Spam-Golem

Inhaltsverzeichnis

Einst galt E-Mail als zuverlässiges Medium. Mehr und mehr Unternehmen gingen deshalb dazu über, ihre geschäftliche Korrespondenz elektronisch abzuwickeln - das spart Geld und Personal. Nun, da Millionen Menschen und Firmen auf schnelle und zuverlässige E-Post angewiesen sind, droht die Zustellung einer jeden Mail zu einem Vabanque-Spiel zu werden. Schuld daran sind Werbemüll und Phishing-Attacken.

Die Spam-Flut wächst unaufhörlich an [1]. Mehreren Studien zufolge hat sich die Menge der weltweit versandten Spam-Mails im Verlauf des Jahres 2007 mehr als vervierfacht. Nur noch fünf bis zehn Prozent der Mails sind zurzeit überhaupt erwünscht, mehr als 90 Prozent dagegen Abfall, der aussortiert und entsorgt werden muss. Dazu zählt nicht nur der Spam selbst, sondern auch Rückläufer (Bounces) und Phishing-Mails.

Meist prasselt der Müll in Wellen auf die Mail-Server ein. Einige dieser Schübe haben bereits dafür gesorgt, dass auch eigentlich großzügig dimensionierte Spam-Bekämpfungssysteme zeitweise unter der Last zusammenbrachen. Diese Situation dürfte sich noch verschlimmern, denn die Müllversender schaffen es mit ihrer Infrastruktur, den Durchsatz weiter zu erhöhen, das Hardwarebudget von IT-Verantwortlichen ist dagegen begrenzt. Außerdem provoziert paradoxerweise jede funktionierende Gegenmaßnahme ein weiteres Anschwellen der Flut, weil die Spammer im Trial-and-Error-Verfahren immer neue Zustellversuche starten.

Mehr Last zwingt die Admins dann dazu, ihre Filter unschärfer zu schalten, um Ressourcen zu sparen. Dies geschieht auf Kosten der Präzision. Ohnehin funktioniert keiner der Mail-Mülltrenner perfekt. Mit einer Restmenge von zugestelltem Spam kann und muss jeder leben. Schwerer wiegt, dass zunehmend erwünschte Nachrichten von Mail-Servern automatisch wegsortiert oder gar nicht erst angenommen werden. Im Falle einer Verabredung zum Abendessen mag das ärgerlich sein, geht es aber um Vertragsabschlüsse, Rechnungen oder Mahnungen, wird die sogenannte False-Positive-Problematik zur handfesten Bedrohung.

Florierendes Geschäft

Die Szene der Müll-Versender agiert hochgradig arbeitsteilig und ist deshalb für Strafverfolgungsbehörden kaum greifbar. Wer die Technik entwickelt, ist meist nicht derjenige, der die Infrastruktur liefert. Und dieser wiederum ist nicht derjenige, der direkt aus den mit Spam generierten Einnahmen profitiert.

Die Spam- und Virenbekämpfer von GData haben ermittelt, dass zurzeit ein Auftrag zum Versand von 20 Millionen Werbe-Mails lediglich mit 350 Euro zu Buche schlägt. Für 140 Euro sind fünf Millionen E-Mail-Adressen und ein Selbstbau-Kit erhältlich, mit dem Werbetreibende selbst die unerwünschten E-Mails verschicken können. Zehn Millionen Mail-Adressen kosten den Sicherheitsspezialisten zufolge 100 Euro.

Solange von diesen zehn Millionen potenziellen Empfängern genügend Unwissende auf die Werbebotschaften reagieren, floriert das Geschäft. Der Versand von Spam kostet so gut wie nichts und lohnt sich für die dahinterstehenden Banden nach wie vor. Offensichtlich reagieren beispielsweise genügend US-Amerikaner auf Viagra-Spam und bestellen die oftmals sogar gesundheitsschädlichen Pillen zum vorgeblichen Schnäppchenpreis. Dass es sich für Gauner lohnt, Pennystock-Aktien als „Geheimtipp“ zu bewerben, um das eigene Paket dann zu verkaufen, wenn der Kurs gestiegen ist, belegen mehrere Studien.

