Bürgernetz Isar-Loisach e.V.Komfortables Webinterface zum Antrag auf Mitgliedschaft
Probleme mit Email? Lösungen dazu im Supportbereich
Zertifikate ausführlicher Artikel zum Thema Sicherheitszertifikate
Webmail Unser Webinterface zum Emailversand und -empfang
Home Aktuelles Region Homepages Support Intern 
 

SPAM!

Aktuell werden Mailserver in aller Welt, so auch der unseres Bürgernetzes, massiv von Spammern attakiert. Auf dieser Seite möchten wir Euch ausführlich über diese Problematik und über das, was wir dagegen tun und zu tun gedenken, informieren. Dieses Thema ist zu unserem Bedauern seit bereits vielen Jahren ein Dauerthema.

Neu hinzugekommen ist der Mißbrauch tausender privater PC´s mit schneller DSL-Anbindung als unfreiwillige ´Spamverteiler´ im Verbund riesiger Botnetze, was das Thema Spam in den letzten Jahren massiv verschärft hat. Dazu weiter unten mehr.

 
Was ist Spam?
Die genaue Begriffsdefinition von Spam haben wir schon seit geraumer Zeit in unserem Glossar.

Spam kann man am ehesten mit Flugblättern vergleichen, auf denen Werbung für in der Regel sehr zweifelhafte Produkte betrieben wird. Das kann im harmlosen Fall irgendeine dubiose Geldanlage sein (so dumm, ein Produkt, das auf eine solche Weise vertrieben wird, zu kaufen, kann doch eigentlich niemand sein - oder???), oft geht es aber um kriminelle Machenschaften, wie das Anbieten von hartem (Kinder-)Porno oder um das Verbreiten von Viren bzw. Dialern. Dazu später mehr.

Was den Spam aber gründlich von Flugblättern unterscheidet, ist die pure Masse - man stelle sich einmal vor, man würde hunderte riesiger Containerschiffe voller Flugblätter über eine Kleinstadt ausschütten, dann würde man von oben wohl kein Häuserdach mehr sehen ... Und unten wäre es viel zu dunkel, um Flugblätter zu lesen ;=}

Eine ganz besonders böse Variante ist der ´Rufmordspam´ - mit einem gefälschten Mailheader wird eine Mail über den Rest der Welt verteilt, deren Inhalt den Inhaber der (natürlich gefälschten) Absenderadresse in ziemlich böse Schwierigkeiten bringt.

Oder das Date, die erotischen Ausschweifungen an einem Abend in der letzten Woche - solche Spams können leicht eine gesunde Ehe zerstören!

Spam ist also nicht etwa das ´geniale´ Produkt eines kleinen, pickeligen Sonntagshackers, der ganz stolz darauf ist, mal ´nen ´richtigen´ Mailserver gehackt zu haben, sondern nicht mehr und auch nicht weniger als ein krimineller Akt, den man in seiner Schwere durchaus mit Einbruch oder Sabotage gleichsetzten könnte.
 
