Wenn aus Spam DDoS wird

31.08.2021 / Dr. Behrooz Moayeri

Spam kennt (leider) jeder. Unerwünschte E-Mails werden so genannt, nach dem berühmten Sketch von Monty Python, in dem ein Lokal keine Speise ohne Spiced Ham, kurz Spam, anbietet. Bei Interesse können Sie sich den kurzen Film im Internet anschauen.

Wir haben in den letzten 20 Jahren gelernt, mit Spam zu leben. Mehr oder weniger schlaue E-Mail-Komponenten, von Relays und Servern bis zu Clients, filtern Spam aus. Ist eine Nachricht mal zu Unrecht als Spam eingestuft, bleibt sie im Junk-Mail-Ordner noch auffindbar.

Trotzdem belegt Spam Ressourcen: Netzleistung, Prozessorkapazität, Arbeitsspeicher und Plattenplatz. E-Mail-Komponenten müssen wegen Spam größer dimensioniert werden, als dies ohne Spam erforderlich wäre. Das ist so und leider nicht zu ändern. Auch damit haben wir gelernt zu leben.

Aus Spam kann aber Distributed Denial of Service (DDoS) werden, wenn sich durch einen anderen Umstand etwas Wesentliches im E-Mail-System ändert. Jüngst haben wir das bei ComConsult erfahren. Die wesentliche Änderung war bei uns die Erstellung eines neuen Mail-Exchange(MX)-Eintrags im Domain Name System (DNS). Ein MX Record im DNS gibt darüber Auskunft, welcher Host E-Mails für eine bestimmte Domäne annimmt. Für die Domäne comconsult.de, die früher von einem anderen Unternehmen genutzt wurde und nunmehr uns gehört, wurde ein neuer MX Record erstellt, der auf unseren externen E-Mail-Relay zeigte. Wir unterschätzten aber die Menge an Sendern, die hartnäckig darauf warteten, Spam an comconsult.de zu senden. Die Pflege von Datenbanken gehört offensichtlich nicht zu den Stärken des dubiosen Spam-Produktionsmilieus. An längst nicht mehr genutzte E-Mail-Adressen aus der Domäne comconsult.de wird fröhlich weiter Spam gesendet. Diese E-Mail-Adressen sind unserem E-Mail-Server unbekannt, der bei Erhalt solcher E-Mails Fehlermeldungen zurückschickt. Diese Fehlermeldungen haben die Kapazität unseres E-Mail-Relays vollständig ausgelastet. Es kam zu einer temporären Unterbrechung des Empfangs externer E-Mails.

Das Problem wurde behoben und wir sind um eine Erfahrung reicher. Wenn man eine neue Domäne auch für E-Mail nutzen will und nicht sicher ist, wer alles noch Adressen dieser Domäne in der eigenen Datenbank führt, sollte man einen dedizierten E-Mail-Relay zum Empfang der Nachrichten an diese Domäne einrichten. Mit heutigen Cloud-Lösungen ist das relativ einfach und preiswert zu bewerkstelligen. In der Cloud gibt es viel mehr Ressourcen und ein paar tausend Fehlermeldungen mehr oder weniger sind kaum spürbar.

Sicherheit trotz oder wegen der Cloud

Grundlagen der IT-Sicherheit
11.12.-12.12.2024 Bonn | online

Netzzugangskontrolle (NAC)
19.11.-20.11.2024 online

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.