Letzte Änderung: 29.10.2008

Eine aktuelle Betrachtung zum Thema Spam

2008

Weiteres Wachstum

Spam Spam Spam In Zeiten der aktuellen Börsenkrise hat nur eine Branche Wachstumsaussichten: Die Spambranche boomt mehr als je zuvor. Image-Spam und Spams mit PDF- und sonstigen Anhängen sind im Gegensatz zu den Vorjahren fast vollständig verschwunden. Das Aufkommen von Spammails ist weiterhin rasant steigend, wenn auch die eigentlichen Inhalte der Spammails kleiner und einfacher werden, in der Form, dass relativ wenig Text und ein Verweis auf eine URL sich im Inhalt befinden. Ziel der Spammer scheint mittlererweile weniger der Verkauf von Rolex, Viagra, Vergrösserungen von diversen Körperteilen usw. zu sein, sondern eher die Opfer auf infizierte Websites mit ihrem Browser zu führen, um ihnen dort Schadsoftware unterzuschieben. Spam wird von daher nur noch als Transportmittel benutzt, um Schwachstellen in anderen Applikationen, wie den verschiedenen Browsern, auszunutzen.

Und erstmalig dieses Jahr wurde auch politisch motivierter Spam im Rahmen des Russland-Georgien-Konfiktes festgestellt. Ein weiteres grosser Trend in diesem Jahr scheint das zubomben von Mailsystemen zu sein mit Non-Delivery-Reports (NDR). Da diese schwierig abzuwehren sind, kann für den einen oder anderen Mailserver daraus durchaus ein Problem entstehen oder auch für davon betroffene Mailbenutzer.

Nachdem in den Jahren zuvor nur vermutet wurde, dass hinter den grossen Spamwellen kriminelle Organisationen stehen, gilt diese Annahme für 2008 als gesichert, Stichwort RBN - Russian Business Network. Es scheint für Kriminelle nun lukrativer zu sein im Spam-Business aktiv zu sein, als die bisherigen "klassischen" Methoden, wie Drogen, Erpressungen usw.

Beim jährlich vom eco Verband ausgerichteten German Anti Spam Summit stellten die Experten aus der Wirtschaft und Politik die aktuelle Lage und Trends dar. Einhelliger Tenor ist, dass dieses Problem nur durch eine übernationale Zusammenarbeit und eine einheitliche Rechtsprechung zu bekämpfen ist und die Politik muss dazu auch die die entsprechenden juristischen Mittel zur Verfügung stellen.

Einige interessante Links zur aktuellen Lage:




2006

Rasanter Aufschwung von Spam-Mails

Nicht nur die deutsche Wirtschaft erfreut sich an einem leichten Aufschwung, eine rapide anwachsende Anzahl von Spam-Mails in den letzten zwei Monaten verzeichnen so gut wie alle Hersteller von Antispam-Lösungen. So verzeichnet beispielsweise IronPort Systems, Anbieter von Gateway-Security Lösungen, einen Anstieg auf durchschnittlich 40 Prozent. Dieses hohe Wachstum erklärt sich dadurch, dass Spam-Versender seit einiger Zeit ihre Strategien verändert haben.

Strategie 1: Schnelle Änderung der beworbenen Links

Spammer verändern innerhalb kurzer Zeit die in über 85 Prozent aller Spam-Mails angepriesenen Links. Im Juni 2006 lag die durchschnittliche Bestandsdauer einer Spam-URL nur noch bei vier Stunden - im Vergleich zu 48 Stunden im Juni des Vorjahres. Die Kosten bremsen die Spammer nicht aus: 32 der 35 Millionen im April angemeldeten Domains wurden nie bezahlt und sind daher automatisch nach fünf Tagen erloschen. Das heißt dann, dass Anti-Spam-Lösungen, welchen beispielsweise URL-Listen von bekannten Spam-URLs in ihren Datenbanken führen, diese entsprechend schneller aktualisieren müssen, um noch effizient zu sein

Strategie 2: Bilder-Spam

Neue, raffiniertere Varianten des so genannten Image-Spams sind auf dem Vormarsch. Diese in ständig veränderten Bildern integrierten Spam-Botschaften sind für herkömmliche Filter nicht erkennbar. Abhilfe kann hier nur eine Anti-Spam-Lösung schaffen, welche diese Spambotschaften, z.B. mittels OCR Texterkennung, erkennen kann.

