Als Martin Althaus wie jeden Morgen seinen elektronisches Briefkasten überprüft, staunt der Vorstand der Valudo AG nicht schlecht. Die Absenderkennung auf dem virtuellen Umschlag kündigt Post prominenter Herkunft an: „Bill Gates, Microsoft“. Auch die dahinter angegebene E-Mail-Adresse scheint zu stimmen. Da bleibt – bei aller Vorsicht – eine gewisse Neugierde nicht aus.

Denn wer weiß: Vielleicht ist der Microsoft-Chef ja irgendwie auf das Duisburger IT-Unternehmen aufmerksam geworden. Doch die Ernüchterung folgt auf dem Fuße. Natürlich kommt die elektronische Nachricht nicht aus dem Vorzimmer des reichsten Manns der Erde, sondern von irgend einem anonymen Massenderversender für elektronische Wurfsendungen. Der üblische Postmüll (wörtlich: Junk-Mail) halt – versteckt hinter einer gefälschten Absenderkennung, die Interesse wecken soll. Eine solche Verschleierungstaktik nennen Experten „Spoofing“.

Gefälschte Absenderkennungen: Heute nicht die Ausnahme, sondern die Regel. „Durch Fälschen der Absenderadresse wollen die Versender ihre Spuren verwischen“, erklärt Jörg Brunsmann, auf Internetthemen spezialisierter Fachbuchautor aus Köln. Schließlich ist das Versenden vom „Spam“ oder „Junk-Mail“ genannten Reklamenachrichten per E-Mail in vielen Ländern längst verboten, teilweise sogar strafbar. Die Massenversender wollen ihre Werbebotschaften unters Volk bringen, ohne dafür zur Rechenschaft gezogen werden zu können und auch ohne sich dem Protest der Empfänger stellen zu müssen.

Computerbenutzer in aller Welt müssen darunter leiden: Werbemails verstopfen den elektronischen Briefkasten mit überflüssigen Nachrichten, die neben schnellem Reichtum und biologischen Wundern alles mögliche versprechen. Experten schätzen, dass täglich rund 31 Milliarden Reklamenachrichten in Umlauf gebracht werden. Statistisch gesehen gilt bereits jede zweite E-Mail als unerwünschte Werbepost. Längst verursacht Spam horrende Kosten, vor allem in Unternehmen: Mitarbeiter müssen sich durch sinnlose Post kämpfen und verschwenden so Tausende Stunden wertvoller Arbeitszeit.

In Sachen Spam sind die USA einsamer Exportweltmeister. Rund 56% aller Spam-Nachrichten, so eine aktuelle Studie des britischen Virenschützers Sophos, kommt aus den USA. Auf dem zweiten Platz landet Kanada mit 7 Prozent und auf dem dritten China und Hongkong mit 6 Prozent. Alle anderen Länder sind im Vergleich dazu eher unbedeutend.

Das Problem: Die Werbeflut lässt sich nur schwer stoppen. Zwar werden überall die entsprechenden Gesetze verschärft. Doch mit geringem Erfolg. „Mit Vorschriften alleine ist die Spam-Flut kaum aufzuhalten“, erklärt EU-Industriekommissar Erkki Liikanen. Zwar können Betroffene hierzulande mittlerweile auf Unterlassung oder Schadenersatz klagen. Aber das ist eher graue Theorie: „Privatleute können in jedem Einzelfall nur einen Schaden von wenigen Cent geltent machen – für die Downloadkosten“, erklärt Tobias Strömer, auf Internetthemen spezialisierter Rechtsanwalt aus Düsseldorf. Eine solche Klage würde kein Gericht zulassen.

Außerdem ist es ohnehin schwer bis unmöglich, den jeweiligen Verursacher ausfindig zu machen. Spam-Versender operieren fast immer im Verborgenen. Microsoft-Chef Bill Gates hat deshalb schon die „Briefmarke für E-Mails“ vorgeschlagen. Würde jede E-Mail nur den Bruchteil eines Cents kosten, wäre der Massenversand bereits nicht mehr rentabel. Doch eine Lösung ist der Vorschlag trotzdem nicht. Schon allein deswegen, weil sich die Massenversender ohnehin gerne illegal Zugang zu nicht ausreichend abgesicherten Servern verschaffen und sie zum Versand ihrer Reklameflut missbrauchen.

Könnten Spam-Versender ihre Identität nicht so einfach verschleiern wie derzeit, wäre viel mehr gewonnen. „Dass wir nicht überprüfen können, ob eine eintreffende E-Mail wirklich von der Person stammt, die als Absender auf dem virtuellen Briefumschlag steht, ist ein riesiges Sicherheitsleck“, beklagt sich Bill Gates auf einer Tagung der „Anti-Spam Research Group“ (ASRG).

