O'Reilly logo

Mit Open Souce-Tools Spam & Viren bekaempfen by Alexander Wirt, Peter Eisentraut

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

This is the Title of the Book, eMatter Edition
Copyright © 2005 O’Reilly & Associates, Inc. All rights reserved.
|
71
First
Max.
Linie
Max.
Linie
Kapitel 4
KAPITEL 4
SpamAssassin
SpamAssassin ist eine Software zur Erkennung von Spam. SpamAssassin analysiert
eingehende E-Mails und errechnet eine Punktzahl, die anzeigt, mit welcher Wahr-
scheinlichkeit die E-Mail als Spam anzusehen ist. Anhand dieser Punktzahl kann
der Anwender entscheiden, ob die E-Mail aussortiert werden soll. Um diese Punkt-
zahl zu berechnen, verwendet SpamAssassin eine umfangreiche und erweiterbare
Testsammlung, die Spam auf viele Arten identifizieren kann. Aufgrund dieses
umfassenden Ansatzes ist SpamAssassin heute im Open Source-Bereich unange-
fochten die führende Software zur Spam-Bekämpfung.
Dieses Kapitel beschreibt die Funktionsweise von SpamAssassin, zeigt, wie man
SpamAssassin anpassen und erweitern kann, und erläutert die Einbindung von Spam-
Assassin in vorhandene E-Mail-Systeme.
Dieses Kapitel bezieht sich ausschließlich auf SpamAssassin Version
3.0 oder später. Hinweise, die die Unterschiede zwischen dieser und
den älteren Versionen der Reihe 2.x beschreiben, findet man auf der
Webseite http://spamassassin.apache.org/full/3.0.x/dist/UPGRADE.
Wie SpamAssassin arbeitet
Um eine E-Mail als Spam oder Nicht-Spam einzustufen, gibt es kein exaktes techni-
sches Kriterium. Weder die technischen noch die juristischen Definitionen von
Spam sind einheitlich. Aus diesem Grund kann SpamAssassin prinzipiell nicht
bestimmen, ob eine bestimmte E-Mail tatsächlich Spam ist, sondern nur, wie wahr-
scheinlich dies ist. Um diese Wahrscheinlichkeit zu bestimmen, prüft SpamAssassin
eine E-Mail auf verschiedene Anzeichen, die auf Spam hindeuten könnten. Dazu
gehört unter anderem:
das Vorkommen von verdächtigen Phrasen in der E-Mail
das Vorkommen von bestimmten Header-Zeilen in der E-Mail
die Ähnlichkeit der E-Mail mit zuvor als Spam eingestuften E-Mails
die Analyse durch externe Spam-Erkennungstechniken
This is the Title of the Book, eMatter Edition
Copyright © 2005 O’Reilly & Associates, Inc. All rights reserved.
72
|
Kapitel 4: SpamAssassin
Links
Max.
Linie
Max.
Linie
Die Summe der auf diese Art entdeckten verdächtigen Anzeichen bestimmt die
Wahrscheinlichkeit, dass eine E-Mail Spam sein könnte, wobei die verschiedenen
Kriterien unterschiedlich gewichtet sind.
Der Rest dieses Abschnitts beschreibt, welche Anzeichen zur Spam-Erkennung her-
angezogen werden und wie die Spam-Wahrscheinlichkeit berechnet wird.
Tests und Punkte
SpamAssassin kodifiziert die verschiedenen Spam-Anzeichen in so genannten Tests.
Ein Test ist eine Prüfungsvorschrift, die auf eine E-Mail angewendet wird und ent-
weder erfolgreich ist oder nicht. Die meisten Tests prüfen, ob ein regulärer Aus-
druck in der E-Mail vorkommt, aber es gibt auch andere Testarten. Zu jedem Test
gehört eine Punktzahl (englisch: score). Die Summe der Punkte aller erfolgreichen
Tests ist die Spam-Punktzahl der E-Mail.
Für die Bedeutung der Spam-Punktzahlen gilt Folgendes: E-Mails mit negativer
Punktzahl sind eher nicht Spam; E-Mails mit positiver Punktzahl enthalten tenden-
ziell Spam. Je höher die Punktzahl in der jeweiligen Richtung, desto wahrscheinli-
cher ist die Einstufung. Von den SpamAssassin-Entwicklern ist vorgegeben, dass
eine E-Mail ab der Punktzahl 5 als Spam angesehen werden kann. Dies ist aber letz-
ten Endes Geschmackssache. Nach der Lektüre dieses Kapitels kann der Leser
selbst entscheiden, wie aggressiv oder konservativ die eigene SpamAssassin-Installa-
tion konfiguriert werden soll.
Die meisten Tests in SpamAssassin sind positive Tests, das het, sie testen auf
Anzeichen von Spam. Es gibt jedoch auch einige negative Tests, die auf Anzeichen
prüfen, dass eine E-Mail eher nicht Spam ist. Beide Arten von Tests funktionieren
vollkommen identisch.
Statische Tests
Der Großteil der Tests in SpamAssassin sind so genannte statische Tests. Sie prüfen
einen bestimmten Aspekt der vorliegenden E-Mail und sind genau dann erfolgreich,
wenn dieser Aspekt aufzufinden war. Diese Tests sind also unabhängig von frühe-
ren Läufen oder externen Datenbanken.
Die Zusammenstellung der statischen Tests hat sich im Laufe der Jahre aus den
Beobachtungen und Erfahrungen der SpamAssassin-Entwickler und -Anwender
ergeben. Viele Tests könnte der Gelegenheitsanwender selbst erstellen, zum Bei-
spiel die zahlreichen Tests, die nach Werbephrasen in den E-Mails suchen, wie
»Make money fast«, »Extra Cash« oder auch »Click to be removed«. Dazu kommen
zahlreiche Phrasen, in denen Medizin, Drogen oder pornografisches Material ange-
boten wird. Einige Tests »bestrafen« E-Mails, die HTML enthalten. Dies mag kon-
trovers sein, Tatsache ist aber, dass E-Mails, die HTML enthalten, öfter Spam sind

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required