{"id":477,"date":"2019-01-18T14:28:52","date_gmt":"2019-01-18T12:28:52","guid":{"rendered":"http:\/\/www.itam.ch\/?p=477"},"modified":"2019-01-19T12:57:01","modified_gmt":"2019-01-19T10:57:01","slug":"warum-kommen-nicht-alle-e-mails-beim-empfaenger-an","status":"publish","type":"post","link":"https:\/\/www.itam.ch\/?p=477","title":{"rendered":"Warum kommen nicht alle E-Mails beim Empf\u00e4nger an?"},"content":{"rendered":"

Oder: Warum E-Mails im Spamfilter h\u00e4ngen bleiben<\/h1>\n

Einleitung<\/h2>\n

Leider kommt es immer wieder vor, dass E-Mails im Spamfilter h\u00e4ngen bleiben. Dies ist sowhol f\u00fcr den Empf\u00e4nger, als auch den Sender oft \u00e4rgerlich da man sich sehr an die Kommunikation mit E-Mails gewohnt hat: Schnell und bequem erstellt und zugestellt. Wie war das fr\u00fcher? Ach ja, da gab’s ja noch Fax und Telefon, aufwendig und relativ teuer.<\/p>\n

Bevor wir uns den detaillierten Mechanismen eines Spamfilters zuwenden, m\u00fcssen wir uns fragen, was ist eigentlich Spam? Spam ist mittlerweile ein Sammelbegriff f\u00fcr unerw\u00fcnschte E-Mails, wobei der Grund warum ein E-Mail unerw\u00fcnscht ist, erst mal egal ist. Urspr\u00fcnglich handelte es sich um unerw\u00fcnschte Werbemails, heute z\u00e4hlen auch sch\u00e4dliche Mails wie Phishing, mit Viren, Trojaner etc. „verseuchte“ Mails dazu. Eben alles was ich nicht<\/em>\u00a0 in meinem Posteingang sehen will<\/p>\n

Ein Spamfilter ist eine Software, die Anhand verschiedener Merkmale versucht, Spam-Mails zu erkennen und auszufiltern. Um Spamfilter besser zu verstehen, m\u00fcssen wir uns\u00a0 mit der Frage „was ist Spam?“ etwas auseinandersetzen, gefolgt von den Methoden und Merkmalen die zur Erkennung von Spam in Spamfiltern eingesetzt werden.<\/p>\n

Mit diesem Artikel m\u00f6chte ich mich an den Anwender von E-Mail wenden und aufzeigen, warum seine Mails eventuell geh\u00e4uft im Spamfilter des Empf\u00e4ngers h\u00e4ngen bleiben. Aber auch dem Empf\u00e4nger von E-Mails zeigen,wie seine Klassierung mit einem Mausklick das Verhalten des Spamfilters in der Zukunft beeinflusst.<\/p>\n

Was ist eine Spam E-Mail?<\/h1>\n

Daf\u00fcr gibt es keine allgemeing\u00fcltige Antwort, denn dies definiert ausschliesslich der Empf\u00e4nger.
\nBesser ist also die Frage: Warum definiere ich pers\u00f6nlich eine E-Mail als Spam? Ist der Newsletter des Lieferanten X Spam? Kann, muss nicht sein, oder kurz: Es kommt darauf an! Falls ja, ich aber trotzdem andere Mails des Online-H\u00e4ndlers im Zusammenhang mit Bestellungen m\u00f6chte, wird es schwierig f\u00fcr einen Spamfilter zwischen unerw\u00fcnschten (= Spam) und erw\u00fcnschten Mails zu unterscheiden. Wenn die erw\u00fcnschten E-Mails fast mehr Werbebotschaften, als erw\u00fcnschten Inhalt enthalten, d.h. fast gleich wie ein Newsletter daherkommen, kann ein automatischer Spamfilter kaum mehr richtig unterscheiden. Geh\u00e4ufte Fehlerkennungen sind die Folgend davon.<\/p>\n

