Schutz vor Spam und Phishing
Eine wesentliche Funktion von Kaspersky Security ist das Filtern des über den Microsoft Exchange Server laufenden E-Mail-Verkehrs auf Spam. Der Anti-Spam-Modul filtert die eingehenden E-Mails, bevor sie in die Postfächer der Benutzer gelangen.
Anti-Spam überprüft folgende Datentypen:
- Interner und externer E-Mail-Verkehr per SMTP-Protokoll mit anonymer Serverauthentifizierung
- Über anonyme externe Verbindungen auf dem Server eingehende E-Mails (Edge Server)
- Ausgehende E-Mail-Nachrichten.
Anti-Spam überprüft folgende Datentypen nicht:
- Interner E-Mail-Verkehr der Organisation
- Externer E-Mail-Verkehr über den Server im Rahmen authentifizierter Sessions. Die Untersuchung eines solchen E-Mail-Verkehrs kann manuell aktiviert werden, mithilfe der Einstellung Über vertrauenswürdige Verbindungen eingehende Nachrichten auf Spam überprüfen.
- Nachrichten, die von anderen Microsoft Exchange Servern eingehen, da Verbindungen zwischen den Servern einer Microsoft Exchange-Infrastruktur gelten als vertraulich. Falls die Nachrichten dabei in die Infrastruktur über einen Server eingehen, auf dem Anti-Spam nicht installiert bzw. deaktiviert ist, werden sie auch auf allen nachfolgenden Servern dieser Infrastruktur nicht auf Spam überprüft. Die Untersuchung solcher E-Mails kann manuell aktiviert werden, mithilfe der Einstellung Über vertrauenswürdige Verbindungen eingehende Nachrichten auf Spam überprüfen.
Anti-Spam überprüft den Eintrag in der Betreffzeile der E-Mail, den Inhalt der E-Mail, die angehängten Dateien, die Gestaltungselemente und andere Attribute der E-Mail. Bei der Untersuchung verwendet Anti-Spam linguistische und heuristische Algorithmen, die auf dem Vergleich der mit den Musternachrichten zu untersuchenden E-Mail basieren, sowie zusätzliche und Cloud-Dienste, wie Kaspersky Security Network.
Je nach Ergebnis der Filterung ordnet Anti-Spam den E-Mails einen der folgenden Zustände zu:
- Spam. Die E-Mail hat Merkmale, die für Spam charakteristisch sind.
- Potentieller Spam. Die E-Mail hat Merkmale, die für Spam charakteristisch sind. Jedoch erlaubt es der Spam-Ratingwert nicht, die E-Mail als Spam einzustufen.
- Massenversand. Die Nachricht gehört zu einem Massenversand (in der Regel ein Newsletter oder Werbemail), weist jedoch keine Merkmale auf, die ausreichen, um sie als Spam einzustufen.
- Formelle Benachrichtigung. Technisch bedingte Mitteilung, z.B. über die Zustellung der Nachricht an den Empfänger.
- Sauber. Die E-Mail hat keine Merkmale, die für Spam charakteristisch sind.
- In Deny-Listen von Adressen übernommen. IP-Adresse des E-Mail-Absenders oder seine E-Mail-Adresse sind in der Deny-Liste enthalten.
Bei der Untersuchung des internen E-Mail-Verkehrs über das SMTP-Protokoll und bei der Aktivierung der Spam-Untersuchung von Nachrichten, die über sichere Verbindungen eingehen, weist Anti-Spam folgenden Nachrichten den Status Sauber zu: Nachrichten aus Verteilern, technische Meldungen und Nachrichten, deren Spam-Rating ihre Klassifizierung als Spam nicht zulässt.
Sie können die Aktionen auswählen, die das Programm für Nachrichten mit einem bestimmten Status ausführen soll. Folgende Varianten stehen zur Auswahl:
- Zulassen. Die Nachricht wird ohne Änderungen an den Empfänger zugestellt.
