Von: Bernd Reder
Wer unerwünschte Nachrichten abwehren will, sollte bereits am Rand des Netzes beziehungsweise auf der Transportebene damit beginnen, das heißt am Mail-Gateway. Beliebte Einfallstore für Spam sind nach Angaben von Vigilar so genannte Open Mail Relays. Dies sind E-Mail-Server, die so konfiguriert sind, dass sie auch Nachrichten weiterleiten, die nicht an ihre eigene Domain adressiert sind.
Dazu ein Beispiel: Ein Unternehmen unterhält einen Mailserver für die Domain www.zzz.de. Kommt bei diesem eine Nachricht für user@zzz.de.de an, leitet er sie an den betreffenden Mitarbeiter weiter. Nun erhält der Server aber eine Nachricht für user@mmm.de, der nicht in seinem internen Adressverzeichnis existiert. Ist der Server als Open Mail Relay aufgesetzt, blockt er diese Botschaft nicht, sondern überträgt sie zur Domain mmm.de. Spammer machen sich dies zu Nutze: Sie ermitteln, welche Mailserver "offen" sind und verwenden sie als Relaisstation für ihre Aussendungen.
Um das Schlupfloch Open Mail Relay für Spam-Versender zu versperren, kommen zwei Ansätze in Betracht. Zum einen können Systemverwalter ihre Mailserver so konfigurieren, dass sie Nachrichten von Systemen ablehnen, die nachweislich als Relaisstation dienen. Informationen darüber, welche Server als Open Mail Relays dienen, finden sich in Datenbanken. Eine ist die Open Relay Database (www.ordb.org), eine weitere die "Realtime Blackhole List" (RBL, www.mail-abuse.org/rbl)) von Mail Abuse Prevention System. Ankommende Nachrichten lassen sich mithilfe dieser Verzeichnisse daraufhin überprüfen, ob sie von einem offenen System stammen und gegebenenfalls blockieren.
Nach Angaben von Internet-Serviceprovidern und Anti-Spam-Spezialisten wie Brightmail oder Surfcontrol lässt sich bereits ein Großteil des "Mail-Mülls" vom Unternehmensnetz fernhalten, wenn der eigene Server Mitteilungen von solchen falsch konfigurierten Systemen ablehnt. Manche Spam-Versender setzen jedoch auch eigene Server ein, die über eine Einwählverbindung via Modem oder ISDN mit dem Internet verbunden sind. Auch diese Rechner und die IP-Adressblöcke, die sie nutzen, sind in Datenbanken erfasst. Eine Dial-up User List (DUL) hat unter anderem Mail Abuse Prevention System (www.mail-abuse.org/dul) eingerichtet.
Allerdings sind in diesen Verzeichnissen bei weitem nicht alle offenen oder Spam-Server erfasst. Ein weiterer Kritikpunkt ist, dass auch die Adressen von "unschuldigen" Rechnern fälschlicherweise in diese Datenbank gelangen können, etwa dann, wenn sie fehlerhaft konfiguriert sind.
Als zweite Maßnahme kommen schwarze und weiße Listen in Betracht. In die "Black Lists" werden IP-Adressen oder Domänennamen eingegeben, die Spam-Versender verwenden. Der E-Mail-Server gleicht ankommende Nachrichten mit den Listen ab und filtert solche mit verdächtigen Kennungen automatisch aus. Die Adresslisten kann ein Unternehmen selbst anlegen und pflegen oder das einem Internet-Serviceprovider überlassen. Auch im Internet stehen solche Verzeichnisse bereit. Sie werden häufig von Freiwilligen, Universitäten oder Organisationen unterhalten, die sich dem Kampf gegen die E-Mail-Piraten verschrieben haben.
Es genügt allerdings nicht, nur die schwarzen Schafe zu erfassen. Um das Risiko zu verringern, dass "Fault Positives" auftreten, also Nachrichten ausgefiltert werden, die keine Spam-Mails sind, empfiehlt es sich, "White Lists" anzulegen. In ihnen sind die Domain-Namen oder IP-Adressen von Organisationen und Firmen hinterlegt, die als vertrauenswürdig eingestuft werden. Das gilt beispielsweise für Geschäftspartner. Außerdem sollten Unternehmen dafür Sorge tragen, dass Spam-Mails nicht sofort vernichtet, sondern in speziellen Ordnern abgelegt werden. Sollte doch einmal ein "Fault Positive" auftreten, kann der Netzwerkmanager diese Mitteilung dann nachträglich aus dem Verzeichnis heraussuchen.
