buebo
Well-Known Member
Moin,
ohne nun das endgültige Ende der E-Mail als Medium herraufbeschwören zu wollen, habe ich heute, nach lesen der aktuellen c't, einen kleinen Test gemacht.
Ich habe zwei E-Mail Konten, mit denen ich ca. zwei Jahre lang im Usenet aktiv war. Nach Filtern durch Spam-Assasin schlüpfen mir täglich ca. 5 Spam-Mails bis in den Posteingang. Nun habe ich mal die Mails von einer Woche (ohne Maillinglisten) ungefiltert abgerufen: 2363 Spam-Mails, 3 Privat-Mails und ca. 30Mb Traffic.
Meiner Meinung nach wird das Medium E-Mail langsam aber sicher durch Spam-Mails unbrauchbar, nicht nur weil doch immer wieder Mails durch Filter schlüpfen, sondern vor allem weil der Traffic unverhältnissmäßig ansteigt, seit letztem Jahr hat sich die Menge der versandten Spam-Mails verdoppelt und ein Ende ist nicht in Sicht, eher gegenteilig, um den gleichen Profit zu bekommen müssen die versandten Spam-Mails bei besser werdenden Filtern exponentiell steigen, was danach wieder auf die Provider zurückfällt die irgendwie mit diesem Traffic fertig werden müssen.
Grundsätzlich mache ich dafür zwei Faktoren verantwortlich, zum Einen das notorisch unsichere SMTP-Protokoll über das schon durch einen unerfahrenen Admin verhälltnissmäßig grosse Schäden entstehen können, das auch keine eindeutige Autentifizierung gewährleist und das auch noch per E-Mail eine riesen Zahl von Empfängern zulässt, so das der enstehende Traffic für den Spammer nur ein bruchteil dessen ist der für den Server entsteht, zum Anderen die viel zu lasche Gesetzgebung, ein globales Vorgehen gegen Spammer ist schlichtweg wegen Nationalgrenzen nicht möglich und ein Vorgehen in Deutschland oder der EU ist nur für Mitbewerber, nicht aber für die Empfänger, also die eigentlichen Geschädigten veranlassbar. Auf politischer Ebene kommt dann noch hinzu das die finanziell gut ausgestattete Direkt-Marketing Lobby dafür trommelt das eigentlich recht strikte Richtlinien wie die neue Europäische Richtlinie die ein Opt-In-Verfahren vorschreibt im nationalen Recht nur lasch und ungenügend umgesetzt werden, wobei die E-Mail eigentlich die Powerapplikation des Internets ist, eine Powerapplikation die im Moment verspricht im Kommerz-Sud zu ertrinken.
Aus meiner Sicht gibt es (abseits vom Filtern) zwei Versionen um Spam zu stoppen oder zumindest stark einzugrenzen. Die eine würde eine globale Zusammenarbeit von Providern und Regierungen fordern und ist allein aus diesem Grund schon unrealistisch, vor allem weil es wohl genug Provider und Regierungen gibt die am einträglichen Spam-Geschäft verdienen und gar nicht daran intressiert sind diese Massenplage auch nur einzudämmen, dafür ist die Lösung bestechend einfach: Man erhebt eine margninale Summe (z.B. ein Cent) für jeden E-Mail-Empfänger im Header einer Mail. Für den normalen Benutzer der höchstens 1000 E-Mails im Monat verschickt, wäre das winzig, vor allem weil die Reduzierung des Traffics die Betriebskosten der Provider verringern würde und diese ihren Preisvorteil an die Kunden weitergeben könnten, für einen Spammer, der darauf angewiesen ist Millionen von Empfängern anzuschreiben würde das den finanziellen Ruin bedeuten. Allerdings kann das natürlich nur klappen wenn es Global angewand wird.
Vielversprechender wäre es allerdings das SMTP-Protokoll zu überarbeiten. Meiner Meinung könnte man dazu sogar komplett auf heute schon existierende Technologien zurückgreifen, die sich eigentlich ohne wirklich grosse Umstände integrieren lassen sollten und durch die Verminderung des Traffics wären die Einsparungen enorm, die wirkliche Hürde wären Träge Kunden nd mächtige Lobbyisten.
