Spam - Prävention und Bekämpfung

Inhaltsverzeichnis

Abkürzungsverzeichnis

Tabellenverzeichnis

Abbildungsverzeichnis

1. Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Aufbau der Arbeit

2. Grundlagen zu Spam
2.1 Begriff
2.2 E-Mail-Spam-Kategorien
2.2.1 Unsolicited Bulk E-Mail
2.2.1.1 Kettenbriefe und Hoaxes
2.2.1.2 Scam
2.2.1.3 Phishing und Spearphishing
2.2.1.4 Malware
2.2.1.5 Joe Jobs
2.2.2 Unsolicited Commercial E-Mail
2.2.2.1 Betrügerischer Spam
2.2.2.2 Spammen für überteuerte Artikel
2.2.2.3 Job-Spam
2.2.3 Kollateraler Spam
2.3 Entwicklung von E-Mail-Spam
2.3.1 Quantitative Entwicklung
2.3.2 Entwicklung der E-Mail-Spam-Arten
2.3.3 Entwicklung themenspezifischer Kategorien
2.3.4 Regionalbezogene Entwicklung

3. Technik
3.1 Entstehung und Verbreitung von Spam
3.1.1 Gewinnung der Adressen
3.1.2 Open Relays
3.1.3 Open Proxies
3.1.4 „Zombie-PCs“ und „Botnetze“
3.1.5 Sonstige Verbreitungswege
3.2 Erkennungsprinzipien
3.2.1 Server- und clientseitige Bestimmung
3.2.2 Regelbasierte Erkennung
3.2.3 Dynamische Systeme - Bayes-Filter
3.2.4 Verteilte Erkennung
3.3 Maßnahmen zur Vermeidung von Spam
3.3.1 Protokollbasierte Verfahren
3.3.2 Whitelisting
3.3.3 Blacklists/ DNSBL
3.3.4 IP-Blacklisting mit Frequenzanalyse
3.3.5 Right Hand Side Blacklists
3.3.6 Greylisting
3.3.7 URIDNSBL
3.3.8 Filter
3.3.8.1 Heuristische Filter
3.3.8.2 Bildfilter
3.3.9 Robinsonlisten
3.3.10 Challenge-Response-Verfahren
3.3.11 Kooperierende Maßnahmen
3.4 Vorbeugung: Tarnen der E-Mail-Adressen

4. Rechtliche Situation
4.1 Parameter für eine Anti-Spam-Gesetzgebung
4.2 Rechtslage in der EU
4.3 Rechtslage in Deutschland
4.4 Rechtslage in den USA
4.5 Rechtslage in sonstigen Ländern
4.6 Rechtliche Möglichkeiten gegen Spam
4.6.1 Einsetzbares Recht
4.6.2 Art der Ansprüche
4.6.3 Anspruchsgegner
4.7 Kritische Betrachtung der spambetreffenden Gesetze in Anbetracht der Statistiken
4.7.1 Effekte des CAN-SPAM Acts und uneindeutige Statistiken
4.7.2 Trends und Verlagerungen
4.7.3 Was wird benötigt?

5. Ökonomische Aspekte
5.1 Kostenfaktoren für E-Mail-Spam
5.2 Internationale Kostenbetrachtung
5.3 Spamkosten in Organisationen
5.3.1 Spamkosten in Unternehmen
5.3.2 Spamkosten an einer Universität
5.3.3 Spamkosten bei Internet Service Providern
5.4 Verluste der Anwender durch besondere E-Mail-Spam-Formen
5.4.1 Spamkosten durch „419er Spam“
5.4.2 Kosten durch Aktien-Spam
5.5 Der Profit der Spammer
5.6 E-Mail-Spam-Kostenberechnung: Ein Praxisbeispiel
5.6.1 Unternehmensübersicht
5.6.2 Allgemeine Angaben
5.6.3 Kostenblöcke
5.6.4 Ergebnisse und Diskussion

6 Fazit und Ausblick

7 Anhang

Literaturverzeichnis

Rechtsquellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Tabellenverzeichnis

1 Länderspezifische Anti-Spam Gesetze

2 Verschiedene Marketing Medien

3 E-Mail-Anwender in der HADEF GmbH

4 Kosten der serverbasierten Antispam-Technologie

5 Firewall: Zugestellte und geblockte E-Mails

6 Allgemeine Angaben zu HADEF

7 Kostenblöcke durch E-Mail-Spam bei HADEF

Abbildungsverzeichnis

1 Angestiegener Spamanteil

2 E-Mail-Spam-Themen

3 Herkunft von E-Mail-Spam 2007 - 2008

4 Nationale Herkunft von E-Mail-Spam am 13./ 14. Sept. 2008

5 Zentralisierte Topologie (l.) und dezentralisierte Topologie (r.)

6 Begriffsdatenbank für den Filter

7 Beispiel einer SMTP-Kommunikation mit Greylisting

8 Serielle Modularisierung von Filterverfahren

9 Tarnverfahren-Ergebnisse eines neunmonatigen Feldversuchs

10 Parameter für Antispam-Gesetze

11 E-Mail-Spam-Herkunft im internationalen Vergleich: 2004 - 2007

12 Spam-Kosten/ Mailbox 2005

13 Spam-Kostenanteil/ Einwohner 2005

14 Spam-Kostenanteil am Bruttonationaleinkommen 2005

15 Unternehmen mit typischen Spamkosten

16 Unternehmen mit hohen Spamkosten

17 Unternehmen mit geringen Spamkosten

18 Kostenverteilung für die Anti-Spam-Maßnahmen bei HADEF

1 Einleitung

1.1 Problemstellung

E-Mail-Spam wird in den letzten Jahren zunehmend zu einem Problem für die Be-nutzer, die Administratoren und die Betreiber der Mailserver.

Das Spam-Phänomen entwickelt sich von weltweit ursprünglich 600 Spam-E-Mails 1978^[1] bis ca. 100 Mrd. Spam-E-Mails/ Tag im Juni 2007 ^[2]. Seit 2005 steigt die Spammenge um 5000 % ^[3]. Die Spam-E-Mail-Menge nimmt anteilsmäßig zur Gesamt-E-Mail-Menge von 2001 mit 5 % auf 90-95 % für 2007 zu^[4]. Der E-Mail-Sicherheitsdienstleister „Antispameurope“ ermittelt eine E-Mail-Spam-Quote von über 99 % für die eingegangenen E-Mails seiner Kunden im Mai 2008 ^[5]. Die E-Mail-Spam-Versendung über ferngesteuerte „ZombiePCs“, Windows-PCs, die über einen Trojaner oder Wurm mit „Backdoorkomponenten“ infiziert werden und in Botnetzwerken zusammengeschlossen auftreten, sind nach Studien die Ursache für 80 % des E-Mail-Spam-Aufkommens^[6]. Anderen Untersuchungen zufolge sind sie der Grund für 60 %^[7] des E-Mail-Spam. So können mit 300.000 Zombie-PCs täglich 60 Mrd. Spam-E-Mails aus dem Botnetzwerk „Srizbi“ versendet werden^[8].

1.2 Zielsetzung

Ausgehend von der Entwicklung des Spam-Phänomens werden die Techniken des Spammens, Erkennungskonzepte und Maßnahmen zur Vermeidung von Spam-E-Mails erläutert. Ziel dieser Arbeit ist es, insbesondere die national unterschiedlich rechtliche Situation für das Spamming darzustellen. Darüber hinaus sollen die öko-nomischen Aspekte für die Prozessbeteiligten, für den Spammer, die Unternehmen oder die Administratoren aufgezeigt werden.

1.3 Aufbau der Arbeit

Nach der Darstellung der Grundlagen werden die technischen Zusammenhänge so-wohl für den Prozess des Spammens als auch für den der Prävention beschrieben. Daraufhin wird die rechtliche Situation in den Ländern, die maßgeblich am Spam-ming beteiligt sind, dargestellt. Ein weiteres Kapitel zeigt die ökonomischen Aspekte des Spamming. Mit einem Fazit und Ausblick schließt diese Arbeit ab.

2 Grundlagen zu Spam 2.1 Begriff

Definition Wird der Begriff Spam auf E-Mail angewandt, so wird er im Engli-schen UBE (Unsolicited Bulk E-Mail) genannt. Im Deutschen wiederum heißt die-ser Ausdruck „Unverlangte Massen E-Mail“. „Massen“ heißt es, da die E-Mail mit vielen anderen E-Mails und inhaltlich mit identischem Inhalt verschickt wird. Beide Aspekte müssen gemeinsam beim Spam zutreffen: „unverlangt“ und „in Massen“. Aus technischer Sicht wird eine E-Mail als Spam bezeichnet, wenn die Identität des Emp-fängers und der Zusammenhang unbedeutend ist, da die Nachricht auf viele andere Empfänger zutrifft. Darüber hinaus hat der Empfänger kein nachweisliches, expli-zites und widerrufbares Einverständnis abgegeben, die Nachricht zu erhalten^[9]. Eine Spam-E-Mail kann auch in ihrer Anrede personalisiert sein; dabei wird jedoch nie auf die individuellen Umstände des Adressaten eingegangen^[10]. Erwünschte E-Mails werden im Vergleich zu Spam auch als Ham definiert.

Hinsichtlich des Inhalts einer Spam-E-Mail, die klassische Kennzeichen haben kann, zeigt sich mitunter das subjektive Empfinden des Empfängers, da Spam z.T. sehr persönlich formuliert sein kann und deshalb für den einen Empfänger Ham und für den anderen Spam darstellt^[11].

Im juristischen Sinne ist die Definition für Spam-E-Mail bzgl. des Kontextes etwas eingeschränkter formuliert. Hier heißt es:^[12]

- „Werbender Inhalt mit kommerziellem Hintergrund. Nichtkommerzielle E-Mails für karitative Zwecke sind in der Regel zulässig“;
- „Unverlangte Zusendung: Keine vorherige Anforderung von Informationen durch den Empfänger“;
- „Kein bereits bestehender geschäftlicher Kontakt zwischen Versender und Empfänger“.

Demnach bezieht sich die Gesetzgebung mit wenigen Abweichungen nur auf kom-merzielle Inhalte^[13].

Entstehung Der amerikanische Lebensmittelhersteller Hormel Foods bietet u.a. ein Konservenfleischprodukt an, das gewürztes Schweinefleisch und Schinken, also

„Spiced Pork and Ham“ enthält, in der Kurzform: SPAM; der Name hierfür entsteht 1936.

Die Bedeutung, die Spam heutzutage für die E-Mail-Benutzer hat, erlangt SPAM in einem Sketch einer englischen Comedy-Gruppe: Ein Ehepaar bestellt bei einem Kell­ner, der nur SPAM-Produkte anbietet. Jedesmal, wenn das Wort SPAM fällt, ertönt ein Wikinger Chor mit dem lauten Gesang im Hintergrund: „Spam, spam, spam, spam, lovely spam, wonderful spam.“ Dadurch wird jede Unterhaltung unmöglich. Später wird der Begriff Spam in Newsgroups auf das mehrmalige Online-Setzen des gleichen Beitrags übertragen; dieses wiederholte Einstellen wird Spamming genannt. Im Folgenden werden die Begriffe Spam und Spamming auf den E-Mail-Verkehr ausgeweitet^[14].

2.2 E-Mail-Spam-Kategorien

Neben E-Mail-Spam existiert u.a. noch Mobile Spam, eine Art von Spam, bei der ungebetene Angebote für kommerzielle Produkte über SMS (Short Message Service) oder MMS (Multimedia Messaging Service) verschickt werden. Mobile Spam ist im Verhältnis zu E-Mail-Spam ein Problem geringeren Umfangs, da das kommerzielle-und Dienstleistungsumfeld für handyspezifische Dienstleistungen prinzipiell resisten-ter gegenüber Spam ist, z.B. über Spammelde-Serviceprogramme für Kunden^[15]. Wei-tere Spamformen stellen Voice over IP Spam bzw. SPIT (Spam over Internet Tele­phony), Suchmaschinen-Spam, Blog-Spam^[16] und SPIM (Spam over Instant Messa­ging) dar; auch massenhaft verschickte Faxe sind eine Form des Spammens^[17].

Im Folgenden werden die E-Mail-Spam-Kategorien betrachtet:

2.2.1 Unsolicited Bulk E-Mail

Die Merkmale einer UBE sind „Unerwünschtheit“ und „massenhafter Versand“^[18]. UBE und Spam werden im allgemeinen synonym verwandt, obwohl Spam eine wei-terreichende Bedeutung hat. Spam kommt ursprünglich im „Usenet News“ vor. Dort können E-Mails nicht angefordert oder abgelehnt werden, obwohl es einige News­groups explizit als Teil der Gruppencharta erlauben. Die erste Version des Berichts des Internet Mail Consortium von 1997 enthält noch den Begriff UCE (Unsolicited Commercial E-Mail), weil in den USA, in der zu jener Zeit die zentrale Diskussion über Spam entsteht, zwar kommerzielle Kommunikation gesetzlich geregelt werden kann, nicht aber politische oder religiöse. Als jedoch der internationale Umfang des Problems deutlich wird, wird die Terminologie in dem Bericht von UCE auf UBE geändert. Die begrenzten Möglichkeiten, Spam zu kontrollieren, was z.B. die Not-wendigkeit von verschiedenen Gesetzen für politische UBE und kommerzielle UCE verdeutlicht, reflektieren regionale/ nationale Gegebenheiten^[19].

Bei der Betrachtung von UBE wird oft das „Social Engineering“ angeführt.

Social Engineering wird allgemein als eine Betrugs- und Manipulationsmethode de-finiert, mit der private Informationen anderer Menschen erlangt werden können^[20]. Es gibt diverse Arten des Social Engineering:^[21]

- Betrügerische Mails;
- Phishing;
- Spearphishing.

2.2.1.1 Kettenbriefe und Hoaxes In Kettenbriefen in Form einer E-Mail wer-den Empfänger aufgefordert, die Mitteilung an viele Bekannte weiterzuleiten. Den Empfänger würden als Belohnung Glück in diversen Lebenssituationen und Pech bei Nichtweiterleitung erwarten^[22].

Hoax ist die englische Bezeichnung für „Schabernack“^[23]. Dies sind Kettenbriefe bzw. -mails, die als Falschmeldungen vor neuen Gefahren wie Viren im Internet warnen oder auch Petitionen z.B. für eine Knochenmarkspende für einen Leukämiekranken enthalten^[24]. Die Folgen von letztgenannten Hoaxes können unzählige Anrufe bei dem Betroffenen sein, dessen Kontaktdaten in der E-Mail genannt sind und der oft nichts von seiner Krankheit weiß.

