M 5.54 Schutz vor Mailüberlastung und Spam
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Mit "Spam" werden E-Mails bezeichnet, die in Massen verschickt werden und die die Empfänger belästigen. Dazu gehören Kettenbriefe, unerwünschte Werbung, Bettelbriefe und Junkmails. Durch die Überhäufung mit Werbemails oder durch absichtliche Überlastung durch eingehende E-Mails kann nicht nur das E-Mail-System blockiert werden, sondern es kann auch für den Empfänger solcher E-Mail teuer werden. Kosten entstehen unter anderem durch Übertragungsgebühren, insbesondere dann, wenn Bilder oder Multimediadateien in den unerwünschten E-Mails enthalten sind. Dazu kommt auch noch die Arbeitszeit, die benötigt wird, um die eingegangene Spam-Mail zu sichten und zu löschen.
Um sich vor Spam zu schützen, sollte jeder Benutzer überlegen, wann und an wen er seine E-Mail-Adresse weitergibt. Besonders vorsichtig sollten Benutzer mit der Herausgabe der Adresse beispielsweise in Newsgroups oder Mailinglisten, bei Gewinnspielen, bei Umfragen oder in ähnlichen Formularen sein.
Umgekehrt sollte auch darauf geachtet werden, die E-Mail-Adressen von Kommunikationspartnern nicht ungeprüft weiterzugeben. Besonders wenn mehrere Personen gleichzeitig mit einer E-Mail angeschrieben werden, sollte nicht jeder wissen, wer noch unter welcher E-Mail-Adresse angeschrieben worden ist. Um dies zu vermeiden, kann z. B. die Funktion "BCC" (Blind Carbon Copy) genutzt werden, die praktisch jeder E-Mail-Client bietet.
Grundsätzlich sollten alle Benutzer Spam ignorieren und löschen. Keinesfalls darf geantwortet werden, da dies eine Bestätigung für eine erfolgreich zugesendete E-Mail wäre. Darüber sollten auch alle Mitarbeiter informiert werden.
Mögliche Maßnahmen gegen Werbemails bzw. "Spam" sind die folgenden:
- Es können Anonymisierungsdienste (Anonyme Remailer Dienste) benutzt werden, die E-Mails "entpersonalisieren". Ein Remailer ermöglicht es, in eine Newsgruppe zu posten oder eine E-Mail zu versenden, ohne dass der Empfänger die E-Mail-Adresse des Absenders erkennen kann. Dies hat allerdings den Nachteil, dass häufig andere Personen den E-Mail-Kontakt verweigern, weil sie den Absender nicht identifizieren können.
- Auf dem E-Mail-Server bzw. der Firewall können E-Mail-Filterprogramme eingesetzt werden, die nur E-Mails von und/oder zu definierten Kommunikationspartnern zulassen oder über andere Header-Einträge versuchen, Spam auszugrenzen. Hierbei muss mit Bedacht vorgegangen werden, damit der Filterung keine erwünschten E-Mails zum Opfer fallen.
- Übersteigt die Anzahl der Werbe-E-Mails ein bestimmtes Maß, sollte überprüft werden, ob die Löschung dieser E-Mails an zentraler Stelle automatisiert durchgeführt werden sollte. So gibt es Programme, die Werbe-E-Mails automatisch erkennen und löschen. Die Erkennungsquote ist zwar nicht hundertprozentig, aber der Endanwender wird merklich entlastet. Der
- Datendurchsatz kann je nach Prüfungsumfang geringer werden. Problematisch wäre jedoch, wenn normale E-Mails fälschlich als Werbung identifiziert und gelöscht werden. Ob und wie häufig dies eventuell eintritt, ist zu prüfen. Es gibt auch die Möglichkeit, Absenderadressen, von denen häufiger Werbe-E-Mails empfangen wurden, auf eine eigene Liste zu setzen und nachfolgende E-Mails von dieser Absenderadresse automatisch zu löschen oder zu ignorieren. Dieses Verfahren ist oft zuverlässiger als eine automatische Erkennung von Inhalten.
- Vor dem Einsatz zentraler Filterprogramme muss unbedingt festgelegt werden, wer was wann bewertet, in welche Listen was eingetragen und überwacht wird. Der Datenschutzbeauftragte und die Personalvertretung sind dabei zu beteiligen, außerdem müssen die Benutzer über die ergriffenen Maßnahmen informiert werden.
- Die meisten E-Mail-Clients können ebenfalls so konfiguriert werden, dass entweder nur E-Mails bestimmter Absender durchgelassen werden oder dass Post von bestimmten Absendern - also Spammern - ausgefiltert wird. Bei Outlook Express etwa können eingehende Nachrichten mit Hilfe des Posteingangs-Assistenten direkt in den gewünschten Ordner verteilt werden - im Fall von Spam z. B. in den Ordner Gelöschte Objekte.
