Forever Spam!?
Warum Spam nicht schon längst abgeschafft wurde

von Alexander Talos (Ausgabe 03/1, März 2003)

 

Anm.: Dieser Artikel ist sehr lang, daher hier eine Übersicht über die einzelnen Abschnitte:

 

Was ist Spam?
Welchen Spam gibt es, und woher kommt er?
Woher haben die meine Adresse?
Das gehört doch verboten!
Warum unternimmt denn keiner was?
Über Fälschungen und Tätersuche
Wo geht's hier zum Salzamt?
Strategien gegen Spam
Die Gefahr der False Positives

Kasten: Crashkurs: Wie funktioniert eMail?

 

"Wieso bekomme ich so viel Werbung für Porno-Seiten?" - "Kann man denn nichts gegen die vielen Junkmails unternehmen?" - "Wieso blockiert ihr den Spam nicht einfach?"

Die Reaktionen aus der Benutzergemeinde auf die ständig wachsende Flut unerwünschter elektronischer Post reichen vom verzweifelten Stoßseufzer bis hin zu regelrechten Vorwürfen. In dieser Angelegenheit ist guter Rat allerdings nicht einmal teuer, sondern fast überhaupt nicht zu erhalten. Der folgende Artikel gibt einen Überblick über die Spam-Problematik sowie über die landläufig angewendeten rechtlichen und technischen Mittel und die daraus resultierenden Probleme, wobei ausschließlich auf eMail-Spam eingegangen wird. Die vom Zentralen Informatikdienst eingesetzten Gegenmittel sind im Artikel 101 - Der Spam-Filter der Uni Wien beschrieben.

Was ist Spam?

Mit dem Begriff Spam bezeichnet man unerwünschte, massenweise verschickte eMail-Nachrichten und Newsgruppen-Artikel. Im Detail wird unterschieden zwischen

  • UBE (unsolicited bulk email): nicht ausdrücklich bestellte, in großen Mengen versandte eMail;
  • UCE (unsolicited commercial email): nicht ausdrücklich bestellte, kommerzielle Werbung per eMail;
  • ECP (excessive crosspost): in unangebracht vielen Newsgruppen veröffentlichter ("geposteter") Artikel;
  • EMP (excessive multipost): in unangebrachter Anzahl gepostete, gleichlautende Artikel in einer oder mehreren Newsgruppen.

Leider lassen sich aus dieser Klassifizierung keine allgemeingültigen Kriterien ableiten, anhand derer Spam eindeutig identifiziert werden könnte. Der Ansatz, Spam als Massenmail zu charakterisieren, hat den Makel, daß er nicht auf der Wahrnehmung der Betroffenen basiert: Der Empfänger erhält schlicht und einfach Mail, die ihn nicht interessiert; daß auch tausende andere mit denselben Nachrichten bombardiert werden, tut für ihn nichts zur Sache. Aus Empfängersicht - und diese muß bei allen Betrachtungen über Gegenmaßnahmen ein zentraler Gesichtspunkt sein - ist also "unerwünscht" das typische Merkmal von Spam. Dabei handelt es sich allerdings um ein subjektives, der elektronischen Datenverarbeitung nicht zugängliches Kriterium. Aus diesem Grund ist auch der Versuch, Spam über seinen Inhalt zu definieren, zum Scheitern verurteilt: Nachrichten, die für manche Empfänger unerwünscht sind, können für andere durchaus nützlich und willkommen sein. Vielfach werden etwa Werbematerial, Produktinformationen oder Preislisten völlig bewußt und aus freien Stücken bei Geschäftspartnern angefordert und sollen auf Wunsch des Empfängers regelmäßig übermittelt werden.

Das ist auch schon die Achillesferse aller Antispam-Aktivitäten: Selbst bei Einsatz der höchstentwickelten künstlichen oder gar menschlichen Intelligenz (und wer will schon, daß seine eMail vor der Zustellung probegelesen wird?) ist es nicht möglich, zweifelsfrei zu beurteilen, ob eine Nachricht erwünscht ist oder nicht. Deshalb gibt es auch bis heute keinen Konsens über eine gleichzeitig präzise und sinnvolle Definition von Spam: Letztendlich kann darüber nur der Empfänger entscheiden.

SPAM ist außerdem ein Produkt und eingetragenes Markenzeichen der US-Firma Hormel, steht in diesem Zusammenhang aber für spiced pork and ham (eine Fleischkonserve) und hat mit Spam im Sinne von unerwünschter eMail nichts zu tun.

bild

Über die Etymologie des Begriffs Spam existieren unterschiedliche Meinungen. Eine weitverbreitete Version lautet, daß zu der Zeit, als Spam-Mail zu einem ernstzunehmenden Problem wurde, ein Sketch von Monty Python populär war, in dem das Wort Spam innerhalb weniger Minuten unzählige Male wiederholt wird - die Assoziation mit Massenmail lag also nahe. Eine andere Interpretation (die auf der offiziellen Webseite von SPAM nicht aufgegriffen wird) geht davon aus, daß es sich sowohl bei der Dosennahrung als auch bei Spam-Mail um etwas Undefinierbares und Unerwünschtes handelt, das aber allgegenwärtig ist: "Ich weiß zwar nicht, was es ist, aber ich erkenne es, wenn ich es sehe."

Welchen Spam gibt es, und woher kommt er?

In der Mehrzahl der Fälle handelt es sich bei Spam um kommerzielle Werbung. Davon entfällt der Löwenanteil auf Werbung für Sex-Seiten bzw. Hilfsmittel im einschlägigen Dunstkreis (Get Viagra now, Enlarge your Penis with HGH) - häufig mit eingebetteten Bildern, die nicht nur Konvulsionen in der Magengegend des Betrachters induzieren, sondern auch eine besonders schiefe Optik erzeugen, wenn just in diesem Moment die Chefin/der Chef oder die Freundin/der Freund das Zimmer betritt. Eine weitere wichtige Kategorie wird MMF (Make Money Fast) genannt. Hierbei handelt es sich in der Regel um Pyramidenspiele, die in vielen Ländern überdies verboten sind. Zynischerweise werden sogar die Dienste von Spammern bzw. CDs mit vielen Millionen Adressen von angeblich werbehungrigen Konsumenten per eMail feilgeboten.

Die meisten Spam-Nachrichten haben eine handfeste Gewinnabsicht als Motiv. Die einfache Rechnung Wenn ich mit einer Investition von zehn Euro 10 000 000 eMail-Nachrichten verschicke und nur an jedem zehntausendsten Empfänger wenigstens einen Euro verdiene, habe ich mein Kapital bereits verhundertfacht geht offensichtlich auf. Augenfällig wird das beim sogenannten Nigeria-Spam (der übrigens auch als Briefpost an Unternehmer in der ganzen Welt verschickt wird): Hier werden in betrügerischer Weise von angeblich hochstehenden, regierungsnahen Personen Partner für angeblich lukrative Geschäfte in Millionenhöhe gesucht. Allem Anschein nach gibt es genug Dumme, die darauf hereinfallen - Berichten zufolge wird in den Flugzeugen nach Nigeria sogar schon per Durchsage vor der Betrugsmasche gewarnt, und es sollen auch immer wieder Personen mit Anzug und Köfferchen daraufhin zaghaft fragen, ob sie im Flugzeug sitzenbleiben und gleich zurückfliegen dürfen. Jedenfalls warnt das Department of State der USA bereits bei seinen Reisetips vor solchen Geschäften: Such scams may involve U.S. citizens in illegal activity, resulting in arrest, extortion or bodily harm.

Auch mit Mehrwertdiensten - erkennbar an Telefonnummern mit der Vorwahl 09xxx1) (oder 0190 in Deutschland), bei denen teilweise mehrere Euro pro Minute verrechnet und über die Telefonrechnung eingehoben werden - läßt sich trefflich Geld verdienen. Dazu wird im Spam schnelleres Surfen oder der Gratis-Zugriff auf pornografische Inhalte und/oder Raubkopien nach Installation eines Zugangsprogramms versprochen. Diese Programme werden als Dialer bezeichnet: Einmal aktiviert, ändern sie die Wählleitungskonfiguration des PCs derart, daß die Einwahl nicht mehr über den normalen Provider, sondern über eine Mehrwertnummer erfolgt - bis zum teuren Erwachen bei der nächsten Telefonrechnung. Es gibt nichts, was es nicht gibt: Sogar mehr oder weniger schlüsselfertige Pakete zur Realisierung dieser zweifelhaften Geschäftsidee werden feilgeboten.2)

Wer die Spammer sind, ist naturgemäß nur teilweise bekannt. Eine der schillerndsten Figuren der Branche ist Alan Ralsky, der den Journalisten Mike Wendland sogar zum Interview eingeladen hat - in seine neue "bescheidene Hütte", von der aus er über seine eigene T1-Anbindung seine Spam-Server in aller Welt steuert, die täglich mehrere Millionen Spam-Nachrichten versenden. Wendlands Kolumne ist online verfügbar und gibt einen interessanten Einblick in dieses offenbar sehr einträgliche Business. Einen guten Überblick bietet auch das Register Of Known Spam Operations (ROKSO).

