Spam und UCE - Filter und deren Bedeutung

Nun gibt es verschiedene Ansätze, eingehende Nachrichten zu bewerten und als Spam zu klassifizieren. Ich führe hier die häufig gefragten Varianten vereinfacht aus. Dies sind bei weitem nicht alle denkbaren Filter.

Beachten Sie dazu auch das Anti-Spam-Glossar meiner Kollegen von Net at Work auf https://anti-spam-filter.de/anti-spam-glossar/

Filter und ihre Nutzbarkeit

Hier eine kurze Übersicht gängiger Regeln und meine persönliche Einschätzung über deren Wirkungsweise und Nutzen. Wenn Sie den entsprechenden Filter anklicken, erhalten sie genauere Informationen:

Filter	Einsatzbereich und Tauglichkeit
Filter	in der Vergangenheit	Heute (Anfang 2007)	In der Zukunft
HELO Wie heißt du ?	kaum genutzt, Fehlalarme	kaum genutzt, Fehlalarme	kaum genutzt, Fehlalarme
RCPTTO Nur gültige Empfänger bitte	leider kaum genutzt	Leider immer noch zu wenig genutzt	unersetzlich !!
RBL Relay Block List	Gut	Immer noch aktuell und sehr effektiv (>50%) aber auch False Positive	Abwandlung zu allgemeinen Blocklisten unerwünschter Systeme
UCEPROTECT, Telekom, Amazon Relay Block List mit BGP-Netzwerkscope	Gut	Immer noch aktuell und sehr effektiv (>50%) aber auch False Positive	Wird weiter bestehen. Ggfls. Anpassung an
DUL Liste von Wählzugängen	Gut	Einsatz strittig. Kleine Firmen und falsche Listen werden ausgesperrt	Abwandlung zu allgemeinen Blocklisten unerwünschter Systeme
Frequenzanalyse Profilierung von IP-Adressen	Nicht verwendet	Eher für große Firmen und Provider nutzbar	Für große Firmen nutzbar kleine Firmen über Listen
ReverseDNS Gehört zur IP-Adresse auch ein Name ?	Als Negativfilter: teilweise	Als Negativfilter: schädlich Als Positivfilter: begrenzt nutzbar	Als Negativfilter: schädlich Als Positivfilter: begrenzt nutzbar
ReverseMX Bist du auch der Mailin ?	Gut	kaum nutzbar	entfällt wg. SenderID
1und1 Schizo Filter Namenswechsel verboten	Gut	gut	gut
Content/Wortlist	Eingeschränkt Viel Pflegeaufwand	Eingeschränkt Viel Pflegeaufwand	Eingeschränkt Viel Pflegeaufwand
Bayes Wahrscheinlich ist es ...	nicht genutzt	gut	schlecht
SPF, SenderID Sag mir deinen Mailout Server	nicht genutzt	noch nicht nutzbar	könnte wichtiges Verfahren werden
DKIM Signatur von Mails	nicht genutzt	gering nutzbar	fraglich
Reputation	Gering	Bestimmte Produkte	Könnte wichtig werden
TLS/SSL/STARTTLS	nicht genutzt	nicht genutzt	langfristig Potential
MTAMark	nicht genutzt	gering nutzbar	Übergangsweise bis SPF/SenderID
Puzzles Sender muss rechnen	nicht genutzt	noch nicht nutzbar	fraglich
DCC Prüfsummen ohne Schärfe	nicht genutzt	noch nicht nutzbar	fraglich
Greylist Jeder hat einen zweiten Versuch	nicht genutzt	aktuell noch sehr effektiv	könnte wirkungslos werden
Sender Confirm Absender, Bitte bestätigen	nicht genutzt	noch nicht nutzbar	fraglich
SRS, HashCash	nicht genutzt	noch nicht nutzbar	fraglich
Tarpitting Bremse die Bösen	selten genutzt	nutzbar	nutzbar
Reverse SMTP Kann ich überhaupt antworten	selten genutzt	nutzbar	nutzbar
AttachmentType EXE, BAT und COM adieu ?	Gut	Gut	Gut
Content Inhalt des Body	teilweise	primär vieler Hersteller	nutzbar
Size Die Größe einer Nachricht	selten genutzt	noch als Positivkriterium	Nutzbarkeit nimmt ab
NDR-Filter Indirekter Spam	nicht genutzt	nicht genutzt	?
Virus Ich kenn dich, Virus	Erforderlich !! aber oft nicht genutzt	Erforderlich !!	Erforderlich !!
Bounce-Filter Ich mag keine NDR-Spammer	Wenig im Einsatz	Bei einigen großen Providern im Einsatz	Hilft die NDR-Flut zu reduzieren. False Positive aber eventuell zu hoch.
Level of Trust Kommunikationsbeziehungen lernen und zum Filtern nutzen.	Nur mit NoSpamProxy	Nur mit NoSpamProxy Sehr guter Positivfilter	Nur mit NoSpamProxy Sehr guter Positivfilter
Filter: Wegwerfadressen Einmal Adressen	Überwiegend im privaten Bereich im Einsatz	Überwiegend im privaten Bereich im Einsatz	Überwiegend im privaten Bereich im Einsatz
Sandbox und Dokumentrendering	vor 2017 kaum genutzt	in 2017 gerade "Hype Thema"	Ein nützliches Werkzeug für bestimmte Anlagen.

Oftmals wird eine Kombination verschiedener Filter eingesetzt, wobei viele Filter nicht unbedingt eine bessere Funktion ergeben müssen. Sie können sich auch gegenseitig stören.

Das wichtigste Problem ist aber prinzipieller Natur. Nehmen wir mal die Natur als Vergleich:

Tagtäglich erkranken Leute an Schnupfen, Grippeviren oder auch AIDS und es gibt für einige dieser Angriffe sogar Schutzimpfungen. Selbst wenn alle Leute geimpft wären, ist es nur eine Frage der Zeit, bis eine neue Mutation eines bestehenden Schädlings den Schutz überwindet.

Genau so stellt sich die Situation im Internet mit Viren und Spammern dar: Selbst wenn die Schutzmechanismen perfekt werden, so ist es nur eine Frage der Zeit, bis andere Wege gefunden werden. Leider gibt es nicht mal den absoluten Schutz, da niemals alle Mailserver in kurzer Zeit alle neuen Filter und Regeln implementieren.

Allerdings nutzen Spammer und Viren im Gegensatz zu organischen Viren nicht einen unkontrollierbaren "Luftraum", sondern das Internet. Ein Verbund von Rechnern mit IP-Adressen, Verbindungen etc. die prinzipiell wunderbar zu steuern wären. Das Problem "Spam und Virus" könne viel besser auf dem Übertragungsweg reduziert werden. Solange Provider aber genug Geld von ihren Kunden (Auch Spammer sind Kunde bei einem Provider) bekommen, seriöse Provider sich dagegen noch nicht wehren und die rechtlichen Aspekte von Land zu Land unterschiedlich sind, werden wir weiter immer neue bessere Filter entwickeln und implementieren müssen.