Kombination von 16 klassischen Antispam-Methoden
Alle eingehenden E-Mails werden derzeit mit 16 klassischen Antispam-Methoden untersucht
und bewertet. Diese Bewertung dient als Basis für alle weiteren Maßnahmen,
sowie die Behandlung in den verschiedenen SPAMRobin-Antispam-Stufen, welche jeder
Anwender selbst nach seiner Einschätzung, sowie seinem Spam-Aufkommen einstellen
und jederzeit ändern kann.
In den Antispam-Stufen 1 – „schwach“ und 2 – „mittel“ werden nur diese klassischen
Methoden angewandt. In der Stufe 3 – „stark“ spielen sie ebenfalls eine sehr wichtige
Rolle, denn wenn bei dieser Stufe eine E-Mail mit Spam-Verdacht gekennzeichnet wird,
dann wird an den Absender eine einmalige Autorisierungsnachricht ausgesandt.
Wird die E-Mail jedoch als spamfrei eingestuft erfolgt die Zustellung sofort. In
der Stufe 4 – „sehr stark“ spielen die klassischen Antispam- Methoden nur eine untergeordnete
Rolle, da sich jeder Absender einmalig autorisieren muss.
Die Menge an Spam (unerwünschten E-Mails), die täglich in unseren E-Mail-Postfächern
landet, hat erschreckende Ausmaße angenommen. Gleichzeitig werden immer mehr Antispam-Methoden
entwickelt, um dieser Überflutung Herr zu werden – es ist jedoch keine Technik
bekannt, welche allein einen absoluten Schutz vor Spam bieten könnte.
SPAMRobin kombiniert viele dieser konventionellen Antispam-Techniken und erweitert
diese bei Bedarf um weitere Maßnahmen wie das SPAMRobin Autorisierungsverfahren.
Dies bietet die besten Voraussetzungen
für die umfassende Antispam-Lösung und E-Mail-Sicherheitslösung SPAMRobin.
Einerseits geht es bei den verwendeten Methoden darum, Spam-E-Mails zu identifizieren,
obwohl sich diese kaum im Erscheinungsbild von guten E-Mails unterscheiden, andererseits
auch darum, gute E-Mails nicht versehentlich als Spam-E-Mail auszufiltern („False
Positives“). Diese Übersicht gibt einen Einblick in die derzeit zur Spam-Abwehr
genutzten Methoden und deren Effizienz. SPAMRobin kann als gehosteter Dienst jeweils
sehr schnell auf neue Bedrohungen und Attacken reagieren, ohne dass die Kunden eingreifen
müssen.
Die älteste Antispam-Technik – das so genannte Blacklisting – wurde schon zu
den Anfangszeiten der Breitennutzung des Internets in den frühen 1990ern entwickelt.
Zu dieser Zeit war Spam noch neu und Spamversender konnten direkt von ihrem eigenen
Computer mit der Erstürmung der E-Mail-Postfächer starten. Entsprechend
einfach war es für die Empfänger von unerwünschten E-Mails, einfach
die Absende-E-Mailadressen, einen von Spammern genutzten IP-Adressbereich oder eine
gesamte Domain zu blocken.
Gegen 1998 begann der Boom des Internets und wo Unternehmen und Universitäten
auf IT-Administratoren zurückgreifen konnten, die sich des Problems Spam annehmen
konnten. Immer mehr Klein- und Mittelunternehmen sowie Privatanwender blieben ungeschützt.
Anfangs waren immer größere Blacklists die einzige Gegenmaßnahme
gegen die immer weiter wachsende Spamflut.
Obwohl sie ständig erweitert wurden, war aber diese Methode als einzige Methode
der Spam-Bekämpfung relativ schwach, da die Absender von
Spam-Nachrichten immer öfter ihre eigenen E-Mail-Adressen versteckten bzw. über
temporäre E-Mail-Adressen oder einfach die Mailserver von Dritten versendeten.
Dennoch werden auch heute noch immer Blacklists als Basis für die meisten Antispam-Lösungen
verwendet. Weitere Informationen über Blacklists (schwarze Listen) finden Sie
auch auf Wikipedia Wikipedia
<<zurück zur Auswahl
In den meisten RBLs werden IP-Adressen von Computersystemen gelistet, von denen
in der Vergangenheit Spam versendet wurden – einige Listen enthalten auch Quellen
von Computerviren und anderer Malware.
