IT Security
Port 25 muss kontrolliert werden
IT Security
Die meisten Viren und Würmer verbreiten sich durch E-Mail und reisen mit dem ganzen Spam mit. Für Malware ist das eine besonders effektive Route; oft wird dabei mit der menschlichen Psychologie gespielt. Von “I love you” bis “Bin Laden captured” wissen die Virenverbreiter genau, was uns zum Klicken bringt.
Wie werden diese E-Mails überhaupt versandt? Früher hakten sie sich in den E-mail-Client des Users ein, aber heutzutage sind E-Mail-Clienst besser geschützt und nur wenige erfolgreiche Würmer gehen diesen Weg. Stattdessen installieren sie ihre eigenen SMTP-Engines und umgehen den Mittelsmann. Sobald er sicher installiert ist, kann ein solcher Wurm zum Beispiel ein riesiges Volumen von Nachrichten über einen PC mit Breitbandanschluss verschicken.
Daran wurde ich kürzlich auf unangenehme Art und Weise erinnert, als ein solcher Rechner begann, Tausenden von Nachrichten mit meiner E-Mail-Adresse als gefälschtem Absender zu verschicken. Sapm-Filter können echte Nachrichten falsch identifizieren, weshalb ich meine ganze E-Mail in Augenschein nahm. Ich erhielt etwa 2000 Viren-Nachrichten in der Stunde. Die Header identifizierten den Ursprung des Problems, einen Rechner im Netzwerk eines großen und sehr renommierten ISPs in Großbritannien.
Ich schickte eine E-Mail an die Beschwerdeabteilung und erhielt die Antwort, dass der betroffene User zwar informiert werde, dass aber in den nächsten 24 Stunden nichts unternommen werde.
In welchem Maße ist der ISP, und nicht der Endnutzer, für diese Art von Missbrauch verantwortlich?
Letztlich wurde das Problem schneller gelöst, wobei ich nie erfahren werde, ob meine entrüsteten Proteste das Verfahren beschleunigt haben. Der Vorfall wirft eine Frage auf: In welchem Maße ist der ISP, und nicht der Endnutzer, für diese Art von Missbrauch verantwortlich? Schließlich benötigen die meisten User keinen Postausgang auf Port 25, außer zum eigenen Mail-Server des ISPs. Auch in einem internen Netzwerk unterbinden verantwortungsbewusste Administratoren den Postausgang über Port 25 auf allen Rechnern, die keine Mail-Server sind. Es ist nicht möglich, diese Praxis bei jedem User durchzusetzen, würden aber die großen ISPs etwas unternehmen, um die Nutzung dieses Ports bei ihren Usern zu beschränken, käme es zu einem sofortigen Rückgang des Malware-Verkehrs.
Einige ISPs verfolgen übrigens bereits diese Politik. Jonathan Lambeth von AOL hat mich informiert, dass “sämtlicher Traffic über Port 25 durch unsere Mail-Server umgeleitet, überwacht und blockiert wird, wenn er von Viren befallen ist”. Wenn Kunden Ausgangsverkehr über Port 25 aus legitimen Gründen benötigen, werden sie auf Antrag auf eine Weiße Liste gesetzt. Ich finde es bemerkenswert, dass ausgerechnet AOL, früher bekannt als Mutter aller Spammer, in diesem Fall die richtige Politik fährt.
Auf der Client-Seite erwarten viele User von Windows XP auf das endgültige Release von Service Pack 2, das mit neuen Sicherheitsfunktionen beladen ist. Wird das Programm verhindern, dass Würmer E-Mails ausspucken? Wahrscheinlich nicht. Entgegen allen Gerüchten blockiert SP2 keinen abgehenden Traffic. Das Missverständnis rührt daher, dass SP2 eine Weiße Liste mit Anwendungen führt, was so aussieht, als würden Verbindungen nach draußen überwacht. Diese Weiße Liste beschränkt allerdings die Anwendungen, die auf eingehende Verbindungen hören, und nicht diejenigen, die Verbindungen nach außen initiieren können. Das ist ein wichtiger Sicherheitsdienst, aber leider ist Microsoft nicht so weit gegangen, den abgehenden Traffic zu blockieren.
Andererseits ist es nach der Installation eines Wurms egal, welche Personal Firewall man nutzt, vor allem, weil so viele Windows-User lokale Administrator-Rechte haben. Die Sicherheitspolitik muss an anderer Stelle durchgesetzt werden.