Die Brutstätten von Spam und Angriffen

Der überwiegende Teil der Spam-Mail kommt aus den Datencentern. Von dort aus senden Spammer mit ganzen Clustern von IP-Adressen ihre Fake-Emails.

Mit dem Aufkommen der großen Datencenter steigt die Flut der Spam-Emails. Alles, was online über die Bühne geht, läuft über Datencenter: Unsere Webseite liegt in einem Datencenter (falls wir nicht gerade einen eigenen Server im Keller haben).

Datencenter

So ein Datencenter ist vollgepackt mit Servern, auf denen nicht nur Webseiten liegen, sondern Cluster von Videoservern für Streamingdienste, Cloudserver und Anwendungen. Die größten Datencenter sind Amazon, Microsoft, Google und Facebook.

Datencenter machen dem Web Beine, sie sind aber auch die Brutplätze für Onlinebetrug, Angriffe, Bots und Spam. Für die Bot-Betreiber sind sie eine billige Lösung: Sie mieten ein Netzwerk mitsamt einem ganzen Bereich von IP-Adressen, denn mit einem Bereich von IP-Adressen tricksen sie die Abwehr von Angriffen und Spamfluten aus. 

Die traditionellen Abwehrmaßnahmen

Gleich ob fail2ban, Wordfence, Spamfilter – sie fangen auffällige IP-Adressen ab und sperren sie für eine Weile. Aber die Bad Bots aus den Datencentern kommen eben nicht auf einer IP, sondern mit 256 oder gleich mit 3000 IP-Adressen. Auch wenn fail2Ban oder Wordfence eine IP für ein paar Minuten blockieren, die Bots greifen ein-, zweimal auf einer IP zu und wechseln dann zur nächsten IP, bevor die Firewall zuschlägt.

VPN – Virtual Private Network

Der größte Teil der Angriffe erfolgt über VPN, also nicht mit der eigenen IP-Adresse, sondern mit der IP-Adresse, die dem VPN-Kunden zugewiesen wird und die immer wieder ohne Aufwand gewechselt werden kann. Diese Netze haben tausende von IP-Adressen und wenn die IP gesperrt wird, trifft die Blockade morgen einen seriösen Besucher. Immerhin können wir herausfinden, wie vertrauenswürdig die Absenderadresse ist: z.B. bei https://www.ipqualityscore.com/

Wer spammt mich hier zu?

Mit Apple Mail unter OS X sitzen die IP-Adressen der Absender unter Darstellung > E-Mail > Alle Header. Das schwemmt jede Menge kryptischer Informationen ein. Erst ganz unten finden wir den Weg der Spammail: 

Received: ⁨from mail.maxdention.mobi (mail.maxdention.mobi [93.189.45.238]) by mydomain.de (Postfix) with ESMTP id 085A814746B for myemail@mydomain.de; Mon, 24 May 2021 23:51:53 +0000 (UTC)⁩
Received: ⁨from maxdention.mobi (unknown [82.146.47.103]) by mail.maxdention.mobi (Postfix) with ESMTPA id 27313300F06; Tue, 25 May 2021 02:32:35 +0300 (EEST)⁩
Delivered-To: ⁨myemail@mydomain.de⁩
Received-Spf: ⁨pass (mydomain.de: domain of maxdention.mobi designates 93.189.45.238 as permitted sender) client-ip=93.189.45.238; envelope-from=urpipsl@maxdention.mobi; helo=mail.maxdention.mobi;⁩

Das war einfach: Über die letzte IP ist die Spammail angekommen. Wer steckt hinter dieser IP? Einer der typischen Verdächtigen, nämlich ein Server in Russland, der schon mehr als ein Dutzend mal als Spammer an die Blocklisten gemeldet wurde. Auch die andere IP ist schon als Spammer oder Bad Bot bekannt.

Echt jetzt? Die Russen, das hört man überall. Aber mindestens genauso viel Spam kommt von Microsoft Azur.

microsoft sold too much azure, now in hands of rusisans, and they do not care. One bit. they are criminal amateurs.

Aus einem Microsoft Forum

Von den Servern unter googleusercontent.com und compute.amazonaws.com kommt ein großer Teil der Angriffe auf WordPress-Seiten. Beide haben Datencenter auf der ganzen Welt – von Japan über Indien bis Europa, von denen aus Hacker nach den Lücken in der Abwehr suchen.

AWS Attacks Targeting WordPress Increase 5X

Mail-Header prüfen

… kann man in jedem Mailprogramm. In Google Mail ebenfalls, und zwar unter den drei Punkten auf der rechten Seite mit Original anzeigen.

Mail-Menu mit Original Anzeigen, um den Mail Header mit Absender IP zu untersuchen
Mail untersuchen: Header anzeigen lassen

Gibt es Abwehrmaßnahmen?

Mit einem einfachen Mail-Account sind wir den Spammern ausgeliefert. Allenfalls können wir herausfinden, ob die Email nun wirklich von PayPal oder der Sparkasse kommt oder doch wieder ein wirklich gut gemachter Fake ist.

Received: ⁨from echter-domainname.de (unknown [195.231.11.149]) by colorand.de (Postfix) with ESMTP id 2B9B51812C9 for myemail@mydomain.de; Mon, 24 May 2021 02:33:44 +0000 (UTC)⁩

Der Domainname ist echt, seriös und unbescholten, aber die Email kommt in Wirklichkeit von einer IP aus einem Datencenter in Italien. Diese eine IP ist vielleicht noch unbescholten, aber für den IP-Range liegen schon die ersten Anklagen in den Blocklisten vor.

Kein ganz unkomplizierter Anlauf, aber prüfen, ob eine Email tatsächlich von einem IONOS-Account versendet wurde.

Echtheit einer IONOS E-Mail prüfen

Länder unter Generalverdacht stellen?

Könnten wir nicht einfach ganze Länder blockieren und Russland unter Generalverdacht stellen? Nun, Russische Hacker können heute problemlos Server in den USA oder Holland oder Deutschland mieten. In einem russischen Datenzentrum könnte sich eine deutsche Gruppe verstecken, die den Verdacht gegen russische Fakes unterstreichen will.

Auch IONOS, Hosteurope und Strato sind Datencenter. Aus dieser Ecke kommt selten Spam, selbst Bad Bots werden kaum einmal gesichtet. Seriöse Provider reagieren auf die Meldungen in den Blocklisten und auf Beschwerden. Die ganz großen – allen voran Amazon Web Services (AWS) – kümmern sich bislang eher nicht, selbst wenn die Klagen und die Einträge in den Blocklisten meilenlang werden und tausende von Abuse-Meldungen seit Jahren vorliegen.

Doch nicht nur Russen und US-Konzerne beherbergen gerne mal Hacker und Spammer auf ihren Servern. Als das OVH-Datenzentrum in Straßburg abbrannte, hat der Brand auch Server von Hackern ins Aus versetzt. Macht nix, sind noch genug andere da …

“Out of the 140 known C2 servers we are tracking at OVH that are used by APT and sophisticated crime groups, approximately 64% are still online.“

OVHcloud data centre destroyed in inferno

Webseiten vor Angriffen schützen

Unsere Webseite können wir vielleicht mit einer Firewall vor Loginversuchen schützen, wenn wir herausfinden, wer da angreift. Die Logdateien helfen bei den meisten Hostern kaum weiter, denn für die Datenschutz sind die IP-Adressen in den Logdateien anonymisiert. Außerdem ist das Durchforsten der Logdateien mühsam.

Ansonsten könnten wir IP-Adressen oder ganze IP-Bereiche in der htaccess-Datei der Webseite blockieren. Übrigens: Nicht nur russische Datencenter sind der Ursprung der Bad Bots, sondern auch die Microsoft Cloud ist kräftig unterwandert.

Order Allow,Deny
Deny from 52.188.1.0/24
Allow from all

Mit einem eigenen Server sind unsere Chancen schon besser. Da kann die Firewall nicht nur die Angreifer der Webseite blockieren, sondern auch den Spam.

Nicht jedermann*innens Sache. Und nicht ungefährlich: Wir können zwar herausfinden, dass eine IP aus einem der Datencenter von Amazon, Microsoft, Digital Ocean, Google oder einem russischen Datencenter stammen, aber auch wichtige Anwendungen wie Let’s Encrypt liegen ebenfalls in den großen Datencentern.

Hinterherhinken

Die kriminelle Energie ist immer größer und kreativer als das Ausrollen von Gegenmaßnahmen. Wir müssten IP-Adressen von Spammern beim Provider melden, aber dazu müssen wir die IP-Adresse kennen und herausfinden, wo diese IP verankert ist. Alles in allem eine frustrierende Situation, solange die Datencenter keine Verantwortung für die Aktionen ihrer Kunden übernehmen.

2024-02-12 SITEMAP BLOG
Suchen auf mediaevent.de