SPAM
|
Übersicht
|
Einführung |
Mehr... |
Links |
RFCs |
Books
|
SICHERHEIT |
Was ist Spam?
Wie gehen Anti-Spam Filter vor?
Welche Tricks benutzen Spammer?
Anti-Spam Tools
Regeln für E-Mail Clients
Begriffe
Credits
Dieses Dokument als PDF laden
|
Was ist Spam?
|
Mit Spammails bezeichnet man die Menge aller unerwünschten und belästigenden Mails, zu denen
in der Regel unseriöse Werbemails gehören.
Die dafür verwendete Bezeichnung "Spam" leitet sich dabei von einem Sketch aus der englischen
Comedy-Serie "Monty Phyton" ab, in dem ein Restaurant-Besucher dadurch geplagt wird, das sich in jedem
Essensgericht Spam befindet und die restlichen Gäste lauthals ihre Lobeshymnen auf Spam
besingen, so dass kein ordentliches Gespräch mehr zustande kommt.
SPAM ist übrigens eine Abkürzung für Spiced Pork and HAM, in deutschen
Landen auch besser bekannt als "Sülze".
(Geht man nach Schätzungen von „The Spamhaus Project“ sind etwa 80%
des E-Mail Verkehrs auf Spam zurückzuführen. Die Spam-Prolematik ist an sich, wenn sie nicht eine
so Zeit-, Geld- und Ressourcenfressende Angelegenheit wäre, ein recht spannendes Thema.
Basierend auf eigenen Beobachtungen und Erfahrungen in verschiedenen Behörden ist zu beobachten,
dass bei einem Mailverkehr von fast einer Million e-Mails pro Woche, tatsächlich fast 80% davon
auf Spammails zurückzuführen sind. Gerade hier ist Spam-Prävention ein heikles Thema, da
sensible Bereiche wie Daten- und Virenschutz berührt werden.)
|
Wie gehen Anti-Spam Filter vor?
|
Inzwischen liegen verschiedene Methoden und Strategien zur Bekämpfung von Spammails vor.
Moderne Anti-Spam Tools kombinieren inzwischen mehrere Methoden, um Spammails
korrekt identifizieren zu können und sie von regulären Mails zu trennen.
Hier eine Auflistung und Beschreibung der einzelnen Methoden:
|
Name |
Beschreibung |
Bemerkungen |
Blacklists |
In einer sog. Schwarzen Liste werden E-Mail-Adressen gesammelt, die dafür bekannt sind, von Spammern
verwendet zu werden. Damit können Mails, die von bestimmten Absendern stammen, direkt ausgefiltert
werden. |
Da Spammails i.d.R. gefälschte Absender-Adressen verwenden, sind Blacklists nicht unbedingt effektiv.
Ausserdem verwenden die meisten Spammer eine Absender-Adresse nie zweimal. |
Whitelists |
In einer sog. Weißen Liste werden die E-Mail-Adressen eingetragen, die als vertrauenswürdig gelten.
