13.11.2006 | Autor / Redakteur: Tom Lancaster / Andreas Donner
Was einen Administrator an Spammails am meisten nervt, ist nicht, dass er sie erhält, sondern, dass er versuchen muss, Spammer davon abzuhalten, den Mailserver als Verteiler zu missbrauchen.
Spammails verbrauchen teure Bandbreite und verlangsamen den Server. Außerdem besteht die Gefahr, auch durch unfreiwilliges Spam ganz schnell auf den „schwarzen Listen“ zu landen. Ist dies der Fall, werden auch korrekte Mails nur noch in unregelmäßigen Abständen zugestellt. Um von den „Black Lists“ wieder zu verschwinden und das System wieder in Ordnung zu bringen, ist ein hoher Zeitaufwand nötig.
Jeder Netzwerkadministrator kennt das Prinzip des „offenen Mail-Relay“. Er weiß, warum dieses Prinzip schlecht ist, und kennt auch die üblichen Versuche dieses System sicherer zu machen, wie z.B. das Einschränken des Relaydienstes auf bestimmte IPs oder das Anfordern von Authentifizierungen. Viele Netzwerkadministratoren sind sich jedoch oft nicht bewusst, dass die Spammer von heute meist wesentlich raffinierter vorgehen.
Ein Test mit dem Analyse-Tool ClearSight, mehrere Mailserver (hierunter MS Exchange und einige Freeware-SMTP/POP3-Server) als Spam-Server zu missbrauchen förderte schockierende Ergebnisse zu Tage.
Erwartungsgemäß dauerte es nicht lange, bis „anfällige“ Server ausfindig gemacht werden konnten. Obwohl zum Relaying eine Authentifizierung erforderlich ist und damit ohne Authentifizierung keine einzige E-Mail in das System gelangen konnte, war es möglich, tausende von E-Mails mit falschen Absenderadressen aus dem betroffenen Exchange Server zu versenden.
Grund hierfür ist ein möglicherweise in SQL Server angesiedelter Programmfehler, der ein automatisches Generieren der E-Mails und deren Versand möglich macht. Hier ist damit gar kein Relaying nötig.
Ein Test mit Freeware-Servern zeigte, wie vielfältig die Angriffe hier sein können. Obwohl Relay-Versuche vom Server sofort mit der Fehlermeldung „503 – Für diesen Mailserver ist eine Authentifizierung erforderlich“ gekontert wurden, konnte der Mailserver zum Versand von Spammails missbraucht werden. Die Täter hatten das Kennwort für das Postmaster-Konto herausgefunden und versendeten ihre E-Mails damit als Postmaster.
Nachdem das Postmaster-Konto deaktiviert wurde, versuchten es die Spammer mit falschen SMTP-Befehlen, E-Mail-Adressen und anderen Aktionen, z.B. mit dem Senden mehrerer RSET-Befehle in einer Sitzung. Um hier größtmögliche Sicherheit zu garantieren, besteht bei vielen Servern die Möglichkeit, bestimmte Befehle zu deaktivieren oder beim Erreichen einer bestimmten Anzahl fehlgeschlagener Befehle die Verbindung zu trennen. Dieser Wert sollte so niedrig wie möglich gesetzt werden.
Im Test stammten die meisten Relay-Versuche von derselben IP-Adresse. Nachdem diese Adresse mit der Firewall blockiert wurde, kamen innerhalb weniger Minuten dieselben Spams von einer anderen Adresse von einem anderen Kontinent. Wieder wurde die Adresse blockiert, wieder änderte sich der Absender. Das Interessante dabei war, dass sich der Spammer auch mit Fehlermeldungen über fehlgeschlagene Authentifizierungen zufrieden war, solange nur eine Verbindung hergestellt werden konnte. Sobald aber keine TCP-Verbindung zu Port 25 mehr hergestellt werden konnte, wechselte der Spammer die Absenderadressen.
Es besteht die Möglichkeit, E-Mails von ungültigen Domains zurückzuweisen. Dies ist auf den ersten Blick eine gute Idee, da ein Großteil der Spammails von Absenderadressen mit ASCII-Müll stammt. Die Option sollte jedoch trotzdem deaktiviert bleiben. Denn trotz blockierter Authentifizierungsanforderung beim Relay-Versuch, sendet der Server eine DNS-Anfrage bezüglich der Absenderdomain. Dies führt unter Umständen zu einer schnell wachsenden Zahl eingehender DNS-Abfragen, die den DNS-Server im schlimmsten Fall außer Gefecht setzten können.
Wer für einen Mailserver verantwortlich ist, sollte regelmäßig ein paar Minuten investieren und mithilfe eines Snifferprogramms sicherstellen, dass der Server nicht missbraucht wird. Es ist Administratorenpflicht, das System regelmäßig mit Patches zu aktualisieren, Standardkonten umzubenennen oder zu deaktivieren und sich generell mit allen Sicherheitsfunktionen vertraut zu machen, die der Server unterstützt. Je ausgeklügelter die Methoden der Spammer werden, desto mehr müssen sich Administratoren mit den verschiedenen technischen Möglichkeiten befassen. Authentifizierungsanforderungen oder IP-Adressierung sind als Schutz nicht ausreichend.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000820)
