Das Leid mit der Quarantäne

Diese Seite widmet sich genauer den Details eine Quarantäne der meisten Filterprodukte und den Risiken. Wie sie auf Behandlung vielleicht schon gelesen haben, muss eine Filtersoftware Entscheidungen treffen und Nachrichten dann passieren lassen oder blockieren. Gerade beim Blockieren tun sich viele Produkte aber schwer, die Mail gleich beim Empfang zu blockieren. In den meisten Fällen ist die Mail nämlich schon komplett empfangen worden, so dass der Absender belegen kann, dass die Mail übertragen wurde.

Nur wenige Produkte behalten sich eine Ablehnung der Mail bis zum Schluß vor. (Siehe auch Behandlung und NoSpamProxy)  Wenn der Filter die Mail aufgrund erkannter Viren oder vermeintlichem Spam aber nicht zustellen will, dann gibt es nur noch zwei Optionen:

  • Löschen
    Sicherlich der einfachste aber zugleich gefährlichste Weg. Die Mail wurde ja angenommen und wenn hier eine Mail irrtümlich gelöscht wurde, ist der Schaden sicher groß.
  • Speichern
    Also bleibt nur die Quarantäne, d.h. die Ablage der Mails in einem besonderen Bereich für eine spätere Verwertung.

Aber auch das Speichern in einer Quarantäne ist nicht wirklich risikolos. Schauen wir uns die verschiedenen Aspekte einer Quarantäne an:

Risiken eine Quarantäne

Der Betrieb einer Quarantäne ist natürlich nicht risikolos und die Probleme sind schnell aufgezählt:

  • False Positive
    Das größte Problem sind sicher falsch klassifizierte Nachrichten. Die so genannten "False Positives" (Siehe auch MSXFAQ.DE - Behandlung) sind ein Risiko für jedes unternehmen, da gute erwünschte oder vielleicht sogar dringend benötigte Nachrichten irrtümlich vom System blockiert und in die Quarantäne abgelegt werden. Niemand erfährt von diesem Prozess und wenn weder dem Empfänger als Ausbleiben noch dem Absender eine fehlende Antwort auffallen, dann bemerken die Teilnehmer diese Mail erst, wenn der Vorgang eskaliert oder der Schaden schon entstanden ist. Der "Schuldige" ist jedoch klar bestimmbar und kein Betreiber der Quarantäne kann sich herausreden. Sein System hat den Fehler nachweislich verursacht.
  • Plattenbedarf und Haltezeit
    Leider ist heute der Anteil von Werbemail bei einigen Firmen höher als die Nutzdaten. Da all diese Mails im Archiv landen, ist auch ein entsprechender Platzbedarf hierfür einzuplanen. Das kann auch schnell mal in den Bereich einiger Gigabyte gehen. Selbst dann stellt sich die Frage, wie lange Sie die Mails aufbewahren wollen. Sie müssen eine Zeit definieren, ab wann Mails gelöscht werden.
  • Archivpflicht
    Es gibt Personen (primär natürlich die Hersteller von Archivsystemen aber nicht nur), die die Ansicht vertreten, dass eine Firma Vorgänge archivieren muss. (Siehe auch Archivieren mit Exchange). Genau genommen gilt dies natürlich auch für Mails und ins besondere für Nachrichten, die empfangen wurden. Nun kann man streiten, ob der Empfang im Postfach oder der Empfang durch ein Gateway hier maßgeblich ist, aber letztlich kann und werde ich das nicht beantworten können. Es besteht aber durchaus die Gefahr, dass Sie jede Mail, die ihr System komplett empfangen hat, auch in einem Archiv ablegen müssen. Es könnte sein, dass Sie also auch empfangenen Spam archivieren müssen. Bei Viren ist das Risiko einer Falscherkennung sehr viel geringer.
  • Arbeitsaufwand
    Da in einer Quarantäne immer auch ab und an eine erwünschte Nachricht landet, müssen Sie einen Weg finden, diese Nachrichten auch wieder aus der Quarantäne zu befreien. Hier gibt es mehrere Weg, die ich weiter unten beschreibe. Allen gemeinsam ist aber ein zusätzlicher Aufwand beim Administrator, beim Anwender und auf dem System selbst. Auch dies kann Ausmaße annehmen, die sprichwörtlich ins Geld gehen.
  • Rechliche Aspekte
    Ungeachtet der technischen Risiken bleibt natürlich die rechtlich ungeklärte Position, wie die eine Quarantäne zu betrachten ist. Auf der eine Seite steht das natürliche Schutzbedürfnis einer Firma, die aber in Konflikt stehen mit Fernmeldegesetz und Briefgeheimnis. Dort werden z.B.: das Lesen von privaten Briefen, das unterdrücken von Nachrichten etc. Unter Strafe gestellt. Sicher waren solche Paragrafen in Zeiten der Postreiter und Postzusteller aus Fleisch und Blut wichtige Abschreckungsmittel aber einige Richter wenden diese auch auf die elektronische Kommunikation an.

Sie sehen also, dass eine Quarantäne alles andere als hilfreich ist und lassen Sie sich nicht irritieren, dass viele Antispam-Produkte nicht ohne Quarantäne auskommen. Es gibt auch Lösungen ohne Quarantäne (z.B. NoSpamProxy), die unerwünschte Nachrichten gar aktiv ablehnen und damit dem Zusteller die Arbeit überlassen.

Übrigens ist auch der Ordner "Junk-E-Mail" seit Outlook 2003 als Quarantäne zu sehen, nur dass diese dann keine zentrale Quarantäne für alle Benutzer ist, sondern individuell pro Anwender existiert. Wenn Sie schon Outlook 2003 haben, dann sollten Sie sich selbst fragen: Wie oft kontrollieren Sie den Inhalt dieses Ordnerns ?

Entschärfung der Quarantäne

Aufgrund der Probleme einer Quarantäne muss eine Softwarelösung natürlich versuchen, den Schaden zu reduzieren und dazu gibt es auch wieder verschiedene Möglichkeiten, die ich kurz erläutern möchte.

Regelmäßige Kontrolle

Ein Administrator oder eine andere berechtigte Person kann regelmäßig die Quarantäne nach Irrtümern durchsuchen und die Nachrichten frei geben. Hierzu sollten Sie aber drei Faktoren berücksichtigen:

  • Briefgeheimnis Privatmails
    Zumindest in Deutschland ist das Briefgeheimnis ein hohes Gut und das lesen von "privaten Nachrichten" ist streng untersagt. Da der Inhalt einer Mail natürlich erst durch das Lesen erkennbar ist und die Absender kaum die Mails z.B.: im Betreff als "Privat" kennzeichnen, kann die logische Folge nur bedeuten, dass die per Betriebsvereinbarung die private Nutzung komplett untersagen. Aber auch dies verhindert natürlich nicht, dass jemand doch eine private Mail erhält. Dies kann der Empfänger ja nicht verbieten. Die Rechtslage ist unklar.
  • Briefgeheimnis Geschäftsmails
    Aber auch für geschäftliche Nachrichten müssen Sie sich überlegen, dass z.B.: jemand aus der IT-Abteilung die Nachrichten in der Quarantäne liest und damit natürlich auch Nachrichten finden könnte, die nicht für ihn gedacht sind, oder von denen weder Absender noch Empfänger möchten, dass jemand diese sieht. Das könnten Nachrichten der Geschäftsführung, des Betriebsrates oder Vertrauenspersonen, ärzten etc. sein.
  • Verschlüsselung
    Natürlich könnte dieser Personenkreis einfach die Mails verschlüsseln. Je mehr aber die Verschlüsselung in Mode kommt, desto eher werden auch Spammer ihre Mails mit den "öffentlichen Schlüsseln" der Empfänger verschlüsseln, was dann wieder zu einer Entschlüsselung auf dem Gateway führen wird. (Siehe auch Verschlüsseln und Signieren)
  • Arbeit und menschliche Fehler
    Ein wesentlicher Kosten und Risikofaktor ist natürlich auch der Mensch selbst, welcher die Quarantäne regelmäßig durchsuchen muss. Zum einen muss sichergestellt sein, dass dies auch erfolgt, dass die Person ausreichend "vertrauenswürdig" ist, jede mögliche Kommunikation zu lesen und dass die Person "fehlerarm" ist. Dieser letzte Faktor ist nicht zu unterschätzen, denn je besser die Erkennungsraten sind, desto weniger Irrläufer sind in der Quarantäne. Es gleicht aber der Suche einer Nadel im Heuhaufen, wenn Sie zwischen hunderten oder mehr Spams die guten Mails finden wollen. Aufgrund der Struktur von Spams ist es auch für Menschen nicht mehr einfach möglich, anhand des Betreffs und der Absenderadresse zu erkennen, ob es sich dabei um Spam handelt. Gerade bei großen Firmen wird es schwerer, die "guten" Absender zu können. Der Empfänger einer Mail könnte das viel einfacher.
    Insofern kostet es vielleicht 5-10 Sekunden pro Mail, um zu entscheiden, ob die Mail doch weitergegeben werden muss. Multiplizieren Sie diese Zahl einfach mit der Anzahl der Mails in der Quarantäne pro Tag und sie haben die Arbeitszeit und direkt damit auch die Kosten für diese Dienstleistung

