Backscatter (E-Mail)
Backscatter (ursprünglich ein Begriff aus der Physik, siehe Rückstreuung) bei E-Mails ist Rückstreuung durch Delivery Status Notifications, wenn diese auf gefälschte Absenderadressen antworten. Die Funktionsweise von E-Mail-Backscatter ist vergleichbar mit Distributed Reflected Denial of Service Angriffen (kurz DRDoS-Angriff[1]) auf Netzwerkebene.
Die automatisch gesendeten Benachrichtigungen gehen dabei nicht den tatsächlichen Absendern zu, sondern dem bzw. den Unbeteiligten, die als Absender angegeben waren. Es handelt sich, zum einen, um Fehlermeldungen, wie: etwa, dass die angeschriebene Adresse nicht existiert, dass die erhaltene E-Mail Spam war oder dass die E-Mail Malware enthielt. Zum anderen können auch Abwesenheitsbenachrichtigungen oder sonstige automatisch versendete Hinweise, beispielsweise von Mailinglisten-Prozessoren und sonstigen E-Mail-Robots aber auch Echo-Mailer, Backscatter-Effekte hervorrufen. Insbesondere Fehlermeldungen über Malware sowie die dazu möglicherweise erhebliche Anzahl solcher Mails verunsichert die Empfänger.
Abhilfe
Mailserver
Heute werden Delivery-Status-Notifications in der Regel nur noch an Adressen gesendet, die mittels SMTP-Auth authentifiziert sind. Vorzugsweise bricht der Mail-Transfer-Agent den Empfang (etwa im Zuge einer gescheiterten Empfängeradressenvalidierung) bereits frühzeitig ab, sodass keine nachgelagerte Benachrichtigung erforderlich ist, dieses Vorgehen nennt man Before-Queue-Filterung.
Es gibt Firmen, die gezielt nach Mailgateways suchen, die Backscatter erlauben, indem diese auf fehlende Authentifizierung oder fehlende Empfängeradressenvalidierung geprüft werden. Diese landen dann auf einer "schwarzen Liste".
Konfiguration der Domain
Backscatter wird erleichtert, wenn über Catch-All-Adressen E-Mails für beliebige (also nicht nur für explizit benannte) Adressen einer Domain angenommen werden und sie erst anschließend Spamfiltern übergeben werden. Wenn der Mail-Transfer-Agent stattdessen über die Adressen seiner Domain informiert ist und interaktiv mit einem Virenscanner und einem Spamfilter zusammenarbeitet, kann Backscatter an nicht real existierende Adressen vermieden werden. Die Catch-All-Funktion kann in der Regel vom Domaininhaber konfiguriert werden.
Autoreply
Systeme, die eine Autoreply auslösen (typisch Abwesenheitsbenachrichtigung), sind zwangsläufig gefährdet als Backscatter-Quelle zu wirken. Sie lösen als Empfänger einer missbrauchten Absenderadresse nicht selten eine gewisse Verwunderung hervor. Um den Effekt einzudämmen, sind verschiedene Maßnahmen auf mehreren Ebenen möglich. Diese gehen vom Einsatz von Verfahren wie SPF, BATV bis hin zu einer aufwändigeren Inhaltsanalyse, anhand dessen das Rücksenden selektiv erfolgt.[2]
Weblinks
Fußnoten
- deutsch etwa: verteilte und reflektierte Denial-of-Service-Angriffe
- Blog-Artikelserie zum Thema Backscatter von Terry Zink