Spam-Analyse und -Filterung

Allgemein

Das RRZE führt am zentralen FAU-Mail-Relay eine Spam-Analyse aller eingehenden E-Mails auf Basis des Open-Source-Produkts SpamAssassin durch. Seit April 2016 wird ein sog. Pre-Queue-Filtering vorgenommen, d.h. jede E-Mail wird bereits während des SMTP-Dialogs mit der einliefernden Gegenstelle geprüft und im Falle, dass die Spamanalyse mindestens sieben Spam-Bewertungspunkte (s.u.) vergibt, gar nicht erst angenommen. E-Mails mit niederigerer Bewertungszahl werden mit einer entsprechenden Markierung versehen und angenommen. Ziel dieser Maßnahmen ist die Bereitstellung einer Bewertung jeder E-Mail nach zentral gepflegten Kriterien. Diese Bewertung kann dann jeder RRZE-Kunde in eigener Verantwortung einem selbst definierten E-Mail-Filter zugrunde legen. Die Bewertungskriterien lassen sich an zentraler Stelle nicht auf die Kommunikationsbeziehungen jedes einzelnen E-Mail-Empfängers zuschneiden. Die Bewertung soll als Hilfestellung für die Sortierung von E-Mails dienen und damit jedem Empfänger die Möglichkeit einräumen, durch Konfiguration seiner E-Mail-Oberfläche die Belastung durch unerwünschte E-Mails zu reduzieren. Die Spam-Bekämpfung wird also in zwei Phasen aufgeteilt, eine zentrale Analyse-Phase und eine kundenspezifische Filter-Phase, die nacheinander durchlaufen werden müssen.

Analyse-Phase mit Spam-Bewertung am Eingang des zentralen FAU-Mail-Relay

Die Spam-Bewertung nach zentralen Kriterien für alle E-Mails erfolgt am zentralen FAU-Mail-Relay während des SMTP-Dialogs mit der einliefernden Gegenstelle. Die Bewertung wird in Form von Header-Zeilen eingetragen, die allesamt mit X-Spam- beginnen. Die Überschreitung des Schwellwertes erkennt man an dem Header X-Spam-Flag: YES. Zusätzlich gibt dann die Anzahl der Sternchen im Header X-Spam-Level die Bewertungszahl wieder. Im Header X-Spam-Status wird aufgeschlüsselt, welche Kriterien auf die E-Mail zutreffen und wie stark sie in die Bewertung einfließen. Die Spam-Bewertung stellt eine Wahrscheinlichkeitsgröße dar, weshalb eine Spamerkennungsquote von 100 Prozent nicht zu erwarten ist. Es werden alle E-Mails analysiert, die aus dem Internet über den zentralen FAU-Mail-Relay an andere Mail-Server innerhalb der FAU verteilt werden, oder in lokale, vom RRZE bereit gestellte Postfächer zugestellt werden.

Beispiel

X-Spam-Flag:   YES
X-Spam-Level:  *****
X-Spam-Score:  5.345
X-Spam-Status: Yes, score=5.345 tagged_above=-999 required, tests=[BAYES_50=0.8, 
               FREEMAIL_FORGED_REPLYTO=2.095, FREEMAIL_REPLYTO=1, HTML_MESSAGE=0.001, 
               RCVD_IN_BRBL_LASTEXT=1.449] autolearn=no autolearn_force=no

Filter-Phase am Arbeitsplatz-Rechner des Kunden

Jede E-Mail-Oberfläche bietet (mehr oder weniger mächtige) Möglichkeiten, die eintreffenden E-Mails nach Kriterien zu filtern. Die Einrichtung eines Filters, der die zentrale Spam-Bewertung nutzt, liegt in der Verantwortung des Postfachinhabers. Wir raten dringend dazu, beim Filtern die als Spam bewerteten E-Mails in eigene Ordner zu legen und nicht vollautomatisch löschen zu lassen. Diese Spam-Ordner sollten mehrmals überflogen werden (am besten täglich), um fälschlicherweise als Spam bewertete E-Mails („False Positives“) zurück in den Posteingang zu verschieben.