Filter - Chiffre

Viel Spam kann man schon verhindern, wenn man seine Mailadresse "schützt". Das geht natürlich am besten, wenn man sie nicht in alle Welt posaunt, sondern nur "ausgewählten" Personen gibt. Das bedeutet natürlich, dass man für andere Personenkreise weitere Adressen anlegen muss. Ich kann das mit meiner "carius.de"-Domäne sehr einfach machen da mein Provider mir mehrere ALIAS-Einträge erlaubt und ich daher für jeden Anwendungsfall einfach einen neuen Alias eintragen kann und wenn diese Adresse "verbrannt" ist, dann lösche ich den Alias und der Absender bekommt einfach einen SMTP-Fehler "550 invalid recipient". Allerdings kann ich das natürlich nur machen, weil ich "meine" Domäne habe und weil ich auch für die Konfiguration zuständig bin.

Diese Verfahren klingt natürlich interessant, aber die Umsetzung für Firmen und für Privatpersonen (Postfach bei GMX, WEB.DE, HOTMAIL etc.) muss natürlich ganz anders laufen. Bei Privatpersonen kann ich mir ja noch einfach vorstellen, dass de Provider über die Weboberfläche dem Kunden die Option gibt einfach weitere Adressen hinzu zu konfigurieren und diese auch wieder löschen kann.

Firmeneinsatz

Für Firmen wird es natürlich etwas komplizierter und da die MSXFAQ primär von Exchange handelt, will ich hier mal die Möglichkeiten auslosten. Sicher könnte man eine Webseite aufbauen, mit der der Anwender weitere Adressen in seinen Proxy-Adressen addieren und wieder entfernen kann. Die Webseite könnte ja einfach die Rechte zur Pflege der Benutzer haben. Allerdings muss der Benutzer das natürlich auch tun und aus der Ferne ist so eine Pflege nicht einfach möglich. Zudem ist das erst mal nicht schön in Outlook "integriert".

Ist ein Spamfilter vor Exchange, der auch Empfänger prüft, muss natürlich sichergestellt werden, dass dieser Server auch schnell ein Update bekommt. Kaum ein Mitarbeiter wird auf einer Webseite so eine Wegwerfadresse eintragen, wen die Bestätigungsmail kurz drauf gar nicht ankommt.

Man könnte nun einfach z.B.: 16Stellige Zeichenkombinationen für die Benutzer anlegen. Die kann man aber schlecht auf eine Visitenkarte drucken (Wobei Chiffreadressen hier eh nichts zu suchen haben). Denkbar wäre aber auch, dass man einfach ein Präfix (z.B. Firmenname) mit laufenden oder zufälligen Nummern vergibt. Hier wird es sicher noch viel Diskussionsbedarf geben.

Fragen und Probleme

Aber es gibt noch andere Probleme und offene Fragen:

