Warum wir beim E-Mail-/Spam-Schutz versagt haben

Mit Vorbereitung seit 1994 und mit RMX im Zeitraum 2002-2004 war ich einer der Vorreiter der Spam-Schutzmechanismen und der Light-Weight-Authentifikation bei einem der Standard-Internet-Protokolle. Das hat mir damals viel Arbeit, Tausende von Mail-Wechseln in und außerhalb der IETF und anderen Foren eingebracht, IETF-Besuche in San Francisco, San Diego und Washington, einen Vortrag vor der US-Regierung, thematische Diskussion bei zwei OECD-Konferenzen, diverse Vorträge usw. eingebracht. Das Verfahren wurde als SPF plagiiert und sollte von Microsoft groß rausgebracht werden. Bill Gates hatte damals angekündigt, das Spam-Problem in zwei Jahren zu lösen. Es ging also damals heiß her. Mehr als heiß. Rund zwei Jahre lang war ich sehr intensiv mit der Sache beschäftigt und habe viele Leute in den USA kennengelernt. Doch was ist daraus geworden?

Objektiv betrachtet: Gar nichts. Außer Spesen und Erkenntnis ist nicht viel dabei herausgekommen.

E-Mail basiert heute nach wie vor unverändert auf SMTP. Es gibt kein einziges übergreifendes, standardisiertes Schutzverfahren, das sich durchgesetzt hat. SPF wird fast nur von Spammern eingesetzt. Das geht soweit, daß man bei Mails, die mit SPF-Record authentifiziert sind, zu über 90% blind auf Spam tippen kann. Allgemein ist das Verfahren wieder unbekannter geworden.

Allchemisten-Wissen wie das, was in Spam-Assassin implementiert ist, wird zunehmend stumpf. Die Spammer machen nicht mehr die dummen Fehler von damals und haben inzwischen auch gelernt, das SMTP-Protokoll exakt einzuhalten. Spam kommt immer öfter getarnt mit Füllwörtern oder gleich als Graphik. Die ganzen Wörterlisten, Heuristiken, Bayes-Filter funktionieren immer weniger.

Pseudo-Schutzverfahren wie Greylisting erweisen sich zunehmend als das, was sie sind, nämlich Pseudo-Schutzverfahren. Dem Spammer, der eine Nachricht an Millionen Empfänger versendet, fällt es viel leichter, diese Sendung nach 20 Minuten zu wiederholen. Was inzwischen auch die Spammer gemerkt haben. Zumal viele Sendungen inzwischen über normale Relays gehen.

Auch die Lokalisation und Abschaltung der Server, die von Spam profitieren würden – die, über die eben die beworbenen Waren angepriesen werden – hilft nur noch bedingt, seit massiv der Aktienkauf beworben wird. Und auch Malware-Mails sind damit nicht kleinzukriegen.

Spam verstopft nach wie vor – oder genauer gesagt: immer schlimmer – die E-Mail-Kanäle und die Provider müssen ständig neue Hardware kaufen und ihre Mail-Relays verstärken, weil der Spam-Anteil oft signifikat über 90% angekommen ist. Was wir damit natürlich alle saftig über die Internet-Rechnung mitbezahlen. Und ein Ausweg ist weniger in Sicht als vor 4 Jahren.

Warum aber ist das so? Jeder stöhnt über Spam, Massenmails gelten als größtes heutiges Sicherheitsproblem, und trotzdem passiert nichts wirksames dagegen. Warum?

Das hat verschiedene Gründe.

