Bilder-Müll als neue E-Mail-Geissel
Bilder-Müll als neue E-Mail-Geissel Mit dem Aufkommen von Bilder-Spam haben die Müllprobleme in der elektronischen Post eine neue Größenordnung erreicht. Die E-Mail-Dienstleister sehen alle das Problem, die Lösungsansätze sind aber durchaus unterschiedlich.
Nur noch rund 20 Prozent des E-Mail-Aufkommens sind erwünschte, individuelle Nachrichten. Teilweise überschreitet schon heute bei einigen Unternehmen der Werbemüll-Anteil in der elektronischen Post die 90 Prozent-Marke. Auch die durchschnittliche Größe einer Spam-Mail nahm durch das Aufkommen von Image-Spam im Jahr 2006 stark zu. »Insbesondere durch Techniken wie separierte Spam-Teilbilder, die erst beim Empfänger zusammengesetzt werden, ist das durchschnittliche Volumen unverlangter Werbebotschaften auf über 80 Kilobyte angestiegen«, erklärt Robert Rothe, Gründer und Geschäftsführer des international agierenden Berliner E-Mail-Dienstleisters eleven. Rothe sieht eine zunehmende Tendenz der Müllversender, die unerwünschten Botschaften so kryptisch wie möglich zu gestalten, um die Filtermechanismen zu überlisten. Das geht laut Rothe mittlerweile so weit, dass die Müllwerke so verschroben gestaltet und formuliert sind, dass der eigentliche Zweck oft gar nicht mehr erkennbar ist. Letztlich sei das aber weder für Dienstleister noch Anwender besonders tröstlich, denn der E-Mail-Verkehr leide durch den Krypto-Müll genauso wie durch einfacher identifizierbaren Müll. Für das von eleven verwendete Spamerkennungsverfahren ist nach Aussage von Rothe die Art des Mülls völlig unwichtig. »Unser Filterverfahren hebt allein darauf ab, ob eine Mail massenhaft versendet wird oder nicht, um sie als Spam zu klassifizieren, als normale Mail oder auch als Newsletter. Was in der E-Mail steht, ob das Bilder-Spam oder gefälschte Rechnungen sind, spielt für unser Verfahren keine Rolle«. Bei dem Prüfverfahren von eleven werden alle eingehenden E-Mails auf einen Code von wenigen Bytes reduziert und dann die einzelnen Prüfschlüssel miteinander verglichen.
Verfahren kombinieren Die Mitbewerber von eleven, die Bilder-Spam ebenfalls als besorgniserregend einschätzen, setzen bei ihren Filtermaßnahmen meist auf mehrere unterschiedliche Mechanismen. So betont Martin Hager, Geschäftsführer beim Münchner Mail-Dienstleister Retarus, zwar die große Effizienz von speziellen Algorithmen zur Massenmail-Erkennung, meint aber, dass diese Mechanismen kombiniert werden müssten mit »dem Scannen auf verdächtige Hosts und verdächtige Inhalte«. Retarus setzt laut Hager dabei nicht zuletzt auf selbst entwickelte Lösungen, mit denen die Zustellung falsch adressierter oder durch Spamroboter zufällig generierter Mails an nicht existente Empfänger verhindert« werden könne. Darüber hinaus habe Retarus eine Technik entwickelt, die das Kommunikationsverhalten der zustellenden Mailserver analysiere und dadurch Spamversender zuverlässig erkenne. Auch Peter Lorant, Senior Director Marketing EMEA bei Postini, plädiert für den Einsatz verschiedener Verfahren zur Entdeckung von Bilder-Spam. Neben den üblichen Methoden, die Postini für alle Arten von Spamerkennung einsetze, verwende man zusätzlich »Metadaten wie die Anzahl und die Variabilität der verwendeten Farben«. All dies könne man sehr zeitnah verarbeiten, sodass auch bei solchen Operationen kaum Verzögerungen bei der Anlieferung der elektronischen Post aufträten. Die Verwendung von OCR-Komponenten in den Spamfiltern, die anfangs durchaus effizient gewesen sei, ist mittlerweile laut Lorant ziemlich wirkungslos, weil »die Müllversender neuerdings Hintergrundfarben und diverse Schmuckelemente einsetzten, die den OCR-Filtermechanismus verwirrten und lahmlegten. Prüfsummenverfahren haben für Lorant im Kontext von Bilder-Spam ebenso viel an Wirkung verloren, weil »die Spammer die Bilder minimal variierten, sodass sie für den Filtermechanismus nicht mehr als gleiche Bilder erkennbar seien«. Hier ist anzumerken, dass offenbar Prüfsummenverfahren nicht gleich Prüfsummenverfahren ist. Robert Rothe von eleven jedenfalls besteht darauf, dass das von seiner Firma entwickelte und eingesetzte Verfahren sehr wohl Ähnlichkeiten von Texten und Bildern erfassen könne und Elemente, die sich nur geringfügig voneinander unterschieden, unter ein- und dieselbe Kategorie subsumiere. Minimal variierte Bilder würden also von eleven als ein- und derselbe Müll erkannt und aussortiert.