- Ablehnen. Der Sender-Server erhält eine Meldung über einen Fehler beim Absenden der E-Mail (Fehlercode 500), die E-Mail wird dem Empfänger nicht zugestellt.
- Löschen. Der Sender-Server erhält eine Benachrichtigung über den Versand der E-Mail (Code 250). Die E-Mail wird jedoch dem Empfänger nicht zugestellt.
- SCL-Bewertung. Die Nachricht erhält einen Rating-Wert bezüglich der Wahrscheinlichkeit von Spam (SCL). Die SCL-Bewertung kann im Bereich 1 und 9 liegen. Je höher die SCL-Schätzung, desto größer ist die Wahrscheinlichkeit für Spam. Die SCL-Schätzung wird mittels Dividieren des Spam-Rating der E-Mail durch 10 berechnet. Falls nach der Berechnung der Quotient höher als 9 ist, wird die SCL-Schätzung gleich 9 gesetzt. Der SCL-Wert, der den Nachrichten zugewiesen wird, wird bei der weiteren Verarbeitung von Nachrichten durch die Microsoft Exchange-Infrastruktur berücksichtigt.
- Betreff der Nachricht kennzeichnen. Die E-Mails, denen der Status Spam, Möglicher Spam, Massenversand und In Deny-Liste der Adressen übernommen zugeordnet wurde, werden mit speziellen Kennzeichen markiert
[!!SPAM], [!!Probable Spam]
, [!!Mass Mail]
oder [!! Schwarze Liste]
im Feld Betreff der E-Mail. Der Text dieser Kennzeichen können angepasst werden.
Das Programm verfügt über vier Intensivitätsstufen für die Spamprüfung:
- Maximal. Sie sollten diese Intensivitätsstufe wählen, wenn Sie sehr häufig Spam erhalten. Die Auswahl dieser Intensivitätsstufe kann jedoch dazu führen, dass erwünschte Mails häufiger als Spam eingestuft werden.
- Hoch. Bei der Auswahl dieser Intensivitätsstufe verringert sich (im Vergleich zur Stufe Maximal) die Häufigkeit der Erkennung nützlicher E-Mails als Spam und die Geschwindigkeit der Prüfung nimmt zu. Die Intensivitätsstufe Hoch sollten Sie wählen, wenn Sie häufig Spam bekommen.
- Niedrig. Bei der Auswahl dieser Intensivitätsstufe verringert sich (im Vergleich zur Stufe Hoch) die Häufigkeit der Erkennung nützlicher E-Mails als Spam und die Geschwindigkeit der Prüfung nimmt zu. Die Intensivitätsstufe Niedrig gewährleistet ein optimales Verhältnis von Geschwindigkeit und Gründlichkeit der Prüfung.
- Minimal. Sie sollten diese Intensivitätsstufe wählen, wenn Sie nur selten Spam erhalten.
Standardmäßig ist für den Spamschutz die Intensivitätsstufe Niedrig eingestellt. Sie können die Intensivitätsstufe herauf- oder herabsetzen. Je nach Intensivitätsstufe und im Einklang mit dem Spam-Rating, das während der Prüfung ermittelt wird, kann einer E-Mail der Status Spam oder Potenzieller Spam (s. Tab. unten) zugeordnet werden.
Grenzwerte des Spam-Ratings bei verschiedenen Intensivitätsstufen für die Spam-Untersuchung
Intensivitätsstufe
|
Potentieller Spam
|
Spam
|
Maximal
|
60
|
75
|
Hoch
|
70
|
80
|
Niedrig
|
80
|
90
|
Minimal
|
90
|
100
|
In Ausnahmefällen, bei Ausfällen des Anti-Spam-Kerns kann sich die Untersuchungsdauer von E-Mail-Nachrichten durch Anti-Spam wesentlich erhöhen. In diesen Fällen wechselt Anti-Spam in den Modus der eingeschränkten Untersuchung zur Vermeidung von Verzögerungen bei der Verarbeitung von E-Mails. In diesem Modus werden einige E-Mails möglicherweise ohne eine Untersuchung auf Spam übersprungen.
Zum Anfang