PDF [0,2 MB] - bei der IBH IT-Service GmbH

Möglichkeiten der umfassenden Spam-Reduzierung - Praxiserfahrungen 

Möglichkeiten der umfassenden Spam- 

Reduzierung - Praxiserfahrungen 

André Beck 

IBH IT-Service GmbH 

Gostritzer Str. 61-63 

01217 Dresden 

http://www.ibh.de/ 

support@ibh.de 

www.ibh.de/go/antispam 

© IBH Ingenieurbüro Prof. Dr. Thomas Horn 1


Vorwort 

Ziel 

◆ Abwehr der ständig zunehmenden Belastung durch Spam- 

Mails und Mails mit Malware (Viren, Würmer etc.) 

Was ist Spam? 

◆ Umgangssprachlich: Jede Form unerwünschter Mail, die 

uns in unserem Persönlichkeitsrecht verletzt und/oder uns 

in unserer täglichen Arbeit behindert 

◆ Technisch: Unerbetene Massenmail (Unsolicited Bulk Email 

– UBE) 

Problem 

◆ juristische Definition bezieht sich nur auf unerwünschte 

kommerzielle Mail (EU-Wettbewerbsrecht!) 

◆ subjektiv unterschiedliche Bewertung von Spam 

2 



Zivilrechtliche Maßnahmen 

gegen Spam 

Rechtliches Vorgehen gegen Spammer löst das 

Spam-Problem an sich nicht, weil: 

◆ ein rechtliches Vorgehen in der Regel an den 

Ländergrenzen scheitert, da die meisten Spammer aus 

dem Ausland kommen 

◆ in den USA und in anderen Ländern Spam nur dann 

verboten ist, wenn diesem Mailverkehr ausdrücklich 

widersprochen wurde (Opt Out) 

◆ die meisten Spammer sich nicht an die Gesetze halten und 

nur mit unvertretbar hohem Aufwand ermittelt werden 

können 

◆ die große Masse der Spammer ihre Identität verschleiert 

und zum Spammen gehackte (manipulierte) Computer 

unbeteiligter Firmen oder Einrichtungen sowie in 

zunehmenden Umfang sogenannte „Botnetze“ aus 

infiltrierten Heim-PCs (Zombies) benutzt 

3 



Ausweg: Filtermaßnahmen 

◆ Inzwischen setzen fast alle Unternehmen und Behörden 

Mailfilter zum Aussortieren von Spam-Mails und von Mails 

mit Schadcode (Viren, Würmer etc.) ein 

◆ Andernfalls könnte die eingehende E-Mail-Flut nicht 

bewältigt werden 

◆ Automatisiertes Filtern von E-Mails ohne Kenntnis und 

Zustimmung des Empfängers kann rechtliche Probleme 

nach sich ziehen 

◆ Das OLG Karlsruhe (Januar 2005) stellte fest, dass „das 

gezielte Filtern von E-Mails grundsätzlich als strafrechtlich 

relevant“ anzusehen sei 

◆ Es ist aber bis heute nicht bestätigt, ob das auch für die 

Spam-Abwehr zur Funktionserhaltung der E-Mail-Systeme 

so gilt 

◆ Ausnahme: Gemäß StGB §34 (Notstand) und TKG §109 

(Schutzmaßnahmen) gibt es erweiterte Befugnisse für die 

IT-Abteilung 

4 



Rechtliche Probleme 

◆ E-Mail-Verkehr unterliegt wie Telefonie- und Faxverkehr 

dem Fernmeldegeheimnis, das durch das Grundgesetz 

(GG), Art. 10, geschützt wird: „Das Briefgeheimnis sowie 

das Post- und Fernmeldegeheimnis sind unverletzlich“ 

◆ Weitere Gesetze: 

TKG §88 Fernmeldegeheimnis 

„(2) Zur Wahrung … ist jeder Diensteanbieter verpflichtet“ 

StGB § 202 

Verletzung des Briefgeheimnisses 

„wer unbefugt einen verschlossenen Brief …, die nicht zu seiner 

Kenntnis bestimmt sind, öffnet …“ 

StGB § 206 

Verletzung des Post- oder Fernmeldegeh. 

