minpic01.jpg

Massen-EMail mit gefälschtem Absender

Flutopfer

Stephan Dresen

Der Inhalt der elektronischen Post ist immer derselbe: Werbung für ominöse Webseiten. Die Adresse im FROM-Feld ist gefälscht, die Quelle der EMails ein beliebiger Rechner, in den eingebrochen wurde. Seit einiger Zeit grassiert im Internet diese neue Abart des Spamming, des unerwünschten, massenhaften Zusendens von Werbung per EMail.

Unterthema: Schutzmaßnahmen
Unterthema: Juristisches - wer zahlt nach dem Spamming?
Unterthema: Das Problem der Großen

Das `neue' Spamming ärgert nicht nur den Empfänger der EMail, sondern stellt für Internet-Dienstleister eine echte Bedrohung dar. Während sich die großen Carrier und Access-Provider längst daran gewöhnt haben, daß sie und ihre Kunden unter Dauerbeschuß von elektronischer Werbung stehen, kann die Mailflut, die sich über den angeblichen Absender ergießt, dessen gesamtes Mailsystem lahmlegen und hohe Übertragungskosten verursachen. Sie hat die gleiche Wirkung wie eine Mailbombe.

Ein Beispiel aus der jüngsten Zeit, das für zahlreiche andere steht: Ein Spammer knackte den zentralen Gateway der Washington University in St. Louis (wustl.edu), die für ihr großes Softwarearchiv weltweit bekannt ist. Mit Bedacht wählen Spammer meist Ziele, unter deren enormen übertragenen Datenmengen ihre Sendungen nicht weiter auffallen, oder sie brechen bei großen Firmen ein, so daß sie ihrer Werbemail durch den renommierten Namen des versendenden Rechners einen bedeutenden Anstrich geben. Wohl aus diesem Grund traf es kürzlich einen großen Autohersteller.

Namen automatisch generiert

Bei wem auch immer der Hacker einbricht, auf seinem Zielrechner installiert er ein kleines SPAM-Programm, das automatisch EMails beispielsweise an AOL sendet. So auch der Spammer, der in St. Louis einbrach. Er benutzte ein SPAM-Programm, wie es in verschiedenen Ausführungen auf Warez-Seiten (Hackerforen) im Web bereitliegt, und paßte dieses nur noch seinen individuellen Bedürfnissen an. Um möglichst flächendeckend alle AOL-Teilnehmer zu erreichen, bediente er sich eines zweiten Werkzeugs aus dem WWW - eines Namengenerators. Der Spammer generierte mit Hilfe eines Namenwörterbuchs, eines Lexikons und zufälliger Buchstabenkombinationen automatisch potentiell richtige Mailadressen. Daß es über 98 Prozent der Namen bei AOL gar nicht gab, störte ihn nicht weiter. Er nahm die EMail-Lawine vielmehr billigend in Kauf, schließlich traf sie ja nicht seine Rechner.

Den Schaden haben Unbeteiligte

Innerhalb kurzer Zeit wurden so über 100 Millionen EMails generiert und erreichten AOL. Deren Mail-Gateway schickte die 98 Prozent mit `falscher' Adresse, wie im Internet üblich, als unzustellbar an den angeblichen Absender zurück - verlängert um eine Fehlermeldung. Als Absender der Massenmail gibt der Spammer natürlich nicht seine echte EMail-Adresse, sondern eine gefälschte an. So überrollt die Flut unzustellbarer Mails einen völlig unbeteiligten Dritten, dessen Adresse sich der Hacker irgendwo aus dem Internet besorgt oder schlichtweg auf Basis des Namens eines beliebigen Webservers ausgedacht hatte.

Dieser bekam neben Hunderten von EMails verärgerter AOL-Kunden, die sich über die ungewollte Werbung beschwerten, auf einen Schlag über 100 Millionen unzustellbarer Mails. Der dadurch völlig überlastete Mailserver konnte während dieser Zeit keine sinnvollen Nachrichten mehr empfangen, die Mailpartition lief über, in den Log-Files herrschte völliges Chaos. Außerdem wartet auf den Geschädigten eine enorme Rechnung seines Carrier, da die Mailflut natürlich Übertragungskosten erzeugte.

