nicht angemeldet
Hallo!
AFAIK gibt es aber (noch) kein standardisiertes Verfahren hierfür.
War das eine rethorische Feststellung?
gibt es sowas? ;-) Jedenfalls war es mein Ernst. Die SMTP-Auth Daten kennt nur der Client und der entsprechende SMTP-Server der Mails von dieser Adresse entgegenimmt. Aber ein Mail-Gateway auf dem PC kann ja eine Mail direkt an den Zielhost übergeben, der die SMTP-Auth Daten natürlich nicht kennen kann. Was ich meinte ist dass der Zielhost nicht wissen kann, ob derjenige der jetzt die Email von einer bestimmten Domain überträgt, tatsächlich hierfür autorisiert ist, oder eben nicht. Er nimmt die mail einfach an. Er hat zwar dann die IP des sendenden Hosts, aber wenn das die eines Privat-PCs eines "Schädlings-Opfers" ist, bringt das herzlich wenig. Es gibt verschiedene Ansätze dies zu lösen, z.B. über eine Erweiterung von DNS festzulegen von welcher IP aus Mails einer bestimmten Domain versendet werden dürfen. Aber das ist nicht die einzige Alternative, einen weit verbreiteten Standard gibt es eben noch nicht. Ein Ansatz sind eben auch solche Blacklisten, wodurch Mail-Server keine Mails von IPs auf dieser Liste entgegennehmen.
Falls nicht, woher glaubst Du, weiß ich, dass da lauter dynamische IP-Adressen in der Heise-Liste stehen? Es gibt da einige offensichtliche Übereinstimmungen.
Du weißt es weil da eben dynamische Adressen drinstehen ;-)
In der von Dir verlinkten Liste steht unter anderem:
Spamversender verringern die Wirksamkeit von Blacklists, indem sie
eine grosse Anzahl nur voruebergehend mit dem Internet verbundener
"Zombie"-PCs fuer ihre Zwecke missbrauchen. Dazu nutzen sie
Backdoor-Funktionen von Programmen, die PC-Anwender in gutem Glauben
oder versehentlich (etwa durch Viren und Wuermer) installieren.
Ueber eigene SMTP-Funktionen oder als offene Proxies treten solche
Rechner als Mail-Gateways in Erscheinung und fallen oft durch
DNS-Namen mit vielen Ziffern oder durch Namensbestandteile wie
"dyn", "dhcp", "dialin", "dsl" und andere auf. Nach etwa einem
Tag fallen die Adressen heraus und tauchen erst wieder auf, wenn
sie neuen Spam senden.
Auf keinem infizierten Rechner wird ein SMTP-Server installiert.
Bist Du Dir da so sicher? Die installieren natürlich keinen "richtigen" SMTP-Server, es sind halt bestimmte Trojaner... die die Funktionalität eines Mail-Gateways implementiert haben. Das SMTP-Protokoll ist ja auch nicht wirklich kompliziert.
Das dürften ganz einfache Miniatur-SMTP-Clients sein, die regelmäßig von sich aus bei ihrem Herrn die zu versendenden Mails abholen.
abholen? Viele Schädlinge haben einfach den Mail-Client verwendet um Mails zu versenden. Inzwischen gibt es aber hier immer mehr Möglichkeiten.
Ein echter SMTP-Server, der als Relais fungiert, macht keinen Sinn, denn woher sollen die Spammer wissen, auf welchem der Millionen potentieller Opfer sie ihren Server installiert haben?
Genau. Diese Adressen werden für viele 1000 USD gehandelt. Natürlich haben entsprechende Schädlinge Funktionen implementiert die eigene Adresse bei Einwahl an den "Auftraggeber" zu übermitteln. Das Opfer bekommt davon normalerweise nichts mit.
Hinzu kommt, dass die Übermittlung von zig Hundertausend Zieladressen per SMTP auch nicht gerade ideal ist.
Hm? Wie denn sonst? Es werden auch gerne schlecht gesicherte Server (vor allem von "Ich-bin-jetzt-auch-Provider-Root-Server-Betreiben") hierzu missbraucht, die Dank der fetten Anbindung, fester IP aus einem "vertrauenswürdigeren" Netzabschnitt natürlich erheblich interessantere Ziele darstellen. Aber bzgl. Client-PCs geht es halt um "Masse statt Klasse". Aber im Prinzip macht ein Schädling auf einem Client-PC auch nichts anderes.
Siehe z.B. hier: http://www.heise.de/ct/04/11/003/
Ich zitiere mal:
Er kann genauso Kreditkarteninformationen oder eBay-Kontodaten
ausspionieren wie die Windows-Registry nach CD-Keys für Online-Spiele
absuchen oder den Rechner als Spam-Relay missbrauchen.
Wie hoch der Schaden durch Ausspähen und späteres Ausnutzen solcher
Daten bei den Anwendern ist, lässt sich nicht im Entferntesten
abschätzen. Mittlerweile sind bereits über 1000 Phatbot-Stämme
registriert - und jeder Stamm kann locker über mehr als
hunderttausend infizierte Systeme gebieten.
Grüße
Andreas
SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/