Billigdomains und Spammer

Meine Kollegen von NoSpamProxy sind ja immer am Puls der Zeit, was die neuen Angriffsmuster der Spammer betrifft und welche Besonderheiten diese immer wieder nutzen, um Filter auszutricksen. Auf dieser Seite geht es um die DNS-Domains, die in URLs gerne verwendet werden.

Domains als Absender und Links

Jede Mail hat einen Absender und damit eine DNS-Domain, die in eine Bewertung einbezogen werden sollte. Wenn eine Mail von einem bekannten Kommunikationspartner kommt, die zudem noch mit dem Mailserver übereinstimmt, dann ist die Spamwahrscheinlichkeit geringer, als wenn es eine neue unbekannte Domain ist. Aber auch eine bekannte Domains, die nicht durch SPF/DKIM/DMARC "gesichert" ist, wird gerne beim Phishing missbraucht. Umgekehrt starten immer mehr Spammer den Versand mit einer eigenen Domain, für welche die Prüfungen von SPF/DKIM/DMARC immer ein "fehlerfrei" liefert, was aber nicht zu einem Whitelisting führen darf.

Allerdings lernen Spamfilter dieser "SpamDomain" hoffentlich sehr schnell, um sie zu blockieren worauf die Spammer mit neuen Domains reagieren und schon haben wir wieder ein Wettrennen zwischen der Neuanlage von DNS-Domains und der Aufnahme in Sperrlisten.

Alle Spamfilter beziehen die DNS-Domains der Absender und der Links im Messagebody in ihre Bewertung ein. Die Absenderdomain wird mit SPF, DKIM und DMARC verifiziert, was auch für Spammer heute kein Problem ist und auch die Links sollen ja funktionieren. Die üblichen "Link-Verkürzer" werden ja schon durchweg kritisch von Spamfiltern bewertet und richtige gekaufte Domain haben meist nur eine sehr kurze Lebenszeit für Spammer, denn die Filter listen solche Domains sehr schnell aus.

Daher haben Spammer immer wieder Bedarf nach neuen unverbrauchten Domains, die sie einfach verwenden können. Eine Domain ist heute schnell beantragt und auch relativ günstig  aber wer tausende davon benötigt, muss auf die Kosten schauen. Entsprechend gibt es verschiedene Ansätze:

Subdomains

Ein Absender kann einfach weitere Subdomains unter einer Domain nutzen und darauf hoffen, dass ein Spamfilter diese wie getrennte Firmen betrachtet. Allerdings kennen gute Spamfilter natürlich, wo das NIC aufhört und der Kundenteil beginnt. In Deutschland ist das z.B. "<kundenteil>.de" während es in UK eine Ebene drunter beginnt, z.B. <kundenteil>.do.uk2. Insofern sollte bei dem Beispiel hier jeder Spamfilter diese Domains zusammenfassen.

Gekaperte/Redirect Domains

Die meisten dieser Domains hosten eigentlich Wordpress-Instanzen, die entweder unsichere Zugangsdaten nutzen oder Addons mit Lücken eingebunden haben, so dass Spammer und Co solche Domains zur Ablage ihrer Malware oder als Redirect-Service nutzen.

Ich bin recht pessimistisch, dass sich dieses Problem lösen wird, solange Bandbreite und Speicher günstig ist und die Provider nicht aktiv gegen solchen Missbrauch vorgehen.

Solange auch Anbieter "kostenfreie Webseiten" für die ersten Monate anbieten und ihre Kunden nicht ernsthaft verifizieren, werden wir auch immer mal wieder neue Domänen über diesen Weg sehen.

Auch Google und OneDrive sind immer mal gerne genutzte Domain, um z.B. einen Link eine Google-Suchanfrage zu starten, die dann die gewünschte Zielseite liefert oder der Spammer nutzt gleich einen Office 365 "Developer Tenant" o.ä., denn auch Microsoft ist nicht immer schnell solchen Missbrauch zu erkennen und zu unterbinden. Teils nutzen die Spammer hier gezielt sogar übernommene Benutzerkonten, meist aus dem EDU-Umfeld, um ihre Werbung zu versenden.

Kostenfrei-Domains

Bislang hatte ich immer gedacht, dass DNS-Domains immer etwas kosten, wenn Sie keine Subdomains eines Hosters sind. Aber im Sommer 2022 sind die ersten Mails mit Top-Level Domänen aufgetaucht, die nach einem Namensschema anscheinend in großer Zahl angelegt wurden.

