Das Geschäft mit Junk-Mail: So arbeiten Spam-Profis

Ein zweites Standbein bauen sich die Spammer mit Zombie-Netzwerken auf. Das sind IP-Adressen von nicht mehr existierenden Firmen. IP-Adressen werden von den regionalen Vergabestellen, etwa ARIN oder RIPE für eine gewisse Zeitdauer vergeben, zum Beispiel fünf Jahre. Die Bezahlung hat im Voraus zu erfolgen.

Während sich die Vergabestellen erst wieder um die IP-Adressen kümmern, wenn die Lease-Time abgelaufen ist, durchstöbern die Spammer die Insolvenzregister aus aller Welt. Auf IP-Ebene ist das Internet ein Peer-to-Peer-Netzwerk. Zentral verwaltete Routing-Tabellen sind schon aus organisatorischen Gründen nicht praktikabel.

Das heißt, dass ein Inhaber von IP-Adressen zu einem Provider seiner Wahl geht, der die IP-Adressen über sein Netzwerk „anpreist“. Dies ist das sogenannte IP-Advertising. Das führt dazu, dass sich Routing-Tabellen weltweit automatisch anpassen und damit eine Erreichbarkeit gegeben ist.

Der Betrug fällt meist erst dann auf, wenn die IP-Adressen über die Vergabestellen neu zugewiesen werden. Der neue rechtmäßige Inhaber wird dann bald einen Advertising-Konflikt feststellen.

Freilich sollte einem Rechenzentrumbetreiber auffallen, dass ein „Kunde“ auffällig viele IP-Adressen aus verschiedenen CIDR-Bereichen besitzt und dafür mit relativ wenigen Servern um Co-Location bittet. Doch die Spammer zahlen gutes Geld für Traffic, und man schaut allzu gerne über Ungereimtheiten hinweg.

Auch etablierte Telekommunikationsfirmen scheinen nur allzugerne nicht so genau hinzusehen. Neben dem US-Telekommunikationsriesen Verizon wird unter anderem auch der deutschen Key-Systems vorgeworfen, zumindest nicht wachsam genug gegenüber Spammern zu sein. Die DROP-Liste (Don’t Route Or Peer) von Spamhaus.org nützt natürlich gar nichts, wenn Hoster sie nicht einsetzen.