blog.nxdomain

Manchmal (aber selten) machen es einem die Spammer leicht, Filter zu schreiben. Heute (am 2. September) denkt eines der Botnetze offenbar, es sei der 33. August. Den Wochentag konnte die Software dann nicht mehr berechnen, sodass der entsprechende Header folgendermassen lautet:

Date: , 33 Aug 2007 17:15:45 +0900

korrekt wäre z.B.:
Date: Sun, 2 Sep 2007 10:46:49 +0200

Vielen Dank für diesen Bug.

Die neue Zone “Policy Block List” (PBL) vom wohl besten RBL-Betreiber Spamhaus ist seit gestern abend aktiv (als public beta) und in der neuen “Sammelzone” zen enthalten. Bin gespannt, wie sich das auswirkt, sowohl was die Spamerkennung als auch false positives betrifft.

SecureWorks hat eine interessante Analyse des SpamThru-Botnetzes geschrieben (bekannt durch die aktuelle Stock-Spam-Kampagne). Die wichtigsten Punkte:

• gesteuert durch einen Control-Server
• P2P-Kommunikation zwischen den Bots: Falls der Control-Server entdeckt und abgeschaltet wird (wie gerade geschehen) kann der Betreiber des Botnetzes über P2P den Bots die IP des neuen Control-Servers bekannt geben, solange er die Kontrolle über mindestens einen der Bots hat
• die Botsoftware lädt eine gehackte Version der Kaspersky-AV-Software vom Control-Server und deaktiviert damit alle anderen Trojaner ausser sich selbst
• jeder Bot versendet pro Spamversand nur an einige hundert Adressen
• die Betreiber haben ganz offensichtlich viel Arbeit und Geld in ihr Business gesteckt
• von den total 73000 aktiven Bots sind 12000 in den USA und nur 2800 in China (was mich doch etwas erstaunt, sehen wir doch bei uns neben China neu auch viel Spam aus osteuropäischen und inzwischen auch afrikanischen Ländern, z.B. Marokko)
• das System wäre theoretisch in der Lage, pro Tag eine Milliarde Spam-Mails zu verschicken

Wegen der P2P-Funktionalität ist es beinahe unmöglich, dieses Botnetz abzuschalten. Offenbar ist der Zugang zum System auch sehr gut geschützt, da sich der Betreiber mit Sicherheit auch gegen Konkurrenten wehren muss. Es wäre doch zu cool, das Botnetz einfach zu übernehmen und selber damit Geld zu verdienen…

(via Matthias Leisi)

Was bei Firewalls schon immer der Normalfall war wird langsam auch bei E-Mail so: Nämlich dass grundsätzlich jeglicher Traffic abgelehnt wird und nur Ausnahmen zugelassen sind. Bisher hat jeder Mailserver SMTP-Verbindungen von beliebigen IP-Adressen angenommen, also auch den ganzen Trojaner-verseuchten Privat-PCs. Das ändert sich, wir wehren inzwischen fast die Hälfte aller Spam-Mails durch reverse-DNS-Abfragen ab (Bsp: alle SMTP-Verbindungen von *.dialin.provider.net).
So gesehen finde ich Matthias Leisis Forderung nach einem grundsätzlichen default deny für SMTP nur logisch. Leider ist es dann aber vorbei mit mal-noch-schnell-einen-SMTP-Server aufsetzen, müsste man doch dann die jeweilige IP in alle Whitelist-DBs eintragen und bei allen müsste man noch irgendwie beweisen, dass man zu den good guys gehört. Als Mittel zur Reduktion von false positives sind aber whitelists wie dnswl.org bereits jetzt schon sehr sinnvoll.

Update: Die geplante Spamhaus PBL wird – jedenfalls vom Effekt her – auch in Richtung default deny gehen.