101
Der Spam-Filter der Uni Wien

von Alexander Talos (Ausgabe 03/1, März 2003)

 

Kasten: Die Filtereinstellungen im Detail

 

Spam beeinträchtigt zunehmend die schnelle und einfache Kommunikation über das Medium eMail: Schätzungen zufolge erreicht das Spam-Volumen bald das der legitimen Mail. Daß die Mailserver oftmals überfallsartig durch große Mail-Mengen belastet werden, ließe sich noch durch massiven Hardware-Einsatz kompensieren. Die Zeit und die Nerven, die die Empfänger mittlerweile für Spam aufwenden müssen, sind aber für Geld nicht zu haben: Das Durchforsten Spam-gefüllter Mailboxen gleicht der Suche nach der Nadel im Heuhaufen. Auch das Risiko, wichtige Nachrichten zu übersehen, ist zu einem ernstzunehmenden Problem geworden. Wie in den beiden Artikeln Forever Spam!? und Spammer vs. Blacklists: Ein ewiges Wettrüsten ausführlich dargelegt wurde, sind wirkungsvolle Maßnahmen gegen Spam aber alles andere als trivial.

Status quo

Kurz zusammengefaßt, ist die Ausgangssituation folgende:

  • Blacklists brandmarken ganze Mailserver und damit alle ihre Benutzer als Spammer. Zwar kann man mit Blacklists eine Zeitlang gute Ergebnisse erzielen, weil die betroffenen Server selten zu denen gehören, mit denen man kommunizieren möchte; wird aber doch einmal ein solcher gelistet (wozu das Fehlverhalten eines einzigen Benutzers ausreichen kann!), ist die Katastrophe dafür umso größer.1)
  • Content Filter leiden darunter, daß am Inhalt allein nicht zwischen Spam und Nicht-Spam unterschieden werden kann - dies vor allem deshalb, weil es keine verallgemeinerbaren Reizwort-Listen gibt.
  • Filter auf Basis von Bayesscher Statistik haben eine gute Erkennungsrate, müssen aber von jedem Empfänger persönlich "trainiert" werden und scheiden somit für die Verwendung in einem zentralen Spam-Filter weitgehend aus.
  • Spam-Traps erlauben eine äußerst trennscharfe Spam-Erkennung, dieses aber meist zu spät.
  • Es ist kein Ende des Wettrüstens zwischen Spam-Versendern und Spam-Blockern abzusehen.

Obwohl durchaus Werkzeuge existieren, die mit guter Treffsicherheit Spam als solchen erkennen, bleibt ein gewisses Restrisiko: Wird eine erwünschte Nachricht fälschlicherweise als Spam klassifiziert (False Positive) und abgewiesen, d.h. mit einer Fehlermeldung an den Absender zurückgeschickt, besteht die Gefahr, daß die Fehlermeldung nicht ankommt (sei es aufgrund einer irrtümlich falschen Absenderadresse oder aufgrund sonstiger Probleme außerhalb unseres Bereichs) oder daß der Absender die Fehlermeldung nicht liest, zu spät liest oder nicht versteht. In solchen Fällen geht eine legitime Nachricht effektiv verloren.

Spam-Filter verringern also einerseits die Zuverlässigkeit des Mediums eMail, weil False Positives unter Umständen nicht bemerkt werden. Andererseits erhöhen sie sie aber dadurch, daß legitime Nachrichten nicht so leicht vom Empfänger übersehen oder irrtümlich gelöscht werden.

Spam-Filter optimieren

Leider kann man bei einem Filter nicht einfach an einer Schraube drehen und ihn damit ohne Nebenwirkungen sicherer machen. Wie bei Antikörpermessungen oder Fingerprint-Scans wird auch bei vielen Spam-Filtern aus dem vorliegenden Material - in diesem Fall die eMail-Nachricht - ein Ergebnis in Form einer Zahl errechnet. Ob der Test positiv oder negativ ausgefallen ist, wird anhand einer Entscheidungsschwelle beurteilt, die je nach Anforderung individuell zu definieren ist: Setzt man die Entscheidungsschwelle niedrig an (d.h. der Test wird bereits bei einigen wenigen entsprechenden Indizien als positiv erachtet), ist zwar mit einer sehr guten Erkennungsrate, aber auch mit relativ vielen False Positives zu rechnen. Wählt man die Entscheidungsschwelle hoch, sodaß der Test nur bei großer Übereinstimmung als positiv gilt, werden False Positives weitgehend vermieden, dafür aber umso mehr tatsächlich positive Proben nicht erkannt.

