Fachartikel

Verteidigungslinie gegen Spam

Quasi minütlich wird das E-Mailpostfach mit Angeboten von Online-Casinos, Pillenverkäufern oder skurrilen Geschäftsideen aus Afrika gefüllt. In unserem Fachartikel erklären wir, mit welchen Technologien sich Spam aktuell begegnen lässt, wer hinter den Millionen von Werbemails steckt und wie zukünftige Bekämpfungsstrategien aussehen könnten.
Noch lässt sich leider nicht jeglicher Spam per Tastendruck abschalten
Nicht alles was uns im elektronischen Postkasten derzeit als uninteressante Werbezusendung aufstößt ist Spam. Ein bewusst bestellter Newsletter mit Produktangeboten eines Versandhauses ist zwar eine Werbesendung, jedoch wurde diese gezielt an den Empfänger auf dessen Wunsch versandt. Spam ist traditionell eine unverlangte Massen-E-Mail, kurz als UBE ("Unsolicited Bulk E-Mail") oder UCE ("Unsolicited Commercial E-Mail") bezeichnet. Beiden Untergruppen von Spam ist jedoch eines gemein: Es handelt sich um unverlangte elektronische Werbepost.

Unverlangte Wurfreklame gab es schon lang vor der kommerziellen Ausbereitung des Internets, doch unterscheidet sich die Analogie zum physikalischen Postkasten seit einigen Jahren drastisch: Während sich im echten Postkasten täglich zwei bis drei Werbesendungen einfinden, so ist die elektronische Realität eine ganz Andere. Würden alle eingehenden E-Mails in einem mittelständischen Unternehmen gesichtet werden müssen, so wären für diese Aufgabe gleich mehrere Personen abzustellen – auf eine "echte" E-Mail kommen aktuell bis zu 98 Spam-Nachrichten.

Aktuelle Antispam-Techniken
Viele aktuelle E-Mailserver verfügen bereits über eine ganze Batterie an Antispam-Techniken. Auch ohne den Einsatz einer zusätzlichen Antispam-Software oder -Appliance ist es dem Mail-Administrator möglich, die Anzahl von Spam-Nachrichten nachhaltig zu senken. Gefilterte Nachrichten werden in der Praxis nicht automatisch gelöscht, sondern an ein Quarantäne-Mail-Subsystem überführt. Das hat den Vorteil, dass im Falle einer irrtümlichen Spam-Erkennung Benutzer selbstständig in der Lage sind, diese Nachrichten einzusehen. Tägliche Reporte setzen Benutzer im idealen Fall über ausgefilterte Nachrichten automatisiert in Kenntnis.

Hauptarbeitsmittel der einfachen Filter sind die so genannten Black- und Whitelists. Dies sind Auflistungen mit Domänennamen, E-Mailadressen und IP-Adressen, die entweder negativ auffielen oder für eine Kommunikation grundsätzlich freigegeben wurden. Glücklicherweise sind Mail-Administratoren nicht gezwungen diese Listen komplett von Null an zu füllen – hinter dem Kürzel RBL ("Realtime Blackhole List") steckt beispielsweise eine laufend aktualisierte Datenbank mit Negativeinträgen im Internet.


Bild 1: Die manuelle Zuordnung von Absendern in Black- und Whitelists ist ein administrativ aufwändiger Vorgang
und ist als einzige Anti-Spam-Technik nicht tragbar


In diesem Zusammenhang ist die Technik "Greylisting" erwähnenswert. Hierbei kommt eine E-Mailadresse, von der eine Nachricht empfangen wird, zunächst auf eine "graue Liste". Der Absender erhält die Meldung vom Mailserver, dass die Nachricht bitte erneut zu senden ist. Automatisierte Spam-Roboter reagieren typischerweise nicht auf Rückmeldungen, so dass im Umkehrschluss vorwiegend "echte Kommunikationspartner" einen erneuten Versand durchführen. Wird die Nachricht ein zweites Mal empfangen, wandert der Absender automatisch auf die Whitelist und gilt als vertrauenswürdiger Kontaktpartner.

Weiteres Bordmittel im Kampf gegen Spam ist die traditionelle Schlüsselwortliste. Ist ein Unternehmen beispielsweise nicht im Gesundheitsbereich tätig, so handelt es sich bei Nachrichten mit den Worten "Valium", "Cialis" oder "Viagra" wohl grundsätzlich um Spam. Die Wirkungsweise von Schlüsselwortlisten wird jedoch durch das bewusste Falschschreiben von Begriffen von Seiten der Spammer getrübt. Daher ist die Schlüsselwortsuche lediglich noch ein zusätzliches Hilfsmittel, denn ein probates Mittel bei der Spam-Bekämpfung.

