Email-Security
Selig sind die Ahnungslosen

Email-Security

Vielleicht haben Sie sich in letzter Zeit ja darüber freuen können, dass es in Ihrem elektronischen Posteingangsfach ruhiger geworden ist; der Spam-Andrang ist zurückgegangen. Sie könnten aber auch festgestellt haben, dass Ihnen Mail fehlt, die Ihnen eigentlich zugesagt worden war, und vielleicht werden Sie auch feststellen, dass Nachrichten, die Sie selbst an Adressen verschickt haben, die Sie schon immer benutzt haben, als unzustellbar zurückgekommen ist.

False Positives

Dieses Phänomen hat in den letzten Wochen beunruhigende Ausmaße angenommen. Zwei konkrete Beispiele: AOL hatte auf einen plötzlichen Anstieg von Mail von Servern des ISPs 1&1 damit reagiert, dass einfach sämtliche Mail zurückgewiesen wurde – ohne allerdings seine eigenen Kunden davon zu unterrichten (testticker berichtete). Normalerweise wird spam-verdächtige Mail in einem speziellen Ordner abgelegt, den der Kunde selbst durchsieht, um zu entscheiden, was wirklich Spam ist und was nicht. Erst der Anruf eines Freundes, der ständig seine Nachrichten an meinen AOL-Account zurückbekam, führte dazu, dass ich die Blockadestrategie von AOL bemerkte. Der technische Support war mittelmäßig hilflos; erst als publik wurde, was da gerade geschah und sich bei dem Online-Dienst höhere Etagen einschalteten, wurde das Problem behoben. Endgültig? Kurz danach macht ein Kollege von mir die selbe Erfahrung mit meinem AOL-Account, allerdings nur vorübergehend.

Empfänger unbekannt

Diese Vorgehensweise ist allerdings nicht auf ISPs beschränkt. Im Rahmen eines europaweiten Projektes, das ich derzeit betreue, wurde von Frankreich aus eine Online-Untersuchung bei Institutionen in den verschiedensten Ländern durchgeführt. Die Rücksendung der ausgefüllten Fragebögen per Mail führte jedoch zu Problemen: Die Antwortadresse wurde von dem Server in Frankreich als ?nicht im System vorhanden?, als schlichtweg falsch bezeichnet. Auch hier half nur der Griff zum Telefon. Mein völlig konsternierter Gesprächspartner konnte das alles zunächst nicht verstehen; schließlich habe er die ganze Zeit über Mail erhalten. Allerdings nur, wenn sie kein Attachment hatte; war eine Datei angehängt, wies der Server sie nicht nur zurück, sondern generierte auch noch die oben genannte Fehlermeldung.

Einzelfälle sind diese beiden Vorkommnisse nicht. Wann immer man mit Kollegen und Freunden über Probleme mit E-Mail redet, bekommt man in der letzten Zeit ähnliche Geschichten zu hören. Nun ist es ganz sicher gerechtfertigt, drastische Maßnahmen gegen Spam und Viren zu unternehmen; sicher ist es aber nicht die richtige Lösung, das Kind mit dem Bade auszuschütten. Immer mehr Projekte in Unternehmen und Organisationen sind auf eine verlässliche internationale Kommunikation angewiesen, und E-Mail schien bei allen bekannten Problemen bisher das verlässlichste und bequemste Tool dafür zu sein. Das ändert sich jedoch, wenn nicht mehr nachzuvollziehen ist, ob man überhaupt sämtliche E-Mail erhalten hat oder was über die eigene Mail-Adresse kommuniziert wird.

Da hilft auch so etwas wie die elektronische Empfangsbestätigung nicht, die man bei den üblichen Mail-Clients anfordern kann, denn das würde ja voraussetzen, dass die Nachricht überhaupt bis zum Empfänger vorgedrungen ist. In Wahrheit wird sie aber bereits vom Mail-Server abgefangen, und der eigentliche Empfänger wird nie von ihr erfahren.

Natürlich ist das nicht das letzte Wort. In Wahrheit kennen diejenigen, die die Barrieren aufgebaut haben, natürlich auch Mittel und Wege, um sie zu umgehen. Im Fall des französischen Mail-Servers musste beispielsweise nur ein bestimmter Begriff, in eckige Klammern gesetzt, in das Betreff geschrieben werden, und schon ging die Mail durch. Nur: Der Empfänger wusste all dies nicht, bevor er nicht explizit seinen Systemverwalter gefragt hatte. Und davon, dass aufgezeichnet wurde, von welchen Servern Mail abgelehnt wurde, konnte natürlich auch keine Rede sein.

Frage nach der Lösung

Was zur Frage führt, was hier zu tun ist. Das eigentliche Problem bleibt natürlich die Authentifizierung von E-Mail, und da kann man nur mit einiger Betrübnis feststellen, dass die Implementierung von durchaus vorhandenen Technologien wie Sender ID aus Gründen nicht vorankommt, die im wesentlichen vom Kampf der beteiligten Unternehmen um Marktpositionen geprägt ist.

Was die unmittelbare Praxis anbelangt, sind die Forderungen allerdings klarer. Wenn ein Systemverwalter oder ISP Mail an einen User zurückweist, muss er diesen davon unterrichten, und die Benachrichtigung an den Absender darf nicht irreführend oder falsch sein. Am allerbesten wäre es natürlich, wenn die Verantwortlichen die Initiative ergreifen und ihr ?Kunden? darüber informieren würden, was auf ihren Mail-Servern geht und was nicht und wie man spezielle Probleme löst. Natürlich braucht man dafür Zeit, die in der Regel fehlt aber wenn erst einmal genügend Genervte lieber wieder zu Telefon und Fax greifen, werden einige Systemverwalter unfreiwillig mehr zeit haben, als ihnen lieb ist.