Merkblatt E-Mail-Spamfilter am DHI Rom

Merkblatt
E-Mail-Spamfilter am DHI Rom
1. Rechtslage
Das Filtern von Werbe-E-Mails ist ohne Kenntnis und Zustimmung des Empfängers strafbar.
§ 206 StGB Fernmeldegeheimnis: Inhaber und Beschäftigte von Unternehmen, die
geschäftsmäßig Telekommunikationsdienste erbringen, dürfen ihnen zur Übermittlung
anvertraute Sendungen und Mitteilungen nicht unbefugt unterdrücken.
§ 303 StGB strafbare Datenveränderung: Verbot des Unterdrückens oder Löschens von
Daten Dritter. Unter Daten versteht man Inhalte, die „elektronisch, magnetisch oder sonst
nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden“ (-> E-Mail).
Eine Zustimmung des Personalrats, z.B. in Form einer Dienstvereinbarung ist deshalb
notwendig. Zudem installiert das DHI Rom eine sog. „Quarantänelösung“, d.h. eingehende
unter Spamverdacht stehende E-Mails werden nicht unterdrückt, sondern in einen separaten
Eingangsordner sortiert (s.u.).
2. Quarantänelösung am DHI-Rom
2.1 Pegasus-Mail: Neuer Ordner „My Web-Mailbox“ // „Junk-E-Mail“
2.2 MS Outlook: Neuer Ordner „Meine Web-Mailbox“ // „Junk-E-Mail“
Grundsätzlich gilt:
• Im Betreff der als Spam klassifizierten Mails können Sie die vergebene SpamBewertung erkennen (z.B. „* SPAM * Bewertung /Schwelle: 6,2 / 5“). Eine
Beschreibung des verwendeten Bewertungssystems finden Sie unter Punkt 4.
• Irrtümlich als Spam erkannte E-Mails (sogenannte „False Positives“) können Sie
normal weiterverarbeiten (Reply, Verschieben, Ausdrucken etc.)
• Sie entscheiden selbst, ob und wie oft Sie den „Junk-E-Mail“-Ordner kontrollieren
möchten. Einzige Einschränkung: Das System löscht automatisch E-Mails, die Sie in
dem Ordner belassen und die älter als 90 Tage sind.
3. Welche Einflussmöglichkeiten habe ich?
•
•
•
„False Positives“, fälschlich als Spam erkannte Mail: In einem solchen Fall
können Sie uns den Absender mitteilen ([email protected]) oder die betreffende
Mail mit einem kurzen Vermerk an uns weiterleiten. Wir schalten die
Absenderadresse dann komplett im System frei, so dass Sie künftig ungefiltert an Sie
durchgereicht wird.
Unerkannte Spam-Mail: Spams, die Ihre normale Inbox erreichen, ohne ausgefiltert
worden zu sein, können Sie entweder wie immer löschen oder aber einfach in einen
gesonderten Giftordner („My Web-Mailbox“ / „Spamfilter“) verschieben, der nachts
von unserem Server ausgewertet wird. Mit der zweiten Option tragen Sie aktiv zur
Feinjustierung des Filters bei.
Deaktivierung des Spamfilters: Möchten Sie prinzipiell auf eine Spamfilterung Ihrer
Mailbox verzichten, können wir den Spamfilter für Sie deaktivieren. Lediglich eine
unverzichtbare Basisfilterung (Sicherheitsüberprüfung des Absender-Mailservers =
Viren, Sicherheitsstandards) bleibt aktiviert.
_________________________________________________
4. Hintergrundinformationen
•
Welches Anti-Spam-Produkt verwendet das DHI Rom?
Es handelt sich um den MDaemon-Professional-Mailserver, der die Software „SpamAssassin“ integriert (www.spamassassin.org und www.altn.com ). Dabei handelt es
sich um ein führendes Open-Source-Projekt, welches im Gegensatz zu
fehleranfälligen und unflexiblen statischen Filtern ein mehrstufiges
Filterungsverfahren für Spams entwickelt hat, anhand dessen typische Spam-Muster
errechnet und laufend aktualisiert werden können. Das System bedient sich folgender
Einzelfilter:
o Textanalysen (Betreffzeile, Textkorpus)
o Technische Analyse des Mailformats (Header, HTML-Elemente etc.)
o Überprüfung anhand einer internen Datenbank (bereits identifiziertes
Spamaufkommen)
o Heuristische Funktionen
o Lernfähige Statistik-Filter (Bayes). Dazu Auswertung der von Ihnen im Ordner
„Spamfilter“ abgelegten neuen Spam-Mails.
Grundsatz: Durch die Kombination mehrerer Verfahren sollen Fehltreffer reduziert
werden. Die Trefferquote wird je nach Hersteller mit 95 – 97% angegeben. Ein
hundertprozentiges Antispamverfahren existiert (noch?) nicht.
•
Was sagt die Spambewertung in der Betreffzeile der E-Mails aus, z.B. „* SPAM *
Bewertung / Schwelle 6,2 / 5“?
Für jedes von einem der o.g. Filter erkannten Spamkriterien vergibt das System
Punkte. Hinweise, die auf eine erwünschte Mail hindeuten (z.B. Mail von ansonsten
sicherem Mailserver) werden als Minuszahlen eingerechnet und reduzieren somit den
Spamverdacht.
Beispiel:
X-Spam Report: ---- 6.2 Points , 5 required
* 3.0 Subjects contains lot of white space
* 3.9 – Textbody: Impotence Cure
* minus 5,7 – Message is from secure Server
* 2.0 Date: is 96 hours before received date
* 1,5 – Message is 80% to 90% HTML
* 1,5 – HTML is a saved Web-Page
--- End --Fazit: Nicht jedes einzelne Kriterium, sondern erst die Summe ist entscheidend: Liegt
sie über dem von uns definierten Schwellenwert, besteht Spamverdacht, liegt sie
darunter, wird die Mail als unverdächtig eingestuft. Aus dem laufenden Betrieb wird
sich ergeben, wie hoch wir den Schwellenwert setzen müssen, um einerseits
genügend Spams auszufiltern, anderseits die Gefahr von False-Positives (s. Punkt 3)
zu reduzieren.
Grünewälder / Bolli
15.März 2004