Allowlists

Jeder Spamschutz hat natürlich das Risiko, dass eine gute Mail irrtümlich geblockt wird. Das ist natürlich schwerwiegend, wenn dabei weder der Absender noch der Empfänger davon Kenntnis erhält. Auch wenn die Hersteller von AntiSpam-Produkten dieses "Problem" gerne verschweigen oder klein reden, so ist es aber wohl doch so schwerwiegend, dass fast alle größeren Webseiten oder Dienstanbieter darauf hinweisen. So z.B. auch MSN selbst, wenn man deren Support bemüht: 

Whitelist mt MSN

Sie finden solche Hinweise auch bei anderen Anbietern und speziell bei Versendern von größeren Rundschreiben. (z.B. Microsoft TechNet News, Partner Newsletter) etc. Es ist nicht nur für den Versender ärgerlich, wenn die Mails nicht ankommen sondern auch die Nachbearbeitung solcher Fehler ist sehr zeitaufwändig und kostenintensiv.

Probleme mit Whitlisting

Dabei wird aber gerne vergessen, dass dieses "Allowlisting" gleich mehrere Probleme hat

  • Dummes Whitlisting pro Domain
    Allowlists sind goldene Türen für Spammer. Wenn es ihnen gelingt, eine solche Absenderadresse zu erahnen, können Sie sehr viel bessere Zustellungsraten erhalten. Leider tragen eben viele Personen gleich komplette Domänen ein und wer sicher sein will, dass er keine ebay-Versteigerung verpasst, trägt natürlich ebay.de als Allowlist ein. Er braucht sich dann aber nicht über jede Menge Phishing-Mails zu wundern, die natürlich auch eine ebay.de-Adresse vorgeben.
    Oft ist es aber nicht einfach, eine Mailadresse frei zu schalten, weil der Anbieter entweder gar nicht mitteilt, welche Adresse er verwendet oder Sie ändert sich immer wieder (z.B. häufig bei Reservierungsbestätigungen bei Fluggesellschaften zu sehen.
  • Allowlisting und Hosted Filtering
    Die Pflege solcher Listen ist relativ einfach, wenn Sie ihre Mails als Privatperson von einem Postfach ihres Providers abholen. Ihre Mailsoftware holt die Mail und sie müssen nur lokal ihre Filter entsprechende Pflegen, damit die allseits vorhandenen Spamfilter die Ausnahmen können. Achten Sie aber darauf, dass Sie auch alle erwischen. Nicht nur Outlook und Outlook Express/Windows Mail können mittlerweile Spamfilter. Einige Zusatzprodukte (Personal Firewalls, Antiviren Software) rüsten ebenfalls solche Funktionen fast unbemerkt nach. Und wenn ihr Anbieter auch schon einen Spamschutz anbietet, dann müssen Sie dort auch noch mal die gleichen Adressen eintragen.
  • Allowlisting und Gateways
    Firmen machen es ihren Mitarbeitern auch nicht einfach. Gerade die Antispam-Gateways sind hier sehr oft "dumm" aus Sicht des Anwenders. Die Firma kann Regeln pflegen und der Admin nimmt dem Anwender die Arbeit ab. Leider geht das so weit, das der Anwender gar keine "Allowlist" pflegen kann, die vom Gateway akzeptiert wird. Selbst Exchange 2007 kennt zwar mit dem Edge-Server und EdgeSync entsprechende Wege, um die Outlook Einstellungen des Clients vom Postfach in das Active Directory zu übertragen (manuelle PowerShell Kommando !) um diese Daten dann per EdgeSync an das Gateway zu liefern. Aber ich kenne sonst kein Produkt, welches so weit den Client (der ja nicht Exchange sein muss) über diesen Weg einbindet. Allerdings gibt es andere Wege (siehe weiter unten)
  • Allowlisting und AntiSpam Hosting
    Das gleiche Problem haben natürlich auch Dienstleister wie Exchange Hosted Messaging, Postini und andere (um eine willkürliche Auswahl zu nennen). Da hier ein direkter Zugriff auf interne Daten quasi nicht möglich ist, bleibt für die Anwender fast nur der Weg über einen Browser dein eigenen Spamfilter anzupassen, sofern der Dienstleister dies überhaupt möglich macht. Aber selbst dann ist natürlich die Frage der Authentifizierung zu stellen, da der Benutzer ja eindeutig identifiziert werden muss. Als Administrator habe ich es dann auch nicht einfach, solche Einstellungen zentral zu machen oder zumindest zu berichten.
  • Allowlist und Bots/Trojaner
    Für Spamversender sind Adressen einer Allowlist natürlich besonders interessant. Schon längere Zeit gibt es Viren und Trojaner, deren primäres Ziel das Ausspähen von Adressen aus Kontakten bei Empfängern ist. So kommen Spammer auch an Allowlists heran. Solange ein Filter also nur die "Mail from"-Adresse derart bewertet, werden Allowlists für Spammer sehr interessant bleiben und öffnen den direkten Weg zum Ziel.

