Tag Spam.Spamtrap

Kurzinfo

Mail-Header oder Mail-Auszüge aus Spamtraps.

Treffsicherheit

Sehr hoch.

Beschreibung

Spamtraps sind Mail-Adressen, die keiner Person oder Funktion gehören, sondern lediglich dafür angelegt und auf diese Weise bekanntgemacht wurden, daß sie nur von Spamversender und eventuell Malware, die sich per Mail verbreitet, angeschrieben werden. Dadurch soll jeder Rechner, der an solch eine Adresse Mail sendet, unzweifelhaft als Spamsender entlarven werden.

Das erlaubt es den Betreibern der Spamtraps, einlangende Nachrichten oder ihre Mailheader zur weiteren Analyse an die zuständigen CERTs bzw. Abuse-Teams weiterzugeben. Daran läßt sich gegebenenfalls erkennen

  • bei Relaying durch einen Mailserver: welcher relayberechtigte Rechner den Spam verschickt hat
  • wenn ein Webmail-Interface mißbraucht wurde, z.B. durch einen gehackten Account
  • ob die Mail durch die Mailserversoftware eines Rechners verschickt wurde oder nicht – in Betracht käme z.B. Proxy/NAT, Schadsoftware mit eingebautem SMTP-Client

Der immense Wert von Spamtraps in der hier beschriebenen Art ist, daß sie Material liefern, das in manchen Fällen nötig ist, um die Ursache eines Spamproblems erkennen zu können.

Backscatter

Leider gibt es auch bei Spamtraps die Möglichkeit von False Positives.

Wenn Spam versandt wird, verwendet der Auftraggeber kaum seine wahre Mail-Adresse, vielmehr wählt die Software zufällig eine Adresse aus – mitunter eben auch eine Spamtrap-Adresse.

Manche Nachrichten werden automatisch beantwortet (wegen Unzustellbarkeit, Out-of-Office-Nachricht, automatische Antworten von Ticketsystemen, Mailinglistenservern etc...). Passiert dies mit einem Spam, der angeblich von einer Spamtrapadresse geschickt wurde, geht die Antwort – völlig legitim! – an die Spamtrapadresse. Das wird als Backscatter bezeichnet und führt zur irrtümlichen Klassifikation des antwortenden Systems als Spamversender.

Die Extremisten unter den Spamfightern lehnen daher alle Systeme, die automatisch Mail beantworten, als fehlkonfiguriert ab. Darüber kann man geteilter Meinung sein, aber es ist dringend anzuraten, Nachrichten, die leicht erkennbar unzustellbar sind (etwa wegen ungültiger Empfängeradresse), von den Mailsevern gar nicht erst entgegennehmen zu lassen (also Reply-Code 5xx oder 4xx) statt sie erst anzunehmen und dann eine Non delivery notification zu versenden.

Abusix – The Global Reporting Project
http://abusix.org/service/global-reporting

Project Honeypot
http://www.projecthoneypot.org/

Erfahrungen

(Bisher keine Erfahrungsberichte verfügbar)
(bisher keine Erfahrungsberichte verfügbar)

  • No labels