Wie arbeitet der Spam-Filter von MDaemon?

Der Spam-Filter führt eine neuartige Technik ein, mit deren Hilfe eingehende E-Mails heuristisch untersucht werden können, um dann nach einem umfassenden und differenzierten Regelwerk bewertet zu werden. Anhand der Bewertung stellt das System fest, wie sicher es ist, dass es sich bei einer E-Mail um Spam handelt. Das Ergebnis dieser Prüfung wiederum kann bestimmte Aktionen auslösen. So kann die E-Mail zum Beispiel abgewiesen oder als möglicher Spam gekennzeichnet werden. Bestimmte Adressen können in die Weißen und Schwarzen Listen aufgenommen oder von der Prüfung durch den Spam-Filter vollständig ausgenommen werden.
Ein Bericht über Einzelheiten zu der Spam-Prüfung kann in die eigentliche E-Mail eingefügt werden. Er gibt Auskunft über die Bewertung einer E-Mail und ihre Grundlage. Der Bericht kann auch als gesonderte E-Mail versandt werden, in die das System die Ursprungsnachricht als Anlage einfügt.
 
Weiter kann ein ebenfalls implementiertes Bayes’sches Lernverfahren dem Spam-Filter sogar helfen, zu lernen, Spam treffsicherer zu erkennen und damit mit der Zeit immer zuverlässiger zu werden. Der Spam-Filter in MDaemon nutzt als Programmkern eine beliebte heuristische Open-Source-Technik. Die Website für das Open-Source-Projekt ist: http://www.spamassassin.org
 

Textmuster Profiler
Der Textmuster-Profiler, der auf der Basis der so genannten "Bayes-Klassifizierung" arbeitet, "erlernt", welche E-Mails Sie persönlich als Spam betrachten und in Zukunft nicht mehr erhalten möchten. Das funktioniert so: Sobald Sie eine E-Mail in den angelegten Ordner (z.B.) Spamverdacht verschieben, wird der Lernvorgang des Profilers angestoßen: Der Profiler analysiert und speichert den Inhalt der E-Mail. Das gleiche passiert übrigens auch, wenn Sie eine fälschlicher Weise aussortierte E-Mail aus dem Spamverdacht-Ordner in einen anderen verschieben und sie somit als "erwünscht" kennzeichnen.


Je nach Häufigkeit, mit der einzelne Textmuster in unerwünschten oder erwünschten E-Mails vorkommen, wird diesen ein Wert zugeordnet. Bei neu eingehenden E-Mails greift der Profiler dann auf diese Erfahrungswerte zurück und berechnet die Wahrscheinlichkeit, mit der es sich der jeweiligen Nachricht um Spam handelt. Erreicht oder übersteigt die ermittelte Wahrscheinlichkeit einen festgelegten Wert, wird die E-Mail aussortiert.

Briefkopf-Analyzer
Dieses AntiSpam-Tool auf der Basis von "SpamAssassin" nimmt den so genannten "Header" der E-Mails unter die Lupe. Der Header einer E-Mail enthält den Absender, Empfänger und Betreff, aber auch Informationen darüber, auf welchem virtuellen Weg die E-Mail den Empfänger erreicht hat, welchen E-Mail-Client der Absender verwendet hat und an welche Adresse eventuelle Antworten zugestellt werden sollen. Einige dieser Angaben werden von Spam-Versendern oftmals mit der Absicht verfälscht, eine "normale", erwünschte E-Mail vorzutäuschen.
Der Briefkopf-Analyzer kennt diese Tricks der Spammer und überprüft jedes einzelne Element der Header-Informationen genau. Ähnlich wie beim Textmuster-Profiler werden den einzelnen analysierten Merkmalen Werte zugeordnet, je nachdem wie typisch sie für eine Spam-Mail sind. Aus diesen Werten wird wiederum ein Wahrscheinlichkeitswert errechnet.


In den Optionen zum Spam-Filter können Sie selbst festlegen, wie "empfindlich" der Briefkopf-Analyzer auf Spam-Anzeichen reagieren soll. Wird diese Einstellung auf "hohe Empfindlichkeit" gesetzt, so bedeutet das, dass schon eine geringe Wahrscheinlichkeit – also wenige typische Merkmale - zum Ausfiltern der E-Mail führt.
Wenn Sie sich den Header einer aussortierten E-Mail anzeigen lassen, können Sie selbst nachvollziehen, warum der Briefkopf-Analyzer die E-Mail als Spam eingestuft hat: Im Header selbst werden an den entsprechenden Stellen die Namen der Tests ausgegeben, die ein Spam-Merkmal ergeben haben. Die Bedeutung der einzelnen Test-Phrasen können Sie der Webseite von --> spamassassin entnehmen.

Spamserver-Blocker
Der Spamserver-Blocker ist Spezialist für eine typische Eigenart vieler Spam-Mails: Der Absender verwendet zwar eine von einem bekannten Provider stammende Absender-Adresse, gleichzeitig verrät aber die IP-Adresse (eindeutige Identifikationsnummer eines Rechners im Internet) des Mail-Servers, dass sie nicht zu diesem Provider gehört.

Blacklist
Die "Schwarze Liste" ist Ihre ganz persönliche Sperr-Liste: Hier können Sie Absender-Adressen oder ganze Domains eintragen, von denen Sie auf keinen Fall Post erhalten wollen. Der Spamschutz überprüft als bei jeder eingehenden E-Mail, ob der Absender in Ihrer Blacklist enthalten ist. Gibt es eine Übereinstimmung, so wird die entsprechende Nachricht aussortiert. Diese E-Mails können Sie entweder im Ordner Spamverdacht ablegen lassen, oder gar nicht erst in Ihre Mailbox kommen lassen. Im zweiten Fall erhält der Absender die Fehlermeldung, dass Ihre E-Mail-Adresse gar nicht existiert – und der Spam-Versender nimmt Sie (vielleicht) aus seiner Adresskartei.

Whitelist
In Ihre persönliche "Weiße Liste" können Sie E-Mail-Adressen oder ganze Domains eintragen, die von der Spam-Prüfung ausgenommen werden sollen. Dieses Modul steht logischer Weise ganz oben in der Bearbeitungsreihenfolge des Spamschutz. Konkret bedeutet das: Der Spamschutz überprüft als aller erstes bei jeder eingehenden E-Mail, ob der Absender in Ihrer Whitelist enthalten ist. Gibt es eine Übereinstimmung, so wird die entsprechende Nachricht direkt in Ihrem Posteingangsordner abgelegt. Existiert zum Absender der E-Mail kein entsprechender Whitelist-Eintrag, so durchläuft die Nachricht die weiteren AntiSpam-Module des Spamschutz.

 

 

Add Feedback