PDF [0,2 MB] - bei der IBH IT-Service GmbH
PDF [0,2 MB] - bei der IBH IT-Service GmbH
PDF [0,2 MB] - bei der IBH IT-Service GmbH
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Möglichkeiten <strong>der</strong> umfassenden Spam-<br />
Reduzierung - Praxiserfahrungen<br />
André Beck<br />
<strong>IBH</strong> <strong>IT</strong>-<strong>Service</strong> <strong>GmbH</strong><br />
Gostritzer Str. 61-63<br />
01217 Dresden<br />
http://www.ibh.de/<br />
support@ibh.de<br />
www.ibh.de/go/antispam<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 1
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Vorwort<br />
Ziel<br />
◆ Abwehr <strong>der</strong> ständig zunehmenden Belastung durch Spam-<br />
Mails und Mails mit Malware (Viren, Würmer etc.)<br />
Was ist Spam?<br />
◆ Umgangssprachlich: Jede Form unerwünschter Mail, die<br />
uns in unserem Persönlichkeitsrecht verletzt und/o<strong>der</strong> uns<br />
in unserer täglichen Ar<strong>bei</strong>t behin<strong>der</strong>t<br />
◆ Technisch: Unerbetene Massenmail (Unsolicited Bulk Email<br />
– UBE)<br />
Problem<br />
◆ juristische Definition bezieht sich nur auf unerwünschte<br />
kommerzielle Mail (EU-Wettbewerbsrecht!)<br />
◆ subjektiv unterschiedliche Bewertung von Spam<br />
2<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 2
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Zivilrechtliche Maßnahmen<br />
gegen Spam<br />
Rechtliches Vorgehen gegen Spammer löst das<br />
Spam-Problem an sich nicht, weil:<br />
◆ ein rechtliches Vorgehen in <strong>der</strong> Regel an den<br />
Län<strong>der</strong>grenzen scheitert, da die meisten Spammer aus<br />
dem Ausland kommen<br />
◆ in den USA und in an<strong>der</strong>en Län<strong>der</strong>n Spam nur dann<br />
verboten ist, wenn diesem Mailverkehr ausdrücklich<br />
wi<strong>der</strong>sprochen wurde (Opt Out)<br />
◆ die meisten Spammer sich nicht an die Gesetze halten und<br />
nur mit unvertretbar hohem Aufwand ermittelt werden<br />
können<br />
◆ die große Masse <strong>der</strong> Spammer ihre Identität verschleiert<br />
und zum Spammen gehackte (manipulierte) Computer<br />
unbeteiligter Firmen o<strong>der</strong> Einrichtungen sowie in<br />
zunehmenden Umfang sogenannte „Botnetze“ aus<br />
infiltrierten Heim-PCs (Zombies) benutzt<br />
3<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 3
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Ausweg: Filtermaßnahmen<br />
◆ Inzwischen setzen fast alle Unternehmen und Behörden<br />
Mailfilter zum Aussortieren von Spam-Mails und von Mails<br />
mit Schadcode (Viren, Würmer etc.) ein<br />
◆ An<strong>der</strong>nfalls könnte die eingehende E-Mail-Flut nicht<br />
bewältigt werden<br />
◆ Automatisiertes Filtern von E-Mails ohne Kenntnis und<br />
Zustimmung des Empfängers kann rechtliche Probleme<br />
nach sich ziehen<br />
◆ Das OLG Karlsruhe (Januar 2005) stellte fest, dass „das<br />
gezielte Filtern von E-Mails grundsätzlich als strafrechtlich<br />
relevant“ anzusehen sei<br />
◆ Es ist aber bis heute nicht bestätigt, ob das auch für die<br />
Spam-Abwehr zur Funktionserhaltung <strong>der</strong> E-Mail-Systeme<br />
so gilt<br />
◆ Ausnahme: Gemäß StGB §34 (Notstand) und TKG §109<br />
(Schutzmaßnahmen) gibt es erweiterte Befugnisse für die<br />
<strong>IT</strong>-Abteilung<br />
4<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 4
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Rechtliche Probleme<br />
◆ E-Mail-Verkehr unterliegt wie Telefonie- und Faxverkehr<br />
dem Fernmeldegeheimnis, das durch das Grundgesetz<br />
(GG), Art. 10, geschützt wird: „Das Briefgeheimnis sowie<br />
das Post- und Fernmeldegeheimnis sind unverletzlich“<br />
◆ Weitere Gesetze:<br />
TKG §88 Fernmeldegeheimnis<br />
„(2) Zur Wahrung … ist je<strong>der</strong> Diensteanbieter verpflichtet“<br />
StGB § 202<br />
Verletzung des Briefgeheimnisses<br />
„wer unbefugt einen verschlossenen Brief …, die nicht zu seiner<br />
