Blockiert?
Choose your preferred language
The website will be displayed in the language you select
Unsere Lösungen
IT- und Sicherheitsteams haben es ständig mit vielen geschäftlichen Herausforderungen zu tun. Erfahren Sie, wie unsere Lösungen Ihnen helfen können, einige dieser Herausforderungen zu meistern.
E-Mail-Schutz
Unsere Blocklists schaffen Abhilfe sowohl bei Verarbeitungsproblemen als auch bei per E-Mail verbreiteten Bedrohungen. Sie können sie problemlos in Ihr bestehendes E-Mail-System integrieren, um Ihre Anti-Spam- und Anti-Virus-E-Mail-Filter zu verbessern.
Untersuchen
Nutzen Sie unsere Threat Intelligence, um die Transparenz bei Sicherheitsereignissen zu erhöhen, potenzielle Schwachstellen in Ihrem Netzwerk offenzulegen und Bedrohungen für Ihre Marke zu erkennen.
Netzwerkschutz
Bleiben Sie den aktuellen Bedrohungen einen Schritt voraus und nutzen Sie unsere Lösungen, um Botnet-Infektionen und andere Arten von Missbrauch vorausschauend zu bekämpfen.
Nutzerschutz
Vom Klick auf Phishing-E-Mails bis zum Aufruf von Malware Dropper Sites bietet unsere Threat Intelligence automatischen Schutz für Ihre Nutzer.
Unsere Produkte
Unsere Produkte sind eine weitere Sicherheitsebene für Netzwerke und E-Mail. Außerdem liefern sie Sicherheitsteams zusätzliche Einblicke in bösartiges Verhalten.
Border Gateway Protocol (BGP)
Blockieren Sie die schlimmsten Cyberbedrohungen mit Ihren vorhandenen BGP-fähigen Routern bereits am Network Edge. Die Konfiguration dauert nur wenige Minuten.
Data Query Service (DQS)
Nutzen Sie branchenführende Echtzeit-Blocklists. Diese DNSBLs lassen sich einfach in Ihre bestehende E-Mail-Infrastruktur einbinden, um Spam und andere per E-Mail verbreitete Bedrohungen zu blockieren.
Passive DNS
Ein leistungsstarkes Recherche-Tool, um Beziehungen zwischen Internetinfrastrukturen zu untersuchen. Wenden Sie sich schnell neuen besorgniserregenden Bereichen zu, um potenzielle Bedrohungen direkt zu untersuchen.
DNS Firewall
Blockieren Sie Verbindungen zu gefährlichen Websites sofort, einschließlich Phishing- und Malware Dropper Websites. Eine Lösung, die Sie nur einmal einrichten müssen und dann sich selbst überlassen können.
Spamhaus Intelligence API
Dank der Threat-Intelligence-Daten im API-Format können Nutzer zu den Threats gehörende Metadaten ganz einfach in ihre eigenen Anwendungen, Programme und Produkte integrieren.
Unsere Datensätze
Eine große Bandbreite von Datensätzen, die mehrere Schutzebenen bilden. Sie können direkt in Ihre vorhandene Hardware integriert werden und sind damit eine erschwingliche Wahl.
Border Gateway Protocol (BGP) Feeds
Sie können unsere „Do not route or Peer” (DROP)- und Botnet Controller List (BCL)-Feeds in Ihren vorhandenen BGP-fähigen Router einbinden.
Content-Blocklists
Mit Domain (DBL), Zero Reputation (ZRD) und Hash Blocklists (HBL) können Sie Inhalte in E-Mails blockieren und eine höhere Quote an per E-Mail verbreiteten Bedrohungen herausfiltern.
Daten für Untersuchungen
Passive DNS und verbesserte Datensätze liefern Ihnen zusätzliche Informationen über Internetressourcen. Sie bieten fundierte Einblicke in Zwischenfälle und mögliche Bedrohungen.
DNS Firewall Threat Feeds
Ein breites Spektrum an Feeds, die Sie auf Ihren rekursiven DNS-Server anwenden können. Wählen Sie das Schutzniveau, das am besten zu Ihrem Unternehmen passt.
IP-Blocklists
Mit den Spam (SBL), Policy (PBL), Exploits (XBL) und Auth (AuthBL) Blocklists können Sie E-Mails von IP-Adressen filtern, die mit Spam, Botnets und anderen Bedrohungen in Verbindung gebracht werden.
Über uns
Erfahren Sie mehr über unser Unternehmen.
Über Uns
Erfahren Sie mehr über Spamhaus, wer wir sind und was wir tun.
