Microsoft hat angekündigt, ab November 2005 alle Mails, die nicht per Sender-ID zugeordnet werden können, in den Hotmail- und MSN-Netzen als Spam zu kennzeichnen. Die Technologie, die hinter den microsofteigenen Sender-IDs stecken ist jedoch höchst umstritten. Momentan lassen sich laut Microsoft nur 1/4 aller eingehenden Mails entsprechend überprüfen.
Worum es geht: Spam-, Phishing- und Virenmails tragen eigentlich immer gefälschte Senderadressen, d. h., bekommt man eine solche Mail kann man meist nur sicher sein, dass der angebliche Absender nicht beteiligt ist. Gleichzeitig tragen Mails in der Header-Information die Information, von welcher IP-Adresse aus die Mail in das weltweite Mailsystem eingeliefert wurde. Ist die Absender-Mailadresse gefälscht, stimmt sie naturgemäß i.d.R. nicht mit der Sender-IP überein. Sender-ID ist eine Technologie, die auf dem freien SPF aufsetzt.
Ein grob vereinfachtes Beispiel zur Verdeutlichung: Eine Spammail trägt im Header folgende Absenderinformationen: From: Peter Boesmeister <boes@ganznett.de |
Received: from [123.123.123.123]
Wie das prinzipiell funktioniert: Die Idee ist folgende: Mailserver-Provider hinterlegen auf ihren DNS-Servern für jede Domain die Informationen, welche Rechneradressen Mails versenden dürfen. Kommt eine Mail nun bei einem MSN- oder Hotmail-Mailserver an, guckt dieser zunächst nach der From-Adresse und fragt dann bei dem zuständigen DNS-Server nach, welche IPs denn mit dieser Adresse versenden dürfen. Würde im Beispielfalle der DNS-Server für ganznett.de antworten und dabei nicht die 123.123.123.123 nennen, geht der Mailserver von einer Absenderfälschung aus und kennzeichnet die Mail als Spam – je nach Filterregeln erreicht die Mail dann den Empfänger eventuell gar nicht.
Wo die Probleme liegen: Das größte Problem liegt darin, dass Microsofts Sender-ID-Standard nicht allgemein unterstützt wird – und dies aus verschiedenen Gründen:
- Patentierung: Basistechniken der Sender-IDs sind Open Source-Techniken, dennoch hat sich Microsoft diverse Patente auf Sender-IDs gesichert. Für Unternehmen, die Sender-IDs einsetzen wollen, birgt dies u.U. rechtliche Unsicherheiten (siehe auch Artikel Softwarepatente). Die Apache Foundation lehnt darum die Microsoft-Technik ab und will keine entsprechenden Programme bzw. Erweiterungen entwickeln. Und Testticker entwirft ein Grusel-Szenario: „Würde die Sender ID als weltweiter Standard definiert, dann hätte der Redmonder Riese die rechtliche Kontrolle über den weltweiten E-Mail-Verkehr und könnte gegen konkurrierende Betriebssystem- und Browserhersteller vorgehen.“ Auf diesen Effekt zielen auch juristische Hinweise im openBC-Forum.
- Technische Unzulänglichkeit: AOL lehnt die Technologie ab und verweist dabei auf technische Unzulänglichkeiten, hat sicherlich aber auch eigennützige Gründe für die Ablehnung. Immerhin will man die notwendigen Informationen auf den Mailservern einrichten. Technische Probleme werden jedoch auch bei Weiterleitungsdiensten erwartet. Aber selbst wenn dies nicht das Problem ist – die Technologie ist nicht sicher vor Fälschungen/Missbrauch.
- Fehlende allgemeine Unterstützung: Gerade Mail wird weltweit über nicht zählbare Anbieter, darunter auch viele Miniprovider oder selbst aufgesetzte Mailserver abgewickelt. Eine Implementierung der Sender-ID-Technologie auf allen versendenden Mailservern (bzw. den zugehörigen DNS-Servern) dürfte auf Jahre hin nicht erreicht werden können – insbesondere, wenn Lizenzen notwendig sind.
- Unterstützung durch Spammer: Anders als die Vielzahl der kleinen Mailserverbetreiber haben Spammer den Sender-ID-Dienst bereits genutzt. Da Spamming nicht (weltweit) verboten ist, hindert absolut nichts Spammer daran, sich die notwendigen IDs zu generieren und zu verwenden. Im September letzten Jahres fand eine Untersuchung von 400.000 Spammails heraus, dass bei bereits 16% der Mails Sender-ID-Technologie verwendet wurde. Zudem sind „Fälschungen“ ebenfalls nicht technisch ausgeschlossen.
- Rechtliche Problematik: Sollten durch Fehlmarkierungen Kunden Mails vorenthalten werden, waere das in Deutschland strafbar.
Mein Fazit: Das Spamproblem ist und wird prinzipiell immer ein Rennen von Hase und Igel sein. Sender-ID (wie auch SPF etc.) ist ganz sicher keine ausdauernde Lösung, zumal sie Spammern geradezu eine Methode gibt, die eigenen Mails ‚weisszuwaschen‘.Tatsächlich werden von vielen Providern bereits sehr wirksame Mechanismen zur Spamkontrolle verwendet, beispielsweise der automatische Abgleich mit schwarzen (Mailserver-)Listen, das Ausschließen von Mails von besonders obskuren IP-Adressen etc. Ein Grundrauschen von Spammails wird es dennoch – und auch mit SPF-Techniken, wie immer sie heissen mögen – immer geben. Und dies besonders, solange Spammails weiterhin so erfolgreich bleiben.
Hotmail- und MSN-Kunden jedoch könnten ab November vor der Situation stehen, dass die meisten wichtigen Mails von Kunden oder Freunden (versendet über kleine oder eigene Mailsysteme) als Spam gekennzeichnet sind, echte Spam- und Phishing-Mails aber oft genug mit ‚weisser Weste‘ daherkommen…
Herzlich aus Hürth
Nicola Straub
Nachtrag 28.06.2005: Es tut sich etwas – die verfeindeten Lager scheinen sich anzunähern. Doch meine Befürchtung zur Auswirkung des ‚Experimentes‘ auf die Mailverteilung in den Nutzer-Mailfoldern teilt auch intern.de.
Nachtrag 13.05.2019: OpenSPF.org ist seit Februar dieses Jahres down, Danke für den Hinweis an Chris Brooks. Hinweise hierzu und Links zu SPF-Tools finden sich in diesem Artikel (englisch): https://www.getmailbird.com/what-spf-resources-are-available-now-that-openspf-org-is-gone/