Spam, Viren und Phishing adieu
Content-Filtering – Die E-Mail-Kommunikation ist Segen und Plage zugleich. Intelligente Filtertechniken versprechen mehr Effizient und Sicherheit.
Der gute alte E-Mail-Standard »Simple Mail Transfer Protocol« (SMTP) ist – wie sein Name richtigerweise andeutet – vor allem eins: simpel.So fehlt ihm jede Spur von Sicherheit oder Schutz gegen unerwünschte und betrügerische E-Mails. E-Mail-Security-Systeme mit integrierten Reputations- und Inhaltsfiltern in Kombination mit Signatur-Verfahren sollen hier die Lücke schließen.
Während E-Mail heutzutage die wichtigste Online-Anwendung ist, hat sich die Infrastruktur, mit der E-Mail gesendet, empfangen und verwaltet wird, in den letzten 20 Jahren kaum weiter entwickelt. Dabei ist vor allem das Thema Sicherheit zu kurz gekommen.Denn der Standard ermöglicht überhaupt erst die Ausbreitung von Spam oder Phishing-Mails. In der Praxis hat die lange Beständigkeit zu einer Vielzahl von Implementierungen geführt, die sich dank seiner Einfachheit bis heute an dem ursprünglichen Standard orientieren. Der Vorteil liegt klar auf der Hand: Praktisch alle Anwendungen und Server, die sich des SMTP bedienen, können ohne Kompatibilitätsprobleme miteinander kommunizieren – nur eben nicht sicher.
Für Unternehmen führt daher auch mittelfristig an SMTP kein Weg vorbei. Schließlich ist es der einzige wirklich weltweite universelle Standard für den E-Mail-Transport. Es ist also an der Zeit, dem Veteranen mit einigen zeitgemäßen Techniken die fehlenden Eigenschaften beizubringen – ohne dabei irgendwelche Kompromisse bei der Verträglichkeit zur E-Mail-Welt einzugehen.
Türsteher für die E-Mail
Um unerwünschte E-Mails vom regulären EMail- Strom zu trennen, braucht man Unterscheidungsmerkmale. Die Kernfrage beim Umgang mit E-Mail-Strömen lautet also, wie man möglichst viele der unerwünschten E-Mails erkennt, ohne den regulären Kommunikationsfluss zu behindern. Eine sehr effiziente Herangehensweise ist die reputationsbasierte Prävention.
Sie ist so etwas wie die nächste Generation von identitätsbasierten Spambekämpfungsversuchen wie Blacklists oder Whitelists. Nur eingehende E-Mails werden dazu analysiert.Die Entscheidung fällt auf Basis umfangreicher Informationen über die Quelle der Nachricht. Da nur der Absender analysiert wird und nicht der Empfänger, gewährleistet das Vorgehen zudem ein sehr hohes Maß an Datenschutz.
Das Ziel ist es, die Wahrscheinlichkeit jeder IPAdresse, die Spam versendet,möglichst exakt einzuschätzen. Die Klassifizierung erfolgt mittels umfangreicher statistischer Daten wie der Anzahl und Größe der gesendeten Nachrichten des Mailservers oder wie viele Beschwerden eingehen.
Das Ergebnis dieser Analyse ist eine Bewertung der Vertrauenswürdigkeit, des sogenannte Reputation-Score. Er entspricht in etwa der Bonitätsprüfung bei Finanztransaktionen.
Nachrichten von verdächtigen Absendern können dann je nach Wahl des Administrators begrenzt oder vollständig blockiert werden. EMails bekannter Absender,wie Geschäftspartner oder Kunden, wandern abhängig von der Konfiguration des Administrators an den Filtern vorbei direkt ins Firmennetzwerk. So können Unternehmensrichtlinien übergreifend für präventive und reaktive Schutzmaßnahmen auf einfache Art und Weise umgesetzt werden.
Ein wesentlicher Vorteil des Verfahrens: Die Prüfung kann erfolgen, bevor die E-Mail überhaupt auf einem der Empfängersysteme angenommen wird. Daher eignen sich Reputationsfilter besonders als äußerer Schutzwall der EMail- Infrastruktur.Denn je früher unerwünschte E-Mails ausgefiltert werden, um so weniger werden die nachfolgenden Systeme belastet.
