1 Einfuhrung

Das Ziel dieses Beitrags besteht darin, ei-nen �berblick uber die Effektivitat vonLosungsansatzen zur Bekampfung vonSpam zu vermitteln. Dieser einfuhrendeAbschnitt zeigt die Charakteristika vonSpam auf und vermittelt die aus Spam re-sultierende okonomische Problematik. Imzweiten Abschnitt werden die derzeit be-deutendsten Verfahren zur Bekampfungvon Spam erlautert, klassifiziert und hin-sichtlich ihrer Effektivitat beleuchtet. Imletzten Abschnitt finden sich die wesentli-chen Aspekte dieses Beitrags zusammenge-fasst und ist die Notwendigkeit zukunfti-ger Anti-Spam-Bemuhungen skizziert.Es existieren zahlreiche Definitionen von

Spam (verbreitete Auffassungen finden sichbei [CNIL99, 1], [GaDr01, 14], [Muel04]),[NOIE02, 6] und [OECD04]), die als „defi-nitorische Schnittmenge“ von einer elektro-nischen (Post-)Nachricht sprechen, die (1)vielen Empfangern zugestellt wird, von de-

nen (2) einige oder keiner ein vorherigesEinverstandnis zum Empfang erteilt hat. Inder englischsprachigen Literatur wird dannalternativ zu Spam auch von „UnsolicitedBulk Email“ (UBE) gesprochen. Der Inhaltder E-Mail kann religioser, sozialer, politi-scher oder wirtschaftlicher Art sein. Ist erwirtschaftlicher Art, indem fur den Kaufvon Produkten oder die Inanspruchnahmevon Dienstleistungen geworben wird,spricht man von „Unsolicited CommercialEmail“ (UCE). Einige der oben referenzier-ten Quellen reduzieren den Begriff Spamauf eine Teilmenge von UCE, diejenige, beidenen die E-Mail-Adresse des Absendersvorsatzlich verfalscht wurde. Im Folgendenwird mit UBE ein breiteres Verstandnis vonSpam zu Grunde gelegt, da einerseits unge-achtet des Inhalts und der Adresse des Ab-senders UBE unerwunscht ist und die Inter-net-Infrastruktur belastet und andererseitsdie vorgestellten Losungsansatze generellUBE adressieren.Die vorgestellten Daten zeigen auf, dass

es sich bei Spam nicht mehr lediglich nur

um ein �rgernis handelt, sondern dassmittlerweile eine nennenswerte okono-mische Bedeutung vorliegt. Spam hat inder Internetkommunikation die Grenzevon der Belastigung, der man sich einfachmit dem Loschen der Nachrichten entle-digt, zur okonomischen Relevanz langstuberschritten. Beispielsweise berichtet derMailprovider Microsoft Hotmail, dass Mit-te 2003 der Spam-Anteil bei ungefahr 83%lag; dies bedeutete eine tagliche Flut vonungefahr 2,5 Milliarden E-Mails [Micr04].Nach Angaben des US-amerikanischenUnternehmens Brightmail, das nach eige-nen Auskunften im Jahr 2003 mit 800 Milli-arden E-Mails ungefahr 15% des welt-weiten E-Mail-Aufkommens hinsichtlichSpam untersucht hat, ubertraf die Anzahlder Spam-E-Mails die der Nicht-Spam-E-Mails: Mehr als 56% aller gefiltertenE-Mails wurden 2003 als Spam klassifiziert,2002 waren es noch 40% [Brig03a]. Der Be-treff der sechs meist versendeten Spam-E-Mails findet sich bei [Brig03a], eine Auf-teilung nach beworbenen Produktkatego-

WIRTSCHAFTSINFORMATIK 46 (2004) 4, S. 281–288

Der Autor

Guido Schryen

Dr. Guido SchryenLehrstuhl fur Wirtschaftsinformatik undOperations Researchder Rheinisch-Westfalischen TechnischenHochschule AachenTemplergraben 6452062 Aachenschryen@winfor.rwth-aachen.de

Effektivit�t von L�sungsans�tzenzur Bek�mpfung von Spam

Kernpunkte

Spam als unerwunschte Massen-E-Mail hat eine beachtliche okonomische Relevanz erreicht.Die praktisch bedeutendsten Ansatze gegen Spam adressieren das Problem auf technischerEbene.

& Filtern und Blockieren gehort zu den technischen und am haufigsten angewandten Ver-fahren, die als Heuristiken jedoch unter fehlerhaften Klassifizierungen leiden.

& Neue Konzepte basieren auf der Authentifizierung der sendenden Organisation, lassenjedoch technische Moglichkeiten zum Spammen offen, sodass der Erfolg fraglich ist.

& Das Spam-Problem ist nicht gelost. Es besteht weiterer Bedarf nach neuen und kombinier-ten Ansatzen.

Stichworte: Spam, E-Mail, Spoofing, Blockieren, Filtern, Lightweight Mail Transfer AgentAuthentication Protocol (LMAP)

WI – State-of-the-Art

rien kann [Brig03b, 14] entnommen wer-den. Weitere Statistiken bietet [OECD04]an.�konomische Betrachtungen konnen

sich zum einen auf die Kosten beziehen,die Spam wahrend des Transports undbeim Empfanger verursacht, zum anderenbei UCE auch auf die Wirtschaftlichkeitaus Sicht des Spammers und seines Auf-traggebers. Die OECD [OECD04, 9] be-richtet hinsichtlich des zweiten Aspekts,dass bereits eine Erfolgsquote von 0,001%– im Durchschnitt bestellt nur einer von100.000 Empfangern das beworbene Pro-dukt – , zu einem wirtschaftlichen Gewinnfuhren kann; bzgl. konkreter Szenarien seiauf diese Quelle verwiesen. Solange eineProfitabilitat gegeben ist, ist kommerziel-les Spamming nicht ursachlich verhinder-bar.Auf der anderen Seite sind die Kosten zu

betrachten, die unfreiwillig Beteiligten ent-stehen. Dazu gehoren die Internet ServiceProvider (ISP), E-Mail Service Provider(ESP) und die adressierten Organisationen.Eine Studie der EU-Kommission schatzte,dass bereits im Jahr 2002 Spam-Empfan-gern weltweit jahrliche Kosten in Hohe von10 Mrd. Euro entstanden [GaDr01]. Nacheiner im OECD-Bericht aufgegriffenenStudie von Ferris Research, Inc. verursach-ten 2002 kommerzielle Spam-E-Mails beiUS-Unternehmen 8,9 Mrd. US-$ Kostenund in Europa 2,5 Mrd. US-$. Fur dieseKosten sind vor allem folgende Phanomeneverantwortlich:1. Die Arbeitsproduktivitat sinkt, wenn

Mitarbeiter Spam-E-Mails lesen, alsSpam klassifizieren und loschen. Nacheiner nicht-reprasentativen Studie vonNucleus Research [NuRe03] erhaltenMitarbeiter taglich durchschnittlich 13,3Spam-E-Mails und verwenden darauf6,5 Minuten. Es liegt eine Produktivi-tatseinbuße von 1,4% vor, die pro Ar-beitnehmer jahrlich 874 US-$ Personal-kosten verursacht. Zugrunde gelegt sindeine tagliche Arbeitszeit von 8 Stundenund Personalkosten in Hohe von30 US-$ pro Stunde.

