Die Anti-Spam ECG-Liste der RTR

Die österreichische RTR-Behörde verwaltet die sogenannte ECG-Liste. Diese Liste umfasst Adressen und Domains, die ausdrücklich keine Werbe-E-Mails empfangen möchten, und müssen von Diensteanbietern beachtet werden. Die Einträge sind nur als kryptographische Hashwerte in der Liste gespeichert, sodass die Einträge als Klartext auch Spammern nicht zugänglich sind.

Die ECG-Liste

Die Rundfunk- und Telekom Regulierungs-GmbH (RTR-GmbH) ist eine Behörde bzw. Geschäftsstelle der KommAustria, welche für gewisse Vollzugsaufgaben des Telekommunikationsgesetzes (TKG 2003) zuständig ist. Sie wird zudem in §7 (2) ECG des E-Commerce-Gesetz (ECG) 2001 mit der Führung der ECG-Liste beauftragt, in welcher sich Personen und Unternehmen eintragen lassen können, die keine E-Mails zu Werbezwecken erhalten möchten.

Eintragung

Neben einzelner E-Mail-Adressen können auch ganze Domains in die Liste eingetragen werden. Um einzelne Adressen einzutragen, sendet man einfach ein Mail an eintragen@ecg.rtr.at mit dem Betreff “Eintragen RTR-ECG Liste”. Geschieht dies von postmaster@example.com oder hostmaster@example.com an eintragen-domain@ecg.rtr.at, dann wird die gesamte Domain example.com aufgenommen.

Man bekommt daraufhin eine Mail mit allgemeinen Informationen und muss durch ein weiteres Mail die Eintragung bestätigen. Später kann der Eintrag über eine Mail an entfernen@ecg.rtr.at bzw. entfernen-domain@ecg.rtr.at wieder ausgetragen werden.

Abrufung und Überprüfung

Die RTR-GmbH muss die Liste jedem Diensteanbieter zur Verfügung stellen, damit dieser prüfen kann, ob ein Versenden eines E-Mails an einen bestimmten Empfänger zulässig ist.

Die RTR bietet zwei Möglichkeiten an, um zu überprüfen, ob eine E-Mail-Adresse in der ECG-Liste enthalten ist:

Per Mail an pruefen@ecg.rtr.at, wobei im Subject die fraglichen Adressen angegeben sind. Das Ergebnis kommt als Antwort per Mail retour.
Per Listen-Vergleich. Hierfür holt man sich zunächst die ECG-Liste als Datei namens “ecg-liste.hash” per Mail an abrufen-hash@ecg.rtr.at mit Subject “Abrufen RTR-ECG Liste”.

Diese Datei enthält alle SHA-1 Hashwerte der Eintragungen in Binärform. Mit Standard-Tools unter Linux lassen sich diese in eine lesbarere Hex-Form bringen:
```
% od -A n -tx1 -w20 ecg-liste.hash | tr -d " "
cb3ae7f00e5efc21819b0cfd40599647de55b44b
90b4a8985d1c73a80e62f71b66cec4b7955ccf95
6fa8819432a92c66a1fd331a47b3ca88613d01ab
b720ce2aed15c7ecf84c8e44d312af833c61908d
[...]
```
Die Domain sthu.org ist eingetragen und es findet sich daher der SHA-1 Hashwert von “@sthu.org” darin wieder:
```
% od -A n -tx1 -w20 ecg-liste.hash | tr -d " " | grep $(echo -n "@sthu.org" | \
       sha1sum | cut -f1 -d " ")
20859791f8600de904f806d4f231b4897f57be3c
```
Aktuell enthält die Liste 26.857 Einträge und hat demnach eine Größe von ca. 525 kB.

Für die obigen Schritte bietet die RTR auch ein Windows-Programm und ein Perl-Skript unter Downloads an.

Rechtliche Grundlagen

Das österreichische Telekommunikationsgesetz (TKG) 2003 verfolgt das Ziel “durch Förderung des Wettbewerbes im Bereich der elektronischen Kommunikation die Versorgung der Bevölkerung und der Wirtschaft mit […] Kommunikationsdienstleistungen zu gewährleisten”. In Abschnitt 12 (Kommunikationsgeheimnis, Datenschutz) regelt es Aspekte der Verarbeitung und Übermittlung von personenbezogenen Daten.

In diesem Abschnitt behandelt §107 TKG 2003 das Versenden von unerbetenen Nachrichten, wobei Absatz 2 folgendes besagt:

Die Zusendung von E-Mails¹ für Direktwerbung ist ohne Einwilligung unzulässig.
Die Zusendung von E-Mails an mehr als 50 Empfängern ohne Einwilligung is unzulässig.

Eine Ausnahme wird in Absatz 3 eingeräumt, wodurch eine vorherige Zustimmung nicht notwendig ist, wenn die folgenden Bedingungen erfüllt sind:

Die E-Mail-Adresse wurde im Zusammenhang mit einem Verkauf/Dienstleistung erhalten,
die Direktwerbug betrifft ähnliche Produkte/Dienstleistungen,
die Möglichkeit der Ablehnung besteht bei der Erhebung und jedem E-Mail, und
der Empfänger hat den Erhalt nicht von vornherein abgelehnt, etwa über die ECG-Liste gemäß §7 (2) ECG.

Unzulässig ist eine Zusendung aber jedenfalls, wenn die Identität des Absenders verschleiert oder verheimlicht wird, siehe Absatz 5.

Bei einem unzulässigen E-Mail ist eine Anzeige beim Fernmeldebüro möglich. Die RTR hat hierfür weiterführende Informationen und ein Formular.

Praktischer Nutzen

Abschnitt 4.3 des Spam Infoblatts der RTR erörtert die Frage, ob man sich in die ECG-Liste eintragen soll. Selbstredend verhindert eine Eintragung in die ECG-Liste nicht das gewöhnliche Spam-Aufkommen im E-Mail-Posteingang, da eine Rechtsverfolgung üblicherweise praktisch nicht durchführbar ist.

Wenn Spam vom Inland aus gesendet wird, dann ist der Versand häufig bereits ohne Eintragung in die ECG-Liste rechtswidrig. Die Eintragung hat erst dann rechtlich Bedeutung, wenn aufgrund der übrigen Bestimmung eine E-Mail-Werbung rechtskonform gewesen wäre. Letztendlich handelt es sich also um eine Stärkung der Rechtsposition.

Schaden kann eine Eintragung meines Erachtens allerdings auch nicht, da die Einträge lediglich in verschlüsselter Form als SHA-1 Hashwerte zugänglich gemacht werden. Das heißt, man muss eine E-Mail-Adresse bereits kennen, um zu prüfen, ob diese in der ECG-Liste enthalten ist.² Für die Eintragung einer ganzen Domain ist diese Abwägung zudem hinfällig, da diese ohnehin öffentlich bekannt sind.

Update 2020-05-03: Es gibt jetzt auch eine Web API mit JSON Strings. Siehe auch Peter Meerwalds Blog hier und hier.

Das TKG spricht allgemein von “elektronischer Post”. Nach §92 (3) Nr. 10 TKG ist damit “jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird” gemeint. Also neben E-Mail (siehe Nr. 11) auch SMS oder z.B. Social Media Posts. ↩
Allerdings ist der Existenztest via SHA-1 gegen eine Liste mit Hashwerten effizienter als der Test per Mail-Versand via SMTP. Letzterer wird mit Greylisting noch weiter verteuert. ↩