Spamihilator

[Quellcore]

Hallo an alle,

Für meinen dargestellten Fall würden ja alle vier Varianten helfen, vor allem weil der Absender und der Betreff einfach übernommen werden. Also, mach doch was Du willst

1) Die Mails werden gemeinsam betrachtet, wobei der Header der angehängten Nachricht übersprungen wird....
2) Die Mails werden gemeinsam betrachtet, der Header der angehängten Nachricht wird in den Text hinein kopiert....

Wenn ich mich zwischen diesen Optionen entscheiden müsste, dann wäre ich auf jeden Fall für Fall zwei. Die Header-Felder "FROM" und "SUBJECT" sind einfach zu wichtig, diese einfach links liegen zu lassen.

3) Die Mails werden gemeinsam betrachtet, wobei der Header der angehängten Nachricht an den Header der ersten angehängt wird. Header bleibt hierbei Header und Body bleibt Body.

Klingt ein bisschen zu sehr nach Kuddelmuddel und unvorhersehbaren Ergebnissen, wird dem Ruf des Spamihilators nicht gerecht.

4) Die Mails werden getrennt betrachtet, d.h. es gibt zwei Filterdurchläufe. Einen für die gesamte Nachricht und dann noch einen für die innere Nachricht. Dadurch ist die beste Kompatibilität mit allen Filtern sichergestellt...

Anscheinend für die meisten hier der Favorit, mit den richtigen Optionen dann auch meiner.

In meinem Fall wäre es das Beste, wenn die Filterung der Trägermail komplett vernachlässigt würde, die angehängte also Priorität hätte.
Allerdings kann es gut sein, dass es wie von Chactory bereits vorgeschlagen im Normalfall durchaus mehr Sinn ergibt bei der Klassifizierung die Trägermail zu priorisieren.
Wie wäre es also, dieses Verhalten per Option (Natürlich nur in den Experteneinstellungen) einstellen zu können?

Bei per "Message/rfc822" eingebetteten Nachrichten die Klassifizierung der eingebetteten Nachricht für die gesamte Nachricht übernehmen.

Ich könnte mir auch noch einen fünften Fall aus der Nase ziehen
5) Für die per "Message/rfc822" eingebetteten Nachrichten lässt sich einstellen welchen Header und welchen Nachrichtentext man übergeben will. Es wird jeweils nur ein Header und ein Nachrichtentext für die Klassifizierung benutzt.

per "Message/rfc822" eingebetteten Nachrichten:
Verwende die Kopfdaten der (Trägernachricht/eingebetteten Nachricht)
Verwende den Nachrichtentext der (Trägernachricht/eingebetteten Nachricht)

Gruß,
Quellcore

[Quellcore]

Beide Mails gehören jeweils getrennt in den Trainingsbereich, die "innere" Mail als solche gekennzeichnet....

Das kann ich mir nicht so richtig vorstellen, die Mail sollte meiner Meinung nach weiterhin unverändert im Trainingsbereich erscheinen.

Waere es da nicht moeglich, dann an die anderen Filter zur "nachkontrolle" zu uebergeben ?

Hi Patti,
Deinem Gedankengang kann ich nicht so ganz folgen.
Bei Michels vierter Variante läuft es wohl folgendermaßen:
Spami zerpflückt die Mail und teilt diese in Trägermail und eingebettete Mail auf.
Er übergibt die Trägermail an den Filterungsprozess.
Nach der Rückgabe eines Klassifizierungsergebnisses (Spam,Non-Spam, Unbekannte Einstufung) wird die eingebettete Mail an den Filterungsprozess übergeben und ebenfalls auf das Klassifizierungsergebniss gewartet. Sollte die beiden Klassifizierungsergebnisse unterschiedlich sein, muss Spami nun eine finale Entscheidung bzgl. der Klassifizierung treffen.

Gruß,
Quellcore

[Patti]

Hallo Quellcore!