2. Aufgrund der Masse der Spam-Nach-richten entsteht ein Bedarf nach große-ren Datenubertragungsraten und Band-breiten sowie nach Prozessorzeit zurVerarbeitung oder Weiterleitung derE-Mails. Ferner benotigen Filter- undandere Anti-Spam-Programme Rechen-zeit. Daher entstehen Spam zurechen-bare Hardwarekosten und Kosten zurReservierung von Bandbreiten.

3. Im Bereich der Anti-Spam-Software fal-len Kosten fur den Erwerb, den Betrieb

und die Administration an. Diese ent-halten Software- und Personalkosten.

4. Fur Unternehmen, insbesondere ISPund ESP, die rechtliche Schritte gegenSpammer prufen oder einleiten, entste-hen Rechtskosten.

5. Schadhafte Software (Viren, Wurmerund Trojanische Pferde) wird auch uberSpam-Nachrichten verbreitet. Die Kos-ten fur deren Identifizierung und Ent-fernung gehoren zu den indirektenSchaden, fur die Spam verantwortlichist.

Weitere Probleme im Zusammenhang mitSpam (z. B. Identitatsdiebstahl und redu-ziertes Konsumentenvertrauen) werden in[OECD04] diskutiert.

2 Anti-Spam-Ansatze

Viele Privatpersonen, nicht-kommerzielleOrganisationen und Unternehmen habensich dem Kampf gegen Spam bereits ge-widmet. [OECD04] gibt einen �berblickuber ungefahr 40 nicht-kommerzielle na-tionale und internationale Anti-Spam-Or-ganisationen. Neben okonomischen, sozia-len und rechtlichen Ansatzen gegen Spamexistieren zahlreiche technische Losungen,die in der Praxis derzeit am bedeutendstensind. Eine zweite Dimension zur Klassifi-zierung der Ansatze besteht darin zu un-terscheiden, ob es sich um praventive odererkennende Maßnahmen handelt, wobeidie erste Klasse zu praferieren ist, da eineSpam-E-Mail, die ggf. erst bei der Organi-sation des Empfangers als solche erkanntwird, bereits mehrere E-Mail-Knotendurchlaufen und dabei Hardware-, Soft-ware- und Netzwerk-Ressourcen gebun-den hat. Die beiden Klassen werden imFolgenden auch als Abwehrarten bezeich-net.

2.1 Rechtliche Ansatze

Eine rechtliche Pravention haben bereitsviele Staaten vorgenommen. Prinzipiell istzwischen zwei Varianten zu differenzieren:(1) Anwendung existierender Regelungenund Gesetze, die Aspekte von Spam adres-sieren, beispielsweise Gesetze zum Schutzder Verbraucher gegen irrefuhrende Wer-bung oder gegen die Distribution porno-graphischer Bilder, (2) Spam-spezifischeErweiterung oder Schaffung neuer gesetz-licher Bestimmungen. Der OECD-Berichtzum Spam-Workshop [OECD04] gibt ei-nen ausfuhrlichen �berblick uber die lan-derspezifischen gesetzlichen Regelungen

der OECD-Mitgliedstaaten. Dort wird ei-ne heterogene Rechtslandschaft beschrie-ben, die sich darin manifestiert, dass einigeStaaten oder Bundesstaaten das „Opt-out-Modell“ wahlen, nach dem unaufgeforder-te E-Mail-Werbung grundsatzlich legal ist,solange der Empfanger nicht widerspricht,wahrend andere das „Opt-in-Modell“ zu-grunde legen, bei dem ohne vorherige Zu-stimmung des Empfangers unaufgeforderteE-Mail-Werbung illegal ist. [Koch04] dis-kutiert den Versuch globaler rechtlicherLosungsansatze detaillierter. Einige Staatenhatten 2003 noch keine spezifischen Anti-Spam-Gesetze, hierzu gehorten u. a. dieTurkei und Neuseeland. Es ist anzuneh-men, dass auch viele Lander, die nicht Mit-glieder der OECD sind, weder Anti-Spam-Gesetze haben noch planen. Solange recht-liche Schlupflocher bestehen, ist eszweifelhaft, ob rechtliche Ansatze effektivSpam adressieren konnen. Ferner erscheintunklar, welche rechtlichen Regelungen gel-ten, wenn sich ein Spammer, der sich imLand A aufhalt, in einen Computer inLand B einloggt, um von dort aus einen of-fenen MTA (mail transfer agent), auch offe-nes E-Mail-Relay genannt, in Land C zuverwenden. Dem globalen Phanomen„Spam“ mit unterschiedlichen nationalenRegelungen zu begegnen, erscheint wenigerfolgversprechend.

2.2 Soziale Ansatze

Soziale Ansatze konnen Spam zwar gene-rell nicht verhindern, aber sie konnenE-Mail-Teilnehmer uber Spam und denUmgang damit informieren. ZahlreicheVerbraucherschutzorganisationen und Re-gierungsbehorden haben Spam undSchutzmoglichkeiten in der �ffentlichkeitverstarkt thematisiert. Beispiele sind das„Center for Democracy and Technology“[CfDT03] und das australische Finanz-ministerium, welches das „Australian E-commerce Best Practice Model“ [ADT00]entwickelt hat. Die US-amerikanische„Federal Trade Commission“ betreibt eineverbraucherorientierte Webseite zu Spam(http://www.ftc.gov/bcp/conline/edcams/spam/coninfo.htm). Wie bereits oben er-wahnt, listet ein OECD-Bericht [OECD04]zahlreiche weitere Anti-Spam-Organisatio-nen auf.Der Ansatz, E-Mail-Adressen vor Spam-

mern zu verbergen, ist kaum erfolgverspre-chend, wenn man deren (nicht oder kaumvermeidbare) Moglichkeiten betrachtet, angultige E-Mail-Adressen zu gelangen[CfDT03].

WIRTSCHAFTSINFORMATIK 46 (2004) 4, S. 281–288

282 Guido Schryen

2.3 �konomische Ansatze

Es finden sich okonomische Ansatze, beidenen E-Mail-Versender bezahlen mussten.Beispielsweise ließen sich E-Mail-Briefmar-ken einfuhren. Generell lassen sich die Ver-fahren, bei denen jede E-Mail bezahlt wer-den muss, von den Verfahren unterscheiden,bei denen ausschließlich die vom Empfangerals unerwunscht deklarierten E-Mails vomVersender bezahlt werden mussen. ECTNews NetworksTM [ENN04] berichtetvon Microsofts and Yahoos Interesse an ei-nem Ansatz, „[. . .] that would charge bulke-mailers 1 U.S. cent for each piece ofe-mail in an effort to differentiate legiti-mate e-mail marketing from spam.“[Fahl02] schlagt vor, dass ein E-Mail-Ver-sender dem Empfanger vor der Zustellungeiner E-Mail einen Geldbetrag anbietenmuss, den der Empfanger festlegt. DerEmpfanger kann frei uber die Annahmeoder Ablehnung des Betrags entscheiden.Derartige Verfahren beeintrachtigen jedochdie Kommunikationsfreiheit im Internet,ferner sind mit der Einfuhrung vonE-Mail-Gebuhren nennenswerte tech-nische Veranderungen verbunden, da dieInfrastruktur (Protokolle, E-Mail-Pro-gramme usw.) zu adaptieren ist. Drittenssind internationale Bezahlmechanismen zuentwickeln, zu implementieren und sozio-technisch zu etablieren.

