Gastautor 9. Februar 2007

E-Mail Spam-Report 2007

Kein Beitragsbild

Ein Gastbeitrag von Alexander Endl

Bill Gates, Gründer von Microsoft, verkündete 2004 das Ende von E-Mail-SPAM innerhalb von zwei Jahren (Quelle: heise.de). Eine spektakuläre und vielbeachtete Aussage. Wir schreiben heute 2007 und bei einem Blick in den Spam-Ordner des eigenen E-Mail-Accounts zählt der Zähler gerade bis 3.950 – und das bezieht sich auf die letzten zwei Monate, 850 davon eingegangen in den letzten beiden Wochen. Die Ankündigung Bill Gates kann damit mit Fug und Recht als zu optimistisch gewertet werden – oder die dahinterstehende Idee als gescheitert.

Müssen wir uns also mit Spam abfinden?

Will man Spam nicht im Posteingang haben und von dort per Hand aussortieren, was spätestens bei täglich 30 bis 50 Mails die
Grenzen des Machbaren überschreitet, geht man derzeit drei Wege.

1. Server-seitiger Spam-Filter
Eingehende Mails werden am Server auf Spam-Merkmale untersucht und Spam-Mails in einen separaten Spam-Ordner verschoben. Der Nutzer erhält nur Spam-freie Post zugestellt.

2. Spam-Filter im Mail-Client
Der Nutzer sortiert durch seinen Mail-Client (wie Outlook oder Thunderbird) nach definierten Regeln Post und Spam. Spam wird in einem separaten Ordner am eigenen System abgelegt.

3. Spam wird am Server abgeblockt
Bei Eintreffen der Mail am Server wird Spam bereits zruückgewiesen, die Mail also erst gar nicht angenommen und der Versender erhält eine entsprechende Benachrichtigung.

Letzteres wäre vielleicht der Idealzustand, doch genau da liegt das Problem. Was Spam ist und was nicht, kann erst nach Analyse durch einen entsprechenden Spam-Filter beantwortet werden. Die Spam-Blockade klappt daher derzeit nur, wenn der Absender auf einer schwarzen Liste (Blacklist) steht. Man also davon ausgehen kann, dass E-Mails von der sendenden IP-Adresse als klassischer Spam einzustufen ist und eine eingehende Prüfung erst gar nicht erfolgen muss. Leider sind solche Blacklists aber zur Zeit nur eine kleine Hilfe, da sie einerseits nur einen kleinen Teil der vorhandenen IPs erfassen (im Internet gibt es geradezu riesige schwarze Löcher, undefinierter Cyberspace, unbekannter Adressraum) und zudem sind Blacklists der Entwicklung immer hinterher. Dass für eine Blockade nur dieÜberprüfung des Absenders zur Verfügung steht, liegt in der Natur der E-Mail, im System selbst. Eine E-Mail ist für einen Server eben eine E-Mail und es gibt weitere keine Klassifizierung oder Authentifizierung, wenn die Mindestvoraussetzungen vorhanden sind. Ob der Inhalt der Information dann der Wahrheit entspricht, das sagt die E-Mail nicht.

Um eine E-Mail als Spam zu erkennen, muss ein Filter eine eingehendere Analyse vornehmen, ob das nun am Server oder am Client
erfolgt. Der Filter untersucht dabei die E-Mail nach diversen Merkmalen und sammelt Indizien. Er addiert alle Auffälligkeiten zusammen und bildet daraus einen Spam-Score. Indizien sind z.B. der Versand aus einem unbekannten IP-Adressraum, mehrere Empfänger, Zusendung in Bcc. und das Enthalten von bestimmten klassischen Spam-Keywords im Text, wie die Namen der gern bespamten diversen Medikamente. Wird bei der Addition ein bestimmter Wert überschritten, so wird die E-Mail als Spam klassifiziert. Bei dieser Analyse spielen Filter und Spam-Versender eine Art Hase und Igel-Spiel – wobei der Filter immer der Hase ist. Zwar wird das Gros der Spams nach und nach zuverlässig erkannt und aussortiert, aber das geht immer nur so lange bis irgendein Spam-Versender eine neue Idee hat oder eine Lücke entdeckt. Die Lücke wird dann wieder mit einem Filter-Update gestopft und das Spiel geht von vorne los.

