Mit neuen Mitteln gegen Mail-Bedrohungen

28.05.2008
Von Reiner  Baumann
Malware und Viren kommen heute meistens im Tarnanzug durch die Hintertür. Ein aktuelles Beispiel ist URL-Spam, der arglose E-Mail-User auf infizierte Web-Seiten führt. Doch Gefahr droht auch durch Verstöße der internen User.

Spam konzentriert sich immer weniger darauf, Produkte zu verkaufen. Wurden früher beispielsweise vorrangig Medikamente oder Aktien beworben, wird heute damit vermehrt Malware verbreitet mit dem Ziel, umfassende Spam-Netzwerke aufzubauen und zu erweitern. Beim so genannten Dirty Spam führen die in Spam-Mails enthaltenen Links auf infizierte Web-Seiten. Das Threat Operations Center (TOC) von Ironport verzeichnete über den Jahreswechsel 2007 hinweg eine Steigerung dieser Verbreitungsweise um 253 Prozent. Schätzungsweise sind heute schon sieben Prozent aller Computer mit Internet-Zugang (weltweit etwa 75 bis 100 Millionen PCs) Teil eines solchen Bot-Netzes.

Vielfältige Gefahren

Da Sicherheitsanbieter bestehende Bot-Netze immer besser erkennen, setzen Spammer vermehrt auf Reputationsdiebstahl. Dabei nutzen sie Webmail-Konten eines Internet-Service-Providers (ISP). Weil diese Mails nun von der legitimen Adresse eines ISP-Mail-Servers kommen, können sie einfache Spam-Filter oft noch sehr geschickt umgehen.

Das Neue daran: Die Anfang März 2008 erstmals vermehrt aufgetretenen Spam-Attacken nutzen Weiterleitungsmechanismen wie beispielsweise Open Redirect oder die "Auf gut Glück"-Funktion der Suchmaschine Google. Der einzelne Link in der Spam-Nachricht führt dabei zu einer legitimen Google-URL, diese leitet den User aber sofort durch die in der URL enthaltene, eindeutige Suchanfrage automatisch auf eine infizierte Website weiter. Betroffen sind neben Google auch Yahoo und AOL.

Viren werden immer weniger sichtbar, doch ihre Anzahl steigt. Im Gegensatz zu früheren Massenattacken wie "Netsky" oder "Bagel" waren Viren im Jahr 2007 sehr kurzlebig. Zudem sind sie eng verbunden mit Bot-Netzen wie "Feebs" und "Storm". Allein in einer Woche entdeckte das TOC mehr als sechs Varianten des Feebs-Virus - jede davon verbreitete sich exponentiell, noch bevor die jeweiligen Antivirensignaturen bereitstanden.

Die Einsatzdauer einer Angriffstechnik nimmt wesentlich ab. In den vergangenen Jahren setzten Spammer eine typische Attacke - wie beispielsweise Image-Spam - über Monate hinweg ein. Neuere Angriffe mit MP3-Spam dauerten hingegen gerade einmal drei Tage. Gleichzeitig steigt die Zahl solch kleinerer Angriffe drastisch. Während 2006 Image-Spam die dominierende neue Technik war, gab es 2007 mehr als 20 unterschiedliche Attachment-Typen, die mit sehr kurzlebigen Attacken verbreitet wurden.

Der Anwender als Risiko

Elektronische Kommunikationsmittel bieten unbegrenzte Möglichkeiten, Informationslecks auszunutzen - ob mutwillig oder unbeabsichtigt durch Anwenderfehler. Ein Teil der Fälle ist durchaus kriminell motiviert. Nach Angaben des Bundeskriminalamts (BKA) belief sich die Summe dieser Schäden im Jahr 2006 allein in Deutschland auf rund 36 Millionen Euro, Tendenz steigend. Häufig kommen Daten jedoch unbeabsichtigt in falsche Hände. Um dies zu vermeiden, richten viele Unternehmen interne Handlungsanweisungen an die Mitarbeiter.

Auch wenn dies durchaus angebracht und teilweise hilfreich ist - sicherer ist eine zentrale und automatisch einschreitende Instanz in Form einer Lösung für Data Loss Prevention (DLP). Besonders effektiv ist deren Einsatz am Gateway zum externen Netz, denn so fällt für die Administratoren keinerlei Aufwand für das Einrichten von Software und Policies auf die zahlreichen internen PCs und Notebooks an.

Schwarze Listen mit Nebeneffekten

Um unerwünschte E-Mails vom regulären Nachrichtenstrom zu trennen, braucht man Unterscheidungsmerkmale. Doch wie erkennt man möglichst viele der unerwünschten Mails, ohne die reguläre Kommunikation zu behindern? Zahlreiche Lösungen setzen auf im Internet verbreitete Listen, die Adressen bekannter Übeltäter und die zugehörigen Ausnahmen enthalten (Black- und Whitelists). Da sich Spam-Versender und auch die Wurmausbreitungsmechanismen aber mittlerweile sehr geschickt tarnen und zahlreiche, immer wieder wechselnde Adressen verwenden, ist die Wirkung von solchen statischen Listen sehr begrenzt. Zudem besteht die Gefahr, dass Unternehmen versehentlich auf einer schwarzen Liste landen und dann für mehrere Tage keine E-Mails versenden können.

Auch die so genannten Real-Time-Blacklists sind hier grundsätzlich keine Abhilfe, denn sie verbreiten lediglich die Blacklist-Informationen sehr schnell über das Internet. Listenfehler haben dadurch potenziell größere Auswirkungen. Deshalb gilt es heutzutage als fahrlässig, für den Schutz von operativ betriebenen Unternehmensnetzen ungeprüft auf singuläre, von außen zugelieferte Blacklists zu setzen. Vielmehr sollten mehrere Informationsquellen herangezogen werden, um Sperr-Entscheidungen zu treffen.

