GROUP Business Software – The E-Mail-Compliance Company

1. Was ist Spam?
2. Welche Schäden richtet Spam an?
3. Welche Abwehrmaßnahmen gibt es?
4. Welchen Return on Investment kann ich erwarten?
5. Wie funktionieren die Anti-Spam Produkte?
6. Warum sind Anti-Spam Richtlinien sinnvoll?
7. Wie kann ich die Filterleistung beurteilen?
8. Was sind heuristische Verfahren zur Spamabwehr?
9. Wie funktionieren gewichtete Wortlisten?
10. Was bedeutet E-Mail-Kopfzeilen Analyse?
11. Was verbirgt sich hinter RBL, MAPS, Reverse DNS, DCC u.a.?

SPAM-Mails sind unerwünscht zugesandte E-Mails. Von derzeit ca. 30 Milliarden E-Mails pro Tag werden über 40 Prozent als Spam eingestuft. Zukünftig wird sich der Anteil noch weiter erhöhen. Die unternehmensspezifische "Belästigungsrate" kann jedoch wesentlich höher sein.

Trotz aller Versuche, die Werbemail-Flut mit juristischen Mitteln in den Griff zu bekommen, ist der Einsatz professioneller Produkte wie iQ.Suite Wall der iQ.Suite vorzuziehen, um Spam-Mails schnell und wirksam zu blockieren.

Generell lassen sich Spam-Mails mit modernen Filterprodukten z.B. iQ.Suite Wall erkennen und blockieren. Daneben gibt es keine alternativen Abwehrmaßnahmen. Im Detail ist zu entscheiden, ob Spam bereits am Mailserver oder erst am Client herausgefiltert werden soll. Für mittlere und größere Unternehmen ist eine zentrale Server- oder Gatewaylösung meistens die einzige Alternative. Kleinunternehmen, welche keine eigene E-Mail-Infrastruktur betreiben, sind mit Clientlösungen oder Services von E-Mail-Dienstleistern gut gerüstet.

Eine Investition in Spam-Abwehr und Inhaltsprüfung mit iQ.Suite Wall amortisiert sich nachweislich schon nach kürzester Zeit. Durch das Filtern und Blocken von unerwünschten E-Mails trägt securiQ.Wall zur Produktivität Ihrer Mitarbeiter bei und sorgt zudem für eine Entlastung der Speicherkapazitätsanforderungen. So berichten securiQ.Wall Kunden von Speicherplatzeinsparungen bis zu 80%. Nachdem einige Anbieter von Anti-Spam-Lösungen mit einer 99,999%igen Erkennungsrate werben, befürchten die Benutzer zu Recht, dass diese hohen Raten auch eine höhere Fehlerquote (False Positives = fälschlich als Spam klassifizierte erwünschte Mails) bedeuten. GROUP hingegen steht hinter seiner securiQ.Wall Technologie, die eine 95%ige Erkennungsrate bei einer Fehlerquote von angenähert Null bietet - für effizientere Geschäftsprozesse, höhere Produktivität und hohe Rentabilität. Zu unseren Serviceleistungen gehört auch eine detaillierte Berechnung des zu erwartenden ROI für Ihre Umgebung.

Modernste Anti-Spam Produkte wie iQ.Suite Wall unterstützen Sie bei der Spamabwehr durch einen mehrstufigen Prozess. Im Kern unterscheidet man nachfolgende Verfahren, welche auch in Kombination und gestaffelt verwendet werden können:

