Spam: Warum kommt meine E-Mail beim Empfänger nicht an?

4 Kommentare
Felix Maag, Second Level Support

Als Spam bezeichnen wir unerwünschte E-Mails, welche meistens Werbung enthalten. Hier stellt sich die Frage, wie merkt der Computer, welche E-Mail unerwünscht ist und welche nicht?
Zu diesem Zweck gibt es viele Ansätze. Um die wichtigsten davon zu erklären, verfolgen wir am besten den Weg der E-Mail – vom Absender bis zum Empfänger.

Eine E-Mail wird verfasst in einem sogenannten E-Mail-Client (Outlook, Thunderbird, Entourage, Apple Mail). Beim Absenden meldet sich das verwendete Programm beim Postausgangsserver an und authentifiziert sich wenn nötig mit Benutzernamen und Passwort. Und hier setzt auch schon die erste Methode an.

Blacklists gegen schwarze Schafe

Anbieter von Blacklists (schwarze Listen) wie www.spamhaus.org oder www.uribl.com bieten eine Liste von IP-Adressen (die eindeutige Adresse für Ihren Computer im Internet) von Endbenutzern. Denn ein Endbenutzer, der sich nicht an seinem Postausgangsserver authentifizieren muss, ist mit höchster Wahrscheinlichkeit ein Spammer, also jemand, der unerwünschte E-Mails verschickt. Wenn ein Postausgangsserver keine Authentifizierung benötigt, wird er früher oder später von Spammern entdeckt und für den Versand von unerwünschten E-Mails verwendet.
Aber auch Postausgangsserver, welche eine Authentifizierung benötigen, sind nicht sicher vor Missbrauch. Daher stellen Blacklist-Anbieter weitere Listen zur Verfügung, welche meistens in Echtzeit aktualisiert werden und Server so für Stunden oder Tage sperren können. Wenn der verwendete Postausgangsserver auf solch einer Liste geführt wird, bekommt man beim Versenden einer E-Mail eine Nachricht zurück, welche wie folgt aussehen kann:

Von: mail.muster.ch [mailto:postmaster@muster.ch]
Gesendet: Donnerstag, 3. Dezember 2009 06:06
An: peter@backslash.ch
Betreff: Returned mail: response error
The original message was received at Thu, 3 Nov 2009 06:05:47 +0200
——- The following addresses had permanent fatal errors ——-

——- Transcript of session follows ——-
.. while talking to muster.cleanmail.ch
>>> DATA
<<< 550 5.7.1 black listed URL host muster.ch by multi.uribl.com

Graylisting als zweite Chance

Wenn sich der Absender am Postausgangsserver authentifiziert hat und in keiner Blacklist aufgeführt ist, kommt die nächste Methode zu Einsatz, welche als Graylisting (graue Liste) bezeichnet wird. Bei dieser Methode werden E-Mails beim ersten Versuch mit einem vorgetäuschten Fehler abgewiesen und auf die graue Liste gesetzt. Versucht der abgelehnte Server nun erneut die E-Mail zuzustellen, wird es zugelassen. Der Trick dabei ist einfach: Ein Spammer versucht meistens sehr viele E-Mails an tausende von Servern zu senden. Meistens werden dabei Fehler ignoriert und dadurch vom Graylisting erfolgreich gefiltert. Diese Methode wird auch in Verbindung mit Blacklists verwendet. Dabei werden nur die IP-Adressen auf der Blacklist das erste Mal abgelehnt, die restlichen E-Mails gewinnen so Zeit und kommen daher schneller an.

