Spam- und Virenabwehr mit Exchange, Teil I

23.08.2006 von William Boswell

Unerwünschte E-Mails und darin enthaltene Viren führen zu einer gravierenden Belastung jedes E-Mail-Empfängers. Eine zentrale Abwehr darf daher in keiner Firma fehlen. Unsere neue Serie zu Exchange Server 2003 zeigt im ersten Teil mögliche Gegenmaßnahmen durch Blockierlisten auf.

Eine unaufhaltsame Flut von Würmern und Angeboten für Pillen, Pornographie und Persönlichkeitsentwicklung ergießt sich aus dem Internet über Ihre Exchange-Server. Solange sich Berge von Müll, gefährlichem Müll, im Posteingang anhäufen, werden Sie die Benutzer nicht von der Qualität Ihrer Arbeit als Administrator überzeugen können.

Ein Antivirenprogramm gibt es praktisch in jeder Organisation. Ihr Arbeitgeber ist da sicher keine Ausnahme. Vielleicht setzen Sie auch schon ein Antispam-Programm ein oder testen einige. Bei beiden Programmtypen sind die Anforderungen ähnlich, deshalb bespreche ich sie zusammen in diesem Artikel. Zuerst beschäftigen wir uns mit Spam.

Unsere neue Serie zu Exchange Server 2003 basiert auf Kapitel 13 des Standardwerks „Exchange Server 2003“ von William Boswell aus dem Verlag Addison-Wesley. Sie können dieses über 850 Seiten starke Buch auch in unserem Buchshop bestellen oder als eBook herunterladen.

Inhalt der Artikelserie zur Exchange-Sicherheit
Teil 1: Spam und Virenabwehr durch Blockierlisten
Teil 2: Spam und Virenabwehr durch Challenge-Response und Filter
Teil 3: Backup und Restore bei Exchange Server 2003
Teil 4: Backup von Exchange Server 2003 in der Praxis
Teil 5: Exchange Server 2003 mit Schattenkopien nutzen
Teil 6: Höhere Diensteverfügbarkeit durch Exchange-Cluster, I
Teil 7: Höhere Diensteverfügbarkeit durch Exchange-Cluster, II
Teil 8: Höhere Diensteverfügbarkeit durch Exchange-Cluster, III

So gelangen Spammer an Ihre Adresse

Spammer sammeln E-Mail-Adressen aus den unterschiedlichsten Quellen. Am beliebtesten sind Usenet-Newsgroups und die Websites Ihrer Organisation. Weisen Sie die Benutzer und Webentwickler darauf hin, dass E-Mail-Adressen immer unkenntlich gemacht werden sollten. In Usenet-Gruppen ist es am einfachsten, die Mailadresse in der Form benutzer@DIESEN_TEIL_LÖSCHEN_firma.com zu hinterlassen. Menschen wissen, dass der eingefügte Text entfernt werden muss. Ein Spambot weiß das nicht, obwohl E-Mail-Harvester immer ausgeklügelter werden und diese Strategie immer besser überwinden können.

Auf Websites, die für die Öffentlichkeit gedacht sind, ersetzen Sie in E-Mail-Hyperlinks die einzelnen Buchstaben durch den entsprechenden ASCII-Code. Als Beispiel dient eine Adresse in einem mailto:-Eintrag einer Webseite im Klartext:

<a href="mailto:Sales@Company.com">Klicken Sie hier, um Kontakt zur Vertriebsabteilung aufzunehmen.</a>

Einen einfachen ASCII-Codierer finden Sie unter http://www.wbwip.com/wbw/emailencoder.html. Wenn ASCII-Ziffern anstelle der Buchstaben verwendet werden, sieht die E-Mail-Adresse so aus:

<a href="mailto:sales@co mpany.co&#109">

Bestätigung ihrer Adresse

Bestätigte Adressen sind wertvoller als unbestätigte. Deshalb enthalten HTML-E-Mails wie im folgenden Beispiel häufig Hyperlinks zu Grafikdateien:

<img alt=Wild Times" arc="http://wildwildwild.biz/images/wildtimes27.gif">

Wenn der Benutzer die Nachricht öffnet, dann lädt die E-Mail-Anwendung die Grafik von der Website des Spammers herunter und gibt auf diese Weise Informationen über den Benutzer an den Spammer weiter. Solche Hyperlinks werden Beacons (Signale) genannt, weil sie den Spammer benachrichtigen, dass der Benutzer tatsächlich existiert.

