Spam und UCE - Reputation Filter
Das englische Wort "Reputation" umschreibt Begriffe wie "Vertrauenswürdig", "Ehrwürdig" etc. Und versucht, bestimmten Firmen eine bestimmte "Korrektheit" beim Versand im Internet zu verleihen. Der Empfänger kann dann diese Datenbank nutzen um die Mail anzunehmen oder eben den Absender als nicht seriös abzulehnen. Reputationssysteme sind fast alle kommerziell, bei denen Anbieter eine Datenbank pflegen.
So funktioniert es
Sie benötigen entweder gleich das entsprechende Produkt des Herstellers, welches die Überprüfung durchführt oder Sie konfigurieren ihr bestehendes System so, dass es einen Reputationsdienstleister abfragt.
- Verbindung wird aufgebaut
Der empfangende Mailserver erhält die IP-Adresse der Gegenseite und prüft diese gegen eine lokale Reputationsdatenbank oder über eine Abfrage an den Dienstleister auf ihren "Status". - Ablehnen oder Durchlassen
Je nach Ergebnis dieser Abfrage wird die Verbindung mit einer Fehlermeldung beendet oder weiter geführt
Insofern ist die Funktion der RBL oder DUL sehr ähnlich, nur dass sie sich nicht auf die Schwäche eines Systems beziehen, sondern guten Absendern einen Vorteil verschaffen können, während bekanntermaßen schlechte Versender, die aber weder ein offenes Relay noch eine dynamische Adresse verwenden, ausgesperrt werden.
Probleme
So einfach und effektiv dieses Verfahren erscheint, so knifflig sind die Probleme, die damit einhergehen:
- Anbieter, Produkte und Kriterien
Im Gegensatz zu den meist öffentlichen RBL-Listen stehen hinter Reputationssystemen Firmen, die eine Dienstleistung bereit stellen. Die meisten Firmen haben unterschiedliche Kriterien und es gibt durchaus auch unterschiedliche Qualitäten der Daten und Verfügbarkeit. Einige Reputationsfilter "helfen" Marketingfirmen gegen Geld, dass deren Werbeaussendungen nicht als Spam blockiert werden- - DDoS gegen den Reputationsserver
Ein Spammer kann sich nun natürlich genau den Anbieter des Reputation Service als Ziel aussuchen. Zwar haben all diese Anbieter mitterlweile mehrere Server aber es bleibt ein reales Risiko, dass der eigene Filter keine Antwort von der zentralen Datenbank oder Updates der Datenbank bekommt. Je nach Implementation kann der Filter dann alle Verbindungen temporär ablehnen oder ungefiltert durchlassen. - Partielle Daten
Ein Reputationserver kann natürlich nicht damit anfangen, alle IP-Adressen zu sperren und nach und nach die "guten" Versender aufzunehmen. Daher enthält die Datenbank nicht für alle IP-Adressen eine Bewertung. Andere Filter sind also weiterhin erforderlich. - Zeitverzögerung der Aktualisierung
Andauernd ändern sich IP-Adressen von Firmen im Internet und damit natürlich auch die Zuordnung von Domainnamen und IP-Adressen. Bis solch eine Veränderung in der Reputationsdatenbank ankommt, vergeht etwas Zeit. - Quelle der Daten
Die meisten Anbieter arbeiten mit "Honeypots", d.h. Postfächern, die weltweit verteilt sind, um möglichst ein repräsentatives Bild von Spammern zu erhalten. Zusätzlich unterhalten einige Firmen noch Redakteure, die Mails bewerten oder wie Cloudmark quasi die Privatanwender. Jeder Nutzer meldet dabei unerkannten Spam zurück. Knifflig dabei ist nur, dass jeder Mensch andere Vorstellung von Spam hat. Eine spanische Mail an mein Postfach, die ich nicht "verstehen" kann, ist für mich "unerwünscht", obwohl sie durchaus für andere Empfänger legitim sein kann.
Aus diesen Gründen ist es immer noch erforderlich, dass ihr Filter nicht nur auf solch einem Reputationsservice aufbaut und ihre Kunden auch eine Möglichkeit haben, bei fehlender oder irrtümlich schlechter Reputation ihnen eine Mail zu senden.
Potential
Das Prinzip von Reputationsdatenbanken ist einleuchtend und könnte zukünftig die Lösung für die Steuerung von Mails sein. Im Gegensatz zu SPF/CallerID oder DKIM sind sie nicht auf ein Mitwirken der Absender angewiesen, was sowieso nicht realistisch wäre, sondern bauen selbst eine Datenbank mit Vertrauensstufen auf. Allerdings wird erst die Zukunft zeigen, ob die Datenbanken auch halten können, was Sie versprechen, da es keine klare Definition gibt, was Spam und was legitim ist. Auf der einen Seite müssen neu an das Internet verbundene Firmen natürlich in absehbarer Zeit auch das Internet nutzen können, während sehr flexible Spammer weiterhin ausgesperrt werden sollten. Ob dies nun allein anhand von IP-Adressen, von Domainnamen, Trafficbeobachtungen oder geografischen Regionen erfolgt. bleibt den Anbietern überlassen.
Schade ist natürlich, dass sich solche Filter immer auf einzelne IP-Adressen beschränken und sich nicht langsam die Provider mit einem "Rating" versehen, so dass "Spamfreundliche" Provider zukünftig abgestraft werden und letztlich besser prüfen, wem Sie ihre Dienstleistung anbieten. Im Zahlungsverkehr haben unternehmer schon lange mit der Schufa oder Creditreform entsprechende Mechanismen umgesetzt.
Generell bin ich persönlich kritisch den Filtern gegenüber eingestellt, die auf der IP-Ebene direkt blockieren, da bei False Positives einfach der Verdruss zu groß ist. Ich kann das natürlich einfach schreiben, da mein NoSpamProxy hier über eine "Level of Trust"-Funktion effektiv eine Lösung bietet.
Weitere Links
-
NoSpamProxy
NoSpamProxy baut sich seinen eigenen "Level of trust" auf, welcher Partnerbeziehungen lernt und nutzt, und damit unbekannte Verbindungen schlechter bewerten kann. -
TrendMicro Reputation Services
http://us.trendmicro.com/us/products/enterprise/network-reputation-services/index.html -
Ironport Senderbase
http://www.senderbase.org -
Cloudmark
http://www.cloudmark.com/serviceproviders/research/cloudmark_technology/ -
Vipul's Razor
http://razor.sourceforge.net/
http://sourceforge.net/projects/razor/ -
https://www.trustedsource.org
Service von McAfee zur Bewertung von IP-Adressen, Domains und URLs. Auch WebWasher scheint darin aufgegangen zu sein. Nutzt aber nicht die eigenen Verbindungen.