Benutzer MarcoK schrieb:
Warum setzen die wenigsten Anbieter auf Verifizierungsmethoden? SPF und was es da alles gibt.
SPF ist gut und wird von der überwiegenden Mehrheit der E-Mail-Provider bereits auf beiden Seiten eingesetzt, also sowohl zur Identifizierung der eigenen, legitimen E-Mail-Server als auch zur Prüfung von eingehender E-Mail.
Aber bei zig Millionen Website-Betreibern hat sich noch nicht herumgesprochen, dass es SPF gibt. Und dazu gehören selbst so große Brands wie Spiegel Online oder Yahoo. "google" veröffentlicht zwar für google.com einen SPF-Record, aber nicht für google.de. Damit bleibt aber für Spammer das Tor offen, E-Mail @spiegel.de, @yahoo.de oder @google.de zu faken.
Nächster Schritt könnte natürlich sein, die Regeln der Spamfilter zu verschärfen, so dass diese E-Mail von Servern ohne SPF-Eintrag von vornherein ablehnen oder zumindest als "verdächtig" einstufen, so dass bei vergleichsweise wenigen weiteren Anhaltspunkten auf Spam der Spamfilter zuschlägt. Dann wären die Site-Betreiber gezwungen, SPF-Einträge nachzurüsten. Für die allermeisten Domains könnten das sogar die Betreiber automatisch tun, indem sie die IP des jeweiligen Servers und die IPs der Provider-Mailserver eintragen.
Und was machen dann die Spammer? Registrieren mit geklauten Kreditkartendaten einfach neue Domains, ändern dort die SPF-Einträge so ab, dass sie die IPs der Spam-Bots gutheißen, und versenden ihren Müll lustig weiter.
Würde es da mal einen richtigen Standard geben, der auch funktioniert und würde jeder Betreiber dieses auch einsetzen, würde das Spam-Aufkommen auch extrem sinken.
Wie soll so ein "richtiger Standard" aussehen? Vor dem Zugriff auf das Internet erst mal alles mit seinem digitalen Ausweis signieren? Und wenn Du dann E-Mail von Okwaha Katarsi aus Nigeria kriegst, kannst Du wählen:
A) Es ist tatsächlich Okwaha Katarsi, der spammt, der aber den für seine
Verhaftung zuständigen Bullen so gut geschmiert hat, dass er sich
das eben erlauben kann...
B) Okwaha Katarsi ist ein armer Schlucker, der für 5 Euro seinen digitalen
Ausweis verkauft hat, mit dem er eh nichts anfangen kann.
C) Okwaha Katarsi wurde der digitale Ausweis gestohlen und er weiß nicht,
dass er diesen sperren lassen muss.
D) Okwaha Katarsi ist eine Erfindung, die der zuständige Registerbeamte
für ein paar Dollar eingetragen hat.
E)
F)
G)
H)
Den Spammern fallen mit Sicherheit noch mehr Tricks ein als mir. Das Problem verschiebt sich vielleicht mit einer wirklich globalen Zertifizierungsstruktur. Es wird damit aber nicht gelöst.
Kai