Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Gastautor 9. Februar 2007

E-Mail Spam-Report 2007

Kein Beitragsbild

Ein Gastbeitrag von Alexander Endl

Bill Gates, Gründer von Microsoft, ver­kün­de­te 2004 das Ende von E-Mail-SPAM inner­halb von zwei Jahren (Quelle: heise.de). Eine spek­ta­ku­lä­re und viel­be­ach­te­te Aussage. Wir schrei­ben heu­te 2007 und bei einem Blick in den Spam-Ordner des eige­nen E-Mail-Accounts zählt der Zähler gera­de bis 3.950 – und das bezieht sich auf die letz­ten zwei Monate, 850 davon ein­ge­gan­gen in den letz­ten bei­den Wochen. Die Ankündigung Bill Gates kann damit mit Fug und Recht als zu opti­mis­tisch gewer­tet wer­den – oder die dahin­ter­ste­hen­de Idee als geschei­tert.

Müssen wir uns also mit Spam abfin­den?

Will man Spam nicht im Posteingang haben und von dort per Hand aus­sor­tie­ren, was spä­tes­tens bei täg­lich 30 bis 50 Mails die
Grenzen des Machbaren über­schrei­tet, geht man der­zeit drei Wege.

1. Server-sei­ti­ger Spam-Filter
Eingehende Mails wer­den am Server auf Spam-Merkmale unter­sucht und Spam-Mails in einen sepa­ra­ten Spam-Ordner ver­scho­ben. Der Nutzer erhält nur Spam-freie Post zuge­stellt.

2. Spam-Filter im Mail-Client
Der Nutzer sor­tiert durch sei­nen Mail-Client (wie Outlook oder Thunderbird) nach defi­nier­ten Regeln Post und Spam. Spam wird in einem sepa­ra­ten Ordner am eige­nen System abge­legt.

3. Spam wird am Server abge­blockt
Bei Eintreffen der Mail am Server wird Spam bereits zruück­ge­wie­sen, die Mail also erst gar nicht ange­nom­men und der Versender erhält eine ent­spre­chen­de Benachrichtigung.

Letzteres wäre viel­leicht der Idealzustand, doch genau da liegt das Problem. Was Spam ist und was nicht, kann erst nach Analyse durch einen ent­spre­chen­den Spam-Filter beant­wor­tet wer­den. Die Spam-Blockade klappt daher der­zeit nur, wenn der Absender auf einer schwar­zen Liste (Blacklist) steht. Man also davon aus­ge­hen kann, dass E-Mails von der sen­den­den IP-Adresse als klas­si­scher Spam ein­zu­stu­fen ist und eine ein­ge­hen­de Prüfung erst gar nicht erfol­gen muss. Leider sind sol­che Blacklists aber zur Zeit nur eine klei­ne Hilfe, da sie einer­seits nur einen klei­nen Teil der vor­han­de­nen IPs erfas­sen (im Internet gibt es gera­de­zu rie­si­ge schwar­ze Löcher, unde­fi­nier­ter Cyberspace, unbe­kann­ter Adressraum) und zudem sind Blacklists der Entwicklung immer hin­ter­her. Dass für eine Blockade nur dieÜberprüfung des Absenders zur Verfügung steht, liegt in der Natur der E-Mail, im System selbst. Eine E-Mail ist für einen Server eben eine E-Mail und es gibt wei­te­re kei­ne Klassifizierung oder Authentifizierung, wenn die Mindestvoraussetzungen vor­han­den sind. Ob der Inhalt der Information dann der Wahrheit ent­spricht, das sagt die E-Mail nicht.

Um eine E-Mail als Spam zu erken­nen, muss ein Filter eine ein­ge­hen­de­re Analyse vor­neh­men, ob das nun am Server oder am Client
erfolgt. Der Filter unter­sucht dabei die E-Mail nach diver­sen Merkmalen und sam­melt Indizien. Er addiert alle Auffälligkeiten zusam­men und bil­det dar­aus einen Spam-Score. Indizien sind z.B. der Versand aus einem unbe­kann­ten IP-Adressraum, meh­re­re Empfänger, Zusendung in Bcc. und das Enthalten von bestimm­ten klas­si­schen Spam-Keywords im Text, wie die Namen der gern bespam­ten diver­sen Medikamente. Wird bei der Addition ein bestimm­ter Wert über­schrit­ten, so wird die E-Mail als Spam klas­si­fi­ziert. Bei die­ser Analyse spie­len Filter und Spam-Versender eine Art Hase und Igel-Spiel – wobei der Filter immer der Hase ist. Zwar wird das Gros der Spams nach und nach zuver­läs­sig erkannt und aus­sor­tiert, aber das geht immer nur so lan­ge bis irgend­ein Spam-Versender eine neue Idee hat oder eine Lücke ent­deckt. Die Lücke wird dann wie­der mit einem Filter-Update gestopft und das Spiel geht von vor­ne los.

