Anti-Spam-Waffe "Sender ID": Microsoft geht in die Offensive

Diskutiere Anti-Spam-Waffe "Sender ID": Microsoft geht in die Offensive im IT-News Forum im Bereich News; Zwei Jahre sind vergangen, seit Microsoft sein Caller-ID-ähnliches System gegen unerwünschte E-Mails eingeführt hat. Nun glaubt Redmond, genug...
Eric-Cartman

Eric-Cartman

Threadstarter
Dabei seit
22.06.2005
Beiträge
8.644
Alter
40
Zwei Jahre sind vergangen, seit Microsoft sein Caller-ID-ähnliches System gegen unerwünschte E-Mails eingeführt hat. Nun glaubt Redmond, genug Argumente zu haben, um Unternehmen zum Einsatz der Technologie zu bewegen.

Von Joris Evers (Zdnet), 5. Mai 2006


Auf dem Mitte April in Chicago gehaltenen Authentication Summit, einer Konferenz über E-Mail-Authentifizierung, sprach Microsoft über den Erfolg, den das Unternehmen mit seiner Sender ID-Technologie bei seinem hauseigenen E-Mail-Service Hotmail hat. Der Software-Gigant wollte dabei den Nutzen erläutern, den das Prüfsystem für seine E-Mail-Kunden und die Benutzer, die E-Mails an diese schicken, bringt.

microsoft_craig_spiezle.jpg

Craig Spiezle, Microsoft

Microsoft will vor allem die Machbarkeit seines Ansatzes beweisen, während das Unternehmen seine Entwicklung authentifizierter E-Mail-Systeme vorantreibt, durch die die Herkunft von Nachrichten genauer geprüft wird als üblich. Dabei kommt auch die vielleicht wichtigste Waffe von Microsoft zum Einsatz: Geld. Das Unternehmen aus Redmond, Washington stellt den Anbietern von Produkten zur E-Mail-Sicherheit Geldmittel zur Verfügung, um die Prüfung der Authentizität eingehender Nachrichten zu fördern.

"Das Hauptziel ist, das Vertrauen in E-Mail wiederherzustellen", sagte Craig Spiezle, Director der Technology Care and Safety Group von Microsoft, in einem Interview. "Wir können jetzt den wahren Geschäftswert von authentifizierter E-Mail benennen... Das gehört zu den harten Daten, die bislang fehlten."

Sender ID ist eine Spezifikation zur Überprüfung der Authentizität von E-Mails, bei der die Gültigkeit des Servers, von dem die Mails kommen, überprüft wird. Diese Technologie ist einer von mehreren Ansätzen der Industrie, durch die der Flut von Spam und Phishing-Attacken begegnet werden soll, indem es für die Absender schwieriger wird, ihre Adressen zu fälschen, und indem E-Mail-Filter verbessert werden.

Bei E-Mails, die Sender ID verwenden, konnte Microsoft in Verbindung mit verbesserter Spam-Filterung die Zahl der "falschen Positiven", also fälschlicherweise als Spam klassifizierte E-Mails, bei Hotmail um bis zu 80 Prozent reduzieren, wie Spiezle sagte. Darüber hinaus zeigte Microsofts Untersuchung, dass bei "gutartigen" Absendern großer Mengen von E-Mails, die Sender ID einsetzen, die Rate der falschen Positiven fast auf Null sank. Gleichzeitig sank Spiezle zufolge die Zahl von Junk-Mails, die fälschlicherweise durchgelassen wurden, um über 85 Prozent.

"Wir finden diese Ergebnisse sehr spannend", sagte Spiezle. "Letztlich geht es darum, welche Verantwortung jeder einzelne Benutzer hat und welche neuen Ansätze es gibt. Wir glauben, dass dies von hohem geschäftlichem und technologischem Wert für das gesamte E-Mail-Ökosystem ist - eine Lösung, die effektiv nichts kostet, bei Sendern und Empfängern keine Auswirkung auf die Performance hat und echte Resultate liefert."

