E-Mail Verläßlichkeit - Prof. Dr. Norbert Pohlmann -

(1)

Prof. Dr. Norbert Pohlmann

Christian Dietrich

Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de

E-Mail-Verläßlichkeit

(2)

 Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 2

Inhalt

E-Mail Anwendung

Umfrage „E-Mail Verlässlichkeit“ IP Reputation Service

Einschätzung „Viren, Würmer, Trojaner, …“ Zusammenfassung

(3)

Inhalt

E-Mail Anwendung

(4)

E-Mail-Anwendung

 Idee

E-Mail ist ein textbasiertes Kommunikationswerkzeug, mit dem

weltweit einfach und schnell Informationen ausgetauscht werden können. E-Mail ist ein Ersatz für:

Die „Schneckenpost“: Postkarten, Briefe und Päckchen Faxe

E-Mail ist eine elastische Anwendung, in der diskrete Medien, die zeitunabhängig sind, wie Text und Grafik, ausgetauscht werden.

Vorteile der E-Mail-Anwendung sind:

Einfach – jeder kann damit umgehen (Einfache Namen, Handhabung)

Schnell – innerhalb weniger Sekunden

Weltweit – jeder kann immer erreicht werden (Mail-Boxen)

Kein Medienbruch – die Info. können weiterverwendet werden

(5)

E-Mail

 Eine globale Herausforderung

Echtzeit Business erfordert Sicherheit,

Vertrauen und Verfügbarkeit

in allen gesellschaftlichen und wirtschaftlichen Bereichen! Das Internet geht über alle

geographischen Grenzen,

politischen/administrativen Grenzen und Kulturen hinaus

und stellt somit eine neue und ungewohnte Herausforderung für die internationale Gesellschaft dar.

Die Geschwindigkeit, in der neue Anforderungen auftauchen wird immer rasanter und damit steigt das Sicherheitsrisiko.

(6)

E-Mail Anwendung

 Realität (1/2)

E-Mail macht 12% der Bandbreite im Backbone international agierender IP-Carrier aus.

Pro Monat mehr als 1.000 Mrd. E-Mails weltweit (sehr grobe Schätzung). Obwohl die E-Mail nicht als verlässlicher Dienst entworfen wurde, dient die E-Mail-Anwendung heute der unkomplizierten und schnellen

Kommunikation zwischen Geschäftspartnern und Privatleuten weltweit.

Gerade aufgrund der geschäftlichen Nutzung wird dem E-Mail Dienst ein sehr hohes Maß an Zuverlässigkeit abverlangt.

E-Mail im beruflichen Alltag

Zu viele E-Mails an einem Tag (mehr als 50 Stück) Zu schnelle Reaktion (schlechte Qualität)

Disziplin beim Versenden (wichtig/unwichtig; AN/CC)

(7)

E-Mail Anwendung

 Realität (2/2)

E-Mail ist für die Informationsgesellschaft ein nicht mehr wegzudenkender Service.

SPAM, Viren und andere Schwachstellen sind ein ernsthaftes Problem mit hohem Schaden.

Die E-Mail-Anwendung stellt ein sehr hohes Sicherheitsrisiko dar!

Dieser Trend lässt die Frage zu, ob E-Mail in der nahen Zukunft noch genauso einfach und effizient eingesetzt werden kann wie bisher.

Die positive Nutzung von E-Mails und damit die

Informationsgesellschaft sind bedroht!

(8)

Inhalt

E-Mail Anwendung

Umfrage „E-Mail Verlässlichkeit“

IP Reputation Service

(9)

 Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 9 Feststellung:

Der Art der Informationen, die per E-Mail ausgetauscht werden Der Anteilsverteilung des E-Mail-Volumens (Spam, Viren und Co.) Des aktuellen Bedrohungszustandes

Der eingesetzten Gegenmaßnahmen

Welche Daten sich über die Zeit verändern

Ziele der Umfrage

(10)

Allgemeine Statistik

 Generalisierte Sichtweise (1. Lauf)

Rechtsform AG 13 Behörde 34 GmbH 28 Hochschule 9 ISP 7 Andere 28 Gesamt 119 Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Teilnehmer:  119 E-Mail-Accounts:  40.000.000 Pro AG ca. 80 T E-Mail-Adressen Pro GmbH ca. 3 T E-Mail-Adressen Pro ISP

ca. 5,5 Mio. E-Mail-Adressen

E-Mails/Monat:

