Entscheidend bei der Bewertung von E-Mails ist das Spam Confidence Level (SCL), auch Spam-Konfidenzniveau genannt. Am Ende ist das SCL der Wert, der darüber entscheidet, ob eine E-Mail als Spam deklariert wird oder nicht. Doch wie funktioniert das SCL in NoSpamProxy?
Das Spam Confidence Level entscheidet
Das Spam Confidence Level (SCL) ist der wichtigste Wert bei der Bewertung von E-Mails: Liegt das SCL einer E-Mail über einem bestimmten Schwellwert, so wird diese E-Mail abgewiesen. Dieser Wert liegt standardmäßig bei 4, kann aber individuell angepasst werden. Ein SCL von 0 besagt, dass eine E-Mail als neutral eigestuft wurde. Werte die kleiner als -10 oder größer als +10 sind, werden auf –10 beziehungsweise +10 limitiert.
Filter und ihr Einfluss auf das Spam Confidence Level
Grundlage für die Berechnung des SCL sind die Ergebnisse der Filter, die auf die jeweilige E-Mail angewendet wurden. Filter übernehmen bei der Prüfung der E-Mail nämlich die eigentliche Arbeit, denn sie vergeben auf Basis der Filterergebnisse SCL-Punkte. Wie viele SCL-Punkte für das jeweilige Filterergebnis vergeben werden, kann für einzelne Filter angepasst werden: Beispielsweise kann NoSpamProxy so konfiguriert werden, dass der Reputationsfilter für eine ungesicherte Verbindung 4 SCL vergibt, für eine fehgeschlagene SPF-Prüfung aber 5 SCL-Punkte.
Die Ergebnisse aller aktiven Filter können mit Hilfe eines Multiplikators gewichtet werden: Auf diese Weise wird die Bewertung des Filters wird mit dem Multiplikator verrechnet und der Einfluss der einzelnen Filter innerhalb einer Regel beeinflusst. Dies hat einen entscheidenden Einfluss auf den finalen SCL-Wert.
Beispielberechnung des Spam Confidence Levels
Diesem Beispiel liegt folgende Filterkonfiguration zu Grunde:
- Es sollen E-Mails überprüft und abgewiesen werden, sobald das SCL größer oder gleich 4 ist.
- Es sind drei Filter aktiviert: Realtime Blocklists, Spam URI Realtime Blocklists und der Wortfilter.
- Der Wortfilter ist so konfiguriert, dass er nach den Wörtern Sex, Viagra, Cialis etc sucht und pro Treffer zwei Strafpunkte vergibt.
- Die beiden Blocklistenfilter sollen pro Treffer zwei Punkte vergeben.
- Level of Trust ist ausgeschaltet.
Nun wird eine Mail verarbeitet, die acht verbotene Wörter und einen verbotenen Link enthält. Der Link ist auf einer Blocklist enthalten. Des Weiteren ist die einliefernde IP-Adresse auf zwei Blocklists vertreten.
Filter | Spam Confidence Level | Multiplikator | SCL |
---|---|---|---|
Realtime Blocklists | 4 | 2 | 8 |
Spam URI Realtime Blocklists | 2 | 2 | 4 |
Wortübereinstimmungen | 10 (limitiert, da der erste Wert >10 war) | 1 | 10 |
Gesamt | 22 |
Die E-Mail erhält also einen SCL von 22 und wird damit abgewiesen.
Der modulare Aufbau der Regeln in NoSpamProxy ermöglicht es, Filterkonfigurationen genau an die Bedürfnisse anzupassen. Eine vollständige Liste der verfügbaren Filter finden Sie unter Filter in NoSpamProxy.
Mit Level of Trust gegen False Positives
Es kann vorkommen, dass Filterergebnisse zu sehr hohen SCL-Werten führen. Dies ist beispielsweise der Fall, wenn der Wortfilter für eine Regel aktiv ist und die E-Mail mehrere unerwünschte Ausdrücke enthält. Der SCL-Wert kann dann schnell auf über 4 ansteigen, vor allem dann, wenn kein anderer Filter aktiv ist.
Hier kommt Level of Trust ins Spiel, das für jede Regel einzeln aktiviert werden kann. Das Level-of-Trust-System ist ein mehrschichtiges Konzept, das die Vertrauenswürdigkeit einer Kommunikationsbeziehung oder einer Domäne beurteilt. Kurz gesagt vergibt Level of Trust Vertrauensboni für die Qualität der Verbindungshistorie. Dabei bezieht NoSpamProxy verschiedene Kriterien ein. Die zwei wichtigsten sind im Folgenden aufgeführt:
- Domänenbeziehung: Regelmäßige ausgehende E-Mails an eine bestimmte E-Mail-Domäne werden belohnt
- Adressbeziehung zwischen Absender und Empfänger: Ausgehende E-Mails an bestimmte externe Adressen werden mit einem hohen Vertrauensbonus belohnt.
Die Idee dahinter ist einfach: Wenn eine gegenseitige Kommunikation zwischen zwei Kommunikationspartnern besteht, ist die Wahrscheinlichkeit gering, dass es sich bei einem der Partner um einen Spam-Versender handelt.
Beispielberechnung Spam Confidence Level mit Level of Trust
Filter | Spam Confidence Level | Multiplikator | SCL |
---|---|---|---|
Realtime Blocklists | 4 | 2 | 8 |
Spam URI Realtime Blocklists | 2 | 2 | 4 |
Wortübereinstimmungen | 10 (limitiert, da der erste Wert >10 war) | 1 | 10 |
Level of Trust | -10 | 5 (=2+2+1) | -50 |
Gesamt | -28 |
Die E-Mail wäre in diesem Beispiel zugestellt worden, da das SCL nach Einbeziehen des Level of Trust kleiner als 4 ist.
Filter und Aktionen
Neben den Filtern, die je nach Ergebnis das Spam Confidence Level beeinflussen, gibt es auch noch Aktionen in NoSpamProxy. Aktionen unterschieden sich grundlegend von Filtern, denn sie können E-Mails auch verändern: Beispielsweise können sie eine Fußzeile anfügen oder unerwünschte Anlagen entfernen.
Aktionen können aber auch E-Mails, die nach der Bewertung durch die Filter eigentlich passieren würden, abweisen. Damit kann beispielsweise ein Malwarescanner die E-Mail noch abweisen, obwohl sie nicht als Spam erkannt wurde, weil beispielsweise ein ausreichend hoher Level-of-Trust-Wert besteht.
Die in NoSpamProxy verfügbaren Aktionen sind also übergeordnete Einstellungen, mit denen Filter gegebenenfalls überstimmt werden können und auf die das Level-of-Trust-System keinen Einfluss hat.
32Guards kann beides
Eine Sonderstellung nimmt das KI-basierte 32Guards ein. 32Guards ist einerseits ein Filter, der die Berechnung des Spam Confidence Levels beeinflusst, andererseits eine Aktion, die Bedrohungen direkt temporär oder permanent abweisen kann.
Die Bewertung von E-Mails durch 32Guards basiert auf der Auswertung von Metadaten zu E-Mails. Diese Auswertung ergibt am Ende eine finale Beurteilung der E-Mail. Beispiele für Spam-Indikatoren sind verdächtige Dateinamen oder gehäuftes Auftreten neuer beziehungsweise unbekannter URLs in sehr kurzer Zeit.
Auf Basis der analysierten Metadaten erstellt 32Guards eine Gefahrenbewertung, die wiederum als Grundlage für weitere Aktionen in NoSpamProxy genutzt wird.
Noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!