Joe-Job

Als Joe-Job bezeichnet man E-Mails mit gefälschtem Absender, die auf eine Person oder Institution verweisen, die damit diskreditiert werden soll. Häufig handelt es sich dabei um so genannten Spam, aber ebenso effektiv sind Hetzschriften mit rassistischem oder beleidigendem Inhalt.

Namensgebend war Joe Doll. Der Amerikaner wurde im März 1997 als einer der ersten Opfer einer derartigen Rufschädigungskampagne. Die Vorgeschichte war, dass ein Nutzer seines Dienstes einen mail-forward auf joes.com für das Versenden von Spam verwendet hatte. Daraufhin wurde der forward gesperrt. Aus Ärger verschickte er jedoch Spam mit dem Absender von Joe Doll. Aufgrund des Angriffs war Joe’s Cyberpost für zehn Tage nicht erreichbar.

Funktionsweise

E-Mails werden mit dem SMTP-Protokoll übertragen, bei dem alle Informationen wie Absender, Betreff und Rückantwortadresse im Header stehen. Diese Angaben werden nicht überprüft, die Entwickler waren von einem kooperativen Umfeld ausgegangen und haben keinerlei Sicherheitsmechanismen eingebaut. Jegliche Angabe von falschen Daten wird deshalb als E-Mail-Spoofing bezeichnet.

Wird die Absenderadresse einer Massensendung mit einer gültigen E-Mail-Adresse versehen, werden diverse – an sich sehr sinnvolle – Schutzmechanismen des E-Mail-Systems zu einer Bedrohung des Besitzers der E-Mail-Adresse. So schicken Mailserver meist eine Antwortmail (Bounce Message), wenn der Empfänger unbekannt ist oder seine Mailbox voll ist. Die Flut der Antwortmails kann die Internetverbindung des Betroffenen schwer belasten und die Mailbox überfluten, so dass wichtige E-Mails übersehen, aus Versehen auch gelöscht oder wegen Überfüllung der Mailbox abgewiesen werden. Diese Probleme haben sich jedoch mit Breitband-Anschlüssen und großen Postfächern mit Speicherkapazitäten im Gigabyte-Bereich etwas entschärft.

Des Weiteren erkennen Spam-Abwehrsysteme die Flut von E-Mails als Spam, und so kann es passieren, dass die E-Mail-Adresse und/oder die Domain als Spamquelle eingestuft werden. Da Joe-Jobs inzwischen recht häufig geworden sind, wird dies jedoch oftmals nicht mehr getan.

Eine dritte wichtige Auswirkung ist der Faktor Mensch: Die meisten Computeranwender sind sich der Tatsache nicht bewusst, dass der Absender, der in einer E-Mail eingetragen ist, durch beliebige Einträge ersetzt werden kann. Es kommt zu einer Flut von wütenden Reaktionen, was sowohl die Absender als auch den Empfänger der Antworten Zeit kosten. Zudem kann der Spamfilter des Empfängers diese sinnlosen persönlichen E-Mails nicht als Spam filtern.

Hinzu kommen im Ausnahmefall Racheaktionen, Strafanzeigen und Abmahnungen. So können zum Beispiel Werbe-E-Mails unlauteren Wettbewerb darstellen und von Konkurrenten abgemahnt werden. Hetzschriften können geltende Gesetze verletzen, der Urheber macht sich strafbar und der fälschlich als Absender Eingetragene sieht sich schnell mit einer Anzeige konfrontiert. Mittlerweile ist die Kenntnis über derartige Mechanismen bis in die deutschen Gerichte vorgedrungen, so dass mit einer Verurteilung nicht gerechnet werden muss. Es bleibt der Ärger und Aufwand, derartige Dinge abzuwehren.

Beim Fax-Joejob verhält es sich ähnlich, es werden Faxe mit der Werbung eines gefälschten Absenders anonym verschickt. Der scheinbar per Telefax Werbende wird von wütenden Empfängern angerufen, abgemahnt und angezeigt. Jedes Telefax kann anonym verschickt werden, so dass der Urheber nur mittels Fangschaltung bzw. dem heute üblichen vermittlungstechnischen Leistungsmerkmal Malicious Call Identification (MCID) zu ermitteln ist.

Verwandte Attacken

Der Joe-Job hat definitionsgemäß eine Rache-Komponente, anders ausgedrückt: Er wird gezielt eingesetzt, um jemanden zu ärgern. Die gleiche Technik wird jedoch auch von Spammern genutzt, um einfach ihre Identität zu verbergen. Die falsche Adresse dient in erster Linie dazu, nicht selbst Opfer der vielen Rückläufer zu werden. Dazu könnte man allerdings beliebige Phantasieabsender eintragen, was auch gemacht wird. Nachdem jedoch Spamfilter anfingen, Absenderadressen verschiedenen Tests wie korrekter Syntax oder Existenz der Domain zu unterziehen, mussten die Spammer gültige Adressen eintragen. Dazu verwenden sie einfach gültige Adressen aus ihren Listen.

Diese Form des Absender-Spoofings ist weitaus häufiger und wird ebenfalls oft als Joe-Job bezeichnet.

Gegenmaßnahmen

Administratoren können ihre Mailserver mit einem Spamfilter versehen, der Spam-E-Mails aussortiert und löscht, bevor die automatisierte Antwort über einen nicht existierenden Account oder eine volle Mailbox erzeugt wird. Spamfilter sind jedoch oft mit einem Rest an Fehlern behaftet, sowohl falsch negativer Art (durchgelassenem Spam), als auch falsch positiver, also aussortiertem nicht-Spam, was für den Nutzer problematisch sein kann.

Ein Mailserver kann per DNS einen SPF-Record publizieren, der festlegt, von welchen IP-Adressen legitime Mails seiner Domain stammen dürfen. Ist ein empfangender Mailserver so konfiguriert, dass er SPF-Records prüft, kann er anhand dieser Information Mails mit gefälschten Absenderadressen verwerfen.

Eine Möglichkeit, derartige Angriffe abzuwehren, ist die Verwendung von Forwards. Das sind E-Mail-Adressen, die auf andere Adressen weiterleiten. Erfolgt ein Angriff auf einen Forward, wird er deaktiviert und durch einen neuen ersetzt. Nachteil ist allerdings, dass alle Bekannten, die den alten Forward kennen, nun benachrichtigt werden müssen und ihr Adressbuch ändern müssen.

Viele Verfahren zur Absenderauthentifizierung, insbesondere durch den Einsatz von Kryptographie, aber auch der Einsatz von Whitelists sind effektiv gegen Joe-Jobs. Jedoch sind sie recht aufwändig und vielfach nicht für eine private E-Mail geeignet.

Siehe auch