Spam (E-Mail)

Aus Tuxfutter

Wechseln zu: Navigation, Suche

Spam, eigentlich die Bezeichnung für ein überwiegend in den USA bekanntes Dosenfleisch, ist die gängige Bezeichnung für unverlangt zugesandte Werbepost per E-Mail (Unsolicited commercial E-Mail; kurz: UCE). Allerdings bezog sich im Internet die Bezeichnung "Spam" ursprünglich auf das Überfluten von Newsgroups im Usenet mit Werbebotschaften.

Inhaltsverzeichnis

Begriffsverwendung

Im folgenden werden die Begriffe Spam und UCE dem Sprachgebrauch entsprechend gleichbedeutend verwendet. Es ist damit immer unerwünschte E-Mail-Werbung gemeint.

Unerwünschte Massenmails (Unsolicited Bulk Email) werden hier nicht behandelt.

Definition

Bei UCE handelt es sich um Werbung, die per E-Mail zugestellt ist und vom Empfänger nicht erwünscht wurde.

Charakteristikum Werbung

Der Inhalt der E-Mail muss also werbender Natur sein. Enthält der Inhalt nicht wenigstens entfernt Werbung, handelt es sich nicht um UCE.

Insbesondere sind die Massenaussendungen, die Würmer und Trojaner erzeugen, keine unerwünschte Werbe-E-Mail, sondern "nur" Unsolicited Bulk Email, kurz UBE.

Charakteristikum unerwünscht

Der Begriff der unerwünschten Werbung wurde mittlerweile von der Rechtsprechung sehr schön definiert. Dabei ist Werbung immer dann unerwünscht, wenn sie außerhalb einer bestehenden Geschäftsbeziehung versandt wird und keine Zustimmung des Empfängers vorlag oder zu mutmaßen war.

Die Einwilligung des Empfängers in künftige Werbesendungen wird praktisch häufig über nebulöse AGB zum Beispiel bei Preisausschreiben oder Foren-Registrierungen erschlichen.

Das gemutmaßte Interesse des Empfängers soll es dem Absender ermöglichen, Geschäfte anzubahnen: Es liegt im legitimen Interesse eines Unternehmers, neue Kunden gewinnen zu wollen. Allerdings setzt die Rechtsprechung strenge Maßstäbe an das gemutmaßte Interesse, um es nicht zu einem Freibrief für unlautere Versender von Werbe-E-Mails verkommen zu lassen.

Die Begründung für die Mutmaßung muss individuell, also für jeden Empfänger, schlüssig vorgetragen werden. Der Absender der Werbung ist dabei beweispflichtig. Insofern trifft ihn eine Beweislastumkehr.

Auswirkungen von UCE

Durch UCE entstehen einerseits beim Empfänger und Provider teils enorme Kosten, andererseits aber droht UCE das System E-Mail als Kommunikationsmittel zu zerstören. Zudem haben Spam-Mails mittlerweile bereits Mailserver durch Überlastung lahmgelegt.

Kosten

Kosten entstehen dabei durch vertane Arbeitszeit für das Lesen und manuelle Aussortieren von Spam. Die Beschaffung von Filtersoftware und -hardware verursacht Anschaffungs- und Wartungskosten.

Da Spamfilter in aller Regel nicht zuverlässig arbeiten, entstehen zudem Schäden in häufig nicht zu bezifferender Höhe durch fälschlich blockierte Nachrichten, sowohl beim Absender, der die Nachricht erneut versenden muss als auch beim Empfänger, der die Nachricht nicht erhält.

Auch ohne Filter können Schäden durch Nicht-Erhalten von Nachrichten entstehen - typischer Weise haben Mailboxen ein Größenlimit. Sobald dieses erreicht wurde, werden keine weiteren Nachrichten angenommen. Damit wird der Empfang von E-Mails blockiert.

Unternehmen und Internet-Provider bezahlen ihre Leitungen typischer Weise nicht nach Zeit, sondern nach übertragener Datenmenge oder mittlerem Datendurchsatz. Damit verursacht jedes Byte Spam, das über die Leitung wandert, Kosten.

