Spam - ISPs müssen handeln
Artikel erschienen in Swiss IT Magazine 2006/16
Seit 1994 widme ich mich der Bekämpfung von Spam. So war ich unter anderem Mitbegründer der ersten Anti-Spam-Organisation, die damals unter dem Namen «Mail Abuse Prevention System» kurz: MAPS bekannt wurde. Natürlich ist es kein Zufall, dass MAPS rückwärts gelesen «Spam» ergibt. Unsere Organisation hat sich nicht nur das Blockieren von Spam am Posteingang zum Ziel gesetzt, sondern die vollständige Auslöschung von Spam.
Trotz diesem ambitionierten Ziel nimmt die Flut von Spam-Angriffen Jahr für Jahr weiter zu und wird allgemein schon als gegebenes Phänomen akzeptiert die Anwender haben schlicht resigniert. Laut aktuellen Statistiken, die von verschiedenen Quellen wie beispielsweise der Messaging Anti-Abuse Working Group (MAAWG, www.maawg.org) veröffentlicht wurden, macht Spam inzwischen mehr als 80 Prozent des gesamten weltweiten E-Mail-Verkehrs aus.
Der Grossteil dieser Spam-Mails stammt von infizierten Computern, meist PCs von Privatanwendern mit hoher Bandbreite. Auf diesen Rechnern wird mittels verschiedener Mechanismen unbefugt Software installiert, mit der Spam-Mails versendet, Denial-of-Service-Angriffe gestartet und vertrauliche Daten entwendet werden ein perfekter Ausgangspunkt für Übergriffe auf andere Computer. Die Benutzer bemerken von all dem meist gar nichts.
Sobald ein Computer infiziert ist, wird er über eine sogenannte «Command-and-Control»-Website gesteuert. Über diese Websites können Spammer den Computer identifizieren und fernsteuern. Es gibt weltweit Tausende von Command-and-Control-Websites, die regelmässig verschoben werden, damit die ausspionierten Informationen über die ferngesteuerten Computer gesichert bleiben.
Derzeit befinden sich die meisten bekannten Command-and-Control-Websites in Taiwan. Den eigentlichen Schaden aber richten die kompromittierten Computer an. Internet Service Provider wissen, dass diese Computer als Spam-Quellen fungieren und dass dieses Phänomen sich immer weiter verbreitet.
50 Prozent der Spam-Mails in Ihrem Posteingang stammen heutzutage von nur etwa 20 Internet Service Providern weltweit. Geografisch betrachtet sind die Kerngebiete China, die USA, Korea, Frankreich und Polen – aber Geografie spielt im Internet bekanntermassen keine Rolle: Spammern kommt es nicht auf den effektiven Standort der Computer an sie können sie überall auf der Welt manipulieren und missbrauchen.
Über die Hosts dieser ISPs werden täglich unzählige Spam-Mails versendet, ohne dass etwas oder zumindest nur wenig gegen sie unternommen wird.
Würden sich nur die 20 grössten Spam-versendenden Internet Service Provider des Problems annehmen, könnte das tägliche Spam-Volumen bereits um unzählige Spam-Mails reduziert werden. Dies wäre bereits ein grosser Schritt im Kampf gegen Spam und dessen Programmierer.
Nach Angaben der Provider ist das Problem jedoch nur schwer in den Griff zu bekommen. Ein ISP aus Frankreich hat allein im vergangenen August 140’000 Spam-Quellen festgestellt. Wenn man davon ausgeht, dass pro Tag das Problem auf einem Computer behoben werden kann und keine neuen Spam-Hosts hinzukommen, würde es «bloss» etwa 400 Jahre dauern, alle aktuellen Spam-Quellen aus dem Internet zu beseitigen. Eine Lösung des Problems auf diesem Weg scheint also illusorisch.
MAAWG, MAPS und viele andere Organisationen haben im Laufe der Jahre Richtlinien zum Umgang mit Spam-Quellen entwickelt dazu gehören auch Standardverfahren, bei denen das Versenden von Spam-Mails von den Computern der Endbenutzer verhindert wird, der legitime Mail-Verkehr jedoch über den Mail-Server weiterhin normal möglich ist. Mit anderen Verfahren sollen die von einem Computer versendeten E-Mails auf eine kleine Menge, beispielsweise hundert pro Tag, reduziert werden. Die meisten Benutzer senden weniger als 10 Nachrichten pro Tag, Ausnahmen für Benutzer mit höherer Mail-Frequenz sind kein Problem.
Diese Richtlinien wurden von verschiedenen Providern auf der ganzen Welt erfolgreich umgesetzt, so dass das Problem verringert und in einigen Fällen sogar ganz eliminiert werden konnte. Die gefährdeten Computer können aber immer noch zum Starten von Denial-of-Service-Angriffen und zum Entwenden vertraulicher Daten missbraucht werden es gilt also weiterhin, dieses Problem zu beheben. Viele Online-Dienste wie AOL waren in den 90er Jahren die Haupt-Spam-Quellen, heute versenden sie nur noch wenige Spam-Mails. In einem Grossteil der Spam-Mails wird weiterhin die Absenderadresse gefälscht, um den Verdacht auf bestimmte Internet Service Provider zu lenken. Doch anhand der IP-Adresse kann genau festgestellt werden, woher die Spam-Mail tatsächlich kommt.
Unserer Meinung nach müssen Internet Service Provider härter gegen die von ihnen verursachte Spam-Flut vorgehen. Fast jeder ISP ärgert sich über die eingehenden Spam-Mails bleibt nur zu hoffen, dass auch bald etwas gegen ausgehenden Spam unternommen wird.
Es ist nie zu spät, das Spam-Problem in Angriff zu nehmen. Bleibt zu hoffen, dass die Internet Service Provider dieses Problem nicht aus den Augen verlieren und entsprechende Massnahmen ergreifen.
++ Installieren Sie eine Firewall. Sperren Sie den Internetzugang über Port 25 weitgehend und verwenden Sie diesen Port nur für den Mail-Server Ihres ISP. Alle Computer in Firmennetzwerken sollten ausserhalb des Netzwerks keine Daten über Port 25 versenden können.
++ Installieren Sie aktuelle Sicherheits-Patches. Häufig sind Computer durch bekannte Schwachstellen gefährdet. Vergessen Sie Ihre Drucker-Server, Kopierer und anderen Netzwerkgeräte nicht auch Laborgeräte wie Logikanalysatoren und Oszilloskope mit eigenen Betriebssystemen können angegriffen werden.
++ Installieren Sie ein Virenschutzprogramm und halten Sie es stets auf dem neuesten Stand. Leider lassen sich so nicht alle Infektionen verhindern; zudem werden auch die Spammer von Tag zu Tag raffinierter. Verlassen Sie sich also nicht ausschliesslich auf Antiviren-Software.
++ Behalten Sie Ihren Computer im Auge. Wenn Ihnen ungewöhnliche Dinge auffallen, gehen Sie der Sache nach. Bitten Sie um Hilfe, oder lassen Sie den Computer von einem Fachmann untersuchen.
++ Arbeiten Sie mit Ihrem ISP zusammen. Fragen Sie, welche Massnahmen gegen Spam ergriffen werden und zwar nicht, wie Ihr Posteingang vor Spam geschützt wird, sondern wie der ISP verhindert, dass er selbst Spam aus dem eigenen Netzwerk versendet.
Dave Rand ist CTO für Internet Content Security bei Trend Micro.