Spamihilator

[Quellcore]

[Quellcore]

[Patti]

[anbuva]

Hallo Patti!

ich finde auch, dass gegen eine Weitergabe an den nächsten Filter eigentlich nichts gegen spricht (oder ich habe die Funktion jetzt nicht verstanden).

Gruß
anbuva

[Quellcore]

Hallo Patti!

Ich sehe da mal wieder den Teufel im Detail!
Noch mal an einem Beispiel:

Die Filterreihenfolge sieht z.B. so aus:
1. Lernender Filter
2. Spamwort Filter
3. DCC Filter

Spami zerpflückt die Mail und teilt diese in Trägermail und eingebettete Mail auf.
Er übergibt die Trägermail an den Filterungsprozess.

Die Trägermail wird durch den Lernenden Filter als Non-Spam klassifiziert.
Danach wird die eingebettete Mail an den Filterungsprozess übergeben.
Diese wird beispielsweise durch den Spamwort Filter als Spam klassifiziert.

Die beiden Klassifizierungsergebnisse sind unterschiedlich, nun könnte es so laufen wie von Euch vorgeschlagen.
Die Trägermail wurde durch den Lernenden Filter klassifiziert, also wird sie nun an den zweiten Filter alias den Spamwort Filter weitergereicht.
Der kann sich nicht entscheiden, der DCC Filter findet auch nichts, also unbekannte Einstufung für die Trägermail.
Da die eingebettete Mail im ersten Filterungsdurchgang durch den Spamwort Filter klassifiziert wurde wird sie nun an den DCC gereicht, der diese wiederum als Spam erkennt.

Moral von Geschicht:
Nach dem erstem Durchgang ist die Trägermail Non-Spam und die eingebettete Spam.
Nach dem zweiten Durchgang ist die Trägermail unbekannt und die eingebettete Spam.

Ich kann mir sehr gut vorstellen, dass das Weiterreichen an den nächsten Filter einen nicht wirklich näher an eine Entscheidung heranbringt.

Das beide Klassifizierungen identisch sein müssen würde in der Situation meines Ursprungspostings auch leider nicht wirklich viel helfen, da die Trägermail fälschlicherweise ständig als Non-Spam erkannt wurde oder als unbekannt eingestuft wurde, während die eingebettete Nachricht häufig eindeutiger Spam war.

Gruß
Quellcore

[michel]

Hi!

Interessante Diskussion, die ich da losgetreten habe. Es sind schon sehr viele gute Ideen dabei. Ich werde das ganze nächstes Wochenende genauer unter die Lupe nehmen.

Gruß
Michel

[anbuva]

Hallo michel!

das gibt wieder eine Nachtschicht

Gruß
anbuva

[Patti]

Hallo michel!

joar nur so wird man sagen koennen was genau hier am besten greift


Gruß
Patti

[Andreas_Z]

Hallo michel!

Ich mische jetzt hier auch mal mit, wenn auch etwas spät. Von den vier vorgestellten Varianten erscheint mir die vierte als die sauberste und damit diejenige, die am meisten Zukunftssicherheit bietet. Sie ist mein Favorit. Ich habe mir die verschiedenen Lösungsansätze bei unterschiedlicher Klassifizierung der beiden Mails angesehen und finde es ziemlich schwierig, hier eine sinnvolle Lösung zu bieten. Ich stelle daher mal einige Überlegungen an. Ich setzt bei allen Erläuterungen voraus, dass Hauptmail und eingebettete Mails als zusammengehörig betrachtet und behandelt werden. Sollte es technische Gründe geben, die den Zusammenhang zw. Haupt- und eingebetteter Mail auseinanderreist, ist aus meiner Sicht keine sinnvolle Bewertung der Mails möglich und die Idee sollte nicht weiter verfolgt werden.

Es gibt aus meiner Sicht vier Situationen, die bei der Filterung einer eingebetteten Mail betrachtet werden müssen:

1. Hauptmail: Non-Spam und eingebettete Mail: Non-Spam.
2. Hauptmail: Non-Spam und eingebettete Mail: Spam
3. Hauptmail: Spam und eingebettete Mail: Non-Spam.
4. Hauptmail: Spam und eingebettete Mail: Spam

3. und 4. sind einfach. In beiden sollte die eingebettete Mail nicht betrachtet werden, da diese mit sehr hoher Wahrscheinlichkeit uninteressant oder sogar potetiell gefährlich sind. Situation 1 ist ebenfalls einfach. Hier wird die Mail einfach zugestellt. Situation 2 muß jedoch genauer betrachtet werden. Diese Situation läßt sich nochmal in zwei Fälle aufteilen:

2.1 Die eingebette Mail ist ein legitimer Anhang. Sie könnte ja zum Beispiel eine Mail von mir an Dich sein, die über einen bestimmten Spam-Sachverhalt informiert.
2.2. Ein Spammer bedient sich dieser Möglichkeit als neue Zustellvariante, um Spamfilter zu umgehen. Die eingebettete Mail ist Spam und liegt in einer möglichst unverfänglichen Mail, die also mit hoher Wahrscheinlichkeit als Non-Spam erkannt werden würde.

2.1 würde zugestellt werden müssen, Fall 2.2 nicht. Beide Fälle lassen sich aber zunächst nicht unterscheiden. Hier brauchen wir also irgendein Kriterium zur Gewichtung der Filterergebnisse.

- Um zu einem Ergebniss zu kommen, könnte man Fall 2.2 als unwahrscheinlich verwerfen. Warum? Um mit dieser Masche die eigentliche Spammail als Anhang zuzustellen, muß die Hauptmail mit möglichst hoher Wharscheinlichkeit Non-Spam werden. Dazu muß diese also in sehr hohem Maße personalisiert werden. Das erfordert hohen social Engeneering Aufwand und macht die Sache daher unrentabel. Wird dieser Aufwand nicht betrieben, greifen automatisch wieder die Standard-Spamerkennungroutinen (Situation 3 und 4). Bei genauerer Betrachtung kommen wir zu dem Schluss, dass bei dieser Vorgehensweise eine Prüfung der eingebetteten Mails auch komplett entfallen kann, da in allen Situationen bereits die Einstufung der Hauptmail ein eindeutiges Ergebniss liefert. Der Haken an der Sache ist, was passiert, wenn der personalierungsaufwand doch nicht so hoch ist, wie eben angenommen?
- Alternativ könnte ich mir vorstellen, für diese Situation eine Ausnahmeliste einzuführen. Sprich: Mails aus Siuation 2 werden grundsätzlich als Spam betrachtet, es sein denn, der Absender ist bekannt (Ausnahmeliste). Hier drängt sich nahezu die Freundesliste auf. Aber die schlägt ja schon lange vor dem Filterprozess zu. Daher würden solche Mails immer ankommen, egal was für ein Anhang dran ist. Nicht jeder ist ein Freund der Freundesliste. Daher würde ich diesem Filterprozess eine eingene Ausnahmeliste spendieren. Die komfortable Methode wäre eine selbstlernende Ausnahmeliste, die mit dem Trainigsbereich zusammenhängt.

So, das wars von mir erstmal. Ich bin weitere Gewichtungsvorschläge gespannt......

Gruß
Andreas_Z