Als Spam Filter bezeichnet man ein Programm, das eingehende E-Mails überprüft und unerwünschte aussortiert, sogenannte Spam– oder Junk-Mails. Dabei handelt es sich oft um unerwünschte Werbung, aber auch schädliche Mails zum Phishing oder Verbreiten von Viren und Trojanern fallen darunter. Damit die Nutzer davon möglichst wenig belästigt werden, ist vor nahezu jedes E-Mail-Postfach ein Spam-Filter geschaltet, teilweise sogar mehrere hintereinander, um möglichst viele unerwünschte Mails herauszufiltern.
Der Filter kann dabei an zwei unterschiedlichen Stellen des Empfangs greifen: Eine Möglichkeit besteht bereits nach der Annahme durch den E-Mail-Provider, aber noch vor einer Zuordnung in Postfach oder Junkordner. So können Emails direkt bei der Zustellung, noch vor dem eigentlichen Erreichen des Empfängers, geprüft und möglicherweise aussortiert werden. In einem solchen Fall werden diese bei einem positiven Spam-Test direkt abgelehnt und erreichen nicht einmal den Spam-Ordner. Dadurch hat der Empfänger zwar keine Chance die Mail zu bemerken, aber der Absender erhält eine Nachricht darüber, dass die Mail ihr Ziel nicht erreicht hat. Wohingegen eine Einordnung in den Spam-Ordner leicht dazu führt, dass der Absender von einer erfolgreichen Zustellung ausgeht und der Empfänger nichts davon mitbekommt.
Wie arbeitet ein Spam-Filter?
Was ein Spam Filter ist, ist nun klar, aber wie entscheidet er, was Spam ist und was nicht? Hierzu gibt es verschiedenste Ansätze und Kriterien, welche die meisten Anbieter solcher Filter-Technologien streng geheim halten. Das soll verhindern, dass Spammer die Mechanismen austricksen und so die Spam-Filter umgehen können. Zudem können die Filter individuell angepasst werden, sowohl vom Email Service Provider (ESP), als auch vom Nutzer selbst. In diese Anpassungen können auch Nutzungs-Informationen einfließen, beispielsweise die Markierung einer Mail als Spam durch den Anwender. Daher ist für E-Mail-Versender ein Spam-Test-Tool notwendig, um möglichst sicher gehen zu können, dass die E-Mails auch ihr Ziel erreichen. Dafür werden beispielsweise beim Acoonia Spam Test über 1.000 verschiedene E-Mail-Postfächer von unterschiedlichen Anbietern beschickt und anschließend überprüft, um eine Zustellquote berechnen zu können. Aufgrund der hohen Anzahl der Postfächer, ist diese Quote zudem statistisch fundiert.
Filter auf Basis einer Technologie
Spam-Filter-Software arbeitet auf inhaltlicher Ebene vor allem auf Basis bestimmter Muster: Zeichenfolgen von mehreren identischen Zeichen können hier beispielsweise zählen. Aber auch Abkürzungen können zu Problemen führen, wenn diese aus Großbuchstaben bestehen. Denn auch zu viele große Buchstaben fallen in das Muster von Spam-Mails. Da kann, bei einem sehr strikten Filter, bereits SEO den Spam-Verdacht erhöhen. Ganz zu schweigen von einer ständigen Verwendung des Caps-Locks, also einer Formulierung ausschließlich in GROẞBUCHSTABEN. Auch der Betreff muss richtig gestaltet sein: ist dieser zu lang, kann das ebenfalls einen negativen Effekt haben. Zuletzt findet auch noch eine inhaltliche Überprüfung der tatsächlichen Mail statt. Wie detailliert hier vorgegangen wird, hängt stark vom jeweiligen Anbieter ab. Manche prüfen nur auf bestimmte Begriffe, wie beispielsweise „Gewinn“, „kostenlos“ oder „Viagra“. Auch drängende Aufforderungen, wie ein „bestelle jetzt“, können hier negativ gezählt werden. Durch den Fortschritt von Texterkennung und künstlicher Intelligenz (AI / KI) sind hier mittlerweile noch viel detailliertere Analysen umsetzbar.
