Neuer Spamfilter für noch sauberere Postfächer

Tom Brühwiler
Autor:
Tom Brühwiler
Kategorie:
in Neuigkeiten
Veröffentlicht am 27. November 2020

738’365 E-Mails haben unsere Mailserver letzthin empfangen. An einem einzigen Tag, wohlgemerkt. 101’990 dieser E-Mails wurden als Spam markiert und automatisch in den Spam-Ordner verschoben. Bei 166’299 Stück war der sogenannte Spam-Score sogar so hoch, dass die Spamfilter die E-Mail abgewiesen haben. Die Zahlen zeigen eindrücklich, wie gross das Spam-Problem ist und wie wichtig es ist, wirksame Antispam-Mechanismen zu betreiben.

Neuer Spamfilter für sauberere Postfächer.

Für die Erkennung von Spam haben wir bis vor kurzem auf SpamAssassin gesetzt, das als «Quasi-Standard» in der Spambekämpfung gilt. Doch wie es mit Platzhirschen so ist: Plötzlich war die Weiterentwicklung des Open-Source-Tools zwischenzeitlich etwas eingeschlafen und gleichzeitig kam auch Bewegung in den Markt. So ist mit Rspamd in den letzten Jahren eine weitere Open-Source-Lösung in den Fokus gerückt, die einerseits auf bewährte Mechanismen von SpamAssassin setzt, aber gleichzeitig auch neue Ansätze integriert, um den Kampf gegen Spam neu anzugehen. Seit einigen Wochen nun haben wir komplett auf Rspamd umgestellt und SpamAssassin in den verdienten Ruhestand geschickt.

Doch was macht Rspamd nun anders als sein Vorgänger? Grundsätzlich geht Rspamd wie erwähnt bereits vieles schon mal ziemlich ähnlich wie SpamAssassin an. Dazu zählen beispielsweise DKIM- und SPF-Checks, diverse Tests, etwa zur RFC-Konformität von E-Mails und die Abfrage von «Realtime Blackhole Lists» (RBL) und anderer Stop-Listen.

Bayes-Filter, Office-Makros und vieles mehr

Mit Rspamd nutzen wir neu die Bayes-Engine. Dabei handelt es sich um einen Klassifikator, der, grob gesagt, Objekte nach statistischen Punkten in Gruppen einordnet. Während SpamAssassin aufgrund von einzelnen Wörtern Klassifizierungen vornahm, lässt Rspamd Wort-Gruppen klassifizieren, was gemäss den Entwicklern sehr viel effektiver sein soll.

Im Umgang mit E-Mail-Anhängen lassen wir ausserdem anstelle des Mailservers neu Rspamd entscheiden, wie damit umgegangen wird. So kümmert sich Rspamd auch um die Virenerkennung, kann Office-Makro-Viren erkennen und lernt zudem automatisch weiter dazu. Das hilft, Bedrohungen zu erkennen (und damit entsprechend zu behandeln), die beispielsweise von Virenscanner und Blocklisten noch gar nicht als direkte Treffer erkannt werden.

Auch Antwortmails behandelt das Antispam-Tool speziell. Nehmen wir an, dass Du Deinem Bruder eine E-Mail schreibst und er Dir daraufhin eine Antwort schickt. Rspamd erkennt, dass der Bruder auf eine von Dir initiierte E-Mail antwortet, merkt sich für eine festgelegte Zeitspanne die dazugehörigen Message-IDs und akzeptiert die Antwort-E-Mails direkt.

What’s next?

Rspamd hat noch weitere Features im Rucksack, über die wir uns derzeit ausgiebig Gedanken machen. Zum Beispiel die automatische Lernfunktion, um damit die statistischen Filter mit noch mehr Daten zu versorgen. Oder ein «Fuzzy-Check», eine weitere Klassifizierungsmethode auf Basis des Shingle-Algorithmus. Damit lässt sich Text erkennen, der nur leicht modifiziert ist.

Trotz der Umstellung auf das neue Antispam-Tool: An der Art und Weise, wie wir mit Spam & Co. verfahren, hat sich nichts geändert. RBL-Listen überprüfen wir genauso, wie wir auch weiter auf Waitlisten setzen. Ausserdem hast Du weiterhin die Möglichkeit, E-Mails zur Go-Liste hinzuzufügen oder E-Mails eines bestimmten Absenders von der Spam- und Virenprüfung auszunehmen. Oder Du setzt den Absender einfach auf die Stoplist: Dann werden E-Mails dieses Absenders automatisch gelöscht – ohne, dass Du sie je zu Gesicht bekommst.

Übrigens: Wenn Du herausfinden möchtest, wie eine eingehende E-Mail klassifiziert wurde, beziehungsweise welche Kriterien dazu geführt haben, dass die E-Mail als Spam markiert wurde, findest Du im Header der Nachricht alle relevanten Informationen zur Einstufung.

Beteilige dich an der Diskussion

7 Kommentare

Emanuel
Emanuel 29. December 2020 um 09:12

Ich hoffe, die Lösung kommt nicht nur für Thunderbird, sondern für alle Mailclients und Webmail. Zumindest sollte der Mailempfänger eine persönliche Whitelist führen können. Zurzeit geht das nur global und kann nur von Admin bearbeitet werden, was nicht praktikabel ist. Ansonsten Glückwunsch zu jeder Neuerung.

Patrick
Patrick 12. December 2020 um 20:12

Ich hoffe die Thunderbird Spamerkennung kommt möglichst bald.
Die „Lösung“ Header-Daten einer E-Mail zur Analyse senden kanns ja nicht sein. Für euch und Endanwender nicht.

Manfred Nelson
Manfred Nelson 12. December 2020 um 15:12

Der Filter muss wohl noch viel lernen. Jetzt sehe ich ein warum plötzlich so viel Spam weitergeleitet wird

Bea
Bea 30. November 2020 um 14:11

Schliesse mich der Frage von Rolf Wilhelm an. Wie kann ich in Thunderbird, ober auch beim Cyon-Mailprogramm möglichst einfach entspammen bzw. als Spam markieren und lernt der Mailserver das?

Philipp Zeder
Philipp Zeder cyon
30. November 2020 um 17:11

Hey Bea. Wie oben erwähnt, kannst Du die Filter zurzeit noch nicht selbst trainieren.

Rolf Wilhelm
Rolf Wilhelm 28. November 2020 um 14:11

Fragen zum Lernmodus:
Wenn ich manuell (bei mir mit Thunderbird und IMAP) eine nicht als solche erkannte Email als Spam markiere oder umgekehrt eine als Spam markierte Email aus dem Spam-Folder fische, wird dadurch nicht gelernt, weil der Prozess schon vorher stattfindet?

Gibt es eine Möglichkeit, das ich als Email-User den Filter trainiere wie es früher mit den im Email-Programm integrierten Bayes-Filtern möglich war?

Philipp Zeder
Philipp Zeder cyon
30. November 2020 um 17:11

Hey Rolf, merci für die Fragen. Zurzeit kannst Du die Filter nicht selbst trainieren, wir nehmen den Wunsch aber gerne auf unsere Feature-Request-Liste. Du kannst uns gerne E-Mails zur Prüfung zukommen lassen, die aus Deiner Sicht falsch gefiltert wurden. Unsere Spezialistinnen und Spezialisten füttern dann unsere System: https://www.cyon.ch/support/a/header-daten-einer-e-mail-zur-analyse-senden