„wer unbefugt … eine Sendung, die … zur Übermittlung anvertraut 

worden ist, öffnet …“ 

StGB § 303a 

Datenveränderung 

„wer rechtswidrig Daten löscht, unterdrückt, … oder verändert …“ 

5 



Unternehmen als Dienstanbieter? 

◆ Sind Unternehmen im Sinne des TKG Dienstanbieter bzw. 

erbringt ein Unternehmen geschäftsmäßig Telekommunikationsdienste 

für die angestellten Mitarbeiter? 

◆ Antwort: 

Wenn private Internetnutzung (Mail, WWW etc.) 

ausgeschlossen wird, dann ist das Unternehmen kein 

Dienstanbieter 

◆ Auch BSI empfiehlt den Abschluss von 

Betriebsvereinbarungen zum Ausschluss der privaten 

Internet-Nutzung 

◆ Ganz sauber ist diese Regelung, wenn im Außenverkehr 

nur funktions- oder bereichsbezogene Mail-Konten benutzt 

werden, wie z.B. buchhaltung@ibh.de. Namentliche E-Mail- 

Konten sollten explizit als namentliche E-Mail-Konten 

bezeichnet werden und nicht als persönliche E-Mail- 

Konten, damit für Fremde nicht der Eindruck einer privaten 

Internet-Nutzung erweckt wird 

6 



Das Problem der Filter 

◆ Filter bieten keine 100% sichere Erkennung von Spam 

ja 

Mail ist Spam? 

nein 

Mail als 

Spam 

erkannt? 

ja 

nein 

Positive 

Mail kann gelöscht werden 

Falsch-Negative 

Mails sind lästig 

Falsch-Positive 

manuelle Behandlung 

Negative 

Mail wird zugestellt 

◆ Löschen der Spam-Mails bzw. Nichtauswertung des 

Quarantäne-Folders kann zu erheblichen Reputationsverlusten 

führen 

◆ Bei Vollkaufleuten ist der Nichterhalt einer E-Mail vor 

Gericht wenig glaubwürdig 

◆ Falsch-negativer Spam ist zwar lästig, stellt aber kein 

juristisches Problem dar. 

7 



Filterung vor der Mail-Annahme 

◆ Wenn ein Mailserver eine Mail übernommen hat, dann 

muss der Absender darauf vertrauen können, dass die Mail 

dem Empfänger zugestellt wird 

Angreifer 

Internet 

Ablehnen 

der Mail 

Filter 

Annahme 

der Mail 

Filter 

Mailserver 

Posteingang 

Quarantäne 

◆ Eine Mail ist einem Server zur Weitervermittlung eindeutig 

anvertraut, wenn dieser die Mail ordnungsgemäß 

angenommen und quittiert hat (OLG Karlsruhe) 

◆ juristische Beurteilung des Übergangs der Verantwortung 

für eine Mail entspricht der technischen Sichtweise 

8 



IBH Spam Deflector 1 

Alles zweifelsfrei Unerwünschte abweisen 

◆ Maßnahmenkatalog 

●Eingriff vor vollständigem Ablauf des SMTP-Dialogs 

●Prüfungen in der Envelope-Phase (Metadaten) 

●Prüfungen in der DATA-Phase (Content) 

●Einlieferung ggf. temporär oder endgültig zurückweisen 

◆ Referenzimplementation für verschiedene MTAs 

●sendmail (IBH und Kunden) 

●postfix (Kunden) 

●exim (Testaufbau) 

●Relay und Final Delivery 

9 




Envelope Phase 

◆ (E)SMTP Hardening 

●Privacy Flags (kein EXPN, VRFY etc) 

●PIPELINING nur für bekannte/interne MTAs 

●Hard Connection Rate Throttle (TCP accept delay) 

■2s -1 reicht für 172800 Einlieferungen am Tag! 

