Das E-Mail-System ist das meistgenutzte Einfallstor für Viren, Würmer und Trojaner. Doch auch weniger bekannten Bedrohungen ist das Medium aus- gesetzt. Ein Grund, warum Angriffe oft über E-Mail erfolgen, ist, dass mit geringen Kosten unzählige Empfänger erreicht werden. Dazu kommt noch, dass die meisten E-Mail-Benutzer keine IT-Profis sind und Bedrohungen oft nicht als solche erkennen oder richtig einschätzen können.

Eine weitere Besonderheit im Vergleich zu anderen, im Internet exponierten Lösungen wie zum Beispiel Web-Servern ist, dass E-Mail als ein Mittel der geschäftlichen Kommunikation absolut zuverlässig funktionieren muss. Deswegen werden Mails, die nicht zustellbar sind, immer mit einer entsprechenden Fehlermeldung an den Absender zurückgeschickt.

Kann der Server einen Empfänger nicht erreichen, erhält der Absender einen No-Delivery-Report (NDR). Der sieht zwar harmlos aus, eignet sich jedoch dazu, willentlich oder aus Versehen ganze E-Mail-Infrastrukturen lahm zu legen. Wird ein Mail-Server jedoch massenhaft mit Mails an unbekannte Empfänger bombardiert, muss er jedes Mal die Nachricht mit einem NDR zurückschicken. Es entstehen Workloads, die den Rechner in die Knie zwingen. Das Phänomen wird als "Mailstorm" bezeichnet.

Endlosschleifen

Noch vor wenigen Jahren waren Mailstorms meist das Ergebnis von unbedachtem Anwenderverhalten und funktionalen Lücken der Mail-Programme. Klassisch ist die zu einer endlosen Schleife hochgeschaukelte Kommunikation zwischen zwei Auto-Respondern: Beim Empfänger ist dabei eine automatische Nachricht aktiviert, zum Beispiel eine Abwesenheitsnotiz. Hatte der Absender ebenfalls eine automatisch erstellte Antwort eingerichtet, löste jeder Auto-Responder beim Gegenüber wieder eine Nachricht aus - ein endloses Verschicken von Nachrichten war die Folge. Heute sind die Mail-Programme jedoch so intelligent, jedem Empfänger nur einmal eine automatische Antwort zu schicken.

Denial-of-Service-Attacken

Die Gefahr für die Mail-Server droht heute aus einer anderen Richtung: Spammer versuchen, über Directory-Harvest-Attacken (DHA) an gültige Mail-Adressen zu kommen. Und Vandalen nehmen mit den von Web-Servern bereits bekannten Denial-of-Service-Attacken (DoS) Unternehmen ins Visier, um ihnen zu schaden. Grundsätzlich unterscheiden sich beide Angriffsarten nicht: Der Absender bombardiert sein Ziel mit zahllosen Mails, deren Empfängeradressen innerhalb einer Domain zufällig ausgewählt wurden. Jede ungültige Adresse wird vom SMTP-Server (Simple Mail Transfer Protocol) mit einem NDR quittiert. Der Spammer auf der Jagd nach gültigen Adressen muss also nur diejenigen Empfänger in seine Datenbank übertragen, die keinen NDR ausgelöst haben - sie sind offensichtlich im Unternehmen vorhanden.

Die Anzahl an verschickten Mails bei Mailstorms ist beachtlich, wie Gerhard Langer, Consulting Engineer beim auf Sicherheit spezialisierten IT-Dienstleister Ampeg GmbH, berichtet: "Wir hatten Fälle, in denen pro Stunde weit über 400000 Mails eintrafen." Ein gängiger Mail-Server mit zwei Intel-Prozessoren könne jedoch nur rund 70000 bis 100000 Mails pro Stunde verarbeiten, wenn Content- und Virenfilter darauf betrieben werden. "Das kann so weit gehen, dass nicht nur der betroffene Mail-Server aufgibt, sondern auch die Infrastruktur wie zum Beispiel die Firewall durch die vielen offenen Verbindungen aussteigt", berichtet Langer.

