Spam-Abwehr

Das Phänomen Spam ist zwar nicht in aller Munde, dafür in jedem elektronischen Briefkasten zu finden. Wird eine E-Mail-Adresse in irgendeiner Form öffentlich gemacht oder kann der Teil vor dem @-Zeichen erraten werden, so wird an dieses Ziel bald Spam geschickt werden. Und wer meint, mit sehr kryptischen E-Mail-Adressen und strikter Geheimhaltung diesem dauerhaft entgehen zu können, wird früher oder später Opfer eines "Rumpelstilzchen"-Angriffes werden, bei dem Spammer oder Adressjäger alle Buchstabenkombinationen nacheinander ausprobieren. Einmal gefundene Adressen landen schnell in Sammlungen, die als DVD wiederum per Spam angepriesen werden.

Dass es in absehbarer Zeit eine Lösung des Spam-Problems an der Wurzel allen Übels, den Spammern, geben wird, ist nicht sehr wahrscheinlich. Zwar haben die ersten Länder inzwischen das Spammen eindeutig verboten und unter Strafe gestellt, aber das Internet macht an nationalen Grenzen keinen Halt. Und die Ermittlung des eigentlichen Täters ist außerordentlich schwierig, wenn dieser fremde, virenverseuchte Rechner fernsteuert und dazu nutzt, die unerbetene Mailschwemme zu verbreiten.

Schematische Darstellung der Spamabwehr

Als Notlösung bleibt nur der Weg, eine Unterscheidung zwischen erwünschter Mail ("Ham") und Spam vorzunehmen. Als Handarbeit ist das für den Empfänger eine lästige Aufgabe, die viel Zeit verschlingt und damit nicht nur Nerven, sondern letztlich auch Geld kostet, so dass die ZEDAT ihren Benutzern diese ungeliebte Aufgabe abnimmt. Doch der von den Anwendern vorgetragene Wunsch "Befreit mich von Spam" ist in der Praxis aus vielerlei Gründen sehr schwierig zu realisieren.

Obwohl jeder Nutzer bei einem Blick in sein Postfach meist nach kurzer Zeit sagen kann, ob eine Mail erwünscht ist oder nicht, so kommen unterschiedliche Personen für die gleiche Auswahl an Mails oftmals nicht zum gleichen Ergebnis. Was der eine als informativ einstuft, wird vom nächsten als Werbemüll angesehen. Wer andere für sich filtern lässt, wird damit leben müssen, dass nicht die eigenen Maßstäbe angelegt werden. Im gewissen Rahmen können die Filter über das ZEDAT-Portal eher aggressiv oder lax eingestellt werden, aber der komplexe Vorgang der Spam-Bewertung kann dabei nur sehr vereinfacht abgebildet werden. Wer möchte, kann den Spamfilter im ZEDAT-Portal natürlich auch vollkommen deaktivieren.

Ein gut eingestellter individueller Filter wird immer bessere Ergebnisse erzielen als eine zentrale, serverseitige Bewertung. So könnten viele in ihrem individuellen Filter einstellen, dass Mails in chinesischer Sprache und Schrift immer als Spam aussortiert werden. Selbst wenn es kein Spam wäre, so könnten die meisten derartige Mails ohnehin nicht lesen. Diese wirksame Einstellung kann die ZEDAT in einem zentralen Filter einer Universität mit dem Fachgebiet Sinologie und vielen chinesischen Studenten und Gastwissenschaftlern natürlich nicht vornehmen.

Die Unterscheidung zwischen Ham und Spam ist für einen Computer schwierig. Viele in den letzten Jahren entwickelte Verfahren haben einen gewissen Erfolg erzielt, aber keines kann für sich allein die unterschiedlichen Arten von Spam zuverlässig erkennen. Erschwerend kommt hinzu, dass die Spammer nicht untätig sind und die zu verbreitenden Mails so modifizieren, dass Spamfilter die Mail nicht mehr als Spam erkennen und einstufen. Nur durch den Einsatz von vielen, kombinierten Verfahren und der Verwendung von durch die Spammer nicht vorhersehbaren Tests können gute Ergebnisse erzielt werden, denn jedes Verfahren hat seine eigenen Stärken und Schwächen. Die ZEDAT setzt daher ein komplexes, mehrstufiges System von Spambewertern ein.

Mehrstufiges Antispam-System der ZEDAT

Die erste Hürde, die bei der Maileinlieferung überwunden werden muss, ist das "selektive Greylisting". Beim Greylisting wird die Einlieferung von Mail per SMTP zunächst von dem Mailserver des Empfängers mit einem temporären Fehler abgelehnt, jedoch IP-Adresse des Servers, Absender und Empfänger in einer Datenbank vermerkt. Der sendende Server wird die Mail dann - den üblichen Konventionen folgend - zurückstellen und die Auslieferung nach einiger Zeit erneut probieren.

Erst wenn eine solche erneute E-Mail-Zustellung mit ausreichendem zeitlichen Abstand vom selben Server und Absender zu diesem Empfänger erfolgt, so nimmt das Zielsystem die Nachricht entgegen. Da die Spam-versendenden Systeme normalerweise aus Effizienzgründen keine Mail-Queue anlegen, wird auf diese Weise ein großer Teil des Spams nie angenommen. Allerdings funktioniert das nur, solange der Spam nicht über normale Mailserver verschickt oder nach einiger Zeit die Auslieferung einfach erneut probiert wird.