Nur Mails mit gültigen, in der whitelist eingetragene Absenderadressen werden durchgelassen. |
Damit auch legitime Kontaktsuchende eine Chance bekommen, um in die whitelist aufgenommen zu werden,
kann ein Challenge Response Verfahren angewendet werden. |
Challenge Response |
Im Grunde ein Authentifizierungsverfahren, das eine E-Mail an den unbekannten Absender schickt, mit
der Bitte sich zu identifizieren und eine Bestätigungsmail mit einem entsprechenden Betreff
zurückzuschicken. Erst bei einer korrekten Erwiderung kann die unbekannte Mail in eine whitelist
eingetragen werden und wird daraufhin dem Empfänger zugestellt. |
Theoretisch dürfte auf eine Spammail keine Rückbestätigung zu erwarten sein. Es stellt sich jedoch
die Frage, ob jedoch auch ein legitimer Absender bereit ist, sich auf ein Challange Response
einzulassen. |
Reverse LookUp |
Da es häufig der Fall ist, dass Spam-Mails ungültige Absenderadressen verwenden, können Mails
ausgefiltert werden, sofern die verwendete Domain nicht existiert oder an der Domain kein aktiver
Mail-Server anhängt. |
Kann unter Umständen eine Menge Server-Ressourcen verbrauchen. |
Header-Filter |
Analysiert den E-Mail Header und versucht in Stellen wie der Von-, An und der Betreffzeile,
sowie auch an weiteren Stellen des Headers, bestimmte Muster zu finden, die für eine Aussortierung
der Mail sorgen. |
Stellt ein nützliches Werkzeug bei der ersten Vorab-Filterung eingegangener Mails dar. Als alleiniges
Mittel zur Spamprävention sind Header-Filter nur wenig effektiv. |
Statische Wortfilter |
Der Inhalt einer Mail wird nach Schlüsselwörtern durchsucht. |
Über eine vorgegebene Wortliste, die man selbst verändern oder erweitern kann, wird eine Mail nach
verräterischen Schlüsselworten durchsucht. Ist die Suche positiv, wird die Mail ausgefiltert. Das
können Worte wie Viagra, Schnellkredite oder "Blind Date" usw. sein. |
Bayes-Filter |
Lernende Filter, die nach für Spammails charakteristischen Wortzusammenstellungen suchen. |
Stellen momentan das effektivste Mittel zur Erkennung von Spammails dar. |
Magnete |
Vorgegebene Schlüsselworte können dazu dienen, Mails direkt für legitim zu erklären. |
Mit dem umgekehrten Weg zu ausschliessenden Wortfiltern, versucht man hier Mails direkt für
den Empfänger zugänglich zu machen, wenn bestimmte Schlüsselworte in der Mail fallen und dessen
Legitimität bestätigen. Beispielsweise kann das Vorhandensein des Namens eines vertrauten
Geschäftspartners von vornherein ausschliessen, dass Spam vorliegt. Durch Magnete brauchen
diese Mails nicht analysiert und bewertet zu werden, die Möglichkeit für Positivtreffer wird
reduziert. |
|
Welche Tricks benutzen Spammer?
|
Genauso wie es viele Methoden gibt, um Spammails auszufiltern, gibt es eine
Vielzahl an Methoden, um deren eindeutige Erkennung zu umgehen. Die folgende
Liste enthält eine Reihe beliebter Methoden, um Spammails als eine reguläre Mail
zu maskieren und die Strategien, um Spammails zu verbreiten und verräterische
Spuren zu verwischen.
|
Vorgehen |
Ziel |
Beschreibung |
Open Relay Proxy Hijacking |
Fremden Proxy nutzen, um darüber Mails zu verteilen |
Nicht sorgfälitg konfigurierte Proxies leiten meist jede TCP-Verbindung weiter und werden gerne von
Spammern für SMTP-Transaktionen missbraucht. |
Open Relay SMTP Hijacking |
Fremden SMTP-Server nutzen, um darüber Mails zu verteilen |
Nicht sorgfältig konfigurierte SMTP-Server können Mails aus externen IP-Adressbereichen weiterleiten. Solche
sogenannten Open-Relays sind beliebte Opfer für Spammer. |
Unsichere Mailback Scripts |
Mailback-Scripte, die auf diversen Websites laufen, werden missbraucht um darüber Mails zu verteilen. |
Unsichere Scripte erlauben die Ausführung von Shellbefehlen auf dem Server. Sogenannte Spambots scannen
zugängliche Web-Verzeichnisse nach solchen Scripts. |
Wörterbuch-Attacke |
Mit Hilfe von Wörterbüchern gültige Emailadressen erzeugen. |
Eine Vorgehensweise von Spammern ist es, Namen und Wörter aus Wörterbüchern zu ziehen, um diese dann
als Absenderadresse zu verwenden. In der Hoffnung, möglichst viele Treffer zu erzielen und nicht
von Adressenhändlern abhängig zu sein.