Zugegeben: Den Newsletter kann man heute abbestellen und man hat Ruhe. Hier geht es aber auch darum aufzuzeigen, auf was beim Versand einer E-Mail zu achten ist, wenn dieses beim Empf\u00e4nger nicht im Spam-Ordner landen soll.<\/p>\n

Wie arbeiten die heutigen Spamfilter?<\/h1>\n

Grunds\u00e4tzlich werden die folgenden vier Ans\u00e4tze zur Erkennung von Spam genutzt:<\/p>\n

    \n
  1. \u00dcberpr\u00fcfung des Absenders anhand seiner E-Mail-Adresse oder URL<\/li>\n
  2. Kontrolle der Server, die den Inhalt versenden, weiterleiten oder zur Verf\u00fcgung stellen<\/li>\n
  3. Aussortieren nach dem Header<\/li>\n
  4. Aussortieren anhand des Textes (Contentfilter)<\/li>\n<\/ol>\n

    Auf die Techniken wie Blacklists, Grey Filter, SPF, RDNS usw., die prim\u00e4r in den ersten drei Ans\u00e4tzen Anwendung finden, m\u00f6chte ich hier nicht weiter eingehen. Dies w\u00fcrde den Umfang dieses Artikels bei weitem Sprengen. Dies sind alles Themen die der Administrator des Mailservers bew\u00e4ltigen muss. Zur Illustrastion der Bedeutung dieser Techniken zeigt das folgende Bild eine Auswertung, wie bei unserem Mailfilter die verschiedenen Techniken genutzt werden, wobei diese nicht immer exakt zugeordnen werden k\u00f6nnen. Jeder Hersteller kocht bei der Umsetzung sein eigenes „S\u00fcppchen“.<\/p>\n

    \"\"<\/p>\n

    W\u00e4rend die ersten drei Ans\u00e4tze eher objektiv sind, ist die Inhaltsanalyse eher unpr\u00e4zis. Wie bereits oben erl\u00e4utert, k\u00f6nnen E-Mails vom gleichen Absender, die die ersten drei Ans\u00e4tze problemlos durchlaufen, beim Inhaltsfilter durchfallen, oder auch nicht. Dies beinflusst der Absender durch Aufbau, Struktur sowie Inhalt, und der Empf\u00e4nger durch Black- resp. Whitelist-Pflege sowie lernen des Inhaltsfilters, entscheidend mit. Die Administratoren der Mailserver und Spamfilter haben darauf einen sehr geringen Einfluss.<\/p>\n

    Was, wenn eine Spam-Mail erkannt wird?<\/h2>\n

    Eine wesentliche Unterscheidung der Ans\u00e4tze ist auch, wie der Spamfilter reagiert. Wird die Annahme einer E-Mail anhand der ersten drei Ans\u00e4tze verweigert, teilt dies der empfangende Server dem sendenden Server mit einer mehr oder weniger eindeutigen Begr\u00fcndung mit. Der sendende Server informiert den Absender mit der entsprechenden Meldung und sendet diesem einen Nichtzustellbarkeits-Bericht (kurz: NDR f\u00fcr „non deliviery report“) zu. Damit weiss der Absender, dass seine E-Mail nicht zugestellt werden konnte und warum.<\/p>\n

    Ganz anders verh\u00e4lt sich der Inhaltsfilter: Sortiert dieser eine E-Mail als Spam aus, wird in der Regel weder Absender, noch Empf\u00e4nger dar\u00fcber informiert. Dies macht insbesondere bei wirklichen Spams auch keinen Sinn, denn damit w\u00fcrde eine Spam-Nachricht zwei weitere Nachrichten ausl\u00f6sen, die selbst unerw\u00fcnscht, d.h. Spam, sind. Das w\u00e4re das komplette Gegenteil von dem was ein Spamfilter machen sollte.
    \nAbh\u00e4ngig davon, wie ein Inhaltsfilter im Mailfluss eingbaut ist, hat er unterschiedliche M\u00f6glichkeiten zu reagieren. Folgende Varianten finden Anwendung:<\/p>\n

