Spammer vs. Blacklists
Ein ewiges Wettrüsten

von Alexander Talos (Ausgabe 03/1, März 2003)

 

Wenn man versucht, mit technischen Mitteln der Spam-Problematik Herr zu werden, können Verzeichnisse der Übeltäter und ihrer Komplizen durchaus von Nutzen sein: Ein automatischer Spam-Filter könnte, wenn er über Annehmen oder Abweisen einer eMail-Nachricht entscheiden soll, sozusagen den Strafregisterauszug des Absenders als Entscheidungsgrundlage heranziehen. Blacklists sind die informationstechnische Umsetzung solcher Strafregister. So überzeugend der Gedanke auf den ersten Blick sein mag - bei näherem Hinsehen zeigt sich, daß das alles, wie so oft, sehr kompliziert ist. Das heute anzutreffende Arsenal von Blacklists1) ergibt sich aus einer langen Geschichte von Listen, deren Umgehung, wieder neuen Listen, ...

Blacklists von Absender-Domains

Die klassische Massenmail, bei der einfach vom eigenen Rechner aus Nachrichten an viele Adressen verschickt wurden, war die Technik der Anfangszeiten. Bereits 1994 wurde von Axel Boldt ein Verzeichnis angelegt, das bekannte Spammer mit ihren eMail-Adressen auflistete. Dieses wurde über Newsgruppen und eine Webseite verbreitet und mußte mehr oder weniger manuell in die Mailserver-Konfiguration integriert werden. Aber so wie bis zur Einführung der Bertillonage im späten 19. Jahrhundert (und später des Fingerabdrucks) die Polizei2) mit dem Problem zu kämpfen hatte, daß ihre Verbrecherkarteien wertlos waren, weil sich die Übeltäter immer neue Namen zulegten, wurde diese erste Generation von Blacklists dadurch unterlaufen, daß die Spammer dazu übergingen, die Absenderadressen frei zu erfinden.

Seit langem ist es daher schon Stand der Technik, Mail nicht entgegenzunehmen, wenn die Absenderadresse nicht existiert. Dabei kann jedoch im allgemeinen nur der Domain-Teil (also das, was rechts vom @-Zeichen steht) überprüft werden. Für den ernsthaften Spammer stellt diese Maßnahme kein Problem dar: Wenn er schon die Absenderadresse fälscht, kann er auch gleich eine existierende Domain eintragen.

Blacklists, die Absender-Domains verzeichnen, haben deshalb an Bedeutung verloren.3) Ein Äquivalent des Fingerabdrucks mußte gefunden werden.

Blacklists von IP-Adressen

Die IP-Adresse des absendenden Mailservers ist ein unfälschbares Merkmal, an dem man Spammer zuverlässig erkennen kann - das war zumindest der Gedanke, der der 1997 in Betrieb gegangenen Realtime Blackhole List (RBL) des Mail Abuse Prevention System (MAPS4)) zugrunde gelegt wurde. Diese konnte auch online abgefragt werden, sodaß die Notwendigkeit, regelmäßig Listen in die Mailserver zu laden, entfiel. RBL und ihre Nachfolger funktionieren folgendermaßen: Bevor ein entsprechend konfigurierter Mailserver eine Nachricht empfängt, prüft er über das Netzwerk, ob die IP-Adresse des absendenden Mailservers in einer Blacklist aufscheint. Ist das der Fall, wird die Nachricht nicht angenommen, sondern die Transaktion mit einer Fehlermeldung abgebrochen.

Das Problem dabei: Wird ein Mailserver außer vom Spammer auch noch von anderen Menschen benutzt, kann auch deren Mail nicht mehr zugestellt werden.

