Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Gastautor 9. Februar 2007

E-Mail Spam-Report 2007

Kein Beitragsbild

Ein Gast­beitrag von Alexan­der Endl

Bill Gates, Grün­der von Microsoft, verkün­dete 2004 das Ende von E-Mail-SPAM inner­halb von zwei Jahren (Quelle: heise.de). Eine spek­takuläre und viel­beachtete Aus­sage. Wir schreiben heute 2007 und bei einem Blick in den Spam-Ord­ner des eige­nen E-Mail-Accounts zählt der Zäh­ler ger­ade bis 3.950 — und das bezieht sich auf die let­zten zwei Monate, 850 davon einge­gan­gen in den let­zten bei­den Wochen. Die Ankündi­gung Bill Gates kann damit mit Fug und Recht als zu opti­mistisch gew­ertet wer­den — oder die dahin­ter­ste­hende Idee als gescheit­ert.

Müssen wir uns also mit Spam abfind­en?

Will man Spam nicht im Postein­gang haben und von dort per Hand aus­sortieren, was spätestens bei täglich 30 bis 50 Mails die
Gren­zen des Mach­baren über­schre­it­et, geht man derzeit drei Wege.

1. Serv­er-seit­iger Spam-Fil­ter
Einge­hende Mails wer­den am Serv­er auf Spam-Merk­male unter­sucht und Spam-Mails in einen sep­a­rat­en Spam-Ord­ner ver­schoben. Der Nutzer erhält nur Spam-freie Post zugestellt.

2. Spam-Fil­ter im Mail-Client
Der Nutzer sortiert durch seinen Mail-Client (wie Out­look oder Thun­der­bird) nach definierten Regeln Post und Spam. Spam wird in einem sep­a­rat­en Ord­ner am eige­nen Sys­tem abgelegt.

3. Spam wird am Serv­er abge­blockt
Bei Ein­tr­e­f­fen der Mail am Serv­er wird Spam bere­its zruück­gewiesen, die Mail also erst gar nicht angenom­men und der Versender erhält eine entsprechende Benachrich­ti­gung.

Let­zteres wäre vielle­icht der Ide­alzu­s­tand, doch genau da liegt das Prob­lem. Was Spam ist und was nicht, kann erst nach Analyse durch einen entsprechen­den Spam-Fil­ter beant­wortet wer­den. Die Spam-Block­ade klappt daher derzeit nur, wenn der Absender auf ein­er schwarzen Liste (Black­list) ste­ht. Man also davon aus­ge­hen kann, dass E-Mails von der senden­den IP-Adresse als klas­sis­ch­er Spam einzustufen ist und eine einge­hende Prü­fung erst gar nicht erfol­gen muss. Lei­der sind solche Black­lists aber zur Zeit nur eine kleine Hil­fe, da sie ein­er­seits nur einen kleinen Teil der vorhan­de­nen IPs erfassen (im Inter­net gibt es ger­adezu riesige schwarze Löch­er, undefiniert­er Cyber­space, unbekan­nter Adress­raum) und zudem sind Black­lists der Entwick­lung immer hin­ter­her. Dass für eine Block­ade nur dieÜber­prü­fung des Absenders zur Ver­fü­gung ste­ht, liegt in der Natur der E-Mail, im Sys­tem selb­st. Eine E-Mail ist für einen Serv­er eben eine E-Mail und es gibt weit­ere keine Klas­si­fizierung oder Authen­tifizierung, wenn die Min­destvo­raus­set­zun­gen vorhan­den sind. Ob der Inhalt der Infor­ma­tion dann der Wahrheit entspricht, das sagt die E-Mail nicht.

Um eine E-Mail als Spam zu erken­nen, muss ein Fil­ter eine einge­hen­dere Analyse vornehmen, ob das nun am Serv­er oder am Client
erfol­gt. Der Fil­ter unter­sucht dabei die E-Mail nach diversen Merk­malen und sam­melt Indizien. Er addiert alle Auf­fäl­ligkeit­en zusam­men und bildet daraus einen Spam-Score. Indizien sind z.B. der Ver­sand aus einem unbekan­nten IP-Adress­raum, mehrere Empfänger, Zusendung in Bcc. und das Enthal­ten von bes­timmten klas­sis­chen Spam-Key­words im Text, wie die Namen der gern bespamten diversen Medika­mente. Wird bei der Addi­tion ein bes­timmter Wert über­schrit­ten, so wird die E-Mail als Spam klas­si­fiziert. Bei dieser Analyse spie­len Fil­ter und Spam-Versender eine Art Hase und Igel-Spiel — wobei der Fil­ter immer der Hase ist. Zwar wird das Gros der Spams nach und nach zuver­läs­sig erkan­nt und aus­sortiert, aber das geht immer nur so lange bis irgen­dein Spam-Versender eine neue Idee hat oder eine Lücke ent­deckt. Die Lücke wird dann wieder mit einem Fil­ter-Update gestopft und das Spiel geht von vorne los.