Partner
Finden Sie heraus, mit wem wir zusammenarbeiten und wie Sie selbst Spamhaus-Partner werden können.
Ressourcen
Resource Center
Entdecken Sie vielfältige Blog-Posts, Fallbeispiele und Berichte.
Fragen und Antworten
Häufig gestellte Fragen über die Produkte und Prozesse von Spamhaus.
Der Blocklist Tester
Ein benutzerfreundliches Tool, mit dem Sie sich vergewissern können, ob Sie Ihr E-Mail-System richtig für die DNSBLs von Spamhaus konfiguriert haben.
Das Reputationsportal
Ein Werkzeug, mit dem ASN-Inhaber Einblick in die Reputation ihrer IP-Adressen erhalten und Einträge proaktiv steuern können.
Hilfe für Nutzer von Public Mirrors von Spamhaus
Nutzen Sie die kostenlosen Public Mirrors von Spamhaus? Das sollte helfen.
Technische Dokumente
Eingehende Informationen über technischen Details und die Implementierung unserer Produkte.
Für Entwickler
Teilen
Wenn ein Endnutzer eine E-Mail sieht, ist nicht immer direkt ersichtlich, ob sie bösartig ist oder nicht. Wenn Sie sich jedoch den Quellcode der E-Mail genauer ansehen, finden Sie eine Fülle an relevanten Informationen. Indem Sie bestimmte DNSBLs (Blocklists) auf ein bestimmtes Element dieses Quellcodes anwenden, können Sie E-Mails sehr wirksam filtern. Doch bevor wir über Blocklists sprechen, müssen Sie erst wissen, wie eine E-Mail aufgebaut ist...
Wir möchten einmal aufzeigen, welche Unterschiede zwischen dem bestehen, was ein Endnutzer bei einer bösartigen E-Mail sieht und den tatsächlich im Quellcode enthaltenen Daten. Sehen Sie sich zunächst einmal diese E-Mail an:
Oben sehen Sie ein typisches Beispiel dafür, wie eine Spam-E-Mail von der Client-Software eines Endnutzers (z. B. Apple Mail oder Outlook) angezeigt wird.
Bei der Darstellung der E-Mail bringen einige Elemente des E-Mail-Inhalts vielleicht schon die Alarmglocken zum Läuten, z. B. ein HTML-Link, eine Bitcoin-Adresse und ein Anhang. Leider wirken diese Elemente auf einen unbedarften Nutzer vielleicht völlig harmlos.
Und genau darauf zählen Cyberkriminelle. Sie machen sich zunutze, wie eine E-Mail dem durchschnittlichen Nutzer erscheint, und verbergen Elemente, die auf den gefährlichen Charakter der E-Mail hindeuten könnten.
Um zu sehen, was eine E-Mail wirklich beinhaltet, müssen wir sie „auspacken“ und uns den Quellcode oder Rohcode, den E-Mail-Header und den E-Mail-Inhalt ansehen.
Ein Beispiel für E-Mail-Quellcode
Machen Sie sich darauf gefasst, dass der E-Mail-Quellcode eine Menge an Informationen enthält. Wir werden jedoch alles eingehend erklären, hoffentlich ohne Sie zu Tode zu langweilen.
Unten sehen Sie die gleiche E-Mail wie oben, dieses Mal allerdings in „Rohformat“. Sie sehen, welche Informationen von Internetservern gesehen und aufgezeichnet werden, wenn diese E-Mails versenden und zustellen.
Stellen Sie sich die Empfangskette wie eine Papierspur aller Server vor, über die Ihre E-Mail abgewickelt wurde, einschließlich Ihres eigenen Mail-Servers. Die jüngste Verbindung („final connection/most recent“) ist ganz oben angegeben, darunter folgen in umgekehrter Reihenfolge die voraufgehenden Verbindungen. Ganz unten ist die älteste Verbindung („origin computer/oldest“) angegeben.
Diese Elemente sind wichtig, denn sie enthalten alle IP-Adressen der E-Mail-Server, über die Ihre E-Mail abgewickelt wurde, und Informationen wie den HELO-String und die inverse DNS (rDNS[1]) der IP-Adressen.
„HELO“ ist ein vorgeschriebenes Element bei einer SMTP-Transaktion (Simple Mail Transfer Protocol). Diese Sequenz ist ähnlich wie die Begrüßung zwischen zwei Briefträgern, die Post austauschen: „Hallo, ich bin die Christel von der Post, ich habe einen Brief für jemanden auf deiner Tour.“
Lassen Sie uns die Empfangskette unseres E-Mail-Beispiels einmal genauer ansehen. Beginnen wir oben und arbeiten wir uns dann weiter nach unten vor:
Dies ist die jüngste und vertrauenswürdigste „Received“-Zeile, da der Mail-Server des Empfängers sie registriert hat, und daher ist sie garantiert nicht manipuliert worden.
