Haltestelle

Inhaltsverzeichnis

Die ersten Filterskripte zu „NiX Spam“ entstanden im Jahr 2003, zu einer Zeit, als E-Mail-Anwender den Spam in ihren elektronischen Postfächern allmählich als lästige Plage empfanden [1, 2]. Wessen Adresse in falsche Hände geraten war, der konnte sich nicht mehr mit simplen Wortfiltern wehren oder einfach jede Müll-Mail manuell aussortieren. Die Spam-Ausschüttung über Botnetze übertraf erstmals die Zahl der erwünschten E-Mails. Betreffzeilen und Nachrichteninhalt änderten sich ständig, was das einfache Ausfiltern verdächtiger Stichwörter erschwerte.

Schon damals lieferte die Filtersoftware SpamAssassin mit ihrem enormen, laufend erweiterten Regelsatz recht gute Ergebnisse bei der Unterscheidung zwischen erwünschten E-Mails (Ham) und unerwünschten (Spam). Allerdings hatte sie zwei Haken: Ressourcenverbrauch und Reaktionszeit. Bei großem Mailaufkommen war eine enorme Infrastruktur für die erforderliche Rechenleistung notwendig. Darüber hinaus war eine Spamwelle häufig schon verebbt, ehe die passenden Regeln für den SpamAssassin herauskamen.

Zunächst waren die eigenen Filterregeln der iX als aktuelle Ergänzung des SpamAssassin gedacht. Da ein sparsamerer Umgang mit Ressourcen zunächst keine Priorität hatte, basierten sie schlicht und einfach auf Procmail. Für diesen weitverbreiteten Mail Delivery Agent (MDA) lassen sich schnell komplexe Filter-“Rezepte“ realisieren. Sie können aber eine relativ hohe Systemlast verursachen.

Je findiger die Botnetz-Betreiber wurden, desto aufwendiger gestaltete sich das laufende Nachziehen der Inhaltsfilter. Im Laufe der Zeit ergab sich die Idee, eine wesentliche Eigenschaft von Spam vollkommen unabhängig von Inhalten und daher ohne großen Rechenaufwand einfließen zu lassen: Dass er massenhaft und häufig aus vollkommen verschiedenen Internet-Adressbereichen eintrifft – eben den weltweit verteilten Botnetzen.

Zum Erkennen annähernd identischer E-Mails generiert ein Hash-Algorithmus sogenannte unscharfe Prüfsummen („Fuzzy Hashes“), die nicht den genauen Inhalt der Mails abbilden, sondern deren Struktur – der einzige bis heute unveränderte Teil des damaligen Filters [3]. Die Hash-Werte lassen sich mit wenig Rechenaufwand von fast allen E-Mails erzeugen, die nur eine gewisse Mindestkomplexität aufweisen müssen. An zentraler Stelle auf dem Mailserver platziert, zeigt allein die Hash-Übereinstimmung von E-Mails an mehrere Empfänger, dass es sich wahrscheinlich um Spam handelt. Umso schwerer wiegt der Verdacht, wenn einander stark ähnelnde E-Mails aus verschiedenen Netzen gleichzeitig eintreffen.

Unter einigen Verlagskollegen war der Leidensdruck groß genug, dass sie sich bereit erklärten, das zusätzliche Filterverfahren auszuprobieren. Zum Teil waren sie das Ziel von über 1000 Spam-Mails pro Tag, die der SpamAssassin nur teilweise fernhalten konnte. Sie setzten zusätzlich das Procmail-Skript für ihre Postfächer ein, und NiX Spam konnte seine Multiuser-Fähigkeit zeigen. Es stellte sich erwartungsgemäß heraus, dass es umso besser funktionierte, je mehr Spam-Mails für die Prüfsummenbildung zur Verfügung standen.

Je zentraler, desto wirksamer

Das damals in der iX veröffentlichte Procmail-Skript, das individuell auf die Postfach-Eigentümer zuzuschneiden war, generierte jedoch zunächst viele dezentrale Datenbanken – eine auf jedem Mailserver, auf dem es lief. Daher lag es nahe, eine zentralisierte Infrastruktur zum Verteilen nicht nur der Hash-Werte zu schaffen, sondern auch der IP-Adressen, die als Spamquellen identifiziert worden waren.