In Outlook 2003, Outlook Express unter Windows XP SP 2 und Outlook Web Access 2003 werden eingebettete Grafiken nicht automatisch heruntergeladen. Das Ergebnis sehen Sie in folgender Abbildung.

Die Blockierung von Signalen bringt auch Nachteile mit sich. Manche gängigen Systeme zur Nachrichtenverfolgung betten Grafiken in ausgehende Nachrichten ein. Wenn der Empfänger die Nachricht öffnet, baut der E-Mail-Client eine Verbindung zur verlinkten Grafik auf und schickt eine Bestätigung an den Absender. Blockiert der Client den Zugriff auf die Ziele von Hyperlinks, dann funktioniert dieses System nicht mehr. Der Empfänger hat in diesem Fall nur die Möglichkeit, den Korrespondenzpartner in eine Liste akzeptierter Absender (Whitelist) aufzunehmen.

Offene SMTP-Relays

Sobald ein Spammer ein paar hunderttausend E-Mail-Adressen gesammelt hat, sucht er eine Möglichkeit, ungehindert Nachrichten dorthin verschicken zu können. Ein SMTP-Server, der eingehende E-Mails akzeptiert und sie ohne Berücksichtigung des Ziels weiterleitet, wird zu einem offenen Relay. Wie ein solches Relay funktioniert, ist in folgender Abbildung zu sehen.

Der SMTP-Dienst in Windows erlaubt anonymen Entitäten nicht, als Relay zu dienen. Nur Entitäten mit den Anmeldeinformationen einer Domäne können E-Mails weiterleiten, wodurch SMTP-Server außerhalb der Organisation im Wesentlichen blockiert werden.

Offene SMTP-Relays sind heutzutage recht selten geworden, doch offene Proxyserver sind für Spammer eine Alternative. Viele Würmer und Viren enthalten einen Proxydienst. Dadurch geben sie Spammern und Virenprogrammierern die Möglichkeit, auf ein System zuzugreifen und es als Sprungbrett zu nutzen.

Spammer finden offene Relays und Proxys, indem sie Rechner suchen, die auf allgemeinen Ports reagieren, und diese Ports dann mit SMTP-Relayanfragen und HTTP CONNECT-Proxyanfragen testen. Diese Tests können Sie auch selbst auf der öffentlichen Schnittstelle Ihrer Server durchführen.

Hinweis: Lassen Sie sich immer erst eine schriftliche Erlaubnis Ihrer Vorgesetzten geben, ehe Sie Sicherheitstests durchführen.

SMTP-Relayanfrage

Bauen Sie mit der folgenden Syntax eine Verbindung vom öffentlichen Teil ihres Netzwerks zum öffentlichen Exchange-Server über Telnet auf:

telnet <Servername> 25

Der Server sollte mit einer SMTP-Nachricht reagieren, die ungefähr so aussieht:

220 EX1 Microsoft ESMTP MAIL Service, Version:6.0.3790.0 ready at Wed, 4 Feb 2004 14:32:31 -0700

Wenn Sie jetzt EHLO (Extended Hello) eingeben, erhalten Sie eine Liste der SMTP-Kapazitäten. Wenn der Server antwortet, verwenden Sie drei SMTP-Befehle MAIL FROM, RCPT TO und DATA mit der folgenden Syntax, um eine Nachricht zu verschicken:

mail from: totallybogus@fabricatedaddress.biz 250 2.1.0 totallybogus@fabricatedaddress.biz....Sender OK rcpt to: someusername@yahoo.com 250 2.1.5 someusername@yahoo.com data 354 Start mail input; end with <CRLF>.<CRLF> Subject: Your assistance most graciously and desperately needed Let me introduce myself. I am the grandson of the Duke of Earl and I need your help. . 250 2.6.0 EX-S1HM3SOlbpH71y00000008@ex1.actualsmptdomain.com Queued mail for delivery quit 221 2.0.0 ex1.actualsmtpdomain.com Service closing transmissionchannel Connection to host lost.