 2.300.000.000

Annahme 1.000 Mrd. E-Mails pro Monat weltweit

1/400 aller E-Mails weltweit E-Mails über ISPs machen

(11)

 Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 11

Allgemeine Statistik

 Generalisierte Sichtweise (2. Lauf)

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Teilnehmer:  51 (-X) E-Mail-Accounts:  18.500.000 E-Mails/Monat:  1.000.000.000

(12)

Allgemeine Statistik

 Generalisierte Sichtweise (3. Lauf)

Rechtsform AG 5 Behörde 4 GmbH 4 Andere 10 Gesamt 23 Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Teilnehmer:  23 (gute) E-Mail-Accounts:  12.800.000 E-Mails/Monat:  1.100.000.000

(13)

Generalisierte Sichtweise

 Übersicht über Maßnahmen

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails Keine E-Mail-Accounts IP-Blacklist Keine E-Mail-Accounts Virenverseuchte Mails Spam Mails Frequenzanalysen

(14)

Generalisierte Sichtweise – Vergleich

 Ergebnisse: System, Eingang

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 22,32% | 28,2%* | 18,8%** IP-Blacklist 3,03 % | 13,4 %* | 34,2 %** Spam Mails 56,26 % | 36,5 %* | 37,5 %** Keine E-Mail-Accounts 5,5 % | 11,7 %* | 2,5 %** Virenverseuchte Mails 2,65 % | 2,5 %* | 0,8 %** Keine E-Mail-Accounts 10,24 % | 5,0 %* | 6,1 %** 91,47 % | 74,9 %* 63,3 %** 100 % Vergleich Ende 2004 Sommer 2005 Ende 2006

(15)

Generalisierte Sichtweise – Vergleich

 Ergebnisse: System, angenommene

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 24,4 % | 37,6 %* | 29,7 %** IP-Blacklist Spam Mails 61,5 % | 48,8 %* | 59,2 %** Keine E-Mail-Accounts Virenverseuchte Mails 2,9 % | 3,3 %* | 1,2 %** Keine E-Mail-Accounts 11,2 % | 6,7 %* | 9,7 %** 100 %

*restliche 3,6 % nicht zuordbar

Vergleich

Ende 2004

Sommer 2005 Ende 2006

(16)

Generalisierte Sichtweise – Vergleich

 Ergebnisse: Nutzerperspektive

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 27,5 % | 40,3 %* | 33,0 %** IP-Blacklist Spam Mails 69,3 % | 52,3 % | 65,6 %** Keine E-Mail-Accounts Virenverseuchte Mails 3,3 % | 3,5 %* | 1,3 %** Keine E-Mail-Accounts

*restliche 3,9 % nicht zuordbar

Vergleich

Ende 2004

Sommer 2005 Ende 2006

(17)

E-Mail Verlässlichkeit

 Ideen/Empfehlungen: System, Eingang

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 22,1 % IP-Blacklist 67 % Spam Mails 7 % Keine E-Mail-Accounts 3 % Virenverseuchte Mails 0,6 % Keine E-Mail-Accounts 0,3 % 30 %

Welche Mechanismen helfen?

IP Reputation Service

Vor der Annahme prüfen, ob ein E-Mail-Account vorhanden ist

(18)

E-Mail Verlässlichkeit

 Ideen/Empfehlungen: System, ange.

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 74 % IP-Blacklist Spam Mails 23 % Keine E-Mail-Accounts Virenverseuchte Mails 2 % Keine E-Mail-Accounts 1 % 100 %

(19)

E-Mail Verlässlichkeit

 Ideen/Empfehl.: Nutzerperspektive

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 74,7 % IP-Blacklist Spam Mails 23,3 % Keine E-Mail-Accounts Virenverseuchte Mails 2 % Keine E-Mail-Accounts

(20)

E-Mail Verlässlichkeit

 Verschlüsselte E-Mails (Lauf 1)

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Rechtsform AG 2,1 Behörde 1,1 GmbH 5,3 Hochschule 0,3 ISP 0,5 andere 7,7 Gesamtergebnis 4,3 Verfahren: PGP/OpenPGP/GPG: 36,7% S/MIME: 22,8% Passphrase-gestützt: 3,8%

(21)

E-Mail Verlässlichkeit

 Verschlüsselte E-Mails (Lauf 3)

