Spam-Detektive
Neue Antispam-Technologien

DeveloperIT-ProjekteSicherheitSoftwareVirus

Schluss mit Spam. Mit der neuen Technologie Sender Policy Framework können Sie lästigen Spam-Versendern das üble Handwerk legen.

Kampf gegen Spam

Spam-Detektive

Das neue Antispam-Gesetz wird genervten Mail-Nutzern kaum Erleichterung bringen. Das prognostizieren große Branchenverbände wie der
DMMV
. Technisch bringt der Kampf gegen Spam am meisten, wenn er direkt am Mail-Gateway geführt wird, also zum Beispiel bei den Webmail-Providern wie Hotmail, GMX und Web.de. Diese setzen bereits gezielt Spamfilter ein, etwa Echtzeit-Blacklists und selbstlernende Filter. Hotmail filtert damit derzeit etwa 83 Prozent der ankommenden E-Mails als Spam aus. Jetzt legen die ersten Mail-Provider mit der neuen Technologie Sender Policy Framework (SPF) nach. Den Anfang machen AOL und GMX.


Absender-Identifizierung

Spam-Detektive

Sender Policy Framework prüft, ob die Adresse des Absender-Mailservers zur angeblichen Mailadresse des Versenders passt. Meist nutzen Spammer nämlich erfundene oder gestohlene Mailadressen. Genau das deckt SPF auf. Das SMTP-Mailprotokoll sieht prinzipiell keine Authentisierung des Absenders vor. Einträge im Header-Feld From werden daher von Spammern sehr oft gefälscht.

Seit kurzem wird daher das SPF-Verfahren, entwickelt vom Techniker Meng W. Wong, schrittweise umgesetzt. Moderne Mailserver und auch Spamfilter wie etwa Spam Assassin in der neuesten Version verifizieren per DNS-Anfrage die Gültigkeit der einliefernden Mailadresse. Wenn beispielsweise als Absender spammer@hot mail.com eingetragen ist, kann eine DNS-Anfrage an hot mail.com gestartet werden. Der entsprechend konfigurierte DNS-Server liefert in seiner Antwort im erweiterten TXT-Record eine Liste von IP-Adressen, über die Hotmail üblicherweise Mails versendet. Ist die IP-Adresse des Absenders nicht darunter, dann steht fest: Die Mail wurde nicht von einem Hotmail-Server versendet und ist aus diesem Grund als Spam einzustufen.


Krieg der Mailserver

Spam-Detektive

Vorerst setzt lediglich eine Minderheit der Webmailer SPF ein. Viele andere Mailserver weisen hingegen geradezu groteske Sicherheitslücken auf. Schlecht konfigurierte offene Mail-Relay-Server sind deshalb bei Spammern sehr beliebt. Denn diese leiten eingelieferte Mails ohne eine Rückfrage oder Identitätsprüfung weiter.

Was früher als Ausfallsicherung für benachbarte Mailserver sinnvoll war, wird heute rücksichtslos von Massenmail-Versendern missbraucht. Bekannte IPs von Spammern oder offenen Mail-Relay-Servern landen infolgedessen auf
DNS-Realtime-Blackhole-Lists
(DNS-RBLs). Deren Listen nutzen sicher konfigurierte Zwischenstationen (MTAs, Mail Transport Agents) sowie Antispam-Lösungen zur Blockade der Domains.

Manche Firmen mit hohem Mail-Aufkommen setzen zur Entlastung ihrer Gateway-Rechner auf gesonderte Antispam-Hardware wie die von
Projektfarm
oder Borderware, um Echtzeit-Content-Filtering und Abgleiche mit den Blacklists durchzuführen.

Die Blockade der Spam-Server artet aber oft in ein Katz-und-Maus-Spiel aus. Sobald nämlich die IP-Adresse des Spammers oder die des missbrauchten Relay-Servers bekannt ist und auf den Blacklists auftaucht, nutzt der Übeltäter meist zum Spammen schon einen anderen Server.


Spammer in die Falle locken

Spam-Detektive

Homepage-Besitzer mit PHP-fähigem Server können sogar eigenhändig Spammern eine Falle stellen, indem sie folgende Zeile in ihre Webseite einfügen: "?>.

Der Eintrag ihredomain.de ist entsprechend den eigenen Server-Daten anzupassen. In diesen Kommentar baut der Webserver beim Aufrufen der Webseite die IP-Adresse und die Besuchszeit des Harvesters in eine künstliche Mailadresse ein. Diese wird vom Harvester eingesammelt und für Spams benutzt.

