Hilfe gegen die Spam-Flut

12.06.2001
Weltweit sollen die unaufgefordert zugesandten Werbebotschaften einen Schaden von zehn Milliarden Euro pro Jahr auf Empfängerseite verursachen. Wer sich vor dem digitalen Müll schützen will, sollte sich die Dienste von Anti-Spamming-Organisationen genauer anschauen und zur Filterung der eingehenden Mails deren Informationspool nutzen.

Von Michael Pietroforte*

MÜNCHEN (COMPUTERWOCHE) - Spamming ist heute in vielen Ländern verboten, nimmt aber dennoch zu. Weltweit sollen die unaufgefordert zugesandten Werbebotschaften einen Schaden von zehn Milliarden Euro pro Jahr auf Empfängerseite verursachen. Wer sich vor dem digitalen Müll schützen will, sollte sich die Dienste von Anti-Spamming-Organisationen genauer anschauen und zur Filterung der eingehenden Mails deren Informationspool nutzen.

Ob Bulk-Mail, Junk-Mail, UCE (Unsolicited Commercial E-Mail) oder Spam - gemeint ist damit immer die unwillkommene Verstopfung des E-Mail-Postfaches durch fragwürdige Werbebotschaften aus aller Herren Länder. Einer Gartner-Studie von 1998 zufolge fielen 37 Prozent aller Spams in die Kategorie "get rich quick", während sich 25 Prozent der Offerten an "adults" richteten. In einer Anfang dieses Jahres veröffentlichten Studie der EU-Kommission soll Spam in Zukunft weltweit alleine auf Seiten der Anwender für die Speicherung und das Herunterladen Kosten in Höhe von zehn Milliarden Euro pro Jahr verursachen. Von verloren gegangener Produktivität in Unternehmen oder dem Aufwand, den Internet-Service-Provider (ISPs) betreiben müssen, um das Spamming soweit möglich mit technischen Mitteln zu unterbinden, ist hier noch gar nicht die Rede.

Das Versenden von Werbe-Mails ist nicht allein wegen der finanziellen Schäden alles andere als ein Kavaliersdelikt, sondern ist auch in vielen Ländern verboten und wird mit empfindlichen Geldstrafen geahndet. In den meisten amerikanischen Bundesstaaten kommen auf den Spammer einige Dollar Strafe pro Mail zu. Washington und Rhode Island verhängen gegen Urheber von elektronischen Werbebotschaften sogar Bußgelder von bis zu 500 Dollar. Begründet werden derart drakonische Strafen mit den Bemühungen des Spammers, durch Header-Manipulationen seine Identität zu verschleiern, und mit der missbräuchlichen Nutzung von Internet-Ressourcen Dritter. Ebenfalls strafbar machen sich in den USA jene, die den Adressaten des Mailings keine Möglichkeit geben, sich aus dessen Adressliste zu entfernen. Das Schlagwort in diesem Zusammenhang ist "Opt-out". Unaufgeforderte E-Mail-Werbung ist nach diesem Prinzip also erlaubt, wenn der Absender seine Identität preisgibt und dem Empfänger die Option bereitstellt, auf die Zusendung weiterer Angebote in Zukunft zu verzichten.

Das ist im Wesentlichen auch die Position einer EU-Richtlinie vom Juni 2000 (2000/31/EC). Allerdings geht man hier noch einen Schritt weiter und fordert die Einrichtung verbindlicher Robinson-Listen (siehe Kasten "Links"). Hier können sich Personen eintragen, die keine E-Mail-Werbung erhalten wollen. Listen dieser Art gibt es bereits, allerdings nehmen Werbetreibende davon bislang kaum Notiz.

Als Alternative zum Opt-out-Konzept wird häufig das Opt-in eingesetzt. Hier wird die Zusendung unaufgeforderter Werbe-Mails gänzlich verboten. In Österreich, Dänemark, Finnland und Italien ist dies bereits praktiziertes Recht: Lediglich dann, wenn der Adressat Werbung von einem bestimmten Anbieter akzeptiert, ist die Aufnahme der Adresse in die Mailing-Liste legal. In Deutschland tendierte die Rechtsprechung bisher auch eher zu Opt-in-Variante, allerdings basierten diese Entscheidungen auf Parallelen zu Fax oder Btx. Da es jedoch für E-Mails keine Grenzkontrollen gibt, kann nationale Gesetzgebung Spamming allenfalls einschränken, aber nicht gänzlich unterbinden.

Client- oder Server-Lösung

Bleibt also vorerst nur der Selbstschutz. Inzwischen gibt es für den Mail-Client eine ganze Reihe von Anti-Spam-Lösungen. In der Regel verbinden sich die Software auf Anforderung oder in regelmäßigen Abständen per POP3 mit dem Mail-Server und versucht, mit Hilfe diverser Filterregeln Junk-Mails im Postfach aufzuspüren. Üblich ist die Suche nach bestimmten Absenderadressen oder Domains, aber auch die Ausschau nach verräterischen Ausdrücken wie "$$$" oder "topless". Spams werden dann als solche markiert und lassen sich auf Knopfdruck alle auf einmal löschen. Die meisten Programme bringen bereits eine Vielzahl von Regeln mit, allerdings dürfte deren Pflege meist aufwändiger sein als das Löschen der einzelnen Spams von Hand. Ähnlich sieht es bei Mail-Programmen wie beispielsweise Eudora oder Outlook Express die eine vergleichbare Anti-Spam-Funktionalität aufweisen.