Akzeptiert ein Server eine RCPT TO-Adresse außerhalb seiner SMTP-Domäne, dann haben Sie ein offenes Relay gefunden.

Der Test auf offene Proxys ist etwas komplizierter und nur mit speziellen Programmen durchzuführen, z.B. mit Proxy Analyzer von G-Lock Software. Richten Sie Proxy Analyzer auf einen Computer aus und geben Sie an, welche Ports eventuell anfällig sein könnten. Warten Sie dann ab, ob das Programm zu diesen Ports als Proxy Verbindung aufnehmen kann. Enthalten ist auch ein Bewertungssystem, mit dem Sie bestimmen können, wie anfällig ein Rechner für Angriffe ist.

Blockieren bekannter Spammer

Verwenden Sie die Informationen von Spamhaus und dem Spamhaus-Register bekannter Spam-Unternehmen (Spamhaus Register of Known Spam Operations, ROKSO) unter http://www.spamhaus.org/rokso/index.lasso, um Spamversender zu identifizieren. Unter http://www.spamsites.org/live_sites.html finden Sie auch eine textbasierte Liste mit SMTP-Domänen und Ländern, in denen Spammer agieren. Diese Listen können Sie dann mit Hilfe der Optionen für die Nachrichtenzustellung wie folgt in Exchange importieren.

In Exchange gibt es verschiedene Möglichkeiten, eingehende Nachrichten nach der SMTP-Domäne oder der IP-Adresse des Senders bzw. durch Nachschlagen bei einem Provider für Spamidentifizierungsdienste zu filtern. Die Filter können Sie in ESM über GLOBALE EINSTELLUNGEN/NACHRICHTENÜBERMITTLUNG einrichten. Das Fenster EIGENSCHAFTEN sehen Sie in folgender Abbildung.

Wenn Sie alle Mails von einer bestimmten Domäne blockieren möchten, verwenden Sie die Syntax *@spamdomain.com. Spamdomain steht hier für die SMTP-Domäne, die Sie blockieren möchten. Sie können dem Filter beliebig viele Domänen hinzufügen. Die Option NACHRICHTEN OHNE ABSENDER LÖSCHEN beseitigt E-Mails ohne Absenderadresse.

Ist die Option VERBINDUNG TRENNEN, WENN ADRESSE FILTER ENTSPRICHT aktiviert, dann schickt der Server an diese Adresse keine Nachricht, wenn die E-Mail nicht zugestellt werden konnte. So wird verhindert, dass die Adresse bestätigt wird und noch mehr Spam erhält.

Einrichten eines virtuellen SMTP-Server

Vorhandene Filter sind nicht automatisch wirksam. Vielmehr müssen Sie jeden virtuellen SMTP-Server wie folgt einrichten, damit er die Filter verwendet:

Starten Sie ESM und suchen Sie im Container eines Servers nach PROTOKOLLE/ SMTP.
Öffnen Sie das Fenster EIGENSCHAFTEN für den virtuellen SMTP-Standardserver.
Klicken Sie auf der Registerkarte ALLGEMEIN auf ERWEITERT. Dann öffnet sich das gleichnamige Fenster aus unten folgender Abbildung mit einer Liste der IP-Adressen und Ports, die dem virtuellen Server zugeordnet sind.
Klicken Sie auf BEARBEITEN. Das Fenster IDENTIFIKATION öffnet sich.
Aktivieren Sie das Kontrollkästchen ABSENDERFILTER ANWENDEN>> und klicken Sie auf OK.
Bestätigen Sie mit OK. Das Fenster ERWEITERT wird geschlossen. Klicken Sie ein weiteres Mal auf OK, um die Einstellungen zu speichern.
Führen Sie diesen Vorgang für alle virtuellen SMTP-Server durch, auf denen der Filter angewendet werden soll.

Prüfen Sie anschließend nach, ob der Filter einwandfrei funktioniert. Dazu versuchen Sie, über Telnet eine Verbindung zu dem Server so aufzunehmen, als ob sie von einer blockierten SMTP-Domäne käme.