Deshalb arbeiten Microsoft und andere Unternehmen an Lösungen, um Absender zweifelsfrei authentifizieren zu können. „Spam wird bald schon Vergangenheit sein“, verspricht Gates. Spätestens in zwei Jahren soll es so weit sein. Gates Konzept: Jeder Provider bekommt eine fälschungssichere „Caller ID“, so ähnlich wie bei einem Telefon, das beim Anruf seine Rufnummer übermittelt. Auf diese Weise ließe sich ganz leicht feststellen, ob eine E-Mail tatsächlich vom angeblichen Absender kommt, verschickt vom im „Header“ genannten, normalerweise aber unsichtbaren Informationsbereich der E-Mail.

Auch AOL testet ein ähnliches System, das sich „Sender Policy Framework“ (SPF) nennt und ebenfalls erlauben soll, gefälschte Absenderkennungen zu enttarnen. Schon in 6 bis 12 Monaten könnte das System funktionsreif sein. Einen deutlichen Schritt weiter geht das kryptografische Authentifizierungssystene DomainKeys, das Yahoo gemeinsam mit Sendmail testet, einem bekannten Anbieter von E-Mail-Lösungen. DomainKeys ermöglicht, die Identität eines E-Mail-Absender zu verifizieren. Das gelingt zum einen mit einer Caller-ID wie in Microsofts Konzept, zum anderen aber mit Hilfe einer digitalen Signatur im Header der E-Mail, im Verwaltungsbereich der elektronischen Nachricht. Ein Verfahren mit öffentlichem (public) und persönlichem (private) Schlüssel. Das Konzept hat sich im Bereich der Verschlüsselung bereits bestens bewährt, etwa beim Verschlüsselungssystem „Pretty Good Privacy“ (PGP).

Experten erwarten, dass sich wahrscheinlich eine Kombination dieser drei Ansätze durchsetzen dürfte. Bis Ende des Jahres könnten erste Lösungsansätze fertig sein, die formalen Standards würden aber wohl noch etwas länger dauern. Manche lieb gewonnene Servicefunktion wird es dann aber wahrscheinlich nicht mehr geben: „Artikel versenden“-Knöpfe auf Webseiten etwa, die es jedem erlauben, auf Knopfdruck eine E-Mail zu verschicken.

„Vieles wird in Zukunft nicht mehr so einfach möglich sein wie heute“, bestätigt Meng Weng Wong, bei AOL zuständiger Chefentwickler für das im Test befindliche Sicherheitssystem SPF. „Die Leute werden umdenken müssen.“ Auch andere Aspekte wollen noch weiter durchdacht werden, etwa, wie sich trotz der erhöhten Sicherheitsvorstellungen künftig auch noch E-Mails aus Internetcafés oder über HotSpots verschicken lassen, etwa mit dem WLAN-Notebook.

Angenehmer Nebeneffekt: Erhöhte Sicherheitsansprüche an die E-Mail könnten künftig nicht nur Spam, sondern auch Viren und Würmer eindämmen. Was gleich doppelt sinnvoll wäre, da immer mehr Würmer die Runde machen, die auf infizierten Systemen gezielt eine Hintertür (Backdoor) öffnen. Spam-Versender können infizierte Rechner so zu Reklameschleudern umfunktionieren – in der Regel, ohne dass der Benutzer davon Wind bekommt. Jüngstes prominentes Beispiel: MyDoom. Der massenhaft verschickte Wurm öffnet auf infizierten Systemen eine Hintertür, die grundsätzlich auch zum Spam-Versand genutzt werden könnte.

Das Fachmagazin „c´t“ hat kürzlich nachgewiesen, dass Virenschreiber bereits in Bausch und Bogen Adressen von mit Trojanern infzierten Rechnersystemen an Spamversender verkaufen. „Wir befürchten, dass dies erst ein Anfang ist“, soll sich ein ermittelnder Officer von Scottland Yard geäußert haben. Sogern sich Trojaner die auf dem PC installiert E-Mail-Software zunutze machen, wäre selbst das Versenden korrekt signierter E-Mails möglich.

Bis funktionierende Lösungen verfügbar sind, gibt es nur einen Erfolg versprechenden Weg, lästige Werbepost einzudämmen: elektronische Filtersysteme. Spezielle Software, die Spam möglichst zuverlässig erkennt und dafür sorgt, dass die Werbebotschaften erst gar nicht im Posteingang auf der Festplatte landen.