Selbstverständlich ist nicht jeder Spam-Absender ein skrupelloser Verbrecher - es gibt tatsächlich unerfahrene Geschäftsleute, die den Versprechungen glauben, die Adressen von Zillionen kauffreudigen potentiellen Kunden, die sich über jede Art von Werbung freuen, auf einer CD kaufen zu können. Auch völlig unkommerzielle Sendungsbewußte, die die Kunde vom nahenden Weltuntergang oder der nahenden Erlösung einem größeren Publikum nahebringen zu müssen vermeinen, werden mitunter zu Spammern. Und wer weiß, vielleicht wird auch ein stadtbekannter Wiener Zetteldichter einmal seine Poesie nicht nur zum Pflücken, per Telefon und Fax, sondern auch per eMail verbreiten...

Fallweise werden auch die diversen Wichtig! Unbedingt an möglichst viele Leute weiterleiten!-Kettenbriefe (z.B. Aufrufe zur Knochenmarkspende, Warnungen vor einem neuen Übervirus, Taliban Women) zu Spam gezählt. Allerdings zeichnen sich diese Kettenbriefe, obwohl sie massenhaft und unverlangt verschickt werden, durch das fehlende Unrechtsbewußtsein des Absenders aus: Für nicht besonders mißtrauische Menschen ist kaum ersichtlich, daß diese Nachrichten (die teilweise seit vielen Jahren im Netz kursieren) inhaltlich groben Unfug darstellen. Infolgedessen sind die Absender dieser Kettenbriefe ehrlich davon überzeugt, der Welt etwas Gutes zu tun, wenn sie eine vermeintlich wichtige Nachricht an ihr gesamtes Adreßbuch weiterleiten.

Eine prominente Sparte von Massenmail fehlt noch in diesem Überblick - Computerviren, genauer: Würmer. Daß sich diese selbsttätig zu verbreiten versuchen, indem sie sich ohne Wissen des Absenders in großer Zahl per eMail verteilen, ist spätestens seit Melissa kein Geheimnis mehr. Um den Empfänger dazu zu bringen, das infizierte Attachment auszuführen, müssen sich Mailwürmer ähnlicher Verlockungen bedienen wie Spammer: Beispielsweise versprach VBSWG ein Bild von Anna Kournikova, und die von Yaha versandten Nachrichten waren regelrechte Spam-Emulationen (This e-Mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message). Einige der Spam-Beschwerden, die wir erhalten, sind auch folgerichtig auf einen Mailwurm zurückzuführen. Glücklicherweise ist es jedoch - sowohl vom Aufwand als auch von den erforderlichen Fachkenntnissen - wesentlich schwieriger, Computerviren zu programmieren, als Spam zu versenden. Deshalb können Virenscanner gut mit der Entwicklung schritthalten, und die Virenproblematik im Mailverkehr der Uni Wien hat sich mit der Einführung der Virenscanner (siehe Comment 01/1, Seite 28) fast vollständig gelöst.

Woher haben die meine Adresse?

Zur Frage, wie die Spammer zu den eMail-Adressen der Menschen gelangen, die von ihnen beglückt werden, gibt es mehrere Antworten:

  • Aus Artikeln, die in Newsgruppen und öffentlich zugänglichen Mailinglisten gepostet wurden.
  • Aus Webseiten, die Kontaktadressen oder überhaupt ganze eMail-Verzeichnisse (z.B. des gesamten Instituts) enthalten. Insbesondere Mailadressen, die mit Suchmaschinen wie Google zu finden sind, stehen auch Spammern zur Verfügung.
  • Eintragung der eMail-Adresse bei Online-Gewinnspielen, Freemailern usw.: Es gibt immer wieder Berichte, wonach Spam an Adressen geschickt worden sein soll, die nur bei solchen Anlässen verwendet wurden.
  • Auch Verzeichnisdienste mit LDAP, Whois-Datenbanken usw. gelten als Adreßquellen für Spammer.
  • Es ist zwar bisher kein derartiger Fall dokumentiert, aber sicher nur eine Frage der Zeit, bis auch eMail-Würmer programmiert werden, die sich nicht nur verbreiten, sondern auch gleich eine Kopie des Adreßbuchs des befallenen Rechners an Spam-Firmen versenden.
  • HTML-Nachrichten können durch Einbettung von Framesets und Bildern (Webbugs) den Mailklienten veranlassen, zur Darstellung einer Nachricht auf den Webserver des Spammers zuzugreifen. Zunehmend werden dafür numerierte URLs verwendet, anhand derer der Spammer feststellen kann, wer seinen Spam im Mailklienten geöffnet hat. Klarerweise ist die Infomation, daß eine bestimmte Mailadresse tatsächlich aktiv ist, für den Spammer bares Geld wert.

Richtiges Spammen ist aber keineswegs nur Experten wie Ralsky & Co vorbehalten - auch Endanwender können, beispielsweise von Spam-Firmen, eigens dafür entwickelte Hilfsprogramme erwerben. Im Segment der Adressensammler glänzt der Advanced Email Extractor mit automatischem Zugriff auf über 330 Suchmaschinen, einem LDAP-Plugin und vielem mehr. Vom Atomic Harvester gibt es sogar eine Demo-Version zum Download. Natürlich darf spekuliert werden, ob diese Programme die gefundenen Adressen auch an ihre Hersteller weiterleiten, um in einem Aufwaschen auch deren Datenbank zu verbessern...

Das gehört doch verboten!

Spam ist in vielen Ländern - auch in Österreich - ohnehin verboten. § 101 des österreichischen Telekommunikationsgesetzes lautet:

(...) Die Zusendung einer elektronischen Post als Massensendung oder zu Werbezwecken bedarf der vorherigen - jederzeit widerruflichen - Zustimmung des Empfängers.

[Anmerkung der Redaktion v. 13.06.06: § 101 TKG wurde inzwischen außer Kraft gesetzt und von § 7 ECG und § 107 TKG abgelöst ]

In Europa verbieten außerdem noch Dänemark, Deutschland, Finnland, Griechenland, Italien und Norwegen das Versenden unverlangter kommerzieller eMail (UCE).

In manchen Ländern ist Spam erlaubt, bis der Empfänger widerspricht. Dieses sogenannte Opt-Out-Verfahren zeugt von einem besonderen Realitätsbezug der entsprechenden Gesetzgeber: Wie soll man jemandem, von dem man im vorhinein nichts weiß und der sich meist im nachhinein kaum finden läßt (mehr dazu später), die Zusendung von Werbung verbieten? Zudem geht es nicht um einen oder zehn Absender, sondern um tausende. Diese Art der Regelung ist daher völlig wirkungslos.

In einigen Ländern wird noch geprüft und beraten, allerdings gibt die EU-Richtlinie 2002/58/EC vom 31. Juli 2002 Anlaß zur Hoffnung:

Artikel 13
Unerbetene Nachrichten
1. Die Verwendung von automatischen Anrufsystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post für die Zwecke der Direktwerbung darf nur bei vorheriger Einwilligung der Teilnehmer gestattet werden.

Zur Umsetzung dieser Richtlinie haben die Mitgliedstaaten jedoch bis 31. Oktober 2003 Zeit. Einen Überblick über die derzeitige Rechtslage in den einzelnen europäischen Staaten findet man im WWW unter http://www.euro.cauce.org/en/lchaos.html.

