-
ERFINDUNGSGEBIET
-
Die
vorliegende Erfindung betrifft allgemein das Gebiet der Telekommunikation
und insbesondere die Sicherheit von Internetnachrichten.
-
ALLGEMEINER
STAND DER TECHNIK
-
Mit
der Verbreitung des Internets werden Mißbräuche des elektronischen Postsystems
zunehmend problematisch. Zu diesen Mißbräuchen zählen die Verschleierung des
Ursprungs (z.B. wird versucht, einen Ursprung wie einen spezifischen
akzeptablen Ursprung aussehen zu lassen), um E-Mail-Spam zu erzeugen,
Virusverteilung und anderer Mißbrauch
der elektronischen Post. Insbesondere ist ein notorisch gefährliches
Problem die Verteilung von Computerviren über E-Mail, die angeblich von Freunden,
Kollegen und anerkannten Organisationen geschickt wird.
-
Bisher
gibt es keine Lösung,
die die obigen Probleme effektiv angeht, wenngleich der existierende
Internet-Standard
eine Option liefert, um zu prüfen,
ob der angebliche Sender einer E-Mail in der Domäne existiert, die in dem "VON"-Feld der E-Mail
angegeben ist. Diese Option wird jedoch kaum verwendet, vielleicht
weil Täter
zur Zeit legitime Adressen zu ihrer Verfügung haben, weshalb lediglich
das Prüfen, ob
die Adresse gültig
ist, nicht ausreicht.
-
Der
existierende E-Mail-Standard (RFC 2821) und Software gestatten jedem,
eine E-Mail-Nachricht mit einem beliebigen, in dem "VON"-Feld angegebenen
Ursprung zu senden. Dieses Merkmal (oder vielmehr diese Verwundbarkeit) wird
von Werbetreibenden ausgenutzt, um E-Mail-Spam zu erzeugen. Ein
böserer
Gebrauch – jetzt
immer mehr verbreitet – ist
die Verbreitung von Computerviren in Nachrichten, die an Empfänger von scheinbar
ihren Freunden und Kollegen gesendet werden.
-
Der
existierende E-Mail-Standard gestattet tatsächlich, den Sender zu verifizieren,
doch verifiziert dieses Merkmal lediglich, daß die Adresse in der existierenden
Domäne
korrekt ist (d.h. existiert). Er verifiziert nicht, ob diese bestimmte
Nachricht von der bestimmten Adresse gesendet worden ist. Viele
Mailserver ignorieren dieses Merkmal genau deshalb, weil es nutzlos
geworden ist: zum Beispiel geben eine große Anzahl gültiger E-Mail-Adressen, die
im Internet gelistet sind, archivierte Austausche auf verschiedenen
E-Mail-Listen und andere Quellen (wie etwa die Informationen in
den Adressbüchern
der Computer, in die eingebrochen worden ist) den Spammern oder
Kriminellen eine ausreichende Anzahl von Adressen, die sie verwenden
können.
Zudem helfen Suchmachinen, Listen von Korrespondenten möglicher
Ziele zu erhalten, so daß die
Angriffe fokussierter werden.
-
Eine
Möglichkeit,
um das Problem zu bewältigen,
ist die Zertifizierung und das digitale Signieren jeder Nachricht,
doch ist dies nicht implementiert worden, weil es aufwendig und
komplex ist. Noch wichtiger: es ist erst dann direkt kommunizierfähig, wenn es überall eingesetzt
wird, doch machen es die Kosten und Komplexität sehr schwer, es weitverbreitet einzusetzen.
-
In
der Technik bezieht sich die US-Patentanmeldung mit der Veröffentlichungsnummer
US 2002/0016824 A1 auf eine Methodologie zum Analysieren ankommender
elektronischer Mailnachrichten, um einen Konfidenzfaktor zu bestimmen,
der anzeigt, ob die Nachrichten Junk-E-Mail sind oder nicht. Unter den
Parametern, die beim Bestimmen des Konfidenzfaktors betrachtet werden,
ist eine Verifizierungsanforderung, die auf eine Bestimmung gerichtet ist,
daß eine
angegebene Ursprungsadresse in einer angegebenen Ursprungsdomäne existiert.
