Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Kombinierte Filtermethoden

Den Spammern immer einen Schritt voraus

Kombinierte Filtermethoden

26. September 2007, 14:09 Uhr |

Spam ist zu einem der größten Ärgernisse in der IT geworden. Kombinierte Filtermethoden arbeiten zuverlässig und effizient und sollen IT-Verantwortlichen helfen, den Spammern immer einen Schritt voraus zu sein.

Höchste Effektivität erzielt eine Anti-Spam-Lösung, wenn reaktive und proaktive Filtermethoden sinnvoll kombiniert werden..

Im Monat Dezember 2004 konnte Symantec einen Spam-Anteil von 67 Prozent am weltweiten Gesamt-E-Mail-Aufkommen feststellen. Im privaten Bereich kostete es den Anwender bisher zwar in erster Linie Nerven, mittlerweile nehmen aber auch Spam-Mails mit betrügerischen Inhalten in Form von Phishing-Mails immer stärker zu. Unternehmen haben bereits heute mit erheblichen Kosten zu kämpfen, die eindeutig auf die Flut von Spam-Mails zurückgehen. Laut einer Umfrage von Symantec vom November letzten Jahres im deutschsprachigen Raum verwenden Mitarbeiter in 39 Prozent der befragten kleinen und mittelständischen Unternehmen bis zu 45 Minuten täglich auf die Bearbeitung von Spam-Mails. Spammer werden außerdem immer erfinderischer, was die Methoden für den Versand und auch die Beschaffung neuer E-Mail-Adressen angeht. Immer neue Technologien sind notwendig, um der Gefahr durch Spam zuverlässig zu begegnen und das Katz-und-Maus-Spiel gegen Spammer zu gewinnen. Die klassische Definition von Spam, der unaufgeforderten Zusendung von Werbemails und Informationen, ist zwar immer noch richtig, aber die Ausmaße sind heute wesentlich umfangreicher und zerstörerischer.

So zählen Spam-Mails heute zu den größten Belastungen für die Netzwerklast in Unternehmen und verursachen dadurch hohe Kosten. Nicht nur, dass die Speicher der Server mit unerwünschten E-Mails belastet werden und Administratoren viel Zeit mit der Beseitigung verbringen, auch jeder Mitarbeiter verbringt durchschnittlich 15 Minuten pro Tag mit dem Lesen, Löschen und Beantworten dieser Mails.

Der Ablauf einer Spam-Attacke ist ebenso subtil wie erfolgreich für einen Spam-Versender. Statistiken des US-amerikanischen Business 2.0 Magazins zeigen, dass bei einer Reaktionsrate von nur 0,05 Prozent und einem erfolgten Kauf von 20 Euro der Spam-Versender bereits einen Umsatz von einer Million Euro im Monat erzielen kann. E-Mail-Adressen generiert der Versender zum Beispiel mit sogenannten Spambot-Programmen – das sind Programme, die Adressinformationen aus dem Internet ziehen – oder Suchmaschinen automatisiert. Oder er spioniert sie mit Hilfe von Spyware aus, die bei potenziellen Opfern installiert wird. Außerdem werden E-Mail-Adressen, die für das Abonnieren von Newslettern oder das Verschicken von Internet-Grußkarten registriert werden, häufig zum Kauf angeboten, so dass Spam-Versender bereits für einen geringen Betrag Millionen von E-Mail-Adressen erwerben kann.

Die Versender von Spam-Mails generieren immer neue Techniken. Von den ersten ASCII-basierenden Angriffen haben sich die Spam-Technologien mittlerweile zu hoch komplexen und spezialisierten Anwendungen entwickelt. Um die Ergebnisse noch zu steigern und das Verhalten der Empfänger besser analysieren zu können, werden die E-Mails vermehrt mit kleinen Applikationen ergänzt. Einfache Flash-Animationen erzeugen höhere Beachtung, kleine Anwendungen (Spyware) protokollieren beim Anklicken von Bildern die Richtigkeit der E-Mail-Adresse und versteckte Inhalte geben den Spam-Versendern zusätzliche Informationen über das Verhalten der Anwender.

Arbeitsweisen von Anti-Spam-Lösungen

Verschiedene Faktoren sind für eine leistungsfähige Anti-Spam-Lösung wichtig. So ist ein Schutz nur dann sinnvoll, wenn er effizient und auch zuverlässig funktioniert. Die Vermeidung von False-Positives, also fälschlicherweise als Spam klassifizierter E-Mails, spielt dabei eine bedeutende Rolle. Nur wenn dieser Anteil sehr gering ist, ist eine Anti-Spam-Lösung zuverlässig, zeitsparend und effektiv. Eine Untersuchung von Ferris Research aus dem August 2003 hat zum Beispiel ergeben, dass die durch False-Positives verursachten Kosten bei Unternehmen in den USA bei 3,5 Milliarden Dollar jährlich liegt. Unternehmen, die sich im ersten Schritt auf die Vermeidung von False-Positives konzentriert haben und erst im zweiten auf die Verbesserung des Spam-Filters, haben von daher mit ihren Produkten richtig gelegen, die meisten Hersteller haben sich allerdings zunächst einmal um die Verstärkung der Filter bemüht und mussten dann einen Schritt zurückrudern. Messbar wird die Leistungsfähigkeit eines Spam-Filters, indem die Zahl der abgefangenen Spam-Mails der Anzahl der fälschlicherweise blockierten Mails gegenübergestellt wird. Je besser das Verhältnis ausfällt, desto besser ist die Lösung zu bewerten.

Dieses Verhältnis wird von reaktiven und proaktiven Ansätzen beeinflusst. Reaktive Filtermethoden arbeiten zum Beispiel mit signaturbasierten Filtern. Sie arbeiten akkurat, allerdings benötigen sie eine umfangreiche und ständig aktualisierte Infrastruktur, denn die Lösung gleicht die E-Mails mit den ihr zur Verfügung stehenden Daten ab. Je größer der reaktive Anteil ist, desto weniger Fehler unterlaufen der Lösung. Negativ wirkt sich dies jedoch auf neue unbekannte Spam-Mails aus, da diese nur von den proaktiven Komponenten erkannt werden können. Proaktive Filtermethoden arbeiten zum Beispiel mit heuristischen Filtern. Diese Filter suchen nach bestimmten Spam-Charakteristiken und sind daher effektiver, wenn es um die Blockierung von neuen unbekannten Spam-Mails geht. Hier kommt es darauf an, dass die Filter kontinuierlich nachgebessert und »trainiert« werden, damit sie auch neue »Verhaltensmuster« von Spam-Mails schnell erkennen. Nachteil einer solchen Filtermethode ist die vergleichsweise höhere Gefahr, E-Mails fälschlicherweise als Spam einzuordnen. Höchste Effektivität erzielt eine Anti-Spam-Lösung, wenn reaktive und proaktive Filtermethoden kombiniert werden, denn nur so lässt sich eine hohe Effizienz bei gleichzeitiger Minimierung von False-Positives erzielen. Abschließender Einfluss bei der Auswahl einer optimalen Lösung ist der Verwaltungsaufwand und die Aktualität der Filterlisten. Um die Aktualität der Daten zu gewährleisten, werden neben öffentlichen Listen zum Teil auch herstellereigene Aufstellungen eingesetzt. Gefüttert werden diese zum Beispiel in den Symantec-Lösungen durch die im »Symantec BLOC« (»Brightmail Logistics and Operation Center«) gefilterten E-Mails. Dazu betreibt Symantec das sogenannte Probe-Network, das aus mehr als 2 Millionen »Honeypot«-E-Mail-Konten in mehr als 20 Ländern besteht. Der Mailverkehr zu diesen Konten – zig Millionen E-Mails täglich – wird im Bloc analysiert und Analysten entwickeln entsprechende Gegenmaßnahmen gegen neu identifizierte Spam-Mails. Im Bloc werden 24 Stunden am Tag Informationen aus den unterschiedlichsten Quellen gesammelt und in die Spam-Datenbank eingepflegt. Aktualisierungen werden im Durchschnitt alle zehn Minuten automatisiert an die Kunden weitergegeben, um einen Echtzeitschutz zu gewährleisten.

Eine Anti-Spam-Lösung kann direkt am Gateway, am Mail-Server, am Client oder als Kombination betrieben werden. Besonderes Augenmerk ist auf die Konfiguration in Bezug auf Ausfallsicherheit und Fehlererkennung zu legen. Genauso negativ wie die Überflutung durch Spam-Mail, kann sich der Ausfall von Mailempfang und -versand oder gar die Blockierung von wichtigen E-Mails auswirken.

Die Mischung macht’s – kombinierte Lösungen

Um der Spam-Flut Herr zu werden und die Systeme zu schützen, kommen verschiedene Technologien zum Einsatz, entweder separat oder in einer kombinierten Lösung, wie bei Symantec-Brightmail-Anti-Spam, wo mehr als 17 Filtermethoden eingesetzt werden. Dabei passieren die E-Mails einzelne Filterstufen und werden auf mögliche Spam-Inhalte untersucht.

  • Benutzerdefinierte Filter: Neben dem herstellerseitigen Filter können in den meisten Lösungen auch benutzerdefinierte Listen geführt werden. Dabei stehen dem Anwender sowohl konfigurierbare Black- als auch White-Lists zur Verfügung. Vielfach kann der Anwender auch im Bereich Content-Filtering eigene Themen eintragen und verwalten. Diese Technologie sollte immer am Anfang der Prüfung stehen, denn wenn der Anwender entscheidet, dass ein Absender vertrauenswürdig ist, dann hat das Priorität.