Im Rahmen seiner Bemühungen startete Microsoft Ende Februar ein Progamm, in dem Unternehmen des Bereichs E-Mail-Sicherheit Geld für den Einsatz von E-Mail-Authentifizierungsprotokollen wie Sender ID angeboten wird, wie Spiezle sagte. Es steht allen Anbietern zur Verfügung, die Tools für die Filterung eingehender E-Mails liefern. Ciphertrust und Ironport gaben an, die Geldmittel beantragt zu haben, doch wollte keines der beiden Unternehmen konkrete Beträge nennen.

"Das ist wie mit dem Huhn und dem Ei: je mehr Menschen eingehende Mail authentifizieren, desto höher ist der Wert der Authentifizierung ausgehender Mails, und umgekehrt", sagte Spiezle.

Bisherige Ergebnisse

Werden solche Technologien zur Authentifizierung von E-Mails allgemein eingeführt, können sie dazu beitragen, dass Benutzer prüfen können, ob eine angeblich von ihrer Bank stammende E-Mail auch wirklich von ihrer Bank abgeschickt wurde. Authentifizierung allein wird Junk- und Spoof-Mails zwar nicht stoppen, sie kann aber dafür sorgen, dass Spam-Filter effizienter arbeiten, indem sie Domänen auf der Basis der abgeschickten E-Mails bewerten können.
Allerdings haben AOL und Ebay, zwei weitere frühe Anwender von E-Mail-Authentifizierung, noch nicht viele echte Resultate damit erzielt, wie Unternehmenssprecher sagten. Bei AOL gehen große Mengen von E-Mails für seine über 20 Millionen Abonnenten ein und Ebay versendet über 1 Milliarde E-Mails jeden Monat.

"Ich denke, dass allmählich klar wird, wo die Authentifizierung effizient ist und wie sie effizient sein kann, aber sie befindet sich noch immer in einem frühen Stadium", so Hani Durzy von Ebay.

Die E-Mail-Authentifizierung wurde äußerst kontrovers diskutiert, was ihren Einsatz verzögerte. Die Beteiligung von Microsoft führte zu Bedenken in Hinblick auf das Urheberrecht und das Unternehmen wurde beschuldigt, Sender ID mit der Brechstange durchsetzen zu wollen, obwohl immer noch Alternativen diskutiert werden und Standards fehlen.

"Die Wogen haben sich geglättet, der Staub hat sich gelegt", sagte Spiezle und fügte hinzu, dass der Bereich der E-Mail-Authentifizierung heute viel klarer sei als vor einem Jahr. "Aufgrund der Kontroversen und des Fehlens harter Daten haben viele Unternehmen die Thematik gar nicht wahrgenommen. Doch jetzt wollen sie weiterkommen."

Beim Authentication Summit in Chicago, den Microsoft teilweise sponserte, versuchte die Technologie-Branche die Aufmerksamkeit der Fortune 500-Unternehmen auf das Thema E-Mail-Authentifizierung zu lenken. Große Fluggesellschaften, Finanzinstitutionen und Versicherungsgesellschaften waren nach Ansicht von Spiezle auf der Suche nach Orientierung und Beratung.

Unternehmen mit Online-Geschäften bemühen sich außerdem um eine Bekämpfung des Phishing, die vorherrschende Form von Online-Betrug, bei der Phisher versuchen, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartennummern zu stehlen. Dabei werden normalerweise gefälschte Spam-Mails und Webseiten, die wie originale Websites aussehen, kombiniert

Das Vertrauen in E-Mail sinkt

Das Vertrauen der Benutzer in E-Mail sinkt, da das Medium immer häufiger für Online-Betrug missbraucht wird. Wenn Unternehmen nicht Sender ID oder ähnliche Technologien übernehmen, könnte sich dieser Trend fortsetzen und die Nützlichkeit von E-Mail untergraben, meinen die Befürworter von E-Mail-Authentifizierung.
"Das E-Mail-Prinzip wird zunehmend geschädigt", erklärte Dave Jevans, der Vorsitzende der Anti-Phishing Working Group, zu deren Mitgliedern Banken, Regierungsbehörden und Technologie-Anbieter zählen. "Wenn es keine E-Mail-Authentifizierung gibt, dann müssen die Unternehmen einen anderen Weg als E-Mail zur Kommunikation mit ihren Kunden finden."