Denial of Service

Spam kann durch seine Massen Mailserver zum Erliegen bringen. 2004 wurden unter anderem die Server der TU Braunschweig, der FU Berlin und der Bundesregierung (siehe Literatur) per Spam-Mail attackiert. Damit entstehen ganz massive wirtschaftliche und technische Schäden und Gefahren.

Insbesondere entsteht massiver Aufwand durch den Einsatz neuer Hard- und Software, die diesen Gefahren einen Riegel vorschieben soll.

Zerstörung von E-Mail als Kommunikationsmittel

Da heutzutage kaum mehr ungestörter E-Mail-Empfang möglich ist, wird angenommen, dass immer mehr Nutzer die Kommunikation per E-Mail meiden und wieder zu Telefon und Telefax ausweichen: Die Kommunikation ist dabei weniger störanfällig. Insbesondere besteht kein Risiko unter den Bergen von Müll übersehen zu werden. Damit wird ein eigentlich sehr komfortables Kommunikationsmittel massiv gestört.

Rechtslage

Stand der dargestellten Rechtslage ist 2004.

Rechtslage in Deutschland

Aus unerwünschter E-Mail-Werbung kann sowohl ein wettbewerbsrechtlicher als auch ein privatrechtlicher Unterlassungsanspruch des Empfängers an den Versender erwachsen. Es ist dabei unerheblich ob und wie häufig der Spammer schon spammte: Ein Unterlassungsanspruch entsteht ab der ersten E-Mail.

Wettbewerbsrecht

Nach ständiger Rechtsprechung der Instanzgerichte und mittlerweile auch des BGH (BGH, Urteil vom 11. März 2004, AZ: I ZR 81/01) zum alten Gesetz gegen den unlauteren Wettbewerb (UWG) ist eine Zusendung von unerwünschten Werbe-E-Mails nach den gleichen Grundsätzen sitten- und damit wettbewerbswidrig, die schon auf die Werbung per Telex, Telefax und Telefon angenommen wurden.

Demzufolge ist es dem Empfänger nicht zuzumuten, Werbung, in deren Empfang er nicht eingewilligt hat, tolerieren zu müssen, wenn dadurch auf Seiten des Empfängers Kosten und / oder eine sonstige Störung entstehen.

Das neue UWG (seit 2004) regelt unmissverständlich die Ansprüche, die an E-Mail-Werbung gestellt werden, damit sie wettbewerbsrechtlich einwandfrei ist. Dazu gehört insbesondere, dass der Empfänger in die Zusendung von Werbung per E-Mail vorher eingewilligt hat.

Unterlassungsansprüche aus dem UWG stehen allerdings nur Wettbewerbern des Spammers zu, auch wenn der Begriff Wettbewerber weit ausgelegt wird. Dafür wirkt ein wettbewerbsrechtlicher Unterlassungsanspruch auf den gesamten geschäftlichen Verkehr. Der Spammer darf also auch keinem Dritten mehr unerwünschte Werbung zusenden. Würde er dabei erwischt, droht ihm die Zahlung eines Ordnungsgeldes an die Staatskasse oder sogar Ordnungshaft. Tatsächlich wurden schon Ordnungsgelder gegen Spammer verhängt.

Haftungsrecht

Weniger umfassend, dafür individuell schützend und ohne Wettbewerber-Position lässt sich auch aus dem allgemeinen Haftungsrecht ein Unterlassungsanspruch gegenüber dem Spammer herleiten.

Er konstruiert sich, wie jeder Unterlassungsanspruch in diesem Bereich, aus den §§ 1004 analog und 823 Abs. 1 BGB.

Für Privatanwender wird dann auf das allgemeine Persönlichkeitsrecht, das sich aus dem Grundgesetz herleitet rekuriert, der geschäftliche Anwender sieht einen ebenfalls grundrechtlich geschützten Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb. Beides sind sonstige Rechte im Sinne des §823 Abs. 1 BGB.

Strafrecht

Vermehrt wird in letzter Zeit auch diskutiert, den Absender von unerwünschter Werbe-E-Mail strafrechtlich zu verfolgen. Einen ersten Ansatz lieferte dazu die Dissertation "Zur strafrechtlichen Bewältigung des Spamming" von Thomas Frank, die leider nicht bei Amazon, sondern nur direkt beim Kognos-Verlag erhältlich ist. Eine Zusammenfassung davon war in Computer und Recht 2/2004 S. 123ff. abgedruckt.

Allerdings ist die Rechtsprechung dazu noch uneinheitlich, insbesondere sehen die Staatsanwaltschaften derzeit noch keinen Handlungsbedarf.

Rechtslage in Europa

Im übrigen Europa ist die Rechtslage durch die Richtlinie des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation vom 12. Juli 2002, die bis Ende 2003 von den Europastaaten in nationales Recht umzusetzen war, die Rechtslage im Ergebnis vergleichbar:

Die Zusendung von E-Mail-Werbung ist nur dann erlaubt, wenn der Empfänger vorher eingewilligt hat. Die konkrete Umsetzung in das jeweilige nationale Recht ist in den jeweiligen Ländern unterschiedlich. Eine Übersicht dazu liefert die Dissertation von Björn Bahlmann "Möglichkeiten und Grenzen der rechtlichen Kontrolle unverlangt zugesandter E-Mail-Werbung. Internationale Regelungen und alternative Lösungsmöglichkeiten", die wiederum nicht bei Amazon sondern nur direkt beim Verlag erhältlich ist.

Rechtslage in Österreich

In Österreich war von 1999 bis 2003 für das Versenden von Massen- oder Werbe-E-Mail nach § 101 Telekommunikationsgesetz (TKG) 1997 die vorherige Zustimmung des Empfängers erforderlich (opt in), UCE und UBE somit verboten. Die Nachfolgeregelung, § 107 TKG 2003, erlaubt UCE an Unternehmen oder Behörden, mit Einschränkungen auch an bestehende Privatkunden, wenn diese weitere Nachrichten ablehen können (opt out). Massen- oder Werbe-E-Mail an Privatpersonen bedarf weiterhin der vorherigen Zustimmung des Empfängers (opt-in). Zuwiderhandlungen werden von der Fernmeldebehörde mit bis zu 37.000 Euro bestraft, allerdings ist nur eine Verfolgung österreichischer oder deutscher Täter erfolgversprechend. Unabhängig davon besteht die Möglichkeit einer Klage durch den Empfänger auf Unterlassung oder durch einen Mitbewerber wegen unlauteren Wettbewerbs.

Technische Voraussetzungen für Spam

Unerwünschte E-Mail-Werbung zu versenden ist technisch äußerst einfach: Man benötigt lediglich softwareseitig lediglich einen Mail Transfer Agent, als Hardware reichen ein einfacher Internetzugang und ein durchschnittlicher Rechner völlig aus:

Die Werbung muss im Prinzip dann nur einem Open Relay, also einem schlecht konfigurierten Mailserver übergeben werden. Dabei reicht es aus, diesem Rechner alle Empfänger zu benennen. Die Nachricht selbst muss nur einmal übertragen werden. Der Server kümmert sich dann um den weiteren Versand.

Allerdings sind dank Open Relay Blacklist mittlerweile die meisten Mailserver sinnvoll konfiguriert und ermöglichen diesen einfachen Versand nicht mehr. Dann kann der Spammer seine Werbung auch direkt von seinem Rechner an Mailserver versenden.

Ursache dafür ist das Simple Mail Transfer Protocol, das es jedem ermöglicht, von jedem Rechner der Welt ohne sich authentifizieren zu müssen, Nachrichten an Empfänger auf diesem Server zu versenden.

Spambekämpfung

Derzeit wird Spam hauptsächlich durch Spam-Filter bekämpft. Neuere Verfahren schlagen vor, Spam durch Korrekturen im Simple Mail Transfer Protokoll zu bekämpfen. Vereinzelt finden sich mittlerweile auch Vorschläge, Spammern das Sammeln der Empfängeradressen zu erschweren.

