Spamfilter (SpamAssassin)

<< Zum Inhaltsverzeichnis >>

Navigation:  »Keine übergeordneten Themen verfügbar«

Spamfilter (SpamAssassin)

Über SpamAssassin

SpamAssassin ist ein leistungsfähiger, modular aufgebauter E-Mail-Filter, der eine Vielzahl von Mechanismen wie Textanalysen, Bayes Filter und DNS-Anfragen und kollaborative Filterdatenbanken zur Erkennung von Spam-Mails verwendet. SpamAssassin ist ein Projekt der Apache Software Foundation (ASF) und unterliegt dessen Lizenz-Bedingungen.

SmartPOP2Exchange benutzt eine eigens von JAM Software für Windows portierte Variante des Spamfilters: SpamAssassin in a Box. Die Portierung installiert den Spamfilter als eigenständigen Windows-Dienst, um ihn für die Spamfilterung von SmartPOP2Exchange verwendbar zu machen.

Mehr Informationen zu SpamAssassin finden Sie unter https://www.spamassassin.org/.

 

Was kann SpamAssassin?

Jedes der in SpamAssassin enthaltenen Module gibt eine Punktzahl beim Untersuchen einer E-Mail zurück. Die Summe aller Punkte der Module ergeben schließlich den ”Spam-Score“. Je höher diese Punktzahl ist, desto wahrscheinlicher ist es, dass es sich bei der untersuchten E-Mail um Spam handelt. Die Module zur Bewertung stützen sich auf unterschiedliche Methoden. Die wichtigsten Methoden sind hier aufgelistet:

Tests des E-Mail-Kopfes, wie zum Beispiel Stellen von Anfragen an die Server, über welche die E-Mail angeblich weitergeleitet wurde, um herauszufinden, ob diese wirklich existieren.

Statische Tests: meist lexikalische Untersuchungen auf den E-Mail-Kopf und -Rumpf bis hin zur Untersuchung kompletter Phrasen des Inhalts.

Analyse von Zeichensätzen im Zusammenhang mit lokalisierter Benutzung.

Abfrage sogenannter RBLs (Realtime Blackhole Lists): IP-Adressen bekannter Spam-Versender werden auf diesen Servern veröffentlicht. SpamAssassin vergleicht die IP-Adressen eingehender E-Mails mit den auf den Listen veröffentlichten, bekannten Spammer-Adressen.

Benutzung von Prüfsummen-basierten, verteilten Filternetzwerken (Razor): Hashwerte von bekannten Spam-E-Mails werden auf einem zentralen Server gespeichert. Der Hashwert einer eingehenden E-Mail wird mit den Werten auf diesem Server verglichen.

Abfrage von URL-Blacklists: Untersuchung ob URLs innerhalb von E-Mails auf Internetseiten verweisen, die schon als Werbeziel von Spam-E-Mails erkannt wurden.

Automatisches ”Whitelisting“: Aufnehmen von Absender-E-Mail-Adressen auf die Whitelist, falls die Gesamtpunktzahl einen bestimmten Wert nicht erreicht hat.

Nutzung eines Bayes Filters: Ein Filter, der mit Hilfe von komplexen statistischen Algorithmen die Nachrichten bewertet.

 

Einige dieser Methoden erzeugen negative Punktwerte, wie zum Beispiel die Whitelist. Deshalb erzielen die meisten erwünschten E-Mails oftmals eine negative Gesamtpunktzahl.

Alle Methoden, auch als Regeln bezeichnet, stehen SpamAssassin in Form von Textdateien zur Verfügung. So ist es auf einfache Weise möglich, eigene Regelsammlungen in zusätzlichen Dateien hinzuzufügen. Die Regel-Dateien werden vom SpamAssassin-Dienst selbstständig aktualisiert, um jederzeit eine möglichst effektive Spamfilterung zu garantieren.

Ob eine E-Mail als Spam eingestuft wird, entscheidet letztendlich der Benutzer selbst. In den Spam-Regeln von SmartPOP2Exchange kann man unter anderem den ”required score“ angeben; der Schwellwert, ab dem eine E-Mail als Spam klassifiziert wird. Das Ergebnis einer untersuchten Nachricht ist im Kopf der E-Mail wiederzufinden.

 

 

Was ist ein Bayes Filter (und warum sollte es mich interessieren)?