2.4 Technische Ansatze

Der großte Teil der Anti-Spam-Ansatze isttechnischer Natur (s. Bild 1), wobei dieAnsatze oftmals auch komplementar im-plementiert werden. Beispielsweise vereintdie Open-Source-Software SpamAssassin(http://www.au.spamassassin.org), die vomRechenzentrum der RWTH Aachen einge-setzt wird, die Anwendung unterschiedli-cher Filter und „black lists“.Bevor die dargestellten Ansatze dis-

kutiert werden, wird kurz der technischeAblauf der Versendung einer SMTP-E-Mail skizziert: Der Absender nutztmeist einen E-Mail-Client, der auch alsMUA (mail user agent) bezeichnet wird.Dieser Client sendet die E-Mail an einenlokalen SMTP-Knoten, auch als MTA(mail transfer agent) bezeichnet. Im Fol-genden werden seriell ggf. weitere MTAsdurchlaufen, bis der erste MTA der Ziel-organisation erreicht wird. Von dort wirddie E-Mail (meist uber weitere lokaleMTAs) zum MDA (mail delivery agent)weitergereicht , der sie in dem Postfach desAdressaten ablegt. Schließlich ruft der lo-kale MUA die E-Mail uber ein Protokollwie POP oder IMAP ab. Der Weg einerE-Mail wird im E-Mail-Header protokol-liert und kann vom Empfanger mithilfe sei-nes E-Mail-Clients eingesehen werden.

2.4.1 Blockierung

Die Blockierung von E-Mails ist ein weitverbreiteter Mechanismus, bei dem dieWeiterleitung von der IP-Adresse des ver-sendenden MTA abhangt. Solche (senden-den) MTAs, die dem empfangenden MTAaufgrund eigener Historie, aufgrund derHistorie anderer, kooperierender MTAsoder aufgrund eines Eintrags in einer glo-balen Anti-Spam-Liste als (potenzielle)Spam-Quelle bekannt sind, werden auf ei-ne so genannte „black list“ gesetzt.E-Mails von MTAs dieser Liste werdennicht weitergeleitet. Spamhaus Block List[SpPr04] ist ein Beispiel fur einen Inter-net-Dienst, der aktuelle IP-Listen bekann-ter Spam-MTAs zur Verfugung stellt unddiese uber eine Maschine-Mensch-Schnitt-stelle (als WWW-Seiten) und eine tech-nische Schnittstelle fur E-Mail-Server an-bietet. Listen offener E-Mail-Relays unddamit potenzieller Spam-MTAs finden sichunter http://www.ordb.org, http://www.spammingbureau.com/email-blacklist.phpund http://www.mail-abuse.org. Analogenthalten so genannte „white lists“ die IP-Adressen vertrauenswurdiger E-Mail-MTAs. Kompromittiert werden konnenbeide Listenarten mittels IP-Spoofing (undTCP-Hijacking), bei dem ein Spam ver-sendender E-Mail-MTA die IP-Pakete mitgefalschten IP-Nummern versieht. Dabeikann er aufgrund des 3-Wege-Hand-shaking, das bei TCP zum Verbindungs-

WIRTSCHAFTSINFORMATIK 46 (2004) 4, S. 281–288

Verwendung einer neuenTop Level Domain fürE-Mail-Rechner mitstandardisierten Anti-Spam-Maßnahmen

Verknüpfung derE-Mail-Adressenmit virtuellen,

nicht-öffentlichenE-Mail-Kanälen

Erhöhung desRessourcen-Bedarfs

Reduzierung derAnzahl versend-barer E-Mails pro

E-Mail-Kontound Tag

Technische Ansätze

AuthentifizierungFilterungBlockierung,

basierend auf IP-Nummern

White lists

Black lists

Inhaltsbasiert

Header-basiert

DigitaleSignaturen

LMAP

Grey listsRMX

DMP

SPF

CallerID

CPU-basiert

Speicher-basiert

Bild 1 Technische Anti-Spam-Ansatze

Effektivitat von Losungsansatzen zur Bekampfung von Spam 283

aufbau erfolgt, nur schwer eine TCP-Ver-bindung mit einer falschen IP-Nummerinitiieren – dann wurde die vom Clientzum endgultigen Verbindungsaufbau be-notigte TCP-Antwort des Servers nichtbeim Spammer, sondern beim Server mitder angegebenen IP-Adresse ankommen –,er kann jedoch eine regular initiierte TCP-Verbindung zwischen zwei MTAs uber-nehmen (Hijacking), indem er die dazubenotigte(n) Sequenz- und Bestatigungs-nummer(n) mitliest (sniffing) oder errat(guessing). Außerdem wechseln Spammeroft ihre MTAs und damit auch die Quell-IP-Nummern. Das Blockieren allerE-Mails eines ISP oder ESP mag noch ak-zeptabel erscheinen, auch wenn dabei vieleregulare E-Mails der Heuristik zum Opferfallen, das Blockieren der MTAs ganzerRegionen oder Lander kann hingegenleicht zu einer digitalen Spaltung fuhren.Derzeit werden neben den vorgestellten

Listen so genannte „grey lists“ diskutiertund eingesetzt [Harr03]: Es ist gangigePraxis, dass MTAs eine E-Mail (ggf. mehr-fach) erneut zuzustellen versuchen, wennder erste Versuch gescheitert ist, um tem-porare Ausfalle von E-Mail-Servern aufder Empfangerseite aufzufangen. VieleSpam versendende MTAs hingegen ver-zichten auf diese Wiederholungsfunktion,wenn (aufgrund einer Worterbuch- oder„brute force“-Attacke) mit einer großenAnzahl abgelehnter Spam-Mails gerechnetwird, deren Zieladressen nicht existieren.Das erneute Versenden ist in diesem Fallmit einer geringen Erfolgsaussicht verbun-den und wurde Rechenzeit und �bertra-gungskapazitat des Spammers in Anspruchnehmen, die er fur das Verschicken wei-terer E-Mails benotigt. Dieses Verhaltenkonnen sich empfangende MTAs zu Nutzemachen, indem sie beim ersten Eintreffen–einer E-Mail deren Empfang zunachst ver-weigert, den Zustellwunsch jedoch fur ei-nen vorher festgelegten Zeitraum – meisteinige Minuten – speichert, innerhalb des-sen ein erneuter Zustellversuch derselbenE-Mail akzeptiert wird und diese zu einemanderen MTA weitergeleitet oder im Post-fach des Benutzers abgelegt wird.

