Jeden z Czytelników Dziennika Internautów, który woli pozostać anonimowy, wyraził głębokie zaniepokojenie tym, że home.pl nie stosuje autoryzacji SMTP wewnątrz swojej sieci. Podał też sprawdzony przez siebie sposób wykorzystania tej ułomności:

Np. posiadam sporą domenę z usługami pocztowymi w home.pl - nazwijmy ją firmaxyz.pl - w tej domenie funkcjonują adresy pocztowe imie.nazwisko@firmaxyz.pl, tych adresów jest ok. 1000. Zakładam konta pocztowe dla swoich pracowników, np. Jan.Kowalski@firmaxyz.pl, a ja jestem szefem, załóżmy, że mam adres Jan.Szef@firmaxyz.pl. Po jakimś czasie rozstaję się z pracownikiem Janem Kowalskim i on, jeśli ma trochę pojęcia, może skonfigurować sobie w domu program pocztowy na moje konto (Jan.Szef@...) i wysyłać do pozostałych użytkowników tej domeny maile bez żadnej autoryzacji SMTP, dopiero przy wysyłaniu na zewnątrz autoryzacja jest sprawdzana i jeśli jej brak, mail jest odrzucany.

Opis problemu trafił w ubiegłym tygodniu do Biura Obsługi Klienta. W odpowiedzi Czytelnik został poinformowany, że na chwilę obecną home.pl nie może zaoferować włączenia autoryzacji dla wysyłki wiadomości w obrębie domeny nadawcy. Dziennik Internautów poprosił o komentarz Michała Iwana, specjalistę od zabezpieczeń z firmy F-Secure. Zapytaliśmy m.in. czy zgłoszony przez Czytelnika problem stanowi poważne zagrożenie. Ekspert przyznał, że tak:

Rzeczywiście, trudno nie zgodzić się z Czytelnikiem co do faktu, że opisane przez niego nadużycie posiadanych informacji o kontach i ustawieniach firmowego serwera pocztowego jest możliwe i potencjalnie niebezpieczne. Łatwo jest także sprawdzić MX, czyli Mail Exchanger danej domeny i próbować wysyłać masowo przesyłki do pracowników dowolnej firmy, posiadających swe konta pocztowe na tym serwerze.

Jest to często realizowane przy wykorzystaniu ataków DHA, czyli directory harvesting attack (enumeracja poprawnych kont pocztowych, polegająca na nawiązywaniu aktywnego połączenia z serwerem pocztowym i wydawaniu konkretnego zapytania na temat zasobów oferowanych nam przez dany system pocztowy, czyli np. adresów email). System pocztowy nie posiadający żadnych dodatkowych zabezpieczeń udostępnia nam daną informację bez sprawdzania, czy jesteśmy do takich informacji uprawnieni. Jest to specyfika i zarazem pewna ułomność wszystkich serwerów pocztowych opartych na protokole SMTP.

Uwierzytelnienie użytkownika jest bardzo skuteczną metodą ochrony przed tego typu zjawiskami, ale nie przewiduje, że osoba próbująca wysłać nieuprawnioną pocztę ma tę samą wiedzę, co użytkownik ze zdefiniowanym kontem pocztowym na tymże serwerze. Jeśli użytkownik opuścił firmę i posiada wszelkie dane na temat konta, to uwierzytelnianie może okazać się nieskuteczne. Obecnie istnieje jednak wiele dedykowanych urządzeń filtrujących pocztę elektroniczną i chroniących serwery pocztowe przed tego typu zjawiskami.

Jako przykład takiego rozwiązania, Michał Iwan wymienił F-Secure Massaging Security Gateway. Dziennik Internautów zwrócił się do firmy home.pl z pytaniem, dlaczego nie oferuje ona swoim klientom uwierzytelniania użytkownika - ze słów eksperta wynika, że jest do bardzo pożyteczna funkcjonalność. Chcieliśmy się także dowiedzieć, czy stosowane są jakieś inne rozwiązania, które mogłyby zapobiec opisanym wyżej nadużyciom? Dziś rano otrzymaliśmy odpowiedź od Marka Pietrusiaka z Biura Obsługi Klienta home.pl:

Rzeczywiście, w obecnej chwili nie wymagamy autoryzacji SMTP wewnątrz naszej sieci. Decyzję o takiej konfiguracji usług podjęliśmy w wyniku próśb ze strony Klientów, gdy po załączeniu obowiązkowej autoryzacji SMTP w 2006 roku powstało niemałe zamieszanie. Zwracam uwagę, iż obecnie ilość kont e-mail w naszej sieci sięga setek tysięcy. Wśród Użytkowników mamy wielu Klientów posługujących się nietypowymi rozwiązaniami pocztowymi, począwszy od własnych serwerów korporacyjnych, a skończywszy na różnego rodzaju urządzeniach faksowo-mailowych. Taka konfiguracja umożliwia wielu Klientom na korzystanie z takich rozwiązań.

Zwracam uwagę, iż wymagamy autoryzacji SMTP dla wiadomości kierowanych poza naszą sieć. W ten sposób unikamy możliwości wykorzystania adresu naszego Klienta przez spamera. Niebezpieczeństwo spamowania wyłącznie adresów z naszej sieci jest stosunkowo małe. Jak pokazuje nasze kilkuletnie doświadczenie, osoby zajmujące się zawodowo wysyłaniem spamu nie są zainteresowane podszywaniem się pod naszego Klienta dla tak małej wyselekcjonowanej grupy odbiorców, dodatkowo dla spamerów brak autoryzacji SMTP nie ma znaczenia, bo mogą wykorzystać konta zewnętrzne.

Oceniając brak autoryzacji SMTP wewnątrz naszej sieci pod względem bezpieczeństwa warto pamiętać, iż sam protokół SMTP jest stosunkowo mało bezpieczny. Nie jest większym problemem podmiana nagłówków wiadomości tak, aby dla przeciętnego użytkownika wyglądała ona jak wiadomość wysłana od dowolnego nadawcy, np. wspomnianego w liście Pana Dyrektora.

W naszym odczuciu autoryzacja SMTP nie powinna być tratowana jako jedyny i niepodważalny wyznacznik potwierdzający tożsamość nadawcy. W obecnej chwili Klienci mogą bez większych ograniczeń korzystać np. z podpisów elektronicznych. Technologia kluczy prywatnych zapewnia najwyższe bezpieczeństwo i jest w obecnej chwili szeroko dostępna.

Podsumowując swoją wypowiedź Marek Pietrusiak jeszcze raz zapewnił, że obecna konfiguracja serwerów pocztowych została wykonana, aby zapewnić klientom większą swobodę w korzystaniu z niestandardowych rozwiązań obsługujących pocztę. Decyzja ta może nieść ze sobą pewne zagrożenia, ale - w mniemaniu home.pl - nie są one znacząco różne od tych, które ogólnie występują przy korzystaniu z protokołu SMTP. Wychodząc naprzeciw potrzebom klientów zatroskanych o bezpieczeństwo, home.pl ma wprowadzić do swojej oferty pozycję związaną z podpisami elektronicznymi.