blog@netplanet

Spaßeshalber habe ich mir mal das Problem von so genannten “Spaß-Mails” angeschaut, also den vielleicht nett gemeinten, aber dennoch furchtbar unlustigen Versand von E-Mails mit angehängten Word-Dokumenten, Powerpoint-Folien oder gar ausführbaren Dateien.

Um es kurz zu fassen: Ich hasse sie abgrundtief. Solche Mails sind in der Regel megabyteweise groß, oft genug sind die Späßchen mehr als uralt und treffen deshalb gleich regelmäßig von allen möglichen Ecken und Enden ein. Sie vermüllen meine Mailbox, weil solche Inhalte ohne jegliches Lesen direkt in den Papierkorb kommen.

Und sie haben leider eine virulente, kaum zu kontrollierende Verbreitung. Vollziehen wir doch mal einen üblichen Weg nach:

Freund A schickt eine solche Spaßmail an 50 Freunde, natürlich alle als CC adressiert. Alle 50 Freunde erhalten diese Mails. Zwei von diesen 50 Freunden sind Freund B und Freund C. Auch sie haben lustiges auf Lager, nehmen die Mail von Freund A auf “Antworten” und ballern ihre Späße ab. Und so weiter.

Das Problem ist jetzt: Wen schreibe ich an, um das zukünftig bitte zu unterlassen? Im Endeffekt müsste ich alle anschreiben, also auch die Mail von Freund A nehmen, auf “Antworten” klicken und mich richtig schön unbeliebt machen.

Hochgradig scheußlich wird das alles, wenn auch noch weitergeleitet wird, möglicherweise sogar inline, so dass dann alle Empfängeradressen, die als CC adressiert waren, nun im Body der Mail stecken. Passiert das ein Weile regelmäßig - so wie beispielsweise bei den berühmt-berüchtigten Mails, in denen Postkarten an einen krebskranken Jungen geschickt werden sollen oder zu Knochemark-Typisierungen aufgerufen wird - macht die eigene Mailadresse teilweise jahrelang die große Wanderschaft durch abertausende Postfächer.

Ein hochgradig ärgerliches Problem, dessen Lösung in jedermanns Hand liegt. Finger weg von Massen-Weiterleitungen und Spaß-Mails!

Viel an E-Mail-Spam kann sich unsereiner ersparen, wenn er ein paar Dinge in Sachen E-Mail beachtet. Zwei sehr wichtige Punkte, die wir inzwischen fast wöchentlich unserer Kundschaft predigen, die das noch anders handhabt:

1. Weg von Catch-All!
   Catch-All ist eine früher recht beliebte Methode gewesen, x-beliebige E-Mail-Adressen verwenden zu können: Der empfangende E-Mail-Server wird dabei so konfiguriert, dass er alle E-Mails annimmt, die an x-beliebige E-Mail-Adressen innerhalb einer Domain gerichtet waren. Die Idee ist zwar nett, der Nebeneffekt jedoch erheblich lästiger, denn auf diese Weise kommt auch Spam, der auf x-beliebige E-Mail-Adressen der betreffenden Domain gesendet wurde, beim Empfänger an. Das ist vor allem dann recht unangenehm, wenn die Domain vielleicht vorher jemand anderem gehörte, der ursprünglich sehr viele E-Mail-Adressen auf dieser Domain konfiguriert hatte. Zudem sorgt Catch-All für eine gewisse Schlampigkeit beim Besitzer. Für jeden Mist eine eigene E-Mail-Adresse anzugeben, bedeutet im Zweifelsfall, dass jede dieser E-Mail-Adressen dann möglicherweise früher oder später auch Spammern in die Hände fällt.
2. Den namentlichen Aufbau von E-Mail-Adressen vorher einheitlich planen und umsetzen!
   Warum, bitteschön, muss Otto Mustermann gleichzeitig als “otto.mustermann@foo.bar”, “mustermann@foo.bar”, “otto@foo.bar”, “o.mustermann@foo.bar” und “mustermann.o@foo.bar” eingerichtet werden? Ist ein einheitliches Schema für E-Mail-Adressen nicht der übersichtlichste Weg?
3. Die Einrichtung von generischen E-Mail-Adressen genau überdenken!
   Das ist auch beliebt: Neben den persönlichen E-Mail-Adressen für Mitarbeiter werden noch eine ganze Batterie von generischen E-Mail-Adressen eingerichtet: info, webmaster, support, kundendienst, hausmeister, chefetage, kuechenkabinett und was weiß ich noch alles. Das sind alles be-spam-bare E-Mail-Adressen, Herrschaften, und wenn man die einmal einrichtet, kann man die zwar in größter Not wieder löschen, dennoch werden auch dann noch die Spam-Mails, die an diese Adressen adressiert sind, auf dem Mailserver aufschlagen, für immer und ewig.
4. Niemals E-Mail-Adressen unter mehreren Domains auf einen Account leiten!
   Auch so eine Unart: Da hat eine Firma eine bestimmte Domain für den E-Mail-Empfang konfiguriert, sagen wir, den Firmennamen mit der Endung “.de”. Nun wird beispielsweise auch noch eine “.com”-, “.net”- und “.eu”-Domain registriert, das “www” auf den Webserver weitergeleitet - und eben auch MX-Einträge konfiguriert und dabei schön auf die bestehende Domain geroutet. Der “Mitarbeiter X” ist dann nicht mehr nur unter der “.de”-Domain per E-Mail erreichbar, sondern gleich unter allen anderen auch. Das hat zwei böse Nebeneffekte:
   1. Der Mitarbeiter benutzt, wenn er mehrere E-Mail-Adressen besitzt, irgendeine.
   2. Jede E-Mail-Adresse, die im Laufe der Zeit in Webforen, Gästebüchern etc. verbrannt wird, ist für Spam anfällig.

   Im Zweifelsfall knallt es dann gleich mehrfach im Laufe der Zeit und der Administrator des E-Mail-Servers wundert sich, wieso die Maschine raucht. Sehr beliebt ist das Spiel auch mit generischen E-Mail-Adressen, die dann zusätzlich auch noch auf Mitarbeiter geleitet werden. Ich kenne so Kunden, die auf Ihren E-Mail-Account Dutzende E-Mail-Adressen konfiguriert bekommen haben und in Spam schwimmen - da ist selbst jede annehmbare Fehlerquote eines Spam-Filters wirkungslos.

Man kann es nur ständig wiederholen: Bei der Einrichtung von E-Mail-Adressen vorher mitdenken und eine Strategie für die Nutzung unterschiedlicher Länderdomains, generischen E-Mail-Adressen und den namentlichen Aufbau persönlicher E-Mail-Adressen erstellen. Und für Domains, die nicht per E-Mail erreichbar sein sollen, erst gar keine MX-Einträge im DNS erstellen.

Inzwischen hat es sich ja schon bis in die tiefste Provinz herumgesprochen, dass Lamentieren gegen Spam nicht hilft und ein funktionsfähiger Spam-Filter das einzige ist, was einem die Pest weitgehend vom Leibe hält. Was ich in letzter Zeit verstärkt beobachte, sind Umfelder mit gleich einer ganzen Batterie von Spam-Filtern. Jede halbwegs gute Antivirenlösung schleppt einen Spam-Filter mit sich, jedes bessere Mail-Programm auf lokaler Basis auch, genügend Mailserver haben einen Filter onboard und eine dedizierte Anti-Spam-Lösung kann man sich auch noch kaufen. Auf den ersten Blick nicht schlecht, aber schon auf dem zweiten eine unheilvolle und brisante Mischung.

Das fängt schon damit an, dass man sich die Frage stellt, ob man einen guten Spam-Filter braucht oder nicht. Wenn ja, dann stellt sich doch automatisch die Frage, wieso dann noch ein zweiter, dritter, vierter etc. dahintergeschaltet werden muss. Die Gefahr, dass ein weiterer Spam-Filter aus den E-Mails, die der erste schon gefiltert durchgelassen hat, etwas herausfiltert, mag zwar gering sein, dafür ist aber jeder weitere Filtereinsatz fast mit Sicherheit eine Niete und es erwischt eine “gute” E-Mail.