Über einen so genannten Catch-All-Email-Account können nun die Mails an die Tracking-Mailadressen ausgewertet werden. Im Empfängerfeld der Spam-Mails befinden sich ab sofort im Klartext die Serverdaten und die IP-Adresse vom Harvester des Spammers. Eine Beschwerde an dessen Provider kann zum Abklemmen des Anschlusses führen. Der Massenmailer muss sich dann einen neuen Provider suchen.


Den Spammern auf der Spur

Spam-Detektive

Bei der Header-Analyse einer Spam-Mail finden sich die missbrauchten offenen Spam-Relay-Server zumeist als erstes Glied in der Kette der Received-Einträge. Dieser Server findet sich im untersten Eintrag, da die MTAs ihre Ergänzungen am Anfang der Datei vornehmen. Doch Vorsicht: Auch Received-Einträge können ebenso wie der From-Eintrag von Spammern gefälscht werden. Gelegentlich wird ein solcher Eintrag bereits vor der Auslieferung der Mail von der Software des Spammers eingetragen ? zumeist mit Servernamen von Unbeteiligten, die dann als Spam-Verursacher angesehen werden. Das Programm eMail Tracker Pro von
Visualware
erkennt durch Rückwärtsauflösung solche falschen Einträge in den Received-Zeilen.


Beschweren ? aber richtig

Spam-Detektive

Genervte Junkmail-Empfänger können sich auch beim Hersteller des in der Werbemail angepriesenen Produkts beschweren. Allerdings wird es schwierig sein, zum Beispiel den Hersteller des vor allem via Spam vertriebenen Pu-Erh-Tees ausfindig zu machen. Erfolgversprechender ist eine Beschwerde beim Provider des Absenders.

Der Dienst
www.abuse.net
führt eine Datenbank mit Beschwerde-Adressen von Providern. Eine E-Mail an provider@abuse.net (etwa hot mail.com@abuse.net) wird automatisch an die passenden Beschwerde-Adressen weitergeleitet. Bei Providern, die nicht reagieren, geht eine Kopie der Beschwerde an den Backbone-Betreiber dieses Providers, was zu Vertragsstrafen und einem Kappen der Leitungen führen kann.

Falls auf keine der genannten Weisen eine Antwort erfolgt, kann der genervte Anwender sich an den Admin-C (Administrator) der Domain wenden. Mittels Whois-Abfrage wie etwa unter
www.canufly.net/~georg egg/dns
lässt sich dessen Adresse und Telefonnummer herausfinden.


Schutz vor Adress-Sammlern

Spam-Detektive

Viele User gehen zu freigebig mit ihrer Mailadresse um und ärgern sich dann über Post von Webseiten, auf denen sie ihre Daten eingegeben haben. Dabei gilt dies noch nicht einmal als Spammen. Alternativ lassen sich hier auch Wegwerf-Mailadressen wie etwa von
Spamgourmet
angeben. Dieser Dienst ermöglicht die Angabe einer temporären Adresse, die bis zu 20 Mails an die echte Mailadresse weiterleitet. Danach verfällt sie und kann von Spammern nicht mehr genutzt werden. Ein ähnlicher Dienst, der die Mailadressen nach Datum verfallen lässt, findet sich unter
www.centermail.com
.

Web-Harvester wie etwa von
www.viewsmartz.com
durchforsten für die Spammer Webseiten nach Mailadressen. Homepage-Besitzer stehen damit vor dem Problem, ihre E-Mail-Adresse im Web zu publizieren, sie aber gleichzeitig vor den Harvestern zu verbergen. Wine wirksame Möglichkeit, seine Mailadresse zu verbergen, ist die Verwendung von Grafiken oder kleinen Flash-Filmen, die lediglich die Mailadresse anzeigen. Flash-Dateien können sogar klickbar gemacht werden, wobei die Mailadresse in die Datei eincodiert wird. Diese können die Spammer-Harvester noch nicht durchsuchen.

Wirkungslos ist jedoch der Ansatz, die Harvester mit Zufalls-Mailadressen überfüttern zu wolle. Da die Spammer zufällig erzeugte Mailadressen verwenden, die Domänen per DNS-Abfrage überprüfen, ist dies nur ein Tropfen auf dem heißen Stein. Im Gegenteil: Werden zufällig gültige Mailadressen erzeugt, hilft das dem Übeltäter sogar