2.2.1.2 Scam In Scam-Mails, insbesondere den 419er-Spam-E-Mails, die auch Nigeria-Spam genannt werden, nutzt der Spammer die Leichtgläubigkeit der Op-fer in Verbindung mit der Gier nach schnellem Reichtum aus^[25]. Dabei wird dem E-Mail-Empfänger eine Geschichte beschrieben, die von Bankgeschäften, Toten oh-ne Erben, Lottogewinnen u.a. handelt. Das Prinzip ist immer, dass eine finanzielle Hilfe benötigt wird, um die großen beschriebenen Beträge transferieren zu können und dem Opfer die hohen zugesagten Gelder auszahlen zu können. Folgt ein Opfer den Anweisungen in den E-Mails, wird er schrittweise betrogen. Dabei müssen z.B. immer wieder erfundene Rechnungen beglichen werden^[26].

Wird das Geld vom Opfer bezahlt, ist das Geld verloren, und der betrügende Ge-schäftspartner mit den hohen zugesagten Prämien ist nicht mehr erreichbar^[27]. Der Nigeria-Spam stammt ursprünglich aus Nigeria, wo der oben beschriebene „Vor-ausbetrug“ nach dem 419er Paragraphen strafbar ist^[28]. Nach den Statistiken der Firma Ultrascan, die das Phänomen des Nigeria-Spam seit 1996 untersucht, gibt es 2007 weltweit 300.000 Betrüger in 70 Ländern. Dies sind 3 % mehr als 2006. 250.000 Spammer stammen dabei aus Nigeria^[29].

2.2.1.3 Phishing und Spearphishing Mit Phishing E-Mails werden Internet-benutzer auf präparierte Webseiten geführt, auf denen vertrauliche Zugangsinforma-tionen wie Zugangsdaten für das Online-Banking abgefragt werden, die die Spammer abfangen und nutzen, um Geld von dem Bankkonto des Opfers auf ein Konto ihrer Geldkuriere zu transferieren^[30].

Die präparierten Webseiten imitieren die Webseiten der Geschäftspartner der Opfer. Es sind meistens Banken, etwas seltener das Auktionshaus „Ebay“ und elektronische Versandhäuser^[31].

Das „PH“ in dem Begriff Phishing hat seinen Ursprung im „Phreakerkreis“, in dem „Telekommunikations-Hacker“ mit „Tonfrequenz-Hacks“ bzw. „Blue Boxing“ Aufse-hen im amerikanischen Telefonnetz „Ma Bell“ zwischen dem Jahr 1960 und 1990 erregen. Die Ähnlichkeit zum Phishing besteht darin, dass Phreaken grundsätzlich eine Irreführung des Operators ist^[32].

Spearphishing meint, dass eine persönlich scheinende Spam-E-Mail an einen konkre-ten Adressatenkreis, z.B. Angestellte eines Unternehmens geschickt wird. In dieser E-Mail zeigt sich der Spammer beispielsweise als IT-Leiter, der Kennwörter abfragt oder den empfangenden PCs Malware wie Trojaner oder einen Virus übermittelt^[33].

2.2.1.4 Malware Malware (Malicious Software) ist im allgemeinen eine Soft­ware, die in einem Informationssystem installiert wird, um dort oder auf anderen Systemen Schaden zu verursachen oder den Nutzen der Systeme anders auszurich-ten als es der Besitzer beabsichtigt^[34]. Dabei definiert die OECD (Organisation for Economic Co-operation and Development)^[35] 1992 in ihren „Richtlinien für die Sicher-heit von Informationssystemen“ ein Informationssystem als Computer, Kommunika-tionsmittel, Computer- und Kommunikationsnetzwerke, Daten und Informationen, die gelagert, verarbeitet, abgefragt oder übertragen werden können, einschließlich Programme, Spezifikationen und Verfahren für ihre Prozesse, ihr Nutzen und Erhal-tung^[36].

Viele Typen von Malware, wie Viren oder Trojaner erfordern vom Internetbenutzer eine interaktive Handlung, z.B. das Klicken eines Links in einer E-Mail oder das Öffnen einer Anlage, damit sich diese installiert.

Mit Social Engineering, dem derartigen Verfälschen einer E-Mail, dass diese wie eine E-Mail eines rechtmäßigen Unternehmens erscheint, und dem anschließenden Verschicken, kann erreicht werden, dass der E-Mail-Empfänger einen schädlichen Link klickt oder Malware herunterlädt^[37].

Über Malware kann ein Fernzugriff auf ein Informationssystem erlangt werden, wo-bei Daten dort gespeichert und von diesem System zu einem dritten System gesendet werden können. Dabei weiß der Systembenutzer nicht, dass sein System angegriffen wird oder die System- und Datenintegrität beeinträchtigt werden und Sicherheits-einstellungen deaktiviert werden^[38].

Mit Malware können so Vertraulichkeit, Integrität und Verfügbarkeit eines Informa-tionssystems und Netzwerke unterwandert werden^[39].

Es werden die folgenden Malwareformen unterschieden: „Virus“, „Würmer“, „Trojani-sche Pferde“, „Hintertüren“ („Backdoors“), „Tasten-Rekorder“ („Keystroke Loggers“), „Administratorenbausätze“ („Rootkits“) und „Spionageprogramme“ („Spyware“).

2.2.1.5 Joe Jobs Spammer machen es sich insbesondere zu Nutze, dass E-Mails von einem anderen Absender gesendet werden können. Auf diese Weise können sie E-Mails im Namen von Firmen verschicken, so dass sich die Empfänger von den unwissenden Firmen belästigt fühlen und eventuell gegen diese oder ihre Provider etwas unternehmen^[40].

Der Name stammt von einem bekannt gewordenen Ereignis aus dem März 1997, als Joe Doll, ein Betreiber eines Portals für kostenlose Webseiten, einen Spammer aus seinem System entfernt. Dieser Spammer fälscht E-Mails an andere Nutzer, so dass diese sich mit Beschwerden in Form von E-Mail, Anpingen und anderen Angriffen an joes.com rächen und sein System für zehn Tage funktionsunfähig machen^[41]. Letztere Art der Sabotage wird auch als DDoS attack (Distributed Denial-of-Service attack) bezeichnet^[42].

2.2.2 Unsolicited Commercial E-Mail

E-Mails mit kommerziellen Inhalten, die unverlangt oder von einem vorliegenden Geschäftsverhältnis unberührt verschickt werden, werden UCE genannt^[43]. UCEs werden meist von Spammern geschickt, die Provisionen von den Werbefirmen be-kommen^[44]. Folgende Formen der UCE lassen sich unterscheiden:

2.2.2.1 Betrügerischer Spam Aktien- bzw. Börsen-Spam kann zum einen als Scam und zum anderen auch als eine Form des Betrugs betrachtet werden, da der Spammer den Aktienkurs durch wahrscheinliche Zukäufe der Spamopfer, aufgrund von gefälschten positiv formulierten Meldungen für die vor dem Konkurs stehenden Unternehmen, in die Höhe treiben möchte, nachdem er zuvor die Aktien gekauft hat. Steigt der Aktienwert bis zum Limit des Spammers, so verkauft er die Aktien mit Ge-winn^[45]. Dabei handeln die Spammer besonders „Pennystocks“, da der Markteinfluss eines Kaufs durch einen Individualanleger bei einer geringen Liquidiät besonders hoch ist. Dies zeigen auch Tests einer Studie der Universitäten Dresden und Mann­heim im April 2006, bei der die Marktaktivität für Pennystocks gemessen wird - zum einen für Spam beworbene Aktien und zum anderen für nicht beworbene^[46].

