Gefälschter Absender

Ein großes Problem der Spam und Virenthematik ist die einfache Fälschung eines Absenders. Ein gefälschter Absender führt zu mehreren Problemen, je nach dem ob der falsche Absender existiert oder nicht:

  • Unzustellbarkeitsnachrichten
    Wenn Sie eine Mail ablehnen oder quittieren, erreichen Sie jemand völlig fremdes und werden daher selbst zum Störer oder ihr Mailserver wir im schlimmsten Fall mehrere Tage immer wieder versuchen eine Mail zuzustellen, was Bandbreite, CPU und Speicherplatz kostet
  • "Trusted Sender"
    Viele Firmen und Personen pflegen eine Liste von Domänen oder Adressen, von denen Sie immer Mails annehmen möchten. Das sind in der Regel Freund oder Kunden. Auch ein Spammer/Virus kann eben diese Absenderadresse vorgeben und umgeht daher ihre Filter. Besonders beliebt sind hierbei natürlich Absender wie DELL, Microsoft, IBM aber auch einige Freemailer, weil es wahrscheinlicher ist, dass diese Domains als Allowlist pauschal zugelassen werden.
  • Störung von unbeteiligten
    Zuletzt gibt es noch das Problem, dass Spammer die Absenderadresse von Personen nutzen, die es real gibt und damit die unzustellbarkeitsquittungen, bösen Antworten etc. in diesem Postfach einlaufen.

Bei diesen Problemen stellt sich automatisch die Frage, ob falsche Absenderadressen nicht einfach verhindert werden können. Und warum ist das bei E-Mails so extrem aufgefallen ?. Ist nur die elektronische Kommunikation davon betroffen ?

Was ist mit Briefpost ?

Um die Thematik verständlich zu erläutern kann das Problem auch ebenso auf die klassische Briefpost bezogen werden. Auch hier gibt es keine Möglichkeit, den Absender zu verifizieren. Lassen Sie mich das an einem Beispiel erläutern, das Sie nun bitte nicht als Aufforderung missverstehen sollten:

  1. Sie schreiben einen unsauberen Brief
    Damit so ein Brief einen Effekt bewirkt, muss er das notwendige Potential haben. Je nach Anwendungsfall reicht dazu einfach eine schriftliche Beleidigung, ein anstößiges Bild oder andere Ferkeleien. Spätestens, wenn jemand ein Paket mit einem Wecker oder anderen nicht mehr so lustigen Dingen verschickt, dürfte so etwas auch strafbar werden.
  2. "brauchbarer" Empfänger
    Schreiben Sie als Empfänger dieses Schreibens jemand auf, der sicher keinen Spaß versteht.
  3. Ihr Ziel wird zum Absender
    Als angeblichen Absender dieses Briefs tragen Sie nun jemand ein, den Sie diesmal ärgern wollen.
  4. Sparen Sie sich das Porto und Weg damit
    Wenn Sie das Porto weglassen und "Gebühr zahlt Empfänger" darauf schreiben, dann eskaliert der Fall noch etwas.

Was passiert nun ?. Dazu gibt es mehrere Varianten:

  1. Der Empfänger nimmt an, bezahlt, ärgert sich aber lässt die Sache auf sich beruhen
    Ob dies der Regelfall ist ?. Eher nicht, da der Empfänger ja Geld verloren hat
  2. Der Empfänger nimmt an und eskaliert
    Abhängig vom Inhalt kann der Empfänger nun aber z.B. ein Zivilverfahren wegen Beleidigung, Rufschädigung o.ä. anstrengen.
  3. Der Empfänger lehnt die Annahme ab, da Nachgebühr
    Der Postpote sucht dann den angeblichen Absender auf, um die Nachgebühr dort einzufordern. Ob der angebliche Absender versteht, wie ihm gerade geschieht und ob die Post auf die Eintreibung der Gebühren verzichtet ? Ein Schaden ist auf jeden Fall da

In allen drei Fällen entstehen Kosten. Um es noch einmal deutlich zu sagen: Das ist ein extremes Beispiel und zeigt, wie anfällig auch die Briefpost sein kann. Sie ist es um so mehr, wenn die Entwertung der Briefmarke nur mehr im Briefpostzentrum erfolgt und damit noch weniger die Aufgabestelle eingekreist werden kann. Wenn so ein Brief heute schon strafbar ist, dann hätten wir schon eine Handhabe gegen Spammer und Personen, die einen PC ohne Virenscanner betreiben. Autofahren darf man ja auch erst nach der Ablegung der Führerscheinprüfung.