Strategie 3: Versand über Zombie-PCs

Die Spam-Quellen haben sich in den letzten zwei Monaten verändert. So kommen bereits über 80 Prozent aller unerwünschten Nachrichten von Zombie-PCs (mit sog. Trojanern verseucht), die nicht einmal zwei Monate alt sind. Dabei rotieren die Spam-Versender innerhalb weniger Stunden zwischen den Zombie-Netzwerken - die IP-Adressen der Absender ändern sich kontinuierlich. Auffällig ist an dieser Stelle, dass an den Wochenenden oder Feiertagen sich die Anzahl von Spam-Mails ebenfalls erhöht. Dies ist aber dadurch zu erklären, dass diese Zombie-PCs meistens PCs von Privatpersonen sind, welche nichts davon wissen, und diese PCs häufig erst zu den Wochenenden oder zu den Feiertagen angeschaltet werden.

Kosten

Auf ca. 4,4 Milliarden Dollar werden die Schäden im Jahr 2005 geschätzt, welche allein in Deutschland durch Spam entstehen. Das kalifornische Markforschungsinstitut Ferris schätzt den Schaden weltweit auf 50 Milliarden Dollar. 2003 wurde von Ferris der Schaden für europäische Unternehmen auf 2,5 Mrd. Dollar geschätzt. Der größte Schaden entsteht, weil die Produktivität der Mitarbeiter sinkt, weil diese ihre Mail-Boxen nach Spam-Mails durchforsten müssen. Die Arbeitsleistung der Mitarbeiter wird dadurch beeinträchtigt, dass wichtige Mails von unkorrekt eingestellten Spam-Filtern oder schlechten Anti-Spam-Programmen abgefangen werden. Trotzdem wäre der Schaden noch weitaus höher ohne diese Tools. Die automatisierte Spam-Bekämpfung ist auf jeden Fall billiger als alle manuellen Maßnahmen.

Volkswirtschaftlicher Schaden

Aus diesem Grund ist auch der volkswirtschaftliche Schaden in Industrieländern mit hohen IT-Gehältern am größten. Nach der Ferris-Studie erleidet alleine die USA einen volkswirtschaftlichen Schaden von jährlich 17 Mrd. Dollar (8,9 Dollar 2003). Alleine bei einer Firma mit geschätzten 200 Mail-Benutzern, welche einen geschätzten Stundensatz von 50 Euro erhalten und pro Mail-Benutzer lediglich 5 Spam-Mails pro Tag erhalten, lässt sich dieser potentielle Schaden auf ca. 42000 Euro jährlich beziffern! Und dies ist nur der Schaden, welcher entsteht durch das Lesen und Aussortieren von Spam-Mails. Schäden, welche durch unerwünschte Nutzung der eigenen IT-Ressourcen, kostenpflichtigen IP-Verkehr, oder erhöhte Anfragen beim Userhelpdesk entstehen sind in diesem konkreten Beispiel nicht berücksichtigt.

Sicherheitsrisiken durch Spam

Spam-Mails sind nicht nur durch die entstehenden Kosten ein wirtschaftliches Problem, auch die Sicherheitsrisiken, welche durch sog. Phishing-Mails entstehen, sind nicht zu unterschätzen. Mails von der Volksbank oder Postbank, um Benutzer auf gefälschte Bankseiten zu locken und dort die persönlichen Bankdaten zu erhalten sind seit längerem bekannt. Wesentlich gefährlicher für die Unternehmenssicherheit sind Phishing-Mails, welche Benutzer verleiten auf Webseiten zu gehen, welche diverse Sicherheitslücken im WWW-Browser auszunutzen, um lokal auf dem PC des Benutzers Schadprogramme zu installieren. Dies kann bis zur kompletten Fremdkontrolle eines Rechners führen, trotz Unternehmensfirewall. Ein weiteres Problem in diesem Umfeld sind virenverseuchte Mails, welche mit dem eigenen Absender von meist Zombie-PCs verschickt werden. Die Viren werden meistens zwar von den meisten Antivirenprogrammen erkannt, aber immer noch häufig versuchen häufig diese Virenprogramme an den Absender eine Benachrichtigung zu schicken, was oft dann auch in Richtung Rufschädigung gehen kann. Den Nachweis anzutreten, dass diese Mail tatsächlich nicht von einem verschickt wurde, kann in manchen Fällen schwierig sein, wenn nicht der komplette Mailweg rekonstruiert werden kann. Meistens ist es mittlerweile aber so, dass Mails mit dem eigenen Absender an falsche Adressaten verschickt werden und die Unzustellbarkeitsnachrichten belasten die eigene Infrastruktur. Die Mailfelder, welche für die Zustellung benötigt werden, können einfach gefälscht werden, so dass eine Kontrolle hier schwierig ist. Ähnliche Fälle haben in der jüngsten Vergangenheit dazu geführt, dass Mailserver unerwartet Probleme mit einer Welle von unbekannten Mailrückläufern (Nichterreichbarkeit oder Antivirus-Status) bekamen, wenn nicht vorher die Internetanbindung überlastet wurde, so dass kein regulärer Internetverkehr mehr möglich war. Dieses Phänomen entspricht durchaus einem Denial-of-Service-Angriff. Jede Virusepidemie belastet nicht nur die Infrastruktur des Internet nicht nur durch seine Verbreitung des Schädlings, sondern durchaus auch in der Flut an meist sinnlosen Virenwarnungen, die Virenscanner an die angeblichen Absender verschicken.
Solange der Versand von Spam-Mails so gut wie keine Kosten verursacht und es tatsächlich Menschen gibt (wenn auch wenige), welche tatsächlich auf Spam-Mails reagieren, werden Spam-Mails im Internet in Zukunft eher noch weiter zunehmen als abnehmen. Neuere Formen von Spam z.B. über Voice over IP (VoIP), sog. SPIT (Spam over IP Telephony) werden auch neuere Technologien erschließen. Über diese spezielle Form des Spam soll aber an dieser Stelle nicht geschrieben werden.