2.4.2 Filterung

Wahrend die Blockierung nur herkunfts-bzw. IP-basiert vorgeht, ist eine Filterungflexibler, da alle Daten einer E-Mail ein-bezogen werden konnen. Werden aus-schließlich Daten des Headers berucksich-tigt, also vor allem die Inhalte des FROM-Eintrags, des SUBJECT-Eintrags, derRECEIVED-Eintrage und auch des ver-

wendeten Zeichensatzes als CONTENT-TYPE-Eintrag – manche Filter sehen inE-Mails mit chinesischem Zeichensatz einIndiz fur das Vorliegen einer Spam-E-Mail–, konnen Spammer diese Eintrage analogzur Blockierung falschen (Spoofing) unddamit Filtermechanismen umgehen. Dieseleichte Falschbarkeit der Metadaten ist da-rauf zuruckzufuhren, dass SMTP als regu-lares Internet-E-Mail-Protokoll die Inte-gritat und Authentizitat des E-Mail-Head-ers nicht adressiert.Inhaltsbasiertes Filtern bezieht den

E-Mail-Text ein, indem ublicherweise nach„verdachtigen“ Worten oder Phrasen ge-sucht wird, die in vielen Spam-E-Mails bis-lang auftraten. Die MTA-spezifische His-torie von Spam-E-Mails kann auch Spam-typische Sequenzen von Satzzeichen undKontrollzeichen (die ersten 32 Zeichen desASCII-Zeichensatzes wie beispielsweise„CR“ (carriage return)) einbeziehen. Alseffektiv gelten weit verbreitete, auf derBayes-Regel basierende statistische Filter,die historische Daten zur Klassifizierungneuer E-Mails nutzen. Um diese Filter an-wenden zu konnen, wird fur bestimmteWorte und Token (Dollar-Zeichen, IP-Adressen etc.) jeweils eine Wahrscheinlich-keit bestimmt, mit der eine neu eintreffen-de E-Mail eine Spam-E-Mail ist. Diesewird dann auf die Worte und Token hinuntersucht und es wird basierend auf denEinzelwahrscheinlichkeiten eine Spam-Ge-samtwahrscheinlichkeit ermittelt, wobeiunterschiedliche Aggregationsfunktionenzu verschiedenen Filtern fuhren. Geht manbei der Aggregation davon aus, dass dasAuftreten von Worten und Token einerstochastischen Unabhangigkeit unterliegt,spricht man von einem naiven Bayes-Filter.Falls die Gesamtwahrscheinlichkeit einenfestzulegenden Schwellenwert uberschrei-tet (oft wird 90% oder mehr gewahlt),wird die E-Mail als Spam klassifiziert. Fol-gendes Beispiel zeigt die Bayes-Regel-ba-sierte Ermittlung der Wahrscheinlichkeit,mit der eine E-Mail Spam ist, wenn sie dasWort „Hypothek“ enthalt:Die Bayes-Regel lautet

PðS j HÞ ¼ PðH j SÞ � PðSÞPðHÞ ,

die Ereignisse A und B seien wie folgt defi-niert:

S: eine E-Mail ist SpamH: in einer E-Mail tritt das Wort „Hypo-

thek“ auf

Folgende historische Daten seien gegeben:

& Es traten bislang 5000 Spam-E-Mailsauf; 600 davon enthielten das Wort„Hypothek“.

& Es traten bislang 500 Nicht-Spam-E-Mails auf; 9 davon enthielten dasWort „Hypothek“.

Die Anwendung der Bayes-Regel ergibtfolgende Wahrscheinlichkeit:

PðS j HÞ ¼ ð600=5000Þ � ð5000=5500Þð609=5500Þ

� 98,52%

Bemerkenswert ist, dass die Bayes-Spam-wahrscheinlichkeit einer konkreten E-Mail,die dieses Wort enthalt, mehr als 98% be-tragt, obwohl das Wort „Hypothek“ nurin 12% aller Spam-E-Mails vorkommt.Bedeutsam ist hier, dass dieses Wort nurselten (in weniger als 2% aller gespeicher-ten Falle) in Nicht-Spam-E-Mails auftritt.Ein ausfuhrlicheres Beispiel findet sich bei[Trei04]; einen guten �berblick gewahrt[Link03].Die historischen Daten konnen nicht aus

offentlichen Datenbanken entnommenwerden, sondern sind unternehmensspezi-fisch zu erfassen und auszuwerten. Bei ei-nem Finanzdienstleistungsunternehmendurfte sich fur das obige Beispiel eine deut-lich geringere Wahrscheinlichkeit ergebenals fur eine Hochschule. Bayes-Filter, diesich auf der Basis neuer Spam-E-Mails undNicht-Spam-E-Mails kontinuierlich aktua-lisieren, werden auch als lernend bezeich-net.Sowohl die Blockierung als auch die Fil-

terung leiden als Heuristiken unter zweimoglichen Klassifikationsfehlern (Fehlererster und zweiter Ordnung): So genannte„false negatives“ liegen vor, wenn Spam-E-Mails als solche nicht erkannt werden,so genannte „false positives“, wenn Nicht-Spam-E-Mails falschlicherweise als Spamklassifiziert werden. Letztgenannter Fehlerist der kritischere, da wichtige Informatio-nen ungelesen bleiben konnen. Ein pro-minentes Beispiel ist der Fall, in dem einigeAbgeordnete des britischen „House ofCommons“ Diskussionspapiere bezuglichdes „Sexual Offences Bill“ aufgrund eineszu restriktiven Filtermechanismus nicht er-hielten [BBC03].

2.4.3 Authentifizierung

Spammer nutzen oft den Umstand aus, dassderzeit keine Authentifizierung des Absen-ders erforderlich ist, indem sie eine falscheE-Mail-Adresse vortauschen („spoofen“).Ein Losungsansatz besteht in der Verwen-dung digitaler Signaturen, die seit den 70erJahren bekannt sind und die auf der Pub-

WIRTSCHAFTSINFORMATIK 46 (2004) 4, S. 281–288

284 Guido Schryen

lic-Key-Kryptographie basieren. DigitaleSignaturen ermoglichen eine �berprufungder Absenderidentitat und adressieren da-mit wirksam das „Spoofen“ von E-Mail-Adressen und IP-Nummern. Yahoo ent-wickelt derzeit das System „Domain Key“,das fur jede Domane, jedoch nicht fur je-den Benutzer ein Schlusselpaar vorsieht.Vor dem E-Mail-Versand wird eine doma-nenspezifische Signatur mithilfe des pri-vaten Schlussels erstellt und in die E-Mailintegriert. Der empfangende MTA kanndann mithilfe des offentlichen Schlusselsprufen, ob die Nachricht authentisch ist,und sie bei negativem Ergebnis ablehnen.Entsprechende Realisierungen benotigenbei einer großeren Teilnehmeranzahl je-doch eine einheitliche Public-Key-Infra-struktur (PKI), deren Aufbau und Betrieboft kostenintensiv ist. Von der Existenz ei-ner weltweit verfugbaren PKI sind wir der-zeit weit entfernt.Ohne den Aufbau einer PKI kommen

