© photocase.com

Manches Spam-Opfer hat den Hals so gestrichen voll, dass es zur Gegenwehr greifen und die Kommunikation der Müllversender blockieren will. Zur Wahl stehen die Verbindungen der Harvester (Adressensammler) und Bulkmailer (Spamschleudern). Doch nicht jede Maßnahme greift.

Spammer haben es leicht. Sie kommen problemlos an Massen von E-Mail-Adressen, ihr Harvester muss nur das Web abgrasen. Neben dem im Artikel zur Spam-Prävention vorgestellten Versteckspiel schlagen manche Opfer eine deutlich härtere Gangart ein und wehren sich mit Teergruben. Die locken Harvester erst an, um sie dann in eine Falle zu sperren. Eine automatisch generierte Webseite verweist unter verschiedenen URLs immer wieder auf sich selbst, wodurch sie die Liste der zu besuchenden Seiten des Harvesters mit Teergruben-URLs verseucht (Abbildung 1).

Abbildung 1: HTTP-Teergruben sollen die Harvester ärgern. Diese Adressensammler ziehen E-Mail-Daten aus Webseiten und verfolgen auf ihrer Jagd jeden Link. Aber gut präparierte Fallen führen sie über Tage in die Irre.

Je häufiger der Harvester in die Falle tappt, desto mehr vergiftete Links hält er in seiner Liste. Idealerweise füllt sich die Linkliste komplett mit Teergrubenlinks. Dazu muss die Falle mehr Links auf sich selbst ausliefern als eine durchschnittliche Webseite. Um diesen Wert zu ermitteln, hat der Autor einen Mini-Spider entwickelt und über 23 000 Seiten gejagt. Es zeigte sich, dass in der untersuchten Web-Stichprobe im Mittel jede Seite 6,4 neue Links anbietet.

Die in [1] vorgestellte Teergrube liefert 20 neue Links pro Seite aus und damit das Dreifache des Durchschnitts, daher steht mit jeder Runde ein größerer Anteil Teerfallen-Links in der Besuchsliste des Harvesters. Das gilt selbst für verteilte, parallel arbeitende Sammler.

Harvester in der Grube

Die einzige Chance der Harvester wäre, sich mit jeder Domäne nur eine begrenzte Zeit zu beschäftigen. Damit würden sie aber auch Mailadressen in echten Sites übersehen und gegen einen großen Verbund von Websites mit Teergruben wäre selbst die vorsichtigste Taktik hilflos. Je mehr Website-Betreiber Teergruben aufstellen, desto schwerer haben es Spammer. Die im Linux-Magazin vorgestellte Software [1] funktioniert auf den meisten Servern, sie ist in PHP geschrieben und vermeidet Überlastung.

Praktische Versuche mit ihr zeigen, dass die Grube einen Harvester problemlos über mehrere Tage festsetzt. Damit ist das Prinzip der HTTP-Teergrube effektiv. Die aktuelle Planung ist, an den Tarnkappen der Grube weiter zu feilen und sie für verteilten Einsatz zu rüsten, bei dem sich Sites gegenseitig verlinken.

Spammen geht schnell

Spam lohnt für die Versender nur, weil der Versand seiner Massenmails so schnell abläuft und nichts kostet. Genau gegen das Kostenargument gab es manchen Vorschlag, für E-Mails eine Art Briefmarke zu fordern. Egal ob in Form von Rechenzeit oder tatsächlichem Geld, die Idee stößt auf verständlichen Widerstand, weil das virtuelle Porto auch reguläre Mailanwender trifft.

IT-Kosten verursacht auch, wer die Datenübertragung der Spamschleudern bremst. Dahinter steht die Hoffnung, dass es für den Sender unattraktiv wird, Spam so langsam zu versenden. Das sollen SMTP-Teergruben leisten. Manche dienen dem Eigenschutz, andere wollen das ganze Internet vor Spammern erlösen. Diese heroische Gruppe nimmt Mails von Spammern bereitwillig entgegen. Ihre SMTP-Teergruben stehen als MX-Eintrag für eine Domain oder Subdomain, deren Betreiber zwar wild E-Mail-Adressen publizieren, die aber kein Mensch benutzt.

Jede Mail an eine dieser Adressen sollte Spam sein. Zwar berichtete auf der Spam Conference 2006 Giovanni Donelli [2], dass er auf Honeypot-Mailadressen, die er zum Test seines kollaborativen Spamfilters auf Webseiten ausgebracht hatte, auch Ham-Mails erhalten habe, allerdings scheint das eher eine Frage der Darstellung der Mailadressen zu sein. Die dürfen nur Spammer in die Irre führen, für Menschen müssen sie klar als Unfug erkennbar sein.