Echtzeit-Blockierlisten

Wenn Sie in einen solchen Filter sehr viele SMTP-Domänen aufnehmen, haben Sie ein Problem: Sie müssen sich dauernd um diese Liste kümmern. Da ist es wesentlich einfacher, auf die Dienste von Organisationen zurückzugreifen, die den Missbrauch von SMTP-Servern permanent überwachen, also auf so genannte RBLs. Für die Abkürzung gibt es unterschiedliche Erklärungen. Microsoft verwendet die Bezeichnung Real-Time Block List, andere Möglichkeiten sind Real-Time Blackhole List oder Real-Time Boycott List.

Auch wenn die Bezeichnungen unterschiedlich sind, haben alle RBL-Anbieter dasselbe Ziel, was den Missbrauch von SMTP betrifft: Finden, Herkunft identifizieren und die Öffentlichkeit informieren. Sie blockieren Spam nicht im üblichen Sinn, d.h. durch Bereitstellung eines Filters. Damit wären sie juristisch angreifbar. Stattdessen erstellen sie Listen und geben diese an Sie weiter, damit Sie das Filtern übernehmen können. Weder Sie selbst noch der RBL-Anbieter unternimmt offen etwas gegen die Server der Spammer.

Am bekanntesten ist MAPS (Mail Abuse Prevention System), ein gebührenpflichtiger Provider, erhältlich unter http://www.mail-abuse.org. Zu den kostenlosen Providern gehören:

DSBL (Distributed Server Boycott List)
ORDB (Open Relay Database)
SpamCop
NJABL (Not Just Another Bogus List)

RBL-Anbieter

Eine komplette Liste von RBL-Anbietern finden Sie auf der Website von Declude unter http://www.declude.com/junkmail/support/ip4r.htm. Hier werden auch die Vor- und Nachteile der einzelnen RBLs beschrieben.

Manche RBL-Anbieter bieten auf ihrer Website eine Möglichkeit, nach der SMTP-Domäne oder der IP-Adresse eines potenziellen Spammers zu suchen. Die Suchseite von ORDB, zu finden unter http://www.ordb.org/lookup, gibt Ihre Anfrage an zahlreiche Sites weiter und liefert einen ausführlichen Bericht zurück.

Einige Anbieter geben an ihre Kunden eine Textdatei mit Informationen über bekannte Spamsites weiter, die auf den lokalen Mailservern des Kunden in einen Filter geladen werden kann. Solche Blockierlisten können sehr lang sein und müssen regelmäßig aktualisiert werden, aber im Vergleich zu anderen Methoden ist eine lokale Filterung am schnellsten. Der RBL-Anbieter liefert auch eine Anleitung, wie die Liste in die gängigen E-Mail-Server geladen werden kann, einschließlich Exchange.

Bei den meisten Anbietern müssen Sie eine Erklärung unterzeichnen, dass Sie die Liste ausschließlich für eigene Zwecke nutzen und den Inhalt nicht veröffentlichen. Dadurch sind Sie und der Anbieter vor rechtlichen Schritten geschützt.

Reverse-DNS-RBL-Dienste

Bei den meisten RBL-Anbietern gibt es einen Online-Suchservice, auf den Sie ohne besondere Clients über eine Reverse-DNS-Anfrage zugreifen können. Um den RDNS-Dienst zu nutzen, senden Sie an den Anbieter eine DNS-Anfrage, die die umgekehrte IP-Adresse des verdächtigen Servers enthält, gefolgt vom RDNS-Domänennamen des Anbieters, für ORDB also z.B. relays.ordb.org.