Einen absoluten Schutz gibt es gegen diese Angriffe nicht, doch durch entsprechende Konfigurationen am Mailserver ist es möglich, unerwünschte Mails schon am Anfang ihrer Übertragung abzuweisen oder die Kontaktaufnahme bestimmter Mailserver ganz zu unterbinden (siehe Kasten: Schutzmaßnahmen). So kann wenigstens das Schlimmste abgewendet werden. Auch wenn AOL oder vergleichbare Dienstleister gegen diese Art von SPAM-Angriffen wenig machen können (Kasten: `Das Problem der Großen', S. 107), sollten solche Attacken grundsatzlich an das DFN-CERT gemeldet werden (dfncert@cert.dfn.de). Immerhin läßt sich unter Umständen über den Rechner, bei dem eingebrochen wurde, der Urheber ermitteln und zur Rechenschaft ziehen. (JS)

STEPHAN DRESEN

ist Webmaster des dpunkt-Verlags (Hüthig) und Leiter online Medien bei der Wild-Projects GmbH, Mannheim.

Kasten 1


Schutzmaßnahmen

Abwehr ist die beste Verteidigung - das gilt auch, wenn der Server von SPAM-Mails überflutet wird. Bei gängigen Mailservern existiert grundsätzlich eine Möglichkeit, ankommende Mails sofort abzulehnen (to reject). Dabei gibt es drei Wege:

Diese dritte Methode funktioniert bei `gebounceten' SPAM-Mails meistens, da sich Hacker nicht die Mühe machen, eine wirklich vorhandene Adresse als gefälschten Absender anzugeben, sondern sich irgendeinen Namen innerhalb der ausgesuchten Domain ausdenken.

Zwar ist es möglich, mit diesen Methoden die Mailflut einzudämmen, ganz ohne Traffic und Rechnerbelastung geht es aber grundsätzlich nicht. Um das Ganze an einem Beispiel festzumachen: Der auf Linux- und Unix-Servern weit verbreitete Mail-Daemon exim (www.exim.org) kann den Envelope der eingehenden Mail bereits vor dem vollständigen Empfang analysieren und dabei Nachrichten bestimmter Absender ablehnen. Dazu ist in der Konfigurationsdatei unter TRANPORTS CONFIGURATION folgender Eintrag notwendig: sender_reject = "MAILER-DAEMON@[hostname]". Weitere abzulehnende Sender sind durch Doppelpunkte abzutrennen.

So werden sämtliche Mails des betreffenden Mailer-Daemon zurückgewiesen. Da leider immer mehr Provider dazu übergehen, vom System erzeugte Nachrichten ohne `Sender' zu verschicken, hilft das sender_reject nicht immer. So bleibt häufig nur die Möglichkeit, sämtliche Mails, die von einer bestimmten IP-Adresse kommen, zurückzuweisen. Dazu dient folgender Eintrag im config-File:

sender_host_reject = 
198.81.17.32:198.81.17.33:198.81.17.34:\
198.81.17.35:198.81.17.36:198.81.17.37:\
198.81.17.38:\198.81.17.39:198.81.17.40'
Zwar werden so nicht alle Mails (hier von AOL) abgewiesen, sondern nur die, die über diese Server kommen. Aber: Nicht nur SPAM-Mails, sondern auch die sinnvollen, vielleicht unternehmenswichtigen Nachrichten kommen nicht an.

Um Relaying, das generelle Weiterleiten der Mails, einzuschränken, muß beim exim folgender Eintrag in der config-Datei stehen:

relay_domains = "*.beispiel.de:192.168.0.0/255.255.255.0" 
Bei sendmail ist es unter Umstanden sogar nötig, das Programm ohne Relay-Funktionen zu kompilieren.

Eine weitere Möglichkeit wäre, die Mail durch einen Parser zu schicken und eventuellen SPAM, etwa festgestellt durch das Subject, zu verwerfen. Das wiederum belastet den Server stark, da dazu erst die gesamte Mail eingetroffen sein muß, und führt zu hohen Providerrechnungen.

