Wenn ich ein Spammer bin...
Versetzen Sie sich in die Lage eines Spammers, Phisher oder eines anderen Täters, der Mails zuverlässig in wenige zielgerichtete oder viele Postfächer zustellen möchte. Dann müssen Sie sich mit dem aktuellen Spamschutz der größeren und kleinere Firmen und Provider auseinander setzen. Was würde ich dann tun, um eine gute Zustellung zu erreichen und welche Schlüsse sollten Sie als legitimer Versender daraus ziehen?
Kontozugriff
Der "Golden Key" ist natürlich der Zugriff auf ein Kundenkonto. Ich kann dann die bestehenden Konversationen mitlesen und darauf die Kommunikationspartner zielgerichtet mit einer Antwort dazu verleiten, weitere Dinge zu tun. Mit etwas Glück kann auch auch Rücksetzlinks von anderen Konten, z.B. Amazon, PayPal. etc. anfordern und weiteren Schaden anrichten. Aber das fällt alles erst mal nicht unter Spamversand.
Eigene Domain
Spamfilter sind wirklich nervig, zumindest wenn ich als Spammer meine Nachricht Millionenfach zustellen will und hoffentlich genug Idioten darauf reagieren. Ich versuche meine Mail so zu schreiben, dass Sie von Spamfiltern möglichst nicht oder nicht zu schnell erkannt wird. Aber natürlich helfen ich den Empfängern meiner Seriosität zu prüfen, indem ich einen korrekten SPF,- DKIM- und DMARC-Eintrag per DNS veröffentliche und meine Mail per DKIM signiere. Das ist einfach, kostet nichts und viele Administratoren haben noch nicht versanden, dass diese Einträge keine einzige Spam-Nachricht abhalten, wenn ich meine eigene Domain nutze.
Info: Wir werden bei NoSpamProxy das Spamverhalten aus und oft sehen wir neue Domains, die nur für ein einziges Massenmailing über einige Stunden genutzt werden und dann nie wieder erscheinen. Domains sind wohl billig und es macht bei diesem Nutzungsverhalten wenig Sinn, eine "Deny-Liste" zu pflegen.
Schwache SPF-Einträge
Aber als Spammer kann ich vielleicht viel mehr Empfänger erreichen, wenn ich quasi unter "fremder Flagge" segle. Ich bediene mich einfach einer schon lange im Markt eingeführten Domain von Firmen. Und da schaue ich erst einmal, was diese Firmen so von sich veröffentlicht haben. Die großen Mail-Provider (Hotmail, GNail, Yahoo) sind ziemlich aktuell, was SPF und DKIM betrifft aber viel Absender sind bei weitem noch nicht so weit aber SPF machen doch schon sehr viele.
Also suche ich erst einmal Domains, die noch keinen "strengen" SPF-Eintrag haben. Da gibt es, wie sie sicher wissen, mehrere Einstellmöglichkeiten am Ende
SPF Eintrag |
Bedeutung |
---|---|
Nicht vorhanden |
Super für ich als Spammer. Kein Empfänger kann erkennen, dass ich nicht legitimiert bin |
?all |
Neutral zählt wie kein Eintrag. Also Feuer frei |
~all |
SoftFail, d.h. ein Empfänger sollte es nicht so ernst nehmen und annehmen aber kennzeichnen. Ich kann als Spammer zwar auch noch Mails zustellen aber oft sehen die Empfänger dies sofort oder die Mails landen eh in einer Quaranäne |
-all |
Verflixt, das wird schwer sich mit der Domain als Absender einzuschleichen |
Eigentlich sollten heute alle Administratoren ihre Domains mit einem "-all" schützen, damit ihre Domain nicht allzu einfach von Spammern missbraucht werden kann. Sie schonen nicht nur ihre Nerven, sondern erlauben es ihren Geschäftspartnern auch, Phishing-Mails direkt abzulehnen.
DKIM kaschiert SPF-Probleme
DKIM ist ebenfalls kein Spamfilter zum Ablehnen unerwünschter Mails sondern ein Verfahren, wie ein Absender nachweisen kann, dass seine Mail authentisch und unterändert ist. Dazu werden relevante Teile der Mail in einem Hashwert zusammengefasst, der digital signiert in den Header der Mail addiert wird. Das passende öffentliche Schlüsselmaterial wird per DNS bereitgestellt.
Ein Empfänger kann somit prüfen, ob die Mail und deren Inhalt vom Absender versendet wurde. Als Firma könnten Sie z.B. eine Liste ihrer Lieferanten und Kunden mit deren DKIM-Status führen und alle Mails ablehnen, die nicht signiert sind. DKIM ist wichtig, um in Zeiten von immer strengeren Spamfiltern die eigenen Mails zuverlässiger zuzustellen.
