Juni 2003 > mehr wissen > Spam filtern
 
Spam filtern
Von Florence Maurice
 
In einem Yahoo-Forum kursiert die Geschichte, wie jemand die reale Adresse einer ihn mit Spam belästigenden Firma auskundig macht, dort hinfährt und die betreffende Person zusammenschlägt. Die Anzeige, mit der er zu rechnen hat, war ihm wohl die Sache wert.
So etwas soll natürlich nicht Schule machen, ist aber ein Extremfall, der demonstriert, wie aggressiv viele Leute inzwischen auf Spam reagieren - bevor es soweit kommt, sollten Sie sich lieber ein Antispam-Programm zulegen. Denn die Masse an Spam-Mails fördert nicht nur Frust und Ärger, sondern kostet auch Zeit und zudem wächst die Gefahr, dass man innerhalb der Mengen an Spam-Mails auch mal eine andere wichtige Mail übersieht und versehentlich löscht.

Wie aber funktionieren Antispam-Programme? Worauf sollten Sie bei der Wahl eines geeigneten Tools achten?

Zwei Problemfälle
Bei Spam-Filtern gibt es zwei mögliche falsche Ergebnisse: zum einen Spam-Mails, die trotz des Filters an den Adressaten gelangen - eine lästige, aber nicht tragische Angelegenheit, sofern der Filter die meisten Spam-Mails erkennt. Aber auch das Umgekehrte ist möglich, die so genannten False Positive-Mails, die irrtümlicherweise als Spam-Mail klassifiziert werden, obwohl sie keine sind. Letztere Fälle sind - sofern der Filter so konfiguriert ist, dass als Spam erkannte Mails automatisch gelöscht werden - wesentlich dramatischer. Kann doch das falsche Löschen einer wichtigen Mail das Zustandekommen eines Auftrags gefährden. Deswegen sollten Sie den Ordner mit den Spam-Mails immer noch einmal überprüfen und das automatische Löschen wirklich auf Mails beschränken, bei denen eine 100%ige Sicherheit besteht.

Wonach kann man filtern? Woran erkennt ein Filter-Programm, dass es sich um Spam und nicht um eine echte E-Mail handelt?

Adressliste zum ersten ...
Das einfachste Filterkriterium ist 100%ig sicher, kann aber als alleiniges Kriterium nur von Leuten eingesetzt werden, deren E-Mail-Kontakte sich auf einen von vornherein eingegrenzten Kreis von Personen beschränken: Diese können eine Adressliste anlegen mit den E-Mail-Adressen, von denen sie Mails erhalten möchten. Mails von anderen Absendern werden nicht durchgelassen. Das ist natürlich für die meisten - oder gerade auch kleine Firmen - nicht praktikabel, da sie ja auch darauf angewiesen sind, von Fremden - neuen Kunden - angeschrieben zu werden.

Adressliste zum zweiten ...
Umgekehrt kann man in einer Liste E-Mail-Adressen speichern, von denen man keine Mails erhalten möchte. Dies ist heute aber nur bedingt effektiv, da sich E-Mail-Adressen beliebig fälschen lassen und die Spammer inzwischen immer wechselnde Adressen einsetzen. Deswegen hilft auch die "BLOCK"-Funktion, wie sie in vielen Mailprogrammen implementiert ist, heute nicht mehr.

Textfilter zum ersten ... die Betreffzeile
Man kann natürlich auch Wortlisten verwenden, die - sollten sie als Betreff in einer Mail vorkommen - eindeutig auf Spam verweisen. Dieses Kriterium ist heute leider alleine auch nicht mehr wirksam, gibt es doch inzwischen auch harmlose Betreffzeilen wie "Dein Anruf", "Ihre berufliche Chance" etc. Trotzdem können gewisse Begriffe in der Betreffzeile ein Indiz sein, dass es sich um Spam handelt (z.B. mortgage).

Textfilter zum zweiten ... Inhalt der E-Mail
Ähnlich wie die Betreffzeile kann natürlich auch der Haupttext der E-Mail auf das Vorkommen oder das Fehlen von bestimmten Wörtern durchleuchtet werden. Beispielsweise ist das Vorhandensein einer korrekten Anrede (Sehr geehrte Frau X) schon ein guter Hinweis, dass es keine Spam-Mail ist.

IP-Adresse des sendenden Servers
Weitere mögliche Filterkriterien basieren auf einer Auswertung der mehr technischen Details von E-Mails - d.h. Angaben wie sie im erweiterten Header zu finden sind, z.B. Prüfsumme oder Message-ID. Weit verbreitet ist es, die IP-Adresse des sendenden Servers zu untersuchen.
Die Idee dahinter ist, dass Spammer und Nicht-Spammer nicht dieselben Server verwenden. Eine ankommende E-Mail wird dann mit immer aktuellen Listen von bekannten Servern, die von Spammern verwendet werden (so genannten Realtime Blacklists), abgeglichen. Problematisch hierbei ist, dass Spammer auch schlecht konfigurierte andere Mailserver ausnützen können - und so kann es sein, dass von derselben IP-Adresse auch Nicht-Spam-Mails abgesendet werden, die dann fälschlich abgeblockt werden. Umgekehrt kann es natürlich auch Listen mit Nicht-Spam-IPs geben, die für echte Mails sprechen.

Wo wird gefiltert?
Theoretisch kann an zwei Orten gefiltert werden, zum einen auf dem Mailserver, zum anderen auf dem Client. Die meisten Filterprogramme für den Desktop filtern beim Client und verschieben die als Spam erkannten Mails in einen extra dafür angelegten Ordner des Mailprogrammes. Diesen kann man dann ab und zu - wenn man gerade Zeit hat, das eilt nicht - kontrollieren und die Mails löschen. Eine andere Möglichkeit wäre, die Spam-Mails gar nicht erst herunterzuladen, sondern auf dem Server in einem speziellen Ordner zu belassen, der dann ebenfalls sporadisch überprüft werden muss.

Mehrere Kriterien kombinieren
Wie deutlich geworden sein sollte, bietet keines der Filterkriterien für sich alleine genügend Sicherheit, um eine Spam-Mail eindeutig als solche zu klassifizieren. Deswegen kombinieren gute Spam-Filter mehrere Kriterien - sowohl Positiv- als auch Negativ-Kriterien - d.h. solche, die für Spam und solche, die dagegen sprechen. Erst die Auswertung aller Kriterien ergibt dann eine gute Gesamtwahrscheinlichkeit. Wichtig ist natürlich auch, dass den Filtern zugrunde liegenden Listen stets aktualisiert werden. Außerdem sollte sich ein guter Spam-Filter an die eigenen Bedürfnisse anpassen lassen oder auch lernen, was die Benutzerin unter Spam versteht.
 

Quellen und Links
Ungerer, Bert: Lochrezepte. Unerwünschte E-Mails aussieben.
In IX, 5/2003, S. 58-65.

Spam-Vorsorge:
Artikel in mediella 03.03

Adresse schützen:
Artikel in mediella 04.03

Autorin
Florence Maurice
Kontakt: florence.maurice@ mediella.de