SpamFilter

Antispam-Methoden

(ziemlich ungepflegt, teilweise nicht aktuell)

Unter http://spamlinks.net/ dürfte man bessere Informationen finden als hier

Bayes-Filter sind m.E. nur noch als zusätzliche Maßnahme interessant:

• http://popfile.sourceforge.net/ Bayes-Filter in Perl (Proxy, leicht unter Windows einzusetzen). Probleme mit großen Mails? 0.20 ist hier innerhalb von vier Tagen zweimal abgestürzt (aber das ist schon lange her)
• http://www.fourmilab.ch/annoyance-filter/ (als Filter zu verwenden, kein Proxy)
• http://spamprobe.sourceforge.net/ Bayes-Filter in C++ (nur Linux bzw. ggf. mit Cygwin)
• http://spamassassin.org/ ist mehr als ein Bayes-Filter, macht auch Razor- und RBL-Tests
• http://crm114.sourceforge.net/
• http://www.paulgraham.com/spam.html
• http://assp.sourceforge.net/ SMTP-Proxy => blockt Spam! Auch als NT-Service
• http://keir.net/k9.html Windows, nur 77KB groß! Nicht so gut auf einem Server einzusetzen
• SpamWall http://www.ararat.cz/ von Lukas Gebauer. Bayes-Filter als Mercury/32 Daemon.

Zurückweisen bereits auf dem MX:

• Aloaha SPAM Rejector http://www.aloaha.com/ Kann nur DNS-Blacklists, Greylisting. 20EUR pro verwendeter Mailadresse.
• http://www.nospamproxy.de/ (nur Windows) i.W. eine Art automatische Whitelist, dazu RBL und SURBL. "Zero Hour" Virenerkennung von Commtouch, kann zusätzlich lokalen "On Access" Virenscanner verwenden.
• http://www.pinjo.nl/ (auch nur Windows), 150EUR pro Server

"Reputationsnetzwerke" und Mustererkennung

• http://www.cloudmark.com/authority/ Cloudmark Authority (für den MX) und Cloudmark Spamnet für den Mailclient. Inhaltsbasiert (Fingerprint), Zusammenarbeit der Anender, Vertrauensindex für Beitragende wird berechnet (Trust Evaluation System TES). "Authority" auch für Spamassassin (Perl) - verwendet mehr Regeln als Razor. Lokaler Cache => bessere Performance. Ein Dokument nennt für Razor 1% false positives, für Authority nur 0,01%.
• http://razor.sourceforge.net/ Vipul's Razor (Perl) Client für Cloudmark Collaborative Security Network CCSN, Vorläufer von Cloudmark Spamnet. Nicht so ausgefeilte Regeln,seit 2006 nicht mehr richtig weiterentwickelt. Autor http://vipul.net/ ist Mitgründer von Cloudmark.
• http://www.senderbase.org/ - Ironport
• http://www.returnpath.net/ -> reine DNS-Blacklist. https://www.senderscore.org/ zur kostenlosen Abfrage. Auch Tools für Sender, z.B. Überwachung der eigenen Reputation, Vorabprüfung von Mailings.
• http://eleven.de/ eXpurgate
• TrendMicro? Reputation Services nur RBL? "block up to 80 percent of spam" ist nicht viel.
• http://www.commtouch.com/ "Recurrent-Pattern Detection (RPD™)" Mustererkennung. Online-Abfrage der RBL: http://www.commtouch.com/check-ip-reputation
• http://www.dcc-servers.net/dcc/ bzw. http://www.rhyolite.com/dcc/ Distributed Checksum Clearinghouses aka DCC - mir ist nicht ganz klar, wie der kommerzielle Teil aussieht und wer wirklich mitmacht. Die Policy von http://www.rhyolite.com/ für den eigenen Mailserver ist jedenfalls "sehr streng" (das war ein Euphemismus).

Eine kleine Studie aus 2007 fand, daß IP-basierte Reputationstests nur 50% des Spams erfassten.

Vergleiche

http://www.linux-magazin.de/heft_abo/ausgaben/2007/01/e_mail_baldrian (Autor: Tobias Eggendorfer http://www.eggendorfer.info/) vergleicht einige Appliances und ASPs.

• Symantec 0% FP, 11,4% Durchgelassen
• Ironport 0% FP, 7,1% durchgelassen
• eXpurgate 0,4% FP! 4,7% durchgelassen
• Spamstopshere 0 FP 22% durchgelassen!
• McAfee?, Canit, Sponts, GMX inakzeptable FP

Externe Dienstleister (ASP)

Deren Server wird als MX eingestellt, klassifiziert die Mails und leitet an den eigenen MTA weiter.

