View Categories

Unsere Spamabwehr

5 min read

Rechtliche Grundlagen #

Laut §206 II StGB wird ein unbefugtes Unterdrücken von anvertrauten Sendungen (hierzu zählen auch E-Mails) für Inhaber und Beschäftigte von Telekommunikationsanbietern mit bis zu fünf Jahren Gefängnis oder Geldstrafe geahndet.

Mit “anvertraut” wird verstanden, wenn ein Absender einer Nachricht davon ausgehen kann, dass der nächste Server die E-Mail sicher empfangen hat und dem Empfänger zustellen wird. Technisch sendet der empfangende Server den SMTP-Statuscode “250 OK” an den einliefernden Server, der daraufhin die E-Mail aus seinem Versandkorb (Mailqueue) entfernt.

Im Umkehrschluss hat ein “Anvertrauen” nicht stattgefunden, wenn die Zustellung nicht erfolgreich war und der empfangende Server durch einen entsprechenden Fehlercode (“4xx” oder “5xx”) dies deutlich gemacht hat.

Mit “unterdrückt” wird verstanden, wenn eine E-Mail gelöscht, fehlgeleitet oder zurückgehalten wird. Somit ist dem Dienstleister das Löschen von u.a. Spam- und Virenmails nicht erlaubt. Das Einfügen von Kennzeichnungen (z.B. hinzufügen des Wortes “SPAM” im Betreff oder Score-Werte im Nachrichtenkopf) ist aber genauso erlaubt, wie auch eine Benachrichtigung an den Absender über den Verbleib der E-Mail.

Das Parken von E-Mails in einem Junk- oder Quarantäne-Ordner ist zwar grundsätzlich kein “Unterdrücken”, aber der Empfänger muss es wissen und sich leicht Zugang zu den geparkten E-Mails verschaffen können. Wird der Ordner mit den verdächtigen E-Mails nicht richtig kontrolliert oder werden die dort liegenden E-Mails pauschal gelöscht, kann es zu zivilrechtlichen Haftungsfragen zwischen Dienstleister und Nutzer kommen, wenn der Absender von einem erfolgreichen Empfang ausgehen konnte.

Wenn ein nachweisbares Einverständnis des Empfängers vorliegt, dann kann ein Dienstleister E-Mails unterdrücken, in Ordner umleiten oder auch spurlos löschen.

Zwar hat der Nutzer das Recht auf Empfang seiner E-Mails, das findet aber seine Grenze in den technisch notwendigen Anforderungen zum Betrieb und Schutz von Mailservern. Spam-Versender halten sich absichtlich oder unabsichtlich nicht an die Standards (“RFC”) im Internet und konfigurieren z.B. die DNS-Daten ihrer Botnetze falsch, tarnen die einliefernden Server mit falschen Namen und verhalten sich nicht immer dem technischen Protokoll gemäß.

Es lässt sich nachvollziehen, dass Mailserver bei erheblichen Verstößen gegen die RFC die Annahme von E-Mails auch verweigern können und sogar müssen, auch wenn der Empfang technisch möglich wäre.

Daher kann ein Nutzer nicht von seinem Anbieter den Empfang “aller” seiner E-Mails einfordern, sofern der Anbieter gute Gründe (z.B. technische Kriterien, Sicherheitsaspekte) nennen kann. Die Prüfung von E-Mails durch von Dritten verifizierte IP-Sperrlisten (RBL) kann auch darunter fallen.

Um zwischen Nutzer und Dienstleister rechtliche Klarheit zu schaffen, müssen beide Seiten eine Vereinbarung z.B. zur Spam- und Virenfilterung treffen. Da aber unterschiedlich gewertet werden dürfte, was “Spam” ist und was nicht sowie auch eine erwünschte E-Mail versehentlich gefiltert werden kann, kann es somit trotzdem zur Auseinandersetzung zwischen den Beteiligten kommen.

Um zivil- und strafrechtliche Risiken sowie den bürokratischen Aufwand für die Beteiligten gering zu halten, haben sich Greylisting, RBL (Blacklisten) und Ablehnung von verdächtigen E-Mails mit SMTP-Code “4xx” bzw. “5xx” bewährt.

Unsere Umsetzung #

SpamAssassin bzw. rspamd #

Mit Lösungen wie z.B. SpamAssassin oder rspamd werden die eintreffenden E-Mails nach ihrer Spam-Wahrscheinlichkeit bewertet (Scoring-Prinzip). Nach einem Scoring-Vorgang werden die E-Mails, die als Spam vermutet werden, meist in einem Spam-Ordner im Webmail-System des E-Mail-Dienstleisters gefiltert oder als Spam hervorgehoben.
Wir selber filtern keine E-Mails für den E-Mailempfänger, überlassen es aber jedem Nutzer selbst die Möglichkeit E-Mail-Filter im eigenen E-Mail-Programm oder in unserem Webmail-System einzurichten und so nach einer SpamScore-Zeile im Nachrichtenkopf filtern zu lassen. Folgende Zeile ist ein Beispiel; so könnte im Nachrichtenkopf eine Markierung lauten:

X-Spam-Level: +++ (3.2)

Wenn der Spamscore-Wert zu hoch ist, dann wird die E-Mail abgewiesen und der Absender erhält ungefähr folgende Meldung in seiner Retoure-Mail:

Remote host said: 550 Mit Spamscore 24.6 wird diese Mail als Spam bewertet.
Annahme verweigert.

