Wie kann ich mich vor Spam schützen?

Spamassassin

SpamAssassin kann an jeder Stelle der Mailverarbeitungskette eingesetzt werden, d. h. es kann auf Benutzer-Ebene, zum Beispiel als Plug-in im E-Mail-Programm oder als direkter Aufruf in der procmailrc des Benutzers eingesetzt werden, genauso wie auf Mailserver-Ebene, wo es bei vielen E-Mail-Providern seinen Dienst tut, indem es in den Betrieb der Mail Transfer Agents eingebunden ist.

Das in Perl geschriebene Programm gibt jeder E-Mail nach bestimmten Regeln Punkte, die anzeigen, wie hoch SpamAssassin die Spamwahrscheinlichkeit einschätzt. Bei Überschreiten eines einstellbaren Schwellenwertes wird die E-Mail als Spam markiert und kann dann zum Beispiel auf Mailserver-Ebene direkt gelöscht, annahmeverweigert, in spezielle Spamordner oder Spamdateien abgelegt, oder einfach nur mit einem Warn-Betreff versehen werden; auch auf Benutzerebene kann als Spam markierte E-Mail mit Hilfe von Filtereinstellungen im Mailprogramm automatisch in einen Spamordner oder in eine Spamdatei („caughtspam“) abgelegt werden und der Lernfunktion des Bayesschen Filters zugeführt werden.

SpamAssassin verwendet unterschiedliche Mechanismen um zwischen erwünschter und unerwünschter Mail (ham und spam) zu unterscheiden:

  • Statische Regeln, die auf Regulären Ausdrücken basieren und in den Mails nach Sequenzen suchen, wie sie typischerweise in Spam vorkommen.
  • Abfrage von Schwarzen Listen von spamversendenden Servern, den Realtime Blackhole Lists (RBLs).
  • Abfrage von Prüfsummen-basierten Filtern wie Vipul's Razor, Pyzor und DCC.
  • Integrierter Bayesscher Filter, der aufgrund der Einteilung der bisher empfangenen Mails statistisch die Wahrscheinlichkeit berechnet, ob es sich bei neuer Mail um erwünschte oder unerwünschte Mail handelt.

Mittels des Testtextes GTUBE lässt sich eine Installation von SpamAssassin auf ihre Funktionsweise überprüfen.

QUELLE: Wikipedia®


GreyListing

Der Begriff Graue Liste bzw. Greylisting (brit.)/Graylisting (USA) bezeichnet eine Form der Spam-Bekämpfung bei E-Mails, bei dem die erste E-Mail von unbekannten Absendern temporär abgewiesen und erst nach einem zweiten Zustellversuch angenommen wird.

Wird ein SMTP-Server kontaktiert, damit dieser eine E-Mail in Empfang nimmt, so sind diesem Mailserver folgende drei Daten bekannt, bevor der Mail-Server die E-Mail annehmen muss (der "SMTP-Envelope"):

  1. IP-Adresse des absendenden Mailservers
  2. E-Mail-Adresse des E-Mail-Senders
  3. E-Mail-Adresse des E-Mail-Empfängers

Wurde eine E-Mail mit dieser Kombination von Adressen noch nie empfangen, dann wird der Zustellversuch durch den SMTP-Server abgeblockt mit einer Meldung, dass ein temporärer Fehler aufgetreten sei, der SMTP-Client die Zustellung also später noch einmal versuchen soll. Wird ein nächstes Mal versucht, eine E-Mail mit der selben Kombination von Daten zuzustellen (was ein regulärer und RFC-konform konfigurierter SMTP-Server auf jeden Fall tun sollte), so wird diese E-Mail (nach einem konfigurierbaren Zeitintervall) akzeptiert. Ob und wann ein erneuter Zustellversuch unternommen wird, hängt einzig und allein vom Versender ab. Es gibt auch Greylisting-Implementierungen, die die Regeln ein wenig lockern, indem z.B. die beteiligten Domains statt der E-Mail-Adressen eingetragen und überprüft werden.

Vorteile

Typische Software für den Massen-Versand von E-Mails (insbesondere Würmer oder Trojaner) versucht oft nicht, eine (Spam-)E-Mail ein zweites Mal an den selben SMTP-Server zuzustellen. Solche E-Mails werden durch „Greylisting“ erfolgreich gefiltert. Zurzeit (Stand August 2007) ist damit eine sehr effektive Spambekämpfung möglich, die den Spam auf bis zu ein Zehntel reduziert.