Um Anti-Spam-Systeme zu verwirren, versuchen Betrüger zuweilen, die Empfangszeilenkette zu verschlüsseln. Daher sollten Sie die daran anschließenden Empfangszeilen besonders misstrauisch unter die Lupe nehmen.
Die wichtigsten Elemente in Zeile C sind:
Erklärung: Der Mail-Server des Absenders „mta-out.someisp.example” (#3) baut eine Verbindung zum Mail-Server des Empfängers „mx.email.example“ auf und kündigt sich per HELO mit der IP „192.0.4.1″ (#1) und dem rDNS „mta-out.someisp.example” (#2) an. Dies ist die letzte Verbindung – wenn sie akzeptiert wird (in diesem Fall ja), wird die an <[email protected]> adressierte E-Mail zugestellt.
Empfangskette B:
Hier bestätigt „smtp.someisp.example“ den Eingang der Nachricht für die E-Mail-Zieladresse <[email protected]>.
Erklärung: Der Mail-Server „smtp.someisp.example” baut eine Verbindung zum Ausgangs-Mail-Server (Postfix) „mta-out.someisp.example” für diesen ISP auf und „sagt“ dem Ausgangs-Mail-Server, dass er Post für <[email protected]> hat.
Empfangskette A – die ursprüngliche Transaktion
Diese Zeile stellt die ursprüngliche E-Mail-Transaktion dar, welche die E-Mail generiert hat. Da dies die erste Transaktion war, ist das relevante Detail hier die Connecting IP, also die Verbindung aufbauende IP-Adresse.
Die wichtigsten Elemente in Zeile A sind:
Erklärung: Der lokale Ursprungsrechner „192.168.1.2“ baut eine ausgehende Verbindung zu „smtp.someisp.example“ auf und kündigt sich selbst als „192.0.2.1“ an. Bei Zustandekommen der Verbindung versucht der Server „smtp.someisp.example“ vergeblich, das rDNS der die Verbindung aufbauenden IP-Adresse „192.0.2.1″ (#5) abzufragen. Das Ergebnis ist „unknown“.
Der „Return-Path“ wird häufig auch als „Envelope-From“ oder „Mail-From“ bezeichnet. Dies ist die echte E-Mail-Adresse, welche die E-Mail auf den Weg gebracht hat.
Wenn wir beim Beispiel der guten alten Schneckenpost bleiben, entspricht „Return-Path“ dem lokalen Poststempel, d. h. er ist ein genauer Indikator für den Ursprung des Briefes. Wenn Sie den Inhalt des Briefes lesen, können Sie den Poststempel auf dem Briefumschlag nicht sehen.
Im Falle einer E-Mail können Sie die echte E-Mail-Adresse des Absenders in der visuellen Darstellung der Mail (Abbildung 1) nicht sehen.
Wenn Sie in einer E-Mail auf „Antworten“ klicken, sagt dieses Feld Ihrer E-Mail-Client-Software, welche E-Mail-Adresse in das „To“-Feld eingetragen werden soll. Normalerweise sind bei legitimen E-Mails die „Reply to“ und „From“-Adressen der ursprünglichen E-Mails gleichlautend.
In unserem Beispiel ist der offensichtliche Absender der E-Mail „[email protected]“, wenn Sie jedoch auf diese E-Mail antworten, erscheint „[email protected]“ im Empfängerfeld… und die Angreifer hoffen, dass Sie das nicht bemerken.
Diese Adresse wird auch als „Friendly-From“-Adresse bezeichnet. Diese Absender-Adresse ist mit der Unterschrift unter einem Brief, der Ihnen per Post zugesendet wird, zu vergleichen – d. h. jeder kann diesen Brief unterschreiben.
In unserem Beispiel ist „Return-Path/Envelope-From“ (#1) eine andere Adresse als „Sender-Address (From)“ (#7), d. h. die „Friendly-From“-Adresse. Der „Friendly-From“-Name, der für einen Endnutzer sichtbar ist, ist der Name, unter dem der Absender dem Empfänger erscheinen möchte. In der Regel enthält er den Namen und die E-Mail-Adresse des Absenders.
Warum verwenden Betrüger unterschiedliche „Return-Path“- und „Friendly-From“-E-Mail-Adressen?
Ganz einfach – um die Leute aufs Glatteis zu führen! Angreifer wollen, dass der Empfänger der E-Mail denkt, diese stamme von jemandem, der glaubhaft, wichtig oder dem Empfänger bekannt ist. Sie versuchen, Legitimität und Glaubwürdigkeit vorzutäuschen.
