Neue Anti-Spam-Techniken

Status Quo:
   Mail-Architektur
   mailserver.png

Automatische Schutzfilter für E-Mails
 RBL, Administrator, Textanalyse (SpamAssassin)
 userfilter.png
SpamAss: +272/463/3295/-8556, SpamAdmin: -150, SpamRBL: -204, ContEXE: -219


daystat.png
dayreject-alt.png
spamdstat.png

schlimmer denn je ...
   * Menge an Spams, Mail-Würmer, "Viren-Warnungen" 
   -> genervte Mail-Benutzer, panische Mail-Admins, überlastete Infra-Struktur
   -> starke Akzeptanzverluste, Unerreichbarkeit, Abschaltung

Juristisch: Gesetzeslage uneinheitlich, verworren
Technisch /administrativ:  bis vor kurzem kein Thema bei IETF, ISOC ... :-(
    Mailadmins mit Notlösungen
Mail-Benutzer: "Bayes-Filter": Verbreitung, Bedienbarkeit, Robustheit, Erfolge ...

-> Spammer passen sich an: Check gegen SpamAssassin, "Futter" für Filter
-> "Arms race" :-(


Ansätze:

Admin-Tricks:
   HELO 134.109.132.58  -> abweisen 
   seit 22.3.2004 (Spamschutz Administrator)

   Junk mail is war, RFC's do not apply.
                    -- Wietse Venema
         dayreject.png

Vorhandenes besser ausreizen: 
   * SpamAssassin mit Bayes?
   * SpamAssassin mit Online-Spam-DBs (DCC, Razor)?

Standardisierungsbemühungen:
LMAP - Lightweight MTA Authentication Protocol

 ASRG - Anti-Spam Research Group http://asrg.sp.am/ bei IRTF
 verschiede Vorschläge: RMX, DMP, SPF

Domain-Inhaber publizieren im DNS Informationen, von welchen IP-Adressen Mails
mit deren Absende-Domains versendet werden dürfen.

 SPF - Sender Policy Framework http://spf.pobox.com/

   hrz.tu-chemnitz.de. IN TXT "v=spf1 mx"
   bisher über 13.000 Domains, u.a. aol.com, amazon.com, gmx.net, w3.org
 -> Schutz der Envelope Sender-Adresse

 Caller-ID Microsoft
 http://www.microsoft.com/mscorp/twc/privacy/spam_callerid.mspx
 -> Schutz der Absender-Mail-Header - address phishing

 _ep.hrz.tu-chemnitz.de. IN TXT "<ep xmlns= http://ms.net/1 ><out><m> <mx/> </m></out></ep>"

 z.B. hotmail.com, microsoft.com

 Probleme:
   Forward - Sender Rewriting Scheme (SRS)
   Mobile Nutzer - SMTP AUTH, Port 25 via Firewall? -> Port 587: 
            Message Submission Agent (MSA, RFC 2476)
   Mailing Listen - 

Greylisting http://greylisting.org/

-> Verbindung von 1.2.3.4
-> HELO somedomain.com
<- 250 Hello somedomain.com
-> MAIL FROM: <sender@somedomain.com>
<- 250 2.1.0 Sender ok
-> RCPT TO: <recipient@otherdomain.com>
<- 250 2.1.5 Recipient ok
-> DATA
<- 354 Enter mail
-> ...
<- 250 2.0.0 Message accepted for delivery

Bei Mailzustellversuch 3 Informationen:
 IP-Adresse des Senders, Absende-Adresse, Empfängeradresse = Triplet
 + Zeitstempel speichern
Regel:
 Wenn Triplet unbekannt: Annahme für eine Weile mit temporärem Fehler abweisen.

Auswirkungen:
 Reguläre MTAs werden Mail in Queue stellen und später versuchen -> verzögerte Zustellung.
Spam-Sender haben i.a keine Queue-Verwaltung -> Zustellung wird nicht wieder versucht.

-> MAIL FROM: <sender@somedomain.com>
<- 250 2.1.0 Sender ok
-> RCPT TO: <recipient@otherdomain.com>
     Prüfen: Kennen wir das Triplet schon, ist Wartezeit abgelaufen?

     NEIN:
<- 451 4.7.1 Please try again later
 ... und tschüss!

     JA:
<- 250 2.1.5 Recipient ok
-> DATA
<- 354 Enter mail
-> ...
<- 250 2.0.0 Message accepted for delivery
     Triplet mit langer Gültigkeit versehen

Parameter:
Initiale Wartezeit bei unbekanntem Triplet: 1 Stunde
Lebenszeit eines Triplets ohne Mailaustausch: 4 Stunden
Lebenszeit eines Triplets mit erfolgtem Mailaustausch: 36 Tage

Erfahrungen (6 Wochen)
    * Unique triplets seen:              346968       
    * Unique triplets that passed email:   8950

    * Total emails passed:                85745
    * Total deliveries deferred where email was eventually passed: 33586
    * Total deliveries deferred where more than one email was eventually passed: 3512

Bei uns: Mail-Relays März 2004
1356445 Unique triplets, 
1293573 Unique triplets, die nur einmal auftraten

Implementation für Exim
  University of Wales, Aberystwyth
  http://users.aber.ac.uk/auj/spam/
  zusätzlicher Daemon, macht DB-Arbeit (MySQL)
  Exim Recipient ACL:
     * fragt Daemon via Unix-Socket: Triplet -> Antwort: Verzögerung in Sekunden
     * Bei techn. Problem: Timeout -> Annahme der Mail

Verhinderung - Schutz von E-Mail-Adressen

 Maßnahmen gegen Spambots
 Keine Mailadressen auf WWW-Seiten - Verschleierung:
    Meine Mailadresse -> 
    mailprotect.png

 "Wegwerf-Mailadressen": frank.richter-0815@hrz.tu-chemnitz.de

 Spamfallen: WWW-Seiten mit automatisch kodierten Mailadressen:
     IP-Adresse+Zeit@trap.tu-chemnitz.de
     Mail an solche Adresse - Server blockieren