Vor allem bei neuen Technologien ändern sich dann unsere empfohlenen Standardregeln. Im Support sehen wir bei langjährigen NoSpamProxy-Kunden hin und wieder Filtereinstellungen, die von unseren aktuellen Empfehlungen mehr oder weniger stark abweichen. In diesem Artikel zeigen wir euch die Einstellungen, die mit einer frischen NoSpamProxy 14 Installation vorgenommen werden und von uns als empfohlene Mindestsicherheit angesehen werden. Darüber hinaus erklären wir noch einige Hintergründe zu einzelnen Filtern und Aktionen.
In dieser Tabelle findet ihr zunächst einen Überblick über die aktivierten Filter und Aktionen des aktuellen Standardregelwerks. Bei den Filtern ist die jeweilige Gewichtung in Klammern angegeben.
Filter | Aktionen |
---|---|
32Guards (1) | Malware-Scanner |
Spam URI Realtime Blocklists (2) | URL Safeguard |
Core Antispam Engine (1) | S/MIME- und PGP-Überprüfung sowie – Entschlüsselung |
Reputationsfilter (1) | Disclaimer anwenden |
Echtzeit-Blocklisten (2) | CxO-Fraud-Detection |
CSA Certified IP List (2) | 32Guards |
Greylisting |
Filter | Event |
---|---|
32Guards (1) | Malware-Scanner |
Spam URI Realtime Blocklists (2) | URL Safeguard |
Core Antispam Engine (1) | S/MIME- und PGP-Überprüfung sowie – Entschlüsselung |
Reputationsfilter (1) | Disclaimer anwenden |
Echtzeit-Blocklisten (2) | CxO-Fraud-Detection |
CSA Certified IP List (2) | 32Guards |
Greylisting |
Tipp für jedes Update
Wenn ihr nach dem erfolgreichen Update auf eine neuere NoSpamProxy-Version schnell schauen wollt, was sich im Standardregelwerk verändert hat, nutzt einfach den Wizard für die Neuerstellung der Standardregeln. Den entsprechenden Button dafür findet ihr direkt unter dem Regelwerk:
Durch einen Klick auf „Standardregeln erstellen“ öffnet sich ein Dialog, in dem ihr auswählen könnt, ob die neuen Standardregeln das bisherige Regelwerk vollständig ersetzen sollen oder ob die neuen Regeln einfach unten angehängt werden sollen.
Für einen schnellen Vergleich der Regeln empfehlen wir die Option „Standardregeln an die bestehenden Regeln anhängen“. Nun habt ihr zum Beispiel die Regel „All other inbound emails“ zweimal in der Übersicht und könnt die konfigurierten Filter und Aktionen ganz leicht vergleichen. Ob ihr mit der frisch erstellen Regel weiterarbeitet oder die vorhandene Regel anpasst ist dann euch überlassen.
Hinweise zu einzelnen Filtern und Aktionen
In diesem Abschnitt erklären wir einzelne Filter und Aktionen und geben wichtige Hinweise.
32Guards
32Guards ist ein Metadaten-basierter Dienst in NoSpamProxy Cloud, der erstmals unter diesem Namen mit NoSpamProxy V14 veröffentlicht wurde. Bis dahin war er unter dem Namen „Projekt Heimdall“ bekannt. Als Aktion war er bereits in der Version 13.0 vom Februar 2019 vorhanden. 32Guards ist heute einerseits ein Filter, der die Bewertung des Spam Confidence Levels beeinflusst, andererseits eine Aktion, die Bedrohungen direkt temporär oder permanent abweisen kann. Weitere Informationen zu 32Guards findet ihr auch hier. Im Standardregelwerk ist immer beides aktiviert.
