von Gregor Longariva
Jeder der eine EMail Adresse besitzt kennt das Problem: Regelmäßig kommen EMails herein mit denen man nichts anfangen kann und die fuer Produkte und/oder Dienstleitungen werben die einen nicht interessieren. Mails, die man eigentlich nicht will und noch viel weniger angefordert hat.
Gemeinhin werden solche unverlangten Mails als „SPAM“ bezeichnet. Solche Mails koennen nicht nur lästig sondern durchaus auch noch sehr kostenintensiv sein. Mal abgesehen von der erhöhten Online Zeit von Privatpersonen steigt das Volumen der Übertragung bei Providern oder Firmen.
Das Problem
Man stelle sich also die Kosten eines grossen Internet Providers vor mit tausenden von Kunden die mehrfach täglich SPAM Mails bekommen. Dabei liegt die Schuld sehr oft sogar bei den Providern selber.
Oder besser gesagt bei den Administratoren von Mailservern. Denn nur falsch konfigurierte Mailserver machen das Versenden von SPAM erst möglich. Das im Internet generell zum Mailtransport verwendete Protokoll (SMTP – Simple Mail Transfer Protocol) baut auf „gute Nachbarschaft“ auf. Man hat einen Server der dazu da ist, Mails von einem Client anzunehmen und diese dann an den Ziel-Mailserver weiterzuleiten. Die Intelligenz zum Versenden der Mails liegt also nicht in den Mailclients sondern nur im Server. Nun sieht das SMTP Protokoll aber keinerlei Authentifizierung vor. Es gibt zwar Erweiterungen von SMTP aber aus Kompatibilitaetsgründen werden die nur sehr sporadisch eingesetzt. Das bedeutet, dass jeder x-beliebige Rechner seine Mails üer einen SMTP Mailserver versenden kann (und darf). Auch sind in den Spezifikationen des Protokolls keinerlei Restriktionen vorgesehen von wem der Mailserver Mails empfängt bzw. welche er bearbeitet und welche nicht.
Was kann man tun?
Theoretisch geht das sogar so weit, daß der Mailserver gutmütigerweise die Mails die nicht fuer einen seiner Klienten ist, sogar brav wieder weiterleitet. Und genau dies öffnet Tür und Tor den SPAMmern. Sie suchen sich eine EMail Adresse aus (die gar nicht existieren muss), setzten diese als Absender und leiten nun die Werbemail an einen solchen Mailserver. Dieser stellt sie dann zu und der arme Empfänger kann mit der Mail nichts weiter machen als sie wegzuschmeißen. Der Absender ist falsch (oder nicht existent) und der Rechner von dem die Mail urspruenglich abgesandt wurde ist vermutlich irgendein Dialin-Rechner von denen es weltweit Millionen gibt. Deshalb bieten die modernen Mailserver (etwa sendmail, Postfix oder QMail) Mechanismen um dem vorzubeugen. So kann man z.B. einschränken, wer über den Server Mails versenden darf (etwa nur das eigene Subnetz oder ausgesuchte Systeme). Außerdem gibt es sogar die Möglichkeit einzuschränken, von wem Mails ANGENOMMEN werden. Es gibt einige Initiativen die online sogenannte „Black-Lists“ zur Verfügung stellen. In diesen Listen stehen – immer wieder neu aktualisiert – Rechner über die SPAM Mails versandt werden. Der Mailserver schaut nun nach, ob der Absenderechner der Mail in so einer Liste steht. Wenn ja, verweigert er die Annahme der Mail – egal fuer wen die bestimmt ist. Nun, das mag im ersten Moment vielleicht etwas übertrieben hart klingen, da durchaus auch wichtige Mails so nicht angenommen werden. Wenn aber der Benutzer nicht mehr in der Lage ist Mails zu versenden, wird er sich dann (hoffentlich) bei seinem Mailadministrator beschweren. Denn daß sein Mailserver auch SPAM Mails akzeptiert liegt einzig und allein am Mailadministrator. Und somit ist eine reelle Chance gegeben, dass über den so ausgeübten Druck der Mailadmin seinen Mailserver „SPAM-sicher“ konfiguriert.
Tatsächlich findet man mittlerweile immer weniger „grosse“ Mailserver die SPAM Relay erlauben. Dafür kommen immer mehr kleine Firmen und Privatpersonen ins Netz die auch ihre eigenen Mailserver haben, die aber aus Unwissenheit, aus Unkenntnis oder aus Schlamperei unsicher konfiguriert sind. Deshalb kann man nur jedem raten, der sich einen Mailserver aufsetzt, sich mit der Materie zu beschäftigen und seinen eigenen Server entsprechend zu konfigurieren. Zauberei ist es keine…
Aus eigener Erfahrung kann ich sagen, dass ein gut konfigurierter Mailserver mit Echtzeit Blacklist System und SPAM Abwehr auf der einen Seite etwa 30% von SPAM Mails an die eigenen Benutzer abwehren kann. Versuche über den eigenen Server zu relayen werden abgeblockt.