In den USA gibt es keine einheitliche Regelung; allerdings haben zahlreiche Bundesstaaten Maßnahmen ergriffen (siehe http://www.spamlaws.com/state/summary.html):

  • In Kalifornien muß UCE Instruktionen für das Opt-Out sowie - unter gewissen Voraussetzungen - die Kennzeichnung ADV: oder ADV:ADLT im Subject enthalten.
    (g) In the case of e-mail that consists of unsolicited advertising material for the lease, sale, rental, gift offer, or other disposition of any realty, goods, services, or extension of credit, the subject line of each and every message shall include "ADV:" as the first four characters. If these messages contain information that consists of unsolicited advertising material for the lease, sale, rental, gift offer, or other disposition of any realty, goods, services, or extension of credit, that may only be viewed, purchased, rented, leased, or held in possession by an individual 18 years of age and older, the subject line of each and every message shall include "ADV:ADLT" as the first eight characters.
  • In Florida gibt es keine speziellen Bestimmungen über Spam; Anwälte, die durch unverlangte Mail werben, müssen jedoch legal advertisement ins Subject schreiben.
  • Louisianas Gesetzgeber waren besonders kreativ: Dort ist es verboten, unverlangte kommerzielle Mail an mehr als 1000 Empfänger zu senden, wenn die Nachricht gefälschte Routing-Informationen (Received:-Header) enthält oder der Versand unter Verstoß gegen die Benutzungsbedingungen des jeweiligen Providers erfolgt (Strafrahmen: 5000 USD).
  • In Washington darf man kommerzielle eMail versenden, sofern sie nicht den Domainnamen Dritter ohne Genehmigung verwendet, gefälschte Routing-Informationen enthält oder ein falsches oder mißverständliches Subject aufweist.

In Japan besteht eine Regelung, derzufolge eMail-Werbung als solche deklariert werden sowie Opt-Out-Instruktionen enthalten muß.

Fazit: Nicht nur in Bananenrepubliken ist Spammen erlaubt oder höchstens ein bisserl verboten.

Warum unternimmt denn keiner was?

Wir sind gewohnt, daß Fehlverhalten, das der Gesellschaft schadet und gegen die guten Sitten verstößt, geahndet wird, und ärgern uns, wenn der Bösewicht ungestraft davonkommt. Wieso also legt niemand den Spammern das Handwerk?

Einer der Gründe wurde oben beschrieben: Um einen Spam-Versender mit juristischen Mitteln belangen zu können, muß sein Tun zuerst einmal verboten sein. Gerade im Internet schlägt aber die Globalisierung zu: Auch wenn wir noch so heftig mit unserem § 101 TKG wedeln, wird das den Absender in China nicht kümmern (lediglich in der EU gilt das Prinzip, daß das Recht des Empfängerlandes anzuwenden ist). Auch der günstige Fall, daß Spam im Land des Absenders ebenfalls verboten ist, bedeutet noch lange nicht, daß mit vertretbarem Aufwand gegen diesen vorgegangen werden kann: Der Staatsanwalt (oder welche Behörde auch immer zuständig sein mag) eines anderen Landes wird sich von unsereinem kaum dazu zwingen lassen, aktiv zu werden. Aus dem Spam-Verbot ist ohnehin kein subjektives Recht des Empfängers auf Bestrafung des Täters abzuleiten; daher ist es auch nicht möglich, selbst ein derartiges Verfahren zu betreiben. Dasselbe gilt, falls der Spam-Versender gegen die Benutzungsbedingungen seines Providers verstoßen hat: Dem Empfänger entstehen daraus keinerlei Rechte - er ist ja nicht Vertragspartner.

Wie sieht es nun im eigenen Land aus? Es herrscht allgemein Einigkeit darüber, daß Spam aus Österreich außergewöhnlich selten anzutreffen ist. In einschlägigen Newsgruppen wird jedoch immer wieder berichtet, daß die für die Spam-Problematik zuständige Behörde, das Fernmeldebüro, keine oder kaum erkennbare Tätigkeit entfaltet. Die Frage, ob § 101 TKG in Österreich nicht ebenso totes Recht ist wie das Hupverbot, bleibt mangels veröffentlichter Statistiken leider offen.

Neben dem (Verwaltungs-)Strafrecht gibt es aber natürlich noch das Zivilrecht:

  • Eine Variante ist, die Unterlassung weiterer Zusendungen zu erstreiten. Das bedeutet aber für das Spam-Opfer einen immensen Aufwand und ein nicht unbeträchtliches finanzielles Prozeßrisiko. Diesem steht selbst im Erfolgsfall ein relativ geringer Nutzen gegenüber, da man vom selben Absender (zumindest erkenn- und nachweisbar) ohnehin nur im Ausnahmefall mehrmals Spam bekommt. Ein generalpräventiver Effekt - in dem Sinn, daß der Spammer oder gar andere Spammer von weiteren derartigen Aktivitäten abgeschreckt würden - folgt daraus leider nicht.
  • Anders sieht die Sache aus, wenn ein Konkurrent Spam versendet: Hier kann man mit der Keule des Unlauteren Wettbewerbs vorgehen. Da vermutlich nicht allzu viele Comment-Leser/innen auf diese Weise gegen die zahlreichen Porno- und Viagra-Spams aktiv werden wollen, wird dieser Aspekt hier nicht näher beleuchtet.
  • Auch Klagen auf Schadenersatz sind prinzipiell möglich und bereits erfolgreich praktiziert worden. Wie bei der Unterlassungsklage gilt auch hier, daß das Prozeßrisiko einem nur geringen Schadenersatz-Betrag gegenübersteht. Große Firmen/Institutionen, die vom selben Absender eine große Menge Spam erhalten haben, könnten zwar den entstandenen Aufwand für Serverbelastung und eventuell Wartung sowie die entgangene Arbeitszeit in Rechnung stellen. Gerade in diesen Fällen wird eine Verfolgung aber in der Regel ausbleiben: Die Rechtsabteilungen großer Organisationen haben oft weder die Kapazität noch den sportlichen Ehrgeiz zur Spam-Bekämpfung.

Im Zusammenhang mit dem Internet - der angeblichen einzigen funktionierenden Anarchie - wird gern das Schlagwort "Selbstregulierung" ins Treffen geführt. Internet-Provider können tatsächlich einiges dagegen unternehmen, daß ihre Kunden Spam versenden. Zwar gibt es genügend Provider, die keinerlei Bedenken gegen gut zahlende Spammer in ihrem Kundenkreis haben; der Großteil verbietet Fehlverhalten aber mehr oder weniger ausdrücklich (z.B. durch Verweis auf die Netiquette) in einem entsprechenden Passus der Allgemeinen Geschäftsbedingungen. Leider bleibt ein Verstoß dagegen oft folgenlos: Die attraktive Möglichkeit, Konventionalstrafen vorzusehen (wie z.B. bei http://trafficspace.de/agb.htm), wird kaum wahrgenommen - die meisten Provider behalten sich lediglich das Recht vor, im Falle eines Mißbrauchs den Zugang des Bösewichts zu sperren. Allerdings ist in einschlägigen Mailinglisten immer wieder zu lesen, daß Provider angesichts einer drohenden Schadenersatzklage des Zugangsinhabers davor zurückschrecken, die angekündigten Konsequenzen in die Realität umzusetzen.

Rein rechtlich ist also nicht viel Unterstützung im Kampf gegen den Spam zu erwarten - und dabei wurde noch gar nicht auf den Gesichtspunkt eingegangen, daß der tatsächliche Absender einer Spam-Nachricht nur in seltenen Fällen überhaupt entlarvt werden kann.

Crashkurs: Wie funktioniert eMail?

Was passiert, nachdem Sie in Ihrem Mailklienten auf Senden gedrückt haben, ist im Prinzip sehr einfach und sei hier an einem Beispiel illustriert, in dem Stefan Sender von seinem PC mit der Adresse PCSTEFAN.IHW.UNIVIE.AC.AT eine Nachricht an seinen Freund Emil Empfänger schickt.3)

1. Vorbereitung der Nachricht

Der Mailklient erzeugt eine einfache Textdatei (oder eine äquivalente Datenstruktur in seinem Speicher), die aus zwei lediglich durch eine Leerzeile voneinander getrennten Teilen besteht:

 

Der Briefkopf, Header genannt:

From: Stefan.Sender@kubim.univie.ac.at

To: Emil.Empfaenger@aldebam.sal.at

Date: Mon, 24 Feb 2003 09:55:27 +0100

Subject: Hallo, wie geht's?</code>

 

Der Text, Body genannt:4)

Servus Emil,

hast du Lust, mit uns am nächsten Samstag ins Kino zu gehen?

