Spamfilter

Konzeption

Im ersten Schritt werden DNS-Blacklists von spamhaus.org, abuseat.org, spamcop.net, mailspike.net und dnswl.org abgefragt und bei einem Treffer die Mail erst gar nicht angenommen.

Im Anschluss werden die Mails von amavisd-new in Verbindung mit Spamassassin gescannt. In Spamassassin werden verteilte Spamchecks per Razor und Pyzor genutzt. Das Ergebnis dieser Tests wird in die Mailheader geschrieben.

Im Anschluss werden die e-mails per Sieve Filtering Language in die entsprechenden Ordner zugestellt.

Nutzung

Filterung

Amavisd-new verändert die Header der eintreffenden Mails und fügt vor allem die folgenden Header hinzu:

X-Spam-Flag

ist entweder "YES" oder "NO"

X-Spam-Score

ist eine Fließkommazahl

X-Spam-Level

besteht aus x Sternen ("*"), wobei x dem ganzzahligen Anteil des X-Spam-Score entspricht

X-Spam-Status

ist eine ausführliche Auflistung, durch welche Checks der Spamscore zustande gekommen ist.

Anhand dieser Header lassen sich die e-mails per Sievescript filtern und in Junk, Inbox oder ganz andere Ordner einsortieren. Zum Editieren der Sieve Filterscripte ist es am Einfachsten den Webmailclient unter https://mail.win-management.de zu nutzen. Nach dem Einloggen klickt man in der rechten oberen Ecke auf das Zahnrad, "Settings". Im folgenden Bildschirm, dann in der linken Spalte auf "Filters". Nun werden einem ein Filterset "Default" und die dazugehörigen "Filter" angezeigt. Dies sind die Standardfilter so wie sie serverseitig für jeden Benutzer eingerichtet sind. Diese lassen sich individuell für jeden Nutzer anpassen.

Standardmäßig existieren drei Filterregeln, von denen die erste erste deaktiviert ist.

1. Mails mit einem Spamscore größer 12 werden komplett vernichtet
   1. Diese Regel ist deaktiviert, da sie destruktiv ist. Mails die unter diese Regel fallen, können nicht wiederhergestellt werden. Wenn sich mit der Zeit herausstellt, dass wirklich mails über einem gewissen Spamlevel mit an Sicherheit grenzender Wahrscheinlichkeit Spam sind, kann die Regel aktiviert und ihr Spamscore angepasst werden, um die Flut im Trash-Ordner zu minimieren.
2. Mails mit einem Spamscore größer 9 werden als gelesen markiert und in den Gelöscht-Ordner verschoben.
   1. Die "spamminess" einer e-mail wird über die Anzahl Sterne ("*") im X-Spam-Level ermittelt, da Vergleichsoperationen auf Zahlen in Sieve nicht möglich sind.
   2. Es ist wichtig am Ende der Regel "Stop evaluating rules" zu setzen, da sonst die folgende Regel auch noch evaluiert wird und die mail somit im Junk-, statt im Trash-Ordner landen würde.
3. Alle anderen Spamlevel werden als gelesen markiert und in den Junk-Ordner verschoben.
   1. Hierfür reicht es einfach zu überprüfen, ob der X-Spam-Status "YES" ist.

Diese drei Regeln bieten eine umfassende und mehrstufige Sortierung von Spammails. Es kann immer zu false positives kommen, so dass man grundsätzlich mails nicht wegwerfen sollte. Dennoch kann es nach gutem Training des Spamfilters sinnvoll sein die erste Regel anzupassen und zu aktivieren. Im Folgenden ein paar weitere Ideen, was ein Endnutzer eventuell anpassen wollen könnte:

• Die Anzahl der Sterne in den ersten beiden Regeln.
  • Nachdem man einige Zeit die Ham und Spam-Mails gelernt und die resultierenden X-Spam-Level verfolgt hat, kann man besser einschätzen ab welcher Anzahl Sterne eine e-mail höchstwahrscheinlich komplett sinnlos ist und welcher Bereich noch in eine Grauzone fällt.
• Die zweite Regel komplett entfernen/deaktivieren.
  • Je nach Workflow, kann es sinnvoll sein, dass der Trash-Ordner keine Spammails enthält und dass man diese nur in den Junk-Ordner sortiert haben möchte.

Lernen

Zum Lernen von Spam und Ham-Mails müssen die jeweiligen e-mails einfach nur in die jeweiligen Ordner verschoben werden. Verschiebt man also eine fälschlicherweise als Spam erkannte mail aus dem Junk-Ordner in einen anderen Ordner (außer Trash), wird sie als Ham gelernt. Verschiebt man eine in der Inbox (oder sonstigen Ordnern) gelandete Mail in den Junk-Ordner, wird sie als Spam gelernt.