- Jede Organisation sollte festlegen, ob ihre Mitarbeiter Artikel in Newsgruppen posten dürfen und wenn ja, in welcher Form und zu welchen Themen. Dabei sind die Benutzer darauf hinzuweisen, dass die Netiquette zu beachten ist, insbesondere ist die Verbreitung von für die Allgemeinheit irrelevanten Informationen zu unterlassen.
- Es kann u. U. sinnvoll sein, keine leicht erratbaren E-Mailadressen zu verwenden (siehe auch M 2.122 Einheitliche E-Mail-Adressen).
- Wenn die Angabe einer Adresse für Mailinglisten, Abfragen oder ähnliches erforderlich ist, besteht eine andere Möglichkeit darin, eine spezielle E-Mail-Adresse dafür einzurichten. E-Mail an diese Adresse kann dann gefiltert, ignoriert oder gelöscht werden. Falls hierzu keine Absenderadressen aus der eigenen Domain gewählt werden sollen, kommen hierfür auch die Anbieter von kostenlosen E-Mail-Accounts in Betracht.
- Auf keinen Fall sollte versucht werden, Spam-Verursacher durch Mailbomben oder ähnliches zu bestrafen. Spam sollte nicht einmal durch ein Reply beantwortet werden. Häufig sind die Absenderangaben in Spam-Mail gefälscht. Antworten erreichen dann nur Unschuldige oder kommen als unzustellbar zurück. Auf jeden Fall verursachen auch Antworten wiederum ein erhöhtes Netzaufkommen und im schlimmsten Fall bestätigen sie Werbemailern sogar noch die Korrektheit angeschriebener E-Mailadressen.
- Auch wenn bei Spam-Mail die Möglichkeit angeboten wird, sich für weitere E-Mails streichen zu lassen, sollte auf keinen Fall auf solche E-Mails reagiert werden. Anderenfalls kann der Spammer die Antwort als Bestätigung nutzen, dass die angeschriebene E-Mail-Adresse korrekt ist.
- Eine weitere Maßnahme gegen akute Belästigung durch Spam ist die Benachrichtigung des eigenen Mailproviders sowie des Mailproviders des Verursachers, damit diese gegen den Verursacher vorgehen können. Allerdings sollte dabei berücksichtigt werden, dass nicht alle Mailprovider zeitnah auf solche Beschwerden reagieren.
Dabei ist zu beachten, dass nicht alle dieser Maßnahmen in allen Umgebungen sinnvoll sind, weil sie diverse Einschränkungen mit sich bringen. So kann es einerseits sinnvoll sein, nicht aus den Benutzernamen abgeleitete E-Mailadressen zu verwenden, um sich vor unerwünschten Werbemails zu schützen. Andererseits können abstrakte E-Mailadressen die Kommunikation mit Externen erschweren, da sie schwerer zu merken sind. Die Form der E-Mailadressen muss auf jeden Fall den organisationsinternen Regelungen genügen.
Durch die Eintragung auf Mailinglisten kann ebenfalls eine hohe Mailbelastung entstehen. Generell sollte regelmäßig überprüft werden, ob die in einer Mailingliste diskutierten Inhalte das Lesen lohnen, sonst ist sie abzubestellen. Die Benutzer müssen darüber informiert sein, dass nach der Eintragung auf Mailinglisten die dadurch entstehende Mailbelastung regelmäßig, d. h. möglichst täglich, zu kontrollieren ist. In größeren Organisationen sollten für die Arbeit interessante Mailinglisten nur über einen Mitarbeiter (z. B. den Mail-Administrator) abonniert werden und dann zentral allen zur Verfügung gestellt werden.
Auch bei der Gestaltung von Webseiten sollte an Spam gedacht werden. Spammer versuchen u. a. ihren Adresspool dadurch zu erweitern, dass sie mit Tools Webseiten automatisch darauf absuchen, ob dort E-Mail-Adressen genannt sind, z. B. für Nachfragen. Es gibt leider kaum wirksame Möglichkeiten, solche automatischen Auswerte-Tools scheitern zu lassen. Daher sollte genau überlegt werden, ob und welche E-Mail-Adressen auf Webseiten bekannt gegeben werden. Hierfür können beispielsweise aufgabenbezogene E-Mail-Adressen eingerichtet werden. Auch diese werden natürlich mit Spam belästigt werden, aber das Problem kann auf diese Weise begrenzt werden. Für die Sichtung der eingehenden Mails und die Trennung der "echten" Mail-Eingänge vom Spam sollte ausreichend Zeit vorgesehen werden.
Ergänzende Kontrollfragen:
- Sind die Benutzer über die Spam-Problematik informiert?
- Wer hat welche Mailinglisten abonniert?
- Welche E-Mail-Adressen werden auf den Webseiten der Organisation verwendet?