Effizienter Einsatz spambekämpfender Maßnahmen in kleinen und mittleren Unternehmen

INHALTSVERZEICHNIS

I Abbildungsverzeichnis

II Tabellenverzeichnis

III Abkürzungsverzeichnis

IV Abstract

1 Einleitung
1.1 Ausgangssituation und Problemstellung
1.2 Zielsetzung
1.3 Methodische Vorgehensweise
1.4 Aufbau der Arbeit

2 Begriffsabgrenzungen
2.1 Spam
2.2 Mail Transfer Agent‘s

3 Spam Analyse und Interpretation
3.1 Ist-Situation
3.2 Wirtschaftlicher Schaden
3.3 Rechtliche Aspekte von Spam
3.3.1 Opt-In <-> Opt-Out Verfahren
3.3.2 Länderspezifische rechtliche Lage
3.4 Zukünftige Entwicklungen und Trends
3.4.1 E-Mail-Maulwürfe
3.4.2 Zombie-Server oder Botnet

4 MTA Systeme und Erweiterungen zur Spambekämpfung
4.1 Mail Transfer Agent Systeme
4.1.1 Microsoft Exchange
4.1.2 Sendmail
4.1.3 qmail
4.1.4 exim
4.1.5 Postfix
4.1.6 Resümee
4.2 Maßnahmen zur Vermeidung von Spam
4.2.1 Protokollbasierte Filterung
4.2.2 White- & Blacklist
4.2.3 DNS-basierte Blacklists
4.2.4 Sender Policy Framework
4.2.5 DKIM
4.2.6 Greylisting
4.2.7 Prüfsummenvergleich
4.2.8 Heuristische Inhaltsanalyse

5 Fallbeispiel postfix
5.1 Installation
5.1.1 Partition
5.1.2 Sonstige Einstellungen
5.2 Neue Pakete unter YaST2 installieren
5.3 Anlegen von Sicherheitseinstellungen
5.4 Transport Layer Security
5.4.1 Certified Authority erstellen
5.4.2 Client-Zertifikate erzeugen mittels RSA
5.4.3 TLS-Client konfigurieren
5.5 Greylisting
5.5.1 Implementierung des Postgrey-Systems
5.6 Sonstige Filtermöglichkeiten
5.7 SpamAssassin
5.7.1 DCC unter SpamAssassin
5.8 ClamAV Virenscanner
5.9 Mailscanner
5.10 Log-Auswertungen

6 Schlussfolgerungen
6.1 Zusammenführung der Erkenntnisse
6.2 Fazit

V Quellenverzeichnis

VI Anhang

I ABBILDUNGSVERZEICHNIS

Abbildung 1: Empfangsablauf

Abbildung 2: Spamvorkommen 2005 bis März 2010

Abbildung 3: MTA Kommunikationspartner

Abbildung 4: Mögliche Filtermethoden

Abbildung 5: Dateisystemstruktur unter Unix

Abbildung 6: Installationseinstellungen

Abbildung 7:YaST2

Abbildung 8: Vereinfachter Ablauf bei Mailzustellung

II TABELLENVERZEICHNIS

Tabelle 1: Herkunftsland des Spams

Tabelle 2: Spammer Profit Vs. Angerichteter Schaden

Tabelle 3: qmail Vergleich nach Sill

Tabelle 4: Gegenüberstellung der Open-Source MTAs

Tabelle 5: Beispiele von DNSBLs

Tabelle 6: Beispiel für chmod

III ABKÜRZUNGSVERZEICHNIS

Abbildung in dieser Leseprobe nicht enthalten

IV ABSTRACT

Besides offering a definition of the term „spam“ and giving an overview of various types of spam mail, this study investigated the negative effects of unsolicited e-mail traffic on the daily working routine of employees and the resulting economic damages. Furthermore, the study attempted to impart rudimentary knowledge on the operation of electronic mail to tech-savvy readers with experience in the field of networking. This study focused on an extensive analysis of several different approaches to contain the circulation of junk e-mails on the basis of trustworthy sources such as scholarly pieces and books. The author compared numerous software solutions with regard to pricing, set-up and the number of features and moreover, documented the set-up process of a server-side anti-spam program. It became apparent in the course of writing this study that every approach to prevent the reception of undesired email messages has its share of pros and cons, and that the ideal solution for consumers and business professionals is a combination of multiple measures. The rapid changes and unpredictability in the field of e-mail spam necessitate constant customization and at any rate, frequent updating of software.

