Blockiert?
Choose your preferred language
The website will be displayed in the language you select
Unsere Lösungen
IT- und Sicherheitsteams haben es ständig mit vielen geschäftlichen Herausforderungen zu tun. Erfahren Sie, wie unsere Lösungen Ihnen helfen können, einige dieser Herausforderungen zu meistern.
E-Mail-Schutz
Unsere Blocklists schaffen Abhilfe sowohl bei Verarbeitungsproblemen als auch bei per E-Mail verbreiteten Bedrohungen. Sie können sie problemlos in Ihr bestehendes E-Mail-System integrieren, um Ihre Anti-Spam- und Anti-Virus-E-Mail-Filter zu verbessern.
Untersuchen
Nutzen Sie unsere Threat Intelligence, um die Transparenz bei Sicherheitsereignissen zu erhöhen, potenzielle Schwachstellen in Ihrem Netzwerk offenzulegen und Bedrohungen für Ihre Marke zu erkennen.
Netzwerkschutz
Bleiben Sie den aktuellen Bedrohungen einen Schritt voraus und nutzen Sie unsere Lösungen, um Botnet-Infektionen und andere Arten von Missbrauch vorausschauend zu bekämpfen.
Nutzerschutz
Vom Klick auf Phishing-E-Mails bis zum Aufruf von Malware Dropper Sites bietet unsere Threat Intelligence automatischen Schutz für Ihre Nutzer.
Unsere Produkte
Unsere Produkte sind eine weitere Sicherheitsebene für Netzwerke und E-Mail. Außerdem liefern sie Sicherheitsteams zusätzliche Einblicke in bösartiges Verhalten.
Border Gateway Protocol (BGP)
Blockieren Sie die schlimmsten Cyberbedrohungen mit Ihren vorhandenen BGP-fähigen Routern bereits am Network Edge. Die Konfiguration dauert nur wenige Minuten.
Data Query Service (DQS)
Nutzen Sie branchenführende Echtzeit-Blocklists. Diese DNSBLs lassen sich einfach in Ihre bestehende E-Mail-Infrastruktur einbinden, um Spam und andere per E-Mail verbreitete Bedrohungen zu blockieren.
Passive DNS
Ein leistungsstarkes Recherche-Tool, um Beziehungen zwischen Internetinfrastrukturen zu untersuchen. Wenden Sie sich schnell neuen besorgniserregenden Bereichen zu, um potenzielle Bedrohungen direkt zu untersuchen.
DNS Firewall
Blockieren Sie Verbindungen zu gefährlichen Websites sofort, einschließlich Phishing- und Malware Dropper Websites. Eine Lösung, die Sie nur einmal einrichten müssen und dann sich selbst überlassen können.
Spamhaus Intelligence API
Dank der Threat-Intelligence-Daten im API-Format können Nutzer zu den Threats gehörende Metadaten ganz einfach in ihre eigenen Anwendungen, Programme und Produkte integrieren.
Unsere Datensätze
Eine große Bandbreite von Datensätzen, die mehrere Schutzebenen bilden. Sie können direkt in Ihre vorhandene Hardware integriert werden und sind damit eine erschwingliche Wahl.
Border Gateway Protocol (BGP) Feeds
Sie können unsere „Do not route or Peer” (DROP)- und Botnet Controller List (BCL)-Feeds in Ihren vorhandenen BGP-fähigen Router einbinden.
Content-Blocklists
Mit Domain (DBL), Zero Reputation (ZRD) und Hash Blocklists (HBL) können Sie Inhalte in E-Mails blockieren und eine höhere Quote an per E-Mail verbreiteten Bedrohungen herausfiltern.
Daten für Untersuchungen
Passive DNS und verbesserte Datensätze liefern Ihnen zusätzliche Informationen über Internetressourcen. Sie bieten fundierte Einblicke in Zwischenfälle und mögliche Bedrohungen.
DNS Firewall Threat Feeds
Ein breites Spektrum an Feeds, die Sie auf Ihren rekursiven DNS-Server anwenden können. Wählen Sie das Schutzniveau, das am besten zu Ihrem Unternehmen passt.
IP-Blocklists
Mit den Spam (SBL), Policy (PBL), Exploits (XBL) und Auth (AuthBL) Blocklists können Sie E-Mails von IP-Adressen filtern, die mit Spam, Botnets und anderen Bedrohungen in Verbindung gebracht werden.
Über uns
Erfahren Sie mehr über unser Unternehmen.
Über Uns
Erfahren Sie mehr über Spamhaus, wer wir sind und was wir tun.
Partner
Finden Sie heraus, mit wem wir zusammenarbeiten und wie Sie selbst Spamhaus-Partner werden können.
Ressourcen
Resource Center
Entdecken Sie vielfältige Blog-Posts, Fallbeispiele und Berichte.
Fragen und Antworten
Häufig gestellte Fragen über die Produkte und Prozesse von Spamhaus.
Der Blocklist Tester
Ein benutzerfreundliches Tool, mit dem Sie sich vergewissern können, ob Sie Ihr E-Mail-System richtig für die DNSBLs von Spamhaus konfiguriert haben.
Das Reputationsportal
Ein Werkzeug, mit dem ASN-Inhaber Einblick in die Reputation ihrer IP-Adressen erhalten und Einträge proaktiv steuern können.
Hilfe für Nutzer von Public Mirrors von Spamhaus
Nutzen Sie die kostenlosen Public Mirrors von Spamhaus? Das sollte helfen.
Technische Dokumente
Eingehende Informationen über technischen Details und die Implementierung unserer Produkte.
Für Entwickler
Teilen
Domain Name System Blocklists (DNSBLs) sind eine preiswerte und effektive Methode, um die Flut des eingehenden Nachrichtenverkehrs, die Spam und andere bösartige E-Mails bringen, erfolgreich einzudämmen. Blocklists bieten zahlreiche Vorteile, von der Senkung der Infrastrukturkosten über die Einsparung von Mitarbeiterstunden bis hin zur Verbesserung der Erkennungsraten. Um jedoch das Meiste aus den DNSBLs zu machen, kommt es darauf an, sie jeweils am richtigen Punkt Ihres E-Mail-Filters einsetzen.
Es gibt eine breit gefächerte Palette an E-Mail-Sicherheitsoptionen für Ihre Infrastruktur, vom Content-Filter und -Scan bis zu netzwerkbasierten Tools, die auf verteilte und kooperative Methoden setzen.
Leider sind die meisten sowohl ressourcenaufwendig als auch teuer. Der Schlüssel zum richtigen E-Mail-Filter besteht darin, die Masse unerwünschter E-Mails schon zu Beginn des Prozesses abzufangen, noch bevor sie die ressourcenintensive Phase der Inhaltsprüfung erreicht.
Eine DNSBL-Prüfung ist die einfachste, schnellste und wirtschaftliche Methode, die Sie haben… also warum sollte man sie nicht nutzen?
Wenn Sie eine E-Mail empfangen und verarbeiten, gibt es drei Bereiche, in denen Sie Blocklists einsetzen sollten:
Direkt zu Beginn einer E-Mail-Transaktion versucht ein Remote Server, eine Verbindung zu Ihrem Server aufzubauen. An diesem Punkt kann eine schnelle Abfrage bei einer Blocklist (fast) sofort Klarheit darüber geben, ob die Verbindung aufbauende IP-Adresse mit bösartiger Aktivität in Verbindung gebracht wird.
Ist die IP-Adresse in der Blocklist aufgeführt, können Sie entscheiden, die Verbindung sofort zu blockieren. Zur Erinnerung: Diese Abfrage erfolgt noch vor dem Handshake mit dem Simple Mail Transfer Protocol (SMTP).
Alle E-Mail-Befehle nach dem Aufbau der ersten E-Mail-Verbindung (wie oben beschrieben) und vor dem DATA-Befehl während der SMTP-Verbindung bezeichnen wir als Vor-Datenphase.
Sobald die Verbindung offen ist, sollten Sie (der Empfänger), eine DNS-Rückwärtssuche der die Verbindung aufbauenden IP-Adresse starten.
Das Ergebnis der Abfrage sollte anhand der im HELO-String des Absenders enthaltenen Domain geprüft werden, z. B. (HELO mta-out.someisp.example). Stimmen die Daten nicht überein, sollte die Verbindung sofort blockiert werden. Dies ist nämlich ein Hinweis darauf, dass der Absender nicht der ist, der er zu sein vorgibt: Es handelt sich z. B. um Spoofing.
Die erscheinende Domain sollte anhand der DBL und der ZRD geprüft werden.
Die im HELO-String enthaltene Domain sollte anhand der DBL und ZRD geprüft werden. Außerdem sollte eine DNS-Vorwärtssuche in der SBL erfolgen.
Im Anschluss an den HELO-String erfolgt während der SMTP-Verbindung der „MAIL FROM“-Befehl. Dieser wird häufig auch als „Envelope-From“ oder „Return-Path“ bezeichnet. Sie sollten die in diesem String enthaltene Domain abfragen, z. B. <[email protected]>.
Wenn die Abfrage anhand der DBL und ZRD positiv ausfällt, kann der Empfänger die E-Mail abweisen oder zur weiteren Untersuchung während des Content-Filter-Prozesses kennzeichnen.
Wenn der „RCPT TO“-Befehl ausgeführt wurde, folgt der „DATA“-Befehl, der die Übertragung der Daten, des E-Mail-Headers und des Inhalts auslöst. Wenn der Empfänger die erfolgreiche Ausführung bestätigt, übermittelt der Absender (vor oder nach der Prüfung des Inhalts) einen „QUIT“-Befehl, und die Verbindung wird geschlossen.
Das hängt von Ihren Implementierungsentscheidungen und der gewählten Software ab. Wie bei allen Optionen gibt es auch hier Vor- und Nachteile für beides:
Einige Implementierungen halten die Verbindung offen, bis das Ergebnis der Inhaltsprüfung vorliegt.
Vorteile: Absender werden immer von einer Abweisung benachrichtigt, was im Falle falsch positiver Einträge die beste Strategie ist.
Nachteile: Diese Vorgehensweise bindet Ressourcen, und Ihr MTA muss der Aufgabe auch in Spitzenzeiten gewachsen sein. Bei unzureichenden Ressourcen kann es zu Verzögerungen kommen.
Bei der Mehrzahl der Implementierungen wird die Verbindung vor der Prüfung des Inhalts geschlossen.
Vorteile: Geringere Kosten aufgrund des geringeren Ressourcenaufwands.
Nachteile: Wenn falsch positive Einträge vorliegen, wird der Absender nicht benachrichtigt.
Wie schon erwähnt, stellen Content-Filter und Scanning hohe Anforderungen an Ihre Ressourcen. Wenn Sie die Anzahl der E-Mails reduzieren, die diesen Punkt des E-Mail-Filters überhaupt erreichen, sparen Sie Speicher, benötigen weniger Verarbeitungsleistung und verringern die Latenz.
Stellen Sie sich eine Situation vor, in der Sie bei einer anhaltenden oder eskalierenden Spam-Kampagne Hunderte von Nachrichten pro Sekunde erhalten. Wenn Sie sich darauf verlassen, dass Ihre Content-Filter- und Scanning-Systeme den Angriff abfangen, bricht Ihre E-Mail-Infrastruktur möglicherweise unter der schieren Masse der eingehenden E-Mails zusammen.
Wenn Sie Glück haben und dies nicht passiert, entstehen Ihnen trotzdem hohe Kosten, weil jede E-Mail heruntergeladen und gescannt werden muss.
Wenn eine E-Mail bei der ersten Verbindung oder dem SMTP-Handshake abgewiesen wird, wird eine Delivery Status Notification (DSN) in Echtzeit an den Absender übermittelt, die ihn darüber informiert, dass die Zustellung fehlgeschlagen ist. Aus Perspektive des Absenders kann dies dazu beitragen, Mail-Relay-Probleme zu erkennen und zu beheben.
Wenn E-Mails schon früh innerhalb der E-Mail-Transaktion abgewiesen werden, werden potenzielle Spam-E-Mails nicht heruntergeladen und möglicherweise im Spam-Ordner vergessen. Endnutzer müssen nicht länger ihren Spam-Ordner mit Hunderten, wenn nicht Tausenden von Spam-E-Mails nach der einen legitimen Nachricht durchforsten.
Wenn die Absenderadresse gefälscht ist, wird der unschuldige Dritte, dessen E-Mail in der gefälschten Absenderadresse verwendet wurde, mit Rücksende-E-Mails überflutet.
Wenn Sie Domain Blocklists und IP-Blocklists nutzen, sind Sie zusätzlich vor Hailstorm- und Snowshoe-Spam-Angriffen und anderen Bedrohungen geschützt. Für detailliertere Informationen zu diesem Thema empfehlen wir Ihnen die Lektüre von MTA-Entwickler: Domain-DNSBLs auf SMTP-Ebene zulassen.
Es lohnt sich, daran zu denken, dass unsere Domain Blocklist viele Domains schon enthält, bevor sie live gehen!
Wenn der DATA-Befehl ausgeführt wurde und der E-Mail-Header und der Inhalt an den Empfänger übertragen wurden, beginnt neben den SPF-, DKIM- und DMARC-Kontrollen die Prüfung des Inhalts.
E-Mail-Header enthalten strukturierte Daten, sodass ihre Analyse im Vergleich zum Textkörper einer E-Mail weitaus weniger ressourcenaufwendig ist. Für nähere Informationen über die E-Mail-Header- und Textkörperkomponenten empfehlen wir Ihnen die Lektüre von Den Quellcode bösartiger E-Mails verstehen.
Hier können die Blocklists bei der Header-Untersuchung eingesetzt werden:
Dies ist die IP-Adresse, die in der Empfangskette der ursprünglichen Transaktion enthalten ist, d. h. die Adresse, die ursprünglich die E-Mail generiert hat. Diese Abfrage kann anhand der SBL und AUTH BL erfolgen. Auch eine rDNS-Suche kann anhand der DBL und ZRD durchgeführt werden.
Die vollständige E-Mail-Adresse in diesem Feld sollte mit der Hash Blocklist (HBL) verglichen werden, die kryptografische Hashes von E-Mail-Adressen enthält.
Diese Adresse, häufig auch als „Friendly-From“-Adresse bezeichnet, sollte anhand der HBL abgefragt werden, und die darin enthaltene Domain sollte anhand der DBL und ZRD und mit einer DNS-Vorwärtssuche anhand der SBL abgefragt werden.
Erst jetzt geht es an die Untersuchung des Inhalts. Überlegen Sie einmal, wie viele Gelegenheiten Sie (von oben auf der Seite bis hierher) schon hatten, E-Mails abzuweisen, bevor die Mails diesen kostspieligeren Teil des E-Mail-Filters überhaupt erreichen!
Website-URLs oder E-Mails im Textkörper sollten alle anhand der DBL und ZRD abgefragt werden. Außerdem sollte eine DNS-Vorwärtssuche anhand der SBL erfolgen. Im Textkörper der E-Mail enthaltene E-Mails können ebenfalls anhand der HBL überprüft werden.
Fragen Sie diese anhand der HBL ab, die einen Cryptowallet-Abschnitt mit Hashes von Bitcoin- und anderen Kryptowährungsadressen enthält.
Alle Anhänge sollten anhand der HBL überprüft werden, in der neben E-Mail-Adressen und Kryptowährungsadressen auch Malware-Dateien gelistet sind.
Leider ist es angesichts der vielen Varianten nicht möglich, auf alle spezifischen betrieblichen Details der verschiedenen Mailsysteme einzugehen. Sollten einige unserer Kontrollen nicht zu implementieren sein, empfehlen wir Ihnen, sich mit dem Support-Desk des von Ihnen genutzten Produkts in Verbindung zu setzen.
Die gute Nachricht: Wir halten zwei Plugins für die Open-Source-Filter SpamAssassin und Rspamd sowohl für die Vor-Daten-Filterung (SMTP) als auch für die Inhaltsanalyse bereit. Außerdem finden Sie hier die vollständige Aufstellung, welche Blocklists wo genutzt werden sollten.
Wenn Sie die DNS-Blocklists ausprobieren möchten und einen eigenen E-Mail-Server betreiben, registrieren Sie sich für den kostenlosen 30-tägigen Datenzugriff. Wir freuen uns auf Ihre Rückmeldung.
If you’d like to trial DNS Blocklists and run your own email server – then sign up to access the data free for 30 days. We’d love to hear how you get on.
Der Datenabfragedienst Data Query Service (DQS) von Spamhaus ist eine erschwingliche, wirksame Lösung, mit der Sie Ihre E-Mail-Infrastruktur und Ihre Nutzer wirksam schützen können.
Unter Verwendung Ihres vorhandenen E-Mail-Schutzes können Sie Spam und damit zusammenhängende Threats einschließlich Malware, Ransomware und Phishing-E-Mails blockieren.
Auf diesen Dienst ist hundertprozentig Verlass, denn er setzt auf praxisbewährte DNSBLs.
In Kürze können sich Nutzer der Domain Blocklist von Spamhaus dank der Auflistung der Hostnamen im „abused-legit“-Bereich über mehr Genauigkeit in der Blocklist freuen. Erfahren Sie mehr und finden Sie heraus, wie Sie die Beta-Version erhalten können.
Uns gibt es jetzt ein Tool, mit dem Sie testen können, ob Sie Ihre E-Mail-Server richtig für die Blocklists von Spamhaus konfiguriert haben.
Nach einem eher ruhigen Jahresende 2020 in der Botnet-Welt von Spamhaus ging es dort im ersten Quartal 2021 direkt wieder zur Sache. Eine der positivsten Entwicklungen war zweifellos die Einstellung des Botnets Emotet im Januar. Doch wenn eine Malware vom Netz geht, ist die nächste nicht weit, wie schon der 24-prozentige Anstieg der Gesamtzahl der Botnet C&Cs zeigt, den die Spezialisten von Spamhaus beobachteten.