Zusätzlich wird auch der HTML-Code hinter der Mail analysiert und überprüft. Punkte wie Textfarbe und Hintergrundfarbe können hier Einfluss nehmen, wenn diese vom Standard abweichen. Auch das Verhältnis von HTML-Code zum tatsächlichen Text wird oftmals überprüft. Ein Überhang an Code ist in einem solchen Fall ebenfalls ein negatives Signal in der Spam-Bewertung. Gleiches gilt für starke Abweichungen zwischen Text und Code. Zu viele Grafiken und Bilder zählen ebenfalls negativ in die Auswertung. Aufgrund von Bildanalyse-Software, wie beispielsweise dem Fuzzy-Ocr-Plugin, können auch Texte, die als Bilddatei eingebunden sind, analysiert werden. Formularfelder sind in Junk-Mails oft anzutreffen, weshalb auch diese negativ in die Bewertung der Email einfließen, genauso wie Links, die nicht auf eine Domain, sondern lediglich auf eine IP-Adresse verweisen. Auch der E-Mail-Header wird ausgelesen und so beispielsweise die Antwort-an-Adresse (Reply-to). Ist dieses Feld nicht ausgefüllt, kann dies ebenfalls einen negativen Effekt haben, da es als unseriös gilt, hierüber keine Informationen mitzuteilen.
In den meisten Fällen werden diese und viele weitere Kriterien mit Punktwerten, sogenannten Spam-Scores, versehen und am Ende der Prüfung addiert. Überschreitet das Ergebnis einen bestimmten Wert, gilt die Mail als Spam und wird entsprechend behandelt. Da aber in den seltensten Fällen genaue Grenzwerte für die Punktzahlen bekannt sind und die Gewichtung teilweise vom Anwender angepasst werden kann, sollten Versender im Idealfall darauf achten, möglichst wenige Negativpunkte zu sammeln und nicht anstreben, das Postfach nur gerade so zu erreichen. Manche Dinge können allerdings auch einen positiven Effekt haben, z.B. eine spezielle Zertifizierung wie der Eintrag auf einer offiziellen Whitelist, was die Zustellbarkeit spürbar steigern kann.
Bayes Test und Markow Filter
Bayes Test und Markow Filter stellen mathematische Modelle dar, die in Spam-Filter-Techniken oftmals eingesetzt werden. Dem bayesschen Filter liegt ein statistisches Modell zur Wahrscheinlichkeitsberechnung zugrunde, welches auf den englische Mathematiker Thomas Bayes aus dem 18. Jahrhundert zurückgeht. Im Spam-Filter wird der Bayes-Filter so eingesetzt, dass das Auftreten spezieller Begriffe im Verhältnis zur Gesamtzahl der Wörter gezählt und darüber die Spam-Wahrscheinlichkeit berechnet wird. Das bedeutet, dass eine E-Mail als Spam markiert wird, falls diese ein im Filter verzeichnetes Wort zu oft im Verhältnis zur Textlänge enthält. Der Filter ist zudem selbstlernend ausgelegt. Wenn der Nutzer also händisch eine Mail als Spam markiert, analysiert der Filter den Text und sucht nach auffälligen Begriffen. Zukünftige Mails, die solche Wörter im Übermaß enthalten, werden dadurch mit einer höheren Spam-Wahrscheinlichkeit bewertet.
Der Markow-Filter, entwickelt von Andrei Adrejewitsch Markow, ist eine Weiterentwicklung des Bayes Tests. In diesem Fall wird nicht nur nach einzelnen Wörtern gesucht, sondern nach Wortgruppen. Dabei werden auch Varianten erkannt, wenn einzelne Worte durch Synonyme ausgetauscht werden. Die jeweiligen Wortanordnungen werden dabei je nach Ähnlichkeit zur gesuchten Formulierung gewichtet. Dadurch können Kontexte ausgewertet werden, welche die Bedeutung eines Begriffes normalerweise verschleiern würden. Auf diese Weise kann E-Mail Spam zuverlässiger identifizieren werden.