1. EINLEITUNG

1.1. Ausgangssituation und Problemstellung

Die digitalen Postfächer der User werden von Tag zu Tag mehr mit Spam-Mails (siehe Begriffsdefinition Kapitel 2.1) überflutet, was für Mitarbeiter einen zusätzlichen Arbeitsaufwand zur Folge hat, da sie die nicht arbeitsrelevante Post von der erwünschten trennen müssen. Die Zeitperioden, in welchen die Mitarbeiter durch diese unproduktive Tätigkeit am Fortschreiten ihrer Arbeit gehindert werden, kosten dem Unternehmen Geld (vgl. Schäfer, 2005, S. 1).

Es gibt eine Vielzahl an Tools, mit deren Hilfe es möglich ist, die Flut an Spam-Mails einzudämmen. Einige Möglichkeiten, die in der Praxis Anwendung finden sind zum Beispiel folgende:

− Greylisting (Im Zuge dieser Arbeit wird auf „Postgrey“ eingegangen, einer Greylisting-Implementierung für Postfix)
− RBLs (Realtime Blackhole List)
− Kontrolle der MX-Einträge in DNS
− DKIM (DomainKeys Identified Mail) + SPF (Sender Policy Framework)
− Inhaltsprüfung mittels Suchbegriffen oder Hash-Werten (z.B.: SpamAssassin)

Neben weiteren Möglichkeiten gehören die oben genannten zu den bekanntesten und haben sich in vielen Unternehmen bereits bewährt und etabliert.

Greylisting ist eine relativ neue Variante der Spam-Filterung. Es arbeitet nicht mit einer Liste von IP-Adressen oder dergleichen, sondern ist ein Verfahren, das zwischen Spam- und rechtskonformen Versendern unterscheiden soll (vgl. Aschoff, 2005, S. 195). Spam-Server schicken ihre Nachrichten meist ohne darauf zu achten, ob bzw. welche Meldung zurückkommt. Reguläre Mailserver hingegen speichern das Mail für einen weiteren Zustellungsversuch zu einem späteren Zeitpunkt. Diesen Unterschied im Verhalten nutzt man beim Greylisting: Das E-Mail jedes Absenders wird beim ersten Versuch zurückgewiesen, und zwar mit Hinweis auf einen temporären Fehler. Der empfangende SMTP-Server merkt sich dabei allerdings die IP Adresse, den Absender und den Empfänger - und akzeptiert diese E-Mail beim zweiten Zustellversuch. Nach der Annahme kann - ja sollte - das Mail trotzdem weiteren Tests unterworfen werden, so kann es z. B. mittels SpamAssassin nach Schlagworten durchsucht werden.

Nach Paul Wood (2009, o.S) ist die zunehmende Verbreitung von Breitbandverbindungen indirekt ein Problem, da somit die Spammer High-Speed- Verbindungen für ihre kriminellen Aktivitäten nutzen können. Security-Firmen halten Schritt mit dieser Entwicklung, für Unternehmen ist es auf jeden Fall wichtig ihre Software regelmäßig zu updaten.

1.2 Zielsetzung

Ziel der vorliegenden Bachelorarbeit ist es, dem Leser Ansätze zur wirkungsvollen Spam- und Phishing-Bekämpfung näherzubringen. Außerdem stellen sich die Fragen, welche Bordmittel die großen Mailserver Exchange, Lotus Domino oder Postfix mit sich bringen und was z.B. mit Zusatzaufwand verbessert werden (OpenSource-Software, Mail-Gateways wie Symantec Brightmail etc.) kann.

Nach der wissenschaftlichen und literarischen Ausarbeitung erfolgt die Erläuterung zur Implementierung eines Systems um die steigende „Spam-Flut“ einzudämmen - anhand eines praktischen Beispiels für ein Klein- und Mittelunternehmen inklusive Ist-Analyse. Daraus ableitend ergibt sich für den Autor folgende Forschungsfrage:

„Welche Maßnahmen stehen einem Klein- und Mittelunternehmen bei der Spambekämpfung zur Verfügung und wie läuft die Konfiguration eines Mail-Gateways in der Praxis ab?“

1.3 Methodische Vorgehensweise

Die Bachelorarbeit beginnt mit einem literarischen Teil in welchem ausschließlich wissenschaftlich anerkannte Literatur als Quelle herangezogen wird.