Im Internet hatten sich bereits DNS-basierte IP-Blacklists etabliert, und deren Prinzip ließ sich für den gewünschten Zweck nutzen. Den Anstoß, etwas Ähnliches nicht nur für interne Zwecke, sondern für die Öffentlichkeit einzurichten, gab der Hosting-Provider manitu, der seit 2005 die Infrastruktur hinter NiX Spam bereitstellt und unter der Zone ix.dnsbl.manitu.net administriert. Dort stehen seitdem sowohl die Spam-Prüfsummen als auch die verdächtigen IPv4-Adressen für jeden zum Abgleich mit den auf seinen eigenen Mailservern eingehenden E-Mails zur Verfügung.

Seitdem kann jeder die DNSBL-Zone kostenlos für eigene Anti-Spam-Maßnahmen nutzen. Schon damals lag das Augenmerk auf der Automatisierung aller Ein- und Austragungen, da das Projekt möglichst reaktionsschnell sein und dabei möglichst wenig zeitraubende Handarbeit nach sich ziehen sollte. Das Procmail-Skript nahm die Einträge automatisch vor. Anwender konnten Austragungen per E-Mail beantragen, sofern sie dafür den gelisteten Server nutzten. Ein weiteres Procmail-Skript arbeitete die Anfragen automatisch ab und löschte die Einträge umgehend aus der Datenbank. Zunächst blieben Einträge 72 Stunden lang gespeichert, heute sind es meist nur noch 12.

BIND statt PowerDNS

Einige Details erfuhren im Laufe der Jahre Verfeinerungen und Verbesserungen. Seit 2007 läuft bei manitu der DNS-Server mit BIND statt unter PowerDNS. Eintragungen finden live per nsupdate statt, und regelmäßige Zonen-Updates sind seitdem hinfällig. Als Nebeneffekt steht die Zone per AXFR für zusätzliche DNS-Slaves bereit, die seitdem europaweit verteilt den Master unterstützen.

Für Anwender gibt es ein mittlerweile Captcha-geschütztes Webformular, über das sie eine gelistete IP-Adresse austragen lassen können – allerdings nicht wiederholt innerhalb kurzer Zeiträume.

Um die Genauigkeit und Reichweite der Blacklist zu erhöhen, haben die Beteiligten im Laufe der Zeit Hunderte zusätzliche Domains als Spamfallen registriert, vornehmlich mit der Endung „.de“. Dazu kommen Hunderte von Freemailer-Adressen bei freenet, GMX und WEB.DE. Längst dienen also nicht mehr nur E-Mails an den Heise-Verlag als Datengrundlage.

Dank der Auswahl der Spamfallen spricht das System besonders gut auf Spam an deutsche Nutzer an. Seine damit einhergehende Popularität führte eine Zeit lang zu Engpässen, doch inzwischen leistet die Server-Hardware mehr als genug.

Das ist unter anderem der Tatsache zu verdanken, dass zum Analysieren der meisten Spam-E-Mails gar kein Procmail mehr zum Einsatz kommt. Anfangs lief auf dem Haupt-Mailserver ein Postfix mit selbst geschriebenem Java-Mailfilter. Doch Postfix konnte E-Mails schneller annehmen, als der Filter sie verarbeitete, und die Mail-Queue wuchs oft auf bedrohliche Weise. Als die Spammer 2010 auf die Idee kamen, ihren Mail-Müll in heftigen Wellen abzuladen, kam die Abarbeitung zeitweise zum Erliegen, und die Blacklist verlor an Wirksamkeit.

Seither läuft auf dem Server ein komplett in Java geschriebener Mail Transfer Agent (MTA) mit integriertem Filter. Der Server könnte inzwischen ohne Schwierigkeiten mehrere Hundert E-Mails pro Sekunde abwickeln. Das Spam-Aufkommen geht jedoch seit 2010 deutlich zurück. Zurzeit fallen durchschnittlich weniger als 10 E-Mails pro Sekunde an, in „Spitzenzeiten“ sind es 30/s.

Außer dem DNSBL-Master sind heute neun DNS-Slaves mit dem Beantworten von Abfragen beschäftigt. Keines der Systeme gerät bei den momentan je nach Tageszeit etwa 100 bis 200 Abfragen pro Sekunde und Slave auch nur ansatzweise an seine Auslastungsgrenze. Doch eine Reserve muss sein, denn die Täter könnten jederzeit die nächste heftige Angriffswelle auslösen.

