Wie funktioniert Anti-Spam-Software?

mit Keine Kommentare

Das Hauptziel eines Spammers besteht, neben dem Geldverdienen, darin, die Anti-Spam-Software der End­user zu überlisten. In früheren Jahren bestanden die meisten Spam- oder Junk-Mails nur aus Text und es reich­te, Fil­ter aufzu­setzen, die nach ge­wissen Stich­worten fil­terten.

E-Mail Bildquelle von Gerd Altmann auf Pixabay

Heute besteht Spam überwiegend aus polymorphen HTML-Mails mit eingebetteten Bildern und Links, welche alle Mög­lich­keiten auszuschöpfen versuchen, die Filter­mecha­nismen moder­ner Anti-Spam-Software zu umgehen. Im Fol­gen­den schauen wir uns einige der wich­tigsten Anti-Spam-Technologien an:

Anti-Spam-Topologien

Wir unterscheiden zwischen drei Topo­logien für das Filtern von Spam:

Client

Anti-Spam-Software, die auf dem Client-Rechner installiert und konfiguriert wird, eignet sich für private Anwender zu Hause, für Firmen ist dieser Ansatz nicht geeignet.


Gateway

Unternehmen installieren die Anti-Spam-Software auf einem Gateway, zum Beispiel auf dem Antivirus-Gateway in der DMZ (Demilitarized Zone). Jede E-Mail, die für das Unternehmen empfangen wird, wird auf Spam und Viren un­ter­sucht, bevor sie zum inter­nen Mail­server weiter­geleitet wird.

ASP

Für Privatanwender zu Hause eignet sich auch der Application-Service-Provider-Ansatz: Jede ankommende E-Mail wird zum Anti-Spam-Provider umgeleitet, welcher diese zentral nach Spam filtert und dann ausliefert. Gewisse ASPs bieten diese Dienstleistung auch für Unternehmen an: Die MX-Records im DNS werden „umgebogen“ und die E-Mail wird über den ASP umgeleitet. Dieser Ansatz ist jedoch heikel, da jede einzelne, teils vertrauliche E-Mail durch ein ex­ter­nes Unternehmen geschleust wird.

Filtermechanismen

So kommen also bei fast allen Unternehmen Gateway-Lösungen zum Einsatz. Üblicherweise analysiert die Anti-Spam-Software ankommende E-Mails mit unterschiedlichen Techniken. Diese weisen der E-Mail eine Spam-Wahr­schein­lich­keit auf einer Skala von zum Bei­spiel 0 bis 100 zu. E-Mails, welche beispielsweise einen Wert von 80 oder höher erreichen, werden direkt gelöscht oder in Quaran­täne gesetzt, wäh­rend E-Mails mit einem Wert unter 50 normal ausgeliefert werden.

Der unsichere Bereich dazwischen, E-Mails mit Werten zwischen 50 und 80, wird mit „wahrscheinlich Spam“ markiert und ausge­liefert, da­mit der Benutzer entscheiden kann, was mit den E-Mails gesche­hen soll. Nach­folgend eine Aus­wahl der bis zu 20 unter­schied­lichen Filter­mecha­nismen, die einzelne Anti-Spam-Tools ein­setzen:

Stichworte

E-Mails werden gescannt auf auffällige Stichworte in den unterschiedlichsten Schreibweisen wie V-i-a-g-r-a, P0rn, L0\/\/E$T etc.

Blacklists

E-Mails mit Absender von bekannten Spammern werden blockiert.
Diese Variante erhöht die Erkennungsrate nur minim, da kaum ein Spammer zweimal denselben Absender benutzt.

Real-time Blackhole Lists (RBL)

Hier wird die Absender-IP-Adresse mit einer Liste bekannter offener Mailrelays verglichen und allenfalls blockiert.

Directory Harvesting Attacks (DHA)“

Um an neue Empfänger-E-Mail-Adressen zu kommen, wird auch das sogenannte DHA eingesetzt: Von A bis Z wird eine Unmenge an zufälligen Adresskombinationen an eine bestimmte Domain gesandt, zum Beispiel ameier@domain.ch, bmeier, cmeier etc. Einzelne Anti-Spam-Produkte erkennen auch solche Attacken.

Signatures

Ein erfolgversprechender Ansatz ist das Vergleichen von ankommenden E-Mails mit einer Signature-Datenbank, um bekannte Spam-Mails zu blockieren. Diverse Hersteller von Anti-Spam-Software verfügen über eine Vielzahl von Ho­ney-Pot-E-Mail-Ad­res­sen, welche als Spam-Sammelstelle dienen und automatisiert von einem zentralen System ausgelesen werden. Von ankommenden Spam-Mails wird eine Signature erstellt, die in die zentrale Sig­na­ture-Daten­bank gelangt und in regelmässigen Zeitabständen, z. B. alle 10 Minuten, von den Anti-Spam-Gate­ways abgefragt wird, ähnlich dem Update von Antiviren-Pattern.

Natürlich versuchen die Spammer, dieser Methode entgegenzuwirken: So werden beispiels­weise an beliebigen Stellen in der E-Mail zufällige Buchstabenkombinationen wie ohgaxnbflw eingefügt, damit die Signature nicht mit den Werten in der Daten­bank über­ein­stimmt und die E-Mail somit nicht als Spam erkannt wird. Oder aber es wer­den auto­ma­ti­siert in jeder Spam-E-Mail neue zufäl­lige inkor­rekte HTML-Tags ein­ge­baut, welche von einem E-Mail-Client, da nicht dem HTML-Standard entsprechend, einfach nicht darge­stellt werden. So wird beispiels­weise aus V<TTT>IA<!T>GR<!M>A auf dem Bild­schirm VIAGRA. Moderne Signa­ture-Ver­fahren können jedoch auch solche Spams erkennen.

Bayesianische Methode

Diese statistische Methode wird hauptsächlich bei Client-Pro­dukten eingesetzt. Während einer Lernphase wird dem Produkt manuell beigebracht, welche E-Mails Spam sind und welche erwünscht sind. Auf diese Weise lernt das Pro­dukt dauernd dazu und ver­bessert die Erkennungs­rate. Bei Gateway-Produkten kommt diese Variante sel­te­ner zum Einsatz, da keine Inter­aktion der Benutzer/-innen gewünscht ist.

Schlussfolgerung

Der Unterschied in der Effizienz der Produkte auf dem Markt ist enorm. Viele Produkte haben eine so hohe False-Po­si­ti­ve-Rate (korrekte E-Mail, die irrtümlicherweise als Spam blockiert wird), dass von einem Einsatz dringend ab­zu­ra­ten ist: Unter keinen Umständen soll eine wichtige, geschäft­liche E-Mail irr­tümlicher­weise blockiert oder gar ge­löscht werden.

Nachdruck mit freundlicher Genehmigung der AVANTEC AG, Zürich und Bern, avantec.ch