Hier wollte ich dann doch mal wissen, was eine TK-Domäne denn kostet und der Eintrag in Wikipedia überrascht dann schon:

Im Gegensatz zu den meisten ccTLDs sind Domains unterhalb von .tk kostenlos, sofern sie aktiv genutzt werden. Dabei kann der Domain-Registrant entweder eigene Nameserver verwenden oder eine Web-Weiterleitung nutzen. Nicht genutzte, kostenlose Second-Level-Domains können innerhalb von drei Tagen ohne Vorwarnung gelöscht werden...

Die Top-Level-Domain .tk ist international dafür bekannt, besonders gerne von Betrügern genutzt zu werden. Insbesondere im Bereich Phishing geht von der Endung eine besonders große Gefahr aus, da nach einer im Herbst 2012 freigegebenen Studie mehr als die Hälfte aller derartigen Angriffe von .tk-Domains aus durchgeführt werden.

Quelle: Wikipedia .tk -  https://de.wikipedia.org/wiki/.tk

Und damit ist auch der zweite Absatz verständlich. Ich habe daher einfach mal den DNS-Server zu einer dieser Domains abgefragt:

Und unter "freenom.com" findet sich dann auch ganz schnell das "Angebot:


Quelle: http://www.freenom.com/en/freeandpaiddomains.html

Es sind nur wenige Mausklicks, um eine Domain mit ".tk", ".ml" oder anderen ausgewählten TLDs "for free" zu bekommen. Und als ICANN-registrierter Service könnte man darüber auch viele andere Domains "zum Selbstkostenpreis" beziehen.

Die Frage ist dann natürlich das Geschäftsmodell dieses Registrar, denn auch mit Automatisierung kostet der Betrieb Geld.

Wer also mal schnell kostenfrei eine DNS-Domain benötigt, z.B.: für Testfelder im Office 365 Umfeld, kommt hier schnell an solche Testdomains ran.

So leicht aber nicht nur legitime Anwendungen sondern eben auch Spammer und andere weniger erwünschte Firmen an Domains dieser TLDs kommen, sind diese Domains auch "weniger Wert". Eine seriöse Firma wird vermutlich eher eine ".de" oder ".com"-Domain anstreben als eine solche "Ramschdomain". Daher ist es nicht ohne Risiko, auf solchen Domains einen Service aufzubauen, wenn selbst Wikipedia direkt darauf hinweist, dass z.B. die ".tk"-Domain einen hohen Betrugsanteil hat.

Für einen Spamfilter ist es nicht nur einfach, solche Topleveldomains (TLD) grundsätzlich abzustrafen sondern es ist auch ein leichtes den dahinter stehenden Registrar zu ermitteln und entsprechend in die Bewertung mit einzubeziehen.

Einschätzung

Eine reguläre Domain kostete bislang immer einen, meist niedrigen, Betrag pro Jahr für den Besitzer um damit die Kosten der Registrierung zu decken. Das DENIC in Deutschland betreibt ja Server, Verwaltung etc. und auch wenn die Kosten pro Domain gering sind, ist damit eine Geld-Transaktion verbunden. Als Spammer muss ich daher meine Anonymität verlassen oder versuchen anderweitig die Leistung einzukaufen. Das ist durch Mittelsmänner, Strohmänner oder Kreditkartenbetrug nicht unmöglich aber ein Mehraufwand und auch die Provider als Vertragspartner schauen sich ihre Kunden immer genauer an.

Daher sind "Kostenfreie Domains", die nur mit einer Mailadresse beantragt werden können, ein neuer Weg für Spammer, an "offizielle" Domains zu kommen. Allerdings ist es auch für Spamfilter relativ einfach, diese Domains zu erkennen:

  • Am Namen
    Sie enden dann eben auf ".tk", ".ml", ".ga", ".cf" oder ".gq" und als professionelle Firma sollten Sie diese Domains daher besser meiden
  • Bekannte DNS-Server
    Die Anbieter solcher kostenfreien Domains wie "freenom.com" sind natürlich auch sehr schnell bekannt und verbrannt.

Es wundert mich daher nicht, dass einige Spamfilter schon diese Top-Level-Domains oder Domains, die von solchen DNS-Providern gehostet werden, entsprechend abstrafen.

Als seriöser Kunde sollten Sie daher genau hinschauen, zu welchem Provider sie sich mit ihrer Domains ins Bett legen, damit ihr seriöses Geschäft nicht als Kollateralschaden von einem negativen Rating betroffen ist.

Weitere Links