Um den Themenbereich der praktischen Anwendung besser erläutern zu können wird ein Experteninterview mit dem Gruppenleiter des Endbenutzerservices der Niederösterreichischen Versicherung AG, Herrn Walter Müllner, geführt.

1.4 Aufbau der Arbeit

Die vorliegende Bachelorarbeit gliedert sich in sechs Kapitel. Im Anhang befindet sich ein Experteninterview sowie Ausschnitte von Logfiles.

Im ersten Kapitel wird auf die Ausgangssituation und Problemstellung eingegangen, sowie die methodische Vorgehensweise und der Aufbau der Arbeit formuliert.

Im darauffolgenden zweiten Kapitel werden die für die Bachelorarbeit wesentlichsten Begriffe definiert und abgegrenzt. Hierbei handelt es sich um eine Definition des Wortes „Spam“ und „Mail-Transfer-Agent‘s“.

Der dritte Abschnitt behandelt die IST-Situation beim Vorkommen von Spam-Mails, und die damit verbundene Belastung bzw. anfallende wirtschaftliche Kosten.

Systeme und Erweiterungen zur effektiven Bekämpfung des unerwünschten Mailverkehrs werden im vierten Kapitel erläutert.

Das Fallbeispiel mit Einführung eines Mail-Gateways inklusive adäquater Anti-Spam Maßnahmen erfolgt im fünften Kapitel. Dies erfolgt ausschließlich unter Verwendung frei erhältlicher Software wie Postfix, Spamassassin und ClamAV.

Das abschließende sechste Kapitel fügt die Ergebnisse der theoretischen und praktischen Datenerhebung zusammen und leitet eine entsprechende Schlussfolgerung sowie Fazit und Ausblick ab.

2. BEGRIFFSABGRENZUNGEN

2.1. Spam

Nach Eggendorfer (2005, S. 19 - 24) steht Spam für die massenhafte Sendung unerwünschter Werbung in den Newsgroups - hier tauchte der Begriff zuerst auf. Das Wort SPAM allerdings kommt aus dem US-amerikanischen und steht für Spiced Pork and Ham. Den Zusammenhang zwischen diesem Nahrungsmittel und unerwünschter Werbung gab es erstmals in einer Komödie von Monty Python.

Almer (2008, S. 13f) definiert drei Punkte, welche zutreffen müssen, damit eine Nachricht als unverlangtes Massen-Mail (in Englisch UBE = unsolicited bulk email) eingeordnet wird:

− Spam ist eine elektronische Nachricht.
− Spam ist immer unverlangt. Folglich, herrscht in keinster Weise eine Absprache zwischen Sender und Empfänger.
− Spam wird an mehrere Empfänger gleichzeitig gesendet, nicht individuell.

Wichtigstes Kriterium ist die Unerwünschtheit. Eine werbende Mail ist genauso wie Werbung per Fax, BTX, Telex, SMS oder auch Telefon immer dann unerwünscht, wenn sie außerhalb einer Geschäftsbeziehung zugesandt wird und der Absender nicht mit dem Interesse des Empfängers an seiner Zusendung rechnen durfte (vgl. Eggendorfer, 2005, S. 21). Technisch genauer definiert teilt sich Spam in UBE und UCE auf. UBE steht für Unsolicited-Bulk-E-Mail, frei übersetzt unaufgeforderte Massenmails. UBE’s enthalten zum Beispiel Kettenbriefe, Hoaxes (=E-Mails mit absichtlichen Falschmeldungen von neuen Gefahren wie Viren) sowie Phishing (vgl. Morawe, 2009, S. 4-5). Unter UCE fallen E-Mails mit kommerziellem Inhalt wie Glücksspiele, Aktienhandel, Verkauf von Software etc. (vgl. Weinberger, 2009, S. 4).

2.2 Mail Transfer Agent‘s

Mail Transfer Agent‘s tragen die Hauptlast der Internetkommunikation, indem sie die Post von einer Site über das Internet zu einer anderen Site verschieben. Wenn eine E-Mail verschickt wird, verbindet der E-Mail-Absender sein System mit einem MTA, der dann mit Hilfe von SMTP die E-Mail an den MTA überträgt, der für die Auslieferung der E-Mail an den Empfänger verantwortlich ist (vgl. Adelstein & Lubanovic, 2007, S. 120).