Zunächst würde es sich anbieten E-Mails eindeutig zu Kennzeichnen und damit Whitelists überhaupt erst wirklich effektiv zu machen. Spammer benutzen meist gefälschte Absender-Adressen und offene Relays, vielleicht sogar noch anonyme Proxy-Server für die Verbindung zum Ursprungs-SMTP-Server. Whitelists funktionieren dagegen indem man bestimmte Absender Einträge grundsätzlich erlaubt und den Rest der eingehenden E-Mails entweder gleich auf dem Server löscht oder unter Generalverdacht stellt und in spezielle Ordner verschiebt. Das ist zum einen ungünstig weil man entweder das Risiko eingeht das ein eigentlich legitimer Absender seine E-Mail-Adresse gewechselt hat und seine Mail auf dem Server schon gelöscht wird oder man doch wieder seinen verdächtigen Ordner nach möglichen Falschmeldungen durchsuchen muss und damit doch wieder gezwungen ist sich mit den Müll-Messages auseinander zu setzen. Abhilfe schaffen könnte man hier auf eine gänzlich simple Art und Weise durch eine PGP oder GPG Signatur auf Provider-Ebene.
Jeder SMTP-Server erstellt vor dem Versenden einer Mail eine Signatur und fügt diese unter einem Speziellen Header-Field in die E-Mail ein, damit ist die Mail eindeutig gekennzeichnet. Der E-Mail-Client des Empfängers, oder idealerweise sogar der Mailserver des empfangenden Providers hat einen Schlüsselcache indem er nach dem Schlüssel des versenden Servers sucht, existiert dieser nicht fordert er ihn beim verschickenden Server an, wenn dieser keinen Schlüssel bereitstellen kann wird er als unseriös klassifiziert und landet in einer Blacklist, ansonsten wird er mit den Schlüsseln von existierenden Blacklists abgeglichen, taucht er auch dort nicht auf wird der Server als seriös klassifiziert und die Mail zum Kunden weitergeleitet. Unsichere Mailsserver landen durch den Abgleich mit globalen Blacklists so innerhalb kurzer Zeitspannen in den selben, wodurch ihnen das Verschicken von weiteren Spam-Mails fast unmöglich gemacht wird, während seriöse Server im Cache der Empfänger landen und dadurch keine Probleme haben. Idealerweise ist es durch die Schlüssel auch relativ schmerzlos möglich unsichere Mailsserver gleich eindeutig zu identifizieren.
Natürlich ergibt sich durch dieses Procedere gleich die nächste Sicherheitslücke, nichts hindert den Mailserver daran für jede Spam-Ladung einen neuen Secret-Key zu erzeugen und damit wieder als frischer Server in die globalen Caches einzugehen und somit zumindest einige Spam-Mails zu verschicken. An dieser Stelle müsste man leider auf die regulären Methoden zurückgreifen und mit herrkömmlichen Filtern versuchen Spam zu identifzieren, wobei an dieser Stelle der Aufwand schon deutlich zurückgegangen ist, da man nur noch unbekannte Server filtern muss, die bekanntermassen seriösen haben sich schon durch Ihre Signatur authentifiziert. Meiner Meinung nach wären auch durch globale Blacklists die schwarzen Schafe relativ schnell gefunden, wodurch jeweils wieder eine Verbindung von IP-Adresse (Spoofing ist beim SMTP-Protokoll nicht möglich) und Signatur ungültig ist. Bei mehreren Versuchen von der gleichen IP-Adresse sollte es auch ein leichtes sein diese direkt zu sperren, wodurch sich auch der jeweilig übergeordnete Provider zum Handeln genötigt sehen würde, immherin werden dadurch notorisch knappe Adressen und damit die eigentlichen Betriebsressourcen unbrauchbar.
Nachdenken könnte man auch über eine zweite Signatur-Schicht indem man allen Kunden einen Secret Key zuteilt ohne den sie nicht über den eigenen Server verschicken können, sollte dennoch ein Kunde Spammen ist er zumindest eindeutig zu benennen, während Passwörter und Benutzernamen durch Brute Force Methoden relativ einfach zu knacken sind, ist das bei digitalen Schlüsseln von ausreichender Länge nicht unbedingt möglich.
Trotzdem ist das alles eher eine Notlösung und im Grunde genommen müsste ein brauchbarer Nachfahre zum SMTP-Protokoll, das aus einer Zeit stammt indem das Internet noch eine freundliche Nachbarschaft war, her, der grundsätzlich die Fehler gar nicht erst zulässt.
Bei der kontinuierlich steigendem Müll-Volumen sehe ich allerdings für das Medium E-Mail extrem schwarz, nicht nur das es immer unökonomischer wird noch den vereinzelten Ham (erwünschte Nachrichten) aus dem Müll auszusortieren, die Kosten werden auch immer Höher und es wird grade für kleinere Provider immer schwerer überhaupt noch mit der Flut fertig zu werden, während für Spammer die Türen weit offen stehen.
was sind eure Meinungen? Muss ein neues Medium her? Ist E-Mail noch zu gebrauchen? Wird es das auch noch in fünf bis zehn Jahren sein?
buebo
ohne nun das endgültige Ende der E-Mail als Medium herraufbeschwören zu wollen, habe ich heute, nach lesen der aktuellen c't, einen kleinen Test gemacht.
