Anzeige
Anzeige
Software & Entwicklung
Artikel merken

Strategien und Maßnahmen gegen Müll-E-Mails: Kampf dem virtuellen Büchsenfleisch

Bis zu 90 Prozent aller weltweit versendeten E-Mails sind entweder unerwünschte Werbesendungen, betrügerische E-Mails oder sich verbreitende Viren und Würmer. Das beeinträchtigt nicht nur die Produktivität der Menschen und Mailserver, sondern gefährdet auch die Sicherheit im Unternehmen. Es gibt aber Strategien und Maßnahmen, die gegen diese Form der unerwünschten Kommunikation helfen.

9 Min. Lesezeit
Anzeige
Anzeige

Warum es UBE gibt

Das Problem sitzt wie so oft vor dem Bildschirm. Wenn bei Millionen von versandten E-Mails nur ein Bruchteil der Empfänger die meist höchst suspekten Angebote bestellt, hat sich der Aufwand für die Versender schon gelohnt. Aus diesem Grund wird UBE ein Phänomen sein, das nicht einfach wieder verschwindet. Zumindest auf absehbare Zeit sollte man es als Tatsache akzeptieren.

Anzeige
Anzeige

Die Vorgehensweise der Spammer ist meist gleich. Mit Hilfe einer breiten Basis von virenverseuchten Zombie-PCs sowie verwundbaren Web- und Mailserver, ist ein paralleller Versand von Millionen von E-Mails in einem kurzen Zeitrahmen möglich. Gesteuert werden diese Zombies von „Bot-Netzen“, die auf dem Schwarzmarkt für Online-Erpressungen, Denial-of-Service-Attacken, den Versand von UBE oder für andere illegale oder halbillegale Maßnahmen zeitweise vermietet werden. Betrieben werden sie von Virenprogrammierern in einem mafiösen Dunstkreis.

Die Fantasie der UBE-Versender scheint grenzenlos zu sein. Wegen immer
besserer Anti-UBE-Software probieren Versender, die Filter mit immer
ausgeklügelteren Methoden zu umgehen. Durch „content scrambling“, bei
dem der Text in HTML-Kommentare verpackt wird, sind einfache Textfilter
heute zum Teil nutzlos geworden. Auch durch einige andere Arten des
content scrambling sind die Texte häufig dermaßen entstellt, dass auch
Menschen kaum noch erahnen können, was da beworben werden soll. Auch UBEs mit nur einem enthaltenen Bild sind schwierig zu
bekämpfen.

Anzeige
Anzeige

Vermeiden, dass man selber UBE verschickt

Für Betreiber von Web- und Mailservern ist es wichtig sicherzustellen, dass sie nicht selbst zum UBE-Versender werden. Viele Webapplikationen sind nicht mit der nötigen Sorgfalt programmiert und weisen Lücken auf, die sich zum UBE-Versand ausnutzen lassen. Selbst TYPO3 ist davon nicht verschont geblieben, weil es diverse Lücken in verschiedenen Erweiterungen gab. Damit das nicht passiert, sind Webapplikationen laufend auf Sicherheit und Aktualität zu überprüfen. Die Konfiguration der Mailserver ist dahingehend zu überprüfen, ob die Server E-Mails von dritten weiterleiten (open relay). Es gibt mehrere Angebote, um das kostenlos zu prüfen [1].

Anzeige
Anzeige

Das heute auf jedem PC ein Virenscanner installiert sein sollte, versteht sich eigentlich von selbst, aber offensichtlich ignorieren viele Leute diesen Ratschlag. Virenverseuchte PCs als Teilnehmer von „Bot-Netzen“ sind für den größten Teil der versandten UBEs verantwortlich.

Methoden zur Abwehr

Viele herkömmliche textbasierte UBEs können durch eine Mustererkennung gefiltert werden. Dabei werden meist auch Schreibvarianten berücksichtigt, wenn zum Beispiel aus Viagra \/i@gr@ wird. Viele Anti-UBE- Programme setzen zudem auf basyian Filter, die eine gewisse künstliche Intelligenz besitzen und lernfähig sind. Da das wiederum die UBE-Versender wissen, beeinflussen sie die basyian Filter durch das Versenden von Nonsense-E-Mails ohne „verdächtige“ Inhalte, um kurz dannach die eigentliche UBE-Welle zu starten.

