Когда в мае 1978 года Гэри Туерк, маркетолог из Digital Equipment Corporation, отправил 400 сотрудникам ARPANET приглашение на презентацию компьютеров DECSYSTEM-20, он не знал, что станет отцом целой индустрии email-маркетинга ненависти к спаму. 

Несмотря на это, эра спама началась не с Туерка, а с инженерного решения Эрика Оллмана, который пытался соединить три несовместимые сети в одну универсальную систему доставки почты. Под катом расскажу о том, почему sendmail привёл к эпидемии спама и какие механизмы защиты работают в почте сейчас.

Когда «открытый» означало «хороший»

В 1970–1980-х годах американский программист Эрик Оллман из Университета Беркли (признан нежелательным в РФ) работал над проектом INGRES. Он писал почтовый демон, который поможет передавать письма между тремя сетями: ARPANET (интернет в зачатке), UUCP (копирование между UNIX-системами) и BerkNet (простенькая локалка для кампуса университета). Для каждой сети уже было своё ПО, но общего не существовало.

В конце 1979 года Оллман закончил писать программу delivermail. Она работала, но плохо, ведь её конфигурация была зашита во все исходники, а форматы адресов в разных сетях отличались. Когда ARPANET начал переход с NCP на TCP/IP, а вместе с ним с FTP на новый протокол SMTP, открылась дорога для почтовых программ, которые больше не опирались на старые протоколы для доставки писем.

В итоге, после того как DNS вытеснила файлы со списком хостов, delivermail эволюционировал в sendmail, который в 1983 году поставлялся с BSD 4.1c, первой версией BSD, включавшей протоколы TCP/IP. 

Оллман решил, что новый почтовый агент не будет отбрасывать странные сообщения, а попытается довести их до адресата. Некорректный адрес, необычный заголовок, чужой формат маршрутизации — всё проходило через систему правил переписывания и превращалось в вид, который могла понять сеть назначения. В итоге терпимость к любому входящему сообщению породила культуру открытых релеев — серверы принимали и пересылали почту не только для своих пользователей, но и для кого угодно.

Из-за этого чуда инженерной совместимости Sendmail стал мировым стандартом. К концу 1990-х годов через него проходило 70–80% всего email-трафика в мире. И каждый из этих серверов готов был переслать письмо для любого, кто сумел к нему подключиться. Сегодня это назвали бы уязвимостью, а тогда это было фичей. 

Червь, который всё предсказал

2 ноября 1988 года Роберт Таппан Моррис, аспирант Корнелла и сын криптографа из NSA, запустил программу, которая должна была измерить размер интернета (пишите в комментарии, отговорка это или реально была такая цель). Что-то пошло не так, и червь начал множиться. Он за 24 часа вывел из строя около 6000 серверов — десятую часть тогдашнего интернета.

К слову, червь Морриса использовал три уязвимости: 

  • переполнение буфера в сетевом демоне fingerd,

  • слабые пароли через rsh/rexec,

  • и «дыру» в sendmail.

Sendmail имел специальный отладочный режим, который позволял удалённому пользователю получить shell с правами root. Червь подключался к почтовому серверу и передавал следующую последовательность команд:

DEBUG

MAIL FROM:<nobody>

RCPT TO:<"| sed -e '1,/^$/d' | /bin/sh; exit 0">

DATA

Конструкция RCPT TO с пайпом (|) заставляла sendmail перевадать тело письма напрямую интерпретатору командной строки /bin/sh. В теле этого «письма» лежал скрипт, который компилировал и запускал тот самый загрузчик. Сервер сам скачивал тело червя, собирал его и запускал. 

Эра «зелёных карт»

12 апреля 1994 года адвокаты Лоуренс Кантер и Марта Зигель запостили сообщение о лотерее на грин-карты одновременно в более чем 5500 тематических площадок внутри Usenet. Это был первый крупнокалиберный коммерческий спам, ведь акция принесла им более 25 000 заявок и доход в 100 000 тыс. долл.

Кантер и Зигель доказали, что можно заработать тысячи, имея только скрипт, рассылающий одно и то же сообщение разным людям. После они даже написали книгу How to Make a Fortune on the Information Superhighway (на языке оригинала полистать можно тут). С тех пор спам стал бизнес-моделью.

В середине 1990-х годов специальные сканеры обходили интернет, искали серверы sendmail с открытой ретрансляцией и использовали их для отправки миллионов писем. Ваш сервер мог прекрасно работать днём, а ночью незнакомый дядя из Владивостока слал через него предложения об увеличении чего-нибудь этакого. В итоге страдали админы, разбирающиеся в причинах забитых очередей и чёрных списков.

В 1996 году Пол Викси (да, тот самый, который написал реализацию DNS-сервера BIND) создал базу данных MAPS RBL. Это был список IP-адресов, которые рассылают спам, и любой почтовый сервер мог проверить его через DNS. RBL стала первой линией обороны, но проблемы решить она не смогла. 

Как не надо бороться со спамом

В 2003 году Конгресс США принял CAN-SPAM Act — закон, принятый в 2003 году и устанавливающий первые национальные стандарты для отправки коммерческих электронных писем. Однако вместо запрета на спам закон легализовал его при соблюдении трёх правил: честная тема письма, физический адрес отправителя и рабочая ссылка отписки. 