Herzlichst, Stefan

2. Ab in den Briefkasten

Die vorbereitete Nachricht wird in ein adressiertes Kuvert gesteckt und bei einem Mailserver eingeworfen. Dazu baut der Mailklient mit dem als Outgoing SMTP Server konfigurierten Rechner eine Verbindung auf, über die etwa folgender Dialog5) abläuft (> Mailserver spricht; < Mailklient spricht):

 

[01] > 220 mailbox.univie.ac.at ESMTP Service ready

[02] < HELO pcstefan.ihw.univie.ac.at

[03] > 250 mailbox.univie.ac.at Hello pcstefan.ihw.univie.ac.at [131.130.2.235]

[04] < MAIL FROM: <Stefan.Sender@kubim.univie.ac.at>

[05] > 250 2.1.0 <Stefan.Sender@kubim.univie.ac.at>... Sender ok

[06] < RCPT TO: <Emil.Empfaenger@aldebam.sal.at>

[07] > 250 2.1.5 <Emil.Empfaenger@aldebam.sal.at>... Recipient ok

[08] < DATA

[09] > 354 Enter mail, end with "." on a line by itself

[10] < From: Stefan.Sender@kubim.univie.ac.at

[11] < To: Emil.Empfaenger@aldebam.sal.at

[12] < Date: Mon, 24 Feb 2003 09:55:27 +0100

[13] < Subject: Hallo, wie geht's?

[14] <

[15] < Servus Emil,

[16] < hast Du Lust, mit uns am nächsten Samstag ins Kino zu gehen?

[17] < Herzlichst, Stefan

[18] < .

[19] > 250 2.0.0 f9JCrv9170694 Message accepted for delivery

[20] < QUIT

[21] > 221 2.0.0 mailbox.univie.ac.at closing connection

 

Die Absender- und Empfängerangaben in [04] und [06] bilden die sogenannte Envelope - das Kuvert. Der Inhalt des RCPT TO:-Befehls [06] bestimmt, wohin die Nachricht geschickt wird; bei mehreren RCPT TO:-Befehlen geht sie eben an mehrere Empfänger. Der MAIL FROM:-Befehl [04] legt fest, wohin Fehlermeldungen im Fall der Unzustellbarkeit (z.B. Adressat übersiedelt/unbekannt) gesendet werden. Der eigentliche Brief, von [10] bis [17], wird vom Briefträger nicht weiter beachtet oder gar gelesen. Die übrigen Zeilen entsprechen dem Quietschen und Klappern der Briefkastentür.

3. Weiterleitung zum nächsten Postamt

Bei eMail bilden Briefkasten, Briefträger und Postamt eine Einheit, den Mailserver. Dieser vermerkt - stark abweichend von der Briefpost-Analogie - den Eingang der Nachricht am Anfang des Briefkopfs (also nicht auf der Envelope, sondern im Brief vor [10]). Gibt es bereits einen oder mehrere solche Vermerke, wird der neue Eintrag den bestehenden vorangestellt. Dadurch kann der Empfänger genau nachvollziehen, wann die Nachricht welche Mailserver passiert hat. Bei der Software sendmail sieht dieser Vermerk folgendermaßen aus:


Received: from pcstefan.ihw.univie.ac.at (pcstefan.ihw.univie.ac.at [131.130.2.235]
by mailbox.univie.ac.at (8.11.2/8.11.2) with ESMTP id f9JCrv9170694
for <Emil.Empfaenger@aldebam.sal.at>; Mon, 24 Feb 2003 09:55:29 +0100

Anschließend versucht der Mailserver, dem Mailserver des Empfängers (oder zumindest einem dem Ziel nahe gelegenen Mailserver) die Nachricht zuzustellen. Dabei wird verfahren wie in Punkt 2, wobei natürlich alle vorhandenen Received:-Header mitgeschickt werden.

4. Zustellung

Hat die Nachricht den Mailserver des Empfängers erreicht, wird sie in ein Postfach einsortiert, aus dem sie der Mailklient des Empfängers z.B. mittels POP oder IMAP abholen kann.

Über Fälschungen und Tätersuche

Es mag angesichts der allgegenwärtigen Paßwortabfragen verblüffend sein und scheinbar der oft zitierten Tatsache widersprechen, daß man auch im Internet nicht anonym ist und stets eine Datenspur hinterläßt - dennoch stimmt es: In den meisten Fällen ist es schlicht unmöglich, den Absender von Spam-Mail auszuforschen. Der folgende Abschnitt soll die Frage beleuchten, warum das so ist und warum das nicht zu ändern ist.

Da dies letztlich eine technische Frage ist, wird auch die Antwort ein wenig ins Technische gehen. Zum Trost: Die Briefkasten-Analogie hilft weitestgehend, die Vorgänge beim Mailing zu verstehen. Electronic Mail funktioniert, sieht man von der fehlenden Briefmarke ab, fast bis ins kleinste Detail ebenso wie die klassische Briefpost: Es gibt Kuverts, Absender und Empfänger (darunter auch solche, die einfach eine neue Adresse auf das Kuvert schreiben und den Brief wieder in den Postkasten werfen) - nur daß Bits die Rolle von Papier/Tinte und Programme die Rolle des Briefträgers spielen.

Zurück zum Ausforschen: Denken Sie daran, daß die Enttarnung des Briefbombenattentäters Franz Fuchs - allen Bemühungen in diesem spektakulären Fall zum Trotz - fast vier Jahre dauerte. Vermutlich sind auch Ihnen damals Überlegungen durch den Kopf gegangen wie "Weil man sich vor dem Briefkasten nicht ausweisen muß, haben die kaum eine Chance, den zu finden..." Bei eMail ist es ebenso: Wie soll ein Mailserver prüfen, ob der Absender wirklich der ist, der er zu sein vorgibt? Der naheliegende Gedanke "Per Paßwort natürlich!" funktioniert leider nicht zufriedenstellend. Zwar könnten die Mailserver des ZID theoretisch (und mit erheblichem Aufwand) die Paßwörter der Benutzer des ZID zwecks Identitätskontrolle abfragen - zumindest sofern sie univie-Adressen und nicht etwa GMX- oder Hotmail-Adressen verwenden. Gegen Spam, der von außerhalb der Universität Wien stammt, ist das aber nutzlos: Wir können weder das Paßwort von spammer@spamhaus.com prüfen noch können wir wissen, ob der versendende Mailserver vertrauenswürdig ist und seinerseits Paßwort-Abfragen vorgenommen hat (es gibt einfach zu viele davon - unsere Mailserver haben täglich mit über 20 000 anderen Kontakt, und das sind keineswegs jeden Tag dieselben).

Schlußfolgerung: Solange es irgendwo auf der Welt Postämter gibt, die die Identität des Absenders nicht per Ausweis kontrollieren, ist jede Überprüfung dieser Art sinnlos. Bei eMail ist es nicht anders - die Richtigkeit der Absenderadresse läßt sich nicht garantieren.

Großmutter, warum hast du so viele Köpfe?

Die Beispiel-Nachricht im Kasten Crashkurs: Wie funktioniert eMail? zeigt den korrekten Gebrauch von Electronic Mail: Alle Header sind sinnvoll und schlüssig ausgefüllt. Im Normalfall sorgt der eMail-Klient dafür, daß alles stimmt. Der im Beispiel geschilderte Dialog läßt sich aber problemlos auch mit relativ einfachen Skripts oder mit Dienstprogrammen wie Telnet abwickeln - und in diesem Fall kann der Absender hineinschreiben, was er will.

Was kann nun ein übelwollender Absender fälschen, ohne daß der Mailserver streikt? Mit zwei Ausnahmen alles!

Wie bei der Briefpost muß eine Angabe stimmen: Die Empfängeradresse(n) auf der Envelope - sonst kommt die Nachricht nicht an. Normalerweise nimmt der Mailklient diese Adressen aus den To:-, Cc:- und Bcc:-Feldern sowie gegebenenfalls fest konfigurierten Kopie senden An-Adressen. Bei "Handarbeit" müssen die RCPT TO:-Adressen der Envelope nichts mit diesen Headerzeilen gemeinsam haben - der Briefkopf wird ja vom Mailserver nicht beachtet.6)

Was ebenfalls nicht gefälscht werden kann, ist die IP-Adresse des absendenden Rechners,7) die im Received:-Header vermerkt wurde:
Received: from pcstefan.ihw.univie.ac.at (pcstefan.ihw.univie.ac.at [131.130.2.235])
Dies gilt allerdings nur für die IP-Adresse - den Rechnernamen, der im Received:-Header gleich zweimal vorkommt, darf man wiederum nicht für bare Münze nehmen: Die erste Nennung gibt das wieder, was der Absender (im Beispiel bei [02] HELO) als Name angegeben hat, ist also durch diesen fälschbar. Der in der Klammer vermerkte Name ist der aus der IP-Adresse über das Domain Name System erschlossene Hostname. Dieser kann zumindest vom Eigentümer der jeweiligen IP-Adresse weggelassen bzw. manipuliert werden. Mit diesen Angaben läßt sich also prächtig Verwirrung stiften - tatsächlich werden immer wieder Beschwerdebriefe an die (oft völlig unbeteiligten) Betreiber der im Received:-Header genannten Domain gerichtet.

