IETF: vorerst keine Standardisierung von Reputationssystemen

Die mit der technischen Weiterentwicklung des weltweiten Datennetzes befasste Internet Engineering Task Force (IETF) verzichtet anders als ursprünglich beabsichtigt vorerst auf die Standardisierung so genannter Reputationssysteme im Kampf gegen Spam und E-Mail-Betrug.

Die IETF ist eine freie internationale Organisation, in der Netzwerktechniker, Hersteller, Netzbetreiber, Forscher und Anwender in zahlreichen Arbeitsgruppen freiwillig gemeinsam daran mitwirken, neue Standards im Internet zu implementieren. Beim voraussichtlich letzten Treffen der zuständigen Arbeitsgruppe für Domain Keys Identified Mail (DKIM) anlässlich der 73. IETF-Zusammenkunft in Minneapolis sprach sich die Mehrzahl der Experten dagegen aus, die Arbeiten in diese Richtung fortzuführen. Es gebe zwar durchaus interessante Ansätze zu möglichen Reputationssystemen, sagte Dave Crocker, einer der Koautoren des DKIM-Konzepts. Eine Standardisierung sei aber zum gegenwärtigen Zeitpunkt verfrüht.

Das DKIM-Verfahren erlaubt die Authentifizierung des versendenden Mailservers mittels kryptographischer Hashs von Mail und einzelnen Headerfeldern. Es war ursprünglich als Maßnahme gegen Spam innerhalb der IETF gestartet worden. Wenn das Modell aber zur Spam-Abwehr eingesetzt werden soll, ist eine zusätzliche Bewertung der Absender-Reputation sinnvoll, da auch Spammer ihre Emails signieren können. Bevor man einen Standard anstrebe, müsse man diese Systeme besser verstehen, sagte Crocker.

In den IETF-Debatten kam ein deutsches DKIM-Reputations-Projekt nicht zur Sprache – nämlich das des Eco-Verbands. Es wurde kürzlich bei einem Treffen des Eco-Arbeitskreises für Senderauthentifizierung am Rande des 6. deutschen Anti-Spam-Summit vorgestellt. Laut Florian Sager, Geschäftsführer beim IT-Dienstleister Agitos und Leiter des Eco-Arbeitskreises, ist es das derzeit "einzige Reputationsprojekt auf DKIM-Basis weltweit". Seit kurzem würden die im Projekt gesammelten Daten übers DNS zur Verfügung gestellt, ähnlich wie Informationen von Blockinglisten.

Vorerst listet man laut Sager nur "negative DKIM-Reputationen", also mit DKIM signierte Spam-Nachrichten. Der Vorzug von DKIM gegenüber klassischen IP-Blocklists bestehe darin, dass es ein genaueres Filtering erlaube. Zudem könne die Filterung auf die längerfristig gültigen Domains anstatt auf IP-Adressen bezogen werden, was es erlaube, besonders False-Positives besser als bisher zu vermeiden.

Eine Kombination mit der von Eco und Direktmarketingverband 2004 gestarteten Certified Sender Alliance, die Werbeunternehmen gegen Mitgliedsbeitrag und Anerkennung von Spielregeln auf eine Positivliste setzt, sei sinnvoll, meint Sager. "Davor müssen jedoch CSA-Absender auf den DKIM-signierten Versand umstellen." Noch ist DKIM weit weniger stark im Einsatz als der Vorläufer "Sender Policy Framework" (SPF).

Beim IETF-Treffen in Minneapolis berichtete Robert Morgan von der University of Washington über ein Projekt, das DKIM-Signierung zur Absicherung des E-Mail-Austauschs zwischen den Universitäten einzusetzen, die am "Internet2"-Forschungnetz beteiligt sind.

Den Vorschlag, die DKIM-Signatur noch durch ein Zertifikat anzureichern, das den Rückgriff auf weitere, von dritter Seite bestätigte Informationen über den Sender zuläßt, machte in Minneapolis VeriSign-Vertreter Phillip Hallam-Baker. Der Entwurf, der nicht zuletzt im Zusammenhang mit VeriSigns Zertifikatsgeschäft zu sehen ist, solle als individueller Vorschlag verfolgt werden, nicht als Anhängsel zum DKIM-Standard – so die Entscheidung der DKIM-Arbeitsgruppe.

Wie vorsichtig die IETF mit der Standardisierung in Umfeld der Spam-Thematik ist, zeigt schließlich auch die Zurückstufung eines aus der IETF/IRTF Anti-Spam Research Group (ASRG) stammenden Vorschlags zur Vereinheitlichung von Black- und Whitelists. Dieser soll nicht als Standard, sondern als Informationsdokument veröffentlicht werden, entschied die IETF-Spitze jetzt. Der Aufruf, zur letzten Entwurfsfassung des Dokuments Stellung zu nehmen, sorgte für eine wahre Flut von Kommentaren auf der IETF-Ankündigungsliste. In der Pipeline der ASRG hängt auch noch ein weiteres Memo zu den Regeln für Blocking-Listen. (Monika Ermert) / (psz)