Blockiert?
Choose your preferred language
The website will be displayed in the language you select
Unsere Lösungen
IT- und Sicherheitsteams haben es ständig mit vielen geschäftlichen Herausforderungen zu tun. Erfahren Sie, wie unsere Lösungen Ihnen helfen können, einige dieser Herausforderungen zu meistern.
E-Mail-Schutz
Unsere Blocklists schaffen Abhilfe sowohl bei Verarbeitungsproblemen als auch bei per E-Mail verbreiteten Bedrohungen. Sie können sie problemlos in Ihr bestehendes E-Mail-System integrieren, um Ihre Anti-Spam- und Anti-Virus-E-Mail-Filter zu verbessern.
Untersuchen
Nutzen Sie unsere Threat Intelligence, um die Transparenz bei Sicherheitsereignissen zu erhöhen, potenzielle Schwachstellen in Ihrem Netzwerk offenzulegen und Bedrohungen für Ihre Marke zu erkennen.
Netzwerkschutz
Bleiben Sie den aktuellen Bedrohungen einen Schritt voraus und nutzen Sie unsere Lösungen, um Botnet-Infektionen und andere Arten von Missbrauch vorausschauend zu bekämpfen.
Nutzerschutz
Vom Klick auf Phishing-E-Mails bis zum Aufruf von Malware Dropper Sites bietet unsere Threat Intelligence automatischen Schutz für Ihre Nutzer.
Unsere Produkte
Unsere Produkte sind eine weitere Sicherheitsebene für Netzwerke und E-Mail. Außerdem liefern sie Sicherheitsteams zusätzliche Einblicke in bösartiges Verhalten.
Border Gateway Protocol (BGP)
Blockieren Sie die schlimmsten Cyberbedrohungen mit Ihren vorhandenen BGP-fähigen Routern bereits am Network Edge. Die Konfiguration dauert nur wenige Minuten.
Data Query Service (DQS)
Nutzen Sie branchenführende Echtzeit-Blocklists. Diese DNSBLs lassen sich einfach in Ihre bestehende E-Mail-Infrastruktur einbinden, um Spam und andere per E-Mail verbreitete Bedrohungen zu blockieren.
Passive DNS
Ein leistungsstarkes Recherche-Tool, um Beziehungen zwischen Internetinfrastrukturen zu untersuchen. Wenden Sie sich schnell neuen besorgniserregenden Bereichen zu, um potenzielle Bedrohungen direkt zu untersuchen.
DNS Firewall
Blockieren Sie Verbindungen zu gefährlichen Websites sofort, einschließlich Phishing- und Malware Dropper Websites. Eine Lösung, die Sie nur einmal einrichten müssen und dann sich selbst überlassen können.
Spamhaus Intelligence API
Dank der Threat-Intelligence-Daten im API-Format können Nutzer zu den Threats gehörende Metadaten ganz einfach in ihre eigenen Anwendungen, Programme und Produkte integrieren.
Unsere Datensätze
Eine große Bandbreite von Datensätzen, die mehrere Schutzebenen bilden. Sie können direkt in Ihre vorhandene Hardware integriert werden und sind damit eine erschwingliche Wahl.
Border Gateway Protocol (BGP) Feeds
Sie können unsere „Do not route or Peer” (DROP)- und Botnet Controller List (BCL)-Feeds in Ihren vorhandenen BGP-fähigen Router einbinden.
Content-Blocklists
Mit Domain (DBL), Zero Reputation (ZRD) und Hash Blocklists (HBL) können Sie Inhalte in E-Mails blockieren und eine höhere Quote an per E-Mail verbreiteten Bedrohungen herausfiltern.
Daten für Untersuchungen
Passive DNS und verbesserte Datensätze liefern Ihnen zusätzliche Informationen über Internetressourcen. Sie bieten fundierte Einblicke in Zwischenfälle und mögliche Bedrohungen.
DNS Firewall Threat Feeds
Ein breites Spektrum an Feeds, die Sie auf Ihren rekursiven DNS-Server anwenden können. Wählen Sie das Schutzniveau, das am besten zu Ihrem Unternehmen passt.
IP-Blocklists
Mit den Spam (SBL), Policy (PBL), Exploits (XBL) und Auth (AuthBL) Blocklists können Sie E-Mails von IP-Adressen filtern, die mit Spam, Botnets und anderen Bedrohungen in Verbindung gebracht werden.
Über uns
Erfahren Sie mehr über unser Unternehmen.
Über Uns
Erfahren Sie mehr über Spamhaus, wer wir sind und was wir tun.
Partner
Finden Sie heraus, mit wem wir zusammenarbeiten und wie Sie selbst Spamhaus-Partner werden können.
Ressourcen
Resource Center
Entdecken Sie vielfältige Blog-Posts, Fallbeispiele und Berichte.
Fragen und Antworten
Häufig gestellte Fragen über die Produkte und Prozesse von Spamhaus.
Der Blocklist Tester
Ein benutzerfreundliches Tool, mit dem Sie sich vergewissern können, ob Sie Ihr E-Mail-System richtig für die DNSBLs von Spamhaus konfiguriert haben.
Das Reputationsportal
Ein Werkzeug, mit dem ASN-Inhaber Einblick in die Reputation ihrer IP-Adressen erhalten und Einträge proaktiv steuern können.
Hilfe für Nutzer von Public Mirrors von Spamhaus
Nutzen Sie die kostenlosen Public Mirrors von Spamhaus? Das sollte helfen.
Technische Dokumente
Eingehende Informationen über technischen Details und die Implementierung unserer Produkte.
Für Entwickler
Teilen
Es gibt verschiedene Mythen, die im Zusammenhang mit Domain Name System Blocklists (DNSBLs) immer wieder verbreitet werden. Höchste Zeit, damit aufzuräumen und im Klartext über Blocklists zu reden.
Den Bereitstellungsmechanismus für DNSBLs gibt es tatsächlich schon ein paar Jahre. Die Threat Intelligence in den Blocklists wird jedoch anhand der aktuellen Bedrohungen kontinuierlich aktualisiert, wie auch die Art und Weise der Recherche und Veröffentlichung dieser Daten.
Es gibt einen großen Unterschied zwischen „in die Jahre gekommen“ und „praxisbewährt“. Es ist nicht zu leugnen, dass der Mechanismus zur Bereitstellung von Blocklist-Daten, nämlich per DNS-Zone, schon Jahrzehnte alt ist. Tatsächlich wurde die erste DNSBL schon 1997 von Eric Ziegast erstellt, der zusammen mit dem MAPS-Gründer Paul Vixie im gleichnamigen Unternehmen tätig war.
Trotzdem, und das ist ein großes TROTZDEM, sind DNSBLs ein leichter, robuster und praktischer Echtzeit-Bereitstellungsmechanismus für Reputationsdaten im Zusammenhang mit IP-Adressen, Domains und Inhalten. Sie werden kontinuierlich weiterentwickelt, um bösartige Online-Aktivitäten zu bekämpfen.
In den Anfängen waren für die Erstellung von Blocklists stundenlange und mühselige manuelle Recherchen sowie heuristische Methoden erforderlich. Heute sind wir dank maschinellen Lernens in der Lage, immer größere Datenmengen zu verarbeiten, auch wenn unser Rechercheteam zusätzlich weiterhin manuelle Untersuchungen durchführt und Heuristik anwendet.
Auch die Art der so erstellten Datensätze entwickelt sich weiter. Zusätzlich zu IP- und Domain-Reputationsdaten werden Hash Blocklists zusammengestellt, um spezifische Inhalte wie E-Mail-Adressen, Malware-Dateien und Cryptowallet-Adressen auflisten zu können.
Durch den Einsatz neuer Tools und Technologien können wir ständig neue Angreifer und bösartiges Verhalten aufdecken und gleichzeitig die Quote an falsch positiven Ergebnissen begrenzen. Wir wenden erhebliche Ressourcen dafür auf, unsere Kapazitäten für die Jagd auf Bedrohungen auszubauen, damit unsere Kunden sich auf andere Dinge konzentrieren können.
Während der Bereitstellungsmechanismus der DNSBLs zu Recht als „alt“ bezeichnet werden kann, sind die darin enthaltenen Daten tatsächlich das Ergebnis sorgfältiger Recherche und hochmoderner Technologien und Techniken, um IP-, Domain-, und Content-Reputationsdaten zu liefern, die vor den aktuellen Bedrohungen schützen.
Keinesfalls. DNSBLs können alle Arten von Bedrohungen filtern, die per E-Mail verbreitet werden, wie beispielsweise Phishing-Links, Malware-Dateien, Bots und URLs zu Malware Dropper Sites. Spam ist nur die Spitze des Eisbergs.
Definieren wir als Erstes, was Spam ist. Natürlich sprechen wir hier nicht von dem traditionellen Fleischprodukt der US-Marke gleichen Namens. Wir sprechen von Massen-E-Mails, die unaufgefordert an eine große Zahl von Empfängern verschickt werden.
Für die meisten Menschen ist „Spam“ der Oberbegriff für die Myriaden anrüchiger E-Mails, mit denen Pillen, Sex, Listen und andere unerwünschte Dinge verkauft werden sollen.
E-Mail ist jedoch auch ein Vektor für andere anrüchige Machenschaften wie Malware-Dateien (94 % aller Malware-Dateien werden per E-Mail übermittelt), Ransomware, Phishing-Websites und so weiter – die Liste ließe sich endlos fortsetzen. Blocklists können das Risiko solcher Bedrohungen mindern, und sie können noch mehr.
E-Mails mit Malware-Anhängen können mit der Malware-Komponente der vorhin erwähnten Hash Blocklist blockiert werden. In dieser Liste sind die kryptografischen Hashes von Malware-Dateien aufgeführt. Das Rechercheteam von Spamhaus kann Malware-Dateien innerhalb von 20 Sekunden nach der ersten Beobachtung auflisten.
Domain Blocklists (DBL) enthalten Listen von Domains, die nicht nur mit dem Versand von Spam, sondern auch mit Phishing, Malware und Botnet Command-and-Controllers (C&Cs) in Verbindung gebracht werden.
Unsere eXploits Blocklist (XBL) führt nur IP-Adressen auf (ca. 13 Millionen), die Anzeichen für eine Beeinträchtigung zeigen, d. h. Rechner, die mit Malware, Würmern oder Trojanern infiziert sind oder von Dritten missbräuchlich genutzt werden, wie Open Proxies oder von Botnets kontrollierte Geräte.
Bestimmt haben Sie bemerkt, dass in der kompletten Aufzählung von Internet-Übeltätern das Wort „Spam“ nicht einmal genannt wurde. Wenn ein Rechner beeinträchtigt ist, ist es ziemlich wahrscheinlich, dass weitere kriminelle Aktivitäten folgen werden, z. B. der Versand von E-Mails mit Malware-Anhängen an alle im Adressbuch gespeicherten Kontakte oder das Herunterladen von Anmelde- und Finanzdaten.
Wir könnten die Liste immer weiter fortsetzen, doch unser Argument, dass Blocklists weitaus mehr als nur Spam filtern, ist vermutlich bei Ihnen angekommen!
Der Glaube, dass Blocklists nur reaktiv sind, d. h. dass eine IP, Domain oder ein Hash erst dann in die Liste aufgenommen wird, wenn bösartiges Verhalten beobachtet wurde, ist ein Irrglaube.
Spamhaus wendet enorm viel Zeit dafür auf, Internetumgebungen und -ressourcen zu untersuchen. Unsere Spezialisten achten permanent auf Anzeichen, die darauf hinweisen, dass eine Domain kurz davor steht, sich an bösartigen Aktivitäten zu beteiligen. Hier sind einige Beispiele für vorausschauende Blocklists:
Wenn wir einen gekaperten IP-Adressbereich beobachten, bedeutet das (fast) immer, dass bösartige Aktivitäten im Zusammenhang mit diesem Bereich folgen werden. Daher listen wir den entsprechenden IP-Bereich auf, um so verbreitete potenzielle Angriffsvektoren zu blockieren.
Spamhaus erhält Domain-Listen, sobald Domains registriert wurden, und wir untersuchen sie dann vorausschauend. Anhand dieser Analysen bewerten unsere Spezialisten die Domain-Reputation und schätzen ein, wie wahrscheinlich es ist, dass sie in bösartiger Absicht genutzt wird. Solche Domains werden dann gelistet, bevor sie live gehen.
Unsere Zero Reputation Blocklist (ZRD) listet alle neu registrierten Domains 24 Stunden lang auf. Wenn eine neue Domain zum ersten Mal registriert wird, ist es unwahrscheinlich, dass direkt E-Mails von ihr versandt werden – es sei denn, sie wird von Angreifern genutzt, die Hunderte und Tausende von Domains registrieren und „verbrennen“.
Die von Spamhaus unterstützte Policy Blocklist (PBL) versetzt Internet-Serviceprovider (ISP) in die Lage, Bereiche von IP-Adressen zu listen, die keinesfalls E-Mails direkt an das Internet senden sollten. Dies ist eine rein vorausschauende Blocklist.
Spamhaus hat eine geringe Latenz, das heißt, wenn Angriffe auftreten, erscheint die IP, die Domain oder der Hash innerhalb von weniger als 20 Sekunden in der Liste. Bei großen, besonders üblen Kampagnen können unsere Daten die Nutzer, die direkt zu Beginn Opfer des Angriffs werden, möglicherweise nicht schützen. Vor Hailstorm-Kampagnen, die bis zu fünf Minuten lang dauern, werden allerdings 90 % der Betroffenen geschützt.
