Auf der richtigen Fährte
Der Junk-Mail-Filter von Mozilla

von Michaela Bociurko (Ausgabe 04/3, Oktober 2004)

 

Kasten: Wichtige Verhaltensregeln im Zusammenhang mit Spam

 

Spam - A Neverending Story?

Sind auch Sie es allmählich leid, Tag für Tag den Müll zu trennen und zu entsorgen? Wohlgemerkt, wir sprechen hier freilich nicht von Hausmüll, sondern von jenen unerwünschten, massenweise verschickten eMail-Nachrichten, die sich tagtäglich in unseren Posteingängen ansammeln und dort mühsam händisch gelöscht werden müssen, um den marginalen Anteil tatsächlich erwünschter Mail herauszufiltern. Besonders im Sommer häufen sich bekanntlich verzweifelte Klagen von BenutzerInnen, die nach der Rückkehr aus dem Urlaub hunderte bis tausende Spam-Nachrichten in ihren virtuellen Briefkästen vorfinden. Den geplagten Spam-Opfern widmete der Comment bereits im letzten Jahr eine ausführliche Abhandlung zum Thema Spam (siehe Comment 03/1).

Zieht man bezüglich der Entwicklungen im inzwischen verstrichenen Zeitraum Bilanz, so fällt diese leider reichlich negativ aus. Nicht nur, dass die Flut an unerwünschter Mail ungebrochen weiter anwuchs, vielmehr erhielt die Spam-Plage durch das Auftreten neuer Schädlinge eine zusätzliche Facette: Würmer und Trojaner nisten sich in PCs ein und senden sich automatisch an alle im Adressbuch des infizierten Rechners eingetragenen Adressen weiter. Die Adressen werden dabei wahllos in die diversen Header-Felder der Nachrichten (Empfänger, Absender usw.) eingetragen. So wurden beispielsweise vor ein paar Monaten Millionen Internet-BenutzerInnen mit rechtspopulistischem Spam überflutet, der auf den ersten Blick aus seriösen Quellen oder gar von FreundInnen oder KollegInnen zu kommen schien. Tatsächlich war dies das Werk zweier Würmer, Sober G und Sober H, die sich von infizierten Rechnern aus munter weiterverbreiteten.

Diese Form der Verbreitung hat aber noch eine weitere Schattenseite. Wird eine auf solche Weise versandte eMail-Nachricht in der Folge als Spam erkannt bzw. ein Virus in ihr entdeckt oder ist der Empfänger dem Mailserver unbekannt, so wird die Nachricht dem vermeintlichen Absender mit dem Hinweis der Unzustellbarkeit "zurückgesandt". Dieser erhält dann eine so genannte NDN (Non Delivery Notification, im Fachjargon auch als Bounce Mail bekannt) mit dem Betreff Message not delivered, Delivery Failure, Returned mail: User unknown oder ähnlichem, obgleich er die ihm retournierte Nachricht nie versandte (siehe Abb. 1). Neben Verwunderung seitens der betroffenen BenutzerInnen, überquellenden Posteingängen und unerwünschter Veröffentlichung von aus Adressbüchern "ausgelesenen" Mailadressen kann dieses Verfahren kurzfristig enorme Steigerungen des Mailverkehrs bewirken und eine deutliche Belastung der Mailserver und des Netzwerks zur Folge haben. Es lässt sich deshalb an dieser Stelle nur erneut die Wichtigkeit des konsequenten Einsatzes eines Virenschutzprogramms betonen (Windows-BenutzerInnen sei der Artikel McAfee VirusScan - Ihr Goalkeeper im Einsatz gegen virale Offensiven im Comment 04/1 ans Herz gelegt).

Abb. 1: Das Prinzip von Non Delivery Notifications (NDNs)

 

Der Junk-Mail-Filter von Mozilla

Auch wenn sich in näherer Zukunft noch nicht die Entwicklung eines "Allheilmittels" gegen Spam abzeichnet, stehen dem einzelnen Benutzer doch einige wirkungsvolle Möglichkeiten zur Verfügung, um sich auf eigene Faust der unerwünschten Mail zu entledigen. Eine besonders einfach zu handhabende, doch überaus effektive Methode bietet hierfür das Mailprogramm von Mozilla mit seinem integrierten Junk-Mail-Filter.

