Postscreen weist Spam-Mails Ressourcen schonend ab

Einen sehr großen Teil des heutigen Spam verschicken gekaperte Windows-Rechner, auf denen sich Schadsoftware eingenistet hat. Ohne Zutun und Wissen der Nutzer versenden die Spambots oder Zombies genannten Maschinen eine Flut unerwünschter Werbe-Nachrichten. Experten von Symantec haben ermittelt, dass 95 Prozent des weltweiten Spam-Aufkommens aus Botnetzen kommt – Tendenz steigend [1].

Ein Türsteher für Postfix

Auch die Postifx-Entwickler um Mastermind Wietse Venema haben die Zeichen der Zeit erkannt: Der Kampf gegen Spam mutiert zunehmend zu einem gegen Zombies (Abbildung 1, [2]). In der neuen Postfix-Version 2.8 [3] erhalten Admins jetzt mit Postscreen einen intelligenten Türsteher, der Nachrichten von Spambots einfach und zuverlässig erkennt und aussortiert. Herkömmliche Spamfilter wie das populäre Spamassassin greifen dagegen erst viel später in die Verarbeitung der Nachrichten ein.

Abbildung 1: Postfix-Entwickler Wietse Venema erklärt in einer IBM-Präsentation, wie die Zombie-Angriffe den Mailserver an der Arbeit hindern. 95 Prozent des Spam kommen aus Botnetzen.

Zu diesem Zeitpunkt haben die unerwünschten Nachrichten bereits wertvolle Systemressourcen verbraucht, denn die Volltextanalyse aller Mails, wie sie Spamassassin vornimmt, ist sehr rechenintensiv. Am Ende verbringt ein Mailserver mehr Zeit damit, unerwünschte Nachrichten nicht zuzustellen, als damit, legitime Post zu ihren Empfängern zu transportieren. Zudem erreichen viele Filter ihre volle Leistungsfähigkeit erst, wenn der Admin sie mit einer ausreichend großen Anzahl unerwünschter Nachrichten trainiert hat. Postscreen hingegen versucht Spambots und Zombies schon anhand einer einzigen gesendeten Nachricht zu erkennen.

Ab und zu ist das Ziel der Angreifer auch gar nicht das Versenden von Spam, sondern das Auslösen eines Denial of Service: In der Standardkonfiguration lässt Postfix maximal 100 Instanzen des SMTP-Daemon »smtpd« zu. Da jede davon immer genau eine Mail verarbeiten kann, ist die Anzahl gleichzeitiger Verbindungen ebenfalls auf 100 beschränkt. Weitere Anfragen weist der Server ab. Gemäß RFC 5321 [4] muss ein Client dann fünf Minuten warten, bevor ihn der Server wieder bedient. Selbst wenn der Administrator die maximale Anzahl der Smtpd-Instanzen erhöht, können Angreifer einen Server dauerhaft blockieren.

Lauert aber Postscreen vor dem Smtpd, lauscht Letzterer nur noch auf dem Submission-Port 587, während Postscreen auf Port 25 eingehende Nachrichten annimmt und via Submission an Smtpd übergibt. Auch mit Postscreen ist eine Denial-of-Service-Attacke zwar prinzipiell nicht ausgeschlossen, aber sie lässt sich mit wesentlich weniger Ressourcen abwehren, da eine einzige Instanz von Postscreen viele eingehende SMTP-Verbindungen gleichzeitig verarbeiten kann. Es bleiben also mehr Smtpd-Prozesse übrig, die ihrer eigentlichen Aufgabe nachkommen können.

Am besten immer schön der Reihe nach

Ziel von Postscreen ist es, Spam so früh und so einfach wie möglich auszusortieren. Das heißt, die Filterung sollte am Anfang des Prozesses stehen, die Tests geraten erst stufenweise aufwändiger: Zuerst führt das Programm die einfachen und schnellen Tests aus, erst später die aufwändigen und rechenintensiven. Jeder Schritt hilft so, das Spam-Aufkommen zu reduzieren. Im ersten Schritt fragt Postscreen Listen schlechter und guter Clients ab, so genannte Black- und Whitelists. Anschließend findet eine Prüfung auf Verletzungen des SMTP-Protokolls statt, die typisch für Zombies und Spambots sind. Im dritten Schritt kann der Admin noch tiefer gehende Protokolltests aktivieren. Trotzdem zählt Postscreen nicht zu den Mailfiltern im eigentlichen Sinne, denn es ignoriert den Inhalt der Nachrichten komplett.