2.2.2.2 Spammen für überteuerte Artikel Bei dieser Form von E-Mail-Spam wird für diverse Artikel wie z.B. Warnwesten im Zusammen-hang mit einer 2004 eingeführten verkehrstechnischen Richtlinie oder Medikamente, die nicht frei verkäuflich sind oder noch nicht zugelassen sind, geworben. Dabei sind die Preise im Vergleich zu Marktpreisen sehr überhöht. Eine weitere genutzte Kategorie stellt Software dar, wobei entweder veraltete Versionen zu Marktprei-sen der neuen Versionen oder Raubkopien zu etwas geringeren Preisen als die Originalversion, aber als solche, beworben werden^[47].

2.2.2.3 Job-Spam Ziel des Spammers ist es, über den neuen zu werbenden „An-gestellten“ einen Geldempfänger bzw. Mittelsmann für Scheinbestellungen zu haben, der dann das Geld vom vermeintlichen Spamopfer auf ein Firmenkonto überweist. Hierbei fällt für den Mittelsmann eine Provision an. Dafür werden in E-Mails Stel-lenanzeigen versendet. Die Stellenbeschreibungen liegen oftmals völlig unter den üblichen Anforderungen für diesen Typ von Stelle. So wird beispielsweise für den „Financial Manager Europe“ nur die Möglichkeit zum Online Banking erwartet^[48]. Der jeweilige Bewerber macht sich bei seiner Tätigkeit für den Spammer der Beihilfe zum Computerbetrug schuldig und ist schadenersatzpflichtig^[49].

2.2.3 Kollateraler Spam

Kollaterale E-Mails sind Spam-E-Mails, die als Antwort auf entgegengenommene E-Mails erstellt und an eine außenstehende dritte Partei geschickt werden. Haupt-ursache für kollateralen Spam sind Malware- oder Spam-E-Mails mit manipulierten Absenderadressen. Über die folgenden drei Vorgehensweisen kann es zu dieser Form von Spam kommen:^[50],^[51]

1. Die gefälschte Absenderadresse des vermeintlichen Dritten in der E-Mail, führt bei nicht existierender Empfängeradresse je nach Konfiguration des Servers zur E-Mail-Annahme durch selbigen und dann zum Senden der „Unzustellbarkeits-nachricht“ an den Dritten.
2. Neben der automatischen Erzeugung der E-Mail-Antworten durch den MTA (Mail Transfer Agent) können Antworten auch einzeln und individuell gezielt von den Empfängern erzeugt werden, die sich der gefälschten Absender-adresse, beispielsweise beim Verschicken ihrer Beschwerde-E-Mails, unbewusst sind.
3. Abwesendheitsnachrichten als „Autoresponder“ können auch häufig zu kolla-teralen Spam führen.

2.3 Entwicklung von E-Mail-Spam

2.3.1 Quantitative Entwicklung

Bei einer Gesamtbetrachtung des E-Mail-Verkehrs hat der Anteil von Spam-E-Mails in den letzten Jahren überproportional steigend zugenommen. Vgl. Abbildung 1. Dabei ist es kaum möglich, allgemein gültige und konkrete Aussagen über den An-teil von Spam-E-Mails zu machen, da die Statistiken einzelner Dienstleister wie z.B. MessageLabs oder Barracuda Networks auf jeweils unterschiedlichen Daten basie-ren^[52]. Barracuda Networks verzeichnet bei seinen Messungen von täglich über einer Mrd. E-Mails seiner Kunden einen Anteil von Spam-E-Mails, der von 2001 mit 5 % auf 90-95 % für 2007 gestiegen ist^[53].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Angestiegener Spamanteil^[54]

Der Anti-Spam und Anti-Virus Dienstleister MessageLabs kann mit seinen Messun-gen den Spamtrend von Barracuda Networks bestätigen. Für 2007 liegen sie unter den Ergebnissen von Barracuda Networks. So ermittelt MessageLabs für 2006 ca. 86,2 % und für 2007 eine Rate 84,6 %^[55]. Im Mai 2008 liegt der Wert bei 82,2 %. Die Statistiken basieren auf der täglichen Überprüfung von 2,5 Mrd. E-Mail Verbindun-gen und 1 Mrd. Webseitenaufrufe seiner 18.000 Kunden in 86 Ländern^[56].

Das Kontrollieren von über ca. 95 Mio. E-Mails stündlich von Barracuda Networks ergibt für die letzten 24 Std. des 3. Sept. 2008 ohne die Berücksichtigung der ge- blockten vireninfizierten E-Mails eine Durchschnitt-Spam-E-Mail-Rate von 91,99 % und zeigen deutlich das Anhalten des Trends^[57].

Der steigende E-Mail-Spam-Anteil lässt sich auf die neue Vorgehensweise der Spam-mer zurückführen^[58] (s.u.). Dies zeigt sich auch in der Zunahme der Spam-E-Mails neuerer Art. Diese sind von 63,4 % 2006 auf 73,9 % 2007 angestiegen^[59].

2.3.2 Entwicklung der E-Mail-Spam-Arten

Seit 2005 setzen Spammer aufgrund leistungsfähigerer Spamfilter vermehrt Bilder statt Text in ihren E-Mails ein^[60]. Diese Spamform beobachtet auch MessageLabs 2007, als der Spam-E-Mail-Anteil mit Bild als Anlage bei bis zu 20 % liegt. Der Sicherheitssoftwareanbieter Symantec schätzt in seinem monatlichen Bericht „The State of Spam“ einen Spitzenwert von 52 % für „Bildanlagen-Spam“ für An-fang 2007, der bis zur Mitte 2007 auf 8 % zu Gunsten von „pdf-Anlagen-Spam“ zurückgeht^[61]. Diese Berichte umfassen die Daten eines monatlichen Zeitraumes, der am 25. des jeweiligen Monats vor der Berichtserscheinung endet^[62].

Im Juni 2007 erkennt MessageLabs die ersten Spam-E-Mails mit pdf-Anlagen. Im Oktober folgen Spam-E-Mails mit mp3-Anlagen, die Werbebotschaften enthalten^[63]. Im Mai 2008 entdeckt MessageLabs Links in Spam-E-Mails, die auf Dokumente im doc-Format auf der Google-Plattform verweisen. So nutzen Spammer zum einen Google, um die E-Mails mit den Google-Links an den traditionellen Spamfiltern vorbeizusenden und zum anderen können sie ihren Erfolg über Google Analytics messen. Ähnlich verfahren Spammer bei SkyDrive, dem Onlinedateispeicher Micro-softs, auf dem HTML-Dokumente mit Links per Weiterleitung zu den Webseiten der Spammer platziert werden^[64].

2.3.3 Entwicklung themenspezifischer Kategorien

Symantec differenziert in seinen monatlichen Spamberichten zwischen den folgenden Themen:

- Waren (Products): Z.B. Geräte, Ermittlungsdienste, Kleidung oder Makeup;
- Artikel und Dienstleistungen für Erwachsene über 18 Jahre (Adult): z.B. Pornographie oder Beziehungsratgeber;
- Angebote im Finanzenbereich, Aktienmarkt (Financial): z.B. Anlagengüter, Darlehen oder Grundbesitz;
- Betrügerische E-Mails (Scam): Absichtlich irreführende E-Mails oder für be-trügerische Handlungen seitens des Senders bekannte E-Mails, z.B. Nigeria-Anlagen;
- Gesundheit (Health): Werbung für gesundheitsbezogene Produkte und Dienst-leistungen, z.B. Medikamente oder Kräuterheilmittel;
- Täuschung/ Betrug (Fraud), z.B. Phishing zur Bankkontobenachrichtigung;
- Freizeit (Leisure), z.B. Urlaubsangebote, Online Casino oder Spiele;
- Internetbezogene Angebote wie z.B. Webhosting, Webdesign oder Spamware.

