Spam / Spam-Mails - Prof. Dr. Norbert Pohlmann

Was sind Spam-Mails?

Spam / Spam-Mails sind “unerwünscht” oder “unverlangt” zugesandte E-Mails. Die E-Mails können als “Massenware” oder als personalisierte Werbemails auftreten.

Der E-Mail-Dienst ist einer der am weitesten verbreiteten und meist genutzten professionellen nachrichtenbasierten Kommunikationsdienste in der Geschäftswelt.

Der Basis-E-Mail-Dienst hat einige generelle Probleme oder Herausforderungen, die bei der Nutzung grundsätzlich betrachtet werden müssen. Weltweit kann uns jeder E-Mails senden. Für die E-Mails, die wir empfangen wollen, ist das eine sehr gute Eigenschaft. Für die E-Mails, die wir nicht empfangen wollen (E-Mails mit Werbung, politischen Inhalten, kriminellen Absichten, …) hat sich das Wort „Spam“ etabliert. Es gibt aber auch E-Mails, die uns einen direkten Schaden zufügen sollen. Das sind E-Mails mit Malware oder auch Phishing E-Mails. Alle E-Mails, die wir nicht empfangen wollen, stellen ein großes Problem für die E-Mail-Anwendung dar, insbesondere weil die eigene E-Mail-Infrastruktur das Senden nicht verhindern und der Sender nicht eindeutig verifiziert werden kann. Laut ENISA ist der Spam-Anteil größer als 95 % in der E-Mail-Infrastruktur. Bei den Nutzern kommen zwar durch intelligente Filtermechanismen nicht mehr so viele Spams in den E-Mail-Postfächern an, aber das Aufkommen ist immer noch hoch und produziert einen sehr großen Schaden, weil die E-Mail-Infrastruktur für nicht-gewollte E-Mails vorgehalten werden muss.

Motivation von Spam

Im Gegensatz zur normalen Werbepost werden bei Spam die Kosten vom Anbieter zum Empfänger verschoben. Im Vergleich zur Werbepost im Briefkasten ist der Versand von Millionen von E-Mails mit geringen Kosten für den Absender machbar.
Selbst wenn nur jeder zehntausendste Adressat einer Spam-Mail Kunde wird, sind das 100 erfolgreiche Geschäftsabschlüsse pro Million versandter Spam-Mails – da der Versand von Mails nahezu nichts kostet, lohnt das Geschäft also immer noch. Siehe auch: E-Mail-Sicherheitsherausforderungen  

Schäden, die durch Spam-Mails auftreten

Die durch Spam-Mails entstehenden Schäden sind zum Teil nicht exakt bezifferbar. Sie lassen sich jedoch in folgende Bereiche grob unterteilen:

• Arbeitszeitverlust
  Zum Erkennen von Spam-Mails, die nicht von den Filtern erkannt worden sind, müssen die Mitarbeiter eine E-Mail zumindest kurz anlesen. Besonders bei professionell gestalteten Werbemails entsteht ein höherer Zeitaufwand für die manuelle Erkennung, da die Werbung oft nicht leicht zu erkennen ist. Verbunden mit der Echtzeitsignalisierung der E-Mail-Clients kommt es zu Ablenkung und Zeitverlusten. Außerdem müssen die E-Mails noch aussortiert und/oder gelöscht werden. Der Zeitaufwand zum Trennen relevanter (gewollter) E-Mail von Spam-Mail ist erheblich und birgt zusätzlich die Gefahr, dass wichtige E-Mails im Müllberg untergehen.
  
• Speicherverbrauch
  Die Speicherkapazitäten von E-Mail-Servern und Archivierungssystemen werden durch Spam-Mails massiv beansprucht. Durch die hohe Anzahl von Werbemails verbunden mit vielen Empfängern, kommt es zu einer hohen Auslastung der Speicherkapazitäten mit eigentlich unerwünschten Daten (Spam-Mails).
  
• Bandbreitenverbrauch
  Dadurch, dass mehr E-Mails übertragen werden “müssen”, ist es erforderlich, für eine entsprechende höhere Bandbreite für E-Mails zu sorgen, die letztendlich höhere Kosten verursacht.
  