Wörterbuch-Attacken haben als natürlichen Nebeneffekt, dass zahlreiche ungültige Adressen
erzeugt werden. Als Folge davon muss der betroffene Mailserver ständig Error-Mails an den
"vermeintlichen" Absender zurück zu schicken. Dieser sogenannte Bounce-Effekt frisst nicht
nur jede Menge Ressourcen, im Falle einer gefälschten Absenderadresse, die tatsächlich existiert,
kann im Extremfall der Mailserver des Empfängers seinen Dienst quittieren. Für Spammer sind es
so oder so meist akzeptable Kollateralschäden. |
Directory Harvest Attack / Verzeichnis-Angriff |
Gültige Emailadressen durch Fehlerantworten des SMTP-Servers herausfinden. |
Der Verzeichnis-Angriff ist die etwas unauffälligere Variante der Wörterbuch-Attacke.
Anstatt eine komplette Spammail ins Leere laufen zu lassen, verwerten manche Adressensammler erstmal nur die
SMTP-Dialog Fehlerantworten. Bevor über das Protokoll eine Mail
an einen Server verschickt wird, muss zuerst überprüft werden, ob die Empfangsadresse gültig ist.
Dies geschiet über eine "delivery attempt"-Anfrage. Emailserver sind so programmiert, dass
bei Nicht-Vorhandensein einer Adresse eine Fehlermeldung vom Typ
Error 500
ausgegeben wird. Für den Adressensammler sind nur jene erzeugten Adressen verwertbar, auf die es
kein Fehler-Feedback gibt. Nachdem das ganze Verzeichnis der auf dem Server vorhanden Emailadressen
durchsucht wurde, können danach gezielt Spammails verschickt werden.
|
Nummerische Adressformate |
Blacklists umgehen durch automatische Generierung verschiedener Absenderadressen. |
Einmal in eine Blacklist aufgenommen, ist eine Spam-Absenderadresse nicht mehr von Nutzen.
Durch einfache Variationen versucht man diese Restriktionen zu umgehen. Sofern nicht die ganze
Domain gesperrt ist, können über Programme beliebig viele gültige Adressen erzeugt werden. Das
würde dann in etwa so aussehen: hans235@web.de; hans236@web.de; hans236@web.de;... |
URL Encoding |
Spuren verwischen durch Kodierung verräterischer URLs |
Links bzw. URLs können in ein anderes gültiges Format umgewandelt werden. Ohne Hintergrundwissen, sind
diese Angaben für Laien nicht zu entziffern. Tatsächlich sind Mischformen denkbar, die auch zur
als alternative IP-Adresse anwendbar sind.
Dezimale IP-Adresse http://7763631671
Hexadezimale IP-Adresse http://0xD186A123
Octale IP-Adresse http://0321.0206.0241.0043
Escaping; siehe nächste Zeile
|
Escaping |
Spuren verwischen durch Kodierung verräterischer URLs |
Mit dem als Escaping bezeichneten Verfahren wird über vorangesetzte Prozentzeichen und
nachfolgende Hexadezimalwerte jedes einzelne Zeichen einer kompromitierenden URL kodiert.
Eine derart kodierte URL kann dann so aussehen:
http://%77%77%77%2E%70%61%72%61%6D%69%6E%64%2E%64%65.
Charakteristisch die Zeichenfolge "www" die mit drei "%77"-Folgen kodiert wird.
Diese Form der Kodierung wird vom Browser akzeptiert und intern interpretiert. |
Der @-Trick |
Spuren verwischen durch Kodierung verräterischer URLs |
spammer@123456789 Sollte die URL ein @-Zeichen enthalten, einfach alles was links davon
steht ignorieren. Dieser "Trick" wird meist verwendet um den unwissenden User zu verwirren.
Auch hier sind Mischformen mit anderen URL-Encoding Methoden denkbar. |
Forgery / Fälschen |
Spuren verwischen |
Email Header, speziell die Absenderadresse, ist in Spammails oftmals gefälscht, eine
Rückverfolgung kaum möglich. |
Personalisierte Nachrichten oder provokative Betreffzeilen |
Interesse erwecken durch vermeintlich "wichtige" Mitteilungen. |
Durch geschickt gewählte Betreffszeilen soll der User zum Lesen der Mails "verführt" werden.
