SPAM Verstehen und Kontrollieren (Teil 1)

Peter Cox

Die Menge unerwünschter, kommerzieller E-Mails, gemeinhin als Spam bezeichnet, ist im Jahr 2002 dramatisch angestiegen. Mit Beginn diesen Jahres geht das Spam-Volumen in E-Mail Systemen bereits über die Grenze des nur Lästigen hinaus und ist zu einer ernsthaften Bedrohung geworden.

Im Folgenden werden mögliche Ursachen benannt sowie erläutert, warum traditionelle Problemlösungsansätze nicht (mehr) greifen. Zwei neuartige Technologien versprechen wesentlich effektivere Resultate.

Spam ist zunächst schlicht die elektronische Variante der unerwünschten Post, die Ihnen täglich in den Briefkasten flattert. Diese Mails sind von geringem oder keinem Interesse für den Empfänger. Zwei Unterschiede zur Postvariante sind allerdings entscheidend: da ist zum einen die enorme Menge, die Druckversionen um ein Vielfaches übersteigt und zum anderen der anstößige oder beleidigende Inhalt, mit dem der Empfänger konfrontiert wird.

Die überwiegende Mehrzahl ist allerdings werblicher Natur, der Absender verspricht sich zusätzliche Gewinne über diese Art der Promotion für Produkte und Dienstleistungen. Dabei bewegen sich die Angebote von der Wunderdroge bis zu Versicherungsangeboten sowie das ganze Spektrum von Investitionsberatung bis zum Abonnement einer Porno-Website. Spam E-Mails, die ausdrücklich letztere bewerben, enthalten nicht selten bereits Inhalte und Abbildungen, deren simpler Besitz bereits ein Straftatbestand sein kann.

Kein Wunder also, dass sich Administratoren von Netzwerken und E-Mail Systemen unter Druck sehen, hier eine schnelle und überzeugende Lösung zu finden.

2002 könnte man als das Jahr der Spammer bezeichnen. Der Anstieg war laut Berichten großer ISPs so gewaltig, dass bereits 30 bis 50 Prozent des kompletten Nachrichtenverkehrs aus Spam bestanden.

Da Spammer nach Resultaten gezahlt werden, haben sie ein ausgesprochen vitales kommerzielles Interesse. Die übliche Antwortrate auf derartige Nachrichten ist sehr gering, so dass unglaubliche Mengen an so viele E-Mail User wie eben möglich verschickt werden müssen. Bei ihren Aktivitäten verfügen Spammer über weit gehend automatisierte Tools zur Verbreitung und über gigantische Datenbanken mit E-Mail Adressen, an die Nachrichten verschickt werden. Parallel dazu existieren vielfältige Technologien, um zu verhindern, dass Spam-Versand frühzeitig abgeblockt werden kann.

Schwierigkeiten bei herkömmlichen Anti-Spam Technologien

Anti-Spam Produkte und Technologien sind nicht neu. Es gibt zahlreiche Produkte auf dem Markt, die sich primär auf Anti-Spam Funktionen konzentrieren und andere diese als Teil des E-Mail Policy Management integrieren. Die Schwierigkeit liegt zum einen darin, dass die überwiegende Zahl dieser Produkte ein kontinuierliches Management benötigt oder schlicht nicht über angemessene Methoden der Spam-Kontrolle verfügt. Die weitaus meisten Produkte basieren auf den beiden relativ simplen Technologien E-Mails nach Herkunft oder Inhalt zu filtern. Diese Technologien sind in der Lage, die Masse an Spam zu reduzieren, allerdings erlauben sie immer noch einer signifikanten Zahl bis zur Mailbox des Endanwenders zu gelangen, und sie führen zu einer nicht unerheblichen Zahl an positiven Falschmeldungen. Das heißt, E-Mails, die den Empfänger erreichen sollen, werden fälschlich in die Kategorie Spam einsortiert.

