OpenBSD verfügt mit Spamd über eine mächtige Waffe im Kampf gegen Müllmails. Statt nur passiv zu filtern lockt es Spammer gezielt an und stiehlt ihnen wertvolle Ressourcen. Das Duo setzt mehrere bekannte Techniken in neuer Kombination ein, um Netzwerke vor Spam zu schützen.

Paketfilter sorgt für Ruhe

Verbindungsversuche von IP-Adressen, die in der Tabelle »spamd-white« gespeichert sind und somit ihre Legitimität bereits bewiesen haben, leitet der PF performant ohne Umweg über Spamd direkt durch (Zeile 2). Im Normalfall ist das Ziel dann ein MX, der die Mail zur Auslieferung entgegennimmt. Das Keyword »egress« ersetzt die Angabe eines statischen Interface und zeigt stattdessen auf jenes mit der Defaultroute.

Zeile 3 biegt alle Zustellversuche nicht bekannter IPs auf den Spamd-Daemon um, der sich als Pseudo-MTA zu erkennen gibt (Listing 2). Die restlichen Regeln definieren eine klassische, minimale Firewall: Alles darf raus, nichts darf rein, außer SMTP und ICMP. Den Paketfilter lädt der Administrator mit Regeln und aktiviert ihn:

sudo pfctl -f /etc/pf.conf
sudo pfctl -e

Anschließend aktiviert er den Spamd und die zugehörige Protokollierung:

sudo /usr/libexec/spamd
sudo /usr/libexec/spamlogd

Spamd lauscht auf Port 8025 und verhält sich fast wie ein richtiger MTA. Standardmäßig arbeitet er bereits im Greylisting-Modus, was die Angabe weiterer Optionen überflüssig macht. Spamd ließe sich auch im reinen Blacklist-Modus betreiben, die Manpage »spamd(8)« gibt Aufschluss über alle optionalen Parameter. Dem aufmerksamen Admin entgeht nicht, dass die Prozesstabelle mehrere Spamd-Daemons listet (Abbildung 3). Keiner läuft als Root, was dem OpenBSD-Anspruch "Secure by default" [6] folgt: Nur die notwendigsten Codeteile laufen priviligiert (Privilege Separation). Wer in »/etc/rc.conf.local« die Einträge

pf=
spamd_flags=
spamlogd_flags=

schreibt, sorgt dafür, dass alle Dienste auch nach einem Reboot wieder neu starten. Anders als Linux bildet BSD seine Rechtestruktur nicht durch Runlevel ab.

Abbildung 3: Mehrere Spamd-Prozesse teilen sich die Arbeit. Dem BSD-Prinzip des „Least Privilege“ folgend, benötigen sie dafür keine Root-Rechte.

Immer mit der Ruhe

Jede auf Spamd umgeleitete und damit anfangs unbekannte Verbindung durchläuft zunächst eine Stotterphase (Stuttering). Während des SMTP-Dialogs antwortet Spamd 10 Sekunden lang mit einer Geschwindigkeit von 1 Byte pro Sekunde und stiehlt dem Versender wertvolle Ressourcen. Die Folge: Die Verzögerung kostet die Spammer Zeit, sodass etwa ein Sechstel aller Anfrager bereits in dieser Phase entnervt aufgibt. Spammer werden nämlich nicht für den Zustellversuch, sondern pro erfolgreicher Zustellung bezahlt. Je länger diese dauert, desto geringer fällt der Verdienst aus.

Legitime SMTP-Server lassen sich durch die Verzögerung nicht beirren, da sie ihnen im Vergleich zu Spammern keinen finanziellen Verlust verursacht. Abgebrochene Verbindungen behandelt Spamd nicht gesondert in einer Blacklist, denn sollte sich die IP erneut verbinden, muss sie sich sowieso erneut durchstottern.

Sie können diesen Artikel als PDF für 99 Cent kaufen. Klicken Sie dazu einfach auf eine der beiden Bezahloptionen Paypal oder ClickandBuy.

OpenBSD verfügt mit Spamd über eine mächtige Waffe im Kampf gegen Müllmails. Statt nur passiv zu filtern lockt es Spammer gezielt an und stiehlt ihnen wertvolle Ressourcen. Das Duo setzt mehrere bekannte Techniken in neuer Kombination ein, um Netzwerke vor Spam zu schützen.