• Sicherheitsprobleme
  Durch Spam-Mails drohen in erhöhtem Maße Schäden durch Malware (Cyber-Sicherheit)
  
• Mail-Server lahmlegen
  Spammer nutzen frei erfundene Absenderadressen aus existierenden Domains. In der Folge verstopfen Rückläufer wie Fehlermeldungen von anderen Mailservern die Postfächer des absichtlich fälschlich angegebenen Absenders. Im Extremfall kann die Zahl der eintreffenden Rückläufer an einem Tag in die Hunderttausende gehen und z.B. den eigenen Mailserver, der vom Spammer als Absender verwendet wird, lahmlegen.
  
• Reputation
  Wenn die Adresse des eigenen Mail-Servers von einem fremden Spammer angegeben wird und z.B. Spam-Mail Artikel bewerben, die dem eigenen Ruf schaden können (z.B. Pornographie, Gewalt, usw.), kann ein nicht unerheblicher Reputationsschaden auftreten.
  
• Nutzbarkeit
  Falls das Problem Spam-Mails nicht eingeschränkt werden kann, wird die Verwendung von E-Mails über das Internet nicht mehr sinnvoll möglich sein, und dadurch ein nicht unerheblicher Schaden für die meisten Unternehmen auftreten.
  
  

Anti-Spam-Lösungen

Bei der Identifizierung von Spam-Mails ist zu entscheiden, ob Spam-Mails bereits am Mailserver oder erst am Client herausgefiltert oder blockiert werden sollen. Für mittlere und größere Unternehmen ist eine zentrale Server- oder Gatewaylösung meistens die einzige pragmatische Alternative. Kleinunternehmen, welche keine eigene E-Mail-Infrastruktur betreiben, sind mit Clientlösungen oder Services von E-Mail-Dienstleistern gut gerüstet.

Anti-Spam-Technologien realisieren die Spam-Abwehr durch einen mehrstufigen Prozess. Im Folgenden werden ein paar technische Mechanismen dargestellt, die auch in Kombination verwendet werden können:

• Spam-Checks auf IP-Ebene (IP-Adresse)
  • IP-Reputationssysteme (RBLs, Dynamische-/Dial-Up-IP, open relay, …)
  • Reverse MX
  • Frequenzmessung
    
    
• Spam-Checks auf SMTP-Ebene
  • Überprüfen der HELO-Angabe
  • Überprüfen der Absender-E-Mail-Adresse (Black-/White-/Greylist)
  • Existenz der Empfänger-E-Mail-Adresse (DB, Verzeichnisdienst)
    
    
• Spam-Filter
  • Checks auf Header- und Nachrichten-Ebene
    • Inhalts-, Header- und Strukturanalyse
    • Hash/Signatur/Checksumme
    • Body-Checks (Strings)
    • …

Zentrale Anti-Spam-Lösungen

• Die Spam-Filter sind in einer Cloud realisiert
• Alle E-Mails werden über diese Cloud geleitet
  
  
  

Mechanismen zum Erkennen von Spam-Mails

Im Folgenden werden grundsätzliche Methoden prinzipiell dargestellt, mit denen Spam-Mails erkannt und/oder verhindert werden können.

Bei der Erkennung von Spam-Mails ist im Detail zu entscheiden, ob Spam-Mails bereits am Mailserver oder erst am Client herausgefiltert oder blockiert werden sollen. Für mittlere und größere Unternehmen ist eine zentrale Server- oder Gatewaylösung meistens die einzige pragmatische Alternative. Kleinunternehmen, welche keine eigene E-Mail-Infrastruktur betreiben, sind mit Clientlösungen oder Services von E-Mail-Dienstleistern gut gerüstet.

Im Folgenden werden ein paar technische Mechanismen dargestellt, die auch in Kombination verwendet werden können:

E-Mail-Kopfzeilen-Analyse und Strukturanalyse
Jede E-Mail enthält neben den sichtbaren Informationen eine Vielzahl von Kontroll- und Steuerungsfeldern für das E-Mail-Routing durch das Internet, die im E-Mail-Kopf enthalten sind. Anhand dieser Informationen lässt sich z. B. die Route einer E-Mail vom Absender bis zum Empfänger nachvollziehen. Versender von Spam-Mails manipulieren die Kontrollfelder, um sich der Verfolgung zu entziehen. So werden beispielsweise Informationen zum Quell-Mailserver verändert, um die Rückverfolgung zum Absender zu erschweren.