Als Spammer kann ich natürlich auch weiter eine nicht DKIM-signierte Mail mit ihrer Domain versenden aber dann muss ich immer noch die SPF-Prüfung bestehen. Für den legitimen Benutzer kann die SPF-Prüfung sogar fehl schlagen, wenn der Empfänger die DKIM-Signatur prüft. Der richtige Absender kann zuverlässiger zustellen ohne dem Spammer einen Vorteil zu verschaffen.
Schwache DMARC-Einträge
Modernere System nutzen DMARC, um dem Internet mitzuteilen, wie eigene Mails versendet werden, wie streng die Absender (Stichwort: Alignment) betrachtet werden und wer einen Report bekommt. Den DMARC-Eintrag kann ich per DNS einfach auslesen. Auch hier gibt es gute und weniger gute Einstellungen.
DMARC Policy |
Bedeutung |
---|---|
Keine |
Wenn ich keine Richtlinie veröffentliche, dann kommen die klassischen Spamfilter wie SPF zum Einsatz und optional DKIM um selbst mit einem SPF-Fail die Mail vielleicht doch zuzulassen. |
p=none |
Eine DMARC-Policy "none" sagt dem Empfänger, dass er auch bei fehlerhaften Prüfungen die Mail nicht ablehnen oder in Quarantäne stecken soll. Der Eintrag überschreibt sogar ein "SPF -all", wenn sich der Empfänger danach richtet. Er aktiviert aber auch ein "DMARC Alignment" (Siehe auch DMARC-Validation), so dass auch der Absender im Header bei der Prüfung einbezogen wird, was ggfls. bei Weiterleitungen Probleme machen kann. Jetzt wissen sie aber, warum Domain mit einer DMARC- "p=NONE" Eintrag für Spammer erst recht interessant ist, da Sie damit ihre SPF-Vorgaben aushebeln. |
p=quarantine |
In dem Fall weisen Sie den Empfänger an, dass er Mails, die sowohl SPF als auch DKIM nicht bestehen, beim Benutzer in die Quarantäne abgelegt werden sollen. Damit wird diese Domain für Phishing natürlich weniger reizvoll. |
p=reject |
Ein Phisher, der weder SPF noch DKIM besteht, bekommt seine Mail nicht los und wird dies auch merken. Die Domain ist vielleicht etwas interessanter für den Phisher, da er anhand der Ablehnung erkennen kann, dass beim Empfänger eine aktuelle Technik genutzt wird. Ob er das Ziel dann zukünftig ausspart und sich auf schwächer geschützte Ziele beschränkt, kann ich nicht sagen. |
Auch hier sind ein "p=reject" und vielleicht noch eine strenges Alignment eigentlich ratsam.
Aber sie sollten dennoch erst einige Wochen mit "q=none" und aktiviertem Reporting starten, damit Sie Fehler durch Weiterleitungen etc. erkennen können. Aber der Zustand sollte auf dem Weg zum "p=reject" nur von kurzer Dauer sein, denn sie überstimmen einen bislang vorhandenen SPF-Eintrag.
Durch DMARC haben sie in dieser Übergangszeit die Möglichkeit, von kompatiblen Absendern entsprechende Reports zu erhalten. die Reports haben nicht das Ziel, dass die die Server und Provider der Spammer/Phishing-Versender ausfindig machen können. Das geht zwar auch aber sie können nicht wirklich damit beim Provider oder Strafverfolgungsbehörden etwas in Gang bringen.
Vielmehr sollten Sie die Reports nutzen, um ihre legitimen Server zu finden, die bei einer späteren Umstellung auf "p=reject" auch nicht mehr versenden könnten.
Was muss ein guter Admin tun?
Es liegt allein beim Administrator des Mailserver für eine Domain, ob er es Spammern und Phishing-Sendern einfach oder schwer macht, die eigene Domain zu missbrauchen. Wer im Internet nicht per DNS veröffentlicht, welche Mailserver legitime Versender für eine Domain sind und welche DKIM-Signatur gültig ist, schützt seine eigene Domain nicht ausreichend.
Das Ziel ist hier nicht die Abwehr von Spam an die eigene Domain, sondern der Schutz der Geschäftspartner vor gefälschten Mails im Namen ihrer Domain. Sie profitieren aber indirekt davon, dass sich niemand mit ihrer Domain ausgeben kann, z.B. weil Sie alles getan haben, um Phishing zu verhindern, ihre Domain zu schützen und das Problem beim Empfänger zu suchen ist, der keine SPF/DKIM/DMARC-Prüfung umgesetzt hat.
Spammer und Phisher nutzen daher immer mehr eigene Domains, für die Sie SPF, DKIM und DMARC selbst steuern können. Gegen ähnlich klingende Domains helfen nur aufmerksame Menschen, die auf so eine Mail reagieren.
Womit wird wieder bei der Seite SPF, DKIM und DMARC jetzt! sind