Erklärung von Begriffen rund um das Thema Spam

8.2.16. keine Ahnung, ob wir etwas Allgemeines zum Thema Spam schreiben wollen. Aber der Teil, wie stellen die Leute selbst ihren Tag ein, können wir streichen, weil das so seit den neuen MTAs nicht mehr funktioniert. Kerstin

Übersicht:

Was ist Spam?

Spam-Mails sind unerwünschte E-Mails, meistens Werbe-Mails (aber: Newsletter oder Angebotslisten, für die man sich selbst einträgt und die auch jederzeit wieder abbestellt werden können, sind kein Spam!).

Die Kriterien, an denen man eine Spam-Mail erkennen kann, sind zum einen typische Ausdrücke im Betreff oder Mail-Text wie z. B. "Sale", "Sensationelles Angebot", "Viagra", aber auch weniger klar ersichtliche Verletzungen des Mailprotokolls, z. B. unübliche Mailabsenderadressen, Versand über als Spamversender bekannte Server u.a.

Spamuntersuchung mit "SpamAssassin"

Jede E-Mail, die über die offiziellen Mailserver in die GSI eingeht, durchläuft u.a. das Programm "SpamAssassin". Dieses prüft nach verschiedenen Kriterien, ob es sich bei der E-Mail um eine Spam-Mail handeln könnte.

Für jedes zutreffende Merkmal der o.a. Kriterien wird eine bestimmte Punktzahl vergeben, wobei es aber auch negative Werte vergeben kann. Die von "SpamAssassin" zur Anwendung gebrachten Kriterien sowie die vergebene Punktzahl findet sich im Internetheader der E-Mail, z.B

 

X-Spam-Status: Yes, hits=5.1 tagged_above=-99.0 required=3.1  tests=BAYES_95, RCVD_IN_NJABL_DUL, RCVD_IN_SORBS_DUL, URIBL_SBL  X-Spam-Level: *****

 

Zusätzlich zu der Untersuchung mit festen Regeln ist "SpamAssassin" in der Lage, selbstständig neue Spamkriterien zu erlernen (sog. "Bayes-Klassifikation"). Auf Basis dieser selbsterlernten Kriterien bekommen E-Mails gegebenenfalls eine zusätzliche Wertung, die von -5 bis 5 reichen kann. Der Lernprozess hängt von der Anzahl und Art der bisher verarbeiteten Spam-Mails ab. Die resultierende Wertung ist zeitpunktabhängig und kann auf unterschiedlichen Mailservern für ein und dieselbe E-Mail unterschiedlich ausfallen.

Eine Auflistung und kurze Erklärung aller Originalkriterien, die "SpamAssassin" verwendet, findet man bei http://spamassassin.apache.org/tests_3_0_x.html

Natürlich kann "SpamAssassin" nicht exakt entscheiden, welche E-Mail Spam ist und welche nicht. Auf manche gewollten E-Mails (oft auch Newsletter) treffen ebenfalls die gleichen Kriterien zu wie auf Spam-Mails.

Achtung: Absender-E-Mailadressen werden von Spamversendern meistens gefälscht!

Spam Tag Level (Spam-Markierungswert)

Übersteigt die erreichte Spam-Punktzahl einen bestimmten Schwellwert (Tag Level), dann erhält die E-Mail am Anfang des Betreffs den Zusatz "[SPAM?]", z.B.:

 

[SPAM?]Big Sale!  

 

Die Auslieferung erfolgt wie gewohnt. Der Eintrag im Betreff kann zum Einrichten von Filterregeln im Mailprogramm genutzt werden (Beispiel für Outlook 2003). Standardwert für den Markierungs-Schwellwert ist 3. Individuell sind alle Werte >= 2 erlaubt.

Spam Reject Level (Spam-Zurückweisungswert)

Übersteigt die erreichte Punktzahl einen zweiten Schwellwert (Spam-Level 2 oder "Reject Level"), der größer sein muss als der Markierungs-Schwellwert, dann wird die E-Mail nicht an den Empfänger zugestellt, sondern sofort gelöscht. Im Gegensatz zu früher wird der Sender nicht benachrichtigt.

Bis zum 15.09.2009 gilt das bisherige Verfahren: E-Mails, deren Punktzahl den Spam-Level 2 übersteigt, werden an den Absender zurückgewiesen mit der Mitteilung, dass seine E-Mail als Spam eingestuft und nicht ausgeliefert wurde.