Ein Bayes Filter ist ein statistischer Filter, der Spam aufgrund statistisch häufig wiederkehrender Merkmale identifiziert. D.h., ein Bayes Filter zerlegt Nachrichten in diverse einzelne Bestandteile und prüft, wie häufig welches Einzelteil in welcher Form in Spam oder in kein Spam auftaucht und legt dann eine Bewertungsskala fest, die mit jeder angebotenen und analysierten Spam-Nachricht / kein Spam-Nachricht, genauer definiert wird. Je mehr eine gegebene Nachricht dem bisher erhobenen Merkmalsprofil für Spam oder kein Spam entspricht, desto eher wird sie in die entsprechende Kategorie eingereiht.

Deshalb ist es auch unabdingbar, dass ein Bayes Filter entsprechend trainiert werden muss, um gute Dienste zu leisten. Ein statistischer Filter kann nur dann "gut" trainiert werden, wenn man ihm die Möglichkeit gibt, Erwünschtes als Erwünschtes und Unerwünschtes als Unerwünschtes kennen zu lernen. D.h., es muss dem Filter nicht nur beigebracht werden, was Spam ist, sondern auch, was kein Spam ist. Dem Filter nur Spam-Nachrichten als Trainingsmaterial anzubieten verfehlt dabei dieses Ziel, weil es verhindert, dass der Filter neben unerwünschter auch die erwünschten Eigenschaften einer E-Mail kennenlernt.

Richtig trainiert, kann ein Bayes Filter ein wertvolles Mittel zur Spam-Erkennung sein. Je kleiner die Masse an E-Mails, desto weniger Vorteile kann der Bayes Filter bieten, allein weil ihm nicht genügend Trainingsmaterial zur Verfügung steht. Wir empfehlen deshalb, den mitgelieferten und vortrainierten Bayes Filter zu verwenden, den die SpamAssassin-Version von SmartPOP2Exchange nutzt.

 

 

Was kann man tun, um die Effizienz des Filters zu erhöhen?

Schwellenwert erhöhen:

Eine einfache Möglichkeit zur Erhöhung der Filter-Rate ist die Anpassung des Spam-Schwellenwertes. Hierdurch wird strenggenommen allerdings nicht die Effektivität des Filters erhöht, stattdessen kann hierdurch erreicht werden, dass eine E-Mail bereits bei geringerer Spam-Punktzahl als Spam markiert wird. Die Funktion sollte daher mit Bedacht verwendet werden, da möglicherweise erwünschte E-Mails als Spam markiert werden könnten.

Bayes Filter trainieren

Falls SpamAssassin eine E-Mail falsch klassifiziert, können Sie den Spamfilter mit dieser E-Mail trainieren. Dazu sammeln Sie Spam- und kein Spam-E-Mails im MIME-Format in einem Ordner und lassen den Bayes Filter diese dann manuell über die Schaltflächen "Spam trainieren" bzw. "Kein Spam trainieren" lernen. Da der Bayes Filter mit eingeschalteter "autolearn" Funktion schon alle Nachrichten mit einer Punktzahl von über 120 als Spam und unter 0 als kein Spam qualifiziert, ist dies vor allem für nicht erkannten Spam wichtig. Der Bayes Filter arbeitet mit Wörtern, Phrasen und Strukturen, die in Spam-/kein Spam-E-Mails immer wieder auftreten. Daher kann er von erkanntem Spam fast genau soviel lernen, wie von nicht erkanntem Spam (bzw. kein Spam).

Regeln hinzufügen

SpamAssassin verwendet eine Reihe von Dateien mit Anti-Spam-Regeln (meist in Form von regulären Ausdrücken). Diese Dateien befinden sich in den Ordnern "share" und "etc" im Installationsordner des Spamfilters und werden bei aktivierter Spamfilterung von SmartPOP2Exchange automatisch genutzt. Die Regeln im "share" Ordner sollten nicht verändert werden, da sie beim automatischen Update der Filter-Regeln ersetzt werden. Im "etc" Ordner dagegen können eigene Regel-Dateien erstellt werden. Mehr Informationen zum Erstellen eigener Regeln finden Sie unter der folgenden Adresse: https://wiki.apache.org/spamassassin/WritingRules (englischsprachig).