Spam-Filterung

Die vorherige inzwischen obsoleteVersion finden Sie hier!

Es ist leider nicht trivial zu entscheiden, welche Spamfilter Methode man benutzen soll. Das RRZE empfiehlt bei wenigen Spam-Mails, bis etwa 20 Stück pro Tag, eine serververseitige Filterung. Diese ist schon vorbereitet und braucht nur noch aktiviert zu werden (Webmail) Das benutzerseitige Junk-Filter kann damit leider nicht automatisch trainiert werden. Es ist auch keine nochmalige manuelle Wiederholung des Filtervorganges möglich, was sehr hilfreich beim Finden eines Fehlers wäre. Benutzer mit sehr vielen Spam-Mails und diejenigen, die die benutzerseitige Filterung verwenden wollen, finden hier die entsprechenden Tipps.

Inhalt

• SPAM-Analyse: Anti-Spam-Maßnahmen des RRZE 
• Keine Spam-Filterung
• Serverseitige Spam-Filterung
• Benutzerseitige Spam-Filterung mit Junk-Filter
  • Bekannte E-Mailadressen ins Adressbuch eintragen
  • SpamAssassin vertrauen
  • SpamAssassin teilweise vertrauen
  • Junkfilter trainieren
• Benutzerseitige Spam-Filterung mit Filter-Regeln
  • Spam-Ordner anlegen 
  • Spam-Filter Spam-hoch, ab 15 Spampunkten
  • Spam-Filter Spam, 5 bis 14 Spampunkte
  • Spam-Filter Ham-niedrig, weniger als 1 Spampunkt
  • Filterregeln in der richtigen Reihenfolge anordnen
• Add-ons
  • Mnenhy
  • Folderflags
• Filter überprüfen
  • Lernerfolg überprüfen
  • Filter-Protokoll aktivieren
  • Junk-Protokoll aktivieren
• Sonstiges
  • Eigene Filterregeln für Newsletter und Mailinglisten
  • Phishing (Betrugsversuche)
  • Anti-Virus-Einstellungen
  • Spam-Admin benachrichtigen
    
• Weitere Hinweise
  • Junk in anderen Ordner verschieben
  • Autolearning
  • Frühere Anmerkungen

Die Überschriften sind mit Sprechblasen gekennzeichnet.
Die mit gekennzeichneten Abschnitte wenden sich an den Normalbenutzer, wogegen mit und gekennzeichnete Abschnitte mehr etwas für experimentierfreudige Benutzer sind. Zusätzliche Informationen, die keine Installationsanleitungen enthalten, werden mit gekenzeichnet.

SPAM-Analyse: Anti-Spam-Maßnahmen des RRZE

In den folgenden Abschnitten finden Sie spezielle Hinweise in Verbindung mit Thunderbird. Allgemeine Hintergrund-Information zu diesem Thema finden Sie auf der Spam-Analyse Seite der RRZE

Keine Spam-Filterung

Durch serverseitiges Greylisting, Antivirenprüfung und andere Blocking-Methoden werden schon etwa 90% der Spam abgehalten. Wenn Sie also nicht mehr als ein bis zwei Spam-Mails am Tag bekommen, brauchen Sie eigentlich nichts zusätzlich zu unternehmen.

Serverseitige Spam-Filterung

Diese Methode ist bei einem FAUMail-Postfach verfügbar.

Benutzern, die bis zu 20 Spam-Mails pro Tag erhalten, empfehlen wir diese Filtermethode. Benutzerseitige Spam-Filterung ist in diesem Fall nicht nötig.

Serverseitige Spam-Filterung (Webmail)

Benutzerseitige Spam-Filterung mit Junk-Filter

> Extras > Konteneinstellungen > <Ihr Konto> > Junk-Filter

(x) Junk-Filter für dieses Konto aktivieren

Absendern der gewählten Adressbücher vertrauen:
(x) Persönliches Adressbuch
( ) Gesammelte Adressen

Machen Sie nur bei Persönliches Adressbuch ein Häkchen, nicht bei Gesammelte Adressen, da sich dort auch schon mal Adressen von Spamversendern einschleichen.

( ) Neue Nachrichten, die als Junk eingestuft werden, verschieben in:

Lassen Sie hier das Häkchen weg, siehe: Junk in anderen Ordner verschieben.

Abb. Junk-Filter-Einstellungen

Hinweise zum Junk-Filter in der Thunderbird Hilfe

Bekannte E-Mailadressen ins Adressbuch eintragen

Um generell zu verhindern, dass Thunderbird fälschlicherweise E-Mails von erwünschten Absendern als Junk erkennt, sollte man solche Absender in sein persönliches Adressbuch eintragen.