Aufgrund dieser Probleme, Risiken und Kosten versuchen verschiedene Produkte diese Aufgabe wieder an den Empfänger oder Absender abzugeben, so dass eine Quarantäne zwar im Betrieb ist, aber keine zentrale Person sich die Werbemails anschauen muss.

Quarantäne beim Empfänger

Ein möglicher Weg, die Arbeit der Quarantäne auf den Empfänger zu verlagern ist die komplette Verlagerung der Quarantäne auf den Client. Outlook 2003 und Exchange 2003 machen dies z.B.: durch den Ordner "Junk-E-Mail" in ihrem Postfach. Andere Produkte kennzeichnen die erkannte Mail z.B.: durch "SPAM" im Betreff, so dass Sie mit einer Regel solche Mails automatisch verschieben oder löschen können.

Damit ist die zentrale IT zwar entlastet aber eine Kosteneinsparung durch die Verhinderung von Spam findet natürlich nicht mehr in dem Maße statt, wie dies möglich und sinnvoll wäre. Statt dessen füllen sich weiter die Postfächer auf, die Nachrichten werden vom Client herunter geladen und verschoben. Wenn der Mailserver selbst keine Regeln unterstützt und daher die Verschiebung nur bei einem aktiven Outlook oder PC arbeitet, dann ist ein mobile Arbeiten (z.B. mit Exchange ActiveSync Server) faktisch nicht mehr möglich, das weiterhin auch jede Werbemail auf das Endgerät gemeldet wird. Da nützt es dem Anwender nicht viel, wenn die Mails dann ein "Spam" im Betreff haben.

Sammelmail an Empfänger

Einige Produkte umgehen dies damit, dass z.B.. einmal am Tag oder nach einer bestimmten Menge von gestoppten Nachrichten eine Sammelinformation an den Empfänger gesendet wird. Damit wird das Aufkommen merklich reduziert aber der Empfänger muss nun anhand dieser Sammelmail, in der meist nur der Absender und der Betreff der geblockten Nachrichten enthalten sind, die guten von den schlechten Mails trennen.

  • Aufwand der Generierungen dieser Mails
    Berücksichtigen Sie den Rechenaufwand auf dem Gateway, um regelmäßig einen individualisierten Report pro Anwender zu erstellen. Neben der reinen CPU-Zeit müssen Sie auch Sonderfälle berücksichtigen, wenn der Empfänger z.B.: ein volles Postfach hat oder die Adresse gar nicht existiert. Auch die Rückläufer müssen Sie genau genommen bearbeiten.
  • Weg zum "entfrosten" und Zugriff von unterwegs
    Hinzu kommt, dass hier der Anwender dann einen Weg können muss, um selbst die Mails wieder auszulösen. Meist erfolgt dies durch einen Hyperlink, welcher angeklickt werden kann. Prüfen Sie jedoch, ob all dies auch für ihre Anwender nutzbar ist. Oftmals ist eine Auslösung nicht möglich, wenn Sie mit einem PocketPC oder anderen Handheld abreiten oder ihre Mails per OWA aus dem Internet lesen.
  • Viele Anwender "löschen" die Infomail bei guten Erkennungsraten per Regel automatisch
    Da aber auch diese Sammelmail in den meisten Fällen ja "nur Spam" enthält, ist es nichtsungewöhnliches, dass Mitarbeiter genau eine Regel definieren, die diese Mails ebenfalls automatisch entsorgt. Der Mitarbeiter hat die eigentliche Mail dann immer noch nicht bekommen und sie können sich nun darüber streiten, ob die Firma als Gesamtschuldner oder der Mitarbeiter für den entstandenen Schaden aufkommen muss. Der Schaden ist da und der Kunde vielleicht nur ein wenig verärgert.