Einen der Gründe habe ich schon 2002-2004 sehr deutlich und teils schmerzhaft spüren müssen. Es ging in der Spam-Debatte – gerade bei der IRTF und IETF – nämlich nicht oder jedenfalls nicht in erster Linie darum, Spam loszuwerden, sondern Geschäft aus der Bedrohung zu machen. Es ging nicht so sehr darum, wie man Spam loswird, sondern wer das macht und damit wer daran verdient. Deshalb kam es damals zu großem Streit und mehreren Plagiaten von RMX, denn es waren mehr große Interessenträger als Verfahren da. Eine ganze Menge Leute zeigten mehr oder weniger offensichtlich, welche Interessen sie daran haben, daß man Spam nicht einfach so, kostenlos und ohne Lieferant von Software oder Filterdatensätzen abschaltet. Obwohl die Bekämpfung von Spam an sich noch nicht beherrscht war, war das Marktsegment schon so gut besetzt, daß zu viele einflußreiche Leute/Firmen daran verdienten um noch ein einfaches Gegenmittel haben zu wollen. Da war etwa der Provider von Mail-Hashsummen, der damals, als Spam und Absender noch statisch waren, seinen Kunden einfach einen Filter installierte und gegen saftiges Geld die Blocklisten verkaufte. Und der kurzerhand meinen und die Namen einiger anderer Anti-Spam-Forscher in diese Listen mit aufnahm, damit seine Kunden nicht so leicht mitbekommen, daß es auch billiger geht. Wer von seinen Kunden auf der IETF-Mailingliste war, sah einige der Postings ganz einfach nicht – bis es einmal durch Fehlermeldungen auffiel und aufflog. Zensur aus Industrieinteresse. Und dergleichen Vorfälle viele mehr. Viele der kommerziellen Anti-Spam-Firmen sabotierten regelrecht die Entwicklung eines Verfahrens, um sich das Geschäft nicht verderben zu lassen.

Und dann war da noch ein völlig anderer Spieler auf dem Spielfeld: Microsoft.

Denen ging’s nicht darum, mit Antispam-Verfahren Geld zu verdienen. Die haben genug. Denen ging es um etwas ganz anderes. Bill Gates hatte sich weit aus dem Fenster gelehnt und getönt, daß man in zwei Jahren das Problem Spam gelöst haben werde. Der ursprüngliche Microsoft-Ansatz, das ganze über die Kosten zu regeln, über Economy (US-Amerikaner kennen und akzeptieren im Security-Bereich eigentlich fast immer nur zwei Hauptverfahren: Economy und Reputation). Gates erster Vorschlag war, daß jeder, der ihm eine Mail schickt, einen Betrag von x Tausend Dollar zu hinterlegen hat. Ist der Betrag hinterlegt, liest Gates die Mail. Stellt sie sich als ernsthaft und ihm gefällig heraus, gibt er den Betrag zur Rückzahlung frei. Auf diese Weise würde man ihm nur ernsthafte Mails schicken. Glaubte er. Ob es stimmt, sei dahingestellt, aber er mußte lernen, daß das Verfahren für die meisten der anderen 1 Milliarde Internet-Benutzer nur bedingt tauglich und mit zuviel Aufwand verbunden wäre. Soll jemand, der am Tag 100 Mails verschickt, was durchaus im professionellen Bereich nicht unüblich ist, jeden Tag 100.000 Dollar Pfand bewegen und hinterlegen? Und dann vor Gericht wieder zurückklagen? Der zweite Versuch war die digitale Briefmarke, also einfach das Opfern von Geld in Form von Rechenleistung zum Lösen eines mathematischen Rätsels, um dem Empfänger davon zu überzeugen, daß dem Sender die Versendung etwas “wert” wäre. Auch das hat sich als untauglich erwiesen. Ausgerechnet die Spammer mit ihren Bot-Armeen verfügen über Rechenleistung im Überfluß, die nicht sie, sondern andere bezahlen. Man müßte außerdem mal ausrechnen, wieviel zusätzlichen Strombedarf dies weltweit verursacht hätte – vor dem Hintergrund der aktuellen Klima-Debatte (angeregt durch das letzte oder vorletzte c’t-Editorial).

Und plötzlich patentierte Microsoft damals Teile des auf RMX beruhenden Verfahrens SPF/SenderID/CallerID. Die haben sich das regelrecht gegrapscht. Ein Microsoft-Vertreter erklärte auf der Konferenz vor der US-Regierung bei der FTC, daß er von Gates persönlich beauftragt worden sei, das Problem Spam zu lösen. Geld spiele dabei keine Rolle. Und wenn Gates persönlich das sagt, will das durchaus etwas heißen.

