Tecnologías más nuevas en la lucha contra el Spam

Qustodium setzt immer die neuesten Technologien im Kampf gegen die Werbeflut ein. Unsere Lösung basiert auf einer Vielzahl von Filtern, die jede eingehende Nachricht nach Spammustern, Viren und Phishingversuchen durchsuchen.

Sobald eine bestimmte Anzahl von Filtern eine Nachricht als Schädling (Spam, Virus oder Phishing) klassifiziert haben, wird diese Nachricht sofort im System markiert. Sie erhalten somit einen E-Mailschutz der im Gegensatz zu normalen Lösungen bereits arbeitet, bevor die Nachricht überhaupt auf Ihren Rechner gelangt ist. Gängige Programme laden zunächst die möglicherweise gefährlichen Nachrichten auf Ihren Rechner und prüfen dann auf Schädlinge.

Keiner der hier beschriebenen Filter ist alleine dafür ausschlaggebend, ob eine Nachricht als Spam klassifiziert wird. Es gibt immer eine festgelegte Mindestanzahl von Punkten oder Filtern, die für die Markierung als Spam überschritten werden muss. Darauf basiert das robuste und sehr effektive System von Qustodium!

Computerbasierte Texterkennung

In den letzten Monaten werden vermehrt Spammails mit Bildanhängen versandt, um Potenzmittel oder Aktien in den Himmel zu loben. Mittels computerbasierter Texterkennung (auch: Optical Character Recognition, OCR) findet Qustodium jedoch auch in diesen Nachrichten einschlägige Wörter und vermerkt eine entsprechende Punktzahl, die bei der abschließenden Bewertung Spam/kein Spam in die Wertung einfließt.

Unter anderem setzt Qustodium ein von Google entwickeltes System zur Texterkennung ein, mit dessen Hilfe die Grafiken in maschinenlesbaren Text umgewandelt werden.

Textblockerkennung

Wer kennt sie nicht: Nachrichten in denen man zum x-ten Mal ein Millionäre werden kann oder das Erbe eines unbekannten Onkels antreten soll, sobald man nur einen gewissen Betrag auf ein ausländisches Konto überweist. Unsere Textblockerkennung erkennt diese Art von Nachrichten und die darin immer wiederkehrenden Formulierungen.

Verteilte Systeme (DCC, Pyzor, Razor2)

Bei DCC (Distributed Checksum Clearinghouse), Pyzor und Razor2 handelt es sich um verteilte Systeme zur Erkennung von Spam-E-Mails. Die Systeme basieren darauf, dass Spam-Nachrichten normalerweise an viele Empfänger gleichzeit ausgesendet werden. Sobald eine solche Mail von nur einem dieser Empfänger als Spam erkannt worden ist, wird eine eindeutige aber anonymisierte Beschreibung der Spammail (eine sogenannte Prüfsumme) automatisch auf einen öffentlichen Server hochgeladen. Der dort gespeicherte Katalog von Spammails wird also durch Benutzerrückmeldungen ständig aktualisiert. Der Server notiert außerdem, wie oft eine Nachricht von verschiedenen Benutzern als Spam identifiziert und gemeldet wurde. Je mehr Empfänger eine Mail als Spam deklarieren, desto höher ist die Wahrscheinlichkeit, dass es sich auch tatsächlich um Spam handelt.

Bei Pyzor und Razor2 gibt es zusätzlich noch ein Bewertungssystem ähnlich dem von E-Bay. Benutzer, die Spamnachrichten melden, erhalten eine Reputation, die die Zuverlässigkeit ihrer Rückmeldungen bewertet. Die Reputation wird anhand von (übereinstimmenden) Rückmeldungen andere Benutzer angepasst. Dadurch steigt die Zuverlässigkeit des Systems.

Ein Beispiel: Qustodium identifiziert eine Nachricht um 13:45 als Spam und benachrichtigt die entsprechenden Systeme. Sobald nun etwa ein anderer DCC-Nutzer um 14:00 die gleiche (oder hinreichend ähnliche) Nachricht erhält, fragt sein System bei DCC nach: "Ist diese Nachricht bereits als Spam bekannt?", woraufhin der entsprechende Server antwortet: "Die Nachricht ist zu 70% Spam, weil sie bereits vorher von jemandem gemeldet wurde".

