Direkt zum Inhalt
08.07.2011 - Fachbeitrag

Backscatter-Bounces: Ist BATV die Lösung?

BATV soll gegen unerwünschte Bounces von Backscatter-System helfen. Doch ist BATV eine Lösung ohne Risiken und Nebenwirkungen?

Es ist Pech und kommt plötzlich über einen herein: Aus aller Welt trudeln Bounce-Meldungen zu Spam- und Virenmails ein, die man selber gar nicht verschickt hat. Die Flut eingehender E-Mails kann grenzenlos sein: Große Spamwellen mit vielen Millionen E-Mails können auch Hunderttausende von Bounce-Rückläufern erzeugen, die in kürzester Zeit an den unschuldigen Absender zurückgesandt werden, dessen Domain oder Mailadresse mißbraucht wurde. Leider gibt es auch heute noch viele Systeme die eine Spam- und Virenprüfung nicht in Echtzeit durchführen und derartige Mails rejecten können. Ausreichend viele (zu viele) nehmen Mail-Müll nach wie vor an und Bouncen ihn dann an den gefakten Absender.

Als Gegenmittel ist eigentlich Bounce Address Tag Validation (BATV) erfunden wurden. Dieses System schreibt bei ausgehenden E-Mails den Envelope-Absender um und fügt eine kleine Markierung ein. Kommen nun reale E-Mail-Bounces zurück, so wird an dem Tag in der Zieladresse erkannt, daß es tatsächlich um eine E-Mail ging, die unser System einst verlassen hat. Spam-Bounces von Mails die aus anderen Quellen stammen und über Bullet-Proof-Server oder Botnetze der Spammer verschickt werden, besitzen diesen Bounce-Tag nicht und können  so erkannt und verworfen werden.

Im Prinzip funktioniert BATV, doch in der Praxis bereitet das System einige Schmerzen:

 


  • Postfix und andere MTAs können BATV nicht nativ, so daß eine weitere Software eingebunden werden muß. Das erhöht Komplexität, Abhängigkeit und damit die Fehlerquote. "Prinzipiell" funktioniert das jedoch.

  • Es muß sichergestellt sein, daß alle E-Mails mit der eigenen Domain als Absender wirklich stets BATV-codiert versandt werden. Das kann Probleme bei externen Dienstleistern (Buchungssystemen, Newslettern) geben, aber auch wenn Privatanwender in Foren schreiben, Artikel weiterleiten, Grußkarten versenden etc. etc. Die Idee, Mails mit dem eigene Absender können tatsächlich stets nur vom eigenen Mailserver kommen, ist weit verbreitet, aber falsch. Die dahinterstehenden Probleme haben wir ja bereits in unserem Vortrag zu SPF beleuchtet und treffen hier sehr vergleichbar zu.


  •  


Am Ende steigt durch die Einführung von BATV also das Risiko, daß Bounces von echten, erwünschten eigenen E-Mails in bestimmten Situationen ebenfalls verworfen werden und damit verloren gehen. An dieser Stelle wird die erwünschte Kommunikation zwischen echten Absendern/Empfängern riskiert, die über eine eventuelle Fehlzustellung Ihrer E-Mails nicht mehr informiert werden. Nicht zuletzt wirft sowas auch durchaus juristische Fragen auf, beispielsweise, ob ein irrtümliches Verwerfen derartiger erwünschter Bounces nicht ein Fall des §206 StGB, also der unbefugten Unterdrückung anvertrauter Nachrichten, darstellen könnte. Details dazu in unseren Vorträgen zu Rechtsfragen für Postmaster.

Bevor man also leichtfertig BATV einführt und die damit verbundenen Risiken und "Schmerzen" in Kauf nimmt, sollte also stets geprüft werden, ob es nicht ebenso wirksame andere Möglichkeiten gibt, die das Problem ebenfalls gut lösen und weniger/keine Nebenwirkungen und Risiken haben. -Und am Ende zu einfacheren und damit stabileren, sicheren und pflegbareren Systemen führen.

In fast allen Fällen ist man sehr, sehr selten Opfer einer solcher Backscatter-Bounces, das ganze entspricht dem 5er im Lotto.  Oft geht der Ansturm nach wenigen Tagen vorbei -- und dann beruht de rganze Wirbel auf einer konkreten E-Mail oder einer konkreten Versandaktion eines Spammers. Sprich: Da 90% der Bounces Teile der Orginal-E-Mail enthalten finden sich sehr einfach markante Text-Pattern und andere Merkmale, um diese Bounces gezielt über die body-/header_checks von Postfix herauszufiltern. Dazu schaut man sich drei/vier/fünf dieser Bounces an um das gemeinsame Merkmal zu finden. Anhand dessen kann dann sehr schnell und sehr einfach fast die komplette Rückläuferwelle geblockt werden -- und der Rest wird ausgesessen. Auch RBL-Listen von Spamhaus oder backscatterer.org helfen, die Mails fern zu halten.

Nur wer wirklich nicht nur im Einzelfall, sondern permanent Opfer dieser Backscatter-Bounces ist und nur wer bereit ist, deswegen auch Komplikationen, Risiken und andere Schmerzen mit in Kauf zu nehmen, sollte über eine BATV-Implementierung nachdenken, beispielsweise mit batv-proxy.pl von Ralph Babel.