Methoden zur Filterung und Blockung von Mails Alexandru Garnet Seminar Intenetkommunikation WS 2004/2005 Prof. Dr. Martin Leischner 1 Gliederung Erkennung anhand des Absenders Whitelist/Blacklist Realtime Blackhole List Reverse lookup Erkennung anhand des Inhaltes Header Regeln Body Regeln alternative Methoden URL-Datenbasis Prüfsummen-Verfahren Zusammenfassung Quellen 2
Whitelist/Blacklist Eine Whitelist enthält E-Mail-Adressen und Namen von Absendern, deren E-Mails nie gelöscht werden sollen. Eine Blacklist enthält E-Mail-Adressen und - Absendernamen, von denen der Benutzer nur Spam erwartet. Nachteile: leicht zu überlisten 3 Realtime Blackhole List (1) Eine RBL (Realtime Blackhole List) ist eine Datenbank aller bekannten offenen Relays. Qualität, Aktualität und Erreichbarkeit variieren. Es empfiehlt sich eine Kombination von mehreren Listen. Vorteile: Die meisten Listen sind kostenlos online verfügbar Nachteile: Relativ ungenau Führt häufig zum Überblockieren Nur flankierende Maßnahme. 4
Realtime Blackhole List (2) Anzahl offener Relays nach Ländern 1 UNITED STATES 82981 2 CHINA 25774 3 KOREA, REPUBLIC OF 16421 4 JAPAN 9921 5 TAIWAN, PROVINCE OF CHINA 8468 6 GERMANY 6233 www.ordb.org 5 Reverse lookup Auflösung der Servernamen nach seiner IP-Adresse falls der Server nicht existiert: falsche Konfiguration Spam Vorteile: hohe Erkennungsrate 6
Filterproblematik Unterschied? Unterschied?? Spam 7 Header Regeln Analyse der Elemente in Nachrichten-Header: ungültige Datumsformate Zeitstempel Analyse der Betreffzeile: Leerzeichen Schlüsselwörter Jede Regel hat normalerweise eine Gewichtung für die Spam-Wahrscheinlichkeit. 8
Body Regeln (1) Vergleichbare Technologie wie bei den Header-Regeln Analyse der Elemente: richtiges HTML Code Bilder, die auf fremde Links, URLs oder andere IP Nummern verweisen Textanalyse: extreme Großschrift bunte Farben zentrierte Zeilen 9 Body Regeln (2) Pseudo-Text Grafik mit Link Pseudo-Text 10
URL-Datenbasis (1) Prüft die Domain des Absenders und alle in der Mail enthaltene Hyperlinks gegen eine Web-Filtering Datenbasis. 'dubiosen' Domain zweifelhaften Inhalten, Links Kommt bislang erst in einem einzigen Produkt weltweit zur Anwendung (www.webwasher.de ) Vorteile: Hohe Filter Effizienz. Funktioniert auch bei Spam mit wenig oder gar kein Text. 11 URL Filter (2) Überprüfen anhand von Kriterien: woher kommt diese Mail? was ist Inhalt der Mail? wie wurde die Mail versandt?!!! Dabei werden sogenannte (RBLs, Blacklists) abgefragt, inwiefern der Absender als Spammer bekannt ist. 12
Prüfsumme Bildung eines Hashes über die Mail Abspeichern des Hashes in Zentraler Datenbank eindeutige Ident. von Spammails. Mögliche Systeme: DCC Distributed Checksum Clearinghouse Razor database (Cloudmark System) Pyzor database (free!) Vorteil: 99%ige Erkennung von Massenmails Kombination der drei erkennt 70%-80% aller Spammails Nachteil:- Abhängig von dem Meldungen der Admins Langsam da Requests an zentrale DB gestellt werden müssen 13 Zusammenfassung Eine einzelne Filtermethode ist zu ungenau. Man muss mehrere Methoden verwenden, um die Genauigkeit zu erhöhen. Sequentiell Parallel 14
Quellen Alan Schwartz, SpamAssassin, O Reilly, 2004 Wehr, Hendrik, Nie wieder Spam! 2003 http://spamassassin.apache.org/tests_3_0_x.html http://www.ordb.org (open relay database) http://www.webwasher.de 15 Fragen? 16