Wie funktioniert Spam?
Wenn oben genannter Sonntagshacker mit seiner ´Leistung´ prahlte, würde er sich in Fachkreisen schnell zur absoluten Lachnummer machen, denn die Technik, die hinter Spam steckt, ist ´Dank´ des sehr freizügigen SMTP denkbar einfach. Wie geht, weiß ein Informatik-Student schon in der ersten Vorlesung des ersten Semesters innerhalb der ersten 10 Minuten, also noch lange bevor er überhaupt gepeilt hat, was eine IP-Adresse ist.
Folgende Varianten sind denkbar:
  • Dummdreist: Ganz normal über seinen Provider an bekannte oder wahrscheinlich vorhandene Listen schreiben
  • Handarbeit: Einfach mit Telnet den SMTP-Dialog aufbauen, was in den Header kommt, ist dabei ziemlich wurscht. Hauptsache, die Absenderadresse fälschen und möglichst viele Adressaten. Als Mailserver zum Versand werden dann sogenannte ´offene Relais´ (open Relay) mißbraucht, die sich dann ganz selbstverständlich um die Weiterleitung kümmern.
  • Scriptgesteuert: Eine gewaltige Effizienzsteigerung erreicht man, wenn man oben genannten Dialog und die Auswahl der Adressaten automatisiert. In Perl geht das sehr schön und einfach.
  • Gießkanne: Ebenfalls scriptgesteuert diese Variante: Vor dem Klammeraffen eine willkürliche Kombination, dahinter bekannte Domains. Irgendwas wird man damit schon treffen, wenn man nur oft genug probiert
  • Bot-Netze: Relativ neu ist in Zeiten schneller DSL-Zugänge eine andere, hocheffiziente Variante: Unzureichend geschützte private PC´s werden im Tausenderpack hochgenommen und zu riesigen, weltumspannenden Bot-Netzen verschaltet. Ein ´Master´ gibt das einfach nur noch das Kommando ´diesen Spam bitte in 1.000.000.000-facher Ausführung über den Rest der Welt auskippen´, und Sekunden später sind zigtausende Privat-PC´s damit beschäftigt, diesen Spam an alle Adressen, die auf dem jeweiligen Recher verfügbar sind, auszuliefern. Der Benutzer merkt davon nichts, denn es steht ´Dank´ DSL ja genügend Bandbreite zur Verfügung, da fallen ein paar zig MegaBytes für den Spam nicht weiter auf.
 
Wie kann Spam erkannt werden?
Ein kurzer Blick auf die Betreff-Zeile und auf die Absenderadresse reicht dem Profi in der Regel schon.
Aber schaun wir mal genauer hin - meist ist es ganz einfach, Spam zu identifizieren:
  • Steht in der Betreffzeile so was wie ....
    • Geld schnell und leicht verdient / Make money fast
    • Want to boost your sales with ....
    • .... adult toys ....
    • .... V|agr@ ....
  • Sieht die Absenderadresse etwa so aus ....
    • smtp2001soho@yahoo.com
    • temp@something.com
    • china9988@21cn.com
  • Werden zweifelhafte Produkte beworben?
  • Ist in der Mail nicht klar zu erkennen, wer diese verfaßt hat?
  • Kommen im Mailtext nebulöse Hinweise auf ein angeblich kürzlich stattgefundenes Date?
  • Befinden sich im Anhang ausführbare Dateien (.pif, .exe, .jpg.exe, .vbs o.ä.), deren Zweck nicht zu erkennen sind?
  • Stammt eine unaufgeforderte Mail angeblich von der Bank, der Post oder irgendeiner Behörde? Diese Institutionen verschicken grundsätzlich keine unaufgeforderten Mails!
 
Welchen Schaden richtet Spam an?
Für den privaten Empfänger nur unnötige Downloadzeiten, falls er sich richtig verhält. Trotzdem ärgerlich! Falls nicht und er ein Attachment öffnet, dann kann's unter Umständen ganz schön teuer werden.
Sehr in Mode sind seit Jahren die oben schon erwähnten Dialer, die sich ohne Wissen des Opfers in Windows' DFÜ-Netzwerk einklinken, und dieses dann veranlaßt, per Modem oder ISDN-Karte immer wieder eine teure 0190-er Nummer anzuwählen.
Da können schon mal ein paar Hundert oder ein paar Tausend Euro im Monat zusammenkommen, über die sich der Betreiber dieser Nummer bestimmt freuen wird. In der Regel hat er aber vorher mit dem Programmierer des Dialers ´zusammengearbeitet´, so daß der plötzliche Reichtum nicht ganz unvorbereitet über ihn hereinbricht ;=}


Für ein Unternehmen kann der Schaden durch Spam schon in ganz andere Dimensionen gehen. Folgendes kleine Rechnexempel soll das mal verdeutlichen:
Nehmen wir mal an, daß das Identifizieren einer Mail als Spam durchschnittlich etwa 20s (ich weiß, ein Vollprofi schafft das in weniger als 2 Sekunden...) dauert und jeder Mitarbeiter einer 6.000-köpfigen Crew täglich mit etwa 6 Spams belästigt wird. Dann kann man den direkten Schaden etwa wie folgt beziffern:
  6 Spams           --->       2 min
* 6.000 Mitarbeiter --->     200 Stunden
* 22 Arbeitstage/M  --->   4.400 Stunden
* 40 Euro/h         ---> 176.000 Euro / Monat!!!
Kein Wunder also, daß die meisten Unternehmen äußerst restriktiv gegen Spam vorgehen. Zur Not auch auf Kosten ganzer Netzwerke, die den Firmen-Mailserver nicht mehr erreichen können. So wird das in Grunde genommen sehr praktische Medium Email immer mehr eingeschränkt.

Auch ISP´s werden nicht unerheblich durch Spam geschädigt. Da wäre erst mal der nicht ganz unerhebliche Traffic, denn jede Mail muß ja an den Empfänger einzeln ausgeliefert werden. Besonders dumm gelaufen, wenn sein Mailserver als ´Open Relay´ mißbraucht wurde und ihn auf den Schwarzen Listen von ORBS & Co. wiederfindet. Dann wird sein Mailserver viele Mails gar nicht mehr ausliefern können, denn er ist bei sehr vielen Mailservern einfach ausgesperrt. Da hilft dann nur noch ein schnelles Beseitigen der Schwachstelle - also kein öffentliches Mail-Relaying mehr zulassen, und sich dann umgehend von ORBS & Co. nochmals überprüfen lassen. Unverständlicherweise findet man aber immer noch viele ISP's, denen das ziemlich wurscht ist.
 
Was kann man clientseitig gegen Spam unternehmen?
Fast gar nichts :=((
Denn der ´Traffic´ hat auf der Serverseite bereits stattgefunden, und der Spam ist bereits im Postfach seines Opfers gelandet.
Aber: Man kann den Müll per Webmail schon mal auf der Serverseite löschen und muß sich den Dreck nicht auch noch mühsam per Modem herunterladen. Sollte doch der eine oder andere Spam ´durchrutschen´, empfehlen sich folgende Verhaltensweisen, idealerweise in folgender Reihenfolge:
  1. Den Spam sofort löschen. Dann erübrigen sich alle weiteren Punkte.
  2. Neugierige sollten NIEMALS ein eventuell vorhandenes Attachment öffnen!!!
  3. Den Spam auf gar keinen Fall beantworten. Auch dann nicht, wenn unten steht ´If this is an error please send an email to be removed. In the subject line type: Remove Me .... mail to: ....´. Denn sonst hat der Spammer Deine Mailadresse und legt dann erst richtig los!!!
  4. Auf privaten Homepages nicht die eigene Email-Adresse in der Form
    <a href=´mailto:name@isp.de´>name@isp.de</a> veröffentlichen. Da gibt es im Rahmen der Impressumpflicht eine ganze Reihe anderer Möglichkeiten, die nicht so furchtbar schwierig sind, wenn man sich mit HTML ein wenig auskennt.
Hat der heimische PC eine schnelle Anbindung per DSL, dann werden zusätzlich noch folgende Maßnahmen dringendst empfohlen:
  1. Unbenutzte Dienste abschalten!
  2. Software aktuell halten!
  3. Virenscanner aktuell halten!
  4. Finger weg von nackten Mädels, die kostenloses Glück versprechen!
  5. Finger weg von bunten Pillen, die willige und nackte Mädels versprechen!
  6. Finger weg von dollen Aktien, die Geld für Pillen und Mädels versprechen!
  7. Einen vernünftigen, sicheren WWW-Browser verwenden, z.B. Firefox!
  8. Ein vernünftiges, sicheres Mail-Programm verwenden, z.B. Thunderbird!
  9. Einen Einwahlprovider benutzen, der einem in Sachen Sicherheit Hilfestellung bietet.
 