Besser wäre es da natürlich, wenn sich bereits der Provider oder der Administrator des Mailsystems im Unternehmen um die Herausfilterung von Junk-Mails bemühen würde. Der erste Schritt besteht zunächst darin, das eigene Mail-System gegen den Missbrauch durch Spammer zu schützen. Hierzu sollten alle Mail-Server lediglich von IP-Adressen des eigenen Unternehmens Mails für die Weiterleitung ins Internet akzeptieren. Für größere Unternehmen und Internet-Service-Provider mit vielen Mail-Servern lohnt sich die Einrichtung eines dezidierten Mail-Relays. Dabei muss mit Hilfe einer Firewall dafür Sorge getragen werden, dass der gesamte SMTP-Verkehr (SMTP = Simple Mail Transfer Protocol) nur über dieses Relay stattfinden kann. Externe Mail-Server haben so keinen direkten SMTP-Zugriff mehr auf die internen Mail-Systeme und können diese für das Weiterleiten von Spams nicht mehr missbrauchen.

In einem nächsten Schritt kann man an dieser zentralen Stelle dann einen Filter platzieren, der den SMTP-Port nach Spams abhorcht. Hierfür gibt es bereits eine Reihe von Lösungen. Ähnlich wie bei den client-basierenden Programmen versuchen die einfacheren Systeme, mit Hilfe diverser Content-Filter dem Problem Herr zu werden. Vor allem die Analyse des Headers ist dabei oft lohnend. So kann beispielsweise eine Überprüfung der Antwortadresse ergeben, dass es sich gar nicht um eine E-Mail-Adresse handeln kann, zum Beispiel weil das "@"-Zeichen fehlt, oder dass die zugehörige Domain im Domain Name System (DNS) nicht existiert.

Zweifelhafte Mails in Quarantäne

So etwas kann natürlich auch mal versehentlich passieren. Eine auf Server-Ebene irrtümlich als Spam identifizierte Mail ist dabei weitaus problematischer als eine, die von der Client-Software fälschlicherweise als Müll-Mail klassifiziert wurde, denn im ersten Fall bekommt der Empfänger die Nachricht ja gar nicht mehr zu Gesicht. Ein Ausweg aus diesem Dilemma bietet folgende Vorgehensweise: Die zweifelhafte Mail wird in einen Quarantäne-Bereich verschoben, wo sie dann vom Postmaster noch einmal überprüft wird. Allerdings ist dies nur für kleinere Unternehmen machbar. Professionellere Systeme bringen durchaus auch praktikablere Lösungsansätze. Im Wesentlichen beruht die erfolgreiche Spam-Identifikation auf der Konsultation externer Informationsquellen, nämlich bei Organisationen, die den Spammern den Kampf angesagt haben.

Eine der eifrigsten Anti-Spam-Organisationen ist MAPS (Mail Abuse Prevention System). MAPS führt drei Spam-Listen: Die RBL (Realtime Blackhole List) ist ein Verzeichnis von IP-Adressen beziehungsweise Subnetzen von Organisationen, die in der Vergangenheit Spammer unterstützt haben oder aber zumindest die Nutzung ihrer Internet-Ressourcen durch Spammer tolerieren. Derzeit enthält die Liste etwa 4000 Einträge. Eine Liste, die nicht unbedingt mit Spamming assoziiert werden muss, stellt die DUL (Dialup User List) dar. In ihr sind gut 11.000 Einträge von IP-Subnetzen enthalten, die ISPs für die dynamische Zuweisung von IP-Adressen bei Einwahlverbindungen verwenden. Allerdings macht sich ein SMTP-Server mit einer IP-Adresse aus diesem Pool grundsätzlich des Spamming verdächtig. Unternehmen, die eigene SMTP-Server betreiben und noch per Modem-Einwahl die Verbindung zum Internet herstellen, werden aus dem Verzeichnis ausgeschlossen. Im Gegensatz hierzu handelt es sich bei der RSS-Liste (Relay Spam Stopper) um eine Sammlung von immerhin 80.000 Open-Relay-Servern, die bereits von Spammern missbraucht wurden und nach wie vor von jedem beliebigen SMTP-Server aus Mails weiterleiten. Eine weitere bekannte Anti-Spam-Organisation ist ORBS (Open Relay Behaviour-modification System). Auch sie pflegt eine frei verfügbare Liste von Open-Relay-Servern. Im Unterschied zur MAPS-RSS sind hier aber auch Relay-Systeme enthalten, die zumindest bisher von Spammern nicht für ihre Dienste in Anspruch genommen wurden.

