Spamfilter-Technologie
Schutz vor Werbemüll
Spam-Mails sind nicht nur ein Ärgernis, die unerwünschten Werbe-Botschaften verbrauchen Ressourcen und kosten letztendlich Geld. Abhilfe versprechen effiziente Spam-Filter, die ständig auf dem aktuellen Stand gehalten werden müssen.
Gute Filter stellen sicher, dass legitime E-Mails auch weiterhin zugestellt werden, ohne dass der Wirkungsgrad leidet.
Als vor über einem Jahrzehnt die ersten Spam-Mails auftauchten, bestanden sie noch aus einfachem ASCII-Text: Hausgemachte Filter und statische Schlüsselwortsuchen konnten einfach mit ihnen fertig werden. Inzwischen haben die Spammer jedoch eine Menge dazugelernt. Das Geschäft ist immer noch lukrativ – nach einem Bericht des Magazins Business 2.0 könnten manche Spammer eine Million Dollar im Monat verdienen, wenn nur einer von 2000 Empfängern einen Kauf über 20 Dollar tätigt. Verständlich also, dass sie versuchen, mit immer neuen Tricks die immer besseren Spam- Filter zu umgehen.
Die jüngste Spam-Generation beinhaltet etwa Taktiken wie das Einfügen zufällig generierter Zeichenketten, um Bayes-Filter zu täuschen. Spammer können Domain-Namen fälschen und Betreffzeilen so effizient manipulieren, dass, sobald ältere Filter ein Muster in der Spam-Attacke erkannt haben, bereits eine neue Attacke läuft. Spezielle Software erlaubt es sogar, Spam darauf hin zu prüfen, wie leicht sie Spam-Filter umgehen wird.
Der Einsatz von HTML ist eine der beliebtesten Techniken. Laut einer Studie vom Juni 2003, zitiert im Wall Street Journal, waren mehr als 80 Prozent aller Spam-Mails mit nicht jugendfreiem Inhalt in HTML verfasst. Erstens lässt sich mit HTML eine Mail attraktiver gestalten, ohne Kosten oder Dateigröße nennenswert zu erhöhen. Zweitens können eingebettete Funktionen verfolgen, ob der Empfänger reagiert hat. Und drittens lassen sich mit HTML beliebige Mengen an zufällig generiertem Text in der E-Mail verstecken, um die Nachricht für einen Filter, der den Anteil Spam-spezifischer Schlüsselwörter prüft, harmlos aussehen zu lassen. Das kann etwa weißer Text auf weißem Hintergrund sein, bedeutungslose Tags oder Tabellen, um nur einige Tricks zu nennen. Die Spammer haben mit HTML-Formatierung praktisch unbegrenzte Möglichkeiten, ihre E-Mails zu variieren.
Eine weitere, oft gesehene Eigenschaft von Spams sind eingefügte URLs, die auf eine Webseite weiterleiten, wo der Leser mehr Informationen erhält und letztendlich zum Kauf eines Produkts verleitet werden soll – oder im Fall von Phishing-Mails dazu aufgefordert wird, vertrauliche Kontodaten preiszugeben. Nachrichten, die im Wesentlichen einen Link enthalten, sind für Filter oft schwierig zu erkennen. Spammer können zum Beispiel individuelle, zufällig generierte und scheinbar harmlose Informationen um den Link herum verteilen. Damit kann jede E-Mail innerhalb einer Wurfsendung aussehen wie eine legitime, persönliche Nachricht. Das einzige, was die Mails dieser Sendung gemeinsam haben, ist oft der Link. Und selbst den versuchen die Spammer zu variieren, indem sie zum Beispiel für einzelne Zeichen die Hexadezimaldarstellung verwenden oder bedeutungslose Buchstaben oder Zahlen einfügen. Elektronische Wurfsendungen zu verschicken ist ein Kinderspiel. Spezielle Server-Appliances können bis zu einer Million E-Mails pro Stunde ins Internet verteilen. Umfangreiche Adresslisten lassen sich billig kaufen oder aus dem Internet abgreifen. Um Filter zu umgehen, die bestimmte IP-Adressen blockieren, und um strafrechtliche Verfolgung zu vermeiden, brauchen Spammer jedoch einen Mechanismus, mit dem sie sich hinter anderen IP-Adressen verstecken können. Dazu verwenden sie meist Open-Proxy-Server, also miskonfigurierte oder mit einem Virus befallene Computer. Diese erlauben jedem beliebigen anderen Rechner, auf ihrer Internet-Verbindung »Trittbrett zu fahren«. Der Spammer sendet eine POST-Anfrage über den Open-Proxy-Server und versteckt den SMTP-Inhalt im Textkörper der Sendung. Weil der Open-Proxy-Server lediglich die SMTP-Kommandos an den Mail-Server weiterleitet und die HTTP-Header ignoriert, lässt sich nicht zurückverfolgen, wer der ursprüngliche Absender war.
Statistiken zufolge werden etwa zwei Drittel aller Spam auf diese Weise verschickt. Der Besitzer des befallenen Rechners ahnt meistens nichts. Experten vermuten, dass Spammer selbst Computer mit speziellen Würmern wie Sasser, Netsky oder Sobig attackieren, um sie zu Open-Proxies zu machen. Dies gibt dem Spam-Problem eine ganz neue, kriminellere Dimension. Doch was die Spammer sich auch einfallen lassen: Die Entwickler von neuen Filtertechnologien sind den Spammern dicht auf den Fersen – und oft sogar einen Schritt voraus. Die effektivsten Filter kombinieren dabei mehrere Technologien. Sie sollten mindestens 90 Prozent, besser noch 95 Prozent aller eingehenden Spam-Mails richtig erkennen. Einen so hohen Wirkungsgrad zu erreichen, ist aus drei Gründen eine Herausforderung.
Zum einen ist die Beurteilung der Nachrichten, die die letzten paar Prozent ausmachen, oft subjektiv. Viagra-Werbung oder Hilferufe angeblicher nigerianischer Prinzen sind klassische Spam. Manche E-Mail-Nutzer fühlen sich jedoch auch durch Bestätigungsschreiben, Kettenbriefe oder Newsletter belästigt, die nicht unbedingt unter die Kategorie Spam fallen – ziellos mit automatisierten Methoden ausgesandt, mit gefälschten oder manipulierten Headern versehen. Wieder andere betrachten jegliche Art Werbung, legitim oder nicht, als Spam. Meist haben Endanwender deshalb die Möglichkeit, zusätzlich mit eigenen schwarzen und weißen Listen die übrigen unerwünschten Nachrichten zu bearbeiten.
Zweitens erhöhen zu aggressive Filter das Risiko sogenannter False-Positives, also E-Mails, die zu unrecht als Spam aussortiert werden. Was nützt ein Filter, der zwar alle Spams einfängt, gleichzeitig aber auch legitime E-Mails blockiert? Kein Unternehmen möchte, dass wichtige Anfragen aus Versehen im Spam-Ordner landen. Genauso wenig wollen Administratoren ihre Spam-Ordner von Hand durchkämmen, um eventuell fälschlich blockierte Mails wiederherzustellen. Ferris Research hat festgestellt, dass False-Positives US-Unternehmen rund 3,5 Milliarden Dollar im Jahr kosten. Gute Filter stellen deshalb sicher, dass legitime E-Mails auch weiterhin automatisch zugestellt werden, ohne dass dabei der Wirkungsgrad leidet.
Und schließlich, je mehr Unternehmen, ISPs und Privatanwender erfolgreich Spam blockieren, desto mehr E-Mails müssen die Spammer aussenden, um die selbe Anzahl von Empfängern zu erreichen. Sie werden deshalb in immer kürzeren Zeitabständen ihre Taktik ändern. Für Filterhersteller heißt das: Sie müssen rund um die Uhr wissen, was die Spammer gerade treiben. Und rund um die Uhr ihre Filter anpassen, um mit den Spammern Schritt zu halten. Um sowohl den Wirkungsgrad als auch die Genauigkeit des Filters zu optimieren, greifen führende Filter-Anbieter deshalb ständig auf Erkenntnisse aus umfangreichen, fortlaufenden Spam-Analysen zurück. Brightmail zum Beispiel unterhält ein Netzwerk aus mehr als zwei Millionen Lockvogel-Postfächern oder »Honigtöpfen«, die rund um die Uhr in mehr als 20 Ländern Spam-Mails einfangen. Die E-Mails werden in Anti-Spam-Zentren rund um den Globus sowohl automatisch als auch von Hand analysiert. Auf dieser Basis entstehen alle zehn Minuten neue Filterregeln. Eine solche Anti-Spam-Infrastruktur stellt sicher, dass die Filter in Echtzeit auf neue Attacken eingestellt sind und nicht über Monate hinweg erst trainiert werden müssen.
Während proaktive Filter wie Bayes-Filter und heuristische Technologien, die nach wiederkehrenden Charakteristiken von Spam-Nachrichten suchen, eine hohen Wirkungsgrad bei den meisten neuen Arten von Spam erzielen, können responsive Filter, die auf Grund von Erkenntnissen über tatsächliche Spam entwickelt werden – etwa Signaturen und URL-Filter – für die gewünschte Genauigkeit sorgen.
