Das Problem
Jeder hat wohl schon mit dem Problem zu tun gehabt:
Spam,
oft auch UCE/UBE genannt. Das ist E-Mail,
die unverlangt zugesendet wird und in den meisten Fällen nur aus Werbung
besteht. In einigen Fällen (z.B.
Phishing)
kann es sich jedoch sogar um Betrugsversuche handeln.
Die alten "Lösungen"
Bislang wurde versucht, dem Problem auf die folgenden Weisen Herr zu werden:
- DNS-based Blackhole Lists (DNSBL), d.h. Blocken bekannter Rechner oder
ganzer Subnetze, z.B. von Dial-In-IP-Bereichen großer Provider.
- Content- oder Header-basierte Filterung nach Schlüsselworten
- Blockung über die Identifikation von bekannten Spam-Mails
Diese Ansätze verursachen jedoch Fehler erster und zweiter Ordnung, d.h.
teilweise wird Spam durchgelassen, manchmal sogar Ham irrtümlich ausgefiltert.
Die neuen "Lösungen"
Zur Zeit werden verschiedene Ansätze verfolgt, die zum Ziel haben, den
Urheber oder zumindest die Absender-Domain einer Nachricht zu identifizieren:
Technisch basieren sie entweder darauf, im DNS Informationen über die erlaubten
Mail-Relais abzulegen, oder auf hinterlegten Schlüsseln, mit denen valide E-Mails
signiert werden.
Effektivität der Ansätze
Es ist extrem fraglich, inwieweit diese neuen Ansätze wirklich verfangen.
In letzter Zeit ist im Hase-und-Igel-Spiel nämlich eine neue Tendenz
zu erkennen, die nur folgerichtig aus der Sicht der Spammer ist:
Früher wurde Spam direkt von Servern der Spammer aus versendet.
Diese landeten sehr bald auf Blacklists, wurden also schnell unbrauchbar.
In der nächsten Phase wurden mit Trojanischen Pferden PCs zu Zombies gemacht,
um den Spam direkt von dort aus zu versenden. Da dies heute zunehmend an
DNSBL scheitert, verlegen sich die Spammer nun darauf, einfach die E-Mails
von den Zombies über die Mail-Relais der ISPs zu versenden.
In den USA soll der Anteil der Spam-Mails, die auf diese Art versendet
werden, bereits bei 90% liegen, in Deutschland ist der Anteil zwar noch
geringer (15%), aber man muss bedenken, dass bis Ende 2004 solche Methoden noch
überhaupt nicht beobachtet wurden.
Die Rationale hinter diesem Ansatz ist, dass die ISPs bei tausenden betroffener
Rechner in Bot-Netzen keine Chance haben, diesem Treiben Einhalt zu gebieten,
selbst wenn man durch entsprechende Filter erkennen kann, dass ein PC
übernommen wurde.
Genau hier zeigt sich die Schwäche der neuen Ansätze: Was hilft es, zu wissen, dass
eine E-Mail tatsächlich von einem Benutzer der Domain t-online.de abgesendet wurde?
Der Spam wurde versendet, die Folgen sind dem Spammer egal und eine kurzfristige
Reaktion ist unwahrscheinlich.
Wenn man also in Zukunft nicht noch zusätzlich Whitelists benutzen will (was
gleichzeitig bedeuten würde, dass man keine E-Mails mehr von bislang unbekannten
Personen empfangen kann), dann hilft die Identifikation nicht wirklich.
Dabei ist es letztlich auch unerheblich, ob man mit feinerer Granularität
(nämlich Benutzer anstelle von Domains) identifizieren kann.
Diese Ansätze haben lediglich zur Folge, dass die Spammer neue Wege finden müssen.
Die Verwendung von Schadprogrammen wie Trojanischen Pferden usw. zur Kontrolle
von Bot-Netzen würde nicht mehr nur günstiger als die Verwendung eigener Server,
sondern absolut notwendig für das Funktionieren des Geschäftsmodells "Spam".
Wir werden also aller Voraussicht nach noch weit aggressivere Schädlinge
beobachten können als bisher.
Andere Ansätze
Es gibt noch einen weiteren, aussichtsreichen Ansatz zum Filtern von Spam:
Greylisting.
Hierbei wird einfach die "Faulheit" der Spammer ausgenutzt: Ihre Ressourcen reichen
normalerweise nicht aus, um für jede E-Mail einen zweiten Zustellversuch zu unternehmen.
Solange nicht große
Bot-Netze
von Spammern dazu eingesetzt werden, E-Mails zu versenden, ist es kaum möglich, in relevantem Umfang
diesen Schutz zu umgehen.