Menü

Anti-Spam-Toolkit der OECD ist noch in Arbeit

vorlesen Drucken Kommentare lesen 37 Beiträge

Der Anti-Spam-Toolkit der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) war Hauptthema bei deren zweiten Anti-Spam-Workshop , der am heutigen Donnerstag in Busan in Korea zu Ende ging. Noch fehlt allerdings selbst der Entwurf für das Toolkit, an dem eine eigens von der OECD eingereichte Anti-Spam-Task-Force arbeitet. "Dieser Kuchen muss erst noch gebacken werden", berichtete James Seng, der die Infocomm Development Authority of Singapore in Busan vertrat, gegenüber heise online.

Das Toolkit sei weniger als technisches Instrumentarium gedacht, meinte Seng: "Er wird im Wesentlichen Informationen und praktische Anleitungen für Regierung und Regulierer enthalten, die gegen Spam vorgehen wollen, angefangen von gesetzgeberischen Maßnahmen über Verbraucheraufklärung bis zu Selbstregulierungsmaßnahmen der Industrie", fasste Seng zusammen. Er stellte in Busan ein ähnliches Konzept der Infocomm Development Authority of Singapore vor. Weitere nationale Strategien präsentierten unter anderem Australien und die USA.

Der Vertreter der Federal Trade Commission (FTC) rückte dabei das Thema Authentifizierung der Absender, das derzeit auch innerhalb der Internet Engineering Task Force debattiert wird, in den Mittelpunkt. Die FTC plant zu diesem Thema einen eigenen Workshop und beschäftigt sich daher derzeit mit den verschiedenen technischen Vorschlägen wie Sender ID. Microsofts Vorschlag Sender ID war innerhalb der IETF in den letzten Wochen mehr und mehr unter Beschuss geraten, da der Konzern ein Patent angemeldet hat und damit Anwender zur -- wenn auch kostenlosen -- Lizenzierung verpflichten will. In Busan konnte Microsoft Sender ID ebenfalls präsentieren, das Thema "Geistiges Eigentum" wurde laut Seng in diesem Zusammenhang aber nicht diskutiert.

Der FTC-Vertreter stellte allerdings als weitere Möglichkeit die über Schlüssel abgesicherte Authentifizierung des DomainKeys-Konzept vor, das ursprünglich von Yahoo ins Spiel gebracht wurde. DomainKeys nutzt asymmetrische Verschlüsselung: Der Mailserver, der die Nachricht losschickt, versieht deren Header mit einer digitalen Signatur. Der Server auf Empfängerseite überprüft die Signatur mit dem öffentlichen Schlüssel, den er über das DNS für die Domain der in der FROM-Zeile eingetragenen Absenderadresse ermittelt. Mails, die diesen Test nicht bestehen, werden als Spam behandelt.

Angesichts der anhaltenden Diskussionen und Streitereien um unterschiedliche Techniken wird es nach Einschätzung vieler Beobachter statt eines einheitlichen Authentifizierungsstandards am Ende diverse Lösungen geben. Diese Auffassung vertrat in Busan auch die Luxemburger Firma Allaboutit, die wie MessageLabs und Brightmail/Symantec -- Dauergäste bei der Welle von Anti-Spam-Konferenzen in diesem Jahr -- ihre eigenen Lösungen präsentierte. Bei der FTC stellt man allerdings durchaus auch schon die Fragen, welche Probleme die Provider haben werden, die Authentifizierungsstandards -- vor allem die von großen Betreibern eingeführten -- dann nicht umsetzen werden.

Den Durchbruch gegen Spam darf man wohl auch nach dem Workshop in Busan noch nicht erwarten. Böse Stimmen behaupten nach wie vor, Spam müsse erst noch schlimmer werden, bevor mit den Gegenmaßnahmen wirklich ernst gemacht wird. In Australien habe sich etwa die verstärkte Präsenz des Problems in der Öffentlichkeit kaum auf das Verhalten von betroffenen Unternehmen und Nutzern ausgewirkt. Auf deutlich stärkere Anstrengungen bei der Durchsetzung von Gesetzen und Verfolgung von Spammern hofft dagegen der Anbieter SpamMatters, der dafür Tools für die Verfolger zur Verfügung stellen will. In Deutschland ist die Debatte um ein schärferes Gesetz noch nicht abgeschlossen. Ende September will nach langer Diskussion die Anti-Spam-Task Force des Internet-Verbands eco ihr Grundsatzpapier vorstellen. (Monika Ermert) / (jk)