Kenntnis bestimmt sind, öffnet …“<br />
StGB § 206<br />
Verletzung des Post- o<strong>der</strong> Fernmeldegeh.<br />
„wer unbefugt … eine Sendung, die … zur Übermittlung anvertraut<br />
worden ist, öffnet …“<br />
StGB § 303a<br />
Datenverän<strong>der</strong>ung<br />
„wer rechtswidrig Daten löscht, unterdrückt, … o<strong>der</strong> verän<strong>der</strong>t …“<br />
5<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 5
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Unternehmen als Dienstanbieter?<br />
◆ Sind Unternehmen im Sinne des TKG Dienstanbieter bzw.<br />
erbringt ein Unternehmen geschäftsmäßig Telekommunikationsdienste<br />
für die angestellten Mitar<strong>bei</strong>ter?<br />
◆ Antwort:<br />
Wenn private Internetnutzung (Mail, WWW etc.)<br />
ausgeschlossen wird, dann ist das Unternehmen kein<br />
Dienstanbieter<br />
◆ Auch BSI empfiehlt den Abschluss von<br />
Betriebsvereinbarungen zum Ausschluss <strong>der</strong> privaten<br />
Internet-Nutzung<br />
◆ Ganz sauber ist diese Regelung, wenn im Außenverkehr<br />
nur funktions- o<strong>der</strong> bereichsbezogene Mail-Konten benutzt<br />
werden, wie z.B. buchhaltung@ibh.de. Namentliche E-Mail-<br />
Konten sollten explizit als namentliche E-Mail-Konten<br />
bezeichnet werden und nicht als persönliche E-Mail-<br />
Konten, damit für Fremde nicht <strong>der</strong> Eindruck einer privaten<br />
Internet-Nutzung erweckt wird<br />
6<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 6
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Das Problem <strong>der</strong> Filter<br />
◆ Filter bieten keine 100% sichere Erkennung von Spam<br />
ja<br />
Mail ist Spam?<br />
nein<br />
Mail als<br />
Spam<br />
erkannt?<br />
ja<br />
nein<br />
Positive<br />
Mail kann gelöscht werden<br />
Falsch-Negative<br />
Mails sind lästig<br />
Falsch-Positive<br />
manuelle Behandlung<br />
Negative<br />
Mail wird zugestellt<br />
◆ Löschen <strong>der</strong> Spam-Mails bzw. Nichtauswertung des<br />
Quarantäne-Fol<strong>der</strong>s kann zu erheblichen Reputationsverlusten<br />
führen<br />
◆ Bei Vollkaufleuten ist <strong>der</strong> Nichterhalt einer E-Mail vor<br />
Gericht wenig glaubwürdig<br />
◆ Falsch-negativer Spam ist zwar lästig, stellt aber kein<br />
juristisches Problem dar.<br />
7<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 7
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Filterung vor <strong>der</strong> Mail-Annahme<br />
◆ Wenn ein Mailserver eine Mail übernommen hat, dann<br />
muss <strong>der</strong> Absen<strong>der</strong> darauf vertrauen können, dass die Mail<br />
dem Empfänger zugestellt wird<br />
Angreifer<br />
Internet<br />
Ablehnen<br />
<strong>der</strong> Mail<br />
Filter<br />
Annahme<br />
<strong>der</strong> Mail<br />
Filter<br />
Mailserver<br />
Posteingang<br />
Quarantäne<br />
◆ Eine Mail ist einem Server zur Weitervermittlung eindeutig<br />
anvertraut, wenn dieser die Mail ordnungsgemäß<br />
angenommen und quittiert hat (OLG Karlsruhe)<br />
◆ juristische Beurteilung des Übergangs <strong>der</strong> Verantwortung<br />
für eine Mail entspricht <strong>der</strong> technischen Sichtweise<br />
8<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 8
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 1<br />
Alles zweifelsfrei Unerwünschte abweisen<br />
◆ Maßnahmenkatalog<br />
●Eingriff vor vollständigem Ablauf des SMTP-Dialogs<br />
●Prüfungen in <strong>der</strong> Envelope-Phase (Metadaten)<br />
●Prüfungen in <strong>der</strong> DATA-Phase (Content)<br />
●Einlieferung ggf. temporär o<strong>der</strong> endgültig zurückweisen<br />
◆ Referenzimplementation für verschiedene MTAs<br />
●sendmail (<strong>IBH</strong> und Kunden)<br />
●postfix (Kunden)<br />
●exim (Testaufbau)<br />
●Relay und Final Delivery<br />
9<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 9
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 2<br />