• Absendererkennung und Blockieren der Absender per IP-Adresse und Name.
  Die Wirksamkeit dieser Methode ist unterdurchschnittlich, da viele Adresslisten im Internet nicht dem aktuellen Stand entsprechen und die Spam-Versender die Adressen häufig wechseln. Die Methode kann unter Umständen zusätzlich zu einer hohen False Positive Rate führen, wenn der Kommunikationspartner ungewollt auf eine derartige Sperrliste geraten ist. In Kombination mit anderen Verfahren und richtig eingesetzt kann die Absendererkennung aber ein einfaches und sehr hilfreiches Mittel sein.
• E-Mail-Kopfzeilen Analyse.
  Die Prüfung von erweiterten Informationen in den E-Mail-Kopfzeilen (Header) auf Konsistenz erlaubt das gezielte Erkennen von E-Mails, welche nicht von Standard E-Mail-Systemen wie Microsoft Exchange, Lotus Domino o.Ä. versendet wurden. Voraussetzung für eine hohe Erkennungsrate ist ein feinabgestimmtes Rating der einzelnen Merkmale.
• Strukturanalyse von Adressfeldern, Betreff und Nachrichtentext.
  Bei diesem Schritt wird überprüft, ob das Empfängerfeld (An:) oder die Betreffzeile leer ist und ob der E-Mail-Nachrichtentext (Body) eine Kombination von unerwünschten HTML-Tags und Skripten enthält.
• Textanalyse durch gewichtete Wortlisten in Betreff und Nachrichtentext.
  Die Wirksamkeit dieser Methode hängt im Wesentlichen von den Wortlisten und dem Gewichtungsalgorithmus ab.
• Textanalyse mit statistischen Verfahren wie z.B. Content Recognition Engine (CORE).
  Hierbei handelt es sich um ein sehr flexibles Verfahren zur systematischen Erkennung von Inhalten nach frei definierbaren Kategorien wie Spam, Newsletter, Business etc. Die Wirksamkeit dieses Verfahren ist sehr hoch. In Kombination mit den oben genannten Filtermethoden sind sehr hohe Erkennungsraten möglich.
  

Auch im Bereich der Spamabwehr ist eine Kombination verschiedener Verfahren wie Adressfilter, E-Mail-Kopfzeilen Analyse, Textanalyse usw. für eine hohe Erkennungsrate unabdingbar. Nur mit zentral administrierten Richtlinien können die individuellen Anforderungen von Bereichen, Abteilungen, Teams und einzelnen Nutzern sinnvoll umgesetzt werden. So können beispielsweise Newsletter, welche oftmals sehr hohe Ähnlichkeiten mit Spam-Mails besitzen, für eine bestimmte Gruppe vom Filtering gezielt ausgenommen werden. Es erweist sich zudem als nützlich, für verschiedene Nutzergruppen unterschiedliche Schwellwerte zu verwenden und somit die Filterfunktionen zu optimieren.

Die Filterrate von Anti-Spam Produkten wird als Verhältnis von erkannten Spam-Mails zu den insgesamt erhaltenen Spam-Mails ausgedrückt. Ein weitere wichtige Kenngröße sind die sogenannten False Positives. Damit sind E-Mails gemeint, die fälschlicherweise als Spam eingeordnet, herausgefiltert und meist in Quarantäne gestellt worden sind. Die Leistungsfähigkeit einer Anti-Spam Lösung lässt sich nur an beiden Kriterien messen. Produkte wie die iQ.Suite erreichen durch die vielfältigen Filtermechanismen in Verbindung mit den zentralen Filterichtlinien bis zu 95 Prozent Filterrate bei einem extrem kleinen Anteil von False Positives.

Der Begriff Heuristik wird oftmals auch für einfache Texterkennungsverfahren, wie beispielsweise gewichtete Wortlisten verwendet. In neueren Produkten sind weitere Methoden zur Texterkennung und Analyse implementiert worden, welche auf verschiedenen mathematisch-statistischen Verfahren oder auf Ähnlichkeitsverfahren beruhen. Oftmals werden dabei Verfahren aus den 70er Jahren wie Naive Baysian verwendet. Die iQ.Suite verwendet das moderne Verfahren der Support Vector Machine (SVM).

Gewichtete Wortlisten sind eine effektive Technologie für Inhaltsprüfung. Dazu werden Wortlisten und Phrasen eines Themengebietes in einer Kategorie zusammengefasst. Ein Gewichtungsalgorithmus sorgt dafür, dass nicht ein einmaliges Auftreten eines Wortes zur Schwellwertüberschreitung führt, sondern eine Kombination oder ein Mehrfachauftreten den Ausschlag geben. Spezielle Wortlisten für Anti-Spam-Funktionen erlauben eine differenzierte Konfiguration mit hohem Filtergrad. Entscheidend für die Wirksamkeit ist der verwendete Gewichtungsalgorithmus, weshalb einige Anbieter in diesem Zusammenhang von Heuristik sprechen.