Nun ist die Sache nicht so völlig und von vornherein schlecht. Wenn man ein Verfahren durchsetzen will, ist Microsoft zwar nicht der Wunschpartner und auch kaum seriös – aber die IETF hatte es ja bereits vermurkst und im Interessensumpf versinken lassen. Insofern wäre Microsoft zwar nicht wünschenswert, aber tauglich gewesen. Wenn sie nicht doch zu unseriös gewesen wären. Denn man wollte zwar kein Geld, aber andere Vorteile, nämlich die OpenSource-Szene in den Sack bekommen. Jeder hätte das Verfahren (zunächst) kostenlos verwenden können, aber hätte per Fax eine Lizenzerklärung unterzeichnen müssen. Microsoft hätte sich damit praktisch in den gesamten Linux-Bereich reingebohrt. Das kann man sehen, wie man will, die Autoren der wesentlichen Open-Source-Mail-Relays sahen es anders. Es kam zum Eklat. Damals in San Diego brauchten wir auf der IETF den größten Saal und einen ganzen Nachmittag nur für den Streit Microsoft gegen den Rest der Welt, wobei sich einige durch die Bedrohung durch die Microsoft-Anwälte massiv eingeschüchtert zeigten. Letztlich wurde das Verfahren vor diesem Hintergrund als inakzeptabel eingestuft – nicht aus technischen Gründen, sondern weil niemand die Auseinandersetzung mit Microsoft mehr zumutbar war.

Danach kam nicht mehr viel. Man versuchte, den Streit zu umgehen, indem man auf kryptographische Authentifikation auswich. Nennenswert eingesetzt wird jedoch bisher nichts davon. Von einem flächendeckenden und allgemeinverfügbaren Anti-Spam-Verfahren kann keine Rede sein. Das wurde zwischen industriellen Interessen zermahlen.

Interessanterweise ist das Problem in den USA gemacht. Aus Europa war damals kaum jemand zu sehen, ich war da praktisch alleine und als Privatmann. Das ist natürlich schon ein Problem, wenn da einfach einer alleine und ohne jede Unterstützung aus Europa nach Amerika kommt, und das Mailsystem umkrempeln will. Die Unterstützung aus Deutschland und Europa war gleich Null. Ich bin alleine gegen amerikanische Interessen angetreten. Erst in letzter Zeit hat sich der Deutsche Bundestag mit dem Problem befasst. Ohne meßbaren Erfolg.

Derzeit bemühen sich so manche Politiker, uns den Eindruck zu vermitteln, daß sie sich mit unserer Sicherheit Mühe geben. Deutschland, Europa sei in Gefahr. Wird irgendetwas unternommen um die Kommunikationsinfrastruktur zu schützen? Oder überläßt man das alles sich selbst? Bisher sind wir da nur willenlose Konsumenten. Eigene Sicherheitsarchitekturen für unsere Infrastruktur – Fehlanzeige.

Gut, könnte man argumentieren, hier geht es um Terrorismus und Lebensgefahr, nicht um Spam.

Wirklich?

Mal an der Autobahn die Notrufsäule betätigt? Da sind nicht mehr Polizei oder Autobahnmeisterei dran, sondern irgendein weit entferntes privates CallCenter.

Hatten wir nicht gerade den (Vatten-)Fall erheblicher Probleme im Kernkraftbereich? Ging es da nicht auch um Kommunikationsprobleme? Und haben wir nicht gerade das Zeitalter der Dumping-Preise im Telekommunikationsbereich, der zwangsläufig Qualitätsmängel nach sich zieht?

Statt irgendwelchen Terroristen durch Bundestrojaner nachzuspüren, wäre es vielleicht besser, wenn auch weniger spektakulär, sich mal um den Aufbau einer sicheren Infrastruktur zu kümmern, in der beispielsweise E-Mail wieder ein taugliches und zuverlässiges (also auch nicht durch Spam verstopftes) Kommunikationsmittel ist.

Aber damit kann man sich als Politiker eben nicht profilieren. Ein Innenminister Schäuble, der in der Presse verkündet, er überlege, ob man Terrorismusverdächtige gleich ohne Gerichtsverfahren liquidieren könnte, ist sich der Presseaufmerksamkeit sicher.

Stellt Euch vor, Schäuble verkündete, man müßte mal was gegen Spam tun…