Auch dieser Weg ist daher eher steinig und nur ein Notbehelf und die Quarantäne irgendwie zu entschärfen.

Info an Absender

Besonders schlaue Systeme versuchen die Last auf den Absender abzuwälzen, indem sie eine Mail, die in eine Quarantäne abgelegt werden an den Absender zurück melden. Die Hersteller solcher Produkte hoffen nun darauf, dass der Absender ja bemüht sein wird, die Mail doch noch zum Empfänger zu übertragen und entsprechende Korrekturmaßnahmen ergreift.

Die Verfahren werden manchmal auch Sender Confirm genannt. Aus meiner Sicht würde ich dazu aber eher Störer, sagen,  da das Filtersystem ja nicht prüfen kann, ob der Absender auch gültig ist. Zwar erhält durch dieses Verfahren der gute Absender eine Möglichkeit, die Blockade zu erkennen aber auf der anderen Seite sendet ihr System an den angeblichen Absender jeder geblockten Mail eine solche Information. Spammer nutzen aber mit vorliebe fremde Adresse, so dass ihr System zum Störer wird. Insofern ist diese Methode sicher kein gangbarer Weg.

Besser ohne Quarantäne !

Wenn die Quarantäne aber so schlecht ist, dann darf dies nicht zu einer Abschaffung aller Filter führen. Es gibt zum Glück die Möglichkeit, auch ohne Quarantäne eine wirkungsvolle Filterung unerwünschter Inhalte zu erreichen. Das SMTP-Protokoll, welches bei der Übertragung von Nachrichten zur Anwendung kommt kann jederzeit die Übertragung einer Mail abbrechen. Dies ist auch erforderlich, da ja z.B.: die Speicherkapazität des Empfängers erschöpft sein könnte. Zudem gilt eine Mail erst dann als erfolgreich zur nächsten Station übertragen, wenn das empfangende Mailsystem die Übertragung quittiert hat. Die ist nicht mit einer "Zugestellt-Quittung" als Mail zu verwechseln.

Der Trick liegt nun einfach darin, die Nachrichten schon während des Empfangs zu analysieren und bei Nichtgefallen die Annahme zu verweigern. Die Mail wurde damit vom Empfänger nicht erfolgreich empfangen und der entfernte Mailserver kann die Mail nicht versenden. Dieser entfernte Server muss nun seinerseits eine unzustellbarkeitsnachricht an den Absender generieren. Wenn es sich um den Mailserver ihres Kunden handelt, dann bekommt der Absender eine Bestätigung seines eigenen Systems. Spammer hingegen erstellen in der Regel keine unzustellbarkeitsberichte sondern versuchen den nächsten Server. Ein Problem haben nur die Betreiber von offenen Relays, die dann erst recht zum Störer werden.

Das Ablehnen von unerwünschten Nachrichten ist übrigens nicht verboten, sondern sogar explizit vorgesehen, z.B.: bei ungültigen Empfängern. Nur wenige Produkte haben diese Logik aber auch auf den Inhalt einer Mail angewendet. Mein Aufruf an Sie lautet ganz einfach:

Warum nehmen Sie Mails überhaupt an, wenn Sie diese eh nicht zustellen wollen ?
Schaffen Sie die Quarantäne ab.

Zusammenfassung

Auch wenn viele Filterprogramme auf dem Markt heute eine Quarantäne verwenden, so passiert dies meist nur aus dem Grund, weil ein direktes Löschen der Mail nicht erlaubt ist aber eine frühe Ablehnung durch die Produkte selbst nicht möglich ist. Sie sollten also für sich überlegen, ob Sie ein Produkt einsetzen, welches ihnen die Arbeit und das Risiko eine Quarantäne aufbürdet, oder ob Sie besser ohne Quarantäne auskommen.

Weitere Links