Gefährliches Wettrüsten

Aus diesen Gründen liefern sich die Versender auf mehreren Ebenen ein gefährliches Wettrüsten mit den Betreibern von Mail-Servern. Diesen ist es nicht ohne weiteres möglich, Spam aus unbekannter Quelle abzuwehren. Der Grund dafür ist im Simple-Mail-Transfer-Protokoll (SMTP) zu suchen, über das nach wie vor fast jede E-Mail den Weg vom Sender zum Empfangsserver findet. Dieses Protokoll weist eine entscheidende Designschwäche auf: Es sieht keine Möglichkeit für das empfangende System vor, den Absender zu validieren.

Noch vor sechs Jahren nahmen Mail-Server so gut wie jede Mail anstandslos entgegen, die ihnen zugestellt wurde. Es war ein Netz des Vertrauens, man ging grundsätzlich davon aus, dass einem der Absender nichts Böses wollte. Damals taugte SMTP. Dann kam der erste Werbemüll, der die Empfänger nervte. Um nicht entdeckt zu werden, suchten sich die Spammer einen der reichhaltig vorhandenen offenen Server (Open Relay) aus und nutzten diesen zum Versand. Open Relays sind SMTP-Server, die Mails zum Weiterversand annehmen, ohne den Einlieferer zu authentifizieren. Der Unbekannte gibt dort eine beliebige Absenderadresse in der „From“-Headerline an. Das Zielsystem sieht als realen Absender lediglich die IP-Adresse des missbrauchten Open Relay, der Rest der Angaben ist in aller Regel gefälscht.

Um dem Spam-Problem Herr zu werden, beschlossen viele Serverbetreiber, Listen mit bekannten Open Relays abzufragen. Diese Listen werden meist von Non-Profit-Organisationen gepflegt. Erkennt das Empfangssystem durch einen Abgleich der einliefernden IP-Adresse mit einer solchen Liste, dass es sich um eine Spam-Schleuder handelt, wird noch im Einlieferungsprozess der Empfang geblockt. Das sendende System erhält die Nachricht, dass es aufgrund vorangegangener Spam-Aktivitäten von der Einlieferung ausgeschlossen ist.

So wurden die sogenannten schwarzen Listen geboren. Weil sie meist mit derselben Technik wie das Domain Name System (DNS) nahezu in Echtzeit abzufragen sind, heißen sie Realtime-DNS-Blacklists (RT-DNSBLs). Ein klassischer Vertreter der Open-Relay-Listen ist das „Spam and Open Relay Blocking System“ (SORBS). Allerdings hat sich die Methode, ausschließlich Open Relays am Eingang zu blocken, längst überholt. Die Betreiber der wohl bekanntesten derartigen Liste, der „Open Relay Database“ (ORDB), zogen bereits 2006 die Konsequenzen und stellten den Dienst ein.

Eine neue Technik hatte zuvor dafür gesorgt, dass Open Relays für Spammer verzichtbar wurden: die Bot-Netze. Ursprünglich dazu entwickelt, verteilte Attacken (DDoS) von vielen Rechnern aus zu starten, wurden diese Netzwerke Trojaner-infizierter PCs zu wahren Mail-Kanonen ausgebaut. Sie sind der Traum eines jeden kriminellen Spammers: Absolut unverdächtige, meist via DSL angebundene PCs sondern unbemerkt vom eigentlichen Nutzer Tausende von Werbenachrichten ab.

Mittlerweile hat die Bot-Netz-Technik und -Verbreitung beängstigende Ausmaße erreicht [2]. Ende November 2007 etwa hat die neuseeländische Polizei einen 18-jährigen Entwickler festgenommen, der sage und schreibe 1,3 Millionen PCs unter seinem Kommando gehabt haben soll. Ein „Sturmwurm“ genannter Schädling bereitete Herstellern von Antispam-Lösungen im Jahr 2007 die größten Sorgen: Schätzungen von Sicherheitsexperten zufolge sind weltweit bis zu zwei Millionen PCs mit Derivaten des Sturmwurms infiziert. Er dürfte erheblich zum Anstieg des Spam-Aufkommens in den Nutzerpostfächern beigetragen haben.

Flächen-Block

Bot-Netze mit ihren verteilten Absendern sorgen dafür, dass die Abwehr einzelner, bekannter Spammer-IP-Adressen ins Leere läuft. Folglich änderten auch die Blacklist-Betreiber ihre Strategie: Statt Open Relays zu brandmarken, beobachten sie nun, welche DSL-Provider viele infizierte PCs in ihren Netzen beherbergen. Nicht mehr einzelne IP-Adressen werden jetzt in den Listen für den Versand gesperrt, sondern gleich ganze Adressbereiche.

