Schutz vor Unsolicited Bulk E-Mails in Unternehmen

Inhaltsverzeichnis

1 Einleitung

2 Definition - Was ist SPAM?

3 Geschichte vonSPAM

4 Methoden der Adressermittlung
4.1 E-Mail Address Harvesting
4.2 Blind-Broadcast
4.3 SPAM-Botnets

5 Technische Schutzmaßnahmen
5.1 Serverbasierte Lösungen
5.1.1 DNS-Blacklists
5.1.2 Sender Policy Framework
5.1.3 Teergrube
5.1.4 Greylisting
5.1.5 PenaltyBox
5.2 Clientbasierte Lösungen
5.2.1 AntiSPAM-Software
5.2.2 SPAM-Schutz im Mailclient

6 Persönliche Schutzmaßnahmen

7 SPAMundRecht

8 Fazit

Abkürzungsverzeichnis

Anlage 1: DEC 1978 - SPAM

Anlage 2: JJ 1988 - SPAM

Abbildungsverzeichnis

Beispiel eines Greylisting-SMTP-Dialogs (Quelle: FrankRichter, TU Chemnitz)

Funktion von AntiSPAM-Software (eigene Grafik)

1 Einleitung

Seit den Sechziger Jahren des letzten Jahrtausends gibt es elektronische Mails, kurz E­Mails. Das Datenvolumen der übertragenen E-Mails überstieg bereits 1971 das über Telnet und FTP übertragene Datenvolumen^[1]. Der Erfolg der E-Mail-Kommunikation erforderte eine Standardisierung in einem Protokoll, das 1982 im RFC 822 als „Standard for ARPA Internet Text Messages“ festgelegt wurde^[2]. Erfolgte damals die auf E-Mail basierte Kommunikation noch in den abgeschotteten ARPA-Netzen der Wissenschaftsinstitute, so wird seit Mitte der Neunziger Jahre vorwiegend das Internet als Kommunikationsplattform genutzt. Das verwendete Protokoll ist hinreichend bekannt unter der Abkürzung SMTP („Simple Mail Transfer Protocol“). Heutzutage ist E-Mail der erfolgreichste Internet­Dienst und aus dem Geschäftsleben nicht mehr wegzudenken.

Doch mittlerweile sind nach Schätzungen des BSI 60% bis zeitweise 90% aller E-Mails als SPAM klassifizierbar. SPAM verstopft nicht nur die Mailboxen der Privatanwender, sondern belastet immer zunehmender die geschäftliche Kommunikation. Ohne SPAM­Filter summieren sich die Arbeitsausfälle durch manuelles Klassifizieren und Löschen von SPAM-E-Mails durch die Anwender auf 140.000 Euro in einem mittelständischen Unternehmen. Betrachtet man den Schaden für die gesamte Volkswirtschaft, wird sehr schnell einen Milliardenbetrag erreicht. Hinzu kommen durch Trojaner und Keylogger infizierte Workstations, die entweder zu einem ferngesteuerten Schwarm für Angriffe auf Unternehmensnetzwerke oder zur Industriespionage eingesetzt werden. Das israelische Anti-SPAM-Start-up-Unternehmen Blue Security beispielsweise musste unlängst unter dem Druck eines Distributed-Denial-Of-Service-Angriffs seine Dienste einstellen^[3]. Ein Jahr zuvor, ebenfalls in Israel, spionierten national agierende Unternehmen ihre Konkurrenten mit Hilfe von über E-Mail verschickten Trojanern monatelang aus^[4].

