AOL, Microsoft und Yahoo rücken Massen-Mails zu Leibe

Sender ID soll Spam eindämmen

20.08.2004

Sender-ID basiert auf dem von Microsoft entwickelten "Caller-ID" und dem "Sender Policy Framework" von Meng Weng Wong, Chief Technology Officer von Pobox.com. Die Technik sieht unter anderem zusätzliche Einträge im DNS (Domain Name System) vor, die definieren, welche IP-Adressen für eine bestimmte Domain E-Mails versenden dürfen. Verschickt ein Spammer eine Nachricht zum Beispiel mit der Absenderadresse hotmail.com von einem anderen als den spezifizierten Rechnern, erkennt der empfangende E-Mail-Server, dass die Nachricht nicht von Hotmail stammt, und leitet sie direkt an einen Spam-Filter weiter oder blockiert sie. Das "Spoofing" genannte Verfahren, mit dem Spammer in ihren Massen-Mails vertrauenswürdige Absender vorgaukeln, funktioniert so nicht mehr. Möglich ist das Spoofing, weil das Simple Mail Transfer Protocol (SMTP) keine Kontrollmechanismen zur Verifizierung des Absenders zur Verfügung stellt.

Lücke im SMTP

AOL testet Sender ID bereits seit Januar mit seinen SMTP-Servern. Eingehende Nachrichten werden bislang nicht überprüft. Das vollständige System soll ab September zum Einsatz kommen.

Ein ähnliches Verfahren mit der Bezeichnung "Bonded Sender" will Microsoft mit seinen Diensten Hotmail und MSN ab Oktober implementieren. Bonded Sender verpflichtet die Absender kommerzieller Massen-Mails, sich an Best Practices zu halten und eine Kaution zu hinterlegen. Bei Verstößen gegen die Regeln verfällt die Kaution. Laut Tom Gillis, Senior Vice President beim Verwalter des Bonded-Sender-Programms, Ironport Systems, haben sich bislang 90 Firmen registriert. 400 weitere Unternehmen prüfen derzeit die Teilnahme. Ohne den hohen Marktanteil der Microsoft-Mail-Dienste würde sich Sender ID jedoch nicht verbreiten, meint Gillis. Ein Drittel der Kunden von großen Mail-Versendern hätten ihre Mail-Konten bei Hotmail oder MSN.

Yahoos Domainkeys Authentication basiert auf einem PKI-Verfahren (Public Key Infrastructure), bei dem E-Mails mit privaten Schlüsseln der Absender signiert und vom Empfänger anhand öffentlicher Schlüssel verifiziert werden. Die öffentlichen Schlüssel sind im DNS hinterlegt. Kann eine Mail nicht verifiziert werden, wird sie an den Spam-Filter zur genaueren Prüfung weitergeleitet oder blockiert. Der Einsatz ist ab Jahresende geplant.

Bedenken gegen Sender ID äußerte der Free-Software-Aktivist Richard Stallman. Er schrieb im Forum auf der Website des Internet Mail Consortium, dass das Verfahren möglicherweise nicht kompatibel zu freier und Open-Source-Software sei. Die von Microsoft vergebene Sender-ID-Lizenz ermögliche es nicht, entsprechende Software uneingeschränkt weiterzugeben und weiterzuentwickeln. Das Verfahren sei ein typisches Beispiel für Microsofts Strategie, die Ausbreitung quelloffener Software zu verhindern. Die Äußerungen Stallmans sind im Forum allerdings heftig umstritten. (lex)

Weiterführende Links

Sender ID:

www.microsoft.com/mscorp/twc/privacy/spam_senderid.mspx

Sender Policy Framework:

spf.pobox.com

Posting von Richard Stallman:

www.imc.org/ietf-mxcomp/mail-archive/msg02814.html