LMAP-Ansatze (Lightweight MTAAuthentication Protocol) aus [LeDe04].Es handelt sich dabei um eine FamilieDNS-basierter (Domain Name System)Ansatze, die uberprufen, ob eine E-Mail,die beispielsweise als Absenderadressebuffy@sunnydale.com besitzt, auchvon einem MTA der Organisationsunnydale.com versendet wurde. Istdies nicht der Fall, so wurde die Absender-E-Mail-Adresse verandert oder es wurdeein intermediarer MTA als E-Mail-Relayverwendet. Es liegt dann ein Spam-Ver-dacht vor und das empfangende E-Mail-System (MTA, MDA oder MUA) kann dieAnnahme der E-Mail ablehnen. Damit die-ser Ansatz in der Praxis tragfahig ist, mus-sen zulassige MTAs aller Organisationenals solche in DNS-Datensatzen abgelegtwerden. Offen ist die Frage, wie mit Orga-nisationen verfahren wird, die ihre MTAsnicht derartig registrieren. Auch das so ge-nannte „Forwarden“ von E-Mails ist zuadressieren: Wird beispielsweise demE-Mail-Server yoda.winfor.rwth-aachen.de eine (regulare) E-Mail mit demAbsender schryen@gmx.net und demAdressaten determann@winfor.rwth-aachen.de zugestellt und wird dieseE-Mail an die Adresse lorenz.determann@rewe.de weitergereicht, soerhalt der Rewe-MTA diese E-Mail ver-sehen mit einem GMX-Absender von ei-nem WINFOR-MTA. Der DNS-Test zeigtdies auf und die regulare E-Mail wird ggf.nicht akzeptiert. Dies kann umgangen wer-den, wenn die Absenderadresse im SMTP-Envelope an den jeweiligen sendendenMTA angepasst wird. Der SMTP-Envelope

lasst sich wie folgt beschreiben: Bei jedemE-Mail-Transfer zwischen zwei MTAs wirdder E-Mail bestehend aus Header und demeigentlichen Inhalt ein so genannter„Envelope“ vorangestellt, der die E-Mail-Adressen des Absenders und des Adressa-ten, die IP-Nummer des sendenden MTAsund den Fully Qualified Domain Name(FQDN) des sendenden MTAs enthalt. Eshandelt sich dabei um einen virtuellen Um-schlag, da sich dessen Inhalt aus denKommunikationsdaten zwischen zweiMTAs ergibt.Reverse MX (RMX) [Dani03], Desig-

nated Mailers Protocol (DMP) [Fecy03],Sender Policy Framework (SPF) [LeWo04],das von AOL getestet wird, und Micro-softs Caller ID for E-Mail [MiCo04] geho-ren zu den derzeit meist diskutierten An-satzen. Die Anti-Spam Research Group(ASRG) der Internet Research Task Force(IRTF) hat bislang noch keine Standardi-sierungsentscheidung gefallt.Wie der Ablauf eines DNS-basierten

Ansatzes aussehen kann, wird am Beispielvon SPF und einem konkreten Szenario il-lustriert, wobei der empfangende MTA(relay.rwth-aachen.de) als SPF-Client bezeichnet wird, der die Authentizi-tat des sendenden MTAs (spielbar.comgibt vor, darth-vader.winfor.rwth-aachen.de zu sein) mithilfe des SMTP-Envelope uberpruft, der sich aus der inBild 2 dargestellten SMTP-Kommunika-tion ergibt.1. Der SPF-Client ist relay.rwth-

aachen.de, der die zu authentifizie-rende Domane der Sender-E-Mail-Adresse guido.schryen@rwth-aachen.de entnimmt.

2. Der SPF-Client fuhrt fur rwth-aachen.de eine SPF-Abfrage durch(spezifische DNS-Abfrage) und erhalteinen SPF-Datensatz, der angibt, welcheIP-Nummern zum Versenden vonE-Mails verwendet werden durfen.

3. Der SPF-Client stellt fest, dass die IP-Nummer 193.178.169.200 des sen-denden MTAs, der vorgibt, ein RWTH-

Rechner zu sein, nicht als zulassig imSPF-Datensatz zu rwth-aachen.devermerkt ist.

4. Der SPF-Client antwortet mit der fol-genden Fehlermeldung:250<guido.schryen@rwth-aachen.de>... Sender denied

DNS-basierte Ansatze adressieren zweiKernprobleme des Spamming nicht:1. Sie sind kompromittierbar, wenn sich

Viren oder Trojanische Pferde in „unbe-scholtene“ Rechner einnisten [Garf04]und die E-Mail-Daten lokaler Benutzer-konten (E-Mail-Adresse und die Zu-gangsdaten zum SMTP-Server) miss-brauchen, um Spam zu versenden. Indiesem Fall greifen DNS-basierte An-satze nicht, vielmehr kann das Spammenauf den lokalen Benutzer zuruckfallen.Das IT-Magazin „c’t“ berichtet vonSpammern, die Adressen infizierterRechner von den Distributoren Troja-nischer Pferde erwerben [Heis04].

2. Die Verfahren konnen nicht verhindern,dass ein Spammer sich regular bei einemE-Mail-Provider ein Konto mit einemSMTP-Zugang verschafft, falscheAdressdaten hinterlegt, um nicht identi-fiziert werden zu konnen, und dannuber diesen SMTP-Zugang Spam-E-Mails versendet.

2.4.4 Verwendung einer neuenTop Level Domain

Spamhaus hat der ICANN (Internet Cor-poration for Assigned Names and Num-bers) kurzlich ein Vorgehen vorgeschlagen,mit dem sowohl eine technische als aucheine organisatorische Veranderung verbun-den sind [ICAN04]. Die technische Veran-derung bietet u. a. zwar eine neue Filter-Moglichkeit, der Top-Level-Domain-An-satz wird jedoch in der Klassifikation (s.Bild 1) nicht unter Filterung subsumiert, damit demAnsatz weitergehendeMoglichkei-ten verbunden sind.

WIRTSCHAFTSINFORMATIK 46 (2004) 4, S. 281–288

220 relay.rwth-aachen.de ESMTP Sendmail 8.12.10/8.12.7-1; Tue, 4

May 2004 16:42:16 +0200 (MEST)

HELO darth-vader.winfor.RWTH-Aachen.DE

250 relay.rwth-aachen.de Hello spielbar.com [193.178.169.200],

pleased to meet you

MAIL From:<guido.schryen@rwth-aachen.de>

Bild 2 Beispiel einer SMTP-Kommunikation

Effektivitat von Losungsansatzen zur Bekampfung von Spam 285

Nach dem Vorschlag von Spamhaus solleine neue sTLD (sponsored Top LevelDomain) eingerichtet werden, fur die mit.mail, .tmail und .mta mehrere Na-mensvorschlage existieren und die nur inZusammenhang mit dem E-Mail-VerkehrVerwendung findet. Eine existierende Do-mane key – key hat die Form sld.tld (sec-ond-level-domain.top-level-domain), z. B.rwth-aachen.de – kann diejenigenE-Mail-MTAs, uber die E-Mails versendetwerden konnen, in einem neuen DNS-Datensatz zum Eintrag key.sTLD, z. B.rwth-aachen.de.mail, speichern lassen.E-Mails von MTAs, die keine derartigeKennzeichnung aufweisen, konnen vomempfangenden MTA herausgefiltert wer-den.Um einen sTLD-Eintrag zu erhalten,

muss nachgewiesen werden, dass derjenige,der die Domane registriert hat (im Folgen-den Registrierter genannt), fur seine Do-mane key bzw. die sendenden MTAs aus-reichende Anti-Spam-Mechanismen imple-mentiert hat. Die zu beachtenden Regelnwerden von einer nicht-kommerziellen Or-ganisation SO (Sponsoring Organization)festgelegt und beinhalten die folgendenAnforderungen an die Domane key:1. Zu jeder Domane existieren derzeit Re-

gistrierungsinformationen, die auch als„whois“-Informationen bezeichnetwerden und die uber weltweit verfug-bare Datenbanken (z. B. http://www.allwhois.com) von jedem Internet-teilnehmer abgerufen werden konnen.Diese Informationen sollen (auf Antrag)auch fur die Domane key.sTLD geltenund validiert werden, sodass Registrier-te, die Spamming nicht ausreichend ver-hindern oder sogar unterstutzen, identi-fiziert werden konnen.

2. Die Domane muss vor mindestens sechsMonaten registriert worden sein.

3. Es wird eine E-Mail-Adresseabuse@key.sTLD eingerichtet, an dieE-Mail-Empfanger sich wenden kon-nen, wenn eine Spam-Nachricht von ei-nem MTA der Domane key eintrifft. Je-de Nachricht an diese Adresse wird derSO zugeleitet – dies kann uber einen(MX-)Eintrag im DNS sichergestelltwerden – , sodass ein zentrales Be-schwerde- und Kontrollsystem existiert.

4. Es wird eine WWW-Seite zu key.sTLDeingerichtet, die der Kontrolle der SOunterliegt und auf der sich Informatio-nen uber den Registrierten und dessenE-Mail-Politik finden. Außerdem mussder Registrierte auf dieser WWW-Seitedie IP-Nummern und Host-Namen al-ler MTAs seiner Domane angeben, die

dann von der SO in das DNS eingetra-gen werden.

5. Wenn ein MTA der Domane key sichbei einem externen MTA mit demSMTP-Kommando HELO oderEHLO (Extended HELO) anmeldet, somuss er key.sTLD verwenden, damitder empfangende MTA ihn als sTLD-registriert erkennen und mit einer DNS-Abfrage uberprufen kann: Ist die IP-Adresse des sendenden MTAs unterkey.sTLD registriert, so ist der MTAvertrauenswurdig im Sinne der gefor-derten SO-Politik.

6. Alle registrierten MTAs mussen die Ver-sendung von Spam unterbinden.

Ferner wird die Verwendung von Authen-tifizierungstechniken wie den oben vor-gestellten LMAP-Ansatzen empfohlen.Die SO uberpruft regelmaßig, ob die Re-

gistrierten den Anforderungen noch genu-gen, wobei das oben dargestellte Kontroll-system verwendet werden kann. Fur dieDurchfuhrung des operativen Betriebs be-auftragt die SO einen „Registry Operator“und einen „Extra Services Operator“. Miteiner sTLD-Registrierung ist nicht nur derErwerb eines Qualitatsstatus verbunden,sondern es fallt auch eine Registrierungs-gebuhr an, welche die Kosten der oben ge-schilderten Maßnahmen decken soll.Die Effektivitat dieses Ansatzes hangt

entscheidend davon ab, ob und mit wel-chen technischen Maßnahmen sich MTAsvor der Versendung von Spam-Nachrich-ten schutzen lassen. Hierzu werden keineAngaben gemacht, sodass dieser Ansatzbislang nur ein technisch-organisatorischesGerust ist.

2.4.5 Erhohung des Ressourcen-bedarfs

Diese Ansatze zielen auf eine geringe Er-hohung des Ressourcenbedarfs ab, der furdie Versendung einer einzelnen E-Mail er-forderlich ist. Erst bei einer großen Anzahlvon E-Mails werden die benotigten Res-sourcen relevant.CPU-basierte Ansatze sehen vor, dass

ein E-Mail-Client pro E-Mail eine mathe-matische Funktion („pricing function“)ausfuhren muss. Spammer, fur die daspreiswerte, millionenfache Versenden vonE-Mails existenziell ist, mussen dann inCPU-Ressourcen investieren. Bereits 1992haben Dwork und Naor [DwNa93] diesenAnsatz vorgeschlagen, der in der Open-Source-Software „hashcash“ [HashoJ]praktisch umgesetzt wurde. Dieser Ansatzdifferenziert rein technisch uber die CPU-Performanz von E-Mail-Clients, bezuglich

der es große Unterschiede gibt. E-Mailermit Zugang zu performanten Rechnernkonnen weiterhin spammen, wahrend re-gulare E-Mailer mit sehr langsamen Rech-nern benachteiligt werden. Da im Gegen-satz zur CPU-Performanz die Speicher-große keine derart große Varianz aufweist,wird vorgeschlagen, an Stelle von rechen-intensiven Funktionen speicherplatzinten-sive zu verwenden [DwGN02]. BeidenAnsatzen gemein sind die mit ihnen ver-bundenen hohen Umsetzungskosten, da al-le E-Mail-Clients ersetzt oder zumindestaktualisiert werden mussten.

2.4.6 Verknupfung vonE-Mail-Adressen mit E-Mail-Kanalen

Die Idee, elektronische E-Mail-Kanale zuverwenden [Hall96], ist mit E-Mail-Adres-sen der Form Username-ChannelID-@Host verbunden. Im Wesentlichen ist einE-Mail-Konto mit einer Menge von virtu-ellen Kanalen zu assoziieren, die der Kon-trolle des Konto-Inhabers unterliegt. Umdem Inhaber eine E-Mail zu senden, istnicht nur die Kenntnis von Usernameund Host erforderlich – aus diesen bestehteine traditionelle E-Mail-Adresse – , son-dern dem Versender muss auch eine nichtableitbare ChannelID (Kanal-Identifika-tor) eines aktivierten Kanals bekannt sein;Kanale konnen demzufolge auch deaktivsein. Es obliegt dem Kontoinhaber zu ent-scheiden, wem er eine aktive ChannelIDmitteilt, Spammer wurden dann an der Un-kenntnis eines aktiven E-Mail-Kanalsscheitern. Ein offensichtliches Problemdieses Vorgehens ist der Aufwand zur Ge-heimhaltung und sicheren Distributionvon Kanal-Identifikatoren. Des Weiterenmusste die Infrastruktur stark verandertwerden, da E-Mail-Software und -Pro-tokolle angepasst werden mussten.