Envelope Phase<br />
◆ (E)SMTP Hardening<br />
●Privacy Flags (kein EXPN, VRFY etc)<br />
●PIPELINING nur für bekannte/interne MTAs<br />
●Hard Connection Rate Throttle (TCP accept delay)<br />
■2s -1 reicht für 172800 Einlieferungen am Tag!<br />
●Per-Client Connection Rate Throttle (4xx Reject)<br />
■10min -1 mit Ausnahmen für interne MTAs<br />
●Per-Client Connection Count Throttle (4xx Reject)<br />
■Weniger ist mehr – mit Ausnahmen für interne MTAs<br />
●SMTP Greeting Pause Tripwire (Protocol Error)<br />
■3s bis 5s mit Ausnahmen für interne MTAs<br />
10<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 10
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 3<br />
Envelope Phase<br />
◆ Greylisting<br />
●Resend wird nach zeitigstens 1min akzeptiert<br />
■Verhin<strong>der</strong>t triviales doppeltes Senden im Spammer-Tool<br />
●Haltezeit 5 Tage<br />
■Keine unzulässigen Annahmen über das Queue/Resend Timing<br />
<strong>der</strong> Gegenstelle (4h bis 8h immer noch verbreitet)<br />
●IP- und EMail-Adressen-Whitelists<br />
●Verschärfung <strong>der</strong> Timings anhand (dubioser) RBLs<br />
●SPF-based Bypass, z.Z. kein DNSWL<br />
●Gestaffeltes Queueing <strong>bei</strong>m Senden<br />
■Für 30min aller 5min, dann für 8h aller 1h, dann aller 4h<br />
11<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 11
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 4<br />
Envelope Phase<br />
◆ DNS RBLs<br />
●Sofortiges Reject RBL muss vertrauenswürdig sein!<br />
■Spamhaus SBL-XBL<br />
■Heise NiX Spam<br />
■Ausnahmen für bestimmte Zieladressen (abuse, postmaster)<br />
◆ Weitere Auswertungen<br />
●Recipient Blacklisting<br />
●Bad Recipient Throttling & Max Recipients<br />
●Sen<strong>der</strong> Validation (Syntax, MX-/A-RR, kein Callback)<br />
12<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 12
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 5<br />
Envelope Phase<br />
◆ Recipient Validation<br />
●Ernstes Problem wegen Bounce-Spam<br />
■Einige RBL unterscheiden nicht mehr zwischen Bounces und<br />
direkt verursachtem Spam<br />
■Mail Queue verkleistert mit massenhaft unzustellbaren Bounces<br />
●Local Delivery und Double Bounce Drop<br />
●Perimeter Mail Relays<br />
■manuell gepflegte Liste<br />
■Gescripteter Abgleich z.B. mit ADS per LDAP<br />
■Live LDAP Was tun <strong>bei</strong> Kommunikationsverlust?<br />
13<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 13
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 6<br />
DATA Phase<br />
◆ Übertragung von Mail Hea<strong>der</strong> & Body<br />
●Content-Filter können Mail immer noch abweisen<br />
◆ SpamAssassin<br />
●Permanent Reject > 15 Punkte<br />
●Spam-Markierung + Attachment > 5 Punkte für MUA<br />
●Bayes Autowhitelist<br />
■Spam Feedback > 12.0 (Default)<br />
■Ham Feedback < -2.0 (manuell verringert)<br />
◆ ClamAV<br />
●Einfache Erkennung und Reject offensichtlicher Malware<br />
■Kein Anspruch auf 100% Wirksamkeit<br />
■An<strong>der</strong>e AV-Lösung dahinter nutzen!<br />
14<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 14
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 7<br />
Abweisrate – Server mittleren Aufkommens (24h)<br />
12879 reject=550 5.7.1 ... Rejected: listed at ix.dnsbl.manitu.net<br />
6950 reject=451 4.7.1 Greylisting in action, please come back later<br />
3946 reject=550 5.7.1 ... Rejected: listed at sbl-xbl.spamhaus.org<br />
1505 stat=Sent<br />
455 reject=550 5.7.1 ... Relaying denied. Proper authentication required.<br />
368 reject=550 5.7.1 ... Relaying denied. IP name lookup failed []<br />
231 reject=421 4.3.2 Connection rate limit exceeded.<br />
230 reject=550 5.7.1 ... Relaying denied. IP name possibly forged []<br />
149 rejecting commands from [] due to pre-greeting traffic<br />
127 reject=550 5.7.1 Blocked by SpamAssassin<br />
59 reject=553 5.1.8 ... Domain of sen<strong>der</strong> address MAILADDR does not exist<br />