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler

Anteil verschlüsselter E-Mails: 2,16%

IT-Berater: 60 %, Redaktionsbüro 50 % => 9,2% Verfahren: PGP/OpenPGP/GPG: 39,1% S/MIME: 26,1% Passphrase-gestützt: 4,3%

(22)

E-Mail Verlässlichkeit

 Signierte E-Mails (Lauf 1)

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Branche Bildungsinstitution 0,0 Finanzdienst-leistungen 21,2 Informations-technologie 7,9 Öffentlicher Dienst 0,8 Industrie 0,3 Dienstleistungen 0,5 ISP 1,5 Gesamtergebnis 5,9 Widerspruch

Über 45% der Befragten betreiben kritische Geschäftsprozesse auf E-Mail-Basis!

(23)

E-Mail Verlässlichkeit

 Signierte E-Mails (Lauf 3)

Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler

Anteil signierter E-Mails: 4,0%

IT-Berater: 60 %, Redaktionsbüro 50 % => 10,8%

Widerspruch

Über 66% der Befragten betreiben kritische Geschäftsprozesse auf E-Mail-Basis!

(24)

Einsatz von Antispam-Lösungen

(Lauf 3)

Immer noch 9% ohne Spam-Schutz!

Einsatz von Antispam-Lösungen

17% 9% 44% 0% 30% keine Angabe keine Antispam-Lösung

ausschließlich ein Produkt/eine Dienstleistung

ausschließlich Eigenentwicklung

(25)

Antispam-Mechanismen (Verbreitung)

(Lauf 3) Antispam-Mechanismen 43,5% 43,5% 30,4% 21,7% 30,4% 21,7% 26,1% 56,5% 65,2% 34,8% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% Nicht-Annahme von Mails von Dialup-Ips

Ablehnen von nicht zustellbaren E-Mails im SMTP-Dialog Blacklisting während des SMTP-Dialogs Blacklisting nach Abschluss des SMTP-Dialog Whitelisting während des SMTP-Dialogs Whitelisting nach Abschluss des SMTP-Dialogs Greylisting Header-Checks Body-Checks (Strings) Hash-Verfahren

(26)

Antispam-Mechanismen

(Vergleich: 1. und 2. Lauf)

Zunahme: Hash-Verfahren, Greylisting, Header, Ablehnen von

nicht-zustellbaren E-Mails im SMTP-Dialog

Abnahme: Nicht-Annahme von Dialup-IPs (!), Black- und

Whitelisting nach Abschluss des SMTP-Dialogs (hoher Aufwand!)

Antispam-Mechanismen 43,5% 43,5% 30,4% 21,7% 30,4% 21,7% 26,1% 56,5% 65,2% 34,8% 47,1% 28,6% 28,6% 33,8% 28,6% 22,1% 10,4% 48,1% 59,7% 27,3% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%

Nicht-Annahme von Mails von Dialup-Ips

Ablehnen von nicht zustellbaren E-Mails im SMTP-Dialog Blacklisting während des

SMTP-Dialogs

Blacklisting nach Abschluss des SMTP-Dialog

Whitelisting während des SMTP-Dialogs

Whitelisting nach Abschluss des SMTP-Dialogs Greylisting Header-Checks Body-Checks (Strings) Hash-Verfahren 2005 2006

(27)

Anti-Virus-Verfahren

(Lauf 3)

Viren-behaftete Mails werden mehrheitlich gelöscht

Anti-Virus-Verfahren 2 1 10 9 1 0 2 4 6 8 10 12 keine Angabe kein Anti-Virus-Verfahren Viren-behaftete Mails werden

gelöscht

Viren-behaftete Mails werden in Quarantäne gestellt und dann

gelöscht

Viren-behaftete Mails werden in Quarantäne gestellt

(28)

Kritische Geschäftsprozesse per E-Mail

17% 66% 17% keine Angabe ja nein 1. Lauf: 45 %, jetzt 66 %

(29)

Key Findings (1/2)

Lauf 1 (Ende 04) 2 (Sommer 05) 3 (Ende 06)

Erwünschte Mails 22,32 28,2 18,8  Viren 2,65 2,5 0,8  Spam (Rest) 75,03 69,3 80,4  Verschlüsselte Mails 4,3 2,2  (9,2) Signierte Mails 5,9 4  (10,8) Kein Spam-Schutz 8,9 9  kritische Geschäftsp. 45 66 

(30)

Key Findings (2/2)

