Spam kostet Unternehmen eine Menge Geld. Schätzungen von Experten zufolge macht der elektronische Werbeschrott mittlerweile mehr als 70 Prozent aller eingehenden E-Mails in vielen Unternehmen aus - Tendenz steigend.

Die elektronische Flut belegt Server-Kapazitäten, lässt Postfächer überlaufen und kostet die Anwender wertvolle Arbeitszeit. Wirksame Gegenmaßnahmen sind also gefragt. Wer zur Spam-Abwehr jedoch die Post nach starren Merkmalen in Gut oder Böse filtern will, übersieht vieles. Greylisting, ein neuartiges Verfahren, erkennt dagegen Datenmüll auch in der breiten Grauzone und weist den Spam bereits ab, bevor er die Mail-Server erreicht.

Greylisting basiert auf einem einfachen Trick: Direkt an den Eingangs-Relays für E-Mails werden bei jeder empfangenen Nachricht drei Informationen abgefragt: Neben der IP-Adresse des sendenden Mail-Servers sind das Absender- und Empfängeradresse. Die daraus resultierende Kombination bildet das "Triple". Erscheint es zum ersten Mal, wird die dazugehörige E-Mail abgewiesen. Mail-Server von seriösen Versendern unternehmen in diesem Fall nach kurzer Zeit einen zweiten Zustellversuch. Jetzt ist die Dreierkombination bereits bekannt, die Post wird zum Empfänger durchgelassen.

Spammer ausgetrickst

Nicht so der Werbemüll: Spammer setzen nämlich darauf, große E-Mail-Mengen in möglichst kurzer Zeit zu versenden. Sie schicken Millionen E-Mails innerhalb weniger Minuten an großteils erfundene, aber relativ wahrscheinliche Adressen. Angesichts dieser schlechten Adressenqualität wären wiederholte Zustellversuche wenig sinnvoll - Spammer verzichten daher nahezu immer auf die zweite Chance. Von der "Fire-and-forget"-Methode profitiert das Greylisting, indem es nur einmal zugestellte E-Mails mit unbekanntem Triple abweist.

Dabei geht Greylisting völlig konform mit dem gängigen Mail-Standard. Auf der Protokollebene erfolgt die Abweisung mittels der regulären Fehlermeldung 451 ("temporary failure"). Gleichzeitig wird das neue Triple aber in einer Datenbank gespeichert und nach einer kurzen Verzögerung, beispielsweise zehn Minuten, freigeschaltet. Diese kleine Karenz ist notwendig, damit Spammer das Greylisting nicht einfach mittels einer sofortigen zweiten Zusendung nach dem ersten Fehlversuch umgehen können.

Bei der wiederholten Zustellung, die SMTP-Mail-Server in der Regel nach 15 Minuten versuchen, wird die gleiche E-Mail dann akzeptiert. Das Zeitfenster für den erfolgreichen zweiten Versuch bleibt dabei über mehrere Stunden geöffnet. Wird es nicht genutzt, muss sich die E-Mail wieder neu anmelden.

Hat ein Triple jedoch einmal das Greylisting-Verfahren durchlaufen, wird die entsprechende Sender-Empfänger-Beziehung freigeschaltet, künftige E-Mails werden dann ohne Verzögerung zugestellt. Die Freischaltung gilt für einen Zeitraum von rund einem Monat und wird mit jeder weiteren Zustellung erneuert.

Mail-Server werden entlastet

Ein wichtiger Vorteil von Greylisting gegenüber anderen Anti-Spam-Verfahren ist zudem, dass die abgewiesenen E-Mails gar nicht erst angenommen werden. Denn die Überprüfung der Triple-Informationen erfolgt bereits beim Verbindungsaufbau, und die 451-Meldung wird gegebenenfalls abgeschickt, bevor die eigentliche E-Mail eintrifft. Dadurch werden die Mail-Server von der Bearbeitung erheblicher Mengen elektronischen Datenmülls entlastet.

Jedoch kann sich das Verfahren mit anderen Anti-Spam-Techniken ergänzen. Das Greylisting arbeitet mit einer völlig anderen Herangehensweise, weil es sich auf den Versandmechanismus stützt. Mails, die diese sehr hohe Hürde überwinden, lassen sich dann mit anderen Anti-Spam-Mechanismen filtern, die idealerweise inhaltsbasiert arbeiten, also an bestimmten Inhaltsmerkmalen erkennen sollte.

Ein wichtiger Unterschied besteht darin, dass inhaltsbasierte Anti-Spam-Filter immer auch einige erwünschte E-Mails ausfiltern. Daher muss der Anwender entweder den Verlust in Kauf nehmen oder die als Spam erkannten Nachrichten gelegentlich durchsehen, ob nicht doch eine erwünschte E-Mail dabei war. Bei Greylisting werden grundsätzlich alle Mails zurückgewiesen, weil erst der zweite Zustellversuch zählt. Sollte aus irgendeinem Grund der Betreiber eines Mailservers diesen so einstellen, dass keine weiteren Zustellversuche erfolgen, erhält der Absender eine Fehlermeldung und weiß, dass seine Mail nicht angekommen ist. Damit werden die sog. "false-positives" beim Greylisting erkannt.

Greylisting lässt sich als Erweiterung auf gängigen Open-Source-Mail-Servern wie beispielsweise "Sendmail", "Postfix" und "Exim" installieren, und in die freien Betriebssysteme "Open BSD" und "Free BSD" ist es bereits integriert.

Idealerweise erfolgt der Einsatz am Mail-Eingang, also beispielsweise auf der Firewall oder auf einem zentralen Spam- beziehungsweise Viren-Scanner. Daher ist auch der Einsatz in Verbindung mit Lösungen wie "Exchange" oder "Domino" kein Problem. Diese sind von dem gesamten Vorgang des Greylistings überhaupt nicht betroffen, da sie unerwünschte Nachrichten bei zentralem Einsatz des Verfahrens erst gar nicht erhalten.

Die Ergebnisse bei der Spam-Abwehr sind überzeugend: So musste der Postmaster der TU Chemnitz nach der Aktivierung des Greylisting besorgte User beruhigen, die angesichts des geringen Spam-Aufkommens in ihren Postfächern die Mail-Server für defekt hielten. Konkrete Zahlen liefert die Stadtverwaltung Mülheim an der Ruhr: Sie nutzt Greylisting seit einem halben Jahr über ihre Firewall-Lösung und verzeichnet seitdem stolze 95 Prozent weniger Spam.

Weniger False Positives

Von dieser effektiven Abwehr profitieren neben den Usern vor allem auch die Netzadministratoren. Bei einem großen Nutzfahrzeuge-Hersteller beschäftigten sie sich beispielsweise vor der Einführung von Greylisting jede Woche rund vier Stunden mit der Durchsicht der Quarantäne-Datenbank, um fälschlicherweise vom Content-Filter aussortierte E-Mails aus dem digitalen Datenmüll herauszufischen. Seit hier Greylisting an den Firewall-Systemen arbeitet, ist diese Recherche in weniger als einer Stunde erledigt.

Auch gegen Mail-Würmer bietet Greylisting Schutz: Als "Sober.I" sich Mitte November 2004 selbst via E-Mail massenhaft verbreitete - bei vielen Unternehmen vervierfachte sich die Anzahl der Zustellversuche innerhalb einer Woche -, konnte der Internet-Wurm das Greylisting nicht überwinden. Denn jede dieser E-Mails wies individuelle Triple-Informationen auf und wurde nur ein einziges Mal zugestellt. Auch Wurm-Aktionen scheitern, weil sie auf Masse statt auf zuverlässigen Versand setzen.

Nur geringe Nachteile

Wie jedes wirksame Mittel hat jedoch auch Greylisting Nebenwirkungen. Zum einen kommt es bei E-Mails mit bisher unbekannten Triples zu geringfügigen Verzögerungen bei der Zustellung. Diese kleine Wartezeit von etwa 15 Minuten, die lediglich bei der ersten Kontaktaufnahme auftritt, ist jedoch im Geschäftsbetrieb hinnehmbar. Lästiger sind Kommunikationsprobleme mit Mail-Servern, die auf die SMTP-Fehlermeldung nicht gemäß RFC-Standard mit einer erneuten Zustellung reagieren. Ursache hierfür ist oftmals nachlässige Konfiguration oder schlecht programmierte Software. Wenn der zuverlässige E-Mail-Austausch mit diesen Mail-Servern dennoch sichergestellt werden soll, müssen diese gezielt vom Greylisting ausgenommen werden.

Insgesamt ist die Zahl der nicht RFC-konformen Mail-Server jedoch gering und nimmt ständig weiter ab. Problematisch sind darüber hinaus dynamische IP-Adressen, die beispielsweise Nutzern von Modems zugewiesen werden. Oftmals ist die Einwahlzeit zu kurz, um das Greylisting mit einer zweifachen Zustellung zu überwinden. Hier sollten E-Mails über das Relay des Providers versendet werden, der über eine feste IP-Adresse verfügt und die Post mit einer zweiten Zusendung zuverlässig zustellen kann. (ave)