  • Erneute Vergabe
    Wenn ich eine Wegwerfadresse einige Zeit benutzt habe und dann nicht mehr haben will, dann muss man klären, wie lange diese Adresse blockiert wird. Es könnte ja sein, dass jemand anderes zufällig diese Adressen verwenden will. Würde das gelingen würde er vielleicht "nur" meinen Spam erhalten. Er könnte aber auch persönliche Mails "abfangen". Eigentlich sollte die Adresse für immer gesperrt sein
  • Anzahl der Adressen
    Aber was heißt schon für Immer. Gerade Provider wie Yahoo, GMX etc. haben ja einen sehr großen Kundenkreis und niemand kann sich besonders lange Mailadressen merken. Aber es werden eben immer weniger kurze Namen verfügbar sein. Besonders schlimm wäre es, wenn jemand eben automatisch sehr viele Adressen generiert und wieder verbrennt.
  • "interessante Mailadressen"
    Gerade bei Firmen werden oft die Personen mit dem Namen adressiert. Vielleicht gibt es noch ein paar Alias-Einträge wie "Vertrieb", "Sales", "Support", "Info", "Webmaster" etc. Aber als Azubi könnte ich natürlich auch einfach mal Adressen wie "Neuheiten", "Vorstand", "CEO", "Sonderangebot", "Werksverkauf" oder andere Interessante Präfixe registrieren und andere Personen damit "beeindrucken" oder täuschen. Wie würden Sie reagieren, wenn Sie in einem Newsletter ein interessantes Angebote bekommen und eine der Mailadressen einen so einleuchtenden Namen hat.
  • Nachvollziehbarkeit
    Daher ist es auch wichtig, welche Person zu welcher Zeit welche Namen belegt hat. Exchange erlaubt über das Messagetracking den Empfänger zu ermitteln. Wenn diese die Adresse schon nicht mehr nutzt, dann findet auch eine Suche im Active Directory nicht mehr den richtigen Empfänger. Dies ist sicher auch für die Revision relevant
  • Ausgehende Mails
    Es ist ja nicht damit getan, eingehende Mails an diese Adressen in ein richtiges Postfach zuzustellen. Auch der Mitarbeiter muss ja erkennen können, an welche seiner Wegwerfadressen die Mail gegangen ist. Nur dann kann er ja auch entscheiden, welche der Wegwerfadressen in die falschen Kreise gekommen ist. Knifflig wird es aber, wenn man auf so eine Mail antwortet.
  • Dreier-Mail intern
    Ein ebenfalls abzusicherndes Szenario ist, wenn ein interner Mitarbeiter eine Mail sowohl an einen anderen internen Mitarbeiter als auch nach extern sendet. Ohne besondere Vorkehrungen sieht dann auch der externe Empfänger den Empfänger der internen Kopie. Das ist sicher nicht gewünscht. Allerdings stellt sich dann die Frage, welche Wegwerfadresse nun verwendet werden soll, wenn der interne Empfänger noch nie mit dem externen Empfänger korrespondiert hat.
  • Dreier-Mail extern
    Ein weiterer Fall ist der Versand einer Mail einer Person nach zwei externe Personen, von denen bei einer nur die Chiffre-Adresse bekannt wird. Der zweite externe Empfänger bekommt in diesem Fall auch Kenntnis von der Chiffre-Adresse. Das lässt dich aber nicht verhindern. Es sei denn man würde hier sogar ein Rewriting für externe Personen machen, was aber letztlich kompliziert und kaum noch nachvollziehbar wäre.
  • Automatische Antworten, Quittungen, OOF
    Das gilt auch, wenn über Regeln und Assistenten auf eine eingehende Mail eine Antwort an den Absender ergeht. Auch hier stellt sich die Frage, mit welcher "From" Adressen denn die Antwort versendet wird. Oft ist es die echte Mailadresse des Postfachs, womit der Schutz natürlich hinfällig ist und die andere Seite die Antwort nicht mal zuordnen kann.
  • Zuordnung
    Gerade diese Zuordnung kann ihnen auch das Leben schwer machen. Da sendet ihr Versandhaus eine Nachricht an ihre Wegwerfadresse und sie haben eine Rückfrage. Ihre Rückantwort kann aber von dem Versandhaus gar nicht automatisch in die Vertriebssoftware übernommen werden, da es ihre echte Absenderadresse gar nicht in der Kundendatenbank findet. Es ist also sehr wichtig, dass die Absenderadresse unter allen umständen angepasst wird.
  • Spamfilter lernen
    Nun ist es so, dass mein NoSpamProxy eine Funktion hat, die sich "Level of Trust" nennt, mit der wir Kommunikationsbeziehungen lernen. Andere Spamfilter lernen zumindest ausgehende Mails. Solche Wegwerfadressen sind natürlich relevant, wenn man eingehende Mails auf Spam untersucht oder wirklich eine Korrespondenz besteht. Solch eine Information kann auch genutzt, werden um ausgehende Mails an bestimmte Partner umzuschreiben, so dass diese nie die primäre Mailadresse erhalten, sondern die ihnen vom Benutzer bekannt gemachte Wegwerfadresse.
  • Admin Reporting
    Sicherlich ist es für eine Firma wichtig zu wissen, welche Benutzer welche zusätzliche Adressen gerade benutzen und früher benutzt haben. Schließlich kann es auch passieren, dass ein Absender sich beschwert, dass seine Mails nicht ankommen und mal im Helpdesk irgendwie herausfinden muss, wen man anspricht.
  • Verschlüsselung und Signierung
    Das Thema ist vermutlich von den meisten Firmen noch gar nicht bedacht worden. Wenn mir jemand eine Mail sendet, die digital signiert ist, dann kann ich die beim Empfang problemlos verändern, da alle relevanten Daten im Header nicht teil der Signatur sind. Allerdings muss ich meinem Gegenüber ja mein Zertifikat mit dem Public Key geben, wenn er mir etwas verschlüsselt senden will bzw. er bekommt mein Zertifikat immer dann, wenn ich Mails signiert versende. Damit lege ich aber meine primäre Adresse offen, denn für meine Wegwerfadressen werde ich vermutlich kein Zertifikat kaufen wollen.

