Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 5.54 Schutz vor Mailüberlastung und Spam - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 5.54 Schutz vor Mailüberlastung und Spam

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, Benutzer

Mit "Spam" werden E-Mails bezeichnet, die in Massen verschickt werden und die die Empfänger belästigen. Dazu gehören Kettenbriefe, unerwünschte Werbung, Bettelbriefe und Junkmails. Durch die Überhäufung mit Werbemails oder durch absichtliche Überlastung durch eingehende E-Mails kann nicht nur das E-Mail-System blockiert werden, sondern es kann auch für den Empfänger solcher E-Mail teuer werden. Kosten entstehen unter anderem durch Übertragungsgebühren, insbesondere dann, wenn Bilder oder Multimediadateien in den unerwünschten E-Mails enthalten sind. Dazu kommt auch noch die Arbeitszeit, die benötigt wird, um die eingegangene Spam-Mail zu sichten und zu löschen.

Um sich vor Spam zu schützen, sollte jeder Benutzer überlegen, wann und an wen er seine E-Mail-Adresse weitergibt. Besonders vorsichtig sollten Benutzer mit der Herausgabe der Adresse beispielsweise in Newsgroups oder Mailinglisten, bei Gewinnspielen, bei Umfragen oder in ähnlichen Formularen sein.

Umgekehrt sollte auch darauf geachtet werden, die E-Mail-Adressen von Kommunikationspartnern nicht ungeprüft weiterzugeben. Besonders wenn mehrere Personen gleichzeitig mit einer E-Mail angeschrieben werden, sollte nicht jeder wissen, wer noch unter welcher E-Mail-Adresse angeschrieben worden ist. Um dies zu vermeiden, kann z. B. die Funktion "BCC" (Blind Carbon Copy) genutzt werden, die praktisch jeder E-Mail-Client bietet.

Grundsätzlich sollten alle Benutzer Spam ignorieren und löschen. Keinesfalls darf geantwortet werden, da dies eine Bestätigung für eine erfolgreich zugesendete E-Mail wäre. Darüber sollten auch alle Mitarbeiter informiert werden.

Mögliche Maßnahmen gegen Werbemails bzw. "Spam" sind die folgenden:

Dabei ist zu beachten, dass nicht alle dieser Maßnahmen in allen Umgebungen sinnvoll sind, weil sie diverse Einschränkungen mit sich bringen. So kann es einerseits sinnvoll sein, nicht aus den Benutzernamen abgeleitete E-Mailadressen zu verwenden, um sich vor unerwünschten Werbemails zu schützen. Andererseits können abstrakte E-Mailadressen die Kommunikation mit Externen erschweren, da sie schwerer zu merken sind. Die Form der E-Mailadressen muss auf jeden Fall den organisationsinternen Regelungen genügen.

Durch die Eintragung auf Mailinglisten kann ebenfalls eine hohe Mailbelastung entstehen. Generell sollte regelmäßig überprüft werden, ob die in einer Mailingliste diskutierten Inhalte das Lesen lohnen, sonst ist sie abzubestellen. Die Benutzer müssen darüber informiert sein, dass nach der Eintragung auf Mailinglisten die dadurch entstehende Mailbelastung regelmäßig, d. h. möglichst täglich, zu kontrollieren ist. In größeren Organisationen sollten für die Arbeit interessante Mailinglisten nur über einen Mitarbeiter (z. B. den Mail-Administrator) abonniert werden und dann zentral allen zur Verfügung gestellt werden.

Auch bei der Gestaltung von Webseiten sollte an Spam gedacht werden. Spammer versuchen u. a. ihren Adresspool dadurch zu erweitern, dass sie mit Tools Webseiten automatisch darauf absuchen, ob dort E-Mail-Adressen genannt sind, z. B. für Nachfragen. Es gibt leider kaum wirksame Möglichkeiten, solche automatischen Auswerte-Tools scheitern zu lassen. Daher sollte genau überlegt werden, ob und welche E-Mail-Adressen auf Webseiten bekannt gegeben werden. Hierfür können beispielsweise aufgabenbezogene E-Mail-Adressen eingerichtet werden. Auch diese werden natürlich mit Spam belästigt werden, aber das Problem kann auf diese Weise begrenzt werden. Für die Sichtung der eingehenden Mails und die Trennung der "echten" Mail-Eingänge vom Spam sollte ausreichend Zeit vorgesehen werden.

Ergänzende Kontrollfragen: