This is the Title of the Book, eMatter Edition
Copyright © 2005 O’Reilly & Associates, Inc. All rights reserved.
|
137
First
Max.
Linie
Max.
Linie
Kapitel 6
KAPITEL 6
Zusätzliche Ansätze gegen Spam
Der Kampf gegen Spam ist ein ständiges Wettrüsten zwischen den Spammern und
ihren Gegnern, den Administratoren der E-Mail-Systeme. Damit Letztere einen
Vorsprung gewinnen können, wurden in der letzten Zeit einige interessante neue
Ansätze zur Abwehr von Spam entwickelt. Diese basieren teilweise auf völlig ande-
ren Methoden als die klassischen regelbasierten oder statistischen Filter.
Zuerst behandelt dieses Kapitel das Greylisting, eine sehr wirksame Methode zur
Abwehr von fehlerhaften SMTP-Clients. Danach werden einige verteilte Spam-
Erkennungsmethoden vorgestellt, bei denen die Ressourcen vieler Mailserver im
Internet im Kampf gegen E-Mail-Missbrauch vereint werden. Dann folgt eine kurze
Beschreibung von Hashcash, einem Verfahren, das den massenhaften E-Mail-Ver-
sand dadurch unterbinden will, dass der Absender vor dem Versand eine gewisse
Rechenzeit aufbringen muss. Schließlich werden einige Verfahren vorgestellt, die
versuchen, die Fälschung der Absenderadressen zu verhindern.
Leider ist die Verbreitung dieser zusätzlichen Methoden noch so gering, dass ihre
Wirksamkeit oft darunter leidet. Eine Ausnahme bildet das mittlerweile sehr popu-
läre Greylisting, das sich als eine der derzeit wirksamsten Methoden etabliert hat.
Aber auch die verteilten Spam-Erkennungsmethoden werden sich bei entsprechen-
der Verbreitung als eine wirksame Spam-Abwehrmethode erweisen. Schließlich
sehen viele Systeme mehr als eines.
Greylisting
Das Greylisting ist ein Verfahren, bei dem während des SMTP-Dialogs durch einen
Vergleich von Client-IP-Adresse, Absenderadresse und Empfängeradresse mit einer
Datenbank festgestellt wird, ob diese Kombination bereits vorgekommen ist. Wenn
das nicht der Fall ist, wird die E-Mail mit einem temporären Fehler abgelehnt.
Damit wird der sendende Mailserver informiert, dass ein vobergehendes Problem
vorliegt und die E-Mail nach einer gewissen Wartezeit erneut zugestellt werden
kann. Ein korrekt implementierter Mailserver wird die E-Mail dann in seiner Queue
This is the Title of the Book, eMatter Edition
Copyright © 2005 O’Reilly & Associates, Inc. All rights reserved.
138
|
Kapitel 6: Zusätzliche Ansätze gegen Spam
Links
Max.
Linie
Max.
Linie
speichern und zu einem späteren Zeitpunkt ausliefern. Darauf werden wiederum
Client-IP-Adresse, Absender und Empfänger in der Datenbank gesucht. Da sich
diese aber bereits in der Datenbank befinden, wird die E-Mail daraufhin akzeptiert.
Ein Großteil der Spam- und Viren-E-Mails wird heutzutage von Rechnern versen-
det, in die eingebrochen wurde oder auf denen ein Virus installiert werden konnte
(»Zombies«). Diese fungieren als Roboter für Spam-Versender und werden von
ihren Betreibern regelrecht an Spammer vermietet. Diese Programme enthalten für
gewöhnlich nur eine minimale SMTP-Implementierung, die nicht in der Lage ist,
einmal abgelehnte E-Mail zu spoolen und für einen späteren Versand vorzuhalten.
Ein solcher Zombie macht daher normalerweise keinen zweiten Zustellungsver-
such, so dass die Spam- oder Viren-E-Mail daraufhin nicht an das System ausgelie-
fert wird.
Das Greylisting zählt derzeit zu den effektivsten Methoden, um gegen uner-
wünschte E-Mails vorzugehen. Allein durch das Greylistingnnen derzeit rund
70% des potenziellen Spam-Aufkommens auf einem Mailserver vollständig ge-
blockt werden. Allerdings ist es auch nur eine Frage der Zeit, bis sich die Gemeinde
der Spammer und Virenautoren auf diese Methode der Spam-Bekämpfung einge-
richtet und entsprechende Queues in ihre Software eingebaut hat. Aber selbst wenn
sie durch den Einbau von Queues in ihre Software aktiv gegen Greylisting vorge-
hen, heißt das noch nicht, dass dieses dadurch vollkommen nutzlos geworden ist.
Durch die Verzögerung, die beim Empfang der Spam- oder Viren-E-Mail entsteht,
gewinnt man Zeit. Zeit, in der andere Spam-Erkennungssysteme wie DNSBL oder
die unten beschriebenen verteilten Systeme den Spammer beziehungsweise seine
E-Mail bereits aufgenommen haben könnten, so dass die E-Mail trotzdem erfolg-
reich erkannt und geblockt werden kann.
Probleme durch Greylisting
Trotz seiner großen Erfolge hat das Greylisting-Verfahren auch Nachteile. Ein Pro-
blem stellen Verbünde von Mailservern dar, die E-Mails für eine Organisation von
verschiedenen IP-Adressen verschicken, was oft bei größeren ISPs der Fall ist. Nor-
malerweise liegen diese Verbünde in einem Subnetz, so dass man sich hier behelfen
kann, indem man an Stelle der kompletten IP-Adresse des Clients nur sein Netz
speichert. Der Einfachheit halber wird hierfür normalerweise ein Netz der Klasse C
(/24) angenommen. In der Praxis sieht das dann so aus, dass an Stelle der komplet-
ten IP-Adresse wie zum Beispiel 217.72.192.188 nur 217.72.192 gespeichert wird. Da-
durch werden in der Folge E-Mails von jedem Server im Netzbereich von 217.72.192
akzeptiert. Damit wird die E-Mail, selbst wenn sie von verschiedenen Mailservern
im selben Subnetz ausgeliefert wird, nicht jedes Mal durch das Greylisting geblockt.
Dieser Mechanismus istr die meisten Betreiber von Mailservern ausreichend.
Es gibt einige SMTP-Server-Implementierungen, die E-Mails nach erfolgtem Grey-
listing nicht erneut verschicken, so dass die E-Mail daraufhin für den Empfänger

Get Mit Open Souce-Tools Spam & Viren bekaempfen now with O’Reilly online learning.

O’Reilly members experience live online training, plus books, videos, and digital content from 200+ publishers.