Inhaltsfilter überfordert

Filtermechanismen von E-Mail-Clients, Antivirus- und Content-Scanning-Lösungen haben zwei Dinge gemein: Zum einen basieren sie grundsätzlich auf einer Analyse des Mail-Inhalts. Zum anderen müssen alle Nachrichten dazu überhaupt erst einmal angenommen werden. Bis dahin verbrauchen sie jedoch kostbare Ressourcen an Rechenleistung, Kommunikationsbandbreite und Speicherplatz. Hinzu kommt die teils erhebliche Gefährdung durch Schadprogramme und illegale Inhalte. Außerdem können Spam-Filter der ersten und zweiten Generation Image-basierten Spam nicht erkennen. Rund 78 Prozent der unerwünschten Nachrichten wandern ungehindert in die Mailboxen der Anwender.

Die meisten Anti-Spam-Technologien basieren auf einer Vielzahl komplexer Scoring-Mechanismen, welche die einzelnen Wörter in einer Nachricht analysieren. Enthält der Text verdächtige Begriffe wie "Viagra", werden die E-Mails als Spam klassifiziert. Dieser Ansatz ist jedoch problematisch, weil die so genannte False-Positive-Rate, also die Anzahl der fälschlicherweise ausgefilterten Nachrichten, sehr hoch sein kann. Gleiches gilt auch für die herkömmlichen URL-Filter. Sie sind aufgrund ihrer oft manuellen Klassifikationstechniken gegen diese neuen URL-Angriffswellen (Dirty Spam) unwirksam, denn die infizierten Seiten verstecken sich meist hinter unkritischen Kategorien wie Finanzen, Unterhaltung oder News.

Reputationsbasierender Schutz

Eine grundsätzlich andere Herangehensweise verfolgt die reputationsbasierende Prävention. Im Gegensatz zu Blacklists und Whitelists stützen sich Reputationsfilter auf einen umfassenden Satz objektiver Daten. Ziel ist es, die Wahrscheinlichkeit exakt einzuschätzen, mit der eine bestimmte IP-Adresse Spam versendet. Die Klassifizierung erfolgt mittels umfangreicher statistischer Daten wie der Anzahl und Größe der gesendeten Nachrichten des Mail-Servers oder der Zahl eingehender Beschwerden.

Dazu gehört auch die Prüfung, ob der Mail-Server an Honeypot-Accounts sendet. Dies sind eigens zum Einfangen anonymer Massen-Mails erzeugte Adressen, die keiner realen Person zugeordnet sind. Weitere Kriterien sind beispielsweise der Ort der Senderorganisation oder die Zeitspanne, seit der eine Organisation bereits E-Mails von diesem Sitz sendet. Das Ergebnis dieser Analyse ist eine Bewertung der Vertrauenswürdigkeit, der Reputation Score. Er entspricht etwa der Bonitätsprüfung bei Finanztransaktionen.

Auskunft über die Vertrauenswürdigkeit einer Domain- oder IP-Adresse gibt die weltweit größte Datenbank ihrer Art: "Senderbase". Auf der Website kann sich jeder Internet-User kostenlos über die Reputation einer Seite informieren. Dort sind auch aktuelle Spam-Trends, Virenausbrüche, Spyware und andere Web-basierende Bedrohungen auf einer Weltkarte sichtbar. IT-Administratoren erhalten zudem einen Überblick über den E-Mail- und Web-Verkehr, den ihr Unternehmensnetz verursacht.

Türsteher gegen Spam

Ein wesentlicher Vorteil von Reputationsfiltern besteht darin, dass die Prüfung erfolgen kann, bevor Mail oder Web-Inhalte überhaupt auf einem der Empfängersysteme ankommen. Daher eignen sie sich als äußerer Schutzwall der Infrastruktur. Denn je früher unerwünschte Daten ausgefiltert werden, umso weniger werden die nachfolgenden Systeme belastet.

Ein Reputation-Filter-System ermöglicht es zudem, verschiedene Mail-Durchsatzregeln für unterschiedliche Sender zu implementieren. Diese Policies verlangsamen die Mail-Zustellung bei weniger vertrauenswürdigen Sendern, während ein viel höherer Durchsatz für vertrauenswürdige Herkunftsadressen zugelassen wird. Zusätzlich leisten die Reputationsinformationen bei der Analyse der Inhalte eine wesentliche Hilfe. Eingebettete URLs lassen sich beispielsweise damit auf Seriosität ebenso überprüfen wie Umleitungsziele in Redirect-Attacken.

Experten gehen davon aus, dass sich aufgrund immer raffinierterer Tricks der Spam-Versender Verfahren wie die Reputationsanalyse durchsetzen werden. Den Analysten der Radicati Group zufolge wurden im Jahr 2007 bereits etwa 332 Millionen Mailboxen durch Reputationsdienste geschützt. (ws)

Vorteile von kombinierten Reputations- und Content-Filtern

  • Höhere Erkennungsrate (Spam-blocking);

  • weniger legitime Mails als Spam markiert ("False Positives");

  • geringere Hardwarekosten und erhöhter Nachrichtendurchsatz;

  • reduziertes Risiko bei Denial of Service oder Directory Harvest Attacks;

  • Einstellung von Message-Rates möglich.

Hier lesen Sie ...

wie sich Spam von einer Belästigung zu einer Gefahr entwickelt hat;

warum Blacklists heute weitgehend unwirksam geworden sind;

wie auf Reputation basierender Schutz funktioniert;

welche zusätzlichen Vorteile solche neuen Verfahren bieten.