Doch das Spiel hat unschöne Neben­ef­fek­te: Die Spam­mer ver­suchen wirk­lich alles, um nicht als Spam erkan­nt zu wer­den. Man ver­sucht zum Beispiel die Key­words zu tar­nen, also statt SPAM schreibt man S/P|A.M. Der Men­sch liest das Wort dann noch prob­lem­los, Fil­tern bere­it­et das Prob­leme, vor allem, wenn statt Plain-Text das Key­word auch noch als Grafik einge­set­zt wird. Das geht dann fast bis zu ein­er Art E-Mail-”Dadaismus” (Quelle: SPON).

Andere Spam­mer bemühen sich, eine Spam-Mail als reale Mail ausse­hen zu lassen, also zum Beispiel Frag­mente der Empfänger-Adresse in den Betr­e­ff einzubauen (Beispiel: Aus sven@name.de wird dann ein Betr­e­ff: »Wichtige Mit­teilung an sven«).
Ein Umstand, der beson­ders lästig ist, da man dann als Empfänger die einge­hende Mail oft tat­säch­lich erst nach dem
Öff­nen als Spam erken­nen kann. Und das ist ger­ade auch ein Prob­lem beim Durch­forsten der durch Fil­ter aus­sortierten SPAM-Ord­ner am Serv­er zur Kon­trolle von Irrläufern. Und diese Kon­trolle ist auch notwendig, da so manche E-Mail zu Unrecht als Spam klas­si­fiziert wird, was ger­ade bei Newslet­tern oder automa­tisierten Stan­dard-Mails schon häu­fig vorkom­men kann. Sich dann über ein Web-Inter­face am Serv­er einzu­loggen, ist umständlich. Daher lassen das viele gle­ich sein. Klein­er Prax­is-Tipp: per IMAP im E-Mail-Client auf den Spam-Ord­ner zugreifen.

Hier sind übri­gens die Client-basierten Fil­ter im Vorteil. Doch dazu muss man eben erst alle Spam-Mails ein­mal trans­ferieren und das kostet unnöti­gen Daten­traf­fic. Zudem hat man mit der gle­ichen Prob­lematik wie bei Serv­er-seit­i­gen Fil­tern zu kämpfen: Der Fil­ter ist ständig zu aktu­al­isieren, um effizient zu sein. Am Serv­er übern­immt das in der Regel der Dien­stleis­ter für alle Nutzer
automa­tisch, am lokalen Rech­n­er ist man für Updates selb­st ver­ant­wortlich.

Was gab Gates also den Opti­mis­mus?
Wenn Bill Gates das Ende des Spams so eupho­risch verkün­dete, dann deshalb, weil er damals glaubte, dass man den Umstand, dass eine E-Mail nur so wenige Bedin­gun­gen erfüllen muss, ändern kön­nte, man die E-Mail-Spez­i­fika­tion
(Wikipedia) neu definiert. Man müßte ein­er E-Mail ja ein­fach nur anse­hen kön­nen, von wem sie wirk­lich stammt, und schon
kön­nte man Spam­mer schnell aus­sortieren und die Zustel­lung ein­er Spam-Mail ein­fach ver­weigern. Ja vielle­icht sog­ar gar nicht erst durch die Back­bones dieser Welt schleusen. Jet­zt fra­gen vielle­icht manche dazwis­chen: Aber jede E-Mail hat doch einen Absender? Richtig. Aber diese Angabe ist eben fälschbar und das kann jed­er zu Hause gern ein­mal aus­pro­bieren, wenn er einen E-Mail-Client hat, der das Feld “Von:” bear­beit­en lässt (wie Microsoft Out­look ®). Das Absenden der Mail wird prob­lem­los möglich sein, auch wenn die Absender-E-Mail-Adresse gar nicht existiert. Eine E-Mail muss zwar einen Absender haben, die Angabe wird aber nicht auf den Wahrheits­ge­halt über­prüft. Und diesen Umstand nutzen die Spam­mer aus. Und nicht nur das. Um noch authen­tis­ch­er zu sein, set­zen Spam­mer gern exis­tente Mail-Adressen (oder wenig­stens exis­tente Domains) Drit­ter ein — zum Lei­d­we­sen der Betrof­fe­nen, wenn sie es denn über­haupt wahrnehmen (Ein klein­er Erfahrungs­bericht aus dem Jahr 2000).

