Antispam-Blacklisten

Das System der Schwarzen Listen funktioniert genau umgekehrt wie die Gästeliste in der Disco: Findet der Türsteher des Lokals den Namen des Einlass Suchenden auf der Gästeliste, darf der passieren. Gelangt aber jemand auf eine Schwarze Liste, dann wird er abgewiesen, sei es eine Fluggesellschaft, deren Maschinen Europa nicht mehr anfliegen dürfen, oder sei es ein Host, der als Spammer aufgefallen ist und von dem darum prophylaktisch kaum jemand E-Mails empfangen will.

Das Schwarze-Liste-System leuchtet schnell ein und wird in der Praxis oft und gern eingesetzt. Seine Wirksamkeit und Akzeptanz steigen und fallen allerdings mit der Art und Anwendung der Kriterien, wie jemand auf eine Schwarze Liste gelangt. Während eine auf Flugsicherheit spezialisierte Organisation anhand von wohldefinierten Standards und offen publizierten Regeln über die Landerechte eines Carriers entscheidet, herrscht andernorts bei den Betroffenen der Eindruck der großer Willkür vor - ähnlich wie an der Discotür, wo der Clubbesitzer die Gästliste nach Gutsherrenart verwaltet.

Bei Antispam-Blacklisten stellt sich heraus, dass viele Anbieter auf dem Transparenzniveau der Discotür agieren. Noch am sympathischsten arbeiten die, die im Internet E-Mail-Adressen streuen, um gezielt Spammails auf sich zu ziehen. Kommt eine Mail auf so einer Adresse an, ist sie Spam und die IP des absendenden Hosts landet auf der Schwarzen Liste. Der Kasten "Do it yourself" erklärt, wie ein Admin selbst so einen Spamdetektor aufsetzen kann.

Viele große Provider und Antispam-Filter, zum Beispiel Ironport [1], setzen ähnliche Verfahren (auch) ein und genießen dabei den Vorteil der Größe, mit ihr verstärkt sich der Nutzeffekt: Jede Mail, die das Ziel nicht erreicht, spart Rechenleistung.

Das Risiko bei solchen Listen sind Autoresponder: Sendet ein Angreifer in großem Umfang E-Mails an ein Postfach, das eine Vacation-Nachricht reflektiert, und verwendet er eine gefälschte Absenderadresse, dann landet die automatische Antwort im "Blockade-Postfach". Daraufhin landet ein legitimer Absender auf der Backlist. Davor kann nur eine Whitelist oder das gelegentliche Überwachen durch einen Menschen schützen.

spamdb -T -a 'spamtrap@<emphasize>mydomain.org</emphasize>'

Sippenhaft nach Herkunftsland

Wer durch einen solchen Autoresponder auf eine Blackliste gekommen ist, darf sich als Teil der Völkergemeinschaft fühlen: Eine Menge Blacklists sperren gleiche ganze Länder aus [2][3][4]. Forschungskooperationen mit Hochschulen in Fernost oder Geschäftskontakte nach Südamerika müssen die Betroffenen dann über Facebook abwickeln.

Das häufig gehörte Argument: In diesen Ländern stünden die meisten Spamrechner. Doch das stimmt gar nicht: Die meisten Spammails stammen aus der westlichen Welt, die USA und europäische Staaten spielen ganz weit vorne mit [5][6]. Doch keiner käme auf die Idee, das eigene Land zu blocken.

Zweifelhafte Datenqualität

Auch die Statistik meint es mit den Schwarzen Listen nicht besonders gut: Auf der MIT Spam Conference [8] stellten Mitarbeiter des Instituts für Internetsicherheit der FH Gelsenkirchen die Ergebnisse ihrer aktualisierte Untersuchung zu Blacklists vor [9]. Dabei stellte sich heraus, dass sich die Blacklists untereinander weniger stark überlappen als vermutet, beispielsweise 80 Prozent zwischen Nix-Spam-List und Spamhaus.

Die Wissenschaftler glichen die Blacklisten zudem die mit einer expliziten Whiteliste ab. Eigentlich dürfte keine Blackliste solche IPs enthalten. Tatsächlich schlugen manche Blacklisten bei bis zu 5 Prozent aller legitimen IPs (falschen) Alarm. Da sind einem die Antispam-Dienstleister fast lieber, die schon auf der eigenen Webseite warnen, ihre Verfahren seien experimentell und aggressiv und mithin im Alltag ungeeignet [10].