Ich habe zwei E-Mail Konten, mit denen ich ca. zwei Jahre lang im Usenet aktiv war. Nach Filtern durch Spam-Assasin schlüpfen mir täglich ca. 5 Spam-Mails bis in den Posteingang. Nun habe ich mal die Mails von einer Woche (ohne Maillinglisten) ungefiltert abgerufen: 2363 Spam-Mails, 3 Privat-Mails und ca. 30Mb Traffic.
Meiner Meinung nach wird das Medium E-Mail langsam aber sicher durch Spam-Mails unbrauchbar, nicht nur weil doch immer wieder Mails durch Filter schlüpfen, sondern vor allem weil der Traffic unverhältnissmäßig ansteigt, seit letztem Jahr hat sich die Menge der versandten Spam-Mails verdoppelt und ein Ende ist nicht in Sicht, eher gegenteilig, um den gleichen Profit zu bekommen müssen die versandten Spam-Mails bei besser werdenden Filtern exponentiell steigen, was danach wieder auf die Provider zurückfällt die irgendwie mit diesem Traffic fertig werden müssen.
Grundsätzlich mache ich dafür zwei Faktoren verantwortlich, zum Einen das notorisch unsichere SMTP-Protokoll über das schon durch einen unerfahrenen Admin verhälltnissmäßig grosse Schäden entstehen können, das auch keine eindeutige Autentifizierung gewährleist und das auch noch per E-Mail eine riesen Zahl von Empfängern zulässt, so das der enstehende Traffic für den Spammer nur ein bruchteil dessen ist der für den Server entsteht, zum Anderen die viel zu lasche Gesetzgebung, ein globales Vorgehen gegen Spammer ist schlichtweg wegen Nationalgrenzen nicht möglich und ein Vorgehen in Deutschland oder der EU ist nur für Mitbewerber, nicht aber für die Empfänger, also die eigentlichen Geschädigten veranlassbar. Auf politischer Ebene kommt dann noch hinzu das die finanziell gut ausgestattete Direkt-Marketing Lobby dafür trommelt das eigentlich recht strikte Richtlinien wie die neue Europäische Richtlinie die ein Opt-In-Verfahren vorschreibt im nationalen Recht nur lasch und ungenügend umgesetzt werden, wobei die E-Mail eigentlich die Powerapplikation des Internets ist, eine Powerapplikation die im Moment verspricht im Kommerz-Sud zu ertrinken.
Aus meiner Sicht gibt es (abseits vom Filtern) zwei Versionen um Spam zu stoppen oder zumindest stark einzugrenzen. Die eine würde eine globale Zusammenarbeit von Providern und Regierungen fordern und ist allein aus diesem Grund schon unrealistisch, vor allem weil es wohl genug Provider und Regierungen gibt die am einträglichen Spam-Geschäft verdienen und gar nicht daran intressiert sind diese Massenplage auch nur einzudämmen, dafür ist die Lösung bestechend einfach: Man erhebt eine margninale Summe (z.B. ein Cent) für jeden E-Mail-Empfänger im Header einer Mail. Für den normalen Benutzer der höchstens 1000 E-Mails im Monat verschickt, wäre das winzig, vor allem weil die Reduzierung des Traffics die Betriebskosten der Provider verringern würde und diese ihren Preisvorteil an die Kunden weitergeben könnten, für einen Spammer, der darauf angewiesen ist Millionen von Empfängern anzuschreiben würde das den finanziellen Ruin bedeuten. Allerdings kann das natürlich nur klappen wenn es Global angewand wird.
Vielversprechender wäre es allerdings das SMTP-Protokoll zu überarbeiten. Meiner Meinung könnte man dazu sogar komplett auf heute schon existierende Technologien zurückgreifen, die sich eigentlich ohne wirklich grosse Umstände integrieren lassen sollten und durch die Verminderung des Traffics wären die Einsparungen enorm, die wirkliche Hürde wären Träge Kunden nd mächtige Lobbyisten.