Im Falle eines Spam-Filters wiegt eine irrtümlich abgewiesene Nachricht unverhältnismäßig schwerer als eine irrtümlich zugestellte. Ein Spam-Filter muß also mit extrem hoher Entscheidungsschwelle betrieben werden, wodurch aber die Effizienz sehr gering wird bzw. manche Methoden (etwa Blacklists) weitestgehend ausscheiden.

Durch Kombination mehrerer unabhängiger Erkennungsmethoden kann man jedoch - rein wahrscheinlichkeitsrechnerisch - auf deutlich bessere Ergebnisse hoffen.2) Auf Spam-Filter angewandt: Daß Spam gleichzeitig vom Inhalt her nach Spam aussieht und von einem Server kommt, der auf einer Blacklist verzeichnet ist, ist zumindest einige Zeit nach Beginn des Spam-Versandes sehr wahrscheinlich. Daß aber eine legitime Nachricht sowohl verdächtigen Text enthält, der bei einem Content Filter Fehlalarm auslöst, als auch von einem gelisteten Server kommt, ist extrem unwahrscheinlich. Der Grundgedanke beim Design des Spam-Filters für die Universität Wien war folglich, die zahlreichen, in ihrer Disziplin jeweils hervorragenden Spam-Filtermethoden zusammenzufassen.

Uni Wien ist anders

Die Situation an der Uni Wien unterscheidet sich von vielen anderen Organisationen. Sie ist gekennzeichnet durch

  • die prinzipielle Unmöglichkeit, die eMail-Adressen geheimzuhalten (zumindest was die Uni-Mitarbeiter/innen betrifft),
  • eine große Anzahl aufgelassener eMail-Adressen,
  • eine große Anzahl von Benutzer/innen und weitgehend autonomen Gruppen - daher große Benutzer-Diversität hinsichtlich
    • "gefährlicher" Schlüsselwörter in der Korrespondenz,
    • der Länder und der Sprachen, mit bzw. in denen Mailverkehr stattfindet,
    • der verwendeten Betriebssysteme, Mailklienten und Zeichensätze, und
    • der Erwartungen an einen Spamfilter.

Daraus ergeben sich zwar einerseits Probleme (z.B. mit dem Content Filtering), andererseits aber auch Chancen. Beispielsweise ist es möglich, die aufgelassenen Mailadressen - an die ohnehin nur mehr von Spammern Nachrichten gesendet werden - als Spam-Traps zu verwenden: Bevor eine solche Nachricht ordnungsgemäß zurückgewiesen wird, kann ihre Prüfsumme berechnet und in einer lokalen DCC-Datenbank3) gespeichert werden.4)

Außer Zweifel steht, daß es dem einzelnen Benutzer überlassen bleiben muß, ob und inwieweit seine eMail gefiltert wird. Manche Filterprogramme wie z.B. SpamAssassin unterstützen dies, indem sie nach einem Punktesystem für jede Nachricht eine Spam-Bewertung in Form einer Zahl berechnen und als Headerzeile vermerken. Das ermöglicht ein empfängerseitiges Filtern, wobei der Empfänger durch Wahl der Entscheidungsschwelle selbst bestimmen kann, wie sensitiv (gute Spam-Erkennung) bzw. selektiv (wenig False Positives) der Filter sein soll.