Open Relay-Blacklists

Auch gegen diese - aus Sicht des Spammers doch recht lästigen - Blacklists war bald ein Kraut gewachsen: Durch Verwendung sogenannter Open Relays kann man sie leicht umgehen. Dazu stellt der Absender den Spam nicht direkt zu, sondern sendet ihn stattdessen einem beliebigen anderen Mailserver, der nicht in den Blacklists aufscheint und auch selbst nicht durch Blacklists geschützt ist. Dieser leitet die Nachrichten nun seinerseits weiter (im SMTP-Jargon sagt man: der Mailserver fungiert als Relay), und weil das mißbrauchte Relay nicht in den Blacklists aufscheint, kann der Spammer auf diese Weise seine Werbung zustellen.

Als Adam und Eva noch im Paradies herumtollten und das Internet noch gut war, war es ganz normal, daß Mailserver von überall Mail entgegennehmen und dann nach bestem Wissen und Gewissen zustellen - zu UUCP5)-Zeiten, als noch nicht jeder Rechner über das Internet mit jedem anderen direkt Kontakt aufnehmen konnte, ging es auch gar nicht anders.

Etwa Mitte der neunziger Jahre mußte diese Politik wegen des Spamproblems geändert werden: Ein Mailserver hat eMail nur zu bearbeiten, wenn

  • er Mailserver für den Empfänger ist oder spezielle Abkommen für die Empfänger-Domain bestehen (Backup Mail Exchanger) - so wie alle Mailserver des ZID Nachrichten für Adressen der Domain univie.ac.at entgegennehmen;
  • der absendende Rechner netzwerktechnisch berechtigter Nutzer dieses Mailservers ist - so wie die in den Konfigurationsanleitungen des ZID als Outgoing Mailserver oder Postausgang(SMTP)-Server beschriebenen Server Nachrichten von allen Rechnern aus dem Datennetz der Uni Wien zum Versand annehmen;
  • auf andere Weise (z.B. SMTP after POP, authentifiziertes SMTP) sichergestellt ist, daß der Absender befugt ist, diesen Server als Relay zu verwenden.

Seither gilt es als grober Fehler, wenn ein Mailserver Nachrichten von überall an beliebige Empfänger weiterleitet. Ein solcher Server wird als Open Third Party Relay (oder kurz Open Relay) bezeichnet. Leider nimmt die Zahl dieser Open Relays nicht ab, sondern zu: Mailserver, die nach dem Klick-Klick-Geht-Schon-Verfahren installiert wurden, in der Standardkonfiguration nicht gesichert bzw. zu leicht unsicher einzustellen sind (MS-Exchange gilt hier als Haupttäter) und obendrein noch über eine schnelle Internet-Anbindung verfügen (Kabel-Provider, xDSL oder besser), erfreuen sich einer kaninchenartigen Vermehrungsrate.

Die Antwort der Antispam-Front ließ nicht lange auf sich warten: Was mit den bösen Spam-Absendern funktioniert hat, sollte auch mit den Open Relays klappen. Neue Blacklists wurden ins Leben gerufen - die bekannteste davon ist die mittlerweile eingestellte ORBS(Open Relay Blocking System)-Liste.

Die Methode hat aber einen Haken: Entscheidet sich ein Postmaster, seinen Mailserver durch eine solche Liste zu schützen, sperrt er nicht nur Spammer, sondern auch alle legitimen Anwender des schlecht gewarteten Systems aus. Das Ergebnis: Es werden in nicht zu vernachlässigender Zahl auch erwünschte Nachrichten abgewiesen.6)

Wählleitungs-Blacklists

Ein Wählleitungszugang über Modem oder ISDN macht aus dem eingewählten Rechner für die Dauer der Verbindung einen vollwertigen Internet-Host, mit allen Möglichkeiten, die auch die großen Server haben - natürlich vorausgesetzt, die entsprechende Software ist vorhanden.