Das ist in mehrerer Hinsicht nicht zutreffend. Wenn Sie unseren Text bis hier verfolgt haben, haben Sie schon gemerkt, dass keine Blocklist wie die andere ist. Jede hat eigene Listenrichtlinien, d. h. eigene Kriterien, anhand derer entschieden wird, ob ein Objekt gelistet werden sollte oder nicht. Auch die Organisationen, welche die Blocklists recherchieren und zusammenstellen, sind nicht immer die gleichen. Auch wenn es relativ einfach ist, eine Blocklist zu starten, ist es schwierig (aber unverzichtbar!), sie konsequent zu pflegen.
Da jede Blocklist einen anderen Fokus hat, müssen sie in der richtigen Phase des E-Mail-Vorgangs angewendet werden. Würde die PBL beispielsweise für die Header-Syntaxanalyse angewendet, wäre die Katastrophe vorprogrammiert. Befolgen Sie unsere Best Practices, um sicherzustellen, dass Sie unsere Blocklists richtig implementieren.
Vergewissern Sie sich, dass Sie die Funktionalität jeder Blocklist verstehen, die Sie einsetzen. Spamhaus hat beispielsweise einen sogenannten „Abused legit“-Abschnitt in der DBL. Hier werden gehackte legitime Ressourcen aufgeführt. Sie können wählen, ob Sie die Abfrage-Ergebnisse aus diesem Teil der DBL ignorieren oder beachten möchten. Allerdings müssen Sie wissen, dass dies möglicherweise Ihr Risiko für falsch positive Ergebnisse erhöht. Sie müssen die Risikobereitschaft Ihres Unternehmens gegen die betrieblichen Probleme, die mit einer höheren Anzahl falsch positiver Ergebnisse verbunden sind, sorgfältig abwägen.
In Bezug auf Blocklists müssen Provider unbedingt konsequent handeln. Bei jeder Listung müssen kontinuierlich tagein, tagaus die jeweiligen Richtlinien beachtet werden, was nicht immer leicht ist.
Das ist falsch! Angenommen, Sie verwenden Blocklists nur während der SMTP-Transaktion. In diesem Fall versäumen Sie die Gelegenheit, viele Elemente wie URLs, Reply-To-E-Mail-Adressen, als Anhänge versendete Dateien und so weiter anhand der Reputationsdaten zu überprüfen.
Zwar werden tatsächlich 95 % der Spam-Mails in der SMTP-Phase blockiert – doch ein kleiner Teil an Nachrichten mit Bedrohungen könnte trotzdem durch das Netz schlüpfen.
Nein! Wenn Sie Blocklists nur während der Inhaltsanalyse anwenden, vergeben Sie die Chance, den überwältigenden Großteil (denken Sie an die o. g. 95 %) der unerwünschten Mails direkt beim Aufbau der IP-Verbindung und während der SMTP-Transaktion noch vor der Übermittlung von Daten zu stoppen.
Wenn Sie bösartige E-Mails stoppen, bevor sie die kostspielige Inhaltsfilterphase erreichen, können Sie Bandbreite und Speicherplatz sparen, die Anzahl offener Verbindungen erheblich verringern und von niedrigeren Anforderungen an Arbeitsspeicher und CPU-Leistung profitieren.
Auf gar keinen Fall! Wie schon erwähnt listet Spamhaus eine Reihe von Domains bereits auf, bevor sie überhaupt live gehen. Daher bietet die Abfrage der DBL und ZRD in den jeweiligen Phasen der SMTP-Transaktion einen zusätzlichen vorausschauenden Schutz.
Mit welchem Mythos sollen wir noch aufräumen?
Für heute haben wir genug Mythen entkräftet. Wenn Sie noch andere Mythen im Zusammenhang mit Blocklists und Spamhaus kennen, schreiben Sie uns per Twitter oder LinkedIn – wir freuen uns schon darauf, noch mehr Fabeln zu entlarven.
Uns gibt es jetzt ein Tool, mit dem Sie testen können, ob Sie Ihre E-Mail-Server richtig für die Blocklists von Spamhaus konfiguriert haben.
Hier sind 11 Tipps für Administratoren, die ihre eigene E-Mail-Infrastruktur verwalten.
Lernen Sie, wie E-Mail-Quellcode funktioniert, damit Sie die Informationen über IP-Adressen und Domain Threat Intelligence am richtigen Punkt in Ihrem E-Mail-Filter einsetzen.