Jede E-Mail enthält neben den sichtbaren Informationen eine Vielzahl von Kontroll- und Steuerungsfeldern für das E-Mail-Routing durch das Internet. Anhand dieser Informationen lässt sich die Route einer E-Mail vom Absender bis zum Empfänger nachvollziehen. Versender von Spam-Mails manipulieren die Kontrollfelder, um sich der Verfolgung zu entziehen. So werden beispielsweise Informationen zum Quell-Mailserver verändert, um die Rückverfolgung zum Absender zu erschweren.

Verfahren zur E-Mail-Kopfzeilen Analyse untersuchen die Kontrollinformationen auf Konsistenz und Vollständigkeit. Wird eine oder mehrere Unregelmäßigkeiten erkannt, so werden diese mit einem Rating versehen. Durch entsprechende Schwellwerteinstellungen können die Filterfunktionen den Richtlinien angepasst werden.

Realtime Blackhole List (RBL) ist eine Sperrliste im Internet, welche im Rahmen des Mail Abuse Prevention Systems (MAPS) zur Verfügung gestellt wird. Die Liste enthält alle ungeschützten Mailserver, welche von Spam-Versendern zum Versand der unerwünschten E-Mails verwendet werden. Ein Mailserver, der RBL nutzt, kann die Aufnahme der Kommunikation mit dem ungeschützten System verweigern. Die Wirksamkeit von RBL sank in letzter Zeit stark, da immer mehr offene Clientsysteme mit wechselnden IP-Adressen nichtsahnender Internetbenutzer zum Versand von Spam-Mails missbraucht werden.

Reverse DNS ist Teil des Domain Name System im Internet. Es beruht auf einem Rückfrageverfahren, bei dem Name und IP-Adresse des anrufenden Mailservers durch einen Reverse Lookup (Abfrage der IP-Adresse anhand des Domänennamens bei einem DNS-Server) auf Konsistenz geprüft wird. Treten Abweichungen auf, wird die Verbindungsaufnahme abgebrochen. Die Wirksamkeit gegen Spam ist stark umstritten, da Spam-Versender sehr häufig fremde (Echt) Systeme für den Versand nutzen oder sogar eigene E-Mail-Versandsysteme betreiben.

Eine neuartige Methode stellt das Distributed Checksum Clearinghouse (DCC) dar. Grundlage von DCC sind eigene Checksummen-Server, welche von jeder E-Mail eine Prüfsumme und Angaben zur Anzahl der jeweiligen Empfänger in einer Datenbank zur Verfügung stellen. Zur Prüfung auf Spam wird mittels eines DCC-Clients auf dem Mailserver die Prüfsumme berechnet, und diese zusammen mit der ermittelten Anzahl Empfänger an den Server übermittelt. Dies führt zu einer kumulativen Sammlung der tatsächlichen Empfängerangabe welche der Server jeweils dem Client als Ergebnis zurückliefert.

Diese Anzahl kann nun mit der eintreffenden Mail auf dem Mailserver verglichen werden. Weicht die Anzahl stark voneinander ab, so handelt es sich um einen Mailspread und damit mit hoher Wahrscheinlichkeit um Spam-Mail. Das Prinzip weist auch einige Lücken auf:

• Newsletter werden in der Regel auch als Massenmail versendet,
• ein Spam-Versender kann das System durch personalisierte Einzelmails umgehen,
• bei sich schnell ausbreitenden E-Mails existiert noch kein Datenbankeintrag,
• große Abhängigkeit von der Community und von der Verbreitung des Systems.

Ein alternatives und kommerzielles Verfahren ist SpamNet. Ähnlich wie bei DCC werden Prüfsummen für jede E-Mail berechnet. Im Unterschied zu DCC erhält SpamNet die Spam-Mails jedoch durch eine individuelle Klassifikation durch Endbenutzer zugestellt. Hierdurch entsteht unter Umständen ein erheblicher Zeitversatz, da eine E-Mail erst ab einem bestimmten Schwellwert an Meldungen als Spam in die Datenbank aufgenommen wird.