Deutlich mehr abgewiesene Verbindungen bereits auf IP-Ebene (vermutlich alles durch IP-Blacklisting), teilweise bis zu 90%(!), im Durchschnitt 34,2% (vgl. Folie „Generalisierte Sichtweise – Vergleich“)

Weniger E-Mails werden im SMTP-Dialog aufgrund von Nichtzustellbarkeit abgewiesen

 vermutlich wegen mehr Erfolg durch IP-Blacklisting (weniger Directory Harvest Attacks)

Anteil an angenommenen, nicht zustellbaren E-Mails seit 2.Umfrage in etwa gleich (6,1% vs. 5,0%)

möglicher Grund: "bestehende E-Mail-Infrastrukturen werden nicht mehr angefasst"

Anteil an angenommenen Spam-Mails in etwa gleich zur 2.Umfrage (37,5% vs. 36,5%), aber: weniger erwünschte Mails, d.h. aus Sicht des Users:

mehr Spam!

Deutlich weniger Viren-Mails (0,8%) (lässt sich durch externe Quellen bestätigen, z.B: MessageLabs: Jahresdurchschnitt für 2006: 1,38%)

(31)

E-Mail Verlässlichkeit

 Einschätzung der Bedrohungslage

Spam wird im Vergleich zu Viren als die größere Gefahr wahrgenommen (neu!).

(32)

Inhalt

E-Mail Anwendung

Umfrage „E-Mail Verlässlichkeit“

IP Reputation Service

Einschätzung

„Viren, Würmer, Trojaner, …“ Zusammenfassung

(33)

IP Reputation Service

Reputation

bezeichnet „die gesellschaftliche Wertschätzung einem Menschen oder einer Gruppe gegenüber“ (Quelle: wikipedia)

Dienst zur Abfrage einer dienstorientierten Qualität Beispiel:

E-Mail: deutlich erhöhter inbound SMTP-Traffic von der IP-Adr. 213.165.64.20 festgestellt

Mit dem Wissen, dass es sich bei der 213.165.64.20 um einen der Mailouts eines E-Mail-Provider handelt folgt

Vermutlich legitimer Traffic  NSP/ESP: „Alles o.k.“ Service

(34)

Dialup-IPs sind Spam-Quelle Nr. 1

 Bot-Viren und Spam

97% des Spam-Aufkommens wird durch sogenannte „Bot-Viren“ verursacht, die PCs befallen.

„Bot-Viren“ versenden massenhaft Spam-Mails direkt an die eingehenden Mail-Server der jeweiligen E-Mail-Provider

Smarthosts werden umgangen

PCs erhalten bei jeder Einwahl eine dynamische Dialup-IP aus dem IP-Nummernblock des jeweiligen ISPs zugewiesen

Feststellung

Dialup-IPs versenden niemals erwünschte E-Mails an eingehende Mail-Server

(35)

üblicher Austausch von E-Mails

Kunden-PC mit Dialup-IP SMTP Server (Smarthost) ausgehender Mail-Server eingehender Mail-Server (MX) eingehende E-Mails ISP 1 ausgehende E-Mails Kunden-PC mit Dialup-IP SMTP Server (Smarthost) ausgehender Mail-Server eingehender Mail-Server (MX) ISP 2

Dialup-IPs sind Spam-Quelle Nr. 1

 Spam-Versand direkt an MX

Spam-Versand direkt an MX

Kompromittierter Rechner

(36)

Spam-Unterdrückung auf IP-Basis

 Die „IP-Karte“

Bisher unauffällige IPs

?

Auffällig gewordene IPs (z.B. gehackte Server, Open Relays)

Bekannte Dialup-IPs

IPs aller bekannten Mailserver (MTAs)

0.0.0.0 255.255.255.255

(37)

 Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 37 Blacklist: - Dialup-IPs (Blöcke)

- Auffällige statische IPs

SMTP-Reject

Aktuelles Vorgehen bei ISPs

 Black- & Whitelist

Die dargestellte „IP-Karte“ ist Basis für die manuelle Erstellung einer Blacklist bzw. Whitelist.

Whitelist:

- IPs aller bekannten MTAs

- Unauffällige IPs

(38)

Aktuelles Vorgehen

 Systematik einer IP-Karte

Die hinterlegten bekannten E-Mail-Server sowie die Dialup-IP-Blöcke beruhen auf Beobachtung der ISP-Landschaft.

