von Andreas_Z » 1. Jul 2010, 08:51
Hallo michel!
Ich mische jetzt hier auch mal mit, wenn auch etwas spät. Von den vier vorgestellten Varianten erscheint mir die vierte als die sauberste und damit diejenige, die am meisten Zukunftssicherheit bietet. Sie ist mein Favorit. Ich habe mir die verschiedenen Lösungsansätze bei unterschiedlicher Klassifizierung der beiden Mails angesehen und finde es ziemlich schwierig, hier eine sinnvolle Lösung zu bieten. Ich stelle daher mal einige Überlegungen an. Ich setzt bei allen Erläuterungen voraus, dass Hauptmail und eingebettete Mails als zusammengehörig betrachtet und behandelt werden. Sollte es technische Gründe geben, die den Zusammenhang zw. Haupt- und eingebetteter Mail auseinanderreist, ist aus meiner Sicht keine sinnvolle Bewertung der Mails möglich und die Idee sollte nicht weiter verfolgt werden.
Es gibt aus meiner Sicht vier Situationen, die bei der Filterung einer eingebetteten Mail betrachtet werden müssen:
1. Hauptmail: Non-Spam und eingebettete Mail: Non-Spam.
2. Hauptmail: Non-Spam und eingebettete Mail: Spam
3. Hauptmail: Spam und eingebettete Mail: Non-Spam.
4. Hauptmail: Spam und eingebettete Mail: Spam
3. und 4. sind einfach. In beiden sollte die eingebettete Mail nicht betrachtet werden, da diese mit sehr hoher Wahrscheinlichkeit uninteressant oder sogar potetiell gefährlich sind. Situation 1 ist ebenfalls einfach. Hier wird die Mail einfach zugestellt. Situation 2 muß jedoch genauer betrachtet werden. Diese Situation läßt sich nochmal in zwei Fälle aufteilen:
2.1 Die eingebette Mail ist ein legitimer Anhang. Sie könnte ja zum Beispiel eine Mail von mir an Dich sein, die über einen bestimmten Spam-Sachverhalt informiert.
2.2. Ein Spammer bedient sich dieser Möglichkeit als neue Zustellvariante, um Spamfilter zu umgehen. Die eingebettete Mail ist Spam und liegt in einer möglichst unverfänglichen Mail, die also mit hoher Wahrscheinlichkeit als Non-Spam erkannt werden würde.
2.1 würde zugestellt werden müssen, Fall 2.2 nicht. Beide Fälle lassen sich aber zunächst nicht unterscheiden. Hier brauchen wir also irgendein Kriterium zur Gewichtung der Filterergebnisse.
- Um zu einem Ergebniss zu kommen, könnte man Fall 2.2 als unwahrscheinlich verwerfen. Warum? Um mit dieser Masche die eigentliche Spammail als Anhang zuzustellen, muß die Hauptmail mit möglichst hoher Wharscheinlichkeit Non-Spam werden. Dazu muß diese also in sehr hohem Maße personalisiert werden. Das erfordert hohen social Engeneering Aufwand und macht die Sache daher unrentabel. Wird dieser Aufwand nicht betrieben, greifen automatisch wieder die Standard-Spamerkennungroutinen (Situation 3 und 4). Bei genauerer Betrachtung kommen wir zu dem Schluss, dass bei dieser Vorgehensweise eine Prüfung der eingebetteten Mails auch komplett entfallen kann, da in allen Situationen bereits die Einstufung der Hauptmail ein eindeutiges Ergebniss liefert. Der Haken an der Sache ist, was passiert, wenn der personalierungsaufwand doch nicht so hoch ist, wie eben angenommen?
- Alternativ könnte ich mir vorstellen, für diese Situation eine Ausnahmeliste einzuführen. Sprich: Mails aus Siuation 2 werden grundsätzlich als Spam betrachtet, es sein denn, der Absender ist bekannt (Ausnahmeliste). Hier drängt sich nahezu die Freundesliste auf. Aber die schlägt ja schon lange vor dem Filterprozess zu. Daher würden solche Mails immer ankommen, egal was für ein Anhang dran ist. Nicht jeder ist ein Freund der Freundesliste. Daher würde ich diesem Filterprozess eine eingene Ausnahmeliste spendieren. Die komfortable Methode wäre eine selbstlernende Ausnahmeliste, die mit dem Trainigsbereich zusammenhängt.
So, das wars von mir erstmal. Ich bin weitere Gewichtungsvorschläge gespannt......
Gruß
Andreas_Z
Core i7 3,4 GHz, 8 GB RAM, Win7 64bit SP1, GDATA Bussiness 11.0
Exchange-Server 2003, VM mit WinXP Pro SP3.
, ,