Was kann man serverseitig gegen Spam unternehmen?
Hier schaut es schon etwas besser aus. Denn das Übertragen einer Mail beginnt mit einem einfachen SMTP-Dialog, bei dessem Beginn schon mal die IP-Adresse des ´Anrufers´ ermittelt wird. Ist diese IP schon mal ´straffällig´ geworden, dann wird der Dialog sofort abgebrochen, bevor es überhaupt zum kostenpflichtigen Traffic kommt. Was dann kommt, ist dann richtig kompliziert und kann nur noch mit einem Flußdiagramm präzise erklärt werden. Stark vereinfacht wird eine Mail, die auf einen gut gewarteten Mailserver aufschlägt, nach folgenden Gesichtspunkten abgeklopft:
  1. Stammt die IP von einem Netz, von dem sehr oft Spam ausgeht? Wenn ja --- tschüß ....
  2. Ist die IP schon mal "aufgefallen"? Wenn ja --- tschüß ....
  3. Stammt die IP von einem "ORBS-Kunden" (Open Relay)? Wenn ja --- tschüß ....
  4. Ist die Absenderadresse glaubwürdig? Wenn nein --- tschüß ....
  5. Kann der Domainanteil der Absenderadresse aufgelöst werden? Wenn nein --- tschüß ....
Ebenfalls empfehlenswert ist die Methode, ´verdächtige´ Netze ganz abzublocken, und von solchen Netzen nur noch SMTP mit Authentifizierung zuzulassen.
Da geht schon eine ganze Menge Spam den Bach runter aber leider eben nicht alles. Unser Admin-Team arbeitet an weiteren Verfeinerungen, um immer mehr Spam abzublocken, aber den hundertprozentigen Schutz wird es wohl nie geben.
 
Wie funktioniert der Spamschutz bei unserem Bürgernetz?
Alle Emails, die für unsere Mitglieder bestimmt sind, auch die ´bösen´, schlagen bei unserem Mailserver auf. Der Mailserver leitet die Mails nicht einfach kritiklos an die Mailboxes unserer Mitgleider weiter, sondern checkt die eingehende SMTP-Verbindung erst mal gründlich durch und verfährt nach einem cleveren Schema, wie in dieser Abbildung anschaulich dargestellt.

Und hier sind die einzelnen Schritte im Detail:
  1. SMTP-Connect
    Jeder Mail-Server im Internet kann eine SMTP-Verbindung zu mail.ilo.de aufbauen um Email zuzustellen.
  2. Greylisting
    Reguläre Mailserver unternehmen ggf. stets mehrere Versuche, Emails zuzustellen. Dieser Aufwand, Mails erst mal in eine Warteschlange zu stellen, falls sie nicht sofort zustellbar sind ist für den Massenversand von Spam viel zu hoch - hier geht es um die reine Masse und nicht um eine sichere Zustellung. Unser Mailserver lehnt also erst mal eine Verbindung von einem unbekannten Mailserver ab, speichert aber dessen IP-Adresse. Da reguläre und anständig konfigurierte Mailserver stets einen zweiten Zustellversuch unternehmen, sind diese also beim zweiten Mal bekannt und dürfen die Mail an unseren Mailserver ausliefern. Rund 90% aller Spams werden dadurch vorab schon mal abgeblockt.
  3. IP-Adresse im DNS ?
    Falls der ferne Mail-Server mit seiner IP-Adresse nicht im globalen DNS eingetragen ist (reverse-lookup), dann wird die SMTP-Verbindung sofort wieder abgebaut und die email kann nicht zugestellt werden. Dies ist meist dann der Fall, wenn Experimentier-Server für einen offiziellen Mail-Betrieb mißbraucht werden.
  4. IP-Adresse in blacklist ?
    Der mail.ilo.de überprüft, ob die IP-Adresse des fernen Mail-Server in einer blacklist (z.B. www.spamcop.com) enthalten ist. Wenn ja, dann wird die Verbindung mit einer Fehlermeldung (mit Hinweis auf die jeweilige blacklist) abgebrochen und die email kann nicht zugestellt werden. Zudem steht in der Fehlermeldung auch ein Hinweis auf eine Notfall-Adresse, damit aus Versehen gesperrte Sender Kontakt aufnehmen können.
  5. Empfänger oder Sender gesperrt ?
    Die Sender- und Empfänger-Adresse werden in einer lokalen Sperrliste überprüft und im Fall einer lokalen Sperre wird die Verbindung mit einer Fehlermeldung abgebrochen. Vor allem bei übervollen mailboxes (Mitglied holt die emails wochenlang nicht ab) wird von den Administratoren eine lokale Sperre gesetzt. Bei newsletter mit falscher Sender-Adresse wird ebenso eine lokale Sperre gesetzt, da die Administratoren der newsletter ja dann nicht erreichbar sind und wir nicht auf den Fehler hinweisen können. Es wird immer die echte Sender- bzw. Empfänger-Adresse geprüft, also nicht die Angaben in den Feldern ´From:´ und ´To:´ !
  6. Virus in email ?
    Wenn sich in der Email ein Virus befindet, so wird vom Viren-Checker eine zusätzliche Kopfzeile eingefügt und der Virus erläutert. Diese Kopfzeile kann mit jedem normalen Email-Programm (nicht Outlook!) angezeigt werden. Die Kopfzeile kann von einem procmail auf dem mail.ilo.de automatisch ausgewertet werden und somit die email entsprechend bearbeitet werden, z.B. Löschen und nicht auf den eigenen PC übertragen. Ein procmail kann jedes Mitglied selbst programmieren oder durch die Administratoren für die eigenen Mailbox eintragen lassen. Von unserem neuen Mailserver egypt.ilo.de werden Dateien mit der Endung .exe im Anhang grundsätzlich nicht mehr zugestellt. Meist werden Viren aber in ein Zip-Archiv gepackt, so daß dieser Schutz erst mal umgangen werden kann. Allerdings muß der Empfänger dieses Archiv erst mal auspacken und gibt damit dem Virenscanner eine gute Chance, Schadsoftware als solche zu erkennen.
  7. Inhaltsprüfung und Hash-Tables
    Nun wird die Email nicht einfach an das Postfach weitergeleitet, sondern erst mal auf bestimmte ´spamtypische´ Muster im Mailheader und im Inhalt überprüft. Dabei werden ´Spamverdachtspunkte´ vergeben. Wird eine vom Mitglied bestimmbare Schwelle überschritten, dann landet diese Mail nicht im Postfach, sondern in einem separaten Spamverzeichnis im Homeverzeichnis des jeweiligen Mitglieds. Diese individuellen Einstellungen können auf der Seite "Edit Procmail" (nur für Mitglieder!) vorgenommen werden.
  8. Zustellung der email
    Wenn alle Überprüfungen erfolgreich absolviert sind, dann wird die email in die Mailbox zugestellt. Außerdem erfolgt dann eine eventuelle weitere automatische Verarbeitung, z.B. Weiterleiten an andere Adressen, Abwesenheitsnotiz an Sender zurückschicken usw.
 
Virenübertragung per Spam in der Praxis
Eine besonders hinterlistige und gefährliche Variante von Spam ist die Übertragung von Viren oder Trojanern. Das funktioniert folgendermaßen - hier ein Beispiel vom 22.12.2012: Als erstes wird eine Mail mit dem Betreff Deutsche Post. Sie mussen eine Postsendung abholen massenweise verschickt. Die Absenderadresse ist natürlich gefälscht und lautet entrega-1317@deutschepost.de wobei die Antwortadresse free-area@www1963.sakura.ne.jp lautet und eine japanische Herkunft anzeigt. Der Text der Mail ist in einem schlechten Deutsch verfaßt und sollte schon alle Alarmglocken läuten lassen:

Lieber Kunde,

Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.
Grund: Ein Fehler in der Leiferanschrift.
Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.
Anbei finden Sie einen Postetikett.
Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.

Vielen Dank!
Deutsche Post AG.

Ganz nebenbei würde die Post niemals per Mail auf eine nicht durchgeführte Zustellung aufmerksam machen, da gibt es die allgemein bekannten Kärtchen im Briefkasten. Und überhaupt: Woher soll die Post denn auch die Mailadresse haben?...

