Spam und UCE - Filter und deren Bedeutung

Nun gibt es verschiedene Ansätze, eingehende Nachrichten zu bewerten und als Spam zu klassifizieren. Ich führe hier die häufig gefragten Varianten vereinfacht aus. Dies sind bei weitem nicht alle denkbaren Filter.

Beachten Sie dazu auch das Anti-Spam-Glossar meiner Kollegen von Net at Work auf  https://anti-spam-filter.de/anti-spam-glossar/

Filter und ihre Nutzbarkeit

Hier eine kurze Übersicht gängiger Regeln und meine persönliche Einschätzung über deren Wirkungsweise und Nutzen. Wenn Sie den entsprechenden Filter anklicken, erhalten sie genauere Informationen:

Filter Einsatzbereich und Tauglichkeit
in der Vergangenheit Heute (Anfang 2007) In der Zukunft

HELO
Wie heißt du ?

kaum genutzt, Fehlalarme

kaum genutzt, Fehlalarme

kaum genutzt, Fehlalarme

RCPTTO
Nur gültige Empfänger bitte

leider kaum genutzt

Leider immer noch zu wenig genutzt

unersetzlich !!

RBL
Relay Block List

Gut

Immer noch aktuell und sehr effektiv (>50%) aber auch False Positive

Abwandlung zu allgemeinen Blocklisten unerwünschter Systeme

UCEPROTECT, Telekom, Amazon

Relay Block List mit BGP-Netzwerkscope

Gut

Immer noch aktuell und sehr effektiv (>50%) aber auch False Positive

Wird weiter bestehen. Ggfls. Anpassung an

DUL
Liste von Wählzugängen

Gut

Einsatz strittig. Kleine Firmen und falsche Listen werden ausgesperrt

Abwandlung zu allgemeinen Blocklisten unerwünschter Systeme

Frequenzanalyse
Profilierung von IP-Adressen

Nicht verwendet

Eher für große Firmen und Provider nutzbar

Für große Firmen nutzbar
kleine Firmen über Listen

ReverseDNS
Gehört zur IP-Adresse auch ein Name ?

Als Negativfilter: teilweise

Als Negativfilter: schädlich
Als Positivfilter: begrenzt nutzbar

Als Negativfilter: schädlich
Als Positivfilter: begrenzt nutzbar

ReverseMX
Bist du auch der Mailin ?

Gut

kaum nutzbar

entfällt wg. SenderID

1und1 Schizo Filter
Namenswechsel verboten

Gut

gut

gut

Content/Wortlist

Eingeschränkt
Viel Pflegeaufwand

Eingeschränkt
Viel Pflegeaufwand

Eingeschränkt
Viel Pflegeaufwand

Bayes
Wahrscheinlich ist es ...

nicht genutzt

gut

schlecht

SPF, SenderID
Sag mir deinen Mailout Server

nicht genutzt

noch nicht nutzbar

könnte wichtiges Verfahren werden

DKIM
Signatur von Mails

nicht genutzt

gering nutzbar

fraglich

Reputation

Gering

Bestimmte Produkte

Könnte wichtig werden

TLS/SSL/STARTTLS

nicht genutzt

nicht genutzt

langfristig Potential

MTAMark

nicht genutzt

gering nutzbar

Übergangsweise bis SPF/SenderID

Puzzles
Sender muss rechnen

nicht genutzt

noch nicht nutzbar

fraglich

DCC
Prüfsummen ohne Schärfe

nicht genutzt

noch nicht nutzbar

fraglich

Greylist
Jeder hat einen zweiten Versuch

nicht genutzt

aktuell noch sehr effektiv

könnte wirkungslos werden

Sender Confirm
Absender, Bitte bestätigen

nicht genutzt

noch nicht nutzbar

fraglich

SRS, HashCash 

nicht genutzt

noch nicht nutzbar

fraglich

Tarpitting
Bremse die Bösen

selten genutzt

nutzbar

nutzbar

Reverse SMTP
Kann ich überhaupt antworten

selten genutzt

nutzbar

nutzbar

AttachmentType
EXE, BAT und COM adieu ?

Gut

Gut

Gut

Content
Inhalt des Body

teilweise

primär vieler Hersteller

nutzbar

Size
Die Größe einer Nachricht

selten genutzt

noch als Positivkriterium

Nutzbarkeit nimmt ab

NDR-Filter
Indirekter Spam

nicht genutzt

nicht genutzt

?

Virus
Ich kenn dich, Virus

Erforderlich !! aber oft nicht genutzt

Erforderlich !!

Erforderlich !!

Bounce-Filter
Ich mag keine NDR-Spammer

Wenig im Einsatz

Bei einigen großen Providern im Einsatz

Hilft die NDR-Flut zu reduzieren. False Positive aber eventuell zu hoch.

Level of Trust
Kommunikationsbeziehungen lernen und zum Filtern nutzen.

Nur mit NoSpamProxy

Nur mit NoSpamProxy
Sehr guter Positivfilter

Nur mit NoSpamProxy
Sehr guter Positivfilter

Filter: Wegwerfadressen
Einmal Adressen

Überwiegend im privaten Bereich im Einsatz

Überwiegend im privaten Bereich im Einsatz

Überwiegend im privaten Bereich im Einsatz

Sandbox und Dokumentrendering

vor 2017 kaum genutzt

in 2017 gerade "Hype Thema"

Ein nützliches Werkzeug für bestimmte Anlagen.

Oftmals wird eine Kombination verschiedener Filter eingesetzt, wobei viele Filter nicht unbedingt eine bessere Funktion ergeben müssen. Sie können sich auch gegenseitig stören.

Das wichtigste Problem ist aber prinzipieller Natur. Nehmen wir mal die Natur als Vergleich:

Tagtäglich erkranken Leute an Schnupfen, Grippeviren oder auch AIDS und es gibt für einige dieser Angriffe sogar Schutzimpfungen. Selbst wenn alle Leute geimpft wären, ist es nur eine Frage der Zeit, bis eine neue Mutation eines bestehenden Schädlings den Schutz überwindet.

Genau so stellt sich die Situation im Internet mit Viren und Spammern dar: Selbst wenn die Schutzmechanismen perfekt werden, so ist es nur eine Frage der Zeit, bis andere Wege gefunden werden. Leider gibt es nicht mal den absoluten Schutz, da niemals alle Mailserver in kurzer Zeit alle neuen Filter und Regeln implementieren.

Allerdings nutzen Spammer und Viren im Gegensatz zu organischen Viren nicht einen unkontrollierbaren "Luftraum", sondern das Internet. Ein Verbund von Rechnern mit IP-Adressen, Verbindungen etc. die prinzipiell wunderbar zu steuern wären. Das Problem "Spam und Virus" könne viel besser auf dem Übertragungsweg reduziert werden. Solange Provider aber genug Geld von ihren Kunden (Auch Spammer sind Kunde bei einem Provider) bekommen, seriöse Provider sich dagegen noch nicht wehren und die rechtlichen Aspekte von Land zu Land unterschiedlich sind, werden wir weiter immer neue bessere Filter entwickeln und implementieren müssen.