Der schwache Punkt vieler Spamfilter Für Henning Ogberg, Sales Director bei Surfcontrol, das letztes Jahr den E-Mail-Dienstleister Blackspider geschluckt hat, ist »Image-Spam mittlerweile dem Exotenstatus entwachsen«. Die Spammer haben laut Ogberg erkannt, dass Bilder-Spam eine »offene Flanke vieler Spamfilter« angreife, weil viele dieser Filter heute noch text- und nicht bildorientiert arbeiteten. Letztlich, so Ogberg, werde nur eine Kombination mehrerer Methoden den gewünschten Abwehrerfolg bringen. Als Türme in der Abwehr sieht Ogbert nach wie vor ein zeitnah arbeitendes Negativlisten-Verfahren (Realtime Blacklist) und konsequente Sicherheitsrichtlinien, die der sendende Server erfüllen muss, wenn er authentisiert werden will. Ogberg verweist auf die besonderen Vorteile der Mail-Dienstleister in der Erkennung von Spam, weil diese einfach durch die schiere Menge an elektronischer Post, die sie täglich verarbeiten müssten, sehr genau wüssten, welche Mails nützliche Informationen enthielten und welche nur Schrott transportierten. Nun ist das Ausfiltern von Schrott leider nur die eine Seite des Geschäfts. Die andere und mindestens ebenso wichtige Seite ist das zuverlässige Durchschleusen möglichst aller korrekten Mails. Schließlich kann man mit jedem Spamfilter fast hundertprozentige Spamerkennungsraten erreichen, wenn man dabei in Kauf nimmt, ab und zu auch mal eine korrekte Mail aus Versehen festzuhalten oder gar zu löschen. Letztlich muss sich jeder Anwender dieser Problematik bewusst sein und abschätzen können, was es geschäftlich und rechtlich für ihn bedeutete, wenn eine wichtige korrekte Mail im Müllkorb landete. Garantiezahlen von 95 oder auch 99 Prozent abgefangener Spam-Mails, mit denen manche Mail-Dienstleister hausieren gehen, sagen jedenfalls wenig bis nichts über die Nützlichkeit ihres Systems. Behauptungen wie die von eleven-Chef Rothe, dass das eigene System »praktisch keine Fehlalarme erzeuge«, sind – so sie denn stimmen – durchaus nützlicher, aber auch hier muss klar sein, wie hoch der Preis für diesen Nutzeffekt ist. Denn auch der Verzicht auf einen Spamfilter hätte natürlich in diesem Punkt erst einmal den gleichen Effekt.
Müllversender rüsten weiter auf Für Matt Sergeant, Spamfilter-Experte beim Mail-Dienstleister MessageLabs, schlägt der bebilderte Müll mittlerweile schon mit 50 bis 60 Prozent im Gesamtaufkommen zu Buche. Ähnlich wie andere Dienstleister, abgesehen einmal von eleven, geht auch MessageLabs mit einer Mixtur aus verschiedenen Methoden an die Identifizierung von Bilder-Spam. Im Wesentlichen ist das laut Sergeant eine Kombination aus Negativliste und allgemeinen heuristischen Verfahren. Letztere werden ständig dadurch verbessert und erweitert, dass man Informationen von den Anwendern über neueste Angriffsmuster einarbeitet. Sergeant macht sich keine Illusionen über die Zukunft. »Im Lager der Spammer gibt es sehr viele Ressourcen, das drastische Ansteigen des Müllaufkommens Ende letztes Jahr hat das gezeigt. Wir werden sicher immer wieder neue Techniken der Verbreitung von Spam sehen, ebenso wie neue Techniken, den Inhalt von Spam zu verschleiern«.
