VOICE Homepage: http://de.os2voice.org
[Inhaltsverzeichnis]
[Vorherige Seite] [Nächste Seite]
[Artikelverzeichnis]
|
VOICE Homepage: http://de.os2voice.org |
September 2002
[Inhaltsverzeichnis]
|
| Von Michael W. Cocke © September 2002, Übersetzung: Michael Bate |
Ein zunehmend genutztes Täuschungsmanöver bei Spam besteht darin, eine leere Mail (d.h. eine E-Mail, die keinen Text enthält) mit einer Anlage zu versenden. Solche Anlagen sind oft Webseiten oder ausführbare Dateien für Windows. Vielleicht sind die Spammer der Meinung, daß auf eine leere Mail schlechter Filter angewendet werden können. Es gibt jedoch die Möglichkeit, Filter auf den Inhalt der Anlagen anzuwenden, man muß nur wissen, wie.
Zu dem Zeitpunkt, an dem der Filter angewendet wird, weiß der Server noch gar nichts über Anlagen; der Server bearbeitet nur einen Strom von Text. Angenommen, daß Sie Peter Moylans Weasel SMTP/POP3-Server oder Zeryx' Zxmail benutzen, können Sie David Houghs Weaselfilter verwenden, um den Inhalt dieses Stroms zu filtern.
Zuerst einmal benötigt man ein Dienstprogramm für die Base64-Kodierung/Dekodierung (oft MIME-Kodierung gennant). Davon gibt es eine Menge, einschließlich desjenigen, daß man gleich hier auf meiner Webseite ausführen lassen kann: http://www.catherders.com/base64.shtml
Zweitens wählt man sich eine Suchzeichenkette aus, gegen die man filtern will. (Beispiele siehe unten.) Eine länge Zeichenkette eignet sich besser als eine kurze, so läßt sich die Wahrscheinlichkeit einer fälschlichen Filterung minimieren. (Siehe die technischen Hinweise unten) Ich empfehle, mindestens 25 bis 30 Zeichen zur verwenden.
Drittens MIME-kodiert man die Zeichenkette, die man beim Filtern benutzen möchten. Dann entfernt man die am Ende hinzugefügten Gleichheitszeichen, die beim MIME-Format nur dazu dienen, die Kettenlänge bis zur nächsten 4-Byte-Grenze aufzufüllen. Damit hat man die Suchzeichenkette, die als Inhaltsfilter für Weaselfilter definiert wird.
Hier sind ein paar Beispielzeichenketten, die Sie vielleicht ausprobieren möchten, gefolgt von den entsprechenden Übersetzungen nach MIME (grün gezeigt), die Sie als Suchzeichenkette verwenden können. (Falls Ihr Browser eine davon auf mehr als eine Zeile umbrechen sollte, ignorieren Sie einfach den Zeilenumbruch.) Die ersten drei Beispiele stammen aus Webseiten; die letzten zwei Zeilen kommen häufig in ausführbaren Windows-Dateien vor.
to receive special offers from Hi-Speed Media or one of it's marketing partnersdG8gcmVjZWl2ZSBzcGVjaWFsIG9mZmVycyBmcm9tIApIaS1TcGVlZCBNZWRpYSBvciBvbmUgb2YgaXQncyBtYXJrZXRpbmcgcGFydG5lcnM
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDMuMi8vRU4iPg
<A HREF="http://www.img-marketing.com/remove.htm">
PEEgSFJFRj0iaHR0cDovL3d3dy5pbWctbWFya2V0aW5nLmNvbS9yZW1vdmUuaHRtIj4
This program cannot be run in DOS mode
VGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGU
This program must be run under Win32
VGhpcyBwcm9ncmFtIG11c3QgYmUgcnVuIHVuZGVyIFdpbjMy
Das Benutzerhandbuch von Weaselfilter behandelt die Grundzüge, beschäftigt sich aber nicht mit fortgeschritteneren Anwendungsbereichen. Wenn man also nicht weiß, wie ein POP-Servers funktioniert, kommt man kaum auf diesen Kunstgriff. Durch diese einfache Methode kann man die Effizienz von Weaselfilter erhöhen und damit mehr der Spammer-Kunstwerke blockieren. Eine positive Nebenwirkung ist, daß mit dieser Methode auch Viren abgefangen werden können, die als ausführbare Dateien in den Anlagen eintreffen.
Weaselfilter vergleicht die Suchzeichenkette mit dem Textstrom, ohne dabei auf die Groß-/Kleinschreibung zu achten. Beim Prozeß der MIME-Kodierung hat diese jedoch eine Bedeutung. Zwei anfänglich verschiedene Zeichenketten können bei der Kodierung Suchzeichenketten ergeben, die sich nur anhand der Groß-/Kleinschreibung einiger Zeichen unterscheiden. Ist die Quellzeichenkette kurz, so wird die entsprechende MIME-Kodierung auch kurz sein. Ändert man die Groß-/Kleinschreibung von ein paar Zeichen hier und da und dekodiert das Ergebnis, so erhält man eine andere ursprüngliche Zeichenkette, die man vielleicht sogar an anderer Stelle des Textstromes finden könnte. Auf der anderen Seite ergibt eine lange ursprüngliche Zeichenkette eine lange Suchzeichenkette. Ändert man hier bei einigen Zeichen die Groß-/Kleinschreibung und dekodiert das Ergebnis, so erhält man mit sehr großer Wahrscheinlichkeit als ursprüngliche Zeichenkette eine Menge Kauderwelsch. Während es sicher nicht unmöglich ist, auf einer Website Kauderwelsch vorzufinden, ist es wesentlich weniger wahrscheinlich, daß es beim Vergleich exakt zutrifft und den Filter auslöst.
Daten und Quellen:
|
[Artikelverzeichnis]
editor@os2voice.org
[Vorherige Seite] [Inhaltsverzeichnis] [Nächste Seite]
VOICE Homepage: http://de.os2voice.org