Wie geht das nun mit SMTP ?

Der Versand einer gefälschten Mailadresse können Sie ganz einfach selbst mit ihrem Server demonstrieren. Sie könnten dies entweder einfach mit einem absichtlich falsch konfigurierten Outlook Express machen oder Sie geben folgende Zeilen einfach auf einer Kommandobox ein:

TELNET ihr-Mail-Server 25
HELO spammer.local
MAIL FROM:absender@firma1.tld
RCPT TO: empfaenger@firma2.tld
DATA
Subject: Dies ist eine wirklich gemeine Mail

.

Und schon ist eine Mail an "empfaenger@firma2.tld" unterwegs, die so aussieht, als käme Sie von "absender@firma1.tld". Und das ist Beileibe kein Problem, welches nur mit E-Mails existiert, sondern auch bei der normalen Briefpost passieren kann.

Gegenmaßnahmen

SMTP ist ein ungesichertes Protokoll, welches keine Verschlüsselung aber im besonderen keine Autorisierung der einliefernden Station nutzt. Zwar können Sie mittlerweile mit TLS und AUTH sogar diese Schwäche abstellen, aber dies ist meist nicht implementiert und daher nicht wirklich effektiv im Internet nutzbar. Zudem müssten Sie bei der Verwendung von AUTH jeder Gegenstelle einen Benutzernamen und Kennwort vorgeben. Das wäre ein Rückschritt in die Vergangenheit, als jeder Administrator die Gegenstellen manuell pflegen musste.

Daher müssen andere Verfahren greifen und es gibt die ersten Ansätze hierzu, die aktuell entwickelt werden:

  • SPF und CallerID
    Diese beiden Verfahren sollen es einem Empfänger erlauben, das einliefernde System zu verifizieren. Im Internet wird per DNS bekannt gegeben, welcher Server für den Versand der Mails einer bestimmten Domäne zuständig ist. Ein Empfänger kann dann Mails dieser Domäne von anderen Servern ablehnen. (Siehe SPF)
  • Domainkey
    Diese Verfahren soll es ebenfalls dem Empfänger ermöglichen die Authentizität des Absenders zu prüfen. Dazu wird der Header der Mail vom Absender digital signiert. Der passende öffentliche Schlüssel zur Prüfung der Signatur für diese Domäne wird über DNS bereit gestellt.
  • RMX
    Schon früher gab es das Verfahren, Mails nur von Systemen anzunehmen, die auch die Antwort empfangen (MX-Record) das funktioniert natürlich nur, wenn der gleiche Mailserver für Versand und Empfang zuständig ist.
  • Signaturen
    Theoretisch könnte auch jeder Anwender selbst seine Mails digital signieren. Nur benötigt dazu jeder Anwender natürlich ein Zertifikat und die Empfänger müssten damit auch umgehen können.
  • Empfänger warnen
    Mit dem EventSink SpoofDetect habe ich eine kleine Lösung geschaffen, wie die internen Nutzer zumindest darauf hingewiesen werden, dass die Mail von extern kommt und nur vorgibt, intern zu sein.