NDRs sind unverzichtbar

Eine einfache Lösung wäre es, bei akuten Angriffen alle eingehenden Mails zu löschen und keinen NDR zu verschicken. Das hat jedoch gravierende Nachteile: Auf diese Art würden auch wichtige Mails verloren gehen. Zudem sind viele Unternehmen heute ohne funktionierende E-Mail nicht mehr betriebsbereit, der wirtschaftliche Schaden kann immens sein. Obendrein erreicht man bei DHAs einen unerwünschten Effekt: Dem Spammer erscheinen alle Adressen als gültig, der nächste Mailstorm ist damit vorprogrammiert.

Aus Langers Erfahrung gibt es jedoch praxistaugliche Wege, um sich gegen Mailstorms zu schützen. "Bei manchen Mail-Servern wie "Sendmail" oder "Postfix" gibt es die Möglichkeit, Mails gar nicht erst anzunehmen, sondern sie bereits anhand der Header-Daten abzuweisen." Dabei macht man sich den Aufbau der SMTP-Kommunikation zunutze: Schon die ersten drei Befehle liefern alle Daten, die man braucht, um Mails ohne gültigen Empfänger abzulehnen. Während die ersten beiden SMTP-Befehle die Kommunikation starten und den Absender ausweisen, folgt als Drittes die Angabe des Empfängers.

Datenlast reduzieren

Manche Mail-Systeme erlauben es, bereits zu diesem frühen Zeitpunkt zu entscheiden, ob die Kommunikation zum Absender abgebrochen wird, bevor der eigentliche Inhalt einer Nachricht durchs Netz geht. Der Absender erhält einfach eine kurze Nachricht, dass seine Mail nicht angenommen wurde. Danach schließt der Server den Port wieder. Dazu müssen die tatsächlich vorhandenen Mail-Adressen, die meist auf einem Verzeichnis-Server liegen, regelmäßig mit dem Mail-Server abgeglichen werden. "Damit kann die Datenlast auf dem Server und im Netz auf einen Bruchteil der normalen Kommunikation reduziert werden", so Langer. Zudem sind weder Viren- noch Content-Scans erforderlich.

Lösung für Notes und Exchange

Allerdings hat diese Methode den Nachteil, dass sie nicht bei den weit verbreiteten Groupware-Servern wie "Microsoft Exchange" oder "Notes/Domino" von IBM funktioniert. Da deren Funktionsumfang weit über reinen E-Mail-Verkehr hinausreicht, arbeiten sie mit eigenen Protokollen. Ein Eingriff auf SMTP-Ebene ist nicht möglich. Hier entsteht seit kurzem ein Markt mit Produkten, die das Problem lösen wollen. Beispielsweise versuchen die Anbieter von Spam-Filtern, auch Mailstorms abzuwehren. Jedoch sind bislang nur wenige Hersteller in der Lage, ein reifes Produkt vorzulegen. Auch für Ampeg-Berater Langer hält der Markt bislang nur wenige praxistaugliche Komplettangebote bereit. Die Vorreiter, zu denen er zum Beispiel den amerikanischen Anbieter "Mailfrontier" zählt, hätten jedoch inzwischen gute Lösungen für beliebige Mail-Server im Portfolio.

Doch auch Exchange- und Notes-Anwender können mit auf dem Markt verfügbaren Tools die Mailstorm-Angriffe zumindest abmildern. So haben sich laut Langer die "SMTP-Teergruben" bewährt. Hier wird die Antwort an einen Massenversender verzögert: Kommen viele Mails von einem einzigen Absender, legt der angegriffene Server nach jeder Antwort eine vordefinierte Pause ein. Der Spammer braucht damit sehr viel Geduld, um seine DHA zu einem ertragreichen Ergebnis zu bringen. Gleichzeitig wird der ausgehende Datenverkehr reduziert.

