Gemeinsam stark
Bei vielen Anwendern hat der Anteil unerwünschter E-Mails denjenigen brauchbarer in diesem Jahr hinter sich gelassen. Ohne Filter geht oft gar nichts mehr. Ein Trost: Je mehr Spam ein Filter verarbeiten darf, desto stärker wird er.
- Bert Ungerer
Ein Spamfilter ist nur dann nützlich, wenn er besser sortiert als der Anwender selbst. Es geht nicht um die kleinen Erfolgserlebnisse, wenn Spam richtig erkannt wurde, sondern darum, keinen Gedanken mehr an den Müll verschwenden. Das regelmäßige Durchsuchen eines Ordners, der zu 95 Prozent Spam enthält, um einige erwünschte und womöglich wichtige Mails herauszufischen, verursacht spätestens ab ein paar hundert Mails täglich mindestens ebensoviel Ärger wie ungefilterter Spam.
Neben der Anwendersicht darf die betriebswirtschaftliche nicht fehlen: Client-seitige Filter sparen keine IT-Ressourcen ein, denn die Mail muss zugestellt werden, damit der Filter ihrer habhaft werden kann. Wer zentral auf dem Gateway filtert und Spam verwirft statt ausliefert, spart Speicherplatz auf dem Mailhost sowie Übertragungszeit und Netzkapazität auf dem Weg zum Anwender.
Der Ressourcenbedarf lässt sich vermindern, wenn neben dem eigentlichen Filter zusätzliche Mechanismen zum Einsatz kommen. Schwarze Listen etwa (auch als "Realtime Blackhole Lists", RBLs, bekannt) von bekannten Spam-Gateways sorgen dafür, dass Mails erst gar nicht ins Netz gelangen: Das eigene Gateway wird so konfiguriert, dass es schlicht die Annahme von Mails verweigert, die ein RBL-gelistetes System ausliefern soll. Auf diese Weise erhält der Absender umgehend eine Rückmeldung darüber, dass es mit der Zustellung nicht klappt. Einem Spammer ist das egal (der hat - leider - viele Ausweichmöglichkeiten), während ein gutwilliger Absender immerhin seinen Provider fragen kann, warum er seine Mail nicht loswird.
Erkennung "fast gleicher" E-Mails
Ein weiteres Mittel zur Entlastung eines Mail-Gateway sind Prüfsummenlisten von Mails, die bereits als Spam identifiziert wurden. Nach dem Empfang der Mail erzeugt das Gateway eine "unscharfe Prüfsumme" (Fuzzy Checksum) und sucht in der Liste nach einem Treffer. Dieses Verfahren ist unter dem Namen "Distributed Checksum Clearinghouse" (DCC) verbreitet.
DCC- und RBL-Dienste haben normalerweise den Nachteil eines nennenswerten Overhead: Die Listen müssen abonniert werden - und vor allem müssen externe Server funktionieren, auf die man selbst keinen Einfluss hat. Doch mit einem guten Filter muss man nicht andere entscheiden lassen, was Spam ist und was nicht: Es liegt also nahe, den eigenen Filter entsprechende Listen anlegen zu lassen, die für die eigene Firma oder Abteilung gültig sind und ohne Verzögerung zur Verfügung stehen. Je mehr Anwender ihren Beitrag in Form von Blacklist- und Prüfsummen-Einträgen des bei ihnen eingegangenen Spams liefern, desto besser funktioniert das.
Die Print-Version des Artikels ist eine Fortsetzung von "Lochrezepte" aus iX 5/2003. Neben den Tricks der Spammer und wie man ihnen begegnet geht es unter anderem um die Weiterentwicklung des Procmail-basierten Spamfilters "NiX Spam" zur Lösung für ganze Abteilungen. (un)
