Unbeteiligte als Schutzschilde

Peer Heinlein, iX: Herr Cox, was halten Spammer von Spamhaus?

Richard Cox, Spamhaus: Es gibt zu viele verschiedene Typen von Spammern, als dass man darauf eine einfache Antwort geben könnte. Auf der einen Seite versteht ein Großteil von ihnen, dass wir einen Job zu erledigen haben. Tatsächlich unternehmen etliche nicht unerhebliche Anstrengungen, sich selbst vor Spam zu schützen. Ironischerweise nutzen sie dabei sogar unsere ZEN-Blacklist. Diese Spammer haben also durchaus verstanden, dass Spam nicht willkommen ist. Auf der anderen Seite beharren andere auf dem von ihnen proklamierten „Recht zu spammen“, was in Wirklichkeit überhaupt nicht als „Recht“ existiert: Das Recht auf Redefreiheit beinhaltet nicht, jemanden zwingen zu können, zuzuhören.

Aus diesem Grund blockiert Spamhaus selbst auch gar keine E-Mails, wie immer wieder fälschlicherweise behauptet. Wir liefern lediglich Informationen, anhand derer andere basierend auf ihren eigenen Richtlinien entscheiden können, welche E-Mails sie nicht annehmen möchten.

Was ist Spamhaus genau? Ein ehrenamtliches Projekt, eine Non-Government-Organisation (NGO) oder ein kommerzieller Anbieter?

Cox: Spamhaus ist eine internationale Organisation, eine britische „Limited Company“. Aber wir beschäftigen unabhängige Ermittler auf der ganzen Welt.

Unser Hauptsitz liegt in der Avenue Louis Casaï in Genf. Die Firma ist jedoch „non-profit“, um sicherzustellen, dass wir unparteiisch handeln und finanzielle Interessen im Einzelfall keine Rolle spielen.

Spamhaus veröffentlicht im Projekt ROKSO (Records Of Known Spam Operations) überraschend viele Details über Spammer und deren Aktivitäten. Sie benennen Spammer mit Namen, manche sind sogar mit Foto veröffentlicht. Woher stammen all diese Informationen?

Cox: Wir haben dafür viele verschiedene Quellen – fast alle sind öffentlich zugänglich. Vertrauliche Informationen aus anderen Quellen veröffentlichen wir nicht, solange sie nicht mindestens aus zwei (häufig sogar mehr) weiteren Quellen verifiziert sind.

Warum lassen sich selbst solche öffentlich bekannten Spammer kaum stoppen?

Cox: Spammer nutzen laufend wechselnde Tarnidentitäten. Neuerdings missbrauchen sie unbeteiligte Dritte als Opfer, um in deren Namen Hosting-Dienste einzukaufen. Außerdem wird es immer Hosting-Anbieter geben, die sich das gute Geschäft mit Spammern nicht entgehen lassen.

Ganz ehrlich: Sind Sie schon einmal mit einem Spammer ein Bier trinken gegangen?

Cox: Ja – warum auch nicht? Wir machen unsere Arbeit objektiv und haben etwas dagegen, was Spammer tun. Aber da ist nie eine zwischenmenschliche Zwietracht im Spiel. Außerdem: Man weiß nie, was einem Spammer nach ein paar Bier versehentlich rausrutscht.

Anbieter von DNS-Blacklists geraten ja immer wieder in die Kritik, sie würden Server zu schnell oder sogar ganz ohne Grund aufnehmen.

Cox: Spamhaus ist sich der Auswirkungen von „false positives“ auf Betroffene durchaus bewusst. Wir unternehmen große Anstrengungen, sie zu verhindern oder zumindest schnell zu bemerken. Außerdem ist rund um die Uhr ein Teammitglied online, das Probleme sofort beheben kann. Allerdings nutzen manche Hosting-Anbieter ihre unbeteiligten Kunden sogar als Schutzschilde, um die gehosteten Spammer zu schützen – denn die zahlen schließlich gut dafür. Doch das müssen die betroffenen Kunden mit ihrem Anbieter klären.

Aber verantwortungsvollen Providern geben wir – wann immer möglich – die Chance, ihr Problem zu beheben, bevor wir sie listen. Und die meisten nutzen sie dann ja auch.

Warum sollte ein Unternehmen auf DNS-Blacklists vertrauen?

Cox: Ich kann nicht für andere DNSBLs sprechen, von denen es eine ganze Menge gibt. Aber soweit es Spamhaus angeht, haben wir uns nach zwölf Jahren eine hohe Reputation in Sachen Integrität und Unparteilichkeit erarbeitet. Rund 1,5 Milliarden Mailboxen sind mit Spamhaus geschützt, Tendenz steigend. Das zeigt, dass viele Unternehmen unsere Ergebnisse für sehr verlässlich halten.

Wer einen DNSBL-Anbieter dafür nutzt, eingehende E-Mails zu filtern, macht sich im hohem Maße von der Verfügbarkeit der jeweiligen DNS-Infrastruktur abhängig. Wie stellt Spamhaus seinen DNS-Betrieb sicher?

Cox: Es läuft fast immer irgendein Distributed-Denial-of-Service-Angriff (DDoS) gegen Spamhaus, aber wirklich spürbare Auswirkungen erreicht kaum einer. Wir haben unser Netzwerk sorgfältig konzipiert und einige erfahrene Techniker, die fast alle Angriffe schnell in den Griff bekommen. Für den Fall, dass ein DDoS-Angriff dennoch Schaden anrichtet, haben wir einen direkten Draht zu Ansprechpartnern an den Schaltstellen des Netzes, die das Spiel beenden können. Aber es ist schon sehr lange her, dass wir darauf zurückgreifen mussten.

Im Jahr 2007 hat Spamhaus die österreichische Domain-Registry „nic.at“ in der SBL-Zone aufgeführt und den Betreiber beschuldigt, spam-freundlich zu sein, also nicht in geeigneter Weise gegen Missbrauch vorzugehen. Dafür hat Spamhaus herbe Kritik einstecken müssen. Nicht wenige sehen darin den Beweis, dass man Blacklists im Grunde nicht vertrauen kann.

Cox: Die österreichische Registry – ein Privatunternehmen und nicht etwa eine staatliche Organisation – nutzte ein ziemlich merkwürdiges System, das die Domains der Spammer vor einer Abschaltung schützte. In diesem Fall handelte es sich größtenteils um Phishing-Domains. nic.at lehnte jede dahingehende Anfrage mit dem Verweis ab, dass Abschaltungen von Domains eine Sache der jeweiligen Registrare, nicht aber der Registry selbst seien. Gleichzeitig war es jedoch unmöglich, über den Whois-Server von nic.at herauszufinden, wer denn nun der jeweilige Registrar einer Domain war, also der Provider, der einen Spammer ins Internet brachte.

Wegen Abschaltungen von Domains mussten wir also zunächst per E-Mail bei nic.at nachfragen und auf eine Antwort warten, und das oft ziemlich lange. Erst dann konnte man sich an den Registrar wenden, um die Domain abschalten zu lassen. Aber bis das endlich passierte, hatte der Phisher die Domain eh bereits aufgegeben und war mit dem gestohlenen Geld bereits über alle Berge.

Spamhaus hat damals viel Kraft investiert, das Problem dem Betreiber der nic.at-Registry, Richard Wein, zu erklären, doch der schien kein Interesse daran zu haben, seine Top-Level-Domain gegen Cyberkriminalität zu schützen. Glücklicherweise wirkte das Listing in unserer SBL-Zone sehr schnell und nic.at nahm die notwendigen Änderungen vor. Es gab keine weiteren Schwierigkeiten, aber einige Leute halten .at-Domains seitdem für suspekt. Das liegt an der international beschädigten Reputation durch die Reaktionen von nic.at.

Im Nachhinein betrachtet: War es ein Fehler, nic.at zu listen?

Cox: Nein. Es war eine Notwendigkeit – auch wenn wir sie sehr bedauern.

Warum ist es so schwierig, große ISPs wie Orange (Frankreich), KPN (Niederlande), Telecom Italia oder Bell-Nexxia (Kanada) dazu zu bringen, mehr gegen Spam und anderen Missbrauch aus ihren Netzen zu tun?

Cox: Die meisten großen ISPs – wie KPN – haben wirksame Sicherheitsmaßnahmen eingeführt. Andere sind nicht so verantwortungsvoll, wie wir es gerne hätten. Man muss sich klarmachen, dass die Rentabilität bei Breitband-Anbietern stetig bergab geht und den Abuse-Abteilungen dementsprechend nur ein kleines Budget zur Verfügung steht. Nur wenn nationale Regierungen die Provider für die Sicherheit ihrer Netze in die Pflicht nehmen, können wir auf einen akzeptablen Standard hoffen.

Apropos Pflichten: Ein Blick auf legale Massenmailings sollte nicht fehlen. Welche Empfehlungen können Sie Anbietern von Newsletter-Diensten geben, damit sie nicht in Konflikt mit Blacklists und anderen Anti-Spam-Systemen geraten?

Cox: Unsere Empfehlung für professionelle Massenmail-Anbieter ist einfach: Stellen Sie sicher, dass sich alle Empfänger zuverlässig selbst eingetragen haben („Opt-in“). Wir empfehlen dazu das „Round-Trip-Modell“, das nach unserer Erfahrung funktioniert. Außerdem sollte man die verschiedenen Best-Practice-Dokumente lesen, die die Messaging Anti-Abuse Working Group (MAAWG) veröffentlicht hat (www.maawg.org).

