Greylisting: Kostengünstige Spam-Abwehr
Schluss mit der Spam-Flut

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagementVirus

„27 von 28 geschäftlichen E-Mails sind Spam“, teilt das Mainzer IT-Sicherheitsunternehmen Sophos mit. Von April bis Juni 2008 kamen laut Sophos der größte Teil der unerwünschten E-Mails aus den USA, gefolgt von Russland, der Türkei, China und Brasilien. Spam-Filter versuchen mit Black- und Whitelisting Herr der Lage zu werden, haben es aber zunehmend schwerer. Eine vorgeschaltete Lösung bietet schnelle, verlässliche und kostengünstige Hilfe: Greylisting.

Spam-Bekämpfung ist unerlässlich

Ein Großteil der Spam-Mails wird über sogenannte Zombie-Computer verbreitet – oft ungeschütze Privat-PCs, die von Spammern gehackt wurden und von denen innerhalb kürzester Zeit massenhaft Mail-Müll verschickt wird. Für die Sicherheitsfirma Sophos steht außer Frage: Ein Unternehmen muss eine effektive Spam-Abwehr einsetzen, sonst „geht die Geschäftskorrespondenz per E-Mail von Kunden und Lieferanten in der Menge von Spam-Mails unter“, berichtet Senior Technology Consultant Jens Freitag. Daher auch die Empfehlung, „Sicherheits-Software regelmäßig zu aktualisieren und eine richtig konfigurierte Firewall einzurichten“.

Das leuchtet wohl jedem Geschäftsführer ein, der sein Unternehmen mit Spam konfrontiert sieht. Je nach vorhandener Infrastruktur gibt es allerdings unterschiedliche Ansätze bei der Spam-Abwehr. Meist wird ein entsprechend konfigurierter Mail-Server eingesetzt. Manche Unternehmen beschäftigen auch externe Dienstleister, die sogenannte E-Mail Management Services anbieten. Was viele nicht wissen: Mit dem sogenannten Greylisting kann man sich den meisten Spam günstig vom Hals halten.

           

        

        

Trotz scharfer Gesetze: Die USA sind Spitzenreiter der Spam-Produktion (Quelle: Sophos)

 


So funktioniert Spam

Virenscanner – unter Linux ist ClamAV verbreitet – verweigern die Mail-Annahme, wenn Trojaner, Würmer oder Viren in der Mail entdeckt werden. Spam-Filter wie Spamassassin prüfen die Mail auf Inhalt und gleichen den Absender mit schwarzen oder weißen Listen ab, etwa von Spamcop.net, Spamhaus.org oder TrendMicro.

Die Schwelle, ab der ein Spam-Filter Mails verweigert, muss der Mail-Server-Administrator einstellen. Legt er sie zu hoch an, werden viele Mails abgewiesen. Ist die Hürde zu niedrig, landet zu viel Müll im Postfach. Die Folge: Der Benutzer ist sauer, weil immer noch viel Spam bei ihm ankommt und er nachträglich filtern muss.

Spam wird meist mit Hilfe sogenannter Ratware verschickt; das sind Programme mit einem reduzierten SMTP-Befehlssatz (SMTP = Simple Mail Transfer Protocol), die auf schnellen Mail-Versand getrimmt sind. Dauert die Kommunikation mit einem Mail-Server zu lang oder kommen Rückfragen, bricht die Ratware oftmals die Verbindung ab.

                           

Spam-Filter: Spamassassin ist inzwischen ein Projekt des Webserver-Herstellers Apache.

 

 


Eigene Lösung mit Greylisting

Genau das macht sich die Greylisting-Methode zunutze. Greylisting kommt vor dem Spam- oder Virenfilter auf dem Mail-Server zum Einsatz. Es lehnt Mails zunächst ab, wenn es nicht schon früher zum Mail-Kontakt kam. Der sendende Server versucht es – sofern er korrekt konfiguriert ist – später noch einmal. Ratware wartet hingegen die Verzögerung (üblich sind zehn oder mehr Minuten) meist nicht ab und zieht erfolglos zur nächsten Mail-Adresse in seiner Spam-Liste weiter. Der Vorteil dieser Technik: Es wird sehr viel Spam abgeblockt, aber fast keine falschen Positive.

Greylisting setzt allerdings einen Mail-Server voraus, der direkt ans Internet angeschlossen ist. Denn Mails werden auf SMTP-Ebene abgewiesen, weil dort direkter Kontakt zum sendenden Rechner besteht. Eine solche Lösung lässt sich unter Debian GNU/Linux relativ einfach realisieren. Als Mail-Server dient Exim, das Greylisting besorgt der Daemon greylistd, der in der Datei /etc/greylistd/config konfiguriert wird.

Wie das Paket in Exim eingebunden ist, steht zum Beispiel in Howto für Ubuntu, eine auf Debian abgestimmte Version ist hier zu finden. Wie unter Debian üblich, gibt es meist noch eine spezielle Dokumentation – für greylistd steht die in der Datei /usr/share/doc/greylistd/README.Debian.

                 

Log-Datei des Mail-Servers: Ratware bricht den Kontakt schon oft ab, wenn die Mail das erste Mal zurückgewiesen wurde.