Spam-Filter - Mechanismen und Algorithmen, Chancen und Gefahren: Einführung Spambekämpfung (eBook)

Kapitel 3, Anti-Spam Techniken: 3.1, Absendervalidierung: Ein früher Versuch die Design-Lücken von SMTP zu füllen, war die Einführung der verpflichtenden Absendervalidierung mittels eines Passwortes mit RFC2487. So war es ab sofort nur noch möglich E-Mails zu senden, nachdem man sich mit seinem Passwort beim Server authentifizierte. Um den Missbrauch von Domänen zu unterbinden - manche Spammer verwenden Domänen von wohlbekannten Unternehmen in ihrer Absenderadresse um vertrauenswürdig zu wirken - setzt man auf Domänen Validierungs Routinen. Diese überprüfen die im DNS (Domain Name System) aufgelisteten IP-Adressen mit der Ursprungsadresse der zu versendenden E-Mail. Stimmen diese nicht überein, so akzeptiert der SMTP Server diese Nachricht erst gar nicht. Die Übertragung wird also schon während des SMTP-Dialogs (2.3) zwischen Sender und Server unterbunden. Dieses Verfahren bezeichnet man als reputationsbasierend (eng.: reputation-based), welches den Großteil aller Spam-Mails abwehrt. 3.2, Filtern mit Listen: Eine einfache Methode um Spam-Nachrichten zu filtern ist das Verwenden und Pflegen von Listen, in den Kriterien zum Klassifizieren von Spam zu finden sind. E-Mail-Server können mithilfe dieser Listen Spam von normalen E-Mails unterscheiden. Viele Internet Service Provider stellen solche Listen zur Verfügung. Auch einige Non-Profit-Organisationen führen verschiedene Arten von solchen Listen: 3.2.1, Blacklisting: Die sogenannten Blacklists, auch Robinsonliste, enthalten Adressen von Servern, die im Bereich der Internetkommunikation negativ aufgefallen sind. Sie werden von verschiedenen Gruppen bzw. Organisation frei zugänglich für jedermann angefertigt und können als Prüfmuster für den eigenen E-Mail-Server verwendet werden. Auf der Blacklist befinden sich Kombinationen von IP-Adressen, E-Mail-Adressen und Domains von bekannten Spammern, bzw. Versendern von unerwünschten Nachrichten. Weitere List-Keeping-Methoden zur Bekämpfung von Spam sind: 3.2.2, Whitelisting: Whitelisting ist das Antonym zu Blacklisting. Spamfilter haben meist eine Blacklist und eine Whitelist. Nachrichten die mit E-Mail-Adressen, Domains und IP-Adressen adressiert sind, die sich auf der Whitelist wiederfinden, werden immer akzeptiert. 3.2.3, Greylisting oder Challange-Response-Verfahren: Beim sogenannten Greylisting wird ein SMTP-Server so konfiguriert, dass die erste E-Mail von unbekannten Absendern zunächst abgewiesen und erst nach einem weiteren Zustellversuch angenommen wird. Der Absender wird bei dieser Methode informiert, dass seine E-Mail aussortiert wurde. Dem SMTP-Server müssen folgende Informationen bekannt sein, damit er eine E-Mail entgegennimmt und weiterleitet: - IP-Adresse des absendenden Mailservers - E-Mail-Adresse des Absenders - E-Mail-Adresse des Empfängers Ist die Kombination von Adressen der betroffenen E-Mail unbekannt, wird sie vom Server abgeblockt. Der Sender bekommt eine Meldung, dass die Nachricht später noch einmal gesendet werden muss, da ein temporärer Fehler aufgetreten ist. Kommt gleiche Nachricht mit derselben Adressenkombination noch einmal beim Server an, so wird sie akzeptiert. Infizierte Rechner, die zu einem s.g. Botnet zusammengeschlossen sind, lassen sich dadurch leicht abblocken. Botnets sind in der Regel nicht in der Lage Spamnachrichten mehrmals in derselben Adresskombination zu senden. 3.2.4, Dynamische Adressen: Es gibt verschiedene Techniken und Methoden um solche Blacklists anzufertigen. Manche Blacklists nehmen nur dynamisch vergebene IP-Adressen (Internet Protocol Adressen) auf, da vertrauenswürdige E-Mail Server in der Regel statische IP-Adressen besitzen um E-Mails empfangen zu können. E-Mails von dynamischen Adressen stammen meist von verseuchten Heimrechnern, sogenannte Zombies5, welche zum Spammen missbraucht werden.