Vor kurzem erhielt ich eine scheinbar harmlose E-Mail von einem Autohändler in Esslingen. Der Inhalt war lediglich eine automatische Eingangsbestätigung für eine Anfrage. Das Kuriose daran: Ich hatte weder eine Anfrage gestellt noch einen Bezug zu dem Vorgang.
In diesem Artikel beschreibe ich die Analyse der E-Mail-Header, die Identifikation eines sogenannten E-Mail-Sturms sowie die Maßnahmen, mit denen sich der Empfang weiterer Nachrichten dieser Mailingliste verhindern ließ. E-Mail-Stürme sind selten, aber wenn sie auftreten, können sie Postfächer fluten, Systeme belasten und im schlimmsten Fall produktive Arbeit lahmlegen.
Die initiale E-Mail
Beim Blick auf die E-Mail-Header fällt auf, dass die Nachricht nicht direkt vom Autohändler an mich sondern eine Mail-Gruppe gesendet wird. Eine genauere Analyse der Header über mxtoolbox.com zeigt jedoch schnell, dass die Nachricht technisch korrekt zugestellt wurde und keine Anzeichen für Phishing oder Schadsoftware enthält.
Obwohl die Mail inhaltlich keine Anzeichen schadhaften Zweckes hat und auch nicht nach klassischem Spam aussieht, sind dennoch alle klassischen Indikatoren einer Spam-Mail oder eines nicht-regelkonform konfigurierten Mail-Dienstes gegeben wie das folgende Bild zeigt.
Anhand der Received-Header lässt sich nachvollziehen, welchen Weg die E-Mail vom ursprünglichen Absender bis in mein Postfach genommen hat. In E-Mail-Analysen, wie vom Email Header Analyzer, wird häufig eine Tabelle erstellt, die jeden sogenannten Übergabepunkt (Hop) einer E-Mail auflistet. Die Analyse liefert neben der folgenden Tabelle auch noch Informationen zu Blacklist-Einträgen zu den jeweiligen Hops.
| Hop | From | By | With | Blacklist |
|---|---|---|---|---|
| 1 | FR6P281MB5377.DEUP281.PROD.OUTLOOK.COM fe80::6f04:856e:eed:e62 | FR6P281MB5377.DEUP281.PROD.OUTLOOK.COM fe80::6f04:856e:eed:e62 | mapi | OK |
| 2 | FR6P281MB5377.DEUP281.PROD.OUTLOOK.COM 2603:10a6:d10:1a7::12 | FR5P281MB5447.DEUP281.PROD.OUTLOOK.COM 2603:10a6:d10:1ae::18 | Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) | OK |
| 3 | mail-germanywestcentralazon11022108.outbound.protection.outlook.com 40.107.149.108 | mx-gate33-hz1 | OK | |
| 4 | mx-relay33-hz1-if1.hornetsecurity.com 94.100.128.43 | mx.google.com | ESMTPS | OK |
| 5 | 2002:a05:600c:63ca:b0:490:482f:65d8 | SMTP | ||
| 6 | mail-wm1-x347.google.com | SMTP | ||
| 7 | mail-wm1-x347.google.com 2a00:1450:4864:20::347 | smtpin.rzone.de | ESMTPS | OK |
In den Headern können wir weiterhin die Details zu der Mailing-Liste bzw. Google Gruppe finden.
| Header Name | Header Value |
|---|---|
| Precedence | list |
| Mailing-list | list 7b@gfx4mcd.com; contact 7b+owners@gfx4mcd.com |
| List-ID | <7b.gfx4mcd.com> |
| X-Spam-Checked-In-Group | 7b@gfx4mcd.com |
| X-Google-Group-Id | 3090089275 |
| List-Post | <https://groups.google.com/a/gfx4mcd.com/group/7b/post>, <mailto:7b@gfx4mcd.com> |
| List-Help | <https://support.google.com/a/gfx4mcd.com/bin/topic.py?topic=25838>, <mailto:7b+help@gfx4mcd.com> |
| List-Archive | <https://groups.google.com/a/gfx4mcd.com/group/7b/> |
| List-Unsubscribe | <mailto:googlegroups-manage+3090089275+unsubscribe@googlegroups.com>, <https://groups.google.com/a/gfx4mcd.com/group/7b/subscribe> |
Generell wirkt die Nachricht daher auf mich wie klassischer Spam:
- Eine Antwort auf eine Nachricht, die ich nie versendet habe.
- Empfänger- und Absenderadresse sowie
Reply-to-Adresse (Antwort an) passen nicht zum Inhalt. - Es wurde eine mir unbekannte Google Group bzw. Mailingliste mit der Adresse
7b@gfx4mcd.comverwendet.
Kurze Zeit später trafen weitere Nachrichten ein. Zahlreiche Empfänger antworteten auf die ursprüngliche E-Mail und fragten, warum sie diese Nachricht erhalten hatten oder baten darum, aus der Liste entfernt zu werden.