Doch das Spiel hat unschö­ne Nebeneffekte: Die Spammer ver­su­chen wirk­lich alles, um nicht als Spam erkannt zu wer­den. Man ver­sucht zum Beispiel die Keywords zu tar­nen, also statt SPAM schreibt man S/P|A.M. Der Mensch liest das Wort dann noch pro­blem­los, Filtern berei­tet das Probleme, vor allem, wenn statt Plain-Text das Keyword auch noch als Grafik ein­ge­setzt wird. Das geht dann fast bis zu einer Art E-Mail-”Dadaismus” (Quelle: SPON).

Andere Spammer bemü­hen sich, eine Spam-Mail als rea­le Mail aus­se­hen zu las­sen, also zum Beispiel Fragmente der Empfänger-Adresse in den Betreff ein­zu­bau­en (Beispiel: Aus sven@name.de wird dann ein Betreff: »Wichtige Mitteilung an sven«).
Ein Umstand, der beson­ders läs­tig ist, da man dann als Empfänger die ein­ge­hen­de Mail oft tat­säch­lich erst nach dem
Öffnen als Spam erken­nen kann. Und das ist gera­de auch ein Problem beim Durchforsten der durch Filter aus­sor­tier­ten SPAM-Ordner am Server zur Kontrolle von Irrläufern. Und die­se Kontrolle ist auch not­wen­dig, da so man­che E-Mail zu Unrecht als Spam klas­si­fi­ziert wird, was gera­de bei Newslettern oder auto­ma­ti­sier­ten Standard-Mails schon häu­fig vor­kom­men kann. Sich dann über ein Web-Interface am Server ein­zu­log­gen, ist umständ­lich. Daher las­sen das vie­le gleich sein. Kleiner Praxis-Tipp: per IMAP im E-Mail-Client auf den Spam-Ordner zugrei­fen.

Hier sind übri­gens die Client-basier­ten Filter im Vorteil. Doch dazu muss man eben erst alle Spam-Mails ein­mal trans­fe­rie­ren und das kos­tet unnö­ti­gen Datentraffic. Zudem hat man mit der glei­chen Problematik wie bei Server-sei­ti­gen Filtern zu kämp­fen: Der Filter ist stän­dig zu aktua­li­sie­ren, um effi­zi­ent zu sein. Am Server über­nimmt das in der Regel der Dienstleister für alle Nutzer
auto­ma­tisch, am loka­len Rechner ist man für Updates selbst ver­ant­wort­lich.

Was gab Gates also den Optimismus?
Wenn Bill Gates das Ende des Spams so eupho­risch ver­kün­de­te, dann des­halb, weil er damals glaub­te, dass man den Umstand, dass eine E-Mail nur so weni­ge Bedingungen erfül­len muss, ändern könn­te, man die E-Mail-Spezifikation
(Wikipedia) neu defi­niert. Man müß­te einer E-Mail ja ein­fach nur anse­hen kön­nen, von wem sie wirk­lich stammt, und schon
könn­te man Spammer schnell aus­sor­tie­ren und die Zustellung einer Spam-Mail ein­fach ver­wei­gern. Ja viel­leicht sogar gar nicht erst durch die Backbones die­ser Welt schleu­sen. Jetzt fra­gen viel­leicht man­che dazwi­schen: Aber jede E-Mail hat doch einen Absender? Richtig. Aber die­se Angabe ist eben fälsch­bar und das kann jeder zu Hause gern ein­mal aus­pro­bie­ren, wenn er einen E-Mail-Client hat, der das Feld “Von:” bear­bei­ten lässt (wie Microsoft Outlook ®). Das Absenden der Mail wird pro­blem­los mög­lich sein, auch wenn die Absender-E-Mail-Adresse gar nicht exis­tiert. Eine E-Mail muss zwar einen Absender haben, die Angabe wird aber nicht auf den Wahrheitsgehalt über­prüft. Und die­sen Umstand nut­zen die Spammer aus. Und nicht nur das. Um noch authen­ti­scher zu sein, set­zen Spammer gern exis­ten­te Mail-Adressen (oder wenigs­tens exis­ten­te Domains) Dritter ein – zum Leidwesen der Betroffenen, wenn sie es denn über­haupt wahr­neh­men (Ein klei­ner Erfahrungsbericht aus dem Jahr 2000).