Filter auf Basis von Schwarmintelligenz
Hierbei wird die Schwarmintelligenz der Nutzer verwendet, um Spam zu identifizieren. Verallgemeinerbare Regeln liegen auch hier nicht vor, allerdings kann das System beispielsweise folgendermaßen arbeiten: Bei einer fiktiven Mail werden insgesamt zahlreiche Empfänger angeschrieben. 100.000 davon haben ihr Konto bei ein und dem selben Anbieter, der nun die Flut an Mails vom selben Absender registriert. Um nun die Mail mithilfe von Schwarmintelligenz zu prüfen, wird zunächst nur ein Bruchteil tatsächlich an die Postfächer ausgeliefert und der Rest zunächst zurückgehalten. Über einen vordefinierten Zeitraum wird nun das Nutzerverhalten überprüft, also wie viele der Empfänger die Mail als Spam markieren, ungelesen löschen oder tatsächlich öffnen und lesen. Wird hier ein Schwellenwert erreicht, beginnt die Auslieferung der übrigen Mails. Je nachdem welche Erkenntnisse gewonnen wurden, können diese im Postfach oder Spam-Ordner landen oder im schlimmsten Fall sogar ganz abgewiesen werden.
Was ist eine Blacklist und eine Whitelist?
Eine E-Mail Blacklist oder schwarze Liste führt im Spam-Kontext E-Mail-Adressen und Domains auf, die als Versender von Spam-Mails auffällig geworden sind. Bekannte Anbieter solcher Listen sind:
- Spamhaus
- SpamCop
- NiX Spam
- Virbl
- no-more-funn
- Five Ten SG
- Weighted Private Block List
- inps.de-DNSBL
- SORBS
- Composite Blocking List
- Spamcannibal
- Distributed Sender Blackhole List
Die Anbieter pflegen ihre Listen über verschiedene Wege. Eine beliebte Methode ist das Auslegen von Fallen, sogenannten Spam-Traps. Jede E-Mail, die in einer solchen Falle landet, wird als Spam markiert, da sie das Kriterium der unerwünschten Zusendung erfüllen, denn bei diesen Adressen wird keine Zustimmung zum Empfang von E-Mails erteilt, das sogenannte Double-Opt-In-Verfahren. Des Weiteren können aber auch Adressen bei den unterschiedlichen Blacklist-Anbietern gemeldet werden, sowohl von Privatpersonen, als auch von ESPs. Auf einer solchen Liste können natürlich auch Unschuldige landen, die sich dann darum kümmern müssen, wieder gelöscht zu werden, das sogenannte Delisting. Um zunächst zu prüfen, ob die eigene Adresse auf einer solchen Blacklist geführt wird, gibt es den Blacklist Monitor von Acoonia.
Eine Whitelist ist nun das genau Gegenteil der Blacklist. Hier werden E-Mail-Versender verzeichnet, die nachweislich keine Junkmails verschicken. Ein Eintrag hier ist besonders wichtig, falls das Email Marketing ein bedeutendes Geschäftsfeld darstellt. Auch hier gibt es verschiedene Anbieter, wie beispielsweise Return Path, Spamhaus oder den eco Verband, der die CSA ins Leben gerufen hat. Dabei handelt es sich um die Certified Senders Alliance, die eine Kooperation von eco Verband und dem Deutschen Dialog Marketing Verband ist und seit 2006 als Whitelist-Anbieter agiert.
Filter auf Basis von Blacklists
Grundsätzlich werden die Mails vom Junk-Filter sowohl technisch, als auch inhaltlich analysiert, aber auch der Absender, also dessen Domain und IP-Adresse werden dabei beachtet. Domain und IP-Adresse werden aus dem Header der E-Mail ausgelesen. Sollten diese bereits vorbelastet sein und auf einer sogenannten Blacklist stehen, kommt es hier bereits zu einem hard bounce, also zum direkten Abweisen der Mail. Mittlerweile wird dabei immer öfter nach der exakten Domain geprüft und nicht mehr nach einer IP-Range, also einem ganzen Bereich von IP-Adressen. Das führt zu einer höheren Genauigkeit und hilft dabei, Kollateralschaden zu verhindern, indem nicht mehr alle Domains innerhalb eines Bereichs abgestraft werden, nur weil sich unter ihnen ein schwarzes Schaf befindet.
