без лишних глаз

3APA3A (WWW.SECURITY.NNOV.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-092-5

[SMTP.]

Протокол SMTP и стандарт RFC822 изначально вообще не поддерживают какой-либо аутентификации. Подразумевается, что авторизация пользователя на доступ к почтовому серверу происходит по IP-адресу. Отсюда следует печальный факт – отправить письмо от твоего адреса имеет возможность любой желающий. И бороться с этим нельзя, не изменив протокол. По IP-адресу проверяется, имеешь ли ты право использовать почтовый сервер как «релей», то есть рассылать через него письма.

Такой вариант устраивает большую часть ISP, которые предоставляют доступ к почтовым серверам на отправку писем только своим клиентам. Но он совершенно неприемлем для узлов, специализирующихся на почтовых услугах, например, для бесплатных служб электронной почты, так как им требуется предоставлять доступ к своим почтовым серверам из разных сетей. Поэтому для аутентификации был придуман хитрый механизм, который называется «POP перед SMTP» (POP before SMTP). Суть его сводится к следующему. Прежде чем отправить письмо, ты проверяешь почту на том же сервере по протоколу POP3, после чего в течение некоторого времени с твоего IP разрешено отправлять письма через этот же сервер. То есть чтобы отправить письмо, необходимо сначала проверить почту. Естественно, никакого стандарта на такой метод не было и быть не может, тем не менее, он получил достаточно широкое распространение.

Только в 1999 году был принят стандарт RFC 2554, который вводит аутентификацию в протокол SMTP. Наиболее распространенным методом остается метод аутентификации открытым текстом (LOGIN или PLAIN), но в целом используются все те же методы, что и в POP3 (кроме, разумеется, APOP).

По тем же причинам, что и с POP3, Microsoft Exchange не поддерживает CRAM-MD5 или DIGEST-MD5, но кроме NTLM поддерживается еще и GSSAPI (Kerberos). В Outlook Express поддерживается только аутентификация открытым текстом и NTLM (SPA). Есть подозрение, что поддержка Kerberos в Microsoft Exchange реализована исключительно для синхронизации по SMTP Active Directory.

The Bat и другие почтовые агенты, как правило, предлагают выбор нескольких дополнительных типов аутентификации: CRAM-MD5, DIGEST-MD5 и т.д. Некоторые поддерживают и «POP before SMTP», чтобы облегчить жизнь тем пользователям, которые забывают принять почту перед отправкой.