Microsoft entwickelt derzeit eine Filtertechnologie namens „SmartScreen“, die im Laufe des Jahres Marktreife erlangen soll. Bereits heute sind Vorabversionen der Technologie im Einsatz, etwa im neuen Outlook 2003, in MSN 8 sowie beim kostenlosen Mail-Dienst Hotmail. Richtig interessant wird es aber erst, wenn SmartScreen für Microsoft Exchange Server verfügbar ist, der in vielen Unternehmen eingesetzten Software zur Verwaltung und Organisation der elektronischen Post.

Die Grundidee von SmartScreen ist simpel und bereits von anderen bewährten Filtersystemen aus der OpenSource-Welt oder von Projekten wie Spamnet von Cloudmark bekannt. Kern des Ganzen ist ein automatisierter Lernprozess. Die Software lernt ständig hinzu, auf welche Begriffe, Formulierungen und Absenderkennungen geachtet werden muss. Da ist ein hohes Maß an Flexibilität gefragt. Schließlich ist nicht jede E-Mail, die den Begriff „Viagra“ enthält, automatisch unerwünschte Spam. Die E-Mail des Mediziners mag dringend erwartet werden, während die übliche Reklame besser ungesehen im digitalen Orkus verschwindet.

Schon lange reicht es nicht mehr aus, eingehende Post lediglich auf einschlägig bekannte Schlüsselwörter zu untersuchen und bestimmte Absender zu sperren. Nach dieser Methode gehen übliche Filter vor, die Computerbenutzer auf ihrem PC installieren können. Doch die Trefferquote solcher Filter ist meist unbefriedigend, da Spam-Versender geschickt Haken schlagen: Sie wechseln mindestens einmal täglich ihre Absenderkennung und variieren ebenso häufig die Schreibweise von Produktnamen und Schlüsselwörtern. Gewöhnliche Filtersysteme, die nicht dazu lernen, sind da hoffnungslos überfordert.

Deshalb geht SmartScreen einen anderen Weg. Das System vernetzt E-Mail-Benutzer und Exchange-Server in aller Welt und sammelt das Feedback der Benutzer. Bei mehreren hundert Millionen Usern weltweit kommt da einiges an verwertbaren Informationen zusammen. Entscheidet eine qualifizierte Zahl von Benutzern, dass eine E-Mail als Spam eingestuft werden sollte, wird die betreffende E-Mail analysiert und landet auf dem Index. Trifft dieselbe E-Mail bei anderen Personen ein, landet sie dank SmartScreen dann automatisch im Spam-Ordner, belästigt die Empfänger also gar nicht erst. Dank heuristischer Analysemethoden lassen sich auf diese Weise auch variierte Spam-Mails zuverlässig enttarnen.

Den Anfang hat Microsoft bei Hotmail gemacht. Mehrere hunderttausend Hotmail-Mitglieder haben mehrere Millionen E-Mails klassifiziert. Auf diese Weise ist bereits ein Regelkatalog entstanden, der rund 500.000 Charakteristika von Reklame-Mails enthält. SmartScreen erlaubt nun, jede eintreffende E-Mail auf diese, zudem ständig erweiterten Regelkatalog abzuklopfen.

Das Ergebnis ist bereits heute recht gut. Die Trefferquote des in Outlook 2003 eingebauten Filters ist vergleichsweise hoch. Nur wenige Spam-Nachrichten durchdringen das Raster. Wenn der „Exchange Intelligent Message Filter“ für Microsoft Exchange Server verfügbar ist, wird das noch besser funktionieren, vor allem für alle am Server angeschlossenen Benutzer gleichzeitig, was ungleich effektiver ist.

SmartScreen verwendet aber noch weitere Tricks, um Spam zu entlarven. So halten Microsoft-Server eine Liste mit bekannten Versenderadressen vor, die so genannte „Real Time Block List“. Hier sind E-Mail-Adressen und IP-Kennungen bekannter Spam-Versender gespeichert. Die Liste wird rund um die Uhr aktualisiert, muss aber auch sorgfältig gepflegt werden. Denn oft benutzen Spam-Versender gefälschte Absenderkennungen, oft von seriösen Unternehmen, um eben nicht als Spam enttarnt zu werden. SmartScreen muss also gleichzeitig verhindern, dass eine eigentlich seriöse Absenderadresse auf dem Index landet.

Auch Mail-Dienste und Internet-Provider tüfteln an Filtersystemen, um ihre Kundschaft vor unerwünschter Post zu bewahren. Allein der Online-Dienst AOL will im vergangenen Jahr eine halbe Billion(!) Spam-Nachrichten gefiltert haben. Das sind 500.000.000.000 elektronische Nachrichten, die noch vor der Auslieferung an die AOL-Kundschaft im sorgsam gesponnenen Netz der Reklamefilter hängen geblieben sind.

Längst suchen sich Spamversender weitere Wege, um ihre Reklame unters Volk zu bringen. Immer mehr verteilen ihre Reklamenachrichten als „Instant Message“, als Online-Telegramm. So genannte „Spim“ (Instant Message Spam) erscheint sofort auf dem Bildschirm des Empfängers und wird deshalb in der Regel intensiver wahrgenommen.

Laut dem Beratungsunternehmen Ferris Research wurden vergangenes Jahr mehr als eine Milliarde Spims verschickt, vier Mal mehr als im Jahr 2002. Für dieses Jahr erwarten die Experten rund vier Milliarden Spims. „Jeder der glaubt, als Benutzer von Instant Messaging den Spamversendern entkommen zu können, wird ein böses Erwachen erleben“, sagt Brian NeSmith, Vorstand von Blue Coat Systems, ein auf IT-Sicherheit spezialisiertes Unternehmen im Sillicon Valley.

Keine guten Nachrichten. Noch hat sich niemand Gedanken darüber gemacht, wie sich Online-Telegramme vor Missbrauch durch Spamversender schützen lassen. Das könnte eine der nächsten großen Aufgaben sein.

Reklame vermeiden: 10 Tipps

Wer ein paar Tipps und Tricks beherzigt, muss sich nicht so oft über Spam ärgern.

1. Die wichtigste Regel: Wer in jedem Webformular seine wichtigste E-Mail-Adresse einträgt, darf sich nicht wundern, wenn eine Reklameflut über ihn herein bricht. Die eigene Mail-Adresse nur weitergeben, wenn Vertrauen besteht.

2. Niemals mit der Haupt-Mail-Adresse an Chats oder Diskussionen teilnehmen. Für solche Zwecke spezielle Mail-Adressen reservieren.

3. Auf keinen Fall die E-Mail-Addresse im Web veröffentlichen, etwa auf der eigenen Homepage. Spam-Versender durchsuchen das Web systematisch und sammeln Adressen. Kontakt im World Wide Web idealerweise nur über ein Kontaktformular ermöglichen.

4. Wenn es sich gar nicht vermeiden lässt, zu einem Trick greifen: Auf den Klammeraffen verzichten. Angaben wie „schroeder at bundesregierung.de“ werden von Menschen verstanden und von automatischen Adressfahndern ignoriert.

5. Erfahrene Benutzer haben mindestens zwei Mail-Adressen: Eine für den privaten Gebrauch, die ausschließlich für den direkten Postaustausch benutzt und niemals öffentlich gemacht wird. Eine zweite für die Kommunikation im Netz, zum Eintragen in Webformulare oder Diskussionsforen.

6. Wenn eine Spam-Nachricht eintrifft: Niemals darauf antworten. Vor allem bei unseriösen Absendern das Angebot ignorieren, sich von der Liste streichen zu lassen – dieser Trick dient nur dazu, die eigene Mail-Adresse zu bestätigen.

7. Die E-Mail-Adresse selbst sollte auch Zahlen erhalten. Statt mueller@meyer.de also 12mueller2004@meyer.de. Das erschwert Spam-Robotern, die Adresse zu „erraten“.

8. Praktisch: Unter http://www.spamgourmet.com und http://www.jetable.org gibt es kostenlos Mail-Adressen mit Verfallsdatum. Postfächer, die nur eine bestimmte Zeit gültig sind – zwischen 24 Stunden und acht Tagen. Nur so lange leiten die Anbieter Post ans eigene Postfach weiter. Meist erst nach einigen Tagen eintreffende Spam landet im Nirwana. Ideal, um für jemanden nur für kurze Zeit erreichbar zu sein, etwa in einem Chat oder bei einem Supportkontakt.

9. Es bleibt nicht aus: Früher oder später trudeln doch Spam-Nachrichten ein. Filter können helfen, einen Teil davon abzublocken. Outlook verfügt über entsprechende Filter, die nur eingeschaltet werden müssen. Aber auch der kostenlose Filter Spamihilator (http://www.spamihilator.com) leistet hervorragende Arbeit und funktioniert mit allen Mail-Programmen. Außerdem bieten auch die meisten Provider wie Yahoo, GMX, web.de oder AOL praktische Spam-Filter an, die auf jeden Fall aktiviert werden sollen.

10. Plötzlich aufpoppende Reklamerfenster unter Windows 2000 oder Windows XP sind das Ergebnis eines Sicherheitslecks. Unter http://www.xp-antispy.org lässt sich ein Programm herunter laden, das diese Lücke stopft. Reklame-Telegramme haben dann ein Ende. schi.