31 Oct 2020
       

Spammail ist ein stetes Ärgernis, Schätzungen nach sind 80% der versendeten E-Mails Spam. Dies verschlingt also wichtige technische Ressourcen und kostet bei den Empfängern in der Summe Unmengen an Zeit zum aussortieren. Abgesehen davon besteht natürlich auch ein nicht unerhebliches Risiko, Opfer von Phishing oder auch Malware zu werden. Echte Viren kommen per Mail nicht sehr viele an, dafür wurde der Erfolg von Ransomware häufig durch die einfache Massenverteilung per E-Mail erst möglich.

Nun gibt es viele Ansätze, das Spamproblem einzudämmen. Gleichzeitig besteht ein gewisses Risiko, bei zu restriktiven Filtermechanismen False Positives zu verursachen.

Gängige Mechanismen sind

 

GreylistingE-Mails von bislang unbekannten Kombinationen aus sendender IP-Adresse, Absender-E-Mail-Adresse und Empfängeradresse werden zunächst mit einer temporären Fehlermeldung abgewiesen. Reguläre Mailserver beherrschen diesen ursprünglich aus anderen Gründen vorgesehenen Mechanismus im E-Mail-Transport, so dass für eine zunächst solchermassen abgewiesene E-Mail nach einer Verzögerung erneut Zustellversuche unternommen werden. Erfolgt ein Zustellversuch nach der im Greylisting-Server hinterlegten Zeit erneut, dann geht dieser davon aus, dass der Absender ein echter Mail-Server ist und nicht eine Spamengine, die nach einem Versuch bereits aufgibt und sich dem Versand an die nächsten Opfer widmet.
Leider können unterdessen auch Spamengines häufig damit umgehen, so dass die ursprüngliche Effektivität dieser Methode nachgelassen hat. Ein Nachteil von Greylisting ist die Verzögerung von Nachrichten, teilweise kann dies allerdings durch automatischen Whitelisten erfolgreich das Greylisting überwindender Kommunikationspartner gemildert werden.
Vorteil: Spam wird erst gar nicht angenommen, False Positives sind recht unwahrscheinlich.
DNS-Blacklists

IP-Adressen, von denen Spam festgestellt wurde, können per DNS-Abfrage an DNSBLs identifiziert werden, Mails werden nicht angenommen sondern mit Hinweis auf die listende Blacklist abgelehnt. Der schwarze Peter liegt somit beim Absender, so es sich um einen regulären Absender handelt.
Es gibt gut geplegte Blacklisten, wie die NiXspam von Heise (ix.dnsbl.manitu.net) oder barracudacentral.org. Besonders letztere scheint im Moment (Januar 2018) sehr vielversprechend.

InhaltsfilterungDer wohl bekannteste Vertreter dürfte Spamassassin sein, mit regelmässig gepflegten Filterregeln werden hier die Inhalte der Mails untersucht und je nach erfülltem Kriterium ein Score ermittelt, beim Überschreiten einer Schwelle werden die Mails als Spam gewertet. Da diese Mails vom Server bereits angenommen wurden und ein gewisses Risiko von False Positives besteht, ist es keine gute Idee, erkannte Mails einfach zu löschen, sondern man kann sie allenfalls vorab anhand der Markierung in einen Junk-Mailordner verschieben, den der Nutzer regelmässig sichten sollte.
SPFSender Policy Framework
Der Betreiber einer Domain kann optional durch einen SPF-Record im DNS Angaben zu den erlaubten Mail-Servern für seine Domain machen und vorgeben, wie im Falle der Regelverletzung zu verfahren ist.
Dieses Verfahren scheint sehr vielversprechend, denn die SPF-Prüfung bereits vor Annahme einer Mail lässt sich vergleichsweise günstig realisieren. Leider unterstützen noch viel zu wenige Domains SPF-Records und von denen, die sie einsetzen, trauen sich nur wenige, auch das Ablehnen von Verstößen vorzuschreiben.