Spamschutz 2010
Ich mache mir natürlich auch meine Gedanken, wie der Plage unerwünschter Nachrichten besser Herr zu werden ist. Und eine echte Lösung werden auch die besten Filter nicht leisten können.
Jede Logik, die Nachrichteninhalte analysiert wird einige Nachrichten nicht erkennen und andere Nachrichten irrtümlich detektieren. Das Grundprinzip der Suche nach unerwünschten Nachrichten ist aus meiner Sicht falsch.
Erlauben statt Verbieten
Wer heute z.B. Sicherheitskonzepte für eine Firewall oder ein Netzwerk
plant, geht nach der Methode vor, dass alles was nicht explizit erlaubt ist
per Default verboten ist. Hier ist es selbstverständlich, dass
der Ausgangszustand ein "DENY ALL" ist und keinerlei Kommunikation erlaubt
ist. Und dann wird geschaut, welche Kommunikation bzw. Berechtigungen
erforderlich sind. Diese werden dann explizit vergeben. Beim Spamschutz ist
es aktuell aber gerade umgekehrt. Jeder darf und es wird versucht, die unerwünschten zu filtern.
Auch bei der Verarbeitung von Nachrichten dürfte dieser Ansatz letztlich zum Ziel führen. Nur wie ist das zu erreichen. Schließlich muss eine Kontrolle der Zugriffe erfolgen und diese mit einem in jeder Hinsicht geringen Aufwand möglich sein.
IP-Adresse und Absenderadresse
Mails werden per SMTP übertragen und die beiden erste Daten, die bei
einer Verbindung bekannt sind, sind die IP-Adresse des einliefernden Systems und die angebliche Absenderadresse.
Alle anderen Daten, die eine Mail später noch komplettieren, sind nachrangig, da eine Auswertung dieser Daten wieder zu einer Bewertung von Inhalten mit den bekannten und üblichen Fehlern führt.
Identifikation
Die Ursache von SPAM und Phishing ist, dass der urheber meist nicht oder nur sehr mühsam zu ermitteln und ein Vorgehen dagegen aufgrund unterschiedlicher Länder und ihrer Gesetze nicht einfach ist. Aber die Sicherstellung der Identität des Absenders ist eine sehr hilfreiche Grundlage für Beziehungsnetzwerke, auch wenn solche Netzwerke weiterhin ein Stück weit offen bleiben müssen.
Aber ich erwarte, dass es auf ein System hinausläuft, bei dem alle Teilnehmer eine gewisse "Bewertung" erhalten. Wenn es gelingt, anhand der IP-Adresse der eingehenden Verbindung und dem übermittelten Absender zu bestimmen, ob der Absender gültig und Mails dieser Domäne den eigenen Richtlinien entsprechend, dann sind wir einen großen Schritt weiter.
Das bedeutet natürlich auch, dass es ein bestimmtes Rating, zentral oder dezentral, geben muss und dass seriöse Firmen, die mit einer neuen Domäne oder nach dem Wechsel eines Internetproviders neu anfragen, entsprechend bewertet werden. Dabei müssen natürlich auch dynamische IP-Adressen berücksichtigt werden
Server-Zertifikate als Schlüsselfaktor
Ursprünglich war SMTP erst mal auf Kommunikation ausgelegt wurde und Themen wie Authentifizierung, Authentizität und Sicherheit standen weit hinten an. Spammer profitieren von den geringen Kosten zum Versand einer Mail und sie können sich wunderbar hinter dynamischen IP-Adresse, offenen Relays und per Virus fremdsteuerbare PCs verbergen.
Viele Probleme könnten z.B. dadurch reduziert oder komplett beseitigt werden, wenn die Mailserver die sichere Übertragung nutzen würden (STARTTLS). Dazu ist zumindest auf dem absendenden Mailserver ein Zertifikat erforderlich. Wenn auch der empfangende Mailserver TLS anbietet, dann werden die Nachrichten sogar verschlüsselt übertragen.
Das System scheint natürlich mit der Qualität der Zertifikate zu stehen und zu fallen, da selbst ausgestellte Zertifikate nicht nicht vertrauenswürdig sind. Aber selbst wenn ein Server nur ein eigenes Zertfikat anbietet, so erlaubt die dem Absender die Daten zu verschlüsseln und damit die Übertragung besser abzusichern. Sehr viele Firmen gehen nämlich dazu über, die Ende-zu-Ende-Verschlüsselung durch Anwender zu unterbinden. Solche Nachrichten können nämlich auf dem Server oder Gateway weder auf Viren untersucht noch archiviert werden, wenn nur der Anwender den passenden privaten Schlüssel hat (Siehe auch SMTP und die Sicherheit)
Besonders Firmen werden nach einiger Zeit natürlich ein offizielles Zertifikat nutzen. Dies könnte theoretisch auch vom Internet Provider ausgestellt werden, da auch Provider durchaus ein Interesse daran haben, ihren Kunden einen guten Service zu liefern. Obwohl ich oft das Gefühl habe, dass einige ISVs noch sehr Spam-freundlich sind.
