Der Webserver als Zielscheibe – Teil 2 Spam-Nachrichten in E-Mail-Inboxen und Foren auf Server-Ebene blocken

Autor / Redakteur: Marcell Dietl / Stephan Augsten

Jeden Tag versenden Kriminelle Millionen von E-Mails an Privatpersonen und Unternehmen weltweit. So reichhaltig die Inhalte der Spam-Mails sind, so vielfältig sind auch die Gründe für den Spam-Versand sind. Security-Insider.de erläutert in diesem Beitrag gängige Verfahren zur Verbreitung von Spam und die Möglichkeiten zur Abwehr unerwünschter Nachrichten auf Server-Ebene.

Firmen zum Thema

Abgefangen: Spam jedweder Art lässt sich bereits auf dem Server effektiv aussortieren.
Abgefangen: Spam jedweder Art lässt sich bereits auf dem Server effektiv aussortieren.
( Archiv: Vogel Business Media )

Spammer werben für dubiose Online-Angebote, versuchen Aktienkurse zu beeinflussen oder wollen Malware auf den Rechnern der Empfänger installieren. Die meisten Massenmails sind willkürlich und die Opfer zufällig gewählt. Immer häufiger werden infizierte E-Mails jedoch auch zu Spionagezwecken gezielt an Mitglieder von Regierungen und Unternehmen versendet.

In größtenteils privaten Internetforen werden E-Mail-Datenbanken zu günstigen Preisen gehandelt. Einige hunderttausend gültige Adressen gibt es mittlerweile schon für wenige US-Dollar. Teurer wird es, wenn Vor- und Nachname des Empfängers bekannt sind – denn durch persönliche Ansprache steigt die Glaubwürdigkeit der generierten E-Mails.

Besonders zu wichtigen politischen, gesellschaftlichen und sportlichen Ereignissen schwillt die Zahl infizierter Massensendungen kurzfristig an. Mit solchen Mitteln versuchten auch die Autoren des Storm-Worm, der 2007 und 2008 für Aufsehen sorgte, Benutzer zum Starten ausführbarer Dateien zu verleiten.

In kürzester Zeit entsteht auf diese Weise ein Botnetz aus einigen zehntausend Rechnern. Solche Zombie-Netzwerke werden (unter anderem) wiederum für den Massenversand von Spam-Nachrichten verwendet.

Doch nicht immer sind es rein finanzielle Interessen, die Cyber-Kriminelle zum Versand von Spam-Mails bewegen. Anfang dieses Jahres sind kanadische Forscher auf ein Rechnernetz aus etwa 2.000 Computern aufmerksam geworden, das sie „Ghostnet“ tauften. Die infizierten Maschinen gehörten meist Mitgliedern asiatischer Regierungen. Experten sind sich weltweit einig, dass derart spezialisierte Angriffe auf Regierungen in Zukunft zunehmen werden.

Spammer halten sich nicht an RFC-Standards

Ein sauber und streng konfigurierter Mailserver bildet die Basis zur Bekämpfung von zeitraubendem Spam. Viele der massenhaft verschickten Nachrichten werden über ungeschützte SMTP-Relays oder infizierte Computer in Umlauf gebracht. Solche Server halten sich oftmals nicht an das bereits 1982 im Requests for Comments (RFC) 821 definierte SMTP-Protokoll zum Versenden elektronischer Nachrichten.

Zeitgemäße Mail Transfer Agents (MTA) – wie etwa der freie Postfix – erlauben die strikte Einhaltung dieses Standards zu erzwingen und verwerfen alle Verbindungsversuche, die nicht RFC-konform sind. Gleichermaßen verbieten heutige MTAs standardmäßig den „Relay Access“, wodurch verhindert wird, dass der eigene Server zum Versand von Spam-Mails missbraucht werden kann.

Seite 2: Blacklist-, Greylist- und Whitelist-Verfahren kombinieren

Blacklist-, Greylist- und Whitelist-Verfahren kombinieren

Mehrere Organisationen wie Spamhaus analysieren kontinuierlich den globalen Internetverkehr, um Server zu ermitteln, die primär zum Versenden von Spam genutzt werden. Mit Hilfe dieser Informationen werden Blacklists erstellt, die in den MTA des eigenen Servers eingebunden werden können und E-Mails von verdächtigen Rechnern automatisch verwerfen.