Weltweite Statistik der E-Mail-Absender
Um die Idee der reputationsbasierten Prävention in die Praxis umzusetzen, ist eine möglichst objektive Einschätzung der Seriosität aller Absender nötig.Doch es stellt sich die Frage,woher die Reputation für eine möglicherweise dem Empfänger noch völlig unbekannte Absenderadresse kommt.Hier hilft »SenderBase«, die weltweit erste und größte Datenbank zur Analyse und Bewertung des globalen E-Mail-Aufkommens.
Gespeist aus einem globalen Netzwerk beinhaltet sie Daten von über 100 000 teilnehmenden Organisationen. Derzeit nutzen mehr als 40 000 Mail-Administratoren die Datenbank regelmäßig.
Neben Unternehmen und Providern verwenden auch immer mehr Universitäten das System. Pro Tag werden dadurch die Daten von mehr als fünfMilliarden E-Mails ausgewertet und Informationen von mehr als 20 000 IP-Adressen gespeichert. Das Ergebnis: Senderbase bietet derzeit Einblick in das Sendeverhalten von über 30 Prozent des weltweiten E-Mail Verkehrs.Die Datenbank wird seit 2002 weiterentwickelt und bewertet historische Daten über drei Jahre.
Mehr als 110 Parameter sind Grundlage zur Bewertung von IP-Adressen, etwa die IP-Adressen von offenen Proxies und Relays, also ungeschützten Mailservern, die sich von jedermann missbrauchen lassen. Buch geführt wird beispielsweise auch über Beschwerden nach erfolgtem Spam-Versand, korrekte DNS-Einträge und Akzeptanz von Return-E-Mails, Herkunftsland sowie die Einträge aus verschiedenen Blacklists. Einsicht in einen Teil der Informa-tionen bietet die Datenbank als Web-basierten Service öffentlich unter www.senderbase.org.
Die Datenbank arbeitet rund um die Uhr und wird permanent mit Daten versorgt.Durch aktive weltweite Kooperationen lassen sich neue Spam- oder Wurmwellen frühzeitig erkennen und die IP-Adressen der betreffenden Absender blockieren. Betreiber der Senderbase-Datenbank ist Ironport.Der Hersteller von E-Mail- Sicherheitslösungen hat das Know-how rund um den sicheren E-Mail-Verkehr in seine einfach zu benutzenden Plattformen gepackt. Die Anwender müssen sich also nicht im Detail mit der Bewertung und dem Abgleich zahlreicher Parameter herumschlagen,denn das System erledigt dies auf Wunsch autonom.
Teamwork beim Sortieren
Vorbeugung ist gut, aber eine Reaktion auf unerwünschte E-Mail-Inhalte ist für die Sicherheit unverzichtbar. Sich ausschließlich auf rein präventive Maßnahmen zu verlassen reicht nicht aus. Deshalb integriert der Senderbase- Betreiber beispielsweise auf seiner Plattform ein leistungsfähiges reaktives System, das die Inhalte überprüft. Dieses Content-Scanning-System besteht aus einem Musterfilter, der Antispam- Lösung Symantec-Brightmail und dem Antivirus-Paket von Sophos.Brightmail ist mit etwa 300 Millionen geschützten Mailboxen die derzeit am weitesten verbreitete reaktive Anti- Spam-Lösung. Sie bietet den Vorzug einer besonders niedrigen False-Positive-Rate von eins zu einer Million. Dies ist gerade im Unternehmenseinsatz besonders wichtig, da solche irrtümlich abgewiesenen E-Mails dem Ansehen schaden können und potenziellen Umsatzverlust sowie unnötige Mehrarbeit bei Benutzer und IT verursachen.Trotzdem erreicht Brightmail eine Spam-Erkennungsrate von mehr als 95 Prozent. Da die Lösung mit mehr als 30 000 Update-Informationen pro Tag automatisch versorgt wird, fällt dafür keinerlei Administrationsaufwand an.