●Per-Client Connection Rate Throttle (4xx Reject) 

■10min -1 mit Ausnahmen für interne MTAs 

●Per-Client Connection Count Throttle (4xx Reject) 

■Weniger ist mehr – mit Ausnahmen für interne MTAs 

●SMTP Greeting Pause Tripwire (Protocol Error) 

■3s bis 5s mit Ausnahmen für interne MTAs 

10 





◆ Greylisting 

●Resend wird nach zeitigstens 1min akzeptiert 

■Verhindert triviales doppeltes Senden im Spammer-Tool 

●Haltezeit 5 Tage 

■Keine unzulässigen Annahmen über das Queue/Resend Timing 

der Gegenstelle (4h bis 8h immer noch verbreitet) 

●IP- und EMail-Adressen-Whitelists 

●Verschärfung der Timings anhand (dubioser) RBLs 

●SPF-based Bypass, z.Z. kein DNSWL 

●Gestaffeltes Queueing beim Senden 

■Für 30min aller 5min, dann für 8h aller 1h, dann aller 4h 

11 





◆ DNS RBLs 

●Sofortiges Reject RBL muss vertrauenswürdig sein! 

■Spamhaus SBL-XBL 

■Heise NiX Spam 

■Ausnahmen für bestimmte Zieladressen (abuse, postmaster) 

◆ Weitere Auswertungen 

●Recipient Blacklisting 

●Bad Recipient Throttling & Max Recipients 

●Sender Validation (Syntax, MX-/A-RR, kein Callback) 

12 





◆ Recipient Validation 

●Ernstes Problem wegen Bounce-Spam 

■Einige RBL unterscheiden nicht mehr zwischen Bounces und 

direkt verursachtem Spam 

■Mail Queue verkleistert mit massenhaft unzustellbaren Bounces 

●Local Delivery und Double Bounce Drop 

●Perimeter Mail Relays 

■manuell gepflegte Liste 

■Gescripteter Abgleich z.B. mit ADS per LDAP 

■Live LDAP Was tun bei Kommunikationsverlust? 

13 




DATA Phase 

◆ Übertragung von Mail Header & Body 

●Content-Filter können Mail immer noch abweisen 

◆ SpamAssassin 

●Permanent Reject > 15 Punkte 

●Spam-Markierung + Attachment > 5 Punkte für MUA 

●Bayes Autowhitelist 

■Spam Feedback > 12.0 (Default) 

■Ham Feedback < -2.0 (manuell verringert) 

◆ ClamAV 

●Einfache Erkennung und Reject offensichtlicher Malware 

■Kein Anspruch auf 100% Wirksamkeit 

■Andere AV-Lösung dahinter nutzen! 

14 




Abweisrate – Server mittleren Aufkommens (24h) 

12879 reject=550 5.7.1 ... Rejected: listed at ix.dnsbl.manitu.net 

6950 reject=451 4.7.1 Greylisting in action, please come back later 

3946 reject=550 5.7.1 ... Rejected: listed at sbl-xbl.spamhaus.org 

1505 stat=Sent 

455 reject=550 5.7.1 ... Relaying denied. Proper authentication required. 

368 reject=550 5.7.1 ... Relaying denied. IP name lookup failed [] 

231 reject=421 4.3.2 Connection rate limit exceeded. 