Schwarze Listen austricksen
Schwarze und weiße Listen lassen sich relativ einfach aufsetzen. Allerdings kostet es Zeit, sie auf dem aktuellen Stand zu halten. Das betrifft nicht nur das IT-Fachpersonal, sondern auch die Adressaten von Spam-Mails. Sie müssen die IT-Abteilung darüber informieren, von wem sie unerwünschte Botschaften erhalten haben, etwa indem sie die betreffenden Mails an eine Sammeladresse weiterleiten, etwa Spam@zzz.de. Es ist somit notwendig, dass die Spam-Opfer aktiv am Ausbau des Abwehrsystems mitarbeiten. Das wiederum werden sie nur dann tun, wenn sie über die negativen Auswirkungen von Massen-Mails und den Hintergrund der Abwehrmaßnahmen informiert sind.
Allerdings haben sich die Spammer längst auf diese Abwehrtechniken eingestellt. Ein probates Rezept gegen schwarze Listen ist, ständig die Absenderadressen, Domain-Namen oder IP-Adressen zu variieren oder zu manipulieren. In der Regel werden Fantasie-Domains benutzt, wie folgende Beispiele zeigen. Sie stammen von den E-Mail-Accounts des Autors bei AOL und Microsoft Network (MSN): Ein Kreditvermittler tarnt sich beispielsweise als Barry@phxhtcwhkf.net; der Anbieter einer Software, mit der sich angeblich DVDs brennen lassen, ohne dass dazu ein Brenner nötig ist, versendet seine Nachrichten unter dem Namen "Rhoda Leslie" über die E-Mail-Adresse "xr8zyf2qguk4@excite.com".
Weitere Mittel, auf die Spam-Versender zurückgreifen, um trotz Adressfilter ans Ziel zu kommen, sind Spoofing oder "Stealth"-Techniken. Auch hier spielen Open Mail Relays eine entscheidende Rolle. Viele Programme für das Versenden von "Bulk"-E-Mails ermöglichen es dem Spammer, eine beliebige Adresse in das Absenderfeld ("Von", "From") einer Nachricht einzutragen. Nach Angaben von Vigilar lässt sich das auf einem Open Mail Relay mithilfe von wenigen Telnet-Kommandos bewerkstelligen. Zudem stehen Spam-Versendern inzwischen Softwarewerkzeuge zur Verfügung, die das automatisch erledigen.
Deshalb greifen immer mehr Unternehmen und Universitäten auf eine restriktive Methode zurück: das Verifizieren unbekannter E-Mail-Absender. Im Grunde handelt es sich dabei um eine Variante von White Lists: Nachrichten, deren Domain oder Adresse dem E-Mail-Gateway unbekannt sind, werden zunächst blockiert. Der Mailserver übermittelt an den Absender der Nachricht eine Mitteilung, in der aufgefordert wird, sich quasi auszuweisen. Dies erfolgt, indem er diese Mitteilung beantwortet, also einen Reply zurückschickt. Bleibt diese "Verifizierungs-Mail" aus, verweigert der Server diese und folgende Nachrichten der betreffenden Domäne oder Adresse. Trifft die Bestätigung dagegen ein, wird der Absender auf die Liste der vertrauenswürdigen Kommunikationspartner gesetzt.
Das Verfahren hat den Vorteil, dass es so gut wie alle unerwünschten Mitteilungen identifiziert und aussortiert. Der Nachteil ist, dass es die Rate der "Fault- Positive"-Meldungen erhöht, weil es die Mithilfe des Absenders erfordert. Reagiert dieser nicht auf die Bestätigungs-Mail, wandert er zu Unrecht auf die schwarze Liste. Probleme können auch mit Newslettern auftreten, die ein Interessent abonniert. Sie werden meist automatisch versendet, sprich der entsprechende Server kann in der Regel mit einer Verifizierungs-Mail nichts anfangen.
Um unerwünschte Nachrichten zu identifizieren, ist es deshalb notwendig, auch die Inhalte von E-Mails zu untersuchen. Dabei kommen heuristische und statische Verfahren zum Zuge, außerdem Textanalyse und künstliche Intelligenz. Mit diesen Techniken beschäftigt sich Teil 3 der Serie, der in NetworkWorld 12/13 erscheint.