Spam Catch
Johann Klasek
Zusätzlich zur Spam-Markierung eingehender E-Mails, gibt es nun die Möglichkeit,
individuell eine weitere Behandlung der E-Mails wie Blockieren und Ignorieren
abhängig von der Spam-Bewertung zu aktivieren.
Der Anfang
Seit geraumer Zeit verfügt die TU Wien über ein zentrales Spam-Markierung-System,
das eingehende E-Mails mit einem Score zur Spam-Erkennung bewertet. Dabei
kommen unterschiedlichste Methoden der Erkennung zum Tragen, unter anderem
Bayesian Filter, DNS-basierte Blacklists, Muster in E-Mail-Header oder
E-Mail-Inhalt, die zusammen in einen finalen Score münden. Dabei wird als
feste Vorgabe von einer Grenze bei einem Score-Wert von 6,0 ausgegangen,
die für sich noch nicht generell über Spam oder Nicht-Spam (gerne auch
als Ham bezeichnet) entscheidet. Es wird lediglich eine gewisse Wahrscheinlichkeit
angedeutet, dass es sich bei einer E-Mail mit Score >= 6,0 um eine Spam-Mail
handeln könnte. Diese wird durch entsprechende Ergänzungen im E-Mail-Header,
unter anderem durch die Markierung des E-Mail-Betreffs, unterstrichen (um
allen Mail-Clients die Möglichkeit der Filterung basierend auf diesen Informationen
zu ermöglichen).
Soweit der bisherige Status. Die Markierung allein hat aber gewisse Limitierungen,
wie z. B. dass eine tatsächliche Filterung erst direkt im Mail-Client, bestenfalls
am Server der eingehenden Mailbox, erfolgen kann. E-Mails, ob Spam oder
Ham, wandern ständig durch das TUNET. Speziell die Filterung auf einem
eventuell sogar mobilen Mail-Client (Handy, PDA) hat den Nachteil, dass
Spam-Mails über eine eventuell bandbreitenschwache Verbindung mitübertragen
werden müssen.
Über die nun auf den zentralen Mailservern verfügbaren Mail-Optionen kann
jeder Benutzer E-Mails bei Erreichen eines frei festlegbaren, individuellen
Score-Wertes verwerfen lassen. Als Ergänzung steht auch noch zur Auswahl,
ob man die - manchmal unerwünschte - Markierung "[SPAM?]" im Betreff haben
möchte oder nicht.
Seit 27. September 2005, gemäß ZIDnews-Ankündigung
[2], steht nun das Setzen
dieser zentralen Mail-Optionen (Dokumentation siehe
[3]) zur Verfügung.
Wer kann diese Möglichkeiten nutzen?
-
Sowohl Studenten und Personal als auch weitere Mitarbeiter (nicht in einem
Dienstverhältnis zur TU Wien stehende Personen), die in den White Pages
[4] einen Eintrag besitzen.
-
Für das Eintragen und Ändern ist das TU-Passwort [5] erforderlich.
-
Die Bearbeitung erfolgt über Daten ändern des persönlichen White Pages
Eintrages.
Auch nach Ablauf des Dienstverhältnises, also wenn eine Person nicht mehr
in den White Pages aufscheint, bleiben die generische E-Mail-Adresse und
alle mit der Person verbundenen E-Mail-Optionen ein Jahr lang aktiv.
Auf welche E-Mail-Adressen wirkt sich das aus?
Die Einstellungen können für verschiedenste Varianten der persönlichen
E-Mail-Adresse gesetzt werden:
-
Alle Formen der generischen (auch allgemeine) E-Mail-Adressen endend auf
@tuwien.ac.at oder @student.tuwien.ac.at.
-
Sonstige TU Wien-Adressen der Form *@*.tuwien. ac.at, die üblicherweise
direkt die Mailbox auf Mailservern innerhalb des TUNETs adressieren. Das
ist z. B. jene, die in den White Pages als Zustelladresse (Weiterleitungsadresse
für die generische Adresse) über das Attribut Mail angegeben wurde. Aber
auch andere, nicht in den White Pages sichtbare E-Mail-Adressen können
berücksichtigt werden. *)
-
Adressen von speziellen, am ZID registrierten, externen Mail-Domains (die
nicht auf tuwien.ac.at enden), die über die zentralen Mailserver der TU
Wien abgehandelt werden. *)
Z. B. haben derartige Angaben bei gmx.at-Adressen
(die nicht über die TU Wien geleitet werden) keinen Effekt.