Filter

Für Spamfilter gibt es folgende grundlegende Verfahren:

  1. Analyse des Inhalts der Nachricht auf bestimmte Kennwörter
  2. Überprüfen, ob die Nachricht von einem bekannten Open Relay stammt
  3. Black- und Whitelisting
  4. Kolaborative Filter

Inhaltsanalyse

Die Analyse des Inhalts versucht bestimmte Schlagwörter wie "Sex" oder "Viagra" zu finden. Enthält eine Mail solche Begriffe, dann handelt es sich nach Ansicht der Filter häufig um Spam. Für Apotheker oder Urologen dürfte das kaum sinnvoll sein.

Zudem lassen sich solche Filter sehr einfach umgehen, verwendet man andere Schreibweisen oder im Fall von Viagra den Wirkstoffnamen. Der in der Literatur unten erwähnte Beitrag aus Hackin9 listet die bekannten Verfahren dazu auf.

Open Relay

Dazu werden sogenannte Open Relay Blacklists eingesetzt, also Online-Datenbanken, die eine Prüfung ermöglichen, ob der absendende Server als Open Relay bekannt ist.

Allerdings sind diese Listen in ihrer Qualität unterschiedlich - einige neigen eher zur Untertreibung, andere zur Übertreibung.

Black- und Whitelisting

Dabei werden Listen erwünschter (white) und unerwünschter (black) Absender geführt. Wer erwünscht ist, darf an den Filtern vorbei, wer unerwünscht ist, wird blockiert. Allerdings ist Blacklisting heutzutage ineffizient, da es bei Spammern üblich geworden ist, die Absenderadressen zu fälschen, wodurch Black-Lists umgangen werden.

Whitelisting kann jedoch günstig sein, um Filterfehlfunktionen abzufangen.

Kollaborative Filter

Dabei werden von großen E-Mail-Providern Signaturen von allen eingehenden E-Mails erstellt. Erhalten zahlreiche Empfänger fast zeitgleich die gleiche E-Mail, wird vermutet, dass es sich dabei um Spam handeln könnte.

Die Idee klingt technisch verlockend, jedoch krankt sie an zweierlei: Einmal gibt es erwünschte Massenmailings, die mit einer hohen Wahrscheinlichkeit einen größeren Kundenkreis eines Providers erreichen. Das könnten Newsletter großer Konzerne oder Vereine sein.

Andererseits lassen sich Signaturen beliebig einfach täuschen, indem in die Nachricht zusätzliche sinnlose Wörter angehängt werden, die für jede Nachricht unterschiedlich sind.

Fertige Anwendungen

Manche E-Mail-Provider bieten bereits umfangreiche Dienstleistungen zum Abwehr von UBE, als Beispiel die deutschen Provider GMX und Web.de. Die aktuellen Versionen der E-Mail-Clients Mozilla, Eudora, Opera und Apple Mail haben bereits eingebaute UBE-Filter.

Windows-Benutzer können außerdem den E-Mail-/Newsserver "Hamster" einsetzen. Dieser enthält eine mächtige Filtersprache auf Basis von regulären Ausdrücken. Fertige Filterregeln werden auf verschiedenen Seiten einsatzbereit zur Verfügung gestellt, so dass auch Anfänger keine Schwierigkeiten haben, UBE bereits auf dem Server zu löschen, ohne dass die E-Mails komplett geladen werden müssen.

Unter Unix-Derivaten (z. B. Linux) kann dasselbe durch hintereinander schalten von Spamassassin und procmail (Mailfilter) erreicht werden. Bei Spamassassin handelt es sich um ein Programm, welches E-Mails nach bestimmten Mustern durchsucht, die in Werbe E-Mails vorkommen bzw. fehlen. Jedes derartige Muster wird mit einer Zahl (Score) bewertet. Die Bewertungszahlen werden zusammengezählt. Überschreitet die Summe einen bestimmten Wert, wird die Mail als UBE markiert. Diese heuristische Methode kann durch den Bayes-Filter erweitert werden: dieser lernt von der neu eintreffenden UBE immer weitere "UBE-Schlagwörter" dazu, die bei der nächsten Mail mit einem neu angepassten Score in die Bewertung eingehen. Filter wie Bayes-Filter müssen aber zuerst auf einige hundert E-Mails und UBEs trainiert werden, da jeder Benutzer unterschiedliche E-Mails empfängt. Durch das Training erreicht der Filter aber auch eine höhere Wirksamkeit, die technisch noch nicht einmal voll ausgereizt ist.

