Insight
Energie Management
Monitoring Tools
Anti Spyware
PC Sheriff
ScriptLogic - Quest
WinInstall
MailStore
Lumension Security
Daten-Verschlüsselung
Deep Freeze
Anti Spam



HiCrypt™ - SVC Award „Cloud Security Product of the year"






So arbeitet HiCrypt!





So richten Sie HiCrypt ein!












 
Printversion
 NoSpamProxy


 Anti Spam: Gute Nachrichten für Ihren Mailserver.

 

NoSpamProxy tritt gegen die drei Hauptprobleme von Spam an:

 
• betrügerische Angebote oder verlockende Websites mit Schädlingen
• verlorene Arbeitszeit durch manuelles Kontrollieren vorsortierter Spam Mails
• verlorene Kommunikation durch unbedachtes Löschen oder unbeaufsichtigte Filter-Systeme


Nur positive E-Mails erreichen Ihren Mailserver und Ihr Postfach!
NoSpamProxy scannt Emails schon während des SMTP-Empfangs und klassifiziert die Email anhand von unterschiedlichen Filtern. Wird eine Email als Spam klassifiziert, so wird diese Email nicht vom System angenommen. Wird die Email als vertrauenswürdig eingestuft, darf diese passieren.
Bekannte Kommunikationspartner werden nicht abgewiesen
Auch ausgehende Emails werden von NoSpamProxy gescannt. Die Software vergibt bei ausgehenden Emails Vertrauenspunkte an den Empfänger der Email. Die Vertrauenspunkte-Datenbank wird dann bei eingehenden Emails genutzt, um bei einer bestehenden Kommunikationsbeziehung die Email passieren zu lassen, auch wenn andere Filter diese Email als nicht vertrauenswürdig einstufen (z.B. Sender steht auf einer Blacklist).
Absender erfahren, wenn ihre Mail als Spam klassifiziert wird
Sollte dennoch eine vertrauenswürdige Email nicht angenommen werden, so wird der Sender der Email über die verhinderte Zustellung durch seinen Mailserver informiert!

Microsoft®-like und auf die konkrete Situation anpassbar
NoSpamProxy ist als Windows Dienst konzipiert und lässt sich mit Windows Server 2003 und 2008 betreiben. Die Verwaltung erfolgt über die für Administratoren vertraute Microsoft Management Console (MMC) vom Server oder PC aus. NoSpamProxy wurde mit dem Microsoft-Siegel „Works with Windows 2008“ ausgezeichnet.
NoSpamProxy kommt mit einem optimierten Regelwerk für die Spam und Virus Abwehr, und ist damit sofort einsatzbereit. Über die Konfigurationsmöglichkeiten und das Regelwerk kann er auf Ihre konkreten Bedürfnisse detailliert eingestellt werden.

  




 NoSpamProxy - eine Idee wird Realität

Frank Carius ist einer der besten Kenner von Microsoft Exchange Server in Deutschland und Betreiber der erfolgreichen Website www.msexchangefaq.de. Er ist Autor des Buches „Microsoft Exchange Server 2003“ und wurde aufgrund seiner Verdienste in den Microsoft Support Groups als MS Exchange MVP geehrt.
Henning Krause ist anerkannter Spezialist für Softwareentwicklung mit Microsoft Exchange Server und wurde aufgrund seiner Verdienste in den Microsoft Support Groups als MS Exchange MVP geehrt.

Und was sagt Frank Carius?  NoSpamProxy -  eine Idee wird Realität

 

Vielleicht fragen Sie sich, wie ich als durchaus im Internet aktiver Autor mein Postfach möglichst "Spamfrei" halte ohne wichtige Nachrichten zu verpassen. Hier meine Antwort:




 Spam ist unerwünscht!

Wer meine Aktivitäten im Bereich Spam schon seit 2001 betrachtet, wird immer wieder auf den Namen "NoSpamProxy" stossen und sich vielleicht fragen, was es damit auf sich hat. Sie können sich sicher vorstellen, dass meine Mailadresse ziemlich beschossen wird. im Schnitt kommen 120-200 Spam Mails pro Tag, was es nicht gerade einfach macht, die 30-40 erwünschten Nachrichten zu verarbeiten. Also musste etwas  passieren und so wurde die Idee von NoSpamProxy geboren. Alle von mir damals analysierten Produkte hatten das gleiche Problem: False Positive, d.h. die Behandlung von irrtümlich blockierten erwünschten Nachrichten.

 

Ein paar Fakten !

 

Spam ist immer unerwünscht !