Mit rechter Maustaste die Absender E-Mailadresse im Header der E-Mail anklicken und >.Zu Addressbuch hinzufügen auswählen. Falls diese Adresse im Adressbuch schon exististiert >. Kontakt bearbeiten...

Wählen Sie bitte das Adressbuch Persönliches Adressbuch aus.

Abb. Zu Adressbuch hinzufügen

SpamAssassin vertrauen

(x) Junk-Kopfzeilen dieses externen Filters vertrauen:
[SpamAssassin]

Hier sollte man nur ein Häkchen machen. wenn man voll der SpamAssasin Spam-Schwelle von 5 Punkten vertrauen will.


Original Datei Spamassassin.sfd (Thunderbird 3.1)

Diese Datei finden Sie hier im Programmverzeichnis von Thunderbird
z.B. C:\Program Files\Mozilla.org\Thunderbird\isp

version="9"
logging="yes"
name="SpamAssassinYes"
enabled="yes"
type="17"
action="JunkScore"
actionValue="100"
condition="OR (\"X-Spam-Status\",begins with,Yes) OR (\"X-Spam-Flag\",begins with,YES) OR (subject,begins with,***SPAM***)"
name="SpamAssassinNo"
enabled="yes"
type="17"
action="JunkScore"
actionValue="0"
condition="OR (\"X-Spam-Status\",begins with,No)"

SpamAssassin teilweise vertrauen

Alternativ können Sie eine eigene Konfigurationsdatei z.B. SpamAssassin-RRZE anlegen, die nicht genau die Schwelle 5 Spampunkte als Grundlage nimmt, sondern erst ab einer gewissen oberen oder unteren Schwelle das benutzerseitige Junkfilter trainiert.

(x) Junk-Kopfzeilen dieses externen Filters vertrauen:
[SpamAssassin-RRZE]

Modifizierte Datei Spamassassin-RRZE.sfd (Thunderbird 3.1)

Diese Datei müssen Sie hier im Programmverzeichnis von Thunderbird anlegen
z.B. C:\Program Files\Mozilla.org\Thunderbird\isp

version="9"
logging="yes"
name="SpamAssassinYes"
enabled="yes"
type="17"
action="JunkScore"
actionValue="100"
condition="OR (\"X-Spam-Level\",contains,************)"
name="SpamAssassinNo"
enabled="yes"
type="17"
action="JunkScore"
actionValue="0"
condition="OR (\"X-Spam-Status\",contains,score=-) OR (\"X-Spam-Status\",contains,score=0"

Die modifizierten Zeilen sind fett markiert!

Sie können als Angehöriger der FAU eventuell die 2. Bedingung noch erweitern. Dann vertrauen Sie auch allen Mails, die innerhalb des Campus verschickt werden.

condition="OR (\"X-Spam-Status\",contains,score=-) OR (\"X-Spam-Status\",contains,score=0 OR (\"X-Spam-Status\",contains,All_TRUSTED"

Die Gefahr dabei ist allerdings, falls innerhalb der Campus ein Rechner kompromitiert wird und selbst Spam versendet, dass Ihr Junkfilter umtrainiert wird. Normalerweise ist so etwas selten wird meist sofort entdeckt und der infiizierte Rechner wird vom Netz genommen.

Junkfilter trainieren

 

Sie können die Junkspalte nach Junk und Nicht Junk sortieren, in dem sie auf die Kopfzeile klicken. Dann sollten Sie den Junk durchsehen, eventuell zu unrecht erkannte Junk-Mails durch anklicken des Junk-Symbols umtrainieren in Kein Junk. Das selbe machen Sie bei Mails die nicht als Junk erkannt wurden und trainieren diese durch anklicken des Junksymbols in Junk um.

Jetzt können Sie Ihre Mails noch mal nach Junk und Nicht Junk sortieren und alle Junk-Mails markieren und diese alle auf einmal löschen.

Alternativ geht das auch mit

>. Markieren > Kein Junk
>. Markieren > Junk

Benutzerseitige Spam-Filterung mit Filter-Regeln

Hiermit wird Ihnen das Trainieren des benutzerseitigen Junkfilters weitgehend abgenommen und Spam-Mails werden automatisch in einen besonderen Ordner verschoben.

Deaktivieren Sie die serverseitige Spamfilterung!

Einrichten mit:
> Extras > Filter...