In Symantecs Berichten „The State of Spam“, die nach Auskunft von Dermot Har­nett, Antispamexperte bei Symantec, auf der Auswertung ihres Testnetzwerkes mit zwei Millionen E-Mail-Accounts weltweit beruhen^[65], zeigt sich, dass sich die The-menschwerpunkte der Spam-E-Mails in den letzten beiden Jahren etwas verschieben (Vgl. Abbildung 2). Von 2007 zu 2008 hat sich der thematische Schwerpunkt bei den Spam-E-Mails in den Monaten Juni bis August von dem Waren- (28 %) auf den Internet- (27 %), Gesundheit- (17 %) und Finanzbereich (17 %) verlagert.

2.3.4 Regionalbezogene Entwicklung

Nach Symantecs Statistiken stammen 2008 ein Drittel aller Spam-E-Mails für den Zeitraum Juni bis August aus den USA. Tendenziell ist der Spamanteil in Europa, Australien, Ozeanien und Afrika um jene 10 % gestiegen, die die USA von 2007 zu 2008 verloren haben. Vgl. Abbildung 3.

Abbildung in dieser Leseprobe nicht enthalten^[66]

Abbildung 3: Herkunft von E-Mail-Spam 2007 - 2008 ^[67]

Abbildung 4 zeigt, dass E-Mail-Spam, national betrachtet, weiterhin vorwiegend von den USA ausgeht. Die Daten für dieses Diagramm entstammen den Messungen Barracuda Networks über 24 Stunden vom 13.09. auf den 14.09.2008. Als „Moment-aufnahme“ zeigen sie deutlich die regionale Konzentration in den USA.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Nationale Herkunft von E-Mail-Spam am 13./14. Sept. 2008 ^[68]

3 Technik

3.1 Entstehung und Verbreitung von Spam

3.1.1 Gewinnung der Adressen

Spammer gelangen über unterschiedliche Wege an die E-Mail-Adressen:

- „Harvester“-Programme, im Folgenden als Harvester bezeichnet, werden ge-nutzt, um Adressen auf Internetseiten, in Newsgroups oder in Chatbereichen zu sammeln^[69].
- Der Spammer kann Adressen aus E-Mail-Programmen des Opfers bei virenin-fizierten Systemen verwenden^[70].
- Oft werden Adresssammlungen aus rechtlich korrekt erhobenen Datenbestän-den gesetzwidrig weitervermittelt und zum Spammen missbraucht^[71].
- E-Mail-Adressen werden mit Hilfe von Wörterbüchern oder Vornamen erzeugt. Eine andere Methode besteht in „brute force attacks“, wobei jede denkbare Zeichenfolge als E-Mail-Adresse genutzt wird. Die erstellten Adressen werden an Mailservern auf Funktionstüchtigkeit getestet^[72].

3.1.2 Open Relays

Verbreitungswege für E-Mail-Spam sind „Open Relays“. Dieses sind Mailserver, die aus jeder Domain E-Mails in andere senden können. Der Vorteil besteht darin, dass vom Absender ein Mailserver einer fremden Domain für den Versand gewählt werden kann, wenn der eigene nicht erreichbar ist. Während dieses Konzept noch bis in die 1990er Jahre genutzt wird, sind die „Open Relays“ inzwischen aufgrund der Missbrauchgefahr kaum noch im Einsatz. Durch eine falsche Serverkonfiguration können sie sich dennoch ergeben^[73].

3.1.3 Open Proxies

Über inkorrekt eingestellte Proxies, die von außerhalb des eigenen Netzwerkes er-reicht und verwendet werden können, kann Spam verbreitet werden. Dabei werden die „Received from“ Informationen hinsichtlich der Spamquelle nicht übermittelt.

Auf diese Art können Spam-E-Mails über mehrere Proxies hintereinander verschickt werden. Somit kann eine Recherche der E-Mail-Herkunft erschwert werden^[74].

3.1.4 „Zombie-PCs“ und „Botnetze“

Nach Schätzungen von Kaspersky Labs gelangen 80 % aller Spam-E-Mails über „Zombie-PCs“ aus Botnetzen in Umlauf. Ein Botnetz besteht aus PCs, die sich in einem Netzwerk befinden und die mit einem schädigenden Programm der Art „Backdoor“ befallen sind. Letztere werden auch „Bots“ genannt. Die Botnetzbetrei-ber können die PCs über den Bot von jedem Ort aus der Ferne administrieren. Die Bots, und damit auch die PCs werden entweder direkt oder indirekt gesteuert. Bei der ersten Variante werden die Bots mit Befehlen von der Administrationszentrale des Straftäters angesprochen; bei der indirekten Steuerung benachrichtigen die Bots die Administrationszentrale oder andere Bots und empfangen daraufhin ihre Befehle. Da die PC-Inhaber im allgemeinen nichts von der Fernsteuerung wissen, werden die-se Computer auch „Zombie-PCs“ genannt. Botnetze dienen Internet-Straftätern zu DDoS oder Spam-E-Mail Sendungen. Dabei vermieten Botnetzbetreiber ihre Netze auch an Spammer. Spammer schätzen Botnetze insbesondere, da sie die E-Mail-Adressbücher der Zombie-PC-Benutzer für ihre eigenen „E-Mail-Spam-Kampagnen“ missbrauchen können. Ein weiterer Grund liegt in der Tatsache, dass die Spam-E-Mails nicht aktiv von einem Server versendet werden, dessen Adresse sich meistens mittelfristig auf den Blacklists der Mailserver befinden wird und geblockt wird, son-dern von mehreren hundertausend Computern; somit kann das Listen auf Blacklists und Blocken teilweise verhindert werden^[75].

Botnetze können sowohl nach ihrer Netzwerk-Architektur bzw. -Topologie als auch nach dem genutzten Netzwerkprotokoll zur Kommunikation unterschieden werden:

Architekturtypen für Botnetze

Zentralisierte Topologie^[76]:

Ein zentrales Administrationssystem ist mit jedem Zombie-PC im Netzwerk verbun-den. Neue Bots werden in eine Datenbank der Steuerungszentrale aufgenommen; zudem wird ihr Status beobachtet. Des Weiteren erhalten sie vom Botnetzbetreiber Befehle. Der Botnetzverwalter administriert das gesamte Netz über die Steuerungs-zentrale, wo alle Bots erscheinen.

Botnetze mit zentralisierter Topologie werden am meisten eingesetzt, da sie mit re-lativ wenig Aufwand aufzubauen sind und die Befehle schnell kommuniziert werden. Da alle Bots von einer Kommandozentrale abhängig sind, ist ein Botnetz durch das Beseitigen selbiger eher gefährdet als in der dezentralen Architektur. Dezentralisierte Topologie^[77]:

Bei diesem Netzwerktyp sind Bots mit einigen „benachbarten“ Zombie-PCs verbun-den, deren Adressen sie besitzen. Ankommende Befehle werden an diese Adressen weitergesendet. Der Botnetzverwalter sendet seine Befehle nur an einen beliebigen Zombie-PC und erreicht so alle Bots. Eine Deaktivierung dieses Netzes ist aufgrund einer fehlender zentraler Steuerungszentrale vergleichsweise aufwändig.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Zentralisierte Topologie (l.) und dezentralisierte Topologie (r.)^[78].

