Glossar |
A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - Q - R - S - T - U - V - W - X - Y - Z
Attachment Blocking
Ein Filter, welcher gefährliche Dateitypen filtert, wie z. B. ausführbare .bat- oder .exe-Dateien.Black- & Whitelists
Black- & Whitelists enthalten Keywords oder Wort-Kombinationen, welche gefiltert bzw. akzeptiert werden.Blacklists
Stimmen Einträge aus der Blacklist mit dem Mail-Inhalt überein, erhält diese E-Mail eine Negativ-Bewertung. Bei Blacklist-Einträgen mit einer Kill-Note, wird diese Mail ohne Ausnahme sofort als Spam markiert und gelöscht.
Whitelists
Einträge auf der Whitelist bewirken das Gegenteil der Blacklist. Findet sich ein Wort oder eine E-Mail-Adresse des Mail-Inhalts in eienr Whitelist wieder, so gilt diese Mail nicht als Spam und wird sofort weitergeleitet an den Empfänger.
Die Whitelist hat eine höhere Priorität als die Blacklist.
Email Retention
E-Mail's werden von unseren Servern zurückbehalten, falls der Zielmailserver nicht erreichbar sein sollte. Ist der Server wieder online, liefert unser Mailserver alle Mails nach.
Envelope & Header Check
Envelope ScanningBeim Envelope Scanning wird als erstes der HELO Befehl des sendenden Mailservers auf seine Formatierung und seine Richtigkeit geprüft. Danach folgen weitere Checks der Befehle wie MAIL FROM (Absender) und RCPT TO (Empfänger). Erst wenn der empfangende Mailserver den Absender und Empfänger identifizieren konnte und diese Angaben fehlerfrei sind, wird der sendende Mailserver dazu aufgefordert, die Daten (also die eigentliche E-Mail) zu senden
Header Scanning
Das Header Scanning findet statt, sobald die Nachricht vom empfangenden Mailserver angekommen ist. Der Header ist der für den Benutzer nicht sichtbare Teil einer E-Mail, welcher Informationen über Datum, Herkunft, Betreff und Empfänger der Mail enthält. Auch hier wird auf Korrektheit und Vollständigkeit geprüft.
Greylisting
Die FunktionsweiseGreylisting geht davon aus, das Email-Server und Clients sich an den RFC-Standard für SMTP halten. Verbindet sich ein Client zu einem Mailserver der Greylisting unterstützt, kann der Mailserver durch das SMTP-Protokoll folgende Daten sammeln: sendender Host (IP), Absender-Emailadresse und Empfänger-Emailadresse. Ist dieses Dreierpaar noch nicht nicht in der lokalen Datenbank verzeichnet, wird es aufgenommen und der Mailserver gibt an den sendenden Mailserver einen temporären Fehler zurück. Daraufhin beläßt dieser die Email in der Queue und versucht es später nochmal. Bei diesem nächsten Sendeversuch ist das Dreierpaar dann schon vorhanden und der Mailserver nimmt die Email ohne Verzögerung entgegen.
Warum funktioniert das Verfahren?
Spammer benutzen oft keine RFC-konforme Software zum versenden von Spam-Mails: Sie kommen mit dem Fehler nicht zurecht und merken sich nicht, das sie es später nochmal versuchen müßten. Vor allem sind auch viel mehr Resourcen nötig um die Unmengen von Mails mehrfach zu versenden.
Natürlich gibt es auch Spamsoftware welche schon damit umgehen kann. Diese ist jedoch noch nicht so stark verbreitet.
Viren die sich selbstständig per Email verbreiten werden auf diese Weise auch erfolgreich ausgebremst.
Nachteile
Der Hauptnachteil ist das reguläre Emails erst beim zweiten Versuch, also verzögert, eintreffen. Diese Verzögerung ist abhängig von der Retry-Zeiteinstellung des sendenen Mailservers. Ein normaler Wert ist hier ca 15 Minuten.
