Der Webserver als Zielscheibe – Teil 2

Spam-Nachrichten in E-Mail-Inboxen und Foren auf Server-Ebene blocken

Seite: 2/3

Firmen zum Thema

Blacklist-, Greylist- und Whitelist-Verfahren kombinieren

Mehrere Organisationen wie Spamhaus analysieren kontinuierlich den globalen Internetverkehr, um Server zu ermitteln, die primär zum Versenden von Spam genutzt werden. Mit Hilfe dieser Informationen werden Blacklists erstellt, die in den MTA des eigenen Servers eingebunden werden können und E-Mails von verdächtigen Rechnern automatisch verwerfen.

Zusätzlich zu diesem Verfahren empfiehlt sich das so genannte Greylisting. Diese Technik ist schon einige Jahre im Einsatz und erwies sich bislang als relativ wirksam bei der Bekämpfung von Massenmails, die etwa durch Botnetze in Umlauf gebracht wurden. Beim Greylisting werden E-Mails von unbekannten Absendern verworfen, um ein erneutes Senden zu provozieren. Ein legitimer SMTP-Server wird diesen zweiten Verbindungsversuch nach etwa 20 Minuten einleiten.

Darüber hinaus sollte eine Whitelist eingesetzt und kontinuierlich gepflegt werden, die noch vor den Blacklisting- und Greylisting-Methoden greift. Durch die Definition vertrauenswürdiger Absender wird sichergestellt, dass Nachrichten von Kunden oder Partnern jederzeit empfangen werden können.

SpamAssassin und Antivirus-Scanner zur Filterung einsetzen

Schafft es eine E-Mail dennoch durch alle präventiven Abwehrmaßnahmen, ist oftmals ein gut konfigurierter Content-Filter von Vorteil. Solche Programme werden mit Hilfe großer Mengen E-Mails „trainiert“, um den Unterschied zwischen Ham (erwünschten Nachrichten) und Spam zu erkennen.

Diese auf Wahrscheinlichkeiten basierende Einstufung wird als bayessche Filterung bezeichnet. Die genaue Konfiguration solcher Tools wie SpamAssassin basiert oftmals auf längerfristigen Tests, da die Anforderungen von Server zu Server variieren.

Um zu verhindern, dass Viren im Anhang einer Nachricht in das Firmennetz transportiert werden, nutzen viele Unternehmen Antivirus-Scanner wie den freien ClamAV auf ihren Gateways. In den vergangenen Monaten tauchten jedoch immer häufiger öffentliche Exploits für derartige Programme auf. Mit einer einzigen präparierten E-Mail könnte ein Angreifer den Server kompromittieren und weit höheren Schaden als nur Spam-bedingte Speicherkosten anrichten.

Seite 3: SPIT, SPIM und andere Formen des modernen Spamming

(ID:2021894)