Fachartikel

Verteidigungslinie gegen Spam

Quasi minütlich wird das E-Mailpostfach mit Angeboten von Online-Casinos, Pillenverkäufern oder skurrilen Geschäftsideen aus Afrika gefüllt. In unserem Fachartikel erklären wir, mit welchen Technologien sich Spam aktuell begegnen lässt, wer hinter den Millionen von Werbemails steckt und wie zukünftige Bekämpfungsstrategien aussehen könnten.
Noch lässt sich leider nicht jeglicher Spam per Tastendruck abschalten
Nicht alles was uns im elektronischen Postkasten derzeit als uninteressante Werbezusendung aufstößt ist Spam. Ein bewusst bestellter Newsletter mit Produktangeboten eines Versandhauses ist zwar eine Werbesendung, jedoch wurde diese gezielt an den Empfänger auf dessen Wunsch versandt. Spam ist traditionell eine unverlangte Massen-E-Mail, kurz als UBE ("Unsolicited Bulk E-Mail") oder UCE ("Unsolicited Commercial E-Mail") bezeichnet. Beiden Untergruppen von Spam ist jedoch eines gemein: Es handelt sich um unverlangte elektronische Werbepost.

Unverlangte Wurfreklame gab es schon lang vor der kommerziellen Ausbereitung des Internets, doch unterscheidet sich die Analogie zum physikalischen Postkasten seit einigen Jahren drastisch: Während sich im echten Postkasten täglich zwei bis drei Werbesendungen einfinden, so ist die elektronische Realität eine ganz Andere. Würden alle eingehenden E-Mails in einem mittelständischen Unternehmen gesichtet werden müssen, so wären für diese Aufgabe gleich mehrere Personen abzustellen – auf eine "echte" E-Mail kommen aktuell bis zu 98 Spam-Nachrichten.

Aktuelle Antispam-Techniken
Viele aktuelle E-Mailserver verfügen bereits über eine ganze Batterie an Antispam-Techniken. Auch ohne den Einsatz einer zusätzlichen Antispam-Software oder -Appliance ist es dem Mail-Administrator möglich, die Anzahl von Spam-Nachrichten nachhaltig zu senken. Gefilterte Nachrichten werden in der Praxis nicht automatisch gelöscht, sondern an ein Quarantäne-Mail-Subsystem überführt. Das hat den Vorteil, dass im Falle einer irrtümlichen Spam-Erkennung Benutzer selbstständig in der Lage sind, diese Nachrichten einzusehen. Tägliche Reporte setzen Benutzer im idealen Fall über ausgefilterte Nachrichten automatisiert in Kenntnis.

Hauptarbeitsmittel der einfachen Filter sind die so genannten Black- und Whitelists. Dies sind Auflistungen mit Domänennamen, E-Mailadressen und IP-Adressen, die entweder negativ auffielen oder für eine Kommunikation grundsätzlich freigegeben wurden. Glücklicherweise sind Mail-Administratoren nicht gezwungen diese Listen komplett von Null an zu füllen – hinter dem Kürzel RBL ("Realtime Blackhole List") steckt beispielsweise eine laufend aktualisierte Datenbank mit Negativeinträgen im Internet.


Bild 1: Die manuelle Zuordnung von Absendern in Black- und Whitelists ist ein administrativ aufwändiger Vorgang
und ist als einzige Anti-Spam-Technik nicht tragbar


In diesem Zusammenhang ist die Technik "Greylisting" erwähnenswert. Hierbei kommt eine E-Mailadresse, von der eine Nachricht empfangen wird, zunächst auf eine "graue Liste". Der Absender erhält die Meldung vom Mailserver, dass die Nachricht bitte erneut zu senden ist. Automatisierte Spam-Roboter reagieren typischerweise nicht auf Rückmeldungen, so dass im Umkehrschluss vorwiegend "echte Kommunikationspartner" einen erneuten Versand durchführen. Wird die Nachricht ein zweites Mal empfangen, wandert der Absender automatisch auf die Whitelist und gilt als vertrauenswürdiger Kontaktpartner.

Weiteres Bordmittel im Kampf gegen Spam ist die traditionelle Schlüsselwortliste. Ist ein Unternehmen beispielsweise nicht im Gesundheitsbereich tätig, so handelt es sich bei Nachrichten mit den Worten "Valium", "Cialis" oder "Viagra" wohl grundsätzlich um Spam. Die Wirkungsweise von Schlüsselwortlisten wird jedoch durch das bewusste Falschschreiben von Begriffen von Seiten der Spammer getrübt. Daher ist die Schlüsselwortsuche lediglich noch ein zusätzliches Hilfsmittel, denn ein probates Mittel bei der Spam-Bekämpfung.