Dazu kommt, dass eine eher lieblos zusammengeschlampte Anti-Spam-Lösung das schlechteste ist, was man haben kann. Dazu gehören leider oft die Spam-Filter, die in Antivirenlösungen daherkommen. Von einem Spam-Filter erwarte ich, dass er aus mehreren, klar definierbaren, einzeln konfigurierbaren, priorisierbaren und log-schreibenden Modulen besteht. Denn wenn etwas bei einem Anti-Spam-Filter wichtig ist, ist das Nachvollziehen von Filterungen. Es reicht in vielen Fällen nicht, einfach einen Absender aufzufordern, eine weggefilterte E-Mail nochmal zu schicken (was schon peinlich genug ist), denn wen wollen Sie informieren, wenn Sie eine E-Mail von einem bisher unbekannten Absender bekommen sollten und diese im Orkus landet?

Richtig ätzend sind Analysen, wenn tatsächlich irgendwo eine E-Mail verloren geht und man nicht weiß, welcher Spam-Filter nun der Kandidat ist. Wenn unter den Verdächtigen Spam-Filter dabei sind, die keine Logs führen, funktioniert eine Analyse nur nach dem Ausschlussverfahren. Das mag man seinem ärgsten Feind nicht antun.

Zugegeben, es hat sich jemand dabei angestrengt.

Wo wir gerade beim Thema Spam-Bekämpfung sind, können wir auch gleich einen Blick auf eine andere Technik werfen, die kaum kontroverser diskutiert werden kann: Das Greylisting.

Die Idee hierbei ist, dass ein Mailserver E-Mails nicht mehr sofort via SMTP annimmt, sondern zunächst “greylisted”. Damit ist gemeint, dass der Empfang beim ersten Versuch mit der Fehlermeldung 4.7.1 geblockt wird (”ich kann deine Mail gerade nicht annehmen, probiere es später noch einmal”) und ein weiterer Zustellversuch erst nach einem bestimmten Zeitraum akzeptiert wird. Der Hintergedanke: Man nimmt an, dass Spammer beim Spam-Versenden Quantität vor Qualität stellen und ihre Spam-Software so einsetzen, dass bei einem missglückten Zustellversuch keinen zweiten Versuch unternommen wird.

Das mag funktionieren, vor allem, wenn Greylisting mit einer Strategie eingesetzt wird, beispielsweise der, nur bei unbekannten Mailservern, die bisher noch keine Mail an den Mailserver gesendet haben, Greylisting zu praktizieren. Vor allem bei “dummer” Spam wie zum Beispiel dem Versand von Malware, mag das System funktionieren, wie beispielsweise das Rechenzentrum der Rheinisch-Westfälischen Technischen Hochschule in Aachen exemplarisch zeigt. Dort ist während einer MyDoom-Spam-Welle das Greylisting eines Mailservers (”relay3″), die allesamt im Verbund arbeiten, ausgefallen und dieser hat in über sieben Stunden rund 7.000 MyDoom-Spammails empfangen, während der Rest des Verbundes einige wenige hundert empfangen haben.

Was Greylisting auf keinen Fall ist, ist eine absolut pflegeleichte Technik. Mal eben kurz Greylisting implementiert, wird früher oder später zu komplizierten Problemen führen.

Sehr beliebtes Problem: In der Spam-Szene hat es sich fast eingebürgert, beim Vorhandensein von Backup-Mailservern in MX-Konfigurationen Spam ausschließlich an die Backup-Mailserver zu senden. Hintergedanke hier ist, dass Backup-Mailserver möglicherweise keine Filterregeln haben, was beispielsweise bei Backup-Mailservern, die von Internet Service Providern gestellt werden, auch meist so ist. Wenn nun der greylistende primäre Mailserver den Backup-Mailserver nicht in seiner Whitelist hat, wird er Mails von diesem Backup-Server genauso greylisten. Das Problem verschärft sich, wenn der primäre Mailserver sich auf Dauer stur stellt, denn dann wird der Backup-Mailserver seine gepufferten Mails nicht los und sendet sie irgendwann wieder unzustellbar an den Absender zurück. Greylisting muss also absolut tabu gegenüber eventuellen Backup-Mailservern sein.