Es geschieht immer öfter: ein Virus oder ein Konkurrent benutzt Ihre E-Mail-Adresse als Absender für unerwünschte E-Mails und Viren. Diese Art von Attacke wird auch als „Joe-Job“ bezeichnet.
Die Mail-Server von Euregio.Net hatten ab Mitte April auch mit einem Joe-Job zu kämpfen. Nachdem die Server-Konfigurationen angepasst wurden, um diese Attacke zu bekämpfen, wurde letzte Woche ein weitere Gegenmassnahme getroffen. Somit können täglich mehr als 200.000 unerwünschte E-Mails verhindert werden.
Was ist ein „Joe-Job“?
WikiPedia bezeichnet einen Joe-Job als Emails mit gefälschtem Absender, die auf eine Person oder Institution verweisen, die damit diskreditiert werden soll. Häufig handelt es sich dabei um so genannten Spam, aber ebenso effektiv sind Hetzschriften mit rassistischem oder beleidigendem Inhalt.
Den meisten Computeranwendern ist nicht bewusst, dass der Absender, der in einer E-Mail eingetragen ist, durch beliebige Einträge ersetzt werden kann, was auch Spammer ausnutzen, um ihre Identität zu verbergen.
Namensgebend war Joe Doll. Der Amerikaner wurde im März 1997 Opfer einer derartigen Rufschädigungskampagne. Aufgrund der großen Menge von Beschwerden, Unzustellbarkeitsnachrichten und anderen Angriffen war das System von Joe Doll für zehn Tage nicht erreichbar.
„Joe-Job“ Attacke auf eine Euregio.Net Domain
Viele lokale Euregio.Net-Kunden wissen gar nicht, dass der ostbelgische Provider weltweit aktiv ist mit englischsprachigen Unterhaltungsseiten für Frauen. Dieses Unterhaltungsportal ist erreichbar unter einer Vielzahl von Domain-Namen und erreicht Top-3-Positionen für beliebte Suchbegriffe unter Google.
Beispiele:
- LoveTest.com: Platz 2 von 1.730.000.000 Resultaten mit Suchbegriff „love“ unter Google.com
- 0800-horoscope.com: Platz 1 von 39.100.000 Resultaten mit Suchbegriff „free horoscopes“ unter Google.com
- GuruHits.com: Platz 1/54.800.000 mit Suchbegriff „music quiz“
- Wirtzfeld.be: Platz 3/135.000.000 mit Suchbegriff „webcam“
- hetweer.org: Platz 3/54.700.000 mit Suchbegriff „het weer“
Mit dem internationalen Unterhaltungsportal erzielt Euregio.Net grosse Werbeumsätze, die dann in die ostbelgische Internet-Infrastruktur investiert werden. Ausserdem lernen wir ständig Neues durch das Besucherverhalten auf diesen Seiten und können unseren Kunden mit Rat und Tat zur Seite stehen, um ihre eigenen Seiten optimal in den Suchmaschinen zu plazieren und zu verwalten.
Allerdings bringt dieser Erfolg auch einige Schattenseiten mit sich. Immer wieder wird Euregio.Net Ziel von Attacken durch Neider und Konkurrenten. Hierfür sind natürlich alle gängigen Vorsichtsmassnahmen getroffen, aber oft müssen wir uns auf neue Arten von Attacken einstellen und diese unterbinden.
So geschehen mit einer „Joe-Job“-Attacke auf 0800-horoscope.com.
„Joe-Job“-Attacke auf 0800-horoscope.com
Ende April 2006 sahen wir plötzlich eine hohes Email-Aufkommen auf unseren Mailservern. Kurzfristig waren die Hauptserver so stark belastet, dass Emails erst mit Verspätung zugestellt werden konnte, da diese auf den sekundären Mail-Servern zwischengespeichert wurden und bevor der Hauptserver wieder genug Resourcen zur Verfügung hatte.
Schnell stellte sich heraus, dass die Flut von Emails alle an die Domain 0800-horoscope.com gerichtet waren. Allerdings war uns dies unverständlich, denn die Domain wurde kaum für Email-Verkehr benutzt. In der Vergangenheit gab es einige Email-Adressen @0800-horoscope.com, allerdings wurden diese in den letzten Jahren nicht mehr benutzt.
Anscheinend hatte irgendein Spammer diese alten Adressen benutzt, um seine Massenwerbung zu verschicken. Täglich kamen deshalb auf unseren Servern mehrere hunderttausend Unzustellbarkeitsberichte an.