Arten von Netzwerkprotokollen für Botnetze

IRC-basiert^[79]:

Wenn der Datenaustausch über das IRC (Internet Relay Chat) Protokoll erfolgt, stellt jeder Zombie-PC zunächst eine Verbindung mit einem IRC-Server her, dessen Adresse im Bot gespeichert ist. Daraufhin kann der Bot die Befehle des Botnetzad-ministrators auf einem definierten IRC-Kanal empfangen.

IM-basiert^[80]:

Der Unterschied zum IRC basierten Kommunikationstyp besteht darin, dass IM (In­stant Messaging)-Dienste wie AOL, MSN, ICQ und andere genutzt werden. Diese Form von Datenaustausch wird seltener verwendet, da es für jeden Bot ein eigenes IM-Konto bedarf. Darüber hinaus sind die IM-Dienstleister bemüht, die automa-tische Kontoerstellung zu unterbinden. Außerdem ist die Anzahl der gleichzeitig aktiven Bots begrenzt.

Web-basiert^[81]:

Bei der webbasierten Variante baut der Bot eine Verbindung über das Web zu ei-nem Webserver auf, von welchem er seine Befehle erhält. Der Bot schickt wiederum Daten an den Server. Der Datenaustausch über das Web ist bekannt dafür, dass er sich zum einem unkompliziert aufbauen lässt und zum anderen, dass viele Webser-ver adressiert werden können, deren Administration komfortabel über webbasierte Interfaces erfolgt.

Sonstige Botnetztypen^[82]:

Andere Botnetze sind nur „TCP/IP-Stack“ basiert und nutzen die Protokolle TCP (Transmission Control Protocol), ICMP (Internet Control Message Protocol) und UDP (User Datagram Protocol).

3.1.5 Sonstige Verbreitungswege

Weitere Verbreitungswege für Spam-E-Mails stellen die folgenden Möglichkeiten dar:

- Nutzen von unsicheren CGI (Common Gateway Interface)-Skripten^[83] ;
- Senden über Mailserver des Providers vom Zombie-PC-Benutzer^[84].

3.2 Erkennungsprinzipien

3.2.1 Server- und clientseitige Bestimmung

Für die serverbasierte Erkennung von Spam werden Systeme auf dem Mailserver des E-Mail-Adressaten installiert. Im Vergleich zu der serverseitigen Spambestimmung sind bei clientseitigen die Antispamlösungen im E-Mail-Client des Benutzers oder auf eine andere Art in dessen Betriebssystem implementiert^[85].

Serverseitige Spambestimmungssysteme haben nachstehende Vorteile:^[86]

- Zentrale Verwaltung, welches zur Ressourceneinsparung führt;
- Schutz vor Änderungen durch E-Mail-Empfänger;
- Verhütung von Spam- und Virenweiterleitung an den E-Mail-Empfänger.

Diesen Vorteilen stehen folgende Nachteile gegenüber:^[87]

- Individuelle Konfigurationen sind aufwändiger und müssen durch den Admini­strator erfolgen. Alternativ kann der Zugang zum Mailserver auf den Benutzer ausgeweitet werden;
- Anwendungen mit dynamischen Spamfilterdatenbanken, die sich über die indi-viduellen Eingaben des Nutzers bzgl. Spambestimmung erweitern, sind auf cli-entseitigen Systemen mit bedeutend geringeren Aufwand zu realisieren. Zudem arbeiten dynamische Spamfilter auch clientseitig für einzelne Nutzer effektiver als für alle Anwender in einer geschlossenen Gruppe.

Meistens werden die genannten Verfahren zusammen genutzt. Dabei werden die Spam-E-Mails auf dem Server erkannt und auf den Clients separiert, oder es wird bereits auf dem Mailserver eine Trennung der Spam-E-Mails aufgrund einer gene-rellen Konfiguration vorgenommen, bevor anschließend auf den Clients präzisere Einstellungen des Nutzers weitere Spam-E-Mails selektieren.

3.2.2 Regelbasierte Erkennung

Bei der regelbasierten Erkennung werden Vorgaben wie „Earn extra cash“ definiert, anhand derer die Spamfilterung erfolgt. Diese individuell angelegten statischen Re-geln haben jedoch zahlreiche „falsche Positive“ zufolge, d.h., dass die E-Mails fälsch-licherweise als Spam erkannt werden. Deshalb werden diese Regeln nicht generell in der Software implementiert. Über gewichtete Regeln, die Kombinationen aus frag-würdigen Ausdrücken beinhalten, werden ausgeglichenere Ergebnisse für die Spa-merkennung erzielt. Spamfilterung über statische Regeln erfordert eine ständige Anpassung, da die Spammer diese Definitionen eruieren und ihre Vorgehensweise so ändern, dass die Regeln nicht mehr greifen^[88].

3.2.3 Dynamische Systeme - Bayes-Filter

Dynamische Systeme sind „lernende“ Identifikationssysteme, die E-Mails gegen vo-rige E-Mails, gegen die Resumees aus vorigen E-Mails und die Benutzervorgaben prüfen und auf diese Weise Spam-E-Mails bestimmen. Dabei speichert das System in einer Datenbank Inhalte, welche vorrangig in Spam-E-Mails enthalten sind und welche nicht. Jedem Begriff oder Token wird eine Wahrscheinlichkeit zugeordnet, deren Wert über das Verhältnis der Vorkommenshäufigkeit in einer Spam-E-Mail und einer erwünschten E-Mail ermittelt wird:^[89]

Abbildung in dieser Leseprobe nicht enthalten

AnzSp = Anzahl des Auftretens in Spam-E-Mails; AnzSpGes = Anzahl gesamter Spam-E-Mails; AnzHa = Anzahl des Auftretens in Ham-E-Mails; AnzHaGes = An-zahl gesamter Ham-E-Mails.

Die Datenbank muss zunächst an den thematischen E-Mail-Verkehr des Unterneh-mens angeglichen werden, da z.B. das spamtypische Wort „Hypothek“ ein oft ver-wendeter und berechtigter Begriff beispielsweise in der Finanzbranche ist und so zu falschen Positiven führen kann^[90]. Die Lern- und Analysephase des Filters muss einen Mindestzeitraum von zwei Wochen umfassen, damit die Zugehörigkeit einer E-Mail eindeutig bestimmt werden kann^[91].

Die Datenbank besteht aus einer Datei für Ham- und einer weiteren Datei für Spam-begriffe bzw. -token. Für eine effektive Vorgehensweise sollte die Spam-Datei mit bekannten und aktuellen Spamnachrichten regelmäßig erweitert werden^[92].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Begriffsdatenbank für den Filter^[93]

Wird eine neue E-Mail empfangen, werden die wesentlichen Wörter für eine Unter-scheidung in Spam und Ham betrachtet. Über diese Wörter wird ein Wahrschein-lichkeitswert berechnet, der für die E-Mail zur Klassifizierung als Spam beim Über-schreiten eines individuell eingestellten Schwellenwerts führt^[94].

Diese Filtersysteme, bei denen stochastische Methoden eingesetzt werden, werden „Bayes-Filter“ genannt^[95].

Beim Autowhitelisting, das ein weiteres lernendes System darstellt, speichert das System die Häufigkeit von Spam- und Ham-E-Mails bezogen auf die Absender. Die-se Daten werden bei neuen E-Mails für die Spambestimmung berücksichtigt und vermeiden so falsche Positive^[96].