Beispiele dafür wären:
"Lange nichts mehr von Dir gehört!"
"Sie werden beobachtet"
"Letzte Mahnung"
|
Hashbusters |
Austricksen von Anti-Spam Programmen. Umgehen von Header-Filtern und allgemeinen Wortfiltern. |
Zufällige Zeichen oder Zeichenketten werden in der Betreffszeile oder im Body der Mail verwendet und
umgehen so die Filterregeln von Anti-Spam-Programmen.
Beispiel: H/\RD P0rn, \/1rg1n 5EX
|
Schreibfehler |
Absichtlich eingebaute Schreibfehler sollen Content-Filter austricksen. |
Schlüsselworte wie Viagra oder Direktversand lassen Wort-Filter Alarm schlagen.
Doch durch gezielte Schreibfehler können diese Filter umgangen werden.
Beispiel: Viaggra, Direktversannd
|
Mime-kodierte Nachrichten |
Austricksen von Anti-Spam Programmen. Umgehen von Wortfiltern. |
Nachrichten im Body-Teil der Mail werden Mime-verschlüsselt. Mit dieser Vorgehensweise sollen wohl
vor allem Netzwerk basierende Anti-Spam Programme getäuscht werden. Man geht davon aus, dass die
Spam-Filter den Inhalt der Mail analysieren und wahrscheinlich nicht Mime-entschlüsseln (Dies
geschieht i.d.R erst beim Empfänger). Auf diese Weise wird nur ein unverfänglicher Zeichensalat
geprüft. |
HTML-Einfügungen |
Austricksen von Anti-Spam Programmen. Umgehen von Wortfiltern. |
Je nach Einstellung und dem verwendeten Mailclient oder Browser werden HTML-typische Notationen
verwendet, um Wortketten aufzubrechen und für Wortfilter unbrauchbar zu machen. Auf dem Bildschirm
werden diese nicht interpretierbaren Einfügungen ausgeblendet.
Beispiel:
Ero<asdsf>tische<dsdfa> Pho<dsfsa>tos
|
Beacon URLs / Rückmelder |
Gültige Adressen in Erfahrung bringen, um an diese später Spammails verschicken zu können |
Es gibt verschiedene raffinierte Methoden, um über HTML-Mails oder Websites an gültige Adressen zu kommen.
So kann schon durch das Nachladen von Grafiken die eigene E-Mail-Adresse an den entsprechenden
Server übermittelt werden, wenn der Aufruf über "anonymes FTP" realisiert wird. Ist in den Browser-Einstellungen
die eigene E-Mail Adresse vermerkt, könnte diese automatisch ausgelesen werden.
Beispiel: <IMG SRC="ftp://ftp.spamserver.de/grafik.gif" WIDTH="1" HEIGHT="1"> |
Unsubscribe Links |
Gültige Adressen in Erfahrung bringen, um an diese später Spammails verschicken zu können |
Hier wird dem Empfänger vorgegaukelt, in einer Mailingliste zu stehen. Um sich von
dieser Liste abzumelden, wird gebeten eine entsprechende Antwortmail zurück zu schicken.