Zunächst würde es sich anbieten E-Mails eindeutig zu Kennzeichnen und damit Whitelists überhaupt erst wirklich effektiv zu machen. Spammer benutzen meist gefälschte Absender-Adressen und offene Relays, vielleicht sogar noch anonyme Proxy-Server für die Verbindung zum Ursprungs-SMTP-Server. Whitelists funktionieren dagegen indem man bestimmte Absender Einträge grundsätzlich erlaubt und den Rest der eingehenden E-Mails entweder gleich auf dem Server löscht oder unter Generalverdacht stellt und in spezielle Ordner verschiebt. Das ist zum einen ungünstig weil man entweder das Risiko eingeht das ein eigentlich legitimer Absender seine E-Mail-Adresse gewechselt hat und seine Mail auf dem Server schon gelöscht wird oder man doch wieder seinen verdächtigen Ordner nach möglichen Falschmeldungen durchsuchen muss und damit doch wieder gezwungen ist sich mit den Müll-Messages auseinander zu setzen. Abhilfe schaffen könnte man hier auf eine gänzlich simple Art und Weise durch eine PGP oder GPG Signatur auf Provider-Ebene.
Jeder SMTP-Server erstellt vor dem Versenden einer Mail eine Signatur und fügt diese unter einem Speziellen Header-Field in die E-Mail ein, damit ist die Mail eindeutig gekennzeichnet. Der E-Mail-Client des Empfängers, oder idealerweise sogar der Mailserver des empfangenden Providers hat einen Schlüsselcache indem er nach dem Schlüssel des versenden Servers sucht, existiert dieser nicht fordert er ihn beim verschickenden Server an, wenn dieser keinen Schlüssel bereitstellen kann wird er als unseriös klassifiziert und landet in einer Blacklist, ansonsten wird er mit den Schlüsseln von existierenden Blacklists abgeglichen, taucht er auch dort nicht auf wird der Server als seriös klassifiziert und die Mail zum Kunden weitergeleitet. Unsichere Mailsserver landen durch den Abgleich mit globalen Blacklists so innerhalb kurzer Zeitspannen in den selben, wodurch ihnen das Verschicken von weiteren Spam-Mails fast unmöglich gemacht wird, während seriöse Server im Cache der Empfänger landen und dadurch keine Probleme haben. Idealerweise ist es durch die Schlüssel auch relativ schmerzlos möglich unsichere Mailsserver gleich eindeutig zu identifizieren.
Natürlich ergibt sich durch dieses Procedere gleich die nächste Sicherheitslücke, nichts hindert den Mailserver daran für jede Spam-Ladung einen neuen Secret-Key zu erzeugen und damit wieder als frischer Server in die globalen Caches einzugehen und somit zumindest einige Spam-Mails zu verschicken. An dieser Stelle müsste man leider auf die regulären Methoden zurückgreifen und mit herrkömmlichen Filtern versuchen Spam zu identifzieren, wobei an dieser Stelle der Aufwand schon deutlich zurückgegangen ist, da man nur noch unbekannte Server filtern muss, die bekanntermassen seriösen haben sich schon durch Ihre Signatur authentifiziert. Meiner Meinung nach wären auch durch globale Blacklists die schwarzen Schafe relativ schnell gefunden, wodurch jeweils wieder eine Verbindung von IP-Adresse (Spoofing ist beim SMTP-Protokoll nicht möglich) und Signatur ungültig ist. Bei mehreren Versuchen von der gleichen IP-Adresse sollte es auch ein leichtes sein diese direkt zu sperren, wodurch sich auch der jeweilig übergeordnete Provider zum Handeln genötigt sehen würde, immherin werden dadurch notorisch knappe Adressen und damit die eigentlichen Betriebsressourcen unbrauchbar.
Nachdenken könnte man auch über eine zweite Signatur-Schicht indem man allen Kunden einen Secret Key zuteilt ohne den sie nicht über den eigenen Server verschicken können, sollte dennoch ein Kunde Spammen ist er zumindest eindeutig zu benennen, während Passwörter und Benutzernamen durch Brute Force Methoden relativ einfach zu knacken sind, ist das bei digitalen Schlüsseln von ausreichender Länge nicht unbedingt möglich.
Trotzdem ist das alles eher eine Notlösung und im Grunde genommen müsste ein brauchbarer Nachfahre zum SMTP-Protokoll, das aus einer Zeit stammt indem das Internet noch eine freundliche Nachbarschaft war, her, der grundsätzlich die Fehler gar nicht erst zulässt.
Bei der kontinuierlich steigendem Müll-Volumen sehe ich allerdings für das Medium E-Mail extrem schwarz, nicht nur das es immer unökonomischer wird noch den vereinzelten Ham (erwünschte Nachrichten) aus dem Müll auszusortieren, die Kosten werden auch immer Höher und es wird grade für kleinere Provider immer schwerer überhaupt noch mit der Flut fertig zu werden, während für Spammer die Türen weit offen stehen.
was sind eure Meinungen? Muss ein neues Medium her? Ist E-Mail noch zu gebrauchen? Wird es das auch noch in fünf bis zehn Jahren sein?
buebo
