Spam - die Zukunft ist grau!

"The spam wars are about rendering email useless for unsolicited advertising
before unsolicited advertising renders email useless for communication."

- Walter Dnes & Jeff Wynn in news.admin.net-abuse.email

Chemnitzer Linux-Tage 2005
Frank Richter, URZ, TU Chemnitz

Status Quo: Anti-Spam-Ma�nahmen an der TU Chemnitz

Einfache und ziemlich geordnete E-Mail-Architektur an der TU Chemnitz

E-Mail-Architektur an der TU Chemnitz

Mail-Relays: zwei Linux-Server, �ber die alle externen E-Mails der TU Chemnitz laufen
Keine externen MX
-> einheitliche Spamschutz-Policy an wenigen definierten Stellen

Status Quo: Anti-Spam-Ma�nahmen (2)

Automatische Schutzfilter f�r E-Mails - von jedem unserer ca. 14.000 Benutzer individuell einstellbar:

Status Quo: Statistiken der Anti-Spam-Ma�nahmen

Status Quo: Spam-Plage schlimmer denn je :-(

Menge an Spams, Mail-W�rmer, "Viren-Warnungen"
Genervte Mail-Benutzer, panische Mail-Admins, �berlastete Infrastruktur
Starke Akzeptanzverluste, Unerreichbarkeit, Abschaltung
Spammer passen sich an: Check gegen SpamAssassin, "Futter" f�r Filter ... "Arms race" :-(

Juristisch: Gesetzeslage uneinheitlich, verworren
Technisch/administrativ:
- war sehr lange kein Thema bei IETF, ISOC ... :-(
- Mailadmins mit (Not-) L�sungen
- Mail-Server-Konfiguration komplexer, fehleranf�lliger, z.B. Exim-ACLs
Mail-Benutzer: "Bayes-Filter": Verbreitung, Bedienbarkeit, Robustheit, Wirksamkeit?

Immer gut: Wachsamer Administrator

Beim "Schm�kern" im Logfile gesehen - einliefernde externe MTAs melden sich mit unserem Namen:

HELO 134.109.132.58 HELO hrz.tu-chemnitz.de -> abweisen

Ja, aber ... "Junk mail is war, RFC's do not apply." -- Wietse Venema

seit 2004-03-22 via Spamschutz Administrator

Weitere Ma�nahmen

Vorhandenes besser ausnutzen

SpamAssassin mit Bayes?
SpamAssassin mit Online-Spam-DBs (DCC, Razor)?
Neue DNSBL-Listen: sbl-xbl.spamhaus.org seit 2004-05-03

Neues

Call back bei Annahme einer E-Mail?
Pr�vention: Schutz von E-Mail-Adressen:
- Gegen Spambots: Keine Mailadressen direkt auf WWW-Seiten - Verschleierung:
  Meine Mailadresse
- "Wegwerf-Mailadressen"?: frank.richter-0815@hrz.tu-chemnitz.de
- Spamfallen: WWW-Seiten mit automatisch kodierten Mailadressen IP-Adresse+Zeit@trap.tu-chemnitz.de

Standardisierungsbem�hungen: LMAP

Lightweight MTA Authentication Protocol ... �berpr�fung der Absende-Adresse

ASRG - Anti-Spam Research Group bei IRTF

Domain-Inhaber publizieren im DNS Informationen, von welchen IP-Adressen Mails mit deren Absende-Domains versendet werden d�rfen.
Empf�nger pr�ft, ob Domain der Absende-Adresse von erlaubter IP-Adresse gesendet wird
Verschiede Vorschl�ge: RMX, DMP, SPF

SPF - Sender Policy Framework

hrz.tu-chemnitz.de. IN TXT "v=spf1 mx"
bisher �ber 13.000 Domains, u.a. aol.com, amazon.com, gmx.net, w3.org
Schutz der Envelope Sender-Adresse

Microsoft: Caller-ID

_ep.hrz.tu-chemnitz.de. IN TXT "<ep xmlns= http://ms.net/1 ><out><m> <mx/> </m></out></ep>"
z.B. hotmail.com, microsoft.com
Schutz der Absender-Mail-Header - gegen address phishing

SPF + Caller-ID = Sender ID

Probleme:

Forward - Sender Rewriting Scheme (SRS)
Mobile Nutzer - SMTP AUTH, Port 25 via Firewall?
-> Port 587: Message Submission Agent (MSA, RFC 2476)
Mailing Listen

Greylisting

Evan Harris: The Next Step in the Spam Control War: Greylisting

�berlegungen:

Spammer wollen schnell und unerkannt E-Mails an viele Empf�nger senden.
Es gibt eine funktionierende "Blacklist-Infrastruktur", die mit gewisser Verz�gerung auf Spam-Vorf�lle reagiert.
Wie reagieren andere Systeme in �berlastsituationen?

Bei Mailzustellversuch drei Informationen:

IP-Adresse des Senders, Absende-Adresse, Empf�ngeradresse = Tripel -> mit Zeitstempel speichern

Regel:

Wenn Tripel unbekannt: Annahme f�r eine Weile mit tempor�rem Fehler abweisen.