Ein Referat von G. Lindberg "Anti-Spam
Recommendations For SMTP MTAs" IETF
Request for Comments (RFC 2305), 28. Februar 1999, Seiten 1-24,
XP 002302818, befaßt
sich allgemein mit dem Problem von E-Mail-Spam und möglichen
Mitteln zu ihrer Reduzierung. Diese Literaturstelle erwägt auch
einen Verifikationsprozeß,
um zu bestimmen, daß eine
angegebene Ursprungsadresse in einer angegebenen Ursprungsdomäne existiert.
-
KURZE DARSTELLUNG
DER ERFINDUNG
-
Ein
Verfahren und eine Vorrichtung gemäß der vorliegenden Erfindung
werden in den unabhängigen
Ansprüchen
dargelegt, auf die der Leser jetzt verwiesen wird. Bevorzugte Merkmale
sind in den abhängigen
Ansprüchen
dargelegt.
-
Im
Vergleich zu dem Stand der Technik erfolgt ein Fortschritt gemäß den Grundlagen
der vorliegenden Erfindung, die sich mit einem Verfahren beschäftigt, das
sich auf die Gebiete Sicherheit, Spamverhinderung, AAA, Radius und
Internet-Nachrichtenübertragungsprotokolle
bezieht. Die vorgeschlagene Erfindung löst das Problem der Verschleierung
des Ursprungs, um E-Mail-Spam
zu erzeugen, Virusverbreitung, und anderen Mißbrauchs der elektronischen
Post. Insbesondere löst
sie ein notorisch gefährliches
Problem der Verbreitung von Computerviren über angeblich von Freunden,
Kollegen und anerkannten Organisationen versandte E-Mail.
-
Die
vorgeschlagene Erfindung definiert einen umfassenden Satz von Mechanismen
und Vorrichtungen, um zumutbar sicherzustellen, daß eine E-Mail-Nachricht – wenn sie
von einem E-Mail-Gateway, einem E-Mail-Relayserver oder dem Ziel-E-Mail-Server
empfangen wird – von
dem Ort kommt und von einer Person (oder einem Programm) gesendet
wurde, die in ihrem "Von"-Feld spezifiziert sind.
-
Die
Erfindung stellt sicher, daß jeder E-Mail-Server
in der Relaykette zum Endpunktempfänger einer E-Mail-Nachricht (d.h. ein
Gateway, ein Relay oder ein Zielserver) ordnungsgemäß feststellen
kann, ob die Nachricht von der Person (oder dem Programm) gesendet
wurde, die in dem Von:-Feld spezifiziert wurde.
-
Die
Erfindung funktioniert durch a) Senden einer Anfrage direkt an den
angeblichen verursachenden Server oder b) Verwenden eines AAA-Servers
(wie etwa eines Navis Radius-Servers von Lucent), um diese Funktion
auszuführen.
Wenn die Antwort auf die Anfrage negativ ist, wird die Meldung verworfen,
und gegebenenfalls wird ein ordnungsgemäßer Sicherheitsprotokolleintrag
erzeugt.
-
Der
Mechanismus ist insofern neu, als er die Nachricht (nicht nur den
angeblichen Sender) auf vielerlei Weisen authentifiziert, die alle
einfach zu implementieren sind. Er vermeidet auch die bisher vorgeschlagenen
Mechanismen (von denen es sich aber herausgestellt hat, daß sie schwer
zu implementieren sind) zur Verwendung von Zertifikaten und anderen komplexen
Sicherheitsmechanismen (wie etwa elektronischen Signaturen), die
möglicherweise
auf komplexer Schlüsselverbreitung,
Kryptographie usw. basieren. Dazu vermeidet sie eine teure Implementierung
von PKI und die Integration von Zertifikaten von externen Vertrauenszentren.
