SPAM: Massenmails & Tracking vs. Schutz & Individualisierung
Motivation
<< >>
Einleitung
Begriffsdefinition und Einordnung des Begriffs "Spam"
Von dem Begriff Spam gibt es keine einschlägige Definition in der Literatur. Spam zeichnet aus, dass es unerwünschte Texte oder Bilder sind, die in Masse verbreitet werden über Informationssysteme wie E-Mails, das Web oder soziale Netzwerke (Geerthik 2013). Abbildung 1 zeigt eine Klassifizierung von dem Begriff „Spam“ nach den Informationssystemen, in welchen Spam verbreitet werden kann. Der Begriff E-Mail-Spam bedeutet, dass ein Sender über einen Übertragungsweg an mehrere Empfänger unerwünschte Massenmails, in Englisch „Unsolicited Bulk Email“ (UBE) verschickt. Unerwünscht heißt, dass keiner der Empfänger eine belegbare Erlaubnis an den Sender gegeben hat, einem von ihnen E-Mails zustellen zu dürfen (Spamhaus 2018). Massenmails sind alle Nachrichten, die zu einer größeren Menge an Nachrichten mit dem gleichen Inhalt gehören. Eine E-Mail wird als Spam klassifiziert, wenn sie sowohl unerwünscht ist als auch zu einer Massenmail zählt (Internet Society of China 2018). Die Definitionen der anderen Spamarten zeigt Geerthik (Geerthik 2013) auf. Die folgenden Kapitel handeln von E-Mail-Spam, verkürzt Spam.
<< Abb. 1: Klassifikation von Internet Spam (Geerthik 2013) >>
Die technische Definition von Spam nach dem Industriestandard grenzt den Begriff weiter ein. Nach der technischen Definition ist der Inhalt einer E-Mail nicht bestimmend. Inhalte unter anderem Malware wie Trojaner oder Viren als auch werbende Inhalte zählen häufig zur Definition von Spam.
Die Identität der Person und der Kontext sind irrelevant, weil die Nachricht an viele Empfänger gereichtet ist, die mit der gleichen Chance Opfer werden können. Die Zustellungserlaubnis, die das Adjektiv „unerwünscht“ definiert, zählt auch zu der technischen Definition. Der Empfänger hat nicht nachweisbar die explizite, wiederrufbare Erlaubnis gegeben, die E-Mail zu versenden.
Der Slogan It’s not about content, it’s about consent
(Spamhaus 2018, Page x) fasst die Definition zusammen. Spam ist nicht über den Inhalt einer Nachricht definiert, sondern über seine Zustellungsmethode.
Die Zustellungsmethode von Spam zeichnet sich durch folgende Merkmale aus
- Der Sender ist nicht sofort erkenntlich.
- Der Sender ist dem Empfänger nicht bekannt.
- Die E-Mail enthält falsche Informationen wie einen falschen Sender oder fehlende Routinginformationen vom Sender.
Der Inhalt der E-Mail zeigt auch charakteristische Merkmale (Zhenfang 2015).
- Feste Struktur: Titel, Anrede, Text und Anhang/ Link
- Randomisierte Titel, Anrede und Text
- Kleine und einfache Texte, welche einfach zu verstehen sind in einer kurzen Zeit
- Ähnlicher oder gleicher Inhalt bei Massenmails, die Spam sind
Spam wirkt sich negativ auf den Emfpänger, Internetressourcen und die Internetsicherheit aus (India Law 2018). Der Empfänger erhält dubiose Angebote oder infizierte Anhänge, Malware, die Zeit zum Lesen, Bearbeiten und Löschen kostet als auch Schaden am Betriebssystem oder andersweitigen Schaden anrichten kann. Zusätzlich kann Spam zum Ausfall oder zur Verlangsamung des erwünschten E-Mailverkehrs führen. Internetressourcen werden ohne Nutzen oder ohne wertschöpfenden Anteil verbraucht. Der Versand von Spam konsumiert Bandbreite, Speicherkapazitäten und Administratorenaufwand. Das globale Spamvolumen von dem totalen E-Mailverkehr weltweit betrug im März 2018 48,16 % (Statista 2018). Ferner ist die Internetsicherheit gefährdet. Sender von Spam nutzen illegal Dienste von nichtswissenden Nutzern für den Versand von Spam. Imageschäden von Personen oder Organisationen sind die Folge
Aus diesen Gründen ist der Versand von Spam definiert als UBE weltweit von allen ISP verboten worden. Eine Liste von Spammern, deren Aktionen viel Aufmerksamkeit erregt hatten, als auch ihre Vergehen und Strafen führt der Wikipedia-Aritkel „List of Spammers“ (Wikipedia 2018).