Heute handelt es sich bei diesen Rechnern meist um offene Mail-Relays, trojanisierte
PCs oder Computer welche Teil von Botnets (Zombiecomputer) sind, die von Spammern
missbraucht werden. Weitere Informationen über DNSBL finden Sie auch auf Wikipedia
Wikipedia
<<zurück zur Auswahl
SPAMRobin verwendet zusätzlich manuelle Blacklists und erlaubt diese auch auf verschiedenen Ebenen zu erfassen und zu bearbeiten.
Benutzer können Absender blacklisten.
Kunden können über ihre technischen Administratoren Blacklisten pflegen.
<<zurück zur Auswahl
SPAMRobin bietet für besonders sensible E-Mail-Empfänger das sogenannte SPAMRobin
Autorisierungsverfahren an, welches als eine Weiterentwicklung klassischer „Challenge Response-Systeme“
zu sehen ist. Die Verwendung dieses Verfahrens hängt von den Antispam-Einstellungen
des jeweiligen Benutzers ab.
Der Vorteil des SPAMRobin Autorisierungs-Verfahrens liegt darin, dass sich ein E-Mail-Absender
nur bei der ersten Zustellung eines E-Mails für einen bestimmten E-Mail-Empfänger
(Nutzer von SPAMRobin) autorisieren muss.
Durch die Autorisierung wird der E-Mail-Absender in die Whitelist des jeweiligen
Empfängers eingetragen. Eine weitere Spam-Prüfung erfolgt nicht mehr, auf
diese Weise werden auch „False Positives“ verhindert.
SPAMRobin Anwender können selbst wählen, ob sie nur klassische Antispam-Techniken/Maßnahmen
eingreifen lassen oder ob sie auch das sehr effiziente SPAMRobin Autorisierungsverfahren
einsetzen möchten.
<<zurück zur Auswahl
Hierbei handelt es sich um ein effektives Antispam System, das das Filtern nicht
anhand der Absenderadresse steuert, sondern es werden auch innerhalb von E-Mails
angegebene Hyperlinks zur Analyse verwendet.
Absender von Spam-E-Mails ändern sehr oft ihre Absenderadresse, die Adresse
zur eigenen Website, die innerhalb der Nachricht beworben wird, wird jedoch nur
selten geändert. SURBL arbeitet hierbei sehr effektiv. 40-60% aller Spam-E-Mails
werden bei einer Fehlerquote von praktisch 0% automatisch identifiziert. Die SURBL-Datenbank
wird stets in sehr kurzen Abständen aktualisiert.
Weitere Informationen über SURBL finden Sie hier
SURBL.org
<<zurück zur Auswahl
Während die schwarzen Listen immer größer wurden und nicht mehr
nur Adressen von tatsächlichen Spammern enthalten, wurde der Bedarf an weißen
Listen dringender. Individuen und Unternehmen sollen grundsätzlich das Recht
haben auch Nachrichten empfangen zu können, die von einem Filter als Spam klassifiziert
wurden (z.B. Newsletter von Lieferanten etc.).
Um dies zu ermöglichen und trotzdem Spam möglichst effizient ausfiltern
zu können, wurden weiße Listen eingeführt. E-Mails von Absendern,
die auf diesen Listen eingetragen sind werden grundsätzlich zugestellt, ganz
gleich, ob das Format eigentlich als Spam identifiziert werden würde oder nicht.
SPAMRobin erlaubt die Pflege von Whitelists auf verschiedenen Ebenen. Benutzer können
Absender im Vor-Posteingang autorisieren und setzen diese so auf ihre eigene Whitelist.
Der technische Administrator eines Kunden kann unternehmensweite Whitelists eintragen.
Auch das SPAMRobin Autorisierungsverfahren dient dazu, Absender in eine Whitelist
einzutragen. E-Mails von autorisierten Absendern werden immer zugestellt.
Weitere Informationen über Whitelists
Wikipedia
<<zurück zur Auswahl
Im DNS-Eintrag einer Domäne sind bislang bereits normale MX-Einträge (MX=Mail
Exchanger) vorhanden, welche die Adresse jenes Mailservers ausgeben, die für
die angegebene Domain bereit stehen, um die E-Mails einer bestimmten Domain zu empfangen.
Mit SPF wird nun ein Record (Eintrag) im Stil eines Reverse-MX den DNS-Einträgen
einer Domäne hinzugefügt.