Abhil­fe — so die The­o­rie — kön­nte eine Art elek­tro­n­is­che Brief­marke brin­gen, das war jeden­falls der Vorschlag von Bill Gates.
Die soge­nan­nte “Sender ID von Microsoft” sollte jed­er E-Mail eine ein­deutige und unfälschbare Absenderken­nung mit­geben. Kein
schlechter Ansatz im Sinne der Spam-Bekämp­fung, wenn auch von Daten­schützern heftig ange­grif­f­en. Doch der Vorstoß
scheit­erte aus anderen Grün­den bere­its im gle­ichen Jahre 2004 (Quelle) an Paten­trecht­en Microsofts, beziehungsweise vor allem deshalb, weil Open Source Anbi­eter die ange­botene Lizenz nicht, wie ange­boten, akzep­tieren kon­nten (a.a.O.). Es gab und gibt noch weit­ere Ansätze, doch die scheit­erten eben­falls an der Eini­gung der maßge­blichen Inter­net-Play­er.
Darunter Vorschläge wie “Sender Pol­i­cy Frame­work (SPF)”, “DomainKeys von Yahoo!”, “RMX” oder “AMTP”. Man ver­har­rt seit­dem im
Still­stand. Kleine Insel­lö­sun­gen inner­halb der eige­nen Ange­bote bieten zwar Erle­ichterun­gen, doch ohne ein­heitlichen Stan­dard, den alle Anbi­eter im Inter­net akzep­tieren und der auch von allen Soft­ware-Her­stellern inter­pretiert wer­den kann, wird hier nicht
wirk­lich ein Durch­bruch erzielt.

Eine Lösung ist nicht in Sicht. Und statt eines Rück­gangs ist zulet­zt ein spür­bar­er Zuwachs der Spam-Flut reg­istri­ert wor­den
(siehe auch heise.de) und “nahezu drei Vier­tel aller E-Mails” sind mit­tler­weile als Spam klas­si­fiziert.

Wut und Ent­täuschung also allenorten, weil sich die Großen nicht eini­gen kon­nten? Ja und Nein.

Zum einen ist Spam ein gutes Geschäft und das nicht nur für den Versender, der nur mar­ginale Response-Rat­en braucht, um
erfol­gre­ich zu sein. Das ist eben alles nur eine Frage der Masse. Aber es gibt eben auch andere Gewin­ner, wie die
Anti-Spam-Industrie.Spam-Filter müssen laufend neu entwick­elt, pro­gram­miert und kon­fig­uri­ert wer­den. Das schafft Arbeit­splätze vom Pro­gram­mier­er bis zum Sys­temad­min­is­tra­tor. Aber auch die Hoster, Ser­vice-Provider oder DSL-Anbi­eter freuen sich, schafft der Bedarf nach mehr Kapaz­itäten für Spam-Ord­ner und der zunehmende Daten­traf­fic doch auch Nach­frage. Und so hält sich der Druck aus diesen Wirtschafts­bere­ichen auf eine Eini­gung der “Allianz gegen Spam” ver­ständlicher­weise auch in Gren­zen. Eine Lob­by der User wiederum existiert nicht.

Wäre alles gut mit ein­er Absenderken­nung?
Gäbe es eine solche Absenderken­nung, dann wäre in der Tat wohl zunächst Spam im Griff. Doch dürfte es wohl auch nicht
lange dauern, bis sich Spam wieder auf gle­ichen Niveau bewe­gen würde. Warum? Tro­jan­er haben bere­its ihre Bot-Net­ze (Quelle: wrs.de) geflocht­en, die nur darauf warten, aktiv zu wer­den. Pri­vate Rech­n­er, gekapert durch einen Tro­jan­er, häu­fig sog­ar ohne Ken­nt­nis des Nutzers, wer­den dann die Mails aussenden — hüb­sch verse­hen mit der pri­vat­en Absenderken­nung
des PC-Besitzers.

