Direkt zum Inhalt
14.07.2013 - Fachbeitrag

Verschwundene E-Mails im NSU-Prozess: Spam-Filter mit Quarantäne war schuld

Seit jeher gehört es zu einem meiner wichtigsten Botschaften, daß Spam-Filter mit Tagging oder Quarantäne zu Mailverlust führen (siehe dazu auch hier). Im Falle von falsch gefilterten Nachrichten geht der Absender von einer erfolgreichen Zustellung aus, während Empfänger die Quarantäne-Box nur sehr selten -- oder sogar gar nicht ? -- öffnen und die betroffene E-Mail damit verloren geht.

Im Münchener NSU-Verfahren ist das nun mit der heißumkämpften Akkreditierung einiger Journalisten passiert. Hier hat das Gericht etliche Akkredtierungsgesuche erst während des laufenden Verfahrens "wiedergefunden".

 

Mit diesem Spam-Filter haben Absender keine Chance, den Verlust zu bemerken


Schon die Zeiten sprechen Bände: Obwohl die Journalistenakkreditierung am 29. April endete, hat eine Mitarbeiterin erst am Tag des Verfahrensbeginn am 6. Mai die falsch gefilterten Akkreditierungsersuchen etlicher Journalisten im Spam-Folder "wiedergefunden" (Bericht im "Focus"). Das war rund 5 Wochen später.

Die betroffenen Journalisten hatten damit keine Chance auf einen Platz im Gerichtssaal. Besonders ärgerlich: Gleichzeitig hatten die Betroffenen auch keine Chance gehabt zu erkennen, daß Ihre in diesem Falle äußerst wichtige E-Mail nicht den Empfänger erreicht hat, weil das Anti-Spam-System des Gerichts den Empfang der Akkreditierungsmail nichtsdestotrotz erfolgreich bestätigte hat ("250 OK").

 

Die Spam-Quarantäne birgt juristisch äußerst pikante Haftungsfragen


Juristisch läßt das amüsante Fragestellungen aufkommen: Wer haftet dafür? Muß das Gericht finanziellen Schadenersatz leisten? Hat es den Gleichbehandlungsgrundsatz verletzt? Schon einmal mußte der Prozeß wegen Fehler in der Journalistenakkreditierung neu aufgerollt werden -- und wie ist das im aktuellen Fall zu sehen, wo das Gericht etliche Akkreditierungen grob fahrlässig verschlampt hat?

Technisch zeigt das wieder einmal, daß Anti-Spam-Systeme, die auf Mail-Quarantäne und Spam-Tagging, nicht mehr eingesetzt werden dürfen. Vordergründig soll vor dem Verlust falsch gefilterter E-Mails geschützt werden, weil der Empfänger in der Quarantäne ja "nachgucken könne", so argumentieren die etabierten Hersteller der Anti-Spam-Filter.

In Wirklichkeit zeigt das Beispiel des NSU-Prozesses nur zu deutlich, daß dies reines Wunschdenken ist. Anwender schauen nie oder extrem selten in die Quarantäne, finden falsch gefilterte E-Mails nicht wieder. Nicht wenige Anwender lassen als Spam markierte Nachrichten ohnehin gleich automatisch löschen -- zum Leidwesen der betroffenen Absender.

 

Nur Echtzeit-Filterung von Spam ist im Interesse aller Beteiligten


Moderne Anti-Spam-Systeme (wie unser Heinlein Elements Anti-Spam) können Spam- und Viren in Echtzeit filtern. Im Falle eines Befundes wird die fragliche E-Mail gar nicht erst angenommen, so daß Quarantäne und Spam-Verdachtsfolder komplett überflüssig sind. Der entscheidende Vorteil für alle Kommunikationspartner: Der Absender erhält in diesem Fall schon wenige Sekunden nach dem Absenden der E-Mail eine entsprechende Unzustellbarkeits-Antwort ("Bounce"). Die Journalisten hätten so im Falle des NSU-Prozesses erkennen können, daß ihre Akkreditierungs-E-Mail nicht angekommen ist.

Leider können auch hochpreisige kommerzielle Anbieter in den seltensten Fällen eine wirkliche Echtzeitfilterung vornehmen. Die bekannten "Platzhirsche im Markt" können eine Inhaltsanalyse der E-Mails nur nach erfolgter Annahme der E-Mail vornehmen -- mit allen gefährlichen Konsequenzen und Haftungsfragen für den Empfänger. Teuer ist halt nicht automatisch auch gut. Im Falle des Münchener Gerichts kam anscheinend eine Lösung von Sophos zum Einsatz.

 

Münchener Mail-Gateways sind allgemein etwas lax


Und nur am Rande: Die Mail-Infrastruktur der Münchener Justiz und des gesamten Freistaates Bayern wirft allgemein ein paar Fragen auf.


  • Im DNS wird für komplett "*.bayern.de" ein einziger MX-Record ausgewiesen. Suboptimal, wie unser "Best Practice"-Vortrag erläutert, auch wenn sich hinter diesem Record ein Loadbalancer mit mehreren Gateways verbirgt.

  • Als Mailserver meldet sich hier ein "Bavarian Mail Gateway", das wohl von Sophos stammt und technisch jedoch wenig zu bieten hat: Eine (auch ohne NSA-Skandal) selbstverständliche SSL/TLS-Verschlüsselung der (wohl durchaus sensiblen) Daten wird nicht ermöglicht, mit Daten- und auch Bürgerschutz nimmt man es hier nicht so genau.


  •  
peer@flash:~> telnet mail.bayern.de 25

Trying 195.200.70.104...

Connected to mail.bayern.de.

Escape character is '^]'.

220 mail111.bayern.de ESMTP Bavarian Mail Gateway; Sun, 

14 Jul 2013 18:45:57 +0200

EHLO k

250-mail111.bayern.de Hello, pleased to meet you

250 ENHANCEDSTATUSCODES

MAIL FROM: <jh

550 5.7.1 Your message was rejected due to spam filtering.Please 

see http://www.sophos.com/security/ip-lookup?ip=88.73.xxx.xxx

Connection closed by foreign host.