Absenderauthentifizierung = Spamfilter?

Internet Internet Sicherheit
#1

Hallo,

ich schreibe gerade eine Studienarbeit zum Thema „Spamfilter“, in der ich einige Lösungsmöglichkeiten darstelle. U.a. sollte das Thema „Absenderauthentifzierung“ auch darin vorkommen.

Hierzu habe ich nun eine Verständnisfrage:
meiner Meinung nach sind die SenderID von MS bzw. SPF von Meng Weng Wong (die ja erfolglos zur Standardisierung eingereicht wurden) Verfahren, die erst angewandt werden können, wenn sie im SMTP-Protokoll implementiert wurden. Oder kann ein Mailserver-Admin dieses Verfahren sofort einsetzen, ohne dass das von allen anderen auch genutzt wird?

Das Domain-Key-Verfahren von Yahoo ist ja sofort einsetzbar, genauso wie ein Verfahren, dass Emails vom unbekannten Absender erst mal ablehnt und dem Bounce ein sog. „Filterpasswort“ mitgibt, dass dieser beim erneuten Schicken der Email verwendet und damit den Filter passieren kann.

Sehe ich das richtig so oder sind alle Verfahren sofort einsetzbar und bedürfen keiner Änderung des SMTP-Protokolls insgesamt?

Grüsse
schuelsche

#2

Hierzu habe ich nun eine Verständnisfrage:
meiner Meinung nach sind die SenderID von MS bzw. SPF von Meng
Weng Wong (die ja erfolglos zur Standardisierung eingereicht
wurden) Verfahren, die erst angewandt werden können, wenn sie
im SMTP-Protokoll implementiert wurden. Oder kann ein
Mailserver-Admin dieses Verfahren sofort einsetzen, ohne dass
das von allen anderen auch genutzt wird?

Ich kann dir nur zu SPF etwas sagen. In dem Maße, wie es eigentlich das Ziel dieser Initiative ist, kann SPF nicht eingesetzt werden. Das würde nämlich im Extremfall bedeuten, dass ein Netz Mails nur noch dann entgegennimmt, wenn der Absender durch einen entspr. vspf-Eintrag authorisiert wäre. Damit würdest du heute den weitaus grössten Teil legitimer Mails blocken, da nur wenige Domains bislang einen entspr. Eintrag ins DNS gesetzt haben.

Du kannst aber dann jetzt schon vollständig blocken, wenn ein vspf-Eintrag auf strict gesetzt ist, und der Absender diesem Eintrag nicht entspricht. Ein Eintrag z. B. „v=spf1 mx -all“ bedeutet, dass ausschliesslich die im DNS eingetragenen mx-Server berechtigt sind, für diese Domain Mails zu versenden. Kommt eine Mail mit diesem Absender von irgend einer anderen Quelle, kannst du sie sicher als Spam einstufen, und den Datentransfer zum Sender schon vor der Übertragung der Mail abbrechen.

Ein Eintrag wie „v=spf1 ip4:193.99.144.0/24 ip4:193.99.145.0/24 ?all“ (Danke, heise.de), bezeichnet die explizit angegebenen Netze als authorisiert, schliesst aber nicht aus, dass auch von anderen IP-Adressen legitime Mails versendet werden können ("?all"). Hier darfst du also Mails aus anderen Netzen nicht blocken, du kannst aber allen Mails, die aus einem der authorisierten Netze stammen, einen ‚Vertrauensbonus‘ geben, d. h., dass du diese Mails z. B. nicht mehr über den Spamfilter jagen musst, oder dass sie einen hohen Bonuswert vorgegeben bekommen.

Gruss
Schorsch

#3

Hallo,

also ist das Verfahren schon - unabhängig von einer Implementierung in das SMTP-Protokoll einsetzbar. Das bedeutet für mich, dass es halt doch ein Filter nach meiner Ansicht ist.

Danke für die ausführliche Erklärung, schorsch. Kannst Du mir vielleicht einen Link geben, wo das ganze in etwas so ausführlich grundlegend erklärt ist, wie Du es hier beschrieben hast? Oder ist das so in http://spf.pobox.com/draft-mengwong-spf-00.txt zu finden, was ich selber bislang nur kurz überflogen habe? Gibt es eine Filtersoftware, an der man das beispielhaft darstellen kann bzw. selber ausprobieren kann?

Grüsse
schuelsche

#4

Danke für die ausführliche Erklärung, schorsch. Kannst Du mir
vielleicht einen Link geben, wo das ganze in etwas so
ausführlich grundlegend erklärt ist, wie Du es hier
beschrieben hast? Oder ist das so in
http://spf.pobox.com/draft-mengwong-spf-00.txt zu finden, was
ich selber bislang nur kurz überflogen habe? Gibt es eine
Filtersoftware, an der man das beispielhaft darstellen kann
bzw. selber ausprobieren kann?

Ich habe meine Informationen aus verschiedenen Quellen, als ich mich mit dem Thema näher befassen musste, habe ich mich aber an die von dir genannte Quelle gehalten.

Eine Filtersoftware, die SPF-Einträge heute schon auswertet, ist SpamAssassin (SA), der per Default recht geringe Boni (-0,001) für erfolgreiche, sowie gravierendere Mali (zw. 0,5 und 3,140) für fehlgeschlagene SPF-Abfragen vergibt. An Dokumentation zur SPF-Integration in SA habe ich leider recht wenig finden können, am besten noch der Quelltext http://spamassassin.apache.org/full/3.0.x/dist/doc/M…

HTH
Schorsch

#5

Hallo,

Ich kann dir nur zu SPF etwas sagen. In dem Maße, wie es
eigentlich das Ziel dieser Initiative ist, kann SPF nicht
eingesetzt werden. Das würde nämlich im Extremfall bedeuten,
dass ein Netz Mails nur noch dann entgegennimmt, wenn der
Absender durch einen entspr. vspf-Eintrag authorisiert wäre.
Damit würdest du heute den weitaus grössten Teil legitimer
Mails blocken, da nur wenige Domains bislang einen entspr.
Eintrag ins DNS gesetzt haben.

Was passiert eigentlich bei temporären DNS-Problemen? Lautet - nach diversen anderen Problemen in der Software - das Advisory demnächst „BIND causing severe loss of mail“?

Gruß,

Sebastian

#6

Hallo,

ich schreibe gerade eine Studienarbeit zum Thema „Spamfilter“,
in der ich einige Lösungsmöglichkeiten darstelle. U.a. sollte
das Thema „Absenderauthentifzierung“ auch darin vorkommen.

Prima. Interessante (kritische) gedanken gibt es hier: http://homepages.tesco.net/~J.deBoynePollard/FGA/smt…

Gruß,

Sebastian

#7

Was passiert eigentlich bei temporären DNS-Problemen? Lautet -
nach diversen anderen Problemen in der Software - das Advisory
demnächst „BIND causing severe loss of mail“?

„Malconfigured postfix refers back to postmaster“

Gruss
Schorsch

#8

Hallo,

Was passiert eigentlich bei temporären DNS-Problemen? Lautet -
nach diversen anderen Problemen in der Software - das Advisory
demnächst „BIND causing severe loss of mail“?

„Malconfigured postfix refers back to postmaster“

Huch?

DNS ist nicht unbedingt auf hohe Zuverlässigkeit optimiert. Dem würde ich BIND hin oder her - nicht meine Mail anvertrauen. gerade weil einige Punkte eben nicht in meinem Einflußbereich liegen.

Gruß,

Sebastian

#9

DNS ist nicht unbedingt auf hohe Zuverlässigkeit optimiert.
Dem würde ich BIND hin oder her - nicht meine Mail
anvertrauen. gerade weil einige Punkte eben nicht in meinem
Einflußbereich liegen.

Du hast recht, es gibt hier durchaus Risiken, nur muss ich abwägen, ob ein kontinuierlich steigender Aufwand für die Spamabwehr und genauso kontinuierlich angepasste Methoden der Spammer, die Abwehrschranken zu überwinden, nicht ein höheres Risko oder unverhältnismässige Kosten bedeuten.

Alleine der Rufschaden, der einem Unternehmen drohen kann, wenn Spammer mit immer besseren Fälschungen ihren Müll millionenfach scheinbar von diesem Unternehmen ausgehen lassen, ist gewaltig. Hier halte ich SPF für ein sehr gutes Mittel, diesen Schaden relativ kurzfristig zu minimieren.

Gruss
Schorsch

#10

Hallo,

ups, darüber habe ich jetzt noch gar nix gelesen - über Zuverlässigkeit und Unzuverlässigkeit des DNS. Gibts da irgendwelche Quellen? Denn dies ist ja durchaus ein interessantes Argument gegen SPF & Co. Wird die Email, wenn eine Rückfrage beim DNS wegen Ausfalls nicht möglich ist, dann nicht einfach so behandelt, wie wenn kein SPF-Record vorhanden wäre?

Grüsse
schuelsche

#11

ups, darüber habe ich jetzt noch gar nix gelesen - über
Zuverlässigkeit und Unzuverlässigkeit des DNS. Gibts da
irgendwelche Quellen? Denn dies ist ja durchaus ein
interessantes Argument gegen SPF & Co. Wird die Email, wenn
eine Rückfrage beim DNS wegen Ausfalls nicht möglich ist, dann
nicht einfach so behandelt, wie wenn kein SPF-Record vorhanden
wäre?

Bei einem Ausfall - ja. Problematischer wären gefälschte DNS-Einträge. Darüber wäre es möglich, einen Absender gezielt zu diskreditieren. Ich könnte natürlich auch die mx-Einträge fälschen, in dieser Weise aber griffe ich den Empfänger an. Insgesamt eine m. E. eher vernachlässigbare Gefährdung.

Gruss
Schorsch