Spam URI Realtime Blocklists
Der Spam URI Realtime Blocklists-Filter wurde in den letzten Jahren immer mal wieder leicht modifiziert. Standardmäßig ist lediglich die Liste „UriBL“ aktiviert. Seit der Einführung von 32Guards ist dieser Filter immer weniger wichtig geworden, weil die URL-Erkennung von 32Guards übernommen wurde und die Filterergebnisse dort um einiges besser sind.
Die Listen „SURBL“ und „Spamhaus“ sind ab einem bestimmten Abfragevolumen kostenpflichtig und daher standardmäßig deaktiviert. Weitergehende Informationen zu den Angeboten findet ihr auf der Webseite der jeweiligen Anbieter.
Core Antispam Engine
Dieser Filter ist seit der Version 14.0.5 enthalten. Er erstellt anhand festgelegter Kriterien einen Fingerabdruck der zu prüfenden E-Mail und vergleicht ihn mit den bereits bekannten Fingerabdrücken. Ist dieser bekannt, vergibt NoSpamProxy 4 SCL-Punkte. NoSpamProxy wird die E-Mail so bereits mit den Standardeinstellungen abweisen. Der Filter selber verfügt über keine weiteren Einstellungsmöglichkeiten. Lediglich über die Gewichtung mit Multiplikatoren kann der Administrator Einfluss auf das Filterergebnis ausüben.
Reputationsfilter
Der Reputationsfilter führt verschiedene Prüfungen auf dem E-Mail-Envelope, dem Inhalt der E-Mail sowie den Kopfzeilen aus. Durch einige der Prüfungen wird auch DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework) analysiert. Abhängig von den Ergebnissen der einzelnen Prüfungen können SCL-Punkte vergeben werden, die individuell konfigurierbar sind. So könnt ihr die Bewertungen an die Anforderungen eures Unternehmens anpassen. Insgesamt beinhaltet der Reputationsfilter 26 Einzelprüfungen, die jeweils ein- und ausschaltbar, sowie konfigurierbar sind. In unserer Online-Dokumentation finden Sie die Beschreibungen der Prüfungen des Reputationsfilters.
Malware-Scanner
Diese Aktion umfasst drei unterschiedliche Scan-Engines, die einzeln oder in Kombination miteinander genutzt werden können. Wie der Name schon verrät, liegt der Fokus auf der Erkennung von Malware.
URL Safeguard
URL Safeguard wurde erstmals mit der Version 13.0 eingeführt und sorgt dafür, dass URLs in eingehenden E-Mails umgeschrieben werden. Das ermöglicht eine erneute Prüfung der Original-URL durch das Gateway, sobald der Empfänger die URL angeklickt hat und erhöht damit die Sicherheit deutlich. Die URL Safeguard Aktion ist jedoch nur ein Teil des Systems und sorgt nur für die eigentliche Umschreibung. Die Konfiguration der Umschreibeeigenschaften sund Bedingungen ist hier genau beschrieben.
CxO Fraud Detection
Die CxO-Betrugserkennung dient der Erkennung von Phishing-Angriffen, bei denen der Angreifer den Namen von Entscheidern des Unternehmens im Absender der E-Mail verwendet. Sie vergleicht den Absendernamen von eingehenden E-Mails mit den Namen von Unternehmensbenutzern. Gefälschte E-Mails, die im Namen von Vorgesetzten oder Mitarbeitern an Sie gesendet werden, werden so abgefangen.
Bei der Überprüfung werden unterschiedliche Varianten des Absendernamens in den Vergleich einbezogen:
- Erika Mustermann
- Mustermann Erika
- ErikaMustermann
- MustermannErika
Alle Unternehmensbenutzer, die Sie für die CxO-Betrugserkennung verwenden wollen, müssen Sie zuvor für den jeweiligen Unternehmensbenutzer aktivieren.
Sie haben das Update auf NoSpamProxy 14 noch nicht durchgeführt?
Profitieren Sie mit der neuen Version 14.0.5 von einer nochmals verbesserten Erkennungsqualität, die Ihre Postfächer noch besser schützt.