Das praxisnahe Schweizer Online-Marketing Magazin
Im Ratgeber-Magazin erfahren Leser seit 2001 praxisnahes Wissen, Tipps und Strategien zu Online-Tools, Online-Marketing, Webdesign und Website-Optimierung!
Über 2'000 Links rund um Traffic & Conversion für Webmaster und Websiteverantwortliche. RSS


Gratis NewsAboNews­abo Tipps: Als Danke­schön er­hal­ten Sie die PDF-Reporte „Alles was Sie über die Verlin­kung wis­sen müs­sen“ und „Wie Sie mit meiner Hilfe Tools fin­den, mit denen Ihre Web­si­te effek­ti­ver wird“ gra­tis!

„Wie funktioniert Anti-Spam-Software?“

Das Hauptziel eines Spammers besteht, neben dem Geldverdienen, darin, die Anti-Spam-Software der End­user zu überlisten. In früheren Jahren bestanden die meisten Spam- oder Junk-Mails nur aus Text und es reich­te, Fil­ter aufzu­setzen, die nach ge­wissen Stich­worten fil­terten.

E-Mails
Quelle: Bild von Gerd Altmann auf Pixabay

Heute besteht Spam überwiegend aus polymorphen HTML-Mails mit eingebetteten Bildern und Links, welche alle Möglichkeiten auszuschöpfen versuchen, die Filter­mecha­nismen moder­ner Anti-Spam-Software zu umgehen. Im Fol­genden schauen wir uns einige der wich­tigsten Anti-Spam-Technologien an:

nach oben

„Anti-Spam-Topologien“

Wir unterscheiden zwischen drei Topo­logien für das Filtern von Spam:

nach oben

„Client“

Anti-Spam-Software, die auf dem Client-Rechner installiert und konfiguriert wird, eignet sich für private Anwender zu Hause, für Firmen ist dieser Ansatz nicht geeignet.

nach oben

„Gateway“

Unternehmen installieren die Anti-Spam-Software auf einem Gateway, zum Beispiel auf dem Antivirus-Gateway in der DMZ (Demilitarized Zone). Jede E-Mail, die für das Unternehmen empfangen wird, wird auf Spam und Viren un­tersucht, bevor sie zum inter­nen Mail­server weiter­geleitet wird.

nach oben

„ASP“

Für Privatanwender zu Hause eignet sich auch der Application-Service-Provider-Ansatz: Jede ankommende E-Mail wird zum Anti-Spam-Provider umgeleitet, welcher diese zentral nach Spam filtert und dann ausliefert. Gewisse ASPs bieten diese Dienstleistung auch für Unternehmen an: Die MX-Records im DNS werden "umgebogen" und die E-Mail wird über den ASP umgeleitet. Dieser Ansatz ist jedoch heikel, da jede einzelne, teils vertrauliche E-Mail durch ein externes Unternehmen geschleust wird.

nach oben

„Filtermechanismen“

ANZEIGE
Newsletter 14 Tage gratis

So kommen also bei fast allen Unternehmen Gateway-Lösungen zum Einsatz.
Üblicherweise analysiert die Anti-Spam-Software ankommende E-Mails mit unterschiedlichen Techniken. Diese weisen der E-Mail eine Spam-Wahrscheinlichkeit auf einer Skala von zum Beispiel 0 bis 100 zu. E-Mails, welche beispielsweise einen Wert von 80 oder höher erreichen, werden direkt gelöscht oder in Quarantäne gesetzt, wäh­rend E-Mails mit einem Wert unter 50 normal ausgeliefert werden.