Verfahren zur E-Mail-Kopfzeilen-Analyse untersuchen die Kontrollinformationen auf Konsistenz und Vollständigkeit. Die Prüfung von erweiterten Informationen in den E-Mail-Kopfzeilen (Header) auf Konsistenz erlaubt das gezielte Erkennen von E-Mails, die nicht von Standard-E-Mail-Systemen versendet wurden. Werden eine oder mehrere Unregelmäßigkeiten erkannt, so werden diese mit einem Rating versehen. Voraussetzung für eine hohe Erkennungsrate ist ein feinabgestimmtes Rating der einzelnen Merkmale.

Bei der Strukturanalyse wird überprüft, ob der E-Mail-Nachrichtentext (Body) eine Kombination von unerwünschten HTML-Tags und Skripten enthält.

Inhaltanalyse durch gewichtete Wortlisten in Betreff und Nachrichtentext
Die Wirksamkeit dieser Methode hängt im Wesentlichen von den Wortlisten und dem Gewichtungsalgorithmus ab. Gewichtete Wortlisten sind eine effektive Technologie für Inhaltsprüfung. Dazu werden Wortlisten wie „Sex“ und Phrasen wie “Werden Sie reich” eines Themengebiets in einer Kategorie zusammengefasst. Ein Gewichtungsalgorithmus sorgt dafür, dass nicht ein einmaliges Auftreten eines Worts zur Schwellwertüberschreitung führt, sondern eine Kombination oder ein Mehrfachauftreten den Ausschlag geben. Spezielle Wortlisten für Anti-Spam-Funktionen erlauben eine differenzierte Konfiguration mit hohem Filtergrad. Entscheidend für die Wirksamkeit ist der verwendete Gewichtungsalgorithmus, der eine Heuristik darstellt.

Textanalyse mit statistischen Verfahren
Hierbei handelt es sich um ein sehr flexibles Verfahren zur systematischen Erkennung von Inhalten nach frei definierbaren Kategorien wie Spam-Mails, Newsletter, Business etc. Die Wirksamkeit dieses Verfahrens ist sehr hoch. In Kombination mit den oben genannten Filtermethoden sind sehr hohe Erkennungsraten möglich.

Checksummen-Server
Beim Checksummen-Server wird für jede empfangene E-Mail eine Prüfsumme erzeugt, die an ein verteiltes Netzwerk von Checksummen-Server weitergeleitet wird. Im Checksummen-Server wird ermittelt, wie oft diese Prüfsumme bereits registriert wurde und gleichzeitig der entsprechende Zählerstand erhöht. Wird ein bestimmter Schwellwert überschritten und ist diese E-Mail nicht in einer Positivliste gemeldet, so wird die Nachricht als Spam-Mail klassifiziert.

Bei dieser Methode ist auch möglich, die Spam-Mails durch eine individuelle Klassifikation durch die Nutzer zu identifizieren.

Das Prinzip weist auch einige Grenzen auf: Newsletter werden in der Regel auch als Massenmail versendet, ein Spam-Versender kann das Checksummen-System durch die Personalisierung der Spam-Mail oder durch Einfügen zufälliger Zeichenketten umgehen. Mithilfe von unscharfen Prüfsummen oder Fuzzy-Prüfsummen kann das Individualisieren von Spam-Mails entgegengewirkt werden. Bei Fuzzy-Prüfsummen wird zum Beispiel der E-Mail-Inhalt auf ein charakteristisches Minimum reduziert. Dies erhöht die Wahrscheinlichkeit, dass leicht unterschiedliche Spam-E-Mails trotzdem erkannt werden.

Bewertung von Erkennungsmechanismen

Für die Bewertung der Anti-Spam-Technologien gibt es im Prinzip zwei Kenngrößen.

Die Filterrate von Anti-Spam Technologie wird als Verhältnis von erkannten Spam-Mails zu den insgesamt erhaltenen Spam-Mails ausgedrückt.