Anzeige
Anzeige

Viele UBEs werden von Viren mit eigenen, aber unvollständig implementierten SMTP-Clients verschickt. Das eröffnet eine wertvolle Methode zur Abwehr, denn viele dieser SMTP-Engines verhalten sich anders als ein regulärer E-Mail-Server. So wird beispielsweise vielfach das SMTP-Protokoll nicht eingehalten. Da die E-Mails meist millionenfach mit identischem Inhalt verschickt werden, etablieren sich zunehmend Dienste, die die Prüfsummen von E-Mails überprüfen. Ein solcher Service ist DCC (Distributed Checksum Clearinghouse). Wenn ein Mailserver bei DCC mitmacht, wird von jeder eingehenden E-Mail eine „Fuzzy“-Prüfsumme ermittelt und an DCC übertragen. DCC macht nichts anderes, als die Anzahl der E-Mails mit derselben Prüfsumme zu zählen. Ab einer bestimmten Anzahl ist es wahrscheinlich, dass es sich um UBE handelt.

Ein kontroverse Diskussion findet hingegen um DNS-Blacklists und ihre Zuverlässigkeit statt. Einige der Blacklists werden professionell unterhalten und können problemlos eingesetzt werden. Andere sind jedoch problematisch, weil sie nicht immer aktuell sind. Die Letzteren sollten nicht als einziges Filterkriterium dienen. Immer mehr in Mode kommt das „Greylisting“. Wie oben beschrieben, verfügen Viren über keine vollständige SMTP-Implementierung, wissen also mit temporären SMTP-Fehlern, wie sie durch Greylistingsoftware erzeugt werden, nichts anzufangen. Ein regulärer Mailserver sendet die E-Mail nach einer gewissen Zeit nochmal, ein Virus tut das nicht. Bei aktivem Greylisting wird eine E-Mail erst beim zweiten Versuch angenommen. Der Nachteil der Methode ist die Zeitverzögerung zwischen dem Senden und Empfangen einer E-Mail. Diese Verzögerung kann je nach Mailserverkonfiguration des Senders bis zu mehreren Stunden dauern. Für den Geschäftsverkehr ist das in der Regel nicht akzeptabel.

Um die „Nur-Bild“-UBEs zu Erkennen und zu Bekämpfen, wird vermehrt auch auf Schrifterkennung (OCR) gesetzt, die den im Bild enthaltenen Text erkennen soll. OCR ist eigentlich für Resourcenhunger bekannt, Tatsache ist aber, dass die Bilder in recht niedriger Auflösung daherkommen. Somit ist die Erkennung des Texts zwar nicht besonders sicher, kann aber relativ resourcenschonend durchgeführt werden.

Anzeige
Anzeige

Eine besondere Schwierigkeit gilt für die deutsche Sprache sowie für viele andere Sprachen auch. Da die meisten Anti-UBE-Programme für den englischen Sprachraum ausgelegt sind, ist es mit ihnen schwierig, UBE in deutscher Sprache zu erkennen und zu filtern. Allerdings können Programme wie Spamassassin durch eigene, die deutsche Sprache berücksichtigende Regeln ergänzt werden.

Pre-Queuing vs. Post-Queuing

Die verschiedenen Tests an einer einkommenden E-Mail sind unterschiedlich teuer im Sinne von Resourcenverbrauch. Insbesondere bei einer hohen Zahl zu erwartender E-Mails kann das ein relevanter Aspekt bei der Einrichtung des Schutzes vor UBE sein. Bei der Planung sind deshalb zwei unterschiedliche Ansätze zu unterscheiden: Pre-Queuing und Post-Queuing. Als Pre-Queuing-Phase bezeichnet man die Zeit, während der eine offene SMTP-Verbindung besteht. Als Post-Queuing wird bezeichnet, was offline geschieht, also nach der Einlieferung des E-Mails in die Queue.

Pre-Queuing-Tests sollten nur günstige Operationen enthalten, da sonst eine Zeitüberschreitung bei der SMTP-Verbindung passieren kann. Pre-Queuing-Tests skalieren nicht gut. Je nach Verkehrsaufkommen kann das zu Performanceproblemen oder gar zum Ausfall des Dienstes führen. Der große Vorteil ist allerdings, dass der Sender bei Erkennen der E-Mail als UBE eine Fehlermeldung erhält und im Falle eines „false positive“ den Empfänger kontaktieren kann.