Ebay und seine Paypal-Abteilung für Online-Zahlungen, die jeden Monat über eine Milliarde E-Mails im Zusammenhang mit Transaktionen versenden, gehören zu den primären Zielen von Phishing-Attacken. Wenn die E-Mail-Authentifizierung hält, was sie verspricht, könnte das ein Segen für Ebay sein - aber so weit ist es noch nicht, wie Durzy meinte. Die Authentifizierung identifiziere zwar den Absender von E-Mails, liefere dem Empfänger aber kaum Informationen bezüglich der Reputation des Absenders, so Durzy weiter.

Letztendlich liege der Nutzen in den zukünftigen Anwendungen der E-Mail-Authentifizierung, stimmte Nicholas Graham von AOL zu. "E-Mail-Authentifizierung muss mit Akkreditierungs- und Reputationsservices verbunden werden, um die Qualität von E-Mails aus beliebigen Quellen vollständig einschätzen zu können", sagte er.

Microsoft setze bereits eine solche reputationsbasierte Filterung ein, sagte Spiezle. Diese Systeme kontrollieren die E-Mail-Sendegewohnheiten einer bestimmten Domäne wie etwa ZDNet.de und beziehen sie in die Entscheidung darüber ein, ob Nachrichten im Mülleimer landen.

"Bei der E-Mail-Authentifizierung fungiert Sender ID als eine Art Führerschein für die Benutzer. Wir wissen, wer Sie sind, aber wir wissen nicht, ob Sie ein guter Fahrer sind", sagte Spiezle. Die Reputation entspreche in etwa dem Punktekonto eines Fahrers in der Verkehrssünderkartei. "Wenn sich viele Leute darüber beschweren, dass Ihre Mails Spam sind, bekommen Sie eine negative Bewertung."

Authentifizierungstechnologien tragen zur Unterstützung von Reputationssystemen bei, indem sie den wahren Ursprung von E-Mails identifizieren. Früher war es eine unsichere Angelegenheit, Domänen eine Reputation zuzuordnen, weil die Domäne gefälscht sein konnte.

Mehr Substanz und weniger Wirbel

In der Branche arbeiten viele Unternehmen an Reputationstechnologien. Darunter Microsoft und Anbieter im Bereich E-Mail-Sicherheit wie CipherTrust, aber auch Meng Wong, der Entwickler der ursprünglichen Spezifikation des Sender Policy Framework (SPF), die jetzt Teil von Sender ID ist. Wong ist nun Chief Technology Officer für Sonderprojekte bei POBox.com, einem in der Weiterleitung von E-Mails tätigen Unternehmen.
Wong hat das SPF-Projekt aufgegeben, nachdem SPF mit Microsofts Caller ID for E-Mail zu Sender ID kombiniert wurde. Nun achtet er darauf, die bei der Authentifizierungsinitiative gemachten Fehler nicht zu wiederholen: "Wir versuchen, als Branche echte Resultate zu erzielen, bevor wir aller Welt sagen, wir seien so weit - also mehr Substanz und weniger Wirbel."

Bei Hotmail hat Microsoft eine deutliche Zunahme von E-Mails verzeichnet, die einen SPF-Eintrag enthalten. Sender ID verlangt von Internet Service Providern, Unternehmen und anderen Inhabern von Internetdomänen die Veröffentlichung solcher Einträge um ihre Mail-Server zu identifizieren. Das kann nach Ansicht von Experten mitunter recht schwierig sein, besonders für ein großes Unternehmen, dessen Systeme E-Mails in zahlreiche Länder verschicken oder das seinen E-Mail-Versand ausgelagert hat.

Im März letzten Jahres enthielten 19 Prozent der bei Hotmail eingehenden Mails einen gültigen SPF-Eintrag. Ende März dieses Jahres konnten bereits 31 Prozent der Nachrichten authentifiziert werden, erklärte Spiezle. Die Zahl der Fortune 500-Unternehmen, die Sender-ID-konforme E-Mails verschicken, sei von 7 Prozent im Juli letzten Jahres auf 20 Prozent Ende März angestiegen, so Spiezle weiter.

Zwar steige die Zahl der Internetdomänen, die SPF-Einträge publizieren, doch sei das Wachstum langsam, sagte Wong. "Im letzten Jahr hat sich die Entwicklung ein wenig verlangsamt. Nach der ersten Welle versucht Microsoft jetzt, den Rest der Branche anzusprechen", so Wong.