Weltverbesserer

Standalone-SMTP-Teergruben wie Smtarpit [3] wollen das Internet vor Spammern retten. Landet einer beim Versand seines Werbemülls in einer SMTP-Teergrube, dann bleibt er dort erst mal die nächsten Tage oder Wochen gefangen, weil, so die Annahme, die Teergrube seinen Versand blockiert.

Hier liegt aber der Denkfehler: Moderne Bulkmailer sind Multi-Threading- oder Multi-Tasking-Anwendungen. Sie verbinden sich auf mehrere Mailserver gleichzeitig und liefern auf jedem ihren Müll ab. Ist eines der Ziele eine Teergrube, bremst sie nur die eine Verbindung. Das stört in aller Regel wenig, da ein Client von jedem High-Port aus eine ausgehende Verbindung zu einem SMTP-Server schalten kann. Es stehen über 64 000 High-Ports zur Verfügung. Pro Verbindung kann der Bulkmailer zudem beliebig viele Mails ausliefern.

Jede Teergrube bremst nur eine der 64 000 möglichen Verbindungen. Alle anderen Mailserver kann der Spammer problemlos belästigen, der Schaden bei ihm selbst ist vernachlässigbar. Auch das Argument der Verfechter, dass viele verteilte SMTP-Teergruben dann doch einen Effekt hätten, lässt sich entkräften: Um auch nur ein Viertel aller Verbindungen eines Bulkmailers zu blocken, müsste ein Viertel aller Mailserver weltweit als Falle arbeiten. Dazu kommt, dass die meisten Bulkmailer mittlerweile Teergruben erkennen. Sie arbeiten mit aggressiven Timeouts und beenden lieber eine Verbindung zu früh als zu spät. Damit ist eine Standalone-SMTP-Teergrube als Falle kaum wirksam.

Interessanterweise dient die Abwehrhaltung der Bulkmailer dann doch einem guten Zweck: Die zweite SMTP-Teergruben-Geschmacksrichtung fungiert als SMTP-Proxy für den bestehenden Mailserver. Der nimmt eingehende Verbindungen für den MTA entgegen und bremst diese aus. Vertreter dieser Gattung sind der relativ elegante OpenBSD »spamd« [4] und Lutz Donnerhackes SMTP-Wrapper [5], der aber leider mit statischen Blocklisten arbeitet.

Schwarz, weiß und grau

Der OpenBSD »spamd« verwendet eine Blacklist mit bekannten Spam-IPs und eine Whitelist mit unverdächtigen Mailservern. Für den Rest implementiert er Greylisting, das die Whitelist trainiert. Der Mechanismus liefert bei unbekannten Absendern einen Fehlercode für ?vorübergehend nicht erreichbar?. Meldet sich der Absender nicht wieder, war es vermutlich ein Spammer und er wandert in die Blacklist. Treibt er den Aufwand, die Nachricht erneut zuzustellen, dann gehört die IP auf die Whitelist.

Trifft die Mail eines Absenders ein, den das Programm als Spammer entlarvt hat, bremst es dessen Verbindung künstlich. Weil sie die Teergrube erkennen, brechen die Bulkmailer der Spammer die Verbindung schnellstmöglich ab [6]. Das verhindert effektiv die Zustellung von Spam an den lokalen Mailserver. Der »spamd« kann auch Verbindungen von Absendern bremsen, die noch greylisted sind. Auch hier geben die Spammer schnell auf. David Purdue [4] berichtet, dass die Entscheidung in den ersten Sekunden der Verbindung fällt.

Damit vermeidet eine solche Teergrube recht effektiv die Zustellung von Spam an den lokalen Mailserver, weil Bulkmailer die Verbindung zum Server abbrechen. Dem Betreiber des Servers bleiben der Spam erspart und die Bandbreite erhalten, die andernfalls dem Spam zum Opfer gefallen wäre.

Spammer-Scheuche

SMTP-Teergruben haben ihre Daseinsberechtigung ? allerdings nicht, um Spammer zu ärgern, sondern als Proxy für den eigenen MTA. Dank kurzer Timeouts in Bulkmailern geben diese den Versuch auf, Spam zuzustellen. Im Gegensatz dazu taugen HTTP-Teergruben durchaus als präventive Maßnahme, sie ärgern den Harvester erfolgreich. (fjl)