Tipp: Vergewissern Sie sich, ob unter den auf dem Server (also im Webmail) weg-gefilterten E-Mails nicht vielleicht doch noch eine erwünschte E-Mail liegt. Das sollte zwar nicht passieren, kann aber je nach Empfindlichkeit (Anzahl der Plus-Zeichen) Ihrer Filtereinstellung trotzdem vorkommen.

Greylisting #

Das Greylisting lehnt jede eingehende E-Mail in einem automatischen Verfahren quasi erst einmal ab und bittet den Server des Absenders es noch einmal zu versuchen, wenn es kein Fake-Absender ist. Der einliefernde Server, es muss der gleiche Server (bzw. die gleiche IP-Adresse) sein, versucht dann automatisch nochmals die E-Mail zuzuschicken.
Dieser Vorgang fällt dem Absender und dem Empfänger in der Regel nur auf, wenn größere Verzögerungen entstehen oder das Verfahren aufgrund eines Konfigurationsfehlers an einem der beteiligten Server der Absender eine Fehlermeldung erhält.

Die eben beschriebene Verzögerung kann zwischen wenigen Millisekunden und mehreren Tagen betragen. Das ist einerseits abhängig davon, welche Wartezeit der annehmende Server dem einliefernden Server vorgibt, andererseits welche Wartezeit für die erneute Zustellung beim einliefernden Server eingestellt ist.

Fake-Absender bzw. Spamversender werden durch diese “schick’ es mir noch einmal”-Technik meist sehr gut abgefangen. Ein fachgerecht installierter Mailserver, der die geltenden Standards (“RFC”) im Internet-Mailverkehr einhält, reagiert immer(!) qualifiziert auf eine oben beschriebene “Rückfrage” eines anderen Mailservers.
Wie oben beschrieben, kann sich die E-Mailzustellung verzögern. Wie auch beim SpamAssassin/rspamd, verstecken wir diesen Wert nicht und man kann bei betroffenen E-Mails den Delay-Wert (Verzögerung) im Nachrichtenkopf (Header) in Sekunden angegeben erkennen:Outlook:

Thunderbird:

Wir können auf Anfrage und nach Prüfung durch uns einzelne Absende-Server der Mail-Partner unserer Kunden in eine Whitelist aufnehmen. Damit wird der beschriebene Prozess übersprungen und die E-Mails werden ohne Prüfung und Verzögerung und mit allen Risiken direkt durchgeleitet.

So sieht es dann im Nachrichtenkopf aus:

Blacklisting / RBL #

Neben den allgemein nutzbaren Blacklists haben wir, so wieder Mail-Provider auch, zusätzlich spezifische Blacklists. Befindet sich ein Absender in einer Blacklist, dann erhält der betroffene Absender eine Retoure-Mail mit ungefähr folgendem Inhalt:

Diagnostic-Code: smtp; 550-Your IP is on our blacklist. Remove your IP:550 use our contact form at www.cid.net 

Der Absender hat somit einen klaren Hinweis warum seine E-Mail nicht angekommen ist und an wen er sich direkt wenden kann, wenn er meint unberechtigt in der Blacklist zu stehen.

RFC-Konformität #

Server, die E-Mails bei uns einliefern werden auf ihre korrekte Konfiguration (DNS, fehlender SPF-Eintrag etc.) geprüft und gegebenenfalls abgewiesen. Wir nehmen keine E-Mails von Absendern an, die sich nicht an technische Mindeststandards (RFC‘s) halten und somit sich selber auf eine Stufe mit Cyberkriminelle und Spamversender stellen.
Die Meldungen in der Retoure-Mail an den Absender können ungefähr folgende Texte enthalten (Beispiele):

550 SPF check failed. Sender not authorized

oder

550 Message rejected because SPF check failed

oder

451 Could not complete sender verify callout

Hinweis:
Wem unsere Abwehrmöglichkeiten nicht ausreichen, der kann auf dem eigenen Rechner (oder lokalen Server) eine zusätzliche Spamfilterung durchführen. E-Mail-Programme wie z.B. Thunderbird haben bereits eine Erkennung eingebaut, die lediglich aktiviert werden muss. Es gibt auch verschiedene Spamfilterprogramme wie z.B. SpamBayes, die kostenlos im Internet verfügbar sind und meist gute Ergebnisse bringen.
Grundsätzlich sind verschiedene Filtersysteme sinnvoll, weil jeder “Sieb” anders siebt und die Quote verbessert werden kann. Aber auch hier kann man für sich prüfen, wie Aufwand und Nutzen im gesunden Verhältnis stehen.

CID - christliche internet dienst GmbH