Spam und UCE - Filter und deren Bedeutung
Nun gibt es verschiedene Ansätze, eingehende Nachrichten zu bewerten und als Spam zu klassifizieren. Ich führe hier die häufig gefragten Varianten vereinfacht aus. Dies sind bei weitem nicht alle denkbaren Filter.
Filter und ihre Nutzbarkeit
Hier eine kurze Übersicht gängiger Regeln und meine persönliche Einschätzung über deren Wirkungsweise und Nutzen. Wenn Sie den entsprechenden Filter anklicken, erhalten sie genauere Informationen:
| Filter | Einsatzbereich und Tauglichkeit | ||
|---|---|---|---|
| in der Vergangenheit | Heute (Anfang 2007) | In der Zukunft | |
|
HELO Wie heißt du ? |
kaum genutzt, Fehlalarme | kaum genutzt, Fehlalarme | kaum genutzt, Fehlalarme |
|
RCPTTO Nur gültige Empfänger bitte |
leider kaum genutzt | Leider immer noch zu wenig genutzt | unersetzlich !! |
|
RBL Relay Block List |
Gut | Immer noch aktuell und sehr effektiv (>50%) aber auch False Positive | Abwandlung zu allgemeinen Blocklisten unerwünschter Systeme |
|
DUL Liste von Wählzugängen |
Gut | Einsatz strittig. Kleine Firmen und falsche Listen werden ausgesperrt | Abwandlung zu allgemeinen Blocklisten unerwünschter Systeme |
|
Frequenzanalyse Profilierung von IP-Adressen |
Nicht verwendet | Eher für große Firmen und Provider nutzbar | Für große Firmen nutzbar kleine Firmen über Listen |
|
ReverseDNS Gehört zur IP-Adresse auch ein Name ? |
Als Negativfilter: teilweise | Als Negativfilter: schädlich Als Positivfilter: begrenzt nutzbar |
Als Negativfilter: schädlich Als Positivfilter: begrenzt nutzbar |
|
ReverseMX Bist du auch der Mailin ? |
Gut | kaum nutzbar | entfällt wg. SenderID |
|
1und1
Schizo Filter Namenswechsel verboten |
Gut | gut | gut |
| Content/Wortlist | Eingeschränkt Viel Pflegeaufwand |
Eingeschränkt Viel Pflegeaufwand |
Eingeschränkt Viel Pflegeaufwand |
|
Bayes Wahrscheinlich ist es ... |
nicht genutzt | gut | schlecht |
|
SPF,
SenderID Sag mir deinen Mailout Server |
nicht genutzt | noch nicht nutzbar | könnte wichtiges Verfahren werden |
|
DKIM Signatur von Mails |
nicht genutzt | gering nutzbar | fraglich |
| Reputation | Gering | Bestimmte Produkte | Könnte wichtig werden |
| TLS/SSL/STARTTLS | nicht genutzt | nicht genutzt | langfristig Potential |
| MTAMark | nicht genutzt | gering nutzbar | Übergangsweise bis SPF/SenderID |
|
Puzzles Sender muss rechnen |
nicht genutzt | noch nicht nutzbar | fraglich |
|
DCC Prüfsummen ohne Schärfe |
nicht genutzt | noch nicht nutzbar | fraglich |
|
Greylist Jeder hat einen zweiten Versuch |
nicht genutzt | aktuell noch sehr effektiv | könnte wirkungslos werden |
|
Sender
Confirm Absender, Bitte bestätigen |
nicht genutzt | noch nicht nutzbar | fraglich |
| SRS, HashCash | nicht genutzt | noch nicht nutzbar | fraglich |
|
Tarpitting Bremse die Bösen |
selten genutzt | nutzbar | nutzbar |
|
Reverse
SMTP Kann ich überhaupt antworten |
selten genutzt | nutzbar | nutzbar |
|
AttachmentType EXE, BAT und COM adieu ? |
Gut | Gut | Gut |
|
Content Inhalt des Body |
teilweise | primär vieler Hersteller | nutzbar |
|
Size Die Größe einer Nachricht |
selten genutzt | noch als Positivkriterium | Nutzbarkeit nimmt ab |
|
NDR-Filter Indirekter Spam |
nicht genutzt | nicht genutzt | ? |
|
Virus Ich kenn dich, Virus |
Erforderlich !! aber oft nicht genutzt | Erforderlich !! | Erforderlich !! |
|
Bounce-Filter Ich mag keine NDR-Spammer |
Wenig im Einsatz | Bei einigen großen Providern im Einsatz | Hilft die NDR-Flut zu reduzieren. False Positive aber eventuell zu hoch. |
|
Level of Trust Kommunikationsbeziehungen lernen und zum Filtern nutzen. |
Nur mit NoSpamProxy | Nur mit NoSpamProxy Sehr guter Positivfilter |
Nur mit NoSpamProxy Sehr guter Positivfilter |
|
Filter: Wegwerfadressen Einmal Adressen |
Überwiegend im privaten Bereich im Einsatz | Überwiegend im privaten Bereich im Einsatz | Überwiegend im privaten Bereich im Einsatz |
Oftmals wird eine Kombination verschiedener Filter eingesetzt, wobei viele Filter nicht unbedingt eine bessere Funktion ergeben müssen. Sie können sich auch gegenseitig stören.
Das wichtigste Problem ist aber prinzipieller Natur. Nehmen wir mal die Natur als Vergleich:
Tagtäglich erkranken Leute an Schnupfen, Grippeviren oder auch AIDS und es gibt für einige dieser Angriffe sogar Schutzimpfungen. Selbst wenn alle Leute geimpft wären, ist es nur eine Frage der Zeit, bis eine neue Mutation eines bestehenden Schädlings den Schutz überwindet.
Genau so stellt sich die Situation im Internet mit Viren und Spammern dar: Selbst wenn die Schutzmechanismen perfekt werden, so ist es nur eine Frage der Zeit, bis andere Wege gefunden werden. Leider gibt es nicht mal den absoluten Schutz, da niemals alle Mailserver in kurzer Zeit alle neuen Filter und Regeln implementieren.
Allerdings nutzen Spammer und Viren im Gegensatz zu organischen Viren nicht einen unkontrollierbaren "Luftraum", sondern das Internet. Ein Verbund von Rechnern mit IP-Adressen, Verbindungen etc. die prinzipiell wunderbar zu steuern wären. Das Problem "Spam und Virus" könne viel besser auf dem Übertragungsweg reduziert werden. Solange Provider aber genug Geld von ihren Kunden (Auch Spammer sind Kunde bei einem Provider) bekommen, seriöse Provider sich dagegen noch nicht wehren und die rechtlichen Aspekte von Land zu Land unterschiedlich sind, werden wir weiter immer neue bessere Filter entwickeln und implementieren müssen.