Dies ist jedoch eine Falle. Die Mailingliste existiert nicht und eine Antwort bestätigt einem Adressensammler
nur die Gültigkeit der Adresse. Unbekannte Mailinglists-Anschreiben sind am besten sofort zu löschen. |
Bilderspam |
Mails mit unsinnigem oder neutralem Inhalt, werden mit Bildern versehen, in denen die Spam-Nachrichten sozusagen visualisiert sind. |
Mir dieser relativ neuen Masche wird versucht die Spamfilter zu umgehen, indem
Spamnachrichten in Bildern dargestellt werden. Inzwischen ziehen Hersteller von
Spamfiltern nach und statten ihre Produkte mit der Fähigkeit aus, Bildtexte auszulesen
und so darin enthaltenen Spam per Prüfsumme oder per OCR (optical character recognition),
wie sie bislang erfolgreich bei Scanneranwendungen zum Einsatz kommt, erkennen zu können. |
Verzerrter Bilderspam |
Um das Erkennen von Bilderspam zu umgehen, werden die Bilder so entstellt, dass momentan nur menschliche Intelligenz diese zu entziffern vermag. |
Das Verfahren mit Prüfsummen kann so umgangen werden, dass in einem automatisierten
Verfahren die erzeugten Spambilder mit minimalen Änderungen erzeugt werden. So kann es
ausreichen, einfach nur ein Pixel eines Bildes in einer anderen Farbe darzustellen, um die
Prüfsumme zu verändern. OCR-Verfahren werden mit Störeinflüssen und verzerrten Texten aus
dem Tritt gebracht. |
|
Anti-Spam Tools
|
Bisherige Tests weisen auf, das eigentlich keines der auf dem Markt erhältlichen Anti-Spam Tools
oder Plug-Ins in der Lage ist, 100% der ankommenden Spammails abzublocken oder im umgekehrten
Fall nicht in der Lage ist zu verhindern, sich mal einen oder gar mehrere Positivfehler zu
erlauben und eine reguläre Mail als Spammail einzuordnen. Zumindest aber erreichen einige
Produkte schon eine Zuverlässigkeit von über 95%.
Je nach Anforderung sind aber unterschiedliche Programme für den privaten Nutzer und für Nutzer eines
internen Netzwerkes aus unserer Sicht zu empfehlen. Für die uns zur Zeit bekannten Spamtricks
und den von uns bekannten Anti-Spam Tools bieten sich folgende für die folgenden Benutzergruppen
an:
Die Privatlösung
Für den einzelnen Heimanwender hat sich u.a. Thunderbird hervorgetan.
Ein Open-Source Mailclient, der leistungsfähige Mittel zur Ausfilterung von Spammails mit sich
bringt, keinen Cent kostet und nach entsprechendem Training des Bayes-Filters den
Benutzer sehr wirkungsvoll vor der Flut von Spammails schützen kann.
Thunderbird v1.4 - Leistungsmerkmale:
Hohe Portabilität (Windows 95, 98, NT, ME, 2000, XP, Linux, Mac OS X)
Beherrscht alle wichtigen Anti-Spam-Techniken
Effektiver Bayes-Filter (Sehr gute Lernleistung)
Zukunftssicher, da es ständig weiterentwickelt wird
Einfach in der Handhabung
Kostenlos erhältlich
Open Source
Die Firmenlösung
Mit der Aufgabe, einen effektiven Spamschutz für eine öffentliche Institution einzuführen,
wurden verschiedene Programme auf Effizienz und Wirtschaftlichkeit hin untersucht.
Dabei wurde vorausgesetzt, dass für die 150 Mitarbeiter Outlook 2000 (inzwischen auf
2003 migriert) als Mail-Client erhalten bleiben sollte.
Ein Teil der Spammails konnte schon auf Serverbasis vom verwendeten Antiviren-Schutz geblockt
werden, der zu seinem Funktionsumfang einen statischen Wortfilter und eine editierbare Blacklist
zählt und ausserdem angehängte Dateien mit bestimmten Endungen verbieten konnte.
Denoch lief noch ein bedeutend grosser Anteil an Spammails bei den Mitarbeitern ein. Die Lösung,
die als am komfortabelsten angesehen wurde, war die Verwendung eines Anti-Spam Plug-Ins. Outlook
2000 besitzt zwar Optionen, um Junk- bzw. Spammail abzublocken, jedoch sind diese recht rudimentär
und beschränken sich auf die Anwendung einer editierbaren Blacklist.
Ins Auge gefallen ist uns das SpamBayes Open-Source Projekt.