Allerdings ist es so das dieser Test nur beim ersten Mal (wenn ein neuer Sender erkannt wird) gemacht wird. Weitere Emails gehen dann unverzögert durch. Erst nach 30 Tagen inaktivität wird der Eintrag aus der Datenbank wieder entfernt und der Prozess würde beim nächsten Mail wieder gestartet.
Auch andere grössere Provider wie z.B. Magnet und Cyberlink verwenden nun schon diese Technologie.
Heuristic Content Check
Mithilfe von Schätzungen, "Faustregeln" oder intuitiv-intelligentem Raten Spam Mails erkennen, welche nicht anhand von Blacklists oder sonstigen Filtern erkennt werden können.Known Spam Signatures
Der Mail-Inhalt wird auf bekannte Spam-Signaturen überprüft. Diese stammen aus einer regelmässig aktualisierten Datenbank.Lokale Emailadressverifikation & Caching
Ein zusätzlicher Filter auf Spam-Mails ist die lokale E-Mail-Adressen-Verifikation. Ist die Empfänger-Adresse unserem Mail Gateway nicht bekannt, wird diese Mail auch nicht an den Zielempfangsserver weitergeleitet. Somit entsteht weniger Traffic.Real Time Black & Whitelists (Server IP) / Reverse DNS Check
Mittels einer stündlich aktualisierten Datenbank werden 'gute' und 'böse' Mailserver oder Enduserrechner (durch z.b. Trojaner gehackt) erkannt. Den 'guten' wird der Zugang zu unserem Mailserver erleichertet (so das sich für den legitimen Mailverkehr kaum Einschränkungen ergeben), den 'bösen' jedoch durch Greylisting und linearem Tarpitting das Leben schwer gemacht. Die Datenbank kennt fünf differenzierte Stufen von gut bis böse. Unbekannte Server werden als mittel eingestuft.Daneben werden auch die Ursprungsländer anhand einer grossen IP-Datenbank erkannt und anhand von Reputationen gewichtet: Emails aus Bulgarien, Brasilien und China haben es sicher schwerer als solche aus der Schweiz und Deutschland.
Emails von Server OHNE Reverse DNS (z.b. von Green und Cablecom strikt abgewiesen) werden bei uns momentan noch zugelassen, wenn auch durch aggressives Tarpitting gebremst. Diese Einstellung könnte sich noch ändern, je nach Erfahrungswerten.
Swissmailguard Content Filter Sets
Filtersets, welche von uns (fast) täglich aktualisiert werden und den Swissmailguard Benutzern automatisch zur Verfügung stehen. Die Einträge dieser Filtersets erstellen wir aus unseren speziell für Spam eingerichteten Honeypot-Adressen, auf welchen wir Spam empfangen und auf diese Filtersets setzen.Tarpitting
Die FunktionsweiseKurz Tarpit, dt. Teergrube. In der E-Mail-Kommunikation zur Bekämpfung von Spam-Mails eingesetztes Verfahren, bei dem es nicht wie bei den herkömmlichen Anti-Spam-Verfahren um die Erkennung, sondern um die Verhinderung des Versendens von Spam-Mails geht.
Dabei wird der Empfang einer Email vom empfangenden Mailserver solange hinausgezögert das es für den Spammer uninteressant wird viele Mails an diesen Server senden zu wollen, oder dieser sogar die Verbindung komplett abbricht.
Details
Die Dauer der Verzögerung wird in unserer Software über verschiedene Parameter dynamisch und situativ für jede eintelne Email berechnet. Darunter sind z.B. Reverse DNS, Einstufung des Senders als 'gut' oder 'böse' anhand stündlich aktualisierter RBL-Listen, Anzahl der empfangenen Emails pro Zeiteinheit, Anzahl Empfänger in einer Email und einige andere. So werden 'gute' Mailserver im normalfall gar nicht gebremst, ein 'böser' jedoch bis zu mehreren Minuten. Unterstützt wird dies durch manuelles white- und blacklisting.
