... SPAMTrusted erkennt Spambots bei den eigenen Kunden
Bei der Anzahl der versendeten Spams ist es zwar hilfreich, aber nicht sehr sinnvoll,
nur eingehende Spam zu erkennen. Viel wichtiger ist, den Versand von Spam zu
erkennen und zu verhindern.
Laut unseren Auswertungen erreichen uns über 90% aller Spams von gehakten Rechnern
von Einwahlkunden mit dynamischen IP-Adressen ! Zuständig sind also hauptsächlich
die Internetzugangsprovider.
Im Folgenden beschreibe ich eine Methode für Provider, um wirksam zu erkennen, wenn
die eigenen Kunden anfangen, Spam zu versenden. Vorrausetzung dafür ist,
dass SpamAssassin benutzt wird, um eingehende Spam zu erkennen und eine
POP-Authentifizierung vorhanden ist (hier am Beispiel von popb4smtp und sendmail).
Wenn Kunden sich per POP3 authentifizieren, benutzen viele Provider Tools wie
popb4smtp, um die aktuellen IPs der Kunden-Rechner auch zum Versenden
freizuschalten. popb4smtp erzeugt dann eine Hash-Datei, die sendmail
wiederum benutzt, um diesen IPs das Versenden zu erlauben.
Für SpamAssassin (SA) gibt es ein Zusatzmodul namens POPAuth
(siehe ftp://ftp.powerweb.de/ruleset).
Primär nutzt POPAuth nun die Hash-Datei von popb4smtp, um eingehende eMails
von Kunden im SA positiv zu bewerten, damit auch Kunden eMails
an andere eigene Kunden verschicken können, ohne das diese
Gefahr laufen, dass die eMails durch SA als erkannte Spam aussortiert
werden, selbst wenn die versendenden Kunden sonst schlechte Bewertungen
durch SA bekommen würden, weil deren IPs z.B. Dialin-IPs sind.
Dazu setzt POPAuth den Wert ALL_TRUSTED für SA und üblicherweise
reduziert SA daraufhin den score einer eMail um 5 Punkte, was genau
aussreicht, damit SA die eMail NICHT als Spam markiert.
Wenn jetzt der Rechner eines eigenen Kunden von einem Spammer übernommen
und mit einem Spambot missbraucht wird, verschickt dieser Spambot höchstwahrscheinlich
auch eMails an den eigenen Kunden oder an andere eigene Kunden.
Sprich: der Kunde authentifiziert sich am eigenen Mailserver per POP3
UND schickt trotzdem Spam an die eigenen Mailserver.
Wenn nun die Resultate von SA in einer Datei protokolliert werden, steht z.B. dieses
bei einem per POP3 authentifizierten Kunden in der Logdatei:
Sep 1 06:54:25 host spamd[14844]: spamd: result: . -1 - ALL_TRUSTED,AWL,HTML_MESSAGE
Eine typische erkannte Spam protokolliert dann z.B. wie folgt:
Sep 1 06:59:53 host spamd[14844]: spamd: result: Y 21 - BAYES_99,FH_HELO_ENDS_DOT,RCVD_IN_BL_SPAMCOP_NET ...
Was aber auf keinen Fall vorkommen darf, ist folgendes:
Sep 1 07:12:01 host spamd[14844]: spamd: result: Y 11 - ALL_TRUSTED,BAYES_99,FH_HELO_ENDS_DOT,RCVD_IN_BL_SPAMCOP_NET ...
Hier hätte nun ein eigener Kunde, der sich per POP3 authentifiziert hat,
trotz ALL_TRUSTED den Schwellwert von SA massiv überschritten und
wirklich Spam verschickt. Sollte so etwas in der Logdatei zu finden
sein, hat man sehr wahrscheinlich einen Kunden mit einem verseuchten,
gehakten und mit einem Spambot versehenen Rechner.
Jeder Provider kann nun einfach ein Script namens SPAMTrusted schreiben,
welches die eigenen Logdateien nach genau diesem Fall durchsucht, diese
Kunden sofort sperrt, deren Einwahlaccount blockiert (falls man
gleichzeitig der Einwahlprovider ist), den Kunden anschreibt oder
mit anderen Methoden sicherstellt, den Kunden vor der weiteren Verbreitung von
Spam (und wahrscheinlich auch Viren) zu schützen.
Ich muss noch einmal deutlich klarstellen, dass mit dieser Methode weder
die eMails der Kunden gelesen und auch nicht generell alle
ausgehenden eMails überwacht werden müssen.
Es wird nur festgehalten, welche IP ein POP3-Kunde hat und
eingehende eMails werden automatisiert auf Spaminhalte geprüft
(was ja die meisten Provider sowieso schon tun).
Ausgehende eMails müssen mit dieser Methode nicht
geprüft werden (jeder gute Zugangsprovider sollte
dies aber natürlich trotzdem tun).
Rein persönliche Meinung folgt, fragen Sie Ihren Anwalt wegen
einer genauen Beurteilung, keine Garantien.
Rechtlich ist diese Methode trivial, alle Provider haben AGBs, die
den Missbrauch des Internets untersagen. Somit muss es Ihnen erlaubt sein,
die Dienste entsprechend zu überwachen und Kunden bei Missbrauch
auch zu sperren. Da diese Methode auch
resourcenschonend, trivial und umsonst ist, gibt es für
Provider auch keine Ausrede, solch einen Schutz umzusetzen,
sollten Sie es trotz Kenntnis nicht tun, liegt rechtlich
eigentlich der Fall eines Mitstörers vor. Der Provider
kann getrost abgemahnt werden. Die Bundesregierung könnte
hier auch ohne weiteres tätig werden, und solch eine
Prüfung der eigenen Kunden für Provider rechtlich vorschreiben.
Und wer gegen Gesetze verstößt, kann sogar
direkt verklagt werden.
Laut unserer DNSBL erreichen uns immer noch knapp 2,5% aller Spams
von deutschen Rechnern. Wollen wir nicht das erste Land der Welt
sein, dass Spam nicht nur verbietet, sondern auch wirksam bekämpft ?
Author: Frank Gadegast © 2007
Jeder Benutzer von SPAMTrusted muss an prominenter Stelle auf diesen Artikel
verweisen.
|