Als besonders geeignet für den präventiven Schutz am Gateway haben sich Reputations-basierte Verfahren erwiesen. Statt Inhalte analysieren sie das Sendeverhalten der Absender mittels statistischer Messungen.
Das Ziel heißt, eine möglichst objektive Einschätzung der Seriosität einer Website oder eines E-Mail-Absenders zu erhalten. Diese Einschätzung ist in vielen Fällen bereits verfügbar, wenn ein Angriff gerade erst beginnt, denn spezielle zentrale Datenbanken analysieren ständig bis zu 110 Parameter einer Internet-Adresse - und das von mehr als 25 Prozent des weltweiten E-Mail-Aufkommens.
Wichtig ist, dass eine am Gateway eingebundene Sicherheits-Appliance den kompletten Kontext einer Verbindung scannt: etwa wer die zu untersuchende Nachricht gesendet hat, von wo sie abgeschickt wurde, auf welche Weise sie Endanwender adressiert, wie sie aufgebaut ist und was sie enthält. Eine Nachricht, die keinen Text enthält, einen Spam-verdächtigen HTML-Code verwendet, von einer IP-Adresse eines einschlägigen Netzwerks kommt und dazu erst seit 30 Minuten E-Mails verschickt, ist sehr wahrscheinlich keine Nachricht, die ein Anwender erhalten möchte. (aro)