Beim Junk-Mail-Filter von Mozilla handelt es sich um einen so genannten Bayes'schen Filter (nach dem englischen Mathematiker Thomas Bayes, 1702-1761). Das zugrunde liegende Prinzip wurde im August 2002 in dem - inzwischen legendären - Artikel A Plan for Spam von Paul Graham skizziert. Bayes'sche Filter sind "lernend": Ähnlich einem Spürhund muss der Junk-Mail-Filter erst darauf trainiert werden, zwischen "guten" (Nicht-Spam-) und "bösen" (Spam-)Nachrichten zu differenzieren. Dies geschieht anhand einer statistischen Methode, die den Inhalt der eingehenden Mail auf das Vorkommen bestimmter Begriffe hin analysiert. Die grundlegenden Daten für die Analyse stellt der jeweilige Benutzer selbst zur Verfügung: Die den einzelnen Wörtern zugeordneten Koeffizienten werden auf Basis jener Nachrichten berechnet, die bereits vom Benutzer als Spam bzw. Nicht-Spam klassifiziert wurden. Zur Prüfung einer bestimmten Nachricht werden schließlich die Koeffizienten aller darin enthaltenen Wörter zu einem Spam-/Nichtspam-Verhältnis zusammengerechnet.

Diese Methode bietet einige klare Vorteile:

  • Jeder Benutzer hat individuelle Pro-Wort-Wahrscheinlichkeitswerte, die auf seiner aktuellen Mail basieren.

  • Spam erhält eine individuelle und präzise Definition durch den einzelnen Benutzer, was sich wiederum positiv auf die Effizienz des Filters auswirkt.

  • Spammern erschwert dies, ihre Nachrichten zu "tunen", also auf neue Bedingungen mit entsprechenden Anpassungen zu reagieren.

  • Die Erkennungsrate von Spam ist sehr hoch, wohingegen die Rate der irrtümlich als Spam klassifizierten Nachrichten (False Positives) praktisch bei Null liegt.

Weniger geeignet ist die Methode jedoch für BenutzerInnen, die ihre Mail via Wählleitung (Modem/ISDN) abrufen, da bei klientenseitigem (= vom lokalen Mailprogramm durchgeführtem) Filtern alle Nachrichten im Posteingang heruntergeladen werden müssen und dies entsprechend viel Zeit in Anspruch nimmt.

Damit Sie den Junk-Mail-Filter einsetzen können, muss eine aktuelle Version von Mozilla (Browser & eMail-Klient) bzw. Mozilla Thunderbird (nur eMail-Klient) auf Ihrem Rechner installiert sein. Sie können diese Software kostenlos downloaden: Von Mozilla ist gegenwärtig unter www.mozilla.org die Version 1.7.2 (englisch) verfügbar. Eine deutsche Version erhalten Sie auf den offiziellen österreichischen Mozilla-Webseiten unter mozilla.kairo.at bzw. als selbstinstallierendes Programm unter germaninstaller.sourceforge.net (empfohlen). Beachten Sie bitte, dass sich die nachfolgende Anleitung auf Mozilla 1.7.2 (deutsch) bezieht und die beschriebenen Einstellungen bei anderen Versionen eventuell etwas abweichen. Für die Installation des Programms folgen Sie den entsprechenden Anweisungen in der Menüführung.

Einrichten der Ansicht

Nach erfolgreicher Installation gelangen Sie via Programme - Mozilla - Mail in Ihren Posteingang. Mittels des kleinen Listenbuttons (siehe Markierung rechts in Abb. 3) können Sie festlegen, welche Spalten angezeigt werden sollen. Es empfiehlt sich hier, zur besseren Erkennung von Spam die Anzeige des Empfängers zu aktivieren. (Beispielsweise können Sie so überprüfen, ob es sich um eine klar an Sie gerichtete Nachricht handelt oder ob zahlreiche andere Personen ohne logischen Zusammenhang mit Ihnen/Ihrem Fachbereich/Ihrer Institution die Nachricht ebenfalls erhielten.) Markieren Sie hierzu in der Liste den Eintrag Empfänger, indem Sie darauf klicken - alle mit einem Häkchen markierten Listenelemente werden automatisch der Ansicht hinzugefügt. Als nützlich erweist sich oft auch die Darstellung von Status und Größe der Nachricht, wohingegen die Optionen Thread und Gelesen nur in den seltensten Fällen benötigt werden und demnach beruhigt deaktiviert werden können.

Einrichten des Filters

Wählen Sie Extras - Junk-Mail-Filter. Ein Info-Fenster (Über Junk-Mail) wird nun eingeblendet, das nur bei erstmaligem Einrichten des Filters erscheint. Klicken Sie auf OK. Das Info-Fenster schließt sich und Sie gelangen automatisch in das Fenster Junk-Mail-Filterung (siehe Abb. 2). Die Option Junk-Mail-Filter aktivieren ist hier üblicherweise bereits angehakt. Auch der Punkt Nachrichten nicht als Junk-Mail markieren, wenn der Absender in meinem Adressbuch ist: Persönliches Adressbuch sollte bereits per Voreinstellung ausgewählt sein. Mit dieser Funktion bietet Mozilla die Möglichkeit, das persönliche Adressbuch als so genannte Whitelist zu verwenden (d.h. als Verzeichnis von AbsenderInnen, deren Nachrichten auf jeden Fall akzeptiert werden) - eine sinnvolle Erweiterung, die das Filtern vereinfacht, da nur jene Messages gefiltert werden müssen, die von unbekannten Absendern/Adressen stammen.

Abb. 2: Dialogfenster Junk-Mail-Filterung (Mozilla 1.7.2)

 

Damit als Spam erkannte Mail in einen speziell dafür vorgesehenen Ordner aussortiert wird, müssen Sie zudem die Option Eingehende Nachrichten, die als Junk-Mail identifiziert wurden, verschieben in:"Junk"-Ordner auf: <Ihr Mailaccount> wählen. Mozilla verwendet hierfür nun den eigens für Ihr Mailkonto angelegten Junk-Ordner (). Nach erfolgreichem Training können Sie später hier auch festlegen, dass Spam nach einem bestimmten Zeitraum automatisch gelöscht wird. Vorerst sollten Sie dies jedoch besser händisch tun und diese Funktion unangetastet lassen. Aktivieren Sie weiters Wenn Nachrichten manuell als Junk markiert werden: In den "Junk"-Ordner verschieben. Schließen Sie nun Ihre Auswahl ab, indem Sie OK wählen.

Training

Sie haben sich nun ein wenig mit den Einstellungen Ihres Junk-Mail-Filters vertraut gemacht. Es wird Zeit, mit dem Training zu beginnen. Ihr Spam-Spürhund soll sukzessive von Ihnen lernen, "gute" von "bösen" Nachrichten zu unterscheiden. Um ihn dies zu lehren, müssen Sie vorerst jede Nachricht für ihn klassifizieren: Sie teilen ihm mit, welche Nachricht Sie als Junk bzw. als "kein Junk" betrachten. Zur Durchführung dieser Aktion stehen Ihnen mehrere Möglichkeiten zur Verfügung:

  • Sie markieren die entsprechende Nachricht und klicken oben in der Symbolleiste auf Junk bzw. Kein Junk (siehe Abb. 3).

  • Sie legen den Status direkt innerhalb der Nachrichtenliste fest: Rechts neben der Spalte Betreff finden Sie eine Spalte, die den Junk-Status bezeichnet, also ob es sich bei der jeweiligen Nachricht um Junk (blaues Icon) oder um "kein Junk" (kleiner Listenpunkt) handelt. Auch hier kann mittels Klick auf das jeweilige Icon der Status der Nachricht geändert werden (siehe Abb. 3).

  • Via Menüführung: Wählen Sie Nachricht - Markieren - Als "kein Junk" oder Als Junk.

  • Zudem befindet sich bei allen bereits als Junk klassifizierten Nachrichten innerhalb des Headers eine Schaltfläche Kein Junk.
Abb. 3: Nachricht als Junk markieren (Mozilla 1.7.2)

 

Was Sie nicht als Junk markieren sollten:

  • Uninteressante Aussendungen, also Nachrichten, deren Inhalt Sie zum gegebenen Zeitpunkt nicht interessiert (z.B. abonnierte Newsletters, Firmeninfos), die sie aber weiterhin erhalten möchten. Entfernen Sie solche Nachrichten mittels Löschen aus Ihrem Posteingang.

  • Non Delivery Notifications (NDNs): Leider bilden - aus schon am Anfang des Artikels erläuterten Gründen - NDNs bereits einen beträchtlichen Anteil der sich im Posteingang ansammelnden unerwünschten Mail. Diese sind zwar ebenso lästig wie "klassischer" Spam, haben aber, sofern sie "echt" sind, durchaus ihren Nutzen: Wenn Sie sich beispielsweise beim Schreiben einer eMail-Nachricht bei der Adresse vertippen, erhalten Sie vom Mailserver eine NDN, die Ihnen mitteilt, dass Ihre eMail nicht zugestellt werden konnte. Diese Art von Nachrichten dient demnach Ihrer persönlichen Information und sollte deshalb nicht pauschal als Junk klassifiziert werden. In diesem Fall würden nämlich alle NDNs - also auch jene, die sich tatsächlich auf von Ihnen abgeschickte Nachrichten beziehen - in den Junk-Ordner verschoben werden. NDNs sollten deshalb ebenfalls manuell gelöscht werden.