Spam wird uns also erhal­ten bleiben — jeden­falls solange es genug Leute gibt, die die Ange­bote annehmen. Denn am Ende ist es nur eine Frage, ob SPAM lukra­tiv ist, oder nicht. Doch wer reagiert schon auf SPAM? Mehr als man denkt, wie eine Studie von Mira­point aus dem Jahr 2005 belegte: “31 Prozent klick­en Links in Spam-Mails an — 10 Prozent haben bere­its per Spam bewor­bene Waren gekauft” (Quelle: golem.de)

Machen wir uns also nichts vor: SPAM ist eine erfol­gre­iche und vom Nutzer akzep­tierte Form der Wer­bung. Das will kein­er wahr haben, ist aber genau­so wahr wie der Erfolg bes­timmter Boule­vard-Zeitun­gen, die ja ange­blich auch kein­er liest oder kauft.

13 Kommentare

  1. Sehr inter­es­san­ter Beitrag!

    Ein Haupt­prob­lem ist inzwis­chen freilich, dass zu viel Geld mit Spam und mit Spam-Schutz ver­di­ent wird. Wenn ich zum Beispiel als T-Online-Kunde per Web­mail eine Mail als Spam melden will, erscheint der Hin­weis, dass eine solche Mel­dung nur beim Upgrade auf ein Pre­mi­um-Abo akzep­tiert wird.

    Ähn­lich gehen andere Provider vor.

    Ich halte das für ger­adezu unmoralisch — und wun­dere mich, dass die Spam­flut automa­tisch zunimmt, wenn ich NICHT auf so ein Upgrade klicke. Ich will keinem Provider unter­stellen, dass er selb­st Spam pro­duziert. Aber ich werde so einen dif­fusen Ver­dacht ein­fach nicht los.

    MfG Aubus

  2. Tja Leute,

    und wie ist es mit denen, deren PC zu einem Spam­bot umfunk­tion­iert wurde?

    In meinen Bekan­ntenkreis gibt es jemand, der ein kleines Net­zw­erk hin­ter einem Router hat (Klei­n­un­ternehmer, Inter­net-Han­del). Er kann auf seinem PC immer weniger machen, die Fest­plat­te ist auch schon ziem­lich voll. Auf einem Teil sein­er PCs hat man schon einen Key­log­ger gefun­den. Er beklagt sich über viel Traf­fic, ohne dass er selb­st viele E-Mails schreibt. Der Task-Man­ag­er ist jet­zt nicht mehr aufruf­bar (Win­dows 2000). Meine War­nun­gen und Tipps wer­den seit ein paar Jahren ignori­ert. Er meint, dass er seinen PC alle drei Jahre platt machen wür­den, das würde aus­re­ichen. Was son­st ist, ist ihm egal.

    Und ich wun­dere mich über Spam­mails, die bei mein­er ver­traulichen email-Adresse einge­hen (die nicht-ver­traulichen haben nicht so viel Spam).

    Wie kann ich den PC meines Bekan­nten aus dem Verkehr ziehen, ohne dass bei ihm die Staat­san­waltschaft auf­taucht?

  3. Passend zum The­ma: das hät­ten sie sich auch schon vorher von jeman­dem sagen lassen kön­nen :-)

    http://www.spiegel.de/netzwelt/web/0,1518,466200,00.html

  4. @Kommentar 9

    Und was ist dann mit den Mails, die an nur einen Bruchteil mein­er Adresse geschickt wur­den? Die gabs auch :-) Die wer­den sich doch nicht die Mühe machen, da Empfänger­adressen zu schred­dern oder zu fälschen — wozu auch, das Zeugt soll doch ankom­men und nicht mehr zurück­ver­fol­gbar sein.

  5. @Kommentar 10
    Das gle­iche gitl im Prinzip fuer GNU Soft­ware. Stellt der Autor eine zukuen­ftige Ver­sion unter eine andere Lizenz gilt die alte nur fuer die bish­eri­gen Ver­sio­nen. Der Unter­schied ist nur, dass diese Ver­sio­nen nach GNU geaen­dert wer­den duer­fen. Wie das bei OSP ist weiss ich jet­zt nicht.

  6. @Kommentar 6 (Math­ias Wag­n­er):

    Sender ID ist nur unter der Open Spec­i­fi­ca­tion Promise freigegeben. Das ist, wie der Name schon sagt, ein “Ver­sprechen”, das jed­erzeit zurück­ge­zo­gen oder gebrochen wer­den kann. Stünde alle mit Sender ID umschriebe­nen Tech­niken unter ein­er offe­nen Lizenz, kön­nte Microsoft zukün­ftige Ver­sio­nen zwar eben­falls wieder pro­pri­etär lizen­sieren, aber dann wären wenig­stens die alten Ver­sio­nen weit­er­hin frei.