Greylisting hat jedoch den erheblichen Nachteil, dass auch eine normale E-Mail verzögert werden kann, wenn die Korrespondenz-Partner nicht bereits in der Datenbank vorhanden sind. Der hohen Wirksamkeit von Greylisting steht somit ein potentieller Kollateralschaden entgegen, so dass die ZEDAT nur bestimmte einliefernde Systeme dem Greylisting unterwirft ("selektives Greylisting"). Dazu zählen z.B. Rechner, die bereits als Spamversender bekannt geworden sind oder die mit hoher Wahrscheinlichkeit keine Mailserver sind.

Bevor eine Mail endgültig angenommen wird, prüft der zuständige Server der ZEDAT die Nachricht auf Virenbefall. Siehe auch Virenschutz. Wurde die Mail als virenfrei erkannt, so wird diese angenommen und in jedem Fall zugestellt - entweder in den Posteingang oder in das Spam-Postfach.

Zur Bewertung, ob es sich um Spam handelt oder nicht, setzt die ZEDAT derzeit drei verschiedene Verfahren ein, die auf sehr unterschiedliche Weise funktionieren und sich dadurch ergänzen. Die vielfältigen Formen von Spam werden durch die verschiedenen Methoden unterschiedlich gut erkannt, so dass nur durch eine aufwändige, mehrstufige Prüfung und die Kombination der Ergebnisse eine zuverlässige Spamerkennung erfolgen kann. Darüber hinaus muss eine Spamerkennung sehr konservativ vorgehen, da eine als Spam einsortierte normale Mail ("false positive") häufig schädlicher ist als ein nicht erkannter Spam.

Die drei an der ZEDAT zur Spambewertung eingesetzten Programme bzw. Verfahren sind:
eXpurgate Bulkcheck-Technologie mit Kontrollsummenalgorithmus
Bogofilter Bayesischer Wortfilter
SpamAssassin Regelbasierte Prüfungen sowie Abfrage von Realtime Blackhole Lists (RBLs)

Einstellmöglichkeiten im ZEDAT-Portal

Liefert die Spambewertung das Ergebnis, dass es sich bei der betrachteten E-Mail um Spam handelt, wird sie statt in den Posteingang ("INBOX") des Nutzers in einem speziellen Ordner mit dem Namen "Spam" abgelegt und dort derzeit 30 Tage lang aufbewahrt. Dieses Vorgehen ist für alle Account-Inhaber die Standardeinstellung. Die zentrale Filterung durch die ZEDAT kann im Portal konfiguriert oder ggf. deaktiviert werden (wenn das Filtern vom User eigenständig lokal vorgenommen werden soll).

Abgesehen vom Ein- bzw. Ausschalten des Filters können aber auch Methoden und Intensität der Spam-Filterung beeinflusst werden. Für bestimmte Methoden ist einzeln konfigurierbar, ob sie "gemäßigt" oder "aggressiv" in die Spam-Bewertung einfließen (oder ob sie völlig inaktiv sind).

In der aktuellen Standardeinstellung ist Spamassassin auf „aggressiv“ gesetzt, Bogofilter hingegen auf „gemäßigt“. Wer möchte, kann die Bewertung von Bogofilter auch auf „aggressiv“ erhöhen. Dadurch wird weniger Spam in der INBOX landen, es erhöht sich aber auch die Wahrscheinlichkeit, dass Mails fälschlicherweise als Spam einsortiert werden. Wir empfehlen daher nur Benutzern, die regelmäßig ihre Spam-Mailbox durchsehen, die Bogofilter-Einstellung auf „aggressiv“ zu setzen.

Spamassassin ermittelt aufgrund verschiedener Regeln und mit Hilfe von Datenbankabfragen über das Internet die Wahrscheinlichkeit, ob es sich bei einer Mail um Spam handelt.

Bogofilter bewertet Mails anhand von Wortlisten, die charakteristischerweise in Spam- und Nicht-Spam-Mail vorkommende Worte enthalten. Diese Wortlisten werden zentral auf den Servern der ZEDAT gepflegt und können nicht individuell angepasst werden. Die Wahrscheinlichkeit, dass Mails fälschlicherweise als Spam eingestuft werden, ist also bei einer aggressiven Einstellung von Bogofilter höher als bei einer aggressiven Einstellung von Spamassassin. Das gilt vor allem für Nutzer, die "ungewöhnliche" Mails bekommen, die sich vom "Durchschnittsmailverkehr" unterscheiden. Dabei kann es sich z.B. um Mailinglisten handeln, Mails in anderen Sprachen als Deutsch oder Englisch, aber auch um ungewöhnlich formatierte Newsletter o.ä. Wer die Bogofilter-Einstellung auf "aggressiv" setzt, sollte daher regelmäßig (mindestens einmal pro Woche) seine Spam-Mailbox kontrollieren. In jedem Fall sollte bei Änderungen in der Spam-Konfiguration die Spam-Mailbox zeitnah kritisch beobachtet werden.

Information, wie Sie auf Ihre Spam-Mailbox zugreifen können, erhalten Sie in unserem Tip4U #068.