Spam knap fem år efter

For knap fem år siden skrev jeg en kommentar på newz.dk. Historien handlede om spam og jeg skrev lidt om hvordan jeg holder øje med hvordan spammere finder mine email adresser: http://newz.dk/spammer-doemmes-til-7-aars-faengsel...

Kommentaren indeholdt en email adresse, som jeg ikke har brugt nogen andre steder. Nu er der så i løbet af få timer været tre forsøg på at sende mails til den. Åbenlyst må de tre forsøg være relateret, det er næppe en tilfældighed at der går næsten fem år og der så kommer tre mails indenfor så kort et tidsrum.

De tre forsøg kom fra forskellige IP adresser i forskellige verdensdele, så det er sandsynligvis fra et botnet. Det er interessant at et af de tre forsøg lavede fejl i adressen og tog ordet før email adressen med. (Hvordan i alverden kan en bot overse et mellemrum?)

For de nysgerrige følger her logs af de tre SMTP sessioner:

Sat Jan 17 04:23:02 2009 - 125.129.162.208
220 mx.kasperd.net
EHLO google.com
250 mx.kasperd.net
MAIL FROM:<[email protected]>
250 [email protected]
RCPT TO:<ujcwbgnspmgktydwuwttzmgcviwwevmgfwavuyxmplnpecd@skrammel.yaboo.dk>
451 Next server rejected RCPT command
QUIT
221 Closing connection

Sat Jan 17 05:06:48 2009 - 62.31.123.221
220 mx.kasperd.net
EHLO google.com
250 mx.kasperd.net
MAIL FROM:<[email protected]>
250 [email protected]
RCPT TO:<herujcwbgnspmgktydwuwttzmgcviwwevmgfwavuyxmplnpecd@skrammel.yaboo.dk>
451 Next server rejected RCPT command
QUIT
221 Closing connection

Sat Jan 17 07:39:38 2009 - 203.67.154.116
220 mx.kasperd.net
EHLO google.com
250 mx.kasperd.net
MAIL FROM:<[email protected]>
250 [email protected]
RCPT TO:<ujcwbgnspmgktydwuwttzmgcviwwevmgfwavuyxmplnpecd@skrammel.yaboo.dk>
451 Next server rejected RCPT command
QUIT
221 Closing connection

For sjov skyld tilføjer jeg lige en ny email adresse som sikkert får spam om nogle år [email protected]

Sådan rent for sjov: Hvad kræves det for en almindelig bruger at begive sig ud på en selvtægtsmission, hvor man forsøger at spamme de netværk, der rammer en selv?

Uden at vide noget om teknikkerne whatsoever, så burde man da med en tilstrækkelig hurtig forbindelse og en normal processor da godt kunne svare igen med et "lille" DoS-angreb, eller?

vandfarve (2) skrev:

Sådan rent for sjov: Hvad kræves det for en almindelig bruger at begive sig ud på en selvtægtsmission, hvor man forsøger at spamme de netværk, der rammer en selv?

Uden at vide noget om teknikkerne whatsoever, så burde man da med en tilstrækkelig hurtig forbindelse og en normal processor da godt kunne svare igen med et "lille" DoS-angreb, eller?

Problemet er at mange af de ting man har lyst til at gøre ved det nok er ulovligt. Desuden nytter det ikke ret meget, hvis du fra en enkelt maskine prøver at overloade et botnet med trafik.

Hvis man forstår sig på at programmere og kender protokollerne, så kan man gøre mere med metoder som jeg tror er fuldt ud lovlige. Man skal bare ikke forvente at det kommer en selv til gode, men hvis man kan hjælpe millioner af andre mennesker til at få lidt mindre spam, så har man også gjort en forskel.

Der er stadigvæk spammere som gør brug af åbne SMTP relays. Man kan sætte en maskine op, der tager imod emails og lover spammeren at den nok skal sende dem videre men aldrig gør det.

Men spammerne ved godt at den slags forekommer, så de tester først om en enkelt besked faktisk kommer igennem og derefter sender de så spam i store mængder. Jeg prøvede selv nogle gange at forwarde de probes og efterfølgende fik jeg mange spam mails til min server. Med tiden var jeg nødt til at optimere lidt på opsætningen af min server for at tage imod så meget spam.