230 reject=550 5.7.1 ... Relaying denied. IP name possibly forged [] 

149 rejecting commands from [] due to pre-greeting traffic 

127 reject=550 5.7.1 Blocked by SpamAssassin 

59 reject=553 5.1.8 ... Domain of sender address MAILADDR does not exist 

55 reject=550 5.0.0 ... get rid of your SPAM elsewhere 

28 reject=550 5.0.0 ... User unknown 

15 reject=451 4.1.8 Domain of sender address MAILADDR does not resolve 

7 reject=450 4.4.0 ... Relaying temporarily denied. Cannot resolve PTR record for 

2 reject=554 5.7.1 virus Trojan.Fakealert-532 detected by ClamAV - http://www.clamav.net 

1 reject=554 5.7.1 virus Trojan.Zbot-2114 detected by ClamAV - http://www.clamav.net 

1 reject=554 5.7.1 virus Email.PornTeaser-1 detected by ClamAV - http://www.clamav.net 

==> Reject Rate: 92.40% (94.43% tmp) [r=18300 s=1505 t=7203] 

15 




Greylisting – Server mittleren Aufkommens (24h) 

Greylisted tupels: 6945 

Sources: 1277 

Senders: 6266 

Recipients: 573 

Total rejects: 6835 

Subsequent Passes: 115 

Efficiency: 98.32% 

SPF-based bypass: 389 

Whitelist Matches: 951 

16 




Abweisrate – Server hohen Aufkommens (24h) 

20104 reject=550 5.7.1 ... Rejected: listed at ix.dnsbl.manitu.net 

15146 reject=550 5.1.1 ... User unknown at perimeter relay 

11952 reject=451 4.7.1 Greylisting in action, please come back later 

5585 reject=550 5.7.1 ... Rejected: listed at sbl-xbl.spamhaus.org 

1362 rejecting commands from [] due to pre-greeting traffic 

1243 stat=Sent 

186 reject=553 5.1.8 ... Domain of sender address MAILADDR does not exist 

95 reject=451 4.1.8 Domain of sender address MAILADDR does not resolve 

86 reject=421 4.3.2 Connection rate limit exceeded. 

19 reject=550 5.7.1 Blocked by SpamAssassin 

3 reject=553 5.0.0 ... User address required 

1 reject=554 5.7.1 virus Trojan.Zbot-2114 detected by ClamAV - http://www.clamav.net 

1 reject=550 5.7.1 ... Relaying denied. IP name lookup failed [] 

1 reject=550 5.7.1 ... Relaying denied 

==> Reject Rate: 97.15% (97.77% tmp) [r=42408 s=1243 t=12133] 

17 




Einschätzung 

◆ Gute RBLs sind der Haupterfolgsfaktor 

●NiX Spam allein bringt 50% bis 75% Abweisungen 

●Gut ergänzt durch Spamhaus SBL-XBL 

●Zusammen 70% bis > 90% Abweisrate 

●Wirksam, aber Gefahr nicht vergessen! 

◆ Greylisting ist hochwirksam 

●Erfolg relativiert die Kehrseiten 

●Greylisting zeitig in der Testkette? 

■Abweisung nach erfolgreichem Greylist-Pass typisch 

■Bindet Spammer-Ressourcen (Botnetze) 

◆ Andere Maßnahmen sind eher ein Bonus 

18 



Handlungsempfehlung 

1. Ausbau der Mailserver-Struktur mit Spam- und 

Schadcode-Filter vor dem Mailserver (und ggf. weitere 

Maßnahmen nach dem Mailserver) 

2. Einführung von White-Lists und Black-Lists vor dem 

Mailserver in Verbindung mit Greylisting 

3. Regelmäßiges Auswerten des Verdächtig-Ordners (ggf. 

mit Feedback der Falscherkennungen an die 

Lernalgorithmen) 

4. Abschluss einer geeigneten Betriebsvereinbarung mit 

hinreichend exakter Darlegung der technischen 

Verfahrensweise beim Empfang/Versenden von E-Mails 

19 



Vielen Dank! 

Fragen Sie! 

Wir antworten. 

www.ibh.de/go/antispam

PDF [0,2 MB] - bei der IBH IT-Service GmbH

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?