spam - techniken zur abwehr - lug erding · vorsicht beimailversendenden cgi–scripten (formmail)...

SpamTechniken zur Abwehr

Dirk Geschke

Linux User Group Erding

23. April 2008

Dirk Geschke (LUG-Erding) E-Mail 23. April 2008 1 / 28

Gliederung

1 Methoden der Spambekämpfung

2 Theoretische Verfahren

3 Abschluß

Vermeidung von Spam

Mailserver nicht als open relay betreiben, gleiches gilt für openproxies wie z.B. SquidVorsicht bei mailversendenden CGI–Scripten (formmail)Umgang mit Mailadressen

I keine E-Mail Adressen auf WebseitenI lange Namen, 1-2 Buchstaben werden schnell geratenI Vorsicht bei: Gewinnspielen, Newslettern, Gratisproben,

AustragunglinksI keine vacation E-Mails.I Geheimhalten der Adresse, häufiger Adreßwechsel und

Wegwerfadressen (unpraktisch)I Zusatzinformationen in der Adresse: auf Displaynamen achten!I Zusatzinformationen in mailto–Links (Subject)

Vermeidung von Spam

Angreifpunkte bei Spam

im Server beim Versand (MSA): egress–Filterung (ISPs)im Server vor der Annahme der E-Mail

I IP-Filter vor ConnectI vor HELO/EHLOI nach HELO/EHLOI nach MAIL FROMI nach RCPT TOI nach DATA und CRLF . CRLF

im Server nach Annahmeim Client vor Abholungim Client nach Abholung

Nach Spamanalyse

zustellen, spamverdächtige E-Mails markieren oder separatenFolderabweisen, ressourcensparendlöschen: niemand merkt das, Fehler nicht erkennbar,Rekonstruktion der E-Mail nicht möglich −→ nicht machbar!markieren, entweder unsichtbar im Header oder sichtbar imSubjectunter Quarantäne stellenAusnahmen: Postmaster (zwecks Beschwerden!)

Nach Spamanalyse

Filterung durch Personen

sehr effektives Verfahren, gewöhnlich wird Spam auf den erstenBlick erkanntwird von manchen Mailinglisten verwendet: moderated Listim Unternehmenseinsatz an zentraler Stelle aufgrund vonDatenschutzbestimmungen nicht möglichFilterung im Mailclienterkannter Spam kann zum Trainieren anderer Filter verwendetwerden, siehe Bayes–Verfahren

Einhalten des Protokolls, Timeouts

Prüfung des HELO-Strings: Ist der Hostname korrekt? Weist erauf eine gültige Adresse hin?Test auf PTR–Eintrag: Existiert er und verweist dieser auf diegleiche IP-Adresse (reverse and forward lookup)Einhaltung der Sequenzen: Sendet der Client vor der Antwort desServers? Vorsicht bei PIPELINING.Tests auf Korrektheit z.B. der Adressen, Vorsicht: es existierennicht-RFC-konforme Mailserver.Verlangsamung, Ausnutzung von Timeouts: Spammer haben eseilig, sie wollen viele E-Mails durchschleusen. Eine bewußteVerlangsamung kann daher helfen.Spammer dürften bei Verbreitung des Verfahrens schnell daraufreagieren, fehlerhafte Mailclients leider nicht.

Sender Policy Framework, SenderID

Verifikation des Absenders anhand von DNS–EinträgenEinschränkung des Kreises von sendeberechtigten Servernnur der Versender kann Einträge vornehmen: Spamvermeidungbei anderen und nicht bei einem selberSpammer können sich auch SPF-Einträge generierenRelaying über andere Server nur bedingt möglichErfolg begrenzt, Einsatz eher nicht ratsam

S/MIME, PGP, STARTTLS

Aufwand für Verschlüsselung recht hochExistenz von Signaturen nicht ausreichend, Spammer könneneinmal signieren und mehrfach versendenSTARTTLS hilfreich: Hohe CPU-Last durch Verschlüsselungreduziert Durchsatz bei SpammernAllerdings hilft das nicht viel gegen Bot–Netze, die sind in derRegel leistungsstarkAls Kriterium eher sekundär geeignet, z.B. in Verbindung mitheuristischer Statistik

Right Hand Side Blacklists RHSBL

Blockierung aufgrund des Domainnamens des AbsendersAbsender leicht fälschbar −→ schlecht für Blacklistssinnvoll nur bei bekannten Spam-Domains.hilfreich bei Whitelists, Anwendung muß gut durchdacht seinwenig hilfreich, höchstens in Verbindung mit DKIM