Durch den Direktversand mit einem eigenen Mailserver und einer Anbindung über Wählleitungszugänge lassen sich Blacklists ebenfalls einfach umgehen: Da im Gegensatz zu Mailservern mit permanenter Internet-Anbindung bei jeder Einwahl eine neue IP-Adresse zugewiesen wird, kann diese nicht in Blacklists aufgenommen werden. Außerdem sind solche Zugänge billig, und ein einmal gesperrter Zugang kann leicht durch einen neuen ersetzt werden.

Gegen diese Spam-Methode wurden wieder Blacklists mit neuer Semantik ins Leben gerufen: Diese Listen - z.B. DUL (Dialup User List) - verzeichnen IP-Adressen, die von Spammern für Einwahlzugänge verwendet werden.

Wenn man sich also auf den Standpunkt stellt, daß der Einwahl-Benutzer gefälligst den (möglicherweise schlecht funktionierenden) Mailserver seines Providers verwenden soll, anstatt selbst direkt Mail zuzustellen, kann man seinen Mailserver dadurch schützen, daß man von solchen IP-Adressen keine Mail annimmt. Daß als Nebenwirkung eine eventuell signifikante Zahl legitimer Sendungen ebenfalls abgewiesen wird, versteht sich von selbst.

Proxy-Blacklists

Gefinkelter als der Versand von eMail über Open Relays ist die Verwendung offener Proxy-Server. Ein Proxy, so wie er hier verwendet wird, nimmt vom Spammer eine Datenverbindung entgegen, baut zu einem Ziel (in unserem Fall dem Mailserver des Opfers) eine neue Verbindung auf und verbindet die beiden Datenströme wie beim Stille Post-Spiel miteinander.

Das Subtile an der Methode ist, daß der Proxy nur als "Durchlauferhitzer" für die übertragenen Buchstaben wirkt: Eine verräterische Received:-Zeile, die die IP-Adresse des wirklichen Absenders enthält, kann ein Proxy nicht hinzufügen - der Empfänger sieht lediglich die IP-Adresse des Proxy-Servers. Der wahre Absender läßt sich nur ausforschen, wenn der Proxy Log-Dateien geführt hat und auf diese zugegriffen werden kann. Gerade dort, wo solche Administrationspeinlichkeiten anzutreffen sind, ist aber kaum mit brauchbaren Log-Dateien zu rechnen.

Im Bereich der Universität Wien stellen falsch konfigurierte Winproxy, Wingate usw. das Hauptproblem dar. Diese Programme werden typischerweise dann eingesetzt, wenn StudentConnect-Benutzer an ihrem chello-Anschluß mehr als einen PC betreiben wollen. Normalerweise ist das nicht möglich, da man nur eine IP-Adresse erhält. Läßt man die PCs jedoch auf einen Proxy zugreifen und diesen die Verbindung (zum Beispiel zum Uni-Mailserver) herstellen, ist das Problem gelöst: Aus der Sicht des Uni-Mailservers kommt die Verbindung vom StudentConnect-Anschluß, daher ist das Relaying erlaubt. Wenn aber nicht sichergestellt wird, daß dieses Weiterverbinden nur von innerhalb des Heim-Netzwerks funktioniert, hat man ein neues, großes Problem: Ein Spammer, der den offenen Proxy entdeckt (und sie werden entdeckt!), verbindet sich einfach dorthin, wird als StudentConnect-Benutzer zu uns weiterverbunden und kann nun die volle Bandbreite unserer Internet-Anbindung und die Kapazität unserer Server zum Spam-Versand nutzen. Mit mehr oder weniger großem Aufwand lassen sich alle ungeschützten (also fehlkonfigurierten) Winproxy, Wingate, HTTP-Proxies (z.B. Squid) und Socks-Proxies so verwenden.

Die Folge: Die Uni-Server landen auf Blacklists, der Ruf ist ruiniert, die Postmaster-Mailbox geht vor Beschwerden über, der ganze Müll muß aus den Mailspools entsorgt werden. Klarerweise wird, sobald wir auf eine solche Installation aufmerksam werden, die betreffende IP-Adresse sofort gesperrt.