 

Spam kostet Geld, Bandbreite, Arbeitszeit und bedeutet wirtschaftlichen Schaden. Das sehen die Versender natürlich anders und eine Definition für "Spam" gibt es auch nicht. So gibt es offensichtlichen Spam, wie z.B. Phishing-Mails, Werbung für Aktien oder andere unseriöse Angebote. Aber auch der ein oder andere Newsletter von Firmen wird nicht von allen Empfängern gerne bekommen.

 

Niemand will von Hand sortieren !

 

Daher muss eine Software eingehende Nachrichten anhand von Wortlisten, statistische Analysen, Sperrlisten, Prüfsummen und anderen Merkmale als Filterkriterium die Nachrichten klassifizieren.

 

Jede automatische Entscheidung kann irren!

 

Das kann dazu führen, dass Spam irrtümlich zugestellt wird.. Das ist zwar ärgerlich aber bis zu einem gewissen Masse tolerierbar.Schlimmer ist, wenn erwünschte Mails irrtümlich als Spam behandelt werden (False Positive). Dies ist ein ernstes Problem, wenn dies unbemerkt bleibt. Leider sind diese beiden Fehler sehr eng miteinander verknüpft, denn je mehr Spam erkannt werden soll, desto höher ist das Risiko für die Falscherkennung (False Positive).

 

Reduzierung der Risikos von unerkannten False Positives durch Benachrichtigung des Absenders.

 

Nur dann kann ich sehr restriktive Filter konfigurieren. Das kann auf mehrere Arten passieren:

- Information an den EmpfängerEinige Produkte senden einmal am Tag eine Zusammenfassung der geblockten Mails an den Empfänger zur "Kontrolle" oder leiten die Mails mit einer Kennzeichnung oder einen speziellen Ordner (Junk-Mail) zum Empfänger. Fakt ist, dass die meisten Empfänger diese Mails nach einiger Zeit ignorieren oder ungesehen löschen. Würde ich auch machen, wenn in der Mail 200 Betreffzeilen stehen würden und ich die Nadel im Heuhaufen suchen müsste. Zudem kommt die Zusammenfassung verspätet und wer liest gerne eine Mail, die zu 99% Informationen über Spam enthält.

- Information des Absenders (Unzustellbarkeitsquittungen)Im Prinzip ein guter Gedanke, damit der Kommunikationspartner aktiv werden kann, wie er es auch täte, wenn er sich vertippt oder die Mail z.B.: aufgrund einer Grössenbeschränkung nicht zugestellt werden konnte. Leider würde solche eine NDR natürlich auch für jede Spam Mail erstellt werden. Das führt zu zusätzlichen Nachrichten und einer entsprechenden Systembelastung, was wieder mit Kosten verbunden ist. Viel schlimmer ist aber das eigenes Störpotential, das Spammer oft gefälschte Absenderadressen (Siehe Fälschung) verwenden und damit die Unzustellbarkeitsquittungen den falschen Empfänger erreichen. Siehe auch NDR Spamming

- NDR durch entfernten Mailserver

Etwas anders verhält es sich, wenn der eigene Mailserver direkt beim Empfang die Nachricht ablehnt. Dann ist der MTA der Gegenseite weiterhin zuständig für die Zustellung der Nachrichten und erzeugt einen NDR.

Insofern ist das Prinzip eines effektiven Spamschutzes in drei Merksätzen beschrieben:

- Eine angenommene Mail muss zugestellt werden ... sonst ist sie in einer Quarantäne und hilft niemandem

- Eine Mail, die nicht zugestellt werden soll, darf ich nicht annehmen.. nur dann kann der Absender erkennen, dass es ein Problem gibt

- Eine Mail, die nicht zugestellt werden kann, muss abgelehnt werden... weil ich sonst störende NDRs erzeuge und Unbeteiligte Adressen zumülle.

 

Was bedeutet "Ablehnen" ?

 

Eine Mail gilt erst dann als erfolgreich übermittelt, wenn das System des Empfängers am Ende der Übertragung den Code "250 OK" sendet /Details siehe SMTP oder Mail im Internet. Während die meisten Produkte die Mail erst nach der Annahme analysieren, wollte ich, dass alle Nachrichten während des Empfangs bewertet werden und wenn die Mail nicht an das Postfach zugestellt werden soll, dann braucht Sie auch nicht angenommen zu werden. Das einliefernde Gateway bekommt eben keine "250 OK" sondern eine negative Meldung, die die Ursache enthält. Ein Verfahren was auch der Exchange Intelligent Message Filter mittlerweile nutzen kann, wenn Exchange direkt vom Internet erreichbar ist. Da das entfernte System die Mail aber nun nicht los geworden ist, liegt es in dessen Aufgabe, den Absender über die Unzustellbarkeit zu informieren.

