Jeder hat wohl schon mit dem Problem zu tun gehabt:  Spam, oft auch UCE/UBE genannt. Das ist E-Mail, die unverlangt zugesendet wird und in den meisten Fällen nur aus Werbung besteht. In einigen Fällen (z.B.  Phishing) kann es sich jedoch sogar um Betrugsversuche handeln. Bislang wurde versucht, dem Problem auf die folgenden Weisen Herr zu werden:

•  DNS-based Blackhole Lists (DNSBL), d.h. Blocken bekannter Rechner oder ganzer Subnetze, z.B. von Dial-In-IP-Bereichen großer Provider.
• Content- oder Header-basierte Filterung nach Schlüsselworten
• Blockung über die Identifikation von bekannten Spam-Mails

Diese Ansätze verursachen jedoch Fehler erster und zweiter Ordnung, d.h. teilweise wird Spam durchgelassen, manchmal sogar Ham irrtümlich ausgefiltert. Zur Zeit werden verschiedene Ansätze verfolgt, die zum Ziel haben, den Urheber oder zumindest die Absender-Domain einer Nachricht zu identifizieren:

•  Sender Policy Framework (früher: Sender Permitted From)
•  DomainKeys oder DKIM
•  Microsofts SenderID

Technisch basieren sie entweder darauf, im DNS Informationen über die erlaubten Mail-Relais abzulegen, oder auf hinterlegten Schlüsseln, mit denen valide E-Mails signiert werden. Es ist extrem fraglich, inwieweit diese neuen Ansätze wirklich verfangen. In letzter Zeit ist im Hase-und-Igel-Spiel nämlich eine neue Tendenz zu erkennen, die nur folgerichtig aus der Sicht der Spammer ist: Früher wurde Spam direkt von Servern der Spammer aus versendet. Diese landeten sehr bald auf Blacklists, wurden also schnell unbrauchbar. In der nächsten Phase wurden mit Trojanischen Pferden PCs zu Zombies gemacht, um den Spam direkt von dort aus zu versenden. Da dies heute zunehmend an DNSBL scheitert, verlegen sich die Spammer nun darauf, einfach die E-Mails von den Zombies über die Mail-Relais der ISPs zu versenden. In den USA soll der Anteil der Spam-Mails, die auf diese Art versendet werden, bereits bei 90% liegen, in Deutschland ist der Anteil zwar noch geringer (15%), aber man muss bedenken, dass bis Ende 2004 solche Methoden noch überhaupt nicht beobachtet wurden. Die Rationale hinter diesem Ansatz ist, dass die ISPs bei tausenden betroffener Rechner in Bot-Netzen keine Chance haben, diesem Treiben Einhalt zu gebieten, selbst wenn man durch entsprechende Filter erkennen kann, dass ein PC übernommen wurde. Genau hier zeigt sich die Schwäche der neuen Ansätze: Was hilft es, zu wissen, dass eine E-Mail tatsächlich von einem Benutzer der Domain t-online.de abgesendet wurde? Der Spam wurde versendet, die Folgen sind dem Spammer egal und eine kurzfristige Reaktion ist unwahrscheinlich. Wenn man also in Zukunft nicht noch zusätzlich Whitelists benutzen will (was gleichzeitig bedeuten würde, dass man keine E-Mails mehr von bislang unbekannten Personen empfangen kann), dann hilft die Identifikation nicht wirklich. Dabei ist es letztlich auch unerheblich, ob man mit feinerer Granularität (nämlich Benutzer anstelle von Domains) identifizieren kann. Diese Ansätze haben lediglich zur Folge, dass die Spammer neue Wege finden müssen. Die Verwendung von Schadprogrammen wie Trojanischen Pferden usw. zur Kontrolle von Bot-Netzen würde nicht mehr nur günstiger als die Verwendung eigener Server, sondern absolut notwendig für das Funktionieren des Geschäftsmodells "Spam". Wir werden also aller Voraussicht nach noch weit aggressivere Schädlinge beobachten können als bisher. Es gibt noch einen weiteren, aussichtsreichen Ansatz zum Filtern von Spam:  Greylisting. Hierbei wird einfach die "Faulheit" der Spammer ausgenutzt: Ihre Ressourcen reichen normalerweise nicht aus, um für jede E-Mail einen zweiten Zustellversuch zu unternehmen. Solange nicht große  Bot-Netze von Spammern dazu eingesetzt werden, E-Mails zu versenden, ist es kaum möglich, in relevantem Umfang diesen Schutz zu umgehen.