Filter auf Basis persönlicher Einstellungen
Sowohl eine Black- als auch eine Whitelist können natürlich auch vom Nutzer selbst geführt werden. Einzelne Adressen können geblockt werden und landen so auf einer privaten Blacklist. Je nachdem wie der E-Mail-Anbieter damit umgeht, landen zukünftige Mails dieses Absenders direkt im Spam-Ordner, erreichen den Empfänger gar nicht oder werden weiterhin ins Postfach eingeliefert, weil sie beispielsweise auf einer offiziellen Whitelist stehen. Eine eigene Whitelist ist allerdings ebenfalls umsetzbar. In den meisten Fällen zählen hier die Adressbucheinträge als Vertrauensbeweis gegenüber dem Absender und garantieren die Zustellung.
Welche E-Mail Spam-Filter-Anbieter gibt es?
Zahlreiche Entwickler auf dem Markt arbeiten an Spam-Filtern für den E-Mail-Bereich. Alle auf dem Markt befindlichen Lösungen aufzuzählen ist kaum möglich, aber auch nicht nötig, da einige Große den Markt dominieren. Der wohl bekannteste Spam Filter ist SpamAssassin, der unter der Apache-Lizenz frei verfügbar ist und aufgrund dieses Kostenfaktors und seiner Funktionsweise vielfach eingesetzt wird. Gerade weil er kostenlos ist, nutzen viele Spam Assassin als zusätzlichen Spamschutz, der die gröbsten Spammer vorab aussortiert, sodass ein weiterer Filter deutlich weniger Mails prüfen muss, diese dann aber in vielen Fällen umso genauer. Spam Test Software kann aufgrund der Apache-Lizenz diesen Filter sehr genau überprüfen und so besonders genaue Ergebnisse liefern.
Dennoch lassen Opensource Lösungen noch jede Menge Spam in den Posteingang und können den Geschäftsbetrieb eines Unternehmens maßgeblich behindern. Denn neben dem Spam kommen über diesen Kanal auch jede Menge Phishing-Attacken und Viren in ein Unternehmen, sodass Unternehmen dringlichst geraten wird, eine professionelle Spam Filter Lösung einzusetzen. Der einfachste Weg einen Spam Filter für Ihr Unternehmen zu aktivieren ist eine Cloud-Lösung bei der Sie nur die Änderung der DNS Einträge für den MX-record vornehmen müssen. Zu diesen Cloud Security Lösungen gehören die professionellen Spamfilter Anbieter wie Hornetsecurity oder Ispira, MXGuardDog, Barracuda Essentials oder Spamtitan. Unternehmen die Ihre Anti-Spam-Lösung in der eigenen IT-Umgebung verwalten möchten nutzen professionelle Anti-Spam-Appliances mit einem eigenen Anti Spam E-Mail Gateway wie Cisco Ironport, den Secure E-Mail Gateway von Sophos oder der Kaspersky Secure Mail Gateway. Gerade die Anti-Virus Software Hersteller harmonieren oft 1:1 mit den bereits existierenden Hardware Firewall-Lösung im Unternehmen. Anti Spam ist ein Teilbereich der Unternehmenssicherheit und steigert die zudem die Produktivität Ihrer Mitarbeiter.
Bildbeschreibung: Cloud Spam Filter, Spamaufkommen zwischen 0:00 Uhr und 10:00 Uhr – rot und gelb zeigen abgelehnte bzw. als Spam markierte E-Mails.
