Sieht so aus, als ob es bei einigen Bloggern Probleme mit Akismet gibt. Akismet ist die Anti-Spam-Software, die Matt Mullenwegs Automattic für WordPress entwickelt hat und die in der Version 2.0 als Plugin mitgeliefert wird.

Akismet soll vor allem Kommentar-Spam verhindern. Wie es das macht, kann ich im Detail nicht sagen, aber π mal Daumen funktioniert es so: Hinterläßt jemand auf meiner Website einen Kommentar (und hätte ich Akismet installiert, was nicht der Fall ist), dann würde der an die Akismet-Datenbank geschickt und dort mit den vorhandenen Datensätzen abgeglichen. Ist der Kommentator schon mal als Spammer auffällig geworden (Name, IP usw.) oder enthält der Kommentar auffällige Charakteristika (Wörter und Zeichenfolgen wie “V14gr4″ oder “Pen1s”, übermäßig viele Links usw.), wird er rausgekickt. Es gibt im Bearbeitungsmodus von WordPress eine Übersicht über die 150 Kommentare, die zuletzt gelöscht wurden, so dass man Zweifelsfälle (sogenannte falsch positive Ergebnisse) noch mal rausziehen kann.

150 reicht natürlich dicke für die meisten Blogs, aber wer viele Kommentare kriegt, wird das vielleicht knapp bemessen finden. Und jetzt kommt noch ein weiteres Problem dazu: Die Zahl der falsch positiven Ergebnisse – also Kommentare, die als Spam identifiziert werden, obwohl sie keiner sind – scheint doch nicht so niedrig zu sein wie es bisher geheißen hat (oder sie nimmt momentan deutlich zu).

Das heißt nicht automatisch (oder automattisch, um im Kontext zu bleiben), dass Akismet nichts taugt, aber es zeigt doch ein paar Probleme, mit denen dieses Tool noch behaftet ist. Da sind einmal die technischen Probleme, die sich daraus ergeben können, wenn die Kommentare eine Zusatzschleife über einen externen Server drehen (und die mit ein paar anderen Pro und Kontras hier behandelt werden). In der Startphase hatte Akismet häufiger mit der Verfügbarkeit der Datenbank-Server zu kämpfen, und das hatte wiederum zur Folge, dass sich in manchen Blogs die unveröffentlichten Kommentare stapelten. Inzwischen soll das Problem weitgehend behoben sein, aber nach allem, was ich so höre, ist es durchaus noch denkbar, etwa mit einer DDoS-Attacke die Akismet-Server auszuhebeln und so zu versuchen, Spam in großem Stil durchzudrücken. (Fraglich höchstens, ob der Aufwand die Mühe lohnt.)

Ein anderer Punkt ist aber wichtiger, nämlich dass solche Bayesianischen Filtern nicht unverwundbar sind, wenn man sie mit ihren eigenen Waffen schlägt. Simple Tricks sind anonyme Proxies oder Phantom-IPs, aber da könnte man noch sagen: Irgendwann ist das Reservoir an Ausweichmöglichkeiten erschöpft und alle in der Datenbank gelistet. Ein ernsthafteres Problem ist aber so etwas wie semantische Brunnenvergiftung, also zum Beispiel das wiederholte Posten von Dummy-Kommentaren, die keinen offensichtlichen Spam-Text und keine Links auf spamverdächtige Seiten enthalten. Solche Texte werden entweder nicht aussortiert, oder sie werden aussortiert, man könnte sie aber für ein falsch positives Ergebnis halten und falls das häufiger vorkommt, den Spamfilter wegen vermeintlicher Untauglichkeit ausschalten. Das klingt auf den ersten Blick nach einer ziemlich aufwändigen Methode, aber da die Automattic-Leute momentan alles dran setzen, Akismet zu einer Art Standard-Tool für WordPress werden zu lassen, ist das nicht ohne: Eine zentrale Datenbank ist jedenfalls immer ein attraktiver Angriffspunkt, und da könnte schon jemand auf die Idee kommen, mit einer konzertierten Aktion die Akismet-Filter aus dem Konzept zu bringen. An die Akismet-API ist ja leicht ranzukommen, man braucht nur ein Account bei WordPress.com, und seit die Plattform öffentlich gemacht wurde, sind die ersten Spammer da schon mit Kommentaren und Splogs gesichtet worden. In diesem Mailinglistenbeitrag steht dazu eine interessante Anmerkung. Und was passiert, wenn ich einen Kommentator, der mir nicht paßt, als Spammer vermerke? Landet der dann auch in der Akismet-Datenbank und kann fortan auf keinem WordPress-Blog mehr kommentieren? Uff, da hätte man ja ein schönes Zensur-Instrument.

Und dabei haben wir noch gar nicht mal über das Problem der Privatsphäre gesprochen: Wie verhält es sich denn damit, wenn private Kommentare an eine externe Datenbank geschickt werden? Werden die dort in irgend einer Form vorgehalten? Akismet gibt sich da ein bißchen geheimniskrämerisch.

Bleibt dann also nur noch Moderation? Auf privaten Blogs mit wenig Traffic geht das an. Aber Kommentare sind ja nicht nur dazu da, mit dem Autor eines Beitrags in Kontakt zu treten, sondern um die Diskussion unter den Lesern in Gang zu setzen. Sinnvoll könnte sein, nicht nur ein, sondern mindestens zwei Tools nebenher laufen zu lassen. Ansonsten fand ich bisher, dass WP-Morph einen guten Job erledigt. Und da das grade auch 2.0-tauglich gemacht worden ist, braucht man Akismet vielleicht gar nicht wirklich.