João Prado estava sentado em seu escritório revendo e-mails em sua caixa de entrada quando notou que tinha recebido um e-mail com o seguinte título:

Mail delivery failed: returning message to sender (seu e-mail não pôde ser entregue: devolvendo a mensagem para o remetente)

Então pensou "será que não foi possível entregar o e-mail que acabei de enviar? Será que o e-mail que mandei aos meus amigos foi bloqueado?" Prado decidiu abrir o e-mail e infelizmente viu que se tratava de uma mensagem de spam de produtos farmacêuticos, mas o interessante é que supostamente ele havia enviado a mensagem. Isso confundiu ainda mais João, porque ele nunca havia enviado a mensagem.

Depois de investigar um pouco, João percebeu que a mensagem é um exemplo do que chamamos spam NDR (non-delivery receipt, ou recebimento não entregue).

Nas últimas semanas, a Symantec observou uma onda de ataques de spam NDR. Apesar dessa técnica já ter sido utilizada, o aumento na quantidade desse tipo de e-mail chamou a atenção, porque muita gente se confunde com essas mensagens e as abre, o que é pior. Mas, de onde elas vêm? Qual é o seu objetivo?

Esse tipo de spam utiliza uma técnica um tanto quanto elaborada, porque ao invés de colocar o endereço do e-mail da vítima no espaço "Para", os spammers NDR colocam o endereço no espaço "De". Uma vez feito isso, o spammer envia o e-mail a um servidor com um endereço aleatório e muitas vezes fictício. Desse modo, a mensagem vai até seu destino, mas somente para ser enviada de volta pelo servidor até o "remetente original", já que a conta de e-mail para onde foi enviada não existe.

Como o spammer colocou o endereço válido no campo "De", automaticamente a vítima recebe uma mensagem em sua caixa de entrada dizendo que não foi possível entregar o e-mail. Como alguns servidores de e-mail estão configurados para incluir a mensagem original quando um e-mail é devolvido, isso faz com que ao abrir o e-mail intitulado "Mail delivery failed: returning message to sender" a vítima encontre a mensagem de spam, exatamente o objetivo dos spammers.

Ao usar essa técnica, o spammer está apostando que a pessoa que recebe a mensagem tem maior probabilidade de abri-la, já que o título do e-mail é vago ou comum o suficiente para evitar suspeitas de que se trata de spam ou e-mail indesejado. De fato, muitas pessoas utilizam suas contas de e-mail diariamente e quando recebem um e-mail devolvido, o instinto natural é abrir o e-mail e ver qual das mensagens enviadas não conseguiu chegar ao seu destino. Claro que, se a pessoa não enviou e-mail recentemente e recebe uma mensagem de que um e-mail não foi entregue ou foi devolvido, muito provavelmente trata-se de spam NDR e as possibilidades de abri-lo são menores.

Esse método parece ser atualmente um dos preferidos pelos spammers, por isso a Symantec recomenda não abrir mensagens com o título "Mail delivery failed: returning message to sender", principalmente se você não tiver enviado e-mails recentemente.