Was sind Spam`s


Was ist Spam?

Pin SchrittesserSPAM-Mails sind unerwünscht zugesandte E-Mails. Von derzeit ca. 30 Milliarden E-Mails pro Tag werden über 40 Prozent als Spam eingestuft. Zukünftig wird sich der Anteil noch weiter erhöhen. Die unternehmensspezifische „Belästigungsrate“ kann jedoch wesentlich höher sein. Trotz aller Versuche, die Werbemail-Flut mit juristischen Mitteln in den Griff zu bekommen, ist der Einsatz professioneller IT- Spezialisten vorzuziehen, um Spam-Mails schnell und wirksam zu blockieren.

Welche Schäden richtet Spam an?

Die durch Spam entstehenden Schäden sind zum Teil nicht exakt bezifferbar. Sie lassen sich jedoch in folgende Bereiche unterteilen:

  • Arbeitszeitverlust. Zum Erkennen von Spam müssen die Mitarbeiter eine E-Mail zumindest kurz anlesen. Besonders bei semiprofessionell gestalteten Werbemails entsteht ein höherer Zeitaufwand für die manuelle Erkennung. Verbunden mit der Echtzeitsignalisierung moderner E-Mail-Clients wie Outlook oder Notes kommt es zu permanenter Ablenkung und Rüstzeitverlusten. Verstärkt wird das ganze dadurch, dass inzwischen viele Werbemails mit Weblinks versehen sind, so dass im E-Mail-Fenster eine Website erscheint. Der Betroffene soll dadurch zum Websurfen, Spielen etc. animiert werden.
  • Speicherverbrauch. Die Speicherkapazitäten von E-Mail-Servern und Archivierungssystemen werden durch Spam massiv beansprucht. Durch die große Anzahl von Werbemails verbunden mit vielen Empfängern kommt es zu einer Auslastung von über 50 Prozent der Speicherkapazitäten mit eigentlich unerwünschten Daten.
  • Empfängerverifikation. In letzter Zeit werden Spam-Mails verbunden mit Weblinks verstärkt zur Verifikation echter Adressen verwendet. Dazu werden der Werbemail individualisierte Identifier beigefügt. Wird die Mail geöffnet oder im Vorschaufenster gelesen, wird automatisch der eingebaute Weblink mit der ID angesteuert und somit die Empfängeradresse verifiziert. Anschließend steigt die „Belästigungsrate“ stark an.


Welche Abwehrmaßnahmen gibt es?

Logo-schwarze KatzeGenerell lassen sich Spam-Mails mit Einstellungen beim Provider erkennen und blockieren. Daneben gibt es keine alternativen Abwehrmaßnahmen. Im Detail ist zu entscheiden, ob Spam bereits am Mailserver oder erst am Client herausgefiltert werden soll. Für mittlere und größere Unternehmen ist eine zentrale Server- oder Gatewaylösung meistens die einzige Alternative. Kleinunternehmen, welche keine eigene E-Mail-Infrastruktur betreiben, sind mit Clientlösungen oder Services von E-Mail-Dienstleistern gut gerüstet.

Welchen Return on Investment kann ich erwarten?

Eine Investition in Spam-Abwehr und Inhaltsprüfung durch einen Spezialisten amortisiert sich nachweislich schon nach kürzester Zeit. Durch das Filtern und Blocken von unerwünschten E-Mails trägt dieser zur Produktivität Ihrer Mitarbeiter bei und sorgt zudem für eine Entlastung der Speicherkapazitätsanforderungen. So berichten schritt]esser Kunden von Speicherplatzeinsparungen bis zu 80%. Nachdem einige Anbieter von Anti-Spam-Lösungen mit einer 99,999%igen Erkennungsrate werben, befürchten die Benutzer zu Recht, dass diese hohen Raten auch eine höhere Fehlerquote (False Positives = fälschlich als Spam klassifizierte erwünschte Mails) bedeuten.

Wie funktionieren die Anti-Spam Produkte?