Abhilfe – so die Theorie – könn­te eine Art elek­tro­ni­sche Briefmarke brin­gen, das war jeden­falls der Vorschlag von Bill Gates.
Die soge­nann­te “Sender ID von Microsoft” soll­te jeder E-Mail eine ein­deu­ti­ge und unfälsch­ba­re Absenderkennung mit­ge­ben. Kein
schlech­ter Ansatz im Sinne der Spam-Bekämpfung, wenn auch von Datenschützern hef­tig ange­grif­fen. Doch der Vorstoß
schei­ter­te aus ande­ren Gründen bereits im glei­chen Jahre 2004 (Quelle) an Patentrechten Microsofts, bezie­hungs­wei­se vor allem des­halb, weil Open Source Anbieter die ange­bo­te­ne Lizenz nicht, wie ange­bo­ten, akzep­tie­ren konn­ten (a.a.O.). Es gab und gibt noch wei­te­re Ansätze, doch die schei­ter­ten eben­falls an der Einigung der maß­geb­li­chen Internet-Player.
Darunter Vorschläge wie “Sender Policy Framework (SPF)”, “DomainKeys von Yahoo!”, “RMX” oder “AMTP”. Man ver­harrt seit­dem im
Stillstand. Kleine Insellösungen inner­halb der eige­nen Angebote bie­ten zwar Erleichterungen, doch ohne ein­heit­li­chen Standard, den alle Anbieter im Internet akzep­tie­ren und der auch von allen Software-Herstellern inter­pre­tiert wer­den kann, wird hier nicht
wirk­lich ein Durchbruch erzielt.

Eine Lösung ist nicht in Sicht. Und statt eines Rückgangs ist zuletzt ein spür­ba­rer Zuwachs der Spam-Flut regis­triert wor­den
(sie­he auch heise.de) und “nahe­zu drei Viertel aller E-Mails” sind mitt­ler­wei­le als Spam klas­si­fi­ziert.

Wut und Enttäuschung also allen­or­ten, weil sich die Großen nicht eini­gen konn­ten? Ja und Nein.

Zum einen ist Spam ein gutes Geschäft und das nicht nur für den Versender, der nur mar­gi­na­le Response-Raten braucht, um
erfolg­reich zu sein. Das ist eben alles nur eine Frage der Masse. Aber es gibt eben auch ande­re Gewinner, wie die
Anti-Spam-Industrie.Spam-Filter müs­sen lau­fend neu ent­wi­ckelt, pro­gram­miert und kon­fi­gu­riert wer­den. Das schafft Arbeitsplätze vom Programmierer bis zum Systemadministrator. Aber auch die Hoster, Service-Provider oder DSL-Anbieter freu­en sich, schafft der Bedarf nach mehr Kapazitäten für Spam-Ordner und der zuneh­men­de Datentraffic doch auch Nachfrage. Und so hält sich der Druck aus die­sen Wirtschaftsbereichen auf eine Einigung der “Allianz gegen Spam” ver­ständ­li­cher­wei­se auch in Grenzen. Eine Lobby der User wie­der­um exis­tiert nicht.

Wäre alles gut mit einer Absenderkennung?
Gäbe es eine sol­che Absenderkennung, dann wäre in der Tat wohl zunächst Spam im Griff. Doch dürf­te es wohl auch nicht
lan­ge dau­ern, bis sich Spam wie­der auf glei­chen Niveau bewe­gen wür­de. Warum? Trojaner haben bereits ihre Bot-Netze (Quelle: wrs.de) gefloch­ten, die nur dar­auf war­ten, aktiv zu wer­den. Private Rechner, geka­pert durch einen Trojaner, häu­fig sogar ohne Kenntnis des Nutzers, wer­den dann die Mails aus­sen­den – hübsch ver­se­hen mit der pri­va­ten Absenderkennung
des PC-Besitzers.