Der RDNS-Dienst gibt einen A-Eintrag mit einer IP-Adresse in der Form 127.0.x zurück. Der Platzhalter steht hier für ein bestimmtes unerwünschtes Verhalten. Die Codes der Provider sind nicht einheitlich. Bei NJABL z.B. haben sie folgende Bedeutung:

127.0.0.2 – Offene Relays
127.0.0.3 – DFÜ/dynamische IP-Bereiche
127.0.0.4 – Spamquellen
127.0.0.5 – Offene Relays mit mehreren Stufen
127.0.0.8 – Systeme mit offenen CGI-Skripts, die sie in offene Relays verwandeln
127.0.0.9 – Offene Proxyserver

Angenommen, Sie erhalten eine Nachricht, die Sie für Spam halten. Sie können die IP-Adresse des Absenders bestimmen, indem Sie sich die Header ansehen. Klicken Sie in Outlook mit der rechten Maustaste auf die Nachricht und wählen Sie OPTIONEN aus dem Kontextmenü. Dann öffnet sich das Fenster NACHRICHTENOPTIONEN, welches in unten stehender Abbildung dargestellt ist. Informationen über den SMTP-Server, der die Nachricht abgeschickt hat, finden Sie im Feld INTERNETKOPFZEILEN. Die einzigen wirklich vertrauenswürdigen Informationen über die Header stehen im Feld RECEIVED FROM. Alles andere kann vom Absender gefälscht sein – und ist es vermutlich auch.

Reverse-DNS Beispiel

In diesem Beispiel hat der SMTP-Server des Absenders die IP-Adresse 1.2.3.4. Wenn Sie diese Adresse mit RDNS überprüfen möchten, starten Sie mit Nslookup eine DNS-Anfrage. Ich verwende in diesem Beispiel den Anbieter NJABL. Die RDNS-Lookupanforderung hat die folgende Syntax:

C:\>nslookup 4.3.2.1.dnsbl.njabl.org

Nicht-autorisierende Antwort: Name: 4.3.2.1.dnsbl.njabl.org Address: 127.0.0.9

Der Rückgabecode 127.0.0.9 zeigt an, dass die E-Mail von einem offenen Proxyserver abgeschickt wurde, dessen Besitzer möglicherweise keine Ahnung davon hat, dass sein Server zum Versand von Spam verwendet wird.

Wenn Sie sich die Rückgabecodes nicht merken möchten, verwenden Sie Nslookup im interaktiven Modus, um einen TXT-Eintrag zu erhalten, der dem A-Eintrag entspricht. Die Syntax sieht wie folgt aus:

C:\>nslookup > set type=txt > 4.3.2.1.dnsbl.njabl.org

Nicht-autorisierende Antwort: 4.3.2.1.dnsbl.njabl.org text =

?open proxy - 1058170803?

Einrichten eines Verbindungsfilters für einen RDNS-RBL-Anbieter

Sie brauchen nur ein paar Minuten, um Exchange 2003 für die Verwendung eines RDNS-Dienstes zu konfigurieren. Starten Sie ESM und gehen Sie zu GLOBALE EINSTELLUNGEN, öffnen Sie das Eigenschaftenfenster für das Objekt NACHRICHTENÜBERMITTLUNG und wählen Sie dort die Registerkarte VERBINDUNGSFILTERUNG aus.

Um eine neue Filterregel zu erstellen, klicken Sie auf HINZUFÜGEN. Füllen Sie das Feld ANZEIGENAME aus und geben Sie dann das RDNS-Suffix des Anbieters an. Diese Informationen finden Sie auf dessen Website. Die Einstellungen für die Fehlermeldung lassen Sie unverändert.

Wenn Sie eine unerwünschte Mail von einem SMTP-Server erhalten, der noch nicht als Spamversender identifiziert wurde, können Sie seine IP-Adresse mit der Option KONFIGURATION VON GLOBALEN ANNAHME-UND VERWEIGERUNGSLISTEN in den Verbindungsfilter eintragen. Klicken Sie auf VERWEIGERN, um das Fenster VERWEIGERUNGSLISTE zu öffnen, und dann auf HINZUFÜGEN, um eine einzelne IP-Adresse oder einen Adressbereich anzugeben. Ein Beispiel ist in folgender Abbildung zu sehen.

