Unerwünschte E-Mails belasten die IT-Systeme

Der Weg aus der Spam-Falle

09.02.2006
Von Edmund Lindau/CW.at

Um unerwünschte E-Mails vom regulären E-Mail-Strom zu trennen, braucht man Unterscheidungsmerkmale. Die Kernfrage beim Umgang mit E-Mail-Strömen lautet also: Wie erkennt man möglichst viele der unerwünschten E-Mails, ohne den regulären Kommunikationsfluß zu behindern? In der Vergangenheit gab es hierzu zahlreiche Ansätze, etwa die so genannten Black- und Whitelists. Das sind im Internet verbreitete Listen der Adressen bekannter Übeltäter und der zugehörigen Ausnahmen. Mit Hilfe dieser Verzeichnisse lässt sich die gesamte Kommunikation zu den bekannten Adressen einfach komplett abschotten. Da sich die Spam-Versender und die Wurmausbreitungsmechanismen aber mittlerweile sehr geschickt tarnen und zahlreiche, stetig wechselnde Adressen verwenden, ist die Wirkung von solchen statischen Listen grundsätzlich begrenzt. Zudem besteht die Gefahr, dass Unternehmen versehentlich auf einer Blacklist landen und dann für mehrere Tage keine E-Mails mehr versenden können.

Auf der anderen Seite haben Applikationshersteller viel Energie darin investiert, ihren E-Mail-Clients, Antivirus- und Content-Scanning-Lösungen immer intelligentere Filtermechanismen beizubringen. Sie alle haben zwei Dinge gemeinsam: Zum einen basieren sie grundsätzlich auf einer Analyse des E-Mail-Inhalts - zum anderen müssen alle E-Mails dazu überhaupt erst einmal angenommen werden. Bis dahin verbrauchen sie jedoch kostbare Ressourcen an Rechenleistung, Kommunikationsbandbreite und Speicherplatz. Hinzu kommt die teils erhebliche Gefährdung durch Schadprogramme und illegale Inhalte.

Reputationsbasierende Prävention

Eine grundsätzlich andere Herangehensweise verfolgt die reputationsbasierte Prävention. Sie ist so etwas wie die nächste Generation von identitätsbasierten Spam-Bekämpfungsversuchen wie Blacklists und Whitelists. Nur eingehende E-Mails werden dazu analysiert. Die Entscheidung fällt auf Basis umfangreicher Informationen über die Quelle der Nachricht. Da nur der Absender analysiert wird und nicht der Empfänger, gewährleistet das Vorgehen zudem ein sehr hohes Maß an DatenschutzDatenschutz. Alles zu Datenschutz auf CIO.de

Im Gegensatz zu Blacklists (Listen von verdächtigen, unerwünschten Mailversendern) und Whitelists (Listen von als "gut" bewerteten Mailservern) stützen sich Reputationsfilter auf einen umfassenden Satz objektiver Daten. Das Ziel ist es, die Wahrscheinlichkeit, dass eine IP-Adresse Spam versendet, möglichst exakt einzuschätzen. Die Klassifizierung erfolgt mittels umfangreicher statistischer Daten wie der Anzahl und Größe der gesendeten Nachrichten des Mailservers oder wie viele Beschwerden eingehen. Dazu gehört auch die Analyse, ob der Mailserver an Honeypot-Accounts sendet. Das sind eigens zum Einfangen anonymer Massenmails erzeugte E-Mailadressen, die keiner realen Person zugeordnet sind. Weitere Kriterien sind beispielsweise der physikalische Ort der Senderorganisation oder die Zeitspanne, seit der eine Organisation bereits E-Mails von diesem Sitz sendet. Das Ergebnis dieser Analyse ist eine Bewertung der Vertrauenswürdigkeit, der so genannte Reputation Score. Er entspricht in etwa der Bonitätsprüfung bei Finanztransaktionen.

Nachrichten von verdächtigen Absendern können dann je nach Wahl des Administrators begrenzt oder vollständig blockiert werden. E-Mails bekannter Absender, wie Geschäftspartner oder Kunden, wandern abhängig von der Konfiguration des Administrators an den Filtern vorbei direkt ins Firmennetzwerk. So können Unternehmensrichtlinien übergreifend für präventive und reaktive Schutzmaßnahmen auf einfache Art und Weise umgesetzt werden.

Zur Startseite