Seit Spammer immun gegen das einstige Wundermittel Greylisting sind, suchen Mailadmins nach neuen Wirkstoffen, um die Dreckschleudern bereits vor der Mailzustellung zu bekämpfen. Das Linux-Magazin stellt zwei neue Techniken vor, die Spammer geduldig in die Flucht treiben.
Rund 90 Prozent aller E-Mails sind unerwünscht. Spamfilter versuchen diese Flut einzudämmen. Sie arbeiten allerdings ungenau und in einer juristischen Grauzone, da sie bereits zugestellten Müll mühsam sortieren. Viel cleverer ist es, Spammer bereits am Einliefern zu hindern. Lange Zeit galt Greylisting [1] als mögliche Lösung, es nutzt typische Verhaltensmuster der Spammer im SMTP-Verkehr. Leider hat Greylisting heftige Nebenwirkungen und ist inzwischen wirkungslos, da sich die Müllverteiler angepasst haben.
Das macht neue Verfahren nötig, die Spammer beim Versenden empfindlich stören, jedoch juristisch und technisch unbedenklich arbeiten. Die zweite Hälfte dieses Artikels stellt eine solche Technik vor, die bis zu 80 Prozent des Mülls von den eigenen Server fernhält. Die erste Hälfte widmet sich dem Verifizieren und Sammeln von Adressen (siehe Kasten "Adressenquellen") und greift damit noch einen Schritt früher. E-Mail-Anschriften zu prüfen lohnt sich für Mailschleudern, weil viele Adressen nur kurze Zeit gelten.
Beispielsweise verfällt zum Ende des Studiums die E-Mail-Adresse an der Hochschule, mit den neuen Bachelor-Studiengängen schon nach drei Jahren. Ähnliches gilt in der Berufswelt. Wer den Job wechselt, verliert seine E-Mail-Adresse, das passiert im Schnitt alle vier bis fünf Jahre. Auch die Lebensdauer privater Adressen ist endlich, zum Beispiel weil viele User ihren Account deaktivieren, wenn zu viel Spam eintrifft oder weil ihre Webmail-Adresse während eines längeren Urlaubs verfällt [7]. Pro Jahr werden daher geschätzte 20 bis 30 Prozent der E-Mail-Adressen, die ein Spammer gesammelt hat, ungültig.
Je schneller Spammer ihre Werbung verbreiten und je weniger falsche Adressen sie beliefern, umso besser für sie. Das spart Kosten und verschafft ihnen im Wettlauf mit den Spamfiltern einen Zeitvorteil. Sie profitieren daher von E-Mail-Verifikatoren. Diese meist kostenlosen Tools verbinden sich zu dem SMTP-Server (Abbildung 1), der für die Empfängerdomain zuständigen ist, und senden jede zu testende Adresse als Envelope-To. Der Server reagiert in der Regel sofort mit einer Fehlermeldung, falls eine Adresse nicht existiert.
Abbildung 1: Im normalen E-Mail-Verkehr begrüßen sich Server und Client zunächst («Greeting» und «HELO»), danach teilt der Client die Envelope-From- und die To-Adressen mit. Sind diese gültig, antwortet der Server mit «250 Accepted» und der Client schickt den Mailinhalt.
Statt nur bekannte Adressen zu verifizieren, raten Spammer auch. Zum Beispiel mit Hilfe einer Telefonbuch-CD, aus der sie alle Kombinationen aus Vor- und Nachname gegen die großen Provider laufen lassen. Dagegen könnte helfen, sich eine kryptische Adresse zu wählen. Allerdings behindert das die Kommunikation sehr. Günstiger wäre es, automatische Tests zu erschweren.
Wie das geht, ist hinlänglich bekannt - nach einer festen Zahl von Fehlversuchen den Dienst einstellen. Wer je am Geldautomaten dreimal die falsche PIN eingegeben hat, kennt aber auch die lästigen Nebenwirkungen. Auf Rechner übertragen hieße es, die IP des Testers auf eine schwarze Liste zu setzen und künftig jeden Verbindungsversuch von dort zu blockieren. Dumm nur, dass auch seriöse Versender gelegentlich falsche oder veraltete Adressen erwischen.
Vom Login an einem Rechner bekannt ist die Idee, die Ausgabe der Fehlermeldung mit jeder falschen Eingabe mehr zu verzögern. Das bremst einen Brute-Force-Angriff erheblich und macht ihn unattraktiv: Brute Force heißt wenig Hirn, aber viele Versuche. Deren Schnelligkeit hängt primär von der Netzwerkbandbreite ab. Auf dem lokalen Rechner gelingt es, 25 000 Adressen pro Minute zu verifizieren. Das muss jedoch nicht sein (siehe Abbildung 2).
Abbildung 2: Statt jede Antwort sofort zu liefern, kann sich ein Spam-geplagter Empfänger Zeit lassen und so das Verifizieren von Mailadressen erschweren. Wie langsam er reagiert, hängt vom Verhältnis falscher zu korrekten Adressen ab.
Doch auch hier gilt es, seriöse Versender von Massenmails zu schützen. Ein näher untersuchter Newsletter eines DAX30-Unternehmens, das noch nicht durch Spamming aufgefallen ist, kommt im Mittel pro monatlicher Aussendung auf drei bis vier Prozent falsche Zieladressen [3]. Meist hat der Empfänger seinen Account terminiert, ohne den Newsletter abzumelden. Besagter Newsletter hat bei den neun meistgenutzten Providern 1,4 Millionen Empfänger, das sind 40 Prozent seines Gesamtvolumens.
Der am häufigsten genutzte Provider allein ist für 323 000 Empfänger zuständig. Da sind vier Prozent falsche schon 12 920 Adressaten. Jede Fehlermeldung um eine Sekunde verzögert auszugeben, würde die Versandzeit allein bei diesem Provider um 3,5 Stunden verlängern.
Dazu kommt, dass es unsinnig wäre, nur bei falschen Adressen eine Verzögerung einzubauen. Dann könnten Spammer durch simple Zeitmessungen vorhersagen, ob eine Adresse gültig ist oder nicht. Im Beispiel würde sich die Versandzeit auf stolze 3,75 Tage verlängern, wenn der Provider jede Einlieferung (egal ob gültig oder nicht) um eine Sekunde verzögerte. Das ist nicht zumutbar und schädigt den Falschen.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
