Die passende Anti-Spam-Lösung
Unverlangtes ist unerwünscht
Gute Spam-Lösungen zeigen heute durchaus Wirkung und reduzieren den Mail-Müll drastisch. Eine hohe Abwehrrate ist allerdings nicht das einzige Qualitätsmerkmal.
Virengefahren können ein Unternehmen gelegentlich treffen, müssen dies aber nicht. Dass eine
Organisation kein Spam-Problem hat, wäre dagegen beinahe schon ein berichtenswertes Wunder. Spam
ist gleich auf mehreren Ebenen schädlich, und das auch noch permanent: Die Mail-Infrastruktur wird
unnötig belastet, die nutzlosen Nachrichten müssen oft wenigstens temporär archiviert werden, die
Empfänger verlieren beim Aussortieren des Werbemülls wertvolle Zeit, manchmal gehen wichtige
Nachrichten im Wust der Pseudopost unter, und darüber hinaus transportieren die Spam-Nachrichten
oft auch noch Phishing-Dokumente oder anderes schädliches Material bis hin zu Links auf
Spyware-Seiten. Leider findet bei der Spam-Bekämpfung inzwischen ein ähnlich endloser Wettlauf
zwischen kreativen Angreifern und Abwehrspezialisten statt wie im Antivirusumfeld.
Extern oder intern
Weil Spam nicht nur gefährlich ist, sondern im eigenen Netz auch unproduktiven Traffic erzeugt,
wollen die meisten Anwender die unerwünschten Mails gern so früh wie möglich vor dem Eindringen in
die eigene Mail-Infrastruktur blockieren. Gateway-Scanner, meist in Form von Appliances und häufig
mit anderen Content-Security-Lösungen kombiniert, sind die Standardlösung, während Client-gestützte
Spam-Abwehrprogramme im Gegensatz zur Situation beim Virenschutz nur im Privatbereich oder bei
Kleinstbüros mit POP3-Mail eine Rolle spielen.
Noch weiter gehen die Lösungen bei Dienstleistern, die den gesamten Mail-Traffic über eigene
Server umleiten und auch den Speicherplatz für die Spam-Ordner bereitstellen. Reizvoll an diesem
Konzept ist zweierlei: Der spezialisierte Anbieter kann sich auf das Hase- und Igel-Spiel mit den
Spammern konzentrieren, und die Technik des Anbieters darf sich statt am Werbeaufkommen wieder am
realen und produktiven Kommunikationsaufwand orientieren.
Kombination gewinnt
Gegen Spam hilft keine einzelne Abwehrmethode, sondern eine Kombination aus mehreren Ansätzen.
Gängige Verfahren sind zunächst Realtime-Black-Lists, die leider oft ganze Provider statt einzelner
Übeltäter registrieren und damit als alleiniges Mittel nichts taugen, Signaturverfahren wie beim
Virenschutz, Identifikation anhand von Quersummen, die für einige Zeit recht erfolgreiche Analyse
der in Spam-Mails mitgelieferten Links, die Analyse von Attachments und mit Statistik operierende
Bayes-Filter. Greylisting funktioniert nach wie vor recht gut – hier werden Mails temporär
abgewiesen, weil normalerweise nur ein legitim operierender Mailserver mehrfach eine Zustellung
versucht. Hilfreich sind auch die weltweit platzierten Spam-Fallen von Anbietern, die nach
Honeypot-Art Nachrichten in nirgendwo publizierten Postfächern sammeln: Was hier eintrifft, kann
nicht gezielt verschickt worden sein und ist damit höchstwahrscheinlich Spam. Da die Spammer nun
ihrerseits immer neue Tricks entwickeln und sie mit den ihnen bekannten Abwehrlösungen testen, und
weil andererseits auch legitime Mails schnell dem einen oder anderen Filter zum Opfer fallen, sind
die derzeit erfolgreichsten Lösungen die, die jede Mail mit mehreren Verfahren bewerten und die
Spam-Wahrscheinlichkeit aus dem Gesamtergebnis ermitteln.
Reputationsfilter auf dem Vormarsch
Eine relativ neue, aber von immer mehr Herstellern in ihre Lösungen integrierte Methode der
Spam-Erkennung ist das Filtern nach der "Reputation" der Mailserver, von denen die analysierten
Nachrichten stammen. Die Anbieter beobachten dazu das Sendeverhalten der Server. Plötzliche
Massenaussendungen, denen kein messbares Volumen an empfangenen Mails gegenübersteht, deuten auf
einen Spam-Versender hin. In den meisten Fällen arbeiten die Reputationsdienste mit mehreren
Warnstufen. Dabei kann auch ein eigentlich harmloser Anwender, der von Zeit zu Zeit legitime
Massensendungen auf den Weg schickt, unter verstärkte Beobachtung geraten. Als alleiniges Kriterium
der Spam-Erkennung taugt Reputation also ebenso wenig wie alle anderen Methoden, wohl aber als
sinnvolle Ergänzung des Repertoires. Wie die Reputationsmessung bestimmte Server einschätzt, lässt
sich inzwischen auch im Web verfolgen (siehe Bilder).