Empfängt ein Mailserver eine E-Mail mit einem Absender von beispiel.at, sieht
er im SPF-Record von beispiel.at nach, ob der zustellende Mailserver laut SPF-Record
dazu berechtigt ist, Mails für diese Domain zu versenden. Mit dieser Technik
lässt sich die Fälschung von Absenderadressen effektiv verhindern.
SPF kann so durch die leichtere Nachverfolgbarkeit von E-Mails auch zur Bekämpfung
von Spam und zur Erschwerung von Phishing beitragen. SPF erhebt jedoch lediglich
den Anspruch, Absenderadressfälschungen zu verhindern, nicht aber, direkt Spam
zu bekämpfen.
Weitere Informationen finden Sie hier
Wikipedia
<<zurück zur Auswahl
Die Antispam-Methoden DomainKeys (DK) und DomainKeys Identified Mail (DKIM) prüfen
E-Mails und können die Nutzung gefälschter Absenderdaten (sogenanntes „Spoofing“)
verhindern. Sie können auch benutzt werden, um die Intaktheit eingehender Nachrichten
zu prüfen und sicherstellen, dass der Inhalt einer Nachricht (eines E-Mails
inkl. Kopfzeilen) nicht verändert wurde, nachdem sie den Mailserver des Absenders
verlassen hat.
Um diese Funktionen bereitzustellen, kommen Schlüsselpaare aus je einem öffentlichen
und einem geheimen Schlüssel zum Einsatz. Abgehende Nachrichten werden mithilfe
eines geheimen Schlüssels signiert, eingehende signierte Nachrichten werden
anhand des öffentlichen Schlüssels des Absenders geprüft, der über
den DNS-Server des Absenders abrufbar sein muss.
„Da es sich bei DomainKeys um einen Authentifizierungsmechanismus handelt, dient
DomainKeys nicht dazu, Spam zu filtern. Stattdessen begrenzt DomainKeys die Möglichkeit,
E-Mail-Absenderadressen zu verschleiern, da man mit DomainKeys feststellen kann,
ob eine E-Mail tatsächlich über die angegebene Domäne versendet wurde.“
Wikipedia
Diese Nachvollziehbarkeit wird bei SPAMRobin dazu verwendet, das Bewertungssystem
und die Filtertechniken wirkungsvoller zu gestalten. Zudem wird DomainKeys gegen
den Datendiebstahl durch Phishing angewandt, da teilnehmende Mailversender ihre
E-Mails als Originale zertifizieren können.
Fehlt eine solche Zertifizierung, obwohl der vermeintliche Absender angibt, seine
E-Mails zu zertifizieren, so kann die E-Mail als mögliche Fälschung bewertet
werden. Diese Bewertung trägt zum Gesamtbild der Bewertung (Score) bei, würde
aber alleine bei SPAMRobin keine Kennzeichnung als Spam-E-Mail erwirken, sondern
nur in seiner Gesamtheit.
Leider verwenden diese Technik nur sehr wenige E-Mailversender. Erfinder Yahoo verwendet
die Technik, kann aber auch nicht dafür garantieren, dass keiner seiner Versender
ein Spammer ist. Es kann überdies davon ausgegangen werden, dass Spammer (Spam-Versender)
meist besser wissen wie E-Mails zu gestalten sind, damit diese nicht in Spam-Filter
verschwinden als normale E-Mail-Versender, welche sich ja meist nicht mit der Technik
beschäftigen.
Weitere Informationen Wikipedia
<<zurück zur Auswahl
Für einen Menschen ist es einfach festzustellen, ob eine E-Mail als Spam-E-Mail
einzustufen ist oder ob es sich um eine gute E-Mail handelt. Für Computer ist
dies bei weitem nicht so einfach gerade da die Entwicklung in diesem Bereich der
Informationstechnologie lange nicht so schnell fortgeschritten ist, wie noch in den
1980er Jahren prognostiziert.
Ungeachtet der intensiven Forschung auf dem Bereich der Interpretation von Text
und Sprache, neuronalen Netzen oder allgemeiner Statistik sind noch die Ergebnisse
der besten Programme noch immer nicht wirklich mit denen eines Menschen vergleichbar.
Die Komplexität des Problems wird durch Verschiedenheit der Interessen der Anwender
noch potenziert.
Viele Antispam-Lösungen beschränken sich daher darauf „unerwünschte
Werbe-E-Mails“ oder „unerwünschte Massen-E-Mails“ zu beseitigen, was aus Sicht
von SPAMRobin nicht ausreichend ist.
