Spam-Versender setzen auf Einweg-IP-Adressen
Das Institut für Internet-Sicherheit schätzt, dass mehr als ein Drittel der für den Spam-Versand genutzten IP-Adressen nur ein einziges Mal und dann für längere Zeit nicht mehr auftaucht.
Botnetz-Betreiber sind anscheinend drauf und dran, Blacklists auszuhebeln, die vorübergehend IP-Adressen aufführen, über die verseuchte und ferngesteuerte Rechner in letzter Zeit Spam verschickt haben.
Zu den seitens der Mailserver-Betreiber häufig eingesetzten Spam-Gegenmaßnahmen gehört das Abfragen diverser Blacklists, die IP-Adressen aufführen, von denen wahrscheinlich nur Spam zu erwarten ist. Während einer 24-stündigen Stichprobe am 16. Februar hat das Gelsenkirchener Institut für Internet-Sicherheit rund 17 Millionen solcher Anfragen an einen DNS-Slave-Server der von der iX-Redaktion betriebenen Blacklist gezählt. Die Auswertung des Zahlengebirges ergab nun, dass gut ein Drittel der insgesamt abgefragten IP-Adressen (rund 459.000 von 1.351.000) nur ein einziges Mal in Erscheinung trat.
Auch ohne den direkten Nachweis, dass jedes Abfragen der IP-Adressen mit einem Spam-Versand von dort aus verbunden war, dürfte ein wesentlicher Teil der überhaupt abgefragten Adressen ausschließlich Spam verschickt haben, denn der 16. Februar war ein Samstag. An Wochenenden sind Spam-Anteile von 95 Prozent und mehr zur Zeit nicht ungewöhnlich.
Wenn ein Drittel aller beobachteten IP-Adressen nur ein einziges Mal Spam abfeuert, bedeutet das umgekehrt für Blacklists, die nur verifizierte, vor kurzem beobachtete Spam-Quellen aufführen, eine Art "natürliche" Obergrenze der Trefferquote von derzeit 66 Prozent. Mehr lässt sich nur erreichen, wenn Blacklists alle möglichen Adressbereiche komplett und dauerhaft einbeziehen, die bestimmten Richtlinien entsprechen, etwa die von Providern für DSL- und Einwahl-Kunden genutzten. Dadurch gelangen aber viele Millionen von Adressen in den Datenbestand, von denen tatsächlich niemals Spam ausgeht.
Das Institut für Internet-Sicherheit ist selbst CeBIT-Aussteller (Halle 9, Stand C16) sowie zu Gast auf dem Heise-Forum: Über Details zu den Blacklist-Analysen sprechen Christian Dietrich und Christian Rossow dort am Donnerstag um 10 Uhr (Halle 5, Stand E38). (un)
