E-Mail-Sicherheit

FU Berlin verstärkt Anti-Spam-Bollwerk

04.05.2009
Von Torsten Prill

Die Problemzonen

Die bisherigen Anti-Spam-Lösungen stellten die FU daher vor zwei Probleme: Zum einen reichte die Spam-Erkennungsleistung mit durchschnittlich 90 Prozent angesichts des rasant steigenden Aufkommens an E-Müll nicht mehr aus. Zweitens verursachten die verwendeten Lösungen zunehmenden Aufwand: Zuletzt benötigten die FU-Administratoren im Schnitt etwa fünf Stunden pro Woche allein für die Wartung und Aktualisierung der Spam-Filter. Ende 2007 beschlossen die Verantwortlichen der ZEDAT, nach einer ergänzenden Lösung zu den bestehenden Spam-Filtern zu suchen.

Ziel des Projekts war es, die beiden Grundprobleme der bisherigen Filter zu lösen. Die neue Lösung sollte nicht nur den Administrationsaufwand erheblich reduzieren, sondern vor allem bei Spam in fremden Sprachen und Schriftzeichen eine deutlich bessere Erkennungs- und False-Positive-Rate liefern als die bisher eingesetzten Filter. Da an der FU Menschen vieler Nationen studieren und arbeiten und die Hochschule wissenschaftliche Beziehungen in alle Teile der Welt unterhält, ist es essenziell, dass solche Nachrichten nicht automatisch als Spam klassifiziert werden.

Die Lösung

Doch sollten die bisher eingesetzten Spam-Filter nicht komplett ersetzt, sondern ergänzt werden, um ihre Schwächen auszugleichen. Es galt also, eine Lösung zu finden, die genau in diesen Punkten ihre Stärken hat, sich aber auch bequem in die bestehenden Strukturen integrieren und mit den beiden Open-Source-Filtern kombinieren ließ.

Eine Herausforderung war der Umfang des Projekts: 15 Mail-Server und rund 20.000 Mail-Clients galt es zu schützen. Rund sechs Monate lang testete und evaluierte das ZEDAT-Team ab Sommer 2007 zehn Anti-Spam-Lösungen nahezu aller wichtigen Anbieter - das Hauptaugenmerk lag auf den Faktoren Wartungsaufwand, Erkennungsleistung und False-Positive-Rate bei Fremdsprachen- und Image-Spam sowie Integrierbarkeit in die bestehenden Strukturen.

Projektsteckbrief

  • Projektart: Ausbau der bestehenden Anti-Spam-Infrastruktur.

  • Branche: Hochschule.

  • Zeitrahmen: Sommer 2007 bis Anfang 2008.

  • Stand heute: läuft produktiv.

  • Produkte: Die Open-Source-Lösungen "SpamAssassin" und "Bogofilter" im Zusammenspiel mit "Expurgate Inhouse" von Eleven.

  • Umfang: Spam-Schutz für 15 Mail-Server und 20.000 Mail-Clients.

  • Ergebnis: Spam-Erkennungsrate von 90 auf 99 Prozent erhöht; deutlich weniger Supportmeldungen zu False Positives, Administrationsaufwand von fünf auf unter eine Stunde pro Woche reduziert.

Die Entscheidung fiel zugunsten der Softwarelösung "Expurgate Inhouse" von Eleven, die die Anforderungen der FU am besten erfüllte. Die Lösung basiert auf der von dem Berliner E-Mail-Sicherheitsanbieter selbst entwickelten "Bulkcheck-Technik", einem Verfahren, das Spam anhand seiner wichtigsten Eigenschaft erkennt: der Verbreitung in Form einer Massensendung. Dabei wird ein spezielles Fingerprinting eingesetzt, das E-Mails auf einen nur wenige Bytes großen Prüfcode reduziert. Dieser wird dann in einer zentralen Datenbank mit den Codes zahlreicher anderer Mails verglichen und auf hinreichende Ähnlichkeit hin überprüft.

Das Verfahren hat im Hinblick auf die Anforderungen der FU mehrere Vorzüge: Zum einen ist es sprachen- und schriftzeichenunabhängig, da es nicht den Inhalt einer E-Mail kontrolliert, sondern ermittelt, ob sie massenhaft versandt wurde. Zum anderen schließt das Massen-E-Mail-Kriterium verfahrensbedingt aus, dass individuelle Nachrichten als Spam kategorisiert werden. Punkten konnte das Verfahren auch damit, dass es aufgrund des gleich bleibenden zentralen Prüfkriteriums keine ständigen Aktualisierungen und Trainings erfordert. Ein weiterer Pluspunkt: die eigene "Spamd"-Schnittstelle des Systems, die eine einfache Kombination mit der bestehenden SpamAssasin-Lösung ermöglicht.