Sobald Qustodium eine Nachricht empfängt, wird die entsprechende anonymisierte Prüfsumme gebildet. Qustodium fragt dann bei allen Systemen nach, ob die Nachricht bereits von anderen Benutzern irgendwo auf der Welt als Spam identifiziert wurde. Falls dies der Fall ist, handelt es sich bei der Nachricht mit steigender Wahrscheinlichkeit um Spam, und Qustodium notiert eine entsprechende Punktzahl, die bei der abschließenden Bewertung Spam/kein Spam in die Wertung einfließt.

Regelsätze "du jour"

Qustodium wird täglich automatisch mit den neuesten Regeln zur Spambekämpfung versorgt. Dabei handelt es sich um die Regelsätze der Experten bei SpamAssassin Rules Emporium, aber auch einiger Qustodium-spezifischer Regeln. Mehr Details können wir natürlich im Interesse unserer Kunden (und im Desinteresse der Spammer) nicht preisgeben. Nur eines: Je mehr dieser Regeln durch eine Nachricht verletzt werden, umso sicherer handelt es sich um Spam.

Bayesscher Filter

Ein bayesscher Filter klassifiziert Nachrichten, indem er eine (automatisch generierte) Wortliste mit dem Inhalt einer eingehenden Nachricht vergleicht. Die meisten E-Mails mit den Begriffen "Viagra" oder "Casino" sind wahrscheinlich Spam, also erhalten alle E-Mails mit diesen Begriffen eine höhere Spambewertung. Positive Begriffe aus erwünschten E-Mails wie "Abendessen" oder "Urlaub" führen hingegen zu geringer Spamwahrscheinlichkeit.

Weiße, Schwarze und Graue Listen

Eine Weiße Liste oder Positivliste (engl.: White List) bezeichnet im Gegensatz zu einer Schwarzen Liste (Black List) unter anderem Personen, Firmen und Elemente, die nach Meinung der Benutzer per se vertrauenswürdig sind. Somit können Qustodium-Kunden etwa allen einkommenden Nachrichten von @beispiel.de oder kontaktperson@ beispiel.de einen Freibrief erstellen. Diese Nachrichten werden auch trotz eventuell hoher Spambewertung auf jeden Fall im Briefkasten ankommen.

Analog gibt es natürlich die Möglichkeit für Kunden, in einer Schwarzen Liste alle Domains anzugeben, von denen sie nie legitime E-Mails erwarten. Außerdem fragt Qustodium diverse in Echtzeit aktualisierte Schwarze Listen ab. Diese Listen enthalten IP-Adressen von Rechnern, die in der Vergangenheit für den Versand von Spam, Computerviren und Trojanern misbraucht wurden.

Graue Listen (Greylisting) bezeichnet eine Form der Spam-Bekämpfung, bei dem E-Mail von unbekannten Absendern temporär abgewiesen und erst nach einem zweiten Zustellversuch angenommen wird. Jede Kombination Absender/Empfänger/Server wird beim ersten Auftreten zunächst zurückgewiesen und für eine gewisse (kurze) Zeit auf die Graue Liste gesetzt. Seriöse Mailserver liefern die Mail nach Ablauf dieser Zeitspanne nochmals bei Qustodium ab - die meisten Spamschleudern tun dies nicht. Die so überprüften Kombinationen wandern automatisch auf eine Weiße Liste und werden in Zukunft ohne Verzögerung bearbeitet. Die exakt gleiche Technologie wird seit Jahren erfolgreich an der RWTH Aachen eingesetzt.

SMTP Regelsätze

Viele Spam-Mails kann man bereits abfangen, bevor sie überhaupt auf den Mailserver gelangen. Die meisten Werbemails werden nämlich von Virus-infizierten Windows-PCs verschickt, die ohne das Wissen Ihres Besitzers als Spamschleudern unter der Kontrolle unbekannter Dritter stehen. Allerdings verhalten sich diese sogenannten Zombie-PCs nicht wie normale gutmütige Mailserver, und diese Eigenheit machen sie unsere Regelsätze für SMTP (Simple Mail Transfer Protocol, zu deutsch etwa Einfaches E-Mail-Übertragungsverfahren) zu Nutze. Die meisten Spamschleudern verhalten sich nicht regel-konform, und so kann Qustodium die Spamnachrichten bereits beim versuchten Abliefern einfach abweisen.