Doch das Spiel hat unschöne Nebeneffekte: Die Spammer versuchen wirklich alles, um nicht als Spam erkannt zu werden. Man versucht zum Beispiel die Keywords zu tarnen, also statt SPAM schreibt man S/P|A.M. Der Mensch liest das Wort dann noch problemlos, Filtern bereitet das Probleme, vor allem, wenn statt Plain-Text das Keyword auch noch als Grafik eingesetzt wird. Das geht dann fast bis zu einer Art E-Mail-”Dadaismus” (Quelle: SPON).

Andere Spammer bemühen sich, eine Spam-Mail als reale Mail aussehen zu lassen, also zum Beispiel Fragmente der Empfänger-Adresse in den Betreff einzubauen (Beispiel: Aus sven@name.de wird dann ein Betreff: »Wichtige Mitteilung an sven«).
Ein Umstand, der besonders lästig ist, da man dann als Empfänger die eingehende Mail oft tatsächlich erst nach dem
Öffnen als Spam erkennen kann. Und das ist gerade auch ein Problem beim Durchforsten der durch Filter aussortierten SPAM-Ordner am Server zur Kontrolle von Irrläufern. Und diese Kontrolle ist auch notwendig, da so manche E-Mail zu Unrecht als Spam klassifiziert wird, was gerade bei Newslettern oder automatisierten Standard-Mails schon häufig vorkommen kann. Sich dann über ein Web-Interface am Server einzuloggen, ist umständlich. Daher lassen das viele gleich sein. Kleiner Praxis-Tipp: per IMAP im E-Mail-Client auf den Spam-Ordner zugreifen.

Hier sind übrigens die Client-basierten Filter im Vorteil. Doch dazu muss man eben erst alle Spam-Mails einmal transferieren und das kostet unnötigen Datentraffic. Zudem hat man mit der gleichen Problematik wie bei Server-seitigen Filtern zu kämpfen: Der Filter ist ständig zu aktualisieren, um effizient zu sein. Am Server übernimmt das in der Regel der Dienstleister für alle Nutzer
automatisch, am lokalen Rechner ist man für Updates selbst verantwortlich.

Was gab Gates also den Optimismus?
Wenn Bill Gates das Ende des Spams so euphorisch verkündete, dann deshalb, weil er damals glaubte, dass man den Umstand, dass eine E-Mail nur so wenige Bedingungen erfüllen muss, ändern könnte, man die E-Mail-Spezifikation
(Wikipedia) neu definiert. Man müßte einer E-Mail ja einfach nur ansehen können, von wem sie wirklich stammt, und schon
könnte man Spammer schnell aussortieren und die Zustellung einer Spam-Mail einfach verweigern. Ja vielleicht sogar gar nicht erst durch die Backbones dieser Welt schleusen. Jetzt fragen vielleicht manche dazwischen: Aber jede E-Mail hat doch einen Absender? Richtig. Aber diese Angabe ist eben fälschbar und das kann jeder zu Hause gern einmal ausprobieren, wenn er einen E-Mail-Client hat, der das Feld “Von:” bearbeiten lässt (wie Microsoft Outlook ®). Das Absenden der Mail wird problemlos möglich sein, auch wenn die Absender-E-Mail-Adresse gar nicht existiert. Eine E-Mail muss zwar einen Absender haben, die Angabe wird aber nicht auf den Wahrheitsgehalt überprüft. Und diesen Umstand nutzen die Spammer aus. Und nicht nur das. Um noch authentischer zu sein, setzen Spammer gern existente Mail-Adressen (oder wenigstens existente Domains) Dritter ein – zum Leidwesen der Betroffenen, wenn sie es denn überhaupt wahrnehmen (Ein kleiner Erfahrungsbericht aus dem Jahr 2000).