Dieser Mail-Server-Prozess kommuniziert mit dem Mail Delivery Agent (MDA) und ruft die elektronische Post ab. Anschließend kann der Endbenutzer mittels Mail User Agent (MUA) - deren gängigste Microsoft Outlook, Outlook Express und Mozilla Thunderbird sind - auf die abgerufene Post zugreifen, sie lesen, weiterleiten bzw. neue E-Mails verfassen und wegschicken.

Wie Abbildung 1 zeigt, empfängt der MTA Nachrichten vom MUA oder von einem anderen MTA auf einem anderen Mailserver. Ist diese Mail an einen Benutzer gerichtet, dessen Postfach sich auf dem lokalen Server befindet, dann wird sie an den MDA übergeben.

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Dye McDonald, Rufi, 2008, S. 128

Abbildung 1: Empfangsablauf

Die am häufigsten verwendeten MTA’s in der Praxis, auf welche noch zu einem späteren Zeitpunkt in dieser Arbeit eingegangen wird, sind:

− Microsoft Exchange-MTA
− Sendmail
− Postfix − qmail
− und Exim.

3. SPAM ANALYSE UND INTERPRETATION

Im folgenden dritten Kapitel wird dem Leser dieser Arbeit die IST-Situation beschrieben. Wie sehr belastet SPAM unsere tägliche Arbeit bzw. wie sehr könnte er es ohne geeignete Gegenmaßnahmen tun. Des Weiteren wird eine Methode der Spammer vorgestellt und welche Gefahren diese mit sich bringt. Es wird auch klargestellt ob sich rechtliche Schritte zur Prävention eignen, oder ob man sich nur auf seine Filtermaßnahmen verlassen kann.

3.1 Ist-Situation

In den letzten Jahren ist Spam zwar nicht der angenehmste, aber doch ein fester Bestandteil eines jeden Alltags geworden.

Der Internet-Security-Dienstleister Message Labs veröffentlicht monatlich Spam- Statistiken auf seiner Webseite unter

http://www.messagelabs.com/resources/mlireports. Diese sagen unter anderem aus, dass 90,7% aller elektronischen Nachrichten weltweit in die Kategorie Spam fallen, im Gegensatz zu Februar bedeutet dies eine Steigerung von 1,4% (vgl: Messagelabs Intelligence March 2010, S. 1). Des Weiteren sieht man in der folgenden Tabelle eine Auflistung der Länder, in welchen, basierend auf den Ort des Mail Servers, die meisten Spam-Mails verschickt wurden. Diese ist jedoch mit Vorsicht zu genießen, da durch Botnets oder auch Zombie-Server genannt - auf welche in einem späteren Kapitel der Arbeit eingegangen wird - die Statistik verzerrt wird. Betrachtet man dieselbe Statistik basierend auf Herkunft des Senders und nicht des Mailservers, steht China vor Rumänien an der Spitze der Spam-Verursacher.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Herkunftsland des Spams

Wie bereits vorab erwähnt, ist im März 2010 die Spam Rate bezugnehmend auf den Message Labs Bericht (03/2010, S.1f) auf 90,7% gestiegen. Anhand dieses Berichts sieht man Österreich eine Spam Rate von 93,2% im Monat März. Nach Hrn. Müllner (2010, persönliches Gespräch) treffen an sich täglich zwischen 40.000 und 80.000 Connectversuche ein, nach Überprüfung von MX, HELO und Mailadresse des Versenders, bleiben etwa 7.000 bis 12.000 übrig […] Zugestellt werden dann meist so an die 2.000 bis 2.500 Mails- aufgeteilt auf ca. 600 Anwender.

Abbildung in dieser Leseprobe nicht enthalten

Quelle: MessageLabs Intelligence March, 2010, S. 7

Abbildung 2: Spamvorkommen 2005 bis März 2010

Auffallend ist auch der Einbruch Ende 2008, welcher auf die Wirtschaftskrise zurückzuführen ist. Spammer arbeiten ebenso nach Geschäftsmodellen wie andere Unternehmen. Hauptgrund der Krise für die Spammer war schlichtweg, dass ihren Kunden das Geld fehlte um in diese dubiosen Marketingmaßnahmen zu investieren.

3.2 Wirtschaftlicher Schaden

Nach Angaben einer Studie von Ferris Research stieg der wirtschaftliche Schaden, der durch Spam verursacht wurde, von 50 Milliarden US-Dollar im Jahr 2005 auf 100 Milliarden Dollar in 2007. (vgl. Angeli & Kundler, 2009, S. 279).