2.4.7 Reduzierung der E-Mail-Anzahl

Ein Anti-Spam-Ansatz kann darin beste-hen, die Anzahl der E-Mails zu begrenzen,die ein Konteninhaber taglich versendendarf. Die Erfolgsfaktoren fur dieses Vor-gehen bestehen darin, dass– ESP die kontenspezifischen Zahler kor-rekt und sicher vor unautorisierten Zu-griffen verwalten,

– die regulare E-Mail-Kommunikationnicht beeintrachtigt wird – fur legitimeMassen-E-Mail wie Newsletter sindSonderbehandlungen vorzusehen – ,

– Konten nicht unautorisiert verwendetwerden konnen und

WIRTSCHAFTSINFORMATIK 46 (2004) 4, S. 281–288

286 Guido Schryen

– Spammer sich nicht kostengunstig vieleKonten zulegen konnen oder die Erfas-sung gesendeter E-Mails umgehen kon-nen, indem sie einen lokalen MTA ein-richten und die Verwendung eines ESPvermeiden.

Das Einrichten von E-Mail-Konten darfdemnach nicht automatisiert erfolgen, son-dern muss mit einem geringen, aber nichtsubstituierbaren manuellen Aufwand ver-bunden sein. Beispielsweise kann einemBild mit einer Zufallsnummer oder Textdiese(r) entnommen und zur Aktivierungin ein Formular eingegeben werden. Die-ses Vorgehen stellt einen visuellenCAPTCHA-Prozess (Completely Auto-mated Public Turing test to tell Computersand Humans Apart) dar, der von einigenE-Mail-Providern wie Yahoo und Hotmail

eingesetzt wird. Derzeitige Realisierungenerweisen sich jedoch als unzureichend:[MoMa03] stellen ein Verfahren vor, mitdem 92% aller von Yahoo erzeugten Bilderautomatisch ausgelesen und damit E-Mail-Konten letztendlich maschinell angelegtwerden konnen. Ein weiterer moglicherAngriff auf CAPTCHA besteht darin, dassderartige Bilder in andere Webseiten inte-grierbar sind, auf denen Benutzer aufgefor-dert werden, die gewunschte Informationin ein Textfeld einzugeben, um sich ihrer-seits Zugang zu einer Webseite zu verschaf-fen. Diese Eingabe wird dann automatischin das Textfeld der ursprunglichen Anmel-demaske ubertragen.Setzt man die Losung dieses Problems

voraus und durfen im Rahmen der vor-geschlagenen Begrenzung beispielsweise

200 E-Mails pro Tag und Konto versendetwerden, musste ein Spammer 5000 E-Mail-Konten manuell einrichten (lassen), um aneinem Tag eine Million Spam-E-Mails ver-senden zu konnen, eine fur Spammer nichtungewohnliche E-Mail-Anzahl.Tabelle 1 fasst die vorgestellten Ansatze

mit ihren Grenzen und Nachteilen zusam-men.

3 Zusammenfassungund Ausblick

Spam ist nicht mehr bloß ein �rgernis,sondern hat mittlerweile eine nennenswerteokonomische Bedeutung erfahren, da jahr-lich geschatzt mehrere Milliarden US-$

WIRTSCHAFTSINFORMATIK 46 (2004) 4, S. 281–288

Tabelle 1 Grenzen, Nachteile und Abwehrarten von Anti-Spam-Ansatzen

Ansatz Grenzen und Nachteile Abwehrart

Pravention Erkennung

Rechtlich – weltweite Homogenisierung schwierig

– manche Lander besitzen keine Anti-Spam-Gesetze

X

Sozial – wenig effektiv

– flankierende Maßnahme

(X)

�konomisch – starker Einfluss auf Infrastruktur und Client-Software

X

Technisch Blockierung White lists – Spoofing X

Black lists – E-Mail-MTAs werden haufig gewechselt

Grey lists

Filterung Inhaltsbasiert – Heuristiken mit Fehlern erster und zweiter Art(„false negatives“ und „false positives“)

X

Header-basiert

Authentifizierung Digitale Signaturen – Notwendigkeit einer kostenintensiven Public-Key-Infrastruktur (PKI)

– schwierige Etablierung einer weltweiten PKI

X X

Lightweight MTA Authentica-tion Protocols (LMAP)

– Infizierung von Rechnern Dritter

– Verwenden regular eingerichteter Konten

X

Verwendung einer neuen Top Level Domain furE-Mail-Rechner mit standardisierten Anti-Spam-Maß-nahmen

– Rahmengerust, das voraussetzt, dass MTAs re-gistrierter Domanen das Versenden von Spam-E-Mails verhindern konnen

X X

Erhohung des Ressour-cenbedarfs

CPU-basiert – starker Einfluss auf Infrastruktur und Client-Software

X

Speicherbasiert

Verknupfung der E-Mail-Adresse mit virtuellen, nicht-offentlichen E-Mail-Kanalen

– starker Einfluss auf Infrastruktur X

Reduzierung der Anzahl versendbarer E-Mails proE-Mail-Konto und Tag

– Zwang zur Kontenfuhrung bei allen ESP istschwer zu erreichen

– geringere Flexibilitat, da die Verwendung einesESP bei der Versendung obligatorisch wird

X

Effektivitat von Losungsansatzen zur Bekampfung von Spam 287

Schaden auftreten. Neben rechtlichen,okonomischen und sozialen Ansatzen wur-den zahlreiche technische vorgeschlagenund praktisch umgesetzt. Leider zeigt dietagliche Spam-Flut, dass die implementier-ten Ansatze nicht ausreichend greifen.Vielmehr ist die weltweite Anti-Spam-Ge-meinschaft weiterhin fragmentiert und eswerden (wirtschaftlich motivierte) Standar-disierungskampfe ausgefochten. Es bestehtweiterhin ein akuter Bedarf nach effektivenund langfristigen Losungen, wollen wir dasInternet als weltweit preiswertes und flexi-bles Kommunikationssystem nicht in Ge-fahr sehen.

Literatur

[ADT00] Australian Department of the Treasury:Australian E-commerce Best Practice Model.http://www.ecommerce.treasury.gov.au/html/ecommerce.htm, 2000, Abruf am 2004-05-25

[BBC03] BBC: E-mail vetting blocks MPs’ sex de-bate. http://news.bbc.co.uk/1/hi/uk_politics/2723851.stm, 2003, Abruf am 2004-05-01.

[Brig03a] Brightmail: Brightmail Reports on SpamTrends of 2003. http://www.brightmail.com/pressreleases/121803_spam_2003.html, 2003,Abruf am 2004-05-01.

[Brig03b] Brightmail: The State of Spam – Impact& Solutions. http://www.brightmail.com/press/state_of_spam.pdf, 2003, Abruf am 2004-05-01.

[CfDT03] Center for Democracy & Technology:Why Am I Getting All This Spam? UnsolicitedCommercial E-mail Research Six Month Report.http://www.cdt.org/speech/spam/030319spamreport.shtml, 2003,Abruf am 2004-05-01.

