Neuer Spamfilter für noch sauberere Postfächer

738’365 E-Mails haben unsere Mailserver letzthin empfangen. An einem einzigen Tag, wohlgemerkt. 101’990 dieser E-Mails wurden als Spam markiert und automatisch in den Spam-Ordner verschoben. Bei 166’299 Stück war der sogenannte Spam-Score sogar so hoch, dass die Spamfilter die E-Mail abgewiesen haben. Die Zahlen zeigen eindrücklich, wie gross das Spam-Problem ist und wie wichtig es ist, wirksame Antispam-Mechanismen zu betreiben.

Für die Erkennung von Spam haben wir bis vor kurzem auf SpamAssassin gesetzt, das als «Quasi-Standard» in der Spambekämpfung gilt. Doch wie es mit Platzhirschen so ist: Plötzlich war die Weiterentwicklung des Open-Source-Tools zwischenzeitlich etwas eingeschlafen und gleichzeitig kam auch Bewegung in den Markt. So ist mit Rspamd in den letzten Jahren eine weitere Open-Source-Lösung in den Fokus gerückt, die einerseits auf bewährte Mechanismen von SpamAssassin setzt, aber gleichzeitig auch neue Ansätze integriert, um den Kampf gegen Spam neu anzugehen. Seit einigen Wochen nun haben wir komplett auf Rspamd umgestellt und SpamAssassin in den verdienten Ruhestand geschickt.

Doch was macht Rspamd nun anders als sein Vorgänger? Grundsätzlich geht Rspamd wie erwähnt bereits vieles schon mal ziemlich ähnlich wie SpamAssassin an. Dazu zählen beispielsweise DKIM- und SPF-Checks, diverse Tests, etwa zur RFC-Konformität von E-Mails und die Abfrage von «Realtime Blackhole Lists» (RBL) und anderer Stop-Listen.

Bayes-Filter, Office-Makros und vieles mehr

Mit Rspamd nutzen wir neu die Bayes-Engine. Dabei handelt es sich um einen Klassifikator, der, grob gesagt, Objekte nach statistischen Punkten in Gruppen einordnet. Während SpamAssassin aufgrund von einzelnen Wörtern Klassifizierungen vornahm, lässt Rspamd Wort-Gruppen klassifizieren, was gemäss den Entwicklern sehr viel effektiver sein soll.

Im Umgang mit E-Mail-Anhängen lassen wir ausserdem anstelle des Mailservers neu Rspamd entscheiden, wie damit umgegangen wird. So kümmert sich Rspamd auch um die Virenerkennung, kann Office-Makro-Viren erkennen und lernt zudem automatisch weiter dazu. Das hilft, Bedrohungen zu erkennen (und damit entsprechend zu behandeln), die beispielsweise von Virenscanner und Blocklisten noch gar nicht als direkte Treffer erkannt werden.

Auch Antwortmails behandelt das Antispam-Tool speziell. Nehmen wir an, dass Du Deinem Bruder eine E-Mail schreibst und er Dir daraufhin eine Antwort schickt. Rspamd erkennt, dass der Bruder auf eine von Dir initiierte E-Mail antwortet, merkt sich für eine festgelegte Zeitspanne die dazugehörigen Message-IDs und akzeptiert die Antwort-E-Mails direkt.

What’s next?

Rspamd hat noch weitere Features im Rucksack, über die wir uns derzeit ausgiebig Gedanken machen. Zum Beispiel die automatische Lernfunktion, um damit die statistischen Filter mit noch mehr Daten zu versorgen. Oder ein «Fuzzy-Check», eine weitere Klassifizierungsmethode auf Basis des Shingle-Algorithmus. Damit lässt sich Text erkennen, der nur leicht modifiziert ist.

Trotz der Umstellung auf das neue Antispam-Tool: An der Art und Weise, wie wir mit Spam & Co. verfahren, hat sich nichts geändert. RBL-Listen überprüfen wir genauso, wie wir auch weiter auf Waitlisten setzen. Ausserdem hast Du weiterhin die Möglichkeit, E-Mails zur Go-Liste hinzuzufügen oder E-Mails eines bestimmten Absenders von der Spam- und Virenprüfung auszunehmen. Oder Du setzt den Absender einfach auf die Stoplist: Dann werden E-Mails dieses Absenders automatisch gelöscht – ohne, dass Du sie je zu Gesicht bekommst.

Übrigens: Wenn Du herausfinden möchtest, wie eine eingehende E-Mail klassifiziert wurde, beziehungsweise welche Kriterien dazu geführt haben, dass die E-Mail als Spam markiert wurde, findest Du im Header der Nachricht alle relevanten Informationen zur Einstufung.