![[Illustration]](06-4-066-2.jpg)
Dreiklassengesellschaft bei E-Mail am Gateway: Legitimes wird direkt ausgeliefert, Verdächtiges muss durch eine weiter gehende Spam-Prüfung und Unerwünschtes bleibt gleich draußen.
Reputationsdienste versprechen durch Vorsortieren eingehender Kommunikation Entlastung beim Spam-Filtern – einige Angebote lassen sich zudem auch zur Klassifizierung von Web-Traffic nutzen. Die Einschätzung der "Seriosität" einer DNS- oder IP-Adresse soll dabei ermöglichen, bereits an der Netzwerkgrenze über das Schicksal einer SMTP-Kommunikation zu entscheiden. Diese Eingangsprüfung sorgt somit dafür, dass anschließend erheblich weniger unerwünschte Inhalte aus dem tatsächlich angenommenen Kommunikationsvolumen herauszufiltern sind. Selbst wenn die Klassifizierung einer E-Mail dabei keine abschließende Klarheit bringt, soll diese zumindest so behandelt werden, dass sie die nachfolgenden Systeme nicht überlastet. Das Prinzip ist einfach: Je nach dem Grad der Vertrauenswürdigkeit des Einlieferers läuft die Kommunikation völlig ungestört – etwa beim Verkehr mit Geschäftspartnern – oder sie wird stärkeren Prüfungen unterzogen, bis hin zum Blockieren von Adressen bekannter Spam-Versender.
Damit dieser Ansatz in der Praxis funktioniert, müssen Eigenheiten oder Unterschiede im Versandverhalten einer IP-Adresse ermittelt werden. Beispielsweise gehen Angriffe häufig von Zombie-Netzwerken oder sehr "ungewöhnlichen" Absenderadressen aus. Zudem verändern Spammer immer schneller die in über 85 % aller Spam-E-Mails angepriesenen Links – nicht selten sogar im Stundentakt. Sie verwenden dabei heutzutage sehr häufig Domains, die sie erst kurz zuvor eigens für die jeweilige Spam-Attacke angemeldet haben: Im April 2006 wurden 32 von 35 Millionen angemeldeter Domains nie bezahlt und sind daher automatisch nach fünf Tagen erloschen.
Eine statische Filterung solcher potenziell böswilligen Domains nebst zugehörigen IP-Adressen scheidet angesichts dieser Größenordnungen aus. Ermittelt jedoch ein Reputationsdienst, dass die zur einliefernden IP-Adresse eines E-Mail-Absenders oder Web-Links gehörige Domain erst seit wenigen Stunden existiert, aber bereits Millionen E-Mails versandt hat, die zudem noch massenweise in Spam-Fallen (Honeypot Accounts) gelandet sind, so ist zumindest Vorsicht angebracht. Allerdings sind "böse" IP-Adressen leider nicht immer so eindeutig mit so auffälligen Merkmalen verknüpft.
Dreiklassengesellschaft bei E-Mail am Gateway: Legitimes wird direkt ausgeliefert, Verdächtiges muss durch eine weiter gehende Spam-Prüfung und Unerwünschtes bleibt gleich draußen.
Ein Filter an der Netzwerkgrenze ist immer eine heikle Sache, denn eine irrtümlich nicht angenommene E-Mail lässt sich nicht einfach zurückbringen. Um Störungen in Geschäftsprozessen zu vermeiden, muss ein IP-basiertes Filterverfahren daher besonderen Wert darauf legen, keine legitimen Nachrichten abzulehnen (False Positives). Bei dieser Zielsetzung hilft ein Grundsatz aus der Mustererkennung: Je mehr und genauere orthogonale, also voneinander möglichst unabhängige, Merkmalsvektoren zur Verfügung stehen, umso genauer lässt sich die Wahrscheinlichkeit für die Übereinstimmung mit einem gesuchten Muster wie "vertrauenswürdig" ermitteln. Voraussetzung ist allerdings, dass die Daten tatsächlich mit der gesuchten Eigenschaft in einem direkten Zusammenhang stehen; alles andere würde das Ergebnis verschlechtern.
Übertragen auf die Reputationsdienste resultieren daraus zwei Anforderungen: Erstens müssen sie möglichst viele zuverlässige Informationen über eine IP-Adresse auswerten und zweitens sollte dies mit möglichst hoher Genauigkeit geschehen. Bei statistischen Daten aus IP-Netzen bedeutet das beispielsweise, dass die Grundgesamtheit der ausgewerteten Absender möglichst zahlreich sein sollte. Auch die regionale Verteilung der statistischen Messungen muss ein realistisches Abbild der tatsächlichen Kommunikationsströme liefern.
----------Anfang Textkasten----------
![[61% zugestellte E-Mails - <1% Spam-Verdacht - 33% abgewiesene Spam-Mails (Quarantäne) - 6% abgefangene Malware (Mails gelöscht)]](06-4-066-3.jpg)
Die Mail-Statistik der Schweizerischen National-Versicherungs-Gesellschaft nach der Einführung der neuen, kombinierten Filtertechnik.
Die Möglichkeiten von Reputations-Filtern in der Praxis verdeutlicht das Beispiel der Schweizerischen National-Versicherungs-Gesellschaft, die zu den zehn größten Schweizer Erstversicherern gehört. Von den insgesamt 2075 Mitarbeitern mussten sich früher einzelne Personen auf allen hierarchischen Ebenen Tag für Tag mit bis zu 170 Spam-Mails abmühen. Durch dieses Spam-Aufkommen gingen zudem täglich zahlreiche Support-Anfragen von verunsicherten Anwendern ein, die eine Menge Zeit und Kosten beanspruchten.
Das Unternehmen entschied sich daher im Herbst 2005 für eine Kombination aus reputationsbasierter Filterung und reaktiven Schutzmaßnahmen: Seither sorgen eine Symantec-Brightmail-Antispam-Lösung und der IronPort Virus Outbreak Filter gemeinsam für Sicherheit und spam-armes Arbeiten. Die Funktionen zur reputationsbasierten Filterung sind dabei auf zwei redundant ausgelegten Message Gateway Appliances vom Typ IronPort C30 implementiert. Josef Portmann, zuständig für Informatik, IT-Technik und Support bei der Schweizerischen National-Versicherungs-Gesellschaft, fasst das Ergebnis zusammen: "Bei einer Reduzierung der Spam-Rate von 5–10 pro Mitarbeiter täglich auf nahezu Null eine herausragende Leistung."
----------Ende Textkasten----------
Die Grundlage für die Einschätzung der Reputation ist die einliefernde IP-Adresse. Ähnlich einer Bonitätsprüfung im Kreditinstitut gibt es auch hier "Angaben zur Person". Beispielsweise gibt das Domain Name System (DNS) Auskunft über die zugehörige Domain und den zuständigen Mail-Server. Aus den Whois-Datensätzen erfährt man nicht nur den geografischen Sitz des Inhabers, sondern auch das Datum der letzten Änderung und die Anzahl der Domains, die dieser Inhaber insgesamt besitzt. Für sich allein genommen sind diese Informationen allerdings noch völlig unzureichend, um bereits eine allgemein gültige Reputationsbewertung zu treffen. So ist die Praxis einiger E-Mail-Administratoren, bestimmte asiatische Domains grundsätzlich zu blockieren, sicher nicht der Weisheit letzter Schluss.
Zahlreiche Gefährdungsdatenbanken im Netz helfen jedoch dabei, Zweifel auszuräumen. Beispielsweise wird dort Buch geführt über offene Mail-Relays, also ungeschützte Mail-Server oder Zombie-PCs, die sich von jedermann missbrauchen lassen. Automatisierte Wächter und Netzbetreiber melden die Adressen solcher Risiko-IPs. Ein prominentes Beispiel ist das Spam and Open Relay Blocking System SORBS (![[externer Link]](../../../../images/link.gif)
www.sorbs.net). Da jedoch auch dort Fehler auftreten können, sollte man sich nicht ausschließlich auf die Informationen einer einzigen Datenbank zu verlassen. Vielmehr gilt es, verschiedene Hinweise detektivisch zu gewichten, um am Ende das Ergebnis (Reputation Score) auf einer Skala der Einschätzungen zwischen "absolut vertrauenswürdig" und "sicherlich unseriös" auszudrücken.
![[Illustration]](06-4-066-1.jpg)
Um E-Mails abzuweisen, sollte man sich nicht auf eine einzige Quelle stützen. Der Reputationsdienst SenderBase analysiert beispielsweise bis zu 110 Parameter, um die Vertrauenswürdigkeit eines Absenders zu ermitteln ( www.senderbase.org).
Besondere Unterstützung zur Informationssammlung durch aufmerksame Netzteilnehmer kanalisieren Beschwerdedatenbanken wie SpamCop ( www.spamcop.net) und Negativlisten von ISPs oder spezialisierten Verbänden. Dort laufen Beschwerden zusammen, wenn beispielsweise Benutzer bereits einmal Spam von bestimmten Absendern erhalten haben. Auf diese Weise können E-Mail-Empfänger von den schlechten Erfahrungen anderer Benutzer profitieren. Auch eine Usenet-Abfrage hinsichtlich abuse lässt sich heranziehen, etwa mit http://groups.google.com/groups/search?q=127.0.0.1+group%3A*abuse*&qt_s=Search.
Nicht zu vergessen sind die klassischen Black- und Whitelists, in denen bekannte "böse Buben" oder die "wirklich Guten" aufgeführt sind. Doch diese Verfahren haben ihre Tücken, etwa wenn ein Unternehmen aus Versehen auf einer Blacklist landet oder ein eigentlich "Guter" plötzlich durch einen Virenbefall zur Spam-Schleuder wird. In Zeiten stündlich wechselnder Spammer-Domains schwindet zudem die Bedeutung von statischen Blacklists. Aber selbst Real-Time-Blacklists können letztlich nur einen Mosaikstein für das Gesamtbild der Reputation liefern.
Ein Grundproblem hat der Administrator mit Listen ohnehin immer: Völlig unbekannte Absender kann er nicht einfach aussperren, nur weil noch nie eine E-Mail von der entsprechenden Organisation oder aus der betreffenden Region eingegangen ist. Andererseits muss auch bei bekannten Absendern Vorsicht walten, da zahlreiche E-Mail-Würmer sich an die Adressbücher befallener PCs weiterversenden und deren Daten als gefälschte Absender nutzen. Die Einteilung in "bekannt oder unbekannt" taugt als Reputationskriterium deshalb nur sehr bedingt.
Viel interessanter sind statistische Angaben über den Mail- oder Web-Traffic einer IP-Adresse: So fallen etwa beim Vergleich des durchschnittlichen Volumens im Jahresmittel mit der Tagesstatistik deutliche Abweichungen auf, wenn ein Server plötzlich als Spam-Schleuder agiert. Damit sehr unregelmäßig versendende Adressen dennoch nicht benachteiligt werden, kann man beispielsweise die reguläre Volatilität in der Verkehrsstatistik berücksichtigen, um "normale Abweichungen" von wirklichen Auffälligkeiten zu unterscheiden.
Viele Internetzugangsanbieter (ISPs) für Privatkunden und Kleinunternehmen vergeben bevorzugt dynamische IP-Adressen. Deshalb gibt es eine große Gruppe von Absendern, die nicht dauerhaft über ihre IP-Adresse identifizierbar sind und zudem – gerade im Privatbereich – oft nur über rudimentären Schutz verfügen. Auch hier können Reputationsverfahren greifen: Denn einerseits gehören die Adressbereiche in der Regel zu bekannten Providern, die ihrerseits Mail-Gateways betreiben, über die die Mehrzahl aller Benutzer ihre (legitimen) E-Mails verschicken. Andererseits reagieren gute Traffic-Messverfahren binnen Minuten und damit deutlich schneller als typischerweise eine dynamische IP-Adresse an einen anderen Kunden zugewiesen wird.
In der Praxis liefern Reputationsdienste zudem nicht nur "gut" oder "böse", sondern eine abgestufte Skala von Bewertungen zwischen "eindeutig guten" und "sicher böswilligen" Adressen. Beispielsweise lassen sich verdächtige Versandcharakteristika wie die Anzahl von Verbindungen, Nachrichten und Empfängern über einen gewissen Zeitraum zusammenfassen. Überschreitet eine verdächtige Absenderadresse einen vom Administrator eingestellten Schwellenwert, so wird sie zum Kandidaten für die Drosselung bei der Verbindungsannahme. Legitime Absender haben dann dennoch die Möglichkeit, sich mit dem Empfänger in Verbindung zu setzen und eine aussagekräftige Mitteilung mit Angabe des jeweiligen Grunds zu verschicken und so etwas gegen ihre schlecht bewertete Reputation zu unternehmen. Dadurch sinkt wiederum das Risiko von False-Positives auf ein Minimum.
Ist ein Absender zuverlässig als "spam-gefährlich" eingestuft, kann die Annahme von E-Mails oder der Transport von Web-Inhalten von und zu dieser IP-Adresse blockiert werden. Beim Festlegen von Richtlinien für den Umgang mit einer mehr oder weniger guten Reputation kommt es jedoch immer auf die individuellen Anforderungen des Unternehmens und der involvierten Benutzergruppe an. Im Normalfall will wohl kein Benutzer Spam und Phishing-Mails bekommen. Mitarbeiter in der Finanzbuchhaltung haben aber gegebenenfalls zusätzlich den Wunsch, beim Web-Zugriff auf Banken vor Tippfehlern bei der Eingabe besonders intensiv geschützt zu sein – für diese Benutzergruppe würde ein Administrator dann ein aggressiveres Filterverhalten wählen. Marketingfachleute der Wettbewerbsbeobachtung könnten hingegen am Empfang von Werbe-Mails interessiert sein und deshalb "alles außer Schadroutinen" empfangen wollen.
Da sich die Welt nicht nur in Gut und Böse teilt, muss es zudem Regeln für den Umgang mit uneindeutigen Reputationen geben. Neben der Möglichkeit, das Kommunikationsaufkommen zu drosseln, hat sich für die Behandlung unklar klassifizierter Nachrichten, die möglicherweise Viren enthalten, die so genannte dynamische Quarantäne bewährt: Eine E-Mail mit verdächtigen Merkmalen wird zwar angenommen, landet aber zunächst in einem sicheren Bereich. Die Reputation dient hier als Frühwarndienst: Zum Zeitpunkt eines neuen Virenausbruchs lässt sich häufig am ungewöhnlichen globalen Versandverhalten erkennen, dass bei den transportierten Kommunikationsinhalten eine Quarantäne angebracht ist. Sobald detailliertere Erkenntnisse zur Unterscheidung zwischen gut und böse vorliegen, werden die Inhalte dann näher überprüft und unbedenkliche E-Mails automatisch zugestellt. Der Rest verbleibt so lange in der Quarantäne, bis er eindeutig als legitim oder unerwünscht eingestuft werden kann. Das weitere Verfahren regeln dann individuelle Richtlinien.
Doch die Reputation dient nicht nur dazu, böse Buben auszusperren: Sie kann auch dabei helfen, das übertragene Kommunikationsvolumen für E-Mail und Web effizient zu strukturieren und so besonders wichtigen Verbindungen Vorrang zu gewähren. Bei der Planung solcher Traffic-Shaping-Policies spielen Compliance-Regelungen ebenso wie rechtliche und Haftungs-Überlegungen eine Rolle. Die Statistik über das Versandverhalten einer IP-Adresse umfasst zum Beispiel weder "Einzelverbindungsnachweise" noch die Empfängeradressen. Dadurch können Administratoren ihren Benutzern Anonymität gegenüber dem Reputationsdienst garantieren. Auf der anderen Seite ist es durchaus vorstellbar, dass ein Administrator die Verpflichtung oder den Wunsch zur Mitwirkung beim Verhindern von Straftaten hat, etwa wenn der Filter illegale Inhalte blockiert.
Eine rechtliche Besonderheit ergibt sich aus der Tatsache, dass der IP-Filter sich dazu verwenden lässt, die Annahme von E-Mails zu verweigern, bevor sie auf das eigene System gelangen: Die entsprechende Nachricht gilt dann als nicht zugestellt. Damit entfallen Archivierungs- und Protokollierungsauflagen und auch das Löschverbot, was alles bei der Inhaltsprüfung zu beachten ist.
Reputationsdienste sind auf dem Vormarsch: Bereits heute schützen laut IronPort acht der zehn weltgrößten ISPs und viele Fortune-500-Unternehmen ihre Infrastruktur (unter anderem) durch reputationsbasierte Verfahren. Vor allem die Möglichkeit, durch die Informationen von schnell reagierenden Dienstleistern sehr frühzeitig neue Spam- und Virenwellen aufgrund eines abnormalen Versandverhaltens zu blockieren, gibt einen entscheidenden Sicherheitsvorsprung. Angesichts des weltweiten Kampfes gegen Missbrauch im Netz könnten sich Reputationsdienste sogar zur festen Komponente der IP-Infrastruktur entwickeln.
Achim Kraus ist Systems Engineer bei IronPort.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#4, Seite 66
| 