Die Suche nach einer Möglichkeit, wie ein Mensch ein Gesamtbild einer Nachricht
beurteilen zu können, führte zu einer Technik, die nahezu so effektiv –
wenn nicht sogar effektiver – als ein Mensch ist.
Eine der wichtigsten Methoden hierbei ist die direkte Implementierung einer statistischen
hypothetischen Analyse. Buchstaben, Wörter, Erscheinungsbild, Betreff und alle
anderen Komponenten einer E-Mail-Nachricht müssen sich zwischen normalen und
unerwünschten E-Mails unterscheiden, wenn es einem Menschen möglich ist,
E-Mails entsprechend zu klassifizieren, ohne diese komplett zu lesen.
Basierend auf dieser Erkenntnis wurde die so genannte Bayesian Filter-Technologie
entwickelt. Werden als solche identifizierte Spam-Nachrichten nach statistischen
Gesichtspunkten analysiert, tauchen diverse Merkmale auf, die bei verdächtigen
E-Mails statistisch getestet werden können, um dann entscheiden zu können,
ob es sich dabei um eine normale oder eine Spam-Nachricht handelt. Einer der interessantesten
Aspekte dieses statistischen Schutzes ist die Möglichkeit, Feedback zu geben.
Erhält man eine Spam-Nachricht, die die Filter passieren konnte, hat man die
Möglichkeit, diese als Spam markiert an den Filter zurückzusenden, was dann
dazu führt, dass diese Information bei der zukünftigen Beurteilung von Nachrichten
durch den Filter berücksichtigt wird.
Dieses Verfahren erlaubt es Anti-Spam Lösungen, sich jetzt auch zügig auf
neue Arten von Spam einzustellen. Diesen Schutzmechanismus auszuhebeln erfordert
nun schon deutlich mehr Mühe.
Genau diesen Aufwand scheuen viele Anwender, außerdem nimmt die Effizienz
mit den verschiedenen Interessen der Anwender deutlich ab. SPAMRobin Kunden müssen
die Filter nicht trainieren, was den Aufwand der Anwender für Spam-Bekämpfung
auf ein Minimum reduziert.
Weshalb gibt es denn so viele Spam-E-Mails für „Viagra“? Weil der Markt der Interessenten
sehr groß ist und die Besorgung von Viagra offensichtlich ein Tabuthema ist.
Heuristische Methoden können daher nur eine Teilinformation zu einem Gesamtbild
ergeben, ein Teilwert des gesamten Scores, welcher am Ende darüber entscheidet,
ob eine E-Mail al spamverseucht anzusehen ist oder nicht.
<<zurück zur Auswahl
Sehr viele Angriffe durch Spam dienen nicht in erster Linie einem einzelnen bekannten
Empfänger. Vielmehr werden Wörterbücher eingesetzt um E-Mail-Adressen
zu erraten, es werden aber auch Attacken festgestellt, welche nur darauf abzielen
Mail-Server zu blockieren oder zur Überlastung zu bringen.
In einzelnen Fällen wird sogar von Überhitzung und Feuer im Datenraum durch
derartige Attacken berichtet.
Der Schutz gegen Massenangriffe ist eine wichtige Technik. Die durch SPAMRobin
geschützten Mail-Server sind immun gegen alle derartigen Angriffe.
SPAMRobin selbst schützt sich durch eine Reihe von Maßnahmen gegen Massenangriffe
und Wörterbuchattacken, welche bei einer Überlastung der SPAMRobin Server
zu Zeitverzögerungen bei SPAMRobin Nutzern führen würden.
<<zurück zur Auswahl
SPAMRobin weist jede E-Mail, das an bei SPAMRobin unbekannte Empfänger gerichtet ist ab, wertet
aber gleichzeitig jeden Versuch aus, eine E-Mail an einen unbekannten Empfänger
zuzustellen.
<<zurück zur Auswahl
Wird eine bestimmte Anzahl überschritten, wird auf den sendenden Server nur mehr
sehr langsam reagiert. Dieses Vorgehen ist in mehrfacher Hinsicht positiv zu sehen.
Der Spam-Versender wird in seiner Tätigkeit deutlich aufgehalten und E-Mails
guter Absender werden in gewohnter Geschwindigkeit verarbeitet, weil genügend
Rechenleistung zu Verfügung steht. Mail-Server, die sich für die Teergrube
qualifiziert haben, werden für eine bestimmte Zeit auf eine Blacklist gesetzt.
