Spammer versenden authentisierte Yahoo-E-Mails

Ein Großteil der auf diesem Wege verbreiteten Nachrichten rührt nach Angaben von MessageLabs die Werbetrommel für die Dienste von ‘Canadian Pharmacy’, eine einschlägig bekannte Spam-Schleuder. Verteilt werden die Werbemails über ein vergleichsweise kleines, eventuell neues Botnet.

Bei Yahoo werden E-Mails normalerweise über die Benutzeroberfläche der Webmail-Anwendung verschickt. Jedoch bietet der Anbieter den Nutzern auch die Option, auf SMTP zurückzugreifen, um Nachrichten über ein E-Mail-Programm wie Microsoft Outlook Express oder Mozilla Thunderbird zu versenden.

Die mit der neuen Spam-Technik verteilten Nachrichten werden mittels SMTP über die Server von Yahoo verschickt, um zu gewährleisten, dass sie jeweils korrekt mit der DKIM-Methode (DomainKeys Identified Mail) von Yahoo signiert werden. Dieses Verfahren zur Absender-Authentisierung nutzt digitale Signaturen im Header, die anzeigen, dass eine Nachricht tatsächlich von Yahoo stammt und keine Fälschung ist.

Das Ziel dieser Strategie liegt auf der Hand: Die so erzeugten Nachrichten sind von Abwehrtools schwer anhand der Absender-IP-Adressen als Spam zu identifizieren und abzufangen. Die für Spam-Zwecke genutzten Yahoo-Accounts wurden offenbar mit automatischen Tools angelegt – vermutlich unter Ausschaltung der Captcha-Mechanismen, die der Anbieter verwendet. Darauf deutet die Tatsache hin, dass alle Accounts bisher ein einheitliches Format haben und ausschließlich auf die Domain @yahoo.co.uk enden.

Yahoo nutzt Mengenbegrenzungs-Techniken, damit Spammer über den Webmail-Dienst nicht zu viele Werbenachrichten auf einmal verbreiten können. Diese Verfahren regeln jedoch lediglich, wie viele E-Mails sich von einem Account in einem Zeitraum verschicken lassen. Die Spammer konnten diese Beschränkung umgehen, indem sie in kurzer Zeit tausende Benutzerkonten anlegten.

Silicon-Redaktion

View Comments

  • Erfreulich: DKIM verhilft zu einem weiteren, präziseren Spam-Kriterium
    > Das Ziel dieser Strategie liegt auf der Hand: Die so erzeugten
    > Nachrichten sind von Abwehrtools schwer anhand der
    > Absender-IP-Adressen als Spam zu identifizieren und abzufangen.

    Um über die relativ grobe Filterung per IP-Blacklists hinaus ein feineres Instrumentarium zur Filterung von Mails authentifizierender ISPs zur Verfügung zu haben, haben wir seit Februar 2008 http://www.agitos.de/dkim-reputation-project.html aufgebaut:
    - DKIM Reputationen werden anhand der DKIM signierten Spammails aus dem NiX Spam Projekt des Heise-Verlags gebildet
    - zunächst werden Spamhits auf User-Ebene registriert und einzelnen Usern negative Reputationen vergeben
    - übersteigt die relative Anzahl von Spammern pro Domain mit Abhängigkeit des Maildomain-Durchsatzes einen Schwellwert, wird auch der Maildomain negative Reputation vergeben

    Das bedeutet im Fall yahoo.co.uk, dass derzeit etwas mehr als 6000 Benutzeradressen unter dieser Domain blacklistet sind, die Domain yahoo.co.uk selbst aber wegen des relativ geringen Spammer-Anteils trotzdem eine positive DKIM-Reputation aufweist.

    Fazit 1: das DKIM Reputation Project bietet ein weiteres Kriterium zur E-Mail-Bewertung in Spamfiltern auf Benutzer- und Sender-Domainebene.
    Fazit 2: ISPs sollten auf Sender-Authentifizierung per DKIM umsteigen, näheres in Kürze unter http://wiki.ak-senderauth.eco.de
    Fazit 3: wir werden, alsbald möglich, die Daten unseres DKIM Reputation Projects per DNS abfragbar mit entsprechenden Filterclients zur freien Verfügung stellen
    Fazit 4: wir werden ISPs die Möglichkeit geben, ein gezieltes Reporting über Spamaccounts in eigenen ISP-Domains zu "abonnieren". Im Fall yahoo.co.uk konnten wir im März bereits einen Erfolg erzielen: nach Mitteilung der Spamaccounts an das Yahoo! Anti-Abuse-Department wurden diese Accounts gezielt gesperrt.

    Autor: Florian Sager, Leiter des Arbeitskreises E-Mail Sender Authentifizierung des eco Verbandes

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago