Starker Lösungsweg: Spam an der Wurzel gepackt
Foto: Bär/Schlede
Neben einer inhaltlichen Überprüfung von E-Mails beim Empfang auf Ebene des Posteingangsservers oder auch des Clients bietet es sich für Unternehmen eine vorangestellte "Verteidigungslinie" an. Eine derartige Lösung wurde erstmalig Anfang des Jahres 2000 vom US-amerikanischen Hersteller Ironport zur Produktreife geführt und auf den Markt gebracht. Dabei kommt eine Appliance des heute zu Cisco gehörenden Herstellers zum Einsatz. Diese prüft, ob das bisherige Verhalten des absendenden Servers durch Spam-Aktivitäten gekennzeichnet ist.
Das bisherige Verhalten wird hierbei als "Reputation" bezeichnet. Ist ein Server bereits mehrfach zum Versand von Spam-Mails benutzt worden, so ist dies in einer speziellen Datenbank festgehalten. Der Reputations-Wert wird von Ironport auf einer Skala von -10 bis +10 dargestellt. Ab welchem Wert mit einer Mail wie zu verfahren ist, kann der Mail-Administrator einstellen.
In der typischen Einstellung einer solchen Appliance werden Mailserver mit einem Reputationswert von -10 bis -6 komplett als Kommunikationspartner abgelehnt. In einem Bereich von -5 bis -2 lassen sich "Throttle"-Einstellungen wählen. Eine derartige Einstellung beinhaltet dann beispielsweise, dass lediglich drei E-Mails pro Stunde von einem solchen Server entgegen genommen werden.
In der öffentlich zugänglichen Ironport-Datenbank mit Namen Senderbase werden laut Hersteller die Serverdaten und Transaktionsergebnisse von über 30.000 Providern, Universitäten und Unternehmen gespeichert und als Grundlage für eine Einschätzung des Spampotentials genutzt. Ironport-Systeme, die entsprechend konfiguriert wurden, übermitteln ihre Informationen automatisch an die Senderbase-Datenbank. Dank der großen Anzahl von Sensoren erkennt das System sehr zügig eine neu entstehende Spam-Schwemme und ist für manipulierte Fehldaten unsensibel.
Arbeiten am Protokoll
Weitere Internet-Gruppierungen wie die SMTP AUTH Initiative bereiten eine Überarbeitung des SMTP ("Simple Mail Transport Protocols") vor, um eine gesicherte Verbindung zwischen E-Mail-Servern einzuführen. Allerdings zeigt die Erfahrung, dass Änderungen an Internet-Standardprotokollen eine lange Zeit in Anspruch nehmen können. Bis zu einer möglichen Neueinführung eines Nachfolgers des altgedienten SMTP-Protokolls bleibt aktuell lediglich die DNS-Prüfung des versendenden E-Mail-Servers.
Hierbei wird beim Empfang einer E-Mail die Absende-IP-Adresse mit dem Hostnamen-Eintrag im DNS ("Domain Name Service") geprüft. Stimmen die Werte überein, so wird die Nachricht an die nächste Prüfungsebene weitergereicht. Weicht die verwendete IP-Adresse des Mailservers vom hinterlegten DNS-Eintrag ab, so stammt die Nachricht nicht vom zu erwartenden Mailserver und wird somit abgewiesen. Dies hat den Vorteil, dass entsprechende gesetzliche Anforderungen wie etwa das Postgeheimnis, so nicht berührt werden: Schließlich wird die Nachricht überhaupt nicht angenommen.