Højtråbende mailservere hjælper spammere

Spammere nyder godt af mailserveres tilbagemeldinger, når de skal finde e-mail adresser på potentielle ofre. Fænomenet kaldes harvesting og bør forhindres, vurderer sikkerhedsvirksomheden Symantec.

Umiddelbart er det meget rart at få en tilbagemelding fra en mailserver, når en mail ikke kan leveres. Men meldinger som "Organisationen, som meddelelsen blev sendt til, angiver, at e-mail-kontoen ikke findes der," kan også være til stor gavn for spammere.

Når en mailserver giver ovenstående besked, giver den nemlig samtidig en spammer et prej om, at en given e-mailadresse ikke findes. På den måde kan spammeren gætte sig til, hvilke mailadresser der dur, ganske enkelt ved at prøve sig frem fra en ende af. Fænomenet hedder harvesting (høstning).

»Det er et fænomen, som vi har set vokse markant hen mod slutningen af 2007. Og det eneste, man reelt kan gøre, er at sætte sin mailserver op, så den ikke svarer tilbage ved ikke-eksisterende mail-adresser,« siger sikkerhedsekspert Ken Willén fra sikkerhedsvirksomheden Symantec.

Vanskelig afvejning

Samtidig kan han dog godt se, at tilbagemeldingen fra mailserveren også kan være en stor tjeneste for afsenderen. Og derfor beskriver Ken Willén det som en afvejning, hvorvidt mailserveren skal sende et svar retur eller ej, når en mail-adresse er ukendt.

»Set i lyset af det stigende antal angreb, vil jeg dog opfordre til, at man alvorligt overvejer, hvorvidt det er umagen værd, at mailserveren returnerer, når en mail ikke kan modtages,« siger Ken Willén.

I en rapport fra december fortæller Symantec, at 35 millioner harvesting-angreb blev opsnappet alene i november af Symantecs anti-spamfiltre. Symantec overvågede i perioden 450 millioner indbakker på verdensplan.

En lille kontrol, som Version2 har foretaget, viser at fænomenet med et retursvar fra en mailserver tilsyneladende er ganske udbredt. I hvert fald returnerer Symantecs egen mailserver også et automatisk svar ved ukendt mailadresse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Helt enig i problemet - man skal aldrig svare tilbage på en ukendt mail.

Men problemet skal nuanceres noget mere. En legitim mail har behov for verifikation af at ansvaret er overtaget og mailen når frem eller "råber op" ved fejl.

Vi har et helt parallelt problem omkring RFID i ambient, hvor RFID-chippen ikke må svare førend afsender har auhtneiceret sig selv korrekt i forhold til den specifikke besked, ie. pointen er IKKE at afsender skal identificere sig, men at selve beskeden kan kunne validere sin egen authentificering end-to-end.

Disse principper har vi for længst bygget ind i selv en RFID uden batteri - så selvfølgelig kan man også på serverniveau.

Det er i øvrigt endnu et godt eksempel på at standarder virker destruktivt, når de er begrænsende og dikterende uden at kunne tilpasses til mere dynamiske behov.

  • 0
  • 0
Flemming Frøkjær

Hvis en standard er forældet skal den udskiftes med en mere passende.

En passende opsætning vil kun give rigtig fejl besked første gang. Ved andet forsøg med ikke eksisterende mail box kunne man så sende 552. Hvis det er et harvesting forsøg vil han muligvis registrere adressen som eksisterende. Det kan i første omgang virke som en dårlig situation for serveren, men kan bruges til at identificere spammeren. Hvis han på den måde registrere flere ikke eksisterende adresser vil han altid ramme i filteret. Efter et passende antal fejl adresser kan man jo tilføje ip adressen til en firewall regel der helt blokere ham i et par timer.

  • 0
  • 0
Thomas Johansen

Er det ikke bare at få mailserveren til først at analysere emailen, og såfremt den ikke identificeres som spam, svare tilbage at denne email ikke eksisterer længere.

Eller sætte en form for delay så der går længere tid før de får svar tilbage, så kan det jo ikke længere betale sig at høste, rent tidsmæssigt.

  • 0
  • 0
Jørgen Ramskov

Uden at have kendskab til det, så gætter jeg på at det er hvad RFC'en siger den skal gøre?

I stedet for helt at lukke af for det kunne jeg sagtens forestille mig at det kunne gøres mere intelligent.

  • 0
  • 0
Dennis Krøger

@Thomas Ved harvesting er beskeden ikke nødvendigvis en spam besked.

@Christian Jeg tænkte først det samme selv, men greylisting virker imod standard botnets, hvor en super lille implementering af en SMTP klient bruges. Denne miniklient kan ikke håndtere midlertidige fejl, og derfor giver den op. Hvis det er de samme klienter de bruger til harvesting vil det virke, hvis det er en mere "komplet" klient vil det ikke.

  • 0
  • 0
Line Meyer

Jeg vil lige henlede jeres opmærksomhed på den it-sikkerhed-gruppe som en række brugere har startet i Version2's nye gruppeunivers.

De beskriver formålet med gruppen således:
"IT-sikkerhed burde være en naturlig del af alle IT-løsninger, men er det ikke.
Åben snak om alt relateret til it-sikkerhed, undtagen virus og personlige firewalls."

Du kan finde gruppen her: http://www.version2.dk/grupper/it-sikkerhed/

Mvh Line Meyer, Community Builder, Version2

  • 0
  • 0
Christian Schmidt

>RFC 2821 foreskriver at der skal svares tilbage
>med en relevant statuskode efter en RCPT TO.
Hvilken del af standarden forhindrer serveren i at svare 250 OK til hvad som helst?

Indimellem - fx hvis den primære postserver er nede - modtager man jo post via et et mailrelæ, der ikke kender til, hvilke postkasser der eksisterer på domænet.

  • 0
  • 0
Gustav Brock

At finde e-postadresser på den beskrevne måde er kun én ud af mindst femten metoder:

http://www.windowsecurity.com/whitepapers/Email_Harvesting_Techniques_FA...

Folk skriver af og til adresser forkert eller bruger nedlagte adresser. Det er uhøfligt ikke at give besked tilbage, at posten ikke nåede frem.

Standarder bør overholdes, ellers ter man sig som Microsoft.

Enkelte spamfiltre fjerner stort set muligheden for harvesting på denne måde. Jeg kender ikke Symantecs løsning, men SpamBunker gør.

  • 0
  • 0
Anders Majland

Jeg sidder på et par domæner og der sker indimellem at de bliver anvendt som tilsyneladende afsendere af spam.

På et par af dem har jeg et stjerne alias således at jeg modtager alt det post der kommer til domænet.

Dette invirker så at jeg modtager et par tusinde email i døgnet fra mailservere der ikke kan aflevere brevene.

Jeg kunne selvfølgelig mindske belastningen ved at oprette de små hundrede mail addreser der anvendes på domænet, men det ville da være det nemmeste for mig his mailserverne blot undlod at sende fejlbeskrivelserne ...

(De mange email addresser er anvendt for at kunne sortere posten på modtager - det er mere effektivt end at sortere på afsendere. Og det gør det nemt at se hvor en afsender har "delt" deres database med andre)

  • 0
  • 0
Log ind eller Opret konto for at kommentere