Digitale Müllwerker

Die »Geschäftsmodelle« der digitalen Müll­erzeu­ger sind sehr vielfältig: Untersuchungs­ergeb­nis­­se von Symantec zeigen, dass sich der digitale Schuttberg ziemlich gleichmäßig auf die Sektoren Pornografie, Finanzen, Gesundheit. Freizeit, Luftprojekte, Internet, Betrug und Produkte verteilt. Das Werte-Ungleichgewicht in der Aufzählung (Gesundheit und Freizeit, Betrug und Luftgeschäfte) zeigt aber auch, wie kompliziert die Spam-Klassifizierung ist. Um dies an dem gern zitierten Beispiel »Viagra« zu erläutern: Für ein Pharmaunternehmen oder auch andere Unternehmen, die nicht gesetzeswidrig sind und ihre Filialen in jeder größeren Stadt haben, sind unter Umständen elektronische Nachrichten, die besagtes Wort enthalten, durchaus kein Werbemüll. Noch schwieriger sind vermutlich finanzielle Angebote zu sortieren.  
Kaskade von Verfahren
Alle heute ernsthaft um Marktanteile kämpfenden Spamschutz-Lösungen sind deshalb Systeme, die eine ganze Kaskade von Filtertechniken einsetzen: Das Spektrum der digitalen Müllwerker ist dabei breit gestreut. Eine oft genutzte Vorgehensweise sind »Giftlisten-Verfahren«. Dazu gehören die Erstellung von Positiv- und Negativ-Listen durch die Benutzer selbst oder auch der Rück­griff auf weltweite Datenbanken, in denen »Müllschleudern« mehr oder weniger zuverlässig erfasst sind (Real-Time Blacklists, RBL). Neben Dateianhang- und Webadressen-Filtern sind das oben schon angedeutete Wort-Statis­tik-Verfahren oder die Erzwingung einer Mail-Wiederholung, wenn diese von einem bis dahin unbekannten Absender kommt (so genanntes Greylis­ting) weitere häufig anzutreffende Methoden. Während Verfahren wie Wort-Statistiken vom semantischen Gehalt einer Mail auf deren Wert für den Empfänger zu schließen versuchen, abstrahieren andere Verfahren völlig vom Mailinhalt und versuchen anhand gleicher Bitmuster Mailwellen zu erkennen, die dann als Spam eingeordnet werden.
Eine qualitative Bewertungsliste der Verfahren ist nicht nur wegen der unscharfen Definitionsränder dessen, was nun Werbemüll für das je einzelne Unternehmen ist,  schwierig bis unmöglich. Vieles hängt vom Kontext ab, manchmal vielleicht sogar vom Zufall. Real-Time-Black-Listen beispielsweise sind mittlerweile ziemlich nutzlos, weil die professionellen Müllversender meist von Fremdrechnern, die sie vorher massenweise gekapert haben, ihren Schrott verteilen. Oder aber der Administrator bedient sich »dubioser RB-Listen wie SORBS, deren Bewertungsverfahren für verdächtige IP-Adressen nicht ersichtlich ist«, sagt Uwe Ulbrich, Geschäftsführer beim Münsteraner Spamschutz-Spezialisten Net at Work.
Die Fehleranfälligkeit von Wort-Statistiken (in der Regel nach Bayesschen Statistik-Verfahren) wurde oben schon angedeutet. Hier geht »aus dem Stand« gar nichts. Entweder muss der Anwender selbst einen solchen Wortfilter mit großem Aufwand einfahren oder der Anbieter macht es. Aber auch eingefahrene Bayessche Filter sind natürlich nur so gut, wie das vorherige Training und die verwendeten Sprachen. Gerade in Umgebungen, wo es sprachlich keinen deutsch-englischen Einheitsbrei gibt, sondern auch französische, polnische, russische oder chinesische Mails zur Tagesordnung gehören, sind schlecht trainierte Bayes-Filter womöglich die Katastrophe pur.  Hinweis am Rande: auch der quelloffene Spamschutz-Programm Spamassassin (www.spamassassin.apache.org) ist mittlerweile mit einem Bayesschen Wortfilter ausgestattet. Nicht-semantische und semantische Methoden
Oft werden nicht-semantische Verfahren die bessere Lösung bieten. Aber auch die schematische Erkennung von Mailschüben über Bitmuster oder die prophylaktische Zurückweisung aller Erstsendungen, die von einer Adresse kommen, deren »Sauberkeit« noch nicht kodifiziert ist, hat ihre Tücken. Dieses im englischen Jargon Greylisting genannte Verfahren kann im Fall einer total neuen Absender-Empfänger-Konstellation die »Zustellung einer sauberen Mail um fünf bis 15 Minuten verzögern, teilweise auch noch länger verzögern«, konzediert Marcus Popp, Produktmanager des Münchner Firewall-Spezialisten GeNUA, der in seinen Boxen auch Greylisting anbietet. Ein quasi händisch erweitertes Greylisting hat Reddoxx in sein Spamschutz-System eingebaut. Neue Mail-Absender werden per automatische Antwortmail dazu aufgefordert, sich einmalig auf der Webseite des Empfängers anzumelden. Dadurch glaubt man Spam-Roboter  mundtot zu machen.
