Ein Großteil der auf diesem Wege verbreiteten Nachrichten rührt nach Angaben von MessageLabs die Werbetrommel für die Dienste von ‘Canadian Pharmacy’, eine einschlägig bekannte Spam-Schleuder. Verteilt werden die Werbemails über ein vergleichsweise kleines, eventuell neues Botnet.
Bei Yahoo werden E-Mails normalerweise über die Benutzeroberfläche der Webmail-Anwendung verschickt. Jedoch bietet der Anbieter den Nutzern auch die Option, auf SMTP zurückzugreifen, um Nachrichten über ein E-Mail-Programm wie Microsoft Outlook Express oder Mozilla Thunderbird zu versenden.
Die mit der neuen Spam-Technik verteilten Nachrichten werden mittels SMTP über die Server von Yahoo verschickt, um zu gewährleisten, dass sie jeweils korrekt mit der DKIM-Methode (DomainKeys Identified Mail) von Yahoo signiert werden. Dieses Verfahren zur Absender-Authentisierung nutzt digitale Signaturen im Header, die anzeigen, dass eine Nachricht tatsächlich von Yahoo stammt und keine Fälschung ist.
Das Ziel dieser Strategie liegt auf der Hand: Die so erzeugten Nachrichten sind von Abwehrtools schwer anhand der Absender-IP-Adressen als Spam zu identifizieren und abzufangen. Die für Spam-Zwecke genutzten Yahoo-Accounts wurden offenbar mit automatischen Tools angelegt – vermutlich unter Ausschaltung der Captcha-Mechanismen, die der Anbieter verwendet. Darauf deutet die Tatsache hin, dass alle Accounts bisher ein einheitliches Format haben und ausschließlich auf die Domain @yahoo.co.uk enden.
Yahoo nutzt Mengenbegrenzungs-Techniken, damit Spammer über den Webmail-Dienst nicht zu viele Werbenachrichten auf einmal verbreiten können. Diese Verfahren regeln jedoch lediglich, wie viele E-Mails sich von einem Account in einem Zeitraum verschicken lassen. Die Spammer konnten diese Beschränkung umgehen, indem sie in kurzer Zeit tausende Benutzerkonten anlegten.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
View Comments
Erfreulich: DKIM verhilft zu einem weiteren, präziseren Spam-Kriterium
> Das Ziel dieser Strategie liegt auf der Hand: Die so erzeugten
> Nachrichten sind von Abwehrtools schwer anhand der
> Absender-IP-Adressen als Spam zu identifizieren und abzufangen.
Um über die relativ grobe Filterung per IP-Blacklists hinaus ein feineres Instrumentarium zur Filterung von Mails authentifizierender ISPs zur Verfügung zu haben, haben wir seit Februar 2008 http://www.agitos.de/dkim-reputation-project.html aufgebaut:
- DKIM Reputationen werden anhand der DKIM signierten Spammails aus dem NiX Spam Projekt des Heise-Verlags gebildet
- zunächst werden Spamhits auf User-Ebene registriert und einzelnen Usern negative Reputationen vergeben
- übersteigt die relative Anzahl von Spammern pro Domain mit Abhängigkeit des Maildomain-Durchsatzes einen Schwellwert, wird auch der Maildomain negative Reputation vergeben
Das bedeutet im Fall yahoo.co.uk, dass derzeit etwas mehr als 6000 Benutzeradressen unter dieser Domain blacklistet sind, die Domain yahoo.co.uk selbst aber wegen des relativ geringen Spammer-Anteils trotzdem eine positive DKIM-Reputation aufweist.
Fazit 1: das DKIM Reputation Project bietet ein weiteres Kriterium zur E-Mail-Bewertung in Spamfiltern auf Benutzer- und Sender-Domainebene.
Fazit 2: ISPs sollten auf Sender-Authentifizierung per DKIM umsteigen, näheres in Kürze unter http://wiki.ak-senderauth.eco.de
Fazit 3: wir werden, alsbald möglich, die Daten unseres DKIM Reputation Projects per DNS abfragbar mit entsprechenden Filterclients zur freien Verfügung stellen
Fazit 4: wir werden ISPs die Möglichkeit geben, ein gezieltes Reporting über Spamaccounts in eigenen ISP-Domains zu "abonnieren". Im Fall yahoo.co.uk konnten wir im März bereits einen Erfolg erzielen: nach Mitteilung der Spamaccounts an das Yahoo! Anti-Abuse-Department wurden diese Accounts gezielt gesperrt.
Autor: Florian Sager, Leiter des Arbeitskreises E-Mail Sender Authentifizierung des eco Verbandes