Als Maßnahme gegen offene Proxies wurden wieder neue Blacklists geschaffen. Allerdings gibt es jetzt ein zusätzliches Problem: Es ist durchaus üblich, daß ein Server sowohl Mail- als auch Proxy-Dienste abwickelt. Da einer eingehenden SMTP-Verbindung aber nicht anzumerken ist, ob sie vom Mailserver oder vom Proxy-Server kommt, können Blacklists widersprüchliche Ergebnisse liefern: Der Rechner könnte z.B. als offener Proxy gelistet sein, aber bezüglich seines Mailservers eine weiße Weste haben. Mail von offenen Proxies abzuweisen bedeutet also, auch sämtliche Benutzer auszusperren, die denselben Rechner als Mailserver benutzen - auch wenn dieser ohne Fehl und Tadel ist.

FormMail-Blacklists

FormMail ist ein CGI-Skript, das ausgefüllte Web-Formulare (Anmeldungen, Feedback usw.) entgegennimmt und die Daten in maschinenlesbarer Form dem Seiteneigentümer per eMail zustellt. Aufgrund des sträflich naiven Designs dieser sehr beliebten Software war es mit älteren FormMail-Versionen7) - die leider immer noch im Umlauf sind - kein Problem, beliebige "Formularinhalte" an beliebige Adressen zu schicken.

Wenn Sie eine Nachricht erhalten, die mit

Below is the result of your feedback form.  

It was submitted by (...@...) on Thursday, January 16, 2003 at 10:03:50

beginnt, haben Sie wohl einen FormMail-Spam vor sich - es sei denn, es handelt sich wirklich um "Ihr" FormMail. Natürlich gibt es auch dafür Blacklists, auf die ebenfalls das bereits zu den Proxy-Blacklists Gesagte zutrifft.

Fazit

Die Unzahl an Blacklists, die verwirrende Vielfalt ihrer Bedeutungen und die zunehmende Zahl von Unschuldigen, die bei konsequentem Einsatz von Blacklists ebenfalls geblockt werden, führen zur Schlußfolgerung, daß allein damit kein sicherer Spamschutz möglich ist. Dennoch sind Blacklists nach wie vor eine unersetzliche Informationsquelle für Spam-Filter.

 

1) Ein umfassendes Verzeichnis gibt es unter http://www.declude.com/junkmail/support/ip4r.htm.

2)Ein Buchtip für alle, die immer schon wissen wollten, was Sherlock Holmes in seinem Labor getan und in seine Monographien geschrieben hat: Thorwald, Jürgen: Das Jahrhundert der Detektive, Zürich 1965, Droemersche Verlagsanstalt A.G.

3) Eine historische Spamdomain-Liste aus 1997 ist unter http://web.archive.org/web/19970419180153/bitgate.com/spam/spamsites.html zu finden.

4)Man bemerke, daß MAPS, rückwärts gelesen, außerdem das Wort Spam ergibt. Mehr zu MAPS unter http://www.mail-abuse.org/.

5) Unix to Unix CoPy - ein Verfahren, um Dateien und Befehle z.B. über Modem-Verbindungen zwischen verschiedenen Computern zu übertragen. Hierbei handelt es sich um alte Sagen, die Internet-Opas ihren Enkeln am Kaminfeuer erzählen, darum sei in diesem Artikel nicht näher darauf eingegangen.

6) Hardliner sehen darin sogar einen positiven Effekt: In der Folge werden die unzufriedenen Benutzer, so lautet die Theorie, auf den Administrator des Open Relay Druck ausüben, das Problem zu beheben. Der ZID der Uni Wien hat jedoch auf derartige Erziehungsspielchen zugunsten zuverlässiger Mailzustellung verzichtet.

7) vor Version 1.91 von April 2002 (siehe http://www.scriptarchive.com/formmail.html)