Da jeder Mailserver seinen Received:-Header an den Beginn der Headerzeilen scheibt, zeigen diese in umgekehrt chronologischer Folge den Weg, den die Nachricht gegangen ist. Die in vielen Antispam-Ratgebern empfohlene Faustregel, die IP-Adresse in der chronologisch ersten (also untersten) Received:-Zeile als die des vom Bösewicht verwendeten Rechners zu betrachten, ist aber schon seit geraumer Zeit nicht mehr gültig: Gängige Praxis bei Spammern ist es, dem eigenen Spam frei erfundene Received:-Zeilen anzufügen und so den Eindruck zu erwecken, als hätte der tatsächliche Spam-Versender die Nachricht selbst nur von einem anderen Absender erhalten und ordnungsgemäß weitergeleitet. Beschwerden bei der "ersten" IP-Adresse gehen ins Leere, da diese der Phantasie des Spammers entspringt. Fälschungen in diesem Bereich zu erkennnen, gelingt selbst Experten nicht immer mit hundertprozentiger Sicherheit.

Als wäre die Rückverfolgung noch nicht kompliziert genug, kommen noch mindestens drei Schwierigkeiten hinzu:

  • Die Received:-Zeilen mancher Mailserver sind unbrauchbar. Wenn es einem Spammer gelingt, einen Mailserver ausfindig zu machen, der die IP-Adresse nicht im Header vermerkt, kann er nicht mehr ausgeforscht werden - es sei denn, der zuständige Administrator sucht die IP-Adresse des Absenders aus seinen Log-Dateien heraus. Gerade solche Server sind aber üblicherweise nicht gewartet, ein Postmaster ist in der Regel nicht aufzutreiben und eine Log-Datei ohnehin nicht vorhanden.
  • Die Nachricht wurde nicht direkt vom Absender generiert, sondern dieser hat z.B. ein nicht gesichertes Web-Formular benutzt. FormMail hat in dieser Hinsicht traurige Berühmtheit erlangt (mehr dazu im Artikel Spammer vs. Blacklists: Ein ewiges Wettrüsten).
  • Durch die zunehmend populäre Verwendung von ungeschützten Proxies (siehe Artikel Spammer vs. Blacklists: Ein ewiges Wettrüsten) kann der Spam-Versender völlig unerkannt bleiben, da hierbei lediglich die IP-Adresse des Proxies vermerkt wird.

Es ist nicht alles Gold, was glänzt

Angenommen, es gelingt trotz aller Widrigkeiten, die IP-Adresse des Absenders zu ermitteln, ergibt sich daraus noch nicht zwangsläufig ein Täter. Zumindest in folgenden Fällen enden die Ermittlungen in einer Sackgasse:

  • Die IP-Adresse führt zu einem öffentlich zugänglichen Gerät (in einem Internet-Cafe, bei Messen, Ausstellungen usw.), wo die Benutzer nicht erfaßt werden und Maßnahmen gegen Mißbrauch - sofern überhaupt vorhanden - umgangen wurden.
  • Die IP-Adresse gehört zu Modem-Einwahlverbindungen, und der Spammer hat sich mit erschlichenen oder gefälschten Zugangsdaten eingewählt.
  • Die IP-Adresse führt zu einer ungesicherten Netzwerksteckdose, die z.B. mit einem Laptop benutzt wurde (nicht ganz zufällig ist etwa das Hörsaal-Netzwerk der Uni Wien nur mit Paßwort verwendbar).

  • Die IP-Adresse gehört einer völlig unbeteiligten Institution, die eines der überaus zahlreichen ungeschützten Funk-LANs8) betreibt, die - z.B. von der Straße aus - von jedermann mit Laptop und WaveLAN-Karte einfach mitbenutzt werden können.

In den meisten Fällen wird die Absender-Ausforschung außerdem die Kooperation jener Institution erfordern, die das Netzwerk betreibt, von dem aus der Spam versendet wurde. Aus Datenschutzgründen wird dafür in der Regel ein Gerichtsbeschluß verlangt werden. Wie das Procedere bei der Spam-Verfolgung im Ausland genau aussieht, will man sich lieber gar nicht erst vorzustellen versuchen.

Auf den Punkt gebracht bedeutet das: Bestenfalls läßt sich eine IP-Adresse eruieren, doch selbst diese bringt einen oft nicht ans Ziel.

Wo geht's hier zum Salzamt?

Trotz aller Widrigkeiten ist es selbstverständlich sinnvoll, sich zu beschweren. Beispielsweise wird der Administrator eines mißbrauchten Rechners sehr daran interessiert sein, von seinem Problem zu erfahren. Ebenso sind Provider bzw. sonstige Institutionen meist auf ihren guten Ruf bedacht und dankbar, wenn sie auf Mißbrauch durch ihre Benutzer aufmerksam gemacht werden.

Bevor Sie erwägen, eine Beschwerde zu schreiben: Bedenken Sie, daß Ihre Header-Analyse möglicherweise Irrtümer enthält, daß der Empfänger der Beschwerde möglicherweise tausende ähnliche (womöglich irrtümliche) Beschwerden erhalten hat und daß für die Behandlung des Falls exakte Informationen über den Vorfall - also die Nachricht einschließlich aller Headerzeilen - unbedingt erforderlich sind. Das Beschweren ist also eher nichts für den Laien.

Guten Gewissens kann aber Spamcop empfohlen werden. Dahinter verbirgt sich ein Mailheaderanalyse- und Beschwerdegenerierungssystem, das mit recht guter Treffsicherheit die richtigen Adressen zum Beschweren herausfindet. Das wissen auch die Administratoren von Mailservern, sodaß sie eine Spamcop-Beschwerde eher ernst nehmen als einen handgenerierten Sermon, der womöglich zwar Traceroutes und Whois-Einträge (die der Administrator, da es seine eigenen sind, ohnehin kennt), aber keine brauchbaren Informationen wie beispielsweise die vollständigen Mailheader enthält.

Die Wirkung Ihrer Beschwerde wird, falls sie einer Überprüfung standhält und der Netzbetreiber seriös ist, in der Regel zumindest eine Verwarnung des Übeltäters sein, oft sogar die Sperre des Zugangs. (Eine Rückmeldung werden Sie dennoch nur selten erhalten, schon allein deshalb, weil der zuständige Administrator lieber das nächste Problem bearbeitet als tausende gleichartige Beschwerden zu beantworten.) Aus der Sicht des geplagten Spam-Empfängers ist das Ergebnis - selbst wenn der Zugang gesperrt wurde - eher entmutigend: Der gesperrte Spammer zählt das Geld, das er in der Zwischenzeit bereits verdient hat, zuckt mit den Schultern und eröffnet anderswo bzw. unter anderem Namen einen neuen Account.

Im Zusammenhang mit dem Thema, wie - außer mit Löschen - zweckmäßigerweise auf den Erhalt einer Spam-Mail zu reagieren ist, seien noch drei häufig leider nicht gestellte Fragen beantwortet:

  • Soll ich antworten und dem Absender meine Meinung sagen?
  • Soll ich an die Remove-Adresse schreiben?
    Auf keinen Fall! Fast immer ist die Absenderadresse gefälscht. Falls Ihre Antwort überhaupt irgendwo ankommt, ist es mit höchster Wahrscheinlichkeit die Mailbox einer völlig unbeteiligten Person, die aus tausenden Spam-Reaktionen die wirklich an sie gerichteten Nachrichten mühsam heraussuchen muß (vielleicht war auch gerade das die Absicht des Spams - so etwas nennt sich im Jargon Joe Job)9). Insbesondere wenn Sie den Anweisungen zum Abbestellen wie Unsubscribe, Remove-Me usw. folgen (egal ob es sich um Webseiten oder bestimmte eMail-Nachrichten an bestimmte Adressen handelt), besteht zusätzlich die Gefahr, daß Ihre Adresse nicht nur nicht aus der Adressenliste gelöscht wird, sondern im Gegenteil als besonders wertvoll - weil nachweislich in Gebrauch befindlich - betrachtet und mit noch mehr Spam beglückt wird.

    Um Mißverständnisse zu vermeiden: Es ist nicht alles Spam, was abbestellt werden kann. Bei legitimen Mailinglisten, die Sie selbst subskribiert haben, ist ein unsubscribe durchaus wirksam - nicht aber (oder nur ausnahmsweise) bei unverlangt zugestellten Nachrichten.