Zusätzlich zu diesem Verfahren empfiehlt sich das so genannte Greylisting. Diese Technik ist schon einige Jahre im Einsatz und erwies sich bislang als relativ wirksam bei der Bekämpfung von Massenmails, die etwa durch Botnetze in Umlauf gebracht wurden. Beim Greylisting werden E-Mails von unbekannten Absendern verworfen, um ein erneutes Senden zu provozieren. Ein legitimer SMTP-Server wird diesen zweiten Verbindungsversuch nach etwa 20 Minuten einleiten.

Darüber hinaus sollte eine Whitelist eingesetzt und kontinuierlich gepflegt werden, die noch vor den Blacklisting- und Greylisting-Methoden greift. Durch die Definition vertrauenswürdiger Absender wird sichergestellt, dass Nachrichten von Kunden oder Partnern jederzeit empfangen werden können.

SpamAssassin und Antivirus-Scanner zur Filterung einsetzen

Schafft es eine E-Mail dennoch durch alle präventiven Abwehrmaßnahmen, ist oftmals ein gut konfigurierter Content-Filter von Vorteil. Solche Programme werden mit Hilfe großer Mengen E-Mails „trainiert“, um den Unterschied zwischen Ham (erwünschten Nachrichten) und Spam zu erkennen.

Diese auf Wahrscheinlichkeiten basierende Einstufung wird als bayessche Filterung bezeichnet. Die genaue Konfiguration solcher Tools wie SpamAssassin basiert oftmals auf längerfristigen Tests, da die Anforderungen von Server zu Server variieren.

Um zu verhindern, dass Viren im Anhang einer Nachricht in das Firmennetz transportiert werden, nutzen viele Unternehmen Antivirus-Scanner wie den freien ClamAV auf ihren Gateways. In den vergangenen Monaten tauchten jedoch immer häufiger öffentliche Exploits für derartige Programme auf. Mit einer einzigen präparierten E-Mail könnte ein Angreifer den Server kompromittieren und weit höheren Schaden als nur Spam-bedingte Speicherkosten anrichten.

Seite 3: SPIT, SPIM und andere Formen des modernen Spamming

SPIT, SPIM und andere Formen des modernen Spamming

Das Verbreiten von Werbebotschaften erfolgt zwar nach wie vor hauptsächlich über E-Mails. Cyber-Kriminelle suchen und nutzen aber immer häufiger neue Wege, um ihre Ziele zu erreichen.

Seit einigen Jahren gehört etwa „Spam over Instant Messaging“ (SPIM) über ICQ, IRC und andere Instant Messenger zum alltäglichen Übel dazu. Aufgrund einer steigenden Verbreitung von Voice over IP im privaten und geschäftlichen Umfeld, ist auch mit einer Zunahme von „Spam over Internet Telephony“ (SPIT) zu rechnen.

Ein oftmals verdrängtes Problem sind Kommentarfunktionen in Blogs oder Foren, die sich automatisierte Bots zunutze machen, um Links zu gefährlichen oder dubiosen Webseiten zu verbreiten. Abhilfe schafft hierbei meist schon ein eigens programmiertes CAPTCHA.

Zwar beweisen die Spammer auch hier Erfindungsreichtum, indem sie automatische Hacking-Algorithmen verwenden oder gar Internet-Anwender mit pornographischen Inhalten zur unbewussten Eingabe der CAPTCHAs verleiten. Jedoch ist dieser Aufwand in solchen Fällen ungleich höher, was die meisten Cyber-Kriminellen abhalten dürfte.

Fazit

Unerwünschte Nachrichten jeder Art lassen sich heutzutage durch eine Kombination verschiedener erprobter Techniken sehr gut bekämpfen und eindämmen:

Mithilfe präventiver Maßnahmen wie Greylisting und dem Erzwingen der RFC-Konformität bei Mailservern kann ein großer Teil des Spams frühzeitig verworfen werden. Bayes- und andere Content-Filter ergänzen diese Verfahren zuverlässig. Ein kleiner Prozentsatz an False Positives oder Negatives kann allerdings jederzeit auftreten, sodass von einer automatischen Löschung verdächtiger E-Mails abgesehen werden sollte.

Um gezielte Angriffe auf die eigene Firma erfolglos enden zu lassen, hilft hingegen oftmals nur eine Sensibilisierung der Mitarbeiter für die Risiken auch vermeintlich harmlos wirkender E-Mails und das Erlernen einer angebracht hohen Skepsis.

(ID:2021894)