Ausgerechnet Google hat seit Jahren eine Lücke, die es Spammern erlaubt, die eigentlich hohe Reputation von Google Mailservern zu missbrauchen. Der Trick ist trivial und gleichzeitig schockierend. Hunderte Abuse-Mails hat Google bis heute nicht dazu gebracht, einzugreifen.
Exploit:
- Der Spammer registriert sich bei irgendeinem Registrar einen Domainnamen, wer also seinen Müll an deutsche Ziele abladen möchte, besorgt sich eine .de Domain
- Der Spammer legt einen Google Workspace account an, dass ist u.a. „GMail“ für die eigene Domain. Praktischerweise gibt es eine 14 tätige Testperiode, zur Not werden geklaute Kreditkartendaten verwendet.
- Teil von GMail ist das ehemalige Google Groups und dementsprechend auch Teil von Google Workplace: Man kann eine Mailingliste anlegen und – hier liegt das Problem – eine Liste von Abonnenten hochladen, es erfolgt KEIN opt-int. Hier werden also gesammelte/gescrapte/aus leaks extrahierte Adressen eingetragen.
- Nun wird in hoher Frequenz Spam an die Mailingliste geschickt. Google verteilt dann den Spam an alle Abonnenten.
Besonders dumme Spammer erlauben auch allen Mitglieder selbst zu posten, das führt dann durch Bounces, „out of office“ replies und Beleidigungen von technikfremden Menschen für noch mehr „Spass“.
Abhilfe ist nicht trivial, wenn man nicht overblocken möchte. Mails über Google Groups erhalten diverse Headers, die man nun als Negativ-Kiriterium ablehnen könnte, allerdings müsste man legitime Gruppe whitelisten und das Risiko eingehen, dass Geschäftspartner ihre Mailinglisten bzw MX nicht selbst mal zu Google umziehen und dann automatisch abgelehnt würden.
Man kann natürlich auch das Alter der Domain in Betracht ziehen, diese sind überweigend keine Woche alt.
Lösung:
Google muss das subscriben von externen Adressen ohne Bestätigung auf Mailinglisten abschaffen und ein opt-in verlangen. Generell sollte in der Testperiode einfach keine externen Empfänger aufgenommen werden können. Im Rahmen einer Zahlung sollte ein KYC-Prozess etabliert werden.