Fehlgeleitete Rückläufer verstopfen Netze
Bounce-Attacken auf dem Vormarsch
Immer mehr Netzwerke leiden unter den Folgen von absichtlich fehlgeleiteten E-Mail-Antworten, so genannten Bounce-Attacken. Um dieser Bedrohung vorzubeugen, müssen Unternehmen Bounce-Mails frühzeitig erkennen und abfangen.
Bounce-Mails entstehen dadurch, dass elektronische Nachrichten nicht zugestellt werden können –
in der Regel deshalb, weil der Empfänger nicht bekannt ist. Der SMTP-Standard sieht vor, dass der
Absender daraufhin eine Nachricht vom zuständigen Mail-Gateway bekommt, die ihn über den Fehler
informiert. Genau hier aber liegt eine Schwachstelle: Immer mehr Angreifer nutzen diese Funktion
gezielt aus, um Messaging-Systeme in die Knie zu zwingen. Hierzu erzeugen sie gefälschte E-Mails
mit frei erfundenen Empfängern innerhalb einer tatsächlich existierenden Domain. Als Absender geben
sie die Adresse eines Opfers an. Das bedeutet, dass die Bounce-Mail von einem seriösen Absender –
beispielsweise der real existierenden Domain eines bekannten Unternehmens – kommt und bei jeder
beliebigen Adresse landen kann.
Denial-of-Service-Angriffe auf E-Mail-Systeme
Bounce Messages belasten Unternehmen auf zwei Wegen: Einerseits ist es technisch sehr leicht
möglich, die Millionen von Rückläufern aus einer Spam-Aussendung auf eine einzige Adresse
umzuleiten. Sind etwa bei zehn Millionen Spam-Mails 20 Prozent mit einer fehlerhaften
Empfängeradresse versehen, so ergeben sich daraus zwei Millionen Bounce-Mails, die bei der
missbrauchten Absenderadresse landen. Die Bounce-Mails können dann das komplette E-Mail-System des
Opfers lahm legen (Denial-of-Service) oder zumindest zu Verzögerungen beim Bearbeiten von
elektronischen Nachrichten führen. Andererseits suchen die meisten Anwender Unterstützung beim
Helpdesk, wenn sie gehäuft Fehlermeldungen über nicht zustellbare E-Mails erhalten. Dies verursacht
erhebliche Servicekosten.
Bounce-Attacken werden zur Plage
Das Bounce-Problem ist nicht zu unterschätzen. Aus einer aktuellen Ironport-Studie geht hervor,
dass bereits 55 Prozent der Fortune-500-Unternehmen Opfer solcher Angriffe wurden. Der Schaden
durch Verzögerungen oder Ausfälle innerhalb der Messaging-Infrastruktur wird für das Jahr 2006 auf
mehr als vier Milliarden Euro geschätzt. Nach Analysen des Threat Operation Centers von Ironport
machen absichtlich gefälschte Bounce-Mails bereits elf Prozent des weltweiten Spam-Aufkommens aus.
Das Bedrohungspotenzial steigt weiter, da die Bounce-Attacken parallel zur Zahl der Spam-Mails
wachsen – um durchschnittlich 100 Prozent pro Jahr.
Interne Accept-Anfrage beim LDAP-Server
Die Gretchenfrage: Wie kann man echte von falschen Rückläufern unterscheiden? Damit die hohen Enduser-basierten Kosten nicht anfallen, muss die Mail-Infrastruktur eines Unternehmens Bounce-Mails als solche erkennen. Eine Methode ist beispielsweise die interne Accept-Anfrage an den LDAP-Verzeichnisdienst. Noch vor der Annahme einer E-Mail für einen bestimmten User, überprüft das Messaging-Gateway anhand des Directory-Servers, ob der Empfänger einer eingehenden Nachricht tatsächlich existiert und das Benutzerkonto gültig ist. Wenn nicht, wird die Mail gleich blockiert – also gar nicht erst angenommen. Diese Datenbankabfrage ist ein einfacher, vollautomatischer Prozess, der mit wenig Kosten und Rechenleistung verbunden ist.
