Spam-Bekämpfung auf eigene Faust

von Elisabeth Zoppoth (Ausgabe 03/1, März 2003)

 

Wer den serverseitig arbeitenden Spam-Filtern des ZID (noch) nicht vertraut, kann auch mit diversen Desktop-Programmen versuchen, der Spam-Flut in seiner Mailbox Herr zu werden. Die deutsche Fachzeitschrift c't hat im Herbst des vergangenen Jahres aus über 60 derartigen, am eigenen PC zu installierenden Spam-Blockern die sieben brauchbarsten vorausgewählt und diese anschließend einem Härtetest unterzogen. Um die Vorauswahl zu bestehen, mußten die Programme unter anderem mit bereits vorhandenen Mailkonten umgehen können, ihre Filter selbständig - ohne regelmäßige händische Anpassungen seitens des Benutzers - aktuell halten können und imstande sein, die als Spam erkannten Nachrichten zu markieren oder in einen bestimmten Ordner zu verschieben (kommentarloses Löschen wurde als K.O.-Faktor gewertet).

Die sieben Finalisten, die in der Tabelle aufgelistet sind, wurden anhand eines bereits vorhandenen ("historischen") Datensatzes von 6000 unerwünschten und 500 erwünschten eMail-Nachrichten sowie eines zweiten Datensatzes von ca. 200 aktuell einlangenden Nachrichten gründlich getestet. Die Resultate dieses Tests werden im folgenden kurz wiedergegeben - wer mehr darüber wissen möchte, findet den kompletten Bericht im c't 22/2002 auf Seite 158. Mailbox- und Unet-Benutzer können diese c't-Ausgabe über das Datenbank-Service der UB-Wien online abrufen.

Produkt

Plattform

Preis/Monat

Hersteller

Bezugsquelle

Apple Mail 1.2

MacOS X 10.2 (Teil des Betriebssystems)

kostenlos

Apple

http://www.apple.com/macosx/jaguar/mail.html

MailShield Desktop 2.13

Windows 95, 98, NT, 2000, ME, XP

$ 60

Lyris

http://www.lyris.com/products/mailshield/desktop/

Spam Sleuth 1.0.0.28

Windows 95, 98, NT, 2000, ME, XP

$ 30

Blue Squirrel

http://www.bluesquirrel.com/products/SpamSleuth/

SpamKiller 4.0.40.0

Windows 95, 98, NT, 2000, ME, XP

$ 40

McAfee

http://www.mcafee.com/myapps/msk/default.asp

SpamPal 1.06

Windows 95, 98, NT, 2000, ME, XP

kostenlos

James Farmer

http://www.spampal.org.uk/

SpamAssassin Pro

Outlook 2000, 2002 (Outlook-Plugin)

$ 30

Deersoft

http://www.deersoft.com/

SpamNet Beta 6f

Outlook 2000, XP (Outlook-Plugin)