Allerdings habe die Branche bislang nur "klägliche Versuche" unternommen, das E-Mail-Problem anzugehen, indem sie konkurrierende Spezifikationen vorlegte und keine Einigung erzielte, meinte Jonathan Penn, Analyst bei Forrester Research.

"Ob die Branche je auf einen gemeinsamen Nenner kommen wird? Betrachtet man die bisherigen Entwicklungen, dann ist das zweifelhaft. Kein Wunder, dass sogar lächerliche Konzepte wie etwa, dass jeder für die Auslieferung von E-Mails zahlen soll, Beachtung finden", sagte er mit Bezug auf AOLs Vorschlag zum Einsatz von Goodmails Certifiedemail, einer Software, die von Händlern eine Gebühr verlangt, wenn diese sicherstellen wollen, dass ihre Nachrichten Spam-Filter passieren.

"Der Zeitpunkt ist gekommen"

Bevor man wirklich von Erfolgen sprechen könne, müsse die Authentifizierung erst von einer breiten Basis von Absendern und Empfängern eingesetzt werden, so Durzy von Ebay. Wenn mehr E-Mail-Provider diese Dienste einführten und zur Authentifizierung nutzten, werde es für die Phisher schwieriger, sagte er.
Die Popularität der Authentifizierung wachse in vernünftigem Maße, meinte Michael Osterman, der Chef von Osterman Research, das sich schwerpunktmäßig mit Internet-Messaging befasst. Doch bis zur massenhaften Verbreitung ist es noch ein weiter Weg. "Wenn ich schätzen soll, würde ich sagen, dass es noch drei bis vier Jahre dauert, bis die Authentifizierung sich in hohem Maße durchgesetzt hat", sagte er.

Microsoft erwartet eine sprunghafte Zunahme des Einsatzes in den Monaten nach dem Authentication Summit. Spiezle zufolge gehörten zu den über 500 Teilnehmern Vertreter von Allstate Insurance, Accenture, der American Association of Retired Persons, General Mills, Williams Sonoma und Starwood Hotels & Resorts Worldwide.

Große Handelsgruppen setzen ebenfalls auf E-Mail-Authentifizierung. So verlangt etwa die Direct Marketing Association von ihren Mitgliedern, diese Technologie einzusetzen.

Branchenexperten stimmen darin überein, dass der Zeitpunkt für die Einführung von E-Mail-Authentifizierung gekommen ist. "Wir haben die Standards festgelegt", sagte Teney Takahashi, Marktanalyst bei The Radicati Group. "Jetzt ist der Zeitpunkt einer allgemeinen Einführung gekommen."

Quelle: CNET Networks Deutschland GmbH/ZDNet.de und CNET.de
 
Thema:

Anti-Spam-Waffe "Sender ID": Microsoft geht in die Offensive

Anti-Spam-Waffe "Sender ID": Microsoft geht in die Offensive - Ähnliche Themen

Ich erhielt an mein Email-Postfach eine Microsoft-Sicherheitswarnung bezüglich einer (versuchten) Anmeldung eines mir fremden Microsoft-Kontos: Hallo, liebes Microsoft-Team Ich kenne eure Sicherheitswarnungen per E-Mail für den Fall dass sich Jemand in ein Microsoft-Konto einloggen...
Mail landet beim Empfänger im Spam obwohl alle Mailtester 10/10 anzeigen: Wir versenden Mails von einem Office365 Account mit der PHP Library Swiftmailer und diese landen immer im Spam obwohl alle Mailtester 10/10...
E-Mails werden als Junk E-Mail erkannt (SPF/SPAM Check ist aber sauber): Guten Morgen, ich habe eine neue private E-Mail Adresse bei outlook.com bzw. mit der Endung .de und nun habe ich bei dem ein oder anderen...
Microsoft Horro Stories / Wie finde ich jemanden, der mir helfen kann?: Hallo zusammen, vielleicht hat die Community Tipps um mein Problem zu lösen. Ich muss leider sagen, dass der Microsoft Support der schlechteste...
E-Mails angeblich nicht zustellbar -_-: Hallo Zusammen, altuell erhält fast jeder, der an meine private Outlook.com-Adresse sendet, eine Unzustellbarkeitsmeldung. Ich habe, wie die...
Oben