Historie von Spam und Anti-Spam
- 1978: Gary Thuerk Ketten-Mail mit Computerwerbung an 400 ARPANET-Nutzer
- Frühen 1990er: Spam waren Scherze, Kettenbriefe oder unangemessene Nachrichten an Mailing Listen (Cranor und LaMacchia 1998), keine Malware und sehr wenige bis gar keine haben ihren Inhalt versucht zu verdecken
- 1994 Vorfall Canter and Siegel „Green card lawyers“ (Campbell 1994), Beginn des kommerziellen Spammings, Spamremoval mit „Cancelbot“ 6000 Usenet-Gruppe
- Sammeln von E-Mailadressen für den Versand von kommerziellen Massenmails über den eigenen Mailserver, Verteidigung Mail Abuse Protection System Realtime Blackhole List (MAPS RBL) (MAPS 2004)
- Mailserver ohne ACLs, auch Open Relays genannt, z. Bsp. Sendmail 5, werden als Intermediäre missbraucht zum Versand von Massenmails (MAPS 2005), die Folge war, dass die Mailserver auf die Blackliste gesetzt wurden und auch legitime E-Mails nicht mehr empfangen wurden; Betreiber der Open Relays wurden angehalten ihre Mailserver zu sichern, ansonsten wurden sie auf die Blackliste gesetzt und vom Netzwerk genommen
- Bis 1998 waren Open Relays gesichert, sie waren nicht mehr die Hauptquelle von Spam-E-Mails
- Seit 1996 entwickelte sich Web Spam, Manipulation des Ranking mit Verlinkung, Cloaking, Click Fraud and Tag Spam [32], Problem für Suchmaschinenanbieter [1] [2]
- Spammers nutzten ihre dynamic dial up internet protocol-Adressen für die Zuweisung einer neuen IP-Adresse bei blockieren einer alten; Gegenmaßnahmen waren automatische Beschwerden (Haight 1998) und das Blockieren aller bekannten dial-up IP-Adressen (Fecyk 1998)
- Spammer sendeten identische Nachrichten, nach Identifizierung einer Nachricht als Spam wurde sie auf eine Liste gesetzt und so konnte der Text von E-Mails verglichen werden für die Filterung von Spam-E-Mails (Prakash 1999)
- Bei variabler Anpassung von Wörtern einer Nachricht entstanden so exponentielle viele Nachrichten auf der Sperrliste (Hall 1999)
- Bis 2002 identische Nachrichten als Spam, bis zum Beginn der Nutzung von statistischen Textklassifizierungsalgorithmen (Graham 2002)
- Nach 2002 Ausnutzung von open proxy-Software, dass offen ist für alle User, über den Rechner des unwissenden Users wurden Spam-E-Mails verschickt
- Sobig.a virus enthielt einen getarnten Proxy-Server für den Spamversand, es entstand ein Black Market für peas, Listen of SOCKS proxies (Stewart 2003)
- Statistische Filter und Anti-Spam-Verbünde machten Spam-Software professioneller, so genannten „Ratware“
- 2003: Dark Mailer, Send Safe; Später Reactor Mailer
- 2009: Social Network Spam
- 2011: Image Spam
Nach 2011 gliedert sich die Entwicklung von Spam und Anti-Spam in verschiedene Bereiche ähnlich der Klassifizierung in Abb. 1.
Hauptteil
Theoretische Grundlagen: Das SMTP-Protokoll
Das Simple Mail Transfer Protocol (SMTP) ist das Standardprotokoll zum Austausch von E-Mails in Computernetzen. Seine aktuelle Spezifikation ist im RFC 5321 hinterlegt.
Über das Protokoll SMTP auf Port 25 werden E-Mails vorrangig gesendet und weitergeleitet von einem Sender. Die Protokolle POP3 oder IMAP dienen zum Abholen der E-Mails für einen Empfänger. SMTP-Relay-Server, auch Mailserver genannt, sind für das Weiterleiten von E-Mails zuständig. Sie leiten in zwei Fällen weiter. Sie leiten E-Mails an beliebige Empfänger weiter, wenn sie für E-Mails von einem authentifzierbaren Sender zuständig sind. Dazu zählen Mailserver von Providern des Senders. Im zweiten Fall leiten Mailservers E-Mails von beliebigen Sender an einen bestimmten Empfänger weiter, wenn der Betreiber des Mailservers für den E-Mailverkehr des Empfängers zuständig ist. Das Erfüllen der beiden Fälle decken Mailserver durch das Setzen von entsprechenden Firewallregeln ab. Mailserver, die von beliebigen Sendern an beliebige Empfänger E-Mails weiterleiten, so genannte Open Mail-Relays) sind ausnutzbar für Spamattacken. Zum Beispiel in der Situation, dass ein Spammer über ein Botnetz von beliebigen Sendern an beliebig viele Empfänger die Spam-E-Mails verschickt.