  • Reputationsfilter: Der Reputationsfilter greift auf Listen zurück, die von Anti-Spam-Herstellern und anderen Institutionen verwaltet werden. In diesen sogenannten Black-Lists werden Einträge aus Meldungen von Anwendern, aus Ergebnissen anderer Technologien und bekannt gewordenen Spam-Quellen hinterlegt. Auf Anwenderseite werden die eingehenden E-Mails mit den Informationen aus diesen Listen verglichen und bei Übereinstimmung abgefangen und je nach Anforderung gesondert abgelegt oder gleich gelöscht. Da immer neue Quellen hinzukommen, muss diese Technologie sehr häufig und dynamisch mit neuesten Informationen gepflegt werden, da sie sonst nur eine Basissicherheit bietet. Ein guter und gepflegter Reputationsfilter ist allerdings in der Lage, schon allein 75 Prozent des Spam-Aufkommens zu erkennen.

  • Filterung von Dateianhängen: Häufig werden Spam-Mails in Kombination mit Dateianhängen verschickt, die beim Anklicken Bilder oder auch bösartigen Code enthalten können. Moderne Filter erkennen den Inhalt von Dateianhängen bereits an spezifischen Merkmalen und können an Hand von bekannten Angriffen diese E-Mail blocken. Damit müssen nicht gleich komplette Dateiformate gesperrt werden.

  • URL-Filter: Wie beim Reputationsfilter wird bei dieser Technologie mit Listen gearbeitet. In diesen Aufstellungen werden die URLs von bekannten Spammer-Webseiten registriert und mit den in den E-Mails angeführten URLs verglichen. Dabei werden sowohl einfache Links als auch Antwort-Adressen analysiert und protokolliert.

  • Heuristischer Filter: Hierbei wird die Struktur, also alle Komponenten der E-Mail, wie Betreffzeile oder Inhalte, analysiert und mit bekannten Spammer-Mustern verglichen. Dazu zählen vor allem einfache Dinge, wie die Verwendung von Kapitälchen oder der verstärkte Einsatz von Ausrufe- und Sonderzeichen. Über eine Content-Filter-Technologie kann auch nach bestimmten unerwünschten Inhalten gescannt werden. Durch einfaches Auswählen von Kategorien werden diese Themenbereiche ausgeblendet und nicht weiter verteilt. In den Betreffzeilen suchen die Filter nach Spuren von Spam-Programmen, wie Programmnamen, oder auch veränderten Absendern und Zeitzonen. Analysierte E-Mails werden anschließend in verschiedene Gruppen einsortiert und entsprechend den von der Anti-Spam-Lösung definierten Regeln zugestellt, geblockt oder vernichtet. Nachteil einer rein heuristischen Lösung ist jedoch, dass sie teilweise aufwändig konfiguriert und gepflegt werden muss und bei fehlerhafter Bedienung möglicherweise auch E-Mails unbeabsichtigt geblockt werden können. Eine heuristische Prüfung birgt außerdem den Nachteil, dass sie relativ große Rechnerkapazitäten benötigt – in der Symantec-Brightmail-Lösung wird sie daher als letzter Schritt eingesetzt, nachdem die E-Mails bereits durch die vorgeschalteten Filter geprüft wurden.

  • Bayes-Filter: Im Gegensatz zum Wortfilter arbeitet dieser lernende Filter nicht nur mit Wörtern, die häufig in Spam-Nachrichten vorkommen, sondern auch mit solchen, die in legitimierten Nachrichten enthalten sind, also in solchen, die auf keinen Fall geblockt werden sollen. Jedes Wort hat eine bestimmte Wahrscheinlichkeit. Mit Hilfe der Regeln von Thomas Bayes (englischer Mathematiker, 18. Jahrhundert) wird eine Gesamtwahrscheinlichkeit berechnet, ob es sich bei der betreffenden Mail um Spam handelt oder nicht. Diese Methode wird häufig in Freewaretools eingesetzt, sie ist aber auf Grund eines hohen administrativen Aufwands und einer nicht tragbaren False-Positives-Rate für den Einsatz im Unternehmen nicht zu empfehlen.

Fazit

Eine Anti-Spam-Lösung muss vorrangig akurat arbeiten, das heißt zwei Erwartungen erfüllen: zum einen muss die Spam-Erkennungsquote hoch sein, gleichzeitig aber die Zahl der fälschlicherweise als Spam deklarierten E-Mails sehr niedrig. Um hier einen optimalen Wert zu erreichen, empfiehlt es sich, bei der Filterung von Spam nicht nur auf eine Technologie, sondern auf die Kombination verschiedener Filtermethoden zu setzen. Die Genauigkeit der Filterlösung und die damit erreichbare Reduzierung von Spam unter Ausschluss von Falscherkennungen sind im Unternehmen angesichts der immer stärker werden Netzwerklast durch E-Mails bares Geld wert. Volker Zinser, Senior Systems Engineer, Symantec

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Zyxel Networks A/S

Zyxel Networks A/S
nexspace data centers GmbH

nexspace data centers GmbH
elektrofachkraft.de

elektrofachkraft.de
Softing IT Networks GmbH

Softing IT Networks GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH