von Redaktion IT-A…
Lesezeit
3 Minuten
So schützen Sie sich gegen Outbound-Spam
Neben dem Schutz vor eingehendem Spam tritt für IT-Verantwortliche zunehmend das Thema Outbound-Spam in den Vordergrund, werden doch vermehrt legitime Infrastrukturen zum Versand eingesetzt. Ein wirksames Werkzeug sollte Spam aus allen verbreiteten Quellen gleichermaßen zuverlässig erkennen, möglichst wenig Aufwand verursachen, False Positives vermeiden und ein Vorgehen gegen die Quellen selbst zulassen. Dieser Fachartikel befasst sich mit den Quellen von Spam, dem Status Quo und den wichtigsten Kriterien für Outbound-Spam-Lösungen.
Wenn in der Vergangenheit vom Spam-Problem die Rede war, ging es in der Regel immer um eines: wie umgehen mit den vielen unerwünschten und zunehmend auch gefährlichen E-Mails, die Tag für Tag bei Unternehmen wie Privatnutzern eingehen und noch immer die große Mehrzahl aller überhaupt verbreiteten E-Mails weltweit ausmachen? Bei der Spam-Abwehr ging und geht es daher vor allem darum, Nutzer, Unternehmen, Netzwerke vor eingehendem Spam zu schützen. Mittlerweile haben immer mehr Unternehmen sowie Internet Service Provider (ISPs) erkannt, dass ausgehender Spam ein Thema ist, mit dem sie sich beschäftigen sollten.
Quellen von Outbound-Spam
Bei der Analyse der Herkunft und Verbreitungswege von Spam lassen sich sechs typische Quellen unterscheiden. Die erste und mit großem Abstand häufigste sind Zombie-Computer, mit Malware (Trojanern) infizierte Nutzerrechner, die sich über einen auf dem Rechner installierten Bot fernsteuern lassen. Diese versenden über Port 25 (oder 465) Spam-E-Mails direkt an das Internet. Eine solche Infektion ist schwer zu bemerken, da viele Anti-Virus-Programme die Bots nicht finden und die Spam-Aktivität nicht konstant verläuft. Zombie-Rechner sind derzeit für etwa 85 Prozent des gesamten weltweiten Spam-Aufkommens verantwortlich.
Zweite Hauptquelle sind kompromittierte Benutzerkonten. Dabei gewinnen die Spammer zum Beispiel über einen Hack oder eine Phishing-E-Mail Zugang zum E-Mailkonto eines legitimen Benutzers und versenden über den MTA des Anbieters ihre E-Mails. Eine weitere Variante ist, dass die Spammer eigene Webmail-Konten eröffnen, die sie ausschließlich zum Spam-Versand nutzen. Nach Überwindung der CAPTCHA-Zugangssperren lassen sich zahlreiche Konten erstellen. Spammer nutzen auch Schwachstellen im MTA (Message Transfer Agent/ Mailserver) des Anbieters für den Versand von Spam-E-Mails aus.
Folgen von Outbound-Spam
Für Unternehmen und ISPs, aus deren Infrastruktur Spam versandt wird, kann dies eine Reihe zum Teil schwerwiegender Konsequenzen haben – mit Auswirkungen auf ihre Infrastruktur, die Betriebskosten sowie die Zufriedenheit ihrer Nutzer. So ist es möglich, dass ganze IP-Bereiche auf Blacklists landen, etwa den Realtime-Blackhole-Lists, die viele Anbieter zur Bekämpfung von Spam einsetzen, indem sie automatisch E-Mails, die aus diesen IP-Bereichen gesendet werden, blockieren.
Nutzer innerhalb des blockierten Netzes sind dann nicht in der Lage, reguläre E-Mails an diese Domains zu versenden. Dies stellt ein großes Problem für Unternehmen dar. So ist oft hoher Aufwand zu betreiben, um die Listung der IP-Bereiche aufheben zu lassen, der Support muss zahlreiche Helpdesk-Anfragen beantworten und die Kundenzufriedenheit wird massiv gefährdet. Im schlimmsten Fall entsteht ein erheblicher Image- und Reputationsverlust, der sich nicht so leicht kompensieren lässt.