Eine ausgereiftere Technik stellt "Vipul's Razor" dar, ein Prüfsummen-basiertes, verteiltes und gemeinschaftliches Spam-Erkennungs- und Filternetzwerk. Die Razor-Datenbank wird über Benutzerrückmeldungen ständig aktualisiert und erlaubt so, bekannte Spam-Nachrichten zu filtern. Derzeit wird Razor vorwiegend von serverseitigen Spamfiltern genutzt. Ein kommerzieller Ableger von Razor ist "Cloudmark Desktop", das als Erweiterung für die bekanntesten E-Mailclients verfügbar ist. Techniken wie Razor sind auch gegen Spam-Nachrichten wirksam, die über keinen eigentlichen Textinhalt verfügen, sondern ihre Werbebotschaft als grafisches Element darstellen.

Die Wurzel des Problems anpacken
Neben einer inhaltlichen Überprüfung von E-Mails beim Empfang auf Ebene des Posteingangsservers bietet sich eine vorangestellte Verteidigungslinie an, die erstmalig Anfang der 2000er vom US-amerikanischen Hersteller Ironport zur Produktreife geführt wurde. Das seit zwei Jahren zur Branchengröße Cisco gehörende Unternehmen prüft, ob das bisherige Verhalten des absendenden Servers durch Spam-Aktivitäten gezeichnet ist, oder ob es sich dabei um eine diesbezüglich unauffällige Installation handelt. Das bisherige Verhalten wird hierbei als "Reputation" bezeichnet. Ist ein Server bereits mehrfach zum Versand von Spam-Mails benutzt worden, so ist dies in der einer speziellen Datenbank festgehalten. Den Reputations-Wert stellt Ironport auf einer Skala von -10 bis +10 dar. Ab welchem Wert mit einer Mail wie zu verfahren ist, ist Einstellungssache des Mail-Administrators. In der typischen Einstellung einer Ironport-Appliance werden Mailserver mit einem Reputationswert von -10 bis -6 komplett als Kommunikationspartner abgelehnt. In einem Bereich von -5 bis -2 lassen sich "Throttle"-Einstellungen wählen, beispielsweise, dass lediglich drei E-Mails pro Stunde von einem solchen Mailserver entgegen genommen werden.

Eine öffentlich zugängliche Ironport-Datenbank mit dem Namen Senderbase [1] speichert die Serverdaten und Transaktionsergebnisse von über 30.000 Providern, Universitäten und Unternehmen und stellt diese als Grundlage für eine Einschätzung des Spam-Potentials bereit. Entsprechend konfigurierte Ironport-Systeme übermitteln ihre Informationen automatisch an die Senderbase-Datenbank. Dank der großen Anzahl von Sensoren erkennt das System sehr zügig neu entstehende Spam-Schwämme und ist für manipulierte Fehldaten unsensibel.




                                                Seite 1 von 2                     Nächste Seite>>


9.02.2011/ln/Thomas Bär

Nachrichten

Heimliches Cryptomining auf dem Vormarsch [21.02.2018]

Check Point hat nach eigener Aussage bedeutende Mining-Aktivitäten mit dem XMRig-Miner ausgemacht. Die Verantwortlichen kämen demnach aus China und schürften die Kryptowährung Monero. Zudem gebe es Anzeichen davon, dass die Hintermänner in einer großangelegten Aktion versuchten, die Rechenleistung von Jenkins CI-Servern für ihre Zwecke zu missbrauchen. [mehr]

Schnellerer Rollout für VPN-Client [20.02.2018]

NCP hat Version 3.0 des NCP Secure Enterprise macOS Client veröffentlicht. Der Client ist jetzt mit Apples Betriebssystem macOS High Sierra 10.13 kompatibel. Die Installation mit Initialkonfiguration erleichtert Administratoren die Inbetriebnahme der VPN-Lösung laut Anbieter erheblich. Zudem enthält die neue Version des zentral administrierten VPN Clients von NCP unter anderem einen vollständige IKEv2 Unterstützung und einen optimierten IPSec-Stack. [mehr]

SIEM-Update zur DSGVO [14.02.2018]

Tipps & Tools

Citrix NetScaler: Split-DNS verstehen [11.02.2018]

Selbst erfahrene Citrix-Administratoren, die mit dem NetScaler-Gateway arbeiten, wissen nicht immer im Detail, wie Split-DNS hier genau funktioniert. Unter anderem gilt es, die Einstellungen 'Local', 'Remote' und 'Both' zu verstehen. Denn diese wirken sich bei der Nutzung von mobilen Geräten teilweise äußerst unterschiedlich auf DNS-Abfragen aus. [mehr]

Citrix ConfigSync reparieren [28.01.2018]

Bei der Nutzung von Citrix XenDesktop kann es vorkommen, dass der Citrix ConfigSync regelmäßig die Fehlermeldung mit der Ereignis-ID 505 "Ein Import des Citrix ConfigSync ist fehlgeschlagen" anzeigt. Mit wenigen Handgriffen lässt sich der Local Host Cache mit XenApp / XenDesktop in Version 7.12 oder einer neueren Version jedoch konsistent wiederherstellen. [mehr]

Buchbesprechung

Software Defined Networking

von Konstantin Agouros

Anzeigen