NiX Spam - Heinlein
NiX Spam - Heinlein
NiX Spam - Heinlein
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>NiX</strong> <strong>Spam</strong><br />
Erfahrungen mit dem Filterprojekt der iX<br />
2. Mailserver-Konferenz, 19. Mai 2005<br />
Bert Ungerer, Redaktion iX
2<br />
<strong>Spam</strong> der 1. Generation: Diebstahl der Aufmerksamkeit<br />
„Echte“ E-Mails von festen IP- und Absender-Adressen<br />
Gelegenheits- und Hobby-<strong>Spam</strong>mer, die für eigene Produkte und<br />
Dienstleistungen werben<br />
Gegenmaßnahmen: kleine, lokale Blacklists unerwünschter IP- und<br />
From:-Adressen, Beschwerden beim Provider des <strong>Spam</strong>mers, in<br />
Deutschland: Abmahnungen, Klagen
3<br />
<strong>Spam</strong> der 2. Generation: Diebstahl einzelner Ressourcen<br />
<strong>Spam</strong>mer nutzen Server-Schwachstellen, zum Beispiel Open Relays,<br />
CGI-Skripte (Formmail), offene Proxies.<br />
Fälschung von Header-Einträgen (From:, Received: etc.)<br />
Verschleierung der Urheberschaft<br />
Professionalisierung der <strong>Spam</strong>mer, Auftragsarbeiten<br />
Gegenmaßnahmen: netzweit verfügbare, per DNS abfragbare IP-<br />
Blacklists (DNSBLs), Inhaltsfilterung und -vergleiche
4<br />
IP-Black- und Whitelists<br />
IP-Adressen sind nicht fälschbar.<br />
Die meisten Mailserver versenden entweder nur <strong>Spam</strong><br />
oder nur Ham.<br />
Lokale Blacklists oder einfache Online-Abfrage mittels<br />
DNS (DNSBLs) bei der Annahme durch den Mailserver<br />
Oft unklare Policy der DNSBL-Betreiber<br />
Whitelists meistens lokal zur Milderung von Filter-<br />
Nebenwirkungen
5<br />
<strong>Spam</strong> der 3. Generation: Diebstahl der Infrastruktur<br />
Von <strong>Spam</strong>mern oder für <strong>Spam</strong>mer installierte Open Proxies und<br />
andere Hintertür-Funktionen auf ungeschützten PCs<br />
Ferngesteuerte Zombie-PCs (Botnetze) als (verteilte) Mailserver für<br />
den Direktversand von E-Mails<br />
Organisierte Kriminalität, Allianz zwischen <strong>Spam</strong>mern sowie Viren- und<br />
Wurmprogrammierern<br />
Verschleierung der E-Mail-Inhalte zum Unterlaufen von Inhaltsfiltern<br />
Gegenmaßnahmen: Dialup-Blacklists, Greylisting, Port-25-Sperre,<br />
Mailserver-Akkreditierung durch SPF, DomainKeys, MTAmark etc.
6<br />
Verteilter <strong>Spam</strong>-Angriff
7<br />
Envelope-From<br />
3k5fj@hotmail.com<br />
t4ja@earthlink.net<br />
kbd615@bigfoot.com<br />
l6k@email.com<br />
5g3287l7@yahoo.com<br />
rj8@mail.com<br />
47eq1@bigfoot.com<br />
3fqq3@hotmail.com<br />
e90o52a0l@mail.com<br />
qe9b@delphi.com<br />
bec6@aol.com<br />
ll8l81@mail.com<br />
348gj@bigfoot.com<br />
1u2i5g@hotmail.com<br />
3qa@email.com<br />
os9@aol.com<br />
c8j7h2r@earthlink.net<br />
jq33@mail.com<br />
Betreffzeile<br />
Verteilter <strong>Spam</strong>-Angriff<br />
Produce Stronger Erections<br />
3e10287i@earthlink.net Stop Premature Ejaculation!<br />
Fast Distribution Worldwide<br />
Gain 3+ Full Inches In Length<br />
Gain 3+ Full Inches In Length<br />
100% Safe To Take, With No Side Effects<br />
HAVE MORE INTENSE ORGASMS!<br />
Fast Distribution Worldwide<br />
100% Safe To Take, With No Side Effect<br />
Natural Penis enlargement pill!<br />
Is your cock to small?<br />
HAVE MORE INTENSE ORGASMS!<br />
ADD 3 INCHES IN LENGTH!<br />
Stop Premature Ejaculation!<br />
GAIN AN EXTRA 20% IN THICKNESS!<br />
ADD 3 INCHES IN LENGTH!<br />
MUCH BIGGER PENIS?<br />
? The EZ way to increase penis size?<br />
Gain 3+ Full Inches In Length<br />
Einlieferndes Gateway (nicht fälschbar!)<br />
pD9E8EBF0.dip.t-dialin.net<br />
203.160.179.229<br />
c210-49-78-109.belrs1.nsw.optusnet.com.au<br />
pcp03778052pcs.pimaco01.az.comcast.net<br />
pool-68-163-228-99.bos.east.verizon.net<br />
12-223-224-81.client.insightbb.com<br />
212.73.179.192<br />
c-67-163-94-77.client.comcast.net<br />
149.159.61.217<br />
81-202-247-117.user.ono.com<br />
200-102-087-119.pltce7002.dsl.brasiltelecom.net<br />
CBL217-132-78-209.bb.netvision.net.il<br />
AReims-105-1-14-81.w81-49.abo.wanadoo.fr<br />
Gemeinsames Merkmal: Gleiche Prüfsumme<br />
cable121-125.sudbury.personainc.net<br />
132.248.185.169<br />
u195n206.hfx.eastlink.ca<br />
wsp030879wss.mccormick.mu.edu<br />
modemcable099.136-200-24.mtl.mc.videotron.ca<br />
h001060c1f8b8.ne.client2.attbi.com
8<br />
DNS-Namen von Zombie-PCs und „richtigen“ Mailservern<br />
user-212-88-249-69.tvcablenet.be<br />
kbl-vlis2916.zeelandnet.nl<br />
d212-96-80-128.cust.tele2.fr<br />
139.red-212-97-176.user.auna.net<br />
lyris.devworld.com<br />
voyager.usenix.org<br />
smtphost1.microsoft.com
9<br />
<strong>Spam</strong> der 4. Generation: Diebstahl der Identität<br />
<strong>Spam</strong>mer nutzen Backdoors und Spyware auf Zombie-PCs<br />
zum Ausspionieren der Anwender.<br />
Jetzt: Immer mehr <strong>Spam</strong> über offizielle Mailserver (Smart<br />
Hosts) der Anwender-Provider<br />
In Zukunft: <strong>Spam</strong> als individuelle E-Mails an Empfänger aus<br />
dem Adressbuch?<br />
Gegenmaßnahmen: ?
10<br />
wachsender Aufwand<br />
Wo filtern?<br />
Mailserver des Absenders<br />
Mailserver des Empfängers<br />
Mailclient des Empfängers<br />
Empfänger manuell<br />
Rückkopplung
11<br />
wachsender Aufwand<br />
Was filtern?<br />
IP-Adresse des Absenders<br />
SMTP-Befehle (z. B. HELO)<br />
Header-Zeilen der E-Mail<br />
Inhalt der E-Mail<br />
Rückkopplung
12<br />
wachsender Aufwand<br />
Wie filtern?<br />
IP-Blacklists<br />
Greylisting, Checksums<br />
Heuristische Filter<br />
Statistische Filter<br />
Rückkopplung
13<br />
Exkurs: Greylisting<br />
Unterscheidung zwischen „richtigen“ Mailservern und<br />
<strong>Spam</strong>-Gateways durch strenge SMTP-Auslegung<br />
Verzögerte Zustellung<br />
Höherer Ressourcenbedarf bei Absender und Empfänger<br />
Whitelist notwendig<br />
Untauglich bei Missbrauch offizieller Mailserver<br />
Derzeit sehr wirksam
14<br />
Greylisting an der Uni Würzburg<br />
Verzehnfachung des <strong>Spam</strong>-Volumens 2003<br />
Anfang 2004: Ablehnung aller E-Mails an ungültige<br />
Empfängeradressen<br />
Kurzfristiger Effekt, weiterhin drastische Steigerung<br />
Mai 2004: Einführung von Greylisting<br />
2003 2004<br />
Quelle: Uni Würzburg 2004
15<br />
Blacklists von Absenderadressen<br />
Whitelists, Greylisting, SPF & Co.<br />
beliebig<br />
Antispam-Verfahren<br />
IP-Blacklists<br />
Verschleiern von Adressen,<br />
Vermeiden der Veröffentlichung<br />
Prüfsummenbildung zur Erkennung<br />
schon bekannter <strong>Spam</strong>-E-Mails<br />
Inhaltsanalyse mit statistischen<br />
Filtern (z. B. Bayes)<br />
Anti-Antispam-Maßnahmen<br />
<strong>Spam</strong>mer-Gegenmaßnahme<br />
Fantasie-Adressen (asdf@jkl.com)<br />
„Zombie-PCs“ mit dynamischen<br />
IP-Adressen als "Wegwerf-Gateways"<br />
Durchprobieren, Suchmaschinen,<br />
Stehlen (Backdoors, Spyware)<br />
pseudozufällige E-Mail-Inhalte<br />
Verschleierung durch „Tippfehler“,<br />
Javascript, HTML etc.<br />
Identitätsdiebstahl<br />
je mehr Filter, desto mehr <strong>Spam</strong>
16<br />
Vorbeugende Antispam-Maßnahmen<br />
Höchstens (!) eine E-Mail-Adresse pro Mitarbeiter<br />
Ausnahmsweise eine weitere zum „Verbrennen“ (Freemailer)<br />
Mailserver-Feineinstellungen<br />
Laufend aktualisierter Virenscanner<br />
Unbenutzte PCs ausschalten<br />
Große Verteilerlisten nicht im Header verewigen (BCC)<br />
Schulung der Mitarbeiter
17<br />
Fragwürdige Antispam-Methoden<br />
Geheimhalten der eigenen E-Mail-Adresse<br />
Unbrauchbare Adressen wie „meine at e-mail dot com“<br />
Automatische Antworten mit Aufforderung zur<br />
Bestätigung der Absender-Adresse<br />
(Challenge/Response)<br />
Viel Aufwand für einen Bruchteil der möglichen<br />
Verbreitungswege
18<br />
Wie <strong>Spam</strong>mer an Adressen gelangen<br />
Durchsuchen öffentlicher Quellen: Web, Newsgruppen,<br />
Whois- und andere Verzeichnisse …<br />
Ausprobieren: Adressbuch-, Wörterbuch- und „Brute-<br />
Force“-Angriffe<br />
Automatische Antworten<br />
Verseuchte PCs: „private“ Adressenlisten, Browser-<br />
Cache …<br />
Adressenhandel
19<br />
Erste Hilfe bei <strong>Spam</strong>befall<br />
Keinen Link in <strong>Spam</strong>-Mails anklicken, auch nicht zum<br />
„Austragen“ (Unsubscribe)<br />
Laden externer Web-Inhalte durch die Mailclient-Software<br />
unterbinden<br />
Automatische Antworten nur an vertrauenswürdige<br />
Absender<br />
Unterstützung des eigenen Filters durch erweiterte mailto:-<br />
URLs auf den eigenen Kontakt-Webseiten<br />
Entsprechend vorausschauende Nutzung vollständiger<br />
Header in selbst versandten E-Mails
20<br />
Was tun mit <strong>Spam</strong>?<br />
Unmittelbar abweisen (im SMTP-Dialog)<br />
Annehmen und löschen<br />
E-Mail mit Fehlermeldung (Bounce) an Absenderadresse<br />
Annehmen, Markieren und Zustellen<br />
Zustellen in Quarantäne-Verzeichnis, Mitteilung an<br />
Empfänger (bei Viren- und Wurmverdacht)<br />
Drei Kategorien: eindeutig <strong>Spam</strong> – unklar – eindeutig Ham
21<br />
Ärgernis Autoreply und „Bounces“<br />
Die meisten <strong>Spam</strong>s und Wurm-E-Mails tragen<br />
gefälschte, schlimmstenfalls existierende, da<br />
gestohlene Absender-Adressen.<br />
Automatische Antworten auf <strong>Spam</strong> und Würmer<br />
(Empfangsbestätigungen, „Out of Office“, ...) sind<br />
daher nicht nur sinnlos und ärgerlich, sondern<br />
können wichtige persönliche Informationen<br />
preisgeben.<br />
Automatische Bitten um Absender-Verifikation<br />
(„Challenges“) wegen jeder Mail sind eine<br />
Zumutung!<br />
Fazit: Erst filtern, dann handeln!
22<br />
individuelles Mail-Volumen<br />
niedrig<br />
„Ham“<br />
E-Mail heute<br />
iX-Adressen: 0 bis über 400 <strong>Spam</strong>-Mails pro Tag<br />
?<br />
<strong>Spam</strong><br />
<strong>Spam</strong>-Wahrscheinlichkeit hoch
23<br />
individuelles Mail-Volumen<br />
niedrig<br />
Ham<br />
E-Mail morgen?<br />
Weder-noch<br />
MTA-Warnungen (u. a. wg. <strong>Spam</strong>+Viren)<br />
Generell immer mehr "Automaten-Mail"<br />
Bitten um Adress-Verifikation<br />
Werbung von Geschäftspartnern<br />
(oder die sich dafür halten)<br />
andere "gut gemeinte" Werbung<br />
Update your contact details<br />
private E-Mails (Witze etc.)<br />
Firmeninterne Junk-Mail<br />
Bitten um Weiterleitung<br />
Bitten um Verlinkung<br />
Irrläufer<br />
...<br />
<strong>Spam</strong><br />
<strong>Spam</strong>-Wahrscheinlichkeit hoch
24<br />
Kombinierte Filter-Elemente<br />
Absender okay: Whitelist Match<br />
Eingehende<br />
E-Mail<br />
Mail<br />
bekannt:<br />
Checksum<br />
Match<br />
Header-<br />
Analyse<br />
Absender nicht okay: Blacklist Match<br />
Body-<br />
+Header-<br />
Analyse<br />
90% - 8% 2% 4% 16% 40% 40%<br />
Ham <strong>Spam</strong><br />
Statistiken aus ca. 30.000 <strong>Spam</strong>s/Woche an 30 Anwender
25<br />
Inhalt der E-Mail<br />
Absender-<br />
Mailserver<br />
Folgerung<br />
Filter-Kombination:<br />
Ohne Inhaltsanalyse gegen „Botnetze“<br />
<strong>Spam</strong> & Würmer<br />
hochredundant (meist<br />
durch Checksum-Treffer<br />
bekannt)<br />
stark differenziert (Netze<br />
aus Zombie-PCs, IP-<br />
Adresse oft unbekannt)<br />
Mail bekannt, Absender<br />
unbekannt:<br />
wahrscheinlich <strong>Spam</strong><br />
Erwünschte E-Mails<br />
stark differenziert (meist<br />
Unikate)<br />
hochredundant (meist<br />
durch Whitelist-Treffer<br />
bekannt)<br />
E-Mail nicht bekannt,<br />
Absender bekannt:<br />
wahrscheinlich Ham<br />
Datenschutzrechtlich weniger bedenklich als der Inhalts-Scan!
26<br />
90 %<br />
10 %<br />
40 %<br />
20 %<br />
40 %<br />
Autark durch Rückkopplung<br />
Eigenentwicklung „<strong>NiX</strong> <strong>Spam</strong>“: Procmail-<br />
Skript für SMTP-Gateways; ca. 100 heuristische<br />
Regeln in 1000 Zeilen<br />
Grundannahmen „<strong>Spam</strong> ist hochgradig<br />
redundant“ (=> Fuzzy Checksums) und<br />
„Gateways senden meist nur <strong>Spam</strong> oder nur<br />
Ham“ (=> White-/Blacklists).<br />
Ressourcenfressender Inhaltsfilter entlastet<br />
sich selbst mit jedem Blacklist-, Whitelist- und<br />
Prüfsummen-Eintrag.<br />
Mit steigender Zahl der Anwender sinkt die<br />
für eine Inhaltsanalyse nötige Rechenkapazität<br />
pro Anwender.<br />
Vermeidung von Nachteilen externer Dienste<br />
wie DNSBLs (Zeitverlust, Overhead, Kosten,<br />
geringe Nachvollziehbarkeit)<br />
Öffentliches Projekt: www.nixspam.org
27<br />
Treffer-Anteil<br />
Filter-Elemente aus wirtschaftlicher Sicht<br />
Gateways:<br />
Blacklist-Test<br />
empfangene E-Mails:<br />
Fuzzy Checksums<br />
Rückkopplung<br />
Je teurer das Verfahren,<br />
desto seltener kommt es<br />
zum Einsatz – wenn sich die<br />
Elemente „kennen“ ...<br />
unbekannte E-Mails:<br />
Header-Analyse<br />
noch unklare E-Mails:<br />
Body-Analyse<br />
Kosten: Rechenlast, Transport, Speicherung, Arbeitszeit
28<br />
Fazit<br />
Gegen verteilte <strong>Spam</strong>-Attacken helfen verteilte, miteinander<br />
gekoppelte Filterlösungen.<br />
Rückkopplung der Ergebnisse teurer Filter in günstigere Filter<br />
spart Ressourcen.<br />
Je mehr eigene E-Mails für die Rückkopplung zur Verfügung<br />
stehen, desto weniger Bedarf besteht am Import zusätzlicher<br />
Informationen (DNSBLs, Prüfsummen-Server).<br />
Die nächste Bedrohung (immer mehr <strong>Spam</strong> von „offiziellen“<br />
Mailservern) erfordert Ausgangsfilterung bei Providern.<br />
<strong>Spam</strong>-Gegenmaßnamen sollten stets zum Ziel haben, <strong>Spam</strong>mer<br />
in deren eigene Infrastruktur zurückzudrängen.
29<br />
Bei allem Aufwand: Das Medium<br />
E-Mail verdient jede erdenkliche<br />
Maßnahme gegen seinen<br />
Missbrauch.<br />
Bert Ungerer , www.nixspam.org<br />
Oder?