STEPHANMUND.de

Mail

ePub

2008-11-01: 6th German Anti Spam Summit, Tag 2

Einleitung

Vom 27.10.2008 bis zum 30.10.2008 fand im Schloss Biebrich in Wiesbaden der 6te deutsche Anti-Spam-Kongress statt.
Auf dieser Seite fasse ich den Inhalt des 2. Tages zusammen.

Übersicht


Spam: Latest Figures

Enno Kramer (eleven GmbH)

Der erste Beitrag von Enno Kramer zeigte, wie sich Spam in den letzten Monaten und Jahren entwickelt hat. Dabei fällt auf, dass Container-Spam, im Gegensatz zu 2007, fast garnicht mehr auftritt. Die letzte große Container-Spam-Welle trat im Februar 2008 in Form von PDFs auf.
Weiterhin macht sich bemerkbar, dass Spam-Mails deutlich in der Größe schrumpfen, von durchschnittlich 50KB 2007 auf 3KB momentan. Spam-Mails enthalten also nur noch wenige Sätze sowie einen Link, der den Benutzern beim Besuch der Webseite Spyware oder Trojaner unterjubeln soll, statt wie früher ganze Romane.
Zugenommen hat die Verwendung von gefälschten Unsubscribe-Links, die zum Teil dazu verwendet werden, um Captcha-Systeme von Freemail-Providern auszuhebeln, um die Anzahl der Spam-Quellen zu vergrößern, oder auch um festzustellen, dass die gespammte Email-Adresse auch tatsächlich existiert.
Ebenso hat die Verwendung von existierenden Absender-Adressen zugenommen, die eine hohe Anzahl an sog. Backscattern verursachen. Die Anzahl dieser Backscatter ist teilweise so groß, dass sie ein DoS-Risiko darstellen.

Mehr informationen
Neil Cook (Cloudmark)

Dieser zweigeteilte Beitrag überschnitt sich in einigen Teilen mit dem vorhergehenden.
Es wurde aufgezeigt, dass die Grammatik und Rechtschreibung in Spam-Mails erheblich an Qualität zugenommen hat und auch die Anzahl an "lustigen" Spam-Mails, z.B. falsch gerenderten HTML-Emails (schwarze Schrift auf schwarzem Hintergrund, interessante Schreibweisen von "Viagra") geradezu auf null zurückgegangen ist.
Im zweiten Teil gab es einige Ansätze, wie man auf SMTP-Ebene den Spam von innen eindämmen kann: Man setzt bestimmte Limits für die Email-Menge, pro IP und/oder pro User-ID. Leider konnte ich mir die Aufteilung nicht ganz merken. Falls sich jemand das System notiert hat, würde ich mich sehr freuen, wenn mir diese Aufzeichnung zur Verfügung gestellt werden könnte.


Comparison of the Existing ISP's Code of Conduct in the Area of Spam

Pascal Manzano (ENISA)

Pascal Manzano hat einen recht interessanten Vergleich zwischen verschiedenen nationalen und internationalen Anti-Spam-Abkommen von ISPs gezogen.
Die Abkommen haben viele Gemeinsamkeiten, zum Beispiel:

Mehr informationen

The Importance of Web Security - How Internet Crime has monetized the Web

Patrick R. Peterson (IronPort Systems)

Dieser Beitrag hatte mal nicht allzu viel mit Email zu tun, sondern mit Web-Spam, Spyware und Malware. Wie diese funktionieren, wer sie aus welchem Grund entwickelt und, besonders, wie sie auf die Rechner von Usern gelangen.
Auf diesen letzten Punkt werde ich jetzt hier eingehen, weil dieser wieder eine Verbindung zur Email herstellt:
Wie schon in (1) und (2) beschrieben, werden Spam-Mails immer kleiner und enthalten häufig nur einen kurzen Satz und einen Link. An dieser Stelle kommt die Spyware in's Spiel. In vielen Fällen wird über eine Sicherheitslücke im Browser, der in den meisten Fällen ja mit Administrator-Rechten läuft, ein Trojaner eingeschleust, der eine oder mehrere der folgenden Aufgaben übernimmt:

Ein weiterer Weg, wie die Spyware auf den Rechner gelangt, ist das Ansurfen gehackter Webseiten. Viele Trojaner werden über XSS (Cross Site Scripting) installiert. Dabei wird im modifizierten Code einer Webseite ein JavaScript von einer anderen Domain nachgeladen, das dann mit Browser-Rechten ausgeführt wird.


Scientists vs. Spammers - Who Wins?

