Spam Erkennung

Einzelheiten zur Spam-Erkennung - Data Center

Die beiden Computer, die bereits jetzt den kompletten E-Mail-Verkehr auf Schadprogramme scannen und ggf. beseitigen (siehe hierzu die Darstellung des Virenscan-Verfahrens), eignen sich auch zur zentralen Erkennung und Kennzeichnung von sogenannten SPAM-E-Mails (Massenwerbe-E-Mails). Ein zentrales Mittel, die Ablehnung von Mails mit Absenderadresse aus nicht vorhandenen Mail-Domänen, wurde bereits genutzt.

Unglücklicherweise senden jedoch immer mehr'Spammer' Mails unter Absenderadresse, die wie echte Anschriften wirken, aber beinahe immer falsch sind. Blacklists' von externen Organisationen zur Spambekämpfung werden hier nicht verwendet. Von nun an werden alle E-Mails, die von außerhalb der Kieler Uni eingehen, vollautomatisch, d.h. ohne persönlichen Eingriff, auf ihren Spam-Verdacht überprüft.

Auf den Zentralrelais kommt die Programmiersoftware SPAMASSASSASSASSIN zum Einsatz. Dabei werden sowohl die Kopfzeilen als auch der E-Mailinhalt auf wesentliche Eigenschaften von Spam untersucht. Spamassassassassin weist dann in einer abschließenden Auswertung jeder Nachricht einen sogenannten Trefferwert zu, der ein Maß für den Spamverdacht darstellt.

Die SPAM-Erkennung in den Mailrelais zielt darauf ab, eine Nachricht so zu kennzeichnen, dass der Endanwender mit so wenig Filterregeln wie möglich (idealerweise nur eine Regel) in seinem Mailprogramm automatisiert so viele Spammails wie möglich aussortiert oder löscht. Anders als der Virusfilter, der entdeckte Virenmails "sammelt", erlaubt der Spam-Filter, dass alle Nachrichten in die Postfächer des Benutzers gelangen.

Beim Konfigurieren des Spamassassassassin-Systems steht der Verwalter vor der unangenehmen Herausforderung, einen einzigen, einheitlichen Trefferwert zu setzen, der E-Mails in SPAM oder Nicht-SPAM unterteilt. Außerdem werden zwei zusätzliche Mailheader (X-Spam-Status und X-Spam-Level) in den Mailheader eingetragen, der dem Benutzer nicht direkt vorkommt. Speziell der Kopfbereich X-Spam-Level kann verwendet werden, um einen eigenen Trefferwert zu bestimmen.

Im Falle von Emails, die den Trefferwert übersteigen, werden zusätzliche Überschriften eingefügt und vor allem der für den Benutzer einsehbare Betreff geändert. Von besonderem Interesse ist hier der X-Spam-Report, der eine Liste der Prüfungen einschließlich der Einstufung beinhaltet, die zum Trefferwert führte. Bei internen RZ-Tests wurde ermittelt, dass bei dieser Voreinstellung alle als Spam markierten Nachrichten eigentlich SPAM-Nachrichten waren.

Das Markieren einer Nachricht als Spam findet daher in weiteren Mailheadern und durch Änderung des Betreffs statt; Spamassassassassin nimmt keine Änderungen am Mailinhalt vor. Spamassassassin hinterläßt in den Kopfzeilen der eingescannten Nachrichten folgende Spuren: X-Spam-Status: Dieser Kopf beinhaltet eine der Zeichenketten'Ja' oder'Nein', den erreichten Trefferwert (dieser kann ebenfalls negativer sein) und eine kurze Beschreibung der'Finden'-Tests.

Diese Kopfzeile wird immer addiert, ungeachtet des Trefferwertes. Diese Kopfzeile beinhaltet so viele Sternchen (*), wie der ganze Teil der Treffer groß ist (d.h. Hits=22) und wird auch immer addiert, egal wie hoch der Trefferwert ist. Beispiel: Die anderen Überschriften werden nur dann beschrieben oder geändert, wenn der Trefferwert den Standardwert von 10,0 übersteigt.

SPAM Hits=** am Beginn. Beispiel: X-Spam-Checker Version: Beispiel: X-Spam-Report: Dieser Kopf beinhaltet eine Darstellung der ausgeführten Versuche und eine Auswertung der Treffer.

Emails mit einer Größe von mehr als 250 kB werden nicht eingescannt, da unerbetene Werbesendungen in der Regel viel kleiner sind.