Man kann auch unter UNIX mit einem selbst geschriebenen Shell- oder Perl-Script auf der Basis von White/Blacklist Filter programmieren, die den am schwersten zu fälschenden Teil der Header untersuchen, nämlich die IP-Nummern in den Received-Headern, und alles entsorgen, was von IP-Nummern in der Blacklist stammt, mit Ausnahme dessen, was in einer Whitelist von IP-Nummern, Absendern oder ähnlichem vorkommt.

Das entscheidende Risiko besteht für den User, dass ihm eine reguläre Mail durch die Lappen geht, also die falsch-positive Fälle. Für einen Privatmann, der mit Whitelists arbeitet, kann dies noch hinnehmbar sein, jedoch riskieren Firmen demgegenüber, dass wichtige Anfragen von Neukunden verlorengehen.

Prävention

Wegen der Unzulänglichkeiten der Filtersoftware werden in zunehmenden Maße Verfahren vorgestellt, die Spam schon an der Wurzel bekämpfen sollen. Ein typischer Einstieg ist dabei, Homepages, die die bevorzugte Quelle von Spammern für E-Mail-Adressen sind, entsprechend zu gestalten.

Eine der effizientesten Maßnahmen der UBE-Vermeidung für Privatleute besteht darin, die eigene E-Mailadresse nur an engere Bekannte und Freunde weiterzugeben und nicht im Web oder öffentlichen Foren, die von Tätern ausgewertet werden, zu publizieren. Wird für ein öffentliches Forum, zum Beispiel Usenet, eine E-Mailadresse benötigt, lohnt es sich, Wegwerf-E-Mailadressen mit einem internen Zähler (z.B. von Spamgourmet [1]) und einer zeitlich beschränkten Gültigkeit anzulegen.

Da die E-Mailadressen aus dem Internet von Robot-Programmen (auch Harvester genannt) automatisch aus den Newsgroups und Webseiten extrahiert werden, kann die Erwähnung einer E-Mail-Adressee auf Webseiten und im Text von Usenet-Artikeln auch so manipuliert werden, dass sie nur von Menschen, aber nicht von Maschinen verstanden wird. Beispielsweise wird statt "Paul@example.org" die Adresse "PaulXYZ@example.org (entferne XYZ)" angegeben. Das Robot-Programm erkennt die Manipulation nicht - die E-Mail-Adresse "Paul@example.org" bleibt UBE-frei.

Allerdings wird berechtigt die Ansicht vertreten, die Maßnahme bekämpfe nicht die Ursachen, sondern treffe lediglich unbeteiligte Dritte (siehe dazu die Mini-FAQ: Falsche E-Mail-Adressen): Fehlermeldungsmails belasten diejenigen, deren Adresse als Absender verwendet wurde. Das SMTP ermöglicht einfaches Fälschen der Absenderadresse, weshalb UBE häufig unter falschem Namen versandt wird. Die Bounces erzeugen zudem unnötigen Datenverkehr im Netz.

Das Verwenden verfälschter Adressen ist damit inakzeptabel, wenn auch einige Laien es als akzeptabel bezeichnen und sich berufen dazu auf die FAQ: Ungültige E-Mail-Adressen im Usenet).