Da diese Attacke nach einigen Tagen noch nicht abgeklungen war, mussten andere Massnahmen getroffen werden.
Als ersten Massnahme wurde der Mail-Server für 0800-horoscope.com auf einen anderen Server gelegt, damit die Euregio.Net’s Premium-Mail-Konten nicht beeinträchtigt wurden von diesem Email-Aufkommen.
Die 0800-horoscope.com Website wurde durchforstet und alle Email-Adressen, die nicht mehr benutzt wurden, wurden aus den Seiten entfernt, damit in Zukunft diese Adressen nicht mehr von Spam-Robotern gefunden werden können.
Im DNS von 0800-horoscope.com wurde ein SPF-Feld hinzugefügt. Mit dieser Zusatzinformation können andere Mail-Server kontrollieren, ob eine Nachricht auch wirklich von einem autorisiertem Server verschickt wurde. Das SPF-Protokoll wird immer beliebter, da es eine Möglichkeit bietet, die Authentizität einer Nachricht zu überprüfen. In dem SPF-Record stehen die IP-Adressen und Netzwerke, die berechtigt sind, eine Email im Namen der Absender-Domain zu verschicken.
Der SPF-Record für 0800-horoscope.com sieht so aus:
v=spf1 a mx ip4:194.183.232.0/22 ip4:194.183.240.0/24 ~all"
Diese bedeutet, dass nur die offiziellen Mail-Server für diese Domain eine Nachrichten versenden dürfen, sowie die Netzwerke 194.183.232.0/22 und 194.183.240.0/24. Alle anderen IP-Adressen gelten somit als fraglich und können speziell gefiltert oder als Spam markiert werden.
Die Kontakt-Formulare wurden gesichert, damit Spammer keine Massenmails über diese Formulare versenden können. In der Vergangenheit erhielt der Absender eines Web-Formulars automatisch eine Bestätigung seines Eintrags (mitsamt aller Einträge die er gemacht hatte). Heutzutage machen Spammer automatisierte Einträge in diese Kontakt-Formulare mit gefälschten Absendern, um ihre Werbung (inkl. Website-Adresse) an diesen Absender zu versenden. Indem die Bestätigungsnachricht den Original-Eintrag nicht mehr mitschickt, wird die Werbung unwirksam, da sie nicht als Kopie an den Absender geht, sondern nur an den Formular-Inhaber geschickt wird.
Ein weiterer Schritt gegen die Joe-Job-Attacke war die Umkonfigurierung des Mailservers. Bevor diese Massnahme eingeführt wurde, wurden alle Emails, die an eine Adresse @0800-horoscope.com geschickt wurden, in einer Sammel-Mailbox abgelegt. Jetzt wurden nur noch Nachrichten an die wirklich aktiven Email-Adressen zugestellt. Dieses Beispiel zeigt, das „Catchall“-Adressen heutzutage eine schlechte Idee sind. Man kann zwar eine Sammel-Mailbox installieren, allerdings sollte diese nur Nachrichten akzeptieren, die auch wirklich existieren und keine willkürlichen Adressen zulassen.
Durch diese verschiedenen Schritte wurde verhindert, dass sich in der Sammel-Mailbox Nachrichten an alte Adressen ansammelten. Allerdings wurden die Mail-Server noch immer mit Unzustellbarkeitsnachrichten überschwemmt. Diese Nachrichten durchliefen die Spam- und Viren-Filter bevor dann wieder vom Euregio.Net-Server eine „Non-Delivery“ oder „User unknown“ Nachricht generiert wurde.
Es ist verständlich, dass der Server deshalb trotzdem noch sehr stark ausgelastet war.
Nachdem die Attacke länger als eine Woche dauerte, wurde klar, dass eine weitere Schutzmassnahme getroffen werden musste. Die Idee war nun, dass Emails, die an 0800-horoscope.com geschickt wurden, gar nicht mehr akzeptiert wurden, sondern sofort eine Fehlermeldung an den Absender geschickt wurde, bevor der Nachrichteninhalt der Email zu den Filtern gelangen konnte.
Glücklicherweise erlaubt die eingesetzte Mail-Server-Software eine sehr flexible Konfiguration. Somit wurden die attackierten Email-Adressen so konfiguriert, dass sie sofort einen Fehler-Status an den Absender schickten mit weiteren Hinweisen auf die Attacke.
Hier ein Beispiel der sendmail-Konfiguration:
From:admin@0800-horoscope.com error:5.1.1:550 Invalid Address, please see http://www.0800-horoscope.com/mailerror
To:admin@0800-horoscope.com error:5.1.1:550 Invalid Address, please see http://www.0800-horoscope.com/mailerror
From:guestbook@0800-horoscope.com error:5.1.1:550 Invalid Address, please see http://www.0800-horoscope.com/mailerror
To:guestbook@0800-horoscope.com error:5.1.1:550 Invalid Address, please see http://www.0800-horoscope.com/mailerror
Dieser Code zeigt, dass Nachrichten mit Absender oder Empfänger „admin@0800-horoscope.com“ und „guestbook@0800-horoscope.com“ nicht zugelassen sind. Ausserdem beinhaltet der Status-Code auch eine Web-Adresse, wo mehr Informationen zu finden sind. Dies ist vor allem nützlich für Mail-Administratoren, die eine grosse Anzahl von Nachrichten an diese Domain in ihrer Mail-Queue finden.
Durch dieses System konnten die Mail-Server wieder normal arbeiten, obwohl die Log-Dateien täglich bis zu 300.000 Verbindungsversuche anzeigten für Emails unter diesem Domain-Namen. Diese Verbindungsversuche sind in unseren Mail-Statistiken als „rejected/verworfen“ aufgeführt.
Während 3 Monaten ging die Attacke weiter, ohne dass die Server darunter leiden mussten. Allerdings machte die grosse Anzahl von Log-Einträge das Management unübersichtlich.
Als letzter Schritt wurde deshalb der Email-Server für 0800-horoscope.com zu einem anderen kommerziellen Dienst ausgelagert, der von nun an das Filtern übernimmt. Die Anzahl E-Mails pro Tag ist jetzt wieder auf ein normales Niveau von derzeit ± 100.000 Nachrichten pro Tag gesunken.
Übersicht der verworfenen Nachrichten
Diese Grafik zeigt an, wie sich das Email-Aufkommen für 0800-horoscope.com während 3 Monaten entwickelte.
Deutlich sichtbar sind die Einbrüche des Email-Aufkommens an Wochenende und Feiertagen. Dies deutet darauf hin, dass die Joe-Job-Nachrichten vor allem während Werktagen verschickt wurden, sehr wahrscheinlich durch infizierte Computer, die als Spam-Server in Zombie-Netzwerken dienen.
| Zeitraum: | Anzahl Nachrichten |
|---|---|
| Mai 2006 | 2.770.816 |
| Juni 2006 | 3.26.1048 |
| Juli 2006 | 5.164.648 |
| Total | 11.196.512 |
Während drei Monaten wurden auf den Euregio.Net-Servern mehr als 11 Millionen Unzustellbarkeitsberichte empfangen. Die Anzahl der Spam-Nachrichten mit den gefälschten Absendern, die ihre Opfer erreicht haben, dürfte um ein Vielfaches höher liegen.
Hier eine Übersicht über das komplette Mailaufkommen auf den Euregio.Net-Servern in den letzten 31 Tagen (Grafik wird täglich aktualisiert):
Zusammenfassung
Damit Sie gegen die Folgen einer Joe-Job-Attacke vorbereitet sind, sollten Sie folgende Punkte beachten:
- Verwenden Sie auf Ihrer Website keine Email-Adressen, auf die Sie nicht verzichten können. Eine Attacke macht es manchmal notwendig, dass man sich eine neue Absender-Adresse zulegt, damit die attackierte Email-Adresse blockiert werden kann.
- Sichern Sie Ihre Web-Formulare, damit Spammer diese nicht missbrauchen können. Sie sollten deshalb an den Absender eines Formulars keine Kopie der Anfrage mitschicken. Dies macht es Spammern zu einfach, ihre Nachrichten zu verbreiten.
- Analysieren Sie täglich das Email-Aufkommen, um schnell auf eine Attacke reagieren zu können
- Benutzen Sie keine Sammel-Mailboxen, die willkürliche Adressen akzeptieren. Dies könnte sonst von Spammers missbraucht werden, um Tausende gefälschte Absender-Adressen zu verwenden.
- Verwenden Sie einen SPF-Record für Ihre Domain, damit Ihre IP-Adressen als Absender geprüft und zugelassen werden.
- Sprechen Sie mit Ihrem Email-Provider, damit er Ihnen eine gute Strategie für Ihre Email-Verwaltung vorschlagen kann.
Es gibt derzeit leider kein Mittel, wie man sich gegen Spammer wehren kann, die Ihre Email-Adresse als Absender missbrauchen. Sie können sich aber auf die Auswirkungen einer solchen Spam-Kampagne schützen, indem Sie sich darauf vorbereiten.