Damit begann ein klassischer E-Mail-Sturm.
Beschreibung eines E-Mail-Sturms
Ein E-Mail-Sturm (engl. Mail-Storm, Reply-Storm oder Reply-All-Storm) entsteht, wenn eine Nachricht an einen großen Verteiler oder eine Mailingliste versendet wird und zahlreiche Empfänger auf die E-Mail antworten. Dabei erfolgt die Antwort entweder über die konfigurierte Reply-To-Adresse oder durch die Mail-Funktion Allen antworten.
Jede Antwort wird anschließend erneut an alle Mitglieder des Verteilers zugestellt. Reagieren weitere Empfänger ebenfalls auf die Nachricht, entsteht innerhalb kurzer Zeit eine regelrechte Nachrichtenlawine. Aus einer einzelnen E-Mail können dadurch dutzende, hunderte oder sogar tausende weitere Nachrichten entstehen.
Ursachen und Symptome
In den meisten Fällen geschieht so ein Sturm unbeabsichtigt.
Häufige Ursachen sind:
- Versehentliches Antworten an alle Empfänger
- Fehlkonfigurierte Mailinglisten oder Verteiler
- Import alter oder ungepflegter Verteilerlisten
- Organisatorische Fehler bei der Nutzung von Verteilergruppen
- Absichtlicher Missbrauch zur Störung oder Belästigung
Typischerweise erkennt man einen laufenden E-Mail-Sturm an einer Vielzahl von Antworten mit nahezu identischem Inhalt.
Häufige Beispiele sind:
- „Bitte austragen“
- „Warum bekomme ich diese E-Mail?“
- „Hören Sie auf, mir E-Mails zu schicken“
Das eigentliche Problem besteht darin, dass jede dieser Antworten erneut an sämtliche Teilnehmer des Verteilers gesendet wird. Dadurch verstärken die Empfänger den Sturm unbeabsichtigt selbst.
Eskalation durch automatische Systeme
Besonders problematisch wird es, wenn neben menschlichen Empfängern auch automatisierte Systeme auf die Nachricht reagieren.
Dazu gehören beispielsweise:
- Automatische Abwesenheitsnotizen
- Ticketsysteme
- Monitoring- und Alarmierungssysteme
- Weitere Mailinglisten oder Verteiler
- Automatisierte Workflows und Benachrichtigungssysteme
Antworten solche Systeme ebenfalls an den Verteiler, kann sich die Anzahl der Nachrichten innerhalb kürzester Zeit vervielfachen. In ungünstigen Fällen entstehen dabei Endlosschleifen oder massive Mailfluten, die Postfächer, Mailserver und Helpdesks erheblich belasten können.
Je größer der Verteiler und je mehr automatisierte Systeme beteiligt sind, desto schneller kann sich ein einzelner Fehler zu einem großflächigen E-Mail-Sturm entwickeln.
Böswillig ausgelöste E-Mail-Stürme
Während die meisten E-Mail-Stürme unbeabsichtigt entstehen, können solche Situationen auch gezielt provoziert werden. In diesem Fall konnten wir klar davon ausgehen, dass es sich um absichtlichen Missbrauch handelt, da die E-Mail-Adresse von mir nur auf einer einzelnen Plattform verwendet wurde, welche vor längerer Zeit ein Datenleck hatte.
Ziel und Zweck dieser Maßnahme könnten sein:
- Gezielte Belästigung von Personen oder Organisationen durch Nachrichtenfluten.
- Störung des normalen E-Mail-Verkehrs und Überlastung von Systemen und Personen.
- Analyse der aktiv genutzten E-Mail-Adressen durch Überwachung, wer darauf reagiert.
Maßnahmen zur Vermeidung
Sobald das oben genannte Problem erkannt wurde, sollte man möglichst wenig zur weiteren Eskalation beitragen. Daher ist es oberstes Ziel nicht selbst auf „Allen antworten“ klicken.
Generell sind folgende Maßnahmen zielführend:
- Mailingliste blockieren
- Filterregeln erstellen
- Austragen
- Spam melden
- Administrator kontaktieren
Da es sich in diesem Fall um eine mutwillige Konfiguration der Liste handelt, ist es leider nicht hilfreich den Administrator zu kontaktieren oder Spam zu melden. Es bleibt daher nur der Weg sich manuell aus der Mailing-Liste auszutragen. Das Risiko, dass der Verursacher nun Kenntnis darüber hat, dass diese Mail-Adresse auch existiert, ist für mich tragbar in dem Fall.
Daher senden wir eine E-Mail an die Unsubscribe-Adresse aus dem Attribut List-Unsubscribe. Der Inhalt der Nachricht ist in der Regel egal, oft reicht sogar eine leere E-Mail.
googlegroups-manage+3090089275+unsubscribe@googlegroups.com