25.01.2004 11:06
Mit dem Projekt "NiX Spam" hilft iX Betreibern von Mailservern, gegen unerwünschte E-Mails vorzugehen. Das erstmals im Mai 2003 vorgestellte Skript für den Mail-Prozessor Procmail steht jetzt in einer aktualisierten, verbesserten Version zum FTP-Download zur Verfügung.
Das Procmail-Skript war von der iX-Redaktion zunächst lediglich für den internen Einsatz bestimmt. Es ist auf großen Durchsatz ausgelegt. Prüfsummen sowie Whitelist und Blacklist sorgen dafür, dass nur ein Bruchteil aller Mails die CPU-belastende Inhaltsanalyse durchlaufen muss. NiX-Spam beurteilt die nicht schon durch Checksummen bekannten E-Mails außerdem schon nach der Header- und MIME-Analyse und lässt die besonders rechenintensive Body-Analyse bei eindeutiger Lage aus.
Im Heise Zeitschriften Verlag bearbeitet NiX-Spam derzeit etwa 16.000 Spam-Mails von 20 Anwendern pro Woche. Nachdem es einige Wochen eingesetzt wurde, durchliefen 90 Prozent der erwünschten Mails den Inhaltsfilter gar nicht mehr, sondern wurden bereits durch eine automatisch generierte Whitelist aussortiert. 80 Prozent vom Rest wird bereits nach einer Header-Analyse als erwünscht erkannt. False-Positive-Gefahr und Rechenlast der Body-Filterung sinken damit nach Angaben des iX-Redakteurs Bert Ungerer gegenüber der Body-Analyse jeder Mail um 98 Prozent.
Mit steigender Mail- und Anwenderzahl verbessert sich die Statistik, da sich alle Anwender die zentralen Spam-Informationen teilen. Es liegt also nahe, den eigenen Filter entsprechende Listen anlegen zu lassen, die für die eigene Firma oder Abteilung gültig sind und ohne Verzögerung zur Verfügung stehen. Die Listen unerwünschter Prüfsummen und Gateway-Adressen lassen sich schnell und einfach noch während laufender Spam-Attacken via Internet austauschen, um die Anwenderbasis zu vergrößern und damit die Statistik weiter zu verbessern.
Als neuer Zusatz-Service stehen eine Prüfsummenliste und eine vom Filter generierte und laufend aktualisierte "Temporary Blackhole List" online zur Verfügung. Letztere ergänzt die bekannten, statischeren Sperrlisten (RBLs) und ermöglicht es, auch dynamische IPAdressen effektiv zu blockieren. Ein Großteil der Spam-Flut nimmt nämlich inzwischen seinen Weg über verseuchte PCs, die nur vorübergehend mit dem Internet verbunden sind und Spam ohne Kenntnis des Besitzers verbreiten. Die kurzen Update-Intervalle der temporären Blacklist sorgen dafür, dass inaktive Adressen schnell wieder verschwinden.
(hob)
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-92271
