Spam und UCE - Störer im Umfeld

Jede Software, die Mails klassifiziert und bei bedarf filtert, blockiert oder verändert unterliegt dem Risiko, auch eine erwünschte Mail irrtümlich zu verändern. Dies ist natürlich nicht gewollt. Einige Produkte  versuchen den Schaden von False Positives geringer zu halten, in dem diese eine unzustellbarkeit oder Benachrichtigung an den Absender senden. Schade, wenn der Spammer eine echte Adresse fälscht. (Siehe auch Fälschung).

  • Klassische unzustellbarkeit
    Kann ein Mailserver eine von ihm erhaltene Mail nicht zustellen oder weiterleiten, dann muss er entsprechend der RFC eine unzustellbarkeit erzeugen. Besser wäre es natürlich, wenn ein Mailserver eine solche Mail nicht annehmen würde, damit das einliefernde System den NDR erstellt. Aber Fakt ist, dass sehr viele Firmen einfach alle Mails erst einmal annehmen. Senden Sie dann jedoch einen NDR, dann werden Sie zu Störer, da Spammer auch an falsche Adressen mit gefälschten Absendern senden. Wenn Sie jedoch keine NDR-Mitteilung versenden, dann verletzen Sie genau genommen die RFC und nehmen jedem Sender die Chance eine vertippte Adresse zu erreichen.
  • Viren
    Früher haben sich diese Nachrichten eingebürgert, um einen Absender über die versuchte Übertragung eines Virus zu informieren. In Zeiten, als Virenscanner noch seltener eingesetzt waren was dies ein netter Service, der dem ein oder anderen Privatanwender einen wichtigen Hinweis gegeben hat. Heute ist es aber eher kontraproduktiv, da Viren gefälschte Adressen verwenden.
  • Und einige mehr

Das Problem dieser Störer ist aber nicht nur, dass der Empfänger sich eventuell darüber ärgert, sondern dass sowohl beim Empfänger aber auch beim Absender teils erhebliche Kosten auftreten können.

Hier sind ein paar Beispiele für Störer. Wobei dabei die Produkte eher sekundär sind, sondern viel mehr der Administrator anscheinend sich der tragweite seiner Konfiguration nicht ganz im klaren ist.

Echte NDR sind keine Störer, falsche NDRs schon

Es ist völlig normal, dass sie beim Versand einer Mail an einen nicht existenten Empfänger und unzustellbarkeitsmeldung erhalten. Aber was machen Sie, wenn jemand mit ihrer Absenderadresse Tausende von Mails an nicht existente Empfänger versendet ?. Dann landen in ihrem Postfach im schlimmsten Fall tausend solcher unzustellbarkeitsanzeigen. So geschehen am 9. April:

Vermutlich ein Virus hat innerhalb weniger Minuten sehr viele Mails mit meiner Absenderadresse (siehe Fälschung) versendet. Sehr viele Systeme haben die Mail angenommen und erst dann eine unzustellbarkeitsmeldungen zurück gesendet. Und nahezu alle fügen die original Mail als Anlage. So konnte ich dann zumindest ermitteln, welcher Virus dahinter steckt.

Der Virus sendet sich selbst als ZIP-Anlage an einer Mail mit. Wenn man das ZIP-File öffnet, dann könnte der Eindruck entstehen, dass es sich "nur" um eine "document.htm"-Datei handelt. Erst beim genaueren Hinsehen ist die tatsächliche Erweiterung ein "SCR". Also ein direkt von Windows ausführbares Programm (ähnlich einer EXE-Datei). Notepad offenbart dann auch diesen Sachverhalt (Das "MZ" am Anfang kennzeichnet ausführbare Programme)

Die Tatsache, dass ich die Dateianlage speichern konnte, war zugleich das Zeichen, dass dieser Virus sehr "frisch" sein musste, denn keiner meiner Scanner hat darauf angeschlagen.

Wenn ihr Mailserver erlaubt, beim Empfang schon zu prüfen, ob die Mail überhaupt zugestellt werden kann, dann sollten Sie dies tun und Mails an nicht existente Personen ablehnen. Ein guter Absender erhält dann eine NDR von seinem eigenen Mailserver. Ein Spammer, der direkt per SMTP versendet, wird die Mail nicht los, aber erspart dem angeblichen Absender die NDRs. Wenn der Spammer jedoch ein offenes Relay verwendet, dann wird es Zeit eben diesen Administrator auf seinen Fehler aufmerksam zu machen oder offene Relays über entsprechende Filter (Siehe RBL) auszublocken. Details zum Thema NDR finden sie auch auf NDR-Spamming.

Störung durch Filter

Diese Nachricht ist in diesem fall an den Empfänger versendet worden. Eine Mail an ihn wurde aufgrund eines unerwünschten Anhangs blockiert. d.h. wenn ich aber als Virus aktiv werde, dann füllt sich das Postfach des Ziels mit vielen dieser Nachrichten und es wird immer schwerer heraus zu finden, was "False Positives" sind. Hier sind zwei Beispiele von Lösungen zu sehen, die den Absender informieren, wenn Sie eine Anlagen nicht weiter geben.

