Einige (zum Glück nur wenige) Hersteller versprechen mit sogenannten "Challenge-Response-Spamfiltern" das Glück auf Erden auf der Suche nach der spamfreien INBOX. "100% spamfrei" titeln manche dazu vollmundig. In der Tat scheint das Prinzip verlockend: Versucht ein unbekannter Empfänger eine Mail einzuliefern, wird diese auf dem Empfangssystem zunächst zurückgehalten und stattdessen eine Antwort an den (vermeindlichen) Absender zurückgeschickt. Diese beinhaltet eine kleine Aufgabe ("Challenge"), beispielsweise ein Weblink, der angeklickt werden muß. Dort sind Captchas oder andere kleine Aufgaben zu lösen ("Response"), die eine automatisierte Aktion ausschließen sollen. Erst dann wird die Mail an den Empfänger zugestellt. Doch zu recht sind diese Challenge-Response-Filter verpönt, denn sie sind alles andere als unproblematisch.
Wer auf die gefälschten mißbrauchten Absender von Spam-Mails antwortet, der trifft unschuldige Dritte, die mit dem Spam-Versand nichts zu tun haben. Dieses Problem nennt man "Backscatter" (engl., zurückwerfen/zurückstreuen). Der arme unschuldige Dritte wird unter Umständen mit Millionen Rückantworten geflutet, so daß er seinerseits schnell mit seinen Mailservern in Schwierigkeiten gerät. -Für ihn ist das ein Distributed-Denial-of-Service, der freundlicherweise von seinen Postmaster-Kollegen anderer Systeme gegen ihn ausgeübt wird. Dieser DDoS kann hohe finanzielle Schäden verursachen und andere Systeme zusammenbrechen lassen. Zurecht landen Backscatter-Mailserver selbst auf RBL-Sperrlisten, so daß andere Mailserver von diesen Systemen keine Mails mehr annehmen. Wer diese Backscatter-Mails zulasten unschuldiger Dritter versendet ist nicht besser, als der Spammer selber. Wer solche Systeme betreibt handelt wahlweise unwissend oder auch rücksichts- und verantwortungslos. Spam- und Virenfilter dürfen auf Spam-Mails nie mit Bounces reagieren -- und Challenge-Response-Systeme dürfen folgerichtig auch nicht an die (gefälschten!) Absender vermeindlicher Spam-Mails antworten. Hersteller, die ihren Kunden derartige Systeme anpreise und verkaufen, riskieren am Ende den sicheren Mailbetrieb ihrer Kunden. Denn bei einem (berechtigten!) Blacklisting der Mailrelays ist der ausgehende E-Mail-Versand gestört -- und damit führen derartige Spam-Systeme zum Denial-of-Service "gegen sich selbst".
Das zweite Problem liegt zu einem Großteil in der menschlichen Kommunikation begründet: Diverse Absender werden die angefragte Bestätigung nicht ausführen, aber auch nicht ausführen können. Normale erwünschte Mailkommuniktion bleibt damit auf der Strecke.
Neben den aufgezeigten technischen und inhaltlichen Problemen die einen Einsatz solcher Lösung ganz klar verbieten, sind natürlich auch entsprechende Werbeaussagen über die "100%"ige spamfreiheit offensichtlich Unsinn und damit unseriös gegenüber den eigenen Kunden. Gerade wenn Spammer über Notnetze Spam versenden und dabei auch zunehmend über die offiziellen Relays des Absenders gehen, können sie auf diesem Wege auch Challenge-Response-Systeme umgehen. Perfiderweise zwingt man Spammer durch solche Techniken geradezu, daß sie bevorzugt existierende Mailadressen als Absender nehmen -- und man erzieht sich auf diese Art und Weise Spammer so, daß das Backscatter-Problem geradezu verstärkt wird. Jeder weiß: 100% gibt es nicht.
Kommentare