  • Soll ich den Spam an meinen Webmaster/Postmaster weiterleiten?
    Da wir immer wieder Spam-Beschwerden an die Adresse webmaster@univie.ac.at erhalten: Der Webmaster ist für die Webseiten zuständig, nicht für eMail. Ihr Postmaster kann in der Regel ebenfalls nichts für Sie tun - immerhin ist es ja die Aufgabe Ihres Mailservers, an Sie gerichtete Nachrichten zuzustellen. In besonders krassen Fällen, die z.B. eine Einschaltung der Gerichte erforderlich machen, können wir jedoch versuchen, bei der Ausforschung des Absenders behilflich zu sein. Ebenso werden wir aktiv, wenn ein Mailserver innerhalb des Uni-Netzes zum Absenden oder unbefugten Relayen von Spam mißbraucht wird. In solchen Fällen wenden Sie sich bitte an die Mailadresse abuse@univie.ac.at.

Strategien gegen Spam

Spam ist ein soziales Problem: Skrupellose Geschäftemacher verdienen Geld auf eine Art und Weise, die der Gesellschaft zumindest auf die Nerven geht. Mit technischen Mitteln zu versuchen, soziale Probleme zu lösen, ist methodisch der falsche Ansatz und kann daher nicht perfekt gelingen. Da eine zivile Lösung mit rechtsstaatlichen Mitteln vorerst nicht in Sicht ist, bleibt aber derzeit keine andere Wahl, als sich die Möglichkeiten der EDV - so gut es eben geht - zunutze zu machen. Dabei gibt es zwei verschiedene Ansätze: Den Weg des Spams zum Empfänger zu blockieren, oder empfangene Nachrichten als Spam zu erkennen und zu entsorgen.

Spam unterwegs blockieren

Schwarze Listen
Ein naheliegender Gedanke ist, von Spammern einfach keine Mail mehr entgegenzunehmen. Viele Benutzer haben bereits versucht, die Adressen, von denen sie Spam erhalten haben, mit den Filtermechanismen ihrer Mailklienten einfach auszusperren. Da Spammer immer wieder neue Absenderadressen verwenden, ist dieser Weg jedoch nicht zielführend.

Der Mailserver besitzt aber eine Information, die dem Mailklienten nicht zur Verfügung steht und die sich nicht fälschen läßt: Die IP-Adresse des Rechners, der die Nachricht abliefert. Ein Administrator kann also versuchen, an seinem Server die Mailserver der Spammer - und damit den Spam - zu blockieren, indem er deren IP-Adresse in eine Sperrliste einträgt. Die manuelle Wartung einer solchen Sperrliste durch jeden einzelnen Postmaster ist aber zu mühsam und zu ineffizient, um zielführend zu sein. Es wurden also automatisch abfragbare, zentral anhand der Spam-Berichte aus der Netzgemeinde befüllte Datenbanken mit den IP-Adressen Spam-versendender Rechner angelegt: Die Blacklists. Damit wurde es möglich, durch einmalige Konfiguration des Mailservers das Sperren von Mailservern an die Betreiber der Blacklists zu delegieren.

Blacklists werden folgendermaßen verwendet: Sobald eine Verbindung zu einem durch Blacklists geschützten Mailserver aufgebaut wird, überprüft dieser, ob die Adresse der Gegenstelle in der Blacklist aufscheint. Ist dies der Fall, wird die Nachricht abgewiesen. Leider haben die Spam-Versender bisher aber immer wieder Methoden gefunden, um die Blacklists zu unterwandern - hauptsächlich durch unfreiwillige Mithilfe anderer Server im Internet. Das Resultat ist eine Unzahl von Blacklists mit unterschiedlicher Semantik: Spam-Hosts, Open Relays und viele andere (einen Überblick gibt der Artikel Spammer vs. Blacklists: Ein ewiges Wettrüsten).

Blacklists haben - rein statistisch gesehen - durchaus eine gute Aussagekraft; ihre Verwendung birgt jedoch auch ein großes Risiko: Wenn man sich zur Verwendung von Blacklists entschließt, gibt man (das ist ja der Zweck der Übung) die Entscheidungsgewalt darüber, mit wem man kommuniziert, an eine fremde Instanz ab. Das setzt ein gehöriges Maß an Vertrauen voraus, dessen Berechtigung kaum zu überprüfen ist.10) Aber selbst die bestgeführten Blacklists leiden unter einem systemimmanenten Mangel: Da statt Spam-Nachrichten nur IP-Adressen geblockt werden, trifft die Sperre auch alle anderen Benutzer des betreffenden Servers. Es ist etwa so, als würde man allen Bewohnern eines Häuserblocks den Führerschein entziehen, sobald einer von ihnen einen Unfall verursacht. Zwar hebt eine solche Maßnahme sicher nachweislich die Verkehrssicherheit, aber spätestens an dem Tag, an dem es einen selbst oder gute Freunde trifft, wird klar, daß die "Mitgefangen-Mitgehangen"-Methode vielleicht etwas überzogen ist. Deshalb hat der ZID nie nach Blacklists gefiltert, sondern lediglich - primär für die Betreiber von Instituts-Mailservern - allfällige Blacklist-Informationen in Form des X-Spam-Flags:-Headers in der Nachricht vermerkt.

Geheimhaltung der Mailadresse
Ein anderer Ansatz, den Weg vom Spammer zum Empfänger zu unterbrechen, ist, die eMail-Adresse geheimzuhalten - oder besser, keine zu haben. Dieser etwas radikalen Grundidee folgend, wurden mehrere Vorgangsweisen entwickelt, die das Kind nicht gleich mit dem Bade ausschütten.

Eine vor allem in Newsgruppen häufig gebrauchte Methode ist Address Munging. Dabei werden Adressen wie Emil.Empfaenger@REMOVETHIS.aldebam.sal.at verwendet. Die Idee: Sollte jemand antworten wollen, wird ihm hoffentlich auffallen, daß das Wörtchen REMOVETHIS aus der Adresse händisch zu entfernen ist, wozu Spam-Programme mangels Intelligenz nicht in der Lage sind. In der Praxis sieht es aber so aus, als würde der gegenteilige Effekt erzielt: Aufgrund der Intelligenz ihrer Programmierer agieren Spam-Programme so, daß sie zumindest die gängigen dieser Füllwörter erkennen und entfernen. Humanoide hingegen interessieren sich nicht besonders für die Mailadresse, sondern verlassen sich darauf, daß diese beim Klick auf Reply ohnehin richtig eingesetzt wurde - und scheitern.

Bei Webseiten besteht die Möglichkeit, statt der Adresse im Klartext oder gar als anklickbarem Link eine Grafik anzuzeigen. Diese Methode ist allerdings nicht zu empfehlen: Dadurch bleibt neben Spammern auch ein nicht unbeträchtlicher Teil der Bevölkerung ausgeschlossen - nämlich Blinde, die mit Braille-Zeile oder Sprachausgabegeräten arbeiten.11) Abgesehen davon haben auch mit Adleraugen gesegnete Mitmenschen meistens keine Freude daran, eMail-Adressen (fehlerfrei!) abtippen zu müssen.

Ein einigermaßen brauchbarer Ausweg, zumindest für stark exponierte Adressen wie beim Posten in Newsgruppen, ist die Verwendung von temporären Mailadressen: Sobald eine Adresse stark spamverseucht ist, verwendet man einfach eine andere und läßt die alte nur mehr für eine Übergangszeit gelten. Dieses Verfahren ist auch äußerst vorteilhaft, wenn man Spam-Traps auslegen möchte (dazu später mehr).