Abwehrmaßnahmen

Einige der bekanntesten Abwehrmaßnahmen sollen hier beschrieben werden.

Clientbasierte Abwehrmaßnahmen sind im wesentlich nur für den privaten Bereich interessant. Für größere Mailinfrastrukturen bieten sich eher Gateway-Lösungen an, entweder direkt mit einer Perimeter-Lösung aus dem Content-Securitybereich (Antivirus etc.) oder einem oder mehreren dedizierten Anti-Spam-Gateways. Die meisten Antivirus-Hersteller bieten für ihre Antiviruslösungen Anti-Spam-Zusatzmodule mit an, welche sich problemlos in die bestehende Antiviruslösung integrieren lassen. Viele Strategien ähneln sich und finden sich in den meisten Anti-Spam-Produkten wieder. Sinnvollerweise werden auch Kombinationen von verschiedenen Strategien eingesetzt, um die Erkennungsrate gegenüber Spam-Mails zu erhöhen.

Nachfolgend eine kurze Beschreibung der bekanntesten Spamabwehrmassnahmen:
Realtime Black Lists (RBL): Hier überprüft der Mailserver beim Empfang einer Mail, ob die Mailadresse des sendenden Mailservers sich in einer sog. Blacklist befindet. Die Abfrage erfolgt meist per DNS-Anfrage (Domain-Name-Server). Befindet sich die Mail in einer RBL, verweigert der Mailserver die Annahme schon beim Verbindungsaufbau, d.h. es finden hier keine weiteren Überprüfungen auf Spam-Merkmale oder Antivirus-Überprüfungen. Es gibt verschiedene RBLs, welche zur Verfügung stehen. Offene Listen (wie z.B. DSBL.org) können direkt in die meisten Mailserver integriert werden. Geschlossene, kommerzielle Listen, (wie z.B. SenderBase) werden meist nur von einigen Herstellern von Anti-Spam-Produkten in ihre Lösung integriert. Diese sind gegenüber ihren offenen Listen meistens zuverlässiger, da es bei offenen Listen gelegentlich vorkommen kann, dass Mailserver von großen Internetanbietern auf diesen Listen landen und damit gesperrt werden. In der Vergangenheit kam es auch schon vor, dass offene RBLs komplett verschwanden auf massiven Druck von Spammern. Gute RBLs blocken schon im Vorfeld einen Grossteil von Spam-Mails. Aktuelle Statistiken gehen von ca. 70% Spam-Mails aus, die durch den Einsatz von RBL gesperrt werden.

Protokollbasierte Verfahren, wie beispielsweise EHLO/HELO-Check können zum einen ebenfalls schon auf Transportebene eine unerwünschte Verbindung verhindern und filtern so wirkungsvoll im Vorfeld Spam-Mails aus. Andererseits existieren im Internet genügend falsch konfigurierte Mailserver, welche sich mit einem unbekannten DNS-Namen melden (aktuelles Beispiel ist z.B. auch eBay). Ebenfalls DNS-basiert ist das sog. DNS-Lookup, d.h. beim Transportaufbau wird ermittelt, ob der Mailserver über einen korrekten DNS-Namen verfügt.