Radikalverfahren mit Rückmeldesystem
Ein bisher noch wenig verbreitetes Verfahren zur Spam-Abwehr setzt auf die Mitarbeit der
Absender. In diesem Fall wird jede eintreffende Mail eines unbekannten Absenders zunächst
abgefangen und der Absender gebeten, sich mit einem speziellen Mausdialog als menschlicher
Kommunikationspartner auszuweisen. Macht sich der Absender diese Mühe, trägt ihn das
Anti-Spam-System als legitimen Absender in eine Whitelist ein. Künftige Mails lässt das System
ungehindert durch. Spezielle Zusatzverfahren erlauben die Freischaltung von Newslettern.
Wirkungsvoll ist das Verfahren, aber die Erfahrung muss zeigen, wie hoch die Akzeptanz der Sender
sein wird, die sich ohne Schuld mit einem erhöhten Kommunikationsaufwand konfrontiert sehen.
False Positives als Dauerproblem
Eine geringe False-Posivites-Rate eines Spam-Erkennungsprogramms kann für ein Unternehmen ebenso
wichtig sein wie der Erfolg des Programms bei Aussortieren von Werbesendungen. Es gilt also, die
Anbieter gezielt nach der Quote zu fragen und sie sich gegebenenfalls per Service Level Agreement
zusichern zu lassen. Ganz einfach ist eine Festlegung in dieser Hinsicht allerdings nicht, da neue
Tricks der Spammer sowohl die Erkennungs- wie auch die False-Positive-Rate eines Produkts von heute
auf morgen dramatisch ändern können. Wichtiger als Bekenntnisse sind deshalb Eingriffsmöglichkeiten
des Administrators vor allem dann, wenn ein System auch einen Modus anbietet, als "gesichert"
geltende Spams automatisch zu löschen. Dass eine derartige Funktion ohnehin mit Vorsicht zu
genießen ist, ergibt sich allerdings auch aus dem Compliance-Bereich "Datenschutz". Heutige
Spam-Abwehr kann deshalb den Aufwand des Umgangs mit Spam für den Anwender zwar auf ein
erträgliches Maß zurückschrauben, ihn aber nicht ganz beseitigen.
Herausforderung Datenschutz
Spam-Abwehr kann mit Datenschutzbestimmungen kollidieren. Als Spam rubrizierte Nachrichten
müssen beispielsweise aus Gründen des Mitarbeiter-Datenschutzes in einen separaten Ordner für jeden
Benutzer überführt werden, auf den nur dieser Anwender Zugriff hat. Der Grund: Da ein Anwender
nicht verhindern kann, dass ihm private E-Mails zugeschickt werden, muss ein Unternehmen den
Posteingang jedes Mitarbeiters entsprechend vorsichtig behandeln und darf das Aussortieren
unerwünschter Mails nicht selbst übernehmen. Auch das automatische Löschen von Spam-Mails ist nicht
erlaubt (Details siehe "Der rechtskonforme Umgang mit Spam", LANline 8/2005, Seite 44). Fairness
gegenüber den Absendern, die die E-Mail-Richtlinien aller denkbaren Empfänger einfach nicht kennen
können, die Wahrscheinlichkeit eher schärferer Datenschutzregeln in der Zukunft und ein genereller
Trend zurück zu mehr Liberalität in Sachen Kommunikation am Arbeitsplatz (siehe LANline 11/2005, "
Privatnutzung muss kein Risiko sein") sind weitere Gründe, Datenschutzkonformität auf die Liste der
Anforderungen für E-Mail-Systeme und Anti-Spam-Lösungen zu setzen. Sinnvoll ist etwa die
Implementierung des Vieraugenprinzips für möglicherweise notwendige Zugriffe eines Unternehmens auf
die persönlichen Ordner eines Mitarbeiters, zu denen auch dessen Spam-Ordner zählt. In diesem Fall
kann beispielsweise ein Angehöriger der Unternehmensleitung den Ordner nur öffnen, wenn auch ein
Mitglied des Betriebsrats oder der Datenschutzbeauftragte des Unternehmens anwesend sind.
Flexibilität und Aufwand
Ein weiteres wichtiges Qualitätskriterium für Anti-Spam-Produkte stellt der flexible Umgang mit
Mails dar, die von sich aus Ähnlichkeiten mit Spam aufweisen. Newsletter etwa muss jeder einzelne
Anwender möglichst selbst als erwünscht oder unerwünscht bewerten können, damit der Administrator
nicht durch ständige Einstellungsarbeiten für einzelne Mail-Accounts belastet ist. Angesichts der
individuellen Einschätzung erwünschter und unerwünschter Nachrichten durch einzelne Mitarbeiter
oder Abteilungen sollten fragliche Fälle ohnehin so weit wie möglich den Endanwendern zur
Entscheidung überlassen werden.
Lesen Sie mehr zum Thema
