Der Spam-Versand (unerwünschte E-Mail-Korrespondenz) beginnt seine Geschichte in der Mitte der 90-er Jahre des vergangenen Jahrhunderts, als die Zahl der Internet-Nutzer anstieg und für die Werbebranche interessant wurde. Bereits 1997 war die Rede von einem regelrechten 'Spam-Problem'. Noch im selben Jahr erschien die erste schwarze Liste der IP-Adressen der Spam-'Maschinen' (RBL, Real-Time Black List).
Die rasante Entwicklung der Versand-Methoden von Spam ist ersichtlich anhand der Entwicklung der entsprechenden Spam-Filter. Sobald eine neue Methode des Spam-Versands erschien, wurden effektive Kampfmittel gegen sie gefunden, so dass die Spammer ihre Technologien immer wieder ändern mussten. Je größer das Spam-Problem wurde, umso aktiver wurde nach Antimethoden gesucht, umso schneller änderten jedoch auch die Spammer ihre Technologien - und das Geschäft wächst, und wächst und erlaubt es, immer größere Summen in die Entwicklung der Spam-Technologien zu investieren.
Nachfolgend sind die wesentlichsten Etappen der Entwicklung der Spam- und Antispam-Technologien beschrieben:
Die Entwicklung der Spam-Techniken
Direkter Versand
Spam begann seine Geschichte mit dem direkten Versand - die Spammer verschickten Mitteilungen in eigenem Namen von den eigenen Mailservern. Diese Art Spam ist ziemlich leicht zu blockieren (da die Adressen der Mailserver oder Absender bekannt sind). Da diese Blockierungen sich schnell verbreiteten, waren die Spammer dazu gezwungen, die Absender-Adressen und verschiedene technische Informationen zu fälschen.
Versand über 'offene Relais'
Ein offenes Relais (open relay) ist ein Mailserver, der es einem beliebigen Nutzer erlaubt, beliebige E-Mails an eine beliebige Adresse zu versenden. In der Mitte der 90-er waren alle Mailserver offene Relais. Aufgrund dieser Tatsache musste in der ganzen Welt die Programmversorgung für alle Mailserver verändert bzw. neu eingestellt werden. Nicht alle Administratoren taten dies ausreichend schnell. So entstand ein Service zur Suche der 'offenen Relais', der Listen (darunter auch der auf DNS-Technologie begründeten RBL - Listen (realtime blackhole list) und der Blockierung des E-Mail-Empfangs von diesen Maschinen. Bis zum heutigen Tage wird diese Versand-Methode angewandt, da 'offene Relais' noch immer existieren.
Versand über Modem-Pools
Nachdem der Versand über offene Relais uneffektiv wurde, bedienten sich die Spammer des Versands über dialup-Anschlüsse, und nutzten die folgenden Möglichkeiten:
in der Regel empfängt der Mail-Server des Providers die Post seiner Klienten und schickt sie weiter;
der dialup-Anschluss erhält somit eine dynamische IP-Adresse (die nach jeder neuen Verbindung unterschiedlich ist), und so kann ein Spammer wiederum die Post an eine Menge verschiedener Adressen schicken.
Als Antwort darauf führten die Provider ein Limit auf die Anzahl der Briefe ein, die von einem Anwender aus abgeschickt werden konnten, es erschienen Listen der dialup-Anschlüsse und die Blockierung des Postempfangs von 'fremden' Modem-Pools.
Versand über Proxy-Server
Zu Beginn des 21. Jahrhunderts, zeitgleich mit der Verbreitung der Hochgeschwindigkeits-Anschlüsse (ADSL, Cable), begannen die Spammer die Ausrüstungs-Probleme der Klienten auszunutzen. Viele ADSL-Modeme hatten einen eingebauten 'socks-server' oder http-proxy (beides sind Programmzusätze, die eine Nutzung eines Internet-Kanals durch viele Computer ermöglichen), wobei ein Zugang von der ganzen Welt aus ohne Kennwort und Kontrolle des Zugangs möglich war (um die Einrichtung dem Endnutzer zu erleichtern). Auf diese Art und Weise konnte man von der IP-Adresse des ADSL-Anwenders aus eine beliebige Aktion durchführen (unter anderem den Versand von Spam). Da es weltweit Millionen Anwender dieser Internet-Anschlüsse gab, hatten die Spammer ein großes Spielfeld und die Hardware-Produzenten begannen mit der Sicherung ihrer Technik.
Zombie oder bot networks
Gegenwärtig wird der Versand hauptsächlich von den Anwender-PC's aus durchgeführt, auf denen durch verschiedene Methoden die 'Trojaner'-Programme installiert wurden. Diese ermöglichen Spammern und anderen Übeltätern den Zugang und die Kontrolle der Anwender-Computer ohne das Wissen der Anwender. Zum Eindringen in die Anwender-Maschinen werden folgende Methoden angewandt:
Trojaner-Programme, die gemeinsam mit schwarz kopierter Software über Dateiaustausch-Netze wie Kazaa, eDonkey u.ä. verbreitet werden;
Nutzung der Sicherheits-Probleme der verschiedenen Windows-Versionen und der verbreiteten Programme (insbesondere MSIE und MS Outlook);
E-Mail-Viren der letzten Generation.
Ganz vorsichtig ausgedrückt, sind auf Millionen Computern weltweit Trojaner-Programme eingerichtet. Bis zum heutigen Tage sind diese Programme ziemlich schlau - sie können ihre Versionen aktualisieren, neue Durchführungs-Anweisungen von speziell dafür zuvor vorbereiteten Webseiten oder IRC-Kanälen erhalten, Spam versenden, DDOS-Attacken durchführen uvm.
Die Evolution der Brief-Inhalte
Das Erscheinen der Erkennungsmittel von Spam, die auf der Inhalts-Analyse des Briefes beruhen, führte zur Evolution der Inhalte der Spammer-Briefe - sie werden derartig geschrieben, dass eine automatische Analyse nur schwerlich möglich ist. Wie mit den Veränderungen der Versandmethoden, müssen die Spammer wiederum mit den Antispam-Methoden kämpfen.
Einfache Text- und html- Briefe
Die ersten Spam-Nachrichten ware alle einheitlich - alle Empfänger erhielten ein und denselben Text. Diese Nachrichten konnten trivial gefiltert werden, so z. Bsp. nach der Häufigkeit der Wiederholung desselben Briefes.
Personalisierte Nachrichten
Ein nächster Schritt war die Ergänzung eines Grußes, welcher auf der E-Mail-Adresse des Empfängers basierte (z. Bsp. Hello,joe!- am Briefanfang entsprach joe@user.com). So unterschieden sich die Nachrichten voneinander. Für ihre Filterung war es nun erforderlich, eine sich nicht verändernde Zeile zu finden und diese in die Liste der Filter-Regeln einzutragen. Als weitere Kampfmethoden wurden ungenaue Signaturen vorgeschlagen, die selbst kleine Text-Änderungen erkennen, sowie auf Statistik basierende selbstmodifizierte Filtertechnologien wie der Baysian-Filter.
An den Anfang oder das Ende der Briefes kann der Spammer einen Abschnitt aus einem klassischen Text oder eine zufällige Wortverbindung setzen. In eine html-Nachricht kann man einen 'unsichtbaren' Text einfügen (mit sehr kleiner Schrift, oder mit der Hintergrundfarbe übereinstimmend). Diese Ergänzungen erschweren die Arbeit der ungenauen Signaturen und die statistischen Methoden. Als Antwortmaßnahme erschien die Zitaten-Suche, die viele Textergänzungen ausfindig macht, weiterhin eine detaillierte html-Analyse und verschiedene andere Tiefenanalysen des Briefinhalts.
Grafische Briefe
Eine Werbe-Nachricht kann dem Anwender als Grafik-Datei geschickt werden - das erschwert die automatische Analyse erheblich. Als Gegenmaßnahme entstehen verschiedene Methoden zur Analyse der Abbildungen, die den in ihnen enthaltenen Text ausfindig machen.
Dynamische Texte
Ein und dieselbe Werbe-Mitteilung wird in vielen verschiedenen Varianten ein und desselben Textes erstellt. Jeder einzelne Brief sieht wie ein gewöhnlicher zusammenhängender Text aus, und nur wenn man viele Kopien dieser Mitteilung hat, kann man erkennen, dass es nur ein Textumbau ist. So kann man demnach die Filter erst dann effektiv einstellen, wenn bereits ein wesentlicher Teil des Spam-Versands erfolgt ist.
Zusammenfassung
Die zuletzt erwähnten drei Methoden finden heutzutage eine breite Anwendung - längst nicht alle Anti-Spam-Methoden können gegen sie normal ankommen, was es ermöglicht, Spam denjenigen Nutzern zuzusenden, die nicht die modernsten Filtermethoden anwenden.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt