IPv6: Auswirkungen auf die E?Mail-Sicherheit
Offenes Tor für Spammer?
Das künftige Internet-Protokoll IPv6 regt zu vielen Bedenken und Spekulationen an - gerade auch im Security-Bereich. Die schier unbegrenzte Fülle an IP-Adressen könnte beispielsweise klassische Techniken der Spam-Abwehr wie das so genannte Blacklisting außer Kraft setzen. Die Argumente für oder gegen solche Befürchtungen scheinen jeweils durchaus seriös - die Praxiserfahrung allerdings fehlt noch. 4,3 Milliarden - eigentlich eine große Zahl: So viele IP-Adressen standen nach dem bislang gültigen Internet-Protokoll IPv4 zur Verfügung. Doch der Siegeszug des Internets in allen Bereichen des Lebens hat Spuren hinterlassen: Mittlerweile sind die Adressen fast vollständig aufgebraucht. Daher wurde der neue Standard IPv6 entwickelt, der den Adressraum erheblich erweitern wird und dessen Implementierung derzeit läuft. Statt 4,3 Milliarden stehen zukünftig 340 Sextillionen (eine 1 gefolgt von 36 Nullen) IP-Adressen zur Verfügung, das heißt, die Anzahl verfügbarer Adressen erhöht sich um den kaum vorstellbaren Faktor 2 hoch 96. Zum Vergleich: Entspräche IPv4 einem Sandkorn von 0,8 mm Durchmesser, so würden die Adressen von IPv6 die gesamte Erdkugel füllen. Mit IPv6 ist damit sichergestellt, dass die Adressen auf absehbare Zeit nicht ausgehen können. Zudem lässt sich dadurch auch auf das Prinzip der dynamischen Adressvergabe verzichten und für jedes Gerät eine feste IP-Adresse vergeben.
Neben den zahlreichen unbestrittenen Vorteilen von IPv6 existieren jedoch auch Bedenken, nicht zuletzt unter Experten im Bereich E?Mail-Sicherheit. Die Befürchtung: Die IPv6-Einführung könnte verheerende Folgen für die Spam-Bekämpfung haben. Im Blickpunkt steht dabei eine der beiden derzeit führenden Methoden unter den Anti-Spam-Techniken, das Blacklisting. Bekannte Spam-Absender werden dabei in Listen geführt, die meist auf der Basis der IP-Adressen arbeiten, das heißt, sie enthalten einzelne IP-Adressen oder ganze IP-Adressbereiche, die als Absender von Spam aufgefallen sind. Ist ein Absender in der Liste geführt, kann der Spam-Filter diesen blockieren. Die modernste Form dieses Verfahrens stellen die so genannten Real-time Blackhole Lists (RBLs) dar, deren Aktualisierung nahezu in Echtzeit erfolgt. Anti-Spam-Lösungen auf der Basis von Blacklists kommen entweder als separate Filter zum Einsatz, deren Ergebnisse zu einem "Spam Score" beitragen und damit über die Kategorisierung einer E?Mail entscheiden. Oder sie dienen als Vorfilter, dessen Hauptaufgabe es ist, die E?Mail-Menge vorab zu reduzieren.
Blacklists in der Diskussion
Einige Experten sehen durch IPv6 jetzt das Ende der Blacklists und damit der gegenwärtigen Generation von Spam-Filtern gekommen. Das Hauptargument der Kritiker: Durch die riesige Ausweitung des Adressraums steigt auch die Zahl aufzulistender Adressen um ein Vielfaches. Dadurch seien Blacklists, wie sie heute geführt werden, bald nicht mehr zu bewältigen. Selbst wenn - wie derzeit diskutiert - zunächst nur 15 Prozent der neuen IPv6-Adressen zur Vergabe kommen sollten, so bedeutet dies dennoch einen explosionsartigen Anstieg der verfügbaren Adressen.
Die Vermutung, dass die Anzahl zum Spam-Versand eingesetzter IP-Adressen sich ähnlich vervielfacht wie der zur Verfügung stehende Adressbestand, ist nicht unbegründet. So kann zwar die Zuordnung fester IP-Adressen die Erkennung von Spammern theoretisch sogar erleichtern, da die Adressen nicht mehr häufig wechseln und ein "Untertauchen" in der Masse erschweren. Es steht aber zu erwarten, dass die Spammer darauf reagieren: Die Menge verfügbarer Adressen ermöglicht die einmalige Benutzung einer Adresse, bevor die nächste zum Einsatz kommt. Solche nur einmal verwendeten "Wegwerf"-Adressen würden das Grundprinzip der Blacklist-basierenden Spam-Prüfung aushebeln. Blacklists, die nur Einmal-Adressen enthielten, wären praktisch wertlos. Gleichzeitig wären sie auch technisch nicht mehr handhabbar, wenn die Anzahl der gelisteten IP-Adressen so drastisch ansteigen würde, dass die Verwendbarkeit der Listen im täglichen Betrieb nicht mehr gegeben wäre.
Nicht alle Experten teilen jedoch diese Einschätzung. Die "Gegner" argumentieren, die Umstellung auf IPv6 habe keinen Einfluss auf die von Blacklists zu bewältigende Datenmenge, da nicht abzusehen sei, dass die Spam-Menge deutlich steigen wird. Die Gefahr von "Wegwerf-Adressen" stufen sie als eher gering ein. Ihre Prognose: Die Zahl zu listender IP-Adressen wird nicht wesentlich höher liegen als heute, IP-basierende Blacklists würden unter IPv6 daher genauso gut oder schlecht funktionieren wie unter IPv4.
Als zweites genanntes Gegenargument dient die klare Abgrenzung von Subnets durch den neuen Adressstandard, sodass sich im Zweifelsfall ganze Netzwerke, aus denen Spam versandt wird, blockieren lassen. Dass dadurch auch legitime Absender und E?Mails im Filter hängen bleiben und damit ein erhebliches "False Positive"-Risiko besteht, bestreiten diese Kritiker nicht. Allerdings, so ihre Argumentation, sei dies der einzige Weg, Blacklists funktionsfähig zu halten. Erhöhte False-Positive-Raten sind in ihren Augen ein Preis, den Spam-Filter-Nutzer zu zahlen bereit sein müssen.
Blacklisting heute
Dabei gestehen auch viele der Kritiker zu, dass die Effektivität von Blacklists schon unter IPv4 viel zu wünschen übrig lässt. Bereits in den vergangenen Jahren hatten diese mit immer größeren Herausforderungen zu kämpfen. Der Grund lag im Siegeszug der Botnets, die heute für mehr als 95 Prozent aller Spam-E?Mails verantwortlich sind. Der Versand von Spam erfolgt heute fast ausschließlich über gekaperte Privat- und Unternehmensrechner. Da diese in der Regel auch für legitime Kommunikation zum Einsatz kommen, ist das den Blacklists zugrunde liegende Prinzip der Unterscheidung "guter" von "bösen" Absender-IPs schon heute kaum noch aufrechtzuerhalten.
Die Gefahr von False Positives ist damit schon heute sehr hoch, Tendenz steigend. Ihre Folgen sind ebenfalls nicht zu unterschätzen und können drastisch sein. Die E?Mail stellt heute das geschäftliche Kommunikationsmittel Nummer eins dar. Ob Aufträge, Rechnungen oder Angebote: Viele Unternehmen nutzen die E?Mail mittlerweile als Transportweg für ihre wichtigste Geschäftspost. Kommen solche Nachrichten nicht an, weil das Unternehmen beispielsweise auf eine Blacklist geraten ist, drohen erhebliche wirtschaftliche und im schlimmsten Fall irreparable Imageschäden durch den entstandenen Vertrauensverlust. Das Fazit: Blacklisting ist bereits heute weit gehend obsolet, da sich die Unterscheidung "guter" und "böser" Absender durch die übermäßige Verbreitung der Botnets nicht mehr realisieren lässt. Es ist noch nicht abzusehen, ob die Umstellung auf IPv6 dieses Problem vergrößern wird. Zwar spricht einiges dafür, aber selbst, wenn dies nicht der Fall sein sollte, bleibt Blacklisting eine Filtermethode, die zunehmend unzuverlässig agiert und ein kaum mehr kalkulierbares False-Positive-Risiko aufweist.
Es lohnt sich also für Unternehmen, nach Alternativen Ausschau zu halten. Erster Kandidat ist natürlich der zweite "Klassiker" unter den Anti-Spam-Verfahren: Filter, die auf der Analyse des E?Mail-Inhalts basieren. Ihr Grundprinzip liegt darin, dass die die E?Mail nach Inhalten durchsuchen, die als Spam-typisch einzustufen sind (zum Beispiel Viagra, Diätpillen oder Online-Casinos).
Wer nach einer IPv6-sicheren Alternative sucht, sollte daher ein Verfahren wählen, das nicht auf die Erkennung der IP-Adresse angewiesen ist und gleichzeitig eine zuverlässige Spam-Erkennung ermöglicht, ohne False Positives zu riskieren. Ein Beispiel für ein solches Verfahren bietet etwa der deutsche E?Mail-Sicherheitsanbieter Eleven mit dem von ihm entwickelten Bulkcheck-Verfahren. Dieses prüft E?Mails auf die zentrale Eigenschaft jeder Spam-E?Mail: ihren Versand als Massen-E?Mail. Dabei wird von jeder E?Mail ein Fingerprint gebildet. Einer zentrale Datenbank gleicht ab, ob dieser Fingerabdruck zu einer massenhaft versandten E?Mail gehört und damit möglicherweise Spam darstellt.
Für ein solches Verfahren ist die IP-Adresse irrelevant und die Zuverlässigkeit der Spam-Erkennung daher von der Umstellung auf IPv6 unberührt. Zudem erreicht das Verfahren, indem es eine zentrale Eigenschaft von Spam in den Mittelpunkt stellt, eine sehr präzise und vor allem stabile Spam-Erkennung.
Lesen Sie mehr zum Thema
