Lockstoff

Üblicherweise ist die auf der Webseite enthaltene E-Mail-Adresse vor menschlichen Besuchern versteckt. Auf diese Weise soll sichergestellt werden, dass nur automatisierte Harvester sie sammeln. Der Text für die Nutzungsbedingungen unterscheidet sich von Installation zu Installation, was die automatisierte Erkennung des Honeypots durch die Spammer erschwert. Jedes Mal, wenn ein Harvester auf den Honeypot trifft, wird eine neue Adresse erzeugt. So kann das Projekt Honey Pot den Harvester nicht nur über die E-Mail-Adresse identifizieren, sondern auch über den genauen Zeitpunkt des Abrufs.

Projekt Honey Pot lädt Unternehmen und andere Organisationen zum Mitmachen ein. Wegen der juristischen Bedeutung der Nutzungsvereinbarung schrecken manche Firmen davor zurück, einen Honeypot auf ihrer Website einzurichten. Außerdem legen die meisten Wert auf ein einheitliches Erscheinungsbild. Das stellt allerdings ein kleineres Problem dar, denn die Firma hinter Projekt Honey Pot arbeitet mit Firmen zusammen, um die Honeypots soweit möglich anzupassen.

Weitverbreitet ist die Angst, dass ein Honeypot die Menge an Spam in die Höhe treibt. Aber weil die auf der Website veröffentlichte E-Mail-Adresse unter der Kontrolle des Honeypot-Projekts steht, beschränkt sich aller Mail-Spam darauf. Einige Admins befürchten auch, dass der eigene Server auf den Blacklisten des Projekts landet. Das passiert typischerweise mit dynamischen IP-Adressen, wenn beispielsweise eine Zombie-Maschine Spam verschickt und später ein anderer Rechner deren IP-Adresse zugewiesen bekommt. Für solche Fälle bietet das Projekt Honey Pot eine Möglichkeit, sich selbst von einer Blacklist zu löschen. Gerät man jedoch wieder darauf, wird das Entfernen schwieriger. Schließlich sollen sich notorische Spammer nicht jedes Mal wieder selbst von einer Blacklist löschen können.

Um die Erfolgsquote von Honey Pot zu steigern, sind viele kleine Mailserver gefragt mitzumachen. Die Spammer kennen das Projekt mittlerweile und versuchen, Honeypot-Rechner zu identifizieren. Mehr Server bedeuten für die Spammer mehr Arbeit dafür, ein Muster zu erkennen und Honeypot-Rechner zu finden.

Man kann das Projekt auch unterstützen, indem man einen MX-Eintrag zur Verfügung stellt. Dazu tragen Sie einen MX-Eintrag in der DNS-Konfiguration einer eigenen Subdomain (zum Beispiel »mail2.domain.com« ) ein, der auf einen Mailserver von Honey Pot zeigt. Das Projekt empfängt dann alle E-Mails, die an eine Adresse in der entsprechenden Domain gehen ( »mailto:user@mail2.domain.com« ). Je mehr Hosts hierbei mitmachen, umso effizienter funktioniert auch die Spam-Erkennung.

Man soll allerdings keine Subdomains zur Verfügung stellen, die schon einmal Spam empfangen haben. Sonst wird es zu schwierig, zwischen Spam-Mails zu unterscheiden, die vom Honeypot stammen und solchen, die aus früheren Sammelaktionen stammen. Eine neue Subdomain anzulegen, ist normalerweise immer möglich. Außerdem sollte über diese Domain auch keine normale Mail empfangen worden sein. Honey Pot nimmt nämlich an, dass jede empfangene Mail Spam ist. Schickt jemand eine echte Mail an die Adresse, verkompliziert das die Analyse.

Wenn Sie sich dafür entscheiden, dem Projekt einen MX-Record zu spendieren, können Sie ihn als private oder public markieren. Ist er public, kann jeder Honeypot E-Mails an den vom MX-Record referenzierten Host senden. Anderenfalls schicken nur Honeypots vom gleichen Account – also Ihre eigenen – Mails an diesen Server. Sie können Honey Pot auch anweisen, E-Mail-Adressen nur innerhalb der Subdomain zu erzeugen, die Sie gespendet haben. Mehr Details zu diesen Zusammenhängen sind auf der Honey-Pot-Website zu finden.

Andere Dienste

Wie schon angedeutet betreibt das Projekt Honey Pot auch einen HTTP-Blacklist-Dienst (http:BL), über den die gesammelten Informationen für User verfügbar sind. Mit diesem Dienst können Sie eine DNS-Abfrage für einen bestimmten Rechner durchführen und http:BL sagt Ihnen dann, ob Sie diese Maschine besser blockieren oder Ihre Daten durchlassen. Die Details hierzu finden sich ebenfalls auf der Projekt-Website.

Das Projekt bietet außerdem verschiedene Statistiken und Listen, wie zum Beispiel die aktivsten Harvester und Spammer, die am häufigsten verwendeten Spam-Wörter und so weiter. Auch Statistiken über verschiedene Spam-Fallen sind verfügbar, genauso wie Berichte von überführten Spammern. Zwei Beispiele dazu: Die längste Zeitspanne zwischen dem Harvesten einer Adresse und dem Empfang der dazugehörigen Spam-Mail war über drei Jahre, die kürzeste dagegen nur eine Sekunde. Die Statistiken sind übersichtlich aufbereitet und in verschiedenen Ansichten konfigurierbar ( Abbildung 1 ). Die im Lauf der Zeit gesammelten Daten stellt das Projekt auch Entwicklern von Antispam-Software oder -Forschern zur Verfügung.

Abbildung 1: Im Webinterface des Projekt Honey Pot sind beispielsweise die IP-Adressen von Spam-Schleudern aufgelistet.