Anti-Spam-Umfrage: Mailserver-Adressen transparenter machen

"Die Verbreitung und Bewertung von unterschiedlichen Anti-Spam-Mechanismen zeigt, dass jeder Mechanismus für sich genommen Vor-, aber auch Nachteile hat und E-Mail nicht zu einem sicheren Dienst macht." Zu diesem Ergebnis kommt eine erste Umfrage des Instituts für Internetsicherheit (IFIS) der Fachhochschule Gelsenkirchen zur Verlässlichkeit von E-Mail-Kommunikation. Im ersten Lauf der Umfrage vom 17. November 2004 bis 7. Januar 2005 befragte das Institut 116 Organisationen mit insgesamt rund 40 Millionen E-Mail-Accounts und einem Aufkommen von 2,3 Milliarden E-Mails.

Dabei gibt es bei der Belastung mit Spam und Viren große Unterschiede zwischen Behörden einerseits und der Privatwirtschaft andererseits. Die beteiligten Behörden gaben eine Spamrate von 20,4 Prozent an, GmbHs registrieren 64 Prozent Spam im Briefkasten und Aktiengesellschaften sogar 69,9 Prozent. Ein Vergleich der Branchen zeigt, dass die Finanz- und IT-Branche am stärksten mit Spam bombardiert werden. Sie erhalten nach eigenen Angaben im Schnitt sogar 86,1 Prozent Spam-Mails und das, obwohl insbesondere der Finanzsektor eine Spitzenposition bei E-Mail-Verschlüsselung und dem Einsatz von Signaturen einnimmt. Die Unterschiede bei AGs und GmbHs erklärt IFIS-Chef Norbert Pohlmann, der auch Mitglied der Anti-Spam-Task-Force des Bundesinnenministeriums ist, vor allem mit der Größe von AGs und der stärkeren Verpflichtung zur Außendarstellung.

Pohlmanns Fazit aus dem ersten Umfragelauf lautet: "Wir meinen, dass deutlich mehr Spam bereits auf IP-Ebene abgeblockt werden könnte. Derzeit überprüfen nur rund ein Drittel der Befragten die ankommende Mail auf IP-Ebene und filtern dabei auch nur rund 9 Prozent an Spam aus." Einen größeren Filtereffekt haben derzeit näher am Empfänger angesiedelte Inhalts- und Bayes-basierte Filter, denen weitere rund 61 Prozent der ankommenden Mails zum Opfer fallen. Pohlmann kalkuliert, dass bei einer stärkeren Filterung auf IP-Ebene die Spamrate sogar auf 30 Prozent gedrückt werden könnte. "Mit einer Rate von 30 Prozent könnte man immerhin leben", so Pohlmann.

Dazu müsste allerdings transparenter werden, wer E-Mail-Server im Netz betreibt. Als zu langsam schätzt Pohlmann dafür die Möglichkeiten der E-Mail-Server-Authentifizierung ein. Zwar sei die Zahl der Unternehmen, die bereits SPF- und ähnliche Einträge für ihre Mails eintragen, mit derzeit 5 Prozent schon beachtlich. Allerdings schlägt Pohlmann vor, Mailserverlisten besser den ISPs und nicht dem einzelnen Unternehmen zu überlassen. Notfalls könne auch bei der IP-Registry RIPE ein Prozedere erwogen werden, mittels dessen IP-Adressbezieher die Adressen ihrer Mailserver bekannt geben. Inwieweit sich eine solche "Zwangsregistrierung" von Mailserver-Adressen realisieren lässt, ist allerdings fraglich.

So schlägt Pohlmanns Studie, die auch beim Treffen der Anti-Spam-Task-Force am Freitag vorgestellt werden soll, vorerst doch wieder die Kombination mehrerer Mechanismen vor. Eine weitere Studie, die derzeit vom Bundesamt für Sicherheit in der Informationstechnik erstellt wird und eine größere Veranstaltung im kommenden Herbst soll weiteren Aufschluss bringen. Die Umfrage des IFIS soll künftig regelmäßig durchgeführt werden und als Barometer für die Entwicklung dienen.

Die von Pohlmann vorgeschlagene zentrale Listung von Mailservern könnte möglicherweise ein drohendes Problem beheben, vor dem SMTP-Autor John Klensin kürzlich warnte. Klensin befürchtet angesichts des Konkurrenzkampfs verschiedener Parteien bei der Einführung eines Mailserver-Authentifizierungsstandards, dass Nutzer am Ende gleich mehrere Systeme einsetzen müssten, da Unternehmen wie Microsoft oder Yahoo die Annahme von E-Mails von der Implementierung ihrer jeweiligen Lösung abhängig machen könnten. (Monika Ermert) / (anw)