Neben Wurm- und Phishing-Mails verstopfen immer häufiger auch so genannte Bounce-Mails die Netze der Unternehmen: Wenn sich elektronische Nachrichten nicht zustellen lassen, wird der Absender vom zuständigen Mail-Router per E-Mail über den Fehler informiert. In Massen versendet, lassen sich mit diesen "Benachrichtigungen" aber auch DoS-Attacken auslösen oder zumindest die Bearbeitung elektronischer Nachrichten erheblich beeinträchtigen. "Angreifer nutzen Bounce-Mails, um kritische Mailboxen zu verstopfen", erklärt Nick Edwards, Group Product Manager von IronPort, die aufkommende Bedrohung. Dabei sei es nahezu unmöglich, die Fake-Rückläufer als Spam zu erkennen und auszufiltern.

Abhilfe soll nun IronPorts "Bounce Verification Technology" schaffen, die der Anbieter in die E-Mail-Security-Appliances seiner C- und X-Serie eingebaut hat. Damit sind die Geräte Firmenangaben zufolge in der Lage, ungültige Mail-Rückläufer, deren Absender-Name von Spammern gefälscht wurde, von echten Bounce-Mails zu unterscheiden und zu blocken beziehungsweise unter Quarantäne zu stellen. Die Identifizierung legitimer Rückläufer ermöglicht die Technik, indem sie die Rückadresse im SMTP-Envelope einer Mail eindeutig signiert.

IronPorts Bounce-Verification-Technik basiert auf einem derzeit noch als Vorschlag kursierenden IETF-Standard (Internet Engineering Task Force) namens "Bounce Address Tag Validation" (BATV), der sich Experten zufolge durchsetzen könnte. Laut Gartner-Analyst Peter Firstbook ist IronPort der erste Anbieter, der diese Technik implementiert hat, während andere versuchten, dem Problem auf ihre Weise beizukommen. Primäre Zielscheibe für DoS-Attacken via Bounce-Mails stellten große Unternehmen mit bekannten Markennamen dar. Nach Analysen von IronPorts "Threat Operation Center" (TOC) wurde bereits jedes zweite Fortune-500-Unternehmen Opfer einer derartigen Attacke. Der Anteil der Bounce-Mails am gesamten Mail-Aufkommen soll mittlerweile bei neun Prozent liegen. (kf)