Denken Sie daran! In den meisten Fällen zeigt die E-Mail-Client-Software nur die „Friendly-From“-Adresse. Das ist so, als würden Sie einen Brief öffnen und den Umschlag wegwerfen, bevor Sie ihn jemandem zu lesen geben. Der Leser sieht nur den Text auf dem eigentlichen Briefbogen.
Für den Endnutzer ist die Website-Adresse (URL) in der E-Mail, die er sich ansieht, nicht sichtbar. Der Grund dafür ist, dass der Absender die URL hinter einem Hyperlink verborgen hat, der mit „Hier klicken“ verbunden ist. Die tatsächliche Website-URL lautet „www.worldlotterywinner.example“.
Um zu sehen, wohin ein Link Sie führen wird, fahren Sie mit der Maus über den Link; dann werden die URL-Details angezeigt. In vielen Fällen führen in bösartigen E-Mails enthaltene URLs Sie zu einem „spamvertised“-Produkt (Massenwerbung), einer Phishing-Website, etwas Anstößigem oder einer Malware Dropper Site.
Eine Bitcoin Wallet ist eine Kryptoadresse, die von Cyberkriminellen kontrolliert wird und häufig als Zahlungsweg für Sextortion-Spam-Kampagnen verwendet wird. Dabei handelt es sich um Kampagnen, in denen der Angreifer behauptet, Aufnahmen davon zu besitzen, wie das Opfer sich „privaten Vergnügungen widmet“. Der Cyberkriminelle droht, die Aufnahmen an die Arbeitsstelle, die Familie und Freunde weiterzuleiten, sofern er nicht über die Bitcoin-Wallet eine Zahlung erhält.
Es gibt viele Variationen zu diesem Thema, die auf die Angst der Menschen setzen und dem einzigen Zweck dienen, Geld zu erpressen.
In diesem Beispiel ist der Anhang ein Dokument namens „Further instructions.doc“. Höchstwahrscheinlich ist dieser Anhang jedoch auf die eine oder andere Art verseucht. Das heißt, wenn Sie das Dokument herunterladen und öffnen, wird Ihr Computer mit Malware infiziert. Der Cyberkriminelle kann dann Ihren Computer für jeden beliebigen Zweck nutzen, beispielsweise, um noch mehr Spam zu versenden, Ihre personenbezogenen Daten oder Passwörter abzuschöpfen oder Ihren Computer für einen Distributed denial-of-service (DDoS)-Angriff zu nutzen.
Herzlichen Glückwunsch – Sie haben bis zum Ende durchgehalten! Wir hoffen, dass diese eingehende Erklärung zum E-Mail-Quellcode etwas zum besseren Verständnis beitragen konnte.
Bei all den E-Mail-Elementen, die man überprüfen muss, kann es schon verwirrend sein, welche Blocklist an welchem Punkt des E-Mail-Filterprozesses genutzt werden sollte. Lesen Sie einfach diesen Artikel, um herauszufinden, welche Blocklists von Spamhaus Sie wo einsetzen sollten, um Ihre Erkennungsraten zu maximieren.
Der Datenabfragedienst Data Query Service (DQS) von Spamhaus ist eine erschwingliche, wirksame Lösung, mit der Sie Ihre E-Mail-Infrastruktur und Ihre Nutzer wirksam schützen können.
Unter Verwendung Ihres vorhandenen E-Mail-Schutzes können Sie Spam und damit zusammenhängende Threats einschließlich Malware, Ransomware und Phishing-E-Mails blockieren.
Auf diesen Dienst ist hundertprozentig Verlass, denn er setzt auf praxisbewährte DNSBLs.
Es gibt verschiedene Mythen, die im Zusammenhang mit Domain Name System Blocklists (DNSBLs) immer wieder verbreitet werden. Höchste Zeit, damit aufzuräumen und im Klartext über Blocklists zu reden.
Blocklists bieten zahlreiche Vorteile, von der Senkung der Infrastrukturkosten über die Einsparung von Mitarbeiterstunden bis hin zur Verbesserung der Erkennungsraten. Um jedoch das Meiste aus den DNSBLs zu machen, kommt es darauf an, sie jeweils am richtigen Punkt Ihres E-Mail-Filters einsetzen.
Der deutsche E-Mail-Provider freenet nahm sein Spam-Management selbst in die Hand, um die Transparenz, die Kontrolle und letztlich auch den Schutz mit den IP-Blocklists von Spamhaus zu erhöhen.