Spam - die Zukunft ist grau!
"The spam wars are about rendering email useless for unsolicited advertising
before unsolicited advertising renders email useless for communication."
|
- Walter Dnes & Jeff Wynn in news.admin.net-abuse.email |
|
Chemnitzer Linux-Tage 2005
Frank Richter, URZ, TU Chemnitz
Status Quo: Anti-Spam-Ma�nahmen an der TU Chemnitz
Einfache und ziemlich geordnete E-Mail-Architektur an der TU Chemnitz
- Mail-Relays: zwei Linux-Server, �ber die alle externen E-Mails der
TU Chemnitz laufen
- Keine externen MX
- -> einheitliche Spamschutz-Policy an wenigen definierten
Stellen
Status Quo: Anti-Spam-Ma�nahmen (2)
Automatische Schutzfilter f�r E-Mails - von jedem unserer ca. 14.000
Benutzer individuell einstellbar:
Status Quo: Statistiken der Anti-Spam-Ma�nahmen


Status Quo: Spam-Plage schlimmer denn je :-(
- Menge an Spams, Mail-W�rmer, "Viren-Warnungen"
- Genervte Mail-Benutzer, panische Mail-Admins, �berlastete Infrastruktur
- Starke Akzeptanzverluste, Unerreichbarkeit, Abschaltung
- Spammer passen sich an: Check gegen SpamAssassin, "Futter" f�r Filter ...
"Arms race" :-(

- Juristisch: Gesetzeslage uneinheitlich, verworren
- Technisch/administrativ:
- war sehr lange kein Thema bei IETF, ISOC ... :-(
- Mailadmins mit (Not-) L�sungen
- Mail-Server-Konfiguration komplexer, fehleranf�lliger,
z.B. Exim-ACLs
- Mail-Benutzer:
"Bayes-Filter": Verbreitung, Bedienbarkeit, Robustheit, Wirksamkeit?
Immer gut: Wachsamer Administrator
Beim "Schm�kern" im Logfile gesehen - einliefernde externe
MTAs melden sich mit unserem Namen:
- HELO 134.109.132.58
HELO hrz.tu-chemnitz.de -> abweisen
Ja, aber ... "Junk mail is war, RFC's do not apply."
-- Wietse Venema
seit 2004-03-22 via Spamschutz Administrator

Weitere Ma�nahmen
Vorhandenes besser ausnutzen
- SpamAssassin mit Bayes?
- SpamAssassin mit Online-Spam-DBs (DCC, Razor)?
- Neue DNSBL-Listen:
sbl-xbl.spamhaus.org
seit 2004-05-03