[CNIL99] Commission Nationale de l’Informa-tique et des Libertes: Le Publipostage Electro-nique Et La Protection Des Donnees Personnel-les. http://www.cnil.fr/thematic/docs/publpost.pdf, 1999, Abruf am 2004-05-01.

[Dani03] Danisch, H.: The RMX DNS RR andmethod for lightweight SMTP sender authoriza-tion. Internet Draft. http://www.ietf.org/internet-drafts/draft-danisch-dns-rr-smtp-03.txt,2003, Abruf am 2004-05-01.

[DwGN02] Dwork, C.; Goldberg, A.; Naor, M.:On Memory-Bound Functions for FightingSpam. Microsoft Research Report.http://research.microsoft.com/research/sv/PennyBlack/demo/ lbdgn.pdf, 2002, Abruf am2004-05-01.

[DwNa93] Dwork, C.; Naor, M.: Pricing Via Pro-cessing Or Combatting Junk Mail. In: LectureNotes in Computer Science (1993) 740, S. 137–147, Proceedings of CRYPTO’92.http://research.microsoft.com/research/sv/PennyBlack/junk1.pdf, Abruf am 2004-05-01.

[ENN04] ECT News Network: ISPs Consider Di-gital Stamps To Fight Spam.http://www.technewsworld.com/perl/story/32760.html, 2004-02-03, Abruf am 2004-05-25.

[Fahl02] Fahlman, S. E.: Selling Interrupt Rights: away to control unwanted e-mail and telephone

calls. In: IBM Systems Journal 41 (2002) 4,S. 759–766. http://www.research.ibm.com/journal/sj/414/forum.pdf, Abruf am 2004-05-01.

[Fecy03] Fecyk, G.: Designated Mailers Protocol –A Way to Identify Hosts Authorized to SendSMTP Traffic. Internet Draft.http://asrg.kavi.com/apps/group_public/download.php/24/DMP, 2003,Abruf am 2004-05-01.

[Garf04] Garfinkel, Simon: False Hope for Stop-ping Spam. MIT Enterprise Technology Review.http://www.technologyreview.com/articles/wo_garfinkel020404.asp, 2004-04-02, Abruf am2004-05-01.

[GaDr01] Gauthronet, S.; Etienne Drouard, E.:Unsolicited Commercial Communications andData Protection. Commission Of The EuropeanCommunities. http://europa.eu.int/comm/internal_market/privacy/docs/studies/spamsum_en.pdf, 2001, Abruf am 2004-05-01.

[Hall96] Hall, R.: Channels: Avoiding UnwantedElectronic Mail. Proceedings DIMACS Sympo-sium on Network Threats DIMACS, 1996.ftp://ftp.research.att.com/dist/hall/papers/agents/channels-long.ps, Abruf am 2004-05-01.

[Harr03] Harris, E.: The Next Step in the SpamControl War: Greylisting.http://projects.puremagic.com/greylisting/,2003, Abruf am 2004-05-01.

[HashoJ]Hashcash.org:Hashcash.http://www.hashcash.org/,Abruf am 2004-05-01.

[Heis04] Heise: Uncovered: Trojans as Spam Ro-bots. http://www.heise.de/english/newsticker/news/44879, 2004-02-21, Abruf am 2004-05-01.

[ICAN04] ICANN: New sTLD RFP Application.mail. http://www.icann.org/tlds/stld-apps-19mar04/mail.htm, 2004, Abruf am 2004-05-01.

[Koch04] Kocher, J.: Anti-Spam-Gesetze: Der Ver-such globaler rechtlicher Losungsansatze. In:DFN Mitteilungen 64 (2004) 3, S. 29–30.

[LeDe04] Levine, J.; DeKok, A. et al.: LightweightMTA Authentication Protocol (LMAP) Discus-sion and Comparison. Internet Draft.http://asrg.kavi.com/apps/group_public/down-load.php/31/draft-irtf-asrg-lmap-discussion-00.txt, 2004, Abruf am 2004-05-01.

[LeWo04] Lentczner, M.; Wong, M. W.: SenderPolicy Framework (SPF) – A Convention toDescribe Hosts Authorized to Send SMTP Traf-fic. Internet Draft. http://spf.pobox.com/draft-mengwong-spf-00.txt, 2004,Abruf am 2004-05-01.

[Link03] Linke, A.: Spam oder nicht Spam? E-Mailsortieren mit Bayes-Filtern. In: c’t magazin furcomputertechnik (2003) 17, S. 150–153.

[MiCo04] Microsoft Corporation: Caller ID for E-Mail: The Next Step to Deterring Spam. http://www.microsoft.com/mscorp/twc/privacy/spam_callerid.mspx, 2004, Abruf am2004-05-01.

[MoMa03] Mori, G.; Malik, J.: Recognizing Ob-jects in Adversarial Clutter: Breaking a VisualCAPTCHA. IEEE Computer Society Confer-ence on Computer Vision and Pattern Recogni-tion, 16.–22.06.2003, Wisconsin.http://www.cs.berkeley.edu/~mori/research/papers/mori_cvpr03.pdf, 2003,Abruf am 2004-05-01.

[Muel04] Mueller, S. H.: What is spam? Website ofabuse.net. http://spam.abuse.net/overview/whatisspam.shtml, 2004, Abruf am 2004-05-01.

[NOIE02] National Office for the InformationEconomy: Final Report Of The NOIE ReviewOf The Spam Problem And How It Can BeCountered. http://www.noie.gov.au/publications/NOIE/spam/final_report/index.htm, 2002, Abruf am 2004-05-01.

[NuRe03] Nucleus Research: Spam: The SilentROI Killer. Research Note D59, 2003.http://www.gwtools.com/sales/pdf/spam_roi_analysis.pdf, Abruf am 2004-05-01.

[OECD04] OECD: Background Paper For TheOECD Workshop On Spam, 2003.http://www.olis.oecd.org/olis/2003doc.nsf/LinkTo/dsti-iccp(2003)10-final,2004-01-22, Abruf am 2004-05-01.

[SpPr04] The Spamhaus Project: The SpamhausBlock List (SBL) Advisory Frequently AskedQuestions. http://www.spamhaus.org/sbl/sbl-faqs.lasso, 2004, Abruf am 2004-05-01.

[Trei04] Treiber, M.: Bayes Spamfilter.http://141.30.51.183/~treiber/statistik2/folien13_spamfilter.pdf, 2004-02-23, Abruf am2004-05-17.

WIRTSCHAFTSINFORMATIK 46 (2004) 4, S. 281–288

Abstract

Effectiveness of Anti-Spam Approaches

Spam as unsolicited email has certainly crossed the border of just being bothersome. In2003, it surpassed legitimate email – growing to more than 50% of all Internet emails. An-nually, it causes economic harms of several billion Euros. Fighting spam, beside legal ap-proaches especially technical means are deployed in practical systems, mainly focussing onblocking and filtering mechanisms.This article introduces into the spam field and describes, assesses, and classifies the cur-

rently most important approaches against spam.

Keywords: Spam, Email, Spoofing, Blocking, Filtering, Lightweight Mail Transfer AgentAuthentication Protocol (LMAP)

288 Guido Schryen