Fachartikel

Verteidigungslinie gegen Spam

Quasi minütlich wird das E-Mailpostfach mit Angeboten von Online-Casinos, Pillenverkäufern oder skurrilen Geschäftsideen aus Afrika gefüllt. In unserem Fachartikel erklären wir, mit welchen Technologien sich Spam aktuell begegnen lässt, wer hinter den Millionen von Werbemails steckt und wie zukünftige Bekämpfungsstrategien aussehen könnten.
Noch lässt sich leider nicht jeglicher Spam per Tastendruck abschalten
Nicht alles was uns im elektronischen Postkasten derzeit als uninteressante Werbezusendung aufstößt ist Spam. Ein bewusst bestellter Newsletter mit Produktangeboten eines Versandhauses ist zwar eine Werbesendung, jedoch wurde diese gezielt an den Empfänger auf dessen Wunsch versandt. Spam ist traditionell eine unverlangte Massen-E-Mail, kurz als UBE ("Unsolicited Bulk E-Mail") oder UCE ("Unsolicited Commercial E-Mail") bezeichnet. Beiden Untergruppen von Spam ist jedoch eines gemein: Es handelt sich um unverlangte elektronische Werbepost.

Unverlangte Wurfreklame gab es schon lang vor der kommerziellen Ausbereitung des Internets, doch unterscheidet sich die Analogie zum physikalischen Postkasten seit einigen Jahren drastisch: Während sich im echten Postkasten täglich zwei bis drei Werbesendungen einfinden, so ist die elektronische Realität eine ganz Andere. Würden alle eingehenden E-Mails in einem mittelständischen Unternehmen gesichtet werden müssen, so wären für diese Aufgabe gleich mehrere Personen abzustellen – auf eine "echte" E-Mail kommen aktuell bis zu 98 Spam-Nachrichten.

Aktuelle Antispam-Techniken
Viele aktuelle E-Mailserver verfügen bereits über eine ganze Batterie an Antispam-Techniken. Auch ohne den Einsatz einer zusätzlichen Antispam-Software oder -Appliance ist es dem Mail-Administrator möglich, die Anzahl von Spam-Nachrichten nachhaltig zu senken. Gefilterte Nachrichten werden in der Praxis nicht automatisch gelöscht, sondern an ein Quarantäne-Mail-Subsystem überführt. Das hat den Vorteil, dass im Falle einer irrtümlichen Spam-Erkennung Benutzer selbstständig in der Lage sind, diese Nachrichten einzusehen. Tägliche Reporte setzen Benutzer im idealen Fall über ausgefilterte Nachrichten automatisiert in Kenntnis.

Hauptarbeitsmittel der einfachen Filter sind die so genannten Black- und Whitelists. Dies sind Auflistungen mit Domänennamen, E-Mailadressen und IP-Adressen, die entweder negativ auffielen oder für eine Kommunikation grundsätzlich freigegeben wurden. Glücklicherweise sind Mail-Administratoren nicht gezwungen diese Listen komplett von Null an zu füllen – hinter dem Kürzel RBL ("Realtime Blackhole List") steckt beispielsweise eine laufend aktualisierte Datenbank mit Negativeinträgen im Internet.


Bild 1: Die manuelle Zuordnung von Absendern in Black- und Whitelists ist ein administrativ aufwändiger Vorgang
und ist als einzige Anti-Spam-Technik nicht tragbar


In diesem Zusammenhang ist die Technik "Greylisting" erwähnenswert. Hierbei kommt eine E-Mailadresse, von der eine Nachricht empfangen wird, zunächst auf eine "graue Liste". Der Absender erhält die Meldung vom Mailserver, dass die Nachricht bitte erneut zu senden ist. Automatisierte Spam-Roboter reagieren typischerweise nicht auf Rückmeldungen, so dass im Umkehrschluss vorwiegend "echte Kommunikationspartner" einen erneuten Versand durchführen. Wird die Nachricht ein zweites Mal empfangen, wandert der Absender automatisch auf die Whitelist und gilt als vertrauenswürdiger Kontaktpartner.

Weiteres Bordmittel im Kampf gegen Spam ist die traditionelle Schlüsselwortliste. Ist ein Unternehmen beispielsweise nicht im Gesundheitsbereich tätig, so handelt es sich bei Nachrichten mit den Worten "Valium", "Cialis" oder "Viagra" wohl grundsätzlich um Spam. Die Wirkungsweise von Schlüsselwortlisten wird jedoch durch das bewusste Falschschreiben von Begriffen von Seiten der Spammer getrübt. Daher ist die Schlüsselwortsuche lediglich noch ein zusätzliches Hilfsmittel, denn ein probates Mittel bei der Spam-Bekämpfung.