 

Das bedeutet:

 

Erwünschte Mail wird irrtümlich blockiert (False Positive)Der Mailserver des Absenders wird den Absender informieren. Meist ist dies sogar der eigene Mailserver des Absenders. Der Endanwender wird daher auch den lokalen Support fragen. Solange es einen Weg gibt, wie der Absender seine Nachrichten dann doch übermitteln kann, ist dies akzeptierbar.

 

Direkter Spam

 

Ist der Absender aber ein Spammer, dann wird dieser die Mail ebenfalls nicht los. Er wird vermutlich die nächste Adresse oder den nächsten Server versuchen, aber

 

Offenes Relay

 

Nutzt ein Spammer hingegen ein offenes Relay, dann wird dieses die Unzustellbarkeitsmeldungen versenden. Das ist dann allerdings eher ein Problem des Administrator des offenen Relay, für das wir nichts können.

 

Ein Ablehnen einer Verbindung ist offensichtlich die beste Variante, unerwünschte Nachrichten zu filtern und dem Absender die Möglichkeit zu geben, diesen Filter zu umgehen.

 

Keine unerkannten False Positives

 

Was bedeutet diese Verhalten im Ergebnis ?

Keine unerkannten False Positive Nachrichtend.h. eine Mail geht niemals in einer Quarantäne, einem Papierkorb oder einem vergessenen Ordner im Postfach unter.

Sie wurde nie angenommen

Dies ist besonders für Vollkaufleute wichtig, da hier eine angenommene aber nicht zugestellte Nachricht sehr unangenehm werden kann. Aber auch im Hinblick auf die Archivierung haben Sie Vorteile, da eine nicht angenommene Mail auch nicht im Archiv landet.

Das führt natürlich dazu, dass die Filter sehr viel strenger ausgelegt werden können und damit viel mehr Spam Nachrichten erkannt werden können. Auch eine False Positive Rate von 1% oder mehr ist für "Erstkontakte" durchaus tolerierbar, solange es einen Weg gibt, diese Sperre auch zu umgehen.

 

Level of Trust

 

Eine Schlüsselkomponente von NoSpamProxy ist jedoch eine Funktion, die ich bislang in keinem anderen Filterprodukt derart gesehen haben. Wir nennen dies "Level of Trust"

NoSpamProxy lernt dabei ausgehende Nachrichten. Das wäre an sich noch nichts besonderes, da auch andere Produkte ausgehende Nachrichten z.B. als "Gut" an den Bayes-Filter geben. NoSpamProxy lernt aber auch noch die Kommunikationsbeziehungen. Wenn ich eine Mail versende, dann werden verschiedene Kennwerte gemerkt. Das führt dazu, dass der Empfänger auf diese Mail einfach antworten kann und über ein Bonussystem den Spamfilter leicht überwinden kann. Das geht sogar soweit, dass der absendende Host sogar auf einer Blacklist für offene Relays etc. stehen kann. Die Verbindung wird nicht pauschal beendet sondern der "Anfang" einer Mail wird weiterhin empfangen um zu erkennen, ob es sich um eine bestehende Kommunikationsbeziehung handelt.

 

Diese Filter hat auch noch die Funktion einer dynamischen Whitelist. Wenn Sie mir eine Mail senden und diese als Spam irrtümlich abgelehnt wird, dann erhalten Sie ja eine Unzustellbarkeit von ihrem eigenen Mailserver. Sie können mich einfach über einen anderen Kommunikationsweg erreichen und ich sende ihnen einfach eine Mail zu. Und schon können Sie mir antworten oder eigene Mails verfassen und an mich senden. Das funktioniert sogar per OWA oder mobilen Endgeräten (PDA, ActiveSync, Blackberry etc.). Der Administrator muss keine statische Whitelist pflegen und der Anwender muss nicht über zusätzliche Programme oder Webportale den Spamfilter anpassen. Weitere Details zu diesem Filter beschreibe ich zu einem späteren Zeitpunkt.

 

Zero-Hour Virus Protection (Commtouch)Net at Work stellt selbst kein Antivirusprodukt her. Daher kann NoSpamProxy mit jedem beliebigen Virenscanner arbeiten, um Viren vor der Empfangsbetätigung zu erkennen und die Verbindung zu unterbrechen. Aber es hat sich gezeigt, dass die Lücke zwischen dem Auftreten eines Virus und dem Erkennen vor Ort sehr gross ist. Schliesslich laufen mehrere Tätigkeiten seriell hintereinander .

Die Texte und Zitate sind mit freundlicher Genehmigung von www.msxfaq.de