Anwenden mit :
> Extras > Filter auf Ordner anwenden
> Extras > Filter auf Nachricht anwenden

Spam-Ordner anlegen

Wählen Sie im linken Fenster Ihr Mail-Konto aus. Vorausgesetzt, dass Sie die Kontobezeichnungen wie in unseren Beispielen eingegeben haben, wählen Sie bei einem FAUMail IMAP Konto FAUMail-IMAP bei einem FAUMail POP-Konto das lokale Konto. Die erforderlichen Spam-Ordner sollten vorher angelegt werden, sonst kann man sie in den nächsten Schriitten nicht auswählen.

> Konten > FAUMail-IMAP

Mit gedrückter rechter Maustaste können Sie neue Ordner anlegen.

>. Neuer Ordner Spam
>. Neuer Ordner Spam-hoch

Die Ordner Spam und Spam-hoch werden bei server- und benutzerseitiger Spamfilterung benötigt. Bei serverseitiger Spamfilterung werden diese automatisch angelegt, wenn Sie die serverseitigen Spam-Filter aktiviert haben.

Spam-Filter Spam-hoch, ab 15 Spampunkten

Bei E-Mails, die mit mehr als 15 und mehr Punkten bewertet werden ist es nahezu sicher, dass es sich auch wirklich um Spam handelt, deshalb werden diese in den Ordner Spam-hoch verschoben, wo sie meistens nach einer gewissen Zeit, ohne sie näher anzusehen, gelöscht werden können.

Sie müssen zuerst den Nachrichtenkopf X-Spam-Level bekanntmachen.

> Extras > Filter > Neu
Filter-Name: z.B. Spam-hoch
[Anpassen]
Neuer Nachrichtenkopf: X-Spam-Level
> Hinzufügen
> Ok

Abb. Benutzerdefinierte Kopfzeilen

Bitte geben Sie genau 15 Sterne ein.

[X-Spam-Level] [enthält] ***************
[Kennzeichne die Nachricht] > [+]

Die Aktion für das Training des benutzerseitigen Junkfilters kann entfallen, wenn Sie kein automatisches Training wollen.

[Setze Junk Status auf:] [Junk] > [+]
[Verschiebe die Nachricht in:] [FAUMail-IMAP > Spam-hoch]
> Ok

Abb. [Empfohlen] Filter bearbeiten - Spam-hoch - ab 15 Spampunkten

Spam-Filter Spam, 5 bis 14 Spampunkte

Bei niedrig bewerteten Spam-Mails könnte die ein oder andere, fälschlicherweise als Spam erkannte E-Mail, dabei sein. Deshalb empfehlen wir, diese nicht in einen anderen Ordner zu verschieben, sondern diese nur zu markieren. Thunderbird kann die Spam-Mails bzw. die normalen E-Mails ausblenden.

Ansicht > Junk bzw. Ansicht >  Kein Junk

Bevor Sie eine Filteregel eingeben können, müssen Sie Thunderbird zuerst die dazu nötigen erweiterten Nachrichtenköpfe bekannntmachen hier X-Spam-Flag..

> Extras > Filter > Neu
Filter-Name: z.B. Spam
[Anpassen]
Neuer Nachrichtenkopf: X-Spam-Flag
> Hinzufügen
> Ok

[X-Spam-Flag] [ist] YES
[Kennzeichne die Nachricht] > [+]

Die Aktion für das Training des benutzerseitigen Junkfilters kann entfallen, wenn Sie kein automatisches Training wollen.

[Setze Junk Status auf:] [Junk]

[Alternativ] Wer lieber die Spam-Mails in einem getrennten Ordner hätte, der kann diese auch per Filter in den Ordner Spam verschieben.

[Verschiebe Nachricht in:]  [FAUMail-IMAP > Spam]
> Ok

Abb. [Empfohlen] Filter bearbeiten - Spam - nur kennzeichnen

Spam-Filter Ham-niedrig, weniger als 1 Spampunkt

Diese Filterregel dient nur dazu das benutzerseitige Junk-Filter automatisch auf Kein Junk zu trainieren. Bei E-Mails, die mit 0 Punkte oder weniger bewertet wurden, handelt es sich in aller Regel um normale E-Mails.

Dieser Filter kann komplett entfallen, wenn Sie kein automatisches Training wollen.

Sie müssen zuerst den Nachrichtenkopf X-Spam-Status bekanntmachen.

> Extras > Filter > Neu
Filter-Name: z.B.Ham-niedrig
[Anpassen]
Neuer Nachrichtenkopf: X-Spam-Status
> Hinzufügen
> Ok

Es wird auf E-Mails mit einer Bewertung von 0 Spampunkte und kleiner gefiltert.

