„E-Mail-Bomben“ und Zustellbarkeit – ein aktuelles Beispiel

E-Mail-Bomben sind eine Form von Spam. Kriminelle versuchen hierbei, Postfächer oder ganze Mailserver mit unzähligen Nachrichten so zu bombardieren, dass diese nicht mehr nutzbar bzw. erreichbar sind. Derzeit läuft ein solcher Angriff. Marketer müssen hiervon wissen, da die Gegenmaßnahmen teils auch legitime Newsletter betreffen können. Stichwort „Blacklisting“. Und das nur, weil sich bis heute kein wasserdichtes Double-Opt-in im Web durchgesetzt hat.


…

 

 

 

 

 

 

Bild 1: Nervig: Internet Abuse in Form von sogenannten Email Bombings, bei denen die Postfächer mit zig Mails pro Minute so geflutet werden, dass diese nicht mehr nutzbar sind.

Bei Mini Cooper werden sich die E-Mail-Marketing-Verantwortlichen ungern an den Start ins Jahr 2013 erinnern. Damals stellte man wegen eines technischen Fehlers den Newsletter teils hundert- oder tausendfach an die Empfänger zu. Deren Verärgerung entlud sich natürlich in zahlreichen wütenden Abmeldungen. Nun ließ wenigstens die Entschuldigung nicht lange auf sich warten: Ein Sorry-Schreiben mit Schokolade und der Bitte, sich wieder anzumelden, dürfte einige Betroffene wieder versöhnlich mit Mini Cooper gestimmt haben.

Bei Kriminellen hingegen ist kaum zu erwarten, dass sie sich für eine absichtlich von ihnen verursachte Flut von Nachrichten entschuldigen. Im Gegenteil: Ist das Postfach verstopft oder der Server platt, dann wurde das Ziel erreicht. Auf diverse E-Mail-Adressen trifft dies derzeit zu. Auch auf eine von Sicherheitsexperte Brian Krebs, der in seinem aktuellen Blogbeitrag über den Schaden berichtet.

Bei einem List-Bombing-Angriff versuchen automatische Skripte, die E-Mail-Adressen der Zielpersonen innerhalb kürzester Zeit in unzählige Newsletter-Verteiler einzutragen. Die Betroffenen können sich dagegen kaum wehren. Nicht zuletzt, da immer noch nicht alle Versender auf das Double-Opt-in-Verfahren setzen, bei dem ein Abonnement zumindest noch aus dem Postfach heraus bestätigt werden muss.

Im Ergebnis ist das Postfach dann unbrauchbar. Vorübergehend, wenn sich der Betroffene abmeldet und keinen Bestätigungslink klickt (Double Opt-in). Oder eben dauerhaft, weil unzählige Newsletter-Abonnements bestehen bleiben (Single Opt-in): „Um ca. 09.00 Uhr am Samstag begann sich der KrebsOnSecurity-Posteingang mit neuen Newsletter-Abonnements zu füllen. Die E-Mails trafen mit einer Rate von etwa einer neuen Nachricht pro 2-3 Sekunden ein. Hätte ich die erste Seite der Anfragen mit Abmelden und Löschen bearbeitet, so gäbe es eine oder zwei weitere Seiten mit neuen Newsletter bezogenen E-Mails. Für die meiste Zeit des Wochenendes, bis ich die Dinge halbwegs unter Kontrolle hatte, war mein Gmail-Konto im Grunde nutzlos“, so Krebs (frei übersetzt).

 

Bild 2: Global eher selten: Newsletter-Anmeldeformular, das (1) mit einem CAPTCHA und …

Bild 3... (2) mit einem Double-Opt-in geschützt ist. Doch dies würde E-Mail-Bomben wirksam unterbinden.

Aus solchen Mailbomben ergeben sich weitere Probleme. Denn Spam ruft naturgemäß (und zum Glück) Antispam-Organisationen auf den Plan. Allen voran Spamhaus samt ihrer vielfach genutzten Blacklists. So dauerte es nicht lange, bis auch namhafte Email Service Provider gelistet wurden, da wohl einige Empfängerlisten professioneller Versender für das Email Bombing missbraucht wurden.

Das Blog WordToTheWise spekulierte am Montag noch über die Blacklistings. Kurz darauf klärte Steve Linford, CEO von Spamhaus, die Vorgänge auf (frei übersetzt): Die meisten der Listen, die von dem Angriff betroffen waren, verwendeten Double-Opt-in, verschickten daher nur eine Bestätigungs-Anfrage und abonnierten keine Adressen. Der Angriff traf auch Listen, die CAPTCHAs zusätzlich zum Double-Opt-in verwendeten und somit nicht einmal zum Double-Opt-in kamen (den Verantwortlichen dieser Listen gebührt eine Art von Community-Hi-5-Award, da man sich vorstellen kann, wie schwer es ist, ein Management davon zu überzeugen, Double-Opt-in zu implementieren, geschweige denn noch ein CAPTCHA davor zu setzen). Das Problem sind die schlecht geführten „offenen“ Listen, die gerne jede Adresse ohne Überprüfung der Einwilligung hinzufügen und die nun weiterhin am List-Bombing der Regierungs-Adressen partizipieren. Diese versuchen wir mit SBL Blacklistings zu erreichen, um die Versender zur Problemlösung aufzufordern.“

Die Moral von der Geschichte: Nutzt Double-Opt-in, und zwar ausschließlich. Um eine Einwilligung beweisen zu können. Aber eben auch, um das Web sicherer zu machen. Idealerweise gehören weitere Vorkehrungen getroffen, damit auch Spam durch unbestellte Bestätigungsanfragen unterbunden wird. Ob dies ein CAPTCHA leisten muss, sei dahingestellt. Wenigstens aber sollte die Anzahl der möglichen Anmeldeversuche pro Zeitspanne limitiert werden. Andernfalls kann es sein, dass man sich auf einer Spamhaus-Blacklist wiederfindet. Und dann ist die Zustellbarkeit in Gefahr – und vielleicht Panhas am Christbaum.