-
KURZE BESCHREIBUNG
DER ZEICHNUNG
-
Die
Lehren der vorliegenden Erfindung lassen sich bei Betrachtung der
folgenden ausführlichen Beschreibung
in Verbindung mit den beiliegenden Zeichnungen ohne weiteres verstehen.
Es zeigen:
-
1 in
vereinfachter Blockdiagrammform Elemente, die bei der Ausübung unseres
erfindungsgemäßen Verfahrens
verwendet werden; und
-
2 ein
beispielhaftes Blockdiagramm einer Servereinrichtung gemäß der Erfindung.
-
AUSFÜHRLICHE
BESCHREIBUNG
-
Es
wird nun ein Ausführungsbeispiel
der Erfindung unter Bezugnahme auf die Figuren beschrieben, wobei
möglicherweise
im Verlauf der folgenden Beschreibung auf mehrere davon gleichzeitig
verwiesen wird.
-
Die
vorgeschlagene Erfindung ist einfach, und sie eliminiert die Kosten
und die Komplexität
bei der Verwendung einer beliebigen Art von Kryptographie (einschließlich digitaler
Signaturen), Zertifikaten oder Verbreitungsmechanismen für öffentliche Schlüssel.
-
Die
Erfindung stellt sicher, daß jeder E-Mail-Server
in der Relaykette zu einem Endpunktempfänger einer E-Mail-Nachricht (d.h. ein
Gateway, ein Relay oder ein Zielserver) ordnungsgemäß feststellen
kann, ob die Nachricht von der Person (oder dem Programm) gesendet
wurde, die in dem Von:-Feld spezifiziert wurde.
-
Die
Erfindung funktioniert durch a) Senden einer Anfrage direkt an den
angeblichen verursachenden Server oder b) Verwenden eines AAA-Servers
(wie etwa eines Navis Radius-Servers von Lucent), um diese Funktion
auszuführen.
Wenn die Antwort auf die Anfrage negativ ist, wird die Meldung verworfen,
und gegebenenfalls wird ein ordnungsgemäßer Sicherheitsprotokolleintrag
erzeugt.
-
Der
Mechanismus ist insofern neu, als er die Nachricht (nicht nur den
angeblichen Sender) auf vielerlei Weisen authentifiziert, die alle
einfach zu implementieren sind. Er vermeidet auch die bisher vorgeschlagenen Mechanismen
(von denen es sich aber herausgestellt hat, daß sie schwer zu implementieren sind)
zur Verwendung von Zertifikaten und anderen komplexen Sicherheitsmechanismen
(wie etwa elektronischen Signaturen), die möglicherweise auf komplexer
Schlüsselverbreitung,
Kryptographie usw. basieren. Dazu vermeidet sie eine teure Implementierung
von PKI und die Integration von Zertifikaten von externen Vertrauenszentren.
-
1 zeigt
einen beispielhaften Abschnitt eines Netzes 10, das einen
typischen E-Mail-Weg zeigt, der verwendet wird, um die Erfindung
zu beschreiben. Hier sendet ein Klient 12 eine Nachricht über seinen
Server 14, der den Domänen-Gateway 16 und
andere Proxy-Server 18 passiert, die alle beginnend mit
dem verursachenden Server 14 das in RFC 2821 beschriebene
SMTP (Simple Mail Transfer Protocol) verwenden. Wenn die Nachricht
an einem Zielserver 20 ankommt, wird sie zu dem entsprechenden
Empfänger
(nicht gezeigt) gesendet. Man beachte, daß der Ursprungsserver 14,
der Zielserver 20, die Proxy-Server 18 und die
Gateways 16 alle die Rolle des Mail Transfer Agent wie
in RFC 2821 definiert spielen.
