Spam - die tricks der spammer und die gegenmittel

Die Tricks der Spammer und die Gegenmittel
Vorwort:
Für Behörden und grossen Unternehmen, sowie auf für auch viele mittelständische
Unternehmen ist das Thema Spam-Prävention inzwischen ein fester Beststandteil der
täglichen Arbeit geworden. Geht man nach Schätzungen von „The Spamhaus Project“
sind etwa 80% des E-Mail Verkehrs auf Spam zurückführen. Die Spam-Prolematik ist an
sich, wenn sie nicht eine so Zeit-, Geld- und Ressourcenfressende Angelegenheit wäre,
ein recht spannendes Thema. Tatsächlich ist das Thema derart komplex geworden, dass
man hierzu ein ganzes Buch schreiben könnte. Eine interessante Studie zum Thema
Spam hat das Bundesamt für Sicherheit herausgegeben
(www.bsi.de/literat/studien/antispam/antispam.pdf).
Dieses Dokument gibt u.a. eine kompakte Übersicht auf die Praktiken von Spammern wieder und zeigt bewährte Möglichkeiten zur Vermeidung von Spammails bei den Anwendern. Dieser Bericht basiert auf eigenen Beobachtungen und Erfahrungen bei der Arbeit in verschiedenen Behörden, wo Spam-Prävention ein heikles Thema ist, da sensible Bereiche wie Daten- und Virenschutz berührt werden. Bei einem Mailverkehr von fast einer Million e-Mails pro Woche, die manche Behörden zu bewältigen haben, ist tatsächlich zu beobachten, dass fast 80% davon auf Spammails zurückzuführen sind.
Zum Verständnis:
Was ist Spam? Mit Spam bezeichnet man die Menge aller unerwünschten und belästigenden Mails, zu denen in der Regel unseriöse Werbemails gehören. Die dafür verwendete Bezeichnung "Spam" leitet sich dabei von einem Sketch aus der englischen Comedy-Serie "Monty Phyton" ab, in dem ein Restaurant-Besucher dadurch geplagt wird, das sich in jedem Essensgericht Spam befindet und die restlichen Gäste lauthals ihre Lobeshymnen auf Spam besingen, so dass kein ordentliches Gespräch mehr zustande kommt. SPAM ist übrigens eine Abkürzung für Spiced Pork and HAM, in deutschen Landen auch
besser bekannt als "Sülze".
Wie gehen Anti-Spam Filter vor?
Inzwischen liegen verschiedene Methoden und Strategien zur Bekämpfung von Spammails vor. Moderne Anti-Spam Tools kombinieren inzwischen mehrere Methoden, um Spammails korrekt identifizieren zu können und sie von regulären Mails zu trennen.
Hier eine Auflistung und Beschreibung der einzelnen Methoden: Beschreibung
Bemerkungen
werden E-Mail-Adressen gesammelt, gefälschte Absender-die dafür bekannt sind, von Blacklists
die meisten Spammer eine Absender-Adresse nie zweimal.
die E-Mail-Adressen eingetragen, die Kontaktsuchende eine als vertrauenswürdig gelten. Nur Whitelists
werden, kann ein Challenge Response Verfahren angewendet werden.
Challenge Response entsprechenden Betreff
unbekannte Mail in eine whitelist eingetragen werden und wird daraufhin dem Empfänger zugestellt.
Da es häufig der Fall ist, dass Spam- Kann unter Umständen Mails ungültige Absenderadressen verwenden, können Mails ausgefiltert Ressourcen verbrauchen.
Reverse LookUp
werden, sofern die verwendete Domain nicht existiert oder an der Domain kein aktiver Mail-Server anhängt.
Analysiert den E-Mail Header und versucht in Stellen wie der Von-, An Werkzeug bei der ersten und der Betreffzeile, sowie auch an Header-Filter
Spamprävention sind Header-Filter nur wenig effektiv.
Wortliste, die man selbst verändern oder erweitern kann, wird eine Mail nach verräterischen Schlüsselworten Statische Wortfilter
durchsucht. Ist die Suche positiv, wird die Mail ausgefiltert. Das können Worte wie Viagra, Schnellkredite oder "Blind Date" usw. sein.
Bayes-Filter
Vorgegebene Schlüsselworte können Mit dem umgekehrten dazu dienen, Mails direkt für legitim hier Mails direkt für den Empfänger zugänglich zu machen, wenn bestimmte Schlüssel-worte in der Mail fallen und dessen Legitimität bestätigen. Beispielsweise kann das Vorhandensein des Namens eines vertrauten Geschäftspartners von vornherein ausschliessen, dass Spam vorliegt. Durch Magnete brauchen diese Mails nicht analysiert und bewertet zu werden, die Möglichkeit für Positivtreffer wird reduziert.
Welche Tricks benutzen Spammer?
Genauso wie es viele Methoden gibt, um Spammails auszufiltern, gibt es eine Vielzahl an Methoden, um deren eindeutige Erkennung zu umgehen. Die folgende Liste enthält eine Reihe beliebter Methoden, um Spammails als eine reguläre Mail zu maskieren und die Strategien, um Spammails zu verbreiten und verräterische Spuren zu verwischen.
Vorgehen
Beschreibung
Nicht sorgfälitg konfigurierte Proxies leiten meist Open Relay
jede TCP-Verbindung weiter und werden gerne von Spammern für SMTP-Transaktionen missbraucht.
Hijacking
Nicht sorgfältig konfigurierte SMTP-Server können Open Relay
Mails aus externen IP-Adressbereichen weiterleiten. SMTP Hijacking um darüber Mails Solche sogenannten Open-Relays sind beliebte
Mailback-Scripte, Unsichere Scripte erlauben die Ausführung von die auf diversen Shellbefehlen auf dem Server. Sogenannte Unsichere
Spambots scannen zugängliche Web-Verzeichnisse Mailback
missbraucht um darüber Mails zu verteilen.
Mit Hilfe von Eine Vorgehensweise von Spammern ist es, Namen und Wörter aus Wörterbüchern zu ziehen, um diese dann als Absenderadresse zu verwenden. In der Hoffnung, möglichst viele Treffer zu erzielen und nicht von Adressenhändlern abhängig zu sein. Wörterbuch-Attacken haben als natürlichen Nebeneffekt, dass zahlreiche ungültige Adressen Wörterbuch-
erzeugt werden. Als Folge davon muss der betroffene Mailserver ständig Error-Mails an den "vermeintlichen" Absender zurück zu schicken. Dieser sogenannte Bounce-Effekt frisst nicht nur jede Menge Ressourcen, im Falle einer gefälschten Absenderadresse, die tatsächlich existiert, kann im Extremfall der Mailserver des Empfängers seinen Dienst quittieren. Für Spammer sind es so oder so meist akzeptable Kollateralschäden.
Der Verzeichnis-Angriff ist die etwas unauffälligere Variante der Wörterbuch-Attacke. Anstatt eine komplette Spammail ins Leere laufen zu lassen, verwerten manche Adressensammler erstmal nur des SMTP-Servers die SMTP-Dialog Fehlerantworten. Bevor über das
herausfinden.
Protokoll eine Mail an einen Server verschickt wird, Directory
Harvest Attack
Empfangsadresse gültig ist. Dies geschiet über eine "delivery attempt"-Anfrage. Emailserver sind so Verzeichnis-
programmiert, dass bei Nicht-Vorhandensein einer Adresse eine Fehlermeldung vom Typ Error 500
ausgegeben wird. Für den Adressensammler sind
nur jene erzeugten Adressen verwertbar, auf die es
kein Fehler-Feedback gibt. Nachdem das ganze
Verzeichnis der auf dem Server vorhanden
Emailadressen durchsucht wurde, können danach
gezielt Spammails verschickt werden.
Einmal in eine Blacklist aufgenommen, ist eine Spam-Absenderadresse nicht mehr von Nutzen. Durch einfache Variationen versucht man diese Restriktionen zu umgehen. Sofern nicht die ganze Nummerische verschiedener
Domain gesperrt ist, können über Programme Adressformate Absenderadressen beliebig viele gültige Adressen erzeugt werden. Das
würde dann in etwa so aussehen: [email protected]; [email protected]; [email protected];.
