Fälschungsschutz für E-Mail

Inhaltsverzeichnis

E-Mail ist derzeit ein Eldorado für Fälscher und Betrüger. Es mangelt bisher an der Umsetzung wirksamer Anti-Spoofing-Maßnahmen – also Echtheitsbeweisen für die Angaben zum Absender, Mail-Server oder den Mail-Inhalten. Die Authentizität sagt noch nicht viel über die Vertrauenswürdigkeit der Absender aus, wie derzeit zahllose von echten Yahooo der Hotmail-Accounts versandte Spam-Mails belegen. Doch in Zusammenarbeit mit Reputationsfiltern lassen sich damit im Prinzip regelrechte Bollwerke gegen unerwünschte E-Mails aufbauen.

Wer eine einigermaßen bekannte E-Mail-Adresse verwendet, erhält laufend merkwürdige E-Mails von diversen Banken, die zum Teil täuschend echt aussehen – bis hin zu Angaben wie "postbank.de" in der Absenderzeile. Geübte Empfänger erkennen solche EMails als Fälschungen anhand ihres Inhalts oder vielleicht beim Blick auf die Received:-Zeilen im Header. Dort steht eben nicht "postbank.de" als Quelle, sondern beispielsweise "club-internet.fr", denn die IP-Adresse des absendenden Mail-Servers ist nicht ohne weiteres fälschbar. Doch der SMTP-Standard (RFC 2821) kennt schlicht und einfach keinerlei Fälschungsschutz oder auch nur eine Plausibilitätsprüfung.

Es besteht wenig Hoffnung auf Nachbesserungen am betagten Standard, den Jon Postel in seiner Urversion bereits im Jahr 1982 vorschlug (RFC 821). Da praktisch alle am weltweiten Mail-Verkehr teilnehmenden Server heutzutage SMTP unterstützen müssen, scheut jeder Betreiber das Risiko von Inkompatibilitäten. Grundlegende Änderungen am Standard scheiden also vorläufig aus. Deshalb haben es Spammer, Phishing-Betrüger und Viren leicht, E-Mails mit falschen Absenderangaben über offene Relays, Bounce-Angriffe oder ganze Netzwerke verseuchter und ferngesteuerter PCs, so genannte Bot-Netze, in Umlauf zu bringen. Gefragt sind also Methoden, die den Schutz verbessern, ohne den Standard zu verletzen.

Sortieren mit Scharfblick

Die Aufgabe ist vergleichbar mit dem Aussortieren großer Mengen der täglichen Briefpost. Ein geübter Blick auf Umschlag und Absender genügt oft, um Reklame oder Bettelbrief von der Bankpost oder dem Anschreiben der Krankenversicherung zu trennen. Doch das funktioniert nicht mit Rechnungen von unbekannten Absendern, denn ein Familienmitglied oder ein Mitarbeiter könnte ja tatsächlich einen Auftrag erteilt haben.

Bei der Erforschung der Sachlage helfen die Angaben im Briefkopf: Dort steht meist eine passende Telefonnummer, unter der man den Grund für das Anschreiben erfragen kann. Seriöse Anbieter stellen in der Regel Unterlagen bereit, die den Auftrag belegen können. Liegen jedoch Zweifel an der Echtheit der Forderung vor, lassen sich beispielsweise die Telefonnummer und Adresse durch Nachschlagen im Telefonbuch verifizieren. Auch eine Auskunft der zuständigen Handels- oder Handwerkskammern und der Verbraucherzentralen hilft beim Aussortieren schwarzer Schafe.

Beim Übertragen des Verfahrens auf das Sortieren der elektronischen Post kommen also zwei Faktoren zusammen. Einerseits muss der Absender zweifelsfrei authentifiziert werden. Andererseits muss eine Bewertung seiner Vertrauenswürdigkeit erfolgen. Das Ergebnis ist eine Kategorisierung in "gut" und "schlecht" sowie in "Zweifelsfälle", wenn die Information nicht für eine eindeutige Bewertung ausreicht.