Spam und UCE - Filter: Content

Die Zunahme der Werbemails ist im Jahr 2003 und noch  mehr 2004 offensichtlich geworden. Die meisten Hersteller von Antiviren Produkten haben nun auch eine AntiSpam Funktion integriert, die eingehende Nachrichten auch anhand weiterer Kriterien überprüft und vergleichbar zu einem Virus behandelt

Dies liegt nahe, da die Firmen schon die komplette Infrastruktur hierzu in der Vergangenheit aufbauen konnten. Sie habe:

  • Server zu Verteilung von Patterns und Update
  • Produkte, die heute schon Mails analysieren und abfangen
  • Produkte die erkannte Nachrichten in Quarantäne verschieben oder löschen
  • Produkte, die Alarmieren können

Damit ist die Einführung einer AntiSpam Lösung als Contentscanner für diese Firmen der nahe liegende Weg, weitere Kunden zu gewinnen und bestehende zu halten.

So funktioniert es

Eine Software versucht die Nachricht anhand einiger Kriterien zu klassifizieren. Dabei nutzt sie bestehendes Wissen früherer Mails um die Mails von heute zu analysieren. Aber oft reichen auch einige einfache Regel, um Mails zu klassifizieren

  • Rechtschreibprüfung
    Wenn eine Software die Sprache zuverlässig erkennen kann, dann kann eine Rechtschreibprüfung die Nutzung von "ungültigen Füllworten" verhindern, die einen DCC-Filter stören könnte. Aber andererseits funktioniert die Spracherkennung sicher nicht zuverlässig und es gibt leider sehr viele Sprachen. Spammer werden dann einfach Wörter aus einem Wörterbuch nutzen, um DCC zu umgehen.
  • HTML-Validierung
    Viele Nachrichten werden als HTML-Mail versendet. Nun kann in HTML sehr viel versteckt werden, z.B.: indem weiße Schrift auf weißem Grund verwendet wird oder eine Schriftgröße von 1 Pixel eingesetzt wird.
    Einfache DCC-Filter erkennen das nicht und lassen sich damit außer Kraft setzen.
  • HTML-Hyperlinks
    Gerade in HTML-Mails ist es einfach, einen Hyperlink zu addieren. Über eine Sequenz wie "<a href="www.badsite.tld">www.guteseite.tld</a>" kann ein Sender ihnen eine schöne URL anzeigen, die aber auf eine andere Seite lenkt. Leider nutzen auch seriöse Firmen diese unart, wie man an einer Verisign-Mails erkennen kann. Die Absendedomäne lautet auf "verisignoffer.com", während die sichtbare URL auf verisign.de verweist, aber in Wirklichkeit auf sslsurvey.com verweist, um letztlich zu verfolgen, ob die Mailadresse gültig ist.
    Verisign badLink
    Mal abgesehen, dass ich persönlich solche Mails eher als Hinderungsgrund für solche Angebote ansehe, ist es für Spamfilter fast unmöglich, diese Kriterium mit geringen False Positives zu verwenden.
  • Skripte
    Wenn Sie keine HTML-Mails mit eingebetteten Funktionen wünschen, dann können Sie die Existenz dieser Inhalte als Grund für eine Blockade nutzen. Normaler Anwender senden eher selten Mails mit HTML-Skripten im Inhalt. Solche Dinge nutzen eher Angreifer und Spammer, um möglichst viel über Sie und ihre System zu erfahren oder um eine Sicherheitslücke auszunutzen.
  • Worte
    z.B. Wenn "Viagra", "Sex" oder ähnliches in der Mail vorkommt, könnten die die Mail als Spam erkennen. Spammer werden aber sich dagegen wehren, indem die Die Schreibweise ändern, z.B. V1agra, V/agra und anderes. ein Mensch ist sehr "tolerant". Künstliche Intelligenz (KI) ist bei Computern ungleich aufwändiger.
    Aber ein anderes Problem haben die Firmen, die ganz zurecht solche Worte verwenden, z.B. Apotheken, Arzneimittelversender, Krankenhäuser und letztlich auch die Hersteller solche legalen Arzneimittel. Kann ein Spamfilter hier nicht angepasst werden, weil er z.B. auf unveränderlichen Patterndatenbanken aufsetzt, dann sind die Produkte nicht uneingeschränkt nutzbar.

Probleme

Allerdings werden Spammer natürlich solche einfachen Kriterien sehr schnell mit "perfekten" Nachrichten unwirksam werden lassen, so dass allzu einfache Regeln nicht wirklich ausreichend sind.

Diese Filter sind daher sehr pflegeaufwändig und zudem problematisch in bestimmten Bereichen. Ein Arzneimittelhersteller benutzt durchaus Worte wie "Viagra" oder das unverfänglichere Wort "drug", was natürlich ein Synonym für "Drogen" sein kann aber eben auch unverfänglich interpretiert werden kann.

Allerdings ist dieser durch den Administrator selbst zu pflegenden Filter auch eine einfache Möglichkeit, zentral bestimmte Mails zu blockieren oder neue Nachrichten, die durch andere Filter noch nicht gefunden werden.