Sind solche Dialup-IP-Blöcke erst einmal auf vielen eingesetzten Listen geführt, weil irgendein via DSL angebundener Rechner daraus Spam verschickt, kann niemand aus demselben Adressbereich mehr darauf bauen, dass sein Server Mails ausliefern kann - oft wird er geblockt. Der Schaden fürs Medium E-Mail ist enorm: Nur noch Server von angesehenen Providern, sogenannte Smarthosts, genießen genügend Reputation. Wer dagegen etwa via DynDNS oder auf einem Rootserver ein eigenes Mail-System betreibt, der bleibt zunehmend auf seinen zu versendenden Nachrichten sitzen.

Doch großen Mail-Hostern bleibt keine andere Wahl. Würden sie verdächtige Einlieferer vor dem Posteingang nicht blockieren, könnten ihre Systeme der Spam-Flut nicht mehr Herr werden, erklären sie unisono. Das Mail-Aufkommen der deutschen Massenprovider wie 1&1 und Strato liegt im Bereich 100 Millionen bis einer Milliarde Einlieferungsversuchen pro Tag. Davon scheitern rund drei Viertel schon am Blacklisting.

Welchen begleitenden Schaden die Blockerei allerdings anrichtet, verdeutlicht ein Beispiel aus der c't-Hotline: Richtet man bei 1&1 eine E-Mail-Weiterleitung auf eine AOL-Adresse ein, wie es bei vielen privaten und Vereins-Homepages üblich ist, riskiert man bereits eine Beschwerde. Werden nämlich Spam-Mails an die Vereinsadresse geschickt, leitet sie der 1&1-Mail-Server ebenfalls an AOL weiter. Erkennt AOLs Spam-Filter die Mails als Spam oder markiert sie der Empfänger als solchen, kreidet AOL dies dem einliefernden Server an - also dem des Vereins.

Kommt dies öfter vor, schickt AOL eine Beschwerde-Mail an 1&1 und trägt die IP-Adresse in eine schwarze Liste ein. Damit versucht der US-Provider, den heutigen kurzen Spam-Wellen zu begegnen, bei denen binnen weniger Minuten mehrere hunderttausend Mails per Bot-Netz verschickt werden. Öffentlich verfügbare Blacklists reagieren darauf zu langsam, deshalb führt AOL eigene Todeslisten für solche Fälle. Im konkreten Fall ist dann allerdings die Weiterleitung für den konkreten 1&1-Kunden tot, und auch andere Mail-Kunden können davon betroffen sein.

Ziel verfehlt

So wie AOL analysieren die meisten größeren Provider permanent, was sich an ihrem Posteingang tut, um schnell auf aufkommende Spam-Wellen reagieren zu können. Ergänzt wird diese Maßnahme durch Abfragen der aktuell gängigen DNS-Blacklists. Deren unabhängige Betreiber tragen somit eine große Verantwortung für das Funktionieren des Mediums E-Mail: Landet der IP-Bereich eines Mail-Host auf einer solchen Liste, können sowohl er als auch andere Kunden in seinem Segment kaum noch Nachrichten zustellen.

Mit dieser Verantwortung können die meist von Idealismus getriebenen DNSBL-Betreiber bisweilen nicht umgehen; offenbar steigt so manchem seine Wichtigkeit zu Kopf. Die Organisation Spamhaus etwa hatte Mitte 2007 von der österreichischen Domain-Registry nic.at gefordert, 15 .at-Domains zu löschen, weil diese für Phishing-Attacken missbraucht worden waren. Als nic.at aus rechtlichen Gründen dem Begehren nicht folgen konnte, machte Spamhaus seine Drohung wahr und nahm den gesamten IP-Adressbereich der Registry in die Spamhaus-Blacklists auf. Weil diese Liste viel genutzt ist, wurde nic.at also de facto von der Außenwelt abgeschnitten, quasi als erzieherische Maßnahme [3].

Der Missionarstrieb von Listenbetreibern treibt seltsame Blüten. Das deutsche Projekt UCEprotect betreibt eine Blacklist, die mit Meldungen hauseigener Honigtopf-Postfächer gefüttert wird. Großzügig landen bei Treffern einzelne IP-Adressen, Blöcke oder gar ganze Autonome Systeme (AS) in der Liste. Auf Diskussionen darüber mit den Betroffenen lässt sich UCEprotect nicht ein, stattdessen verweist man darauf, dass der Eintrag ja nach sieben Tagen wieder gelöscht werde, falls bis dahin kein Spam mehr aus dem betroffenen IP-Bereich in den Fallen auftaucht - für Mail-Administratoren ein unerträglich langer Zeitraum.