IP-basiertes Filtern
Das Prinzip der Nichtannahme unerwünschter oder verdächtiger Inhalte bietet weitere
Möglichkeiten. Mithilfe von Reputationsdiensten wie "Senderbase" lassen sich Bounce-Wellen schnell
erkennen. Bei der Bewertung, ob es sich bei einer Mail um eine Bounce-Attacke handelt, stützen sich
Reputationsfilter auf einen umfassenden Satz objektiver Daten. Sie können dadurch die
Wahrscheinlichkeit, mit der eine bestimmte IP-Adresse Spam versendet, exakt einschätzen. Die
Klassifizierung erfolgt mittels umfangreicher statistischer Daten wie der Anzahl und Größe der
gesendeten Nachrichten des Mailservers oder danach, wie viele Beschwerden eingehen. Dazu gehört
auch die Analyse, ob ein Zombie-PC im Spiel ist und ob der Mailserver an nicht existierende oder
Honeypot-Accounts sendet. Weitere Kriterien sind beispielsweise der physikalische Ort der
Senderorganisation oder die Zeitspanne, seit der eine Organisation bereits E-Mails von diesem Sitz
beziehungsweise diesen IP-Adressen sendet. Das Ergebnis dieser Analyse ist eine Bewertung der
Vertrauenswürdigkeit, der so genannte "Reputation Score". Er entspricht in etwa der Bonitätsprüfung
bei Finanztransaktionen.
Die Welt ist nicht schwarz-weiß - Traffic Shaping beim E-Mail-Verkehr
Nachrichten von verdächtigen Absendern können dann je nach Wahl des Systemadministrators
zeitlich begrenzt oder vollständig blockiert werden. Ein wesentlicher Vorteil des Verfahrens: Die
Prüfung kann erfolgen, bevor die E-Mail überhaupt auf einem der Empfängersysteme angenommen
wird.
Hier zu Lande gebietet das Fernmeldegesetz die Zustellung jeder angenommenen E-Mail.
Beispielsweise darf geschäftsrelevante E-Mail nicht einfach verschwinden, denn aufsehenerregende
Gerichtsurteile haben in extremen Fällen den Verantwortlichen bereits hohe Strafen auferlegt. Es
ist also besonders vorteilhaft, unerwünschte E-Mails gar nicht erst ins Unternehmensnetzwerk hinein
zu lassen.
Michael Ostermann von Ostermann Research weist auf eine weitere wichtige Eigenschaft hin: "Ein
Reputation-Filter-System ermöglicht es, verschiedene Mail-Durchsatz-Policies für unterschiedliche
Sender zu implementieren. Diese Policies verlangsamen die Mail-Zustellung bei weniger
vertrauenswürdigen Sendern, während ein viel höherer Durchsatz für vertrauenswürdigere Sender
ermöglicht wird."
Die Strukturierung des E-Mail-Verkehrs ist ein mächtiges Werkzeug, mit dem sich
Unternehmensrichtlinien zum Umgang mit Bounce-Mail flexibel umsetzen lassen. Der eigentliche Clou
liegt jedoch in der regelbasierten Kombination aus reputationsbasierten Filtern und der
Inhaltsprüfung. Denn E-Mails von wohl bekannten und verifizierten Absenderadressen müssen gar nicht
erst durch zusätzliche Antispam-Filter laufen. Dadurch können E-Mails von Geschäftspartnern direkt
ausgeliefert werden. Sendungen von unbekannten, aber nicht als schädlich eingestuften Absendern
müssen sich hingegen der Prüfung durch die Inhaltsfilter unterziehen.
Stößt ein Filter auf bestimmte Inhalte, ist das die Grundlage für ein echtes Message Traffic
Shaping: Der Datenstrom lässt sich etwa blockieren, drosseln, löschen oder archivieren. Alternativ
könnte auch ein bestimmter Anwender eine Nachricht erhalten oder die Mail direkt weitergeleitet
werden. Auf diese Weise sind ganz nebenbei auch sehr effizient die Sicherheitsregeln für
Vertrauensschutz oder zur Einhaltung von Regeln für den Sarbanes-Oxley-Act (SOX) zu
implementieren.
Weltweite Bounce- und Spamwellen im Blick
Der Schlüssel für eine erfolgreiche IP-basierte Filterung sind qualitativ hochwertige
Informationen – gerade bei unbekannten Absenderadressen. Hier hilft beispielsweise Senderbase, die
weltweit erste und größte Datenbank zur Analyse und Bewertung des globalen E-Mail-Aufkommens. Über
100.000 teilnehmende Organisationen speisen weltweit ihre Daten ein und mehr als 40.000
Mailadministratoren nutzen die Datenbank regelmäßig. Neben Unternehmen und acht der zehn
weltgrößten ISPs verwenden auch immer mehr Universitäten das System. Das Ergebnis: Senderbase
bietet derzeit Einblick in die Charakteristik von über 25 Prozent des weltweiten E-Mail Verkehrs.
Mehr als 110 Parameter sind Grundlage zur Bewertung von IP-Adressen, etwa die IP-Adressen von
offenen Proxies und Relays, also ungeschützten Mailservern, die sich von jedermann missbrauchen
lassen.
Lesen Sie mehr zum Thema