Eine wichtige Kenngröße sind die sogenannten “False Positives”. Damit sind E-Mails gemeint, die fälschlicherweise als Spam-Mails eingeordnet, herausgefiltert und in Quarantäne gestellt worden sind. Dies kann in der Praxis zu Problemen führen, wenn wichtige E-Mails dort landen und nicht rechtzeitig den Empfänger erreichen oder sogar gelöscht werden. Typischerweise ist die Rate bei Anti-Spam-Mechanismen 0,001% – 0,0001%. Sicherheitshalber werden eingehende Mails, die den Anforderungen einer Spam-Mail des Filters entsprechen direkt in einen Spam-Ordner verschoben. Der Vorteil ist, dass E-Mails nicht automatisch gelöscht werden und eine ab-schließende Kontrolle durch den Nutzer möglich bleibt, was aber sehr viel Zeit kostet.

Bei „False Negative“ wird eine Spam-Mail nicht als Spam erkannt in landet so im Eingangsorder des Nutzers. Typischerweise ist die Rate bei Anti-Spam-Mechanismen 0,1% – 0,01%.

Nachteile der Spam-Erkennungsverfahren

• Die Spam-Mails werden nach wie vor zum Zielsystem übertragen, wodurch Bandbreitenverbrauch, Speicherverbrauch, Arbeitszeitverlust (zwar geringer) und damit auch Kosten entstehen.
• Auf dem Zielsystem werden sie dann zum Beispiel im Betreff als Spam gekennzeichnet oder in den Spam-Ordner einsortiert. Meist dürfen sie aus rechtlichen Gründen nicht automatisch gelöscht werden.
• Ein weiteres Problem bei einer Löschung wäre die “False Positive Rate”, bei denen gewollte und möglicherweise sehr wichtige E-Mails gelöscht werden, nur weil sie fälschlicherweise als Spam deklariert worden sind.
• Da es nicht möglich ist, die “False Positive Rate” auf praktisch null zu bekommen, müssen immer auch die gekennzeichneten oder aussortierten E-Mails betrachtet werden, um gewollte und wichtige E-Mails wieder herauszuholen.

Mechanismen zur Vermeidung von Spam-Mails

Im Folgenden werden technische Mechanismen zur Vermeidung von Spam-Mails beschrieben und bewertet.

Blacklist
Unter eine Blacklist wird eine Liste negativ aufgefallener IP-Adressen in Bezug auf die E-Mail-Nutzung verstanden. Dabei ist die Blacklist eine Sperrliste, die zum Beispiel von einem Mail Abuse Prevention System (MAPS) zur Verfügung gestellt wird. Die Liste enthält alle ungeschützten Mailserver, die von Spam-Versendern zum Versand der unerwünschten E-Mails verwendet werden. Ein E-Mail-Server, der eine Blacklist nutzt, kann die Aufnahme der Kommunikation mit dem ungeschützten System noch in der SMTP Session vor dem Empfang der eigentlichen E-Mail verweigern.

Whitelist
Bei dieser Methode wird eine Liste aller legitimen, zuverlässigen und gewünschten Versender geführt. Im einfachsten Fall kann die Eintragung der Versender durch den Empfänger selbst vorgenommen werden. Dazu wird jeder erwünschte Kontakt, wie zum Beispiel IP-Adressen von E-Mail-Servern von Geschäftspartnern, in diese Liste aufgenommen, die entsprechenden E-Mails direkt zugestellt.

Greylist
Die Idee einer Greylist ist, dass bei dem Empfang der ersten E-Mail eines unbekannten Absenders diese zunächst abgewiesen wird und erst nach einem weiteren Zustellversuch angenommen wird. Die Kernidee ist, dass der Einlieferer eine gewisse Zeit warten muss, um die E-Mail zu senden. Nur dann werden seine E-Mails angenommen. Da die Spammer mit der Wartezeit uneffektiv werden, gehen sie lieber weiter und die Spam-Mail wird nicht zugestellt.

