Der SPAM-Filter des DEFENDO kann zu zwei verschiedenen Zeitpunkten während der Mail-Zustellung aufgerufen werden: Nachdem die E-Mail den Mail-Server erreicht hat (Relay-SPAM-Filter) oder wenn eine E-Mail in ein lokales Benutzer-Postfach zugestellt wird (Benutzerspezifischer SPAM-Filter). Die folgende Übersicht zeigt die Unterschiede der beiden Varianten.

Achtung! Vor Version 4.2-3.4 war es möglich, beide SPAM-Filter-Stufen zu gleichzeitig zu aktivieren. Davon wird jedoch dringend abgeraten. Durch den hohen Ressourcen-Bedarf des SPAM-Filters kann das System bei doppelter Analyse jeder E-Mail stark überlastet werden.

Relay-SPAM-Filter

• Wirkt bei Zustellung an lokales Postfach und bei Weiterleitung an internen Mail-Server
• Zentral festgelegte Konfiguration die für alle Benutzer gleichermassen gilt
• Umleitung von erkannten SPAM-Mails an eine definierte Adresse möglich
• Kann nur von einem Administrator konfiguriert werden ("Expertenmodus -> Mail-Server")
• Aktionen des SPAM-Filters werden protokolliert

Benutzerspezifischer SPAM-Filter

• Wirkt nur bei Zustellung an lokales DEFENDO-Postfach
• Individuell je Benutzer aktivierbar und konfigurierbar
• Erkannte SPAM-Mails müssen vom Benutzer selbst verwaltet werden
• Kann von Administratoren ("Administration -> Benutzer") aber auch weitgehend von berechtigten Benutzern selbst konfiguriert werden ("Home -> E-Mail Einstellungen"). Die Einstellungen der Reiter (Tabs) "SPAM Bewertung" und "SPAM Module" unter "Expertenmodus -> Mail-Server" gelten für alle Benutzer
• Keine Protokollierung

Die optimale Einstellung des SPAM-Filters ist stets eine individuelle Angelegenheit. Die folgenden Hinweise sollen Ihnen helfen, das beste Ergebnis zu erreichen.

Nutzen Sie die Echtzeit-Verfahren

Viele Spammer passen sich in kürzester Zeit an die statischen Regelsätze der gängigen SPAM-Filter an. Nutzen Sie daher unbedingt die im DEFENDO angebotenen Echtzeit-Abfragen von RBL- und URIBL-Servern sowie das Razor2-System.

Grenzwerte sinnvoll einstellen

Das Standard-Regelwerk des DEFENDO SPAM-Filters wird den Großteil aller SPAM-Mails mit ca. 3 bis 10 Punkten bewerten. Einzelne sehr plump aufgemachte SPAM-Mails können in der Praxis Werte bis zu 30 Punkten erreichen, geschickt gestalteter SPAM natürlich auch mit 0 Punkten unerkannt bleiben.

Setzen Sie den Grenzwert zum Markieren von SPAM nicht zu hoch an. Beginnen Sie mit einem Wert von 2 bis 3. Eine weitere Option erlaubt es, SPAM-Mails gleich zu Verwerfen. Diese Option ist in vielen Ländern wie z.B. auch in Deutschland rechtlich problematisch. Beachten Sie bitte die einschlägigen Bestimmungen. Selbst wenn diese Option eingesetzt werden darf sollte sie erst dann aktiviert werden, wenn die Konfiguration des Filters soweit optimiert ist und das Vertrauen der Anwender in den SPAM-Filter gefestigt ist. Sie vermeiden so dass der SPAM-Filter zum Sündenbock für angeblich verlorengegangene E-Mails verkommt. Ein sinnvoller Grenzwert für das Verwerfen von SPAM wird sich aufgrund der bis dahin gemachten Erfahrung von selbst ergeben. Die 5-Punkte-Marke sollten Sie nicht unterschreiten.

Werden einzelne E-Mails fälschlicherweise als SPAM markiert, so werfen Sie bitte einen Blick auf die in der markierten E-Mail enthaltenen Analyse-Details. Insbesondere wenn die falsch erkannten Mails immer vom selben Absender stammen sollten Sie diesen ggf. bitten die Ursache abzustellen (z.B. unnötige sehr auffällige Formatierungen). In der Regel hat der Absender dann auch Probleme mit den SPAM-Filtern anderer Empfänger und ist Ihnen Dankbar endlich die Ursache zu kennen. Eventuell machen Sie den Absender auch auf Konfigurations-Fehler oder Missstände aufmerksam (z.B. wenn sein Mail-Server als offenes Mail-Relay verzeichnet ist). Sie können den Absender natürlich auch auf die Whitelist des DEFENDO SPAM-Filters setzen. Werden hingegen E-Mails verschiedenster Absender fälschlicherweise als SPAM erkannt, so wurden eventuell ungeeignete benutzerdefinierte SPAM-Filter-Regeln konfiguriert. Aufschluss geben auch hier wieder die Analyse-Details. Andernfalls ist der Grenzwert zu niedrig eingestellt.

