Spamabwehr vor Kapitulation: Greifen gängige Methoden noch?

Für die Spamerkennung gibt es äußerst unterschiedliche Ansätze. Älteste Methode ist das Content-Filtering. Dabei wird E-Mail auf bestimmte Worte und Phrasen überprüft. Enthält eine Mail beispielsweise das Wort „Viagra“, so wird sie als Spam eingestuft. Da Spammer allerdings äußerst professionell arbeiten, leiten sie Gegenmaßnahmen ein. Einfachste Methode ist die Verfremdung des Wortes. So wird beispielsweise „Vi Ag*ra“ statt „Viagra“ geschrieben, um den Content-Filter zu überlisten.

Seit der Einführung von Content-Filtering liefern sich Spammer und Anti-Spammer ein erbittertes Duell, in dem sie versuchen, sich gegenseitig auszutricksen. Ein Beispiel ist die Versendung von Spam-Mails mit Bildern statt Text. Verwendet man im Bild nicht gerade eine übliche Schriftart, etwa Arial, so kann eine Anti-Spam-Lösung auch mittels OCR keine Wörter und Phrasen finden.

Klassisches Content-Filtering, wie es clientseitig der Outlook-Junk-Mail-Filter und serverseitig SpamAssassin realisieren, bedeutet letztendlich einen Kampf gegen Windmühlen. Die Fehlerrate bleibt hoch. False Positives können nicht vermieden werden.

Wesentlich effektiver ist ein verteilter Ansatz. Hierzu werden sogenannte Spamfallen aufgestellt. Eine Spamfalle besteht aus einem nicht genutzten E-Mail-Account. Die zugehörige E-Mail-Adresse wird unsichtbar auf Webseiten platziert, so dass sie von den Webspidern der Spammer gefunden wird. Alle dort eingehenden E-Mails sind somit Spam, da außer Spammern niemand E-Mail an diese Adressen schickt. Zudem kann man sich weiter absichern, indem man mehrere Fallen aufstellt. E-Mails mit identischem Inhalt, die beispielsweise in zehn von 50 Spamfallen eingehen, sind eindeutig als Spam zu klassifizieren.

Von diesen E-Mails wird ein Fingerprint mit wenigen Bits, typischerweise 64 oder 128, erstellt. Es ist dabei egal, ob der Inhalt aus Text, Bildern oder einer Schadsoftware besteht. Ein wenig Fingerspitzengefühl muss man jedoch an den Tag legen, da auch Spam-Mails geringfügige Unterschiede im Inhalt haben, beispielsweise eine Anrede wie „Dear user@example.com“.

Die Fingerprints werden in einer Datenbank gesammelt, die man relativ klein halten kann, da die Fingerprints wenig Platz in Anspruch nehmen. Ein 64-Bit-Fingerprint birgt die Wahrscheinlichkeit eines false Positives von 18 Trillionen zu eins. Pro zusätzlich verwendetem Bit im Fingerprint halbiert sich diese Wahrscheinlichkeit.

Dieses Verfahren bietet eine sehr gute Spam-Erkennung bei einer Wahrscheinlichkeit von False Positives, die gegen Null tendiert. Voraussetzung zur Nutzung des Verfahrens ist immer ein Dienstanbieter. Für die Betreiber von Firmen-Mailservern bietet eleven seinen Fingerprint-Dienst eXpurgate an. In kleineren Installation bis etwa 500 Benutzern kann E-Mail an die firmeneigene Domain mittels MX-Record über die Server von eleven geroutet werden. Beim eigenen SMTP-Server kommen nur E-Mails an, die nicht als Spam erkannt wurden.

Legt man größten Wert auf Vertraulichkeit oder verwaltet eine größere Installation, kann eXpurgate auch auf eigenen Servern inhouse betrieben werden. Die Datenbank mit den Fingerprints wird dabei laufend aktualisiert.

Die Firma Cloudmark hingegen richtet sich an ISPs, die Mailboxen von mehreren Millionen Kunden betreiben. Das Prinzip ist ähnlich, jedoch ist man vor andere Probleme gestellt. Die Datenbank der Fingerprints wird komplett im Hauptspeicher realisiert, um den Durchsatz hoch zu halten.