• Standardfiltereinstellungen in NoSpamProxy 14

Standardfiltereinstellungen in NoSpamProxy 14

Stefan Cink | Director Business and Professional Services
Autor: Stefan CinkBusiness Unit Manager NoSpamProxyAuf LinkedIn vernetzen

Mit jeder neuen Version von NoSpamProxy werden entweder Verbesserungen von einzelnen Filtern oder Aktionen vorgenommen oder sogar ganz neue Filter und Aktionen ausgerollt. Das neueste Beispiel ist der Metadaten-basierte Dienst 32Guards.

22.03.2023|zuletzt aktualisiert:19.08.2024

Vor allem bei neuen Technologien ändern sich dann unsere empfohlenen Standardregeln. Im Support sehen wir bei langjährigen NoSpamProxy-Kunden hin und wieder Filtereinstellungen, die von unseren aktuellen Empfehlungen mehr oder weniger stark abweichen. In diesem Artikel zeigen wir euch die Einstellungen, die mit einer frischen NoSpamProxy 14 Installation vorgenommen werden und von uns als empfohlene Mindestsicherheit angesehen werden. Darüber hinaus erklären wir noch einige Hintergründe zu einzelnen Filtern und Aktionen.

In dieser Tabelle findet ihr zunächst einen Überblick über die aktivierten Filter und Aktionen des aktuellen Standardregelwerks. Bei den Filtern ist die jeweilige Gewichtung in Klammern angegeben.

FilterAktionen
32Guards (1)Malware-Scanner
Spam URI Realtime Blocklists (2)URL Safeguard
Core Antispam Engine (1)S/MIME- und PGP-Überprüfung sowie – Entschlüsselung
Reputationsfilter (1)Disclaimer anwenden
Echtzeit-Blocklisten (2)CxO-Fraud-Detection
CSA Certified IP List (2)32Guards
Greylisting
FilterEvent
32Guards (1)Malware-Scanner
Spam URI Realtime Blocklists (2)URL Safeguard
Core Antispam Engine (1)S/MIME- und PGP-Überprüfung sowie – Entschlüsselung
Reputationsfilter (1)Disclaimer anwenden
Echtzeit-Blocklisten (2)CxO-Fraud-Detection
CSA Certified IP List (2)32Guards
Greylisting

Tipp für jedes Update

Wenn ihr nach dem erfolgreichen Update auf eine neuere NoSpamProxy-Version schnell schauen wollt, was sich im Standardregelwerk verändert hat, nutzt einfach den Wizard für die Neuerstellung der Standardregeln. Den entsprechenden Button dafür findet ihr direkt unter dem Regelwerk:

Standardregeln erstellen

Durch einen Klick auf „Standardregeln erstellen“ öffnet sich ein Dialog, in dem ihr auswählen könnt, ob die neuen Standardregeln das bisherige Regelwerk vollständig ersetzen sollen oder ob die neuen Regeln einfach unten angehängt werden sollen.

Standardregeln Dialog

Für einen schnellen Vergleich der Regeln empfehlen wir die Option „Standardregeln an die bestehenden Regeln anhängen“. Nun habt ihr zum Beispiel die Regel „All other inbound emails“ zweimal in der Übersicht und könnt die konfigurierten Filter und Aktionen ganz leicht vergleichen. Ob ihr mit der frisch erstellen Regel weiterarbeitet oder die vorhandene Regel anpasst ist dann euch überlassen.

Hinweise zu einzelnen Filtern und Aktionen

In diesem Abschnitt erklären wir einzelne Filter und Aktionen und geben wichtige Hinweise.

32Guards

32Guards ist ein Metadaten-basierter Dienst in NoSpamProxy Cloud, der erstmals unter diesem Namen mit NoSpamProxy V14 veröffentlicht wurde. Bis dahin war er unter dem Namen „Projekt Heimdall“ bekannt. Als Aktion war er bereits in der Version 13.0 vom Februar 2019 vorhanden. 32Guards ist heute einerseits ein Filter, der die Bewertung des Spam Confidence Levels beeinflusst, andererseits eine Aktion, die Bedrohungen direkt temporär oder permanent abweisen kann. Weitere Informationen zu 32Guards findet ihr auch hier. Im Standardregelwerk ist immer beides aktiviert.

Spam URI Realtime Blocklists

Der Spam URI Realtime Blocklists-Filter wurde in den letzten Jahren immer mal wieder leicht modifiziert. Standardmäßig ist lediglich die Liste „UriBL“ aktiviert. Seit der Einführung von 32Guards ist dieser Filter immer weniger wichtig geworden, weil die URL-Erkennung von 32Guards übernommen wurde und die Filterergebnisse dort um einiges besser sind.

Spam URI Realtime Blocklists DE

Die Listen „SURBL“ und „Spamhaus“ sind ab einem bestimmten Abfragevolumen kostenpflichtig und daher standardmäßig deaktiviert. Weitergehende Informationen zu den Angeboten findet ihr auf der Webseite der jeweiligen Anbieter.