Spam wird uns also erhal­ten blei­ben – jeden­falls solan­ge es genug Leute gibt, die die Angebote anneh­men. Denn am Ende ist es nur eine Frage, ob SPAM lukra­tiv ist, oder nicht. Doch wer reagiert schon auf SPAM? Mehr als man denkt, wie eine Studie von Mirapoint aus dem Jahr 2005 beleg­te: “31 Prozent kli­cken Links in Spam-Mails an – 10 Prozent haben bereits per Spam bewor­be­ne Waren gekauft” (Quelle: golem.de)

Machen wir uns also nichts vor: SPAM ist eine erfolg­rei­che und vom Nutzer akzep­tier­te Form der Werbung. Das will kei­ner wahr haben, ist aber genau­so wahr wie der Erfolg bestimm­ter Boulevard-Zeitungen, die ja angeb­lich auch kei­ner liest oder kauft.

13 Kommentare

  1. Sehr inter­es­san­ter Beitrag!

    Ein Hauptproblem ist inzwi­schen frei­lich, dass zu viel Geld mit Spam und mit Spam-Schutz ver­dient wird. Wenn ich zum Beispiel als T-Online-Kunde per Webmail eine Mail als Spam mel­den will, erscheint der Hinweis, dass eine sol­che Meldung nur beim Upgrade auf ein Premium-Abo akzep­tiert wird.

    Ähnlich gehen ande­re Provider vor.

    Ich hal­te das für gera­de­zu unmo­ra­lisch – und wun­de­re mich, dass die Spamflut auto­ma­tisch zunimmt, wenn ich NICHT auf so ein Upgrade kli­cke. Ich will kei­nem Provider unter­stel­len, dass er selbst Spam pro­du­ziert. Aber ich wer­de so einen dif­fu­sen Verdacht ein­fach nicht los.

    MfG Aubus

  2. Tja Leute,

    und wie ist es mit denen, deren PC zu einem Spambot umfunk­tio­niert wur­de?

    In mei­nen Bekanntenkreis gibt es jemand, der ein klei­nes Netzwerk hin­ter einem Router hat (Kleinunternehmer, Internet-Handel). Er kann auf sei­nem PC immer weni­ger machen, die Festplatte ist auch schon ziem­lich voll. Auf einem Teil sei­ner PCs hat man schon einen Keylogger gefun­den. Er beklagt sich über viel Traffic, ohne dass er selbst vie­le E-Mails schreibt. Der Task-Manager ist jetzt nicht mehr auf­ruf­bar (Windows 2000). Meine Warnungen und Tipps wer­den seit ein paar Jahren igno­riert. Er meint, dass er sei­nen PC alle drei Jahre platt machen wür­den, das wür­de aus­rei­chen. Was sonst ist, ist ihm egal.

    Und ich wun­de­re mich über Spammails, die bei mei­ner ver­trau­li­chen email-Adresse ein­ge­hen (die nicht-ver­trau­li­chen haben nicht so viel Spam).

    Wie kann ich den PC mei­nes Bekannten aus dem Verkehr zie­hen, ohne dass bei ihm die Staatsanwaltschaft auf­taucht?

  3. Passend zum Thema: das hät­ten sie sich auch schon vor­her von jeman­dem sagen las­sen kön­nen :-)

    http://www.spiegel.de/netzwelt/web/0,1518,466200,00.html

  4. @Kommentar 9

    Und was ist dann mit den Mails, die an nur einen Bruchteil mei­ner Adresse geschickt wur­den? Die gabs auch :-) Die wer­den sich doch nicht die Mühe machen, da Empfängeradressen zu schred­dern oder zu fäl­schen – wozu auch, das Zeugt soll doch ankom­men und nicht mehr zurück­ver­folg­bar sein.

  5. @Kommentar 10
    Das glei­che gitl im Prinzip fuer GNU Software. Stellt der Autor eine zuku­enf­ti­ge Version unter eine ande­re Lizenz gilt die alte nur fuer die bis­he­ri­gen Versionen. Der Unterschied ist nur, dass die­se Versionen nach GNU geaen­dert wer­den duer­fen. Wie das bei OSP ist weiss ich jetzt nicht.

  6. @Kommentar 6 (Mathias Wagner):

    Sender ID ist nur unter der Open Specification Promise frei­ge­ge­ben. Das ist, wie der Name schon sagt, ein “Versprechen”, das jeder­zeit zurück­ge­zo­gen oder gebro­chen wer­den kann. Stünde alle mit Sender ID umschrie­be­nen Techniken unter einer offe­nen Lizenz, könn­te Microsoft zukünf­ti­ge Versionen zwar eben­falls wie­der pro­prie­tär lizen­sie­ren, aber dann wären wenigs­tens die alten Versionen wei­ter­hin frei.