Anzeige
Anzeige

Post-Queuing kann auch teure Operationen beinhalten, da die Tests offline durchgeführt werden. Ein Post-Queuing-Test darf auch ein paar Minuten in der Warteschlange liegen, ohne dass es zu Problemen kommt. Eine Fehlermeldung sollte allerdings nicht verschickt werden, da viele Absenderadressen nicht existieren oder gar gültige Adressen von unbeteiligten Dritten sind. Die beste Lösung ist der Mittelweg: Die Verwendung von beidem, Pre- und Post-Queuing-Tests.

Kombinationstherapie

Wie schon oben beschrieben: Eine Methode alleine reicht nicht aus, um dem Problem Herr zu werden. Vielmehr muss ein ganzer Mix aus verschiedenen Ansätzen gewählt werden. Die Open-Source-Welt gibt dazu reichlich Tools an die Hand.

Postfix zum Beispiel ist einer der beliebtesten SMTP-Server im Linux- und Unix-Umfeld. Postfix kennt sehr granulare Regelwerke, um E-Mails anzunehmen oder abzulehnen. Die Regeln sind in der Konfigurationsdatei „/etc/postfix/main.cf“ im Bereich „smtpd_recipient_restrictions“ abgelegt. Hier können die günstigsten Pre-Queuing-Tests wie die Tests auf eine gültige Sender-Domäne, die Abfrage bei DNS-Blacklist und andere definiert werden. Hier sollten aber nur absolut zuverlässige Blacklists zum Zuge kommen. Weitere können bei den Post-Queuing-Tests durch Spamassasssin eingesetzt werden, weil hier die E-Mails nicht gleich abgelehnt werden.

Anzeige
Anzeige

Leider würde die Beschreibung der Konfigurationen aller involvierten Komponenten den Umfang des Artikels sprengen. Mit der folgenden Postfix-Konfiguration kann jedoch ein Großteil der UBEs gefiltert werden, mehr dazu lesen Sie in der Postfix-Dokumentation [2].

Postfix Restrikionen in der Konfigirationsdatei
smtpd_recipient_restrictions =
		permit_sasl_authenticated,
		reject_invalid_hostname,
		reject_non_fqdn_hostname,
		reject_non_fqdn_sender,
		reject_non_fqdn_recipient,
		reject_unknown_sender_domain,
		reject_unknown_recipient_domain,
		reject_unauth_pipelining,
		permit_mynetworks, 
		reject_unauth_destination,
		reject_rbl_client bl.spamcop.net,
		reject_rbl_client sbl-xbl.spamhaus.org,
		reject_rbl_client ix.dnsbl.manitu.net,
		permit

Listing 1

Amavisd-new [3] ist die Software, mit der alle Offlinetests – also Post-Queuing – durchgeführt werden. Durch die zusätzliche Einbindung von Spamassassin [4] ergibt sich ein sehr flexibles System, das fast nach Belieben erweitert werden kann. Die Amavisd-new-Offlinetests sollten zumindest einen Virenscanner plus die Standard-Spamassassin-Tests beinhalten. Die Liste der unterstützten Virenscanner liest sich wie das Who’s who in der Branche. Als gut funktionierende, zuverlässige Open-Source-Variante ist ClamAV [5] zu nennen.

Spamassassin wird seit einiger Zeit von der Apache Foundation unterstützt, was viel über die gute Qualität des Projekts aussagt. Das System, mit dem Spamassassin arbeitet, ist schnell erklärt: E-Mails werden anhand vordefinierter Regeln analysiert. Für positive Ergebnisse jeder Analyse vergibt das System Punkte. Ab einer zu definierenden Punktezahl wird eine E-Mail als UBE markiert und ab einer weiteren, ebenfalls konfigurierbaren höheren Punktezahl ganz gelöscht. Dieses Punktesystem verhindert „False-Positives“ weitgehend, denn UBE erfüllen meistens mehr als nur eine Regel und erhalten daher von verschiedenen Tests Punkte. Salopp gesagt: Pfitzer Ltd., der Hersteller von Viagra, kann ohne Probleme Einladungen zu einer wissenschaftlichen Konferenz zum Thema Erektionsstörungen und Viagra versenden, die auch empfangen werden. DCC, Razor und Pyzor sind Spamassassin-Plugins, die auf externe Quellen zugreifen. Alle drei sind ählich gelagert und basieren auf Checksummenprüfungen. Wie sie eingesetzt werden, kann auf der Amavisd-new-Website nachgelesen werden.

Anzeige
Anzeige

Ein anderer Weg ist der Einsatz von „passive OS Fingerprinting“, einer Methode zum Herausfinden des eingesetzten Betriebssystems beim Kommunikationspartner. Es ist bekannt, dass E-Mails, die direkt von einem Windows XP-System verschickt werden, mit an Sicherheit grenzender Wahrscheinlichkeit UBE sind, denn kein professionell arbeitender SMTP-Verantwortlicher nutzt Windows XP als SMTP-Server. Reguläre Windows-Clients nutzen den Mailserver ihres Providers zum Versand der E-Mails, der meist ein Unix- oder Linuxserver ist. Aber auch hier gilt: Es gibt nur Spamassassin-Punkte, es braucht mehr als Windows XP, damit eine E-Mail als UBE eingestuft wird.

Erst ein paar Monate alt ist die Methode, um „Nur-Bild“-E-Mails mittels Schrifterkennung zu untersuchen. Hier kommt die Spamassassin-Erweiterung FuzzyOCR [6] zum Einsatz. Die ersten Versionen hatten Probleme mit „false-positives“ beim Empfang von regulären Screenshots. In der neuesten, wenige Wochen alten Version kann die Methode nun produktiv eingesetzt werden. Die Erkennungsregeln wurden stark verbessert, genauso wie das Zusammenspiel mit Spamassassin. Leider waren auch die UBE-Versender nicht untätig. Mittlerweile werden die Bilder in einer Form generiert, die es der Schrifterkennungssoftware möglichst schwer macht. Deshalb kann jedes Bild bei Problemen mit der Schrifterkennung ein paar Grad im Uhrzeiger- und Gegenuhrzeigersinn gedreht werden. Außerdem können die Bilder entfärbt, der Kontrast erhöht und animierte GIF-Dateien in statische GIFs verwandelt werden. Das klingt teuer, ist es aber nicht. Ein durchschnittliches UBE-Bild wird in etwa 0,5 Sekunden abgearbeitet, dadurch ist eine Skalierung auch für größeren E-Mail-Verkehr gewährleistet.

Zukunftsaussichten

Der K(r)ampf gegen UBE wird weitergehen. Laufend erfinden Versender neue Methoden, um die bestehenden Systeme auszutricksen. Auf die neuen Methoden muss laufend reagiert werden. Daher kann ein flexibles, konfiguriertbares Anti-UBE-System gegenüber „Plug-and-Play“-Systemen, wie sie von vielen Anbietern auf dem Markt sind, Vorteile bieten. Ein nächster Schritt könnte sein, dass Viren so programiert werden, dass sie die UBE statt über eine eigene SMTP-Engine über die Microsoft MAPI (Mail Application Programming Interface) und den regulären SMTP-Server verschicken. Das würde DNS-Blacklists weitgehend wirkungslos machen.

Anzeige
Anzeige

Kochen mit SPAM

Während also UBEs ständig weiter entwickelt werden und das eine ständige Arbeit am UBE-Schutz erfordert, bleibt SPAM, was es ist. Und obwohl schon Monty Python erkannt hatten, dass SPAM keine Gourmet-Speise ist, so gibt es doch eine breite Anhängerschaft, vor allem in den USA. Kochrezepte mit SPAM gibt es auf der Website [7]. Guten Appetit.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

David Paine

Ihr Artikel ist nützlich. E-Mail ist ein wesentlicher Bestandteil des Geschäfts. Unter den B2B-Zielgruppen ist E-Mail die drittgrößte Informationsquelle.
Eine Sache, die hinzugefügt werden muss, ist jedoch, dass eines der genannten Tools, spamhelp.org, nicht funktioniert. Wenn ich auf den Link geklickt habe, wird auf der Website nichts angezeigt.
Während meiner Suche habe ich ein anderes Tool gefunden, das mit dem SMTP-Test zusammenhängt. Schauen Sie sich das https://dnschecker.org/smtp-test-tool.php an
Sie können das alternativ hinzufügen.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige