Spam und UCE - Behandlung von Spam
Durch den Einsatz verschiedener Produkte und Filter erhalten Sie am Ende der Entscheidungskette das Ergebnis: Diese Mail ist Spam. Damit ist aber noch nicht gesagt, wie ihre Software damit umgeht. Auch hier gibt es mehrere Ansätze:
Nachdem eine Nachricht als Spam erkannt wurde, kann eine Software aus einer Menge von Optionen wählen, diese Nachricht zu bearbeiten.
Eine Filtersoftware hat folgende Alternativen, um angeblich erkannte Werbenachrichten zu bearbeiten.
- Mail wird gelöscht
Dies ist sicher der einfachste Fall, aber zugleich sehr gefährlich, wenn "gute" Nachrichten irrtümlich gelöscht wurden. Vor allem wenn weder der Absender noch der Empfänger informiert werden. Da muss man schon sehr sicher sein. Dennoch gibt es auch große unternehmen, die sich die Freiheit hierzu herausnehmen. Na ja wenn man sich keine Sorge über seine Kunden machen muss, dann mag das tolerierbar sein. Hier am Beispiel der früheren GEZ:( http://www.rundfunkbeitrag.de/zugangseroeffnung/index.html Stand Jan 2014)
- Mail in zentrale Quarantäne
Leider läuft so ein Verzeichnis schnell voll, der Administrator wird sich nicht die Mühe machen, regelmäßig nachzuschauen. Nur praktikablen, wenn eine Verfallszeit definiert ist. Nur wenn ein User eine Mail "vermisst" muss der Administrator auf die Suche gehen und das kann dauern. - Mail "kennzeichnen"
Einige Produkte setzen in den Betreff ein Kürzel "Spam" oder ähnliches vor, damit der Anwender sofort die Infos sieht und eigene Regeln einsetzen kann. Damit erhält der Anwender die Mail weiterhin, kann aber diese eigenverantwortlich löschen oder verschieben oder lesen und damit wieder Arbeitszeit verbraten. - Nachricht in eigenen Ordner ablegen
Andere Produkte legen die fraglichen Nachrichten in einem eigenen Ordner ab. Dies funktioniert mit Webbasierten Mailsysteme oder Exchange sehr gut. POP3 Systeme können leider nur den "Posteingang" und können diesen Weg nicht anbieten. Aber auch hier sieht der Anwender die angeblichen Spam-Nachrichten und muss reinschauen, wenn er was vermisst. Wenn er das tut, kostet es Arbeitszeit, wenn nicht dann bemerkt er keine "False Positive". - Nachricht "bremsen
Etwas perfide und nicht ganz unkritisch zu sehen ist der Weg, einen solchen Spammer trickreich zu bremsen, d.h. die Verbindung "WAIT" zu halten. Viele einzelne Spamsender stocken dabei, da sie auch nur begrenze Ports zum Versand haben. Gute Nachrichten kommen verzögert durch und es besteht die Hoffnung, dass Spammer ihren Mailserver zukünftig ausschließen, da der Versand der anderen Millionen Nachrichten behindert wird. Dieses Verfahren finden Sie im Internet unter dem Begriff "Teergrube" oder Tarpitting - Nachricht gar nicht annehmen
Wird der Spam schon "beim Empfang" analysiert und erkannt, kann die SMTP-Verbindung gekappt werden. Der Absender wir die Nachricht nicht los und erhält eine Fehlermeldung seines MTA. Der Sender wird die Mail nicht los und wird sich bei einem false positive anderweitig melden und ein Spammer wird sich nicht melden. Keine Probleme mit löschen oder Quarantäne
Ich persönlich wünsche mir, dass ein Spam Filter die Nachrichten nicht annimmt, da dies Bandbreite spart und das Problem an den Absender übergibt. Ein seriöser Absender wird versuchen, den Grund zu ermitteln, ein Spammer wird einfach weiter ziehen und die Adresse löschen, da Sie sein System blockiert.
Quarantäne
Wenn Sie die Mails nicht einfach kennzeichnen und an dem Empfänger weiterleiten wollen, können Sie solche Nachrichten nur in eine Quarantäne legen und jemand einstellen, der darin die irrtümlich erkannten Nachrichten rausfischt. Generell ist es sehr gefährlich eine Mail zu löschen, die sie empfangen haben.
- Siehe auch Quarantäne.
False Positive
Da gibt es übrigens ein Problem, welches Sie nicht ganz vergessen dürfen: Keine Software kann jede Art von Spam erkennen und löschen. je enger die Filter sind, desto eher bleibt auch mal eine "erwünschte" Mail hängen. Wenn Sie Programme einsetzen, die nach Regeln solche Nachrichten blockieren oder löschen, dann kann es natürlich auch passieren, dass Nachrichten geblockt werden, die eigentlich nicht beblockt werden sollten. In der Statistik spricht man dann von Fehlern der ersten und zweiten Ordnung.
|
Durchgelassen |
Blockiert |
|
OK |
Gefährlich ! |
|
ärgerlich, |
OK |
Klar ist, dass es keine 100% Lösung geben kann und der Einsatz einer Software nicht jede Spam Nachricht filtern kann und leider auch erwünschte Nachrichten blockieren wird. Je stärker der Schutz gegen unerwünschte Nachrichten greift, desto eher werden auch erwünschte Nachrichten blockiert.
Knifflig wird dies, wenn Sie als Vollkaufmann ein Mail aufgrund eines Filters nicht erhalten, der Absender aber ihnen nachweist, dass ihr Mailserver diese angenommen hat. Die Gerichte sind hierüber noch nicht einig, wie dies zu betrachten ist.
Info an Absender ?
Das Problem könnte entschärft werden, wenn der Absender eine Information darüber erhalten würde, dass seine Nachricht durch einen Filter blockiert worden ist. Eine solche "Unzustellbarkeitsquittung" wäre sehr einfach zu implementieren. Aber Sie hat einige schwerwiegende Nachteile:
- Transfervolumen
Die meisten Scanner haben die Nachricht dazu schon empfangen. Sie haben dafür schon bezahlt. Und die Quittung kostet erneut Geld - Ungültige Absender
Viele Spammer verwenden ungültige Absenderadressen. Damit wird ihre Quittung nie zugestellt. Wenn ihr Mailserver aber einige Male den Versand versucht, dann haben Sie zusätzlich auch eine volle Warteschlange und höhere CPU-Belastung. - Falsche Absenderadresse
Einige Spammer fälschen die Absenderadresse, indem Sie eine Adresse eine anderen Person nutzen. In dem Moment werden Sie (und tausend andere Spamschutzprogramme) ungewollt selbst zum "Störer", und füllen das Postfach des angeblichen Absenders auf.
Das Problem ist also nicht damit gelöst, diese Nachrichten einfach mit einer Quittung zu löschen. Dass einige Produkte es trotzdem immer wieder machen zeige ich ihnen auf Störer.
Weitere Links
- Anti-Spam Golden Rules – Reject if You Can
http://www.exchangeinbox.com/article.aspx?i=107&t=3