  7. @Kommentar 3 (.cars­ten):

    > Der über­wie­gen­de Teil der Mails in mei­nem dor­ti­gen Postfach waren Mails, die nicht­mal an eine mei­ner GMX-Adressen gerich­tet waren. Irgendwie kamen die zu mir.

    E-Mail-Header las­sen sich belie­big fäl­schen und die Inhalte der To- und From-Headerzeilen sind unbe­dingt iden­tisch mit dem Envelope-To bzw. -From.
    Schick dir spas­ses­hal­ber selbst eine E-Mail, bei der du nur als BCC-Empfänger auf­tauchst. In der E-Mail in dei­nem Postfach wirst du dei­ne E-Mail-Adresse dann auch maxi­mal in einem Header namens Envelope-To fin­den.

  8. Nur zur Information: SenderID ist mit­ler­wei­le frei ver­fueg­bar und wird trotz­dem nicht ein­ge­setzt. Alle Techniken wie Grey-Listening und Co machen E-Mail fak­tisch kaputt. Daher: E-Mail ist TOT!

    Warum genau habe ich mal kurz beschrie­ben:
    http://mathias-wagner.info/wordpress/2006/11/26/e-mail-ist-tot/
    Und der Bilder Spam hat mit­ler­wei­le dazu gefuehrt, dass ich E-Mails mit Gif-Dateien kom­men­tar­los loeschen las­se: http://mathias-wagner.info/wordpress/2007/02/02/gif-bilderspam-mit-thunderbird-filtern/

  9. sehr infor­ma­tiv!
    aber die ver­knüp­fung des arti­kels der drweb.de hom­pa­ge ist falsch

  10. “… Bei Eintreffen der Mail am Server wird Spam bereits zurück­ge­wie­sen, die Mail also erst gar nicht ange­nom­men und der Versender erhält eine ent­spre­chen­de Benachrichtigung.

    Letzteres wäre viel­leicht der Idealzustand…”

    Hilfe! Das ist *ganz bestimmt NICHT* der Idealzustand. Oder soll das Internet mit unnüt­zem Mailverkehr noch wei­ter belas­tet wer­den?

    Ich sehe die Hauptschuld für die aktu­el­le Situation bei Microsoft. Die Serverlandschaft besteht zu einem gro­ßen Teil aus frei­er Software (Linux, *BSD, Apache, PHP, Perl, Python, Ruby, Exim4, Sendmail, Postfix etc etc) und es war sehr dumm von Microsoft, die Lizenzbedingungen der Sender ID so zu for­mu­lie­ren, dass sie inkom­pa­ti­bel zu frei­en Lizenzen sind.

  11. Daß vor allem auch die gro­ßen ISPs kein Interesse am Spameinhalt haben zeigt mei­ne Erfahrung mit GMX. Der über­wie­gen­de Teil der Mails in mei­nem dor­ti­gen Postfach waren Mails, die nicht­mal an eine mei­ner GMX-Adressen gerich­tet waren. Irgendwie kamen die zu mir. Wie, das konn­te mir GMX auch nicht erklä­ren. Die mein­ten nur, da sei wohl ein Programm auf mei­nem Rechner und das wars. Meine Nachfrage, ob es sein­kön­ne, daß auch regu­lä­re Mails so unsi­cher an belie­bi­ge Adressaten ver­schickt wür­de, blieb völ­lig unbe­ant­wor­tet.

    Daß einem Microsoft-System nicht zu trau­en ist, kann ich dage­gen ver­ste­hen. Bei Protokollen, die dem Schutz vor Spam die­nen kommt man aber lei­der, der Sicherheit wegen, nicht um fir­men­ei­ge­ne Protokolle her­um. Sobald sie frei sind, sind sie auch schon wir­kungs­los. Die ein­zi­ge Alternative ist, das gan­ze Mailprotokoll neu auf­zu­bau­en und mit einem Prozedere zu ver­se­hen, daß zumin­dest die Echtheit der Absendeadresse veri­fi­ziert. Ich den­ke, daß damit schon ein Gutteil des Spams blo­ckiert wäre. Abschaffen wird man ihn nie kön­nen. Man kann ja nicht­mal uner­wünsch­te Werbung per Post ver­hin­dern ;-)

  12. sehr schö­ner Beitrag!!! :-)

Schreibe einen Kommentar zu Alexander | Zielpublikum Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.