Es gibt noch einige weiterer Verfahren, aber keines der Verfahren wird einen Spammer hindern, sondern nur sicherstellen, dass er nicht mehr mit einer fremden Adresse senden kann. Und wie bald diese Verfahren wirklich nützen ist eine Frage, wie schnell diese implementiert werden. Es wird sicher lange Zeit dauern, bis Millionen von Mailservern eingehende Nachrichten überprüfen und es wird sicher noch mal so lange dauern, bis alle Versender die zur Überprüfung erforderlichen Informationen veröffentlichen. Und selbst dann wird ein Spammer sich eben eine offizielle Domäne für 1 Monat kaufen, Mails senden und danach wieder löschen lassen. Ein Schutz gegen Spammer ist es nicht aber es kann zu einem Schutz gegen Adressmissbrauch werden.

Fälschung als Spam

Spammer nutzen gerne gefälschte Adressen aber dass damit ein Spammer die Out of Office-Funktion eines Mailsystems missbraucht ist ein besonders dreister Spam. So gelesen im Heise Newsletter:

Akribisch bereitete auch ein dubioser GMX-Kunde seinen Spam-Angriff vor. Bei einer dort registrierten Adresse aktivierte er die Autoreply-Funktion, stattete sie mit der Werbebotschaft für ein Online-Spielcasino aus und fing schließlich an, seine eigene GMX-Adresse mit zahlreichen E-Mails zu bombardieren – mit Absender-Adressen, die dank automatischer Antwort umgehend zu Empfängern wurden. Da GMX bei vielen Empfängern auf der weißen Liste steht, also E-Mails von dort nicht gefiltert werden, bleibt in solchen Fällen nur eine nachträgliche Beschwerde beim Provider.
(Quelle: http://www.heise.de/newsticker/meldung/67466)

Solche einen "Missbrauch" kann man eigentlich nicht verhindern, Solange eine Verifikation des Absenders nicht möglich ist. (Siehe auch  Fälschung) Es ist allenfalls möglich, z.B. anhand der Anzahl an Mails an ein Postfach eine bestimmte "normale Rate" zu ermitteln und plötzlich ansteigende Nachrichtenmengen als Missbrauch zu deuten. Egal wie es der Betreiber macht, so ist er immer dem Risiko ausgesetzt, auch gewünschte Nachrichten zu blockieren.

Ein weiteres "Schadensbeispiel" ist eine Mail, die mich erreicht hat: Angeblich hätte ich eine Werbemail an einen beruflich genutzten Account gesendet:

Faelschungspam

Man sieht sehr schnell, dass es eine Fälschung it. Wenn ich wirklich an eine Adresse der Domain "opitec.de" gesendet hätte, dann erwarte ich keine Antwort von der Rechtsabteilung von GMX. Ein Blick in den Header zeigt auch den ersten Mailserver.

Received: from 200-233-247-072.xd-dynamic.ctbcnetsuper.com.br ([200.233.247.72] helo=gmx.de) by mx0.webpack.hosteurope.de (80.237.138.5, mi025.mc1.hosteurope.de) using smtp id 1HeyDy-0008D1-9f
Message-ID: <186D404B.DFC3EF2@gmx.de>
Date: Fri, 20 Apr 2007 11:51:26 -0800

Mir wäre neu, dass GMX oder Opitec zum Versand dynamische Adressen in Brasilien nutzt. Aber Millionen solcher Mails führen letztlich doch zu vielen Nachfragen weniger versierter Anwender bei GMX oder Opitec, die beide unschuldig und anfangs noch unwissend sind, was da gerade passiert. Interessant hierbei war, dass die Mail nicht durch Tippfehler oder sonstige Ungereimtheiten auffällt und sehr viele Paragrafen zitiert.

Auch "Google" ist nicht vor Fälschungen sicher. Einige Spamfilter erkennen natürlich solche Massenmails aber die Mail ist relative sauber geschrieben und der Link hinter dem "click here" zeigt, wie einfallsreich doch Spammer immer wieder sind.

Eine generelle Lösung für solche Probleme könnte es natürlich sein, wenn immer mehr seriöse Firmen ihre Mails endlich digital signieren würden. Die meisten Empfänger können heute schon SMIME überprüfen. Ob Sie das aber tun, ist natürlich fraglich und noch mehr, wie sie auf nicht signierte Mails reagieren.

Weitere Links