Neue Anti-Spam-Techniken
"The spam wars are about rendering email useless for unsolicited advertising
before unsolicited advertising renders email useless for communication."
|
- Walter Dnes & Jeff Wynn in news.admin.net-abuse.email |
|
Workshop 2004: Netz- und Service-Infrastrukturen
Frank Richter, URZ, TU Chemnitz
Status Quo: Anti-Spam-Maßnahmen
Einfache und ziemlich geordnete E-Mail-Architektur an der TU Chemnitz
Status Quo: Anti-Spam-Maßnahmen (2)
Automatische Schutzfilter für E-Mails - via MOUSE einstellbar
Status Quo: Statistiken der Anti-Spam-Maßnahmen
Status Quo: Spam-Plage schlimmer denn je :-(
- Menge an Spams, Mail-Würmer, "Viren-Warnungen"
- Genervte Mail-Benutzer, panische Mail-Admins, überlastete Infrastruktur
- Starke Akzeptanzverluste, Unerreichbarkeit, Abschaltung
- Spammer passen sich an: Check gegen SpamAssassin, "Futter" für Filter ...
"Arms race" :-(
- Juristisch: Gesetzeslage uneinheitlich, verworren
- Technisch/administrativ:
- bis vor kurzem kein Thema bei IETF, ISOC ... :-(
- Mailadmins mit (Not-) Lösungen
- Mail-Server-Konfiguration komplexer, fehleranfälliger,
z.B. Exim-ACLs
- Mail-Benutzer:
"Bayes-Filter": Verbreitung, Bedienbarkeit, Robustheit, Wirksamkeit?
Immer gut: Wachsamer Administrator
Unlängst beim "Schmökern" im Logfile gesehen - einliefernde externe
MTAs melden sich mit unserem Namen:
- HELO 134.109.132.58
HELO hrz.tu-chemnitz.de -> abweisen
Ja, aber ... "Junk mail is war, RFC's do not apply."
-- Wietse Venema
seit 22.3.2004 via Spamschutz Administrator
Vorhandenes besser ausreizen:
- Neue RBL-Listen
- SpamAssassin mit Bayes?
- SpamAssassin mit Online-Spam-DBs (DCC, Razor)?
Standardisierungsbemühungen: LMAP
Lightweight MTA Authentication Protocol ...
Überprüfung der Absende-Adresse
ASRG - Anti-Spam Research Group bei IRTF
- Domain-Inhaber publizieren im DNS Informationen,
von welchen IP-Adressen Mails mit deren Absende-Domains versendet werden
dürfen.
- Empfänger prüft, ob Domain der Absende-Adresse von erlaubter IP-Adresse gesendet wird
- Verschiede Vorschläge: RMX, DMP, SPF
SPF - Sender Policy Framework
- hrz.tu-chemnitz.de. IN TXT "v=spf1 mx"
- bisher über 13.000 Domains, u.a.
aol.com, amazon.com, gmx.net, w3.org
- Schutz der Envelope Sender-Adresse
Microsoft: Caller-ID
- _ep.hrz.tu-chemnitz.de. IN TXT "<ep xmlns= http://ms.net/1 ><out><m> <mx/> </m></out></ep>"
- z.B.
hotmail.com, microsoft.com
- Schutz der Absender-Mail-Header - gegen address phishing
Probleme:
- Forward - Sender Rewriting Scheme (SRS)
- Mobile Nutzer - SMTP AUTH, Port 25 via Firewall?
-> Port 587: Message Submission Agent (MSA, RFC 2476)
- Mailing Listen
Bei Mailzustellversuch 3 Informationen:
-
IP-Adresse des Senders, Absende-Adresse, Empfängeradresse = Tripel
-> mit Zeitstempel speichern
Regel:
-
Wenn Tripel unbekannt: Annahme für eine Weile mit temporärem Fehler abweisen.
Verbindung von IP 1.2.3.4
-> MAIL FROM: <sender@somedomain.com>
<- 250 2.1.0 Sender ok
-> RCPT TO: <recipient@otherdomain.com>
Prüfen: Kennen wir das Tripel schon, ist initiale Wartezeit abgelaufen?
NEIN:
<- 451 4.7.1 Please try again later
... und tschüss!
JA:
<- 250 2.1.5 Recipient ok
-> DATA
<- 354 Enter mail
-> ...
<- 250 2.0.0 Message accepted for delivery
Tripel mit langer Gültigkeit versehen
Auswirkungen:
-
Reguläre Sende-MTAs werden Mail in Queue stellen und später versuchen
-> verzögerte Zustellung
-
Spam- (und Viren-) Sender haben i.a keine Queue-Verwaltung
-> Zustellung wird nicht wieder versucht.
Parameter:
- Initiale Wartezeit bei unbekanntem Tripel: 1 Stunde
- Lebenszeit eines Tripels ohne Mailaustausch: 4 Stunden
- Lebenszeit eines Tripels mit erfolgtem Mailaustausch: 36 Tage
Greylisting: Erfahrungen
Erfahrungen des Autors (6 Wochen):
Unique triplets seen: | 346968 |
Unique triplets that passed email: | 8950 |
Total emails passed: | 85745 |
Total deliveries deferred where email was eventually passed: | 33586 |
Total deliveries deferred where more than one email was eventually passed: | 3512 |
Bei uns: Mail-Relays März 2004:
- 1356445 Tripel
- 1293573 Tripel, über die nur eine Mail kam
Implementation für Exim
- University of Wales, Aberystwyth
- zusätzlicher Daemon, macht DB-Arbeit (MySQL)
- Exim Recipient ACL:
- fragt Daemon via Unix-Socket:
-> Triplet
<- Verzögerung in Sekunden
- Bei techn. Problem: Timeout -> Annahme der Mail
Testphase für TU Chemnitz
- Eine Datenbank für beide Mail-Relays ... single point of failure
- Kein "Trockentest" möglich - evtl. anfangs weichere Zeit-Parameter
- Whitelists, z.B. für t-online.de, web.de ...
Prävention: Schutz von E-Mail-Adressen
Maßnahmen gegen Spambots
"Wegwerf-Mailadressen"?
- frank.richter-0815@hrz.tu-chemnitz.de
Spamfallen
- WWW-Seiten mit automatisch kodierten Mailadressen:
IP-Adresse+Zeit@trap.tu-chemnitz.de
Mail an solche Adresse -> Server blockieren