[X-Spam-Status] [enthält] score=0 [+]
[X-Spam-Status] [enthält] score=- [+]
[Setze Junk Status auf:] [Kein Junk]> [+]
(x) Mindestens eine Bedigung erfüllen

> Ok

Abb. [Empfohlen] Filter bearbeiten - Ham-niedrig - bei weniger als 1 Spampunkt

Sie können als Angehöriger der FAU eventuell noch eine 3. Bedingung hinzufügen. Dann vertrauen Sie auch allen Mails, die innerhalb des Campus verschickt werden.

[X-Spam-Status] [enthält] All_TRUSTED

Die Gefahr dabei ist allerdings, falls innerhalb der Campus ein Rechner kompromitiert wird und selbst Spam versendet, dass Ihr Junkfilter umtrainiert wird. Normalerweise ist so etwas selten wird meist sofort entdeckt und der infiizierte Rechner wird vom Netz genommen.

Filterregeln in der richtigen Reihenfolge anordnen

Wichtig ist, dass die Filterregeln auch in der richten Reihenfolge ausgeführt werden.

1. Spam-hoch
2. Spam
3. Ham-niedrig

Deshalb muss Ham-niedrig nach unten an die letzte Stelle und Spam-hoch an die 1. Stelle verschoben werden.

> Extras > Filter > Ham niedrig
> Nach unten

> Extras > Filter > Ham niedrig
> Nach oben

Abb. Filter - richtige Reihenfolge

Add-ons

Mnenhy

> Extras > Add-ons > Erweiterungen > Mnenhy > Einstellungen > Headers

> Ansicht > Kopfzeilen > Customize

Man kann hiermit zusätzliche E-Mail-Kopfzeilen anzeigen. Praktisch ist das z.B. bei den SpamAssassin Kopfzeilen X-Spam-Status, X-Spam-Flag oder X-Spam-Level.

Abb. Mnenhy - Kopfzeilen

Hiermit kann man die Junk-Statistik analysieren.

> Extras > Add-ons > Erweiterungen > Mnenhy > Einstellungen > Junk
Word-Appearance Threshold [2000] default 0

Als default ist 0 eingestellt. Da wird aber nur in Ausnamefällen etwas angezeigt. Bei mir funktioniert 2000 ganz gut, der Screnshot zur Junkfilter-Statiskik entstand mit der Einstellung 20. Beachten Sie die bitte Warnhinweise!

Abb. Mnenhy - Junk

> Extras > Junk_Filter Statistics

Abb. Mnenhy - Junk-Filter-Statistik

Folderflags

<Ordner> >. Flags...

Man kann die Spam-Ordner Spam und Spam-hoch als Junk kennzeichnen.

Dies hatte früher den Nebeneffekt, dass SpamAssasin, wenn man in solcher Ordner hineinwechselt, garantiert den Junk-Status von alleine nicht mehr umdreht.

Abb. Folderflags

Hier finden Sie diese und weiteren vom RRZE empfohlenen Add-ons für Thunderbird.

• Download: RRZE-Add-on-Kollektion für Thunderbird sortiert nach: Name
• Download: RRZE-Add-on-Kollektion für Thunderbird sortiert nach: Hinzugefügt am

Filter überprüfen

Lernerfolg überprüfen

Zur Kontrolle, ob der Junkfilter schon alles, wie gewünscht, gelernt hat, kann man auf jedem Folder das Kommando
> Extras » Junk-Filter auf Ordner anwenden
ausführen.

Man kann auch mehrere E-Mails auswählen und mit gedrückter rechter Maustaste
> Extras > Junk-Filter anwenden
ausführen.

Sicherheitshalber sollte man, wenn man diese Kommando für einen Ablagefolder laufen lässt, bei
> Extras > Konteneinstellungen > <Ihr Konto> > Junk-Filter
( ) Neue Nachrichten, die als Junk eingestuft werden, verschieben in:
das automatische Verschieben in den Junk-Ordner bzw. Papierkorb vorher abstellen, sonst werden eventuell falsch klassifizierte E-Mails dorthin verschoben. Man hat sonst Mühe, diese dort wieder zu finden und an den alten Platz zurückzustellen.

Wenn das Filter alles richtig gelernt hat, sollten sich der gelernte Junk-Status nicht mehr ändern.

