„Spam, Spam, Spam, lovely Spam” heißt es im Sketch von Monty Python, auf den die Bezeichnung „Spam” für die täglich versandten Massenmails im Internet zurückgeht. Und trotzdem der Sketch herrlich lustig ist, kann man die täglich eintrudelnden Spammails kaum als unterhaltsam einstufen. Was wir dagegen tun, schildern wir einmal im folgenden Text.
Spam ist leider ein altbekanntes Problem und beschränkt sich schon lange nicht mehr nur auf das einfache Anpreisen von Produkten, sondern beinhaltet auch handfesten Betrug, wie in solchen Mails:
Auch wenn jeder Nutzer solche E-Mails mittlerweile zuverlässig als Betrug erkennt und sicher nicht darauf hereinfällt, verstopfen sie doch den Posteingang und halten von der Arbeit ab. Das eigentlich sehr nützliche Medium E-Mail wird dadurch fast schon unbrauchbar. Um dem entgegen zu wirken, setzen wir verschiedene Techniken ein.
Eigene Tests
Als erstes prüfen wir zum Beispiel, ob der einliefernde Mailserver womöglich gar kein richtiger Mailserver ist, sondern vielleicht ein infizierter Heimcomputer, der anhand einer sogenannten dynamischen Einwahl-IP Adresse zu erkennen ist. Im zweiten Schritt wird dann geschaut, ob die Einlieferung durch den anderen Mailserver den technischen Standards des Mailverkehrs entspricht, der in den sogenannten RFCs geregelt wird. Ein Merkmal von Spam ist nämlich häufig, dass er von falsch- oder fehlkonfigurierten Servern eingeliefert wird oder von Heimcomputern, die zum Beispiel Teil eines Botnets sind. Merkmale sind hier etwa eine fehlende Auflösung der IP-Adresse im Nameserver oder ein falsches HELO im Anmeldedialog des Servers. In solchen Fällen wird die Annahme der E-Mail verweigert, weil diese nicht dem Standard zum Austausch von E-Mails entspricht.
Wenn wir eine E-Mail aufgrund technischer Fehler ablehnen, teilen wir dies dem Absender nicht nur ausdrücklich mit, sondern verweisen in der Fehlermeldung auch auf eine Webseite bei uns, wo exakt das Problem dieser Einlieferung erklärt wird. Wir lehnen also nicht einfach ab, sondern geben in jedem Fall immer einen Hinweis warum das geschehen ist und wie man uns deswegen kontaktieren kann, falls man meint, dies sei ungerechtfertigt.
Blacklists
Eine der nächsten Prüfungen, die auf unserem Mailserver stattfinden, ist die Abfrage sogenannter „Blacklists”. Hierbei handelt es sich um Listen, auf denen zum Beispiel Mailserver landen, die dafür bekannt sind, in der Vergangenheit Spammails versandt zu haben. Wir benutzen folgende Listen:
Das Problem dieser Blacklists ist aber, dass Sie zwar sehr nützlich sind, ihre Einträge aber dennoch nicht immer stimmen und auch einmal falsch sein können. Daher lehnen wir E-Mails, die von Servern aus diesen Listen stammen, nicht ab, sondern machen hier ein sogenanntes „Greylisting“. Das bedeutet, dass wir die Annahme zwar im ersten Schritt verweigern – jedoch wird dem anderen Mailserver mitgeteilt, dass die Mail nur temporär abgelehnt wird. Ein richtig konfigurierter Mailserver probiert es dann wenige Minuten später erneut und wird von uns auch durchgelassen, während ein Spammer es in der Regel nicht erneut probiert. Dieser muss seinen Spam nämlich häufig sehr schnell loswerden, wenn er gehackte Systeme nutzt und Gefahr läuft, entdeckt zu werden. Durch das Greylisting nutzen wir die Vorteile der Blacklists, ohne deren Nachteile in Kauf nehmen zu müssen.