kostenlos

Cloudmark

http://www.cloudmark.com/products/spamnet/


Die Ergebnisse im Überblick

  • Die getesteten Programme können jeweils beliebig viele Mailkonten überprüfen. Die einzige Ausnahme bildet MailShield, das mit maximal 3 Mailkonten limitiert ist.
  • Alle Programme bieten die Möglichkeit, eine Whitelist anzulegen (das ist ein Verzeichnis aller Absender, deren Nachrichten man auf jeden Fall empfangen möchte), wobei alle außer SpamPal und SpamNet einen automatischen Adreßbuch-Abgleich durchführen können.
  • In der Regel filtern die Desktop-Spam-Blocker (ausgenommen Apple Mail, SpamKiller und SpamNet) unter anderem mit Hilfe von Blacklists - das sind Datenbanken im Internet, die alle Rechner/Provider auflisten, die als Spammer bzw. "Spammer-freundlich" bekannt sind. Die Richtlinien für die Aufnahme eines Rechners in eine Blacklist sind allerdings sehr unterschiedlich und oft auch sehr unscharf, sodaß diese Methode umstritten und jedenfalls als alleiniges Filterkriterium ungeeignet ist.
  • Die meisten der getesteten Programme beherrschen nur POP. IMAP-Konten können nur von Apple Mail und MailShield überprüft werden, Hotmail- und MAPI-Konten nur von MailShield und SpamKiller. Mit Exchange-Konten kann ausschließlich SpamAssassin Pro umgehen.
  • Der Benutzerkomfort wurde allgemein als "gut" bewertet; SpamAssassin Pro erreichte sogar ein "sehr gut".
  • Bei der Erkennungsrate wurde zwischen den historischen und den aktuellen Test-Nachrichten unterschieden. Im großen und ganzen erreichten hier Apple Mail und MailShield die besten Werte; bei SpamKiller fällt die viel zu hohe Rate (6%) von als Spam eingestuften, tatsächlich aber erwünschten Nachrichten (False Positives) auf.

Apple Mail

Ein besonderes Feature von Apple Mail ist ein Spam-Filter auf Basis von künstlicher Intelligenz, der in einer Lernphase darauf trainiert wird, unerwünschte Mail zu erkennen. Ausgefilterte Nachrichten können nach Wunsch gelöscht, markiert oder verschoben werden. Nach einigen Wochen gezielten Trainings erreicht ein solches System sehr hohe Trefferquoten - im Test waren es 98,6% des aktuellen Spams und 0% False Positives. Bei der historischen Mail schnitt das Programm aber deutlich schlechter ab; darüber hinaus ließ die Spam-Erkennung auch im aktuellen Datensatz nach, nachdem das Programm eine Zeitlang mit den älteren Nachrichten "gefüttert" worden war. Den Grund dafür vermuten die Tester darin, daß die beiden Datenquellen zu unterschiedlich waren, während es für den Erfolg des Systems ganz wesentlich ist, in der Lernphase möglichst typische Nachrichten zu verwenden.

MailShield

MailShield beurteilt die Nachrichten anhand von Blacklists und Textfiltern, wobei der Benutzer die Möglichkeit hat, die Analyse-Kriterien gezielt zu beeinflussen. Als Spam eingestufte Nachrichten werden aus dem Postfach entfernt und in einer eigenen Datenbank zur späteren Durchsicht gespeichert. Im c't-Test erreichte MailShield sowohl bei der historischen als auch bei der aktuellen Mail Erkennungsraten von 90% bei jeweils 0% an False Positives - dies allerdings nur unter Windows NT, 2000 oder XP bzw. in Verbindung mit Internet Explorer 6.0, weil es in diesen Fällen mit Hilfe einer System-DLL die Absenderadressen überprüfen kann. Bei anderen Plattformen lagen die Trefferquoten nur bei 50%.

Spam Sleuth

Spam Sleuth sucht nach Schlüsselwörtern, HTML-Code und eingebundenen Skripts und greift zusätzlich auf frei wählbare Blacklists zurück. Die Trefferquote liegt mit den voreingestellten Werten bei etwa 80% und läßt sich durch händische Feinabstimmung weiter steigern. Andererseits scheinen im Testergebnis auch 2% False Positives bei den historischen und 1% False Positives bei den aktuellen Nachrichten auf. Auch auf langsamen Rechnern arbeitet das Programm recht flott; im Falle einer bestehenden Internetverbindung ist außerdem ein automatisches Update möglich. Der Nachteil: Bei mehr als 2000 Nachrichten im Postfach stürzt Spam Sleuth schlicht und einfach ab - ein Problem, das aber hoffentlich in der nächsten Version behoben sein wird.