3.2.4 Verteilte Erkennung

Da die Verbreitung von Spam und Viren weltweit problematisch ist und lokal identi-fizierte Spam-E-Mails sowie Viren auf anderen Servern ebenso gefunden werden kön-nen, wird versucht, über eine gemeinsame Nutzung der entsprechenden Erkenntnisse eine höhere Effektivität bei der Spambekämpfung zu erreichen. Hierzu existieren die folgenden Verfahren:^[97]

- DNSBL (Domain Name System Blackhole List): Spamsendungen zeigen, dass der E-Mail-Spam oft von gewissen Hosts, IP-Adressen und Domains stammt. Dabei sind die sendenden Systeme meist so riskant konfiguriert, dass sie von Cyberkriminellen genutzt werden können. Weitere Möglichkeiten könnten sein, dass die Betreiber die Systeme bewusst oder unbewusst vernachlässigen oder, dass der Spammer Besitzer des Systems ist. Die Adressen dieser Rechner wer-den in einer Liste dokumentiert, die allen Internetbenutzern bereitgestellt wird, damit jeder zeitnah unsichere Systeme erkennen kann. Dieser Ansatz wird über DNSBL realisiert^[98]. DCC (Distributed Checksum Clearinghouses): Das DCC ist ein Antispam-Inhaltsfilter, der Checksummen über E-Mails bildet. Ziel ist es dabei, eine Ver-gleichbarkeit von E-Mails für die Empfänger herbeizuführen und unerwünschte Massen-E-Mails herauszufiltern. Der DCC Client sendet die Checksummen zu seinen E-Mails an den Server. Der DCC Server zählt Checksummenberichte zu E-Mails von seinen Clients. Bei clientseitigen Anfragen gibt er Auskunft über die gesamte Anzahl von Checksummen zu E-Mails. Dem Client wird die Anzahl der Empfänger von E-Mails mit jeder Checksumme übermittelt. Wenn die Anzahl einen Grenzwert überschreitet, der vom Client gesetzt wird, und die E-Mail unter Beachtung der lokalen Whitelist unerwünscht ist, kann der Client die Nachricht protokollieren, verwerfen oder ablehnen^[99].

Da vereinfachende Checksummen nicht effektiv sind, werden die Hauptcheck-summen über eine Fuzzy-Logik gebildet und ignorieren Aspekte der Nach-richt. Unter Berücksichtigung der Spamentwicklung werden die Checksummen manchmal geändert^[100].

Das DCC wird seit ca. acht Jahren eingesetzt. Mitte 2007 umfasst es mehrere Millionen Anwender, über 600.000 Client-Rechner und über 250 Server, die Checksummen von über 300 Mio. E-Mails an Werktagen sammeln und zäh-len^[101]. 90% aller Spam-E-Mails werden unter Anwendung des DCC erfasst^[102].

- Pyzor-System: Eine andere Art der verteilten Erkennung stellt das Pyzor-System dar^[103]. Hierbei werden die Prüfsummen der als Spam identifizierten E-Mails an einen öffentlichen Server geschickt. Mailserver können die Daten-bank auf dem Pyzorserver befragen, ob eine E-Mail als Spam einzustufen ist. Da jedoch jeder Spam an den Server berichten kann, sollte das System nur ergänzend zu anderen Spam-Erkennungsverfahren eingesetzt werden^[104].

3.3 Maßnahmen zur Vermeidung von Spam

3.3.1 Protokollbasierte Verfahren

Üblicherweise wird für das Verschicken von E-Mails das SMTP (Simple Mail Trans­fer Protocol) verwendet. Im Vergleich zu den MTAs, die sich gegenüber den SMTP-Regeln konform verhalten, ist Spam-Software meist nachlässig bei der Regel-beachtung. Dieser Unterschied wird genutzt, um Spam-E-Mails mit einer strikteren Interpretation der Regeln zu selektieren. Hierbei müssen solche erlaubte Systeme über eine Whitelist von dem Filterungsprozess ausgeschlossen werden, deren Mail-software ebenfalls die Regeln nicht eindeutig beherrscht^[105]

Folgende Verfahren werden MTA-seitig eingesetzt:^[106]

- EHLO/ HELO Check: Der Client muss laut RFC 2821 (Requests for Com­ments) nach der Begrüßung durch den Server in einer EHLO/ HELO-Meldung mit seinem Hostnamen antworten. Bei Unterlassung oder syntaktisch falschen Namen wird das SMTP verletzt^[107]. Oft werden vom Spammer die IP-Adressen oder Hostnamen der Empfänger verwendet. Für diese Fälle kann eine Filterung eingerichtet werden^[108]. - SMTP-Pipelining: Während der Kommunikation über SMTP schicken sich Sender und Empfänger abwechselnd Meldungen, die in ihrer Reihenfolge ein-gehalten werden müssen.

Da die meisten MTAs ESMTP (Extended Simple Mail Transfer Protocol) Pipelining Erweiterung unterstützen, die es dem Client ermöglicht, mehrere Kommandos gleichzeitig abzusetzen, nutzen Spammer diese Möglichkeit, um ihren Spam schneller zu zustellen. Wird die Unterstützung abgeschaltet, kann ein Teil des Spams gefiltert werden, da die MTAs ihn nicht mehr annehmen, wenn die Kommandos zusammen gesendet werden^[109].

- Anwendung von TLS (Transport Layer Security): TLS kann für eine Verschlüs-selung bei der SMTP-Übertragung genutzt werden. Da die Anwendung von TLS aufwändig ist, wird es von Spammern kaum verwendet. Somit deutet TLS tendenziell auf HAM hin. Da sich allerdings TLS bei der Performance auf Mailservern schwächer als deaktiviert zeigt, wird es selten eingesetzt^[110].
- Filterung über leeres „MAIL FROM“: Über eine Selektion der E-Mails mit lee-ren MAIL FROM-Kommandos können spambedingte Bounces bei fehlenden Absenderadressen im Envelope abgefangen werden. Da auch normale Boun­ces mitgefiltert werden, ist die Anwendung nur unter bestimmten Umstän-den empfehlenswert: Z.B.: Wenn ein Anwender extrem viele Bounces auf ein-mal bekommt, wird vermutlich jemand anders unter dem Namen des Bounce-Empfängers gespammt haben. Hier könnte eine Filterung auf ein leeres MAIL-FROM angebracht sein^[111].
- Spezielle Filterregeln auf dem Secondary MX: Da die Secondary MX Server, was Mailserver mit nachgelagerter Priorität bedeutet, z.B. als Backup-MX, meist unsicherer als die Primary MX konfiguriert sind, schicken Spammer vor-zugsweise ihren Spam über diese Mailserver. Besondere Filterregeln können auf diesen MTAs implementiert werden, um E-Mail-Spam zu selektieren. Da-bei muss beachtet werden, dass bei Unerreichbarkeit des Haupt-MTAs auch HAM auf die Secondary MX Server gelangen kann und deshalb die Konfigu-ration dieser MX Server kurzfristig angepasst werden muss^[112].
- Filtern über Timeouts: Laut RFC 2821 sind für die verschiedenen Stufen und Kommandos im SMTP unterschiedliche Timeouts definiert^[113]. Spamprogram-me verwenden eventuell kürzere Timeouts, um ihren Spam schnell zu übermit-teln. Aufgrund dessen kann die Übermittlung stoppen. Dagegen verhält sich legitime Mailsoftware konform zu den angebotenen Timeouts^[114].

[...]

---

^[1] Vgl. Lischka (2008).

^[2] Vgl. Stiller (2008).

^[3] Vgl. Mann (2008).

^[4] Vgl. o.V. (2007a).

^[5] Vgl. o.V. (2008b).

^[6] Vgl. Kamluk (2008), S. 2 ff.