Abhilfe – so die Theorie – könnte eine Art elektronische Briefmarke bringen, das war jedenfalls der Vorschlag von Bill Gates.
Die sogenannte “Sender ID von Microsoft” sollte jeder E-Mail eine eindeutige und unfälschbare Absenderkennung mitgeben. Kein
schlechter Ansatz im Sinne der Spam-Bekämpfung, wenn auch von Datenschützern heftig angegriffen. Doch der Vorstoß
scheiterte aus anderen Gründen bereits im gleichen Jahre 2004 (Quelle) an Patentrechten Microsofts, beziehungsweise vor allem deshalb, weil Open Source Anbieter die angebotene Lizenz nicht, wie angeboten, akzeptieren konnten (a.a.O.). Es gab und gibt noch weitere Ansätze, doch die scheiterten ebenfalls an der Einigung der maßgeblichen Internet-Player.
Darunter Vorschläge wie “Sender Policy Framework (SPF)”, “DomainKeys von Yahoo!”, “RMX” oder “AMTP”. Man verharrt seitdem im
Stillstand. Kleine Insellösungen innerhalb der eigenen Angebote bieten zwar Erleichterungen, doch ohne einheitlichen Standard, den alle Anbieter im Internet akzeptieren und der auch von allen Software-Herstellern interpretiert werden kann, wird hier nicht
wirklich ein Durchbruch erzielt.

Eine Lösung ist nicht in Sicht. Und statt eines Rückgangs ist zuletzt ein spürbarer Zuwachs der Spam-Flut registriert worden
(siehe auch heise.de) und “nahezu drei Viertel aller E-Mails” sind mittlerweile als Spam klassifiziert.

Wut und Enttäuschung also allenorten, weil sich die Großen nicht einigen konnten? Ja und Nein.

Zum einen ist Spam ein gutes Geschäft und das nicht nur für den Versender, der nur marginale Response-Raten braucht, um
erfolgreich zu sein. Das ist eben alles nur eine Frage der Masse. Aber es gibt eben auch andere Gewinner, wie die
Anti-Spam-Industrie.Spam-Filter müssen laufend neu entwickelt, programmiert und konfiguriert werden. Das schafft Arbeitsplätze vom Programmierer bis zum Systemadministrator. Aber auch die Hoster, Service-Provider oder DSL-Anbieter freuen sich, schafft der Bedarf nach mehr Kapazitäten für Spam-Ordner und der zunehmende Datentraffic doch auch Nachfrage. Und so hält sich der Druck aus diesen Wirtschaftsbereichen auf eine Einigung der “Allianz gegen Spam” verständlicherweise auch in Grenzen. Eine Lobby der User wiederum existiert nicht.

Wäre alles gut mit einer Absenderkennung?
Gäbe es eine solche Absenderkennung, dann wäre in der Tat wohl zunächst Spam im Griff. Doch dürfte es wohl auch nicht
lange dauern, bis sich Spam wieder auf gleichen Niveau bewegen würde. Warum? Trojaner haben bereits ihre Bot-Netze (Quelle: wrs.de) geflochten, die nur darauf warten, aktiv zu werden. Private Rechner, gekapert durch einen Trojaner, häufig sogar ohne Kenntnis des Nutzers, werden dann die Mails aussenden – hübsch versehen mit der privaten Absenderkennung
des PC-Besitzers.

Spam wird uns also erhalten bleiben – jedenfalls solange es genug Leute gibt, die die Angebote annehmen. Denn am Ende ist es nur eine Frage, ob SPAM lukrativ ist, oder nicht. Doch wer reagiert schon auf SPAM? Mehr als man denkt, wie eine Studie von Mirapoint aus dem Jahr 2005 belegte: “31 Prozent klicken Links in Spam-Mails an – 10 Prozent haben bereits per Spam beworbene Waren gekauft” (Quelle: golem.de)

Machen wir uns also nichts vor: SPAM ist eine erfolgreiche und vom Nutzer akzeptierte Form der Werbung. Das will keiner wahr haben, ist aber genauso wahr wie der Erfolg bestimmter Boulevard-Zeitungen, die ja angeblich auch keiner liest oder kauft.