IP-Verbindungen von unbekannten bzw. bisher unauffälligen IPs werden zugelassen, d.h. die Mails werden angenommen.

Eine Eintragung in die Blacklist ist abhängig vom Vorliegen konkreten Spam-Verdachts (Beschwerden, Zahl der Mails, Anteil gültiger Adressen, etc.)

(39)

Aktuelles Vorgehen

 Potenzial einer IP-Karte

Die Rate der erkannten Spam-Mails muss noch weiter gesteigert werden. Hierzu müssen Spam-IPs vor allem schneller identifiziert werden als heute. Eine „IP-Karte“ muss national bzw. global etabliert werden, um Spam

generell und nachhaltig einzudämmen.

Notwendiges Vorgehen:

Austausch von „IP-Karten“ und Selbstauskünften zwischen interessierten ISPs weltweit.

(40)

Vorschlag für globale Lösung

 Selbstauskunft und „Spam-Karte“

Die ISPs tauschen regelmäßig Selbstauskünfte und Beobachtungsdaten („IP-Karten“) aus.

Es handelt sich dabei um attributierte IP-Listen.

Diese enthalten auch die AS-Nummern, um die Überprüfbarkeit der Angaben sicherzustellen.

Selbstauskunft

- IPs aller Mailserver (MTAs)

- Dialup-IPs (Blöcke)

evtl. zusätzlich:

- statisch vergebene IPs

„Spam-Karte“ - Auffällige IPs

- IPs schlecht

administrierter Mailserver (MTAs)

(41)

Vorschlag für globale Lösung

 Interpretation der „IP-Karten“ (1/2)

Ein Abgleich der Reputation bestätigt oder relativiert eigene Beobachtungen und zeigt neue potentielle Spam-Quellen auf.

A

B

C

∑

(42)

Vorschlag für globale Lösung

 Interpretation der „IP-Karten“ (2/2)

Aus der Vielzahl der eingehenden Selbstauskünfte und

Beobachtungsdaten („IP-Karten“) werden Informationen aggregiert. Je größer die Beteiligung, desto höherer Nutzen für alle Beteiligte. Ziel: Vollständige IP-Karte über den gesamten IP-Adressraum.

> 95%

(43)

Vorschlag für globale Lösung

 Vorteile einer IP-Karte

Im Sinne einer Semi-Closed-User-Group steht die IP-Karte prinzipiell allen ISPs offen.

Bereits mit wenigen aktiven Teilnehmern der IP-Karte ist eine hohe Marktabdeckung und damit eine schnelle und wirksame

Spam-Identifikation zu erreichen.

Die Selbstauskünfte der aktiven ISPs verringern das Risiko von „false positive“ Fällen.

Jeder Teilnehmer ist frei in der Verwendung der aus dem Austausch gewonnen Informationen.

Dezentrale Struktur verhindert Mißbrauch durch einzelne Teilnehmer und erhöht die Verfügbarkeit.

(44)

Inhalt

E-Mail Anwendung

Einschätzung

„Viren, Würmer, Trojaner, …“

(45)

Viren, Würmer, Trojaner, …

 Einschätzung

Viren haben sich zu einem „etablierten Problem“ entwickelt. Weitere Herausforderungen

Konsequente Umsetzung von zentralen und dezentralen Anti-Viren

Sicherheitsmechanismen

Geschwindigkeit neuer Signaturen (Verwundbarkeitsfenster) In den letzten Jahren von 12 auf 10 Stunden reduziert

Ziel: 3 Stunden

vorausschauenden Erkennungstechnologien

(46)

Inhalt

E-Mail Anwendung

Umfrage „E-Mail Verlässlichkeit“ IP-Reputation Service

Einschätzung

„Viren, Würmer, Trojaner, …“

(47)

E-Mail Verlässlichkeit

 Zusammenfassung

E-Mail ist eine sehr wichtige Anwendung, auf die wir nicht verzichten können!

„Alle“ tun was gehen Spam, Viren und Co. (9 % ohne Antispam-Lösungen)

Frequenzanalysen des Kommunikationsverhaltens der E-Mail-Partner

und weitere Validierungen helfen, Hinweise auf missbrauchende Hosts zu bekommen

IP-Reputation Services können helfen das Spam-Problem deutlich zu reduzieren

Weitere Informationen unter:

(48)

Prof. Dr. Norbert Pohlmann

Christian Dietrich

Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de