90% der E-Mails werden an unbekannte Empfänger gerichtet. SPAMRobin nimmt E-Mails
unbekannter Empfänger nicht einfach an und löscht diese, da sonst auch legitime
Versender, die sich nur vertippen, keine Information über die verlorene E-Mail
erhalten würden.
Ein weiterer Grund ist die Datenmenge auf den internationalen Datenleitungen, welche
so in Bezug auf E-Mail wesentlich verringert werden können, denn die Ablehnung
von E-Mails kann schon beim Beginn des Verbindungsaufbaues erfolgen.
Viele Mailserver sind dagegen so eingestellt, dass sie vorab alle E-Mails empfangen
und diese später löschen. Dies führt oftmals besonders bei teuren Mailserver-Systemen
(wie Microsoft Exchange) zu einer Überlastung der Speicherlimits und zum Absturz
des Gesamtsystems, oder zumindest zu einer Einstellung des Dienstes.
<<zurück zur Auswahl
Das gesamte SPAMRobin Datencenter ist durch „State oft the Art“ Firewalls geschützt.
Hackern, Spammern und anderen unberechtigten Nutzern wird jeglicher Zugang zu den
Systemen von SPAMRobin versperrt.
Sämtlicher Datenverkehr wird auf Ebene der Protokolle (SMTP, DNS, http) auf
schädliche Inhalte untersucht (Stateful Inspection), um zu verhindern, dass
über eine Hintertür Programme eingeschleust werden könnten, welche dann
zu einem Ausfall der Systeme oder zum Ausspionieren von E-Mail-Daten führen
würden.
<<zurück zur Auswahl
DDOS-Attacken zielen darauf ab, Systeme mit technisch gültigen aber dennoch
unnützen Anfragen zu beschäftigen. Da als Ursprung meist Computer in sog.
Botnets (eine Vernetzung von bis zu 2 Millionen Computern, welche ohne das Wissen
ihrer Besitzer für Angriffe missbraucht werden) kommt es zu einer erheblichen
Belastung der Server. Die Anzahl der Verbindungsversuche steigt während einer
Attacke um das millionenfache. Reguläre E-Mails könnten so quasi nicht mehr
oder nur mit großer Verzögerung verarbeitet werden.
Das SPAMRobin Datencenter ist mit einem Schutz vor DDOS-Attacken ausgestattet. Dieser
aufwändige Schutz stellt sicher, dass es durch DDOS-Attacken nicht zu Beeinträchtigungen
kommt.
<<zurück zur Auswahl
SPAMRobin verwendet mehrere Datencenter an verschiedenen geografisch verteilten
Orten, bei verschiedenen sehr gut ausgestatteten Betreibern. Die Qualität der
angebotenen Leistungen und die Leistungsfähigkeiten der Anbindungen (Bandbreite
und Verfügbarkeit) wurden bei der Auswahl besonders beachtet.
<<zurück zur Auswahl
Der Nutzen für SPAMRobin Kunden liegt also darin, dass all diese Maßnahmen
vor den Servern der Kunden von SPAMRobin geschaltet sind, welche nur mehr mit SPAMRobin
kommunizieren. All die oben angeführten Maßnahmen schützen also die
Systeme der Kunden, welche sich daher weniger um Ausbau und Aktualisierung der Systeme, teure Hardware, teure Software
und aufwändige Wartung kümmern
müssen.
SPAMRobin erhöht ständig die Zahl der eingesetzten klassischen Antispam-Methoden.
Dies führt zu einer gleichbleibend hohen Spam-Erkennung. Es ist quasi ein Wettrüsten
zwischen Spam-Versender und Antispam-Software. Derzeit befinden sich eine Reihe
weiterer Antispam Methoden in Entwicklung und werden dem Produkt laufend hinzugefügt.
SPAMRobin beurteilt das E-Mail mit jeder Maßnahme in einem Punktesystem (Score).
E-Mails, welche bei einer einzigen Maßnahme allein auffallen und Punkte erhalten,
werden deshalb noch nicht als Spam klassifiziert.
Erst wenn alle Prüfungen zusammen zu einem einheitlich schlechten Ergebnis führen,
wird eine E-Mail mit „Spam-Verdacht“ oder „Spam“ oder immer seltener als „gut“ gekennzeichnet.
Seltener deshalb, weil mehr als 98% der eintreffenden E-Mails als „Spam“ gekennzeichnet
werden.
<<zurück zur Auswahl
<< zurück zur Funktionsweise