Trotz der laufend wachsenden Zahl an Spamfallen sinkt die Zahl der von „NiX Spam“ registrierten IP-Adressen seit Jahren. Im Jahr 2010 waren innerhalb von 12 Stunden 500 000 Spamquellen aktiv, heute sind es nicht einmal 100 000. Die Täter kanalisieren ihren Ausstoß offenbar zunehmend über Mailserver, unter anderem bei großen Providern wie Yahoo, Google und Microsoft/Hotmail, sodass die Zahl der festgestellten IPv4-Adressen allmählich sinkt. Dass es den Spammern auch sonst nicht an Einfallsreichtum mangelt, belegen die zu jeder Zeit rund 20 000 frischen Hash-Werte in der Datenbank.

Kleine Liste mit großer Wirkung

Obwohl die Liste derzeit nur etwa ein Hunderttausendstel aller möglichen IPv4-Adressen umfasst, führt sie zu akzeptablen Erkennungsraten. Je nach Quelle und Statistik kann die DNSBL derzeit etwa die Hälfte des Spamverkehrs allein anhand der Quell-IP-Adresse erkennen – ohne dass hier die Mailserver besag-ter großer Provider enthalten sind. In Deutschland erfreut sich die Blacklist einer großen Verbreitung. Unternehmen und Organisationen aller Art und Größe setzen sie in ihren Mailsystemen ein. In der Anti-Spam-Software policyd-weight ist NiX Spam standardmäßig aktiv. In MTAs, SpamAssassin oder anderen Filtersystemen können Postmaster einfach die DNSBL-Zone ix.dnsbl.manitu.net nachtragen, etwa zusätzlich zu den häufig eingesetzten Zonen bl.spamcop.net oder zen.spamhaus.org. Außerdem lassen sich die Prüfsummen in SpamAssassin mit dem iXHash-Modul einbinden und damit die zentrale Hash-Datenbank abfragen (siehe „Alle Links“).

Die Beliebtheit lässt sich sicher auch dadurch erklären, dass die Blacklist besonders schnell auf neue, heftige Spam-Angriffe reagiert. Zwischen Beginn einer Spamwelle und dem Eintrag in der DNS-Zone vergeht höchstens eine Minute. Genauso schnell sind die wenigen – derzeit rund 200 pro Tag – von Anwendern angestoßenen Austragungen erledigt. Wer das Webformular nutzt (siehe „Alle Links“), kann eine IP-Adresse sofort kostenlos aus der DNS-Zone entfernen lassen. Bis ein Eintrag restlos aus dem weltweit verteilten Domain Name System verschwindet, können allerdings ein paar Minuten vergehen.

Weit über 99 Prozent aller IP-Adressen werden spätestens 12 Stunden nach ihrer Eintragung automatisch gelöscht, sofern von ihnen kein weiterer Spam ausgeht. Damit dürfte NiX Spam die öffentlich nutzbare Blacklist mit der kürzesten Eintragungszeit sein. Nur einige hartnäckige, verifizierte Spammer bleiben gelegentlich länger auf der Liste. Zudem finden sich hier ausschließlich einzelne IP-Adressen und niemals ganze Adressbereiche – und das auch nur, wenn wirklich unerwünschte E-Mails von dort ausgehen.

Bei einer Blacklist geht es nicht in erster Linie darum, Spam-Versender anzuprangern, sondern um das Eindämmen von Spam. NiX Spam arbeitet daher mit etlichen Firmen zusammen, die den Missbrauch ihrer eigenen Infrastruktur direkt eindämmen können. So gehen Abuse-Reports (ARF nach RFC 5965) an zuständige Administratoren, die sich um den Spam-Verursacher kümmern [4]. Neben einigen ausländischen Firmen wie Facebook oder Bluehost erhalten Teilnehmer der Certified Senders Alliance (CSA) im eco-Verband sowie unter anderem die Abuse-Abteilungen von UnityMedia, KabelBW, HeLi NET, 1blu, Versatel, NetCologne, 1&1/United Internet und T-Online/Telekom systematisch Reports über Netzmissbrauch. Weitere deutsche ISPs sind jederzeit eingeladen, die „Feedback Loop“ zu nutzen.

Schädliche Links unter der Lupe

Spam-Mails verbreiten häufig Links, die zu Phishing-Seiten führen oder auf andere schädliche Inhalte zeigen. Sie gehen zur weiteren Prüfung und Behandlung ans Security Incident Reporting Team von cyscon (www.c-sirt.org), das sich im Kontakt mit den betroffenen Providern um die Abschaltung schädlicher Websites kümmert. Das Analysieren von E-Mails mit angehängter Malware befindet sich momentan im Betastadium. Sie sollen nach der Testphase an VirusTotal gehen, das die Erkennungsraten der Virenscanner bei neu auftauchender Malware zu verbessern hilft.

