Noch mehr Anti-Spam-Mittel und ihre Nebenwirkungen

Alle wollen etwas gegen Spam unternehmen. Nur was? Bei der Internet Engineering Task Force (IETF) soll nun nach unter Volldampf arbeitenden MARID-Arbeitsgruppe auch noch MASS ein Mittel gegen Werbemüll und gefälschte Absenderadressen entwickeln. Andrew Newton, VeriSign-Forscher und Leiter der MARID-Gruppe, sowie IBM-Entwickler und Spam-Experte Nathaniel Borenstein, der das erste Treffen von MASS leitete, betonten aber gegenüber heise online, die Arbeiten in beiden Gruppen ergänzten sich.

Während mit MARID (MTA AuthorizationRecords in DNS) überprüft werden soll, ob eine empfangene Mail auch von einem für eine Domain eingetragenen Server kommt, setzt man bei MASS (Message Authentication Signature Standards) auf signierte Mails. "Es gibt", sagte Borenstein, "keine perfekte Lösung, um den Ursprung von E-Mail zweifelsfrei zu identifizieren, was wir brauchen, sind Anhaltspunkte und MASS und MARID liefern verschiedene solcher Anhaltspunkte."

Durch eine Public-Private-Key-Infrastruktur soll sichergestellt werden, dass Mails auch wirklich von der Domain kommen, die angegeben ist. Die privat signierten Mails werden durch Abfrage der öffentlichen Schlüssel im DNS auf die Authentizität überprüft. Das Schlüsselmanagement per DNS und die Überprüfung an den Mail Transfer Agents (MTA) soll das System möglichst einfach einsetzbar machen. Auf weiterreichende PKI-Infrastrukturen auch mit persönlichen Schlüsseln könne nachgerüstet werden, so die grundsätzliche Idee, die zuerst von Yahoo mit DomainKeys ins Spiel gebracht wurde.

Noch umstritten ist laut Borenstein, welches Format die Signatur haben soll. Der von Microsoft mit dem Label "Poststempel" versehene Vorschlag schlägt das innerhalb der IETF entwickelte S/MIME-Format vor. Doch dessen Anforderungen sind höher, als es für eine schnelle Einführung günstig ist. Ein einziges Prozent von Klagen bei einem großen Provider, meint Borenstein, treibe aber die Supportkosten in Millionenhöhe. Beispielsweise sei es so etwa notwendig, als schadhaft angesehene Leerzeichen anders als bei S/MIME als unkritisch einzustufen, denn damit haben, betont Borenstein, viele MTAs so ihre Probleme. Zwar erfülle die Abfrage dann nicht allerhöchste Ansprüche an Integrität und Gerichtsverwertbarkeit, aber für die Reduzierung von Spam könnte es ausreichen. Borenstein hält es für schwierig abzuschätzen, wie schnell es mit den Anti-Spam-Standards vorangehe. "Vielleicht wäre es sogar praktisch, wenn man gleichzeitig sowohl die IP-Adressen und die neuen Schlüssel ins DNS einträgt."

Allerdings ist MARID bereits durchgestartet und will bereits im September die Dokumente für "SenderID" abschließen. SenderID ist eine Kombination des viel zitierten "Sender Policy Framework" und des Microsoft-Konzepts CallerID. Ein großer Provider ist laut Newton inzwischen auch auf die MARID-Gruppe zugekommen. Er will die SenderID und voraussichtlich auch den zweiten derzeit diskutierten Vorschlag "Client SMTP Verification" (CSV) testen.

Ein Hauptproblem beim favorisierten SenderID besteht jenseits des Streits um DNS-Feinheiten auch darin, wie mit den Massen von Mails umgegangen werden soll, die keinen SenderID-Eintrag haben. Auch der Umgang mit gewieften Spammern, die sich Wegwerf-Domains mit korrekten SenderIDs beschaffen, ist nicht geklärt. Ähnliche Implementierungsfragen gelten für MASS. Die Idee, per Whitelisting die Domains mit SenderID zu privilegieren, gefällt manchem Beobachter in der IETF nicht besonders. "Kurz gesagt, geben einige der Anti-Spam-Vorschläge einer kleinen Gruppe großer E-Mail-Provider potenziell die Möglichkeit, alle anderen dazu zu verpflichten, ihr System zu verwenden oder von ihnen zertifiziert zu werden," sagt der ehemalige Chef des Internet Architecture Board, John Klensin. Nicht Spam selbst, sondern die Kontrollmöglichkeiten in einem stärker zentralisierten System, könnten E-Mail den Garaus machen. "Die Gefahr, dass mit wachsender Komplexität der Lösungen kleinere Unternehmen so etwas nicht mehr selbst machen können, besteht tatsächlich", meint auch Peter Koch, der die deutsche Internet Society beim IETF in San Diego vertreten hat und derzeit einen IETF-Tag in Frankfurt vorbereitet. Wenn der größte Prozentsatz von Mails nur noch über wenige Server weltweit geht, spielt dies denjenigen in die Hände, die den Mailverkehr besser überwachen wollen. Klensin wirbt daher eher dafür, die dezentralen Filter weiter zu verbessern und gesetzlich gegen die Spammer vorzugehen.

Wie groß der Druck auch innerhalb der IETF ist, schnell mit neuen Lösungen aufzuwarten, zeigen aber schon die ambitionierten Terminvorstellungen. Standardisierung sei unumgänglich, sagte Borenstein, wenn man verhindern wolle, dass verschiedene, inkompatible Systeme eingesetzt würden. Ansonsten sieht er vor allem anonyme Mail hochgradig bedroht. Es geht wohl nicht, ohne dass schwerere technische Geschütze aufgefahren werden, fürchtet Koch. Allerdings erwartet er, dass nach einem ersten Schnellschuss ausgefeiltere, bessere Standards nachgelegt werden.

Ob die ersten RFCs tatsächlich noch in diesem Jahr fertig gestellt werden, hängt zuletzt noch davon ab, welche Patentansprüche die an der Diskussion beteiligten Unternehmen stellen. Microsoft hatte für sein ursprüngliches Konzept CallerID einen Patentanspruch und die Verpflichtung zu einer -- wenn auch kostenlosen -- Lizenz geltend gemacht. Bis zum 23. August muss sich der Konzern nun gegenüber MARID dazu erklären, welche Ansprüche er auf SenderID stellt. Die Antwort entscheidet auch darüber, ob SenderID weiter verfolgt wird oder einer der zahlreichen Alternativvorschläge. Ähnliche Diskussionen könnten, so Borenstein, auch auf MASS zukommen -- sowohl von Yahoo als auch von Microsoft. (Monika Ermert) / (jk)