Die Ausbreitung von Spam wird durch den E-Mail-Standard Simple Mail Transfer Protocol (SMTP) überhaupt erst ermöglicht. Ursache ist die bösartige Nutzung des ursprünglich auf Fairness basierenden Protokolls, das nun von kriminellen Geschäftemachern missbraucht wird. Während E-Mail heutzutage die wichtigste Online-Anwendung ist, hat sich die Infrastruktur, mit der E-Mail gesendet, empfangen und verwaltet wird, in den vergangenen 20 Jahren kaum weiterentwickelt. Das gute alte SMTP ist - wie sein Name richtigerweise andeutet - vor allem eines: Simpel. Von Sicherheit oder Schutz gegen unerwünschte E-Mails fehlt ihm jedoch nahezu jede Spur. Seit dem denkwürdigen Internet-Dokument "RFC 821", mit dem Jon Postel im Jahr 1982 SMTP offiziell vorschlug, sind viele Verbesserungsversuche unternommen worden. Doch auch die aktuell gültige Fassung "RFC 2821" aus dem Jahr 2001 adressiert das Thema Sicherheit nur am Rande.
Simpel aber nicht sicher
In der Praxis hat diese lange Beständigkeit zu einer Vielzahl von Implementierungen geführt, die sich dank seiner Einfachheit bis heute an dem ursprünglichen Standard orientieren. Der Vorteil liegt klar auf der Hand: Praktisch alle Anwendungen und Server, die SMTP verwenden, können ohne Kompatibilitätsprobleme miteinander kommunizieren – nur eben nicht sicher. Zwar existieren zahlreiche mehr oder weniger intelligente Änderungsvorschläge für den Standard, aber selbst das ansonsten sehr zurückhaltende Standardisierungsgremium der Internet Engineering Steering Group (IESG) warnte noch im Juni 2005 vor den ungelösten Fragen und vor dem gemeinsamen Einsatz von mehreren dieser experimentellen Ansätze.
Für Unternehmen führt daher auch mittelfristig kein Weg an SMTP vorbei. Schließlich ist es der einzige weltweit wirklich universelle Standard für den E-Mail-Transport. Es ist also an der Zeit, dem Veteran mit einigen zeitgemäßen Techniken die fehlenden Eigenschaften beizubringen, ohne dabei irgendwelche Kompromisse bei der Verträglichkeit zur E-Mail-Welt einzugehen.
Gute und böse E-Mails
Genau das hat ein Team von E-Mail-Experten im Jahr 2000 dazu bewogen, das Unternehmen Ironport aus der Taufe zu heben. Die illustre Mannschaft aus den Hotmail-Gründern und Experten von Yahoo, Egroups und Listbot hat sich nicht weniger vorgenommen, als E-Mail-Benutzer vollkommen standardkonform vor Spam und sonstigen unerwünschten Inhalten zu schützen. Die Idee dahinter: Wenn es gelingt, den weltweiten E-Mail-Verkehr bereits an der Quelle als "gut" oder "böse" zu klassifizieren, können theoretisch unendlich viele Empfänger davon profitieren.
Um unerwünschte E-Mails vom regulären E-Mail-Strom zu trennen, braucht man Unterscheidungsmerkmale. Die Kernfrage beim Umgang mit E-Mail-Strömen lautet also: Wie erkennt man möglichst viele der unerwünschten E-Mails, ohne den regulären Kommunikationsfluß zu behindern? In der Vergangenheit gab es hierzu zahlreiche Ansätze, etwa die so genannten Black- und Whitelists. Das sind im Internet verbreitete Listen der Adressen bekannter Übeltäter und der zugehörigen Ausnahmen. Mit Hilfe dieser Verzeichnisse lässt sich die gesamte Kommunikation zu den bekannten Adressen einfach komplett abschotten. Da sich die Spam-Versender und die Wurmausbreitungsmechanismen aber mittlerweile sehr geschickt tarnen und zahlreiche, stetig wechselnde Adressen verwenden, ist die Wirkung von solchen statischen Listen grundsätzlich begrenzt. Zudem besteht die Gefahr, dass Unternehmen versehentlich auf einer Blacklist landen und dann für mehrere Tage keine E-Mails mehr versenden können.
Auf der anderen Seite haben Applikationshersteller viel Energie darin investiert, ihren E-Mail-Clients, Antivirus- und Content-Scanning-Lösungen immer intelligentere Filtermechanismen beizubringen. Sie alle haben zwei Dinge gemeinsam: Zum einen basieren sie grundsätzlich auf einer Analyse des E-Mail-Inhalts - zum anderen müssen alle E-Mails dazu überhaupt erst einmal angenommen werden. Bis dahin verbrauchen sie jedoch kostbare Ressourcen an Rechenleistung, Kommunikationsbandbreite und Speicherplatz. Hinzu kommt die teils erhebliche Gefährdung durch Schadprogramme und illegale Inhalte.
Reputationsbasierende Prävention
Eine grundsätzlich andere Herangehensweise verfolgt die reputationsbasierte Prävention. Sie ist so etwas wie die nächste Generation von identitätsbasierten Spam-Bekämpfungsversuchen wie Blacklists und Whitelists. Nur eingehende E-Mails werden dazu analysiert. Die Entscheidung fällt auf Basis umfangreicher Informationen über die Quelle der Nachricht. Da nur der Absender analysiert wird und nicht der Empfänger, gewährleistet das Vorgehen zudem ein sehr hohes Maß an Datenschutz.
Im Gegensatz zu Blacklists (Listen von verdächtigen, unerwünschten Mailversendern) und Whitelists (Listen von als "gut" bewerteten Mailservern) stützen sich Reputationsfilter auf einen umfassenden Satz objektiver Daten. Das Ziel ist es, die Wahrscheinlichkeit, dass eine IP-Adresse Spam versendet, möglichst exakt einzuschätzen. Die Klassifizierung erfolgt mittels umfangreicher statistischer Daten wie der Anzahl und Größe der gesendeten Nachrichten des Mailservers oder wie viele Beschwerden eingehen. Dazu gehört auch die Analyse, ob der Mailserver an Honeypot-Accounts sendet. Das sind eigens zum Einfangen anonymer Massenmails erzeugte E-Mailadressen, die keiner realen Person zugeordnet sind. Weitere Kriterien sind beispielsweise der physikalische Ort der Senderorganisation oder die Zeitspanne, seit der eine Organisation bereits E-Mails von diesem Sitz sendet. Das Ergebnis dieser Analyse ist eine Bewertung der Vertrauenswürdigkeit, der so genannte Reputation Score. Er entspricht in etwa der Bonitätsprüfung bei Finanztransaktionen.
Nachrichten von verdächtigen Absendern können dann je nach Wahl des Administrators begrenzt oder vollständig blockiert werden. E-Mails bekannter Absender, wie Geschäftspartner oder Kunden, wandern abhängig von der Konfiguration des Administrators an den Filtern vorbei direkt ins Firmennetzwerk. So können Unternehmensrichtlinien übergreifend für präventive und reaktive Schutzmaßnahmen auf einfache Art und Weise umgesetzt werden.
Ein wesentlicher Vorteil des Verfahrens: Die Prüfung kann erfolgen, bevor ein E-Mail überhaupt auf einem der Empfängersysteme angenommen wird. Daher eignen sich Reputationsfilter besonders als äußerer Schutzwall der E-Mail-Infrastruktur. Denn je früher unerwünschte E-Mails ausgefiltert werden, umso weniger werden die nachfolgenden Systeme belastet.
Mit dem Verfahren konnte Dell Computer nach eigenen Angaben aus täglich 26 Millionen E-Mails die 1,5 Millionen Nachrichten heraussuchen, bei denen es sich nicht um Spam handelte. Mit dem Reputationsfilter auf der Maschine von Ironport ließen sich dabei über 19 Millionen Mails pro Tag aus dem Posteingang entfernen, was laut Ironport zu einem Absinken der Kosten um 75 Prozent führte.
Um die Idee der reputationsbasierten Prävention in die Praxis umzusetzen, ist eine möglichst objektive Einschätzung der Seriosität aller Absender nötig. Doch woher kommt die Reputation für eine dem Empfänger möglicherweise noch völlig unbekannte Absenderadresse? Hier hilft Senderbase, die weltweit erste und größte Datenbank zur Analyse und Bewertung des globalen E-Mail-Aufkommens. Gespeist aus einem riesigen globalen Netzwerk beinhaltet sie Daten von über 75.000 teilnehmenden Organisationen. Derzeit nutzen mehr als 40.000 Mailadministratoren die Datenbank regelmäßig. Neben Unternehmen und Providern verwenden auch zahlreiche Universitäten das System. Pro Tag werden dadurch die Daten von mehr als vier Milliarden E-Mails ausgewertet und Informationen von mehr als 20.000 IP-Adressen gespeichert. Das Ergebnis: SenderBase bietet derzeit Einblick in das Sendeverhalten von über 30 Prozent des weltweiten E-Mail-Verkehrs. Die Datenbank wird seit 2002 ständig weiterentwickelt und bewertet historische Daten über drei Jahre hinweg.
Bewertung der Absender
Mehr als 50 Parameter sind Grundlage zur Bewertung von IP-Adressen, etwa die IP-Adressen von offenen Proxies und Relays, also ungeschützten Mailservern, die sich von jedermann missbrauchen lassen. Buch geführt wird beispielsweise auch über Beschwerden nach erfolgtem Spam-Versand, korrekte DNS-Einträge und Akzeptanz von Return E-Mails, Herkunftsland sowie die Einträge aus mehreren verschiedenen Blacklists. Einsicht in einen Teil der Informationen bietet die Datenbank als Web-basierten Service öffentlich unter www.senderbase.org.