55 reject=550 5.0.0 ... get rid of your SPAM elsewhere<br />
28 reject=550 5.0.0 ... User unknown<br />
15 reject=451 4.1.8 Domain of sen<strong>der</strong> address MAILADDR does not resolve<br />
7 reject=450 4.4.0 ... Relaying temporarily denied. Cannot resolve PTR record for <br />
2 reject=554 5.7.1 virus Trojan.Fakealert-532 detected by ClamAV - http://www.clamav.net<br />
1 reject=554 5.7.1 virus Trojan.Zbot-2114 detected by ClamAV - http://www.clamav.net<br />
1 reject=554 5.7.1 virus Email.PornTeaser-1 detected by ClamAV - http://www.clamav.net<br />
==> Reject Rate: 92.40% (94.43% tmp) [r=18300 s=1505 t=7203]<br />
15<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 15
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 8<br />
Greylisting – Server mittleren Aufkommens (24h)<br />
Greylisted tupels: 6945<br />
Sources: 1277<br />
Sen<strong>der</strong>s: 6266<br />
Recipients: 573<br />
Total rejects: 6835<br />
Subsequent Passes: 115<br />
Efficiency: 98.32%<br />
SPF-based bypass: 389<br />
Whitelist Matches: 951<br />
16<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 16
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 9<br />
Abweisrate – Server hohen Aufkommens (24h)<br />
20104 reject=550 5.7.1 ... Rejected: listed at ix.dnsbl.manitu.net<br />
15146 reject=550 5.1.1 ... User unknown at perimeter relay<br />
11952 reject=451 4.7.1 Greylisting in action, please come back later<br />
5585 reject=550 5.7.1 ... Rejected: listed at sbl-xbl.spamhaus.org<br />
1362 rejecting commands from [] due to pre-greeting traffic<br />
1243 stat=Sent<br />
186 reject=553 5.1.8 ... Domain of sen<strong>der</strong> address MAILADDR does not exist<br />
95 reject=451 4.1.8 Domain of sen<strong>der</strong> address MAILADDR does not resolve<br />
86 reject=421 4.3.2 Connection rate limit exceeded.<br />
19 reject=550 5.7.1 Blocked by SpamAssassin<br />
3 reject=553 5.0.0 ... User address required<br />
1 reject=554 5.7.1 virus Trojan.Zbot-2114 detected by ClamAV - http://www.clamav.net<br />
1 reject=550 5.7.1 ... Relaying denied. IP name lookup failed []<br />
1 reject=550 5.7.1 ... Relaying denied<br />
==> Reject Rate: 97.15% (97.77% tmp) [r=42408 s=1243 t=12133]<br />
17<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 17
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
<strong>IBH</strong> Spam Deflector 10<br />
Einschätzung<br />
◆ Gute RBLs sind <strong>der</strong> Haupterfolgsfaktor<br />
●NiX Spam allein bringt 50% bis 75% Abweisungen<br />
●Gut ergänzt durch Spamhaus SBL-XBL<br />
●Zusammen 70% bis > 90% Abweisrate<br />
●Wirksam, aber Gefahr nicht vergessen!<br />
◆ Greylisting ist hochwirksam<br />
●Erfolg relativiert die Kehrseiten<br />
●Greylisting zeitig in <strong>der</strong> Testkette?<br />
■Abweisung nach erfolgreichem Greylist-Pass typisch<br />
■Bindet Spammer-Ressourcen (Botnetze)<br />
◆ An<strong>der</strong>e Maßnahmen sind eher ein Bonus<br />
18<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 18
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Handlungsempfehlung<br />
1. Ausbau <strong>der</strong> Mailserver-Struktur mit Spam- und<br />
Schadcode-Filter vor dem Mailserver (und ggf. weitere<br />
Maßnahmen nach dem Mailserver)<br />
2. Einführung von White-Lists und Black-Lists vor dem<br />
Mailserver in Verbindung mit Greylisting<br />
3. Regelmäßiges Auswerten des Verdächtig-Ordners (ggf.<br />
mit Feedback <strong>der</strong> Falscherkennungen an die<br />
Lernalgorithmen)<br />
4. Abschluss einer geeigneten Betriebsvereinbarung mit<br />
hinreichend exakter Darlegung <strong>der</strong> technischen<br />
Verfahrensweise <strong>bei</strong>m Empfang/Versenden von E-Mails<br />
19<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 19
Möglichkeiten <strong>der</strong> umfassenden Spam-Reduzierung - Praxiserfahrungen<br />
Vielen Dank!<br />
Fragen Sie!<br />
Wir antworten.<br />
www.ibh.de/go/antispam<br />
© <strong>IBH</strong> Ingenieurbüro Prof. Dr. Thomas Horn 20