2 Definition - Was ist SPAM?

SPAM ist einer von vielen Begriffen für unverlangt zugesandte Massen-E-Mails. Daher wird in der Fachliteratur einheitlich von UBE, Unsolicited Bulk E-Mail, gesprochen. Abhängig vom Inhalt der E-Mails unterscheidet man UBE in^[5]:

- UCE sind Unsolicited Commercial E-Mails (unverlangte werbende E-Mails) mit größtenteils Werbung für Sex-, Pharmazie-, Softwareprodukte oder geschlechts­bezogene Schönheitsoperationen.
- SCAM(engl. Betrug, Beschiss) sind über E-Mail initiierte Betrugsversuche, die den Empfänger meist zu dubiosen Finanztransaktionen aufrufen. Typische SCAM- Absender geben vor, aus Entwicklungsländern zu kommen und bieten den Empfängern relativ hohe Geldbeträge, wenn diese vorher die „Gebühren“ überweisen („Advanced Fee Fraud“).
- Phishing E-Mails bezeichnet trickbetrügerische E-Mails. Die Absender versuchen, die E-Mails als z.B. offizielles Schreiben einer Institution zu tarnen und den Empfänger zur Herausgabe geheimer Informationen zu bringen.
- Malware E-Mails sind mit Würmern, Viren oder Trojanern versendete E-Mails. Das Ziel der Malware war in den letzten Jahren eindeutig das massenweise infizieren und versenden von E-Mails als Bestätigung der eigenen Fähigkeiten des Codeautors. In den letzten Monaten ist diesjedoch der professionellen kriminellen Energie gewichen und das Ziel scheint nun eindeutig im Profitbereich zu liegen^[6].
- Joe-Jobs sind Mails, deren Absender gezielt gefälscht ist und die auf Empfängerseite eine so genannte „Bounce-Mail“ (Zustellungsfehler) produzieren. Diese Bounce-Mails werden demzufolge zum falschen Absender geschickt, was das eigentliche Ziel des Täters ist.
- HOAX-E-Mails sind neue Formen des Kettenbriefs, die mit reißerischen oder unglaublichen Inhalten den Empfänger dazu bringen sollen, die Nachricht an andere Personen weiterzuleiten. Nicht wenige Kettenmails fordern dies sogar.

3 Geschichte von SPAM

Der Vorläufer unserer heute weitläufig genutzten E-Mail-Server waren die Usenet-Server, auf denen Newsgroups zum regen Informationsaustausch eingerichtet wurden. Die Nachrichten in diesen Gruppen waren für alle Teilnehmer lesbar, ähnlich einem „Schwarzen Brett“. Das Usenet und die User hielten sich bis 1994 an die inoffiziellen Regeln im Netz - der Netiquette.

Die Geschichte von elektronischen Werbesendungen beginnt im Mai 1978, als das amerikanische Unternehmen DEC, in den späten 1980er Jahren zweitgrößte Computerfirma der Welt, Werbenachrichten für eine neue Computergeneration an ihr bekannte Adressen des ARPANET sendete^[7]. ARPANET empfand dies als Verletzung der Nutzungsregeln und sah sich gezwungen, eine Nachricht an alle Nutzer zu versenden, dass Werbenachrichten in Zukunft nicht toleriert werden. Getroffen von diesem Fauxpas entwickelte der Präsident von DEC, Ken Olsen, in den folgenden Jahren eine Aversion gegenjede Form von Werbung. DEC ist heute Teil des HP-Konzerns.

Zehn Jahre nach dem DEC-Zwischenfall, am 24. Mai 1988, gab es den ersten SPAM-Fall in den USENET-Gruppen. Rob Noha sandte unter der Adresse JJ@cup.portal.com eine Nachricht mit dem Titel „HELP ME!“ an eine große Anzahl der erreichbaren Newsgroups. Dadurch wurde eine rege Diskussion ausgelöst, was die Netiquette in werbetechnische Richtung stark beeinflusst hat. Inhalt der Hilfenachricht waren die knappen finanziellen Mittel von Noha sowie der Wunsch nach einem Dollar von jedem Usenet-Nutzer. Noha wollte durch diesen „Spendenaufruf“ sein Hauptstudium finanzieren^[8], wodurch diese Nachricht durchaus als „Charity“-Nachricht angesehen werden kann.