Wie ist nun mit unerkannten SPAM-Mails zu Verfahren? Die Analyse-Ergebnisse sind in Kurzform in den Mail-Headern enthalten. Lassen Sie sich diese in Ihrem Mail-Client anzeigen. In Outlook-Express finden Sie diese Daten z.B. in den "Eigenschaften" zu einer E-Mail unter "Details". Der Header "X-Spam-Status" zeigt u.a. die erreichten Punkte (score) sowie die erkannten Merkmale (tests). Wird der Punktewert zum Markieren als SPAM von vielen SPAM-Mails nur knapp verfehlt, so sollten Sie den Grenzwert entsprechend absenken. Erhalten viele SPAM-Mails keine oder fast keine Punkte, so aktivieren Sie die Echtzeit-Abfragen des SPAM-Filters sofern dies noch nicht geschehen ist (siehe oben). Prüfen Sie ferner ob eine aktuelle Version des DEFENDO installiert ist ("Administration -> Update"). Die statischen Regeln des SPAM-Filters werden nämlich im Zuge der DEFENDO-Updates aktualisiert. Zeigt sich beim Vergleich der Analysen vieler unerkannter SPAM-Mails, dass sehr häufig ein bestimmtes Merkmal erkannt wird, dieses jedoch nicht ausreichend stark bewertet wird um den Grenzwert zu erreichen, so können Sie den Punktewert dieses Merkmals mit Hilfe von benutzerdefinierten SPAM-Filter-Regeln erhöhen.

Benutzerdefinierte SPAM-Filter-Regeln

Nutzen Sie diesen Bereich mit Bedacht zum Fein-Tuning des DEFENDO SPAM-Filters. Nach unserer Erfahrung ist eine intensive Nutzung dieses Features in der Praxis nicht notwendig, wenn die obigen Hinweise befolgt werden. Im Gegenteil: Häufig "verschlimmbessert" sich die Situation durch ungeeignete Suchmuster oder zu extrem gewählte Punktewerte. Infolgedessen werden weitere Regeln notwendig. Spätestens wenn die Anzahl der Regeln in diesem Bereich die Marke von 20 Stück überschritten hat und beständig weiter wächst ist der Zeitpunkt gekommen die Regeln zu überdenken oder noch besser alle zu löschen.

Bei der Auswahl der Punkte-Wertung für eine selbstdefinierte Regel sollten Sie stets die eingestellten Grenzwerte im Auge behalten. Nur wenn Sie felsenfest davon überzeugt sind, dass ein bestimmtes Merkmal nicht bei einer gewünschten E-Mail auftritt, darf der Punktewert so hoch gewählt sein, dass der Grenzwert für das Verwerfen von E-Mails überschritten wird. Die Bewertung von Merkmalen die nur "höchstwahrscheinlich" auf eine SPAM-Mail hindeuten sollte knapp unterhalb des Grenzwertes zum Markieren als SPAM gewählt werden. Bei einer echten SPAM-Mail ist davon auszugehen, dass ein weiteres Merkmal dazukommt, so dass in der Summe der Grenzwert überschritten wird.

Bedenken Sie, dass Suchmuster auch auf Wortteile zutreffen. So findet z.B. das Muster "porn" das Wort "Ansporn" und "sex" das "Gratisexemplar", was so bestimmt nicht beabsichtigt ist. Besondere Vorsicht ist geboten, wenn Sie auch englischsprachige E-Mails empfangen. So ist z.B. das häufig in SPAM-Mails beworbene Medikament "Cialis" im Wort "specialist" enthalten. Gestalten Sie Suchmuster daher möglichst so, dass nur nach ganzen Wörtern gesucht wird (im Beispiel über die Muster "_porn_", "_sex_" bzw. "_cialis_").

DEFENDO kennt bislang nur zwei Stufen beim Umgang mit SPAM-Mails: Markieren oder Verwerfen. Insbesondere in der Optimierungs-Phase aber auch um zu einem späteren Zeitpunkt versehentlich als SPAM identifizierte E-Mails leichter ausfindig zu machen, ist eine nachgelagerte Sortierung markierter SPAM-Mails auf dem Client eine sinnvolle Ergänzung. Nahezu jedes aktuelle Mail-Programm und natürlich auch der Webmail-Client des DEFENDO ist in der Lage, E-Mails nach bestimmten Kriterien automatisch zu sortieren. Der SPAM-Filter des DEFENDO fügt in jede E-Mail den Header "X-Spam-Level" ein - selbst bei E-Mails die nicht als SPAM markiert wurden. Für jeden vollen Bewertungs-Punkt wird ein "x" eingetragen. Eine E-Mail mit 3.4 Punkten erhält also den Header "X-Spam-Level: xxx". Mit entsprechenden Filter-Regeln auf dem Client könnten nun z.B. E-Mails mit mind. 10 mal "x" in diesem Header automatisch in einen Unterordner einsortiert werden, der z.B. täglich ungesehen gelöscht wird. Eine weitere Regel mit geringerer Priorität sucht E-Mails mit mind. 4 mal "x" und sortiert diese in einen weiteren Ordner der wöchentlich gelöscht werden kann. Eine dritte Regel sortiert E-Mails mit 2 und 3 "x" in einen Ordner der gelegentlich auf fälschlicherweise als SPAM identifizierte Mails geprüft wird.

Sofern datenschutzrechtlich nichts dagegen steht kann die Verwaltung der SPAM-Mails beim Relay-SPAM-Filter des DEFENDO auch zentralisiert werden. Anstatt als SPAM markierte Mails an den ursprünglichen Empfänger zuzustellen können diese an eine spezielle Adresse umgeleitet werden. Die bei dieser Adresse ankommenden E-Mails können dann in der zuvor beschriebenen Weise verwaltet werden.