Spam und UCE - Reputation Filter

Das englische Wort "Reputation" umschreibt Begriffe wie "Vertrauenswürdig", "Ehrwürdig" etc. Und versucht, bestimmten Firmen eine bestimmte "Korrektheit" beim Versand im Internet zu verleihen. Der Empfänger kann dann diese Datenbank nutzen um die Mail anzunehmen oder eben den Absender als nicht seriös abzulehnen. Reputationssysteme sind fast alle kommerziell, bei denen Anbieter eine Datenbank pflegen.

So funktioniert es

Sie benötigen entweder gleich das entsprechende Produkt des Herstellers, welches die Überprüfung durchführt oder Sie konfigurieren ihr bestehendes System so, dass es einen Reputationsdienstleister abfragt.

  • Verbindung wird aufgebaut
    Der empfangende Mailserver erhält die IP-Adresse der Gegenseite und prüft diese gegen eine lokale Reputationsdatenbank oder über eine Abfrage an den Dienstleister auf ihren "Status".
  • Ablehnen oder Durchlassen
    Je nach Ergebnis dieser Abfrage wird die Verbindung mit einer Fehlermeldung beendet oder weiter geführt

Insofern ist die Funktion der RBL oder DUL sehr ähnlich, nur dass sie sich nicht auf die Schwäche eines Systems beziehen, sondern guten Absendern einen Vorteil verschaffen können, während bekanntermaßen schlechte Versender, die aber weder ein offenes Relay noch eine dynamische Adresse verwenden, ausgesperrt werden.

Probleme

So einfach und effektiv dieses Verfahren erscheint, so knifflig sind die Probleme, die damit einhergehen:

  • Anbieter, Produkte und Kriterien
    Im Gegensatz zu den meist öffentlichen RBL-Listen stehen hinter Reputationssystemen Firmen, die eine Dienstleistung bereit stellen. Die meisten Firmen haben unterschiedliche Kriterien und es gibt durchaus auch unterschiedliche Qualitäten der Daten und Verfügbarkeit. Einige Reputationsfilter "helfen" Marketingfirmen gegen Geld, dass deren Werbeaussendungen nicht als Spam blockiert werden-
  • DDoS gegen den Reputationsserver
    Ein Spammer kann sich nun natürlich genau den Anbieter des Reputation Service als Ziel aussuchen. Zwar haben all diese Anbieter mitterlweile mehrere Server aber es bleibt ein reales Risiko, dass der eigene Filter keine Antwort von der zentralen Datenbank oder Updates der Datenbank bekommt. Je nach Implementation kann der Filter dann alle Verbindungen temporär ablehnen oder ungefiltert durchlassen.
  • Partielle Daten
    Ein Reputationserver kann natürlich nicht damit anfangen, alle IP-Adressen zu sperren und nach und nach die "guten" Versender aufzunehmen. Daher enthält die Datenbank nicht für alle IP-Adressen eine Bewertung. Andere Filter sind also weiterhin erforderlich.
  • Zeitverzögerung der Aktualisierung
    Andauernd ändern sich IP-Adressen von Firmen im Internet und damit natürlich auch die Zuordnung von Domainnamen und IP-Adressen. Bis solch eine Veränderung in der Reputationsdatenbank ankommt, vergeht etwas Zeit.
  • Quelle der Daten
    Die meisten Anbieter arbeiten mit "Honeypots", d.h.  Postfächern, die weltweit verteilt sind, um möglichst ein repräsentatives Bild von Spammern zu erhalten. Zusätzlich unterhalten einige Firmen noch Redakteure, die Mails bewerten oder wie Cloudmark quasi die Privatanwender. Jeder Nutzer meldet dabei unerkannten Spam zurück. Knifflig dabei ist nur, dass jeder Mensch andere Vorstellung von Spam hat. Eine spanische Mail an mein Postfach, die ich nicht "verstehen" kann, ist für mich "unerwünscht",  obwohl sie durchaus für andere Empfänger legitim sein kann.

Aus diesen Gründen ist es immer noch erforderlich, dass ihr Filter nicht nur auf solch einem Reputationsservice aufbaut und ihre Kunden auch eine Möglichkeit haben, bei fehlender oder irrtümlich schlechter Reputation ihnen eine Mail zu senden.

Potential

Das Prinzip von Reputationsdatenbanken ist einleuchtend und könnte zukünftig die Lösung für die Steuerung von Mails sein. Im Gegensatz zu SPF/CallerID oder DKIM  sind sie nicht auf ein Mitwirken der Absender angewiesen, was sowieso nicht realistisch wäre, sondern bauen selbst eine Datenbank mit Vertrauensstufen auf. Allerdings wird erst die Zukunft zeigen, ob die Datenbanken auch halten können, was Sie versprechen, da es keine klare Definition gibt, was Spam und was legitim ist. Auf der einen Seite müssen neu an das Internet verbundene Firmen natürlich in absehbarer Zeit auch das Internet nutzen können, während sehr flexible Spammer weiterhin ausgesperrt werden sollten. Ob dies nun allein anhand von IP-Adressen,  von Domainnamen, Trafficbeobachtungen oder geografischen Regionen erfolgt. bleibt den Anbietern überlassen.

Schade ist natürlich, dass sich solche Filter immer auf einzelne IP-Adressen beschränken und sich nicht langsam die Provider mit einem "Rating" versehen, so dass "Spamfreundliche" Provider zukünftig abgestraft werden und letztlich besser prüfen, wem Sie ihre Dienstleistung anbieten. Im Zahlungsverkehr haben unternehmer schon lange mit der Schufa oder Creditreform entsprechende Mechanismen umgesetzt.

Generell bin ich persönlich kritisch den Filtern gegenüber eingestellt, die auf der IP-Ebene direkt blockieren, da bei False Positives einfach der Verdruss zu groß ist. Ich kann das natürlich einfach schreiben, da mein NoSpamProxy hier über eine "Level of Trust"-Funktion effektiv eine Lösung bietet.

Weitere Links