-
Unter
Bezugnahme auf 1 funktioniert ein Ausführungsbeispiel
der Erfindung wie folgt:
- 1. Immer wenn ein
verursachender Server 14 eine Anforderung erhält zum Weiterleiten
von E-Mail von dem verursachenden Klient 12, führt er die folgenden
Schritte durch:
a. Prüfen,
ob das Von:-Feld in dem Nachrichtenkopf der E-Mail auf eine Mailbox
auf dem Server hinweist. Wenn dies der Fall ist, leitet er die E-Mail weiter.
Ansonsten weist er die E-Mail beispielsweise mit einer permanenten
negativen Abschlußantwort
(Negative Completion Reply) nach RFC 2821 zurück.
b. Die Erfindung protokolliert
auch die erfolgreich weitergeleitete E-Mail (oder möglicherweise
einen Teil von ihr oder sogar einen Hash von ihr, bestimmt durch
einen lokal ausgewählten
Hashing-Algorithmus). Der Eintrag in dem Protokoll soll für eine bestimmte
Zeitperiode (in der Regel beispielsweise nicht über 10 Minuten) aufrechterhalten
werden.
- 2. Bei einem Ausführungsbeispiel
der Erfindung kann ein anderer Server in der Kette die unten beschriebenen
Schritte durchführen.
Der Zielserver 20 muß sie
durchführen.
Diese Schritte können
in einer Reihe alternativer Wege durchgeführt werden, wie der Fachmann
verstehen würde:
a.
(Option 1): Wenn eine Nachrichtenübertragung startet (wie durch
Pfeiletikett (1) gezeigt) und der angebliche Ursprung der Nachricht
(wie in dem Von:-Feld von SMTP weitergeleitet) bekannt ist, leitet
der Server 20 eine kurze Sitzung (wie etwa eine TCP-Sitzung)
mit oder eine Transaktion zu dem verursachenden Server 14 ein,
indem er eine mit (2) gekennzeichnete Anfrage sendet. Diese Anfrage
fragt, ob die verursachende Nachricht, identifiziert durch einen
oder mehrere eines Satzes von Parametern (solche Parameter können unter
anderem beinhalten: das Von:-Feld, Tageszeit, Länge, Betreff-Zeile, ausgewählte Inhalte oder
einen beliebigen anderen Satz von nachrichtenspezifischen Parametern
einschließlich
aller der obigen) von dem angegebenen Benutzer tatsächlich gesendet
wurde. Folgendes beschreibt ein mögliches Anfrageformat (wobei
die Syntax nach SMTP modelliert ist). Eine Anfrage besteht aus einem
Befehl gefolgt von den Argumenten: CONFIRM <Message-ID> <message-specific-parameters>. Wenn CONFIRM ein
Befehlsname ist, enthält
das Argument <Message-ID> einen eindeutigen
Bezeichner der Nachricht (wie in RFC 822 spezifiziert), und das
Argument <message-specific-parameters> enthält eine
Liste der beschriebenen obigen Parameter, die zur Nachrichtenidentifizierung
verwendet werden könnten. Bei
Empfang der Anfrage prüft
der Ursprungsserver unter Verwendung der eindeutigen Message-ID
seine Protokolle, um zu verifizieren, ob die in der Abfrage-Message-ID
empfangene Meldung gesendet wurde. Falls nicht, dann wird eine entsprechende
Antwort an den empfangenden Server geschickt. Wenn bei diesem Ausführungsbeispiel
die von der Message-ID identifizierte Nachricht protokolliert wurde,
dann wäre
der Ursprungsserver in der Lage, eine Entscheidung hinsichtlich
der Authentizität
der Nachricht zu treffen durch Vergleichen von Informationen in
der protokollierten Nachricht mit in dem Argument <message-specific-parameters> der Anfrage empfangenen
Informationen. Diese Entscheidung wird als Reaktion auf die Anfrage
geschickt.
