ostblog » Spamassassin

Spamassassin

SpamAssassin ist ein Projekt der Apache Software Foundation ist und kann unter der Apache-Lizenz genutzt werden.

Der SpamAssassin-Filter bewertet jede Email nach einem Punktesystem. Je h�her die Punktezahl, desto mehr Spammerkmale weist eine Email auf. Wird eine festgelegte Punktezahl �berschritten, wird eine Email im Betreff mit dem Prefix [SPAM] gekennzeichnet.

Um festzustellen, ob eine Email Spammerkmale aufweist, wendet Spamassassin eine vielzahl von Tests auf eine Email an.

Interne Tests
Es wird der Inhalt einer Email daraufhin untersucht, ob dort z.B. einschl�gig bekannte Spam-Phrasen vorkommen oder ob eine Email im HTML-Format gesendet wird und Zeilen besonders markiert sind (z. B. Grosse Schrift in Rot)
Eine aktuelle Liste aller internen Tests findet man unter: http://spamassassin.apache.org/tests_3_1_x.html

Bayes’scher-Filter
Bei dem Bayeschen Filter, auch bekannt als Statistical Token Analysis, wird eine Datenbank mit Spam- und Nicht-Spam Emails gef�llt, die von SpamAssassin dazu benutzt wird, bei neuen Emails anhand von Statistischen Daten zu ermitteln, wie hoch die Spam-Wahrscheinlichkeit ist.
Je h�her die Anzahl der Emails in der Datenbank ist, desto genauer kann dieser Mechanismus arbeiten. (minimum ca. 1000 Spam- und Nicht-Spam Emails).

Online-Abfrage von RBL-Listen
Wie der Mailserverdienst auch kann SpamAssassin RBL-Listen abfragen um eine Email als Spam zu klassifizieren.

Razor
Razor, auch unter dem Namen SpamNet bekannt, ist eine verteilte serverseitiger Spamdatenbank und wird seit mehr als zwei Jahren von der Unix Community erfolgreich im Kampf gegen SPAM verwendet. Diese Datenbank wird durch den Input von Usern, bzw. Mailservern (Reporting Agents) st�ndig erweitert. Zu jeder Email wird dann ein Hash-Wert erzeugt und dieser in der Datenbank gespeichert. Erh�lt der Razor-Server dieselbe Spam Nachricht �fters und von verschiedenen Quellen wird diese im Katalogserver als Spam gelistet. SpamAssassin pr�ft, ob eine eingehende Email bereits in der Razor-Datenbank als Spam gelistet ist.

Distributed-Checksum-Clearinghous (DCC)
Streng genommen entdeckt das Distributed-Checksum-Clearinghouse-Verfahren nicht nur Spam, sondern allgemein massenhaft versandte E-Mails (Bulk Mails). In einem DCC-Verbund ermittelt die Anti-Spam-Software zu jeder eingehenden E-Mail eine spezielle Pr�fsumme und sendet diese an einen Server (Clearinghouse). Dieser antwortet mit der Angabe, wie oft diese Mail-Pr�fsumme bereits registriert wurde und erh�ht gleichzeitig den entsprechenden Z�hler. DCC-Server tauschen wiederum untereinander entsprechend den Vorgaben ihrer Betreiber Daten �ber Bulk Mails aus.

Der anfragende DCC-Client (Mail-Server oder -Client) erh�lt als Antwort ein verl�ssliches Ma� f�r die Zahl der teilnehmenden Mail-Server, bei denen dieselbe Nachricht eingegangen ist. Eine E-Mail mit einem hohen “bulk count”, also entsprechend hoher Verbreitung, ist entweder Spam oder eine Nachricht aus einer popul�ren Mailing-Liste. F�r letztere f�hrt das DCC eine Freigabeliste (White List), um ihre Nachrichten zu identifizieren. Jede massenhaft versandte E-Mail, die nicht durch einen solchen White-List-Eintrag legitimiert ist, kann mit hoher Sicherheit als Spam klassifiziert werden.

Entscheidend f�r das Funktionieren von DCC ist der Gebrauch von “Fuzzy Checksums”: Normalerweise sind Pr�fsummenalgorithmen derart konstruiert, dass sie ein v�llig anderes Ergebnis liefern, sobald sich auch nur ein Bit in der zugeh�rigen Nachricht �ndert. Da Spam-Versender h�ufig zuf�llige Komponenten in ihre Mails einbauen, um einer Kategorisierung zu entgehen oder Nachrichten zu personalisieren, ben�tigt DCC eine andere Art von “Fingerabdruck”, bei dessen Erstellung bestimmte Teile der Nachricht unber�cksichtigt bleiben. Diese “unscharfen” Pr�fsummen sind so angelegt, dass sie f�r E-Mails mit gleicher Aussage dasselbe Ergebnis liefern und zuf�llige Anteile m�glichst unber�cksichtigt lassen.

Pyzor
Pyzor ist, �hnlich wie Razor und DCC, ein verteiltes System zur Erkennung von Spam und basiert auf der Programmiersprache Python. Anwender, die unerw�nschte Mails bekommen, k�nnen diese an �ffentliche Pyzor Server senden. Wenn dieselbe Mail von mehreren Nutzern als Spam an die Pyzor Datenbank �bermittelt wurde, wird diese dort gelistet. Bei der Listung in Pyzor wird nicht der Inhalt der Mail gespeichert sondern eine Checksumme der Nachricht.

Benutzerdefinierte White- und Blacklisten
Es k�nnen im SpamAssassin Spamfilter White- und Blacklisten gepflegt werden.
Diese Listen bestehen aus Absender-Emailadressen oder Absender-Domains, die vom Spamfilter bei der Bewertung einer Email beachtet werden.
Ein Eintrag in der Whiteliste bewirkt das eine Email mit einer definierten Anzahl von negativen Punkten bewertet wird.(Die Email gilt somit wahrscheinlich nicht als Spam)
Ein Eintrag in der Blacklist bewertet eine Email dieses Absenders mit einer definierten Anzahl von positiven Punkten.(Die Email gilt somit wahrscheinlich als Spam)
Aktuell werden f�r Eintrage in einer White- oder Blackliste 1000 Punkte vergeben. Generell ist aber mitlerweile das Blacklisten von Adressen nicht mehr sehr effektiv, da die meisten Spam-Emails mit automatisch generierten Absenderadressen gesendet werden. Der Aufwand, diese alle einzutragen, ist mitlerweile einfach zu hoch.

OCR-Modul
F�r Spamassassin existiert mittlerweile ein Modul, welches Bilder in Emails auf Spammerkmale untersuchen kann. Jede Mail die ein Bild enth�lt wird von diesem Modul gescannt und dabei werden mittels eines OCR-Moduls die Texte in dem Bild extrahiert. Diese Texte werden dann mit einer Spam-Wortliste verglichen. Zus�tzlich wird gepr�ft, ob der Content-Type des Bildes richtig angegeben ist oder das Bild korrupt ist. Animierte Gifs, wo nur die letzte Sequenz das Spam-Bild enth�lt werden auch erkannt.

Spamassassin

Letzte Meldungen

Kategorien

Archiv

Tags

Apache Webserver

DNS

Links

Linux

Monitoring

Netzwerk

Samba SMB-Server

Security

Software

Squid Cache

Storage

Windows

Meta

Auf dem Laufenden bleiben

Wer schreibt