Diese Herangehensweise hat aber einige Nachteile:

  • Der Benutzer muß in seinem Mailklienten einen Filter konfigurieren.
  • Die Spam-Nachrichten müssen trotzdem zugestellt werden, belasten also nach wie vor die Server.
  • Je nach verwendetem Zugriffsprotokoll müssen die Nachrichten weiterhin - unter Umständen sogar von daheim per Modem - geladen werden, bevor sie gelöscht werden können.
  • Es gibt keine Möglichkeit, verdächtige Nachrichten differenziert zu behandeln (z.B. durch "Einkühlen" bei bestimmten Konstellationen von Spam-Indikatoren; siehe weiter unten).
  • Der Filter-Software geht eine Informationsquelle verloren: Würde der Mailserver die verdächtigen Nachrichten abweisen und Fehlermeldungen an die Absender schicken, könnte deren Nichterreichbarkeit als Spam-Indiz gewertet werden.

Mit Patchwork gegen Spam

Die Implementation eines Spam-Filters an der Uni Wien stellt eine besondere Herausforderung dar: Obwohl es die Aufgabe eines Spam-Filters ist, die Zustellung bestimmter Nachrichten zu verhindern, muß natürlich die hohe Qualität des eMail-Service erhalten bleiben. Das setzt höchstmögliche Trennschärfe bei den Filtermechanismen und die freie Entscheidung des Empfängers über deren Einsatz voraus. Vor allem muß der Spam-Filter vollautomatisch funktionieren: Ein "Probelesen" durch ZID-Mitarbeiter kommt aus moralischen, personellen und rechtlichen Gründen sowieso nicht in Frage - aber auch die manuelle Wartung von Filterlisten jeglicher Art (etwa aufgrund von Beschwerden unserer Benutzer) ist bei Systemen dieser Größe schlichtweg unmöglich.

Vor diesem Hintergrund hat sich für den neuen Spam-Filter der Universität Wien, der in Anlehnung an § 101 TKG den Namen 101 erhielt, folgendes Arbeitsmodell herauskristallisiert:

  • Jeder Benutzer kann den Spam-Filter über eine Webmaske entweder mit den vom ZID empfohlenen Einstellungen aktivieren oder nach eigenem Geschmack konfigurieren. Die Konfigurationsdaten werden in einer Oracle-Datenbank gespeichert und von dort zu den Filterservern übertragen.
  • Die Mailserver des ZID legen einlangende Nachrichten dem Spam-Filter zur Prüfung vor. Dort werden die Nachrichten von mehreren Modulen bearbeitet:
    • HTML-Mail wird in Text umgewandelt.
    • Base64-codierte Nachrichten werden decodiert.
    • Allfällige Blacklist-Einträge werden abgefragt.
    • Es wird überprüft, ob die Absenderadresse bereits als unzustellbar erkannt wurde.5)
    • Aus dem Inhalt werden Prüfsummen berechnet und mit den in DCC gespeicherten verglichen, um festzustellen, ob es sich um Massenmail handelt oder Nachrichten mit gleicher Prüfsumme bereits bei Spam-Trap-Adressen angekommen sind.
    • Content Filter suchen nach Spam-typischen Phrasen und Wörtern.
    • Die Filterkonfiguration des Empfängers wird aus der Datenbank abgerufen.
    • Die Envelope-Absenderadresse und die Headerzeilen werden mit der benutzerspezifizierten White- und Blacklist abgeglichen.
  • Die gewonnenen Informationen werden ausgewertet, und je nach Ergebnis kann die Nachricht
    • angenommen und normal zugestellt,
    • mit einer Headerzeile als Spam markiert,
    • bei IMAP-Benutzern bereits am Server in einen Spam-Folder einsortiert,6)
    • abgewiesen (d.h. der Absender erhält eine Fehlermeldung) oder
    • eine Zeitlang "auf Eis gelegt" werden.

