Wie funk­tio­niert Anti-Spam-Soft­ware?

mit Keine Kommentare

Das Hauptziel eines Spam­mers besteht, neben dem Geldverdienen, darin, die Anti-Spam-Software der End­user zu über­listen. In früheren Jahren bestanden die meisten Spam- oder Junk-Mails nur aus Text und es reich­te, Fil­ter aufzu­set­zen, die nach ge­wis­sen Stich­worten fil­terten.

E-MailQuelle: Gerd Altmann auf Pixabay.com

Heute besteht Spam über­wie­gend aus polymorphen HTML-Mails mit einge­bette­ten Bildern und Links, welche alle Mög­lich­keiten auszuschöpfen ver­suchen, die Filter­mecha­nismen moder­ner Anti-Spam-Soft­ware zu umgehen. Im Fol­gen­den schauen wir uns einige der wich­tigsten Anti-Spam-Techno­logien an:

Anti-Spam-To­po­lo­gien

Wir unterscheiden zwischen drei Topo­lo­gien für das Filtern von Spam:

Client

Anti-Spam-Software, die auf dem Client-Rechner installiert und konfiguriert wird, eignet sich für private Anwender zu Hau­se, für Firmen ist dieser Ansatz nicht geeignet.

Kundengewinnungslabor

Gateway

Unternehmen installieren die Anti-Spam-Software auf einem Gateway, zum Bei­spiel auf dem Antivirus-Gateway in der DMZ (Demilitarized Zone). Jede E-Mail, die für das Unternehmen empfangen wird, wird auf Spam und Viren un­ter­sucht, bevor sie zum inter­nen Mail­server weiter­geleitet wird.

ASP

Für Privatanwender zu Hause eignet sich auch der Applica­tion-Service-Provider-Ansatz: Jede ankommende E-Mail wird zum Anti-Spam-Provider um­ge­leitet, welcher diese zentral nach Spam filtert und dann aus­liefert. Gewisse ASPs bieten diese Dienstleistung auch für Unternehmen an: Die MX-Records im DNS werden “umge­bogen” und die E-Mail wird über den ASP umgeleitet. Dieser Ansatz ist jedoch heikel, da jede einzelne, teils ver­trau­liche E-Mail durch ein ex­ter­nes Unternehmen ge­schleust wird.

Filter­mecha­nis­men

So kommen also bei fast allen Unter­neh­men Gateway-Lö­sun­gen zum Einsatz. Üblicherweise ana­lysiert die Anti-Spam-Software an­kom­mende E-Mails mit unter­schied­lichen Techni­ken. Diese weisen der E-Mail eine Spam-Wahr­schein­lich­keit auf einer Skala von zum Bei­spiel 0 bis 100 zu. E-Mails, welche beispielsweise einen Wert von 80 oder höher erreichen, wer­den direkt gelöscht oder in Quaran­täne gesetzt, wäh­rend E-Mails mit einem Wert unter 50 nor­mal ausgeliefert werden.

Der unsichere Bereich da­zwi­schen, E-Mails mit Werten zwischen 50 und 80, wird mit “wahr­schein­lich Spam” mar­kiert und ausge­liefert, da­mit der Benutzer entscheiden kann, was mit den E-Mails gesche­hen soll. Nach­folgend eine Aus­wahl der bis zu 20 unter­schied­lichen Filter­me­cha­nismen, die einzelne Anti-Spam-Tools ein­setzen:

Stichworte

E-Mails werden gescannt auf auffällige Stichworte in den unterschiedlichsten Schreib­weisen wie V-i-a-g-r-a, P0rn, L0\/\/E$T etc.

Blacklists

E-Mails mit Absender von be­kannten Spam­mern werden blockiert.
Diese Variante erhöht die Er­kennungsrate nur minim, da kaum ein Spammer zwei­mal denselben Absender benutzt.

Real-time Black­hole Lists (RBL)

Hier wird die Absender-IP-Adresse mit einer Liste be­kannter offener Mailrelays ver­glichen und allenfalls blockiert.

Directory Har­ves­ting Attacks (DHA)

Um an neue Empfänger-E-Mail-Ad­res­sen zu kommen, wird auch das sogenannte DHA eingesetzt: Von A bis Z wird eine Un­menge an zufälligen Adress­kombina­tio­nen an eine bestimmte Domain ge­sandt, zum Beispiel ameier@domain.ch, bmeier, cmeier etc. Einzelne Anti-Spam-Produkte erkennen auch solche Attacken.

Signatures

Ein erfolgversprechender An­satz ist das Vergleichen von ankommenden E-Mails mit einer Sig­na­tu­re-Daten­bank, um be­kannte Spam-Mails zu blockieren. Diverse Her­steller von Anti-Spam-Software ver­fügen über eine Vielzahl von Ho­ney-Pot-E-Mail-Ad­res­sen, welche als Spam-Sammelstelle dienen und automa­tisiert von einem zentralen System aus­ge­lesen werden. Von an­kom­menden Spam-Mails wird eine Signa­ture erstellt, die in die zentrale Sig­na­ture-Daten­bank gelangt und in regel­mässigen Zeitabständen, z. B. alle 10 Minuten, von den Anti-Spam-Gate­ways abgefragt wird, ähnlich dem Update von Antiviren-Pattern.

KlickTipp E-Mail-Marketing

Natürlich versuchen die Spam­mer, dieser Methode entge­gen­zu­wirken: So werden beispiels­weise an beliebigen Stellen in der E-Mail zufällige Buchstabenkombinationen wie ohgaxnbflw eingefügt, damit die Signa­ture nicht mit den Werten in der Daten­bank über­ein­stimmt und die E-Mail somit nicht als Spam erkannt wird. Oder aber es wer­den auto­ma­ti­siert in jeder Spam-E-Mail neue zufäl­lige inkor­rekte HTML-Tags ein­ge­baut, welche von einem E-Mail-Client, da nicht dem HTML-Stan­dard ent­sprechend, einfach nicht darge­stellt werden. So wird beispiels­weise aus V<TTT>IA<!T>GR<!M>A auf dem Bild­schirm VIAGRA. Moderne Signa­ture-Ver­fahren können jedoch auch solche Spams erkennen.

Bayesianische Met­hode

Diese statistische Methode wird haupt­sächlich bei Client-Pro­dukten einge­setzt. Während einer Lernphase wird dem Pro­dukt manuell beigebracht, welche E-Mails Spam sind und welche er­wünscht sind. Auf diese Weise lernt das Pro­dukt dauernd dazu und ver­bessert die Erken­nungs­rate. Bei Gate­way-Pro­dukten kommt diese Variante sel­te­ner zum Einsatz, da keine Inter­aktion der Benut­zer/-innen gewünscht ist.

Schluss­fol­ge­rung

Der Unterschied in der Effizienz der Pro­dukte auf dem Markt ist enorm. Viele Produkte haben eine so hohe False-Po­si­ti­ve-Rate (korrekte E-Mail, die irr­tüm­licher­weise als Spam blockiert wird), dass von einem Einsatz dringend ab­zu­ra­ten ist: Unter keinen Umständen soll eine wichtige, geschäft­liche E-Mail irr­tümlicher­weise blockiert oder gar ge­löscht werden.

Verwendung mit freundlicher Genehmigung der AVANTEC AG, Zürich und Bern, avantec.ch