Spamfiltering- TECHNOLOGIEN:

Heuristische Analyse Die heuristische Analyse ist eine regelbasierende Scanmethode, die bestimmte Merkmale einer Mail erkennt. Bestimmte Merkmale deuten auf Spammails hin (z.b. wenn sich ein Removelink in dieser Mail befindet, bestimmte Wörter enthalten "VIAGRA", fremdsprachige Zeichensätze beinhalten etc..). Diesen Merkmalen werden unterschiedliche "Schlechtpunkte" zugeordnet. Nach der Analyse einer Mail werden diese "Schlechtpunkte" addiert. Wenn diese Summe über einem bestimmten Grenzwert liegt, wird diese Mail als Spam bewertet. .....................................................................................................................................................

Bayes'sche Textanalyse Die Bayes'sche Analyse greift auf Statistiken zurück, die auf das Analysieren von vielen Spammails entstanden sind. Dieser Mechanismus ist selbst lernend und wird mit der Anzahl von analysierten Mails intelligenter. Diese Statistiken werden mit algorithmischen Regelwerken auf neue Emails angewendet. Die Bayes'sche Analyse gilt als einer der stärksten Mechanismen in der Spamerkennung. Gleichzeitig auch als einer mit der geringsten "False positive" Rate. ("False Positives" sind reguläre Emails die als Spam beurteilt wurden - Je stärker ein heuristischer Spamfilter konfiguertiert wurde, desto höher ist die Rate von "False Positives") - Deshalb sind kombinierte Spamfilteringansätze sehr sinnvoll: D.h. Mails die mit einer sehr hohen Wahrscheinlichkeit als Spam bewertet wurden, können gleich gelöscht werden. Andere mit einer niedrigeren Spambewertung sollten nur markiert ("getagt") und nochmals vom Endbenutzer kontrolliert werden. .......................................................................................................................

Lexikalische Analyse Diese Analyseform untersucht den Inhalt der E-Mail und filtert Text-Strings (z.B. Verkaufsangebote, Aufforderung zum Besuch einer Webseite, etc.), Diese Textstrings werden mit Bool'schen Operatoren verknüpft (OR, AND, NOT etc.) und analysiert ob es sich tatsächlich um ein solches Angebot handeln könnte. Ist dieser der Fall wird das Emails als Spam qualifiziert. .......................................................................................................................

Spamdatenbank Spammails werden ab und zu geringfügig geändert (entweder mit jedem versandten Paket oder mit jeder versandten E-Mail). Um solche polymorphen Spammails zu identifizieren werden Hash-Signaturen aus empfangenen E-Mails extrahiert und mit Signaturen bekannter Spammails in einer aktualisierbaren Datenbank verglichen. Mit diesem Hash-Signatur-System lassen sich Variationen von Spammails erkennen. Die Filterung von verschiedenen Sonderzeichen, Daten und Tags, mit denen Spammails Antispamprogramme umgehen wollen, aus verdächtigen Spammails erhöht die Effektivität dieses Systems. Um die Datenbank aktuell zu halten werden Hash-Signaturen hinzugefügt, die mit Hilfe von sog. "Real-time Spam Collectors", E-Mail-Adressen die zum Sammeln von Spammails genutzt werden, erfasst werden. .......................................................................................................................

Black- und Whitelists Manchmal kann es jedoch notwendig sein, solche RBL-Listen zu spezifizieren. Diese Technik ist zwar veraltet, da Spammer sich zufällig E-Mail-Adressen von meist gültigen Domains auswählen und diese bei jedem Versand verändern. Dennoch werden immer noch bestimmte Domainnamen von Spammern benutzt um Spammails zu verschicken. Diese Domainnamen kann man selbst in Blacklists eintragen, um sich so vor Spam zu schützen. White Lists sind das Gegenstück zu Blacklists. In ihnen werden Listen von E-Mail-Adressen und Domains verwaltet, die erwünscht eine hohe Anzahl an Mails verschicken wie abonnierte Mailing-Listen oder Newsletter. Hier können auch E-Mail-Adressen hinzugefügt werden, die nicht von Spammern genutzt werden, aber zu einer Domain gehören, die gewöhnlich als Open Relay zum Versenden von Spammails missbraucht werden. .......................................................................................................................

Subject Analyse Viele Spammails ähneln sich in ihren Betreffzeilen. Durch Musterlisten, die typische Betreffzeilen von Spammails enthalten, ist es möglich Spam zu ermitteln und somit zu filtern. ("Save Money", "Viagra online",etc.) .......................................................................................................................

Directory Harvesting Protection Die sog. Verzeichnis-Attacken werden von Spammern genutzt, um an gültige E-Mail-Adressen einer Domain zu kommen. Dabei werden an viele verschiedene Adressen Mails verschickt und überprüft, ob der empfangende Mail-Server eine Fehlermeldung zurückgibt. Ist dies nicht der Fall, ist die E-Mail-Adresse gültig und wird in Spammailing Listen aufgenommen. .......................................................................................................................

Mailbombing Protection Denial of Service (DoS)-Attaken sind eine Form des Mail-Bombing, bei denen versucht wird über Dictionary-Mailer Massen-E-Mails an eine Domain zu senden. Dieser Schutz reguliert den Email-Fluss um einer Überlastung vorzubeugen. D.h. Dass sowohl die Anzahl der offenen Email Sessions als auch die Anzahl der Emails im Spool überwacht werden. Eine beliebte Vorgehensweise von Spammern ist es, Emails mit einer großen Anzahl von Empfängern zu verschicken. Dabei wird der Mailserver des Betroffenen als Multiplikator verwendet. Zum Schutz vor solchen Attacken ist beim IKARUS Spamfiltering ist eine maximale Höchstzahl an erlaubten Empfängern vordefiniert. .......................................................................................................................

Relay Spoofing Protection Spammer verschicken ihre Mails von externen Domains, verwenden aber zur Tarnung interne Absender-Adressen. Beispiele: Eine Spammail an mike@yourcompany.com könnte sich im Absender als mikesfriend@yourcompany.com tarnen. Diese interne Absender-Adresse kann sowohl eine gültige als auch eine ungültige Adresse der Domain sein. Als Absender-Adresse wird als Tarnung dieselbe Adresse wie die des Empfängers verwendet. Es scheint, als schicke man sich selber eine E-Mail. Emailspoofing wird von IKARUS Spamfiltering zuverlässig erkannt und unterbunden  .......................................................................................................................