Die Guten ins Töpfchen

Schwarze Listen austricksen

Schwarze und weiße Listen lassen sich relativ einfach aufsetzen. Allerdings kostet es Zeit, sie auf dem aktuellen Stand zu halten. Das betrifft nicht nur das IT-Fachpersonal, sondern auch die Adressaten von Spam-Mails. Sie müssen die IT-Abteilung darüber informieren, von wem sie unerwünschte Botschaften erhalten haben, etwa indem sie die betreffenden Mails an eine Sammeladresse weiterleiten, etwa Spam@zzz.de. Es ist somit notwendig, dass die Spam-Opfer aktiv am Ausbau des Abwehrsystems mitarbeiten. Das wiederum werden sie nur dann tun, wenn sie über die negativen Auswirkungen von Massen-Mails und den Hintergrund der Abwehrmaßnahmen informiert sind.

Allerdings haben sich die Spammer längst auf diese Abwehrtechniken eingestellt. Ein probates Rezept gegen schwarze Listen ist, ständig die Absenderadressen, Domain-Namen oder IP-Adressen zu variieren oder zu manipulieren. In der Regel werden Fantasie-Domains benutzt, wie folgende Beispiele zeigen. Sie stammen von den E-Mail-Accounts des Autors bei AOL und Microsoft Network (MSN): Ein Kreditvermittler tarnt sich beispielsweise als Barry@phxhtcwhkf.net; der Anbieter einer Software, mit der sich angeblich DVDs brennen lassen, ohne dass dazu ein Brenner nötig ist, versendet seine Nachrichten unter dem Namen "Rhoda Leslie" über die E-Mail-Adresse "xr8zyf2qguk4@excite.com".

Weitere Mittel, auf die Spam-Versender zurückgreifen, um trotz Adressfilter ans Ziel zu kommen, sind Spoofing oder "Stealth"-Techniken. Auch hier spielen Open Mail Relays eine entscheidende Rolle. Viele Programme für das Versenden von "Bulk"-E-Mails ermöglichen es dem Spammer, eine beliebige Adresse in das Absenderfeld ("Von", "From") einer Nachricht einzutragen. Nach Angaben von Vigilar lässt sich das auf einem Open Mail Relay mithilfe von wenigen Telnet-Kommandos bewerkstelligen. Zudem stehen Spam-Versendern inzwischen Softwarewerkzeuge zur Verfügung, die das automatisch erledigen.

Deshalb greifen immer mehr Unternehmen und Universitäten auf eine restriktive Methode zurück: das Verifizieren unbekannter E-Mail-Absender. Im Grunde handelt es sich dabei um eine Variante von White Lists: Nachrichten, deren Domain oder Adresse dem E-Mail-Gateway unbekannt sind, werden zunächst blockiert. Der Mailserver übermittelt an den Absender der Nachricht eine Mitteilung, in der aufgefordert wird, sich quasi auszuweisen. Dies erfolgt, indem er diese Mitteilung beantwortet, also einen Reply zurückschickt. Bleibt diese "Verifizierungs-Mail" aus, verweigert der Server diese und folgende Nachrichten der betreffenden Domäne oder Adresse. Trifft die Bestätigung dagegen ein, wird der Absender auf die Liste der vertrauenswürdigen Kommunikationspartner gesetzt.

Das Verfahren hat den Vorteil, dass es so gut wie alle unerwünschten Mitteilungen identifiziert und aussortiert. Der Nachteil ist, dass es die Rate der "Fault- Positive"-Meldungen erhöht, weil es die Mithilfe des Absenders erfordert. Reagiert dieser nicht auf die Bestätigungs-Mail, wandert er zu Unrecht auf die schwarze Liste. Probleme können auch mit Newslettern auftreten, die ein Interessent abonniert. Sie werden meist automatisch versendet, sprich der entsprechende Server kann in der Regel mit einer Verifizierungs-Mail nichts anfangen.

Um unerwünschte Nachrichten zu identifizieren, ist es deshalb notwendig, auch die Inhalte von E-Mails zu untersuchen. Dabei kommen heuristische und statische Verfahren zum Zuge, außerdem Textanalyse und künstliche Intelligenz. Mit diesen Techniken beschäftigt sich Teil 3 der Serie, der in NetworkWorld 12/13 erscheint.