Folgendes ist ein Beispiel für eine Anfrage: CONFIRM <406C9526.2060307@agere.com> <From: abc@agere.com>. Bei Empfang dieser Anfrage wäre der Ursprungsserver
in der Lage, die mit 406C9526.2060307@agere.com bezeichnete Nachricht
abzurufen, und zu prüfen,
ob "abc" zu den Aliasadressen
gehört,
die mit dem Sender der Nachricht assoziiert sind. Der Bezeichner
des Senders würde
dem Ursprungsserver bekannt sein, da er als ein Argument für den SMTP-Befehl MAIL
FROM: <reverse-path> [RFC 2821] angegeben
sein würde,
der ausgeführt
wurde, wenn die Nachricht erstellt wurde.
Die vorgeschlagene
Anfrage würde
für eine überwältigende
Mehrheit von Nachrichten funktionieren, die eine eindeutige Message-ID
aufweisen, wie in RFC 822 beschrieben. Wenngleich dieser Standard
das Message-ID-Feld als optional spezifiziert, enthalten die meisten
SMTP-Server dieses Feld in ihren E-Mail-Nachrichten. In Fällen, wo dieses Feld fehlt,
kann der empfangende Server entsprechend einer lokalen Strategie
arbeiten (z.B. die Nachricht abbrechen, eine Warnung an einen Empfänger senden
usw.).
b. Bei Empfang der Anfrage prüft der Ursprungsserver 14 sein
Protokoll 22 und reagiert mit einer Nachricht (3) mit Informationen
dahingehend, ob die ursprüngliche
Nachricht von dem angegebenen Benutzer gesendet wurde.
c. Falls
er bestätigend
reagiert, fährt
der empfangende (Ziel-)server 20 damit fort, die E-Mail-Nachricht zu
verarbeiten und weiterzuleiten. Ansonsten kann der Prozeß sofort
abgebrochen werden. Das Ergebnis eines Abbruchs ist, daß die Nachricht
nicht gespeichert oder weitergeleitet wird. Ein Abbruch könnte zudem
in einer Reihe unterschiedlicher Weisen durchgeführt werden. Beispielsweise
besteht eine Möglichkeit, um
einen Abbruch durchzuführen,
darin, eine Zeitabschaltung zu verursachen oder ansonsten eine Nachricht
wie etwa "Empfänger existiert nicht" zu erzeugen und
zu senden. Andere solche Wege, um Kommunikationen auf solch eine
Weise anzuhalten, um von jedem weiteren Angriff abzuschrecken, werden
hier ebenfalls in Betracht gezogen. Wie zu verstehen ist, kann ein
beliebiger involvierter Server auch einen entsprechenden Sicherheitsprotokolleintrag
vornehmen, wie von seiner Sicherheitsstrategie diktiert wird, oder irgendeine
andere sicherheitsbezogene Aktion ergreifen, wie etwa Benachrichtigung
einer entsprechenden Vollzugsbehörde.
d.
(Option 2): bei einer weiteren alternativen Ausführungsform fragt der Zielserver 20 bei
einem entsprechenden AAA-Server 24 (Authentication, Authorization
and Accounting) an, um die Nachricht zu authentifizieren und ihren
Empfang zu autorisieren (Nachricht 2'). Der AAA-Server 24 führt dann
seinen eigenen Austausch mit dem Ursprungsserver 14 durch
(Nachrichten 2'' und 3'), fällt eine
entsprechende Entscheidung und reagiert mit dieser Entscheidung
auf den anfragenden Server mit Nachricht 3'').
e.
Wenn der Ursprungsserver 14 (und der AAA-Server) bestätigend reagieren,
fährt der
Zielserver 20 damit fort, die E-Mail-Nachricht zu verarbeiten
und weiterzuleiten. Ansonsten bricht der Zielserver den Prozeß sofort
ab. Jeder involvierte Server kann auch einen entsprechenden Sicherheitsprotokolleintrag
vornehmen, wie von seiner Sicherheitsstrategie diktiert, oder irgend
eine andere sicherheitsrelevante Aktion ergreifen. Es versteht sich
auch, daß,
nachdem der AAA-Server den Ursprungsserver abfragt, daß der Ursprungsserver
auch direkt dem Zielserver antworten könnte, oder alternativ könnte der
AAA nur an der Antwortphase der Kommunikation beteiligt sein.