Auch rechtliche Folgen können entstehen: Empfänger von Spam-, Scam- beziehungsweise Phishing-E-Mails können den Anbieter haftbar machen und rechtliche Schritte ergreifen. Darüber hinaus können sich insbesondere ISPs infolge irrtümlich blockierter rechtmäßiger E-Mails ihrer zahlenden Kunden Rechtsstreitigkeiten ausgesetzt sehen. Hier können zum Imageschaden drastische finanzielle und rechtliche Probleme hinzukommen. In der Summe kann die Verbreitung von Spam aus dem eigenen Netzwerk heraus Unternehmen und ISPs sehr teuer zu stehen kommen.
Maßnahmen gegen Outbound-Spam – der Status Quo
Im Folgenden soll ein Überblick über die derzeit am weitesten verbreiteten Maßnahmen zur Bekämpfung von Outbound-Spam gegeben werden. Zu den populärsten zählt dabei, Port 25 zu blockieren. Diese Maßnahme richtet sich vor allem gegen den Spam-Versand über Zombie-Rechner. Hierdurch kommt es allerdings zu einer Störung der rechtmäßigen Nutzung durch Anwender und Unternehmen im Bereich ihrer eigenen Mail-Gateways. Darüber hinaus bietet dieses Vorgehen keine Lösung für andere Spam-Verbreitungsmethoden, die den MTA des ISPs oder des Unternehmens nutzen. Eine Alternative ist, mittels Whitelists Port 25 für spezifizierte Absender offenzuhalten, was jedoch mit einem äußerst hohen Verwaltungsaufwand verbunden ist.
Eine andere Variante besteht darin, Spam-Filter einfach umzukehren, das heißt, die ausgehende E-Mail von einem eigentlich für eingehenden Spam konzipierten Filter prüfen zu lassen. Das Problem dabei: Inbound-Spam-Filter dienen der Abwehr unerwünschter E-Mails mit allgemein unbekannter Herkunft. Aus diesem Grund sind sie weniger geeignet für eine Bekämpfung ausgehender Spam-E-Mails, die in großen Mengen legitimer E-Mails verborgen sind. So ist die Anzahl lokaler und regionaler Spam-E-Mails in der Regelt nicht groß genug, um von globalen Erfassungssystemen erkannt zu werden, das heißt, viele herkömmliche Spam-Filter schlagen angesichts der relativ geringen Menge gar nicht an. Gleichzeitig ist diese Menge jedoch groß genug, um der Reputation des Unternehmens zu schaden. Weiteres Problem: Viele Anti-Spam-Lösungen benötigen zwischen 15 und 60 Minuten, bis ein Angriff erkannt wird. In dieser Zeit kann ein Spammer bereits Tausende von E-Mails versenden und eine erhebliche Schädigung des Ansehens des ISPs oder Unternehmens bewirken.
Sascha Krieger, Director Corporate Communications bei Commtouch|Eleven/ln
Quellen von Outbound-Spam
Bei der Analyse der Herkunft und Verbreitungswege von Spam lassen sich sechs typische Quellen unterscheiden. Die erste und mit großem Abstand häufigste sind Zombie-Computer, mit Malware (Trojanern) infizierte Nutzerrechner, die sich über einen auf dem Rechner installierten Bot fernsteuern lassen. Diese versenden über Port 25 (oder 465) Spam-E-Mails direkt an das Internet. Eine solche Infektion ist schwer zu bemerken, da viele Anti-Virus-Programme die Bots nicht finden und die Spam-Aktivität nicht konstant verläuft. Zombie-Rechner sind derzeit für etwa 85 Prozent des gesamten weltweiten Spam-Aufkommens verantwortlich.
Zweite Hauptquelle sind kompromittierte Benutzerkonten. Dabei gewinnen die Spammer zum Beispiel über einen Hack oder eine Phishing-E-Mail Zugang zum E-Mailkonto eines legitimen Benutzers und versenden über den MTA des Anbieters ihre E-Mails. Eine weitere Variante ist, dass die Spammer eigene Webmail-Konten eröffnen, die sie ausschließlich zum Spam-Versand nutzen. Nach Überwindung der CAPTCHA-Zugangssperren lassen sich zahlreiche Konten erstellen. Spammer nutzen auch Schwachstellen im MTA (Message Transfer Agent/ Mailserver) des Anbieters für den Versand von Spam-E-Mails aus.
