Wie funktioniert der Spam-Filter beim Bürgernetz?

Sicherlich haben sich schon einige von Euch gefragt, wie der Spam-Filter beim Bürgernetz funktioniert. Dieser Artikel soll Licht ins Dunkel bringen und über die Funktionsweise und Spam-Filtertechniken beim Bürgernetz informieren.

Im Internet kursieren täglich unendlich viele sinnlose Spam-, Viren- und Werbemails. Das Ziel der Versender ist einzig und allein, möglichst viele E-Mail Postfächer und damit potentielle Kunden/Interessenten für ihre meist dubiosen Produkte zu erreichen. Viele Spammer benutzen zum Versenden der E-Mail sogenannte Botnets, das sind über das Internet verbundene Zusammenschlüsse von mehreren tausend Rechnern, die meistens aus gekaperten Computern von arglosen Heimanwendern bestehen. Auch sehr beliebt zum Versand von Spam sind gehackte E-Mail Accounts wie zum Beispiel GMX, Web.de, Hotmail, Yahoo oder T-Online.

Zur Abwehr dieser ungebetenen elektronischen Post gibt es mehrere unterschiedliche Techniken, die in Kombination für eine relativ gute Filterleistung sorgen. Die eine allumfassende Maßnahme gegen Spam gibt es leider nicht, deswegen ist es auch gar nicht so leicht, einen guten Filter zusammenzustellen.

Greylisting

Beim Greylisting wird jede eingehende E-Mail vom Bürgernetzserver erst einmal mit einer temporären Fehlermeldung abgelehnt und erst beim zweiten Zustellversuch angenommen. Diesen Kontakt merkt sich unser Mailserver und nimmt Mails von diesen Mailservern, mit denen er bereits Kontakt hatte, beim ersten Zustellversuch an. Diese Technik beruht auf der Tatsache, dass es sich vor allem früher viele Spammer nicht leisten konnten, mehrere Zustellversuche zu unternehmen. Heute ist die Abwehr-Quote vom Greylisting zwar nicht mehr ganz so hoch, weil auch die Spammer dazu lernen, aber ein paar unerwünschte Gäste kann man damit dennoch los werden.

Die schwarzen Listen

Ähnlich wie die Verbrecher früher an den Pranger gestellt wurden, gibt es für die Spamschleudern auch einen Internet-Pranger in Form der DNS-based Blackhole Lists. Diese Listen werden meistens automatisch gepflegt und mit Informationen aus Spamtraps gefüttert, es gibt aber auch noch manuell gepflegte Exemplare. Wenn zum Beispiel die Mailserver der besonders vertrauenswürdigen »Canadian Pharmacy« wieder ihre Werbung für mysteriöse, potenzsteigernde Mittel versenden, dann kann es leicht passieren dass deren Server auf so einer schwarzen Liste landen. Wie unser Mailserver beim Bürgernetz verwenden auch viele andere Anbieter diese schwarzen Listen, um die Bösewichte abzuwehren und Mails die von gelisteten Servern stammen sofort abzulehnen. Leider kam es in der Vergangenheit hin und wieder dazu, dass auch große Anbieter, wie z.B. 1&1 oder outlook.com auf solchen schwarzen Listen gelandet sind, da über gehackte Nutzeraccounts Spam verschickt wurde. Um diesem Problem entgegen zu wirken, gibt es neben den DNSBLs auch noch DNS-based whitelists in denen vertrauenswürdige Mailserver erfasst werden.

Filterregeln

Das Herzstück unseres Spamfilters besteht aus einigen Filterregeln und der Open-Source Software Spamassassin. Dabei bekommt jede E-Mail anhand unterschiedlichster Kriterien eine Bewertung. E-Mails, die ausschließlich Großschreibung und Wörter, wie »Viagra« oder »Kredit« enthalten, bekommen eine wesentlich schlechtere Bewertung, als eine E-Mail die nur normalen Text beinhaltet und sonst keine Formfehler oder Auffälligkeiten hat, bekommt eine bessere Bewertung und kann den Filter passieren. E-Mails die von unserem Mailserver als Spam erkannt wurden, enthalten im Betreff automatisch das Präfix »[SPAM]« und werden in den Ordner »Junk« verschoben. Wenn gewünscht kann man beim Bürgernetz mittels Sieve oder über das Webmail unter https://webmail.ilo.de eigene Filterregeln definieren, die dann auf dem Server ausgeführt werden und das sortieren der E-Mails erleichtern.

Virenfilter

Natürlich gibt es nicht nur nette Menschen in der großen, weiten Welt, sonder auch ein paar dunkle Gestalten, die gerne die Kontrolle über Deinen Computer erlangen und ihn liebend gerne zum verbreiten ihrer Viren- und Spammails missbrauchen würden. Damit solche E-Mails möglichst nicht die Postfächer der Bürgernetzmitglieder erreichen, setzen wir auf den Open-Source Virenscanner clamav und amavisd-new. Mails mit verdächtigen Anhängen werden gescannt, Archive werden entpackt und gewisse Dateiendungen, wie zum Beispiel EXE-Dateien werden strikt ausgefiltert. Dadurch wird das Gefahrenpotential in den Mailboxen erheblich reduziert und unliebsame Besucher und Angreifer bereits vorher ausgesperrt. Wenn unser Server eine E-Mail zurückgehalten und in Quarantäne verwahrt hat, bekommt der ursprüngliche Empfänger natürlich einen Hinweis und kann sich dann gleich an das Support-Team wenden, falls doch einmal fälschlicherweise eine gute E-Mail ausgefiltert wurde.