Der unsichere Bereich dazwischen, E-Mails mit Werten zwischen 50 und 80, wird mit "wahrscheinlich Spam" markiert und ausge­liefert, da­mit der Benutzer entscheiden kann, was mit den E-Mails gesche­hen soll. Nach­folgend eine Auswahl der bis zu 20 unter­schied­lichen Filter­mecha­nismen, die einzelne Anti-Spam-Tools ein­setzen:

nach oben

„Stichworte“

E-Mails werden gescannt auf auffällige Stichworte in den unterschiedlichsten Schreibweisen wie V-i-a-g-r-a, P0rn, L0\/\/E$T etc.

nach oben

„Blacklists“

E-Mails mit Absender von bekannten Spammern werden blockiert.
Diese Variante erhöht die Erkennungsrate nur minim, da kaum ein Spammer zweimal denselben Absender benutzt.

nach oben

„Real-time Blackhole Lists (RBL)“

Hier wird die Absender-IP-Adresse mit einer Liste bekannter offener Mailrelays verglichen und allenfalls blockiert.

nach oben

„Directory Harvesting Attacks (DHA)“

Um an neue Empfänger-E-Mail-Adressen zu kommen, wird auch das so genannte DHA eingesetzt: Von A bis Z wird eine Unmenge an zufälligen Adresskombinationen an eine bestimmte Domain gesandt, zum Beispiel ameier@domain.ch, bmeier, cmeier etc. Einzelne Anti-Spam-Produkte erkennen auch solche Attacken.

nach oben

„Signatures“

Ein erfolgversprechender Ansatz ist das Vergleichen von ankommenden E-Mails mit einer Signature-Datenbank, um bekannte Spam-Mails zu blockieren. Diverse Hersteller von Anti-Spam-Software verfügen über eine Vielzahl von Honey-Pot-E-Mail-Adressen, welche als Spam-Sammelstelle dienen und automatisiert von einem zentralen System ausgelesen werden. Von ankommenden Spam-Mails wird eine Signature erstellt, die in die zentrale Sig­na­ture-Daten­bank gelangt und in regelmässigen Zeitabständen, z. B. alle 10 Minuten, von den Anti-Spam-Gate­ways abgefragt wird, ähnlich dem Update von Antiviren-Pattern.

Natürlich versuchen die Spammer, dieser Methode entgegenzuwirken: So werden beispiels­weise an beliebigen Stellen in der E-Mail zufällige Buchstabenkombinationen wie ohgaxnbflw eingefügt, damit die Signature nicht mit den Werten in der Daten­bank über­ein­stimmt und die E-Mail somit nicht als Spam erkannt wird. Oder aber es wer­den auto­ma­ti­siert in jeder Spam-E-Mail neue zufäl­lige inkor­rekte HTML-Tags ein­ge­baut, welche von einem E-Mail-Client, da nicht dem HTML-Standard entsprechend, einfach nicht darge­stellt werden. So wird beispiels­weise aus V<TTT>IA<!T>GR<!M>A auf dem Bild­schirm VIAGRA. Moderne Signa­ture-Ver­fahren können jedoch auch solche Spams erkennen.

nach oben

„Bayesianische Methode“

Diese statistische Methode wird hauptsächlich bei Client-Pro­dukten eingesetzt. Während einer Lernphase wird dem Produkt manuell beigebracht, welche E-Mails Spam sind und welche erwünscht sind. Auf diese Weise lernt das Produkt dauernd dazu und ver­bessert die Erkennungs­rate. Bei Gateway-Produkten kommt diese Variante sel­te­ner zum Einsatz, da keine Inter­aktion der Benutzer/-innen gewünscht ist.

nach oben

„Schlussfolgerung“

Der Unterschied in der Effizienz der Produkte auf dem Markt ist enorm. Viele Produkte haben eine so hohe False-Po­si­ti­ve-Rate (korrekte E-Mail, die irrtümlicherweise als Spam blockiert wird), dass von einem Einsatz dringend ab­zu­raten ist: Unter keinen Umständen soll eine wichtige, geschäft­liche E-Mail irr­tümlicher­weise blockiert oder gar ge­löscht werden.

Nachdruck mit freundlicher Genehmigung der AVANTEC AG, Zürich und Bern, avantec.ch

nach oben