Anti-Spam-Standard Sender ID: Zurück auf Start

Heute sollte der Anti-Spam-Standard Sender ID seinen Segen von der MARID-Workinggroup der Internet Engineering Task Force (IETF) bekommen. Aber die Arbeitsgruppe hat dem von Microsoft propagierten Vorschlag mehrheitlich die Zustimmung versagt und dem Riesen aus Redmond die kalte Schulter gezeigt. Besonders die Kritik aus der Open-Source-Welt hat Andrew Newton, einen der Leiter der Arbeitsgruppe, dazu veranlasst, gestern die Notbremse zu ziehen.

Newton schlägt nun eine Neufassung des Vorschlags vor, der vor allem eine Alternative für den Mechanismus zur Überprüfung des Absenders bieten soll. Genau an diesem entzündete sich die heftige Kritik, weil Microsoft dafür nach wie vor patentrechtliche Ansprüche erhebt. Anstatt wie in Microsofts "Purported Responsible Adress" (PRA)-Vorschlag vorgesehen nacheinander die Resent-, Sender-, From-Zeilen im Header zu prüfen, soll nun das "Mail from" geprüft werden. Weitere Möglichkeiten sollen ebenso zugelassen werden.

"Microsofts Vorschlag ist damit tot," sagte Stéphane Bortzmeyer, Network Architekt bei der französischen AFNIC und eines der MARID-Mitglieder, "und ich denke, es ist besser so." Microsoft hatte unter dem Titel Sender ID eine Kombination seines ursprünglichen Vorschlags Caller ID und dem bereits im Praxistest befindlichen Sender Policy Framework (SPF) vorgelegt. Patentansprüche lagen dabei offensichtlich vor allem auf der Kombination dieses Vorschlag mit dem PRA-Bestandteil.

Der neue Vorschlag, den Newton nun von SPF-Autor Meng Weng Wong erbeten hat, soll die Wahl, welche Authentifizierungsmethode gewählt wird, den Anwendern überlassen. "Das entspricht im Wesentlichen dem, was bereits mit 'SPF unified' schon vorliegt", erklärte Newton. Bei der IANA soll diesem Vorschlag zufolge eine Liste über die verschiedenen Authentifizierungsmöglichkeiten geführt werden, von denen Microsofts PRA eine unter vielen sein kann. "Einigkeit darüber, welche Variante man nimmt, lässt sich angesichts des Zeitdrucks einfach nicht erzielen", so Bortzmeyer. Wer kein Problem mit Microsofts Patentansprüchen habe, könne nach wie vor PRA einsetzen. Wer in dieser Hinsicht kein Risiko eingehen möchte, könne eine andere Variante wählen. Die Forderung, PRA komplett zu verwerfen, die der Vizepräsident der Apache Software Foundation gerade noch einmal erhoben hat, hält Bortzmeyer für "ein wenig überzogen".

Peter Koch, der die Diskussion für die deutsche ISOC und als Netzwerkverantwortlicher in der Informatik der Uni Bielefeld verfolgt, sieht allerdings eine andere Gefahr: "Es kann zu einer Fragmentierung führen, wenn die IETF sich nicht auf ein obligatorisches Verfahren einigt." So sei es möglich, dass beim Austausch von Mails der Absender nur "Mail From" in seinen SPF-Records verzeichnet, der Empfänger aber PRA prüft. "Das ist, als würden alle lateinische Buchstaben benutzen, aber einer spricht eben nur Portugiesisch und der andere Deutsch", erläuterte Koch. Auch bei anderen Standards lasse die IETF oft Wahlmöglichkeiten zu, einige sich aber grundsätzlich auf ein obligatorisches Verfahren.

Koch rechnet damit, dass es mittelfristig ein zwei- bis dreistufiges Verfahren geben wird. Nach der Überprüfung mittels SPF unified werden Mails verworfen, zu denen kein Eintrag überprüft werden kann. Im zweiten Schritt wird dann validiert, ob der Absender "zu den Guten" gehört. Dafür werde es dann, so Koch, Whitelist-Reputation-Services geben. Wer dann dort nicht verzeichnet sei, werde "noch einmal durch einen Spamfilter gejagt". Ein zweistufiges Verfahren mit Überprüfung der Reputation sieht auch der Vorschlag Client SMTP Validation (CSV) vor, den die MARID-Gruppe begutachten will, sobald sie bei SPF zu einem Ergebnis gekommen ist. Ein derartiges Verfahren wird nicht zuletzt dadurch notwendig, dass schon jetzt Spammer beginnen, selbst SPF-Einträge für ihre Domains zu machen. (Monika Ermert) / (hob)