Zertifikate und TLS
Jedes Zertifikat erlaubt eine verschlüsselte Übertragung. Qualifizierte
Zertifikate beim Absender ermöglichen nicht nur eine Signierung der Quelle
sondern zudem auch eine Klassifizierung und Identifikation.
Reputation
Der zweite Baustein ist dann die Information über den Absender, die an der Domäne oder sogar auf die Mailadresse herunter den Absender qualifiziert. Natürlich reicht hier keine einfache Bewertung in "Spam JA/NEIN", sondern denkbar wäre eine Bewertung ähnlich dem RSAC-System für Webseiten. Allerdings darf es nicht dem Absender selbst möglich sein, dieses Rating zu bestimmen, sondern z.B. dem Provider, welcher die Verbindung bereit stellt.
Bei festen IP-Adressen könnte auch diese ein Rating erhalten, wobei dies nur bei Servern ohne Zertifikat und fester IP-Adresse zweckmäßig sein wird. Systeme mit dynamische Adresse sollten ihre Nachrichten dann über den Smarthost ihres Providers versenden und so durch dessen Eintrag in der Reputationsdatenbank qualifiziert werden. Nebenbei wird so natürlich auch ein Provider gezwungen, seine Kunden, mit denen er eine Geschäftsbeziehung hat, auf die Finger zu schauen. Ein Spammer unter seinen Kunden wird dann natürlich auch sein Rating verschlechtern und andere Kunden verärgern.
Rating bestimmen
Das Rating könnte man sich natürlich "erkaufen", aber da Spammer mit ihrem Geschäft durchaus erkleckliche Summen einnehmen, ist dieses Hebel nicht geeignet, sondern würde eher die kleinen Firmen benachteiligen. Spammer werden auch als ehesten die Mittel aufbringen können, entsprechende Rechenleistung und Bandbreite zu kaufen. Besser sind daher alternative Wege geeignet, z.B. die Bewertung durch ein Kreditinstitut. (Auch diese stellen zum Teil Zertifikate aus.
Eine wesentliche Rolle in solche einem System spielen natürlich die Provider. Irgend eine Firma schaltet die Zugangsleitung für den Spammer. Die Provider vergeben entsprechend IP-Adressen aus ihrem Pool und pflegen Reverse-DNS-Einträge. Wären alle Provider vertrauenswürdig, könnten diese sehr einfach eine Reputationsdatenbank mit ihren Kunden aufbauen. Solange aber Firmen "pro Megabyte" bezahlen müssen und der Provider bei mehr Verkehr mehr verdient, wird kein Provider sich das Geschäft verderben wollen.
Reputation bekannt geben
Dann bleibt noch die Frage wie ich als Empfängerserver die Reputation des Absenders prüfen kann. Natürlich sind auch hier wieder die üblichen Listen (RBL etc.) ein gangbarer Weg. Durch offizielle Zertifikate, die von einer qualifizierten CA ausgestellt werden, ist es einfach möglich, direkt dort das Rating mit als Feld zu hinterlegen. Durch solche Zertifikate kann die CA bei Missachtung der Regeln auch einfach das Zertifikat zurückziehen. Zudem verfällt es nach einiger Zeit. Auch alternative Sperrlisten von verschiedenen Anbietern könnten hier die Überprüfung leisten. (Analog zu RBL)
Auch der Einsatz von z.B. SenderID erlaubt es zumindest das Vorgeben eines anderen Absenders zu verhindern. Die ist aber eher eine Schutz gegen den Identitätsdiebstahl und kein geeigneter Filter gegen unerwünschte Nachrichten.
Letztlich läuft es darauf hinaus, dass die Teilnehmer einer Kommunikation bereit sind, ihre Identität nachvollziehbar zu machen, z.B.: durch Zertifikate oder IP-Adressen und damit den Aufbau und die Nutzung entsprechender Reputationsdatenbanken erst zu ermöglichen.
Problem: Rechtliche Rahmenbedingungen
Was vermutlich eine trügerische Hoffnung bleibt, ist das Vertrauen auf die Legislative. Selbst wenn auch die gesetzgebenden Personen aller Staaten Opfer von Spam werden und international durchsetzbare Ansprüche gegen Spammer und deren Provider festlegen, wird es immer Schlupflöcher geben. Diese gibt es nicht einmal bei wirklich wichtigen Dingen wie dem Atomwaffensperrvertrag, den Menschenrechtskonventionen, umweltschutzvereinbarungen (Kyoto). Es wäre eine Illusion, wenn beim Kampf gegen Spam die Welt einmal einig wäre.