Links bzw. URLs können in ein anderes gültiges verwischen durch Format umgewandelt werden. Ohne Kodierung Hintergrundwissen, sind diese Angaben für Laien nicht zu entziffern. Tatsächlich sind Mischformen denkbar, die auch zur als alternative IP-Adresse anwendbar sind.  Dezimale IP-Adresse URL Encoding
http://7763631671 Hexadezimale IP-Adressehttp://0xD186A123 Octale IP-Adressehttp://0321.0206.0241.0043 Escaping;siehe nächste Zeile Mit dem als Escaping bezeichneten Verfahren wird verwischen durch über vorangesetzte Prozentzeichen und Kodierung nachfolgende Hexadezimalwerte jedes einzelne Zeichen einer kompromitierenden URL kodiert. Eine derart kodierte URL kann dann so aussehen: Escaping
http://%77%77%77%2E%70%61%72%61%6D%69%6E
%64%2E%64%65.
Charakteristisch die Zeichenfolge "www" die mit
drei "%77"-Folgen kodiert wird. Diese Form der
Kodierung wird vom Browser akzeptiert und intern
interpretiert.
Zeichen enthalten, einfach alles was links davon steht ignorieren. Dieser "Trick" wird meist Der @-Trick
verwendet um den unwissenden User zu verwirren. Auch hier sind Mischformen mit anderen URL-Encoding Methoden denkbar.
Email Header, speziell die Absenderadresse, ist in Forgery /
Spammails oftmals gefälscht, eine Rückverfolgung Fälschen
Durch geschickt gewählte Betreffszeilen soll der Personalisierte erwecken durch
User zum Lesen der Mails "verführt" werden. Nachrichten
"Lange nichts mehr von Dir gehört!" provokative
Betreffzeilen
"Sie haben gewonnen!""Letzte Mahnung" Zufällige Zeichen oder Zeichenketten werden in der Betreffszeile oder im Body der Mail verwendet und umgehen so die Filterregeln von Anti-Spam- Hashbusters
und allgemeinen Wortfiltern.
Absichtlich Schlüsselworte wie Viagra oder Direktversand lassen Wort-Filter Alarm schlagen. Doch durch Schreibfehler
gezielte Schreibfehler können diese Filter Filter austricksen. Beispiel: Viaggra, Direktversannd Austricksen von Nachrichten im Body-Teil der Mail werden Mime- verschlüsselt. Mit dieser Vorgehensweise sollen wohl vor allem Netzwerk basierende Anti-Spam Programme getäuscht werden. Man geht davon Mime-kodierte Wortfiltern.
aus, dass die Spam-Filter den Inhalt der Mail Nachrichten
analysieren und wahrscheinlich nicht Mime-entschlüsseln (Dies geschieht i.d.R erst beim Empfänger). Auf diese Weise wird nur ein unverfänglicher Zeichensalat geprüft. Mailclient oder Browser werden HTML-typische aufzubrechen und für Wortfilter unbrauchbar zu Einfügungen
machen. Auf dem Bildschirm werden diese nicht
interpretierbaren Einfügungen ausgeblendet.
Beispiel:
Ero<asdsf>tische<dsdfa> Pho<dsfsa>tos
Es gibt verschiedene raffinierte Methoden, um über HTML-Mails oder Websites an gültige Adressen zu kommen. So kann schon durch das Nachladen von Grafiken die eigene E-Mail-Adresse an den entsprechenden Server übermittelt werden, wenn Beacon URLs / verschicken zu
der Aufruf über "anonymes FTP" realisiert wird. Ist Rückmelder
in den Browser-Einstellungen die eigene E-Mail Adresse vermerkt, könnte diese automatisch ausgelesen werden.
Beispiel:<IMG SRC="ftp://ftp.spamserver.de/grafik.gif" WIDTH="1" HEIGHT="1"> Hier wird dem Empfänger vorgegaukelt, in einer Mailingliste zu stehen. Um sich von dieser Liste abzumelden, wird gebeten eine entsprechende Unsubscribe
Antwortmail zurück zu schicken. Dies ist jedoch eine Falle. Die Mailingliste existiert nicht und eine Antwort bestätigt einem Adressensammler nur die Gültigkeit der Adresse. Unbekannte Mailinglists- Anschreiben sind am besten sofort zu löschen.