Folgen von Outbound-Spam
Für Unternehmen und ISPs, aus deren Infrastruktur Spam versandt wird, kann dies eine Reihe zum Teil schwerwiegender Konsequenzen haben – mit Auswirkungen auf ihre Infrastruktur, die Betriebskosten sowie die Zufriedenheit ihrer Nutzer. So ist es möglich, dass ganze IP-Bereiche auf Blacklists landen, etwa den Realtime-Blackhole-Lists, die viele Anbieter zur Bekämpfung von Spam einsetzen, indem sie automatisch E-Mails, die aus diesen IP-Bereichen gesendet werden, blockieren.
Nutzer innerhalb des blockierten Netzes sind dann nicht in der Lage, reguläre E-Mails an diese Domains zu versenden. Dies stellt ein großes Problem für Unternehmen dar. So ist oft hoher Aufwand zu betreiben, um die Listung der IP-Bereiche aufheben zu lassen, der Support muss zahlreiche Helpdesk-Anfragen beantworten und die Kundenzufriedenheit wird massiv gefährdet. Im schlimmsten Fall entsteht ein erheblicher Image- und Reputationsverlust, der sich nicht so leicht kompensieren lässt.
Auch rechtliche Folgen können entstehen: Empfänger von Spam-, Scam- beziehungsweise Phishing-E-Mails können den Anbieter haftbar machen und rechtliche Schritte ergreifen. Darüber hinaus können sich insbesondere ISPs infolge irrtümlich blockierter rechtmäßiger E-Mails ihrer zahlenden Kunden Rechtsstreitigkeiten ausgesetzt sehen. Hier können zum Imageschaden drastische finanzielle und rechtliche Probleme hinzukommen. In der Summe kann die Verbreitung von Spam aus dem eigenen Netzwerk heraus Unternehmen und ISPs sehr teuer zu stehen kommen.
Maßnahmen gegen Outbound-Spam – der Status Quo
Im Folgenden soll ein Überblick über die derzeit am weitesten verbreiteten Maßnahmen zur Bekämpfung von Outbound-Spam gegeben werden. Zu den populärsten zählt dabei, Port 25 zu blockieren. Diese Maßnahme richtet sich vor allem gegen den Spam-Versand über Zombie-Rechner. Hierdurch kommt es allerdings zu einer Störung der rechtmäßigen Nutzung durch Anwender und Unternehmen im Bereich ihrer eigenen Mail-Gateways. Darüber hinaus bietet dieses Vorgehen keine Lösung für andere Spam-Verbreitungsmethoden, die den MTA des ISPs oder des Unternehmens nutzen. Eine Alternative ist, mittels Whitelists Port 25 für spezifizierte Absender offenzuhalten, was jedoch mit einem äußerst hohen Verwaltungsaufwand verbunden ist.
Eine andere Variante besteht darin, Spam-Filter einfach umzukehren, das heißt, die ausgehende E-Mail von einem eigentlich für eingehenden Spam konzipierten Filter prüfen zu lassen. Das Problem dabei: Inbound-Spam-Filter dienen der Abwehr unerwünschter E-Mails mit allgemein unbekannter Herkunft. Aus diesem Grund sind sie weniger geeignet für eine Bekämpfung ausgehender Spam-E-Mails, die in großen Mengen legitimer E-Mails verborgen sind. So ist die Anzahl lokaler und regionaler Spam-E-Mails in der Regelt nicht groß genug, um von globalen Erfassungssystemen erkannt zu werden, das heißt, viele herkömmliche Spam-Filter schlagen angesichts der relativ geringen Menge gar nicht an. Gleichzeitig ist diese Menge jedoch groß genug, um der Reputation des Unternehmens zu schaden. Weiteres Problem: Viele Anti-Spam-Lösungen benötigen zwischen 15 und 60 Minuten, bis ein Angriff erkannt wird. In dieser Zeit kann ein Spammer bereits Tausende von E-Mails versenden und eine erhebliche Schädigung des Ansehens des ISPs oder Unternehmens bewirken.
Seite 1 von 2 Nächste Seite>>
Sascha Krieger, Director Corporate Communications bei Commtouch|Eleven/ln