Rekorden var en spam besked som en afsender prøvede at sende igennem min server til 36.000.000 modtagere. Så der gik lige 36 millioner spam mails tabt på min server, jeg håber ikke der er nogen af modtagerne, der har savnet dem ;-)

En af mine studiekammerater skrev på et tidspunkt en server der kunne lidt af det samme, men som automatisk kunne udvælge nogle probes at sende videre.

Det er ikke noget som man bør kaste sig ud i med mindre man selv forstår hvordan det virker. Et mainstream program til at gøre det ville nok ikke have lige så stor effekt som en flok nørder der skriver hvert sit lille program til formålet.

Den type honeypots jeg har beskrevet indtil videre håndterer kun SMTP. Man kunne gå endnu videre og lave honeypots der også kunne blive inficeret med en bot og dermed blive del af et botnet der udsender spam. Sådan en honeypot skal selvfølgelig ikke have mulighed for at udsende spam, så den skal være bag en form for firewall der dirigerer alt udgående email til en SMTP honeypot. Det er ikke noget jeg selv har eksperimenteret med, men der er sikkert personer der har.

Og nu jeg alligevel skriver kan jeg lige så godt følge op på den oprindelige historie, og nævne at der er kommet en mere. Der er tilsyneladende ingen af dem der prøver igen selvom de bliver afvist med en besked om en midlertidig fejl.

Sun Jan 18 04:25:09 2009 - 79.175.74.6
220 mx.kasperd.net
EHLO google.com
250 mx.kasperd.net
MAIL FROM:<[email protected]>
250 [email protected]
RCPT TO:<ujcwbgnspmgktydwuwttzmgcviwwevmgfwavuyxmplnpecd@skrammel.yaboo.dk>
451 Next server rejected RCPT command
QUIT
221 Closing connection

#2 Jeg regnede godt med, at det enten er ulovligt eller stærkt "umoralsk", men stadig. Når det kommer til dette område af lovgivningen, så mener jeg ikke, at det er forkasteligt at tage sagerne i egen hånd.

Jeg ved godt, at det er et utroligt svagt og sikkert slet ikke validt argument, men jeg synes, at der er en forskel på at straffe botnets og så udøver vold på andre mennesker, selvom de begge er udtryk for selvtægt.

Jeg er dog glad for, at selv privatpersoner selv prøver at løse problemet, så keep up the good work!

vandfarve (4) skrev:

#2 Jeg regnede godt med, at det enten er ulovligt eller stærkt "umoralsk", men stadig. Når det kommer til dette område af lovgivningen, så mener jeg ikke, at det er forkasteligt at tage sagerne i egen hånd.

Forskellige mennesker har forskellig holdning til hvad der er moralsk acceptabelt, det er derfor vi er nødt til at have lovgivning. Jeg har ret vide rammer for hvad jeg finder moralsk acceptabelt at gøre imod spam.

Hvis en spammer udnytter et sikkerhedshul på en maskine til at installere en bot, så kunne andre i teorien udnytte samme sikkerhedshul eller et sikkerhedshul i botten til at fjerne botten og lukke hullet. De fleste mener den operation er ulovlig, jeg mener det burde være lovligt og jeg synes det er moralsk acceptabelt at gøre det. Ja, det er selvtægt, men det eneste alternativ jeg kunne forestille mig ville være at internetudbydere i alle lande skulle være forpligtet til at afskære sådan en maskine fra nettet. Kunne man opnå at internetudbydere var forpligtet til at gøre noget, så ville jeg ikke mene at det var acceptabelt at gribe til selvtægt, men indtil da er der ikke meget andet man kan gøre.

Derimod kan jeg ikke se nogen grund til at det skulle være ulovligt at sætte en honeypot op der ser ud som om at den kan misbruges af spammere. Hvis en spammer bevidst sender spam til min maskine er det næppe ulovligt for mig at tage imod det. Og jeg er nok heller ikke forpligtet til at sende det videre. At jeg så vælger at sende nogle få videre, hvor jeg forventer at modtageren er spammeren selv, og spammeren ønsker at modtage dem, kan nok heller ikke være ulovligt.

Jeg kom så til at tænke på citatet "Some people are only alive because it is against the law to kill them", der er sikkert personer der synes det ville være moralsk acceptabelt at gribe til den slags midler imod spammere. Der sætter jeg grænsen. Jeg mener ikke det er moralsk acceptabelt at gå rundt og slå spammere ihjel. Står man bag milliarder af spam mails ville fængsel på livstid være en rimelig straf, men man skal ikke have dødsstraf for at udsende spam.

En anden mulighed til at bekæmpe spammerne med er at implementere en "blacklist" så folk der er på blacklistet kun kan sende med 1 byte i sekundet. De bliver derved forhindret i at genere ret mange.

Læg mærke til at en god sjat af arbejdsbyrden ryger over på spammerne igen, hvorimod folk der ved en fejl er blacklistet stadig har en mulighed for at sende. :)

#vandfarve, som nævnt er dem der sender dig spam ofte ofre i et botnet. Jeg synes ikke det er fair at angribe nogle der ikke selv har gjort noget aktivt for at genere dig.

Benjamin Krogh (6) skrev:

En anden mulighed til at bekæmpe spammerne med er at implementere en "blacklist" så folk der er på blacklistet kun kan sende med 1 byte i sekundet. De bliver derved forhindret i at genere ret mange.

Hvorvidt det hjælper afhænger af de nærmere omstændigheder. Hvis du f.eks. er ved at opsætte en honeypot der ligner et relay men bare smider mails væk, så ønsker du at spammerne kan sende til dig med så stor hastighed som muligt, for jo flere spammails du kan modtage des færre spammails når frem. Hvis du ikke kan modtage med stor hastighed, så bliver de blot sendt en anden vej i stedet.

På den anden side, hvis du modtager fra et faktisk åbent relay eller en bot i et botnet, så ønsker du at det kræver så mange resourcer som muligt af det relay/bot. Hvis den f.eks. kun kan have et begrænset antal connections åbne, så vil en langsom overførsel kunne lægge beslag på dens connections. (Metoden er blevet anvendt til at sløve nogle orme ned, der angreb vha. bufferoverløb. Et bufferoverløb udført med et TCP window size på 1 byte tager lang tid).

Alle de tricks drejer sig selvfølgelig kun om at gøre livet surt for spammerne. Hvis du bare prøver at holde din egen inbox fri for spam, så har du brug for at kunne identificere hvad der er spam og hvad der ikke er. Det er ligegyldigt hvor hurtigt du modtager det, i sidste ende havner det i din inbox hvis det ikke bliver klacificeret som spam.

#7 teknisk set er det vel en fordel stadigvæk kun at modtage med en byte i sekundet.

Antaget at det er botnets der sender, kunne det godt antages at de prøver at "spare" på deres TCP connections, og dermed helst kun laver en ad gangen. I så fald holder du mere af deres trafik væk fra andre ved at nægte at modtage hurtigere end det, da du snildt kan lave det så de skal bruge et lille døgn på at sende en mail.

Hvorfor skulle botnets spare på forbindelserne? Givet at botnet "herskerne" har inficeret deres "brugere" uden deres vidende, er det i deres interesse at lave så lille en impact på deres system som muligt. Dette opnåes selvfølgeligt ikke ved at spawne 4000 tråde der kontakter alle mulige forskellige mail servere rundt omkring. Hvis de laver en større impact formateres computerne / kører folk virus scan og andet gøgl. Gætter på at det er derfor at grey-listing virker.

Det er ligegyldigt hvor hurtigt du modtager det, i sidste ende havner det i din inbox hvis det ikke bliver klacificeret som spam.

Ikke helt enig. Grunden til at spam "virker" er selvfølgeligt at det er "gratis" at sende en mail. Hvis du kan flytte noget load over på spammerne, enten via grey-listing eller ved at modtage langsommere, gør du det dyrere for dem at spamme. Der er selvfølgelig ingen grund til ikke at kombinere mange teknikker i bekæmpelse af spam.

Ideerne beskrevet her overholder så vidt jeg lige ved RFC'erne for rigtige mail servere. Dvs. at de ingen impact har (stortset) på reelle brugere, hvorimod de koster spammere CPU tid m.m.

Note: Ikke helt i retfærdig overensstemmelse med dit indlæg, tabte lidt tråden. (læser til eksamen sry)

Note 2: Hvad kaldes en der styrer et botnet?