Bei der Angabe von nicht generischen Adressen wird die Richtigkeit der
eingetragenen E-Mail-Adresse durch ein Challenge-Response-Verfahren verifiziert,
um einen Missbrauch "fremder" Adressen zu vermeiden, aber auch um die Korrektheit
der Adresse zu überprüfen. Dazu wird - nur bei erstmaliger Angabe - der
E-Mail-Adresse eine "Challenge"-E-Mail an eben diese gesendet. Diese enthält
eine URL, die man aufrufen muss ("Response"). Erst dann werden die Einstellungen
zur E-Mail-Adresse tatsächlich übernommen.
Wie sonst auch bei Mailrouting-Änderungen üblich wirken sich diese auf
den Servern binnen 10 Minuten aus (unter gewissen, eher seltenen Umständen
könnte es auch länger dauern, aber sicher nicht länger als eine Stunde).
Generell müssen die einzutragenden E-Mail-Adressen immer real existierenden
E-Mail-Adressen entsprechen. Die Angabe von Mustern oder Wildcards ist
nicht möglich. Lediglich die generische Adresse subsummiert alle impliziten
Varianten einer generischen Adressen (siehe dazu
[6]).
Welche Einstellungen sind möglich?
-
Blockieren:
Mit einem Score-Wert für das Blockieren können damit bewertete
E-Mails an den zentralen Mailservern abgewiesen werden. Dies passiert dann
in einer Art, dass der Absender in Form einer Bounce-Mail von der Abweisung
informiert werden sollte.
Eine Einschränkung tritt allerdings ein, wenn
in einer übermittelten E-Mail mehrere Empfänger adressiert sind und diese
Empfänger unterschiedliche Blockierungseinstellungen haben. Dann ist nämlich
der höchste Score- Wert aller Empfänger ausschlaggebend (wenn nicht existent,
dann entspricht das dem Score-Wert "unendlich" und die E-Mail kann stets
passieren). Somit wirkt sich die Blockierung nicht immer zwingend aus.
-
Ignorieren:
Hier führt die Überschreitung des angegebene Score- Wertes
immer dazu, dass die E-Mail für einen persönlich unterdrückt wird. Allerdings
merkt ein Absender prinzipbedingt davon nichts, hat also keine Kenntnis,
dass die E-Mail verworfen wurde. Daher ist der dafür vorgesehene Score-Wert
entsprechend vorsichtig zu wählen, da False-Positives stillschweigend untergehen
könnten.
-
Markierungsoption:
Die Vorgabe ist, dass im Betreff eine Markierung "[SPAM?]"
eingefügt, wenn der Score einer E-Mail 6,0 erreicht bzw. überschreitet.
Daher ist diese Option in der Voreinstellung angehakt. Entfernt man die
Anwahl, wird versucht, die Markierung zu unterlassen. Auch hier tritt der
Nebeneffekt auf, dass bei mehreren Empfängern alle die Markierung unterdrückt
haben müssen, damit sich dies auswirkt (d. h. im Zweifelsfall bleibt die
Markierung erhalten).
Es bleibt der Spam-Status an anderen zusätzlich vom
Spam-Markierungsservice [7] hinzugefügten Mail-Headern erkennbar.
Die Optionen Blockieren und Ignorieren sind noch in einigen kleinen Details
miteinander verbunden. Fehlt etwa die Angabe eines Blockierwertes, wird
dieser implizit auf den Ignorierwert gesetzt. Ebenso wenn es z. B. bei allen
Empfängern einer E-Mail zu einem Ignorieren kommen sollte, wird daraus
ein Blockieren (für den Einzelempfänger ist ein Ignorieren eigentlich immer
ein Blockieren!). Damit versucht das Mailsystem, wenn immer es geht, die
sicherere Variante (nämlich die zu einem Bounce beim Absender führt) zu
verwenden.
Typischer Anwendungsfall
Ausgangspunkt der Überlegungen ist der zentral vorgegebene Score-Wert von
6.0. Mit einem Blockierwert von 8.0 hat man etwas Spielraum für überbewertete
reguläre E-Mails. Zusätzlich kann man dann je nach bisherigen Erfahrungen
einen Ignorierwert von z. B. 12.0 angeben, womit die "schweren" Spam-Fälle
tatsächlich sang- und klanglos verschwinden und das Risiko, eine reguläre
E-Mail zu erwischen, schon recht gering ist.
Ist man mutiger, z. B. etwa bei Zusatzadressen, die nicht primär genutzt
werden, kann man sich auf die Angabe eines Ignorierwertes von 9.0 (ohne
Blockierwert) festlegen. Wie oben erwähnt, wirkt sich ein Ignorieren, für
den Einzelempfänger einer E-Mail sowieso, ohnehin als Blockieren aus.
Weitere Informationen sind unter
[3] verfügbar, wo das Konzept im Detail,
eine Übersicht und ein Fragen-Antworten-Abschnitt zu finden sind.
Referenzen:
*) nur für TU-externe Absender wirksam