Achtung: Spammer versuchen auch, auf die Adresse auf dem A-Record Spam zuzustellen. Auf dem Webserver darf also kein Mailserver laufen!

Wichtige Merkmale:

• Liste der existierenden Mailadressen leicht zu warten? killsspamdead kann das wohl automatisch! Ein Proxy ist hier im Vorteil.
• Auto-Whitelist?
• Auch Rejects möglich, z.b. über serverseitige Blacklisten?
• Bekannte IP-Adressen (und ggf. Ports) der abgehenden Server? => Filterregeln im Router.
• dyndns-geeignet? Server sollte unsere Begrüßung überprüfen

Anbieter:

• http://www.astaro.de/
• http://eleven.de/ eXpurgate weist Spam auf MX ab, klassifiziert angenommene Mails per Header (z.B. bulk) - das kann nützlich sein. Verwendet Liste der existierenden Empfängeradressen (kann man selbst hochladen). Preise reduzieren sich bei langfristiger Bestellung (2 oder 3 Jahre), trotzdem nicht ganz billig. Virenfilter kostet nochmal 2/3 mehr! Blockliste ist möglich, aber nur für alle Benutzer, incl. postmaster!
• http://www.antispameurope.de/ teuerer als eXpurgate? Bieten auch Mailarchivierung an.
• http://www.ameus.de/ verwendet SecureMX -> SenderBase?, preiswert, leider keine Überprüfung des Empfängers => verschickt Bounces bei nicht existierendem Empfänger!
• http://www.dogado.de/ SenderBase? preiswert, sicher keine Überprüfung auf existierende Empfänger.
• http://www.secure-mx.de/ (München) SenderBase?, 15EUR/10, 20EUR/25 Personen. Standard IronPort? => keine Überprüfung auf existierende Zieladresse.
• http://www.ebiz-webhosting.de/ SecureMX SenderBase? etwa wie obiger Eintrag.
• http://www.mxlogic.com/ ist ein echter Proxy - keine Speicherung. Auch von http://www.spamclam.co.uk/? Die verlangen 5UKP pro Benutzer und Monat.
• Posting (von Google gekauft) "250 users minimum"
• http://www.uceprotect.de/ ist (nicht nur) mir suspekt.
• http://spamlinks.net/filter-server-asp.htm Umfangreiche Liste
• http://www.messagelabs.com/ UK/DE/NL/BE 102$/10User lt. http://www.pcmag.com/article2/0,2704,847636,00.asp
• http://www.mailcleaner.net/ (Schweiz) 300EUR pro Jahr, legen verwendete Software offen: http://sourceforge.net/projects/osmailcleaner
• http://www.apm-gateway.net/ (UK) 5GPP + 5GPP/5Menschen. http://www.apm-mailcore.net/ mit Benutzermailboxen. Spamassassin. Scheint nicht zurückzuweisen sondern wegzuwerfen (bzw. Quarantäne)?
• http://www.armourplate.net/ (UK) auch Mailarchivierung
• http://www.epagency.net/ (UK) auch Mailarchivierung
• http://www.emailsystems.com/ (UK und andere europäische Länder?) Lighthouse 500GBP/Jahr 10 User gutes Ergebnis bei http://www.westcoastlabs.com/
• http://www.mxsweep.com/ (UK) gutes Ergebnis bei http://www.westcoastlabs.com/
• http://www.inty.com/ (UK)
• http://www.spamstopshere.com/ 19USD/Monat zehn "Mailboxes". Detaillierte Einstellungen, Reject... Benutzer können vieles selbst einstellen, z.B. Black-/Whitelist. Aber kein dyndns-Support, soweit ich sehe.
• http://www.spamstopshere.de/ down?
• http://www.tuffmail.com/ bietet SIEVE und umfangreiche Einstellmöglichkeiten pro Account. 10 User 132USD pro Jahr mit Sophos und ClamAV.
• http://www.f-prot.com/products/corporate_users/aves/ (ca. USD 2pro Account und Monat)
• http://www.mailshell.com/ 49USD/Monat 150USD Einrichtung. Ich habe keinen besonderen Eigenschaften gefunden, die diesen Preis rechtfertigen könnten.
• http://www.declude.com/ ebenfalls relativ teuer. Löscht Viren und "Vulnerabilities" ohne Rückfrage.
• http://www.killsspamdead.com/ prüft auf Kundenserver auf Gültigkeit der Mailadresse => keine Wartung! Sonst sehr wenig Info online.
• http://www.emailclean.com/ recht wenig Information

Überprüfen:

Teergrube: http://www.benzedrine.cx/relaydb.html