Hi Patti,
Deinem Gedankengang kann ich nicht so ganz folgen.
Bei Michels vierter Variante läuft es wohl folgendermaßen:
Spami zerpflückt die Mail und teilt diese in Trägermail und eingebettete Mail auf.
Er übergibt die Trägermail an den Filterungsprozess.
Nach der Rückgabe eines Klassifizierungsergebnisses (Spam,Non-Spam, Unbekannte Einstufung) wird die eingebettete Mail an den Filterungsprozess übergeben und ebenfalls auf das Klassifizierungsergebniss gewartet. Sollte die beiden Klassifizierungsergebnisse unterschiedlich sein, muss Spami nun eine finale Entscheidung bzgl. der Klassifizierung treffen.

Gruß,
Quellcore

ich meine damit, das bei bei einem unterschied von spam und nonspam ( oder andersrum) ggf. beide sachen an den naechsten Filter weiter geben werden sollte, bis eine einhaltliche uebereinstimmung ergibt, also spam spam oder eben nonspam nonspam.

muss Spami nun eine finale Entscheidung bzgl. der Klassifizierung treffen.

Und genau das meinte ich eben, das es dann eben weitergeben wird bis diese Entscheidung getroffen werden kann.

Heisst aber auch das es moeglich sein muss das eben bei einem unterschied die zerflueckte mail an die naechsten filter weiter geben werden kann

Gruß
Patti

[anbuva]

Hallo Patti!

ich finde auch, dass gegen eine Weitergabe an den nächsten Filter eigentlich nichts gegen spricht (oder ich habe die Funktion jetzt nicht verstanden).

Gruß
anbuva

[Quellcore]

Hallo Patti!

Ich sehe da mal wieder den Teufel im Detail!
Noch mal an einem Beispiel:

Die Filterreihenfolge sieht z.B. so aus:
1. Lernender Filter
2. Spamwort Filter
3. DCC Filter

Spami zerpflückt die Mail und teilt diese in Trägermail und eingebettete Mail auf.
Er übergibt die Trägermail an den Filterungsprozess.

Die Trägermail wird durch den Lernenden Filter als Non-Spam klassifiziert.
Danach wird die eingebettete Mail an den Filterungsprozess übergeben.
Diese wird beispielsweise durch den Spamwort Filter als Spam klassifiziert.

Die beiden Klassifizierungsergebnisse sind unterschiedlich, nun könnte es so laufen wie von Euch vorgeschlagen.
Die Trägermail wurde durch den Lernenden Filter klassifiziert, also wird sie nun an den zweiten Filter alias den Spamwort Filter weitergereicht.
Der kann sich nicht entscheiden, der DCC Filter findet auch nichts, also unbekannte Einstufung für die Trägermail.
Da die eingebettete Mail im ersten Filterungsdurchgang durch den Spamwort Filter klassifiziert wurde wird sie nun an den DCC gereicht, der diese wiederum als Spam erkennt.

Moral von Geschicht:
Nach dem erstem Durchgang ist die Trägermail Non-Spam und die eingebettete Spam.
Nach dem zweiten Durchgang ist die Trägermail unbekannt und die eingebettete Spam.

Ich kann mir sehr gut vorstellen, dass das Weiterreichen an den nächsten Filter einen nicht wirklich näher an eine Entscheidung heranbringt.

Das beide Klassifizierungen identisch sein müssen würde in der Situation meines Ursprungspostings auch leider nicht wirklich viel helfen, da die Trägermail fälschlicherweise ständig als Non-Spam erkannt wurde oder als unbekannt eingestuft wurde, während die eingebettete Nachricht häufig eindeutiger Spam war.

Gruß
Quellcore

[michel]

Hi!

Interessante Diskussion, die ich da losgetreten habe. Es sind schon sehr viele gute Ideen dabei. Ich werde das ganze nächstes Wochenende genauer unter die Lupe nehmen.

Gruß
Michel

[anbuva]

Hallo michel!

das gibt wieder eine Nachtschicht

Gruß
anbuva

[Patti]

Hallo michel!

joar nur so wird man sagen koennen was genau hier am besten greift


Gruß
Patti

[Andreas_Z]

Hallo michel!