Core Antispam Engine

Dieser Filter ist seit der Version 14.0.5 enthalten. Er erstellt anhand festgelegter Kriterien einen Fingerabdruck der zu prüfenden E-Mail und vergleicht ihn mit den bereits bekannten Fingerabdrücken. Ist dieser bekannt, vergibt NoSpamProxy 4 SCL-Punkte. NoSpamProxy wird die E-Mail so bereits mit den Standardeinstellungen abweisen. Der Filter selber verfügt über keine weiteren Einstellungsmöglichkeiten. Lediglich über die Gewichtung mit Multiplikatoren kann der Administrator Einfluss auf das Filterergebnis ausüben.

Reputationsfilter

Der Reputationsfilter führt verschiedene Prüfungen auf dem E-Mail-Envelope, dem Inhalt der E-Mail sowie den Kopfzeilen aus. Durch einige der Prüfungen wird auch DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework) analysiert. Abhängig von den Ergebnissen der einzelnen Prüfungen können SCL-Punkte vergeben werden, die individuell konfigurierbar sind. So könnt ihr die Bewertungen an die Anforderungen eures Unternehmens anpassen. Insgesamt beinhaltet der Reputationsfilter 26 Einzelprüfungen, die jeweils ein- und ausschaltbar, sowie konfigurierbar sind. In unserer Online-Dokumentation finden Sie die Beschreibungen der Prüfungen des Reputationsfilters.

Malware-Scanner

Diese Aktion umfasst drei unterschiedliche Scan-Engines, die einzeln oder in Kombination miteinander genutzt werden können. Wie der Name schon verrät, liegt der Fokus auf der Erkennung von Malware.

  • Integrierter Malware Scanner

    Der integrierte Malware Scanner überprüft die Anhänge von ankommenden E-Mails und ist standardmäßig aktiviert.

  • Dateibasierter Virenscanner

    Der dateibasierte Virenscanner speichert Anhänge von ankommenden E-Mails in ein bestimmtes Verzeichnis. Wenn ein beliebiger On-Access-Virenscanner bereits installiert ist, wird dieser Scanner einen lesenden Zugriff auf eventuell verseuchte Anhänge verweigern. NoSpamProxy Protection prüft sofort nach Ablage der Anhänge in das Verzeichnis, ob ein Zugriff möglich ist oder nicht. Anhänge, auf die zugegriffen werden kann, werden als virenfrei angesehen. NoSpamProxy Protection kann mit jedem beliebigen Virenscanner zusammenarbeiten, der in Echtzeit Dateizugriffe überwacht. Diese Scan-Methode ist auf sehr vielen Dateiservern bereits installiert, sehr performant und zuverlässig.

  • ICAP Antivirus Server

    Das Internet Content Adaptation Protocol (ICAP) ist ein Protokoll für das Weiterleiten von Inhalten für HTTP-, HTTPS- und FTP-basierte Dienste. Ein ICAP-Server empfängt Daten, die dann beispielsweise durch einen serverbasierten Virenscanner verarbeitet werden. Wenn ihr die Aktion ICAP Antivirus Server auswählt, agiert NoSpamProxy als ICAP-Client. Die Daten werden dann von NoSpamProxy an euren ICAP-Server gesendet und durch diesen geprüft. Nach Abschluss des Prüfvorgangs sendet der ICAP-Server das Prüfergebnis an NoSpamProxy. In Abhängigkeit dieses Prüfergebnisses wird die konfigurierte Aktion ausgeführt.

URL Safeguard

URL Safeguard wurde erstmals mit der Version 13.0 eingeführt und sorgt dafür, dass URLs in eingehenden E-Mails umgeschrieben werden. Das ermöglicht eine erneute Prüfung der Original-URL durch das Gateway, sobald der Empfänger die URL angeklickt hat und erhöht damit die Sicherheit deutlich. Die URL Safeguard Aktion ist jedoch nur ein Teil des Systems und sorgt nur für die eigentliche Umschreibung. Die Konfiguration der Umschreibeeigenschaften sund Bedingungen ist hier genau beschrieben.

CxO Fraud Detection

Die CxO-Betrugserkennung dient der Erkennung von Phishing-Angriffen, bei denen der Angreifer den Namen von Entscheidern des Unternehmens im Absender der E-Mail verwendet. Sie vergleicht den Absendernamen von eingehenden E-Mails mit den Namen von Unternehmensbenutzern. Gefälschte E-Mails, die im Namen von Vorgesetzten oder Mitarbeitern an Sie gesendet werden, werden so abgefangen.

Bei der Überprüfung werden unterschiedliche Varianten des Absendernamens in den Vergleich einbezogen:

  • Erika Mustermann
  • Mustermann Erika
  • ErikaMustermann
  • MustermannErika

Alle Unternehmensbenutzer, die Sie für die CxO-Betrugserkennung verwenden wollen, müssen Sie zuvor für den jeweiligen Unternehmensbenutzer aktivieren.

Sie haben das Update auf NoSpamProxy 14 noch nicht durchgeführt?

Profitieren Sie mit der neuen Version 14.0.5 von einer nochmals verbesserten Erkennungsqualität, die Ihre Postfächer noch besser schützt.

Zum Download
Global Rollout NoSpamProxy Version 14.0.5NoSpamProxy Update BannerInfo IconVerändertes Meldeverfahren für False Positives und False Negatives