Generell gibt es eine ganze Reihe kleiner Tricks, um SPAM-Mails einzuschränken. Am beliebtesten ist dabei die `realtime blocking list' (RBL). Für diese Liste gibt es einen zentralen Server (http://maps.vix.com/rbl/), der ständig aktuell möglichst alle Adressen von Rechnern enthält, von denen aus SPAM-Mails versendet werden. Die Liste funktioniert ähnlich wie die Robinson-Listen bei der Gelben Post. Um zu erfahren, ob eine Absender-IP die eines Spammer ist, muß der Server ein nslookup bei rbl.maps.vix.com machen.

Ein Beispiel: Die EMail kommt von 153.37.97.124. Die vier Ziffern der IP werden nun in ihrer Reihenfolge zu 124.97.37.153 umgedreht, und der Rechner startet ein DNS-Lookup von 124.97.37.153 auf den Domain-Server rbl.maps.vix.com.:

nslookup 124.97.37.153.rbl.maps.vix.com. 
Sollte die Anfrage erfolgreich sein, liefert der Server `Address: 127.0.0.2' zurück - die Mail kommt von einem Spammer. Um bei exim die RBL zu aktivieren, genügt folgender Eintrag:

rbl_domains = rbl.maps.vix.com:think.dpunkt.de 
Natürlich gibt es zahlreiche Möglichkeiten, diesen Mechanismus zu verbessern, so ist es unter anderem möglich, die gesamte DNS-Datenbank lokal zu spiegeln, aktuell zu halten und immer einen lokalen DNS-Lookup durchzuführen.

Bei SPAM-Mails ist die Absenderangabe meist gleich der Empfängerangabe oder der Empfänger im TO-Feld (der Empfänger im SMTP-Header `Envelope' ist natürlich korrekt, sonst käme die Mail nicht an) beziehungsweise Absender im FROM-Feld ist eine unsinnige Adresse. Diese Mails können mit einem Filteraufruf im config-File:

message_filter = "/usr/local/exim/system_filter" 
herausgefiltert werden. Die Filter-Datei dazu lautet:

# Exim filter
if $header_from is $header_to and
    $header_to does not contain `@beispiel.de'
  then
     fail
  endif
Diese Funktion sollte allerdings mit Vorbehalt benutzt werden, da auch häufig bei Mailinglisten im TO-Feld derselbe Text wie im FROM-Feld steht. Auch diese Mails kämen dann nicht mehr an.

Stephan Dresen, Thomas Dunne

Kasten 2


Juristisches - wer zahlt nach dem Spamming?

Wer für den Schaden durch einen Spammer-Angriff zahlt, ist eine rechtlich durchaus nicht triviale Frage. Grundsätzlich gibt es vier direkt und indirekt Beteiligte.

Zum einen ist das der Spammer selbst als direkter Verursacher. Er hat sich zunächst unberechtigt Zugang zu fremden Daten verschafft, ist widerrechtlich in einen anderen Rechner eingedrungen und hat diesen für seinen Mißbrauch manipuliert. Außerdem hat er durch die Übertragungskosten, die das Versenden der großen Mailmengen (IP-Traffic) erzeugte, bei seinem direkten Opfer und bei einem Dritten finanziellen Schaden verursacht. Strafrechtlich kommt damit ein ganzer Katalog an Straftatbeständen in Betracht: Angefangen bei Sachbeschädigung (§ 303 StGB) durch mögliche Funktionsstörung der betroffenen Anlagen bis hin zu spezielleren Normen des Strafgesetzbuches wie dem Ausspähen von Daten (§ 202 StGB), Datenveränderung (§ 303a StGB) oder Computersabotage (§ 303b StGB).

Außerdem hat der Spammer durch das Fälschen der Absenderadresse seine EMails unter dem Namen eines Dritten versendet. Da SPAM-Mails nicht nur sehr verrufen sind, sondern auch meist Werbung für zwielichtige oder pornographische Angebote zum Inhalt haben, hat er den Ruf seines Opfers geschädigt. Je nach verbreitetem Inhalt sind also die Normen der Beleidigung beziehungsweise üblen Nachrede (§§ 185 ff. StGB) und die der Verbreitung pornographischer Schriften (§ 184 StGB) betroffen.

