Reputation im Kampf gegen SPAM und Malware

(PresseBox) (Freiburg, ) Ein bewährtes Werkzeug zur Abwehr unerwünschter SPAM-Email sind die sogenannten "RBLs", Realtime-BlackLists, welche es dem Empfänger einer Email erlauben, die Vertrauenswürdigkeit des Zustellers zu überprüfen. Eine RBL speichert Informationen zu einer IP-Adresse und kann von jedermann abgefragt werden. Normalerweise werden die Antworten der RBLs als "Ja / Nein" ausgewertet, um zu erfahren, ob die angefragte IP-Adresse gelistet ist oder nicht. Der Grund der Listung ist je nach RBL verschieden, somit können diese Listen unterschiedlichen Zwecken dienen.

Die meisten RBLs werden von Anwendern mit IP-Adressen gefüttert, über welche SPAM erhalten wurde. Sie dienen also zum "Verpetzen" von SPAM-Versendern. Dabei wird normalerweise die SPAM überprüft, so daß keine falschen Anschuldigungen den Weg in die Liste finden sollten. Je nach Qualität der RLB gelingt dies mehr oder weniger gut. Andere RBLs wie z.B. pbl.spamhaus.org listen IP-Adressen, die nicht zu einem Server, sondern ausschliesslich der Interneteinwahl für Privatkunden dienen. Versendet so eine Adresse eine Email an Sie, kann das eigentlich nicht in Ordnung sein. Ein Beispiel: Sie erhalten eine Email über den Zusteller 124.163.181.244 (diese IP-Adresse liegt übrigens irgendwo in der chinesischen Provinz). Sie prüfen nun verschiedene RBLs darauf, ob diese IP dort enthalten ist, und erhalten von "sbl.spamhaus.org" eine positive Antwort. Nun können Sie aufgrund dieser Informationen den Empfang der Email abbrechen, oder sie in einen speziellen SPAM-Sammelordner verschieben.

Die Weiterführung dieses Konzeptes liefert nun nicht nur "Ja / Nein" Antworten, sondern einen Reputationswert z.B. in Form einer Prozentangabe. Somit erhält man zu jeder IP-Adresse eine Reputation zwischen 0% und 100%, welche dann in eigens festgelegten Schwellwerten genutzt werden kann. Beispielsweise können Sie Emails ablehnen, deren Reputation unter 10% liegt. Man kann auch eine hohe Reputation über 90% beispielsweise dazu nutzen, auf zusätzliche aufwändige Tests zu verzichten, welche ansonsten durchgeführt würden.

Reputationsdatenbanken sind noch nicht frei verfügbar wie die meisten RBLs. Sie werden aktuell von Security-Anbietern als zusätzlichen Service zu Firewalls und Virusfiltern angeboten, wie z.B. "Reputation Authority" [1]. Dort werden anonyme Nutzungsdaten der Firewalls gesammelt und ausgewertet, was in der Rückkopplung den übrigen Firewalls einen Reputationswert für angefragte IP-Adressen liefert - eine Art "Social Firewall Network". Greift dann ein Benutzer auf z.B. eine Webseite mit verstecktem drivebydownload oder sonstig bösartigem Inhalt zu, so kann die Firewall diesen Angriff blockieren, selbst wenn Virenscanner oder IPS diesen nicht erkennen würden. Die Nachteile einer solchen Methode liegen in möglichen Fehlbewertungen und den komplexen Vorgängen, welche dadurch ausgelöst werden können. Doch die Erfahrungen, welche über viele Jahre mit RBLs gemacht wurden tragen dazu bei, diese handhabbar zu machen.

Ohne RBLs wäre der Kampf gegen SPAM bereits verloren - die Reputationsdatenbanken werden vermutlich eine ähnliche Bedeutung im Kampf gegen Malware erreichen.
[1]: http://www.reputationauthority.org/...

Kontakt

PROLINK internet communications GmbH
Merzhauser Str. 4
D-79100 Freiburg
Ralf Niederhüfner
Susanne Häring
PROLINK internet communications GmbH
Social Media