Die weiter oben genannte Erkennung von Massensendungen aufgrund von Bitmustern ist unter anderem das technische Standbein des eXpurgate-Systems des Berliner Spamschutz-Spezialisten Eleven. Das »bulkcheck« getaufte Verfahren wurde nach Darstellung von Unternehmenssprecherin Ragna Vivian Rothe »als schnelle und ressourcenschonende Unternehmenslösung« entwick­elt. Das System gehe auch bei mehreren Milllionen Nutzern nicht in die Knie und erzeuge »verfahrensbedingt keine Fehlbewertungen«. Aber natürlich hat auch dieses System seine Schwächen: Die Bitmuster werden erst durch tatsächliche Massenmails zu Schad-Bitmustern, die erste Welle an Spam wird erst mal nicht erkannt. Um dennoch schnell reagieren zu können, benötigt man ein großes Mailaufkommen. Ein Mail-Dienstleister (wie es eleven ist) hat das sozusagen von Dienst wegen. Oder man baut ein großes Netz an Fangschaltungen, wie das Symantec Brightmail mit seinem »Probe Network« getan hat. Letzteres umfasst zwei Millionen Fangschaltungen in mehr als 20 Ländern, so dass man jederzeit einen guten Überblick darüber hat, was sich an Schadstoff-Wellen anbahnt.
 
Grundlage für jede Bewertung
Die fälschliche Klassifizierung von normalen erwünschten Geschäfts-Mails als Müll ist kostenmäßig der Haupt-Knackpunkt eines jeden Spamschutz-Systems. Wenn ab und zu eine Spam-Nachricht durch die Maschen schlüpft, ist das zwar für den Anwender ärgerlich, belastet aber letztlich nicht wirklich sein Portemonnaie. Wenn aber geschäftswichtige Mails im elektronischen Abfallkorb landen oder gar unwiederbringlich gelöscht werden, dann kann das richtig Geld kosten.   
Um diese Zahl möglichst gegen Null zu fahren, könnte man als Anwender nun meinen, dass das Auslagern des Mailverkehrs oder zumindest der Spam-Erkennung das Mittel der Wahl ist. Klar auch, dass Firmen wie Blackspider, Eleven oder Symantec, die allesamt nur oder auch in diesem Markt zugange sind, hier begeistert »ja« schreien. Aber es gibt auch Gegenargumente: abgesehen von der grundsätzlichen Entscheidung, wie weit man seine IT-Sicherheit außer Haus geben sollte, stellt sich in dem speziellen Fall die Frage, wieweit ein Externer mit seinen Filtereinstellungen auf die Spezifika des jeweiligen Kunden eingehen kann. Spamwellen werden ja womöglich vom externen Dienstleister schneller erkannt, das ist schon richtig, aber was ist Spam für den einzelnen Kunden? »Um eine Nachricht absolut zuverlässig bewerten zu können, muss das System wissen, welche Kommunikationsbeziehung das jeweilige Unternehmen hat und wünscht«, bringt es Uwe Ulbrich von Net at Work auf den Punkt. Die Antwort geht für Ulbrich dahin, in erster Linie die ausgehenden Mails eines Unternehmens als Grundlage für jede Bewertung zu nehmen.