Der integrierte Sophos-Virenschutz zeichnet sich durch eine performante Scan-Engine aus, die zeitnah und automatisch mit Updates versorgt wird. Für den Anwender bedeutet dies einen minimalen Bedienungsaufwand und besonders niedrige Kosten durch eine integrierte Lösung. Der eigentliche Clou liegt deshalb in der regelbasierten Kombination aus reputationsbasierten Filtern und der Inhaltsprüfung.
Denn E-Mails von wohl bekannten und verifizierten Absenderadressen müssen gar nicht erst durch den Antispamfilter laufen.Vielmehr kann der Administrator beispielsweise festlegen, dass E-Mails von Geschäftspartnern direkt ausgeliefert werden. Sendungen von unbekannten, aber nicht als schädlich eingestuften Absendern müssen sich hingegen der Prüfung durch den Inhaltsfilter unterziehen.
Fälschungen vorbeugen
Reputations- und Inhaltsfilter bieten wirksamen Schutz vor Spam, Viren und Würmern. Es stellt sich aber die Frage,wie sich jedoch feststellen lässt, ob eine E-Mail tatsächlich vom vorgeblichen Absender stammt. Denn leider fehlt dem SMTP eine weitere sehr wichtige Komponente: die Adresse des Absenders ist nicht fälschungssicher. Daraus resultiert eine ganze Reihe von Problemen. Beispielsweise benutzen sogenannte Phishing-Mails die Absenderadresse von Banken oder Handelshäusern. Sie sollen auf diese Weise einen seriösen Eindruck erwecken, um von ahnungslosen Opfern vertrauliche Daten zu erschleichen. Auch Spam oder E-Mail-Viren tarnen sich häufig mit falschen Absenderadressen, nicht selten sogar mit Adressen real existierender Firmen.
Es sind Ergänzungen gefragt, die einerseits den Standard nicht verletzen, andererseits aber die Echtheit eines E-Mail-Absenders zweifelsfrei belegen. Für das Problem gibt es bereits eine technisch hochwertige Lösung, die sogar eine gesetzliche Grundlage hat, die elektronische Signatur. Yahoo hat auf dieser Basis das Domain- Key-Verfahren entwickelt. Ganz ähnlich wie bei anderen Signatur-Verfahren benutzt Domain-Key ein Public-Key-Verfahren mit einem allgemein bekannten öffentlichen und einem geheimen privaten Schlüssel.Mit Hilfe des privaten Schlüssels erzeugt der Server des Absenders eine kryptographische Signatur der EMail und fügt diese in den Mail-Header ein.
Derzeit ist als Verfahren rsa-sha1 definiert,weitere können in Zukunft hinzu kommen. Den öffentlichen Schlüssel publiziert die Absenderseite durch einen für jedermann lesbaren Eintrag in den öffentlichen DNS-Diensten.
Auch der Inhalt der E-Mail wird signiert
Der Empfänger extrahiert aus der Mail die Absenderadresse. Durch die Anwendung des öffentlichen Schlüssels kann er nun die Signatur verifizieren. Das Besondere daran: Nicht nur die Absenderadresse ist geschützt, sondern die gesamte E-Mail. So werden auch Verfälschungen während der Übermittlung erkennbar.Das Verfahren funktioniert auch für Mailing-Listen oder externe Mail-Dienstleister, die üblicherweise zusätzliche Informationen in die E-Mail einfügen.Hierfür lässt sich genau festlegen,welche Header-Informationen signiert werden und welche nicht.
In der Praxis kann ein geeigneter E-Mail-Server wie die Ironport-Appliances dieses Echtheitsmerkmal vor dem Versand ganz ohne weitere Eingriffe des Benutzers anbringen. So sind heute beispielsweise schon alle E-Mails von Yahoo, Google-Mail oder Earthlink automatisch mit einer Domain-Key-Signatur versehen.
Auf Empfängerseite muss sich die Echtheitsprüfung nun kontinuierlich durchsetzen.Beispielsweise fügt Yahoo das zusätzliche Feld »Authentication- Results« im Nachrichtenkopf jeder empfangenen E-Mail ein. Dort kann der Empfänger jederzeit erkennen, ob die E-Mail korrekt signiert ist oder nicht.
Sabine Hensold,
freie Journalistin