  7. @Kommentar 3 (.carsten):

    > Der über­wiegende Teil der Mails in meinem dor­ti­gen Post­fach waren Mails, die nicht­mal an eine mein­er GMX-Adressen gerichtet waren. Irgend­wie kamen die zu mir.

    E-Mail-Head­er lassen sich beliebig fälschen und die Inhalte der To- und From-Head­erzeilen sind unbe­d­ingt iden­tisch mit dem Enve­lope-To bzw. -From.
    Schick dir spasse­shal­ber selb­st eine E-Mail, bei der du nur als BCC-Empfänger auf­tauchst. In der E-Mail in deinem Post­fach wirst du deine E-Mail-Adresse dann auch max­i­mal in einem Head­er namens Enve­lope-To find­en.

  8. Nur zur Infor­ma­tion: SenderID ist mitler­weile frei ver­fueg­bar und wird trotz­dem nicht einge­set­zt. Alle Tech­niken wie Grey-Lis­ten­ing und Co machen E-Mail fak­tisch kaputt. Daher: E-Mail ist TOT!

    Warum genau habe ich mal kurz beschrieben:
    http://mathias-wagner.info/wordpress/2006/11/26/e-mail-ist-tot/
    Und der Bilder Spam hat mitler­weile dazu gefuehrt, dass ich E-Mails mit Gif-Dateien kom­men­tar­los loeschen lasse: http://mathias-wagner.info/wordpress/2007/02/02/gif-bilderspam-mit-thunderbird-filtern/

  9. sehr infor­ma­tiv!
    aber die verknüp­fung des artikels der drweb.de hom­page ist falsch

  10. … Bei Ein­tr­e­f­fen der Mail am Serv­er wird Spam bere­its zurück­gewiesen, die Mail also erst gar nicht angenom­men und der Versender erhält eine entsprechende Benachrich­ti­gung.

    Let­zteres wäre vielle­icht der Ide­alzu­s­tand…”

    Hil­fe! Das ist *ganz bes­timmt NICHT* der Ide­alzu­s­tand. Oder soll das Inter­net mit unnützem Mail­verkehr noch weit­er belastet wer­den?

    Ich sehe die Hauptschuld für die aktuelle Sit­u­a­tion bei Microsoft. Die Server­land­schaft beste­ht zu einem großen Teil aus freier Soft­ware (Lin­ux, *BSD, Apache, PHP, Perl, Python, Ruby, Exim4, Send­mail, Post­fix etc etc) und es war sehr dumm von Microsoft, die Lizenzbe­din­gun­gen der Sender ID so zu for­mulieren, dass sie inkom­pat­i­bel zu freien Lizen­zen sind.

  11. Daß vor allem auch die großen ISPs kein Inter­esse am Spamein­halt haben zeigt meine Erfahrung mit GMX. Der über­wiegende Teil der Mails in meinem dor­ti­gen Post­fach waren Mails, die nicht­mal an eine mein­er GMX-Adressen gerichtet waren. Irgend­wie kamen die zu mir. Wie, das kon­nte mir GMX auch nicht erk­lären. Die mein­ten nur, da sei wohl ein Pro­gramm auf meinem Rech­n­er und das wars. Meine Nach­frage, ob es seinkönne, daß auch reg­uläre Mails so unsich­er an beliebige Adres­sat­en ver­schickt würde, blieb völ­lig unbeant­wortet.

    Daß einem Microsoft-Sys­tem nicht zu trauen ist, kann ich dage­gen ver­ste­hen. Bei Pro­tokollen, die dem Schutz vor Spam dienen kommt man aber lei­der, der Sicher­heit wegen, nicht um firmeneigene Pro­tokolle herum. Sobald sie frei sind, sind sie auch schon wirkungs­los. Die einzige Alter­na­tive ist, das ganze Mail­pro­tokoll neu aufzubauen und mit einem Prozedere zu verse­hen, daß zumin­d­est die Echtheit der Absendead­resse ver­i­fiziert. Ich denke, daß damit schon ein Gut­teil des Spams block­iert wäre. Abschaf­fen wird man ihn nie kön­nen. Man kann ja nicht­mal uner­wün­schte Wer­bung per Post ver­hin­dern ;-)

  12. sehr schön­er Beitrag!!! :-)

Schreibe einen Kommentar zu Fördy Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.