Dr. Webs exklusiver Newsletter
Hinweise zum Datenschutz, also dem Einsatz von Double-Opt-In, der Protokollierung der Anmeldung, der Erfolgsmessung, dem Einsatz von MailChimp als Versanddienstleister und deinen Widerrufsrechten findest du in unseren Datenschutzhinweisen.

16 Kommentare

  1. Sehr interessanter Beitrag!

    Ein Hauptproblem ist inzwischen freilich, dass zu viel Geld mit Spam und mit Spam-Schutz verdient wird. Wenn ich zum Beispiel als T-Online-Kunde per Webmail eine Mail als Spam melden will, erscheint der Hinweis, dass eine solche Meldung nur beim Upgrade auf ein Premium-Abo akzeptiert wird.

    Ähnlich gehen andere Provider vor.

    Ich halte das für geradezu unmoralisch – und wundere mich, dass die Spamflut automatisch zunimmt, wenn ich NICHT auf so ein Upgrade klicke. Ich will keinem Provider unterstellen, dass er selbst Spam produziert. Aber ich werde so einen diffusen Verdacht einfach nicht los.

    MfG Aubus

  2. Tja Leute,

    und wie ist es mit denen, deren PC zu einem Spambot umfunktioniert wurde?

    In meinen Bekanntenkreis gibt es jemand, der ein kleines Netzwerk hinter einem Router hat (Kleinunternehmer, Internet-Handel). Er kann auf seinem PC immer weniger machen, die Festplatte ist auch schon ziemlich voll. Auf einem Teil seiner PCs hat man schon einen Keylogger gefunden. Er beklagt sich über viel Traffic, ohne dass er selbst viele E-Mails schreibt. Der Task-Manager ist jetzt nicht mehr aufrufbar (Windows 2000). Meine Warnungen und Tipps werden seit ein paar Jahren ignoriert. Er meint, dass er seinen PC alle drei Jahre platt machen würden, das würde ausreichen. Was sonst ist, ist ihm egal.

    Und ich wundere mich über Spammails, die bei meiner vertraulichen email-Adresse eingehen (die nicht-vertraulichen haben nicht so viel Spam).

    Wie kann ich den PC meines Bekannten aus dem Verkehr ziehen, ohne dass bei ihm die Staatsanwaltschaft auftaucht?

  3. Passend zum Thema: das hätten sie sich auch schon vorher von jemandem sagen lassen können :-)

    http://www.spiegel.de/netzwelt/web/0,1518,466200,00.html

  4. @Kommentar 9

    Und was ist dann mit den Mails, die an nur einen Bruchteil meiner Adresse geschickt wurden? Die gabs auch :-) Die werden sich doch nicht die Mühe machen, da Empfängeradressen zu schreddern oder zu fälschen – wozu auch, das Zeugt soll doch ankommen und nicht mehr zurückverfolgbar sein.

  5. @Kommentar 10
    Das gleiche gitl im Prinzip fuer GNU Software. Stellt der Autor eine zukuenftige Version unter eine andere Lizenz gilt die alte nur fuer die bisherigen Versionen. Der Unterschied ist nur, dass diese Versionen nach GNU geaendert werden duerfen. Wie das bei OSP ist weiss ich jetzt nicht.

  6. @Kommentar 6 (Mathias Wagner):

    Sender ID ist nur unter der Open Specification Promise freigegeben. Das ist, wie der Name schon sagt, ein „Versprechen“, das jederzeit zurückgezogen oder gebrochen werden kann. Stünde alle mit Sender ID umschriebenen Techniken unter einer offenen Lizenz, könnte Microsoft zukünftige Versionen zwar ebenfalls wieder proprietär lizensieren, aber dann wären wenigstens die alten Versionen weiterhin frei.

