server:spamfilterung

Spamfilterung

  • MTA mit Adressverifizierung einrichten → „Backscatter“ verhindern (Spammer versenden bewusst an nicht existierende Empfänger um den Mailserver zur Zustellung des Spam an den gefälschten Absender zu mißbrauchen bzw. benutzen nicht existente Absenderdomains.)
  • Greylisting (z.B. mit postgrey): Führt eine Liste von bekannten Absenderserver, neue Absender werden mit einem temporären Fehler abgelehnt und nach einer gewissen Zeit dann durchgelassen. Spammer halten sich meist nicht mit einzelnen Fehlern auf sondern gehen zum nächsten Server um den Durchsatz zu erhöhen, reguläre Server versuchen es einfach später noch einmal. Führt bei neuen Absenderservern zu Verzögerungen, ist aber eine effektive Methode zur Spamfilterung.
  • policyd-weight Bewertungssystem für SPAM-Kriterien. Das führt bei kleinen Konfigurationsfehlern oder bei Listing in einer RBL nicht sofort zur Ablehnung sortiert aber relativ zuverlässig den Großteil der Spammer aus bevor man überhaupt inhaltlich die mail angucken muss. Es werden verschiedene Kriterien herangezogen um schon beim Verbindungsaufbau die Seriösität einzuschätzen:
    1. Steht der Sender auf mehreren Blacklists?
    2. handelt es sich um eine dynamische Adresse bei einem Endkundenprovider?
    3. ist der Sender ordentlich konfiguriert? (A, MX-Records, Rückwärtsauflösung, HELO/EHLO, …)
  • amavisd-new: Spam und Virenfilter
    • ruft den Virenscanner und Spamassassin (s.u.)für die Spamklassifizierung auf
  • Tarpitting: Methode um erkannte Spammer möglichst lange aufzuhalten.
  • SPF / DKIM-Signaturen einsetzen und damit die mail bzw. die Absenderserver
  • hashcash-Signaturen berechnen - für kleinere Umgebungen kann sich das lohnen, für jede Mail wird mehrere Sekunden ein Hash berechnet und das wird von Spamassassin positiv gewertet.

Spamassassin führt eine sehr umfangreiche Liste von Tests durch und gibt am Ende einen Score (Gesamtpunktzahl) aus der die Wahrscheinlichkeit wiedergibt ob die E-Mail Spam ist oder nicht. Ab einer bestimmten Punktschwelle (z.B. 6,31) ist die Wahrscheinlichkeit ausreichend hoch und man kann die Nachricht ablehnen. Zustellung mit Spamhinweis oder gar in einen speziellen Spamordner ist wenig hilfreich, gerade im Spamordner versauern dann wichtige (falsch erkannte) Mails, besser wäre die Filter durch Training zu verbessern.