Im Jahr 1993 wurde zum ersten Mal der Begriff „SPAM“ im kommunikationstechnischen Zusammenhang in den Mund genommen. Richard Depew schrieb eine Software zur Verwaltung der Usenet-Postings, die leider nicht korrekt funktionierte und nach dem einschalten ca. 200 Nachrichten an die Gruppe news.admin.policy schickte. Der Moderator der Gruppe, Joel Furr, nannte diese Nachrichten „spam“ in Anlehnung an MUD­Programme (MUD bedeutet Multi User Dungeon, in etwa wie Online-Rollenspiele), welche die Chats mit Nachrichten überfluteten - in etwa wie bei einem heutigen „Bot“.

Danach begann die Zeit des Usenet-SPAM, als die Netiquette nicht mehr beachtet wurde.

Am 18. Januar 1994 wurde in jeder einzelnen Newsgroup vom Sysadmin der Andrews University eine Nachricht eingestellt, die folgenden Betreff hatte: „Global Alert for All: Jesus is Coming Soon“^[9]. In den folgenden Monaten póstete ein gewisser „Sedar Argic“ in allen Threads türkisch-nationalistische Nachrichten, in denen das Wort „turkey“ (Türkei) benutzt wurde. In allen Nachrichten wurde argumentiert, dass der Armenische Genozid nie stattgefunden hat oder dass Armenier an Türken ein Massaker verübt hätten. Da diese Antworten automatisiert abgegeben wurden, erfolgten täglich über einhundert Einträge, wodurch Sedar Argic der aktivste Nutzer der damaligen Zeit wurde^[10]. Im April 1994 verbreiteten die Rechtsanwälte Canter & Siegel, namentlich Laurence A. Canter und seine Frau Martha S. Siegel, den ersten kommerziellen Usenet-SPAM mit dem Betreff „Green Card Lottery - Final One?“. Da die Medien das erste Mal über die SPAM-Aktivitäten berichteten, wird es häufig fälschlicherweise als erste SPAM-Nachricht geführt^[11].

Das Wort SPAM wird auch gerne in Verbindung mit „Monty Python“ erwähnt. Die britische Comedygruppe zeigte einen Sketch, in dem das Wort „Spam“ insgesamt knapp einhundert mal erwähnt wird^[12]. In dem Sketch hat Spam die Bedeutung der Handelsmarke SPAM©, Frühstücksfleisch der Firma HormelFoods Inc.

4 Methoden der Adressermittlung

Um E-Mail-SPAM zu verschicken, werden drei verschiedene Informationen benötigt. Die Absendeadresse, der SPAM-Inhalt und die Empfangsadresse. Die Absendeadresse lässt sich leicht fälschen, der SPAM-Inhalt ist die „Produktinformation“, mit der bei SPAM das Geld verdient wird. Die Empfangsadresse als dritte benötigte Information ist der am schwierigsten zu beschaffende Teil. Woher erhalten Spammer daher die privaten Adressen der E-Mail-Nutzer?

In Newsgroups hatten es die SPAM-Versender am einfachsten, sie konnten alle Teilnehmer mit nur einer Nachricht erreichen. Bei E-Mail ist dies bedeutend schwieriger, da die Adresse des Empfängers dem SPAM-Versender in der Regel nicht bekannt ist. In der Praxis haben sich erfolgreich drei Methoden der Adressermittlung durchgesetzt, die im folgenden Kapitel erläutert werden.

4.1 E-Mail Address Harvesting

Der Begriff „E-Mail Address Harvesting“ entstammt aus dem englischen und kann als „E- Mail-Adressen-Sammlung“ übersetzt werden. Dies entspricht einer aktiven Suche nach E­Mail-Adressen und deren Erfassung in Datenbanken. Das Harvesting ist die älteste Form der Adressermittlung. So wurde im August 1995 die erste Liste mit 2 Millionen ersammelten E-Mail-Adressen zum Verkauf angeboten.

Typischerweise sammeln Harvester die E-Mail-Adressen auf Webseiten ein, dabei fahren sie wie ein Mähdrescher durch das World Wide Web und ernten alle E-Mail-Adressen auf dem Weg ab, daher auch die Bezeichnung „Harvester“. Weitere Quellen für Empfangsadressen sind Usenet-Newsgroups, IRC und IM-Dienste wie ICQ oder Skype. Aktuelle E-Mail Harvester, von den Programmierern auch gerne als „E-Mail Marketing Software“ bezeichnet, gehen einen neuen Weg. Sie nehmen vom Nutzer die gewünschten Domänen entgegen, zum Beispiel fom.de oder web.de, ermitteln selbständig über DNS- Abfragen die korrekten Mailserver der betroffenen Domänen und verbinden sich mit den ermittelten Mailservern. Dabei senden sie jedoch keine E-Mails, sondern brechen den Versand nach erfolgter Prüfung der dynamisch erzeugten E-Mail-Adresse ab. Für diesen Vorgang muss der Mailserver des Empfängers jedoch die „Recipient Verification“ nach RFC 2821^[13]unterstützen. Das bedeutet, dass der Mailserver bei korrekter Empfangsadresse eine „250“-Erfolgsmeldung produziert und bei fehlerhaften Empfangsadressen die E-Mail-Zustellung mit einem „5xx“-Fehler ablehnen muss.

Connected to host: mc6.lawl.hotmail.com

< 220 mc6-f6.hotmail.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713 ready at Tue, 23 Dec 2003 07:30:49 -0800

> HELO xxx-xxx.pacbell.net

< 250 mc6-f6.hotmail.com Hello [xx.xx.xx.xx]

> MAIL FROM:<amv@amailsender.com>

< 250 amv@amailsender.com Sender OK

> RCPT TO:<susan@hotmail.com>

< 250 susan@hotmail.com

> RSET

< 250 Resetting

> QUIT

< 221 mc6-f7.hotmail.com Service closing transmission channel Tabelle 1: SMTP-Verbindung mit korrekter Empfangsadresse^[14]

Connected to host: mc6.law1.hotmail.com

< 220 mc6-f6.hotmail.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713 ready at Tue, 23 Dec 2003 07:30:49 -0800

> HELO xxx-xxx.pacbell.net

< 250 mc6-f6.hotmail.com Hello [xx.xx.xx.xx]

> MAIL FROM:<amv@amailsender.com>

< 250 amv@amailsender.com Sender OK

> RCPT TO:<23sdsf7ghR@hotmail.com>

< 550 Requested action not taken: mailbox unavailable

> RSET

< 250 Resetting

> QUIT

< 221 mc6-f6.hotmail.com Service closing transmission channel Tabelle 2: SMTP-Verbindung mit fehlerhafter Empfangsadresse

Interessant ist ebenfalls, dass die Google-Webseite allein bei der Suche nach Webseiten auf Deutsch für dem genauen Begriff „E-Mail Marketing Software“ über 45.000 Ergebnisse liefert^[15]. Harvester werden in Anti-SPAM-Gruppierungen meist treffender als „Spambots“ beschrieben.

4.2 Blind-Broadcast

Werden automatisiert Maildomänen mit E-Mail-Empfängern kombiniert, zum Beispiel die Domäne piechaczek.de mit dem Empfänger „webmaster“ zu webmaster@piechaczek.de, spricht man von „Blind-Broadcast“. Die zusammengewürfelten E-Mails werden wie beim Harvester versendet, die entsprechenden Empfangsadressen landen bei erfolgreichem Versand direkt in der Datenbank des Spam-Versenders. Typische Empfänger für solche Blind-Broadcast-Aktionen sind 'webmaster, hostmaster, info, admin, service und postmaster.

