Projekt Honey Pot kämpft gegen Spam

Angelockt

Einzelkämpfer haben im Kampf gegen Spam wenig Chancen. Das Projekt Honey Pot versucht Kräfte zu bündeln, und über verteilte Honeypots möglichst viele Spam-Versender zu identifizieren.
Strom sparender Computereinsatz hilft nicht zuletzt auch Kosten zu senken. ADMIN 02/2011 geht der Frage nach, was Administratoren tun können, damit ihre ... (mehr)

Schon lange hat Spam aufgehört, ein kleines Ärgernis zu sein. Irgendwann einmal waren die zwei bis drei Spam-Mails am Tag kaum der Rede wert, aber jetzt treffen an einem guten Tag "nur" 200 ungebetene Nachrichten in meiner Inbox ein. Auf diesem Niveau stellt Spam eine richtig hartnäckige Störung dar.

Jede Spam-Mail, die bei Ihrem Server ankommt, bedeutet einen Aufwand an Netzwerk-Kapazität, CPU-Zeit und Speicherplatz, was wiederum auf bares Geld hinausläuft. Und diese Kosten fallen sogar dann an, wenn eine Spam-Mail nie das Postfach eines Benutzers erreicht. Die beste Lösung ist also, Spam bereits zu stoppen, bevor sie den eigenen Server erreicht.

Stand der Technik

Viele Open-Source-Tools wie Spamassassin versuchen wie kommerzielle Software, Spam nach dem Eintreffen zu erkennen und auszusortieren, statt sie den Anwendern zuzustellen. Die unerwünschten Mails sind dann aber schon auf dem Server und verursachen zum Teil einigen Aufwand an Rechenzeit.

Unspam Technologies [1] hat deshalb das Projekt Honey Pot [2] ins Leben gerufen, das erste verteilte System, um Spammer im Internet zu identifizieren. Die Firma selbst bietet Antispam-Services für Enduser genauso wie für Firmen und Regierungsstellen. Das Honey-Pot-Projekt besteht im Wesentlichen aus einzelnen sogenannten Honeypot-Maschinen, die im Internet verteilt sind, und Spammer anlocken sollen.

Historisch waren Honeypots meist einzelne Server, die speziell dafür eingerichtet wurden, potenzielle Einbrecher anzulocken. Sie waren oft speziell mit Sicherheitslücken ausgestattet, um das Interesse böswilliger Hacker zu wecken, diese zu einem Einbruchsversuch zu motivieren und von den eigentlich sensiblen Servern abzulenken.

Diese Honeypots sollten nicht nur zur Beschäftigungstherapie der Cracker dienen. Stattdessen konnten Administratoren dabei versuchen, die Herkunft der Einbrecher nachzuvollziehen, ihre Methoden studieren, Gegenmaßnahmen ergreifen und die anderen Server dadurch besser absichern.

Das gleiche Prinzip lässt sich auch auf Spammer anwenden. Aus der Beobachtung ihrer Methoden kann man Techniken zu ihrer Abwehr entwickeln. Im einfachsten Fall geht das über eine Analyse von Spam-Mail, um ein Muster zu finden, welche Mails Spam enthalten und welche nicht. Solche Muster lassen sich an Tools wie Spamassassin füttern, um die Mail-Nachrichten nach dem Eintreffen zu filtern. Aber das ist, wie bereits angesprochen, nicht der beste Weg.

Erntezeit

Das schmutzige Handwerk der Spammer vollzieht sich in mehreren Schritten. Am Anfang steht das sogenannte Harvesting (Ernten), bei dem sie auf Websites nach E-Mail-Adressen suchen. Schon in den Urzeiten des World Wide Web haben Anwender arglos ihre E-Mail-Adressen auf Webseiten geschrieben. Von dort können Spammer sie mit einfachsten Mitteln sammeln und in ihren Datenbanken speichern.

Wenn ein Harvester eine Webseite abruft, hinterlässt er dabei die typischen Spuren in den Logdateien des Servers, zum Beispiel die IP-Adresse. Genauso funktioniert es beim Projekt Honey Pot: Ruft jemand die entsprechende Webseite mit einer E-Mail-Adresse ab, speichert der Honeypot die IP-Adresse des Clients. Erhält die E-Mail-Adresse später Spam, schließt sich der Kreis und die IP des Spammers ist identifiziert.

Der direkte Nutzen aus dieser Erkenntnis besteht darin, die Harvester auszusperren. Wer eine IP-Adresse als Spam-Schleuder identifiziert hat, kann diese in der Firewall sperren und damit vom weiteren Ernten abhalten. Das bedeutet weniger Spammer mit gültigen E-Mail-Adressen, löst aber nur einen Teil des Problems. Schließlich will man auch Spammer stoppen, die die eigene Adresse schon gespeichert haben. Deshalb gilt es auch die Rechner zu finden, die Spam verschicken.

Meistens gehören diese Spam-Server gar nicht den Spammern selbst, denn es ist nicht sehr schwer, die Absender-IP zu ermitteln. Weil die meisten mit Spam verbundenen Tätigkeiten illegal sind, wären die Spammer leicht zu identifizieren und juristisch zur Verantwortung zu ziehen. Deshalb verschleiern sie ihre Spuren zum Beispiel, indem sie die Werbe-Mails von den Rechnern argloser Anwender verschleudern. Solche sogenannten Zombie-Rechner wurden meist mithilfe einer Malware gekapert, die im Hintergrund schlummert, wenn der legale Besitzer im Internet surft. Der Spammer kann seine eingeschleuste Software dann zum Leben erwecken und für seine niederen Dienste einspannen.

Wurde ein Rechner als Spamschleuder identifiziert, trägt Projekt Honey Pot ihn in eine Liste ein. Administratoren müssen darüber hinaus seine Adresse in eine lokale Blacklist des Mailservers eintragen.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018