Neues
- Call back bei Annahme einer E-Mail?
- Pr�vention: Schutz von E-Mail-Adressen:
- Gegen Spambots: Keine Mailadressen direkt auf WWW-Seiten -
Verschleierung:
Meine Mailadresse
- "Wegwerf-Mailadressen"?: frank.richter-0815@hrz.tu-chemnitz.de
- Spamfallen: WWW-Seiten mit automatisch kodierten Mailadressen
IP-Adresse+Zeit@trap.tu-chemnitz.de
Standardisierungsbem�hungen: LMAP
Lightweight MTA Authentication Protocol ...
�berpr�fung der Absende-Adresse
ASRG - Anti-Spam Research Group bei IRTF
- Domain-Inhaber publizieren im DNS Informationen,
von welchen IP-Adressen Mails mit deren Absende-Domains versendet werden
d�rfen.
- Empf�nger pr�ft, ob Domain der Absende-Adresse von erlaubter IP-Adresse gesendet wird
- Verschiede Vorschl�ge: RMX, DMP, SPF
SPF - Sender Policy Framework
- hrz.tu-chemnitz.de. IN TXT "v=spf1 mx"
- bisher �ber 13.000 Domains, u.a.
aol.com, amazon.com, gmx.net, w3.org
- Schutz der Envelope Sender-Adresse
Microsoft: Caller-ID
- _ep.hrz.tu-chemnitz.de. IN TXT "<ep xmlns= http://ms.net/1 ><out><m> <mx/> </m></out></ep>"
- z.B.
hotmail.com, microsoft.com
- Schutz der Absender-Mail-Header - gegen address phishing
SPF + Caller-ID = Sender ID
Probleme:
- Forward - Sender Rewriting Scheme (SRS)
- Mobile Nutzer - SMTP AUTH, Port 25 via Firewall?
-> Port 587: Message Submission Agent (MSA, RFC 2476)
- Mailing Listen
Greylisting
Evan Harris:
The Next
Step in the Spam Control War: Greylisting
�berlegungen:
- Spammer wollen schnell und unerkannt E-Mails an viele Empf�nger
senden.
- Es gibt eine funktionierende "Blacklist-Infrastruktur", die mit
gewisser Verz�gerung auf Spam-Vorf�lle reagiert.
- Wie reagieren andere Systeme in �berlastsituationen?
Bei Mailzustellversuch drei Informationen:
-
IP-Adresse des Senders, Absende-Adresse, Empf�ngeradresse = Tripel
-> mit Zeitstempel speichern
Regel:
-
Wenn Tripel unbekannt: Annahme f�r eine Weile mit tempor�rem Fehler abweisen.
Verbindung von IP 1.2.3.4
-> MAIL FROM: <sender@somedomain.com>
<- 250 2.1.0 Sender ok
-> RCPT TO: <recipient@otherdomain.com>
Pr�fen: Kennen wir das Tripel (1.2.3.4, sender@somedomain.com, recipient@otherdomain.com) schon?
Ist initiale Wartezeit abgelaufen?
NEIN:
<- 451 4.7.1 Please try again later
... und tsch�ss!
JA:
<- 250 2.1.5 Recipient ok
-> DATA
<- 354 Enter mail
-> ...
<- 250 2.0.0 Message accepted for delivery
Tripel mit langer G�ltigkeit versehen
Greylisting (2)
Auswirkungen:
-
Regul�re Sende-MTAs werden Mail in Queue stellen und sp�ter versuchen
-> verz�gerte Zustellung
-
Spam- (und Viren-) Sender haben i.a keine Queue-Verwaltung
-> Zustellung wird nicht wieder versucht.
Wirkungsweise:
- Greylisting wirkt im SMTP vor Annahme einer E-Mail:
- E-Mail wird noch gar nicht �bertragen
- Greylisting muss durch Betreiber vom MTA installiert werden.
- Transparent zum Benutzer, keine Einflussnahme in Mail-Programm
Parameter:
| Empfohlen |
|
im Einsatz an TU Chemnitz |
Initiale Wartezeit bei unbekanntem Tripel: |
1 Stunde | |
15 Minuten |
Lebenszeit eines Tripels ohne Mailaustausch: |
4 Stunden | |
2 Tage |
Lebenszeit eines Tripels mit erfolgtem Mailaustausch: |
36 Tage | |
36 Tage |
Greylisting: Einf�hrung
TU Chemnitz Mail-Relays M�rz 2004:
- 1.356.445 Tripel, davon 1.293.573 Tripel, �ber die nur eine Mail kam
Implementation f�r Exim
- von Alun Jones, University of Wales, Aberystwyth
- zus�tzlicher Daemon, macht DB-Arbeit (MySQL)
- Exim Recipient ACL:
- fragt Daemon via Unix-Socket:
-> Tripel
<- Verz�gerung in Sekunden
- Bei techn. Problem: Timeout -> Annahme der Mail
- Mitlernendes System: Viele Tripel �ber eine IP-Adresse ->
gesamte IP-Adresse wird frei geschaltet.
Testphase
- Eine Datenbank f�r beide Mail-Relays:
Unbedingt n�tig, aber single point of failure
- "Trockentest":
- Abfrage der Tripel - F�llen der Datenbank, aber
trotzdem Annahme - Logging
- Absch�tzung der ben�tigten Ressourcen: Datenmenge, Last
- Absch�tzung der "Wirksamkeit" schwierig
- "gef�llte Datenbank" -> "Verschmutzung", da auch Tripel der Spams
-> weiche Einf�hrung
Hei�er Start
- 2004-04-29 f�r alle mit Spamschutz Administrator
Greylisting: Erfahrungen
- Deutliche Verringerung des Spam-Aufkommens
- Gewisse Irritationen der Benutzer: "So wenig Mails?"
- Anf�ngliche Verz�gerungen bei "guten Mails"
-> entsch�rft sich durch automatisches Whitelisting
- Greylisting wirkt auch gegen Mail-W�rmer!

Probleme:
- Untaugliche MTAs: Kein erneutes Senden nach tempor�rem Fehler, z.B
*.grp.scd.yahoo.com
oder zu schnelle Wiederholung
-> manuelle Whitelist
- Initiale Wartezeit zu lang f�r zeitkritische Anwendungen
-> wenige Benutzer: Spamschutz abschalten oder manuelle Whitelist
Greylisting: Erfahrungen (2)
Die Beschwerden der Benutzer gehen enorm zur�ck -
der Mail-Admin atmet auf!
Das Mail-Aufkommen sinkt - die Mail-Relays atmen auf!

Greylisting ist toll!
Alles ist gut? Naja ...
- Weitergeleitete E-Mails: via GMX/Web.de/... zu uns: Greylisting
wirkt nicht
- Gewisse "Verschmutzung" der Greylisting-Datenbasis:
Eintr�ge der automatischen Whitelist gegen strengere DNSBL
(
bl.spamcop.net
) testen und
ggf. l�schen.
- Spammerfreundliche Provider
- Neue Spam-Attacken erwartet:
Infizierte PCs senden massenweise E-Mails
nicht mehr selbst direkt, sondern �ber Provider-Server
Kombination der Spamschutz-Ma�nahmen
Der Mix aus verschiedenen Ma�nahmen bringt es.
Wichtig ist die Reihenfolge:
- statische Blacklists und triviale Tests (z.B. existiert Empf�ngeradresse?)
- DNSBL
- Greylisting
- Textanalyse, Virencheck
Am Ball bleiben:

1. Versch�rfte HELO-Tests
2. Greylisting
3. Neue DNSBL sbl-xbl.spamhaus.org
4. Erweiterter Empf�nger-Test
5. Neue SpamAssassin-Version 3.0.X