В итоге к 2004 году спам составлял около 70–80% всего email-трафика. Система была на грани, поэтому требовалось не законодательное, а технологическое решение, и оно появилось.

Когда DNS начал говорить за почту

В июне 2003 года сингапурский предприниматель Мэн Вэн Вонг опубликовал первый черновик того, что позже стало SPF — технологией, позволяющей владельцу домена указать, какие серверы имеют право отправлять почту с обратными адресами в этом домене.

После того как в 2004 году Microsoft представила Caller ID for E-Mail (антиспуфинговую технологию для проверки отправителя письма), IETF сформировал рабочую группу с целью объединения SPF и Caller ID в единый стандарт Sender ID. Но проект рухнул из-за патентных споров и лицензионных проблем. Сообщество SPF вернулось к оригинальной версии, и в 2006 году она стала экспериментальным RFC 4408. 

И вот в 2007 году Hotmail объявил, что для доставки почты его пользователям нужен SPF. С этого заявления корпорации и провайдеры побежали настраивать SPF-записи

# Пример записи:

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.1 include:_spf.google.com -all

Но и SPF не справлялась на 100% — она проверяла адрес, указанный в SMTP-команде MAIL FROM, а пользователь видел поле From в заголовке письма. Спамеры стали подделывать именно это поле, например, писали туда «от bank.com», а в MAIL FROM указывали свой домен, поэтому спам обходил SPF. Нужна была криптография…

Как Yahoo решил подписать всю почту

В 2004 году инженер Yahoo Марк Делани представил технологию аутентификации электронной почты DomainKeys. Вместо того чтобы проверять IP отправителя, домен подписывал каждое исходящее письмо криптографически. Однако технология была не идеальна, потому что на весь домен был всего один ключ и не было механизма ротации. 

Примерно в то же время Cisco разрабатывала стандарт Identified Internet Mail. Джим Фентон и Майкл Томас создали систему цифровых подписей, которая решала похожую задачу, но с другим подходом к формату.

В 2007 году Yahoo и Cisco объединили усилия и появился DKIM, в который вошли: 

  • selectors — механизм, позволяющий домену иметь несколько ключей для разных сервисов, и легко их менять,

  • canonicalization — возможность игнорировать незначительные изменения при пересылке,

  • body hash — проверка целостности тела письма, а не только заголовков.

При этом DKIM проверял, что домен подписал письмо, но также не связывал подпись с тем, что видит пользователь. From в заголовке мог отличаться от d= в DKIM-подписи. Теперь нужна была политика.

PayPal как инициатор решения 

В 2009 году PayPal столкнулся с тем, что фишеры рассылали миллионы писем от имени paypal.com, крали данные кредитных карт, клиенты массово писали жалобы, а компания ничего не могла сделать даже с SPF и DKIM. 

Чтобы найти решение, PayPal объединился с Google, Microsoft, Yahoo и другими крупными компаниями с целью разработки протокола DMARC. Это политика, которая регулировала то, что делать с письмами, которые не прошли SPF и/или DKIM проверку относительно домена в From. До DMARC SPF и DKIM были рекомендациями. После они стали обязательствами.

Например, в 2024 году Google и Yahoo ввели новые правила для массовых отправителей — без настроенных SPF, DKIM и DMARC письма стали чаще попадать в спам. Проверить SPF, DKIM и DMARC для любого домена можно с помощью команд:

# SPF

dig TXT gmail.com | grep "v=spf1"

# DKIM (Обязательно укажите селектор. Например, для Google это обычно google или default)

dig TXT google._domainkey.gmail.com

# DMARC

dig TXT _dmarc.gmail.com

Послесловие 

Каждый раз, когда вы получаете письмо и оно не оказывается фишингом, срабатывают SPF, DKIM и DMARC. Архитектура, которая родилась из delivermail, из червя Морриса, из спама о зелёных картах и из проблем PayPal-а, до сих пор защищает вашу почту.

Сейчас спам составляет около 45–50% email-трафика, но он эволюционировал. Вместо виагры и нигерийских принцев мы получаем фишинг от «коллег-безопасников», поддельные счета от Claude и письма от «CEO» с просьбой срочно перевести деньги. Технологии аутентификации справляются со спуфингом доменов, но не с социальной инженерией, поэтому теперь дело за вами. 

Как вы думаете, победим ли мы когда-нибудь окончательно, или это вечная гонка вооружений?

© 2026 ООО «МТ ФИНАНС»

Комментарии (1)


  1. achekalin
    15.07.2026 07:27

    Связывать червь Морисса, который работал через плохо настроенный sendmail, и массовую рассылку почты - очень уж натяжка получается. Вот что SMTP делался во времена романтизма, когда все друг другу верили - это да.

    Но что до сих пор в сфере электронной почты не всё гладко. Скажем многие админы, по howto пятнадцатилетней (!) давности, верят RBL, и по их данных отбивают сообщение, а не просто интегрально мнение RBL учитывают в общем подсчете шанс на спам - ну, такое себе, но как-то живем с этим? А что RBL ни за что не отвечают (что вполне понятно, при их масштабе) - тоже понятно.

    А что никак не сделают SPF и DKIM обязательными - это да, это прямо шляпа. Но... многие организации используют почтовые серверы, настроенные хз когда, и сегодня просто некому их перенастроить, так что никто не дергается.

    Ну, кроме мэйлру и яндексру - эти решили из почты хоть три рубля (не копейки) заработать, в кои-то веки )