Endlich saubere E-Mail-Postfächer
Arbeitsweise der Spammer
Wer Spam abwehren will, muss wissen, wie Spammer vorgehen, etwa bei der Generierung der Empfängeradressen. Dies geschieht meist zufällig, indem das Internet nach E-Mailadressen durchstöbert wird und gängige Adressen wie info@, office@, sales@ oder häufige Namen von »Blind Broadcast«- Programmen auf Verdacht angeschrieben werden. Newsgroups, Gästebücher, Blogs und Foren werden ebenso wie normale Webseiten von Robots automatisch nach Mailadressen durchsucht. Die leichtfertige Preisgabe einer E-Mailadresse über Registrierformulare bei dubiosen Gewinnspielen legt häufig die Struktur von Mitarbeiter-Adressen eines Unternehmens offen und kann so zu erhöhtem SPAM-Aufkommen führen. Da sich niemand gegen die zufällige Generierung der Empfängeradressen schützen kann, sind Unternehmen gezwungen, sich mit Spamabwehr zu befassen, womit sie wiederum schnell in einer bereits existierenden Rüstungsspirale" landen.
 |
Innerhalb von rund drei Jahren haben über 80.000 Spam-Mails den Weg ins Outlook-Postfach gefunden.
Über 900 MByte Daten mussten zusätzlich vom Mailserver übertragen werden. |
Filter ansetzen
Die ersten automatisierten Verfahren untersuchten die Mails nur nach Schlüsselwörtern im Betreff beziehungsweise im Text und werteten so genannte Blacklists aus. Moderne Antispam- Systeme setzen erheblich verfeinerte Verfahren wie Analyse des Mailheaders und des E-Mail-Formates ein oder lernen Spam daran zu erkennen, welche Art von Mails vom Empfänger bereits vorher als Spam gekennzeichnet wurden (bayessche Filter). Alle klassischen undmodernen Verfahren führen in der Praxis allerdings auch zu unerwünschten Nebeneffekten. Sind Spam-Filter beispielsweise zu »scharf« eingestellt, verschwinden unter Umständen auch erwünschte Mails im Spam-Ordner und werden oftmals nicht beachtet. Eine zeitraubende Gegenmaßnahme ist das Pflegen von Whitelists mit Adressen, die nie als Spam deklariert werden sollen, etwa von Geschäftspartnern und Kunden. Diese Methode hilft natürlich nicht beim Erstkontakt mit einem erwünschten Absender, da dessen E-Mail-Adresse bislang unbekannt war. Weitaus problematischer ist, dass bei allen bisher verwendetenMethoden, eine ankommende E-Mail vom empfangenden Mailserver auch tatsächlich entgegengenommen werden muss, bevor sie geprüft werden kann. Daher helfen diese Methoden nicht, sich gegen den Datenmüll zu wehren. Provider, die Mailsysteme für Kunden zur Verfügung stellen, haben darüber hinaus das Problem, dass sie den Inhalt von Mails nicht analysieren dürfen, da dies – analog zum Öffnen von Briefen durch die Post – verboten ist. Sinnvoller ist es daher, eine Methode anzuwenden, die neue E-Mails bereits vor der Entgegennahme selektiert. Hierzu nutzt man einen Mittelweg aus der Abweisung verbotener Absender (Blacklist) und unbedingter Zulassung erlaubter Absender (Whitelist): Das Greylisting (auch Graylisting).
Gegenmassnahme Greylisting
Das Prinzip ist einfach, denn das Verfahren nutzt die Tatsache, dass die meisten Spammer und Würmer nur ein einziges Mal versuchen, eine Mail zuzustellen. Ihnen kommt es darauf an, in kürzester Zeit eine möglichst große Anzahl von Nachrichten zu verschicken und das möglichst unerkannt. Daher wechseln Spammer häufig ihre IPAdresse. Seriöse Betreiber von Mailservern arbeiten hingegen immer RFCkonform. Das bedeutet unter anderem, dass sich der absendende Mailserver stets zu erkennen gibt und nach einer vergeblichen Zustellung (der empfangende Mailserver war gerade nicht erreichbar) weitere Zustellversuche unternehmen wird. Diese Verfahrensweise macht sich das Greylisting-Verfahren zu Nutzen, in dem es drei Informationen auswertet, die in jeder Mail enthalten sind: IP-Adresse des SMTP Clients (absendender Mailserver), E-Mail- Adresse des Absenders und E-Mail- Adresse des Empfängers Hat der empfangende Mailserver noch nie E-Mails mit dieser Daten-Kombination (Triple) erhalten, verweigert er zunächst die Entgegennahme der Nachricht mit der Fehlermeldung 4.7.1 und teilt so dem absendenden Mailserver mit, dass ein temporärer Fehler aufgetreten ist und die Zustellung zu einem späteren Zeitpunkt noch einmal versucht werden soll. Ein korrekt konfigurierter Mailserver eines seriösen Providers wird dies auch tun. Beim erneuten Zustellversuchmit demselben Triple innerhalb eines frei konfigurierbaren Zeitintervalls wird die E-Mail nunmehr vom Mailserver akzeptiert, für eine definierte Zeit als bekannte Kombination eingetragen und zugestellt.
Erfolgreiche Umsetzung
Im Falle der Berliner Provider http.net und Knallhart hat die Datenlast auf den Mailserver-Systemen deutlich abgenommen. Bei einer Befragung durch Knallhart äußerten sich die Kunden nach der Einführung des Greylistings sehr zufrieden. Die Anzahl der Spam- Nachrichten reduzierte sich bei einigen Kunden um bis zu 87 Prozent. Im Gegensatz zum heuristischen (lernenden) Antispam-Verfahren gehen aber keine E-Mails verloren, da nach einem erfolglosen Zustellversuch die Mail beim zweiten Versuch zugestellt wurde. Gleichzeitig sind die Systeme weit weniger gefährdet, im Falle der Verbreitung von Viren und Würmern übermäßig belastet zu werden. Eine Schwachstelle der Greylisting- Strategie sind jedoch unsauber konfigurierte Mailserver oder eine mangelhaft programmierte Mailserver-Software, die keine zweiten Zustellversuche vorsehen. Unternehmen sollten daher unbedingt darauf achten, dass ihre Mailserver professionell betreut werden. Im Falle des Berliner Providers http.net, die sich im b2b-Bereich spezialisiert hat, verzeichnete man in diesem Zusammenhang übrigens schon im letzten Jahr eine erhöhte Nachfrage nach Mailserver-Hosting.
 |
| Die Grafik zeigt den Anstieg der zurückgewiesenen E-Mails bei http.net seit Einführung des Greylisting-Verfahrens. |
Quelle: CIM - Computer im Mittelstand, Ausgabe 12/06, Autor HELGA KRÜGER