Im Header von Usenet-Artikeln, d.h. in den Einstellungen des Newsreaders, verstößt diese Maßnahme gegen RfC 1036 und 2822, weshalb solche Artikel von Newsservern automatisch zurückgewiesen werden, die so eine Fälschung erkennen, und manuell von Newsgroup-Moderatoren, denen die Fälschung auffällt. Wenn hinter dem @-Zeichen gefälscht wird (der Vandalismus stiehlt dann dem Postmaster Dritter die Zeit) ist es für Newsserver leichter, die Fälschung zu erkennen, als wenn vor dem @-Zeichen gefälscht wird (der Vandalismus stiehlt dann dem Postmaster des Fälschers die Zeit). Es ist damit zu rechnen, dass sich in Zukunft als einzige RfC-konforme Ausnahme, die dann keinem Postmaster mit Fehlermeldungen die Zeit stehlen wird, das Anhängen von .invalid durchsetzen wird.

Im Usenet und auf Mailinglisten kann auch im "From"-Header eine nicht gelesene "Müll-Adresse" und "Reply-To" die eigentliche Adresse eingetragen werden. Damit kommen Antworten an der korrekten Adresse an, die Täter scannen aber normalerweise nur die From-Adressen.

Firmen, die befürchten, mit diesen Provisorien einen hilflosen oder unprofessionellen Eindruck zu erwecken, können E-Mail-Adressangaben in Webseiten auch so gestalten, dass die jeweilige E-Mail-Adresse erst durchs Anklicken eines Links von einem CGI (einem Programm) mitgeteilt bzw. zum Anklicken bereitgestellt wird (sog. dynamic HTML), was Harvester normalerweise nicht simulieren.

Einige weitere Verfahren sind in der Literatur unten genannt.

SMTP

Da die fehlende Authentifizierung im SMTP Hauptursache für den Versand von Spam ist, werden derzeit (Stand: 2004) zahlreiche Verfahren (wie z.B. DomainKeys) diskutiert, wie eine Authentifizierung in das SMTP einzubauen wäre und wie diese dann wirken könnte.

Die Verfahren, die dazu bisher entwickelt wurden, sind jedoch alle noch nicht praxistauglich, wie der Beitrag von Jo Bager "Wider die E-Mail-Massen" in der c't 15/04 eindrucksvoll dokumentiert.

Beschwerden / Rechtsweg

Das wohl effektivste Verfahren zur nachhaltigen Bekämpfung von Spam dürfte sein, sich beim Provider des Spammers zu beschweren. Wie das funktioniert, ist bei UBE erklärt.

Sollte damit die gewünschte Wirkung ausbleiben, ist der Rechtsweg günstig: Durch die entstehenden Verfahrenskosten und zu zahlenden Ordnungsgelder wird der Versand von Spam unlukrativ.

Literatur

Nachrichten


Rechtswissenschaftliche Literatur

rechtsvergleichend

  • Björn Bahlmann, Möglichkeiten und Grenzen der rechtlichen Kontrolle unverlangt zugesandter E-Mail-Werbung. Internationale Regelungen und alternative Lösungsmöglichkeiten, Verlag Dr. Kovac, ISBN 3-8300-1276-4
  • Weiler, Spamming - Wandel des europäischen Rechtsrahmens, MMR 2003/04, Rd-Nr. 223ff.
  • Wendlandt, Europäische, deutsche und amerikanische Regelungen von E-Mail-Werbung - Überlegungen zum Nutzen des CAN-SPAM Act, MMR 2004/06, Rd-Nr. 365ff.

deutsche Rechtslage

  • Thomas Frank, Zur strafrechtlichen Bewältigung des Spamming, Kognos Verlag, Berlin, 2004, ISBN 3-8325-0491-5
  • Thomas Frank, You've got (Spam-)Mail. Zur Strafbarkeit von E-Mail-Werbung in Computer und Recht,in Computer und Recht 2/2004 S. 123ff
  • Jörg Heidrich, Sven Tschoepe, Rechtsprobleme der E-Mail-Filterung, MMR 2004/02 Rd-Nr. 75ff.
  • Jörg Heidrich, Sven Tschoepe, Strafbares Filtern. Juristische Fallstricke für Antispam-Software in c't, Heise Verlag, Hannover, 2003

Technische Literatur

Siehe auch

Weblinks

Informationen

Anti-Spam-Software

Von „http://www.tuxfutter.de/wiki/Spam_%28E-Mail%29
'Persönliche Werkzeuge