Spam und Phishing
Im Internet wird sowohl bei Endnutzern, als auch bei Providern das sogenannte SMTP Protokoll (Simple Mail Transfer Protocol) zum Versenden und Weiterleiten von E-Mails eingesetzt. Heutzutage besteht leider ein großer Teil des weltweiten E-Mail-Verkehrs aus unerwünschten Massensendungen (Spam), die meistens zu Werbezwecken oder in betrügerischer Absichten versandt werden.Da das SMTP Protokoll nicht regelt, welche E-Mail-Server berechtigt sind, E-Mails mit einer bestimmten Absenderadresse zu versenden, ist prinzipiell jeder, der einen eigenen Internetserver betreibt, in der Lage, E-Mails mit einer beliebigen Absenderadresse zu versenden, was sowohl beim Versenden von unerwünschten Werbesendungen, als auch bei Betrügereien ausgenutzt werden kann.
So wird beim sogenannten "Phishing" durch das Vortäuschen einer Identität versucht, an Informationen zu gelangen, die der Empfänger nur bestimmten Personen zugänglich machen würde. Dies geschieht zum Beispiel dadurch, dass ein E-Mail-Empfänger scheinbar von seiner Bank aufgefordert wird, sich im System anzumelden, jedoch durch einen Link in der E-Mail auf eine speziell präparierten Seite gelangt, wodurch der Betrüger Kenntnis von den eigegebenen Daten (z. B. PIN und Kennwort) erlangt.
Ein Weg, den Eingang unerwünschter Massensendungen zu verhindern, besteht in der Verwendung einer E-Mail-Adresse, die nicht einfach zu erraten ist und nur vertrauenswürdigen Kontaktpersonen mitgeteilt wird. Sofern die E-Mail-Adresse nicht unberechtigt weitergegeben oder gestohlen wird, können keine unerwünschten Massensendungen eingehen. Dieses Konzept schließt natürlich eine Veröffentlichung der E-Mail-Adresse aus und jede Angabe der E-Mail-Adresse an anderer Stelle erhöht das Risiko des Bekanntwerdens der Adresse bei einem Spammer. Oftmals ist jedoch eine Veröffentlichung der Adresse (teilweise auch aus rechtlichen Gründen) erforderlich.
Da sich viele Massensendungen anhand statistischer Kriterien erkennen lassen, wurde Software zum Erkennen von Spam (sogenannte Spamfilter) entwickelt. Die automatisierte Erkennung von Spam kann jedoch prinzipbedingt nie ganz fehlerfrei erfolgen. Will man nicht das Risiko des Verlustes einer erwünschten eingehenden E-Mail eingehen, sollte ein Spamfilter nur zur Vorsortierung eingesetzt werden.
Der Einsatz von Spamfiltern kann serverseitig oder bei der Verwendung eines E-Mail Programmes auch beim Endbenutzer erfolgen. FlexiGuided bietet einen kostenlosen serverseitigen Spamfilter an, der auf Wunsch eingeschaltet werden kann und je nach Einstellung unterschiedlich strenge Bewertungskriterien anlegt und als unerwünscht klassifizierte E-Mails markiert oder verschiebt. In den Kopfzeilen einer E-Mail (Header) wird von unserem Spamfilter protolliert, welche Spameinstufung eine E-Mail erhalten hat und aufgrund welcher Kriterien diese Einstufung erfolgt ist.
Ein weiterer Ansatz sind sogenannte Sperrlisten. Hierbei werden Mailserver, die Spam verschicken, in eine öffentliche Sperrliste aufgenommen. Die automatisierte Verwendung öffentlicher Sperrlisten ist jedoch problematisch: Erstens könnten durch wechselnde IP-Adressen (interne Adressen von Rechnern im Internet) unbeteiligte ("unschuldige") Computer gesperrt werden, so dass E-Mails von diesen Computern immer als Spam erkannt würden. Zweitens könnten Betreiber einer öffentlichen Sperrliste auch willkürlich Sperren verhängen, was aufgrund der Größe solcher Sperrlisten nur schwer nachvollziehbar wäre. Aus diesen Gründen bindet FlexiGuided serverseitig keine externen Sperrlisten ein.
Vielmehr können Kunden von FlexiGuided eine individuelle firmenspezifische Sperrliste (Blacklist) nutzen und durch die Nutzung einer persönlichen Positivliste (Whitelist) dafür sorgen, dass E-Mails von bestimmten Absendern niemals als Spam erkannt werden. Diese Postiv- und Sperrlisten gelten jeweils für den gesamten Kunden und beziehen sich nicht auf Mailserver, sondern E-Mail-Domains und/oder konkrete Absenderadressen.
Eine nicht flächendeckend genutzte Methode ist Sender Policy Framework (SPF). Hier wird zu jeder Domain vermerkt, welche Server berechtigt sind, E-Mails mit einem bestimmten Absender zu versenden. Da jedoch z. B. auch Server von Mailinglisten immer in der Lage sein müssen E-Mails mit jeder Absenderadresse zu versenden, wird zwischen der technischen Absenderadresse (Envelope-From) und der normalen Absenderadresse (From) unterschieden. Das SPF System prüft nur die technische Absenderadresse, während verbreitete E-Mail-Software standardmäßig nur die normale Absenderadresse anzeigt.
FlexiGuided verwendet seit Anfang des Jahres 2006 das Sender Policy Framework für Kundendomains. Dies senkt auch die Wahrscheinlichkeit, dass von unseren Kunden versandte E-Mails bei anderen Providern fälschlich als Spam erkannt werden. Auf Wunsch enfernen wir die SPF Domaineinträge umgehend und kostenfrei. Dies könnte z. B. dann erforderlich sein, wenn Kunden einen eigenen SMTP-Dienst außerhalb unserer Server betreiben.
Schließlich seien noch digitale Signaturen erwähnt. Hierbei werden E-Mails digital signiert, so dass der Empfänger die Echtheit und den Absender einer eingehenden E-Mail prüfen kann. Bisher ist die einzig verbreitete Form der Nutzung der Einsatz von Kryptographiesoftware auf dem Rechner des Endbenutzers. Die Verwendung solcher Software ist sowohl mit FlexiGuided als auch mit jedem anderen Internetprovider möglich. Der Verwendung steht jedoch eine geringe Verbreitung entgegen, so dass sich zur Zeit der Aufwand in vielen Fällen nicht lohnen wird.
Einen sicher funktionierenden technischen Spam- und/oder Phishing-Schutz, bei dem Spam-/Phishing-E-Mails immer, erwünschte E-Mails hingegen nie als Spam erkannt werden, gibt es leider derzeit nicht. Oftmals ist es praktikabel nicht jede E-Mail Adresse zu veröffentlichen, nur dann weiterzugeben, wenn es wirklich erforderlich ist, oder verschiedene E-Mail Adressen für verschiedene Zwecke zu verwenden. Grundsätzlich ist ohne Abgleich einer digitalen Signatur keiner E-Mail dahingehend zu vertrauen, dass der tatsächliche Absender mit dem angezeigten übereinstimmt.
Sender Policy Framework (SPF)
for Authorizing Use of Domains in E-MAILvon M. Wong, W. Schlitt