Übrigens: Sogenannte CatchAll E-Mail Accounts unterliegen bei uns immer einem Greylisting, da das Spamaufkommen an diese Adressen so dermaßen hoch ist, dass dies zwingend notwendig ist.
SpamAssassin
Der nächste Schritt ist eine optionale inhaltliche Prüfung der E-Mails durch das Programm SpamAssassin. Dieses Programm führt eine Reihe von Tests und Analysen durch, die jeweils einen bestimmten Punktwert ergeben, der zum Schluss addiert wird. Sie können den SpamAssassin über unser DCP selber aktivieren und dort auch feiner einstellen. Hierzu gehen Sie im Menü „Mailfunktionen“ -> „Mailaccounts” zu Ihrem E-Mail Konto und sehen dann dort folgenden Punkt:
Wenn Sie hier einen Haken bei „Spamassassin aktivieren” machen und den Score bei 0 belassen, werden E-Mails, die vom Filter als Spam eingestuft werden, lediglich als Spam markiert mit einem Eintrag im Header der E-Mail und ansonsten unverändert zugestellt. Wenn Sie es wünschen, können wir E-Mails ab einem bestimmten Punktwert auch gleich löschen. Dann tragen Sie im Feld „Löschen wenn Score” einen Wert ein, ab dessen Grenze gelöscht werden soll. Naturgemäß kann ein Computerprogramm keine exakte Einschätzung abliefern, sondern nur mutmaßen, ob es sich um Spam handelt, weshalb man bei diesem Punkt ruhig einen relativ hohen Wert vergeben sollte. Nach unserer Erfahrung ist hier ein Wert von 9 angemessen.
Darüber hinaus können Sie im Menü „SpamAssassin” auch gerne die Punktzahlen dieser Tests verändern oder für bekannte E-Mail Adressen auch eine Whitelist mit Ausnahmen sowie eine Blacklist für bekannte Spammer führen. Dies sind allerdings Expertenoptionen, die nicht zwingend notwendig sind.
Ungefilterte Mailzustellung
Trotz allem Aufwand, den wir treiben, bleibt es aber dabei: Spambekämpfung ist keine exakte Wissenschaft, sondern immer eine Suche nach Merkmalen mit hoher Wahrscheinlichkeit. Wir sind dabei zwar sehr erfolgreich und können sehr viel Spam abwehren, wissen aber auch, dass es in sehr wenigen Einzelfällen einmal zu Problemen kommen kann. Deswegen bieten wir unseren Kunden optional einen völlig ungefilterten Maileingang an, in dem überhaupt keine Prüfung stattfindet. Da aber dieses Abschalten sämtlicher Prüfungen zu einer enormen Belastung der Ressourcen führt, müssen wir dies leider mit einem Euro pro Monat berechnen.
Unterm Strich
Der Kampf gegen Spam ist leider einer, der relativ aufwendig ist und auf absehbare Zeit nicht einfacher wird, da die Spammer sich immer neue Methoden einfallen lassen. Wir arbeiten aber auch in Zukunft weiter daran, hier Schritt zu halten und möglichst viele Maßnahmen gegen Spam bieten zu können.
was ja noch ganz schön wäre wenn ihr euren eigenen Mailserver auf Vorhandensein auf RBLs testen würdet…
Moin finkregh,
wir testen unsere Mailserver tatsächlich darauf, ob diese in RBLs eingetragen sind. Das Problem ist hierbei aber einerseits, dass es eine unüberschaubar große Menge an RBLs gibt, die wir nicht alle überwachen können, weil sie zum Teil schlicht nicht bekannt sind. Auf der anderen Seite kann es aber leider auch bei einem aktiven Monitoring zu einem Eintrag in einer RBL kommen. Wir reagieren dann zwar immer sofort, können aber nicht immer Probleme ausschließen. Nach unser Erfahrung kommt dies aber sehr selten vor.