Realtime Blackhole Lists

Sperrung anhand der IP-Adresse des AbsendersAuch DNSBL genannt: Mißbrauch von DNS um Informationen zuIP-Adressen zu verteilenVertrauen in Betreiber von RBLs notwendigdiverse Policies: offene Relays, bekannte Spammer, dial-inAdressenWer kommt alles auf die Liste? Wie verfährt man wenn jemandfälschlich auf die Liste gesetzt wurde? Wie schnell werden dieListen aktualisiert?rechtlich nicht einwandfrei: Speicherung von IP-Adressen könnenpersonenbezogen seingenerell aber recht effektiv

URI-Blacklists

Filtern nach URIs innerhalb der E-MailBei Verwendung beliebiger Subdomains nur die unterste DomainverwendenVorsicht: uk hat 3. LevelProblem: Redirect-Dienste wie z.B. TinyURLDatenschutzproblem existiert auch hierSpammer umgehen dies durch z.B. GIF-Bilder mit URLs

URI-Blacklists

Prüfsummenvergleiche

statischer Inhalt: Prüfsummenvergleiche des Inhalts effektivbei leichten Variationen: unscharfe Verfahren wie z.B. nilsimsaVarianten: Distributed Checksum Clearing (DCC), Vipul’s Razor,PyzorBrauchen eine breite Basis um effektiv zu sein: zentrales RegisterDa nur Metadaten abgefragt werden: unbedenklich ausDatenschutzgründenKönnen sehr effektiv sein, benötigen aber in der Regelübergeordnete Instanz

Frequenzanalyse

Reputationsverfahren, Häufigkeit und Frequenz von E-MailsGrund-Maillast notwendigVerhältnis gültige zu ungültigen AdressenGröße der E-Mails: Alle ungefähr gleichgroß?temporäres Blacklisten von IP-Adressenrecht einfaches und brauchbares Verfahren

Frequenzanalyse

Sperren SMTP-Port, MTAMARK

nur für ISPs und Unternehmen interessanteinige Provider wie z.B. AOL führen dies durchMUAs müssen Mailserver des Providers erreichen können oderMSP-Port verwendenProblem ist, daß man selber keinen eigenen Mailserver betreibenkann, viele Firmen wollen dies aber.könnte gegen viele Bot–Netze helfen

Heuristische Inhaltsanalyse

Analyse nach Wörtern, Strukturen: rule-based filteringSuche nach bestimmten Begriffen im Body und HeaderBody: Großschreibung, Austragungsoptionen, Aufforderung URLaufzurufen, Mustern innerhalb von URLs,HTML-Verschleierungstricks, . . .Header: Absender, Empfänger, Versand-Datum,X-Mailer-Analyse, Zeitsprünge in Received-Zeilen, . . .Verwendung von Scores für verschiedene gefundeneEigenschaften, positiv wie negativberühmter Vertreter: SpamAssassinEffektivität recht hoch, muß auf aktuellem Stand gehalten werden(Katz-und-Maus-Spiel), hoher Rechenaufwand durch viele Regelnund Regular-Expressionsauf dem Server nur bedingt anwendbar

Statistische Inhaltsanalyse

Vorhersagbarkeit von HAM oder SPAM durch statistische Analysealter E-Mailsnaive Bayes-Filter: Statistiken über einzelne Wörter (token)Trainingsphase notwendig für SPAM und HAMFilter muß ständig aktualisiert werdenSpamfallen können zum automatischem Training verwendetwerdenProbleme bereiten HTML-Verschleierungen, es gibt Ansätze diediese vorher rendernErfolg hängt vom Training ab, gewöhnlich nur im MUA anwendbar

DomainKeys Identified Mails (DKIM)

Validierung des Absenders und der E-Mail durch digitaleSignierung auf dem Serverkeine Änderungen am MUA notwendigReplay–Attacken möglich, d.h. mehrfaches versenden einereinmal signierten E-Mailpublic key wird via DNS verteilt, ratsam nur mit DNSSecSpammer können auch DKIM einsetzen: Kombination mit RHSBLbislang keine große Verbreitung, derzeit nur als Whitelistverwendbar

SMTP-Callout

Validierung des Absenders durch SMTP-Verbindung zumMailserver des vermeintlichen Absendersauch: Sender–Address–Verification, Sender–VerifyProblem: Bindung von Ressourcen, nachfragen kann längerdauern, manche Maliserver nehmen generell für alle E-Mailsentgegenerhöhte Last auf Gegensystem kann zu Verstimmungen führenEinsatz nicht ratsamVariante: Testen ob Server überhaupt auf Port 25 reagiert. SYN,SYN-ACK