Einen Standardwert für den Zurückweisungs-Schwellwert gibt es nicht ("NONE"). Daher werden, solange dieser Schwellwert nicht geändert wurde, alle E-Mails ausgeliefert. Erlaubt sind alle Werte >= 7, wobei der Zurückweisungs-Schwellwert mindestens so groß sein muss wie der Markierungs-Schwellwert. Empfohlen wird der Wert 8.

White List (Weiße Liste = Ausnahmeliste)

Wie bereits erwähnt kommt es vor, dass bestimmte E-Mails aufgrund verschiedener Kriterien einen hohen Punktwert von "SpamAssassin" und damit ggfs. einen Eintrag im Betreff bekommen, obwohl sie keine Spam-Mails sind. Solche E-Mails werden auch als "False Positives" bezeichnet. Sehr häufig betrifft das E-Mails von ein und demselben Absender, z.B. bei Newslettern, die man selbst beantragt hat.

Solche Absenderadressen können in die persönliche "White List" des Benutzer eingetragen werden. E-Mails von Absendern, die in einer White List stehen, werden nicht nach Spamkriterien untersucht.

Beachten Sie dabei, dass die im E-Mail-Programm sichtbare Absenderadresse nicht unbedingt die reale E-Mail-Adresse ist. Sie können diese Adresse sehen, wenn Sie z.B. die E-Mail öffnen und im "Von:"-Feld die E-Mail-Adresse, die in den [ ] steht, benutzen. Tragen Sie keine Adressen in der Form "Lesbarer Name [E-Mail-Adresse]" oder "Lesbarer Name <E-MAIL-ADRESSE>" ein, nur die direkte Form "E-Mail-Adresse".

Es können vollständige E-Mail-Adressen eingetragen werden, aber auch ganze Domains, d.h. abgekürzte Adressen ab dem "@" (z.B. @cern.de).
Es können auch mit "@*.domainname" (z.B. @*.cern.ch) verschiedene Maschinennamen der gleichen Domain adressiert werden (dabei beinhaltet @*.cern.ch auch @cern.ch).

Standardmäßig ist die White List leer. Zur Zeit werden (aus Performance-Gründen) bis zu 20 E-Mailadressen akzeptiert.

GSI-allgemeine White List

In der GSI gibt es eine Anzahl von E-Mail-Adressen, die für alle Benutzer als White List gelten, also nicht in der persönlichen White List auftauchen müssen/sollen. Darunter befinden sich z.Zt.:

  • amavis-user-admin@lists.sourceforge.net
  • bugtraq@securityfocus.com
  • cert-advisory-owner@cert.org
  • lvs-users-admin@LinuxVirtualServer.org
  • notification-return@lists.sophos.com
  • owner-alert@iss.net
  • razor-users-admin@lists.sourceforge.net
  • security-alerts@linuxsecurity.com
  • slashdot@slashdot.org
  • spamassassin-talk-admin@lists.sourceforge.net

Daneben erhalten folgende häufig vorkommende E-Mail-Adressen 3 bzw. 5 Punkte "gutgeschrieben", werden dadurch also selten als Spam-Mail getaggt.

Liste mit Domänenteilen, z.B.:

  • amazon.de
  • bmbf.bund.de
  • cern.ch
  • dfn.de
  • gsi.de
  • physicsweb.org

Einzelne E-Mail-Adressen, z.B.:

  • Gebotbestaetigt@ebay.de
  • office@schard.de

Virus Alarm

Virus-Alarm-E-Mails sind eine Benachrichtigung des Virenscanners der GSI (amavis@lxmta1.gsi.de bzw. amavis@lxmta2.gsi.de) - mit einem Betreff in der Form: "[VIRUS!] X virus-20041206-193314-18433-03" -, die besagt, dass an Sie eine E-Mail mit einem Virus geschickt wurde. Da in 99% der Fälle der Absender gefälscht ist (Spam-Mail), können Sie diese E-Mails bedenkenlos wegwerfen.

Antwortet man auf diese Benachrichtigungs-E-Mail, bekommt man die ursprüngliche Virus-infizierte E-Mail zugeschickt, aus der dann allerdings der Virus entfernt wurde.


Loading...