Trojaner blockiertIm Anhang befindet sich eine Datei namens DeutschePost_ID935781-176.zip. Das ist in sofern hinterlistig, da diese Datei selbst noch nicht ausführbar ist und so von einem Virenscanner zunächst nicht als Gefahr erkannt wird. Beim Versuch, diese Datei erst mal zu entpacken und auf den Rechner zu kopieren, geht der Virenscanner dazwischen und verhindert diese Aktion.
 

MSE WarnungGleichzeitig schlägt der Virenscanner - hier wurde der sehr empfehlenswerte Microsoft Security Essentials (MSE) eingesetzt - Alarm und kann die Schadsoftware als bekannten Trojaner entlarven.

 

Bester Schutz:

1. Die Mail erst gar nicht öffnen, sondern gleich löschen.

2. Für die Benutzer des Betriebssystems Linux oder MacOS besteht keine Gefahr.

3. Für besonders neugierige Benutzer des Betriebssystems Windows ist Gefahr im Verzug - diese benutzen am besten einen guten und vor allem aktuellen Virenscanner.

Euer Webmaster hat diesen Trojaner in einer Kopie einer virtuellen Maschine (VM) mit Windows XP darauf versucht zu öffnen. Da der Virenscanner das verhindern konnte, ist nichts weiter passiert. Es hätte aber auch sein können, daß der Virenscanner ausgerechnet diesen Trojaner nicht erkennt, dann wäre dieser (allerdings nur virtuelle) Rechner verseucht. Trotzdem - nur um keinerlei Restrisiko einzugehen, wurde diese Kopie der VM gleich im Anschluß an diesen Test komplett gelöscht. Man kann eben nicht vorsichtig genug sein...

Infos zur frei verfügbaren Virtualisierung, die wir als zusätzliche Sicherheit sehr empfehlen, findet Ihr auf der Website der Firma vmWare.
 

 
Fazit
Leider wird Spam - obgleich seit vielen Jahren ein großes Problem - immer noch nicht mit dem nötigen Nachdruck verfolgt. Und solange es bedeutend riskanter ist, bei Rot über die Ampel zu fahren, als seinen kriminellen Werbemüll über den Rest der Welt auszuschütten, wird sich an den derzeitigen Mißständen in absehbarer Zeit kaum etwas ändern. Hier wäre eine weit kreativere Exekutive vonnöten, die mehr drauf hat, als Zahlscheine für soeben ausgestellte ´Tickets´ zu verteilen.

Es bleiben für den Benutzer also nur wenige Möglichkeiten zur Vermeidung von Spam übrig:
• Haltet Eure Rechner sauber!!!
• Am besten nur virtualisierten Maschinen Internetzugriff gewähren.
• Schützt sie vor dem illegalen Zugriff von ´außen´.
• Öffnet Email-Anhänge nur dann wenn Ihr genau wißt, was ihr da tut!

Eine Hilfestellung bezüglich Systemsicherheit gibt die Seite "Online-Test für den PC" auf der privaten Homepage Eures Webmasters.
© 1996-2019 Bürgernetz Isar-Loisach e.V. | Stand: 2015-06-11 | unbekannt unbekannt / unbekannt | Programmierung: Hohmann-EDVnach oben
 
Diese Website verwendet Cookies für eine bestmögliche Funktionalität und setzt bei Bedarf auch solche von Drittanbietern. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.

OKCookies ablehnenMehr Infos...

Cookies sind kleine Textschnipsel, die zwischen Browser und Webserver ausgetauscht werden. Sie dienen dazu, die Funktionalität dieser Website zu verbessern. Beispielsweise wir dadurch dieser Hinweis nicht immer wieder eingeblendet, wenn Sie auf dieser Website unterwegs sind und Sie der Verwendung von Cookies bereits zugestimmt haben. Die Verwendung von Cookies kann in Ihrem Browser abgeschaltet werden. Dies geht jedoch auf Kosten des Komforts bei der Benutzung dieser Website. Hinweise zum Abschalten der Verwendung von Cookies finden Sie in der Hilfedatei Ihres Browsers.