Schutz vor Spam-Mails – es kommt auch auf die Reputation des Servers an

von Michael Tants, Security Consultant, Trend Micro

Spam-E-Mails sind eine Plage – sowohl für die Anbieter von E-Mail-Diensten als auch vor allem für die Empfänger. Aufgrund der Masse der unerwünschten und zum Teil sogar mit Schadsoftware belasteten Nachrichten bieten IT-Sicherheitsanbieter wie Trend Micro schon seit geraumer Zeit so genannte Reputationsdienste an. Diese erkennen den Spam-Charakter von elektronischer Post nicht nur anhand des Inhalts, sondern auch und bereits anhand der Reputation – also des schlechten Rufs – des Versenders oder der Versandservers und sortieren sie aus, bevor sie das Postfach der Empfänger erreicht.
Leider kommt es bisweilen vor, dass auch E-Mails legitimer Versender geblockt werden, weil diese für den Versand ihrer Nachrichten Server mit schlechter Reputation verwenden. Dies führt freilich in manchen Fällen zum Unmut der Betroffenen. All diesen ist dieser Blogeintrag gewidmet, der die Funktionsweise eines Reputationsdienstes zur Prüfung der IP-Adressen von SMTP-E-Mail-Servern zu erklären versucht.

Funktionsweise

Am Versand einer E-Mail und dem Schutz von unerwünschten Nachrichten ist nicht nur der Versender selbst, sondern sind auch noch andere Parteien beteiligt. Dazu zählen unter anderem

  • der E-Mail-Diensteanbieter (ESP),
  • ESP-Kunden,
  • Spammer,
  • IT-Sicherheitsanbieter wie Trend Micro,
  • Organisationen, die E-Mail-Sicherheitslösungen verwenden.

ESPs bieten ihren Kunden sehr oft Basisdienstleistungen an, ohne dafür Geld zu verlangen. Das Geschäftsmodell besteht für den ESP dabei darin, den Kunden im Gegenzug für das Gratis-Angebot Werbung anzuzeigen. Um mit diesem Konzept profitabel arbeiten zu können, benötigen ESPs einen großen Kundenstamm, den sie auf ihren Servern mit E-Mail-Diensten versorgen. Allein die Masse an Kunden erhöht die Wahrscheinlichkeit, dass entweder Zugangsdaten zum E-Mail-Konto eines Kunden in die Hände von Spammern geraten oder sogar der Rechner eines Kunden mit Schadprogrammcode, der zu Spamaktivität führt, infiziert ist. Häufig gelingt es Spammern auch, sich anonym für ein solches E-Mail-Konto zu registrieren. In all diesen Fällen steigt das Risiko für die IP-Adresse des E-Mail-Servers, der für den Versand der Kunden-E-Mails beim ESP zuständig ist, in der Reputationsdatenbank von Trend Micro als Spam-Versandadresse gelistet zu werden. Denn entweder stellen unsere automatischen Spamsensoren fest, dass über diesen Server Spam-Nachrichten verschickt werden, oder Kunden senden uns Beispiele für solche unerwünschten E-Mails.

Kriminelle Spammer verwenden in der Regel gestohlene E-Mail-Konten, um unerkannt zu bleiben. Genau das ist der Grund dafür, dass Unternehmen und Organisationen, für die E-Mails das zentrale Kommunikationswerkzeug darstellen, Filtersysteme nachfragen, die in der Lage sind, E-Mails von Servern mit schlechter Reputation abzulehnen.

Eine hinsichtlich der benötigten Rechenleistung sehr effiziente Herangehensweise ist dabei das Prüfen der Reputation der IP-Adresse des sendenden Servers während des Verbindungsaufbaus durch den empfangenden Server, der dann je nach Ergebnis der Prüfung die Annahme der Nachricht verweigern kann. Damit reduziert sich die Last auf nachfolgenden E-Mail-Sicherheitssystemen, die nach Spam und Schadprogrammen im Nachrichteninhalt suchen. Wenn die IP-Adresse eines Servers in einer der genutzten Reputationslisten gefunden wird, generiert der empfangende Server eine Fehlermeldung, die den Grund für die Ablehnung der Verbindung angibt. Diese Fehlermeldung kann dem Versender der E-Mail in einem Fehlerbericht zugestellt werden. Der Administrator des empfangenden Servers kann außerdem IP-Adressen in eine Ausnahmeliste aufnehmen und so die Einschätzung der Reputationsliste ignorieren.

Was ESPs und ihre Kunden tun können

ESP-Kunden wiederum können diese Fehlermeldung verwenden, um ihren Diensteanbieter darüber zu informieren, dass einer seiner E-Mail-Server als Spamversender gelistet ist. Dabei sollte es im Interesse des ESP liegen, die Ursache für die Aufnahme in der Liste zu erfahren. Denn diese ist oft ein Indiz dafür, dass die eigene Infrastruktur missbräuchlich genutzt wird und die legitimen Kunden unter dieser Art Fehlermeldungen zu leiden haben. Weil die ESP-Kunden keine Veänderungen an den Servern mit gelisteter IP-Adresse vornehmen können, ergibt es für die Betroffenen in diesen Fällen bedauerlicherweise keinen Sinn, mit den Reputationsdiensteanbietern wie Trend Micro in Verbindung zu treten. Denn deren Informationen, die der Ursachenermittlung dienen, nützen nur dem ESP.

Im Regelfall informiert Trend Micro den ESP, bevor eine seiner IP-Adressen gelistet wird. Um dessen Kontaktinformationen zu erhalten, nutzt der Sicherheitsanbieter die „Whois-Datenbank” (eine öffentlich zugängliche Informationsquelle, die durch die IP-Adressen-Eigner befüllt wird). Leider kommt es aus den verschiedensten Gründen immer wieder vor, dass die in der Datenbank gespeicherten Informationen veraltet sind und Trend Micro den verantwortlichen Administrator nicht erreicht oder dieser die Nachricht über die bevorstehende Listung ignoriert. In einem solchen Fall ist es sehr hilfreich, wenn die betroffenen ESP-Kunden diesen über die Fehlermeldungen von sich aus in Kenntnis setzen, weil darin alle erforderlichen Daten enthalten sind, um mit Trend Micro in Kontakt zu treten. Würde Trend Micro die IP-Adresse allein aufgrund der zum Teil verärgerten Reaktionen der betroffenen ESP-Kunden, also ohne direkte Kontaktaufnahme des Diensteanbieters, aus der Liste entfernen, so würde von dieser IP-Adresse wahrscheinlich wieder Spam an Unternehmen und Organisationen gesendet werden, welche die Trend Micro-Liste für ihre E-Mail-Sicherheit verwenden. Dies wäre ein klarer Verstoß zu unserem Anspruch, den Austausch von digitalen Informationen im weltweiten Maßstab sichern zu helfen.

Trend Micro arbeitet im Übrigen mit vielen ESPs eng zusammen, um den Missbrauch ihrer Dienste aktiv aufzuspüren. Dazu müssen sie aber vorher mit Trend Micro in Kontakt treten. Tun sie dies, ist die Listung der in Frage kommenden IP-Adressen in der Regel nicht mehr nötig, weil die meisten Vorkommnisse dann automatisch bearbeitet und behoben werden können. Kunden, deren ESP sich erkennbar über einen längeren Zeitraum nicht darum kümmert, mit einem IT-Sicherheitsanbieter zu kommunizieren, sollten eventuell in Erwägung ziehen, die Dienste eines anderen Anbieters in Anspruch zu nehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.