Maßnahmen gegen Spam

Gliederung

In den ersten drei Abschnitten wird allgemein etwas über Spam, Bekämpfungsmethoden und Tücken derer gesagt.

Danach wird konkret mit Beispielen darauf eingegangen, wie noxa.de gegen Spam vorgeht und wie Sie als Nutzer persönliche Einstellungen vornehmen können.

Am Ende wird noch einmal der Grund unserer Entscheidung zur Markierung (statt vollautomatischer Löschung) nahe gelegt und verdeutlicht.

Was ist Spam?

Als Spam werden solche Mails bezeichnet, die unter die Kategorien unerwünschte Werbemail oder Massenmail fallen, aber auch solche, die mit Viren oder Würmern verseucht sind. Viele Nutzer haben täglich mit etlicher solcher Post zu tun.

Was tun gegen Spam, Viren und Würmer?

Nutzern von Microsoft-Betriebssystemen, insbesondere in Verbindung mit Outlook oder Outlook Express, ist anzuraten, keine HTML Seiten oder Attachments von unbekannten Absendern zu öffnen, da dies ein Sicherheitsrisiko darstellt. Aber auch bei vermeintlich bekannten Absendern gilt Vorsicht zu bewahren, denn die Absenderadresse ist leicht zu fälschen (und gerade in der letzten Zeit wird dies als Taktik angewandt). Zur Erkennung von potentiell gefährlichen Inhalten eignen sich Virenscanner. Mehr dazu unter Virenscanner.

Als Einstiegsseite mit aktuellen Informationen zu Internet-Schädlingen empfehlen wir heise Security Anti-Virus. Benutzern von Windows-Betriebssystemen empfehlen wir dringend, das System über Windowsupdate oder manuell auf dem neuesten Stand zu halten. Längst nicht alle derzeitigen Viren und Würmer verbreiten sich über Massenmailing. Beispiel: Der Wurm Sasser benutzt eine Sicherheitslücke im Netzwerkdienst LSASS von Windows ( Details dazu vom BSI).

So können nicht-gepatchte Systeme ohne Zutun des Anwenders über das Internet befallen werden. Mit Patchen meint man das Beheben von Sicherheitslücken durch Installation von Software, sog. Patches. Für Windows-Betriebssysteme gibt es diese am einfachsten über Windows-Update.

Viele Anwender sind sich nicht bewusst, dass in der Grundkonfiguration von Windows viele nicht benutzte und unnötige Dienste aktiviert sind. Mit dem Programm Windows-Dienste abschalten lässt sich dies beheben. Hierzu auch der Artikel vom CCC.

Auch gegen Spam gibt es Abhilfe. Hier gibt es mehrere gute Methoden zur Erkennung, wie etwa Header- und Content-Analyse (die Nachricht wird kriminalistisch nach bestimmten Mustern durchsucht) und Naive Bayes (Klassifizierung von Text durch Algorithmen). Ferner können Absender IP (Internet Adresse) und Absenderadresse über so genannte Black Lists geprüft werden.

Mit Hilfe von Programmen, die diese Methoden einsetzen, lässt sich der größte Teil des Spamaufkommens herausfiltern.

Wo ist der Haken?

Desto restriktiver mit Mailnachrichten umgegangen wird, desto wahrscheinlicher ist eine Fehlklassifizierung, d.h., legitime Mails werden unter Umständen aussortiert, weil diese etwa bei der oben erwähnten Header- und Content-Analyse Merkmale von Spam aufwiesen. Merkmale von Spam überlagen sich aber in vielen Fällen mit legitimer Mailpost.

Beispiele dafür sind Mails mit HTML Anhang, Mails ohne Betreffzeile, Realname, multiple Ausrufungszeichen, Dateianhang usw.. Auch Textbestandteile können falsch interpretiert werden.

Um Mails komplett aus der Filterung auszunehmen gibt es White-Lists. Dies schafft allerdings nur für einen begrenzten Personenkreis Abhilfe, es ist unmöglich alle möglichen Absenderadressen von erwünschten Nachrichten zu erfassen. Auch wird, wie oben erwähnt, die Absenderadresse gern gefälscht.

Sofern nicht allzu restriktiv mit Mailnachrichten umgegangen wird sollte der Fall der Fehlklassifizierung unwahrscheinlich sein, allerdings wird damit auch ein geringerer Prozentteil von Spam als solcher erkannt.

Was tut noxa.de gegen Spam?

