Schutz vor Spam

Moderne Spam-Massen-Mailings enthalten Hunderttausende Nachrichten, die innerhalb weniger Minuten ausgeliefert werden. Meist wird das über Zombie-Netzwerke gemacht, die aus zahlreichen infizierten Computern bestehen. Was kann man tun, um diese Attacken abzuwehren? Die Sicherheitsfirmen bieten dafür eine Reihe von Lösungen und die Anti-Spam-Entwickler haben verschiedene Technologien in ihrem Arsenal. Allerdings kann keine dieser Technologien als „silberne Kugel“ bezeichnet werden. Es gibt einfach keine universelle Lösung. Die meisten aktuellen Produkte enthalten mehrere Technologien, ohne die ein Anti-Spam-Produkt nicht besonders effektiv ist.

Die bekanntesten und am weitesten verbreiteten Technologien sind folgende:

Blacklisting

Eine der ältesten Anti-Spam-Technologien ist das DNS-basierte Blacklisting (DNSBL – DNS-based Blackhole Lists). Dabei wird der Mail-Verkehr von einem bestimmten IP-Server, der auf der Blacklist steht, blockiert.

  • Vorteile: Die Blacklist erlaubt eine hundertprozentige Filterung der Mails, die aus verdächtigen Quellen kommen.
  • Nachteile: Es entstehen viele Fehlalarme (False Positives), so dass die Technologie sehr vorsichtig angewendet werden muss.

Entdecken von Massen-E-Mails (DCC, Razor, Pyzor)

Diese Technologie entdeckt komplett identische oder sich nur ganz leicht unterscheidende Massen-Mails im E-Mail-Verkehr. Ein effektiver Massen-Mail-Scanner funktioniert nur bei großem Mail-Verkehr, so dass diese Technologie normalerweise großen Firmen angeboten wird, die ein entsprechendes Mail-Aufkommen haben, das analysiert werden kann.

  • Vorteile: Wenn alles richtig funktioniert, entdeckt diese Technologie zuverlässig Massen-Mails.
  • Nachteile: Zu „großen“ Massen-Mailings können auch legitime Mails gehören (zum Beispiel Newsletter von Firmen). Zudem können Spammer diesen Schutzwall durchbrechen, indem sie Software nutzen, die in jeder Mail einen etwas unterschiedlichen Inhalt (Text, Grafik usw.) einfügt.

Scannen der Mail-Header

Spezielle, von Spammern geschriebene Programme können Spams generieren und diese direkt versenden. Manchmal machen die Spammer beim Entwerfen des Headers aber Fehler, so dass die Mails nicht immer den Vorgaben des RFC-Standards für den Header entsprechen. Diese Fehler machen es möglich, die Mails als Spam-Mails zu erkennen.

  • Vorteile: Der Prozess ist transparent, hält sich an Standards und ist recht zuverlässig.
  • Nachteile: Die Spammer machen immer weniger Fehler in den Headern. Die Nutzung dieser Technologie alleine würde nur ein Drittel aller Spam-Mails entdecken.

Inhaltsfilter

Inhaltsfilter sind eine weitere, bewährte Technologie. Mails werden dabei auf bestimmte Worte, Textfragmente, Bilder und andere Spam-Anzeichen geprüft. Ursprünglich analysierten Inhaltsfilter das Thema der Nachricht und den enthaltenen Text (normaler Text, HTML usw.), aktuelle Spam-Filter scannen aber alle Teile der Nachricht, inklusive grafischer Anhänge.

Die Analyse kann zur Erstellung einer Text-Signatur oder zur Berechnung der „Spam-Gewichtung“ einer Nachricht führen.

  • Vorteile: Flexibilität und die Möglichkeit, die Einstellungen genau vorzunehmen. Systeme, die diese Technologie nutzen, können ganz einfach auf neue Spam-Arten angepasst werden und machen bei der Unterscheidung von Spams und echten E-Mails kaum Fehler.
  • Nachteile: Diese Technologie benötigt Updates. Dazu braucht es Spezialisten und manchmal sogar ganze Anti-Spam-Labors, die die Spam-Filter einrichten und pflegen. Solcher Support ist recht teuer und das beeinflusst die Kosten des Spam-Filters selbst. Spammer erfinden auch laufend neue Tricks, um diese Technologie umgehen zu können, etwa zufälliges „Rauschen“ in Spam-Nachrichten, das die Entdeckung typischer Spam-Muster in Mails erschwert. Oder sie verwenden Symbole statt Buchstaben – dabei wird zum Beispiel aus dem Wort Viagra ein vi_a_gra oder vi@gr@, oder es werden farbige Hintergründe in den Bildern verwendet usw.

Inhaltsfilter: Bayes

Statistische Bayes-Algorithmen sind ein weitere Ansatz für die Inhaltsanalyse. Bayes-Filter benötigen allerdings keine dauernden Anpassungen, sie müssen nur zunächst „geschult“ werden. Der Filter „lernt“ die Themen der für einen Anwender typischen E-Mails. Wenn ein Anwender zum Beispiel im Schulungsbereich arbeitet und oft Schulungen veranstaltet, werden Mails mit Schulungsthemen nicht als Spam erkannt. Wenn ein Anwender dagegen normalerweise keine Schulungseinladungen erhält, wird der statistische Filter diese Mails als Spam erkennen.

  • Vorteile: Individuelle Einstellungen möglich.
  • Nachteile: Der Filter funktioniert besser, wenn er für individuellen Mail-Verkehr verwendet wird. Bayes-Filter funktioniert nicht so gut auf Firmen-Servern mit verschiedensten Arten von Mails. Wenn ein Anwender faul ist und den Filter nicht „ausbildet“, wird die Technologie nichts nutzen. Spammer versuchen laufend, Wege zu finden, Bayes-Filter zu umgehen und sind damit generell recht erfolgreich.

Graulisten

Über Graulisten werden Mails temporär blockiert, wobei die Blockierung einen Fehlercode enthält, der von allen E-Mail-Systemen verstanden wird. Normalerweise würde der Absender die Nachricht einfach noch einmal schicken, doch sobald eine Mail einmal abgelehnt wurde, schicken die Spammer-Programme die Nachricht nicht noch einmal.

  • Vorteile: Das ist die einzig sinnvolle Lösung.
  • Nachteile: Verzögerung beim E-Mail-Empfang. Für viele Anwender ist diese Lösung daher inakzeptabel.