UCEprotect bietet an, auch früher zu delisten, und zwar gegen eine Zahlung von 50 bis 250 Euro, je nach Größe des Adressbereichs. Die Begründung für die erpresserisch anmutende Gebühr: „Wir haben für die Sofortentfernungen den Heimarbeitsplatz für eine junge Mutter eingerichtet, die andernfalls wahrscheinlich arbeitslos wäre. Sobald jemand eine Zahlung vornimmt, wird sie hierüber per SMS unterrichtet, verbindet Ihren Laptop per VPN mit dem Admin-Interface und entfernt den betreffenden Eintrag. Dieser Service ist rund um die Uhr verfügbar.“

Und für den Fall, dass ein betroffener Mail-System-Betreiber juristischen Widerstand gegen das absurde Gebaren von UCEprotect ankündigt, hat man auf der Website auch gleich die passende Antwort parat: „Das Einleiten juristischer Schritte beziehungsweise die Androhung selbiger hat bei uns grundsätzlich zur Folge, dass wir Ihre ASN beziehungsweise Ihre IPs mindestens bis zum Abschluss des Verfahrens (selbstverständlich nur zu Beweissicherungszwecken) in unserer Datenbank belassen. “

Trotz solcher Auswüchse und des damit einhergehenden Kollateralschadens sind Administratoren großer Mail-Systeme gezwungen, die Blacklists am Posteingang einzusetzen. Sie sollten darauf achten, wer hinter den Listen steckt und wie deren Policies gestaltet sind. Auch der Heise Zeitschriften Verlag betreibt ein DNSBL-Projekt. Die NiX-Spam-Liste der Redaktion unserer Schwesterzeitschrift iX verhilft Administratoren mittlerweile zu einer Blockquote von immerhin rund 50 Prozent. Dank der defensiven Policy verzeichnet sie dabei kaum falsch aufgenommene IP-Adressbereiche, berichtet iX-Redakteur Bert Ungerer, der das Projekt entwickelt hat und das Beschwerdemanagement leitet. Adressen verschwinden nach spätestens vier Tagen automatisch wieder von der Liste [4].

Spam-Experte Ungerer empfiehlt Administratoren dennoch, neben Blacklists auch Positivlisten („Whitelists“) wie die dnswl.org am Posteingang einzusetzen, die auf der Reputation von Smarthosts beruhen: „Whitelists eignen sich hervorragend zum Schutz vor falschen Einträgen in Blacklists.“ Allerdings hat auch diese Methode einen Pferdefuß: Fehlerhafte Einträge in einer Whitelist können fatale Folgen haben, wenn es nämlich ein Spammer schafft, von einer IP-Adresse auf der Whitelist aus E-Mails zu versenden.

Den vollständigen Artikel finden Sie in c't 2/2008.

Literatur

[1] Jo Bager, Holger Bleich, Mail-Infarkt, Bot-Netze und neue Methoden der Spam-Versender lassen die Mail-Werbeflut anschwellen, c't 2/07, S. 80

[2] Jürgen Schmidt, Hydra der Moderne, Die neuen Tricks der Spammer und Phisher, c't 18/07, S. 76

[3] Mirko Dölle, Spam-Ritter auf der schiefen Bahn, c't 16/07, S. 3

[4] Homepage des NiX-Spam-Projekts mit weiterführenden Informationen: www.heise.de/ix/nixspam/

[5] Natanael Mignon, Mail-Plage, Spam schon vor der Annahme abweisen, c't 21/07, S. 198

[6] Jochen Topf, Ausgesiebt, Wie E-Mail-Provider gegen Spam vorgehen, c't 11/05, S. 188

[7] Anleitung zur Performance-Optimierung von SpamAssassin: http://wiki.apache.org/spamassassin/FasterPerformance

[8] Dr. Cai Ziegler, Wer filtern will, muss lernen, Intelligente Verfahren im Kampf gegen Spam, c't 9/07, S. 184

"Effektive Spam-Abwehr"
Artikel zum Thema "Effektive Spam-Abwehr" finden Sie in der c't 2/2008:
Techniken gegen Spam und Phishing	S. 118
Fälschungssichere Absenderadressen	S. 124
E-Mails signieren und verifizieren mit DKIM	S. 126

(hob)