Spoofing von gültigen E-Mail-Adressen ist eine verbreitete Spam-Technik

Einsatz gegen Internet-Service-Provider geht weiter, Spam-Quote insgesamt stabil

(07.10.09) - Google präsentiert die Entwicklung von Spam und Virus im dritten Quartal dieses Jahres. Die Daten über Spam stammen aus dem Netzwerk des Google-E-Mail-Sicherheits- und Archivierungsservice, "powered by Postini". Der Service verarbeitet über 3 Milliarden E-Mail-Verbindungen pro Tag.

2007 wurden bei Postini die ersten Varianten eines großen Virenangriffs beobachtet, der später als der Storm-Virus bezeichnet wurde. In diesem Sommer griff Storm massiv an, und der Angriff zog sich über mehrere Monate hin. Payload-Viren in einem derartigen Umfang wurden bei Postini bis zum zweiten Quartal 2009 nicht mehr gesehen. Das Ausmaß im dritten Quartal 2009 lässt die Storm-Virenattacke von 2007 vergleichsweise gering erscheinen. Die Datenzentren von Postini haben auf der Höhe der Attacke täglich über hundert Millionen Viren blockiert.

Bei der Mehrzahl dieser Viren (55 Prozent) handelt es sich um Mitteilungen wie die untenstehende: eine gefälschte Mitteilung über ein nicht oder nur teilweise gemeldetes Einkommen von der Steuerbehörde. Eine weitere große Virenmenge (33 Prozent) erschien in der Form von gefälschten Paketverfolgungsanhängen, deren Anzahl bereits im zweiten Quartal angestiegen war.

Im letzten Quartal hatte Postini über den Einsatz gegen 3FN am 4. Juni berichtet. Der Trend zum Einsatz gegen Internet-Service-Provider setzt sich mit einem neuen Übeltäter im dritten Quartal fort. Bei diesem handelt es sich um Real Host, einen großen Internet-Service-Provider in Lettland, der vom Cutwail-Botnetz benutzt wurde. Cutwail hat einen großen Anteil seines Spams über Real Host versendet, der am 1. August von übergeordneten Providern abgeschaltet wurde. Dieser Einsatz hatte nicht die dramatischen Auswirkungen wie McColo (im letzen November) oder gar 3FN. Seine Auswirkungen dauerten nur zwei Tage. Dabei ging die Spam-Quote anfangs um 30 Prozent zurück, um dann aber schnell wieder anzusteigen. Die gesamte Menge an Spam blieb in diesem Quartal jedoch konstant und ist seit dem Vorfall nur gering angestiegen oder gesunken.

Im dritten Quartal bewegt sich die Spam-Rate im Bereich von 90 Prozent der gesamten Mitteilungen und ist damit im Vergleich zum zweiten Quartal um durchschnittlich ca. 95 Prozent gesunken. Die mittlere Spam-Rate im dritten Quartal 2009 lag 8 Prozent unter dem zweiten Quartal des gleichen Jahres und entsprach der Menge im dritten Quartal des Vorjahres (2008). Insgesamt weist die Menge an Spam in diesem Quartal weniger Schwankungen auf als in den letzten Quartalen. Trotz des Spam-Plateaus sind auf Cloud-basierende Sicherheitslösungen immer noch sinnvoll für Unternehmen, die Wert darauf legen, den Anstieg von Spam und Mitteilungen in der Zukunft nicht vorhersehen zu müssen.

Ältere Spam-Techniken erhöhen die Größe der Mitteilungen

Im letzten Quartal berichtete Postini über den Trend zu höheren Mitteilungsgrößen (gemessen in Bytes). Der Trend hält an, und damit ist 2009 das Jahr des Wiederauflebens alter Techniken wie Bilder-Spam und Payload-Viren. Da für diese Art von Spam Anhänge erforderlich sind, steigt die durchschnittliche Spam-Größe. Betrachtet man die Spam-Bytes, die pro Nutzer verarbeitet werden, gab es 2009 einen steilen Anstieg mit Raten von 123 Prozent im dritten Quartal 2009 gegenüber demselben Zeitraum in 2008.

Organisationen, die in ihrem Netzwerk Spam verarbeiten, sollten dieser Entwicklung Beachtung schenken. Der Größenanstieg erzeugt eine Belastung der Bandbreite, welche die Geschwindigkeit im Netzwerk beeinträchtigen kann.

Tipp: D Möglichkeiten zur Optimierung des Postini-Spam-Filters

Auffallend ist, dass viele Nachrichten im Spam- oder Quarantäneordner von der eigenen E-Mail-Adresse stammt. Wie ist das möglich? Ein Spammer hat die E-Mail-Adresse gespooft. Spoofing von gültigen E-Mail-Adressen ist eine verbreitete Spam-Technik. Schlimm wird es, wenn man die eigene Domain in die Liste zuverlässiger Absender eingetragen hat. Auf den ersten Blick scheint das eine gute Idee zu sein. Das ist aber nicht der Fall. Diese Vorgehensweise hat zur Folge, dass alle gespooften E-Mails den Spam-Filter umgehen und im eigenen Posteingang landen. Daher empfiehlt Postini den Organisationen dringend, ihre eigene Domain nicht in ihre Liste zuverlässiger Absender einzutragen. (Adam Swidler, Google: ra)