Übernehmen des Verbindungsfilters für die virtuellen SMTP-Server

Wenn Sie in einem Verbindungsfilter einige RDNS-Anbieter definiert haben, übernehmen Sie ihn für die virtuellen SMTP-Server wie folgt:

Starten Sie ESM und suchen Sie im Container des Servers nach PROTOKOLLE/ SMTP.
Öffnen Sie das Eigenschaftenfenster für den virtuellen SMTP-Standardserver.
Rufen Sie die Registerkarte ALLGEMEIN auf und klicken Sie auf ERWEITERT. Das Fenster ERWEITERT öffnet sich und zeigt die verschiedenen IP-Adressen und Ports an, die dem Server zugeordnet sind.
Klicken Sie auf BEARBEITEN. Das Fenster IDENTIFIKATION wird geöffnet.
Aktivieren Sie das Kontrollkästchen VERBINDUNGSFILTER ANWENDEN, bestätigen Sie mit OK und klicken Sie dann nochmals auf OK, um die Einstellungen zu speichern.
Führen Sie diesen Vorgang für jeden virtuellen SMTP-Server durch, für den der Filter gelten soll.

Grenzen der RBLs

RBL-Filter an sich bieten keinen umfassenden Schutz vor Spam. Zuallererst deshalb, weil nicht alle Spam von offenen Relays bzw. Proxys verschickt wird. Zweitens kennen Spammer alle möglichen Tricks, um von einem Rechner auf den nächsten zu wechseln. Dadurch verschickt keiner der genutzten Rechner so viel Spam, dass die RBL-Anbieter auf ihn aufmerksam werden.

Aber das Hauptproblem bei der Verwendung von RBL-Filtern sind die vielen falschen Einträge. Von einer gesperrten SMTP-Domäne, die ein Spammer missbraucht, kommen oft auch erwünschte Mails, und manchmal landet eine IP-Adresse ohne Grund bzw. aus Versehen auf der Liste.

Wenn Ihre Organisation in eine RBL aufgenommen wird, geben die Abonnenten Ihre Mails an den RBL-Dienst weiter. Je nach den Filtereinstellungen des Absenders werden Sie von der Sperrung möglicherweise gar nicht informiert. Dadurch wird verhindert, dass es während eines Wurmangriffs im Internet zu Ausfällen in größerem Umfang kommt. Aber es führt auch dazu, dass sich die Benutzer in Ihrer Organisation fragen, warum niemand mehr auf ihre E-Mails antwortet.

Sobald Sie die Ursache für die Aufnahme in die RBL behoben haben, nehmen Sie Kontakt mit dem Anbieter auf, damit der Eintrag wieder entfernt wird. RBL-Anbieter stehen jedoch nicht regelmäßig in Kontakt miteinander, weshalb es vermutlich nicht ausreicht, nur einen anzusprechen. Wenn Ihr Name aus der Datenbank einer RBL gelöscht werden soll, dann kann das eine Woche und länger dauern. Versuchen Sie nicht, den RBL-Anbieter zu schnellerem Arbeiten zu zwingen. Die Mitarbeiter dort haben den ganzen Tag von morgens bis abends mit rücksichtslosen Spammern zu tun und brauchen eine Jabba-the-Hutt-Mentalität. Sie fürchten weder Drohungen von Ihnen noch von Ihrem Geschäftsführer oder Ihrem Rechtsanwalt. Wenn Sie den gängigen SMTP-Anforderungen genügen, haben Sie gute Chancen, aus der Liste gelöscht zu werden.

Ausblick

In diesem Teil der Serie haben wir uns um die Bedrohung durch Spam und Viren gekümmert. Deren erste Abwehr erfolgte durch Blockierlisten. Der nächste Teil beschäftigt sich mit weiteren Möglichkeiten der Spamabwehr, etwa durch lernfähige Filter. (ala)

Inhalt der Artikelserie zur Exchange-Sicherheit
Teil 1: Spam und Virenabwehr durch Blockierlisten
Teil 2: Spam und Virenabwehr durch Challenge-Response und Filter
Teil 3: Backup und Restore bei Exchange Server 2003
Teil 4: Backup von Exchange Server 2003 in der Praxis
Teil 5: Exchange Server 2003 mit Schattenkopien nutzen
Teil 6: Höhere Diensteverfügbarkeit durch Exchange-Cluster, I
Teil 7: Höhere Diensteverfügbarkeit durch Exchange-Cluster, II
Teil 8: Höhere Diensteverfügbarkeit durch Exchange-Cluster, III