Message Identifications Services (SPAM Filterung)

Der Versand von Spam-eMails hat in den letzten Jahren immer weiter zugenommen.

Mittlerweile ist der größte Teil aller versendeten Emails Spam. Diese unerwünschten Nachrichten sorgten in den letzten Jahren weltweit jährlich für einen Produktivitätsverlust von ca. 50 Mrd. $ mit steigender Tendenz (Quelle: Ferris Research).

Der Versand von Spam-eMails hat in den letzten Jahren immer weiter zugenommen.
Mittlerweile ist der größte Teil aller versendeten Emails Spam. Diese unerwünschten
Nachrichten sorgten in den letzten Jahren weltweit jährlich für einen Produktivitätsverlust von ca. 50 Mrd. $ mit steigender Tendenz (Quelle: Ferris Research).

Zum Glück gibt es Spamfilter, doch bei solchen Systemen gibt es unterschiedlichste Funktionsweisen, und damit auch unterschiedliche Qualitäten. Dieses Dokument soll anhand einer Analyse der unterschiedlichen Spam-Erkennungs-Technologien aufzeigen, warum die Methode, auf der die Message Identification Services von Tobit Software basieren, die leistungsstärkste und einzig sinnvolle ist.

Generelle Funktionsweise von Spamfiltern

Bei Spam Erkennungs-Verfahren wird zwischen vier Arten unterschieden:

Black- / Whitelist

Bei dieser Methode werden eMail- und IP-Adressen gesperrt, welche dafür bekannt sind, Spam zu versenden. Diese Methode hat mehrere Nachteile:

• Email- und IP Adressen der Spam Versender ändern sich permanent.
• Emails von Mailservern mit dynamischer IP Adresse werden oft pauschal abgelehnt
• Hoher Administrationsaufwand
• Spammer nutzen Sicherheitslücken bei Firmen, um Spam von seriösen Absendern zu versenden

Content-Check

Beim Content-Check, zum Beispiel von Microsoft Outlook 2003 verwendet, wird der Inhalt
der Email auf bestimmte, für SPAM typische Wörter untersucht. Ist eines dieser Wörter in
einer eMail enthalten, wird diese dann automatisch als Spam klassifiziert. Ein typisches Wort
wäre z.B Viagra. Nachteil dieser Methode: Durch andere Schreibweisen kann ein solcher
Spam Filter leicht ausgetrickst werden. Das Wort Viagra könnte man z.B. auch leicht
abgewandelt wie Vi@gra schreiben.

Auch werden durch den Content-Check oft Emails abgefangen, die gar keinen Spam enthalten, zum Beispiel wenn ein Geschäftspartner in einer eMail Wörter verwendet, die vom Filter als Spam interpretiert werden. Oft reichen aber auch schon eMails mit HTML Inhalt oder einem Link aus. Eine schöne HTML eMailvorlage, in der vielleicht noch die eigene Webseite als Link hinterlegt ist, landet bei vielen Spamschutz Anbietern sofort im Spam Archive.

Bayes-Filter-Methode

Hierbei handelt es sich um einen selbst lernenden Filter, wie er zum Beispiel bei Mozilla
Thunderbird verwendet wird. Der Anwender muss zunächst ca. 1.000 eMails manuell sortieren. Dabei entwickelt der Filter Regeln und leitet daraus ein System zur automatischen Sortierung ab. Die Nachteile bei dieser Methode:

• Dauerhafter, sehr hoher administrativer Aufwand
• Hohes Fehlerpotenzial

Alle drei Varianten haben erhebliche Nachteile. Das größte Problem bei fast allen SPAM-Filtern
ist die Rate der „False Positives“. Dies bedeutet, dass seriöse und zum Teil auch wichtige eMails als Spam identifiziert werden.

Trust Center Methode

Einen grundsätzlich anderen Ansatz verfolgen die Message Identification Services (MIS) von Tobit Software. Mit den MIS werden nicht einfach nur Spam Nachrichten identifiziert; dass System identifiziert alle eMails einzeln und teilt sie in unterschiedliche Kategorien auf. Dafür werden die eMails aller Kunden an einer zentralen Prüfstelle miteinander verglichen. Dabei werden aber nicht die kompletten eMails übertragen, sondern anhand von Zahlenschlüsseln Prüfsummen, so genannte Fingerprints, gebildet. Diese Prüfsummen entsprechen dem Inhalt der eMail, können aber nicht wieder zu einer eMail zusammengesetzt werden. Der eigentliche Inhalt wird also nicht übertragen und bleibt sicher in den eigenen vier Wänden. Anschließend werden die Prüfsummen miteinander verglichen: Es wird überprüft, wie häufig ein und dieselbe eMail an wie viele Personen geschickt wurde. Denn eine eMail, welche von 20.000 Personen empfangen wurde, kann kaum eine persönliche Mitteilung sein. Gleichzeitig wird die eMail noch anhand anderer Merkmale überprüft: Gibt es Links in dieser eMail? Wurden Grafiken verwendet? Gibt es eine persönliche Anrede?

Auf diese Art und Weise kann das System zwischen folgenden Arten von eMails automatisch und zuverlässig unterscheiden:

• Einwandfrei
• Nicht Identifizierbar
• Rundsendung
• Werbe-Rundsendung
• Pornografische Rundsendung
• SPAM
• Gefährlicher Inhalt
• Ausführbarer Inhalt
• Enthält Script
• Öffnet Fenster
• Virus erkannt
• Leere eMail

Damit können die MIS nicht nur als Spamfilter verwendet werden, sie helfen auch bei der
täglichen Arbeitsorganisation. So können z.B. Newsletter automatisch in ein eigenes Archive
abgelegt werden. Und dadurch, dass die MIS auch gefährliche Inhalte erkennen, machen sie
auch das gesamte Netzwerk ein großes Stück sicherer.

Leistungsdaten & Vorteile der Message Identification Services

Die Leistung eines Spamfilters kann man an drei Kriterien feststellen

• Spam Erkennungsrate
• False Positive-Rate
• eMail Durchsatz

Nur wenn alle drei Kriterien gute Werte erzielen, ist der Spamfilter leistungsstark. Hier einmal die Leistungsdaten im Vergleich:

Weitere Vorteile der MIS gegenüber anderen Verfahren

• Komplett wartungsfreies System
• Emails werden in unterschiedliche Kategorien eingeteilt (Spam, Newsletter,
  Rundsendung, …)
• Individuelle Konfiguration durch den Anwender möglich
• Mehr Sicherheit im Netzwerk
• Hervorragendes Preis/ Leistungsverhältnis

Fazit

Nicht jeder Spamfilter ist ein guter Spamfilter. Es gibt große Unterschiede in Qualität und
Leistung. Doch gerade in der heutigen Zeit, wo die Anzahl von Spamnachrichten eher steigt
als sinkt, benötigt man ein wirklich zuverlässiges System.

Und das sind die Message Identification Services von Tobit Software. Viele Unternehmen setzen bereits das System ebenfalls ein und sparen damit täglich Zeit und Geld, denn bei fast allen anderen Lösungen am Markt kommt man ohne manuelles Nachfiltern der eMails nicht aus.