Im Falle der an User delegierten Maildomains (das betrifft nicht unser noxaMail-Angebot) haben diese die volle Kontrolle über die weitere Behandlung von Spam. Dazu wird allgemein das installierte SpamAssassin benutzt. SpamAssassin vereint Header- und Content-Analyse, Bayes und Blacklists und ist damit sehr wirksam zur Spammarkierung und/oder Filterung.

Aufgrund der oben erläuterten Risiken der Filterung von legitimen Mailnachrichten wird standardmäßig (außer serverseitig) nicht gefiltert, sondern nur markiert mittels SpamAssassin.

Markiert bedeutet, dass als Spam erkannte Mail im Betreff das Prefix **SPAM** erhält zusammen mit einem Bericht, warum die Nachricht als Spam erkannt wurde und ob eventuell gefährlicher Inhalt vorhanden ist. Zusätzlich werden jeder Mail Header hinzugefügt, anhand derer abgelesen werden kann, wie wahrscheinlich es sich bei der vorliegenden Mail um Spam handelt.

Diese Header (im Deutschen Nachrichtenkopf genannt) sind in vielen Mailprogrammen normalerweise nicht sichtbar.

Die folgenden beiden Screenshots zeigen eine als Spam markierte Nachricht. Ein Klick auf das erste Bild vergrößert es. (Die Beispielmail stammt übrigens von dem Wurm myDoom, im Dateianhang ist eine Kopie des Wurms)

Nachfolgend wird noch erklärt, wie man automatisch die als Spam erkannten Nachrichten löschen oder in einen anderen Ordner einsortieren kann. Die Anleitung kann analog für die Filterung der mit Viren/Würmern verseuchten Mailnachrichten verwendet werden (**Virus** in der Betreffzeile).

spam2
Der Header (Nachrichtenkopf)

Wie kann nun Spam-Mail aus dem Blickfeld verschwinden? Falls SquirrelMail benutzt wird (unsere Webmailoberfläche) braucht nur wie im folgenden Screenshot gezeigt ein Filter aktiviert werden. Das Menü ist über Optionen--Nachrichtenfilter erreichbar.

spam3

Damit wird jede als Spam erkannte Nachricht in den Papierkorb verschoben. Sofern keine erwünschten Mails falsch markiert werden, kann nach eigenem Ermessen auch restriktiver gefiltert werden. Im folgenden Screenshot wird anhand des Headers entschieden, ob die Mail Spam ist oder nicht. Im Beispiel wird alles ab Level 4 als Spam betrachtet und landet im Papierkorb. (Anzahl * = Level)

spam4

Wird nicht die Webmailoberfläche benutzt, müssen die Filterregeln in das Mailprogramm eingetragen werden. Jedes gängige Programm bietet dafür Dialoge ähnlich der oben gezeigten an.

Wer Procmail einsetzt, kann folgende Regel übernehmen:

~/.procmailrc
# Spam
:0 fwhH
*^X-Spam-Status:\ Yes,
|formail -I "X-Sorted: spam"
:0 A:
        $MAILDIR/spam

Weitere Anleitungen:

Unter admin.noxa.de können Virenscanner und Spamfilter konfiguriert werden.

Abschließend sei noch einmal verdeutlicht, warum wir im Falle noxaMail nicht direkt alle als Spam erkannten Mails löschen.

Je nach Kommunikationsverhalten der einzelnen User haben die Nachrichten unterschiedliche Merkmale:

  • Manche Benutzer versenden nur HTML Mails, andere wollen solche erst gar nicht haben und versenden nur Text. Bei kurzen Nachrichten wird häufig auch mal der Betreff weggelassen, oder in einem nicht der Netikette entsprechenden Stil geschrieben, etwa multiple Ausrufungszeichen oder viele Großbuchstaben.
  • Auch kann es sein, dass von einem fremden Computer aus gesendet wird und so Realname fehlt oder die Adresse gar Blacklistet ist (z.B. Internetcafe), was damit viele Minuspunkte bei der Klassifizierung bringt.

In solchen Fällen kann es dazu kommen, das legitime Post den Emfänger nicht erreicht. Da wir nicht zensieren wollen, sondern nur helfen, Spam zu erkennen und auszusortieren, werden die Mails lediglich markiert. Jeder kann dann persönlich wie oben demonstriert auf einfache Weise seine Mailnachrichten sortieren.

Bei Fragen, Anregungen oder Problemen:

(niklas/noxa.de)