Modernste Anti-Spam Produkte unterstützen Sie bei der Spamabwehr durch einen mehrstufigen Prozess. Im Kern unterscheidet man nachfolgende Verfahren, welche auch in Kombination und gestaffelt verwendet werden können:

  • Absendererkennung und Blockieren der Absender per IP-Adresse und Name. Die Wirksamkeit dieser Methode ist unterdurchschnittlich, da viele Adresslisten im Internet nicht dem aktuellen Stand entsprechen und die Spam-Versender die Adressen häufig wechseln. Die Methode kann unter Umständen zusätzlich zu einer hohen False Positive Rate führen, wenn der Kommunikationspartner ungewollt auf eine derartige Sperrliste geraten ist. In Kombination mit anderen Verfahren und richtig eingesetzt kann die Absendererkennung aber ein einfaches und sehr hilfreiches Mittel sein.
  • E-Mail-Kopfzeilen Analyse. Die Prüfung von erweiterten Informationen in den E-Mail-Kopfzeilen (Header) auf Konsistenz erlaubt das gezielte Erkennen von E-Mails, welche nicht von Standard E-Mail-Systemen wie Microsoft Exchange, Lotus Domino o.Ä. versendet wurden. Voraussetzung für eine hohe Erkennungsrate ist ein fein abgestimmtes Rating der einzelnen Merkmale.
  • Strukturanalyse von Adressfeldern, Betreff und Nachrichtentext. Bei diesem Schritt wird überprüft, ob das Empfängerfeld (An:) oder die Betreffzeile leer ist und ob der E-Mail-Nachrichtentext (Body) eine Kombination von unerwünschten HTML-Tags und Skripten enthält.
  • Textanalyse durch gewichtete Wortlisten in Betreff und Nachrichtentext. Die Wirksamkeit dieser Methode hängt im Wesentlichen von den Wortlisten und dem Gewichtungsalgorithmus ab.
  • Textanalyse mit statistischen Verfahren wie z.B. Content Recognition Engine (CORE). Hierbei handelt es sich um ein sehr flexibles Verfahren zur systematischen Erkennung von Inhalten nach frei definierbaren Kategorien wie Spam, Newsletter, Business etc. Die Wirksamkeit dieses Verfahren ist sehr hoch. In Kombination mit den oben genannten Filtermethoden sind sehr hohe Erkennungsraten möglich.

Warum sind Anti-Spam Richtlinien sinnvoll?

Pin SchrittesserAuch im Bereich der Spamabwehr ist eine Kombination verschiedener Verfahren wie Adressfilter, E-Mail-Kopfzeilen Analyse, Textanalyse usw. für eine hohe Erkennungsrate unabdingbar. Nur mit zentral administrierten Richtlinien können die individuellen Anforderungen von Bereichen, Abteilungen, Teams und einzelnen Nutzern sinnvoll umgesetzt werden. So können beispielsweise Newsletter, welche oftmals sehr hohe Ähnlichkeiten mit Spam-Mails besitzen, für eine bestimmte Gruppe vom Filtering gezielt ausgenommen werden. Es erweist sich zudem als nützlich, für verschiedene Nutzergruppen unterschiedliche Schwellwerte zu verwenden und somit die Filterfunktionen zu optimieren.

Wie kann ich die Filterleistung beurteilen?

Die Filterrate von Anti-Spam Produkten wird als Verhältnis von erkannten Spam-Mails zu den insgesamt erhaltenen Spam-Mails ausgedrückt. Ein weitere wichtige Kenngröße sind die sogenannten False Positives. Damit sind E-Mails gemeint, die fälschlicherweise als Spam eingeordnet, herausgefiltert und meist in Quarantäne gestellt worden sind. Die Leistungsfähigkeit einer Anti-Spam Lösung lässt sich nur an beiden Kriterien messen. Produkte wie die iQ.Suite erreichen durch die vielfältigen Filtermechanismen in Verbindung mit den zentralen Filterichtlinien bis zu 95 Prozent Filterrate bei einem extrem kleinen Anteil von False Positives.

Was sind heuristische Verfahren zur Spamabwehr?

Der Begriff Heuristik wird oftmals auch für einfache Texterkennungsverfahren, wie beispielsweise gewichtete Wortlisten verwendet. In neueren Produkten sind weitere Methoden zur Texterkennung und Analyse implementiert worden, welche auf verschiedenen mathematisch-statistischen Verfahren oder auf Ähnlichkeitsverfahren beruhen. Oftmals werden dabei Verfahren aus den 70er Jahren wie Naive Baysian verwendet.

Wie funktionieren gewichtete Wortlisten?

softwareGewichtete Wortlisten sind eine effektive Technologie für Inhaltsprüfung. Dazu werden Wortlisten und Phrasen eines Themengebietes in einer Kategorie zusammengefasst. Ein Gewichtungsalgorithmus sorgt dafür, dass nicht ein einmaliges Auftreten eines Wortes zur Schwellwertüberschreitung führt, sondern eine Kombination oder ein Mehrfachauftreten den Ausschlag geben. Spezielle Wortlisten für Anti-Spam-Funktionen erlauben eine differenzierte Konfiguration mit hohem Filtergrad. Entscheidend für die Wirksamkeit ist der verwendete Gewichtungsalgorithmus, weshalb einige Anbieter in diesem Zusammenhang von Heuristik sprechen.

