SPAM-Analyse: Anti-Spam-Maßnahmen des RRZE
Inhalt
Fragen & Antworten zum Thema SpamAssassin- Vermeidung einer Spam-Klassifizierung bei der Erstellung von E-Mails
- Weitere Hinweise zum Teil veraltet (Archiv)
- Die vorherige inzwischen veraltete Version dieser Seite (Archiv)
Allgemein
Das RRZE führt am zentralen FAU-Mail-Relay eine Spam-Analyse aller eingehenden E-Mails auf der Basis von SpamAssassin durch. Ziel dieser Maßnahme ist die Bereitstellung einer Bewertung jeder E-Mail nach zentral gepflegten Kriterien. Diese Bewertung kann dann jeder RRZE-Kunde in eigener Verantwortung einem selbst definierten E-Mail-Filter zugrundelegen. Die Bewertungskriterien lassen sich an zentraler Stelle nicht auf die Kommunikationsbeziehungen jedes einzelnen E-Mail-Emfängers zuschneiden. Die Bewertung soll als Hilfestellung für die Sortierung von E-Mails dienen und damit jedem Empfänger die Möglichkeit einräumen, durch Konfiguration seiner E-Mail-Oberfläche, die Belastung durch Spam-Mails zu reduzieren. Die Spam-Bekämpfung wird also in zwei Phasen aufgeteilt, eine Analyse-Phase und eine Filterphase, die nacheinander durchlaufen werden müssen.
Analyse-Phase
Jede Mail wird um zusätzliche Header-Zeilen ergänzt, die alle mit "X-Spam-" beginnen. Diese Zeilen dokumentieren die Spam-Analyse des RRZE und ihr Ergebnis. Die Spam-Bewertung stellt eine Wahrscheinlichkeitsgröße dar. Eine Garantie für die Qualität der Spam-Bewertung kann nicht gegeben werden. Es werden alle Mails analysiert, die aus dem Internet über den zentralen FAU-Mail-Relay an andere Mail-Server innerhalb der FAU verteilt werden, oder am zentralen FAU-Mail-Relay lokal zugestellt werden.
Beispiele
X-Spam-Flag: YES
X-Spam-Level: *******************
X-Spam-Status: Yes, score=19.877 tagged_above=-999 required=5 tests=[BAYES_99=3.5, DATE_IN_FUTURE_Q_PLUS=2.6, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, EXTRA_MPART_TYPE=1, FORGED_OUTLOOK_HTML=0.021, FREEMAIL_ENVFROM_END_DIGIT=1.65, FREEMAIL_FROM=0.35, HK_RANDOM_ENVFROM=0.001, HTML_FONT_FACE_BAD=0.981, HTML_IMAGE_ONLY_08=1.4, HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.723, MIME_HTML_ONLY_MULTI=0.001, PYZOR_CHECK=1.392, RCVD_IN_DNSWL_NONE=-0.0001, RFC_ABUSE_POST=0.001, SARE_SUB_ENC_GB2312=1.345, SORTED_RECIPS=2.499, STOCK_IMG_CTYPE=0.001, SUSPICIOUS_RECIPS=2.51, UNPARSEABLE_RELAY=0.001] autolearn=spam
X-Spam-Status: No, score=-1.0 tests=ALL_TRUSTED=-1.5, BAYES_50=0.5 autolearn=no
Die Bewertung kann nur genutzt werden, wenn die Header X-Spam-Flag oder X-Spam-Level in der der
empfangenen E-Mail auftauchen. Die Bewertung wird ab einem Schwellwert von 5 in Form von
X-Spam-Header-Informationen eingetragen. Die Überschreitung des Schwellwertes erkennt man an dem
Header X-Spam-Flag = YES. Zusätzlich gibt dann die Anzahl der Sternchen im Header
X-Spam-Level = ****** die Bewertungszahl wieder. Mails mit einem Level >= 15 sind ziemlich
sicher Spam, solche mit weniger als 15 Punkten sind wahrscheinlich ebenfalls Spam, sollten aber nochmal
kontrolliert werden.
Spam-Bewertung beim Durchlaufen des zentralen FAU-Mail-Relay
Die Spam-Bewertung nach zentralen Spam-Kriterien für alle E-Mails erfolgt, wenn diese den
zentralen FAU-Mail-Relay passieren. Damit werden alle aus dem Internet ankommenden E-Mails bewertet, wenn
für die Mail-Domains der Ziel-Adressen der mailhub.rrze.uni-erlangen.de mit niedrigster oder
zweitniedrigster Präferenz zuständig ist. Diese Information lässt sich mit dem Aufruf
nslookup -q=mx <maildomain>
abrufen. Dieses Kommando gibt die für einen Mail-Domain zuständigen Mail-Server (Mail eXchanger
Record, MX-Record des Domain Name Service, DNS) wieder.
Wird bei der Analyse ein Zeitlimit nicht eingehalten oder überschreitet eine E-Mail die Maximalgröße, wird keine Bewertung durchgeführt. In diesen Fällen ist eine Filterung nicht möglich.
Die folgenden Aussagen bezüglich der Header X-Spam-RRZE-Info und X-Spam-Checker-Version stimmen seit der Umstallung der Spamanalyse auf Amavis nur noch bedingt!
Zusätzlich wird dort den E-Mails ein weiterer Header mit einem Verweis auf diese Dokumentation hinzugefügt.:
Beispiel
X-Spam-RRZE-Info: Diese Mail wurde einer automatischen Spam-Analyse unterzogen, siehe: http://www.rrze.uni-erlangen.de/dienste/e-mail/spam-analyse/
Jede E-Mail, welche die zentrale Spam-Analyse durchlaufen hat, trägt diesen zusätzlichen X-Spam-Header, auch wenn sie nicht als Spam-Mail bewertet wurde.
Beispiele
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck1.rrze.uni-erlangen.de
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck2.rrze.uni-erlangen.de
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck3.rrze.uni-erlangen.de
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck4.rrze.uni-erlangen.de
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck5.rrze.uni-erlangen.de
Dieser Header gilt nur in Verbindung mit dem oben beschriebenen Header X-Spam-Checker-Version , wenn dieser den Spamcheck-Server boeck? enthält. Sonst stammt die Spambewertung nicht vom RRZE, sondern von einem anderen Spam-Check-Server, den die entsprechende Mail anschließend durchlaufen hat!
Fehlt dieser Header, so hat die E-Mail nicht den den zentralen FAU-Mail-Relay passiert und wurde auf anderen Wegen zugestellt.
Filter-Phase am Arbeitsplatz-Rechner des Kunden
Jede E-Mail-Oberfläche bietet (mehr oder weniger mächtige) Möglichkeiten, die eintreffenden E-Mails nach Kriterien zu filtern. Die Einrichtung eines Filters, der die zentrale Spam-Bewertung nutzt, liegt in der Verantwortung des Mailbox-Inhabers. Wir raten dringend dazu, beim Filtern die als Spam bewerteten E-Mails in eigene Ordner zu legen und nicht vollautomatisch zu löschen. Diese Spam-Ordner sollten mehrmals überflogen werden (am besten täglich), um fälschlicherweise als Spam bewertete E-Mails zurück in die Inbox zu verschieben.
Eine Hilfestellung zum Einrichten von Spam-Filtern auf der Basis der zentralen Bewertung ist gegliedert nach E-Mail-Programmen: Siehe hierzu die Seiten
zum Seitenanfang
Navigation ausblenden
