Spam und UCE - Filter: Sender Confirmation

So funktioniert es

Wenn Sie als Anwender eine Mail versenden, dann kann der Empfänger diese Mail temporär vor dem Postfach anhalten und dem Absender erste eine Mail zur Freischaltung senden. Der Absender muss dann erneut aktiv werden, damit die Mail auch "losgelassen" wird. Dies habe ich z.B. beim Provider "Earthlink" beobachtet. Eine Mail an eine Adresse bei Earthlink wurde mit folgender Mail beantwortet:

Ich wurde darin aufgefordert, über eine Webseite meine Mail "frei zu geben". Wenn ich dann auf die Webseite zugreife, kann ich meine Mailadresse sogar noch mit einem Kommentar versehen. Anscheinend wird diese Adresse dann in das Adressbuch des Empfängers eingetragen.

Damit ein Spammer dieses Verfahren nicht automatisiert, wird auch hier mit einem "Captcha" gearbeitet, also einer Grafik, die es für Computer sehr schwer macht, die Antwort zu erkennen, während ein Mensch problemlos den Code "eintippen" kann.

Produkte für Firmen

Mittlerweile gibt es auch kommerzielle Produkte und Hosting Anbieter, die diese Lösung des "Sender Confirm" für Firmen verfügbar machen. In der Werbung hört sich das alles auch ganz gut an

... adds new technology of secure sender recognition, It will ask once to each unknown sender a very simple validation to whom sends just one mail ...

Ich hoffe, dass nicht allzu viele Firmen eine solche Lösung installieren und dass nicht allzu viele Spammer meine FROM-Adresse missbrauchen, damit ich keine Flut von "Bitte bestätigen Sie.." Anfragen in meinem Postfach habe.

Hier am Beispiel eines MSXFAQ Newsletter Empfängers, der den Anbieter "Spamrobin" verwendet:

Spamrobin Challenge

Über einen Klick auf Autorisieren lande ich auf einer Webseite, auf der ich an Captcha ausfüllen muss. Damit möchte der Anbieter den Absender quasi zwingen, mehr Aufwand in den Versand zu stecken und nur ein "erwünschter" Absender wird sich wohl die Mühe machen. Interessant ist hier die zusätzliche Bestätigungsmail:

Wie wirksam ist wohl eine Freischaltung auf den "gleichen Mailserver", wenn jemand von einem Massenprovider oder über eine dynamische IP-Adresse per DSL seine Mails versendet ?. Man muss schon ein sehr exklusives Angebot haben, damit ein Kunde sich das mehrfach gefallen läßt.

Wenn diese "Methode" intensiver genutzt wird, dann sollte ich NoSpamProxy derart erweitern lassen, um genau solche Meldungen abzulehnen. Denn an den Mailserver "Zugestellt" wurde die Nachricht ja schon (sonst könnte mir die Gegenseite ja keinen Challenge senden).

Probleme

Allerdings hat dieses Verfahren einige Nachteile, die nicht unerwähnt bleiben dürfen.

  • Absender muss was tun
    Was ist, wenn der jedoch nach dem Versand für einige Zeit seinen Posteingang nicht mehr liest und eigentlich glaubt, dass er die Mail "versendet" hat. Oder die "Frage" eine HTML-Mails mit einer zu entziffernden Grafik (Capcha) ist, die ich auf einem Mobilen Gerät so gar nicht erkennen kann ?
  • Generierte Mails
    Wie aber soll ein eBya Bietagent, eine automatische Bestellbestätigung eines Lieferanten oder der Domainrobot ihres Internet Providers diese Hürde nehmen ?. Der Empfänger bekommt gar nicht mit, dass eine Mail an ihn "gehalten" wird und der Absender wird sich sagen, dass er die Mail doch mit einem "250 OK" an den nächsten Hob gesendet hat und damit eine Zustellung nachweisen kann ?.
  • Gefahr des Störens
    Der Provider sendet ja an jeden angeblichen Absender solche eine Mail. Ein Spammer kann damit durch tausend kleine Mail mit 1 Byte Inhalte und einem gefälschtem Absender die Mailbox dieser Person mit 1000 solcher "Bestätigungsmails". Die Bitte zur Autorisierung geht dann nämlich tausendfach an unbeteiligte Personen und sind per Definition ebenfalls Spam. Ich für meinen Teil werde deren Server und ähnliche Systeme vermutlich sehr bald ebenfalls auf einer Blocklist führen.
  • CRC-Problem
    Da die Bestätigungsmails sehr ähnlich aussehen, könnten diese ebenfalls in einem Spamfilter hängen bleiben und nun wissen beide nicht, dass die Mail nicht angekommen ist.
  • Gefahr einer Loop
    Was passiert, wenn auch das zweite System eine Bestätigungsmails absendet oder eine Abwesenheitsregel greift.? Habe ich dann einen Message Loop ?. Ohne Standard kann kein Verfahren zuverlässig solch eine Mail erkennen.
  • Werbung verpackt in einer Freigabemail
    Wer stellt sicher, das nicht auch die Spammer zukünftig Mails in diesem "Format" versenden und der Link auf eine Webseite zum Freischalten nicht einfach die Werbung selbst enthält ?. Klar könnte ich erkenne, dass ich nie eine Mail an das fragliche Postfach versendet habe, aber ein Spamfilter kann das kaum erkennen und muss diese Mails dann passieren lassen ?.
  • Viren und Bruch der Verifikation
    Es ist durchaus nicht unüblich, dass Angreifer ihre Kommunikationsbeziehungen heraus bekommen. So kann ein Virus auf ihrem System genau ihre "Kommunikationspartner" auslesen und dem Spammer den Hinweis geben, welche Absenderadressen bei ihnen vertrauenswürdig sind. Selbst ohne diese Hintertür gibt es sicher viele Absender, die auf vielen Listen enthalten sind (z.B. Microsoft Security Newsletter, eBay Bieteragent etc.). Spammer werden dann eben diese Adressen fälschen.

So nett der Ansatz ist, so dürfte er nur sehr kurz greifen.

Weitere Links