Filtertechnologien, die Spam auf Grund ihres Ursprungs, also der Absenderadresse erkennen, sind ein wirkungsvolles Werkzeug. Jedoch nur, wenn sie auf dem neuesten Stand sind. Schwarze Listen, wie sie zum Beispiel im Internet zur Verfügung stehen, beruhen oft auf einer umfassenden Datenbasis. Sind sie aber nicht aktuell oder schlecht recherchiert, dann enthalten sie wahrscheinlich auch unschuldige Absender. Open-Proxys können zum Beispiel in der Zwischenzeit abgesichert worden sein. Sind sie nach wie vor auf der schwarzen Liste, dann heißt das, dass auch legitime E-Mails ausgefiltert werden und das Filterprogramm, das solche Listen verwendet, zwangsläufig False-Positives erzeugt. Umgekehrt lassen manche Listenbetreiber es zu, dass Firmen sich gegen Bezahlung auf eine weiße Liste setzen lassen. Damit öffnen sie möglicherweise Türen für professionelle Spammer.
Es macht deshalb Sinn, sich auf eine umfassende, objektive und vor allem aktuelle Datenbasis zu verlassen. Am besten sind dynamische Listen einzelner IP-Adressen, die in kürzesten Zeitabständen immer wieder komplett neu erstellt werden und nicht nur schwarz und weiß sehen, sondern feststellen, in welchem Maß diese Adressen Spam und legitime E-Mails versenden. Je nachdem, wie wahrscheinlich Post von verdächtigen IP-Adressen Spam ist, können zusätzliche Filter herangezogen werden.
Heuristische Filter haben sich beim Aufspüren neuer Spam-Varianten gut bewährt. Sie analysieren Header, Textkörper und »Briefumschlag« der elektronischen Post und suchen nach bekannten Spam-Merkmalen. Das kann die exzessive Verwendung von Ausrufezeichen oder Großbuchstaben sein, aber auch gefälschte Received-Zeilen oder versteckter HTML-Text. Jedes auftretende Merkmal wird mit Punktzahlen bewertet und ab einer bestimmten Schwelle wird die E-Mail als Spam klassifiziert. Wichtig bei solchen Filtern ist, dass die Bewertungen gewichtet werden. Alleine die Verwendung von Ausrufezeichen ist noch kein Beweis, dass es sich um echte Spam handelt. Deshalb sind schlecht eingerichtete heuristische Filter sehr anfällig für False-Positives. Gute Filter sind dagegen sogar auf die Sprache eingestellt, in der die E-Mail verfasst ist.
Header von E-Mails können auf unterschiedliche Weise Aufschluss darüber geben, ob es sich um Spam handelt. So hinterlassen Spammer-Werkzeuge Spuren, oder die Zeitangabe stimmt nicht mit der tatsächlichen Uhrzeit überein. Zusätzlich können Filter die Header einer eingehenden Nachricht mit bekannten aktuellen Spam-Attacken vergleichen.
Signaturen haben sich ebenfalls im Kampf gegen die neuesten Spam-Mails bewährt. Sie entfernen zufällig generierte, bedeutungslose HTML-Bausteine, gruppieren E-Mails anhand von Fuzzy-Logik und reduzieren sie auf ihren Fingerabdruck, eine einmalige Folge von Bits. Anhand dieser Signaturen, die allen Varianten einer Wurfsendung gemeinsam sind, lassen sich Spam-Mails wirksam blockieren. Weil die Signaturen auf tatsächlich beobachteten Spam-Mails beruhen, arbeitet diese Technologie besonders genau.
Neuere Spam-Filter können jetzt auch Signaturen von Mime-Attachments erstellen. Denn ein beliebter Spammer-Trick als Antwort auf die URL-Filter sind angehängte Dateien mit Namen, die den Empfänger zum Öffnen verleiten sollen. Manchmal verbergen sich dahinter Bilder mit URLs oder pornografische Bilder, manchmal handelt es sich um Trojaner oder Würmer. Viele IT-Abteilungen lassen deshalb grundsätzlich gar keine Anhänge eines bestimmten Typs – wie exe oder zip – mehr zu. Signatur-Technologien kennen dagegen tatsächlich aufgetretene Spam-Attachments, vergleichen die Fingerabdrücke und filtern bösartige Sendungen auf diese Weise aus.
URL-Filter schließlich greifen auf eine Liste von URLs zurück, die von Spammern verwendet werden, und vergleichen eingebettete Links in E-Mails mit dieser schwarzen Liste. Auch hier gilt es, Maskierungs- und Verschleierungstechniken der Spammer zu durchschauen, zufällig generierte Zeichenketten auszublenden und den zugrundliegenden Link zu finden. Manche Spam-Mails bestehen nur noch aus einem einzelnen Link, werden aber von URL-Filtern problemlos abgefangen.
Letztendlich gibt es gegen Spam kein Allheilmittel. Es hilft nur eine Kombination von vielfältigen, stetig aktualisierten Filtermethoden, die auf die unterschiedlichen Merkmale von Spam ansprechen. Das Phänomen Spam wird so schnell nicht verschwinden – auch wenn die Filter immer besser werden. Kevin Roberts, Brightmail
