E-Mail Bombing

Erhalten Sie manchmal sehr viel Spam-Mails auf einen Schlag? Das ist kein Fehler eines Mailservers sondern Absicht.


Erstellt mit Bing KI

Wichtige legitime Mails

Normalerweise machen Spamfilter ihren Job recht verlässlich und oft kommt nur ab und an eine Mail irrtümlich durch. Natürlich sollte ein Spamfilter möglichst keine legitimen erwünschten Mails blocken. Wenn Sie sich bei einem Newsletter anmelden, dann nutzen seriöse Betreiber ein "OptIn"-Verfahren. Dazu senden Sie an die eingegebene Mailadresse eine Bestätigung. Beim "DoubleOptIn" ist dies eine Bestätigungsanfrage und sie müssen aktiv werden, z.B. darauf antworten oder einen Link klicken. Andere Dienste senden eine Mail, wenn sich etwas wichtiges mit ihrem Konto tut, z.B.:

  • Sie haben sich erstmals an einem neuen System angemeldet
    Sie kennen diese Mails oft bei der Inbetriebnahme eines neuen PCs oder Smartphone, welches Sie neu einrichten. Hier ein Beispiel von Amazon:
  • Bestellbestätigung
    Auch eine Bestellung von Waren in einem Internet-Shop wird heute mit einer Bestätigung gemeldet. So sehen Sie, dass die Bestellung eingegangen ist und können Fehler ggfls. korrigieren.
  • Bezahlung z.B. per PayPal
    Einige Banken senden schon Meldungen über Zahlungen aber nutzen dazu meist ihre App und keine (unverschlüsselte) Mails. Aber Dienste wie PayPal senden Informationen zu Transaktionen auch per Mail.

Das sind alles legitime Nachrichten, die sie als Anwender auch sehen und kontrollieren wollen. So eine Mail sollte nicht im Spamfilter landen und übersehen sollten Sie diese auch nicht.

Case 1: Anrufen und helfen

Ein Angriffsvektor ist tatsächlich der persönliche Kontakt. Der Täter sendet erst von vielen Adressen ebenso viele Mails an ihr Postfach und ruft sie dann "sorgenvoll" an. Über den MX-Record kann der Täter ja den Hoster für ihre Postfach ermitteln und sich dann als "Supporter" dieser Firma ausgeben und z.B. einleiten mit:

Hallo Herr XXX. Sie betreiben ihr Postfach bei uns mit der Mailadresse xyz und wir haben gesehen, dass in der letzten Stunde sehr viele Mails an ihr Postfach zugestellt wurden. Wir vermuten daher, dass der Zugang zu ihren Postfach nicht mehr sicher ist oder Sie auf ihrem Computer einen Virus haben, der für diese Mails ursächlich ist. Da sie unser Kunde sind, möchten wir dies gerne mit ihnen kontrollieren und lösen. Könnten Sie auf ihrem Computer bitte folgende Webseite ....

Ich bin sicher, dass viele Anwender sich dann für die Unterstützung bedanken und dem Helfer am Telefon gerne folgen, der aber nach Zugriff auf den Heimcomputer natürlich einen "Virenscanner" herunterlädt und ausführt. Nur dass der Virenscanner selbst die Malware ist.

 

Case 2: Verstecken durch Fluten

Alle drei Beispiele (Anmeldung, Bestellung, Zahlung) sind aber auch Vorgänge (Events), die durch missbräuchliche Nutzung ausgelöst werden. Wenn jemand z.B. ihr Konto "gekapert" hat und sich anmeldet um dann Waren auf ihren Namen aber eine andere Adresse zu bestellen oder mit einem PayPal-Gastkonto eine Bezahlung von ihrem Girokonto veranlasst, dann würde eine solche Mail natürlich eine mehr oder minder schnelle Reaktion von ihnen auslösen. Daran hat ein Täter natürlich kein Interesse.

Sofern diese Täter nicht schon Zugriff auf ihr Postfach haben, und damit diese Mails aufgrund eines Missbrauchs direkt beim Eingang löschen oder durch Regeln umleiten lassen, müssen Sie andere Techniken anwenden. Hier kommt dann das "E-Mail Bombing" in den Fokus. Als Spammer kann ich versuchen, ein Postfach mit sehr vielen Mails zu traktieren. Zwar wird ein Spamfilter viele Mails ausfiltern aber es reicht, wenn eine größere Zahl dennoch ankommt. Es könnte auch sein, dass der Provider die eingehende Mails gar nicht mehr annimmt, weil Sie ein Quota überschritten haben. Solche Grenzwerte gibt es für verschiedene Provider:

Andere Anbieter haben ganz sicher auch Limits, auch wenn diese nicht leicht auffindbar veröffentlicht werden.

Das Ziel des Täters ist, dass Sie echte und wichtige Mails über Bestellungen, Bezahlungen oder Anmeldungen nicht sofort sehen oder im Idealfall gar nicht sehen, weil Sie all die vielen unerwünschten Nachrichten einfach ungesehen löschen. Stellen Sie mal vor, in ihrem Postfach wären 100 "PayPal Bezahlung"-Meldungen, die alle vergleichbar aussehen aber fast) alle falsch sind. Da zuckt der Finger auf der Maus recht schnell, diese Mails zu markieren und zu löschen.

Das ist aber der Hebel, an dem nun Täter ansetzen. Sie lassen vor bzw. während ihrer Aktion sehr viele Mails an ihr Postfach zustellen, indem Sie diese entweder selbst auf die Reise senden oder sich z.B. bei schlecht gesicherten Newslettern mit ihrer Adresse anmelden. Hier ein Auszug aus einem Message Tracking meiner NoSpamProxy-Kollegen:

Da wurde ein einzelnes Postfach innerhalb von zwei Minuten in 22 Newslettern erfolgreich eingetragen.

Das sollte auch eine Warnung an alle Betreiber eines Newsletter sein. Schützen Sie die Eintragung z.B. durch Captchas o.ä., damit keine automatischen Prozesse mit ihrem "Service" solche Massenmails versenden. Sehr schnell wird damit ihre Domain auf Stoplisten landen.

Das gilt auch für Mailserver, die Mails annehmen statt ablehnen und dann eine Unzustellbarkeit senden (Siehe NDR-Backscatter) Wenn Sie so einen "Service" betreiben, dann

Öffentliche Warnungen

Und das ist nicht nur theoretisch:


Quelle: https://www.hhs.gov/sites/default/files/email-bombing-sector-alert-tlpclear.pdf

und


https://www.hhs.gov/sites/default/files/email-bombing-sector-alert-tlpclear.pdf 

Das Verhalten ist sogar dem amerikanischen Health Sector Sybersecurity Coordination Center (HC3) eine Warnung wert.

https://www.hhs.gov/sites/default/files/email-bombing-sector-alert-tlpclear.pdf 

Daher ist es so wichtig, dass sie ihre Domain gegen Missbrauch schützen, z.B. durch einen strengen SPF-Eintrag (-all) und ihre eigener Mailserver auch SPF prüft, damit sie nicht als Helfer für solche Angriffe gegen andere Benutzer werden.

Reaktion

Damit stellt sich die Frage, ob wir dieses Problem nicht lösen können. Im Grunde gibt es für fast alles eine Lösung aber sie ist nicht immer praktisch:

  • App statt Mail
    Einige Dienste nutzen heute schon eine App auf dem Smartphone, um den Kontakt zum Kunden zu halten und zu intensivieren. Amazon ist nur ein Beispiel. Über den Weg könnte ein Anbieter sehr schnell, quasi "realtime", seinen Kunden über eine Aktion auf seinem Konto informieren. Die App ist dann quasi immer "verbunden", was natürlich auch eine Datenschutzthema ist, da der Anbieter als Telemetrie auch Daten des Kunden bekommen kann.
    Andere Kommunikationswege wie SMS wären auch möglich, wenn der Angreifer keine Rufnummer des Opfers hat und per SMS-Spam dies auch torpediert.
  • MFA/2FA
    Gegen übernommene Postfächer helfen eigentlich nur sehr gute Kennwort und idealerweise eine Zwei-Faktor-Anmeldung oder PassKeys (FIDO etc.) Viele Probleme fangen damit an, dass der Täter z.B. durch einen Breach an gültige Zugangsdaten gekommen ist. Eine "Anmeldung" auf einem Desktop kann problemlos mit einer Bestätigung auf dem Smartphone (Authenticator App, Anbieter-App) kombiniert werden.
  • PayPal muss besser werden
    Das deutsche System der Girokonten und das Bezahlen darüber ist nett aber wenn ein Täter genug Informationen über Sie weiß, kann er bei einigen Shops direkt oder über PayPal oder andere Zahlungsdienstleister ein "Bezahlung per Bankeinzug" auslösen. Leider sind die meisten Informationen in Zeiten von Social Network (Adresse, Geburtstag etc.) schon öffentlich und eine Bankverbindung kann man auch nicht geheim halten. Firmen liefern die Kontoverbindung quasi über ihr Briefpapier mit.
    Natürlich können Sie eine nicht legitime Abbuchung wieder zurückbuchen lassen, wenn sie es denn gesehen haben. Es ist aber mit Arbeit verbunden und der betrogene Lieferant muss auch überzeugt werden, dass Sie auch nur Opfer sind.

Sollten Sie in ihrem Postfach sehr viele Mails in sehr kurzer Zeit finden, dann könnten sie das Ziel eines Missbrauchs sein. Sie sollten dann möglichst nicht die Mails einfach löschen, sondern mühsam jede Mail zumindest kurz anlesen. Es könnte eine "wichtige Mail" dazwischen sein, die sie besser nicht bei übersehen oder ungesehen löschen.

Spamfilter

Natürlich kommt auch gleich der Ruf nach einem Schutz durch Spamfilter. "Das kann doch nicht so schwer sein". Es ist aber gar nicht einfach eine legitime "OptIn/DoubleOptIn-Mail" eines Newsletters oder Webshops von diesen generierten Mails zu unterscheiden. Sicher könnten Sie fordern, dass die Dienste, die eine Eintragung erlauben, ihre Formulare besser absichern, z.B. durch Captchas oder Anmeldung mit föderierten Konten (Microsoft, Google, Apple, Facebook etc.) Aber es wird immer genug "Einsteiger" im Internet geben, die solche Angebote erst einmal nicht absichern, denn es kostet sie ja nichts. Früher haben Mailadmins die "bösen offenen Relais" über Listen blockiert aber für Newsletter gibt es das nicht und der Aufbau würde lange dauern.

Die meisten Listserver lassen sich aber recht gut anhand der Header erkennen. Sie haben oft einen "Unsubscribe"-Header, den sie auswerten können. Hier mal ein Beispiel:

List-Id: <newsletter.msxfaq.de.q66n-xx.mj>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
List-Unsubscribe:
	<mailto:unsub-xxxxxxxxx@bnc3.mailjet.com>,
	<https://nl.msxfaq.de/unsub2?m=Abo....&b=33xxxxx&e=81xxxxxx=7Fpxxxxxxx>
Precedence: bulk
X-CampaignID: 10
X-CSA-Complaints: csa-complaints@eco.de
X-MJ-Mid: AboA........
X-MJ-MIMEMessageStructure: no-related
X-REPORT-ABUSE-TO: Message sent by Mailjet please report to 	abuse@mailjet.com with a copy of the message

Diese Header sind bei vielen Massenmailern sowohl bei der "OptIn"-Mail als auch bei den regelmäßigen Mails. Das könnte für Spamfilter eine Möglich sein, die Anzahl dieser Mails von neuen Absendern pro Zeiteinheit zu drosseln. Eine Filter könnte ja ermitteln, wie viele Mails mit "Precedence: Bulk" pro Zeiteinheit ankommen und Abweichungen nach oben sanktionieren. Dies könnte noch optimiert werden, wenn schon lange bekannte Absender weniger gewichtet würden. Natürlich kann ein neue Mitarbeiter sich am ersten Tag gleich mit seiner neuen Adresse wieder eintragen aber das sind sicher keine hunderte Mails in kurzer Zeit

Als schnelle Lösung könnte eine Transportregel in Exchange helfen, die Mails anhand eines Headers blockiert. in Quarantäne stellt oder im Betreff z.B. durch ein Prefix kennzeichnet. Eine Outlook-Regel auf dem Client könnte die Mals direkt in eine eigenen Ordner verschieben.

Die wichtigen Mails von PayPal, Amazon, Banken etc. haben vermutlich kein Bulk-Kennzeichen oder Unsubscribe-Link oder Bulk-Kennzeichnung. Das haben zwar auch wieder nicht alle Newsletter aber doch viele.

Weitere Links