wir blockieren aktuell 700833 IP Adressen
English English
Nutzung
Kontakt
Impressum

... SPAMTrusted erkennt Spambots bei den eigenen Kunden

 

Bei der Anzahl der versendeten Spams ist es zwar hilfreich, aber nicht sehr sinnvoll, nur eingehende Spam zu erkennen. Viel wichtiger ist, den Versand von Spam zu erkennen und zu verhindern. Laut unseren Auswertungen erreichen uns über 90% aller Spams von gehakten Rechnern von Einwahlkunden mit dynamischen IP-Adressen ! Zuständig sind also hauptsächlich die Internetzugangsprovider.

Im Folgenden beschreibe ich eine Methode für Provider, um wirksam zu erkennen, wenn die eigenen Kunden anfangen, Spam zu versenden. Vorrausetzung dafür ist, dass SpamAssassin benutzt wird, um eingehende Spam zu erkennen und eine POP-Authentifizierung vorhanden ist (hier am Beispiel von popb4smtp und sendmail).

Wenn Kunden sich per POP3 authentifizieren, benutzen viele Provider Tools wie popb4smtp, um die aktuellen IPs der Kunden-Rechner auch zum Versenden freizuschalten. popb4smtp erzeugt dann eine Hash-Datei, die sendmail wiederum benutzt, um diesen IPs das Versenden zu erlauben.

Für SpamAssassin (SA) gibt es ein Zusatzmodul namens POPAuth (siehe ftp://ftp.powerweb.de/ruleset).
Primär nutzt POPAuth nun die Hash-Datei von popb4smtp, um eingehende eMails von Kunden im SA positiv zu bewerten, damit auch Kunden eMails an andere eigene Kunden verschicken können, ohne das diese Gefahr laufen, dass die eMails durch SA als erkannte Spam aussortiert werden, selbst wenn die versendenden Kunden sonst schlechte Bewertungen durch SA bekommen würden, weil deren IPs z.B. Dialin-IPs sind.
Dazu setzt POPAuth den Wert ALL_TRUSTED für SA und üblicherweise reduziert SA daraufhin den score einer eMail um 5 Punkte, was genau aussreicht, damit SA die eMail NICHT als Spam markiert.

Wenn jetzt der Rechner eines eigenen Kunden von einem Spammer übernommen und mit einem Spambot missbraucht wird, verschickt dieser Spambot höchstwahrscheinlich auch eMails an den eigenen Kunden oder an andere eigene Kunden.
Sprich: der Kunde authentifiziert sich am eigenen Mailserver per POP3 UND schickt trotzdem Spam an die eigenen Mailserver.

Wenn nun die Resultate von SA in einer Datei protokolliert werden, steht z.B. dieses bei einem per POP3 authentifizierten Kunden in der Logdatei:

    Sep 1 06:54:25 host spamd[14844]: spamd: result: . -1 - ALL_TRUSTED,AWL,HTML_MESSAGE

Eine typische erkannte Spam protokolliert dann z.B. wie folgt:

    Sep 1 06:59:53 host spamd[14844]: spamd: result: Y 21 - BAYES_99,FH_HELO_ENDS_DOT,RCVD_IN_BL_SPAMCOP_NET ...

Was aber auf keinen Fall vorkommen darf, ist folgendes:

    Sep 1 07:12:01 host spamd[14844]: spamd: result: Y 11 - ALL_TRUSTED,BAYES_99,FH_HELO_ENDS_DOT,RCVD_IN_BL_SPAMCOP_NET ...

Hier hätte nun ein eigener Kunde, der sich per POP3 authentifiziert hat, trotz ALL_TRUSTED den Schwellwert von SA massiv überschritten und wirklich Spam verschickt. Sollte so etwas in der Logdatei zu finden sein, hat man sehr wahrscheinlich einen Kunden mit einem verseuchten, gehakten und mit einem Spambot versehenen Rechner.

Jeder Provider kann nun einfach ein Script namens SPAMTrusted schreiben, welches die eigenen Logdateien nach genau diesem Fall durchsucht, diese Kunden sofort sperrt, deren Einwahlaccount blockiert (falls man gleichzeitig der Einwahlprovider ist), den Kunden anschreibt oder mit anderen Methoden sicherstellt, den Kunden vor der weiteren Verbreitung von Spam (und wahrscheinlich auch Viren) zu schützen.

Ich muss noch einmal deutlich klarstellen, dass mit dieser Methode weder die eMails der Kunden gelesen und auch nicht generell alle ausgehenden eMails überwacht werden müssen. Es wird nur festgehalten, welche IP ein POP3-Kunde hat und eingehende eMails werden automatisiert auf Spaminhalte geprüft (was ja die meisten Provider sowieso schon tun). Ausgehende eMails müssen mit dieser Methode nicht geprüft werden (jeder gute Zugangsprovider sollte dies aber natürlich trotzdem tun).
    Rein persönliche Meinung folgt, fragen Sie Ihren Anwalt wegen einer genauen Beurteilung, keine Garantien.
    Rechtlich ist diese Methode trivial, alle Provider haben AGBs, die den Missbrauch des Internets untersagen. Somit muss es Ihnen erlaubt sein, die Dienste entsprechend zu überwachen und Kunden bei Missbrauch auch zu sperren. Da diese Methode auch resourcenschonend, trivial und umsonst ist, gibt es für Provider auch keine Ausrede, solch einen Schutz umzusetzen, sollten Sie es trotz Kenntnis nicht tun, liegt rechtlich eigentlich der Fall eines Mitstörers vor. Der Provider kann getrost abgemahnt werden. Die Bundesregierung könnte hier auch ohne weiteres tätig werden, und solch eine Prüfung der eigenen Kunden für Provider rechtlich vorschreiben. Und wer gegen Gesetze verstößt, kann sogar direkt verklagt werden.

    Laut unserer DNSBL erreichen uns immer noch knapp 2,5% aller Spams von deutschen Rechnern. Wollen wir nicht das erste Land der Welt sein, dass Spam nicht nur verbietet, sondern auch wirksam bekämpft ?
Author: Frank Gadegast © 2007
Jeder Benutzer von SPAMTrusted muss an prominenter Stelle auf diesen Artikel verweisen.