Spam droht das Medium E-Mail unbrauchbar zu machen
Spam droht das Medium E-Mail sowohl in seiner Rolle als private als auch geschäftliche Kommunikationsgrundlage unbrauchbar zu machen. Nach mehreren Statistiken beträgt die aktuelle Rate von erwünschter Mail zu Spam nur noch ca. 1%. Dass E-Mail bei einem solchen "Signal-Rausch-Verhältnis"
überhaupt noch funktioniert, liegt an immer elaborierteren Gegenmaßnahmen, von denen eine die Nutzung von sogenannten Blacklists darstellt. Werden Blacklists benutzt, um eingehende E-Mail bereits vor der vollständigen Annahme abzuweisen, dann ist natürlich Wert auf eine passende Auswahl dieser Blacklists zu legen, insbesondere sollte deren Policy (wer wird unter welchen Umständen gelistet, wie sind falsch-positive Listungen schnell zu korrigieren etc.) vom Nutzer verstanden worden sein.
Einer der renommierten Betreiber von DNS Realtime Blackhole Lists (RBL) ist Spamhaus (www.spamhaus.org). Die von Spamhaus bereitgestellten SBL (Spamhaus Block List, verifizierte Spam-Quellen) und XBL (Exploits Block List, von Trojanern übernommene und häufig zu Botnetzen zusammengefasste PCs, auch bekannt als Zombies) sind äußerst wertvoll und werden auch von IBH benutzt. Zusätzlich betreibt Spamhaus auch die PBL (Policy Block List), eine Liste mit grundlegend anderem Charakter: Hier können ISPs die von ihnen betriebenen Pools dynamischer IP-Adressen (wie sie in großem Stil bei ISDN- und DSL-Zugängen für Privatnutzer zum Einsatz kommen) hinterlegen, um die Botschaft "Von diesen IP-Adressen sollten keine SMTP- Verbindungen zu wildfremden MTAs ausgehen" zu kommunizieren. Die Eintragung erfolgt also durch den ISP selbst für Teile seines Adressraums.
Am 2008-04-28 wurde durch eine uns bisher noch unbekannte Person der Adressraum 212.111.128.0/17 in der Spamhaus PBL registriert. Dieser Adressraum umfasst insgesamt vier Allokationen an drei ISPs:
212.111.128.0/19 Supanet-Internexus NET (AS9142)
212.111.160.0/19 Supanet-Internexus NET (AS9142)
212.111.192.0/19 URAN (AS12687)
212.111.224.0/19 IBH (AS15372)
Offensichtlich hätte 212.111.128.0/17 niemals registriert werden dürfen, da es nicht nur einem ISP gehört. Unser Verdacht ist momentan, dass AS9142 den Überblick über seine eigenen Adresszuteilungen verloren und aus Versehen statt 212.111.128.0/18 (was legitim wäre) 212.111.128.0/17 in die PBL eingetragen hat - und dass Spamhaus bei der Verifizierung der Anforderung seiner Sorgfaltspflicht ungenügend nachgekommen ist. Der Verdacht wird aus unserer Sicht dadurch verstärkt, dass AS9142 von IBH aus nicht erreichbar ist, weil unsere Adressen scheinbar an den Grenzroutern gefiltert werden. Das könnte bedeuten, dass AS9142 auch bei seinen Antispoof-Filtern die falsche Netzmaske konfiguriert hat. Leider waren auch unsere Bemühungen gescheitert, diesen ISP unmittelbar sofort zu kontaktieren. Inzwischen haben wir eine offizielle Beschwerde an den Provider als primären Verursacher des Problem übersandt.
Als Gegenmaßnahme wurden nach dem Bekanntwerden des Problems von IBH sofort einzelne MTAs aus der PBL entfernt. Leider erlaubt die PBL nur die Entfernung von Einzeladressen, daher konnte 212.111.224.0/19 nicht komplett entfernt werden. Zusätzlich wurden Spamhaus und Supanet kontaktiert.
Gegen Mittag verschwand der Eintrag von 212.111.128.0/17 von der PBL ohne dass wir irgendein Feedback von Spamhaus erhalten hätten.
IBH versucht weiterhin, den Verursacher des Problems zu ermitteln, ist darin aber von Spamhaus abhängig. Letztlich muss aber auch bemerkt werden, dass bei dieser Gelegenheit Fehlkonfigurationen bei den Nutzern der PBL offenbar wurden: Die Behauptung, eine auf der PBL gelistete IP sei ein offenes Relay, ist vollkommen falsch. Die Semantik der PBL ist eine vollständig andere und eine unsachgemäße Nutzung dieser Information scheint verbreitet zu sein. Leider kann IBH das nicht verhindern.
Der Kampf gegen den ständig anwachsenden Missbrauch des E-Mail-Systems durch Spammer führt bei voreiligen Schlussfolgerungen und unzureichenden Prüfungen leider auch zunehmend zu Kollateralschäden. Sie sind vom Absender, der sich keiner Spam-Verbreitung schuldig gemacht hat, nur bedingt zu kontrollieren.
IBH wird mit Spamhaus klären, wie eine illegtime Registrierung von Adressbereichen, die unsere eigene Allokation überlappen, zukünftig ausgeschlossen werden kann.