Mir dieser relativ neuen Masche wird versucht die Spamfilter zu umgehen, indem Spamnachrichten in neutralem Inhalt, Bildern dargestellt werden. Inzwischen ziehenwerden mit Hersteller von Spamfiltern nach und statten ihre Bildern versehen, Produkte mit der Fähigkeit aus, Bildtexte Bilderspam
auszulesen und so darin enthaltenen Spam per Prüfsumme oder per OCR (optical character recognition), wie sie bislang erfolgreich bei Um das Erkennen Das Verfahren mit Prüfsummen kann so umgangen von Bilderspam zu werden, dass in einem automatisierten Verfahren umgehen, werden die erzeugten Spambilder mit minimalen die Bilder so Verzerrter
ausreichen, einfach nur ein Pixel eines Bildes in Bilderspam
einer anderen Farbe darzustellen, um die Prüfsumme zu verändern. OCR-Verfahren werden mit Störeinflüssen und verzerrten Texten aus dem Anti-Spam Tools
Bisherige Tests weisen auf, das eigentlich keines der auf dem Markt erhältlichen Anti-Spam Tools oder Plug-Ins in der Lage ist, 100% der ankommenden Spammails abzublocken oder im umgekehrten Fall nicht in der Lage ist zu verhindern, sich mal einen oder gar mehrere Positivfehler zu erlauben und eine reguläre Mail als Spammail einzuordnen. Zumindest aber erreichen einige Produkte schon eine Zuverlässigkeit von über 95%. Je nach Anforderung sind aber unterschiedliche Programme für den privaten Nutzer und für Nutzer eines internen Netzwerkes aus unserer Sicht zu empfehlen. Für die zur Zeit uns bekannten Spamtricks und den von uns bekannten Anti-Spam Tools bieten sich folgende für die folgenden Benutzergruppen an: Die Privatlösung
Für den einzelnen Heimanwender hat sich u.a. Thunderbird hervorgetan. Ein Open-
Source Mailclient, der leistungsfähige Mittel zur Ausfilterung von Spammails mit sich
bringt, keinen Cent kostet und nach entsprechendem Training des Bayes-Filters den
Benutzer sehr wirkungsvoll vor der Flut von Spammails schützen kann.
Thunderbird v1.4 - Leistungsmerkmale:
 Hohe Portabilität (Windows 95, 98, NT, ME, 2000, XP, Linux, Mac OS X)
 Beherrscht alle wichtigen Anti-Spam-Techniken
 Effektiver Bayes-Filter (Sehr gute Lernleistung)
 Zukunftssicher, da es ständig weiterentwickelt wird
 Einfach in der Handhabung
 Kostenlos erhältlich
 Open Source
Die Firmenlösung
Mit der Aufgabe, einen effektiven Spamschutz für eine öffentliche Institution einzuführen, wurden verschiedene Programme auf Effizienz und Wirtschaftlichkeit hin untersucht. Dabei wurde vorausgesetzt, dass für die 150 Mitarbeiter Outlook 2000 (inzwischen auf 2003 migriert) als Mail-Client erhalten bleiben sollte. Ein Teil der Spammails konnte schon auf Serverbasis vom verwendeten Antiviren-Schutz geblockt werden, der zu seinem Funktionsumfang einen statischen Wortfilter und eine editierbare Blacklist zählt und ausserdem angehängte Dateien mit bestimmten Endungen verbieten konnte. Denoch lief hier noch ein grosser Anteil an Spammails bei den Mitarbeitern ein. Die Lösung, die in dieser Situation als am komfortabelsten angesehen wurde, war die Verwendung eines Anti-Spam Plug-Ins. Outlook 2000 besitzt zwar Optionen, um Junk-bzw. Spammail abzublocken, jedoch sind diese recht rudimentär und beschränken sich auf die Anwendung einer editierbaren Blacklist. Ins Auge gefallen ist uns das SpamBayes Open-Source Projekt. Unter Python
programmiert, stellen die Entwickler ein Plug-In zur Verfügung, das mit Outlook 2000,
2002 und XP und 2003 arbeitet. Im Praxiseinsatz hat sich gezeigt, das Spambayes seine
Arbeit sehr gut erledigt. Es wird seit Jahren beständig weiterentwickelt und benötigt im
durchschnitt nur eine zweiwöchige Trainingsphase, bevor es sich selbstständig ans Werk
macht und erkannte Spammails automatisch in einen Spamordner verschiebt. Der
Anwender kann dann selbst entscheiden, ob und wann er den Spam-Ordner entleeren
will.
Bei einer Deinstallation von SpamBayes sollte darauf geachtet werden, dass Outlook nicht im Hintergrund laufen darf. SpamBayes Outlook v1.0.4 - Leistungsmerkmale:
 Hohe Portabilität (Windows 95, 98, NT, ME, 2000, XP / Outlook 2000, 2002(XP), 2003)
 Beherrscht alle wichtigen Anti-Spam-Techniken
 Effektiver Bayes-Filter (sehr gute Lernleistung)
 Relativ einfach in der Handhabung
 Kostenlos erhältlich
 Open Source
Wieso eigentlich nicht eine zentrale Lösung anwenden, die auf Server-Basis
filtert?
Klingt gut und würde den Benutzern das Trainieren und Einordnen der jeweiligen Mails abnehmen. Ein entsprechend trainierter Bayes-Filter kann aber unter Umständen nur für einen Benutzer effektiv arbeiten. In einem Netzwerk, bei dem mehrere hundert Teilnehmer verschiedenste Arbeiten und Themenschwerpunkte ausführen, können die jeweils benötigten Filter-Regeln stark variieren. So empfangen Personal-Sachbearbeiter thematisch ganz andere Mails als technische Mitarbeiter, wie etwa Administratoren. Leicht kann es da vorkommen, dass beispielsweise eine Mail mit einer Auflistung an Krankheiten, die als Referenz für entsprechende Formulare gedacht war, als Spam eingestuft wird, da die Vorgaben der technischen Mitarbeiter solche Themen nicht vorsehen und leicht zu verwechseln sind mit Angaben aus Spammails für Gesundheitspillen oder Pornoangeboten.
Eine serverbasierte Lösung ist wohl nur für kleinere oder zumindest eher für thematisch ähnlich arbeitende Betriebe zu empfehlen. Dennoch scheint dies für einige Institutionen kein Hinderungsgrund zu sein, um doch voll und ganz auf aufwändig zu konfigurierende Server-Lösungen zu setzen. Dies bedeutet jedoch, dass hierfür Arbeitsstellen geschaffen werden müssen, um ständig Anpassungen an den Filtern vorzunehmen.
Regeln für E-Mail Clients
Um schadhaften Mails vorzubeugen, empfiehlt es sich, nach Möglichkeit folgende Regeln für E-Mails Clients einzustellen.  Keine eingebetteten Grafiken automatisch landen  Keine JavaScripts oder anderen ausführbaren Code automatisch ausführen  Keine anderen Programme (wie beispielsweise Web-Browser) automatisch ausführen Keine angefügten Dateien automatisch öffnen, oder überhaupt öffnen. (Stattdessen so einstellen, dass die Datei irgendwo abgespeichert werden muss, um sie dann selbst auszuführen.)  Jegliche Netzwerk-Aktionen blocken oder bestätigen lassen, abgesehen von denen, um die Mail von der eigenen Mailbox abzuholen oder Mails hinaus zu schicken. Dies bewahrt vor der Gefahr, Opfer von sog. Beacon URLs oder anderen Mitteln zu werden, die Informationen an den Spammer zurückschicken können.
Begriffe
Ham:
Umgangssprachlich für legitime Emails. Also das Gegenteil von Spammails.
Open (Third Party) Relay:
Mailserver, die ohne Autorisation Mails weiterleiten, egal von welcher Quelle sie
herstammen.
UCE:
Steht für Unsolicited Commercial Email und bezeichnet eine unerwünschte Werbung, die
man per E-Mail erhalten hat.
UBE:
Steht für Unsolicited Bulk Email und bezeichnet massenhaft verschickte UCE.
MMF:
Steht für Make Money Fast und bezeichnet per E-Mail organisierte Schneeballsysteme
oder Kettenbriefaktionen.

Source: http://www.paramind.info/data/archiv/spam.pdf