Einen ganz anderen Ansatz verfolgt DNS-Blacklisting. Hier wird der Inhalt einer E-Mail gar nicht berücksichtigt. Auch DNS-Blacklisting arbeitet mit Spamfallen. Allerdings wird die IP-Adresse des Absender auf eine „schwarze Liste“ gesetzt. Mailserver können diese Liste abfragen und E-Mails von den gelisteten IP-Adressen zurückweisen.
Die Chance von False Positives ist jedoch recht hoch. Typischerweise verbleiben IP-Adressen einige Tage bis einige Wochen auf den schwarzen Listen. Geht kein weiterer Spam ein, so werden die IP-Adressen von der Liste gestrichen.
Der Erkennungsquote ist nur mäßig und liegt bei etwa 80 Prozent. Darüber hinaus haben kleinere Firmen mit eigenem Mailserver häufig Grund zur Klage. Besitzt eine kleine Firma nur eine öffentliche IP-Adresse, so kann sie leicht auf eine schwarze Liste geraten, wenn ein Rechner im Unternehmensnetz von einem Botnetz übernommen wird. Bis die IP-Adresse wieder von der Liste genommen wird, kann auch der offizielle Mailserver keine Mails mehr versenden.
Bei großen ISPs ist DNS-Blacklisting beliebt, da wenig Ressourcen in Anspruch genommen werden. Äußerst problematisch ist die pauschale und dauerhafte Listung von IP-Adressen, die von ISPs an Privatkunden vergeben werden. Das wird beispielsweise von Spamhaus.org praktiziert. Von den betroffenen Internetanschlüssen können faktisch keine E-Mails direkt versendet werden, da viele große Mailanbieter, etwa Web.de, GMX und Windows-Live-Mail (vormals Hotmail), Mails ablehnen, die von bei Spamhaus.org gelisteten IP-Adressen stammen.
Außerdem nimmt die Effektivität von DNS-Blacklisting kontinuierlich ab. Ein ZDNet-Test zeigt, dass viele Spam-Mails am Ende durchkommen. Ein von ZDNet aufgestellter SMTP-Server verwendet dazu Blacklisten von Spamhaus.org. Es gehen etwa zehn bis 15 Spam-Mails pro Stunde ein. Im ersten Versuch werden die meisten abgewiesen. Doch die Botnetze der Spammer geben nicht auf. Ein und dieselbe Spam-Mail trifft nacheinander aus den unterschiedlichsten Teilen der Welt ein. Am Ende findet sich meist eine IP-Adresse, die nicht bei Spamhaus.org erfasst ist.
Ähnliches gilt für Greylisting. Diese Technologie ist mittlerweile ohne jeden Effekt. Beim Greylisting weist der Mailserver jede E-Mail grundsätzlich mit einem temporären Fehler zurück. Das SMTP-Protokoll unterscheidet grundsätzlich temporäre und permanente Fehlercodes. Ein permanenter Fehler ist beispielsweise „E-Mail-Adresse unbekannt“. Der dreistellige Fehlercode beginnt in diesem Fall mit einer fünf. Ein temporärer Fehler kann hingegen vorliegen, wenn der SMTP-Server seinen LDAP-Server mit den Routing-Informationen gerade nicht erreichen kann. Der zurückgegebene Fehlercode beginnt mit einer vier, um dem Absender zu signalisieren, dass er es später noch einmal versuchen soll.
Ältere Spamsoftware unternimmt keinen zweiten Versuch. Echte SMTP-Mailer hingegen folgen den Vorgaben des Protokolls. Doch nichts ist einfacher für die Programmierer der Botnetze, als Greylisting auszuhebeln. Der einzige Effekt von Greylisting besteht mittlerweile darin, dass E-Mails etwa eine halbe Stunde Verspätung haben.
Neueste Kommentare
1 Kommentar zu Spamabwehr vor Kapitulation: Greifen gängige Methoden noch?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wegwerfdomains
Gerade die Wegwerfdomains sind ein wunderbares Spam-Merkmal. Seltsamerweise wird der Name des Systems, das sehr erfolgreich mit Wegwerfdomain-Erkennung arbeitet, von ZDNet geblockt. Na dann weiterhin viel Spaß beim manuellen Spam-Löschen.