SMTP-Callout

Greylisting

Spammer ignorieren Antworten des Servers, sie lassen sich durchtemporäre Fehlermeldungen abschreckenFunktionsweise:

I 1. E-Mail wird durch 4xx-Fehlermeldung abgelehnt,I spätere E-Mails mit Tripel (Absender, Sender-IP-Adresse,

Empfänger) werden temporär freigeschaltet: GreylistI jedes Auftreten des Tripels aktualisiert Greylist-Eintrag

Zeiten relevant: sehr effektiv zusammen mit RBLnicht alle Mailserver sind RFC-konform: Whitelists notwendigalle MX-Server müssen Greylisting unterstützenderzeit noch die wirksamste Waffe gegen Spam!

Greylisting

Spamfallen, Greytrapping

Spamfallen: versteckte, nicht-existierende Mailadressenalles was an diese Adresse gesendet wird ist Spam: gut fürAnalyse via BayesGreytrapping: temporäres Sperren eines Mailservers der an eineSpamfalle E-Mails sendetbeschäftigen Spammer mit unnötiger Arbeitdynamische Adressen und Weblogs können Beweise fürGerichtsverfahren liefernVorsicht: Spammer verwenden manchmal derartige Adressen alsAbsender, bounces und Abwesenheitsnotizen können dann zuProblemen führen!

Tokenbasierte und Challenge–Response–Verfahren

spezieller Token innerhalb einer E-Mail notwendig, wird überBounce erhaltenmanchmal auch alternative Wege wie Webbestätigung erforderlichVorgang meist nur einmal notwendigVerfahren ist sehr effektivjedoch nicht ratsam, hohe Hürde für normale MailversenderVerwendung mit Mailinglisten hoffnungslos: Whitelists notwendig

Bounce Address Tag Validation (BATV)

Vermeidung von falschen Bouncesspezielle Tags in Envelope-From Adresse, individuelleAbsenderadressenfunktioniert nicht mit Greylistinglocal-part darf nur maximal 64 Zeichen lang seinBATV muß schwer ratbar und Tag ständig erneuert werden,Tracking der vergebenen Tagshilft nur gegen Kollateral–Spammöglicher Gewinn rechtfertigt nicht den Aufwand

Elektronische Briefmarken

Idee: geringe Kosten pro E-Mail treffen hauptsächlich SpammerGewinnreduzierung beim Spammer, diese verlieren InteresseFrage der Geldeintreibung offen: MicropaymentWer soll das Geld bekommen? Der ISP? Wer darf dann ISPwerden?interessante Idee: Empfänger bekommt das Geld, spamlesen wirdlukrativVariante: Whitelisten für bestätigte KontakteProbleme: legitime Massenversendungen, Mailinglisten

Proof-of-Work

Idee ähnlich der elektronischen Briefmarkehohe CPU-Last vor dem Versenden erschwert Spammern dasLebenwenig CPU-Last zur VerifizierungBot–Netze haben viel Rechenleistung, daher wenigerfolgversprechendderzeit kaum Verbreitung, praktisch keine Verwendungmögliches Verfahren: HashCashProblem: Muß pro E-Mail unterschiedlich sein, was ist mitRelaying über mehrere Server?

Proof-of-Work

Dedizierte Mailserver

Zustellung nur über spezielle Mailserver möglicheffektives Verfolgen von Spamversendern möglichProblem: alle ISPs müssen mitmachen und Port 25 entsprechendfilternProblem: zuviel Macht bei ISPs?Wer regelt wer Mailserver betreiben darf?

Verbot von Spam

derzeit ist Spamversand erlaubtVerbot müßte weltweit geltenkonsequente Verfolgung notwendigSperrung von IP-Adressen aus Ländern die Spam erlaubendenkbarmögliches Problem: zuviel Macht für den Staat?

Verbot von Spam

Schlußbemerkungen

eine perfekte Lösung gibt es nichtnicht alle Verfahren eignen sich überallKombination mehrerer Verfahren ratsamjuristische Aspekte dürfen nicht vergessen werdenReihenfolge mitunter wichtig (Ressourcenverbrauch)heute funktionierende Verfahren müssen nicht morgen auch nocherfolgreich sein, Spammer passen sich an

Schlußbemerkungen

spam - techniken zur abwehr - lug erding · vorsicht beimailversendenden cgi–scripten (formmail)...

Documents