Spam empfangen und entsorgen

Content Filter
Ich kann zwar nicht definieren, was es ist, aber ich erkenne es, wenn ich es sehe ist ein Charakteristikum von Spam. Content Filter versuchen genau das: Spam-Mail anhand ihres Inhalts zu identifizieren. Zum Teil funktioniert das recht gut (Viagra prescriptions und Hot asian teens werden mit ziemlicher Sicherheit erkannt), hin und wieder müssen Content Filter aber auch vernichtende Niederlagen einstecken:

  • Todsichere Spam-Schlüsselwörter gibt es nicht - beispielsweise ist Viagra für Pharmavertreter, Ärzte und vermutlich auch einige Uni-Angehörige (z.B. Autoren von Artikeln über Spam) ein notwendiges Element ihrer eMail-Korrespondenz. Gerade bei einer so breitgefächerten Benutzerschaft wie an der Uni Wien lassen sich für alle "sicheren" Kriterien auch Gegenbeispiele finden.
  • Beim Versuch, natürliche Sprache mit den vergleichsweise plumpen Mitteln der EDV zu behandeln, tauchen nicht selten peinliche Artefakte allzu einfacher Lösungen auf: Microsofts "Adult Content Filter" hat z.B. eine Ausgabe des Microsoft-Newsletter MSDN Flash geblockt,12) weil im Text Plus, VSLive! San Francisco provides over 180 hours of (...) die Zeichenkette over 18 enthalten ist, was ja eindeutig auf zweideutige Angebote hinweist.
  • Statistische Methoden13) sind bei Anwendung im persönlichen Umfeld (zumindest solange Spam und sonstige Korrespondenz in derselben Sprache abgefaßt sind) zwar sehr vielversprechend, bei einer größeren Benutzergruppe läßt die Treffsicherheit aber nach. Der an sich hervorragende SpamAssassin blockte zum Beispiel - offenbar weil viele Benutzer vom Klez-Wurm versendete eMail als Spam klassifiziert hatten - eine Ausgabe der Risks-Mailingliste: Darin wurde dieser Mailwurm diskutiert, und deshalb kam das "böse" Wort Klez zu oft vor...

Massenmail wiedererkennen
Da Spam die Eigenschaft hat, als gleichlautender Text massenhaft aufzutreten, ist es naheliegend, am Server einlangende Nachrichten dahingehend zu überprüfen, ob ihr Inhalt identisch ist. Die Idee, einfach mitzuzählen und eine Nachricht als Spam zu klassifizieren, wenn sie z.B. zum hundertsten Mal entgegengenommen wurde, ist verlockend - aber so einfach ist das auch wieder nicht:

  • Die Methode hat den Nachteil, daß die ersten Empfänger der Nachricht ungeschützt bleiben, weil ja der Zählerstand noch nicht erreicht ist.
  • Spammer variieren zunehmend den verschickten Text. Teilweise wird in einer Art von Begrüßung ein wechselnder Name eingefügt, mitunter finden sich einfach nur wirre Zeichenketten im Text, oder es werden in HTML-Mail zufällige HTML-Kommentare eingefügt, die für den Betrachter unsichtbar bleiben.
  • Die Mailserver des ZID bearbeiten täglich etwa 150 000 Nachrichten. Um jede einzelne davon mit jenen der letzten 24 Stunden zu vergleichen, wären 22 500 000 000 Vergleiche notwendig - so geht das natürlich nicht. Praktisch anwendbar ist aber die Methode, die Rhyolite mit dem Distributed Checksum Clearinghouse (DCC)14) verfolgt: DCC bildet beim Mailempfang eine Prüfsumme über den Mail-Inhalt und zählt in einer weltweiten Datenbank, wie oft diese Prüfsumme errechnet wurde. Um trotz verschiedener Variationen prinzipiell identische Nachrichten erkennen zu können, werden zusätzlich noch zwei "fuzzy" Prüfsummen berechnet und verglichen. Da die öffentliche DCC-Datenbank von zahlreichen Servern auf der ganzen Welt befüllt wird, kann dieses System Massenmail mit guter Trennschärfe identifizieren. Allerdings birgt der kooperative Charakter der weltweiten DCC-Datenbank auch eine theoretische Mißbrauchsgefahr, da jeder - wenn auch erst nach Anmeldung - Prüfsummen zur Datenbank senden kann. Darüber hinaus ist nicht auszuschließen, daß es durch schlichten Irrtum bzw. falsche Konfiguration zu Fehldiagnosen kommt.
  • Massenmail ist nicht unbedingt Spam: Auch subskribierte Mailinglisten und abonnierte Newsletters sind Massensendungen. Sie müssen ausdrücklich von dieser Filtermethode ausgenommen werden.

Spam-Traps
Eine ausgezeichnete Möglichkeit zur Spam-Erkennung bieten sogenannte Spam-Traps oder Honeypots - das sind Mailadressen, die nie benutzt oder vor langer Zeit aufgelassen wurden. Sobald eine Nachricht bei einer Spam-Trap-Adresse einlangt, wird z.B. ihre Prüfsumme mit DCC gespeichert; kommt derselbe Text danach nochmals vor, kann man mit Sicherheit davon ausgehen, daß es sich um Spam handelt. Doch auch hier gibt es Haken:

  • Die verräterische Nachricht an die Spam-Trap-Adresse kommt meist zu spät - zumindest für jene, die ,,ihr" Spam-Exemplar bereits erhalten haben.
  • Es ist nicht so einfach, eine nie verwendete Mailadresse in den Datenbanken der Spammer unterzubringen.15)

URL-Analyse
Wurden früher bei Spam-Nachrichten als Kontaktmöglichkeit oft Telefonnummern angegeben, so enthalten sie jetzt meist schon URLs von Webseiten oder (besonders bei pornografischem Spam) in HTML-Mail eingebettete Links auf Bilder, die bei Betrachtung der Nachricht von einem Webserver geladen werden.

Da im Gegensatz zu Absenderadressen die IP-Adressen, die für solche Webserver benutzt werden können, auch für Spammer nicht in beliebiger Zahl zur Verfügung stehen, stellen URLs eine Achillesferse der Spammer dar. Es gibt bereits ein Verzeichnis von Adreßbereichen, die für das Hosting von Spammer-Webseiten verwendet werden; ein real existierender Spam-Filter, der auf diese Weise arbeitet, ist allerdings bisher nicht bekannt.

Die Gefahr der False Positives

Spam zu erkennen, ist eine interessante Herausforderung, für die es auch zahlreiche gute Werkzeuge gibt. Ein Spam-Filter muß aber auch noch einem anderen Kriterium genügen: Er darf legitime, erwünschte Nachrichten nicht fälschlich abweisen. Angenommen, ein Spam-Filter würde nur 0,01% (ein hervorragender Wert!) der Mail irrtümlicherweise als Spam ausscheiden, wären das an der Uni Wien immer noch 15 Nachrichten täglich.

Eine legitime Nachricht, die irrtümlich als Spam klassifiziert wurde, wird als False Positive bezeichnet. Da die Auswirkungen einer nicht zugestellten wichtigen Nachricht wesentlich gravierender sind als die von "durchgerutschtem" Spam, muß dieser Problematik besonderes Augenmerk gewidmet werden. Es gibt mehrere Möglichkeiten, diese Gefahr zumindest zu verringern.

Whitelists

Ein Werkzeug zur Vermeidung von False Positives sind Whitelists, in denen Absender vermerkt werden, die generell vom Spam-Filter ausgenommen werden sollen. Diese Listen sollte jeder Empfänger selbst verwalten können - beispielsweise um subskribierte Mailinglisten darin aufzunehmen.

Gerade bei großen Mailinglisten gibt es allerdings im Zusammenhang mit Spam-Filtern ein Problem, für das derzeit keine zufriedenstellende Lösung existiert: Listserver senden regelmäßig sogenannte Probes an die Abonnenten aller Listen, um Karteileichen auszusortieren - kommt eine Fehlermeldung zurück, ist die getestete Adresse nicht mehr aktiv und wird von der Mailingliste gestrichen. Diese Testnachrichten werden aber mit einer speziellen (also nicht der sonst verwendeten) Absenderadresse verschickt, sodaß es geschehen kann, daß sie von der Whitelist nicht erfaßt und eventuell abgewiesen werden - mit dem Effekt, daß die getestete, an sich gültige Adresse aus der Mailingliste ausgetragen wird. Der einzige Ausweg ist hier, die gesamte Domain, aus der die Mailingliste verschickt wird, in die Whitelist aufzunehmen.

Ein weiteres Problem liegt in der Notwendigkeit, die Whitelist aktuell zu halten. Man könnte zwar alle Mailadressen automatisch in die Whitelist aufnehmen, an die man selbst Nachrichten geschickt hat; das hilft aber leider nicht, wenn die Antwort von einer anderen Adresse kommt (z.B. wenn bei einer Anfrage an eine Service-Mailadresse der zuständige Bearbeiter unter seiner persönlichen Mailadresse antwortet). Ein solches automatisches Whitelisting könnte sogar generell für die ganze Universität eingeführt werden: Es ist sicher vernünftig, anzunehmen, daß jede Adresse, an die ein Uni-Angehöriger schreibt, auch für alle anderen akzeptabel ist. Diese Vorgangsweise birgt jedoch die Gefahr, daß damit z.B. auch die Adressen von Spammern weißgewaschen werden, denen genervte Empfänger, die diesen Artikel nicht gelesen haben, eine grobe Antwort zukommen lassen.