So schön der Begriff "Allowlist" klingt und eine Sicherheit für fehlerfreie Zustellung verspricht, so schwerwiegend sind dessen Auswirkungen auf die Kommunikation. Entweder erlaubt das System keine solche Pflege oder Sie ist sehr Aufwändig für den Anwender. Er muss auf jeden Fall tätig werden und dann stellt sich die Frage, wie ein Anwender seine Allowlist denn pflegen möchte, wenn er gerade unterwegs ist (OWA, ActiveSync, Blackberry etc.)

Dynamisches Allowlisting mit NoSpamProxy

Ich persönlich finde es z.B. erschreckend, dass noch kein anderes Produkt, außer NoSpamProxy, aktiv auch die ausgehende Kommunikation mit auswertet.
Sie folgenden Zeilen können Sie ruhig als Werbung für diese Idee verstehen. primär soll damit aber ein aus meiner Sicht besserer Weg aufgezeigt werden, der natürlich jedem offen steht.

Sicher gibt es schon einige Produkte, die ausgehende Mails mittels Bayes Filter als "gut" lernen. So hat z.B. Webwasher als auch IronMail wohl die Möglichkeit eine dynamische Allowlist zu aktivieren, in der dann ausgehende Empfänger und Mails, die aus der Quarantäne befreit werden, abgelegt werden. Allerdings bleibt es weiterhin eine Allowlist auf "MAIL FROM"-Adressen mit all ihren Einschränkungen.

NoSpamProxy merkt sich auch die Kommunikationsbeziehungen und baut so seine eigene individuelle Allowlist auf. Allerdings nicht als absolutes Kriterium, sondern in einem abgestuften Wertesystem mit mehreren Kennzahlen. Mit jeder ausgehenden Mail lernt NoSpamProxy meine Kommunikationspartner und merkt sich die Zieladresse, Zieldomäne, Zielsysteme und weitere Kennzahlen. Bei einer Rückantwort ist es dann sehr viel einfacher, die Rückläufer zu erkennen und sogar über die ansonsten starken Filter wie RBL und DUL zu heben. Fälle also, bei denen klassische AntiSpam Produkte die Verbindung viel zu früh ablehnen. Hier leistet sich NoSpamProxy die Sicherheit, ein paar Bytes mehr anzunehmen um vielleicht doch eine gewünschte Kommunikation wieder zu erkennen.

Der schöne Nebeneffekt ist hierbei, dass ich einfach durch eine Mail an den Empfänger diesen quasi "einladen" kann. Das geht auch von unterwegs mit Windows Mobile oder OWA und ganz ohne gesonderte Authentifizierung etc.

Nur unbekannte Absender kann ich so natürlich nicht einfach eintragen. Das klassische "Newsletter"-Problem ist bei jedem Filter schwer lösbar, d.h. ein Newsletter sendet ihnen etwas und ihr Spamfilter unterdrück die Mail. NoSpamProxy verhindert zumindest die Mail mit einer SMTP-Fehlermeldung. Seriöse Versender bekommen daher von ihrem Mailserver einen Fehler und können dem Nachgehen, wenn Sie ein Interesse daran haben. Bei Spamfiltern mit Quarantäne hingegen kann weder der Sender noch der Empfänger sofort den Fehler erkennen. NoSpamProxy arbeitet ohne Quarantäne.

Weitere Links