Die Guten ins Töpfchen

Am besten die Flut stoppen, bevor sie das lokale Netz erreicht. Diese Taktik setzen viele Netzwerkmanager ein, wenn sie Spam-Mails abwehren müssen. Sie versuchen, die unerwünschten Sendboten mithilfe von Filtertechniken bereits am Mailserver abzufangen - nicht immer mit dem gewünschten Erfolg.

Von: Bernd Reder

Wer unerwünschte Nachrichten abwehren will, sollte bereits am Rand des Netzes beziehungsweise auf der Transportebene damit beginnen, das heißt am Mail-Gateway. Beliebte Einfallstore für Spam sind nach Angaben von Vigilar so genannte Open Mail Relays. Dies sind E-Mail-Server, die so konfiguriert sind, dass sie auch Nachrichten weiterleiten, die nicht an ihre eigene Domain adressiert sind.

Dazu ein Beispiel: Ein Unternehmen unterhält einen Mailserver für die Domain www.zzz.de. Kommt bei diesem eine Nachricht für user@zzz.de.de an, leitet er sie an den betreffenden Mitarbeiter weiter. Nun erhält der Server aber eine Nachricht für user@mmm.de, der nicht in seinem internen Adressverzeichnis existiert. Ist der Server als Open Mail Relay aufgesetzt, blockt er diese Botschaft nicht, sondern überträgt sie zur Domain mmm.de. Spammer machen sich dies zu Nutze: Sie ermitteln, welche Mailserver "offen" sind und verwenden sie als Relaisstation für ihre Aussendungen.

Um das Schlupfloch Open Mail Relay für Spam-Versender zu versperren, kommen zwei Ansätze in Betracht. Zum einen können Systemverwalter ihre Mailserver so konfigurieren, dass sie Nachrichten von Systemen ablehnen, die nachweislich als Relaisstation dienen. Informationen darüber, welche Server als Open Mail Relays dienen, finden sich in Datenbanken. Eine ist die Open Relay Database (www.ordb.org), eine weitere die "Realtime Blackhole List" (RBL, www.mail-abuse.org/rbl)) von Mail Abuse Prevention System. Ankommende Nachrichten lassen sich mithilfe dieser Verzeichnisse daraufhin überprüfen, ob sie von einem offenen System stammen und gegebenenfalls blockieren.

Nach Angaben von Internet-Serviceprovidern und Anti-Spam-Spezialisten wie Brightmail oder Surfcontrol lässt sich bereits ein Großteil des "Mail-Mülls" vom Unternehmensnetz fernhalten, wenn der eigene Server Mitteilungen von solchen falsch konfigurierten Systemen ablehnt. Manche Spam-Versender setzen jedoch auch eigene Server ein, die über eine Einwählverbindung via Modem oder ISDN mit dem Internet verbunden sind. Auch diese Rechner und die IP-Adressblöcke, die sie nutzen, sind in Datenbanken erfasst. Eine Dial-up User List (DUL) hat unter anderem Mail Abuse Prevention System (www.mail-abuse.org/dul) eingerichtet.

Allerdings sind in diesen Verzeichnissen bei weitem nicht alle offenen oder Spam-Server erfasst. Ein weiterer Kritikpunkt ist, dass auch die Adressen von "unschuldigen" Rechnern fälschlicherweise in diese Datenbank gelangen können, etwa dann, wenn sie fehlerhaft konfiguriert sind.

Als zweite Maßnahme kommen schwarze und weiße Listen in Betracht. In die "Black Lists" werden IP-Adressen oder Domänennamen eingegeben, die Spam-Versender verwenden. Der E-Mail-Server gleicht ankommende Nachrichten mit den Listen ab und filtert solche mit verdächtigen Kennungen automatisch aus. Die Adresslisten kann ein Unternehmen selbst anlegen und pflegen oder das einem Internet-Serviceprovider überlassen. Auch im Internet stehen solche Verzeichnisse bereit. Sie werden häufig von Freiwilligen, Universitäten oder Organisationen unterhalten, die sich dem Kampf gegen die E-Mail-Piraten verschrieben haben.

Es genügt allerdings nicht, nur die schwarzen Schafe zu erfassen. Um das Risiko zu verringern, dass "Fault Positives" auftreten, also Nachrichten ausgefiltert werden, die keine Spam-Mails sind, empfiehlt es sich, "White Lists" anzulegen. In ihnen sind die Domain-Namen oder IP-Adressen von Organisationen und Firmen hinterlegt, die als vertrauenswürdig eingestuft werden. Das gilt beispielsweise für Geschäftspartner. Außerdem sollten Unternehmen dafür Sorge tragen, dass Spam-Mails nicht sofort vernichtet, sondern in speziellen Ordnern abgelegt werden. Sollte doch einmal ein "Fault Positive" auftreten, kann der Netzwerkmanager diese Mitteilung dann nachträglich aus dem Verzeichnis heraussuchen.