iX-Antispam-Tool mit neuen Mechanismen
Das Magazin iX verbessert seinen in Heft 5/03 vorgestellten Filter "NiX-Spam" weiter und veröffentlicht laufend aktualisierte Prüfsummen- und Blackhole-Listen.
Mit dem Projekt "NiX Spam" hilft iX Betreibern von Mailservern, gegen unerwĂĽnschte E-Mails vorzugehen. Das erstmals im Mai 2003 vorgestellte Skript fĂĽr den Mail-Prozessor Procmail steht jetzt in einer aktualisierten, verbesserten Version zum FTP-Download zur VerfĂĽgung.
Das Procmail-Skript war von der iX-Redaktion zunächst lediglich für den internen Einsatz bestimmt. Es ist auf großen Durchsatz ausgelegt. Prüfsummen sowie Whitelist und Blacklist sorgen dafür, dass nur ein Bruchteil aller Mails die CPU-belastende Inhaltsanalyse durchlaufen muss. NiX-Spam beurteilt die nicht schon durch Checksummen bekannten E-Mails außerdem schon nach der Header- und MIME-Analyse und lässt die besonders rechenintensive Body-Analyse bei eindeutiger Lage aus.
Im Heise Zeitschriften Verlag bearbeitet NiX-Spam derzeit etwa 16.000 Spam-Mails von 20 Anwendern pro Woche. Nachdem es einige Wochen eingesetzt wurde, durchliefen 90 Prozent der erwĂĽnschten Mails den Inhaltsfilter gar nicht mehr, sondern wurden bereits durch eine automatisch generierte Whitelist aussortiert. 80 Prozent vom Rest wird bereits nach einer Header-Analyse als erwĂĽnscht erkannt. False-Positive-Gefahr und Rechenlast der Body-Filterung sinken damit nach Angaben des iX-Redakteurs Bert Ungerer gegenĂĽber der Body-Analyse jeder Mail um 98 Prozent.
Mit steigender Mail- und Anwenderzahl verbessert sich die Statistik, da sich alle Anwender die zentralen Spam-Informationen teilen. Es liegt also nahe, den eigenen Filter entsprechende Listen anlegen zu lassen, die für die eigene Firma oder Abteilung gültig sind und ohne Verzögerung zur Verfügung stehen. Die Listen unerwünschter Prüfsummen und Gateway-Adressen lassen sich schnell und einfach noch während laufender Spam-Attacken via Internet austauschen, um die Anwenderbasis zu vergrößern und damit die Statistik weiter zu verbessern.
Als neuer Zusatz-Service stehen eine Prüfsummenliste und eine vom Filter generierte und laufend aktualisierte "Temporary Blackhole List" online zur Verfügung. Letztere ergänzt die bekannten, statischeren Sperrlisten (RBLs) und ermöglicht es, auch dynamische IPAdressen effektiv zu blockieren. Ein Großteil der Spam-Flut nimmt nämlich inzwischen seinen Weg über verseuchte PCs, die nur vorübergehend mit dem Internet verbunden sind und Spam ohne Kenntnis des Besitzers verbreiten. Die kurzen Update-Intervalle der temporären Blacklist sorgen dafür, dass inaktive Adressen schnell wieder verschwinden. (hob)