Über einen Mail Submission Agent (MSA) nimmt ein Benutzer ausschließlich E-Mails von authentifizierten Benutzern an. Ein MSA ist ein Server, der E-Mails von Mail User Agents (MUA) entgegennimmt und einem Mail Delivery Agent oder Mail Transfer Agent (Port 25) übergibt. Die Authentifizierung des Senders ist die Hauptaufgabe eines MSA. Ihr liegt die Spezifikation RFC 6409 zu Grunde. Die Authentifizierung des Senders ist wichtig, weil bei einem Anwuchs von zugestellten E-Mails von MUA, nur die weitergeleitet werden sollen, die von einem authentifizierten Benutzer kommen. Tritt das Gegenteil ein, tritt ein, dass alle E-Mails ohne Benutzerauthentifizierung weitergeleitet werden, nutzen Spammer den MSA aus und es kommt zu einer Überflutung und Ausnutzung von Ressourcen. Dazu unterscheidet der MSA zwischen eigenen und fremden Benutzern und nimmt E-Mails von authentifizierten Benutzers auf Port 587 entgegen, traditionell auf Port 25. Bei einer Spamattacke wird der Port 587 für E-Mails von authentifizierten Benutzern weitergenutzt, sofern die richtigen Firewallregeln beide Ports sichern.
Der MSA empfängt von und sendet an MUA E-Mails. MUA sind E-Mail-Clients mit welchen E-Mails empfangen, gelesen, geschrieben und versendet werden. MUA senden E-Mails per SMTP an einen SMTP-Relay-Server oder an einen lokalen Mail Transfer Agent (MTA). Will ein Benutzer E-Mails lesen, werden E-Mails dirket vom Mailserver über IMAP/IMAPS abgerufen oder vom Mailserver heruntergeladen über POP3/POP3S. MTA ist ein Dienst von einem Mailserver, der E-Mails entgegennimmt und sendet. Im Mehrbenutzersystem kann alternativ zum MTA auch ein Mail Delivery Agent (MDA) benutzt werden. Ein MUA sendet seine E-Mails über SMTP an seinen MTA. Der MTA sammelt E-Mails in einer Warteschlange. Für die Zustellung einer E-Mail geht der MTA die MX Resource Records des Adressaten durch, bei Nichtzustelllung sendet der MTA die E-Mail zurück mit der Information „nicht zustellbar“. Beispiele für MTAs sind Postfic, Exim, Sendmail, Postmaster, ymail oder Smail. MDA dahingegend werden in Mehrbenutzersystemen eingesetzt. Er ist für die Zustellung von E-Mails an die betreffenden Benutzerkonten zuständig. Weil jeder MUA nur auf ein Benutzerverzeichnis eines Benutzers zugreifen kann, wird in Mehrbenutzersystemen ein MDA mit der Zustellung beauftragt.
Das Protokoll SMTP selbst hat fast keine Sicherheitsaspekte. SMTP erfüllt die Aufgabe eine Nachricht von einem Sender zu einem Empfänger zu übertragen. Es gibt keine Sicherheit, verschlüsselt die Übertragung nicht und lässt zu, dass die Nachricht auf dem Weg verändert werden kann. SMTP stellt keine Funktion bereit den Sender zu authentifizieren. Weiter kann ein Empfänger nicht einsehen, wer die E-Mail gesendet hat und wer sie auf dem Weg gesehen hat. Zusammenfassend fehlt SMTP die Sicherheit auf dem Transportweg und es fehlt Funktionen den Sender und seine Quelle zu identifizieren und authentifizieren zu können.
Möglichkeiten für den Schutz vor Spam
SMTP gewährt fast keine Sicherheitsaspekte. Aus diesem Grund gibt es Möglichkeiten für den Empfänger, für die Übertragung und für den Sender E-Mails zu schützen.
Recherche von Tools
<< >>
Schluss
<< >>
Quellen
Alle angegebenen Internetseiten hat der Autor zuletzt am 05.11.2018 aufgerufen, wenn nichts anderes angegeben ist.
- DMARC: Page Overview. 2018.
- DMARC: What is DMARC?. Unter https://dmarc.org/, 2018.
- Geerthik 2013: Geerthik, S.; Sastha, S.: Survey on Internet Spam: Classification and Analysis. In International Journal of Computer Applications in Technology, Vol 4(3), 384-391, May 2013.
- Graham, P.: Spam. Published 2002/03, Last Seen 11 October 2018.
- India Law 2018.
- Klensin, J.: Simple Mail Transfer Protocol. Published October 2008, Last Seen 11 October, 2018.
- M3AAWG: Best Practices for Implementing DKIM To Avoid Key Length Vulnerability. Published October 2012, Revised July 2017, Last Seen 11 October, 2018.
- MLWave: Winning 2 Kaggle in Class Competitions on Spam. Published June 2, 2014. Last Seen 11 October 2018.
- Scheuermann, B.: Netzwerksicherheit – Anwendungssicherheit. In Netzwerksicherheit, 2018.
- Spamhaus: Spamhaus. Last Seen 11 October 2018.
- Statista 2018: Statista: Spam-Email-Traffic-Share. Last Seen 11 October 2018.
- Stern, H.: A Survey of Modern Spam Tools. Published 2011. Last Seen 11 October 2018.
- Takahashi, K.: Does Google‘s Hack Reveal DKIM Vulnerability? Not really. Published 26 October 2012, Last Seen 11 October 2018.
- Wikipedia: List of Spammers. Zuletzt bearbeitet am 17.08.18.
- Zetter, K.: How a Google Headhunter‘s E-Mail unraveled a massive net security hole. Published 24 October 2012, Last Seen 11 October 2018.