Filter-Protokoll aktivieren

> Extras > Filter.. > Filterprotokoll
(x) Filterprotokoll aktivieren

Abb. Filter-Protokoll aktivieren

Junk-Protokoll aktivieren

> Extras > Einstellungen > Junk
(x) Junk-Protokoll aktivieren

Abb. Junk-Protokoll aktivieren

Sonstiges

Eigene Filterregeln für Newsletter und Mailinglisten

• Blacklist für unerwünschte Nachrichten
• Whitelist für erwünschte Nachrichten

Phishing (Betrugsversuche)

> Extras > Einstellungen > Betrugsversuche

(x) Nachrichten auf Betrugsversuche (Phishing) untersuchen

Abb. Betrugsversuche (Phishing) aktivieren

Anti-Virus-Einstellungen

> Extras > Einstellungen > Anti-Virus

(x) Anti-Virus-Software ermöglichen, eingehende Nachrichten unter Quarantäne stellen

Abb. Anti-Virus

Spam-Admin benachrichtigen

Falsch klassifizierte Mails, nicht erkannte Spam-Mails und falsch bewertetete Ham-Mails senden Sie bitte an Spam-Admin@rrze.uni-erlangen.de.

Sie müssen alle Kopfzeilen vor dem Versenden einschalten

> Ansicht > Kopfzeilen > All

Nach dem Versenden sollten sie dies wieder zurückstellen.

> Ansicht > Kopfzeilen > Normal

Wenn der Spam-Administrator nicht alle alle Kopfzeilen sieht, kann Ihr Problem leider nicht bearbeitet werden.

Weitere Hinweise

Junk in anderen Ordner verschieben

Das Thunderbird Junkfilter hatte in früheren Versionen leider die Eigenschaft, E-Mails aus allen Ordnern in den Junk Ordner zu verschieben, falls es sie als Junk klassifiziert. Es könnte deshalb passieren, dass eine wichtige E-Mail in einem Ablageordner fälschlicherweise als Spam klassifiziert wird, und so, ohne dass der Benutzer es merkt, verschwindet.

Dies wurde bei Thunderbird 3.1 zwar nicht mehr beobachtet.

Wenn man man das Verschieben aber wieder rückgängig machen will,.wird die Mail nicht in den Original-Ordner zurückgeschoben, sondern in die INBOX.

Ausserdem hat das Junk-Filter immer noch Priorität vor den normalen Filterregeln, so dass eine Regel die Spam-Mails nach in den Ordner Spam-hoch verschieben will nie wirkt, sonder die Mail stattdessen im Junk-Ordner landet..

Autolearning

[Alternativ] Falls Sie hauptsächlich nicht deutschsprachige E-Mails erhalten, E-Mails von dynamisch zugewiesenen IP-Adressen stammen (bei den meisten gängigen E-Mail Providern) oder Newsletter als Spam gekenzeichnet werden, empfehlen wir diese Alternative auszuprobieren. Dabei gehen die Bewertung des serverseitgen Bayesfilters, irgendwelcher Realtime Blacklisten, oder von prüfsummenbasierten Spamdatenbanken, wie Razor, DCC, Pyzor nicht in die Ermittlung der Spampunkte ein.

Es ist die Bekanntmachung einens neuen Nachrichtenkopfes X-Spam-Status erforderlich.

Die Benutzung von autolearn=spam bzw. autolearn=ham geschieht auf eigenens Risiko! Wir behalten uns vor jederzeit die Schwellen neu anzupassen!

Es wird auf Überschreiten der oberen Autolearn-Schwelle, die bei aktuell bei 9 (früher 12) Punkten liegt, gefiltert.

[X-Spam-Status] [enthält] autolearn=spam

Es wird auf das Unterschreiten der unteren Autolearn-Schwelle, die bei aktuell - 0,02 (früher 0,1) Punkten liegt, gefiltert.

[X-Spam-Status] [enthält] autolearn=ham

Bei uns wurden diese Schwellwerte modifiiziert. autolearn=ham wird praktisch nie erreicht.

Frühere Anmerkungen

Beim markieren als Junk bzw. beim rücksetzen auf Kein Junk muss Thunderbird jedes mal die komplette E-Mail auf die Client Workstation herunterladen, um sein Junk Filter abzugleichen.

Dadurch wird Thunderbird, bei sehr vielen neu ankommenden E-Mails, eventuell sehr langsam.

Ein dadurch nötiges eventuelles verschieben der E-Mail in einen anderen Ordner, findet dagegen wieder auf dem Server statt.

Dagegen reicht es bei normalen Filtern, nur die E-Mail Header zu laden, um zu entscheiden, ob die Bedingung erfüllt ist oder nicht.

Man kann deshalb versuchen, den Junk Folder als lokalen Ordner anzulegen. legen. Thunderbird arbeitet dann etwas schneller.

Frühere Mozilla Versionen hatten aber leider den Bug, dass sich oft E-Mails von lokalen Ordnern zurück in die IMAP Ordner nicht verschieben lassen, solange die SSL Authentifizierung für IMAP aktiviert ist.

Letzte Änderung: 22. Maerz 2011, Ansprechpartner, Historie