Unter Python programmiert, stellen die Entwickler ein Plug-In zur Verfügung, das mit Outlook 2000,
2002 und XP und 2003 arbeitet. Im Praxiseinsatz hat sich gezeigt, das Spambayes seine
Arbeit sehr gut erledigt. Es wird seit Jahren beständig weiterentwickelt und benötigt im
durchschnitt nur eine zweiwöchige Trainingsphase, bevor es sich selbstständig ans Werk
macht und erkannte Spammails automatisch in einen Spamordner verschiebt. Der
Anwender kann dann selbst entscheiden, ob und wann er den Spam-Ordner entleeren will.
Bei einer Deinstallation von SpamBayes sollte darauf geachtet werden, dass Outlook
nicht im Hintergrund laufen darf.
SpamBayes Outlook v1.0.4 - Leistungsmerkmale:
Hohe Portabilität (Windows 95, 98, NT, ME, 2000, XP)
Beherrscht alle wichtigen Anti-Spam-Techniken
Effektiver Bayes-Filter (sehr gute Lernleistung)
Relativ einfach in der Handhabung
Kostenlos erhältlich
Open Source
Wieso eigentlich nicht eine zentrale Lösung anwenden, die auf Server-Basis filtert?
Klingt gut und würde den Benutzern das Trainieren und Einordnen der jeweiligen Mails abnehmen.
Ein entsprechend trainierter Bayes-Filter kann aber unter Umständen nur für einen Benutzer effektiv
arbeiten. In einem Netzwerk, bei dem mehrere hundert Teilnehmer verschiedenste Arbeiten und
Themenschwerpunkte ausführen, können die jeweils benötigten Filter-Regeln stark variieren.
So empfangen Personal-Sachbearbeiter thematisch ganz andere Mails als technische Mitarbeiter,
wie etwa Administratoren. Leicht kann es da vorkommen, dass beispielsweise eine Mail mit einer
Auflistung an Krankheiten, die als Referenz für entsprechende Formulare gedacht war, als Spam
eingestuft wird, da die Vorgaben der technischen Mitarbeiter solche Themen nicht vorsehen und
leicht zu verwechseln sind mit Angaben aus Spammails für Gesundheitspillen oder Pornoangeboten.
Eine serverbasierte Lösung ist wohl nur für kleinere oder zumindest eher für thematisch
ähnlich arbeitende Betriebe zu empfehlen.
|
Regeln für E-Mail Clients
|
Um schadhaften Mails vorzubeugen, empfiehlt es sich, nach Möglichkeit folgende Regeln für
E-Mails Clients einzustellen.
Keine eingebetteten Grafiken automatisch landen
Keine JavaScripts oder anderen ausführbaren Code automatisch ausführen
Keine anderen Programme (wie beispielsweise Web-Browser) automatisch ausführen
Keine angefügten Dateien automatisch öffnen, oder überhaupt öffnen. (Stattdessen es so einstellen, dass die Datei irgendwo abgespeichert werden muss, um sie dann selbst auszuführen.)
Jegliche Netzwerk-Aktionen blocken oder bestätigen lassen, abgesehen von denen, um die Mail
von der eigenen Mailbox abzuholen oder Mails hinaus zu schicken. Dies bewahrt vor der Gefahr,
Opfen von sog. Beacon URLs oder anderen Mitteln zu werden, die Informationen an den Spammer
zurückschicken können.
|
Begriffe
|
Ham:
Umgangssprachlich für legitime Emails. Also das Gegenteil von Spammails.
Open (Third Party) Relay:
Mailserver, die ohne Authorisation Mails weiterleiten, egal von welcher Quelle sie herstammen.
UCE:
Steht für Unsolicited Commercial Email und bezeichnet eine unerwünschte Werbung, die man per E-Mail erhalten hat .
UBE:
Steht für Unsolicited Bulk Email und bezeichnet massenahft verschickte UCE.
MMF:
Steht für Make Money Fast und bezeichnet per E-Mail organisierte Schneeballsysteme oder Kettenbriefaktionen.
|
Bericht von : [ CONVEX ]
|
Überarbeitet von : -
|
|
|