Wie hoch die Gewinnspanne ausfallen kann zeigt ein Beispiel des deutschen Bundesamts für Sicherheit in der Informationstechnik, welches im Zuge einer Studie ausgearbeitet wurde.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Spammer Profit Vs. Angerichteter Schaden

Zusätzlich zum Verlust der Arbeitszeit, die beim Löschen anfällt, gefährden Spam- Mails, welche Viren beinhalten, die Netzwerkstruktur von Unternehmen. Die Folgen reichen von Datenverlust und -klau bis hin zum Worst-Case-Szenario, einem fatalen Systemcrash. Generell kann gesagt werden, dass durch den erhöhten Aufwand und die steigende Häufigkeit von Spam-Mails zusätzliche Infrastrukturkosten (Server), Softwarekosten sowie Personalkosten anfallen. Zusammenfassend lässt sich aus der Studie ableiten, dass für ein Klein- und Mittelunternehmen zwischen 4 Cent bis 6 Cent an Kosten pro Spam-Mail anfallen, was einen Gesamtkostenpreis von bis zu 75.000,00 € pro Jahr ausmachen kann (vgl. Topf et al, 2005, S. 34). Eine effektive Spamabwehr ist daher unverzichtbar. Durch die Verwendung von Open Source- Software könnte hier natürlich doppelt gespart werden - da die ein- und ausgehenden Mailserver zudem auf einem ESX-Verbund laufen können fallen auch die Hardwarekosten moderater aus (vgl. Müllner, 2010, persönliches Gespräch). Spam ist daher zu einem wirklich gewichtigen Kostenfaktor geworden, kostet es doch nicht zuletzt viel Zeit und Geld, in der Flut an Müll die wirklich relevanten E-Mails zu finden (vgl. Janowicz, 2007, S. 133). Deshalb orientiert sich das Fallbeispiel dieser Arbeit an Open Source-Softwarelösungen. Damit kann man an den richtigen Stellen sparen, ohne Leistung gegenüber kommerziellen Lösungen zu verlieren.

3.3 Rechtliche Aspekte von Spam

3.3.1 Opt-In <-> Opt-Out Verfahren

Hinsichtlich der Erlaubniserteilung des Kunden ist zwischen Opt-Out, Opt-In und Confirmed Opt-In und Double Opt-In zu unterscheiden (vgl. Wirtz, 2008, S. 180). Beim Opt-In Verfahren ist die ausdrückliche Zustimmung des Empfängers von Nöten, um Werbung zu schicken. Des Weiteren muss die Zustimmung jederzeit widerruflich sein. Der User bestimmt hier selbst, welche Werbungen er erhalten möchte. Den Gegenspieler stellt das Opt-Out Verfahren, hier muss der Empfänger die Initiative ergreifen, um keine weiteren Nachrichten zu erhalten. In der Praxis zeigt sich häufig, das jene zur Abmeldung angegebenen Adressen, den gegenteiligen Effekt haben. Der Spammer merkt, dass seine Zusendungen unter diese Adresse gelesen werden - und kann die damit als „verified“ geltende Mail-Adresse teurer verkaufen (vgl. Goodman & Danny, 2004, o.S.).

3.3.2 Länderspezifische rechtliche Lage

Auf Grund des wirtschaftlichen Schadens relativierend aus den Spam E-Mails, waren die Gesetzgeber in den letzten Jahren gezwungen, einige neue Regelungen durchzusetzen. Ziel aller beteiligten Politiker ist ein weltweit einheitliches, koordiniertes Vorgehen gegen die Spam-Problematik (vgl. Gschiegl, 2006, S. 13). Am Beispiel des Rechtsstaates Österreich ist lt. Telekommunikationsrecht § 107 das Versenden von Spam in Österreich nicht zulässig (in anderen europäischen Ländern gelten ähnliche Bestimmungen) (vgl. Weinberger, 2009, S. 12):

§107 (1) Anrufe - einschließlich das Senden von Fernkopien - zu Werbezwecken ohne vorherige Einwilligung des Teilnehmers sind unzulässig. Der Einwilligung des Teilnehmers steht die Einwilligung einer Person, die vom Teilnehmer zur Benützung seines Anschlusses ermächtigt wurde, gleich. Die erteilte Einwilligung kann jederzeit widerrufen werden; der Widerruf der Einwilligung hat auf ein Vertragsverhältnis mit dem Adressaten der Einwilligung keinen Einfluss.

[...]