a imagem diretamente através do VMWare ou VirtualBox. Na GUI BackTrack, basta escolher Backtrack→Information Gathering→SMTP→Goog Mail Enum e digite ./goog-mail.py -d -l 500 -b google .

Countermeasures against account enumeration
Se você estiver executando o Exchange, a enumeração da conta não será um problema. Se você não estiver executando o Exchange, a melhor solução para evitar esse tipo de enumeração de contas de e-mail depende se você precisa ativar os comandos VRFY e EXPN:
Disable VRFY e EXPN, a menos que você precise que seus sistemas remotos coletem informações de usuários e listas de discussão do seu servidor.
Se você precisar da funcionalidade VRFY e EXPN, verifique a documentação do seu servidor de e-mail ou firewall de e-mail para a capacidade de limitar esses comandos a hosts específicos na sua rede ou na Internet.
Certifique-se de que os endereços de e-mail da empresa não são postados na web.

Relay

SMTP relay permite que os usuários enviem e-mails através de servidores externos. Relés de e-mail abertos não são o problema que costumavam ser, mas você ainda precisa verificar por eles. Spammers e hackers podem usar um servidor de e-mail para enviar spam ou malware através de e-mail sob o disfarce do proprietário insuspeito do open-relay.

Testes automáticos
Aqui estão algumas formas fáceis de testar seu servidor para SMTP relay:
Free online tools: www.abuse.net/relay.html
Windows-based tools: NetScanTools Pro
No NetScanTools Pro, basta inserir valores para o nome do servidor de e-mail SMTP, Seu Nome de Domínio de Envio. Dentro das configurações de mensagens de teste, digite o endereço de e-mail do destinatário e o endereço de e-mail do remetente.
Quando o teste estiver concluído, basta clicar em View Relay Test Results.

Manual testing
Você pode testar manualmente o seu servidor para retransmissão SMTP por telnet para o servidor de e-mail na porta 25. Siga estes passos:
1. Telnet para o seu servidor na porta 25.
Você pode fazer isso de duas maneiras:
Utilize seu aplicativo telnet gráfico favorito, como HyperTerminal ou
SecureCRT.
Introduza o seguinte comando em um prompt de comando do Windows ou UNIX:
telnet mailserver_address 25
Você deve ver o banner de boas vindas SMTP quando a conexão for feita.
2. Digite um comando para dizer ao servidor, "Olá, estou me conectando deste domínio"
3. Digite um comando para dizer ao servidor seu endereço de e-mail.
4. Digite um comando para dizer ao servidor quem deve enviar o e-mail para.
5. Digite um comando para dizer ao servidor que o corpo da mensagem deve seguir.
6. Digite o seguinte texto como o corpo da mensagem:
7. Termine o comando com um ponto final numa linha por si só.
O ponto final marca o fim da mensagem. Depois de entrar esse período final, sua mensagem será enviada se o relay for permitido.
8. Verifique se há relaying no seu servidor:
Localize uma mensagem similar ao relay não permitido de volta do servidor.
Contra-medidas contra ataques de relay SMTP
Você pode implementar as seguintes contramedidas no seu servidor de e-mail para desativar ou pelo menos controlar o relay SMTP:
Disable SMTP relay no seu servidor de e-mail. Se você não sabe se precisa de SMTP relay, você provavelmente não sabe. Você pode ativar o SMTP relay para hosts específicos no servidor ou dentro da configuração do seu firewall.
Enforce a autenticação se o seu servidor de e-mail o permitir. Você pode ser capaz de requerer a autenticação de senha em um endereço de e-mail que corresponda ao domínio do servidor de e-mail. Verifique a documentação do seu servidor de e-mail e cliente para obter detalhes sobre a configuração.

E-mail header disclosures
Se o seu cliente e servidor de e-mail estão configurados com padrões típicos, um hacker pode encontrar partes críticas de informação:
Endereço IP interno da sua máquina cliente de e-mail
Versões de software do seu cliente e servidor de e-mail junto com suas vulnerabilidades
Nomes dos Hostnames que podem divulgar suas convenções de nomenclatura de rede

Contra-medidas contra a divulgação de cabeçalhos
A melhor contra-medida para evitar a divulgação de informações nos cabeçalhos de e-mail é configurar seu servidor de e-mail ou firewall de e-mail para reescrever seus cabeçalhos, alterando as informações mostradas ou removendo-as. Verifique a documentação do seu servidor de e-mail ou firewall para ver se esta é uma opção.
Se a reescrita do cabeçalho não estiver disponível, você ainda pode impedir o envio de algumas informações críticas, como números de versão do software do servidor e endereços IP internos.

Malware
E-mail systems are regularly attacked by such malware such as viruses and worms. Verifique se o seu software antivírus está realmente a funcionar.
EICAR oferece uma opção segura para verificar a eficácia do seu software antivírus.
EICAR é um think tank de malware baseado na Europa que tem funcionado em conjunto com os fornecedores de anti-malware para fornecer este teste básico do sistema. A cadeia de teste EICAR transmite no corpo de um e-mail ou como um anexo de arquivo para que você possa ver como o seu servidor e estações de trabalho respondem. Você basicamente acessa esse arquivo no seu computador para ver se o seu software antivírus o detecta: