Verhaltensanalyse von Spammern verringert das Risiko verschleierter Spammer-Identitäten

Spam- und Spammer-Erkennung innerhalb der "Barracuda Spam Firewall"

(30.05.07) - Barracuda Networks stellt mit "Predictive Sender Profiling" eine neue Generation der Spam- und Spammer-Erkennung innerhalb der "Barracuda Spam Firewall" vor. Dadurch erhalten Anwender verbesserten Schutz vor den neusten Spam-Angriffen, die die übliche Namensanalyse umgehen. Über das Netzwerk ihrer 40.000 Kunden erhält Barracuda Networks die wohl umfang-reichste Zusammenstellung an E-Mail-Verkehr, um darüber das Verhalten von Spam-Versendern zu analysieren. Die erfassten Daten erlauben es der Barracuda Spam Firewall, eine Sender-Identität leichter zu erkennen, auch dann, wenn diese Verschleierungstechniken verwendet werden.

Barracuda Networks sieht in den Verschleierungsversuchen den neusten Trend im Spam-Verkehr. Damit wollen Spammer die so genannte Reputation bzw. Namensanalyse umgehen, indem sie sich hinter einer anderen E-Mail-Identität verbergen. Der neue Trend verlangt eine Erweiterung der herkömmlichen Adressen-Prüfung. Der Sicherheitsexperte sieht in einer gezielten Profil-Analyse den optimalen Schutz vor diesem Spam. Beim Profiling wird der E-Mail-Sender auf anomales Verhalten untersucht.

Predictive Sender Profiling

Spammer können mittels Malware einen Rechner innerhalb eines Netzwerkes infizieren und diesen nutzen, um E-Mails zu versenden. Somit versteckt sich der Spam-Sender hinter der Identität des infizierten Rechners. Dadurch hebelt er die Wirkungsweise der Namensanalyse aus und der Empfänger erhält Spam von einer ihm sicher geltenden Adresse. Zu den Verschleierungstaktiken zählen zudem das Registrieren neuer Domains, das Senden von Spams über sichere Blogs sowie die Nutzung kostenloser Website-Provider und URL-Umleitungsservices.

Im Falle der Identitätsverschleierung kann die Barracuda Spam Firewall das Verhalten aller Sender überprüfen. Zum Beispiel analysiert sie folgende Kriterien:

· Das Versenden zu vieler E-Mails von einem einzigen Netzwerk aus. Dadurch verhindert die Firewall sogar den Spam, der von bislang sicheren Servern ausgeht, die zuvor kein anomales Verhalten aufwiesen.

· Das Versenden an zu viele ungültige Empfänger. Dabei werden automatisch SMTP- Verbindungen von Sendern verhindert, die an zahlreiche ungültige Adressen schreiben. Ein solches Verhalten weist auf eine Adressbuch-Attacke hin.

· Das Versenden unzähliger E-Mails kurz nach dem Registrieren einer Domain. Barracuda Central pflegt eine Adressdatenbank von Domains und fügt neu hinzukommende Domains automatisch hinzu.

· Das Versenden von Spam über kostenfreie Internet-Services. Die Barracuda Spam Firewall kann URL-Umleitungen kostenloser Internet-Provider nachverfolgen und so die Ursprungs-Website sowie deren DNS-Konfigurationen analysieren.

Durch das vermehrte Auftreten solcher Verschleierungsversuche verringert sich der Nutzen einer reinen Adressenüberprüfung. Predictive Sender Profiling ermöglicht es, schlechte Verhaltensmuster zu erkennen und ihnen in Echtzeit mit entsprechenden Schutzmechanismen zu begegnen. (Barracuda: ra)