Challenge-Response-Spamfilter zerstören Mails und verursachen Backscatter-Spam
Einige (zum Glück nur wenige) Hersteller versprechen mit sogenannten "Challenge-Response-Spamfiltern" das Glück auf Erden auf der Suche nach der spamfreien INBOX. "100% spamfrei" titeln manche dazu vollmundig. In der Tat scheint das Prinzip verlockend: Versucht ein unbekannter Empfänger eine Mail einzuliefern, wird diese auf dem Empfangssystem zunächst zurückgehalten und stattdessen eine Antwort an den (vermeindlichen) Absender zurückgeschickt. Diese beinhaltet eine kleine Aufgabe ("Challenge"), beispielsweise ein Weblink, der angeklickt werden muß. Dort sind Captchas oder andere kleine Aufgaben zu lösen ("Response"), die eine automatisierte Aktion ausschließen sollen. Erst dann wird die Mail an den Empfänger zugestellt. Doch zu recht sind diese Challenge-Response-Filter verpönt, denn sie sind alles andere als unproblematisch.
Problem 1: Diese Systeme sind Backscatter-Systeme.
Wer auf die gefälschten mißbrauchten Absender von Spam-Mails antwortet, der trifft unschuldige Dritte, die mit dem Spam-Versand nichts zu tun haben. Dieses Problem nennt man "Backscatter" (engl., zurückwerfen/zurückstreuen). Der arme unschuldige Dritte wird unter Umständen mit Millionen Rückantworten geflutet, so daß er seinerseits schnell mit seinen Mailservern in Schwierigkeiten gerät. -Für ihn ist das ein Distributed-Denial-of-Service, der freundlicherweise von seinen Postmaster-Kollegen anderer Systeme gegen ihn ausgeübt wird. Dieser DDoS kann hohe finanzielle Schäden verursachen und andere Systeme zusammenbrechen lassen. Zurecht landen Backscatter-Mailserver selbst auf RBL-Sperrlisten, so daß andere Mailserver von diesen Systemen keine Mails mehr annehmen. Wer diese Backscatter-Mails zulasten unschuldiger Dritter versendet ist nicht besser, als der Spammer selber. Wer solche Systeme betreibt handelt wahlweise unwissend oder auch rücksichts- und verantwortungslos. Spam- und Virenfilter dürfen auf Spam-Mails nie mit Bounces reagieren -- und Challenge-Response-Systeme dürfen folgerichtig auch nicht an die (gefälschten!) Absender vermeindlicher Spam-Mails antworten. Hersteller, die ihren Kunden derartige Systeme anpreise und verkaufen, riskieren am Ende den sicheren Mailbetrieb ihrer Kunden. Denn bei einem (berechtigten!) Blacklisting der Mailrelays ist der ausgehende E-Mail-Versand gestört -- und damit führen derartige Spam-Systeme zum Denial-of-Service "gegen sich selbst".
Problem 2: Legitime E-Mails gehen verloren
Das zweite Problem liegt zu einem Großteil in der menschlichen Kommunikation begründet: Diverse Absender werden die angefragte Bestätigung nicht ausführen, aber auch nicht ausführen können. Normale erwünschte Mailkommuniktion bleibt damit auf der Strecke.
- Viele Absender/Anwender verstehen die Anfrage nicht (die oft auch in Englisch ist)
- Oft werden diese Bestätigungsmails ihrerseits von anderen Spamfiltern aus dem Verkehr gezogen
- Viele Absender werden zurecht aus Angst und Misstrauen nicht ominöse URLs in ihrer INBOX anklicken und auf ominöse Webseiten irgendwelche Aufgaben lösen. Zumindest die Admins sind eigentlich daran interessiert ihren Nutzern beizubringen, genau solche Aktionen NICHT vorzunehmen, um sie gegen Phishing- und andere Attacken zu sensibilisieren. Hier wird die eigene Usererziehung konterkariert.
- Mailinglisten, Ticketsysteme, Buchungssysteme, Onlineshops und andere (legitime!) Webplattformen und e-Commerce-Dienste werden naturgemäß nie die angefragte Response-Aktion ausführen. Hier wird also absichtlich ein Großteil des erwünschten E-Mail-Verkehrs verhindert.
- Und am Ende belauern sich zwei Challence-Response-Systeme gegenseitig und verlangen wechselseitige Bestätigung, bevor sie die jeweilige andere Bestätigungsanfrage weiterleiten. Mit dem Erfolg: Der Absender erfährt noch nicht mal, daß seine E-Mail nicht angekommen ist, was bekanntermaßen auf interessante rechtliche Haftungsfragen auslösen kann.
Problem 3: 100% spamfreiheit ist natürlich unmöglich
Neben den aufgezeigten technischen und inhaltlichen Problemen die einen Einsatz solcher Lösung ganz klar verbieten, sind natürlich auch entsprechende Werbeaussagen über die "100%"ige spamfreiheit offensichtlich Unsinn und damit unseriös gegenüber den eigenen Kunden. Gerade wenn Spammer über Notnetze Spam versenden und dabei auch zunehmend über die offiziellen Relays des Absenders gehen, können sie auf diesem Wege auch Challenge-Response-Systeme umgehen. Perfiderweise zwingt man Spammer durch solche Techniken geradezu, daß sie bevorzugt existierende Mailadressen als Absender nehmen -- und man erzieht sich auf diese Art und Weise Spammer so, daß das Backscatter-Problem geradezu verstärkt wird. Jeder weiß: 100% gibt es nicht.
Weiterführende Links
Weitere Beiträge zum Thema
Enterprise Mail Security with Open Source?
SMTP smuggling aka Postmasters Weihnachtsstress
Kommentare