SpamKiller

SpamKiller wies im Test mit 6% an False Positives bei beiden Datensätzen eine inakzeptabel hohe Quote auf. Korrekt als Spam eingestuft wurden bei den historischen Nachrichten 80% und bei den aktuellen Nachrichten 65%. Dieses insgesamt eher schlechte Ergebnis liegt daran, daß SpamKiller bei der Analyse der Nachrichten ausschließlich auf Textfilter setzt. Obwohl es hunderte davon verwendet, und trotz der möglichen Kombination mit einer aus dem Adreßbuch importierten Whitelist, kann es im direkten Vergleich mit den anderen getesteten Programmen nicht wirklich bestehen.

SpamPal

Dieses Programm verwendet in der Standardinstallation hauptsächlich Blacklists als Beurteilungskriterium und erreichte infolgedessen im Test sehr mäßige Trefferquoten: Die Erkennungsrate lag bei historischen und aktuellen Nachrichten bei 62%, die Quote der False Positives jeweils bei 4%, was wie bei SpamKiller eindeutig zu hoch ist. Allerdings hat der Benutzer die Möglichkeit, z.B. durch individuelle Black- oder Whitelists sowie durch Filter-Plugins die Ergebnisse zu verbessern. Einzigartig - zumindest im Rahmen dieses Tests - ist der "RegEx-Filter" von SpamPal, der es erlaubt, Regular Expressions für Filter und Whitelist zu verwenden. Die c't-Tester kommen zu folgendem Schluß: Alles in allem ist SpamPal ein leistungsfähiger, vielseitiger und vor allem kostenloser Spam-Blocker, an dem man aber ein wenig schrauben muß, bis er optimale Ergebnisse liefert.

SpamAssassin Pro

Bei der Desktop-Variante von SpamAssassin handelt es sich um ein Plugin für Outlook 2000 bzw. 2002, das sehr einfach zu bedienen ist und sehr gute Erkennungsraten erzielt (88% bei historischer, 90% bei aktueller Mail; 0,02% bzw. 0% False Positives). Im Gegensatz zur Server-Version bietet es allerdings kaum Konfigurationsmöglichkeiten: Der Benutzer muß mit einer White- und Blacklist sowie einem Sprachfilter das Auslangen finden, sodaß sich die Trefferquote kaum mehr steigern läßt. Zudem werden die einzelnen Nachrichten in Echtzeit während des Ladevorgangs geprüft, was auf Dauer eher unangenehm auffällt, falls man keine ständige Internetverbindung hat bzw. die Mailbox permanent gut gefüllt ist.

SpamNet

Auch SpamNet ist ein Plugin für Outlook (2000 und XP), überprüft im Gegensatz zu SpamAssassin Pro die Nachrichten aber erst, wenn sie bereits eingetroffen sind. Das führt dazu, daß man mitunter unerwünschte Nachrichten in der Mailbox vorfindet, die nach der Überprüfung jedoch selbständig in den Spam-Ordner entschwinden. Die Trefferquote lag im Test bei den historischen Nachrichten zwar nur bei 40%, bei der aktuellen Mail aber bei 80%. Die Konfigurationsmöglichkeiten beschränken sich auf Buttons, mit deren Hilfe die Mailadressen einzelner Nachrichten in die Black- oder Whitelist übernommen werden können. Lobend erwähnt wird von den Testern, daß SpamNet keine einzige Nachricht fälschlicherweise als Spam klassifizierte. Ein weiterer Pluspunkt: Das Programm ist kostenlos.

Quintessenz

Wie im Artikel Forever Spam!? dargestellt wurde, sind Spammer sehr erfinderisch und ihren Gegnern oft um eine Nasenlänge voraus. Der c't-Test bestätigt die Linie des ZID: Wenn man die Spam-Flut effizient eindämmen will, muß man mehrere Filterkriterien miteinander verknüpfen. Blacklists, Whitelists und Textfilter haben jeweils ihre Schwachstellen - eine sinnvolle Kombination der verschiedenen Methoden, gemeinsam mit einem übergeordneten Bewertungssystem, kann jedoch sehr wirkungsvoll sein.