Mail Filter erklärt

Wie funktionieren Mail-Filter?

Es gibt verschiedene Sorten von Mail-Filter. Wir unterscheiden hauptsächlich zwischen Filtern, die auf dem Mail-Server laufen (von dem Sie Ihre E-Mails abrufen) und Filter, die Sie in Ihrem eigenen E-Mail-Programm installieren können.

Diese Filter analysieren die einkommenden E-Mail-Berichte auf Viren oder Anzeichen von Werbung. Hierbei werden unterschiedliche Methoden angewendet.

  • Analyse von den E-Mail-Headern (dem “Briefumschlag” der E-Mail)
  • Analyse vom Absender und Empfänger
  • Analyse vom Inhalt der E-Mails (dem eigentlichen Bericht)

Bei einfachen Filtern werden die Nachrichten auf vorher definierte Wörter geprüft. Wenn eines dieser Wörter in der Nachricht auftaucht, dann findet der Filter Anwendung. Sehr oft wird diese Art Filter verwendet, um eingehende E-Mails auf Ihrem PC in verschiedene Ordner zu verteilen.

Die neueren Filter prüfen nicht nur auf Wörter, sondern analysieren diese im Kontext der Nachricht. Hierbei findet eine Vielzahl von Regeln Anwendung. Jede dieser Regeln hat einen bestimmten Punktewert und wenn sie auf die Nachricht zutrifft, dann wird dieser Wert zur Gesamtsumme hinzugezählt. Überschreitet die Gesamtsumme einen gewissen Wert, dann wird die Nachricht als Werbung identifiziert.

Diese neueren Filter werden durch verschiedene Funktionen erweitert: z.B. können die Filter öffentliche Listen überprüfen, ob der Absender auf einer schwarzen Liste steht. Ausserdem lernen die Filter selbständig hinzu. Wenn eine Nachricht als Spam erkannt wird, dann wird diese zur Spam-Datenbank hinzugefügt. Die Einträge in der Spam-Datenbank werden dann bei späteren Analysen auch als Regeln verwendet und tragen somit dazu bei, dass die Spam-Erkennung immer besser wird.

Wie funktionieren die Mail-Filter bei Euregio.Net?

Euregio.Net setzt unterschiedliche Filter-Systeme auf den verschiedenen Mail-Servern ein. Derzeit betreibt Euregio.Net 3 Mail-Server:

Diese verschiedenen Systeme werden nun ausführlich beschrieben.

Standard E-Mail-Konten (relay.euregio.net)

Die E-Mail-Konten auf relay.euregio.net verfügen seit Frühjahr 2005 über ein angepasstes Filter-Sytem, um die Spamflut zu bewältigen. Diese Konten sind Teil der Standard-Abonnements von Euregio.Net, wie z.B. ADSL-Zugängen, Modem- und ISDN-Zugängen, sowie einfachem Webhosting.

Standard-Filter

  1. eingehende E-Mails:
    der Server empfängt eine E-Mail von einem anderen Server oder einem E-Mail-Programm
     
  2. lokale Blocklisten (LBL):
    der Server überprüft, ob der Absender in einer lokalen Blockliste, die von Euregio.net verwaltet wird, vorhanden ist. Wenn dies der Fall ist, dann wird die Nachricht verweigert.
     
     
  3. Realtime Blacklists (RBL):
    der Absender der Nachricht wird auf Eintrag in einer öffentlichen schwarzen Listen geprüft. Euregio.Net verwendet die Listen von SpamHaus (SBL, XBL) und Sorbs (DNSBL.SORBS.NET). Wenn die Nachricht in mindestens 3 Listen vorhanden ist, dann wird die Nachricht verweigert.
     
  4. Virus-Check:
    die Nachricht wird von ClamAV auf Viren überprüft. Wenn ein Virus gefunden wird, dann wird die Nachricht entweder gesäubert oder verweigert. Bei verschiedenen Viren wird der Empfänger der Nachricht benachrichtigt, dass die E-Mail nicht gespeichert wurde.
     