      \n
    • Mailfilter vor dem Mailserver:
      \nDiese lassen ungewollte Mails gar nicht erst zum Mailserver durchkommen. Wir beobachten bei unserem Mailfilter (siehe Auswertung oben), dass nur rund 10% aller Mails \u00fcberhaupt zum Mailserver weitergeleitet werden. Entsprechend ist die Belastung bez\u00fcglich CPU-, Speicher etc. des Mailserver auf 10% reduziert.
      \nVermutete Spam-Mails werden in eine Quarant\u00e4ne verschoben. Der Empf\u00e4nger erh\u00e4lt regelm\u00e4ssig einen Quarant\u00e4ne-Report in dem alle Mails in der Quarant\u00e4ne aufgelistet werden inkl. einem Link. \u00dcber diesen Link je gefilteter E-Mail kann der Benutzer dem Mailfilter mitteilen, dass es sich dabei nicht um Spam handelt, und er diese E-Mail weiterleten soll.<\/li>\n
    • Mailfilter im Mailserver oder E-Mail Client wie z.B. Outlook:
      \nDa diese Filter direkt Zugriff auf die Mailbox des Anwenders haben, legen sie vermeintlich Spam-Mails nicht in den Posteingang, sondern in einen separaten Ordner der je nach Software unterschiedliche Namen haben kann. Spam, Junk-E-Mail etc. sind \u00fcblich.
      \nAchtung:<\/em><\/strong> Diese Methode hat einen sehr gef\u00e4hrlichen Nachteil: Werden die Mails mit dem POP3-Protokolle vom Server abgeholt, wird ausschliesslich der Ordner Posteingang gelesen. Das heisst, dass die Mails im Spam-Ordner nie durch den Empf\u00e4nger gesehen, schon gar nicht gelesen werden. Dies ist \u00fcbrigens v\u00f6llig unabh\u00e4ngig von der E-Mail Client Software (Outlook, Thundebolt, MS Mail, Apple, iPad, Smartphones etc.). Verwenden Sie anstelle von POP3 das IMAP4 Protokoll das alle Ordner auf dem Server in den Mail-Client l\u00e4dt. Je nach Server (Exchange, Kerio Connect, OpenExchange etc.) steht nat\u00fcrlich auch ActiveSync zur Verf\u00fcgung das generell zu bevorzugen ist.<\/li>\n<\/ul>\n

      Spam-Vermeidung<\/h1>\n

      Ein ganz wesentlicher Unterschied der ersten drei Spamfilter Techniken zur Inhaltsfilterung sind die M\u00f6glichkeiten zur Vermeidung von Spam-Erkennung. Ob eine Mail mit den ersten drei Filtermethoden aussortiert wird, ist in grossem Mass von der Konfiguration des sendenden Servers abh\u00e4ngig. Ausserdem helfen die oben erw\u00e4hnten NDR-Reports und Protokolle auf den Servern allf\u00e4llige Probleme zu analysieren und zu beheben.<\/p>\n

      Ganz im Gegensatz dazu beim Inhaltsfilter: Das Ergebnis einer Mailzustellung h\u00e4ngt hier ausschliess vom empfangenden Inhaltsfilter und dessen Einstellungen ab. Nat\u00fcrlich hat auch der Autor des Mails bei der Gestaltung des Inhalts einen wesentlichen Beitrag. Genau diesem Thema widmet sich der folgende Abschnitt zu.<\/p>\n

      Inhaltsfilter<\/h1>\n

      Um Mails zu erstellen die m\u00f6glichst nicht in einem Inhaltsfilter h\u00e4ngen bleiben ist es hilfreich zu wissen, welche Methoden zur Anwendung kommen. Hier gilt es prim\u00e4r folgende Methoden zu unterscheiden:
      \n1. Bayes Test
      \n2. Analyse des Mailinhalts nach verschiedensten Kriterien<\/p>\n

