Inhaltsfilter überfordert

Filtermechanismen von E-Mail-Clients, Antivirus- und Content-Scanning-Lösungen haben zwei Dinge gemein: Zum einen basieren sie grundsätzlich auf einer Analyse des Mail-Inhalts. Zum anderen müssen alle Nachrichten dazu überhaupt erst einmal angenommen werden. Bis dahin verbrauchen sie jedoch kostbare Ressourcen an Rechenleistung, Kommunikationsbandbreite und Speicherplatz. Hinzu kommt die teils erhebliche Gefährdung durch Schadprogramme und illegale Inhalte. Außerdem können Spam-Filter der ersten und zweiten Generation Image-basierten Spam nicht erkennen. Rund 78 Prozent der unerwünschten Nachrichten wandern ungehindert in die Mailboxen der Anwender.

Die meisten Anti-Spam-Technologien basieren auf einer Vielzahl komplexer Scoring-Mechanismen, welche die einzelnen Wörter in einer Nachricht analysieren. Enthält der Text verdächtige Begriffe wie "Viagra", werden die E-Mails als Spam klassifiziert. Dieser Ansatz ist jedoch problematisch, weil die so genannte False-Positive-Rate, also die Anzahl der fälschlicherweise ausgefilterten Nachrichten, sehr hoch sein kann. Gleiches gilt auch für die herkömmlichen URL-Filter. Sie sind aufgrund ihrer oft manuellen Klassifikationstechniken gegen diese neuen URL-Angriffswellen unwirksam, denn die infizierten Seiten verstecken sich meist hinter unkritischen Kategorien wie Finanzen, Unterhaltung oder News.

Reputationsbasierender Schutz

Eine grundsätzlich andere Herangehensweise verfolgt die reputationsbasierende Prävention. Im Gegensatz zu Blacklists und Whitelists stützen sich Reputationsfilter auf einen umfassenden Satz objektiver Daten. Ziel ist es, die Wahrscheinlichkeit exakt einzuschätzen, mit der eine bestimmte IP-Adresse Spam versendet. Die Klassifizierung erfolgt mittels umfangreicher statistischer Daten wie der Anzahl und Größe der gesendeten Nachrichten des Mail-Servers oder der Zahl eingehender Beschwerden.

Dazu gehört auch die Prüfung, ob der Mail-Server an Honeypot-Accounts sendet. Dies sind eigens zum Einfangen anonymer Massen-Mails erzeugte Adressen, die keiner realen Person zugeordnet sind. Weitere Kriterien sind beispielsweise der Ort der Senderorganisation oder die Zeitspanne, seit der eine Organisation bereits E-Mails von diesem Sitz sendet. Das Ergebnis dieser Analyse ist eine Bewertung der Vertrauenswürdigkeit, der Reputation Score. Er entspricht etwa der Bonitätsprüfung bei Finanztransaktionen.

Türsteher gegen Spam

Ein wesentlicher Vorteil von Reputationsfiltern besteht darin, dass die Prüfung erfolgen kann, bevor Mail oder Web-Inhalte überhaupt auf einem der Empfängersysteme ankommen. Daher eignen sie sich als äußerer Schutzwall der Infrastruktur. Denn je früher unerwünschte Daten ausgefiltert werden, umso weniger werden die nachfolgenden Systeme belastet.

Ein Reputation-Filter-System ermöglicht es zudem, verschiedene Mail-Durchsatzregeln für unterschiedliche Sender zu implementieren. Diese Policies verlangsamen die Mail-Zustellung bei weniger vertrauenswürdigen Sendern, während ein viel höherer Durchsatz für vertrauenswürdige Herkunftsadressen zugelassen wird. Zusätzlich leisten die Reputationsinformationen bei der Analyse der Inhalte eine wesentliche Hilfe. Eingebettete URLs lassen sich beispielsweise damit auf Seriosität ebenso überprüfen wie Umleitungsziele in Redirect-Attacken.

Experten gehen davon aus, dass sich aufgrund immer raffinierterer Tricks der Spam-Versender Verfahren wie die Reputationsanalyse durchsetzen werden. Den Analysten der Radicati Group zufolge wurden im Jahr 2007 bereits etwa 332 Millionen Mailboxen durch Reputationsdienste geschützt. (ws)