Ich mische jetzt hier auch mal mit, wenn auch etwas spät. Von den vier vorgestellten Varianten erscheint mir die vierte als die sauberste und damit diejenige, die am meisten Zukunftssicherheit bietet. Sie ist mein Favorit. Ich habe mir die verschiedenen Lösungsansätze bei unterschiedlicher Klassifizierung der beiden Mails angesehen und finde es ziemlich schwierig, hier eine sinnvolle Lösung zu bieten. Ich stelle daher mal einige Überlegungen an. Ich setzt bei allen Erläuterungen voraus, dass Hauptmail und eingebettete Mails als zusammengehörig betrachtet und behandelt werden. Sollte es technische Gründe geben, die den Zusammenhang zw. Haupt- und eingebetteter Mail auseinanderreist, ist aus meiner Sicht keine sinnvolle Bewertung der Mails möglich und die Idee sollte nicht weiter verfolgt werden.

Es gibt aus meiner Sicht vier Situationen, die bei der Filterung einer eingebetteten Mail betrachtet werden müssen:

1. Hauptmail: Non-Spam und eingebettete Mail: Non-Spam.
2. Hauptmail: Non-Spam und eingebettete Mail: Spam
3. Hauptmail: Spam und eingebettete Mail: Non-Spam.
4. Hauptmail: Spam und eingebettete Mail: Spam

3. und 4. sind einfach. In beiden sollte die eingebettete Mail nicht betrachtet werden, da diese mit sehr hoher Wahrscheinlichkeit uninteressant oder sogar potetiell gefährlich sind. Situation 1 ist ebenfalls einfach. Hier wird die Mail einfach zugestellt. Situation 2 muß jedoch genauer betrachtet werden. Diese Situation läßt sich nochmal in zwei Fälle aufteilen:

2.1 Die eingebette Mail ist ein legitimer Anhang. Sie könnte ja zum Beispiel eine Mail von mir an Dich sein, die über einen bestimmten Spam-Sachverhalt informiert.
2.2. Ein Spammer bedient sich dieser Möglichkeit als neue Zustellvariante, um Spamfilter zu umgehen. Die eingebettete Mail ist Spam und liegt in einer möglichst unverfänglichen Mail, die also mit hoher Wahrscheinlichkeit als Non-Spam erkannt werden würde.

2.1 würde zugestellt werden müssen, Fall 2.2 nicht. Beide Fälle lassen sich aber zunächst nicht unterscheiden. Hier brauchen wir also irgendein Kriterium zur Gewichtung der Filterergebnisse.

- Um zu einem Ergebniss zu kommen, könnte man Fall 2.2 als unwahrscheinlich verwerfen. Warum? Um mit dieser Masche die eigentliche Spammail als Anhang zuzustellen, muß die Hauptmail mit möglichst hoher Wharscheinlichkeit Non-Spam werden. Dazu muß diese also in sehr hohem Maße personalisiert werden. Das erfordert hohen social Engeneering Aufwand und macht die Sache daher unrentabel. Wird dieser Aufwand nicht betrieben, greifen automatisch wieder die Standard-Spamerkennungroutinen (Situation 3 und 4). Bei genauerer Betrachtung kommen wir zu dem Schluss, dass bei dieser Vorgehensweise eine Prüfung der eingebetteten Mails auch komplett entfallen kann, da in allen Situationen bereits die Einstufung der Hauptmail ein eindeutiges Ergebniss liefert. Der Haken an der Sache ist, was passiert, wenn der personalierungsaufwand doch nicht so hoch ist, wie eben angenommen?
- Alternativ könnte ich mir vorstellen, für diese Situation eine Ausnahmeliste einzuführen. Sprich: Mails aus Siuation 2 werden grundsätzlich als Spam betrachtet, es sein denn, der Absender ist bekannt (Ausnahmeliste). Hier drängt sich nahezu die Freundesliste auf. Aber die schlägt ja schon lange vor dem Filterprozess zu. Daher würden solche Mails immer ankommen, egal was für ein Anhang dran ist. Nicht jeder ist ein Freund der Freundesliste. Daher würde ich diesem Filterprozess eine eingene Ausnahmeliste spendieren. Die komfortable Methode wäre eine selbstlernende Ausnahmeliste, die mit dem Trainigsbereich zusammenhängt.

So, das wars von mir erstmal. Ich bin weitere Gewichtungsvorschläge gespannt......

Gruß
Andreas_Z