Verbindung von IP 1.2.3.4
-> MAIL FROM: <sender@somedomain.com>
<- 250 2.1.0 Sender ok
-> RCPT TO: <recipient@otherdomain.com>
  Pr�fen: Kennen wir das Tripel (1.2.3.4, sender@somedomain.com, recipient@otherdomain.com) schon? 
          Ist initiale Wartezeit abgelaufen?
     NEIN:
<- 451 4.7.1 Please try again later
  ... und tsch�ss!
     JA:
<- 250 2.1.5 Recipient ok
-> DATA
<- 354 Enter mail
-> ...
<- 250 2.0.0 Message accepted for delivery
  Tripel mit langer G�ltigkeit versehen

Greylisting (2)

Auswirkungen:

Regul�re Sende-MTAs werden Mail in Queue stellen und sp�ter versuchen -> verz�gerte Zustellung
Spam- (und Viren-) Sender haben i.a keine Queue-Verwaltung -> Zustellung wird nicht wieder versucht.

Wirkungsweise:

Greylisting wirkt im SMTP vor Annahme einer E-Mail:
- E-Mail wird noch gar nicht �bertragen
- Greylisting muss durch Betreiber vom MTA installiert werden.
Transparent zum Benutzer, keine Einflussnahme in Mail-Programm

Parameter:

	Empfohlen	im Einsatz an TU Chemnitz
Initiale Wartezeit bei unbekanntem Tripel:	1 Stunde	15 Minuten
Lebenszeit eines Tripels ohne Mailaustausch:	4 Stunden	2 Tage
Lebenszeit eines Tripels mit erfolgtem Mailaustausch:	36 Tage	36 Tage

Greylisting: Einf�hrung

TU Chemnitz Mail-Relays M�rz 2004:

1.356.445 Tripel, davon 1.293.573 Tripel, �ber die nur eine Mail kam

Implementation f�r Exim

von Alun Jones, University of Wales, Aberystwyth
zus�tzlicher Daemon, macht DB-Arbeit (MySQL)
Exim Recipient ACL:
- fragt Daemon via Unix-Socket:
  -> Tripel
  <- Verz�gerung in Sekunden
- Bei techn. Problem: Timeout -> Annahme der Mail
Mitlernendes System: Viele Tripel �ber eine IP-Adresse -> gesamte IP-Adresse wird frei geschaltet.

Testphase

Eine Datenbank f�r beide Mail-Relays: Unbedingt n�tig, aber single point of failure
"Trockentest":
- Abfrage der Tripel - F�llen der Datenbank, aber trotzdem Annahme - Logging
- Absch�tzung der ben�tigten Ressourcen: Datenmenge, Last
- Absch�tzung der "Wirksamkeit" schwierig
- "gef�llte Datenbank" -> "Verschmutzung", da auch Tripel der Spams -> weiche Einf�hrung

Hei�er Start

2004-04-29 f�r alle mit Spamschutz Administrator

Greylisting: Erfahrungen

Deutliche Verringerung des Spam-Aufkommens
Gewisse Irritationen der Benutzer: "So wenig Mails?"
Anf�ngliche Verz�gerungen bei "guten Mails" -> entsch�rft sich durch automatisches Whitelisting
Greylisting wirkt auch gegen Mail-W�rmer!

Probleme:

Untaugliche MTAs: Kein erneutes Senden nach tempor�rem Fehler, z.B *.grp.scd.yahoo.com oder zu schnelle Wiederholung
-> manuelle Whitelist
Initiale Wartezeit zu lang f�r zeitkritische Anwendungen
-> wenige Benutzer: Spamschutz abschalten oder manuelle Whitelist

Greylisting: Erfahrungen (2)

Die Beschwerden der Benutzer gehen enorm zur�ck - der Mail-Admin atmet auf!

Das Mail-Aufkommen sinkt - die Mail-Relays atmen auf!

Greylisting ist toll!

Alles ist gut? Naja ...

Weitergeleitete E-Mails: via GMX/Web.de/... zu uns: Greylisting wirkt nicht
Gewisse "Verschmutzung" der Greylisting-Datenbasis: Eintr�ge der automatischen Whitelist gegen strengere DNSBL (bl.spamcop.net) testen und ggf. l�schen.
Spammerfreundliche Provider
Neue Spam-Attacken erwartet: Infizierte PCs senden massenweise E-Mails nicht mehr selbst direkt, sondern �ber Provider-Server

Kombination der Spamschutz-Ma�nahmen

Der Mix aus verschiedenen Ma�nahmen bringt es.

Wichtig ist die Reihenfolge:

statische Blacklists und triviale Tests (z.B. existiert Empf�ngeradresse?)
DNSBL
Greylisting
Textanalyse, Virencheck

Am Ball bleiben:

1. Versch�rfte HELO-Tests
2. Greylisting
3. Neue DNSBL sbl-xbl.spamhaus.org
4. Erweiterter Empf�nger-Test
5. Neue SpamAssassin-Version 3.0.X

Filtereinstellungen	Spamschutz Administrator	-227
	Spamschutz RBL	-265
	Inhaltschutz Viren	f�r alle
	Inhaltschutz aktive Inhalte	-286
	Spamschutz Textanalyse
	ausgeschaltet	8132
	Empfindlichkeit: niedrig	5002
	Empfindlichkeit: mittel	553
	Empfindlichkeit: hoch	304