Spam! Spam! Spam! 63 Milliarden am Tag…

Im Oktober wurden weltweit ca. 63 Milliarden Spam-Nachrichten pro Tag verschickt (laut IronPort). Im Jahr zuvor ware es „nur“ 31 Milliarden am Tag. MessageLabs berichtet dass 88.7 Prozent aller E-Mails, die im Oktober verschickt worden sind, unerwünscht waren. Dieser Prozentsatz wird wahrscheinlich auf 90% im November und Dezember ansteigen. Der Datenverkehr der durch diese Nachrichten verursacht wurde, liegt bei ca. 819 Terabytes pro Tag.

Euregio.Net erkennt derzeit auf seinen Systemen 81% aller Nachrichten als Spam. Das durchschnittliche Mailvolumen in den letzten 30 Tagen lag bei ungefähr 115.000 E-Mails pro Tag. In den letzten 10 Tagen jedoch bei ca. 150.000 und Tendenz weiter steigend.

Euregio.Net Mail Server Statistics

Auch wenn wir 81% der Nachrichten schon als Spam erkennen, heisst das noch nicht, dass die Spam-Filter alle Spam-Nachrichten richtig bewerten können. Die restlichen 19% der Nachrichten, die laut den Filtern kein Spam sind, ist immer noch eine grosse Menge.

Um diese Flut von Spam zu bewältigen und die Mailboxen unsere Kunden weiterhin Spam-frei zu halten, arbeiten wir rund um die Uhr. Leider gab es letzte Woche einen Server-Ausfall von relay.mailfilter.be wodurch unsere bestehende Spam-Datenbank zerstört wurde und wieder neu angelernt werden musste. Eine neue Version der Spam-Filter hatte zur Folge, dass neuerdings manche Spams durchkommen und korrekte E-Mails falsch markiert wurden.

Diese Probleme wurden am Montag nachmittag wieder behoben, allerdings bedarf es einer weiteren Anpassung der Filter-Systeme, damit wir die Image-Spams, die aus Bildern mit Werbenachrichten bestehen, entdecken können.

Konventionelle Spam-Filter arbeiten mit Regeln, die auf den Text-Inhalt der Nachrichten angewandt werden. Wenn jedoch eine Nachricht aus einem Bild besteht, können die Text-Filter den Inhalt dieses Bildes nicht analysieren. Verschiedene Lösungen für dieses Problem werden im Moment hier intern getestet und werden auf die Kunden-Server überspielt, sobald sie einwandfrei funktionieren.

Die aktuelle Spamwelle wird durch das Trojanische Pferd „SpamThru“ verursacht. Dieser Wurm infiziert Windows PC’s und verknüpft diese zu einem BotNet, die dann von Spammer missbraucht werden, um Milliarden Nachrichten pro Tag zu verschicken. SpamThru erzeugt ein BotNet der allerletzten Generation, dass schwierig zu entdecken und zu bekämpfen ist. Derzeit geht man von ca. 73.000 infizierten Computern in 166 Ländern aus. Der Spitzname in der Industrie heisst inzwischen „Spam-Kanone“.

Das Hinterhältige an SpamThru ist vorallem, dass es einen neuen Kniff verwendet, damit keine anderen Spammer auf den infizierten PC zugreifen können: SpamThru beinhaltet eine Raubkopie des Virenscanners Kaspersky AntiVirus for WinGate und verhindert so, dass andere Trojaner sich installieren können, aber die SpamThru-Dateien werden extra übersprungen und bleiben somit erhalten.

Ein weiteres „Feature“ von SpamThru ist die Bilder-Routine, die Bilder-Spam mit zufälligen Elementen und Hintergründen erzeugen können und somit von Filter-Systemen nur sehr schwierig zu erkennen sind. Ausserdem kann der Schädling neue Trojaner-Varianten von Webservern runterladen, und sich somit weiter entwickeln. Die Empfänger-Adressen und Spam-Vorlagen werden auch aus dem Netz geladen. Einige Varianten verwenden auch Proxy-Server um Spamnachrichten zu verschicken, wodurch es unmöglich wird, den wahren Ursprung einer Nachricht zu ermitteln.

In Belgien gab es auch schon einige Netzwerke, die als BotNet klassifiziert worden sind. Hierbei handelte es sich um ADSL-Netzwerke von grossen Internet-Anbietern, die fixe IP-Adressen zur Verfügung stellten. Die meisten Anbieter erlauben den Einsatz von Mail-Servern auf ADSL-Anschlüssen mit fixer IP. Wenn sich auf diesen IP-Adressen auch infizierte PC’s befinden, dann wird ganz schnell ein ganzer Netz-Block in öffentliche Schwarz Listen (RBL’s) gesetzt und als BotNet klassifiziert. Wenn Sie also eine fixe IP-Adresse verwenden, dann sollten Sie überprüfen, ob diese nicht auf einer schwarzen Liste steht. Ihre E-Mails könnten weltweit blockiert werden oder es treten andere Probleme auf.

Dynamische ADLS-Anschlüsse müssen Nachrichten über den Relay des Providers verschicken, da dieser die Pforte 25 nach aussen blockiert und nur der Relay nach aussen verschicken darf. Hier ist ein geringeres Riskio, dass E-Mails durch RBL’s blockiert werden, es sei denn, dass der Mail-Server des Providers auf einer dieser Listen steht.

Wie schon oben erwähnt, werden derzeit neue Anti-Spam-Massnahmen von Euregio.net getestet und sollten in den kommenden Wochen einsatzbereit sein. Neue Server-Hardware für relay.mailfilter.be befindet sich momentan in der letzten Phase der Auslastungstests. Stärkere Prozessoren und mehr Speicher sind erforderlich, um ImageSpams zu erkennen.

Auch erwägen wir den Einsatz von dedizierten Spam-Firewalls. Unser Lastenheft haben wir inzwischen verschiedenen Anbietern solcher Hardware-Lösungen vorgelegt.

Der Kampf gegen Viren und Spam ist und bleibt eine Sisyphus-Arbeit. Wir kämpfen täglich gegen eine immerwährende Flut von Spam und Viren, damit Ihre Mailbox weiterhin nützlich und nutzbar bleibt.

Leider schlüpfen hier und da einige E-Mails durch das von uns gesponnenen Netz und wir bitten Sie um Verständnis dass neue Spam-Techniken einige Anpassungszeit unsererseits benötigen. Wir bitten um Ihr Verständnis und hoffen, dass sich in der Zwischenzeit die verbleibenden Spams auch lokal Filtern können.

Zum Schluss noch ein kleiner Tipp, damit Ihre E-Mails ungestört beim Empfänger ankommen. Sie sollten es vermeiden, Bilder ohne weiteren Text zu verschicken. Diese werden sehr oft als Bilder-Spam erkannt, z.B. eine Nachricht mit nur 1-2 Sätzen und Ihrem Firmen-Logo als Gif, Jpeg oder PNG Bild-Datei wird von vielen Spam-Scannern als Werbung markiert. Auch Nachrichten, die viele Schriftarten verwenden oder farblich gestaltet sind, können die Spam-Filter aktivieren. Sie sollten sich niemals bei einem Spammer beschweren, dass er Ihnen eine Nachricht geschickt haben, denn somit geben Sie preis, dass Ihre E-Mail-Adresse korrekt ist.

Mit freundlichen Grüssen,

Jochen Savelberg

Mehr Informationen…

Posted in DE » Alles, DE » E-Mail Verwaltung, DE » Interessant.