Formale Begrüssung muss stimmen

Weiter gibt es die Prüfung des ehlo/helo-Kommandos. Wenn ihr Postausgangsserver mit dem Empfängerserver Kontakt aufnimmt, begrüssen sich die Server sozusagen. Der Empfängerserver gibt den Statuscode 220 und seinen Namen aus und der Postausgangsserver antwortet darauf mit «ehlo» beziehungsweise «helo» gefolgt von seinem Namen. Der Empfängerserver prüft nun, ob die IP-Adresse des Postausgangsservers mit dem Namen, den er verwendet hat, übereinstimmt. Stimmt dieser nicht, lehnt er die E-Mail ab und der Absender bekommt eine E-Mail, welche folgendermassen aussehen kann:

Von: Mail Delivery System [mailto:Mailer-Daemon@smtp.backslash.ch]
Gesendet: Donnerstag, 3. Dezember 2009 06:06
An: peter@backslash.info
Betreff: Mail delivery failed: returning message to sender
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
sarah@muster.ch
SMTP error from remote mail server after RCPT
TO::
host mailwall.muster.ch [199.99.99.99]: 550 5.7.1 Client host
rejected:
cannot find your hostname, [193.135.56.4]

Gefälschte Absender mit SPF verhindern

Noch selten werden SPF-Einträge (Sender Policy Framework) verwendet. Bei dieser Methode wird beim Server für die Namensauflösung (DNS-Server, welcher für die Domains die IP-Adressen kennt und umgekehrt) ein Eintrag für die Absenderdomain erstellt, der festlegt, welche Server E-Mails mit diesem Domainnamen versenden dürfen. Ist ein Server nicht eingetragen, kann er abgelehnt werden. Eingesetzt wird dies zum Beispiel bei gmail.com.

Lernfähige Filter für Inhaltsanalyse

Dann gibt es noch Inhaltsfilter. Bei Inhaltsfiltern wie zum Beispiel der bayessche Filter oder auch bayesischer Filter genannt, werden für eine Nachricht Punkte vergeben. Übersteigt eine Nachricht eine bestimmte Anzahl an Punkten, wird sie als Spam markiert. Alle Inhaltsfilter haben den Nachteil, dass sie laufend trainiert werden müssen oder Updates brauchen, welche die neuen Regeln enthalten. E-Mails, welche durch einen Inhaltsfilter aussortiert werden, gelangen meistens in eine Quarantäne oder werden markiert. Das sind dann auch meistens die E-Mails, welche man als «verschwunden» glaubt, da je nach Unternehmung nicht jeder Benutzer Zugriff auf die gefilterten E-Mails hat.

Konfigurationsfehler und Virenscanner

Wenn die E-Mail bis hierhin nicht gefiltert wurde, liegt es wohl nicht mehr am Spam. Mögliche Gründe können falsch oder nicht mehr vorhandene E-Mail-Adressen, volle Postfächer, Verbindungsfehler oder Konfigurationsfehler sein. Bei Anhängen können auch Virenscanner noch eine Rolle spielen: Dateien die sie nicht kennen, landen gerne in der Quarantäne.

neuen Kommentar erstellen

Valentin Schmid's Gravatar
Auf dieser Seite lässt sich einfach überprüfen, ob
eine IP (z.Bsp eines Mailservers) auf einer Blacklist
(DNSBL) zu finden ist:
http://multirbl.valli.org/
Valentin Schmid, am 10. Dezember 2009 um 01:37 Uhr
M. Lehmann's Gravatar
Dann versuchen Sie mal bei der Firma cyber-wire.com in Utah bei deren Postmaster eine Abuse-Email hinzuschicken. Die blocken komplette Länder (vermutlich alles ausserhalb ihres Landes) selbst bei ihrer eigenen abuse@ Adresse. Sowas ist nicht hinnehmbar
M. Lehmann, am 28. April 2014 um 15:58 Uhr
Kraemer's Gravatar
Bei meinem mailprogramm sind Empfänger und Absender verdreht.Was kann ich tun?
Kraemer, am 26. Oktober 2015 um 16:36 Uhr
Ernst Schulz's Gravatar
Seit gestern kann ich keine Mails mehr versenden.
Mail returned - was kann ich tun??
Ernst Schulz, am 20. Dezember 2015 um 21:18 Uhr
Bitte lassen Sie dieses Feld leer
Kommentar hinzufügen


Bitte lassen Sie dieses Feld leer
Beitrag als E-Mail verschicken
E-Mail via Webmail versenden

Schön, dass Ihnen unser Beitrag gefallen hat. Benutzen Sie folgende Social Networking Dienste, um den Beitrag abzulegen und zu verteilen. Selbstverstädlich können Sie ein direktes Lesezeichen auf diesen Artikel setzen.