factsoft Aktiengesellschaft

Aktuelles

Wissenswertes über die Anti-Spam-Techniken

Spam-Identifizierung funktioniert nach dem Prinzip der Wertzuweisung und Addition oder Subtraktion verschiedener Kriterien. Je nach Höhe des errechneten Endwertes für die einzelnen geprüften Kriterien, erscheint die Spam-Annahme mehr oder weniger wahrscheinlich.

Überschreitet der ermittelte Wert einen festgelegten Wert, wird dem Betreff der Nachricht ein Zusatz angefügt, um die Nachricht auf diese Weise als Spam zu identifizieren, oder die Nachricht wird (bei einem höheren Wert)unmittelbar gelöscht.

Moderne Spamfilter kombinieren vier Techniken zur Erkennung von ungewollten Werbebotschaften.

1. Prüfung des Absender-Mailservers

Stammt die Nachricht von einem Mailserver, der aktuell als Spamversender bekannt ist, ist dies ein wahrscheinlicher Hinweis auf Spaminhalte.

2. Prüfsummenbildung

Die Prüfsumme jeder eingehenden E-Mail wird ermittelt und mit einer ständig aktualisierten Online-Datenbank verglichen. Diese enthält sehr aktuelle 'Fingerabdrücke' der sich im Moment in Umlauf befindlichen Spamnachrichten. Stimmt der Fingerabdruck (eigentlich Prüfsumme) einer eingegangenen Mail mit dem in der Datenbank überein, ist auch dies ein weitgehend sicheres Kriterium für Spam. Noch unbekannte Prüfsummen erkannter Spammails werden automatisch an die von vielen Providern gemeinsam genutzten Datenbanken übermittelt.

3. Analyse des Nachrichteninhalts

Die wichtigste Technik bleibt die Analyse der gesamten Nachricht auf bekannte Wörter und Eigenschaften. Dieser Mechanismus wird verwendet, wenn weder der Absendeserver als Spammer bekannt ist noch eine Prüfsumme gefunden werden kann. Die Suchkriterien werden häufig erneuert und an die momentanen Vorlieben und neuen Workarounds der Spamversender angepasst. Dies geschieht durch Internetbenutzer, die Spammails an Spamdatenbanken weiterleiten. Dort werden die Mails analysiert und auf diese Weise neue Identifizierungsregeln generiert.

Zur Prüfung des Nachrichteninhalts gehört auch die Analyse von Hinweisen auf eine Verschleierung oder Fälschung der Identität des Absenders, wie z.B. die Angabe eines nicht existenten Mailservers als Absender-Server.


In der Praxis existieren nur wenige Filter, die nach konkreten Wörtern oder Wortverdrehern fahnden. Dennoch erscheinen sie wohlsortiert nach Problembereichen in den Konfigurationsdateien des Spamfilters:

Sexuelle Inhalte:
teen, virgin, cheerleader, amat, horny, nasty, hot, wild, young
horniest, nastiest, hottest, wildest, youngest, naughty, dirtiest
slutty, kinky, lusty, extreme, xxx+, best, biggest, largest, most,
free, ultimate, horniest, nasty, nastiest, hottest, wildest, slutty,
sex, porn, star, sites, college, babes, action, pics, trash, gang,
rape, adult dating, adult personals, Are you bored of, child porn,
child pornography webmaster, underage porn, decided to write,
your dream woman, get fuck, girls will do anything, horny as hell,
mother blows, More energy, no embarrassing, lady in your life,
are you single, sex life, boost, magnify, frequent, intense, intensify
bigger, larger, increase your

Drogen und Mediakmentenhandel:
Levitra, tadalafil, diet, phentermine, ionamin, bontril, phendimetrazine
Meridia, tenuate, didrex, adipex, xenical, pain relief drugs, ultram
vicodin, ultracet, celebrex, imitrex, vioxx, zebutal, esgic plus,
Norco, sleep aids, Ambien, brand of zolpidem tartrate, sonata
Restoril, brand of temazepam, Halcion, brand of triazolam, muscle relaxants
soma, cyclobenzaprine, flexeril, zanaflex, skelaxin, anti-anxiety, xanax
alprazolam, valium, diezepam, generic of valium, ativan, lorazepam
clonazepam, klonopin, rivotril, antidepressant, prozac, fluoxetine,buspar
paxil, wellbutrin, lexapro, zoloft, elavil, sarafem, remeron

Wörter speziell für den deutschen Sprachraum:
echt, super, extrem, hammer, hemmungslos, wild, hardcor, cam, community
private, live, keine Nebenwirkungen, ohne Nebenwirkungen, suchmaschine optimieren
suchmaschine platzierung, suchmaschine internetseiten, crack, porno,
dialers, geld verdienen, verdienen sie sich, botschaft, nachricht, box
sonderaktion, blitzaktion, weihnachts aktion, bei uns für, kostenlos,
gratis, kostet, % rabatt, prozent rabatt, ,-), euro, radikal, aktions
spar tief, der vorrat reicht, vorteile sichern,
sichern sie sich ihre vorteile, nutzen sie ihre chance,
sie sich angemeldet haben, klicken, anmelden
Du bekommst Sie, klicke, (?, nicht mehr informiert werden, Newsletter
Spam, Massenwerbung, hausfrau, spritz, abspritz

Falsche Viruswarnungen:
If you meant to send this file then please
package it up as a zip file and resend it
The uncleanable file is deleted
Panda Antivirus has taken the following actions
<<< 554 TRANSACTION FAILED - Unrepairable Virus
Network Associates WebShield SMTP.*detected virus
The name of the blocked file follow:,V I R U S A L E R T
virus detector has just been triggered by a message you sent
The mail was deleted on the mailserver.
The sender was informed about this incident
The Declude Virus.*software on our mail server detected the
The virus detector said this about the message
was stopped and Rejected because it contains one or more viruses
The infected message's properties are:
Attempted to clean the file but it is not cleanable
RAV AntiVirus plugin for CommuniGate
Pro has found a virus in the e-mail you are about to send
This is an automated return email from McAfee Virus Scan
------------------ Virus Warning Message
contained an attachment of a type that is frequently
used to transport
Please inform your administrator and have your virus scanning
infected with the W32.Mydoom.A@mm virus
RAV AntiVirus plugin for System has found a virus
Remote host said: 5.. Message rejected due to possible virus
A known virus was discovered and deleted
WARNING: This e-mail has been altered by (SATN-)?MIMEDefang
The delivery of this message has been rejected.
This message appears to have a.* virus
The E-mail containing the virus has been removed
This is a recorded message from the BorderWare Mail Gateway
A L E R T A D E V I R U S
The content of the following email has been checked by the HBOS plc
Aquest missatge contenia un fitxer adjunt amb virus que s'ha eliminat
550 Error: VB0007 - Rejected: Probably a virus,Captured by McAfee antivirus
plugin
WARNING! Your message was infected by Virus
SurfControl E-mail Anti-Virus Agent and has detected the Virus
Scan result
Network Associates WebShield SMTP intercepted a mail
Virus identity found:
The Firstnet Anti-Virus system intercepted it
Panda Antivirus has found the following viruses in the message,
Report generated by Panda Antivirus
VIRUS ALERT
Virus Scanner found the
YOUR MAIL HAD THE VIRUS
ArmourPlate protects organisations
WARNING! Virus foudn in attachment
A possible virus was detected in your message
A Illegal attachment type was found in an Email message you sent
Your computer seems to send a message containing a virus
file contains virus:
This e-mail contained attachments which were virus infected
This virus has been deleted
Bola Vam poslana elektronicka posta s prilohou. Obsahuje VIRUS!
The infected component in the scanned document was deleted.
The file is deleted
Ihre Mail beinhaltete verbotene Anhänge!
The attachment file in the message has been removed by eManager
ScanMail has detected a virus during a real-time scan of the mail traffic
Our content checker founds+viruses
was stopped by MailSweeper because it contained an executable file
Disallowed attach type
This mail is not complete because a part of it body or attachment
violated Norman Gateway Protection
This is a message from the MailScanner E-Mail Virus Protection Service
please check your system for viruses
VIRUS-WARNUNG
Our virus checker found
Content violation found in email message
had an attachment that is not accepted by the American Red Cross Email System



Die Wirkung dieser konkreten Listen ist jedoch eingeschränkt, da Spamversendern exakt diese Listen auch bekannt sind und sie daher versuchen, durch Wortdreher und Falschschreibungen diese Identifizierung zu umgehen. Aus diesem Grunde ist es mittlerweile wahrscheinlicher, dass die Mail des Drogenfahnders Opfer eines Spamfilters wird, als die Mails der eigentlich Verfolgten.

4. Selbst-Lern-Mechanismus

Wird eine Nachricht mit besonders hoher oder niedriger Wertung erkannt, werden die dort verwandten Wörter in eine Datenbank aufgenommen. Jede neue Nachricht wird dann mit diesen Wörtern verglichen. Der Algorithmus hinter dieser Technik nennt sich Bayes und verbessert vor allem die Aktualität und Anpassungsfähigkeit des Spamfilters.