Eine ausgereiftere Technik stellt "Vipul's Razor" dar, ein Prüfsummen-basiertes, verteiltes und gemeinschaftliches Spam-Erkennungs- und Filternetzwerk. Die Razor-Datenbank wird über Benutzerrückmeldungen ständig aktualisiert und erlaubt so, bekannte Spam-Nachrichten zu filtern. Derzeit wird Razor vorwiegend von serverseitigen Spamfiltern genutzt. Ein kommerzieller Ableger von Razor ist "Cloudmark Desktop", das als Erweiterung für die bekanntesten E-Mailclients verfügbar ist. Techniken wie Razor sind auch gegen Spam-Nachrichten wirksam, die über keinen eigentlichen Textinhalt verfügen, sondern ihre Werbebotschaft als grafisches Element darstellen.

Die Wurzel des Problems anpacken
Neben einer inhaltlichen Überprüfung von E-Mails beim Empfang auf Ebene des Posteingangsservers bietet sich eine vorangestellte Verteidigungslinie an, die erstmalig Anfang der 2000er vom US-amerikanischen Hersteller Ironport zur Produktreife geführt wurde. Das seit zwei Jahren zur Branchengröße Cisco gehörende Unternehmen prüft, ob das bisherige Verhalten des absendenden Servers durch Spam-Aktivitäten gezeichnet ist, oder ob es sich dabei um eine diesbezüglich unauffällige Installation handelt. Das bisherige Verhalten wird hierbei als "Reputation" bezeichnet. Ist ein Server bereits mehrfach zum Versand von Spam-Mails benutzt worden, so ist dies in der einer speziellen Datenbank festgehalten. Den Reputations-Wert stellt Ironport auf einer Skala von -10 bis +10 dar. Ab welchem Wert mit einer Mail wie zu verfahren ist, ist Einstellungssache des Mail-Administrators. In der typischen Einstellung einer Ironport-Appliance werden Mailserver mit einem Reputationswert von -10 bis -6 komplett als Kommunikationspartner abgelehnt. In einem Bereich von -5 bis -2 lassen sich "Throttle"-Einstellungen wählen, beispielsweise, dass lediglich drei E-Mails pro Stunde von einem solchen Mailserver entgegen genommen werden.

Eine öffentlich zugängliche Ironport-Datenbank mit dem Namen Senderbase [1] speichert die Serverdaten und Transaktionsergebnisse von über 30.000 Providern, Universitäten und Unternehmen und stellt diese als Grundlage für eine Einschätzung des Spam-Potentials bereit. Entsprechend konfigurierte Ironport-Systeme übermitteln ihre Informationen automatisch an die Senderbase-Datenbank. Dank der großen Anzahl von Sensoren erkennt das System sehr zügig neu entstehende Spam-Schwämme und ist für manipulierte Fehldaten unsensibel.




                                                Seite 1 von 2                     Nächste Seite>>


9.02.2011/ln/Thomas Bär

Nachrichten

Automatisches Zusatz-Backup [22.06.2017]

Mit dem neuen Sync&Share-Service 'TeamDrive Point in Time Recovery' stellt TeamDrive Systems ein neues Tool für Datensicherheit vor. Von TeamDrive überwachte und in die Cloud synchronisierte Ordnerinhalte werden jetzt zusätzlich zur Synchronisation zur vollwertigen Datensicherung. [mehr]

Sichere Anwendungen lassen Exploit-Kits vertrocknen [21.06.2017]

Unit 42, das Anti-Malware-Team von Palo Alto Networks, beobachtet einen signifikanten Rückgang bei Exploit-Kits. Auffällig ist dies besonders beim zuvor häufig genutzten 'Rig'. Warum sind Exploit-Kits nicht mehr so aktiv wie früher und was ist in der globalen Landschaft der Cyberbedrohungen als nächstes zu erwarten? Diesen Fragen ist Palo Alto Networks nachgegangen. [mehr]

Tipps & Tools

Neues Training: Docker und Linux-Container [6.06.2017]

Von Red Hat bis Microsoft reden heute alle von Docker. Dessen Erfolg beruht dabei vor allem auf einem Aspekt: Docker hat eine Infrastruktur für Container-Images entwickelt, die es ermöglicht, Images von anderen Anwendern aus einem Repository zu laden und sie für eigene Zwecke anzupassen. In unserem Training im Herbst erfahren Sie in München und Dortmund, worum es bei Docker geht, wie Container aufgebaut sind, wie Sie eigene Container bauen und mit anderen zu Anwendungen verbinden. [mehr]

Template auf XenServer korrekt anzeigen [4.06.2017]

Wenn Benutzer in unserer Citrix-Infrastruktur versuchen, eine Windows-Server2016-VM auf XenServer 7.1 anzulegen, kann es passieren, dass das dazugehörige Template nicht gefunden und somit nicht in der Auswahlliste angezeigt wird. Dieses Problem lässt sich mit einem kurzen Befehl aus der Welt schaffen. [mehr]

Buchbesprechung

Datenschutz-Grundverordnung

von Niko Härting

Anzeigen