Wegwerfadressen sind also damit sichern nichts für wichtige Kommunikationspartner, sondern eher für Webseiten. Aber dafür kann ich dann auch temporäre Adressen bei entsprechenden Anbietern nutzen.

Technische Fragen

Aus technischer und organisatorischer Sicht stellt sich die Frage, wie der Mitarbeiter diese Adressen verwaltet. Ein Outlook Add-In ist nett, aber hilft all den Personen nicht, die kein Outlook verwenden. Eine Weboberfläche scheint universeller zu sein, aber ist vielleicht nicht aus dem Internet zu erreichen. Denkbar wäre auch, dass diese Funktionen einfach per Mail zu steuern sind. Dieses Verfahren ist ziemlich universell aber heute kaum mehr bekannt. Früher gab es Lösungen, die sogar per Mail Dateien angefordert oder ganze Systeme neu gebootet haben.

Ein interner Mitarbeiter könnte einfach eine Mail an ein Spezialkonto senden mit einer Wunschliste von temporären Mailadressen, der Service richtet diese ein und meldet dies an den Anwender. Über den gleichen Weg kann er einen Status anfordern oder Adressen abmelden.

Firmen, deren Mailserver eine solche Funktion nicht bereitstellen, werden eine Lösung suchen, die als Gateway dem Mailserver vorgeschaltet wird. Damit entfällt meist jede direkte Integration in das Mailsystem. Allerdings sollte dieses Gateway dann auch schon beim Empfang die Empfänger auf Gültigkeit prüfen oder die Liste dem vorgelagerten Spamschutz in geeigneter Form anbieten

Meine Einschätzung

Der Ansatz scheint interessant zu sein, aber ich glaube nicht, dass dieser Ansatz eine breite Akzeptanz finden wird. Ich selbst nutze auch nur noch wenige Alias-Adressen, weil die Pflege aufwändig ist und wenn der Spamschutz einen guten Wirkungsgrad hat, dann lohnt sich der Mehraufwand nicht. Auf Webseiten, auf denen ich partout keine Information über mich hinterlassen will, nutze ich eher Anbieter wie Mailinator oder eben ein altes GMX/WEB.DE-Konto. Eine Wegwerfadresse verrät zumindest über die Domain die Firma und für die ersthafte Kommunikation vermute ich nicht, dass ein Geschäftspartner mit einer Wegwerfadresse arbeiten will. Spätestens bei der Signierung und Verschlüsselung bricht dieses System.

Auf der anderen Seite müssen Systeme erst zeigen, ob Sie effektiv handhabbar sind. Ich kann mir vorstellen, dass müssenprovider für Privatkunden hier einen Mehrwert schaffen können. Yahoo bietet dies ja schon an. Auch MSN und die Live Toolbar sind natürlich Kandidaten für solch ein System die einfach den Browser um Zusatzfunktionen zur Generierung solcher Adressen während des Surfens zu ergänzen. für Firmen wird auch zukünftig ein guter Spamschutz wichtiger sein als die Verschleierung der primären Adresse. Diese läuft ja eh meist auf Vorname.Nachname heraus. Ich bin gespannt, ab wann Spammer mit Namenslisten die zusätzlichen Zeichen heraus filtern.

Weitere Links