Aus Sicht der Opfer sind vor allem mögliche Schadensersatzansprüche von Interesse, die allerdings nur im Zivilrecht zu finden sind. (§ 823 I BGB in bezug auf das verletzte Eigentum beziehungsweise die verletzte Persönlichkeit und § 823 II BGB in Verbindung mit den vollendeten Strafnormen.) Das Problem ist, daß der Spammer häufig nicht gefaßt werden oder er die horrenden Kosten für einen umfassenden Schadensersatz nicht aufbringen kann. Folge: das Opfer muß anderweitig nach einem Schadensausgleich suchen und sich an den wenden, für dessen Angebote der Spammer Werbung macht. Doch dazu müßte das Opfer dem Anbieter nachweisen, daß er selbst oder ein Dritter mit seinem Einverständnis oder in seinem Auftrag den Schaden verursacht hat (Erfüllungs- (§ 278 BGB) beziehungsweise Verrichtungsgehilfe (§ 831 BGB)). Allein die Tatsache, daß die Werbemail die Adresse des Anbieters enthält, reicht dazu allerdings nicht aus. Der Anbieter kann sich immer noch auf den Standpunkt stellen, er habe davon nichts gewußt und auch niemanden dazu ermutigt. Einen direkten und vor Gericht ausreichenden Nachweis zu bringen ist daher sehr schwer.

Blieben noch AOL und der Besitzer des Rechners, in den eingebrochen und von dem aus die Mails versendet wurden. Auch wenn die Mails, die den eigentlichen Schaden verursachen, direkt von AOL kommen, kann der Provider nur wenig gegen solche Angriffe (siehe Kasten unten) unternehmen. Außerdem würde ein Verfahren gegen AOL an die zehntausend Mark kosten und sich über einige Jahre erstrecken. Ähnliches gilt für den Besitzer des `gehackten' Rechners, der selbst bereits geschädigt wurde. Das Opfer hat also wenig rechtliche Möglichkeiten, bleibt in der Regel auf dem Schaden sitzen und kann sich nur damit trösten, daß es anderen ähnlich geht.

Stephan Dresen, Sven Buttner

Kasten 3


Das Problem der Großen

Sofort abschalten!' - so reagieren die meisten, wenn sie von einer SPAM-Mailflut überrollt werden. Doch auch wenn sämtliche EMails von einem getäuschten Mailserver an die Falschen `zurückgeschickt' werden, können die Mitarbeiter etwa von AOL Deutschland dagegen wenig machen. Zunächst müßten sie die Meldung an ihre Zentrale nach Amerika weiterleiten - allein das kostet so viel Zeit, daß der eigentliche Angriff bereits vorüber ist, ehe jemand eingreifen kann. Denn auch wenn beim Letzten in der Kette, dem Opfer, die Mails noch Tage später massenhaft eintreffen, der Hacker versendet seine SPAMs innerhalb weniger Stunden.

Ein weiteres Problem: Die großen Provider betreiben weltweit eine ganze Reihe von Mailservern. Es gibt also keinen zentralen Rechner, in dem der Provider schnell eintragen könnte, daß keine EMails mehr an das Opfer zurückgesendet werden sollen. Das unerwünschte Rücksenden müßte also in einer konzertieren Aktion weltweit gesperrt werden. Gleichzeitig kommt diese Art von Angriffen sehr häufig vor, so daß ständig die Mailserver umkonfiguriert werden müßten. Es ist somit ein Problem der Masse. Ein Mitarbeiter von AOL meinte dazu auf Anfrage, sie würden ständig von SPAM-Mails überschüttet. Da diese alle recht schnell hintereinander eintreffen, käme das Sperren viel zu spät; denn bis das Opfer von dem indirekten Angriff etwas mitbekommt und die Meldung über AOL weltweit weitergeleitet wäre, seien die Mails bereits alle unterwegs.