Spam und UCE - Filter: DCC

Dieses Verfahren wird oft auch "Unscharfe Prüfsummen", Hashcode, CRC, Ephemeral Signatures, Nilsimsa Signatures genannt.

So funktioniert es

Spammer können nicht jede Mail von Hand schreiben, sondern nutzen Programme, die aus verschiedenen Textbausteinen die Nachrichten zusammen setzen. Diese Eigenschaften machen Sich Filter zu nutzen, die versuchen, gleiche Mails zu erkennen. In der normalen Kommunikation ist jede Mail irgendwie individuell. Spam-Nachrichten an viele Leute hingegen sind bis auf wenig Textstellen doch vergleichbar.

Allerdings sind auch Spam-Mails nie 100% identisch. Schon das Datum, die Zeit und der Absender und Empfänger ändern sich. Auch in der Nachricht selbst ist es sehr einfach, eine Mail zu personalisieren oder zu individualisieren (Prinzip eines Serienbriefs). Die meisten Spammer benötigen diese Funktion sogar, um über individuelle Hyperlinks eine Nachverfolgung zu erlauben.

Daher kann der Filter keine exakte Prüfsumme (Hashwert) einer Nachricht erstellen, sondern muss eine "unscharfe" Prüfsumme zu erstellen. Allerdings gibt es bei Computern immer nur "Wahr" oder "Falsch". Ein "ähnlich" ist nicht so einfach. Die Algorithmen versuchen daher eine Mail zu vereinfachen, damit auch ähnliche Nachrichten nach der Vereinfachung "gleich" sind. Das kann z.B. sein:

  • Reduzierung der Mail
    z.B. nur Berücksichtigung von Konsonanten, Entfernen von Ziffern, Sonderzeichen, Leerzeichen etc
  • Nutzung ausgewählter Teile
    z.B.: nur die ersten Absätze, nur die Anfangsbuchstaben der Worte etc

Hier gibt es keine Standards und nur wenige Produkte legen ihr Verfahren offen. Damit sind diese Filter verschiedener Hersteller auch nicht zu vergleichen und die Prüfsummen nicht austauschbar. Sobald ein Spammer das Verfahren genau wüsste, wüsste er auch, wie er es umgehen kann.

Der Versuch, viele nahezu identische Mails zu erkennen und dann zu verhindern ist ein interessanter und anscheinend guter Ansatz und wird um so besser funktionieren, je mehr gleichartige Nachrichten ankommen. Größere Firmen und Firmen mit viel Spamaufkommen aber auch Provider sind hierbei bestens geeignet.

Kleinere Firmen können ebenfalls profitieren, wenn Sie die ermittelten Prüfsummen miteinander austauschen, solange sich kein Spammer in diesen Verbund mit einmischt und mit vielen falschen Prüfsummen das Verfahren stört. Allerdings wird es immer wieder Spammer geben, die ebenfalls diese Prüfsummenprogramme ausprobieren und eben die Mails entsprechend anpassen, damit die unschärfe nicht funktioniert. Es läuft auch hier auf ein Hase und Igel Spiel hinaus, bei dem die Schutzprogramme sehr schnell veränderte Algorithmen und dazu passende Prüfsummen verteilen müssen.

Probleme

Das größte Problem dieser Filter ist, dass die Spammer natürlich deren Funktion sehr einfach ausprobieren können und dann versuchen diese zu umgehen. Auf der anderen Seite gibt es auch im regulären Mailverkehr viele Nachrichten sehr ähnlich sind, So dass ein allzu toleranter Filter auch diese ähnlichen Mails irrtümlich erkennen kann.

  • Lernphase
    Die ersten Spam Mails kommen bei solchen selbst lernenden Filtern durch bis der Filter genug "ähnliche" gefunden hat und Folgemails dann blockiert.
  • Trailer
    Viele Firmen und Mitarbeiter hängen an ihre Mail teilweise auch längere Trailer hinten dran. Diese Art Visitenkarte oder Disclaimer wird natürlich vom Filter in vielen Mails "wieder erkannt" und erhöhen die Wahrscheinlichkeit als Spam erkannt zu werden.
  • Newsletter
    Je größer die Firma ist, desto höher ist die Wahrscheinlichkeit, dass mehrere Mitarbeiter die gleiche Mail bekommen, z.B. als Mitglied eines Newsletter. Auch hier könnte der Filter sehr bald diese "Massenmail" als Spam erkennen
  • Versteckte Nachricht
    Um die Erkennung zu erschweren, versuchen Spammer sehr oft die Nachricht als solches zu verbergen, indem diese z.B. in HTML-Tags umschlossen oder als Grafik eingebunden werden.
  • Füllworte
    Ein anderer Ansatz ist die Mail dadurch unterscheidbar zu machen, dass am sehr weit am Ende einer Mail nicht relevante Worte hinzu gefügt werden. Das geht soweit, dass ein Spammer z.B. einen offiziellen Newsletter eines großen Herstellers einfach "Weiterleitet" und seine Werbung davor setzt. Hier wird es dann sehr schwer für einen Filter noch zwischen Gut und Schlecht zu unterscheiden.
  • Anlagen
    Sehr viele Mails haben immer wieder die gleiche Anlage. Das ist z.B. bei signierten Nachrichten der Fall, bei denen p7s oder ASC-Dateien mit dem Zertifikat des Absenders beigefügt sind.

Ein Problem könnte z.B.: folgendes sein. Wenn ich einen MSXFAQ Newsletter versende, dann muss ich mich regelmäßig mit folgendem Ergebnis herum schlagen:

Ein Prüfsummenfilter würde nun aber sehr schnell sehr viele "gleichartige" Mails erkennen und nach einigen diese dann filtern. Würde in der Folge dann jede weitere ähnliche Mail nicht nur gefiltert, sondern auch die einliefernden Gateways und Absender als "verbrannt" gekennzeichnet. Dann wäre der Schaden um einiges größer.

Nützlicher Nebeneffekt - Antivirus

Beim Einsatz des Filters haben wir bemerkt, dass wir mit Prüfsummen über Anlagen auch sehr viele identische Anlagen wieder erkennen. Das hat letztlich dazu geführt dass der nach geschaltete Virenscanner fast nichts mehr zu tun hatte. Gerade große Wurmattacken etc, bei denen aktuell noch die Anlagen (der Virus selbst) nicht in unendlichen Varianten vorkommt, werden so wirkungsvoll gebremst und verhindert. Das darf natürlich kein Freibrief darstellen, auf einen Virenscanner komplett zu verzichten. Zudem dürfte es sehr bald Viren geben, die einen sich immer veränderten Bereich enthalten, auch wenn dies für den Schadcode selbst nicht von Bedeutung ist.

Weitere Links