Bei aktuellen Blind-Broadcast-Programmen werden vorhandene Adressbestände genutzt und die Domänen mit den Empfängern neu verknüpft, so dass Personen mit „einfachen“ Namen wie Schneider oder Schmidt sehr schnell Opfer von SPAM werden.

4.3 SPAM-Botnets

E-Mail-Harvester werden gerne als „Spambots“ bezeichnet, da Harvester aktiv nach E­Mail-Adressen suchen und diese speichern. SPAM-Botnets sind nun keine Netze von Spambots, sondern SPAM versendende, von kriminellen Hackern kontrollierte, virtuelle Computer-Netzwerke. Diese kontrollierten Computer sind ohne Wissen des Benutzers mit Malware, meist Trojanern, infiziert („Bot“) und haben keinen logischen Zusammenhang untereinander. Solche ein von außen kontrolliertes System bezeichnet man auch als „Zombie“. Jeder einzelne Bot ist verbunden mit einem oder mehreren Hubs („Hub-Bot“ oder „Bot-Herder“). Die auszuführenden Befehle werden meistens über versteckte Chaträume im IRC ausgegeben. Dass ein Computer zu einem Zombie geworden ist, bekommt der normale Nutzer nur selten mit. Anders als Viren und Würmer versuchen die Bots, sich gezielt zu verstecken und nur wenig Last auf dem System zu verursachen. Zusätzlich verwendenden Bots immer häufiger Rootkit-Technologien, um laufende Prozesse und ganze Ordner vor dem Betriebssystem und den Augen des Benutzers zu verbergen^[16].

Dieser Aufwand wird vom Botnet-Betreiber getrieben, um das Netz lange am Leben zu erhalten und es Gewinn bringend weiter zu vermieten, so beispielsweise an bekannte Spammer. Die Vorteile liegen auf der Hand:

- E-Mail-Harvesting direkt auf dem „Zombie“, z.B. im „MS Outlook“ des Nutzers,
- E-Mail-Versand vom „Zombie“, für mehrere tausend E-Mails gleichzeitig,
- geringere rechtliche Risiken für den Spammer (Rückverfolgung eingeschränkt),
- Nutzung der Infrastruktur und Bandbreite des Zombie-PC.

[...]

^[1] vgl. http://de.wikipedia.org/wiki/E-Mail

^[2] vgl. http://www.ietf.org/rfc/rfc0822.txt

^[3] vgl. http://www.heise.de/newsticker/meldung/73241

^[4] vgl. http://www.heise.de/newsticker/meldung/60056

^[5] vgl. http://de.wikipedia.org/wiki/Unsolicited_Bulk_Email#E-Mail-Spam

^[6] vgl. Sophos White Paper „Buying criteria for email security“, 2006, http://www.sophos.com/security/whitepapers

^[7] vgl. Anlage 1: DEC 1978 - SPAM

^[8] vgl. Anlage 2: JJ 1988 - SPAM

^[9] vgl. http://groups.google.com/group/sci.stat.edu/msg/8cb0e6b6941bac09

^[10] vgl. http://en.wikipedia.org/wiki/Sedar_Argic

^[11] vgl. http://www.welt.de/data/2004/07/16/305824.html (falsche Einordnung der Green-Card-SPAM) vgl. http://www.templetons.com/brad/spamterm.html (korrekte Einordnung der Green-Card-SPAM)

^[12] vgl. http://en.wikipedia.org/wiki/Spam_(Monty_Python)

^[13] vgl. http://www.faqs.org/rfcs/rfc2821.html

^[14] vgl. http://www.massmailsoftware.com/verify/email-address.htm

^[15] vgl. http://www.google.de/search?hl=de&q=%22E-Mail+Marketing+Software%22&btnG=Suche&meta=lr%3Dlang_de

^[16]vgl. http://www.ibm.com/news/ch/de/2006/02/06_b_backgrounder.html