Gut gekühlt

Ein besonderes Feature, das unseres Wissens bei 101 erstmals eingesetzt wird, ist die Möglichkeit, eMail vorläufig auf Eis zu legen: Wird eine Nachricht (z.B. von den Content Filter-Mechanismen) als "verdächtig" eingestuft, kann der Filter sie vorerst weder abweisen noch zustellen, sondern weitere Informationen abwarten. Nach einiger Zeit wird die Nachricht dann erneut bewertet. Inzwischen kann sich einiges geändert haben:

  • Die DCC-Mechanismen haben die Nachricht als Massenmail erkannt;
  • eine Nachricht mit derselben Prüfsumme ist auch an eine oder mehrere Spam-Trap-Adresse(n) zugestellt worden;
  • der absendende Mailserver ist in (weitere) Blacklists aufgenommen worden;
  • Nachrichten - z.B. Fehlermeldungen - an die Absenderadresse haben sich als unzustellbar erwiesen.

Indem man verdächtige Nachrichten ein wenig nachreifen läßt, kann gerade in der Grauzone eine Trennschärfe erreicht werden, die bei sofortiger Beurteilung auch durch noch so sorgfältige Wahl einer Entscheidungsschwelle nicht zu erzielen wäre.

Realisierung

Beim Design des neuen Spam-Filters wurde besonderer Wert auf einen modularen Aufbau gelegt, um bereits existierende Spam-Filter (z.B. SpamAssassin) leicht einfügen und die Techniken zur Spam-Bekämpfung ständig weiterentwickeln zu können. 101 besteht nun aus einem Filter-Kern und mehreren Plugins, die die eigentliche Filterarbeit durchführen.

Der Kern übernimmt die Koordination des Filtervorgangs: Er kümmert sich darum, daß die Plugin-Prozesse gestartet werden, daß den Plugins Nachrichten zur Verarbeitung zugewiesen werden, usw. Neue Plugins lassen sich im laufenden Betrieb hinzufügen - der Kern sorgt dann dafür, daß Transaktionen, die mit einer älteren Konfiguration begonnen wurden, auch mit dieser beendet werden.

Plugins gibt es mit verschiedenen Funktionen:

  • Das Milter-Interface7) für die Kommunikation mit dem Mailserver;
  • Sensoren, um Informationen über die behandelte Nachricht zu gewinnen (Blacklist-Abfragen, Content Filter, ...);
  • ein Modul,8) das die gewonnenen Informationen auswertet und anhand eines einfachen Regelwerks entscheidet, wie mit der Nachricht zu verfahren ist;
  • Aktoren, die das Ergebnis des Entscheidungsmoduls umsetzen und statistische Auswertungen für die Optimierung und Weiterentwicklung des Filters vornehmen.

In diesen Rahmen können leicht zusätzliche Plugins eingebaut werden; einige neue Funktionen befinden sich bereits in Entwicklung.

Was können Sie einstellen?

Wie bereits erwähnt, ist es Ihnen überlassen, ob und in welchem Ausmaß Sie den neuen Spam-Filter einsetzen wollen - 101 wird nur auf Ihren ausdrücklichen Wunsch hin für Sie tätig. Solange Sie den Filter nicht aktivieren, bleibt für Sie alles beim alten: Sie erhalten wie bisher alle an Ihre Mailadresse gerichteten Nachrichten einschließlich allfälliger >X-Spam-Flags:-Header.

Wenn Sie sich entschlossen haben, den Spam-Filter zu aktivieren, rufen Sie die Webseite

auf. Nach dem Login mittels Mailbox- bzw. Unet-UserID können Sie entweder die vom ZID empfohlene Einstellung auswählen oder den Filter nach Wunsch konfigurieren. Unabhängig von den Filtereinstellungen ist es hier auch möglich, persönliche White- und Blacklists anzulegen.