Immerhin machen diese auch etwa 15% des täglichen Mailtraffics aus: Auf 100 empfangenen/weitergeleiteten Mails kommen 15 SPAM versuche – je nach Bekanntheitsgrad des Mailservers. Man kann also eine ganze Menge sowohl fuer die eigenen Benutzer als auch für die Netzcommunity im Allgemeinen bewirken. Und manchmal – nur manchmal – helfen sogar Beschwerden an die SPAMmer direkt. Allerdings nicht als betroffener „kleiner“ Benutzer. Aber in der Rolle als Netz/Mail/Sicherheitsadministrators hat man gute Chancen. Schliesslich fürchten alle SPAMmer, dass sie in die BlackLists eingetragen werden. Und sehr oft können dann überhaupt keine Mails mehr versendet werden… :-)
Beispiele aus der Praxis
In einem konkreten Fall meldete unser Mailserver:
From: MAILER-DAEMON@mail.softbaer.de (Mail Delivery System) To: postmaster@mail.softbaer.de (Postmaster) Subject: SMTP server: errors from unknown[XXX.XXX.XXX.XXX] Date: Thu, 26 Apr 2001 13:24:13 +0200 (CEST) Transcript of session follows. Out: 220 grizzly.softbaer.de ESMTP -SB cryptographic (e)SMTP @4.37-1+ In: HELO SOME.DOMAIN.TLD Out: 250 grizzly.softbaer.de In: MAIL FROM:<YYYYYYYYY@DOMAIN.TLD> Out: 250 Ok In: RCPT TO:<XXXXXX@softbaer.de> Out: 554 Service unavailable; [XXX.XXX.XXX.XXX] blocked using relays.mail-abuse.org In: RSET Out: 250 Ok In: QUIT Out: 221 Bye No message was collected successfully.
Aus Gründen der Kundenfreundlichkeit sollte man an dieser Stelle ggf. überlegen ob man den Sender „YYYYYYYYY@DOMAIN.TLD“ darüber informiert. Schließlich ist dieser ja nicht Schuld daram, daß der Administrator unachtsam war.
Als professioneller Provider, der halt mehr Wert auf Service, als auf knackige Marketingworte legt, wird man sich auch dadurch etwas auszeichnen.
Wie auch immer, da in diesen Fall die Adresse des Absenders echt erschien und DOMAIN.TLD zu der IP-Adresse passte, wurde dann folgende E-Mail von Softbaer zurückgesandt:
Sehr geehrte Frau YYYYYYYYYYY Anbei die Fehlermeldung die ich als Mailadministrator bekommen habe. Sie haben versucht Herrn XXXXXXXXXX eine Mail zu schicken. Leider ist Ihre Domaene/Ihr Mailserver irgendwie in die internationale SPAM Blacklist geraten. Das heisst, dass Ihr Mailserver fehlkonfiguriert ist und jemand ueber Ihren Mailserver sogenannte SPAM Mails (unaufgeforderte Werbemails) versandt hat. Jeder Mailserver sollte so konfiguriert sein, dass NUR authorisierte Leute Mails darueber abwickeln koennen. Nachdem SPAM Mails auch ziemlichen wirtschaft- lichen Schaden anrichten hat man beschlossen, sogenannte „open SPAM relay hosts“ (das sind Rechner, ueber die unerlaubte SPAM Mails versandt werden koennen – also fuer SPAM „offen“ sind wie Ihr Mailserver) in Schwarze Listen einzutragen. Wird nun so ein fehlkonfigurierter Mailserver bekannt, wird der zustaendige Mailadministrator aufgefordert das Problem zu beheben. Geschieht das nicht innerhalb gewisser Zeit wird der Server auf die Schwarze Liste eingetragen. Um die eigenen Mitarbeiter oder Kunden vor SPAM Mails und anderem zu schuetzen, benutzen viele Mailadministratoren diese Listen und verweigern die Annahme von Mails die von Servern kommen die auf der Liste stehen. Ein sinnvolle und vor allem sehr effiziente Methode. Ihr Mailserver ist scheunentorweit offen fuer SPAM Mails. Anbei auch eine Session mit der ich es ausprobiert habe (Ihr Mailadministrator wird damit sicher etwas anfangen koennen). Bitte melden Sie die fehlkonfiguration Ihrem Mailadministrator umgehen. Ich vermute naemlich, dass Ihre Firma auch Probleme mit anderen Adressen beim versenden von Mails hat… Wenn das Problem behoben ist und Ihr Mailserver richtig konfiguriert ist, sollte sich Ihr Mailadministrator darum kuemmern, dass Ihre Domaene von den Schwarzen Listen genommen wird. Danach koennen Sie auch an unsere Mailserver wieder ganz normal Mails schicken. Das Problem betrifft Sie nicht direkt (ausser vielleicht dass Sie an uns keine Mails absetzen koennen) sondern Ihren Mailadministrator. Bitte setzen Sie ihn davon in Kenntnis damit dieser das Problem loesen kann.
Beispielsitzung: Mail von irgendwem and irgendjemand wird akzeptiert und versandt luyanta 14:20 [~]> telnet DOMAIN.TLD smtp Trying XXX.XXX.XXX.XXX... Connected to DOMAIN.TLD. Escape character is '^]'. 220 DOMAIN.TLD Lotus SMTP MTA Service Ready helo nobody 250 DOMAIN.TLD mail from: nobody@nowhere.com 250 OK rcpt to: longariva@softbaer.de 250 OK data 354 Enter Mail, end by a line with only '.' Subject: SPAM Mail Dies ist eine Testmail . 250 Message received OK. quit 221 GoodBye Connection closed by foreign host.
Weiterführende Links
- Mail Abuse Prevention System (MAPS)
- Doku zu Postfix und UCE/SPAM
- Tips zu sendmail
- Teergrube – auch eine Möglichkeit SPAMmer abzuschrecken
- SPAMCOP Net
- Wie man chinesische SPAM filtert