Lassen Sie uns zum Abschluss einen Blick in die Zukunft werfen: Wie sehen unsere Mailboxen in fünf oder zehn Jahren aus?

Cox: Das lässt sich schwer vorhersagen. E-Mail könnte bis dahin längst durch andere Technologien ersetzt worden sein. Falls E-Mail dann eine ähnliche Rolle spielt wie heute, wird es die Möglichkeit, dass jeder einfach einen Mailserver in Betrieb nehmen kann, nicht mehr geben. IPv6 wird dazu führen, dass Systeme verstärkt auf Whitelists zurückgreifen, die vertrauenswürdige Absender aufführen – ein Grund, warum wir vor Kurzem die „Spamhaus Whitelist“ gestartet haben (www.spamhauswhitelist.com).

Natürlich bleibt Spamhaus dem Prinzip treu, dass E-Mail grundsätzlich frei verfügbar sein muss und nicht nur einige wenige große Anbieter agieren können. Auch deswegen sind unabhängige Whitelist-Anbieter notwendig.

Spamhaus führt darum einige neue Listen ein, eine davon ist beispielsweise unsere „DBL“, die „Domain Block List“. Die DBL dient bereits dazu, Domainnamen im Inhalt von E-Mails zu prüfen, aber sie wird noch an Bedeutung gewinnen, wenn der neue DNS-RPZ-Patch (Response Policy Zones) für „Bind“ vollständig umgesetzt ist. Nameserver können damit DNS-Abfragen zu Domains blockieren, die als gefährlich gelten, etwa weil sie zu Phishing-Webseiten oder Malware-Download-Quellen führen. Zudem lassen sich Domains blockieren, die kriminelle, aber ICANN-akkreditierte Registrare für sich reserviert haben – mit anderen Worten: Domains, die unter direkter oder indirekter Kontrolle Krimineller stehen.

Das Interview für die iX führte Peer Heinlein per E-Mail

Mehr Infos

Spamhaus-Blacklists im Überblick

Die Nutzung der Spamhaus-Blacklists ist für den nichtkommerziellen Einsatz bis 100.000 E-Mails am Tag kostenlos: Über 50 öffentliche DNS-Server stellt Spamhaus dafür bereit. Wer dieses Volumen überschreitet oder die Listen kommerziell einsetzt, muss die Nutzung von Spamhaus jedoch lizenzieren, um die DNS-Infrastruktur gegenzufinanzieren – dann stehen neben eigens reservierten DNS-Servern auch komplette Zonentransfers per rsync zur Verfügung, mit denen sich die DNS-Daten lokal nutzen lassen.

SBL (Spamhaus Block List): sbl.spamhaus.org listet IP-Adressen, von denen man nach Meinung von Spamhaus aus Sicherheitsgründen keine Mails empfangen sollte. Grundlage sind konkrete Spam-Ereignisse von diesen Adressen, die Spamhaus analysiert und in die Datenbank eingespeist hat.

XBL (Exploits Block List): xbl.spamhaus.org beinhaltet gehackte Server oder Desktop-PCs, die zu Botnetzen gehören. Die XBL-Daten von Spamhaus enthalten die zwei bekannten Listen cbl.abuseat.org und die Open-Proxy-Einträge von njabl.org.

PBL (Policy Block List): pbl.spamhaus.org führt die IP-Adressen auf, die große Internet-Provider als zu Dialup-Bereichen gehörend registriert haben. In anderen DNSBLs heißen solche Listen auch „Dialup User Lists“ (DUL). Viele Postmaster vertreten die Auffassung, dass von diesen Dialup-Adressen grundsätzlich keine direkt versendeten Mails ausgehen dürfen. Welche IP-Adressen eines Providers auf DULs gelistet sind, legt nicht Spamhaus, sondern der jeweilige ISP selbst fest.

ZEN: zen.spamhaus.org umfasst die kombinierten Daten der drei Listen SBL, XBL und PBL. Wer ohnehin alle drei abfragen will, nutzt also besser die ZEN-Liste.

DROP (Don’t Route Or Peer): Übernommene oder insolvente Unternehmen hinterlassen bisweilen unbenutzte, gleichwohl ordentlich registrierte IP-Netze. Mittels eigener BGP-Routen lassen sich diese entführen und für Angriffe oder zum Spamversand missbrauchen. IP-Adressen, die drop.spamhaus.org aufführt, sollte also schon die Firewall blockieren.

DBL (Domain Block List): Enthält keine IP-Adressen, sondern Domains, die in Spam-Mails beworben oder für Phishing-Zwecke genutzt werden. Eine DBL kommt darum in der Regel nicht auf dem Mailserver (MTA) selbst, sondern im Rahmen einer nachgelagerten Inhaltsfilterung zum Einsatz, etwa mit SpamAssassin. Peer Heinlein

(un)