Täglich werden Millionen von Anwendern mit einer Vielzahl an unerwünschten Emails überflutet: Werbung, betrügerische Mails (Scam, Phishing), Viren, Würmer, Trojaner, und allerlei sonstiger Unbill.

Allgemein geht man davon aus, dass Spam rund 97 % des internetweiten Mailverkehrs ausmacht.
Die Auswirkungen sind fatal: Die Spamflut sorgt für zusätzliche Belastung der Anwender, welche die Spammails sichten und bearbeiten müssen. Die dadurch verlorene Zeit und die dabei entstehenden Kosten gehen direkt zu Lasten der Wirtschaft.

Auch den Service Providern entsteht ein massiver Mehraufwand: Zur Abwehr der Spammails wird immer ausgefeiltere Technologie benötigt, um der stetig steigenden Flut Herr zu werden.

Bei klassischen Mail-Servern zeigt sich dabei schnell die konzeptionelle Schwäche des SMTP-Protokolls, welches gegen Missbrauch kaum Schutz bietet. In der Konsequenz brechen die Systeme oft unter der Last der Spamwellen zusammen, was zu Verspätungen in der Zustellung führen kann.

Zwar gibt es viele Wege, bestehende Mail-Server durch zusätzliche Software – sei es nun kommerziell oder Open Source – aufzubohren. Da die verfügbaren Lösungen in der Regel aber nur sehr selektive Bereiche abdeckt, ist ein universeller Schutz kaum möglich. Da ferner ein Zusammenspiel verschiedener Lösungen meist auch nicht vorgesehen ist, ergibt sich die Problematik von Insellösungen, die nicht miteinander harmonieren.

Daher ist es, heute noch viel mehr als früher, speziell wichtig auf eine gesamtheitlich integrierte Lösung zu achten, die nicht nur nach bestimmten Analyseverfahren vorgeht, sondern gleichzeitig agil und dynamisch agiert und selbst dazu lernt.

In den vergangenen 12 Monaten ist dabei ein System entstanden, welches sich nicht nur selbst vor Überlastungen infolge von Spamwellen schützt (Distributed Denial of Service Protection), sondern auch innerhalb des gesamten Clusters ein ineinander verwobenes Gesamtbild aller Verbindungen unterhält (Connection Awareness).
Auf Basis dieser in Echtzeit aufbereiteten Analysedaten kann jedes System eingehende Verbindungen anhand der positiven Reputation des Absenders immer bevorzugt behandeln.
Zu einer negativen Reputation kommt es dabei nur bei Mail-Servern, die wiederholt Spam anliefern oder sich nicht an die gängigen Standards halten.
Selbst bei Spamwellen ist damit garantiert, dass Mails aus bekannten, positiv klassifizierten Quellen immer zuerst verarbeitet und zugestellt werden. Verzögerungen gehören damit der Vergangenheit an.

Heute stellt Genotec täglich bis zu einer halben Millionen Nachrichten an die Benutzer zu. Davon liegt der Spam-Anteil effektiv noch bei rund 14 Prozent.

Nun ergibt sich hieraus aber eine – vermeintliche – Diskrepanz, da wir ja zu Beginn von etwa 97 % Spam-Anteil gesprochen hatten.

Zwar wird in der Praxis auch Spam über normale Mail-Server eingeliefert, jedoch macht dies nur einen sehr geringen Teil aller Mails aus.

Das Gros allen Spams stammt vorwiegend von Systemen, die mit Trojanern infiziert und einem Botnet angeschlossen wurden. Dazu kommen noch eine Vielzahl an “vergessenen” Systemen, vielfach auch Server, die irgendwo platziert wurden und nicht direkt überwacht und verwaltet werden und infolge von Sicherheitslöchern oder unzureichender Abschirmung zum Spamversand missbraucht werden können.
Alle diese Systeme werden im IT-Jargon gemeinhin als Drohnen, Zombies oder auch als offene Relays bezeichnet.

Die bereits erwähnten Schutzmechanismen sorgen dabei dafür, dass verschärfte Filter-Funktionen wie Greylisting nur bei Quellen mit einer schlechten Reputation angewendet werden.
Dies schlechte Reputation ergibt sich automatisch durch das Verhalten des Absenders, nämlich dem Versenden von Spam und Malware.

Allein den steten Strom an Spam, der dauernd auf die Mail-Server niederprasselt, abzuwehren ist nicht weiter schwierig. Bei ausreichender Anzahl Mail-Server lässt sich diese Mehrbelastung zwar sehr gut verteilen, jedoch schützt dies nicht vor einer Spamwelle, welche die weitaus grössere Gefahr darstellen. Dabei werden über die Botnets innert kürzester Zeit mehre hunderttausend oder gar Millionen an Spammails versendet.
Die Gefahr, dass ein Service-Provider von so einer Spamwelle einige zigtausend Mails abbekommt, steigt rapide an je mehr Benutzer dieser betreut.

So führen Spamwellen denn auch zu massiven Verzögerungen, weil zum einen ein viel grösseres Mailvolumen als üblich zur Verarbeitung anfällt. Schlimmstenfalls bricht das System unter der Last sogar vollständig zusammen (DoS, Denial of Service).

Folgendes Beispiel illustriert das Verhältnis zwischen dem permanenten “Grundrauschen” und punktuellen Spamwellen. Eine Spamwelle trat zum Beispiel gestern im Zeitraum zwischen 18:00 und 20:00 Uhr auf.

Während dem Auftreten einer Spamwelle steigt zum einen die Anzahl Verbindungen an. Auch die Zustellversuche an Phantasie-Adressen steigen an.
Gleichzeitig werden die eingehenden Mails auf den Inhalt analysiert und – falls sie als Spam klassifiziert wurden – unmittelbar zurückgewiesen.
Dabei ist in der weiter oben gezeigten Zustellstatistik zu beobachten, dass die Spamwelle nicht auf das System durchschlägt und somit den normalen Mailverkehr in keiner Weise beeinträchtigt.

Mit der Erneuerung der Filter-Systeme erreichen wir einen weiteren Meilenstein in der Modernisierung unserer Infrastrukturen und zugleich eine massive Verbesserung der allgemeinen Servicequalität in einigen wichtigen Bereichen:

• Schutz der Infrastruktur vor Spamwellen
• Schutz der Benutzer vor Spam und Malware aus Botnetzen
• Priorisierung der Mailzustellung von “positiv” bewerteten Absendern und Mail-Servern und damit:
• Vermeidung verzögerter Mailzustellung
• Korrekte und zuverlässige Klassifizierung von Spam

Wir freuen uns auch besonders, dass wir mit Martin Blapp, seines Zeichens ausgewiesener Fachmann für Email-Technologien und aktiver Mitentwickler bei diversen OpenSource-Projekten, eine wertvolle Ergänzung für unser Team gefunden haben und auf seine reichhaltige Erfahrung bei der Integration dieser Technologien zurückgreifen konnten.

Zum Thema Email steht Ihnen wie uns noch eine spannende Zukunft bevor. Doch sei dazu an dieser Stelle noch nicht zu viel verraten …