Was bedeutet E-Mail-Kopfzeilen Analyse?

Jede E-Mail enthält neben den sichtbaren Informationen eine Vielzahl von Kontroll- und Steuerungsfeldern für das E-Mail-Routing durch das Internet. Anhand dieser Informationen lässt sich die Route einer E-Mail vom Absender bis zum Empfänger nachvollziehen. Versender von Spam-Mails manipulieren die Kontrollfelder, um sich der Verfolgung zu entziehen. So werden beispielsweise Informationen zum Quell-Mailserver verändert, um die Rückverfolgung zum Absender zu erschweren.
Verfahren zur E-Mail-Kopfzeilen Analyse untersuchen die Kontrollinformationen auf Konsistenz und Vollständigkeit. Wird eine oder mehrere Unregelmäßigkeiten erkannt, so werden diese mit einem Rating versehen. Durch entsprechende Schwellwerteinstellungen können die Filterfunktionen den Richtlinien angepasst werden.

Was verbirgt sich hinter RBL, MAPS, Reverse DNS, DCC u.a.?

E-MailversandRealtime Blackhole List (RBL) ist eine Sperrliste im Internet, welche im Rahmen des Mail Abuse Prevention Systems (MAPS) zur Verfügung gestellt wird. Die Liste enthält alle ungeschützten Mailserver, welche von Spam-Versendern zum Versand der unerwünschten E-Mails verwendet werden. Ein Mailserver, der RBL nutzt, kann die Aufnahme der Kommunikation mit dem ungeschützten System verweigern. Die Wirksamkeit von RBL sank in letzter Zeit stark, da immer mehr offene Clientsysteme mit wechselnden IP-Adressen nichtsahnender Internetbenutzer zum Versand von Spam-Mails missbraucht werden. Reverse DNS ist Teil des Domain Name System im Internet. Es beruht auf einem Rückfrageverfahren, bei dem Name und IP-Adresse des anrufenden Mailservers durch einen Reverse Lookup (Abfrage der IP-Adresse anhand des Domänennamens bei einem DNS-Server) auf Konsistenz geprüft wird. Treten Abweichungen auf, wird die Verbindungsaufnahme abgebrochen. Die Wirksamkeit gegen Spam ist stark umstritten, da Spam-Versender sehr häufig fremde (Echt) Systeme für den Versand nutzen oder sogar eigene E-Mail-Versandsysteme betreiben. Eine neuartige Methode stellt das Distributed Checksum Clearinghouse (DCC) dar. Grundlage von DCC sind eigene Checksummen-Server, welche von jeder E-Mail eine Prüfsumme und Angaben zur Anzahl der jeweiligen Empfänger in einer Datenbank zur Verfügung stellen. Zur Prüfung auf Spam wird mittels eines DCC-Clients auf dem Mailserver die Prüfsumme berechnet, und diese zusammen mit der ermittelten Anzahl Empfänger an den Server übermittelt. Dies führt zu einer kumulativen Sammlung der tatsächlichen Empfängerangabe welche der Server jeweils dem Client als Ergebnis zurückliefert. Diese Anzahl kann nun mit der eintreffenden Mail auf dem Mailserver verglichen werden. Weicht die Anzahl stark voneinander ab, so handelt es sich um einen Mailspread und damit mit hoher Wahrscheinlichkeit um Spam-Mail. Das Prinzip weist auch einige Lücken auf:

  • Newsletter werden in der Regel auch als Massenmail versendet,
  • ein Spam-Versender kann das System durch personalisierte Einzelmails umgehen,

bei sich schnell ausbreitenden E-Mails existiert noch kein Datenbankeintrag,

  • große Abhängigkeit von der Community und von der Verbreitung des Systems.

Ein alternatives und kommerzielles Verfahren ist SpamNet. Ähnlich wie bei DCC werden Prüfsummen für jede E-Mail berechnet. Im Unterschied zu DCC erhält SpamNet die Spam-Mails jedoch durch eine individuelle Klassifikation durch Endbenutzer zugestellt. Hierdurch entsteht unter Umständen ein erheblicher Zeitversatz, da eine E-Mail erst ab einem bestimmten Schwellwert an Meldungen als Spam in die Datenbank aufgenommen wird.


Logo-Exigo-Datensicherheit-300x211


0 Antworten

    Schreibe einen Kommentar