Die Datenbank arbeitet rund um die Uhr und wird permanent mit Daten versorgt. Durch aktive weltweite Kooperationen lassen sich neue Spam- oder Wurmwellen sehr früh erkennen und die IP-Adressen der betreffenden Absender blockieren.
Da die Datenbank aus vielen verschiedenen Quellen gespeist wird, ist die Bewertung sehr robust gegenüber Ausfällen einzelner Quellen oder technischen Problemen. Zudem sorgt die objektive statistische Behandlung der Daten dafür, dass keine Abhängigkeiten von Kooperationen oder Markenschutzveränderungen entstehen, wie sie beispielsweise bei der Microsoft Sender ID vorgesehen sind. Da positive und negative Merkmale ausgewertet werden, hilft Senderbase auch dabei, E-Mails nicht irrtümlich zurückzuweisen also so genannte "False-Positives" zu vermeiden.
Betreiber der Senderbase-Datenbank ist Ironport. Die Hotmail-Gründer geben sich jedoch nicht damit zufrieden, die Informationen zu sammeln und aufzubereiten. Vielmehr hat das Unternehmen das Know-how rund um den sicheren E-Mail-Verkehr in eine sehr einfach zu benutzende Plattform gepackt, die Ironport C-Serie.
Obwohl Senderbase eine sehr wichtige Komponente beim Spamschutz ist, musste die Firma noch eine ganze Reihe weiterer Fragen von Grund auf neu lösen, um den SMTP-Standard auf den Stand des dritten Jahrtausends zu bringen. Beispielsweise sollten Bedrohungen wie Denial of Service-Angriffe oder Pufferüberläufe gar nicht erst ermöglicht werden. Zudem ist die Performance des Message Transfer Agent (MTA) angesichts der immensen Zunahme des E-Mail-Verkehrs eine kritische Größe – nicht nur bei Großunternehmen oder Service Providern.
Gelöst haben die Experten das durch eine von Grund auf neu entwickelte MTA-Plattform, die bei gegebener Hardware-Basis einen etwa 20 mal höheren Durchsatz als traditionelle UNIX-basierte MTA erreicht. Das sorgt zum einen dafür, dass die E-Mail-Infrastruktur selbst großen Virusausbrüchen oder Spam-Angriffen gewachsen ist. Zum anderen werden Kosten für Hardware, Rack Ressourcen, Strom und IT-Administration eingespart.
Das für E-Mail optimierte Betriebssystem AsyncOS erlaubt in etwa die zehnfache Anzahl an simultanen Verbindungen wie ein herkömmliches Unix-basiertes System. Dadurch verhält es sich wesentlich stabiler und sicherer gegenüber Angriffen wie Wurm- und Spam-Attacken, Fehler in Groupwaresystemen wie Microsoft Exchange oder Directory Harvest Attacks. Ein einziges Gerät des Flaggschiffs C-60 erreicht auf diese Weise eine Leistung von 650.000 E-Mails pro Stunde. Das ist nicht nur beim Empfang von außen wichtig, sondern auch beim Versand der von den Kunden erwünschten Services, wie etwa dem Kunden-Newsletter zur Ankündigung der neuesten Schlagerangebote beim Lebensmitteldiscounter. Auch beim Hosting oder Outsourcing bringt die hohe Leistung erhebliche Effizienzvorteile, denn der MTA läßt sich parallel und unabhängig für mehrere Mandanten einsetzen. Acht der zehn weltweit größten Internet Service Provider (ISP), wie etwa NTT, Tiscali oder Verizon, nutzen deshalb bereits die Ironport-Technologie. Selbst der Netzwerkausrüster Cisco und andere Branchengrößen wie Sony oder Dell vertrauen bei den eigenen E-Mails auf die Ironport-Lösungen.
Teamwork beim Sortieren
Vorbeugung ist gut, aber eine Reaktion auf unerwünschte E-Mail-Inhalte ist für die Sicherheit unverzichtbar. Sich ausschließlich auf rein präventive Maßnahmen zu verlassen reicht nicht aus. Deshalb integriert Ironport auf der Plattform ein leistungsfähiges reaktives System, das die Inhalte überprüft. Dieses Content Scanning System besteht aus einem Musterfilter, der Anti-Spam-Lösung Symantec Brightmail und dem Antivirus-Paket von Sophos. Brightmail ist mit etwa 300 Millionen geschützten Mailboxen die derzeit am weitesten verbreitete reaktive Anti-Spam-Lösung.
Sie bietet den Vorzug einer besonders niedrigen False-Positive-Rate von eins zu einer Million. Das ist gerade im Unternehmenseinsatz besonders wichtig, da solche irrtümlich abgewiesenen E-Mails dem Ansehen schaden können und potenziellen Umsatzverlust sowie unnötige Mehrarbeit bei Benutzern und IT-Ressourcen verursachen. Trotzdem erreicht Brightmail eine Spam-Erkennungsrate von mehr als 95 Prozent. Da die Lösung mit mehr als 30.000 Update-Informationen pro Tag automatisch versorgt wird, fällt dafür keinerlei Administrationsaufwand an.