Wann erstickt uns die SPAM-Lawine?

Eine besonders unangenehme SPAM-Variante greift derzeit vermehrt Internet-Domains an. Ziel dieser Attacken ist nicht, wie beim herkömmlichen Spam-Angriff, der Internetbenutzer selbst, sondern der Mailserver, der für eine gesamte Domain zuständig ist. Dabei werden zufällig erzeugte E-Mails an eine Domain versandt, wobei die Benutzernamen vor dem "@" zig-1000 mal pro Tag permutiert werden. In einem aktuellen Beispiel traten mehr als 60.000 E-Mails pro Tag an eine Domain auf, davon rund 25 "sinnvolle" Mails.

Mit solchen Mengen sind auch standardmäßig installierte Anti-Spam-Filter überfordert, die davon ausgehen, dass E-Mails mehrfach an einen User direkt oder in zig-facher, identischer Ausfertigung an verschiedene User gesendet werden.

Durch diesen Angriff, der eindeutig auf den Mailserver zielt, erreicht ein Hacker mehrere Dinge:

• Die Zustellung der "sinnvollen" E-Mails wird durch die "sinnlose" E-Mail-Flut über Stunden hinweg verzögert, beziehungsweise verhindert, da der Mailserver mit dem Abarbeiten seiner Input-Queue nicht fertig wird (noch dazu, wenn am Mailserver auch ein Antiviren/AntiSPAM-Programm läuft).
• Standardmäßig antwortet der Mailserver bei der versuchten Zustellung an eine nicht existierende E-Mail-Adresse seiner Domain dem Absender, dass die E-Mail nicht zustellbar war (somit entsteht eine "Rück-Lawine", die bewirkt, dass die Anzahl der erlaubten SMTP-Sessions, geschaltene Verbindungen mit Timeout, für die Sende-Queue überschritten wird, da die meisten Absender gar nicht existieren).
• Sollte der Mailserver in der Firma stehen, wird die Internetleitung zusätzlich belastet und behindert auch andere Dienste, wie zum Beispiel das Surfen.
• Sollte der Mailserver beim Provider stehen, werden alle anderen Domains, die der Mailserver noch betreut, ebenfalls bei der Mailzustellung deutlich behindert.

Mit einem Wort: Für Benutzer der angegriffenen Domains ist das Mailing nicht mehr sinnvoll benutzbar!

Wie kann man gegen diesen Angriff auf das Internet Mailsystemen (von denen der einzelne User - außer durch die unangenehme Verzögerung seiner E-Mails - nichts bemerkt) vorgehen?

• Verwenden des Mail-Relay eines Providers am Internet-Backbone.
• Einsatz von "schwarzen Listen" von Mailservern von denen diese Angriffe ausgehen: Dieser Ansatz ist kaum zielführend, da die Angreifer eigene SMTP-Server-Programme verwenden. Zusätzlich besteht die große Wahrscheinlichkeit, dass - bedingt durch Fehlsperren - das gesamte Mailing eher behindert als geschützt wird (das zeigt auch die Verwendung der ORBS-Liste, einer "Open-Relay-Database", die IP-Adressen von Mailservern beinhaltet, die von Hackern zum Versenden von E-Mails verwendet werden können).
• Blockieren des Ports 25 (SMTP) auf der Firewall bei Erkennen der Absenderadresse des Angriffs: Kein auf Dauer zielführender (und nur kurzfristiger, da personalintensiver) Ansatz, da ein starker Wechsel der Absender-IP-Adressen erfolgt. Das Sperren eines gesamten Bereiches und von Absenderländern ist nicht durchführbar, da echte E-Mails dann nicht zugestellt würden.
• Verlagerung des E-Mail-Problems auf einen Mail-Relay am Background bei gleichzeitiger Kommunikation mit dem internen Mail-Server, damit nur E-Mails mit lokal gültigen E-Mail-Adressen zugestellt werden: Damit ist ein Workaround möglich, der kurzfristig eine operative Lösung darstellt, de facto aber nur eine Verschiebung des Problems bedeutet. Damit treten (vorerst) keine Bandbreitenprobleme beim Endkunden auf und mit geeigneter Rechnerkapazität lassen sich so einzelne Domänenangriffe überstehen. (Bei einem Test aus gegebenem Anlass trat bei circa 130 Domänen nach Hinzufügen einer angegriffenen Domain eine circa 15 fach höhere Belastung auf dem Backbone-Mailservers mit kaum messbarer Mehrbelastung der Backbone-Leitung auf).

Wie man sieht, handelt es sich bei dem beschriebenen Angriff um eine neue Variante einer DoS-Attacke, der Dienst "Mailing" wird über diesen Angriff behindert oder gänzlich verhindert. Herkömmliche, automatische Filtermaßnahmen scheitern, manuelle Eingriffe mit entsprechenden Personalressourcen sind notwendig und aufwändig. Prinzipiell ist das Prinzip des "Mail-Relaying" zu überarbeiten, d.h. es müsste VOR Versand eines E-Mails bereits die Existenz der Adressaten (Ziel-E-Mail-Adressen) überprüft werden und nicht erst beim Empfänger! Das bedeutet aber gravierende Änderungen im zugrunde liegenden Protokoll und den beteiligten Servern!

In wieweit es sich bei dieser Attacke um die Vorbereitung zur Lahmlegung weiter Bereiche des Internet handelt bzw. Schutzgeldforderungen für das Unterlassen diese Angriffe zu erwarten sind, kann derzeit nicht beurteilt werden.

Dr. Manfred Wöhrl ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger. Manfred.Woehrl@rics.at