Weitergehende Analysen der eingehenden Mail erfolgen dann im Mailteil (im sog. Mail Body) selbst. Aufgrund bestimmter Kriterien wird der Inhalt der Mail untersucht. So wird aufgrund bestimmter Muster im Subject (Betreff), im Mail-Header, im Mail-Teil oder aufgrund bestimmter Worte oder Zeichenhäufigkeiten entschieden, ob es sich um eine Spam-Mail handelt oder nicht. Weitere Kriterien können auch Formatierungen in Mails sein, z.B. ist eine Mail in HTML formatiert, mit bestimmten HTML-Formatierungen versehen oder befindet sich in der Mail ein externer Link auf einen externen Server, von dem ein Bild nachgeladen wird (z.B. sog. Web-Beacon), welche auf Spam schließen lassen z.B. extra großer Text, unterstrichen usw. Die meisten Antispam-Lösungen kombinieren diese Merkmale und versehen diese Merkmale mit einer unterschiedlich gewichteten Bewertung, so dass z.B. bestimmte Worte oder deren Schreibweisen einen hohen Wert bekommen (z.B. Viagra) und HTML-Formatierungen einen niedrigeren Wert. Wenn die eingehende Mail den Analyseprozess durchlaufen hat werden diese Werte addiert und ab einem bestimmten Schwellwert wird die Mail dann als Spam-Mail betrachtet. Weitere Möglichkeiten zur Analyse können über einen Bayes-Filter erfolgen. Vereinfacht gesagt, wird hier über die charakteristischen Wörter von Spam-Mails auf die Eigenschaft der Mail geschlossen (Spam oder kein Spam). Die Mächtigkeit dieser Analyse beruht darauf, dass Bayes-Filter trainiert werden können mit Mails, welche nicht als Spam erkannt wurden, aber Spam-Mails sind und auch umgekehrt mit falsch erkannten Spam-Mails. Je länger ein solches System, welches Bayes-Filter unterstützt, trainiert wurde, desto besser wird die Erkennung. Viele kommerzielle und Open-Source Produkte von Anti-Spam-Lösungen unterstützen Bayes-Filter, so z.B. Thunderbird als Mailclient von der Mozilla-Suite, sowie SpamAssassin.

Einige Hersteller von Anti-Spam-Lösungen wenden neben den obigen Methoden auch Verfahren an, die denen von Virenscanner ähneln. In diesem Fall werden einfach feste Muster (Patterns) regelmäßig vom Hersteller übermittelt, mit denen eingehende Mails dann verglichen werden.

Standort

Sinnvollerweise werden Spam-Mails an der Stelle im Netzwerk analysiert, an welcher Mails zuerst eintreffen, also am vordersten, dem ersten Mailserver (oder mehreren "ersten" Mailservern), der Mails direkt aus dem Internet empfängt. Dies hat mehrere Vorteile: Aufgrund von RBL und anderen Maßnahmen kann an dieser frühen Stelle schon unerwünschte Mail abgewiesen werden. Zusätzlich kann an dieser Stelle schon Mail nur an bekannte Mailempfänger zugestellt werden und nicht die dahinterliegenden Mailgateways müssen diese Entscheidung treffen. Dies bedeutet eine wesentliche Erleichterung der dahinterliegenden Infrastruktur, da keine Mails (ob Spam oder nicht) an unbekannte Empfänger durchgereicht werden müssen und falls der Virenscanner getrennt installiert wurde als nachfolgende Instanz, brauchen ich keine Mails auf Viren untersuchen werden an Empfänger, die es reell nicht gibt im Unternehmen. Üblicherweise koppelt man das Anti-Spam-Gateway hier mit einem Directory-Dienst, wie LDAP oder ADS. Eine manuelle Pflege der Mailadressen auf dem Anti-Spam-Gateway empfiehlt sich nur bei geringer Anzahl von Mailbenutzern, da sich sonst schnell bei doppeltem administrativem Aufwand Fehler einschleichen. Weiterhin kann an dieser Stelle das Anti-Spam-Gateway vor Harvest-Angriffen schützen. Mittels Harvest-Angriffen versuchen Spammer festzustellen, welche Mailadressen gültig sind und welche nicht.

Einige Hersteller von Anti-Spam-Lösungen verfügen über große Datenbanken mit Spam-Merkmalen die regelmäßig aktualisiert werden. Dies geschieht entweder dadurch, dass diese Hersteller weltweit über Mailboxen verfügen, in die hauptsächlich Spam-Mails landen für Analysen, mit großen Internetprovidern zusammenarbeiten oder Schnittstellen haben in Ihrer Software, die die Analyseergebnisse eingehender Mail an den Hersteller liefert, so dass dieser seine Anti-Spam-Datenbank aufgrund dieser Basis verbessern kann (wie z.B. SenderBase von IronPort oder auch Vipul's Razor als Schnittstelle für SpamAssassin).

Wie schon erwähnt, kombinieren gute Anti-Spam-Lösungen diese Methoden mit noch einigen anderen Methoden (z.B. OCR-Texterkennung in Bildern, Absenderauthentifizierung, Greylisting, Reputation, Bounce Kontrolle usw.), die an dieser Stelle nicht erwähnt wurden.

Datenschutz

Was geschieht nun mit Mails, welche als Spam erkannt wurden? Einige Hersteller bieten die Möglichkeit von einer generellen Quarantäne an, auf diese regelmäßig autorisierte Personen Zugriff haben, um evtl. falsch erkannte Spam-Mails zustellen zu können. Andere Hersteller lösen dieses durch eine individuelle Quarantäne, in welche jeder Mailbenutzer selbst entscheiden kann, ob Mails in diesem Bereich vor ihn Spam sind oder nicht. Andere Lösungen sind Spam-Mails speziell zu kennzeichnen (Tagging) oder stillschweigend zu löschen. Bei allen Ansätzen spielt aber auch der datenschutzrechtliche Aspekt eine große Rolle, d.h. ist auch abhängig von der individuellen Situation im Unternehmen. Beim Einsatz von Anti-Spam-Lösungen sollten auf jeden Fall der Datenschutzbeauftragte des Unternehmens und/oder der Betriebsrat involviert sein. Am Einfachsten hat sich in der Praxis bewährt Spam-Mails entsprechend zu kennzeichnen und dem Mailbenutzer die Möglichkeit zu geben, diese selbst zu filtern.

Individuelle Maßnahmen

Was kann nun der individuelle Mailbenutzer unternehmen?
Vorbeugende Maßnahmen: Mailbenutzer sollten nie auf Abmelde-Links in Mails klicken oder antworten, falls unverlangt eine Mail eintrifft, welche behauptet, dass man sich einfach abmelden könnte. Meist passiert in diesem Fall das Gegenteil, dass man kurz danach umso mehr Spam-Mails bekommt. Oberstes Gebot sollte sein, nie auf eine Spam-Mail zu antworten. Auch URLs in Mails von unbekannten Absendern anklicken sollte man tunlichst unerlassen. Nach Möglichkeit seine Mailadresse nie auf Webseiten, Gästebücher im Internet, Online-Gewinnspielen o.ä. angeben. Grußkarten sind auch beliebte Sammelstellen für Mailadressen. Muss man dennoch seine Mailadresse bei einer Online-Registrierung angeben, kann man sich mit einer "Zweit-Adresse" behelfen, z.B. bei einem der vielen kostenlosen Mailprovider. Alternativ gibt es im Internet Dienste, welche temporär Mailadressen anlegen, welche nur eine bestimmte Zeit existieren (z.B. www.temporaryinbox.com). Falls Internet-News häufiger benutzt werden, hier am besten auch mit der "Zweit-Adresse" Nachrichten verschicken. Vermeiden, dass die eigene Mailadresse auf Webservern auftaucht. Wenn auf Webserver Mailadressen angegeben werden müssen, dann sollten diese so realisiert werden, dass sie aus dem HTML-Code nicht automatisiert ausgelesen werden können. Hilfreich ist es in manchen Fällen auch die HTML-Ansicht des Mailprogrammes zu deaktivieren und selbst keine HTML-formatierte Mail zu verschicken. Ersteres kann helfen verdächtige Mail besser zu erkennen und letztes kann vermeiden helfen, dass evtl. die eigene Mail in Spamfiltern hängen bleibt. Die HTML-Formatierung ist oftmals bei aktuellen Mailprogrammen die Standard-Einstellung.
Wichtigster Punkt ist aber ein gewisses Bewusstsein bei den Mailbenutzern zu schaffen, sei es durch intere Schulungen, Workshops oder Anleitungen, wie sie sinnvoll mit dem Medium Internet und speziell Mail umgehen, um möglichst Spam zu vermeiden.

Letztendlich sind Anti-Spam-Filterprogramme nur Symptombekämpfung.

Links dazu:


(c) Ralf Nägele 28.10.2008
ralf(at)naegele.net