Abgesehen davon ist es nur eine Frage der Zeit, bis auch Spammer das tun, was im Bereich der Mailwürmer bereits State of the Art ist, nämlich eine Absenderadresse verwenden, die aus derselben Domain wie die Empfängeradresse stammt: Diese ist mit hoher Wahrscheinlichkeit bereits in der Whitelist enthalten.

Signierte Mail

Da es für Spammer aufgrund der leichten Wiedererkennbarkeit nicht sinnvoll ist, Spam zu signieren, und folgerichtig bisher noch kein Spam mit einer elektronischen Signatur gesichtet wurde, wäre es ein gutes Kriterium, Nachrichten, die eine überprüfbare16) elektronische Unterschrift aufweisen, auf jeden Fall zuzustellen. Allerdings werden elektronische Signaturen heutzutage noch recht selten verwendet, sodaß diese Maßnahme derzeit nicht besonders effizient erscheint.

Spam-Folder

Um die Konsequenzen von Fehlentscheidungen des Spam-Filters zu lindern, besteht die Möglichkeit, alle als Spam erkannten Nachrichten automatisch in einem eigenen Spam-Folder ablegen zu lassen. Irrtümlich als Spam eingestufte Mail kann somit vom Empfänger bei der Kontrolle seines Spam-Folders wieder herausgefischt werden. Das setzt allerdings voraus, daß der Spam-Folder regelmäßig überprüft - und geleert! - wird. Nachdem für den einzelnen Benutzer False Positives aber relativ selten sind, ist damit zu rechnen, daß die Kontrollfreudigkeit schnell abnimmt und der Spam-Folder mehrheitlich unbeachtet bleibt. In diesem Fall ist mit einem Spam-Folder niemandem gedient: Der Empfänger bekommt die Nachricht nie zu Gesicht, und der Absender kann nur rätseln, warum er keine Antwort erhält.

Die alternative Methode - die Nachricht abzuweisen und den Absender mit einer Fehlermeldung davon zu verständigen - hat jedoch gleich zwei positive Effekte: Einerseits erfährt der Absender frühzeitig, daß seine Nachricht nicht angekommen ist, und kann sich gegebenenfalls auf anderem Weg mit dem Empfänger in Verbindung setzen. Andererseits ergibt eine unzustellbare Fehlermeldung einen weiteren Indikator für den Spam-Filter - wer sonst setzt schon eine unzustellbare Adresse als Absender ein?

Conclusio

Auch wenn sein Auftreten im digitalen Medium eMail darüber hinwegtäuschen mag: Spam ist ein Problem der Gesellschaft - es handelt sich um rüpelhaftes Verhalten und skrupellose Geschäftemacherei. Die sonst in solchen Fällen üblichen Methoden, insbesondere juristische Maßnahmen, greifen (noch) nicht, müssen aber weiter umgesetzt und ausgebaut werden. Interimistisch kann man versuchen, mit technischen Mitteln die Folgen zu bekämpfen, also Spam-Filter einzusetzen. Es gibt aber (schon allein, weil Spam sich durch die böse Absicht des Absenders und die Wahrnehmung des Empfängers definiert) keine absolut zuverlässige Methode, sich vor unerwünschter eMail zu schützen - zumindest nicht, ohne daß dabei auch erwünschte Mail geopfert wird.

Für das Design des Spam-Filters der Uni Wien ergaben sich daraus zwei Anforderungen: Erstens durch Kombination mehrerer Methoden eine höchstmögliche Treffsicherheit anzustreben und zweitens die Entscheidung für oder gegen seinen Einsatz jedem Benutzer selbst zu überlassen.

 

 

 

1) Der Nummerierungsplan für öffentliches Telefonnetz und ISDN gemäß ITU-T Empfehlung E.165 entsprechend BGBl.II Nr. 416/1977 ist als PDF-Datei unter http://www.bmvit.gv.at/sixcms_upload/media/74/np_e164.pdf verfügbar.

2) siehe http://www.0190service.de/

3) Das Beispiel funktioniert tatsächlich so wie beschrieben und stellt das Prinzip wahrheitsgetreu dar. In der Praxis kommen jedoch zahlreiche Details und Erweiterungen hinzu, die zusammen mit hier sorgsam verschwiegenen Fragen (etwa: Woher weiß der Mailserver, welcher andere Server näher am Ziel ist?) aus eMail eine äußerst komplexe Materie machen.

4) Auch Attachments, die absolut kein Text zu sein brauchen, werden so verpackt, daß sie für den Mailtransport als "Text" gelten - sie sind ebenfalls Bestandteil des Body. Der Aufbau einer eMail-Nachricht ist im Dokument Internet Message Format (RFC 2822, ftp://ftp.univie.ac.at/netinfo/rfc/rfc2822.txt) genau definiert; Erweiterungen für Umlaute, Attachments usw. sind in den Multipurpose Internet Mail Extensions (MIME) festgelegt (RFC 2045 - 2049).

5) Das Protokoll, nach dem dieser Dialog abgewickelt wird, ist das Simple Mail Transfer Protocol (SMTP), siehe RFC 2821 (ftp://ftp.univie.ac.at/netinfo/rfc/rfc2821.txt).

6) siehe http://www.univie.ac.at/ZID/faq/mail_nicht_an_mich_adressiert.html

7)Diese Wahrheit gilt nicht ohne Einschränkungen: Einerseits ist es in der Regel kein Problem, die Adresse eines anderen Rechners im eigenen Netz zu übernehmen, solange dieser nicht eingeschaltet ist. In Zusammenhang mit Spam ist das jedoch kein Thema, weil den Spam-Versendern damit noch nicht gedient ist. Andererseits kann ein Absender mittels Sequence Number Prediction (erstmals 1985 in http://www.pdos.lcs.mit.edu/~rtm/papers/117-abstract.html beschrieben und seither in verschiedenen Variationen immer wieder aktuell geworden) gegenüber alten Servern eine falsche Identität vortäuschen. Diese Möglichkeit ist aber offenbar zu selten zielführend und zu kompliziert, als daß Spammer darauf zurückgreifen würden.

8) Mehr über den Versuch, in der Tradition der Gaunerzinken eine Kreidezeichen-Subkultur für WaveLANs zu gründen, erfahren Sie unter http://www.warchalking.org/.

9) siehe http://www.cotse.com/11022000.html

10)Der Betreiber von ORBS (einer auf Non-Profit-Basis betriebenen, sehr effizienten und beliebten Blacklist) mußte, nachdem er ein Gerichtsverfahren verloren hatte, in dem ihm ungerechtfertigte Listings vorgeworfen wurden, den Betrieb einstellen und ein Eingeständnis veröffentlichen. Nach der vorherrschenden Meinung in der Antispam-Gemeinschaft liegt dies jedoch daran, daß der Betreiber den Prozeß nicht finanzieren konnte; folgerichtig wird die faktische Richtigkeit der Vorwürfe weithin angezweifelt.

11) Ein Besuch von http://www.cast.org/bobby/ sollte ohnehin für jeden Webdesigner verpflichtend sein.

12) siehe http://catless.ncl.ac.uk/Risks/21.90.html#subj3

13) Diese beruhen darauf, das Vorkommen bestimmter Wörter als Hypothese dafür zu betrachten, daß die Nachricht Spam oder eben kein Spam ist. Die Richtigkeit der Hypothese wird an einer größeren Menge Mail getestet, die durch den Anwender in Spam und Nichtspam klassifiziert wurde ("der Filter wird trainiert"); daraus werden Koeffizienten berechnet, die den einzelnen Wörtern zugeordnet werden. Zur Prüfung einer Nachricht werden die Koeffizienten aller darin enthaltenen Wörter zu einem Spam-/Nichtspam-Verhältnis zusammengerechnet (siehe auch http://www.paulgraham.com/spam.html).

14)siehe http://www.rhyolite.com/anti-spam/

15)Scheinbar schlucken Spammer nicht jeden ausgelegten Köder: Der Autor dieser Zeilen postet schon lange regelmäßig mit markierten Adressen in Newsgruppen und erhält dennoch nur ca. 200 Spam-Nachrichten pro Tag an diese Adressen. Es wäre denkbar, daß die heiß diskutierten Postings von klautzi05@hotmail.com, der/die gebrauchte Zahn- und Klobürsten feilbietet, oder die berüchtigten Postings der Hürbine von Pleuselspink gerade dazu dienen sollen, Spam-Trap-Adressen attraktiv zu machen.

16)Etwa GPG/PGP-Signaturen, deren Schlüssel (Keys) auf http://www.keyserver.net/ hinterlegt sind oder von einer Zertifizierungsinstanz ausgestellt wurden.