      Bayessche Filter<\/h2>\n

      Dem bayesschen Filter liegt ein statistisches Modell zur Wahrscheinlichkeitsberechnung zugrunde, welches auf den englische Mathematiker Thomas Bayes zur\u00fcckgeht. Wichtig ist, dass dieser Filter selbstlernend ist. Mit jeder E-Mail die er verarbeitet von dem er verbindlich weiss, ob es sich um Spam oder nicht Spam handelt, lernt er anhand von \u00c4hnlichkeiten neue E-Mails als Spam oder nicht Spam zu klassieren. Das f\u00fchrt zu folgenden Problemen:<\/p>\n

        \n
      1. Bayes Filter sind NIE exakt da sie per Definition mit \u00c4hnlichkeiten arbeiten.<\/li>\n
      2. Bayes Filter sind vom Lernmaterial abh\u00e4ngig, je mehr, je besser.<\/li>\n
      3. Sind die gelernten Spam-Mails \u00e4hnlich wie gelernte nicht Spam-Mails wird die Unterscheidung f\u00fcr neue E-Mails die \u00c4hnlich zu Spam UND Nicht-Spam sind, zuf\u00e4llig sein.<\/li>\n<\/ol>\n

        Vor allem der dritte Punkt scheint mir wichtig, wenn wir zum Anfang dieses Artikels zur\u00fcckgehen. Ein Beispiel:
        \nSie sind Kunde einer Bank und erhalten regelm\u00e4ssig einen Newsletter. Banken sind beliebte Angriffsziele f\u00fcr Phishing E-Mails. Sie erhalten nun ein solches das wirklich t\u00e4uschend echt aussieht, erkennen aber den Fake. Sie taxieren dieses Mail im E-Mail Client als Spam. Aufgrund der \u00c4hnlichkeit hat der bayessche Filter nun Probleme beim n\u00e4chsten Newsletter Mail zu erkennen, ob es sich um Spam oder nicht Spam handelt. Nun w\u00e4re es wichtig, dem Spamfilter bei jedem Newsletter Mail mitzuteilen, dass es sich nicht um Spam handelt. Wie dies erfolgen kann ist abh\u00e4ngig vom E-Mail Client.<\/p>\n

        Inhalts-Analyse-Filter<\/h2>\n

        Die Mechanik dieser Inhaltsfilter ist immer gleich: Der Hersteller einer Filter-Software analysiert laufend Millionen von Spam-Mails und erkennt daraus gewisse Strukturen, W\u00f6rter, Formatierungen, Inhalte etc. und analysiert nun eingehende Mails nach diesen Kriterien. F\u00fcr jedes gefundene Kriterium erh\u00e4lt das Mail eine Punktezahl. Die Summe definiert nun, ob das Mail als gut, wahrscheinlich Spam oder definitiv Spam eingestuft wird und behandelt es entsprechend seiner Einstufung (weiterleiten in Posteingang, in Junk-Ordner oder l\u00f6schen).<\/p>\n

        Was sind die Kriterien, welches gibt wie viele Punkte, was sind die Schwellwerte f\u00fcr Spam etc.? Dies wird alles im Inhaltsfilter des empfangenden Servers und\/oder des E-Mail-Clients und\/oder Clientseitiger Spamfilter definiert.<\/p>\n

        Nicht in jeder Anti-Spam-Software sind die Kriterien transparent. Oft geht es um die Einzigartigkeit weshalb das Produkt eines Herstellers das Beste sein soll. Ausserdem will man den Urhebern von Spam-Mails nicht zu einfach machen und ihne gleich mitteilen, wie sie einen Inhaltsfilter umgehen k\u00f6nnen.<\/p>\n

        Einige Kriterien sind aber relativ klar und ergeben sich durch einfaches Beobachten was jeder Benutzer selbst als Spam-Mail taxiert. Ein paar Beispiele:<\/p>\n