Was braucht der UBE Sender? Was verkauft er?
Eine bestimmte Anzahl versendeter E-Mails pro Zeiteinheit. Das ganze Produkt nennt er dann Unsolicited Bulk E-Mail (Unverlangte Massen E-Mail).
Wie kann man einem UBE Sender schaden?
Indem man ihm seine Arbeitsmittel zerstört.
Bitte?
E-Mail Versand erfolgt über SMTP. Dabei wird eine TCP/IP Verbindung zum MX Host des betreffenden Empfängers hergestellt. Üblicherweise kann ein Rechner max. 65500 TCP/IP Verbindung gleichzeitig offenhalten, in der Regel sind es weniger (Ressourcenlimit, z.B. MAX_SOCKET, MAX_FILE_DESCRIPTOR).
Wenn es gelingt, einen Port bei der Mailauslieferung offen zu halten, bspw. über mehrere Stunden, so reduziert sich die Leistungsfähigkeit des UBE Senders. SMTP bietet dazu die Fortsetzungszeilen, mit denen die SMTP Session offengehalten werden kann, ohne daß ein Timeout zuschlägt.
Was eine Teergrube nun macht, ist einen genauso präparierten MTA dazu zu bewegen, daß er eben (in Abhängigkeit vom SMTP-Absender) den Prozeß auflaufen läßt.
Wie sehen Fortsetzungszeilen des SMTP aus?
Ein SMTP Host sendet als Antwort auf die Kommandos des Clients Zeilen, die aus einem Fehlercode, einem Leerzeichen und einem menschenlesbaren Text bestehen. Wird das Leerzeichen durch ein Minuszeichen ersetzt, so bedeutet das, daß der Host noch nicht mit der Antwort fertig ist. Das ganze kann dann so aussehen:
help
214-This is Sendmail version 8.8.5
214-Topics:
214- HELO EHLO MAIL RCPT DATA
214- RSET NOOP QUIT HELP VRFY
214- EXPN VERB ETRN DSN
214-For more info use "HELP <topic>".
214-To report bugs in the implementation send email to
214- sendmail-bugs@sendmail.org.
214-For local information send email to Postmaster at your site.
214 End of HELP info
Sendet man nun derartige Fortsetzungszeilen im Abstand von Minuten, so verbraucht das fast keine Bandbreite und stoppt des UBE Versenderhost wirksam.
Wer hatte denn zuerst diese Idee?
In <54csin$m6g@white.koehntopp.de> schreibt Kristian Köhntopp die Idee Axel Zinser zu. Er erwähnt dort auch den nützlichen Nebeneffekt, daß viele MTAs den kompletten SMTP Dialog mitloggen, also bei Teergruben Gigabyte an Log zu verwalten haben.
Was ist, wenn der UBE Sender nun andere Hosts zum relay benutzt?
Dann zieht es diesen mißbrauchten Relayhost zu. Der entsprechende Admin bemerkt die Funktionsunfähigkeit seines Systems und macht es so dicht, wie notwendig. Er hatte es ja sowieso falsch konfiguriert...
Wenn nun UBE-Sender das erkennen und keine UBE mehr an diese Teergruben versenden, damit ihre Maschine freibleibt zum weiterspammen?
Think about it. Das war das Ziel: Mailauslieferung ist möglich, UBE nicht.
Wie erkennt eine Teergrube, daß am anderen Ende ein Spammer sitzt?
Es müssen IP Bereiche definiert werden, aus denen der Spam kommt. Beispielsweise ist der AGIS (All you Get Is Spam = Apex Global Information Systems/Service) die IP-Bereiche 204.137.128/18, 204.137.192/19, 205.137.48/18, 205.164.64/17, 205.254.160/22, 205.254.176/21, 207.142/16, 209.14/16 zugewiesen worden.
Beim Verbindungsaufbau erhält er sofort die IP Nummer der Gegenstelle.
Wie bekommt man die IP Bereiche heraus?
Im Falle von AGIS: `whois NETBLK-AGIS...` Analog für die anderen Spammer.
Wie verhindert man, daß sie auch normale Mailer, die einen erreichen wollen, schädigt?
Wird ein normaler Mailer zufällig mit von der Teergrube erwischt, so ist das in der Regel nicht weiter dramatisch, da es auf beiden Systemen nur einen Port zuzieht. Die Mailauslieferung erfolgt in jedem Fall, nur dauert es länger als üblich.
Muß die Teergrube auch viele Sockets offenhalten?
Sie benötigt ein bis zehn Ports. Der Spammer dagegen für jede Teergrube ein bis zehn. Der Vorteil der Verteidiger liegt ihn ihrer Dezentralität. Beim Spammer läuft es zentral auf. Je mehr Teergruben, desto besser.
Was ist, wenn der UBE Sender seinerseits über hunderte von Maschinen verfügt? Jede mit 65000 Ports. Oder über bulk-mail-Software mit spezial TCP-Stacks die diese Obergrenze nicht kennen (Virtuelle Interfaces pp.)?
Dann muß der Spammer auch für diesen Aufwand zahlen. Die Frage ist dann nur noch wer zuerst aufgibt: Der Spammer mit Technikeinkauf oder die vielen Admins mit Softwareinstallationen.
Ob das bisschen Knete, dass er mit UBE machen kann diese Hardware, deren Anschluss und Unterhaltung wiedereinbringt?
Die Nutzung von Wegwerf-Einwähl-Accounts für Spammer ist auch ausgeschlossen. Man kann den ISP anrufen und ihm sagen: "Ihr Kunde auf Leitung ... spammt gerade. Bitte klemmen Sie ihn ab und verklagen Sie ihn. Danke."
Was ist, wenn der UBE Sender seinerseits auf meiner Machine alle verfügbaren ports aufmacht (und damit meine mail Versorgung zu?)?
Alles, was er tun kann, ist Dir den Mailport 25 zu belegen, bis Deine sonstigen Ressourcen aufgebraucht sind. Mit einem non-forking Mailer dauert das sehr lange. Es ist sehr unwahrscheinlich, daß ein Spammer Zeit und Ressource für diese Art der "Rache" aufbringt.
Darüberhinaus kann man ihn auf diese Aktion verklagen.
Ist es nicht paradox, eine Netzanbindung künstlich langsamer machen zu müssen, damit sie nutzbar bleibt?
Ja. Aber es hilft.
Das klingt kompliziert, warum kann man die UBE-Spammer nicht einfach abweisen?
Einige hundert Teergruben machen das Versenden von UBE weltweit schwierig bis unmöglich, ohne den normalen E-Mail Transport zu gefährden. Es kann ja sein, daß bei einem spammerfreundlichen Provider (z.B. AGIS) auch normale Menschen angeschlossen sind, zu denen Kontakte bestehen sollen! Blockt man komplett, verhindert man Kommunikation komplett. Das ist unerwünscht.
Abgesehen davon kann ein Blocking zwar den Anweder des Blockings schützen, jedoch hilft es den anderen Netzbewohnern nicht im geringsten. Es ist ein Selbstschutz jedoch kein echter UBE-Schutz.
Was muß man sein, um Teergruben laufen zu lassen? Postmaster?
Admin auf der Maschine, die den MX Host fährt. Ist man das nicht, so sollte man den betreffenden Admin kontaktieren.
Wo gibt`s fertige Teergruben?
http://www.de.spam.abuse.net/webland/spam/ und insbesondere Axel Zinsers eigener Patch auf ftp://ftp.hiss.han.de/pub/sendmail/. Für Systeme, die definitiv keine Post empfangen können, eignet sich ein Perl-Script der Boston Business Computing.
Wieviele Teergruben gibt es schon und werden diese irgendwo gelistet?
Unbekannt. Wer mag kann sich melden.
Gibt es Erfahungen mit Teergruben?
Axel hat einen Spammer für mehr als zwei Tage online gehalten.
In thur.net.admin veröffentlicht eine real existierende Teergrube tägliche Statistiken.
Geht das auch mit Usenet News via NNTP?
Nein. Usenet News werden ausschließlich über Verbindungen zwischen gegenseitig bekannten Nachbarn ausgetauscht. Wollte man Spam auf diese Art und Weise teergruben, so würde es die gutnachbarschaftlichen Beziehungen zerstören, ohne den Injektionspunkt, den Spammer, überhaupt zu treffen.
Wie heißt eigentlich das englische Verb für diese Technik?
To teergrube. Ie: My host is teergrubing UBE from or via AGIS.
Gruß Uwe
never touch a running system !
Lesezeichen