Beim E-Mail Filtering in Bezug auf die Herkunft einer Nachricht wird entweder die ursprüngliche IP Adresse oder der Domain Name der eingehenden SMTP Verbindung mit einer Liste bekannter Spam Quellen verglichen. Diese Listen werden entweder lokal oder auch zentral verwaltet. Solche Listen lokal zu unterhalten verlangt einen immensen Administrationsaufwand, so dass sie sinnvollerweise mit so genannten Real-Time-Black-Lists (RBLs) kombiniert werden sollten. Diese werden zentral organisiert. Allerdings verzeichnen solche RBLs praktisch jede Art von Open Relay (unter Open Relay wird eine Site verstanden, von der aus ein Spammer E-Mails abweisen oder weiterleiten kann) sowie andere mögliche Spam Quellen wie Dial-Up Accounts. Es existiert eine Anzahl unterschiedlicher RBLs, von denen einige eine moderate Subskriptionsgebühr erheben. Damit hat man aber noch lange keine Methode zur effektiven Bekämpfung von Spam, was auf zwei fundamentalen Problemen basiert. Die Methode ist nicht in der Lage, Spam wirklich zu stoppen und zum anderen werden ebenfalls Listen aufgeführt, die legitime Nachrichten verschicken. Hier besteht die Gefahr, dass auch wichtige Informationen verloren gehen.

RBLs können Spam schon deshalb nicht verhindern, da Spammer selbst sehr gut um deren Existenz wissen und demnach genau wie jeder andere in der Lage sind, sie zu nutzen. Schließlich will ein Spammer sicher gehen, dass seine Nachrichten auch "zugestellt" werden. So wird ununterbrochen nach noch nicht verzeichneten Listen gefahndet und die so genannten Black Listed Sites vermieden. Spammer senden sogar Spam, in dem ganz offen Open Relays beworben werden. (Abb.1)

RBLs blocken legitime E-Mails, da sie Sites aufgrund ihres Charakters als Open Relay listen. Das sind aber Details, die in der Konfiguration des jeweiligen Mailservers begründet liegen und weniger in der Tatsache, ob von dieser Site aus, tatsächlich Spam versandt wird. Aus Sicht der RBL Befürworter wird allerdings eine korrekt konfigurierte Seite nicht gelistet werden, zum anderen sollten die Sites sehr sorgfältig von den jeweiligen Administratoren konfiguriert werden. Die Realität sieht allerdings anders aus: Sites können ausgesprochen einfach auf eine Black List geraten, weil beispielsweise ein ISP weniger wachsam war oder einfach nur, weil man sich für einen ADSL Internetzugang entschieden hat (einige RBLS verzeichnen ADSL Verbindungen in ihren Dial-Up Datenbanken). RBLs bieten demzufolge kein ausreichend abgestimmtes Instrumentarium zur effektiven Spam Kontrolle.

Unter diesen Aspekten erscheint Content Filtering als ideale Lösung zur Identifikation von Spam. Die Idee basiert auf dem Durchsuchen der E-Mail Nachrichten im Hinblick auf Schlüsselworte. Allerdings ist auch beim Content Filtering eine kontinuierliche Administration notwendig und falsche Positivmeldungen sind mit diesen Filterfunktionen nicht zu vermeiden. Spammer haben leichtes Spiel. Eine Nachricht, die den Autor Ende 2002 erreichte, illustriert das Problem (Abb. 2)

Auf den ersten Blick eine Nachricht, der mit Content Filtering zu begegnen sein müsste. Eine Regel sollte Inhalte wie The health discovery that actually reserves aging blockieren können. Aber diese Nachricht wurde im HTML Format übermittelt. Bei genauerem Hinsehen enthält der eigentliche Nachrichtentext (Abb.3) nicht ausgedruckte HTML Kommentare (hier in grün notiert), die Content Filtering komplett wirkungslos machen.

Auch wenn Filterfunktionen im Hinblick auf Ursprung und Inhalt einer Nachricht einige unerwünschte E-Mails abfangen: für sich alleine genommen stellen diese Technologien keine befriedigende Lösung dar.

Neue Technologien

Um Spam wirklich effektiv zu begegnen, bedarf es eines völlig neuen Ansatzes. Spammer sind ausgesprochen erfindungsreich, was das Umgehen von Spam Kontrolle angeht, Ansätze zur Bekämpfung sollten also genauso innovativ sein.

Mehr über diese technologischen Aspekte lesen Sie in der nächsten Ausgabe des MONITOR 5/2003.

---

Referenzen

BorderWare 2002: Mxtreme Anti-Spam Capabilities, ein White Paper von BorderWare Technologies

DCC Home: Distributed Checksum Clearinghouse Home Page, http://www.rhyolite.com/anti-spam/dcc/

Graham 2002: A Plan for Spam, http://www.paulgraham.com/spam.html