Rene Wienholtz (Strato Rechenzentrum AG)

Und wieder zurück zum Thema Email-Spam.
Im Auftrag von Strato entwickelt das Max-Planck-Institut unter der Leitung von Prof. Dr. Scheffer seit 2005 einen Spam-Filter, der, unter anderem, an Hand von statistischen Merkmalen IP-Adressen zu Botnetzen zusammenfasst. Dafür werden die Emails nach bestimmten Wortketten in Betreffzeile und Body verglichen. Wird festgestellt, dass mehrere IPs nahezu gleichzeitig den gleichen oder ähnlichen Inhalt versenden, der als Spam klassifiziert wird, werden die IP-Adressen zu als Botnetz identifiziert und für eine bestimmte Zeit blockiert. Somit werden die Resourcen für die Spam-Klassifizierung gespart.
Da der Spam-Filter selbstlernend aufgebaut ist, muss er nicht mit festen Werten versehen werden, sondern lernt mit Hilfe einer großen Sammlung von Spam- und Ham-Mails selbst, wie bestimmte Kriterien zu bewerten hat. Somit gibt es nicht von Vornherein feste Bewertungskriterien (Viagra=Spam, korrekte DKIM-Signatur=Ham, nur Großbuchstaben und Ausrufezeichen im Header=Spam), sondern es werden unabhängige Algorithmen erstellt, die sich ständig neuen Gegebenheiten anpassen.
Das Ziel des Filters ist es, jede erwünschte Mail in das Postfach des Benutzers zuzustellen, somit eine False-Positive-Rate von 0% zu erzielen.
Dafür berücksichtigt der Filter auch Benutzermerkmale, damit auch "dem Urologen, der sich mit Kollegen über 'Viaaaagr/\' unterhält," trotz des bei sonstigen Filtern eindeutigen Spam-Merkmals, eben diese Mail zegestellt wird.
Weiterhin soll der Spam-Filter bald dazu in der Lage sein, sich gezielt selbst zu überlisten, um daraus das eigene Regelset zu erweitern. Somit wird ein Spam-Angriff nach diesem soeben herausgefundenen Muster schon im Voraus zum Scheitern verurteilt.
Alles in allem eine sehr interessante und vielversprechende Technik, über die es leider im Internet noch nicht allzuviel zu lesen gibt.

Die Frage aus dem Titel, "Wissenschaftler vs. Spammer, wer gewinnt?", konnte selbstverständlich nicht final beantwortet werden, Herr Wienholtz sah jedoch im Jahre 2008 einen Teilsieg für die Wissenschaftler, da Spammer scheinbar an Kreativität verlieren, während sich die Technik zum Filtern von Spam stetig weiterentwickelt.

Mehr informationen

DKIM Reputation Project

Florian Sager (agitos)

Seit einiger Zeit führt die ECO unter der Leitung von Florian Sager im Rahmen eines Arbeitskreises ein Projekt zum Thema Sender Authentifizierung mit verschiedenen deutschen und europäischen ISPs durch.
Die bisherigen Ergebnisse des Arbeitskreises bezüglich DKIM wurden hier kurz dargestellt.
Die Art, wie mit Hilfe von DKIM eine große Menge an Spam bereits vor dem Spam-Filter aussortiert werden soll, ist einfach: Alle Mails, die eine ungültige Signatur aufweisen, werden sofort blockiert. Mails, die eine gültige Signatur aufweisen, werden vom Spam-Filter milder behandelt, während Mails ohne Signatur ganz normal verarbeitet werden. Das Spam-Aufkommen ist wohl während der Testphase bereits erheblich gesunken.
Schwierig wird es dann allerdings für Anbieter einer ASP-Lösung für Email-Marketing, die neben DKIM auch noch DomainKeys einsetzen möchten:
Bisher ist mir kein Weg bekannt, wie man gleichzeitig gültige Signaturen für DomainKeys (newsletter@kunde.tld) und DKIM (returnpath@asp-hoster.tld) erstellen kann. Was ich auch versuche, die Signaturen werden zwar von google (DKIM), bzw. Yahoo! (DomainKeys) anerkannt, ein Reflector (z.B. der von sendmail.org) sagt jedoch, dass die zuerst durchgeführte Signatur ungültig sei.

Mehr informationen

Amendment of the Japanese Anti-Spam Law

Masahiko Kamiya (MIC)

Für internationale Versender wohl interessant. Ebenso für ISPs, die in diesem Beitrag erfahren konnten, wie man in Japan gegen Spam vorgeht.
In Japan besteht bereits seit 2002 die Pflicht, in Werbe-Emails eine Möglichkeit zum Opt-Out anzubieten. Nun tritt im Dezember endlich ein neues Gesetz in Kraft, das für Werbemails einen Opt-In voraussetzt.
Interessant war an diesem Beitrag für mich, wie sich die Ursprungs-Verteilung von Spam-Mails über die Jahre 2006 bis 2007 in Japan verändert hat:

JahrArtJapanaußerhalb
2006Mail28%72%
SMS98,3%1,7%
2007Mail5,5%94,5%
SMS51,6%48,4%
Weiterhin sehr interessant ist der Unterschied zwischen dem Inhalt von Spam international und dem Spam in Japan. Während Spam hier in Europa oder in den USA sehr vielfältig in der Themenverteilung ist, hat Spam in Japan folgende Inhaltsverteilung:

ePub

Kommentare

Kommentieren
Bisher keine Kommentare.
Wegen eines übermäßigen Spam-Aufkommens ist die Kommentar-Funktion bis auf weiteres deaktiviert.
Zurück zu Technik | Mail