Eine ausgereiftere Technik stellt "Vipul's Razor" dar, ein Prüfsummen-basiertes, verteiltes und gemeinschaftliches Spam-Erkennungs- und Filternetzwerk. Die Razor-Datenbank wird über Benutzerrückmeldungen ständig aktualisiert und erlaubt so, bekannte Spam-Nachrichten zu filtern. Derzeit wird Razor vorwiegend von serverseitigen Spamfiltern genutzt. Ein kommerzieller Ableger von Razor ist "Cloudmark Desktop", das als Erweiterung für die bekanntesten E-Mailclients verfügbar ist. Techniken wie Razor sind auch gegen Spam-Nachrichten wirksam, die über keinen eigentlichen Textinhalt verfügen, sondern ihre Werbebotschaft als grafisches Element darstellen.

Die Wurzel des Problems anpacken
Neben einer inhaltlichen Überprüfung von E-Mails beim Empfang auf Ebene des Posteingangsservers bietet sich eine vorangestellte Verteidigungslinie an, die erstmalig Anfang der 2000er vom US-amerikanischen Hersteller Ironport zur Produktreife geführt wurde. Das seit zwei Jahren zur Branchengröße Cisco gehörende Unternehmen prüft, ob das bisherige Verhalten des absendenden Servers durch Spam-Aktivitäten gezeichnet ist, oder ob es sich dabei um eine diesbezüglich unauffällige Installation handelt. Das bisherige Verhalten wird hierbei als "Reputation" bezeichnet. Ist ein Server bereits mehrfach zum Versand von Spam-Mails benutzt worden, so ist dies in der einer speziellen Datenbank festgehalten. Den Reputations-Wert stellt Ironport auf einer Skala von -10 bis +10 dar. Ab welchem Wert mit einer Mail wie zu verfahren ist, ist Einstellungssache des Mail-Administrators. In der typischen Einstellung einer Ironport-Appliance werden Mailserver mit einem Reputationswert von -10 bis -6 komplett als Kommunikationspartner abgelehnt. In einem Bereich von -5 bis -2 lassen sich "Throttle"-Einstellungen wählen, beispielsweise, dass lediglich drei E-Mails pro Stunde von einem solchen Mailserver entgegen genommen werden.

Eine öffentlich zugängliche Ironport-Datenbank mit dem Namen Senderbase [1] speichert die Serverdaten und Transaktionsergebnisse von über 30.000 Providern, Universitäten und Unternehmen und stellt diese als Grundlage für eine Einschätzung des Spam-Potentials bereit. Entsprechend konfigurierte Ironport-Systeme übermitteln ihre Informationen automatisch an die Senderbase-Datenbank. Dank der großen Anzahl von Sensoren erkennt das System sehr zügig neu entstehende Spam-Schwämme und ist für manipulierte Fehldaten unsensibel.




                                                Seite 1 von 2                     Nächste Seite>>


9.02.2011/ln/Thomas Bär

Nachrichten

Bessere Schlüsselabfrage in NoSpamProxy [24.04.2018]

NoSpamProxy 12.2 und Open Keys wollen die Schlüsselabfrage zur E-Mail-Verschlüsselung vereinfachen. Die neue Version 12.2 des Secure-Mail-Gateways nutzt nun den Open-Keys-Service, der die zentrale Abfrage vieler Schlüsselserver auf einmal erlaubt. [mehr]

Neue Firewall-Appliances von Sophos [20.04.2018]

Sophos präsentiert die neue Generation seiner XG- und SG-Series-Desktop-Firewall-Appliances. Das Portfolio umfasst fünf Modelle der XG Series mit XG Firewall (SFOS)-Software und vier Modelle der SG Series mit UTM-Software. Alle Modelle sind zusätzlich als 'w-Modell' mit integriertem WLAN erhältlich. [mehr]

Tipps & Tools

Performance der Citrix Provisioning Services erhöhen [8.04.2018]

Bei der Nutzung der Citrix Provisioning Services kann es nach und während des Erstellens einer Windows-10-Vdisk vorkommen, dass beim Streaming eine schlechte Leistung auftritt. Das Problem äußert sich unter anderem darin, dass es sehr lange dauert, um die Vdisk zu erstellen. Außerdem möglich sind langsame Boot- und Login-Zeiten und nicht zuletzt ist auch die Geschwindigkeit der Dateiübertragung im Vergleich zu anderen Rechnern im Netzwerk oft zäh. Doch es gibt Abhilfe. [mehr]

Tastaturprobleme bei XenDesktop beheben [11.03.2018]

In Umgebungen mit XenDesktop 7.15 kann es vorkommen, dass ein Benutzer einen Fehler meldet, bei dem ein iPad oder iPhone mit Citrix Receiver eine Tastatur falsch darstellt, obwohl zuvor die bevorzugte Sprache ausgewählt wurde. Zum Beispiel wählt der Benutzer eine französische Tastatur (AZERTY), erhält aber eine QWERTY-Tastatur. Da sich diese Tastaturen sehr ähnlich sind, wird dieser Fehler vom Benutzer meist erst beim Tippen wahrgenommen werden. Das Problem lässt sich jedoch beheben. [mehr]

Buchbesprechung

Anzeigen