-
2 zeigt
ein beispielhaftes Blockdiagramm einer Servereinrichtung 110 gemäß der vorliegenden
Erfindung. Die Einrichtung enthält
im allgemeinen mindestens zwei Funktionsblöcke, die in Verbindung mit
einem Prozessor 120 arbeiten. Ein erster Block 130 ist
ein Protokoll, wo empfangene Übertragungen
gespeichert werden, wie bereits erläutert wurde. Ein nächster Block 140 ist
eine Speichereinrichtung zum Speichern von Anweisungen, beispielsweise
in Software, um die Methodologien der vorliegenden Erfindung durchzuführen. Wie
sich versteht könnte
das Protokoll auch Teil des Gesamtspeichers für die Einrichtung sein. Die
Servereinrichtung enthält außerdem Eingangs-
und Ausgangsports 150, 160. Obwohl die Funktionalität der Erfindung
bezüglich
eines Servers beschrieben wird, versteht sich außerdem, daß die Erfindung auch in einer
Proxyeinrichtung oder einer anderen mit einem Server assoziierten
Einrichtung bestehen kann.
-
Zur
deutlichen Erläuterung
ist die veranschaulichende Ausführungsform
der vorliegenden Erfindung so beschrieben worden, daß sie individuelle
Funktionsblöcke
und/oder -kästen
umfaßt.
Die Funktionen, die diese Blöcke
und/oder Kästen
darstellen, können
durch die Verwendung entweder gemeinsamer oder eigener Hardware
bereitgestellt werden, einschließlich, aber nicht ausschließlich, Hardware,
die in der Lage ist, Software auszuführen. Die Verwendung des Ausdrucks "Prozessor" sollte nicht so
ausgelegt werden, daß sie
sich ausschließlich
auf Hardware bezieht, die Software ausführen kann. Zudem kann die veranschaulichende
Ausführungsform
digitale Signalprozessorhardware (DSP), einen Festwertspeicher (ROM)
zum Speichern von Software, die die unten erörterten Operationen durchführt, und
einen Direktzugriffsspeicher (RAM) zum Speichern von DSP-Ergebnissen umfassen.
Es können
auch VLSI-(Very Large Scale Integration)-Hardwareausführungsformen
sowie kundenspezifische VLSI-Schaltungsanordnungen in Kombination
mit einer Allzweck-DSP-Schaltung bereitgestellt werden.
-
In
den Ansprüchen
hiervon soll jegliches Element, das als Mittel zum Ausführen einer
spezifizierten Funktion ausgedrückt
ist, jeglichen Weg einschließen,
um diese Funktion auszuführen,
einschließlich
beispielsweise a) eine Kombination von Schaltungselementen, die
diese Funktion ausführt, oder
b) Software in beliebiger Form einschließlich deshalb Firmware, Mikrocode
oder dergleichen, kombiniert mit entsprechenden Schaltungsanordnungen
zum Ausführen
dieser Software, um die Funktion durchzuführen. Die Erfindung, wie durch
solche Ansprüche
definiert, besteht in der Tatsache, daß die von den verschiedenen
angeführten
Mitteln bereitgestellten Funktionalitäten auf die Weise, die die
Ansprüche
verlangen, kombiniert und zusammengebracht werden. Der Anmelder
betrachtet somit alle Mittel, die diese Funktionalitäten bereitstellen
können,
als äquivalent
zu den hierin gezeigten. Viele andere Modifikationen und Anwendungen
der Prinzipien der Erfindung ergeben sich dem Fachmann und werden
von den Lehren hierin in Betracht gezogen. Der Schutzbereich der
Erfindung wird dementsprechend nur durch die Ansprüche beschränkt.