Große ISPs wie Google, Microsoft, Yahoo / AOL, Apple oder United Internet nutzen in der Regel eigene Softwarelösungen, welche nach eigenen Maßstäben die eingehenden und ausgehenden E-Mails prüfen und filtern. Wenn man täglich mehrere Millionen E-Mails bekommt, kann man auch die eigenen Nutzersignale zum Filtern der E-Mails verwenden. Zum einen trainiert die Masse der Nutzer durch deren Einordnung in Spam und Ham (das sind die guten E-Mails) die Text- und Abensenderfilter zum anderen können bei einem Massenversand die Spammeldungen der ersten Empfänger sofort ausgewertet werden (Real Time Filter), sodass der Rest der E-Mail Kampagne nicht mehr in den Posteingang gelangt. On Top kommen personalisierte Spamfiltereinstellungen sowie persönlich gepflegte Whitelists und Blacklists bei den meisten Freemail-Anbietern zum Einsatz. Das Gleiche gilt für installierte E-Mail-Programme, wie Apple Mail oder Microsoft Outlook, die ebenfalls eigene Filtermechanismen verbaut haben und auch eigene Junk-Regeln unterstützen. Hier sind Spam Tests entsprechend nur über die Standard-Einstellungen der Postfächer umsetzbar, um einen validen Spam-Filter-Test zu machen. Mit einer Testmail, können Sie die Chancen der Zustellung einer E-Mail testen und sehen, wie die E-Mail bei den verschiedenen Posteingängen der unterschiedlichen E-Mail Systeme reagiert. Diese Informationen sind für erfolgreiche E-Mail-Kampagnen von entscheidender Bedeutung, weshalb das E-Mail Spam Filter Testing von immer mehr Unternehmen genutzt wird. Einen solchen Spam Test online durchzuführen, ist mittlerweile sehr einfach möglich und kann nachweislich die Zustellrate und damit die Öffnungsrate eines Newsletters oder einer Kampagnen-Email positiv beeinflussen.
Der richtige Spamfilter für Ihren Server?
Bei der Auswahl eines Spamfilters für Ihr Business steht vorgelagert die Frage, welche Spamfilter-Technologie passt zu meiner technischen Infrastruktur. Hierbei spielt das verwendete System wie Linux (Red Hat, Debian etc), FreeBSD oder Windows (NT) Server eine wesentliche Rolle, denn nicht jeder am Markt erhältliche Spamfilter lässt sich auf dem jeweiligen Betriebssystem oder mit dem jeweiligen Mailserver installieren. Redhat bietet mit der EMP – der Extensible Messaging Platform eine Lösung für seine Enterprise Kunden an, die eine Firewall und einen Anti-Spam Solution beinhaltet. IBM bietet einen AntiSpamFilter Agent für Lotus Notes System, welche zahlreiche Konfigurationsmöglichten für große Unternehmen mit Groupware-Lösungen bietet. Für Linux eignen sich eine Anti-Spam-Software wie SpamBayes, Mailscanner oder der Anti-Spam SMTP Proxy Server, welchen als OpenSource Lösung zum Download bereit steht. Für FreeBSD Systeme wird gern ein SpamAssasin mit einem DSpam-Plugin verwendet. Für Windows gibt es auch ein SpamAssassin Port als Freeware am Markt. Wenn Sie Exchange in Ihrem Unternehmen einsetzen, gibt es von Jam Software auch eine professionelle Spamfilter Lösung als kostenpflichtiges Exchange-Plugin. Kostengünstiger als die Exchange-Lizenzen und ohne technischen Aufwand geht es nur mit einer managed Lösung, bei der der Filterprozess ausgelagert wird. Plattformunabhängige Spamfilter für einen Mailserver existieren unserer Erfahrung nach nicht. Je nach OS variieren die Filtersysteme.
Kein Spam im Unternehmen – installationsfreie Anti-Spam Lösungen
Wem die Server-Installation sowie die Wartung einer Anti-Spam-Lösung zu kompliziert ist oder sich mit einer Zusätzlichen Installation nicht unnötig ein Sicherheitsrisiko aufladen möchte, kann sich auch für eine Hosted-Spamfilter-Lösung entscheiden, die einfach den MX-Record ersetzt und damit den Filterprozess komplett in die DMZ verlegt. Viren und Spam gelangen so erst gar nicht in das Firmennetzwerk. Eine solche Anti-Spam-Solution ist möglicherweise etwas teurer, durch die eingesparte Maintenance und erhöhte Security ist ein Managed-Spamfilter für jedes Business, welches über keine eigene IT verfügt zu empfehlen. Sprechen Sie uns an. Wir beraten Sie gern.