Commit f379c197 authored by tobias.dussa's avatar tobias.dussa

Initial version.

parent 75e07d8d
# Von Briefen, Fischen und Dosenfleisch
Ein nicht unerheblicher Teil aller am KIT verarbeiteten E-Mails sind vom
Empfänger nicht erwünscht. Wo diese E-Mails herkommen und wie man sich als
Empfänger verhalten sollte, wird in diesem Artikel diskutiert.
## Vier Schachteln
Grob kann unerwünschte E-Mail in eine von vier Kategorien eingeordnet
werden:
* »Normale« Spam-Mail, die irgendein mehr oder weniger zwielichtiges
Produkt auf mehr oder weniger fragwürdige Weise anpreist,
* sogenannte Backscatter-Mails, bei denen es sich um automatisierte oder
manuell verfasste Antwortmails auf Spam-Mails handelt,
* Spam-Mail, die Schadsoftware enthält, sowie
* Phishing-Mail, die darauf abzielt, dem Anwender sensible Informationen
zu entlocken, beispielsweise Anmeldedaten.
Insbesondere die letzten beiden Kategorien sind gelegentlich schwer
voneinander abzugrenzen; es handelt sich aber bei beiden um ein
IT-Sicherheitsproblem. Die ersten beiden Kategorien -- Spam und Backscatter
-- sind dagegen aus IT-Security-Sicht eher uninteressant.
## Grundlagen des Mailversands
Um die Schwierigkeiten bei der Vermeidung von unerwünschtem Mailempfang
besser zu verstehen, ist es nötig, einige grundlegende Eigenschaften von
E-Mails zu beleuchten.
E-Mails verhalten sich in vielerlei Hinsicht wie Briefe:
* Ein Absender kann seinen Brief im Prinzip in einen beliebigen
Briefkasten werfen. Analog kann eine E-Mail (mit gewissen technischen
Einschränkungen) über einen beliebigen E-Mail-Server versandt werden.
Gelegentlich bedarf es zwar vorher einer persönlichen Authentifizierung,
um über einen gegebenen Mailserver E-Mails versenden zu können, aber das
ist aus technisch notwendigen Gründen längst nicht bei allen Servern der
Fall.
* Der Absender muss im allgemeinen keineswegs seinen richtigen Namen auf
dem Briefumschlag als Absender vermerken. Vielmehr kann er einen
beliebigen Absender notieren. Genau so ist es auch bei E-Mails: Der in
einer E-Mail vermerket Absender muss nicht zwingend der tatsächliche
Versender der E-Mail sein. Tatsächlich ist das bei Spam- und
Phishing-Mails auch in der Regel nicht der Fall. Auch hier gibt es
gelegentlich zwar Einschränkungen, die der Mailserver, über den man eine
E-Mail verschicken möchte, durchsetzt. Beispielsweise ist es üblich,
dass ein Mailserver als Absender nur solche Mailadressen erlaubt, für die
er »zuständig« ist, der KIT-Mailserver also beispielsweise nur
Mailadressen, die auf »@kit.edu« (oder eine andere explizit zugelassene
Domain) enden. Für den Massenversand von unerwünschter E-Mail ist dies
aber unbedeutend, da der Absender ja beliebig gefälscht werden kann.
* Auch der Empfänger eines Briefes sowie einer E-Mail kann beliebig
gesetzt werden. Insbesondere muss die Empfängeradresse nicht existieren,
um sie verwenden zu können. Briefe wie E-Mails werden in diesem Fall
mit entsprechendem Vermerk an den Absender zurückgeschickt.
* Schließlich interessiert sich der Briefträger nicht dafür, was genau in
einem Brief steht -- er ist sogar verpflichtet, ihn auszuliefern. Ein
böswilliger Absender kann folglich einen Brief mit Juckpulver bestreuen
und anschließend versenden, der Brief wird dessen ungeachtet
ausgeliefert werden. Auch E-Mails müssen (in Deutschland) bis auf wenige
Ausnahmen vom Mailserver an den Empfänger ausgeliefert werden,
ungeachtet dessen, ob in ihnen für Potenzprodukte geworben oder ein
Dummer für die Anbahnung fragwürdiger Finanztransaktionen mit
afrikanischen Prinzen gesucht wird oder nicht.
## Typischer Ablauf beim Versand unerwünschter E-Mail
In der Regel läuft der massenhafte Versand von Spam- oder Phishing-Mails in
etwa nach folgendem Muster ab:
1. Der Versender zaubert eine Liste von Mailadressen potentieller Empfänger
herbei. Dies kann auf vielfältige Weise passieren: Durch (mehr oder
weniger gutes) Raten, durch Absuchen von Webseiten, durch kommerziellen
(oft halb-legalen) Handel mit Adressdatensätzen, durch Ausspähen von
Adressbüchern mittels Schadsoftware, um nur einige Beispiele zu nennen.
Im Falle von KIT-Mitarbeiteren reicht es etwa bereits, Kenntnis der
Mitarbeiterliste eines Instituts zu erlangen (beispielsweise von der
Institutswebseite), um die zugehörigen Mailadressen mit fast perfekter
Genauigkeit hinschreiben zu können -- bekanntlich ist per definitionem
jeder Mitarbeiter des KIT unter der Mailadresse
VORNAME.NACHNAME@kit.edu zu erreichen.
2. Der Absender greift auf mit Schadsoftware infizierte Rechner zurück, um
eine schablonenartig verfasste Mail an alle obigen Empfänger zu
verschicken. Über welchen Mailserver der Versand dabei erfolgt, ist ihm
dabei in der Regel einerlei. Ebenso gleichgültig ist zumindest bei
Spam-Versand, welcher genaue Absender in den Mails steht.
3. Die Mailserver des KIT nehmen die an KIT-Mailadressen verschickten
E-Mails entgegen und verarbeiten sie weiter. Hierbei wird zunächst
mittels verschiedenster Heuristiken ermittelt, wie wahrscheinlich es
ist, dass es sich bei jeder konkreten Mail um eine Spam- oder
Phishing-Mail handelt. Dieser sogenannte Spam-Level wird dann in den
Kopfzeilen der E-Mail vermerkt. Die Mail wird dann in der Regel an die
Exchange-Server des KIT zur Auslieferung weitergeleitet.
4. Die Exchange-Server liefern die Mail aus und sortieren sie dabei bei
geeigneter Konfiguration durch den Nutzer (Spamfilter-Einstellungen) in
den Junk-Ordner ein.
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment