Spam-Abwehr

Das Phänomen Spam ist zwar nicht in aller Munde, dafür in jedem elektronischen Briefkasten zu finden. Wird eine E-Mail-Adresse in irgendeiner Form öffentlich gemacht oder kann der Teil vor dem @-Zeichen erraten werden, so wird an dieses Ziel bald Spam geschickt werden. Und wer meint, mit sehr kryptischen E-Mail-Adressen und strikter Geheimhaltung diesem dauerhaft entgehen zu können, wird früher oder später Opfer eines "Rumpelstilzchen"-Angriffes werden, bei dem Spammer oder Adressjäger alle Buchstabenkombinationen nacheinander ausprobieren. Einmal gefundene Adressen landen schnell in Sammlungen, die wiederum per Spam angepriesen werden.

Dass es in absehbarer Zeit eine Lösung des Spam-Problems an der Wurzel allen Übels, den Spammern, geben wird, ist nicht sehr wahrscheinlich. Zwar haben die ersten Länder inzwischen das Spammen eindeutig verboten und unter Strafe gestellt, aber das Internet macht an nationalen Grenzen keinen Halt. Und die Ermittlung des eigentlichen Täters ist außerordentlich schwierig, wenn dieser fremde, virenverseuchte Rechner fernsteuert und dazu nutzt, die unerbetene Mailschwemme zu verbreiten.

Schematische Darstellung der Spamabwehr

Als Notlösung bleibt nur der Weg, eine Unterscheidung zwischen erwünschter Mail ("Ham") und Spam vorzunehmen. Als Handarbeit ist das für den Empfänger eine lästige Aufgabe, die viel Zeit verschlingt und damit nicht nur Nerven, sondern letztlich auch Geld kostet, so dass die ZEDAT ihren Benutzern diese ungeliebte Aufgabe abnimmt. Doch der von den Anwendern vorgetragene Wunsch "Befreit mich von Spam" ist in der Praxis aus vielerlei Gründen sehr schwierig zu realisieren.

Obwohl jeder Nutzer bei einem Blick in sein Postfach meist nach kurzer Zeit sagen kann, ob eine Mail erwünscht ist oder nicht, so kommen unterschiedliche Personen für die gleiche Auswahl an Mails oftmals nicht zum gleichen Ergebnis. Was der eine als informativ einstuft, wird vom nächsten als Werbemüll angesehen. Wer andere für sich filtern lässt, wird damit leben müssen, dass nicht die eigenen Maßstäbe angelegt werden.

Die Unterscheidung zwischen Ham und Spam ist für einen Computer schwierig. Viele in den letzten Jahren entwickelte Verfahren haben einen gewissen Erfolg erzielt, aber keines kann für sich allein die unterschiedlichen Arten von Spam zuverlässig erkennen. Erschwerend kommt hinzu, dass die Spammer nicht untätig sind und die zu verbreitenden Mails so modifizieren, dass Spamfilter die Mail nicht mehr als Spam erkennen und einstufen. Nur durch den Einsatz von vielen, kombinierten Verfahren und der Verwendung von durch die Spammer nicht vorhersehbaren Tests können gute Ergebnisse erzielt werden, denn jedes Verfahren hat seine eigenen Stärken und Schwächen. Die ZEDAT setzt daher ein komplexes, mehrstufiges System von Spambewertern ein.

Mehrstufiges Antispam-System der ZEDAT

Die erste Hürde, die bei der Maileinlieferung überwunden werden muss, ist das "selektive Greylisting". Beim Greylisting wird die Einlieferung von Mail per SMTP zunächst von dem Mailserver des Empfängers mit einem temporären Fehler abgelehnt, jedoch IP-Adresse des Servers, Absender und Empfänger in einer Datenbank vermerkt. Der sendende Server wird die Mail dann - den üblichen Konventionen folgend - zurückstellen und die Auslieferung nach einiger Zeit erneut probieren.

Erst wenn eine solche erneute E-Mail-Zustellung mit ausreichendem zeitlichen Abstand vom selben Server und Absender zu diesem Empfänger erfolgt, so nimmt das Zielsystem die Nachricht entgegen. Da die Spam-versendenden Systeme normalerweise aus Effizienzgründen keine Mail-Queue anlegen, wird auf diese Weise ein großer Teil des Spams nie angenommen. Allerdings funktioniert das nur, solange der Spam nicht über normale Mailserver verschickt oder nach einiger Zeit die Auslieferung einfach erneut probiert wird.

Greylisting hat jedoch den erheblichen Nachteil, dass auch eine normale E-Mail verzögert werden kann, wenn die Korrespondenz-Partner nicht bereits in der Datenbank vorhanden sind. Der hohen Wirksamkeit von Greylisting steht somit ein potentieller Kollateralschaden entgegen, so dass die ZEDAT nur bestimmte einliefernde Systeme dem Greylisting unterwirft ("selektives Greylisting"). Dazu zählen z.B. Rechner, die bereits als Spamversender bekannt geworden sind oder die mit hoher Wahrscheinlichkeit keine Mailserver sind.

Bevor eine Mail endgültig angenommen wird, prüft der zuständige Server der ZEDAT die Nachricht auf Virenbefall. Siehe auch Virenschutz. Wurde die Mail als virenfrei erkannt, so wird diese angenommen und in jedem Fall zugestellt - entweder in den Posteingang oder in das Spam-Postfach.

Zur Bewertung, ob es sich um Spam handelt oder nicht, setzt die ZEDAT derzeit drei verschiedene Verfahren ein, die auf sehr unterschiedliche Weise funktionieren und sich dadurch ergänzen. Die vielfältigen Formen von Spam werden durch die verschiedenen Methoden unterschiedlich gut erkannt, so dass nur durch eine aufwändige, mehrstufige Prüfung und die Kombination der Ergebnisse eine zuverlässige Spamerkennung erfolgen kann. Darüber hinaus muss eine Spamerkennung sehr konservativ vorgehen, da eine als Spam einsortierte normale Mail ("false positive") häufig schädlicher ist als ein nicht erkannter Spam.

Die drei an der ZEDAT zur Spambewertung eingesetzten Programme bzw. Verfahren sind:
eXpurgate Bulkcheck-Technologie mit Kontrollsummenalgorithmus
Bogofilter Bayesischer Wortfilter
SpamAssassin Regelbasierte Prüfungen sowie Abfrage von Realtime Blackhole Lists (RBLs)

In der aktuellen Standardeinstellung ist Spamassassin auf „aggressiv“ gesetzt, Bogofilter hingegen auf „gemäßigt“. Liefert die Spambewertung das Ergebnis, dass es sich bei der betrachteten E-Mail um Spam handelt, wird sie statt in den Posteingang ("INBOX") des Nutzers in einem speziellen Ordner mit dem Namen "Spam" abgelegt, dort derzeit 30 Tage lang aufbewahrt und dann automatisch gelöscht.

Spamassassin ermittelt aufgrund verschiedener Regeln und mit Hilfe von Datenbankabfragen über das Internet die Wahrscheinlichkeit, ob es sich bei einer Mail um Spam handelt.

Bogofilter bewertet Mails anhand von Wortlisten, die charakteristischerweise in Spam- und Nicht-Spam-Mail vorkommende Worte enthalten. Diese Wortlisten werden zentral auf den Servern der ZEDAT gepflegt und können nicht individuell angepasst werden.

Information, wie Sie auf Ihre Spam-Mailbox zugreifen können, erhalten Sie in unserem Tip4U #068.