Spam und UCE - Filter und deren Bedeutung
Nun gibt es verschiedene Ansätze, eingehende Nachrichten zu bewerten und als Spam zu klassifizieren. Ich führe hier die häufig gefragten Varianten vereinfacht aus. Dies sind bei weitem nicht alle denkbaren Filter.
Beachten Sie dazu auch das Anti-Spam-Glossar meiner Kollegen von Net at Work auf https://anti-spam-filter.de/anti-spam-glossar/
Filter und ihre Nutzbarkeit
Hier eine kurze Übersicht gängiger Regeln und meine persönliche Einschätzung über deren Wirkungsweise und Nutzen. Wenn Sie den entsprechenden Filter anklicken, erhalten sie genauere Informationen:
Filter | Einsatzbereich und Tauglichkeit | ||
---|---|---|---|
in der Vergangenheit | Heute (Anfang 2007) | In der Zukunft | |
HELO |
kaum genutzt, Fehlalarme |
kaum genutzt, Fehlalarme |
kaum genutzt, Fehlalarme |
RCPTTO |
leider kaum genutzt |
Leider immer noch zu wenig genutzt |
unersetzlich !! |
RBL |
Gut |
Immer noch aktuell und sehr effektiv (>50%) aber auch False Positive |
Abwandlung zu allgemeinen Blocklisten unerwünschter Systeme |
Relay Block List mit BGP-Netzwerkscope |
Gut |
Immer noch aktuell und sehr effektiv (>50%) aber auch False Positive |
Wird weiter bestehen. Ggfls. Anpassung an |
DUL |
Gut |
Einsatz strittig. Kleine Firmen und falsche Listen werden ausgesperrt |
Abwandlung zu allgemeinen Blocklisten unerwünschter Systeme |
Frequenzanalyse |
Nicht verwendet |
Eher für große Firmen und Provider nutzbar |
Für große Firmen nutzbar |
ReverseDNS |
Als Negativfilter: teilweise |
Als Negativfilter: schädlich |
Als Negativfilter: schädlich |
ReverseMX |
Gut |
kaum nutzbar |
entfällt wg. SenderID |
1und1
Schizo Filter |
Gut |
gut |
gut |
Eingeschränkt |
Eingeschränkt |
Eingeschränkt |
|
Bayes |
nicht genutzt |
gut |
schlecht |
SPF, SenderID |
nicht genutzt |
noch nicht nutzbar |
könnte wichtiges Verfahren werden |
DKIM |
nicht genutzt |
gering nutzbar |
fraglich |
Gering |
Bestimmte Produkte |
Könnte wichtig werden |
|
TLS/SSL/STARTTLS |
nicht genutzt |
nicht genutzt |
langfristig Potential |
nicht genutzt |
gering nutzbar |
Übergangsweise bis SPF/SenderID |
|
Puzzles |
nicht genutzt |
noch nicht nutzbar |
fraglich |
DCC |
nicht genutzt |
noch nicht nutzbar |
fraglich |
Greylist |
nicht genutzt |
aktuell noch sehr effektiv |
könnte wirkungslos werden |
Sender Confirm |
nicht genutzt |
noch nicht nutzbar |
fraglich |
nicht genutzt |
noch nicht nutzbar |
fraglich |
|
Tarpitting |
selten genutzt |
nutzbar |
nutzbar |
Reverse SMTP |
selten genutzt |
nutzbar |
nutzbar |
AttachmentType |
Gut |
Gut |
Gut |
Content |
teilweise |
primär vieler Hersteller |
nutzbar |
Size |
selten genutzt |
noch als Positivkriterium |
Nutzbarkeit nimmt ab |
NDR-Filter |
nicht genutzt |
nicht genutzt |
? |
Virus |
Erforderlich !! aber oft nicht genutzt |
Erforderlich !! |
Erforderlich !! |
Bounce-Filter |
Wenig im Einsatz |
Bei einigen großen Providern im Einsatz |
Hilft die NDR-Flut zu reduzieren. False Positive aber eventuell zu hoch. |
Level of Trust |
Nur mit NoSpamProxy |
Nur mit NoSpamProxy |
Nur mit NoSpamProxy |
Filter: Wegwerfadressen |
Überwiegend im privaten Bereich im Einsatz |
Überwiegend im privaten Bereich im Einsatz |
Überwiegend im privaten Bereich im Einsatz |
vor 2017 kaum genutzt |
in 2017 gerade "Hype Thema" |
Ein nützliches Werkzeug für bestimmte Anlagen. |
Oftmals wird eine Kombination verschiedener Filter eingesetzt, wobei viele Filter nicht unbedingt eine bessere Funktion ergeben müssen. Sie können sich auch gegenseitig stören.
Das wichtigste Problem ist aber prinzipieller Natur. Nehmen wir mal die Natur als Vergleich:
Tagtäglich erkranken Leute an Schnupfen, Grippeviren oder auch AIDS und es gibt für einige dieser Angriffe sogar Schutzimpfungen. Selbst wenn alle Leute geimpft wären, ist es nur eine Frage der Zeit, bis eine neue Mutation eines bestehenden Schädlings den Schutz überwindet.
Genau so stellt sich die Situation im Internet mit Viren und Spammern dar: Selbst wenn die Schutzmechanismen perfekt werden, so ist es nur eine Frage der Zeit, bis andere Wege gefunden werden. Leider gibt es nicht mal den absoluten Schutz, da niemals alle Mailserver in kurzer Zeit alle neuen Filter und Regeln implementieren.
Allerdings nutzen Spammer und Viren im Gegensatz zu organischen Viren nicht einen unkontrollierbaren "Luftraum", sondern das Internet. Ein Verbund von Rechnern mit IP-Adressen, Verbindungen etc. die prinzipiell wunderbar zu steuern wären. Das Problem "Spam und Virus" könne viel besser auf dem Übertragungsweg reduziert werden. Solange Provider aber genug Geld von ihren Kunden (Auch Spammer sind Kunde bei einem Provider) bekommen, seriöse Provider sich dagegen noch nicht wehren und die rechtlichen Aspekte von Land zu Land unterschiedlich sind, werden wir weiter immer neue bessere Filter entwickeln und implementieren müssen.