IP Reputation Service

Bei Aufbau der SMTP-Verbindung wird gefragt, welche Reputation die einliefernde IP-Adresse (E-Mail-Gateway, …) hat. In der Regel werden IP Reputation Services DNS-basiert aufgebaut [6]. Es wird beim Aufbau einer SMTP-Verbindung (TCP) die IP-Adresse des Senders an den IP Reputation Service gesendet und als Antwort wird die Reputation der IP-Adresse gegeben. Es handelt sich bei der Antwort um eine Einschätzung in Bezug auf die Wahrscheinlichkeit, dass es sich um eine Spam-Mail handelt. Wenn die Reputation der IP-Adresse gut ist, dann wird die E-Mail angenommen, sonst abgelehnt.

Beispiele Reputationsbewertung von IP-Adressen

Dialup-IPs
Dialup-IPs – dynamische IP-Adressen – sind eine sehr hohe Spam-Quelle. Der größte Teil des Spam-Aufkommens wird durch Spam-Malware verursacht, die Endgeräte befallen. Spam-Malware versenden in der Summe massenhaft Spam-Mails direkt an die eingehenden Mail-Server der jeweiligen E-Mail-Provider. Dabei werden die Smarthosts der Provider umgangen. Die Endgeräte erhalten bei jeder Einwahl eine dynamische IP-Adresse aus dem IP-Nummernblock des jeweiligen ISPs. Da die E-Mails aber immer von E-Mail-Gateways versendet werden, ist die Nutzung einer Dialup-IP niemals eine erwünschte E-Mail. Aus diesem Grund kann eine Dialup-IP sofort abgelehnt werden. Wenn die ISPs die genutzten Dialup-IPs veröffentlichen, können diese in den IP Reputation Service als Blacklist-Einträge eingepflegt werden.

IPs aller vertrauenswürdigen E-Mail-Server
Das sind die IP-Adressen von E-Mail-Server, die von IPSs oder Unternehmen getrieben werden und eine große Reputation haben, weil sie keine oder sehr wenig Spam-E-Mails versenden. Diese IP-Adressen können im IP Reputation Service als Whitelist-Eintrag genutzt werden.

Frequenzanalysen
Bei einer Frequenzanalyse werden zum Beispiel die Logdaten aller E-Mail-Server eines E-Mail-Providers, der E-Mails empfängt, ausgewertet. Damit können sehr einfach und wirkungsvoll die IP-Adressen von Spam-Servern ermittelt werden.

Bewertung der technischen Mechanismen zur Vermeidung vom Spam-Mails
Mit den technischen Mechanismen zur Vermeidung von Spam-Mails kann ein großer Effekt gegen Spam-Mails erzielt werden. Aus diesem Grund sollen alle Unternehmen und Provider die beschriebenen technischen Mechanismen sinnvoll nutzen.

Weitere Informationen zum Begriff “Spam / Spam-Mails”:

„Spam-Mails unerwünscht!“

„Anti-Spam Technologie“

„Spam auf dem Rückmarsch?“

„Knackpunkt Spam – Umfrage zur E-Mail-Verlässlichkeit“

„IP-Blacklisting zur Spam-Abwehr – Spam-Vermeidung ist besser als Spam-Erkennung“

„E-Mail Spam Threats and Mitigation Recent research results“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Cyber-Sicherheit braucht Künstliche Intelligenz – keine Künstliche Intelligenz ohne Cyber-Sicherheit“

„Innovative Answers to the IoT Security Challenges“

„Künstliche Intelligenz (KI) und Cyber-Sicherheit“

„IT Security Talks im Rahmen der it-sa 365 – Vertrauenswürdigkeit schafft Vertrauen“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„Marktplatz IT-Sicherheit: IT-Notfall“

„Marktplatz IT-Sicherheit: IT-Sicherheitstools“

„Marktplatz IT-Sicherheit: Selbstlernangebot“

„Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“

„Vertrauenswürdigkeits-Plattform“

Summary

Article Name

Spam / Spam-Mails

Description

Für die E-Mails, die wir nicht empfangen wollen (E-Mails mit Werbung, politischen Inhalten, kriminellen Absichten …) hat sich das Wort „Spam“ oder „Spam-Mails“ etabliert. Die E-Mails können als Massenware oder als personalisierte Werbemails auftreten.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo