Fachartikel

Verteidigungslinie gegen Spam

Quasi minütlich wird das E-Mailpostfach mit Angeboten von Online-Casinos, Pillenverkäufern oder skurrilen Geschäftsideen aus Afrika gefüllt. In unserem Fachartikel erklären wir, mit welchen Technologien sich Spam aktuell begegnen lässt, wer hinter den Millionen von Werbemails steckt und wie zukünftige Bekämpfungsstrategien aussehen könnten.
Noch lässt sich leider nicht jeglicher Spam per Tastendruck abschalten
Nicht alles was uns im elektronischen Postkasten derzeit als uninteressante Werbezusendung aufstößt ist Spam. Ein bewusst bestellter Newsletter mit Produktangeboten eines Versandhauses ist zwar eine Werbesendung, jedoch wurde diese gezielt an den Empfänger auf dessen Wunsch versandt. Spam ist traditionell eine unverlangte Massen-E-Mail, kurz als UBE ("Unsolicited Bulk E-Mail") oder UCE ("Unsolicited Commercial E-Mail") bezeichnet. Beiden Untergruppen von Spam ist jedoch eines gemein: Es handelt sich um unverlangte elektronische Werbepost.

Unverlangte Wurfreklame gab es schon lang vor der kommerziellen Ausbereitung des Internets, doch unterscheidet sich die Analogie zum physikalischen Postkasten seit einigen Jahren drastisch: Während sich im echten Postkasten täglich zwei bis drei Werbesendungen einfinden, so ist die elektronische Realität eine ganz Andere. Würden alle eingehenden E-Mails in einem mittelständischen Unternehmen gesichtet werden müssen, so wären für diese Aufgabe gleich mehrere Personen abzustellen – auf eine "echte" E-Mail kommen aktuell bis zu 98 Spam-Nachrichten.

Aktuelle Antispam-Techniken
Viele aktuelle E-Mailserver verfügen bereits über eine ganze Batterie an Antispam-Techniken. Auch ohne den Einsatz einer zusätzlichen Antispam-Software oder -Appliance ist es dem Mail-Administrator möglich, die Anzahl von Spam-Nachrichten nachhaltig zu senken. Gefilterte Nachrichten werden in der Praxis nicht automatisch gelöscht, sondern an ein Quarantäne-Mail-Subsystem überführt. Das hat den Vorteil, dass im Falle einer irrtümlichen Spam-Erkennung Benutzer selbstständig in der Lage sind, diese Nachrichten einzusehen. Tägliche Reporte setzen Benutzer im idealen Fall über ausgefilterte Nachrichten automatisiert in Kenntnis.

Hauptarbeitsmittel der einfachen Filter sind die so genannten Black- und Whitelists. Dies sind Auflistungen mit Domänennamen, E-Mailadressen und IP-Adressen, die entweder negativ auffielen oder für eine Kommunikation grundsätzlich freigegeben wurden. Glücklicherweise sind Mail-Administratoren nicht gezwungen diese Listen komplett von Null an zu füllen – hinter dem Kürzel RBL ("Realtime Blackhole List") steckt beispielsweise eine laufend aktualisierte Datenbank mit Negativeinträgen im Internet.


Bild 1: Die manuelle Zuordnung von Absendern in Black- und Whitelists ist ein administrativ aufwändiger Vorgang
und ist als einzige Anti-Spam-Technik nicht tragbar


In diesem Zusammenhang ist die Technik "Greylisting" erwähnenswert. Hierbei kommt eine E-Mailadresse, von der eine Nachricht empfangen wird, zunächst auf eine "graue Liste". Der Absender erhält die Meldung vom Mailserver, dass die Nachricht bitte erneut zu senden ist. Automatisierte Spam-Roboter reagieren typischerweise nicht auf Rückmeldungen, so dass im Umkehrschluss vorwiegend "echte Kommunikationspartner" einen erneuten Versand durchführen. Wird die Nachricht ein zweites Mal empfangen, wandert der Absender automatisch auf die Whitelist und gilt als vertrauenswürdiger Kontaktpartner.

Weiteres Bordmittel im Kampf gegen Spam ist die traditionelle Schlüsselwortliste. Ist ein Unternehmen beispielsweise nicht im Gesundheitsbereich tätig, so handelt es sich bei Nachrichten mit den Worten "Valium", "Cialis" oder "Viagra" wohl grundsätzlich um Spam. Die Wirkungsweise von Schlüsselwortlisten wird jedoch durch das bewusste Falschschreiben von Begriffen von Seiten der Spammer getrübt. Daher ist die Schlüsselwortsuche lediglich noch ein zusätzliches Hilfsmittel, denn ein probates Mittel bei der Spam-Bekämpfung.

Eine ausgereiftere Technik stellt "Vipul's Razor" dar, ein Prüfsummen-basiertes, verteiltes und gemeinschaftliches Spam-Erkennungs- und Filternetzwerk. Die Razor-Datenbank wird über Benutzerrückmeldungen ständig aktualisiert und erlaubt so, bekannte Spam-Nachrichten zu filtern. Derzeit wird Razor vorwiegend von serverseitigen Spamfiltern genutzt. Ein kommerzieller Ableger von Razor ist "Cloudmark Desktop", das als Erweiterung für die bekanntesten E-Mailclients verfügbar ist. Techniken wie Razor sind auch gegen Spam-Nachrichten wirksam, die über keinen eigentlichen Textinhalt verfügen, sondern ihre Werbebotschaft als grafisches Element darstellen.

Die Wurzel des Problems anpacken
Neben einer inhaltlichen Überprüfung von E-Mails beim Empfang auf Ebene des Posteingangsservers bietet sich eine vorangestellte Verteidigungslinie an, die erstmalig Anfang der 2000er vom US-amerikanischen Hersteller Ironport zur Produktreife geführt wurde. Das seit zwei Jahren zur Branchengröße Cisco gehörende Unternehmen prüft, ob das bisherige Verhalten des absendenden Servers durch Spam-Aktivitäten gezeichnet ist, oder ob es sich dabei um eine diesbezüglich unauffällige Installation handelt. Das bisherige Verhalten wird hierbei als "Reputation" bezeichnet. Ist ein Server bereits mehrfach zum Versand von Spam-Mails benutzt worden, so ist dies in der einer speziellen Datenbank festgehalten. Den Reputations-Wert stellt Ironport auf einer Skala von -10 bis +10 dar. Ab welchem Wert mit einer Mail wie zu verfahren ist, ist Einstellungssache des Mail-Administrators. In der typischen Einstellung einer Ironport-Appliance werden Mailserver mit einem Reputationswert von -10 bis -6 komplett als Kommunikationspartner abgelehnt. In einem Bereich von -5 bis -2 lassen sich "Throttle"-Einstellungen wählen, beispielsweise, dass lediglich drei E-Mails pro Stunde von einem solchen Mailserver entgegen genommen werden.

Eine öffentlich zugängliche Ironport-Datenbank mit dem Namen Senderbase [1] speichert die Serverdaten und Transaktionsergebnisse von über 30.000 Providern, Universitäten und Unternehmen und stellt diese als Grundlage für eine Einschätzung des Spam-Potentials bereit. Entsprechend konfigurierte Ironport-Systeme übermitteln ihre Informationen automatisch an die Senderbase-Datenbank. Dank der großen Anzahl von Sensoren erkennt das System sehr zügig neu entstehende Spam-Schwämme und ist für manipulierte Fehldaten unsensibel.




                                                Seite 1 von 2                     Nächste Seite>>


9.02.2011/ln/Thomas Bär

Nachrichten

Sichere Collaboration [23.08.2017]

Skyhigh Networks stellt eine Sicherheits- und Compliance-Lösung für Cisco Spark vor. 'Skyhigh for Cisco Spark' ergänzt die vorhandenen Sicherheitsfunktionen des Cloud-basierten Collaboration-Dienstes von Cisco um zusätzliches Monitoring, nahtlosen Übertrag von Richtlinien zur Data Loss Prevention sowie die Anwendung von Gegenmaßnahmen. [mehr]

Angriffsziel Cloud [21.08.2017]

Neben der Häufigkeit wächst die Raffinesse der Cyberangriffe auf Nutzerkonten in der Cloud. Das ist ein Ergebnis der neuen Ausgabe des 'Microsoft Security Intelligence Reports'. Insgesamt sind die Angriffe auf Microsoft-Cloud-Konten um 300 Prozent innerhalb eines Jahres gestiegen. [mehr]

Tipps & Tools

Vorschau September 2017: Container [21.08.2017]

Container sind derzeit in aller Munde, allen voran Docker. In der September-Ausgabe beleuchtet IT-Administrator, was die Technologie für Admins im Unternehmen zu bieten hat. So lesen Sie etwa, wie die Docker-Orchestrierung mit Kubernetes funktioniert und wie VMwares Strategie in Sachen Container aussieht. Daneben werfen wir einen Blick auf die Container-Nutzung unter Windows Server 2016 mit Docker sowie Hyper-V. Nicht zuletzt widmen wir uns der Frage, wie sich die Sicherheit von Container-Applikationen dank Aporeto Trireme erhöhen lässt. In den Produkttests nehmen wir unter anderem den Parallelbetrieb von SQL Server mit Windocks unter die Lupe. [mehr]

Grafikkarte an VM durchreichen [13.08.2017]

Um die Grafikleistung einer virtuellen Maschine zu verbessern, bestehen neben der VMware-Enterprise-Lösung mit NVIDIA GRID vGPU auch die Möglichkeiten, Grafikkarten als PCIe-Device mit Virtual Dedicated Graphics Acceleration, vDGA, an die VM durchzureichen oder die VM mit Virtual Shared Graphics Acceleration, vSGA, zu konfigurieren. Dazu sind jedoch einige Schritte nötig. [mehr]

Buchbesprechung

Citrix XenMobile 10

von Thomas Krampe

Anzeigen