  5. Attachment-Check:
    die Anhänge werden auf verdächtige Anhänge kontrolliert, die Rückschlüsse auf Viren erlauben. Wenn ein solcher Anhang entdeckt wird, landet die Nachricht in der Quarantäne. Der Empfänger und Absender werden informiert, dass sich die Nachricht in Quarantäne befindet. Der Empfänger erhält überdies eine Identifikationsnummer, durch die der Support von Euregio.Net die Nachricht freischalten kann.
     
  6. Inhalt-Check:
    der Inhalt der Nachricht wird auf Hinweise von Werbung analysiert. Hierbei findet eine Vielzahl von Regeln Anwendung. Jede zutreffende Regel erhöht die Gesamtpunktezahl der Nachricht.
    • Wenn die Punktezahl weniger als 4.5 beträgt, dann wird die Nachricht als normal eingestuft.
    • Wenn die Punktezahl zwischen 4.5 und 10 beträgt, dann wird die Nachricht als Spam eingestuft. Hierbei wird “{Spam?}” am Anfang der Betrefflinie hinzugefügt, wodurch der Empfänger diese Nachrichten leichter identifizieren kann.
    • Wenn die Nachricht mehr als 10 Punkte beträgt, dann wird diese Nachricht als HighSpam gelöscht.

    Diese Filter können für jede E-Mail-Adresse ein- und ausgeschaltet werden durch einfaches Nachfragen beim Support von Euregio.Net.

  7.  

  8. Mailbox:
    wenn die Nachricht alle Kontrollen bestanden hat, dann wird die Nachricht in der Mailbox des Empfängers abgelegt. Ob eine Nachricht durch die verschiedenen Scanner gelaufen ist, kann man auch im Quelltext der Nachricht sehen.

Hier nun ein Beispiel der Mail-Header aus dem Quelltext der Nachricht:

 1    Return-Path: <[email protected]>
 2    Received: from mail.domain.com (mail.domain.com [192.168.0.2])
 3        by ns.euregio.net (8.13.4/8.13.4) with ESMTP id jBEMDg2T059190
 4        for <[email protected]>; Wed, 14 Dec 2005 23:13:43 +0100 (CET)
 5        (envelope-from [email protected])
 6    Message-Id: <[email protected]>
 7    Date: 14 Dec 2005 22:18:02 -0000
 8    From: 'User' <[email protected]>
 9    To: [email protected]
10    Reply-To: [email protected]
11    Subject: Der Betreff dieser Nachricht
12    MIME-Version: 1.0
13    X-MAILER: Eudora Express for Unix
14    X-EUREGIO-NET-MailScanner-Information: Please contact your ISP for more information
15    X-EUREGIO-NET-MailScanner: Found to be clean
16    X-EUREGIO-NET-MailScanner-SpamCheck: not spam, SpamAssassin (score=0.555,
17        required 4.5, AWL -0.19, BAYES_40 -1.10, HTML_MESSAGE 0.00,
18       HTML_TAG_EXIST_TBODY 0.11, MIME_BOUND_NEXTPART 0.00,
19       MSGID_FROM_MTA_ID 1.72)
20    X-EUREGIO-NET-MailScanner-From: [email protected]
21    X-UIDL: oE;"!">Y"!2eA"!>K3"!

Wir beschränken uns hier auf die Erklärung zu den Linien “X-EUREGIO-NET-MailScanner”. Die anderen Linien werden in einem späteren Beitrag analysiert.

  • Linie 14: die Nachricht wurde vom MailScanner kontrolliert
  • Linie 15: die Nachricht enthielt keinen Virus
  • Linie 16: die Nachricht ist kein Spam, sondern hat einen Punktewert von nur 0.555
  • Linie 17,18,19: eine Nachricht muss einen Punktewert von 4.5 haben, um als Spam eingestuft zu werden. Die weiteren Einträge zeigen, welche Regeln Anwendung gefunden haben.
  • Linie 20: Wiederholung des Absenders erlaubt es, die Nachricht lokal nochmals zu filtern/sortieren.

Tipp: Wenn Sie sehen möchten, ob ein Server in einer schwarzen Liste steht, können Sie hier einfüllen (IP-Adresse):

  

Premium E-Mail-Konten (relay.mailfilter.be)

Diese Informationen folgen in den nächsten Tagen…

Sekundärer Mailserver (ns2.euregio.net)

Diese Informationen folgen in den nächsten Tagen…