  7. @Kommentar 3 (.carsten):

    > Der überwiegende Teil der Mails in meinem dortigen Postfach waren Mails, die nichtmal an eine meiner GMX-Adressen gerichtet waren. Irgendwie kamen die zu mir.

    E-Mail-Header lassen sich beliebig fälschen und die Inhalte der To- und From-Headerzeilen sind unbedingt identisch mit dem Envelope-To bzw. -From.
    Schick dir spasseshalber selbst eine E-Mail, bei der du nur als BCC-Empfänger auftauchst. In der E-Mail in deinem Postfach wirst du deine E-Mail-Adresse dann auch maximal in einem Header namens Envelope-To finden.

  8. Nur zur Information: SenderID ist mitlerweile frei verfuegbar und wird trotzdem nicht eingesetzt. Alle Techniken wie Grey-Listening und Co machen E-Mail faktisch kaputt. Daher: E-Mail ist TOT!

    Warum genau habe ich mal kurz beschrieben:
    http://mathias-wagner.info/wordpress/2006/11/26/e-mail-ist-tot/
    Und der Bilder Spam hat mitlerweile dazu gefuehrt, dass ich E-Mails mit Gif-Dateien kommentarlos loeschen lasse: http://mathias-wagner.info/wordpress/2007/02/02/gif-bilderspam-mit-thunderbird-filtern/

  9. sehr informativ!
    aber die verknüpfung des artikels der drweb.de hompage ist falsch

  10. „… Bei Eintreffen der Mail am Server wird Spam bereits zurückgewiesen, die Mail also erst gar nicht angenommen und der Versender erhält eine entsprechende Benachrichtigung.

    Letzteres wäre vielleicht der Idealzustand…“

    Hilfe! Das ist *ganz bestimmt NICHT* der Idealzustand. Oder soll das Internet mit unnützem Mailverkehr noch weiter belastet werden?

    Ich sehe die Hauptschuld für die aktuelle Situation bei Microsoft. Die Serverlandschaft besteht zu einem großen Teil aus freier Software (Linux, *BSD, Apache, PHP, Perl, Python, Ruby, Exim4, Sendmail, Postfix etc etc) und es war sehr dumm von Microsoft, die Lizenzbedingungen der Sender ID so zu formulieren, dass sie inkompatibel zu freien Lizenzen sind.

  11. Daß vor allem auch die großen ISPs kein Interesse am Spameinhalt haben zeigt meine Erfahrung mit GMX. Der überwiegende Teil der Mails in meinem dortigen Postfach waren Mails, die nichtmal an eine meiner GMX-Adressen gerichtet waren. Irgendwie kamen die zu mir. Wie, das konnte mir GMX auch nicht erklären. Die meinten nur, da sei wohl ein Programm auf meinem Rechner und das wars. Meine Nachfrage, ob es seinkönne, daß auch reguläre Mails so unsicher an beliebige Adressaten verschickt würde, blieb völlig unbeantwortet.

    Daß einem Microsoft-System nicht zu trauen ist, kann ich dagegen verstehen. Bei Protokollen, die dem Schutz vor Spam dienen kommt man aber leider, der Sicherheit wegen, nicht um firmeneigene Protokolle herum. Sobald sie frei sind, sind sie auch schon wirkungslos. Die einzige Alternative ist, das ganze Mailprotokoll neu aufzubauen und mit einem Prozedere zu versehen, daß zumindest die Echtheit der Absendeadresse verifiziert. Ich denke, daß damit schon ein Gutteil des Spams blockiert wäre. Abschaffen wird man ihn nie können. Man kann ja nichtmal unerwünschte Werbung per Post verhindern ;-)

  12. sehr schöner Beitrag!!! :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kennst du schon unseren Newsletter?

Hinweise zum Datenschutz, also dem Einsatz von Double-Opt-In, der Protokollierung der Anmeldung, der Erfolgsmessung, dem Einsatz von MailChimp als Versanddienstleister und deinen Widerrufsrechten findest du in unseren Datenschutzhinweisen.