Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

03.08.2006

Ironport sortiert Bounce-Mails

Die Gateway-Security-Appliances des Herstellers schützen vor Denial-of-Services-Angriffen (DoS) via Mail-Rückläufer.

Neben Wurm- und Phishing-Mails verstopfen immer häufiger auch so genannte Bounce-Mails die Netze der Unternehmen: Wenn sich elektronische Nachrichten nicht zustellen lassen, wird der Absender vom zuständigen Mail-Router per E-Mail über den Fehler informiert. In Massen versendet, lassen sich mit diesen "Benachrichtigungen" aber auch DoS-Attacken auslösen oder zumindest die Bearbeitung elektronischer Nachrichten erheblich beeinträchtigen (siehe www.com puterwoche.de/ 576150). "Angreifer nutzen Bounce-Mails, um kritische Mailboxen zu verstopfen", erläutert Nick Edwards, Group Product Manager von Ironport, die aufkommende Bedrohung. Dabei sei es nahezu unmöglich, die Fake-Rückläufer als Spam zu erkennen und auszufiltern.

Bounce Verification Technology

Abhilfe verspricht Ironport nun in Form seiner "Bounce Verification Technology", um die der Anbieter die E-Mail-Security-Appliances seiner C- und X-Serie erweitert. Unternehmen, die bereits Modelle der beiden Produktfamilien einsetzen, können diese mit Hilfe der neuen Firmware-Version 4.7 kostenlos aufrüsten. Damit sind die Geräte Firmenangaben zufolge in der Lage, betrügerische Mail-Rückläufer, deren Absendername von Spammern gefälscht wurde, von echten Bounce-Mails zu unterscheiden und zu blocken beziehungsweise unter Quarantäne zu stellen.

Die Identifizierung legitimer Rückläufer ermöglicht die Technik, indem sie die Rückadresse im SMTP-Envelope aller ausgehenden Mails mit einer intern festgelegten, eindeutigen Kennung in Form eines Tags versieht. Kommt eine Nachricht zurück, die eine der Appliance bekannte Signatur enthält, landet sie in der Mailbox des Empfängers. Fehlt ihr jedoch diese Information, wird sie geblockt.

Ironports Bounce-Verification-Technik basiert auf einem derzeit noch als Entwurf kursierenden IETF-Standard (Internet Engineering Task Force) namens "Bounce Address Tag Validation" (BATV), der sich Experten zufolge durchsetzen könnte. Laut Gartner-Analyst Peter Firstbook ist Ironport der erste Anbieter, der diese Technik implementiert hat, während andere versuchten, dem Problem auf ihre Weise beizukommen.

Primäre Zielscheibe für DoS-Attacken via Bounce-Mails stellen dem Analysten zufolge große Unternehmen mit bekannten Markennamen dar. Nach Untersuchungen von Ironports "Threat Operation Center" (TOC) wurde bereits jedes zweite Fortune-500-Unternehmen Opfer einer derartigen Attacke. Der Anteil der Bounce-Mails am gesamten Mail-Aufkommen soll mittlerweile neun Prozent betragen. (kf)