Eine Übersicht über die Einstellungsmöglichkeiten finden Sie im Kasten Die Filtereinstellungen im Detail. Die ZID-Empfehlung lautet folgendermaßen:

  • Mit einer Headerzeile markieren: Nie
    Gerade im Falle von False Positives ist es sinnvoller, die Nachricht abzuweisen, als den Spam-Folder zur nie befragten, aber allwissenden Müllhalde werden zu lassen.
  • Abweisen: Ziemlich sicher Spam
    Mit dieser Einstellung wird relativ viel Spam erkannt; gleichzeitig ist das Risiko, irrtümlich legitime Nachrichten abzuweisen, äußerst gering.
  • FormMail, Bekanntermaßen unzustellbare Absender, Nachrichten ohne Domain-Angabe im From:-Feld: Abweisen
    Solche Nachrichten sollten normalerweise nicht durch das Internet gehen.
  • Verdächtige Nachrichten maximal 12 Stunden zurückhalten
    Dies mag im Verhältnis zu einem Arbeitstag lang erscheinen. Da aber gleichlautender Spam erfahrungsgemäß über einen längeren Zeitraum an viele Adressen verschickt wird und sich daher möglicherweise erst recht spät ein Exemplar in den Spam-Traps verfängt, ist das eher eine kurze Zeit.

Keine Regel ohne Ausnahmen

Über die Filter-Einstellungen hinaus können Sie in der Webmaske noch persönliche Whitelist- und Blacklist-Einträge vornehmen:

  • Nachrichten, auf die eines Ihrer Whitelist-Kriterien zutrifft, werden ungeachtet aller anderen Filtereinstellungen oder Blacklists ohne Verzögerung zugestellt.
  • Nachrichten, die einem Blacklist-Eintrag, aber keinem Whitelist-Kriterium entsprechen, werden unabhängig von den sonstigen Filtereinstellungen abgewiesen und mit einer Fehlermeldung an den Absender zurückgeschickt.

Whitelist-Einträge können Sie nach der Absenderadresse oder (besonders praktisch für Mailinglisten) dem Sender:- bzw. dem List-ID:-Header vornehmen. Weiters ist es möglich, mit Hilfe der Whitelist Ausnahmen für Nachrichten zu definieren, die im Subject oder einigen anderen Headern bestimmte Zeichenfolgen enthalten. Das ermöglicht beispielsweise Vereinbarungen wie die, daß Nachrichten mit dem Codewort Spunk9) im Subject stets zugestellt werden sollen.

Blacklist-Einträge können nach denselben Kriterien wie Whitelist-Einträge angelegt werden, haben aber den umgekehrten Effekt: Sie definieren Nachrichten, die abgewiesen werden sollen. Damit können Sie sich - falls die automatischen Spam-Filter nicht ausreichen sollten - grundsätzlich vor allen Nachrichten mit Viagra oder Sex im Subject wie auch vor Zusendungen von unliebsamen Zeitgenossen schützen.

Zukunftspläne

101 wird laufend weiterentwickelt - sowohl was die Spam-Erkennung als auch was Strategien zur Vermeidung von False Positives betrifft. In näherer Zukunft sollen folgende Funktionen implementiert werden:

  • Besseres Feedback für die Benutzer: Über Webmaske10) (oder wahlweise auch als täglich per eMail zugesandter Bericht) wird es möglich sein, Datum, Absenderadresse und Subject der gefilterten Nachrichten abzurufen.
  • Prüfsummen-Vergleich von eingebetteten Bildern und anderen Attachments in HTML-Mail: Es hat sich gezeigt, daß auch neue Spam-Nachrichten mit neuem Text oft dieselben Bilder enthalten wie frühere Spams. Diese Bilder können - ebenso wie die besonders berüchtigten Dialer - mit dem Prüfsummen-Mechanismus wiedererkannt werden.
  • Berücksichtigung von URLs bzw. IP-Adressen, auf die in Nachrichten verwiesen wird: Da auch Spammer nur vergleichsweise wenige IP-Adressen für Webserver zur Verfügung haben, bestehen gute Chancen, daß die IP-Adresse des Servers bereits in einer einschlägigen Blacklist aufscheint.
  • Auf Wunsch soll es möglich sein, Nachrichten von Adressen, an die man kürzlich Mail geschickt hat, eher als Nicht-Spam einzustufen als andere.
  • Die Empfänger sollen weitere Klassen von eMail generell ablehnen können - beispielsweise Zeichensätze wie KS_C_5601-1987, den die meisten von uns nur als "koreanischen Spam" kennen.
  • Es ist geplant, die Received:-Zeilen automatisch zu analysieren, um Fälschungen zu erkennen (was auf Spam hindeuten würde) oder Ketten von Proxy - Relay - Empfänger zu entdecken.
  • Die Benutzer sollen die Möglichkeit erhalten, eigenhändig temporäre Mailadressen einzurichten. Dabei handelt es sich um eine organisatorische Maßnahme, die vor allem für die Teilnehmer von Newsgruppen gedacht ist: Wird eine solche Adresse "zugespammt", kann sie problemlos durch eine andere ersetzt werden.
  • Ein Wunsch bleibt vorerst die Idee, zentral gespeicherte Adreßbücher einzurichten. Dieses Service wäre eine hervorragende Erweiterung sowohl für das Webmail-Service als auch für die Spam-Whitelists. Wirklich sinnvoll sind am Server verwaltete Adreßbücher aber nur, wenn auch der "normale" Mailklient mitarbeitet, d.h. auf einfache Weise neue Mailadressen eintragen kann. Genau hierbei hakt es: Zwar kann fast jeder Mailklient LDAP-Verzeichnisse abfragen, aber leider nichts hineinschreiben.

Mit dem serverseitigen Spam-Filter ist ein entscheidender Schritt getan, die Mailboxen der Uni Wien von unerwünschtem Datenmüll zu befreien. Es bleibt zu hoffen, daß dadurch das Thema Spam - zumindest auf absehbare Zeit - ebenso an Bedeutung verliert wie die Virenproblematik nach der Einführung der zentralen eMail-Virenscanner.

Ein zentraler Spam-Filter am Mailserver bietet eine bequeme Möglichkeit, sich der unerwünschten Botschaften zu entledigen. Wer aber gern selbst alles unter Kontrolle hat und den Aufwand nicht scheut, kann auch auf einen Desktop-Spam-Blocker zurückgreifen.

 

Die Filtereinstellungen im Detail

101 kann Nachrichten, die Spam-Merkmale aufweisen, derzeit auf zwei Arten behandeln:

  • Mit einer Headerzeile markieren
    Dies dient üblicherweise dazu, die markierten Nachrichten in einen eigenen Spam-Folder zu verschieben, und sollte nur gewählt werden, wenn Sie sicher sind, daß Sie diesen auch nach der Phase anfänglicher Begeisterung noch regelmäßig kontrollieren werden.
  • Abweisen
    Die Nachricht wird nicht angenommen; der Absender erhält eine Fehlermeldung.

Bei welchen Nachrichten dies geschehen soll, können Sie jeweils in vier Stufen einstellen:

  • Sicher Spam
    Es werden nur jene Nachrichten markiert bzw. abgewiesen, bei denen ein Irrtum praktisch ausgeschlossen ist - d.h. wenn sie auch an Spam-Trap-Adressen gesendet wurden oder (fast) alle sonstigen Verfahren hohe Erkennungswerte geliefert haben.
  • Ziemlich sicher Spam
    Der Filter sortiert all jene Nachrichten aus, bei denen mehrere unabhängige Filterkriterien auf Spam hindeuten und False Positives kaum zu erwarten sind.
  • Wahrscheinlich Spam
    Vorsichtige sollten diese Einstellung nicht wählen - sie besagt, daß ein oder mehrere Spam-Indikatoren Spam signalisiert haben, andere aber nicht. Ein Beispiel wäre etwa eine Nachricht mit sehr häufigem Auftreten des Wortes Viagra, die aber weder über ein Open Relay noch als Massenmail eingetroffen ist.
  • Nie
    Keine Nachricht wird markiert bzw. abgewiesen.

Darüber hinaus ist es möglich, durch Ankreuzen der entsprechenden Kontrollkästchen bestimmte Klassen von eMail generell zurückzuschicken:

  • FormMail-Nachrichten
    Wenn Sie von FormMail noch nie gehört haben, können Sie solche Nachrichten bedenkenlos abweisen. Falls Sie FormMail auf Ihren Webseiten verwenden, können Sie entweder diese Option deaktivieren oder Ihr FormMail-Skript in Ihre Whitelist eintragen.
  • Bekanntermaßen unzustellbare Absender
    Dies betrifft alle Adressen, an die unsere Mailserver kürzlich keine Nachrichten senden konnten. Das Hauptrisiko bei dieser Einstellung besteht darin, Benutzer (z.B. von Freemail-Accounts) auszusperren, deren Mailbox voll war. Dagegen können Sie sich aber bis zu einem gewissen Grad schützen, indem Sie die Ihnen bekannten eMail-Adressen in Ihre Whitelist aufnehmen.
  • Nachrichten ohne Domain-Angabe im From:-Feld
    Solche Nachrichten sind nach den einschlägigen Internetstandard-Dokumenten unzulässig und obendrein häufig bei Spam anzutreffen. Allerdings hat sich gezeigt, daß auch einige von unseren Benutzern bestellte Newsletters diesen Defekt aufweisen.

In der Webmaske können Sie außerdem noch festlegen, wie lange verdächtige Nachrichten für eine spätere Begutachtung maximal zurückgehalten werden dürfen. Dies betrifft nur jene Nachrichten, bei denen beispielsweise der Text auf Spam hindeutet, aber Erkennungsmethoden, die typischerweise mit Verspätung funktionieren (also Blacklists und Spam-Traps), keine weiteren Hinweise liefern.

 

1)In der Newsgruppe at.internet.provider gab es einen Aufschrei, als chello-Benutzer plötzlich nicht mehr an den Mailserver einer österreichischen Universität schreiben konnten. Die Schuld daran trägt weder chello noch die betroffene Uni noch die verwendete Blacklist - daß so etwas früher oder später passiert, ist die unvermeidliche Konsequenz von hostbasiertem Blacklisting.

2) Ein leicht verständliches Beispiel, bei dem als Alzheimer-Test zwei simple Tests kombiniert und auch die Begriffe von positivem und negativem Vorhersagewert anschaulich illustriert werden, findet man unter dem URL http://www.healthandage.com/DHome/gm=2!gid2=1394.

3) DCC: siehe http://www.rhyolite.com/anti-spam/

4) Die Zahl der Exemplare einer Nachricht, die an nichtexistente Adressen geschickt wurden, ist eine ungemein wertvolle Informationsquelle, über die kleine und mittlere Institutionen nicht verfügen. Aufgelassene Adressen sind aber natürlich mit geringerer Gewichtung zu behandeln als dedizierte Spam-Traps, da es z.B. durchaus vorkommen kann, daß jemand eine Nachricht an die neue und sicherheitshalber als Kopie auch an die alte Adresse des Empfängers schickt.

5)Da in der Vergangenheit die Mailserver der Uni Wien ständig durch notorisch unzustellbare Mail verstopft wurden, wird diese bereits seit einiger Zeit mit geringerer Priorität behandelt. Die Information über unzustellbare Adressen ist somit ohnehin vorhanden und kann auch für den Spam-Filter verwendet werden.

6) Dieses Feature ist ab Frühjahr 2003 für Mailbox-Benutzer und voraussichtlich ab Sommer 2003 auch für Unet-Benutzer verfügbar.

7) Diese Technik wird bereits beim Virenscanner erfolgreich eingesetzt (siehe Comment 01/1, Seite 28). Mittlerweile haben wir die Serversoftware sendmail dahingehend erweitert, daß der Mailserver die Last auf mehrere Filterserver verteilen und im Falle von Problemen mit einem Server auf die anderen ausweichen kann.

8) Dieses Plugin beruht derzeit auf den für unsere Zwecke angenehm schlanken RICE (Routines for Implementing C Expert systems) von René Jager.

9) Lindgren, Astrid: Pippi Långstrump i Söderhavet, Stockholm 1948, Rabén & Sjögren

10) Dieses Feature geht auf einen Vorschlag von Gerhard Gonter (ZID der WU Wien) zurück.