Mehr Infos

Einladungen und anderer Facebook-Spam

Jedem Nutzer der DNS-Blacklist „NiX Spam“ sollte bewusst sein, dass sie gelegentlich IP-Adressen von Facebook aufführt, wenn wieder einmal eine größere Spamwelle von dort ausgeht. Wer dennoch eine sichere Zustellung von Facebook-Mails gewährleisten will, sollte die entsprechenden IP-Adressen auf eine interne Whitelist aufnehmen. Eine aktuelle Liste findet sich unter postmaster.facebook.com. Alternativ steht die DNS-basierte Whitelist DNSWL.org zur Verfügung, die ebenfalls Adressen von Facebook berücksichtigt.

Abuse-Reports über die Vorfälle versanden bei Facebook ohne sichtbare Wirkung. Da NiX Spam Mail-Einlieferungsversuche mit SMTP-Fehlercodes abweist und trotzdem immer wieder E-Mails an dieselben Spamfallen gehen, deutet das darauf hin, dass Facebook darüber hinaus kein Bounce-Management betreibt. Alles in allem hält sich das soziale Netz offenbar nicht an die Regeln für das Versenden von Massenmails und scheint trotz anderslautender Beteuerungen nichts daran ändern zu wollen.

Eine häufig gestellte Frage betrifft die Unterstützung von IPv6. Noch sind keine nennenswerten Mengen an Spam über IPv6 zu verzeichnen. Die Mailserver (MX-Einträge) vieler Spamfallen-Domains sind bereits per IPv6 erreichbar, doch das gemessene Spam-Aufkommen ist so gering, dass eine IPv6-Blacklist nicht mal ein Dutzend Adressen aufweisen würde. NiX Spam wird es daher vorerst nicht für IPv6-Adressen geben. IPv6-Spam-Opfer können aber sofort auf andere Anti-Spam-Maßnahmen setzen, etwa das bewährte Greylisting [5].

Es gibt jedoch auch gute Nachrichten für IPv6-Anwender, denn die DNS-Zone ix.dnsbl.manitu.net ist bereits über IPv6 abfragbar. Die Einträge selbst umfassen allerdings wie erwähnt ausschließlich IPv4-Adressen und Prüfsummen.

Fazit

Innerhalb von zehn Jahren hat sich NiX Spam entsprechend dem Verbreitungsgebiet der iX im deutschsprachigen Raum weithin etabliert. Die überwiegend positiven Rückmeldungen der Nutzer motivieren, den Dienst weiterhin anzubieten, zumal in den letzten Jahren keine aufwendigen Anpassungen mehr notwendig waren.

Das Wettrüsten mit den Kriminellen hat jedoch keineswegs ein Ende. Weltweit sind unzählige Mail-Accounts gehackt, sodass die leistungsfähigen Mailserver vieler großer Provider zum Versenden von Spam herhalten müssen. Das lässt sich mit DNS-Blacklists nicht so einfach unterbinden wie der bisherige Botnetz-Spam. Hier hilft nur der direkte Kontakt zu fähigen Anti-Abuse-Mitarbeitern, die den Missbrauch rund um die Uhr an Ort und Stelle stoppen.

Außerdem sind viele Spam-Kampagnen viel zielgerichteter als früher; längst erreicht nicht mehr jeder Müll jedes Postfach. Je mehr Spamfallen-Domains dem Projekt zur Verfügung stehen, desto eher kann es auch kleinere Angriffe erkennen. Wer NiX Spam mit MX-Einträgen alter Domains versorgen oder auf andere Weise mitwirken möchte, kann jederzeit per E-Mail an support@ix-lab.de Kontakt aufnehmen.

Marcel Lohmann

ist Softwareentwickler bei der KWS SAAT AG in Einbeck.

Literatur

[1] Bert Ungerer; Lochrezepte; Unerwünschte E-Mails aussieben; iX 5/2003, S. 58

[2] Bert Ungerer; Gemeinsam stark; Verteiltes Vorgehen gegen Spam; iX 11/2003, S. 123

[3] Bert Ungerer; Gleich strukturiert; Mit Fuzzy Checksums ähnliche Texte finden; iX 5/2004, S. 119

[4] Marcel Lohmann; Meldestelle; Spam an der Quelle bekämpfen; iX 1/2012, S. 97

[5] Marcel Lohmann; Schwarz-Weiß-Mailerei; Variables Greylisting zur Spam-Abwehr; iX 11/2008, S.144

Alle Links: www.ix.de/ix1307105 (un)