In diesem Beispiel wurde eine Anlage von mir von einem anderen Mailserver blockiert. Das ist zweckmäßig um Viren etc. zu verhindern. Sendet dieses System jedoch eine unzustellbarkeit, die zudem nicht als NDR, sondern als normale Mail gekommen ist, dann bedeutet dies, dass ein Spammer oder Virus mit falscher Absenderadresse dieses System zum Störer werden lässt. Zudem könnte eine Regel oder ein "automatisches Antworten" meines Systems zu zusätzlicher Last oder sogar zu einer Schleife führen.

Folgende Mail wurde von MailControl an den Empfänger weitergeleitet. Der Text lässt aber darauf schließen, dass auch hier eine ähnliche Mail auch an den Absender erstellt werden könnte. (Hier aber nicht gemacht wird)

 

Beide Meldungen sind nur als Beispiel und nicht als Mangel an den genannten Produkten zu verstehen. Ob ein Filter eine Nachricht an den angeblichen Absender zurück sendet ist fast immer einstellbar. Ich möchte Ihnen nur bewusst machen, welche Auswirkungen dieser "Service" haben kann.

Störung durch Spamfilter

Ein Versuch, die Spammer zu behindern ist die Rückfrage beim Absender und die Bitte, die Mail noch mal frei zu geben. Aber auch dies ist natürlich nicht frei von einem Störpotential. Hier am Beispiel von Earthlink.

Auch dieser Versuch ist nett gemeint, um automatische Spammer, die solche Rückläufer nicht lesen werden, zu blockieren. Dummerweise werden Spammer diese Rückläufer schon daher nicht lesen, da sie mit einer gefälschten Absenderadresse arbeiten und die Mail gar nicht beim Spammer ankommt.

Störung durch Infomails

Als wenn das alles noch nicht genug wäre, gibt es immer noch einige Firmen, die ihnen zugesandte Nachrichten immer bestätigen. So habe ich folgende Mail von einer Bank erhalten, die meine Anfrage per Mail sofort mit einem mehr oder minder verklausulierten Hinweis quittiert hat, dass Mail kein Kommunikationsweg für Bankgeschäfte ist.

Das ist mir auch bekannt und ich werde so schnell auch keine Geschäfte per Mail abwickeln, so lange Signierung und Verschlüsselung nicht gelöst sind. Trotzdem ist es aus meiner Sicht sehr gefährlich, eine 10Kbyte große "Empfangsbestätigung" zu senden. Als Angreifer könnte ich dann mit einer gefälschten Absenderadresse (Siehe Fälschung) tausend kleine Mails versenden und die freundlichen Bestätigungen würden bei dem missbrauchten Postfach eine Menge Datenmüll bedeuten. Ich probiere das nun nicht aus und ich hoffe, das dieser Sender so schlau ist, dass eine Mail nicht zu einer Schleife führt, d.h. wenn ich eine Mail an diese Bank sende und eine Absenderadresse wähle, dessen Mailsystem ebenfalls eine "Bestätigung" sendet. Aus dem Header der Mails ist nicht ersichtlich, dass es sich um eine "Quittung" handelt. Diese Beschreibung ist keine Aufforderung, es auszuprobieren.

Eine solche Mail von einer Bank macht mir immer wieder deutlich, dass dort einige Damen und Herren noch nicht verstanden haben, was Sie tun könnten. Aus meiner Sicht wäre es für Banken ein einfaches als Zertifizierungsstelle aufzutreten und damit nur Vorteile zu erhalten:

  • Sie können die Kunden persönlich bzw. sind zur Identitätsfeststellung angehalten
  • Sie haben das Know-how, Chipkarten zu erstellen und sicher zu verteilen
  • Sie haben die Technik, um verfallene Karten einzuziehen (Geldautomaten)
  • Sie haben den größten Nutzen, wenn neben der PIN eben auch ein Zertifikat nutzbar ist (Kartenleser vorausgesetzt). HBCI kann ja gerade mit Chipkarten arbeiten.
  • nebenbei wäre eine sichere Kommunikation möglich, wenn das Zertifikat einem Mailprogramme zur Verfügung stehen würde
  • Die notwendigen Kartenleser wären aufgrund der Masse sicher für 20 Euro und weniger zu erhalten.

Und dann wäre es auch sehr einfach, dass nicht nur ich meine Daten "verschlüsselt" an die Bank sende, sondern auch dass die Bank vielleicht Statusmeldungen etc. verschlüsselt zu mir sendet. (Das war eigentlich meine Anfrage). Aber das ist ein anderes Thema und vielleicht springen die Krankenkassen ein, die ja auch schon massenhaft Chipkarten verteilen.