Durch die verzögerte Zustellung greifen auch Verfahren zur Spamerkennung, die auf Netzwerkprüfungen basieren, effektiver (wie z.B. RBLs, Vipul's Razor und DCC), da zwischen erstem und zweitem Zustellungsversuch die Spamwelle evtl. bereits erkannt und auf den entsprechenden Blacklisten eingetragen wurde.

Eine E-Mail kann bereits abgelehnt werden, wenn lediglich der Mail-Envelope mit Absender- und Empfängerdaten empfangen wurde und nicht erst nachdem die komplette E-Mail (mit Body und ggf. Anhängen) erhalten wurde. Auf diese Weise werden weitere Spamfilter wie z.B. Spamassassin nicht mit einer abgewiesenen Mail belastet, was erheblich Ressourcen spart.

Anders als bei heuristischen Spam-Bekämpfungs-Verfahren geht durch „Greylisting“ im Normalfall keine E-Mail verloren. Die meisten Greylisting-Implementierungen führen eine dynamische Whitelist. Nach einer erfolgreichen Mailzustellung wird die Kombination Sender, Empfänger und Mailserver in die Whitelist eingetragen. Kombinationen, die in der Whitelist vermerkt sind, umgehen das Greylisting, wodurch die E-Mail bereits beim ersten Versuch zugestellt wird. Findet zwischen 2 Personen wiederholt ein E-Mail-Versand statt, wird dieser also nicht durch das Greylisting behindert.

Nachteile

Es gibt einige (fehlerhafte) Mailserver-Programme, die bei temporären Fehlern keinen späteren Zustellversuch unternehmen, sondern die E-Mails trotz nicht erfolgter Zustellung entweder verwerfen oder als unzustellbar an den Absender zurück schicken (Bounce). Im ersteren Fall geht die Nachricht vollständig verloren. In beiden Fällen sollte auf jeden Fall der zuständige Administrator des versendenden Mailservers angehalten werden, diese grobe Fehlkonfiguration seines Systems zu beheben. Des Weiteren bieten viele Greylisting-Implementationen eine Whitelist, die allerdings eher für legitime als für fehlerhafte Absender genutzt werden sollte, beispielsweise zum Whitelisting großer Provider wie AOL oder GMX. Der durch den hohen Anteil gefälschter Absender-Adressen wieder erhöhte Spam-Anteil kann durch Verwendung von SPF negiert werden.

Ein weiterer Nachteil ist die Zeitverzögerung. Eine erwünschte E-Mail kann durch das Greylisting einige Minuten oder Stunden später eintreffen.

Einige Mailserver-Programme generieren bereits beim ersten Versuch einer durch Greylisting abgewiesenen E-Mail einen Zustellbericht an den Absender. Dieser Bericht wird oft nicht genau gelesen bzw. nicht verstanden und somit oft als Bericht über eine endgültig fehlgeschlagene Zustellung behandelt.

Wie alle Methoden der Spambekämpfung kann Greylisting durch Weiterentwicklung der Spam-Software an Effizienz verlieren. Zurzeit ist davon noch nicht viel zu bemerken, doch könnte z. B. ein zweiter Zustell-Versuch implementiert werden, um Greylisting zu umgehen. Dadurch benötigen Spam-Versender jedoch mehr Ressourcen und können weniger Spam pro Zeiteinheit ausliefern. Die zeitliche Verzögerung kann zudem dazu benutzt werden, Spam-Versender zu erkennen. Trotzdem ist es sinnvoll, auch andere Verfahren wie beispielsweise SPF oder DKIM einzusetzen.

Weiterhin ist zu beachten, dass nach Möglichkeit alle für eine Domain zuständigen Mailserver Greylisting aktiviert haben, da Spamversender bereits heute häufig direkt den – oft schlechter geschützten – MX mit der geringsten Priorität zur Einlieferung benutzen.

QUELLE: Wikipedia®


Policyd

Policyd-weight ist ein Mailfilter für den Postfix Mail Transfer Agend der von Robert Felber in Perl entwickelt wurde. Policyd-weight untersucht die Mail bei der Einlieferung anhand des Envelope Sender, des Envelope To und der HELO-Daten die während des SMTP-Handshakes übertragen werden und vergibt für verschiedene Kriterien Punkte. Dabei werden z.B. Realtime Blackhole Listen abgefragt oder die DNS-Konfiguration des Absenders überprüft. Für jeden Regelverstoß gibt es negative Punkte und ab einem bestimmten Score wird die Mail abgelehnt.

Wird die Mail akzeptiert wird sie üblicherweise noch anderen Antispammaßnahmen unterzogen. Da policyd-weight nicht mit der kompletten Mail arbeitet werden Ressourcen des Servers gespart.

QUELLE: Wikipedia®

Zurück