Schutz vor Spamware

Administratoren von Mail-Relays können nun diese Listen nutzen, um ihr Netz vor Spamware zu schützen. Beim Eintreffen einer Mail muss hierzu zunächst eine DNS-Abfrage der IP-Adresse des anfragenden SMTP-Servers an den für die entsprechende Liste zuständigen Name-Servers gestellt werden. Alternativ kann man die Listen von MAPS auch in regelmäßigen Abständen per Zone-Transfer in einen eigenen DNS-Server übernehmen. Allerdings ist dieser Service für RBL und RSS kostenpflichtig. Ist die DNS-Abfrage positiv, kann die Mail blockiert werden. Eine Anleitung für die Konfiguration von Sendmail und einige andere bekannte Mail-Server findet sich auf der Website von MAPS. Inzwischen gibt es auch schon eine Reihe von Mail-Systemen, die dieses Feature standardmäßig mitbringen. Mail-Systeme, die derartige DNS-Abfragen nicht erlauben, können durch SMTP-Firewalls abgesichert werden. Viele dieser Programme unterstützen bereits die Einbindung der ORBS- oder MAPS-Listen. Neben der Content-Filterung bieten diese Systeme dann häufig auch gleich die Integration eines Virenscanners.

Dies liegt freilich auch nahe, denn bei Spamware handelt es sich ebenso wie bei Computerviren um Malware, also Störprogramme, die am besten gleich an zentraler Stelle herausgefiltert werden sollte. Bei Brightmail, einem Unternehmen, das sich sowohl der Viren- als auch der Spam-Bekämpfung widmet, setzt man daher für beide Übel auch die gleichen Methoden ein: Spams werden ähnlich wie Computerviren gesammelt, um daraus dann Spam-Signaturen zu erzeugen. Nach eigenen Angaben hat das Unternehmen 100 Millionen E-Mail-Adressen im Web platziert, die als Köder für E-Mail-Harvesting-Systeme dienen sollen. Brightmail-Mitarbeiter überprüfen die eingehenden Mails und ergänzen bei eintreffenden Spams die Liste der Signaturen. Ähnlich wie bei Herstellern von Antivirensoftware kann der Download dieser Signaturen automatisiert werden. Brightmail bietet hierfür ein Mail-Gateway für Solaris-, AIX- und DEC-Systeme an, das vor allem ISPs und ASPs (Application Service Providern) helfen soll, Spams und Viren herauszufiltern.

Allerdings gibt es doch einen nicht ganz unwesentlichen Unterschied zwischen Spams und Mail-Viren. Während Letztere immer noch der Mitwirkung eines unkundigen Anwenders bedürfen und daher in der Regel zunächst in einem Postfach auf ihre Aktivierung warten müssen, werden Spams von Open-Relay-Servern binnen weniger Stunden an Tausende von Adressen verteilt. Bis die entsprechende Signatur vor Ort verfügbar ist, ist es daher oftmals schon zu spät.

Immerhin läuft man bei diesem Ansatz kaum Gefahr, dass eine E-Mail fälschlicherweise als Spam identifiziert wird, da diese ja zunächst von Personen überprüft wurde. Der Ausschluss von bestimmten Bereichen des Internet im Allgemeinen und der Einsatz automatischer Content-Filter im Besonderen birgt dagegen immer ein hohes Risiko, dass auch mal eine wichtige E-Mail nicht ihr Ziel findet. In jedem Fall ist es empfehlenswert, nur Filtersoftware einzusetzen, die den Absender bei einer blockierten Mail darüber informiert. Wurde seine E-Mail ungerechtfertigt abgewiesen, kann er sich an die entsprechende Organisation wenden, oder er muss gegebenenfalls den ISP wechseln, falls es sich tatsächlich um einen Spammer-freundlichen Provider handelt. Vielleicht bewirkt dies dann ja auch bei so manchem ISP ein Umdenken.

Anti-Spam-Links

Liste von Mailsystemen und SMTP-Firewalls, die MAPS unterstützen: mail-abuse.org/rbl/endorsements.html

Übersicht über SMTP-Firewalls: www.isaserver.org/software/email_content_security.htm

Anti-Spamtools für den Mail-Client: www.topfile.com/win/Internet/Mail_Tools/Anti-SPAM/index.shtml

Homepage von Mail Abuse Prevention System: maps.vix.com

Homepage von Open Relay Behaviour-modification System: www.orbs.org

Homepage von Brightmail: www.brightmail.com

Deutsche Robinson-Liste: www.robinsonlist.de

Europäische Homepage der Coalition Against Unsolicited Commercial Email: www.euro.cauce.org

Informationen zur Gesetzeslage in der EU, USA und einigen anderen Ländern: www.spamlaws.com

Der Namensgeber: Monty Python´s berühmter Spam-Sketch für den Real-Player: www.detritus.org/spam/skit.html

*Michael Pietroforte ist freier Autor in München

Newsletter 'Nachrichten morgens' bestellen!