Spam in seinen unterschiedlichen Ausprägungen ist nach wie vor eines der größten Probleme, mit denen sich IT-Administratoren herumschlagen müssen. Dabei verlassen sich die meisten IT-Fachleute auf lokale Spamfilter wie beispielsweise Spam Assassin, machen aber gerne einen großen Bogen um externe Black-List-Dienste.

Der Grund dafür ist, dass diesen schwarzen Listen ein zweifelhafter Ruf vorauseilt. Meist erfolgt der »Erstkontakt« mit einer Black-List, weil der eigene Mailserver auf einer solchen gelandet ist und man sich nun damit herumschlagen muss, wieder von der Liste herunter zu kommen, um Mail zu versenden. Dabei könnte gerade der sinnvolle Einsatz von Black-Lists dabei helfen, gar nicht erst auf einer zu landen.

Drei Typen von Black-Lists

Generell existieren drei unterschiedliche Arten von Black-Lists: Die bekannteste sind die DNS-Black-Lists (DNSBL). In diesen finden sich die IP-Adressen von Systemen, die bekanntermaßen Spam versenden. Die Abfrage erfolgt über das DNS-Protokoll. Das sorgt zum einen für eine schnelle Bearbeitung von Anfragen und ermöglicht es zudem, Systeme auch schnell wieder von der Liste zu entfernen.

Dass gute Trefferraten nicht alles sind, zeigt der Black-List-Monitor von Intra2net eindrucksvoll.

Eine zweite Variante sind Hash-Black-Listen. Diese dienen dem Vergleich von Mail-Inhalten. Sie eignen sich besonders dafür, um beispielsweise von einem Bot-Netz ausgelöste Spam-Wellen zu erkennen. Bei einem solchen Angriff sendet eine große Anzahl von Rechnern, die zuvor mithilfe von Malware gekapert wurden, dieselbe Spam-Nachricht an Millionen von Empfängern.

DNSBL ist nicht gut genug, um solchen Attacken abzuwehren. Der Grund: Bot-Netz-Betreiber können immer neue Computer und damit ständig wechselnde IP-Adressen zum Versand verwenden. Da sich jedoch die eigentliche Nachricht nicht wesentlich ändert, greifen Hash-Black-Lists und sorgen dafür, dass auch Spam von bislang »unbescholtenen« Systemen frühzeitig erkannt wird.

Die dritte Kategorie der Black-Lists bilden diejenigen, die nach im Nachrichtentext enthaltenen URLs entscheiden, ob es sich bei einer Nachricht um Spam handelt. Denn oft führen die in den Spam-Mails enthaltenen Links zu bekannten Seiten, die Werbung enthalten, im schlimmsten Fall aber der Verbreitung von Schadsoftware dienen.

Performance von Black-Lists abhängig von der Pflege

Aus diesen Unterschieden wird ersichtlich, dass eigentlich nur der kombinierte Einsatz verschiedener Black-Lists zum erwünschten Ziel führt, nämlich der Reduzierung des Spam-Aufkommens. Dabei gibt es jedoch ein kleines Problem: Zwar existieren mittlerweile viele, teils kommerzielle, teils kostenlos nutzbare Black-Lists, die sich relativ einfach in den eigenen Mailserver einbinden lassen.

Allerdings gilt bei Black-Lists Ähnliches wie bei einem Viren-Scanner: Das Produkt ist nur so gut wie die Pflege, die es erfährt. Ein drastisches Beispiel ist beispielweise eine DNSBL, die IP-Adressen nicht täglich aktualisiert.

Denn Spam-Wellen haben in der Regel eine »Lebensdauer« von nur wenigen Stunden. Wer selten aktualisierte Black-Lists verwendet, setzt sich daher zum einen der Gefahr aus, Spam von mittlerweile betroffenen Servern zu akzeptieren und im schlimmsten Fall weiter zu verbreiten. Zum anderen werden aber auch E-Mails von nicht mehr betroffenen Systemen fälschlicher Weise nicht mehr akzeptiert.

Ein weiteres Problem sind die so genannten False Positives. Eine zu aggressiv arbeitende Black-List sorgt in diesem Fall dafür, dass eigentlich unbedenkliche Nachrichten als Spam erkannt und entsorgt oder zumindest in den Spam-Ordner verschoben werden.

Das mag bei privaten Anwendern noch akzeptabel sein, die nicht allzu viele E-Mails erhalten. Im Business-Umfeld ist es das mit Sicherheit nicht. Wer will schon seinem Chef erklären, dass eine wichtige Kooperation nicht zustande kam, weil die Nachricht dazu im Spam-Ordner landete und nicht rechtzeitig gefunden wurde?