Junk-Ordner überprüfen

Nach ein paar Tagen wird Ihr Junk-Mail-Filter schon sehr effizient autark agieren. Spam-Nachrichten werden dann automatisch in den Junk-Ordner transferiert. Es empfiehlt sich, den Junk-Ordner mehrmals täglich durchzusehen und auf mögliche False Positives hin zu überprüfen. Sollten Sie dabei fündig werden, klassifizieren Sie diese mit einer der obigen Methoden als "kein Junk" und ziehen Sie die Nachricht zurück in Ihren Posteingang. Anfangs werden Sie dies vielleicht öfters tun müssen. Sie werden aber positiv überrascht sein von der schnellen Auffassungsgabe Ihres "Schülers": Bereits nach wenigen Tagen lassen sich sehr gute Filter-Ergebnisse erzielen.

Wichtige Verhaltensregeln im Zusammenhang mit Spam

Antworten Sie niemals auf Spam-Mail. Im Allgemeinen sind die Absender-Adressen ohnehin fingiert bzw. wurden ohne Wissen ihrer BesitzerInnen für derartige Aussendungen missbraucht. In jedem Fall sind Beschwerden sinnlos. Die tatsächliche Herkunft einer Nachricht kann nur mit Hilfe des (normalerweise ausgeblendeten) Mail-Headers eruiert werden, der ihren Weg vom Absender über diverse Mailserver zum Empfänger wiedergibt. Leider ist auch dieser Header nicht vor Fälschungengefeit; mit den nötigen Vorkenntnissen und etwas Glück lässt sich aber anhand der IP-Adresse des Absenders dessen Provider feststellen. Der Header einer Nachricht kann in Mozilla mittels Ansicht - Kopfzeilen - Alle eingeblendet werden.

Nehmen Sie keine "Austragungen" aus Listen vor, die Sie nicht selbst abonniert haben. Oft beinhalten Spam-Nachrichten einen Link, über den angeblich eine Austragung aus dem jeweiligen Verteiler möglich ist (z.B. Wenn Sie diesen Newsletter zukünftig nicht mehr erhalten wollen, klicken Sie hier). Eine derartige "Abbestellung" dient jedoch dem Spammer lediglich zur Feststellung, ob Ihre eMail-Adresse aktiv/gültig ist. Sie werden also voraussichtlich noch mehr Spam erhalten.

Geben Sie niemals sensible Daten mittels Antwortmail bzw. Webmaske bekannt. Trickbetrüger versuchen oft, mit Hilfe geschickt gefälschter Nachrichten, die angeblich von einer bestimmten Institution (Firma, Bank, Versicherung, ...) stammen, an Kreditkartennummern, Passwörter usw. zu gelangen. Es handelt sich dabei jedoch immer um Fälschungen - tatsächlich wird kein seriöses Unternehmen Sie per eMail auffordern, sensible Daten via Antwortmail, anklickbarem Link und dergleichen zu übermitteln (siehe dazu auch den Artikel Maskenball im Internet).

Öffnen Sie keine zweifelhaften Dateianhänge (Attachments). Es könnte sich dabei um einen Virus, Wurm oder Trojaner handeln. Auch so genannte Dialer sind im Umlauf - Programme, die sich selbst installieren und teure Mehrwertnummern anwählen ("Auto-Dialer") oder die Einstellungen des Computers derart verändern, dass sie fortan als Standardverbindung gestartet werden, sobald eine Netzwerkverbindung aufgebaut wird. Selbst wenn Sie den Absender eines Attachments augenscheinlich kennen, sollten Sie im Zweifelsfall besser nachfragen, ehe Sie den Dateianhang öffnen.

Verwenden Sie Mailprogramme, bei denen Sie die HTML-Ansicht deaktivieren können. In HTML-Nachrichten können sich Codes verstecken, die den Spammer informieren, ob die Nachricht gelesen wurde.

"Schützen" Sie Ihre eMail-Adresse. Überlegen Sie stets, wo bzw. wem Sie diese bekannt geben.