Anforderungen an Spam-Filter wachsen
Harte Zeiten für die digitale Müllabfuhr
Die Zahlen sprechen für sich: Seit Anfang 2006 wuchs das Aufkommen an Spam-Mails um über 500 Prozent. Bei gleichbleibenden Spam-Erkennungsraten der eingesetzten Filter landen somit auch sechsmal so viele unerkannte Spam-Nachrichten in den Inboxen der Mitarbeiter. Auch die Belastung der gesamten E-Mail-Infrastruktur in Unternehmen steigt entsprechend.
Angesichts des Spam-Aufkommens sind neue Methoden gefragt, um die reibungslose
E-Mail-Kommunikation trotz der wachsenden Spam-Anzahl auch in Zukunft sicherzustellen. Schließlich
zählen überlastete Server, der Ausfall von Arbeitszeiten und verzögerte oder sogar verschollene
E-Mails zu den häufigsten Auswirkungen der Spam-Flut.
Die Klassiker haben ausgedient
Methoden wie inhaltsbasierte Erkennungsmethoden oder aber schwarze Listen auf Basis öffentlicher
RBL-Datenbanken (Realtime Blackhole List) können lediglich auf die neuen Tricks der Spammer
reagieren und bieten keinen proaktiven Schutz. So musste die Open-Relay-Database (ORDB) – ein
System, dem DNS-basierte Blacklists zugrunde liegen – nach fünfjähriger Präsenz Ende letzten Jahres
ihren Dienst quittieren. Grund ist, dass sich solche Systeme nicht zuletzt aufgrund des
Bedeutungsverlusts offener Relays für den Spam-Versand als kein geeignetes Mittel zur
Spam-Prävention erwiesen haben.
Um Spam-Filter auszutricksen, sind die Werbebotschaften seit Herbst 2005 auch immer häufiger in
Bildern verpackt. Textbasierte Filtermechanismen versagen bei diesen so genannten "Image Spams"
vollständig. Selbst Filter-Tools, die speziell auf diese Spam-Art ausgerichtet sind, haben
Probleme, neue Varianten zu erkennen, insbesondere von "Random-Image-Spam". Spammer versehen zum
Beispiel die Ränder und Hintergründe der integrierten Grafiken mit zufälligen Pixelfehlern und
Farbmustern, um so den Erkennungsmechanismen entgegenzuwirken, die auf einander ähnliche Bilder
achten. Zudem wird die Schrift in den Werbebildern entsprechend variiert, damit auch Systeme
scheitern, die mit Texterkennungsmethoden (OCR) arbeiten. Unbefriedigende Ergebnisse liefern
schließlich auch Antispam-Bemühungen, nach denen IP-Adressen verdächtiger Server gesammelt werden:
Einerseits landen täglich viele "gute" Server von Unternehmen ebenfalls in den Ausschlusslisten,
was dazu führt, dass auch erwünschte E-Mails nicht ausgeliefert werden, und andererseits wechseln
Spammer einfach Domänennamen und IP-Adressen im Sekundentakt.
Vor allem setzen Spammer aber längst auf ganz andere Methoden und nutzen neben dedizierten
Servern zunehmend so genannte Bot-Netze für den Versand ihrer Werbe-Mails. Dabei handelt es sich um
große Netzwerke aus "gekaperten" Rechnern, die – meist völlig unbemerkt vom Besitzer – vor allem
als Spam-Schleuder missbraucht werden und weitere Rechner infizieren, um das Netzwerk stetig zu
vergrößern. Die Kontrolle über diese Computer erhalten Spammer über eine zuvor eingeschleuste
Schadsoftware in Form von Trojanern oder Würmern. Sechs bis acht Millionen derartiger Zombies
hängen Schätzungen zufolge bereits heute permanent im Internet, von denen im vergangenen Jahr etwa
87 Prozent des gesamten Spam-Traffics verschickt wurden.
False-Positive-Rate wichtiger als Spam-Erkennungsrate
Weil nahezu sämtliche konventionelle Spam-Filter den Typ der E-Mail durch den Vergleich mit
bereits identifizierten und bekannten Phrasen, Überschriften, Absendern oder anhand der Verwendung
von Verteilern (Relays) identifizieren, bleiben oft auch wichtige E-Mails im Filter hängen. Dabei
handelt es sich um so genannte "False Positives". Die Rate sollte so niedrig wie möglich sein, denn
selbst gering anmutende 0,1 Prozent können sich gravierend auswirken: Würde "nur" 0,1 Prozent von
einer Million wöchentlich eingehender E-Mails versehentlich ausgefiltert, entspräche das 10.000
potenziell geschäftskritischer Nachrichten pro Woche, die ihren Empfänger nicht erreichen. Der
damit verbundene wirtschaftliche Schaden ist weit gravierender als der durch den Empfang von Spam.
