Anti-Spam-Techniken: Bitte vorsichtig experimentieren ...

Die IESG hat grünes Licht für Experimente mit den konkurrierenden E-Mail-Authentifizierungstechniken von Microsoft einerseits und Sender Policy Framework von Meng Wong anderseits gegeben, weist aber auf viele noch offene Fragen hin.

In Pocket speichern vorlesen Druckansicht 79 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Monika Ermert

Die Internet Engineering Steering Group (IESG) hat grünes Licht für Experimente mit den konkurrierenden E-Mail-Authentifizierungstechniken von Microsoft einerseits und Sender Policy Framework (SPF) von Meng Wong anderseits gegeben. Die beiden Protokoll-Suiten Sender ID und SPF, die Spammern das Fälschen von Absenderadressen unmöglich machen sollen, unterscheiden sich nach Ansicht der IESG nur in Details zur Authentifizierung des Absenders per DNS-Abfrage. Tatsächlich ist SPF-Autor Meng Wong auch Hauptautor der Dokumente im Microsoft-Vorschlag.

Wegen Microsofts Patentansprüchen war die ursprünglich eingesetzte IETF-Arbeitsgruppe MARID geplatzt. Umstritten war dabei vor allem der Bestandteil "Purported Responsible Address" (PRA), der eine Möglichkeit für die Überprüfung der Authentizität der Senderdomain darstellt. Durch die Publikation als experimentelle Vorschläge und damit verbundene Implementierungen erhoffe man sich Entscheidungshilfen für einen endgültigen Standard in der Zukunft, heißt es in einer über die Internet Society (ISOC) verbreiteten Mitteilung der IETF.

Außergewöhnlich deutlich ist auch die Warnung, die die IESG dem Dokument vorangeschickt hat. In einer Notiz heißt es: "Die IESG nimmt keinerlei Stellung zur Frage, welcher Ansatz zu bevorzugen wäre, und warnt den Leser, dass es eine Reihe ernster offener Fragen für beide gibt und Bedenken, sie gleichzeitig einzusetzen." Eine so klare Warnung an die Anwender findet sich laut dem Vorsitzenden der deutschen ISOC, Peter Koch, selbst in experimentellen RFCs nur höchst selten. "Es bleiben in der Tat die Fragen wie die nach der Weiterleitungsfunktion", meint Koch. Um diese zu gewährleisten, müssten die Vorschläge auf nicht-standardkonforme Umwege zurückgreifen.

Beide Vorschläge machen im Abschnitt zu Sicherheitsüberlegungen, obligatorisch in allen RFCs, selbst auf eine ganze Reihe Probleme und mögliche Umgehungsmöglichkeiten durch Spammer aufmerksam. "Verhindert wird erst einmal nur das Fälschen von Absenderdomains und nicht Spam", betont Koch. Bei der aktuellen Cybersecurity-Konferenz der International Telecommunication Union (ITU) in Genf machte ein Vertreter von Messagelabs im Übrigen darauf aufmerksam, dass Spammer bereits in höherem Maß SPF-Einträge verwenden als normale Nutzer.

Verschärft wird die Debatte um die Experimente nun auch noch durch die Ankündigung von Microsoft, für E-Mail-Empfang von Hotmail- und MSN-Kunden Sender ID obligatorisch zu machen. Inwieweit die IETF durch ihre Anerkennung von Sender ID der von Microsoft gewählten Einführungsstrategie Vorschub leistet, dazu dürfe man von der IETF keine Stellungnahme erwarten, sagt Peter Godwin, Sprecher der ISOC in Genf. Aus derartigen Streitereien hielten sich die Standardisierer aus Prinzip heraus.

Allerdings verweist die IESG auch noch einmal deutlich auf weitere Alternativen zu SPF und Sender ID hin, etwa auf die Vorarbeiten zur Authentifizierung von Nachrichten über kryptographische Signaturen. Cisco und Yahoo haben zudem aus dem Marid-Debakel die Lehre gezogen und sich auf eine Zusammenarbeit bei ihren Vorschlägen Identified Internet Mail (IIM) und DomainKeys geeinigt. Man werde demnächst Dokumente zu dem Vorschlag auf den Weg bringen, sagte in Genf Adam Golodner von Cisco. Eine neue IETF-Arbeitsgruppe dazu steht praktisch in den Startlöchern. Außerdem verweist die IETF auf ältere Vorschläge für ein Protokoll, das Administratoren den Austausch von Informationen über Spam- und Phishing-Wellen automatisiert ermöglichen soll. (Monika Ermert) / (jk)