^[7] Vgl. o.V. (2005g).

^[8] Vgl. Stewart (2008).

^[9] Vgl. o.V. (o.J.g).

^[10] Vgl. Topf u. a. (2005), S. 38.

^[11] Vgl. Topf u. a. (2005), S. 14.

^[12] Topf u. a. (2005), S. 38.

^[13] Vgl. Topf u. a. (2005), S. 38.

^[14] Vgl. Lerg (2003), S. 7.

^[15] Vgl. o.V. (2006d), S. 22 ff.

^[16] Vgl. o.V. (2006d), S. 24 f.

^[17] Vgl. Eibl (2007).

^[18] Vgl. Eggendorfer (2007b), S. 13.

^[19] Vgl. Hoffman (1997).

^[20] Vgl. o.V. (o.J.s).

^[21] Vgl. o.V. (2007h).

^[22] Vgl. Eggendorfer (2007b), S. 13.

^[23] Vgl. Eggendorfer (2007b), S. 13.

^[24] Vgl. Ziemann (2002).

^[25] Vgl. Eggendorfer (2007b), S. 15.

^[26] Vgl. o.V. (o.J.x).

^[27] Vgl. o.V. (o.J.x).

^[28] Vgl. o.V. (2008p).

^[29] Vgl. o.V. (2008a), S. 1 ff.

^[30] Vgl. o.V. (o.J.q).

^[31] Vgl. o.V. (o.J.r).

^[32] Vgl. Schultz (2006).

^[33] Vgl. o.V. (2007h).

^[34] Vgl. o.V. (2008g), S. 10.

^[35] zu Dt.: Organisation für wirtschaftliche Zusammenarbeit und Entwicklung

^[36] Vgl. o.V. (1998).

^[37] Vgl. o.V. (2008g), S. 12.

^[38] Vgl. o.V. (2008g), S. 10.

^[39] Vgl. o.V. (2008g), S. 14.

^[40] Vgl. Topf u. a. (2005), S. 15.

^[41] Vgl. Doll (o.J.).

^[42] Vgl. Topf u. a. (2005), S. 16.

^[43] Vgl. Karge u. a. (2006), S. 5.

^[44] Vgl. Schryen (2007), S. 13.

^[45] Vgl. Eggendorfer (2007b), S. 17 f.

^[46] Vgl. Böhme und Holz (2006), S. 7 f.

^[47] Vgl. Eggendorfer (2007b), S. 21 f.

^[48] Vgl. Eggendorfer (2007b), S. 23 f.

^[49] Vgl. AG Hamm, Urteil vom 05.09.2005, Az: 10 Ds 101 Js 244/05-1324/05, url: http://www.aufrecht.de/urteile/delikt-strafr/beihilfe-zum-computerbetrug-bei-phishing-ag-hamm-urteil-vom-050905-az-10-ds-html und Urteil des AG Überlingen, Az: 1 Cs 26466/05 AK 183/06, url: http://www.jurpc.de/ aufsatz/20060108.htm

^[50] Vgl. Topf u. a. (2005), S. 16.

^[51] Vgl. o.V. (o.J.m).

^[52] Vgl. Aycock, J., zitiert nach Cheng (2007).

^[53] Vgl. o.V. (2007a).

^[54] Vgl. Barracuda Networks, o.V. (2007a), in Anlehnung an Asay, M. Asay (2007).

^[55] Vgl. o.V. (2007c), S. 5.

^[56] Vgl. o.V. (2008h), S. 8 ff.

^[57] Vgl. o.V. (2008e).

^[58] Vgl. o.V. (2008c).

^[59] Vgl. o.V. (2007c), S. 5.

^[60] Vgl. o.V. (2008l).

^[61] Vgl. o.V. (2007f), S. 7.

^[62] Vgl. E-Mail von Dermot Harnett, Symantec, Harnett (2008a).

^[63] Vgl. o.V. (2007c), S. 7.

^[64] Vgl. o.V. (2008h), S. 2 f.

^[65] Vgl. Telefonische Mitteilung von Harnett, D., Symantec, Harnett (2008c).

^[66] in Anlehnung an Symantec: o.V. (2008n); o.V. (2007f); o.V. (2007g); o.V. (2008o).

^[67] in Anlehnung an Symantec: o.V. (2008n); o.V. (2007f); Vgl. E-Mail von Harnett, D., Symantec, Harnett (2008b).

^[68] in Anlehnung an Barracuda Networks: o.V. (2008k).

^[69] Vgl. Topf u. a. (2005), S. 27.

^[70] Vgl. Topf u. a. (2005), S. 27.

^[71] Vgl. Karge u. a. (2006), S. 6.

^[72] Vgl. Topf u. a. (2005), S. 27.

^[73] Vgl. Topf u. a. (2005), S. 24 f.

^[74] Vgl. Topf u. a. (2005), S. 25.

^[75] Vgl. Kamluk (2008), S. 2.

^[76] Vgl. Kamluk (2008), S. 4.

^[77] Vgl. Kamluk (2008), S. 4.

^[78] in Anlehnung an: Kamluk (2008), S. 2.

^[79] Vgl. Kamluk (2008), S. 4.

^[80] Vgl. Kamluk (2008), S. 4 f.

^[81] Vgl. Kamluk (2008), S. 5.

^[82] Vgl. Kamluk (2008), S. 5.

^[83] Vgl. Topf u. a. (2005), S. 25.

^[84] Vgl. E-Mail von Linford, The Spamhaus Project, Linford (2008).

^[85] Vgl. Eisentraut und Wirt (2005), S. 13.

^[86] Vgl. Eisentraut und Wirt (2005), S. 14.

^[87] Vgl. Eisentraut und Wirt (2005), S. 14 ff.

^[88] Vgl. Eisentraut und Wirt (2005), S. 15.

^[89] Vgl. o.V. (o.J.i), S. 3.

^[90] Vgl. o.V. (o.J.i), S. 4.

^[91] Vgl. o.V. (o.J.i), S. 7.

^[92] Vgl. o.V. (o.J.i), S. 4.

^[93] in Anlehnung an: o.V. (o.J.i), S. 2.

^[94] Vgl. o.V. (o.J.i), S. 5.

^[95] Vgl. Eisentraut und Wirt (2005), S. 16.

^[96] Vgl. Eisentraut und Wirt (2005), S. 16.

^[97] Vgl. Eisentraut und Wirt (2005), S. 17.

^[98] Vgl. Eisentraut und Wirt (2005), S. 17.

^[99] Vgl. o.V. (o.J.h).

^[100] Vgl. o.V. (o.J.h).

^[101] Vgl. o.V. (o.J.h).

^[102] Vgl. Eisentraut und Wirt (2005), S. 143.

^[103] Vgl. Eisentraut und Wirt (2005), S. 18.

^[104] Vgl. Eisentraut und Wirt (2005), S. 149.

^[105] Vgl. Topf u. a. (2005), S. 86 ff.

^[106] Vgl. Topf u. a. (2005), S. 86 ff.

^[107] Vgl. Klensin (2001), Abschnitt 4.1.1.1.

^[108] Vgl. Topf u. a. (2005), S. 86 ff.

^[109] Vgl. Topf u. a. (2005), S. 87.

^[110] Vgl. Topf u. a. (2005), S. 87.

^[111] Vgl. Topf u. a. (2005), S. 87.

^[112] Vgl. Topf u. a. (2005), S. 87 f.

^[113] Vgl. Klensin (2001), Abschnitt 4.5.3.2.

^[114] Vgl. Topf u. a. (2005), S. 88.