Spam und UCE - Filter: NDR

Spammer haben die unangenehme Eigenschaft, offene Relays zu verwenden und zudem mit  gefälschten Absenderadressen zu senden. Dies ist zwar in einigen Staaten der USA mittlerweile verboten aber hindert die Spammer nicht daran, mit z.B.: meiner Mailadresse ihren Müll unter die Leute zu senden. Manchmal ist es auch ein Wurm, der so versucht, bestimmte Firmen lahm zu legen. Erinnern sie sich an die "BKA-Mails", die durch den Wurm "SOBER-AG" produziert wurden.

Wenn Sie sich dann die Funktion von NDRs auf unzustellbarkeiten anschauen, dann können Sie das Ergebnis natürlich sehr schnell erahnen. Ihr Posteingang kann wie folgt aussehen:

Leider gibt es immer noch viel zu viele Mailserver, die Nachrichten erst annehmen und dann feststellen, dass die Zieladresse gar nicht gültig ist. Da Sie aber die Mail bereits angenommen haben, sind Sie laut RFC verpflichtet,

Lösungsansatz ?

Solch eine indirekte Spamflut zu vermeiden, ist gar nicht so einfach. Natürlich könnten wir einfach unzustellbarkeitsmeldungen von extern ungesehen löschen und darauf vertrauen, dass unsere Mail, so Sie denn versendet wurde, auch zugestellt wird. Schließlich ist der andere Mailserver nun dafür verantwortlich. Nur ist das nicht praktikabel, da er mit der NDR-Meldung ja gerade "Bescheid" sagen will.

Die Lösung lautet daher, dass nur NDR-Meldungen eingehend angenommen werden, für die es auch eine ausgehende Mail gegeben hat. Allerdings ist eine Zuordnung nicht immer einfach möglich, da eine NDR-Meldung immer vom Postmaster der Gegenseite kommt und die "MAIL FROM"-Information in der Regel "leer" ist.

Eine Zuordnung von NDR zu einer ausgehenden Mail kann nur anhand des lokalen Absenders und vielleicht des Betreff gemacht werden. Sie können nicht davon ausgehen, dass die NDR die Meldung gesamt oder in Teilen oder vielleicht die originale Message-ID enthält.

Eine wichtige Funktion ist auf jeden Fall die Ablehnung von NDR-Meldungen an Empfänger, die es bei ihnen lokal gar nicht gibt. Das kann schon eine Menge unerwünschte Nachrichten reduzieren. Allerdings reicht dies nicht, wenn eine tatsächlich vorhandene Mailadresse missbraucht wird.

Probleme

Wenn Sie mehrere ausgehende Wege haben, d.h. mehrere Mailrelays parallel arbeiten oder Dienstleister oder Mitarbeiter sogar selbständig Nachrichten per SMTP versenden, dann müssen Sie irgendwie die Informationen zusammenführen, damit alle für eingehenden Mails zuständigen Systeme diese Nachrichten zuordnen  können.

Zudem ist eine eindeutige Zuordnung von Nachrichten aus den oben genannten Gründen nicht immer möglich, so dass bis zur Eignung eines solchen Filters noch einiges an Entwicklung und Forschungsarbeit investiert werden muss.

Weitere Links