Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Praxis - Mit Black-Lists Spam-E-Mails effizient eliminieren

IT-Sicherheit: Spam-Filter

Praxis - Mit Black-Lists Spam-E-Mails effizient eliminieren

16. Dezember 2009, 14:03 Uhr | Bernd Reder
Fortsetzung des Artikels von Teil 1

Black-List-Monitor checkt die Schwarzen Listen

Die Einstellungen, die zum Einbinden einer Black-List in Spam Assassin notwendig sind, liefert der Black-List-Monitor in der Detailansicht.
Die Einstellungen, die zum Einbinden einer Black-List in Spam Assassin notwendig sind, liefert der Black-List-Monitor in der Detailansicht.
Mit einer Spam-Filterquote von über 99 Prozent ohne False Positives sorgt die Intranator-Appliance Pro für eine zuverlässige E-Mail Kommunikation.
Mit einer Spam-Filterquote von über 99 Prozent ohne False Positives sorgt die Intranator-Appliance Pro für eine zuverlässige E-Mail Kommunikation.

Kurz gesagt sind die Anforderungen an eine Black-List, dass sie

• möglichst viel Spam als solchen erkennt und

• keine echten E-Mails als Spam klassifiziert.

Doch wie beurteilt man als Endnutzer, ob das bei einer Black-List wirklich der Fall ist? Und wenn man das weiß, wie bindet man die Black-List in das eigene Mailsystem ein?

Einen interessanten Ansatz hat das deutsche IT-Security Unternehmen Intra2net entwickelt. Als Anbieter der »Intranator«-Appliance wollte die Firma ihren Kunden einen möglichst sicheren und gleichzeitig effektiven Spamfilter anbieten.

Im Rahmen eines Forschungsprojektes mit der Hochschule Furtwangen, bei dem neue Methoden der Spam-Filterung untersucht wurden, entstand – quasi als Nebenprodukt – der »Black-List Monitor«. Dabei handelt es sich um ein ständig aktualisiertes System, das die Effizienz diverser Black-Lists anhand mehrerer »echter« Mail-Datenströme misst.

Die Ergebnisse sind hoch interessant. So bescheinigt Intra2net dem renommierten Anbieter Spamhaus sehr gute Ergebnisse, mit einer Spam-Erkennungsrate von bis zu 97 Prozent. Andere Black-List-Betreiber sehen dagegen ganz und gar nicht gut aus.

Dass die ermittelten Werte nicht aus der Luft gegriffen sind, lässt sich mithilfe eigener Tests leicht nachvollziehen. Zwar weichen, abhängig von Menge und Art des Mail-Aufkommens, die Ergebnisse hier und dort um den einen oder anderen Prozentpunkt ab. Insgesamt ist aber belegbar, dass die vom Black-List-Monitor ermittelten Werte ziemlich genau das Ergebnis widerspiegeln, das lokal auf dem eigenen Mail-Server erreichbar ist.

Doch damit nicht genug. Der Black-List-Monitor gibt nicht nur Aufschluss über die Wirksamkeit der einzelnen Listen. Zusätzlich bietet er auch einen attraktiven Service für Mail-Verantwortliche: Zu jeder vom Monitor überwachten Black-List liefert Intra2net auch die notwendigen Konfigurations-Einstellungen, die zum Einbinden in Spam Assassin notwendig sind. Gerade für E-Mail-Verantwortliche ist das eine unschätzbare Arbeitserleichterung.

Noch einen Schritt weiter gingen die Entwickler bei Intra2net bei ihrem eigenen Produkt, dem Intranator. Aktuell ist die Appliance in der Version 5.2.1 verfügbar. Sie bietet im Vergleich zu herkömmlichen Systemen einen geradezu radikalen Ansatz zur Spam-Bekämpfung.

Während die meisten Systeme nach wie vor hauptsächlich auf bayesische Filter zur Bewertung der Mail-Inhalte setzen, ist diese Methode beim Intranator nur eines, aber nicht mehr das wichtigste Kriterium zur Ermittlung von Spam.

Anstatt, wie bei bayesischen Filtern üblich, die Häufigkeit bestimmter Schlüsselwörter und Phrasen sowie deren Relation zueinander aufwändig zu analysieren, setzt der Intranator auf ein System, das sich am besten als verhaltensbasiert beschreiben lässt.

Das Verfahren geht davon aus, dass sich die meisten Mails anhand einfacher Kriterien recht genau als Spam klassifizieren lassen. Wie zu erwarten, sind Black-Lists dabei ein wichtiges Hilfsmittel. Zum einen liefern sie die Information, ob ein Absender einer Nachricht ein bekannter Spammer ist.

Zusätzlich erlauben sie es, mithilfe einer unscharfen Hash-Überprüfung grob festzulegen, ob der Nachrichtentext eventuell eine Spam-Nachricht ist. Und letztlich dient auch der Empfänger einer Nachricht als Kriterium.

Bei der Spamabwehr stehen dem System zwei unterschiedliche Filterstufen zur Verfügung. Zunächst kommt der Standard-Modus zum Einsatz. Dieser erzielt schon recht hohe Trefferraten, ist aber darauf ausgelegt, im Zweifelsfall eher eine Spam-Nachricht zu viel in den Posteingang durch zu lassen, anstatt fälschlicher Weise erwünschte Mail in den Spam-Folder zu verschieben.

Während der Standard-Modus aktiv ist, analysiert der Intranator die empfangenen Mails hinsichtlich ihrer technischen Merkmale des Transportweges und entscheidet nach einer gewissen Zeit, ob in den leistungsstarken Modus gewechselt werden kann.

Dieser erhöht die Trefferrate nochmals deutlich. Bei einem Test, den wir mit der Intra2Net-Lösung durchführten, lag sie konstant über 99 Prozent, und das, ohne False Positives zu erzeugen.

An diese Werte wird man mit Systemen im Eigenbau nur schwerlich heran reichen, selbst wenn die Informationen aus dem Black-List-Monitor zum Einsatz kommen. Trotzdem lassen sich auch mit seiner Hilfe beachtliche Verbesserungen der eigenen Trefferrate erzielen.

Das einzige, was dem Mail-Administrator noch fehlt, ist ein Proxy-Service, der sich direkt aus dem eigenen Mail-System ansprechen lässt und die laut Black-List-Monitor jeweils optimale Black-List-Kombination zur Spamfilterung verwendet. Oder eben doch eine Intranator-Appliance.

  1. Praxis - Mit Black-Lists Spam-E-Mails effizient eliminieren
  2. Black-List-Monitor checkt die Schwarzen Listen
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
Securepoint GmbH

Securepoint GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Vodia Networks GmbH

Vodia Networks GmbH