Neue Anti-Spam-Techniken
Status Quo:
Mail-Architektur
mailserver.png
Automatische Schutzfilter für E-Mails
RBL, Administrator, Textanalyse (SpamAssassin)
userfilter.png
SpamAss: +272/463/3295/-8556, SpamAdmin: -150, SpamRBL: -204, ContEXE: -219
daystat.png
dayreject-alt.png
spamdstat.png
schlimmer denn je ...
* Menge an Spams, Mail-Würmer, "Viren-Warnungen"
-> genervte Mail-Benutzer, panische Mail-Admins, überlastete Infra-Struktur
-> starke Akzeptanzverluste, Unerreichbarkeit, Abschaltung
Juristisch: Gesetzeslage uneinheitlich, verworren
Technisch /administrativ: bis vor kurzem kein Thema bei IETF, ISOC ... :-(
Mailadmins mit Notlösungen
Mail-Benutzer: "Bayes-Filter": Verbreitung, Bedienbarkeit, Robustheit, Erfolge ...
-> Spammer passen sich an: Check gegen SpamAssassin, "Futter" für Filter
-> "Arms race" :-(
Ansätze:
Admin-Tricks:
HELO 134.109.132.58 -> abweisen
seit 22.3.2004 (Spamschutz Administrator)
Junk mail is war, RFC's do not apply.
-- Wietse Venema
dayreject.png
Vorhandenes besser ausreizen:
* SpamAssassin mit Bayes?
* SpamAssassin mit Online-Spam-DBs (DCC, Razor)?
Standardisierungsbemühungen:
LMAP - Lightweight MTA Authentication Protocol
ASRG - Anti-Spam Research Group http://asrg.sp.am/ bei IRTF
verschiede Vorschläge: RMX, DMP, SPF
Domain-Inhaber publizieren im DNS Informationen, von welchen IP-Adressen Mails
mit deren Absende-Domains versendet werden dürfen.
SPF - Sender Policy Framework http://spf.pobox.com/
hrz.tu-chemnitz.de. IN TXT "v=spf1 mx"
bisher über 13.000 Domains, u.a. aol.com, amazon.com, gmx.net, w3.org
-> Schutz der Envelope Sender-Adresse
Caller-ID Microsoft
http://www.microsoft.com/mscorp/twc/privacy/spam_callerid.mspx
-> Schutz der Absender-Mail-Header - address phishing
_ep.hrz.tu-chemnitz.de. IN TXT " "
z.B. hotmail.com, microsoft.com
Probleme:
Forward - Sender Rewriting Scheme (SRS)
Mobile Nutzer - SMTP AUTH, Port 25 via Firewall? -> Port 587:
Message Submission Agent (MSA, RFC 2476)
Mailing Listen -
Greylisting http://greylisting.org/
-> Verbindung von 1.2.3.4
-> HELO somedomain.com
<- 250 Hello somedomain.com
-> MAIL FROM:
<- 250 2.1.0 Sender ok
-> RCPT TO:
<- 250 2.1.5 Recipient ok
-> DATA
<- 354 Enter mail
-> ...
<- 250 2.0.0 Message accepted for delivery
Bei Mailzustellversuch 3 Informationen:
IP-Adresse des Senders, Absende-Adresse, Empfängeradresse = Triplet
+ Zeitstempel speichern
Regel:
Wenn Triplet unbekannt: Annahme für eine Weile mit temporärem Fehler abweisen.
Auswirkungen:
Reguläre MTAs werden Mail in Queue stellen und später versuchen -> verzögerte Zustellung.
Spam-Sender haben i.a keine Queue-Verwaltung -> Zustellung wird nicht wieder versucht.
-> MAIL FROM:
<- 250 2.1.0 Sender ok
-> RCPT TO:
Prüfen: Kennen wir das Triplet schon, ist Wartezeit abgelaufen?
NEIN:
<- 451 4.7.1 Please try again later
... und tschüss!
JA:
<- 250 2.1.5 Recipient ok
-> DATA
<- 354 Enter mail
-> ...
<- 250 2.0.0 Message accepted for delivery
Triplet mit langer Gültigkeit versehen
Parameter:
Initiale Wartezeit bei unbekanntem Triplet: 1 Stunde
Lebenszeit eines Triplets ohne Mailaustausch: 4 Stunden
Lebenszeit eines Triplets mit erfolgtem Mailaustausch: 36 Tage
Erfahrungen (6 Wochen)
* Unique triplets seen: 346968
* Unique triplets that passed email: 8950
* Total emails passed: 85745
* Total deliveries deferred where email was eventually passed: 33586
* Total deliveries deferred where more than one email was eventually passed: 3512
Bei uns: Mail-Relays März 2004
1356445 Unique triplets,
1293573 Unique triplets, die nur einmal auftraten
Implementation für Exim
University of Wales, Aberystwyth
http://users.aber.ac.uk/auj/spam/
zusätzlicher Daemon, macht DB-Arbeit (MySQL)
Exim Recipient ACL:
* fragt Daemon via Unix-Socket: Triplet -> Antwort: Verzögerung in Sekunden
* Bei techn. Problem: Timeout -> Annahme der Mail
Verhinderung - Schutz von E-Mail-Adressen
Maßnahmen gegen Spambots
Keine Mailadressen auf WWW-Seiten - Verschleierung:
Meine Mailadresse ->
mailprotect.png
"Wegwerf-Mailadressen": frank.richter-0815@hrz.tu-chemnitz.de
Spamfallen: WWW-Seiten mit automatisch kodierten Mailadressen:
IP-Adresse+Zeit@trap.tu-chemnitz.de
Mail an solche Adresse - Server blockieren