Die Flagge des Marasek

Dekostreifen

English

Aktuell Texte Der Comic Impressum Kalender Suche PHP-Klassen Container-Wizard main.s21

Kategorien

Buch
Computer
Computerspiele
Film
Geschichte
Gesellschaft
Idee
Kunst
Natur
Persönlich
Politik
Programmieren
Religion & Philosophie
Weblog
Weltpolitik
Weltsicht
{{login}}

SSL gegen Spam

Permalink
Vorheriger: SchuluniformenNächster: Der Sekane
Eingeordnet in: Computer

Spam ist ein leidiges Problem. Die Bekämpfung des Problems setzt mit Filtern aber hauptsächlich an der Oberfläche an: das Problem wird bekämpft, wenn es eigentlich schon aufgelaufen ist. Der Kampf gegen Spam lässt sich vergleichen mit Städtebauern, die Städte aus leicht entflammbaren Materialien bauen und sich dann Gedanken über die beste Feuerwehr machen.

Das erste Problem, weshalb Spam überhaupt so ein Problem werden konnte, ist, dass das für den Mailversand und Empfang verwendete Protokoll, Simple Mail Transport Protocol, seinen Namen "Simple" nicht umsonst trägt. Entworfen wurde es in der Frühzeit des Internets, als jeder jedermanns Freund und die teilnehmenden Benutzer überschaubar waren. In seiner eigentlichen Bestimmung erlaubt das Protokoll das heute so gefürchtete Relaying: das Versenden von Mail über einen Server mit beliebiger Absender-Adresse und beliebigem Adressaten. Jeder einigermaßen kompetente Mailadministrator unterbindet Relaying natürlich sofort, dass kann jedoch nicht verhindern, dass von beliebiger Quelle mit beliebigem Absender an die eigene Nutzerschaft Post zugestellt werden kann.

Ein relayender Mailserver gleicht einem Briefkastenschlitz, der eine eingeworfene Wurfsendung bei meinem Nachbarn (oder am anderen Ende der Welt) einwirft. Der in dieser Hinsicht dichtgemachte Mailserver ist noch immer ein offener Briefkasten, in den im wesentlichen alles und jeder etwas hineinwerfen kann. Genau das geschieht auch mit meinem Briefkasten: trotz eines "Keine Werbung"-Aufklebers landen viele Wurfsendungen. Das Aufkommen an Werbesendungen wird glücklicherweise dadurch begrenzt, dass sie von dem Anbieter gedruckt und verteilt werden muss - was Geld, Zeit und Arbeit kostet. Wäre dem nicht so, bräuchte ich vermutlich einen Bauschutt-Container als Briefkasten.

Das aber ist das zweite Problem, das Spam überhaupt derart ausufern lässt: Spam zu versenden kostet so gut wie kein Geld. Ob eine Nachricht oder 10 Millionen - die Kosten sind sehr überschaubar. Wenn nur ganz wenige auf mit Spam beworbene Produkte hereinfallen, haben sich die Kosten amortisiert. Zumal man davon ausgehen kann, dass ein Grossteil der "Anbieter" sowieso Betrüger sind, die nie im Leben auch nur einen Penis-Patch, egal ob wirksam, oder unwirksam, verschickt haben.

Also haben wir effektive Anonymität und geringe Kosten. Kein Wunder, dass da einige Primatengehirne hohl drehen und der Speichelfluss im Geldbeutel angerregt wird.

Die einzig wirksame Maßnahme gegen Spam kann daher nur in wirksamer Authentifizierung liegen: wenn sich jemand nicht mehr hinter der IP-Adresse eines kanadischen Providers verstecken kann, kann ich ihn effektiv sperren.

Mit Hilfe von SSL-Zertifikaten ist dies machbar. SSL ist vor allem durch https://, die "verschlüsselte Verbindung" bzw. "das ist doch das mit dem Schloss im Browser" bekannt. SSL ist aber viel mehr als Verschlüsselung: wenn ich ein SSL-Zertifikat besitze, dass auf meinen Namen ausgestellt ist, dann hat das im Idealfall eine Organisation ausgestellt, die jetzt für meine korrekt erfasste Identität geradesteht. Auf diese Weise kann ich sichergehen, dass hinter https://meinebank tatsächlich meinebank und nicht ein Fälscher steht, der mich zur Eingabe von PIN/TAN verleiten will. Was wenige wissen: es gibt auch die Möglichkeit, in einem Browser Client-Zertifikate zu installieren; die Bank könnte mein Zertifikat in eine Liste erlaubter Zertifikate ihrer Kunden aufnehmen und mich an Hand dessen identifizieren.

Gleiches könnten beispielsweise Yahoo und MSN machen: wenn der SMTP-Server von Yahoo mit dem von MSN redet, zeigen sie sich gegenseitig ihre SSL-Zertifikate und wissen dadurch, dass die Gegenstelle der ist, der er vorgibt zu sein. Sollte eine der Firmen von Spammern mißbraucht werden, fliegt sie von der Liste der anderen Firma, bis ihre Policy gegenüber ihren "Kunden" effektiv angepasst wurde.

Natürlich ist das mit Kosten verbunden. Ein SSL-Zertifikat kostet um die 100 € pro Jahr, aber wer eine Serverfarm an SMTP-Servern betreibt, sollte sich darum keine Sorgen mehr machen. Zumal die Kosten für die Abwehr von Spam weitaus höher sein dürften.

Es ist nicht so, dass jeder Endbenutzer ein SSL-Zertifikat benötigt. Die Mehrheit der legitimen Mailversender versendet ihre Mails über den Mailserver eines Internetproviders. Dort authentifizieren sie sich üblicherweise mit Benutzername und Kennwort. Der Mailprovider kann geeignete Maßnahmen ergreifen, um Benutzer am Mißbrauch seines Dienstes zu hindern.

Kommentieren

Bitte beachten: Kommentare sind nicht sofort sichtbar, sondern werden erst nach einer kurzen Prüfung freigegeben, sofern keine rechtliche Beanstandung vorliegt.
Rechtlich bedenkliche Inhalte werden entweder entschärft oder nicht veröffentlicht.

* Titel  
* Nickname  
* Kommentar