Spam und UCE - Filter: Frequenzanalyse

ähnliche Prinzipien: SNDS, Smart Network Data Services

So funktioniert es

Auch dieses Kriterium versucht die IP-Adressen in bestimmte Klassen zu sortieren, in dem es aufzeichnet, wie eine bestimmte IP-Adresse Mails versendet. Es ist ganz natürlich, dass es im Internet IP-Adressen gibt, die sehr viel Mails senden (z.B.: große Firmen a la Siemens, IBM, Dienstleister wie GMX, Hotmail oder Versender von regelmäßigen Newslettern.

Wenn es nun gelingt, eben zu jeder IP-Adresse oder jedem Subnetz ein Art "Profil" zu erstellen, dann fallen Änderungen der Nutzung natürlich auf. Eine Firme, die bislang vielleicht wenig Mails pro Tag versendet hat aber plötzlich tausende Nachrichten zustellen will, ist eher als Spammer oder Oper eines Virus anzusehen.

Auch dynamische IP-Adressen, die in der Regel von Privatanwendern oder sehr kleinen Firmen genutzt werden, senden entweder nur sehr wenig Nachrichten oder nutzen gleich den Smarthost ihres Providers zum Versand. Insofern ist auch das Profil für diese Adressen eher "wenig Mails" als große Mengen.

Damit geht dieser Ansatz etwas besser auf die Bedürfnisse ein, als der Filter einer "DialUp List" (Siehe DUL), der in der Regel komplett diese dynamischen Zugänge blockiert.

Probleme und Grenzen

Der Ansatz ist nett aber stellen Sie sich bitte die Frage, wer nun solche "Profile" erstellt ?. Je kleine die Firma ist, desto geringer ist die Wahrscheinlichkeit, überhaupt von der gleichen IP-Adresse mehrfache Mails zu bekommen. Sie können allenfalls für ihre Kommunikationspartner mit festen IP-Adressen entsprechende Profile erstellen. Aber genau diese wollen Sie natürlich nicht blocken, d.h. wenn das Verkehrsaufkommen zu einem bekannten Kommunikationspartner z.B.: aufgrund einer Messe oder eines aktuellen  Projekts kurzfristig schnell ansteigt, darf so ein Filter die Mails trotzdem nicht blockieren.

Für die unzahl der dynamischen Adressen ist es sogar eher wahrscheinlich, dass Sie von jeder Adresse nur einmal eine Spam-Mail in einem längeren Zeitraum erhalten und somit auch keinen Filter aufbauen können.

Die Spammer, die heute schon feste IP-Adresse nutzen oder spamfreundliche Provider, bei denen ganze Subnetze als Spamquellen diesen, werden durch den Lerneffekt auch nach kurzer Zeit als "Massenversender" erkannt. Aber diese Einstufung ist ja nicht mit "Spam" gleichzusetzen, sondern kennzeichnet nur das Profil, dass dieses System eben viele Mails versendet. Über gut oder schlecht kann dieser Filter nicht entscheiden, es sei denn das Mailvolumen nimmt sehr schnell zu.

Was machen dann aber z.B.: Firmen, die einen Host für bestimmte Aktionen installieren, z.B.: die Fußball Weltmeisterschaft FIFA 2006, die ebenfalls per Mail mit vielen Personen kommuniziert. Lang Zeit ist der Server quasi still und sobald der Vorverkauf beginnt, nimmt das Mailvolumen fast schlagartig zu.

Sinnvoll könnte aber so ein Filter als zusätzliches Kriterium bei den großen Providern sein, die abertausende Postfächer betreiben und damit ihr Erkennungsrate verbessern.

Für kleine Firmen hingegen wird dieses Verfahren nur dann von Vorteil sein, wenn Sie von anderen Quellen die Profile für IP-Subnetze und Adressen beziehen können. Solche Informationen könnten ähnlich wie bei DUL und RBL per DNS bereit gestellt werden und eine weitere Variante zur Qualifizierung von IP-Adressen sein.

Weitere Links