Auch Quarantäne-Lösungen schaffen keine Abhilfe, da die zu hohe False-Positive-Rate zu Lasten der
einzelnen Mitarbeiter oder der IT-Abteilung geht, die mit viel Zeitaufwand nach versehentlich
gefilterten E-Mails suchen müssen.
Ein Algorithmus als wirksames Antispam-Mittel
Spammer sind sehr kreativ in der Methodenwahl, um Spam-Filter zu umgehen. Ein zentrales Merkmal
von Spam können sie allerdings nicht manipulieren: Spam wird massenhaft versendet. Genau auf diesem
Prinzip bauen Verfahren auf, die mit einem Kontrollsummen-Algorithmus arbeiten wie etwa der
Spam-Filter und E-Mail-Kategorisierungs-Dienst "Expurgate" von dem Berliner Antispam-Unternehmen
Eleven. Der Kontrollsummen-Check vergleicht die eingehenden E-Mails miteinander, ohne dass der
textliche Inhalt der Nachricht untersucht wird. Das Prinzip: E-Mails erhalten während der
Überprüfung eine Art Schlüssel in Form einer Prüfsumme, der in einer zentralen Datenbank abgelegt
wird. So sind andere Server in der Lage, den Posteingang mit den Datenbanken abzugleichen und
Spam-Mails von erwünschten Nachrichten zu trennen. E-Mails werden dabei auf einen Code von wenigen
Bytes reduziert, der keinerlei Rückschlüsse auf den ursprünglichen Inhalt der E-Mail zulässt. Je
häufiger eine gleiche oder eine ähnliche E-Mail zuvor empfangen wurde, desto höher ist die
Wahrscheinlichkeit, dass es sich bei der in der Prüfung befindlichen E-Mail um Spam handelt. In
Kombination mit weiteren Testverfahren lassen sich so E-Mails eindeutig als Spam oder andere Art
von Massen-Mail kategorisieren und entsprechend ausfiltern. Mithilfe einer so genannten "
Freezing-Funktion", die Spam-verdächtige E-Mails kurzzeitig einfriert und anschließend erneut
prüft, werden mit diesem Verfahren Spam-Erkennungsraten von über 99 Prozent erreicht. Zusätzlich
schützt in Lastsituationen eine E-Mail-Firewall die elektronische Kommunikation, indem der
E-Mail-Austausch mit den häufigsten Kommunikationspartnern sichergestellt wird. Dazu werden weniger
relevante E-Mails temporär abgewiesen. Auf diese Weise kann die reguläre, wichtige
E-Mail-Kommunikation selbst bei Denial-of-Service-Attacken sichergestellt werden.
Die Technologie arbeitet dabei sehr ressourcenschonend und in Echtzeit mit extrem kurzen
Prüfzeiten, sodass sie sich insbesondere auch für Großunternehmen und ISPs mit mehreren Millionen
Postfächern eignet. False Positives sind dabei verfahrensbedingt nahezu ausgeschlossen, da
wichtige, geschäftsrelevante E-Mails nicht massenhaft versendet werden. Durch die Kombination mit
anderen Verfahren, die unter anderem die Art der Verbreitung einer MassenMail prüfen, können aber
legitime Massensendungen wie Newsletter von Spam-Aussendungen unterschieden und mit entsprechender
Kategorisierung korrekt ausgeliefert werden.
Schutz vor Virenwellen
Signaturbasierte Virenscanner können auf aktuelle Bedrohungen nur reagieren. Die Hersteller
müssen zunächst einen auf den neuen Virus abgestimmten Code schreiben, diesen prüfen und
schließlich an die Kunden verteilen. Je nach Virus können so Stunden vergehen, bis eine aktuelle
Signatur zur Verfügung steht. Diese Lücke kann ein codebasiertes Erkennungsverfahren schließen.
Auch hier werden die durch den Kontrollsummenalgorithmus gebildeten Prüfsummen der E-Mails und
deren Anhänge miteinander verglichen. Schließlich verbreiten sich Viren ähnlich wie Spam-Mails –
nämlich mit großer Geschwindigkeit und in sehr hoher Anzahl. Durch die Prüfsumme als "Fingerabdruck"
einer E-Mail können verdächtige E-Mails identifiziert und je nach Konfiguration behandelt werden.
Auf diese Weise arbeitet ein solches Verfahren wie ein Puffer vor der signaturbasierten
Virenschutzsoftware. Mehr als 90 Prozent aller neuen Virenwellen scheitern dadurch bereits zu
Beginn des eigentlichen Ausbruchs. Eine Kontrollsummenbasierte Lösung bietet damit auch im
Virenschutz ein Plus an Sicherheit.
Lesen Sie mehr zum Thema
