Joe-Job
AlsJoe-Job bezeichnet manE-Mails mit gefälschtemAbsender, die auf einePerson oderInstitution verweisen, die damit diskreditiert werden soll. Häufig handelt es sich dabei um so genanntenSpam, aber ebenso effektiv sind Hetzschriften mitrassistischem oderbeleidigendem Inhalt.
Namensgebend warJoe Doll. Der Amerikaner wurde im März 1997 als einer der ersten Opfer einer derartigen Rufschädigungskampagne. Die Vorgeschichte war, dass ein Nutzer seines Dienstes einen mail-forward auf joes.com für das Versenden von Spam verwendet hatte. Daraufhin wurde der forward gesperrt. Aus Ärger verschickte er jedoch Spam mit dem Absender von Joe Doll. Aufgrund des Angriffs warJoe’s Cyberpost für zehn Tage nicht erreichbar.
Funktionsweise
[Bearbeiten |Quelltext bearbeiten]E-Mails werden mit demSMTP-Protokoll übertragen, bei dem alle Informationen wieAbsender,Betreff und Rückantwortadresse im Header stehen. Diese Angaben werden nicht überprüft, die Entwickler waren von einem kooperativen Umfeld ausgegangen und haben keinerlei Sicherheitsmechanismen eingebaut. Jegliche Angabe von falschen Daten wird deshalb alsE-Mail-Spoofing bezeichnet.
Wird die Absenderadresse einer Massensendung mit einer gültigenE-Mail-Adresse versehen, werden diverse – an sich sehr sinnvolle – Schutzmechanismen des E-Mail-Systems zu einer Bedrohung des Besitzers der E-Mail-Adresse. So schickenMailserver meist eine Antwortmail (Bounce Message), wenn der Empfänger unbekannt ist oder seineMailbox voll ist. Die Flut der Antwortmails kann dieInternetverbindung des Betroffenen schwer belasten und die Mailbox überfluten, so dass wichtige E-Mails übersehen, aus Versehen auch gelöscht oder wegen Überfüllung der Mailbox abgewiesen werden. Diese Probleme haben sich jedoch mitBreitband-Anschlüssen und großen Postfächern mit Speicherkapazitäten im Gigabyte-Bereich etwas entschärft.
Des Weiteren erkennenSpam-Abwehrsysteme die Flut von E-Mails als Spam, und so kann es passieren, dass die E-Mail-Adresse und/oder dieDomain alsSpamquelle eingestuft werden. Da Joe-Jobs inzwischen recht häufig geworden sind, wird dies jedoch oftmals nicht mehr getan.
Eine dritte wichtige Auswirkung ist der Faktor Mensch: Die meisten Computeranwender sind sich der Tatsache nicht bewusst, dass der Absender, der in einer E-Mail eingetragen ist, durch beliebige Einträge ersetzt werden kann. Es kommt zu einer Flut von wütenden Reaktionen, was sowohl die Absender als auch den Empfänger der Antworten Zeit kosten. Zudem kann der Spamfilter des Empfängers diese sinnlosen persönlichen E-Mails nicht als Spam filtern.
Hinzu kommen im Ausnahmefall Racheaktionen,Strafanzeigen undAbmahnungen. So können zum Beispiel Werbe-E-Mailsunlauteren Wettbewerb darstellen und vonKonkurrenten abgemahnt werden. Hetzschriften können geltende Gesetze verletzen, der Urheber macht sich strafbar und der fälschlich als Absender Eingetragene sieht sich schnell mit einer Anzeige konfrontiert. Mittlerweile ist die Kenntnis über derartige Mechanismen bis in die deutschen Gerichte vorgedrungen, so dass mit einer Verurteilung nicht gerechnet werden muss. Es bleibt der Ärger und Aufwand, derartige Dinge abzuwehren.
Beim Fax-Joejob verhält es sich ähnlich, es werden Faxe mit der Werbung eines gefälschten Absenders anonym verschickt. Der scheinbar per Telefax Werbende wird von wütenden Empfängern angerufen, abgemahnt und angezeigt. Jedes Telefax kann anonym verschickt werden, so dass der Urheber nur mittelsFangschaltung bzw. dem heute üblichen vermittlungstechnischen LeistungsmerkmalMalicious Call Identification (MCID) zu ermitteln ist.
Verwandte Attacken
[Bearbeiten |Quelltext bearbeiten]Der Joe-Job hat definitionsgemäß eine Rache-Komponente, anders ausgedrückt: Er wird gezielt eingesetzt, um jemanden zu ärgern. Die gleiche Technik wird jedoch auch vonSpammern genutzt, um einfach ihre Identität zu verbergen. Die falsche Adresse dient in erster Linie dazu, nicht selbst Opfer der vielen Rückläufer zu werden. Dazu könnte man allerdings beliebige Phantasieabsender eintragen, was auch gemacht wird. Nachdem jedochSpamfilter anfingen, Absenderadressen verschiedenen Tests wie korrekterSyntax oder Existenz derDomain zu unterziehen, mussten die Spammer gültige Adressen eintragen. Dazu verwenden sie einfach gültige Adressen aus ihren Listen.
Diese Form des Absender-Spoofings ist weitaus häufiger und wird ebenfalls oft als Joe-Job bezeichnet.
Gegenmaßnahmen
[Bearbeiten |Quelltext bearbeiten]Administratoren können ihre Mailserver mit einemSpamfilter versehen, der Spam-E-Mails aussortiert und löscht, bevor die automatisierte Antwort über einen nicht existierenden Account oder eine volle Mailbox erzeugt wird. Spamfilter sind jedoch oft mit einem Rest an Fehlern behaftet, sowohlfalsch negativer Art (durchgelassenem Spam), als auchfalsch positiver, also aussortiertem nicht-Spam, was für den Nutzer problematisch sein kann.
Ein Mailserver kann perDNS einenSPF-Record publizieren, der festlegt, von welchenIP-Adressen legitime Mails seiner Domain stammen dürfen. Ist ein empfangender Mailserver so konfiguriert, dass er SPF-Records prüft, kann er anhand dieser Information Mails mitgefälschten Absenderadressen verwerfen.
Eine Möglichkeit, derartige Angriffe abzuwehren, ist die Verwendung von Forwards. Das sind E-Mail-Adressen, die auf andere Adressen weiterleiten. Erfolgt ein Angriff auf einen Forward, wird er deaktiviert und durch einen neuen ersetzt. Nachteil ist allerdings, dass alle Bekannten, die den alten Forward kennen, nun benachrichtigt werden müssen und ihr Adressbuch ändern müssen.
Viele Verfahren zurAbsenderauthentifizierung, insbesondere durch den Einsatz vonKryptographie, aber auch der Einsatz vonWhitelists sind effektiv gegen Joe-Jobs. Jedoch sind sie recht aufwändig und vielfach nicht für eine private E-Mail geeignet.