E-Mail-Schutz bei Bertelsmann

Das Problem wird inzwischen von den Anwendern verstärkt wahrgenommen. So hat zum Beispiel Arvato Systems, der IT-Dienstleister der Arvato Bertelmann AG, gemeinsam mit Ampeg einen Schutz gegen Mailstorms realisiert. "Denial-of-Service-Attacken greifen immer mehr auf Mail-Server über", berichtet Jesko Jacobs, verantwortlich für den Bereich Messaging und Collaboration bei Arvato Systems. Das Unternehmen betreibt die globale Exchange-Infrastruktur der Bertelsmann AG in mehr als 35 Ländern und hat zahlreiche weitere Kunden unter anderem in den Bereichen Messaging, Collaboration und Server Hosting. Durch die Struktur der Bertelsmann AG, die viele Unternehmen unter ihrem Dach zusammenfasst, werden auch zahlreiche Domains in den Rechenzentren betrieben. Daher ist Arvato Systems oft das Ziel von Angriffen.

Um Attacken auf die Mail-Server abzuschwächen, hat Arvato Systems laut Jacobs 2003 damit begonnen, die Infrastruktur zusätzlich zu den bereits etablierten Sicherheitsmaßnahmen auch gegen solche Bedrohungen zu schützen. "Damals gab es noch keine fertigen Produkte am Markt, mit denen wir uns ausreichend gegen diese Angriffe auf die Exchange-Infrastruktur hätten schützen können", erläutert der Manager. Mit Bordmitteln habe das Unternehmen keine befriedigende Lösung aufbauen können. Deswegen entschied sich Arvato Systems dafür, auf der Basis verfügbarer Tools von Virenschutzanbietern und eigenen Entwicklungen eine weitere Schutzschicht in die Infrastruktur einzuziehen. "Wir haben den Exchange-Servern eine zusätzliche Serverfarm mit dedizierten SMTP-Servern vorgeschaltet. Diese nehmen alle eingehenden Nachrichten an", erklärt Jacobs.

Fehlerbehandlung

Entspricht eine Nachricht nicht dem Standard oder ist der Empfänger nicht bekannt, wird die Mail nicht angenommen. Laut Jacobs ist die Kommunikation damit auf ein Minimum beschränkt: "Wir senden in diesem Fall nur eine Fehlermeldung zurück, dass die Mail zurückgewiesen wurde. Den NDR muss dann der Server des Absenders erzeugen."

Ist die eingehende Nachricht standardkonform und hat einen gültigen Empfänger, werden im nächsten Schritt auf denselben Servern Viren- und Content-Filter angewendet. Erst dann gelangt die Nachricht auf den Exchange-Server und in das Postfach des Empfängers. Der Workload der vorgeschalteten Mail-Server ist so gering, dass sie auch mit DoS-Angriffen und DHAs zurechtkommen. Die Exchange-Systeme werden durch diese Lösung bei Angriffen nicht zusätzlich belastet.

Obwohl inzwischen geeignete Produkte verfügbar sind, die diese zusätzliche Serverfarm ersetzen könnten, sieht Jacobs keinen Grund zum Wechseln: "Die Lösung läuft gut. Der administrative Mehraufwand durch die zusätzlichen Server ist durch den hohen Schutz gerechtfertigt." Aus seiner Sicht sollte der Schutz vor Angriffen auf die Mail-Systeme heute in jedem Unternehmen Pflicht sein. Ähnlich beurteilt auch Gartner die Situation. Laut den Marktforschern, die die Abwehr dieser Attacken als "E-Mail Intrusion Prevention" bezeichnen, erfährt dieses Bedrohungsszenario noch relativ wenig Beachtung. Allerdings stellen die Analysten fest: "Der Schutz vor Denial-of-Service-Angriffen, Directory-Harvest-Attacken und ungültigen Mail-Adressen ist kritisch." (fn)