Schlechte Nachrichten

Inhaltsverzeichnis

Manuel Schmitt vom Webhoster manitu reagierte nach dem Motto „viel hilft viel“. Damit seine Mail-Filter den jüngsten Spam-Ansturm bewältigen konnten, spendierte er ihnen Ende Mai mehr als die doppelte Rechenleistung, wie er in seinem Blog festhielt. Zurzeit müssen etliche Provider durch Spam ausgelöste Lastspitzen im Rahmen ähnlicher Notmaßnahmen bewältigen. Die Last wächst von Zeit zu Zeit mal schlagartig, mal allmählich zum Teil auf das Doppelte des bisher „Normalen“ oder sogar darüber hinaus, um kurz darauf wieder stark zu sinken. Es ergeben sich phasenweise regelrechte Wellenmuster mit wechselnder Frequenz, wie die von einigen Betreibern großer Mailserver erstellten Abbildungen zeigen. Dahinter stecken offenbar wenige Urheber, denen zahllose mit Schadsoftware infizierte, ferngesteuerte Rechner, sogenannte Bots, zur Verfügung stehen - und damit enorme Übertragungskapazitäten.

Laut Sven Michels, Geschäftsführer der sectoor GmbH, liegt der Anteil der erwünschten E-Mails auf manchen Mailserver-Systemen während des Auftretens der „Wellenberge“ zeitweise nur noch im Promillebereich. Rund 98 Prozent aller Zustellversuche würden dann zwar schon wegen unbekannter Empfängeradressen abgebrochen. Es gebe jedoch mehrere Hinweise darauf, dass die Spammer aus ihren Erfahrungen mit Abwehr- und Filtermaßnahmen gelernt haben. So seien vermehrt E-Mails zu beobachten, deren Absenderadressen zu den Provider-Domains der missbrauchten Absender-Rechner passen oder offenbar gezielt aus Whois-Einträgen der Empfänger-Domains ermittelt worden sind, um den Filtern der Empfänger eine tatsächlich bekannte E-Mail-Adresse unterzujubeln.

Greylisting ausgehebelt

Außerdem sei festzustellen, dass Spammer das Greylisting-Verfahren [1] neuerdings gezielt und massenhaft aushebeln, indem sie Zustellversuche in festen Zeitabständen mit identischen IP-, Absender- und Empfängeradressen wiederholen. Michels: „Nach etwas mehr als 600 Sekunden kommen viele E-Mails erneut an, was gängige Default-Wartezeiten knapp übertrifft.“ Das Greylisting fußt auf der offensichtlich überholten Annahme, dass einfach gestrickten Mail-Funktionen von Trojanern & Co. eben keine Wiederholung von Zustellversuchen gelingt.

Ähnliches berichtet Wolfgang Breyha vom Rechenzentrum der Uni Wien: „Greylisting wird gebrochen, indem derselbe Bot unter Beibehaltung von Absender- und Empfängeradresse nach 10 und nach 20 Minuten noch einmal probiert, die Mail zuzustellen. Damit werden die gängigen Greylisting-Embargozeiten von 5 und 15 Minuten ziemlich treffsicher ausgehebelt.“ Den zehnminütigen Versatz zwischen erstem und zweitem Angriff veranschaulicht die von Breyha gelieferte Grafik deutlich (Abbildung 1). Sie zeigt, dass versetzte Angriffswellen die Wirksamkeit von Greylisting um mehr als die Hälfte reduzieren können.

Handelsstopp hilft gegen Aktien-Spam

Nach Erkenntnissen von Breyha wechseln die Bots von Mal zu Mal. Ein Sammeln der IP-Adressen auf einer Blacklist sei daher nicht sinnvoll, da sie nach einer Aussendung auf unbestimmte Zeit nicht mehr vorkommen. An einem Spam-reichen Tag finden sich mehr als 150 000 verschiedene Bot-Adressen in den Logs der Wiener Universität. Die Systeme der Uni verzeicheten zwar zeitweise einen Anstieg des Volumens, der sogar weit über eine Verdoppelung hinausgehe, noch sei es aber möglich, die Systeme mit „Hausmitteln“ am Leben zu erhalten.

Ein großer Teil der Spam-Mails enthält derzeit Werbung für den Kauf bestimmter Aktien mit sehr niedriger Marktkapitalisierung und winzigem Handelsvolumen („Penny Stocks“). Wie Breyha festgestellt hat, endete am 17. März schlagartig der Eingang derartiger Mails, die massenhaft für entsprechende US-Papiere geworben hatten. Eine Woche zuvor hatte die US-Börsenaufsicht SEC massive Gegenmaßnahmen angekündigt und diverse Papiere vom Handel ausgesetzt.

Der Spuk, der im Oktober 2006 begann, setzt sich jedoch jetzt mit anderen Inhalten fort: Die Spammer bearbeiten nun die Frankfurter Börse. Erste Vorboten davon kamen laut Breyha Anfang April. Einen Monat später gerieten die Systeme wegen Kaufempfehlungen für dort gehandelte Papiere an den Rand der Belastbarkeit. Breyha: „Seither kommen mindestens zwei Wellen pro Woche, die mindestens einen Tag lang anhalten. Dabei werden unsere üblichen Werte von etwa 500 rejects pro Minute mit bis zu 4500 rejects pro Minute um das Sechsfache übertroffen.“ Es falle auf, dass fast ausschließlich der Frankfurt-Börsen-Spam sowohl derart große Stückzahlen erreicht als auch Greylisting „mühelos durchschlägt“ - und das mit „bestens gefälschten“ Mail-Headern. Solange die Börsenaufsicht hierzulande nicht ähnlich hart durchgreift wie die US-Behörden, dürfte sich daran wenig ändern.

Gegen die große Spam-Belastung setzt auch Roland Völker von der Uni Würzburg auf Greylisting. Nicht alle Botnetz-Betreiber hätten das Verfahren überwunden. Es leiste immer noch einen wichtigen Beitrag zur Spam-Abwehr, auch wenn es bei Weitem nicht mehr so wirkungswoll sei wie noch vor einem Jahr. Auch Völker sieht Spam in Wellen über die Systeme der Würzburger Uni hereinbrechen. Bis zu 100 000 E-Mails würden pro Tag abgewiesen, es gebe aber auch Tage, an denen wenig los sei. Die bisher eingesetzte Hardware sei noch ausreichend dimensioniert. In Situationen mit hoher Spam-Belastung würden jedoch legitime Absender-Mailserver bevorzugt behandelt und dagegen Verbindungen von Dialup-Clients sofort mit einem temporären Fehler beendet. Das führe dazu, dass der größte Teil der regulären Mail unbehelligt bleibt.

In noch größerem Maßstab bestätigt Stephan Menzel, Senior Technical Architect beim Mail-Provider GMX, die starken Schwankungen. Auch seine grafisch aufbereiteten Statistiken belegen deutlich, dass offenbar wenige Massenversender die Belastung der Mailsysteme fast beliebig steuern (Abbildung 2, zum Schutz der Systeme ohne Skalierung, [2]). Während der Angriffe im Mai fiel Menzel auf, dass sich sehr viele Absendeversuche an Empfängeradressen richteten, für die GMX gar nicht zuständig ist - als ob die Botnetz-Betreiber nebenbei nach offenen Relays suchten. Das habe die Systemlast zusätzlich nach oben getrieben.

Es gibt gelegentlich unangenehme Nachwirkungen, die lange nach dem Verebben einer Spam-Welle anhalten. Sven Michels bemerkte, dass einige Mailsysteme auch großer Provider Pausen einlegen mussten, weil interne Abläufe nicht mehr funktionierten. Das ließ wiederum die Mail-Warteschlangen und die Systemlast bei anderen Internet-Anwendern wachsen. Besonders ärgerlich: Sobald das Abliefern der Mails eigentlich hätte starten können, wurden die Absender-Hosts gleich wieder ausgebremst, weil bei den Providern durch den plötzlich ansteigenden regulären Mail-Traffic offenbar Begrenzungsregeln in Kraft traten.

Anfang Juni waren solche Hänger zunächst überwunden, und das Spam-Volumen lag wieder im „Normalbereich“. Doch im Log des iX-Spamfilters zeigen sich bereits die Vorboten zukünftiger Ärgernisse. Gelegentlich sind Spam-Ausbrüche zu beobachten, die nicht direkt von „verwurmten“ PCs, sondern von gewöhnlichen Mailservern (Smarthosts) ausgehen, auch bei großen Providern. Den Spam-Absendern gelingt es offenbar immer häufiger, mit den PCs auch gleich die Mail-Accounts der Kunden zu übernehmen. Für solche Fälle ist Greylisting, das Smarthosts ja gerade entgegenkommt, nicht vorgesehen.

Aber auch die vergleichsweise primitive Methode, Spam wiederholt auszusenden, trifft Greylisting schwer, wenn es nicht mit dem Erkennen von Dialup-Rechnern verbunden wird. Diejenigen Anwender, die das Verfahren nicht einsetzen, trifft jede der Müll-Mails sogar mehrfach - wenn sie keinen Filter einsetzen. Und wer Filter einsetzt, wird dafür wohl bald wieder Hardware nachkaufen müssen.

Literatur

[1] Roland Völker; Wehrdienst; Kaskadierte Strategie zur Spam-Filterung; iX 1/2006, S. 116

[2] Stephan Menzel; Spitzenlast; Spam Ausbrüche gefährden Mailserver; iX 12/2006, S. 103 (un)