computerwoche.de

Archiv

Erste Erfahrungen mit dem Intelligent Message Filter

Was taugt Microsofts neuer Spam-Filter?

02.07.2004
Gleichzeitig mit dem Service-Pack 1 liefert Microsoft einen Spam-Filter für Exchange 2003 aus. Dieses Zusatzmodul unter der Bezeichnung "Intelligent Message Filter" (IMF) bedarf gewisser Anpassungsarbeiten, um Spam effektiv zu erkennen. Gegenüber Produkten von Drittanbietern weist es einige Defizite auf. Von Michael Pietroforte*

Bei 74 Prozent aller E-Mails in Deutschland soll es sich bereits um Spam handeln - Tendenz steigend. Daher werden Spam-Filter zu essentiellen Features für jedes Mail-System. In der Grundausstattung bietet Exchange 2003 nur einige rudimentäre Funktionen zur Abwehr unerwünschter Werbebotschaften. Dazu zählen die Unterstützung von Real Time Blacklists (RBL) oder eine verbesserte Schnittstelle für Drittanbieter von Mail-Filtern. Jetzt hat Microsoft mit dem Intelligent Message Filter ein eigenes Werkzeug nachgereicht, das unerwünschte E-Mails aussortieren soll.

Ursprünglich wollte der Hersteller die Exchange-Erweiterung jenen Kunden vorbehalten, die an dem umstrittenen Lizenzverfahren "Software Assurance Program" teilnehmen. Nun steht der IMF aber frei zum Download (http://www.microsoft.com/exchange/downloads/2003/imfS) bereit. Der Filter beruht auf Microsofts patentierter "Smart-Screen"-Technologie und arbeitet nach einem statistischen Verfahren. Diese Technik kommt bereits beim Spam-Filter von Outlook 2003 zum Einsatz. Vorab wurde die Software von Partnern der Gates-Company trainiert, wobei der größte Teil der Arbeit vermutlich von Hotmail-Benutzern geleistet wurde.

Anhand von über 500 000 Charakteristika ermittelt der IMF eine Wahrscheinlichkeit dafür, ob es sich bei einer E-Mail um Spam handelt. Das Ergebnis dieser Berechnung ist der so genannte Spam Confidence Level (SCL). Er kann ganzzahlige Werte zwischen -1 und 9 annehmen. Je größer der SCL, umso größer ist auch die Spam-Wahrscheinlichkeit. Ein SCL von 0 bedeutet dabei, dass höchstwahrscheinlich keine Spam-Mail vorliegt, und -1 wird für E-Mails vergeben, auf die der Filter überhaupt nicht angewandt wurde. Das trifft auf interne Mails zu, die von Absendern aus der gleichen Exchange-Organisation stammen.

Anwender legt Aktionen für jeden SCL fest

Der SCL dient nicht nur zur Information des Benutzers, sondern kann automatisch bestimmte Aktionen auslösen. Im "Exchange System Manager" gibt der Administrator vor, was bei einem bestimmten SCL-Schwellenwert mit E-Mails passieren soll. Dabei muss die Aktion nicht auf dem System festgelegt werden, das die Bewertung vornimmt. Da der IMF den SCL-Wert in die Mail schreibt, kann erst das Zielsystem die gewünschte Maßnahme ergreifen. Das Mail-Gateway muss hierfür dann natürlich ebenfalls mit Exchange 2003 betrieben werden.

Archivierung: Mit Freeware-Tool kommt der Komfort

Als mögliche Aktionen stehen das sofortige Löschen, die Zurückweisung oder die Archivierung in einer Textdatei zur Auswahl. Letzteres ist sicher keine besonders geglückte Lösung. False-Positives, also falsch aussortierte E-Mails, kann die Systemverwaltung nur durch umständliches Kopieren der entsprechenden Datei in ein speziell dafür vorgesehenes Verzeichnis an ihren ursprünglichen Empfänger weiterleiten. Inzwischen gibt es aber den IMF Archive Manager, ein Freeware-Tool, mit dem diese Aufgabe komfortabler zu erledigen ist.

Zusätzlich oder auch alternativ kann der IMF Spam in den Junk-Mail-Ordner des Benutzerpostfachs verschieben. Diese Option ist allerdings nur für Outlook 2003 beziehungsweise Outlook Web Access 2003 vorgesehen. Der SCL-Schwellenwert für die Spam-Mails, die in den Junk-Mail-Ordner verschoben werden, sollte dabei unter dem SCL-Schwellenwert für die Aktionen liegen, die am Server stattfinden. So werden nur E-Mails mit einer großen Spam-Wahrscheinlichkeit (hoher SCL) am Server herausgefiltert, die mit einer geringeren Spam-Wahrscheinlichkeit (niedriger SCL) landen hingegen im Junk-Mail-Ordner des Benutzerpostfaches. Da E-Mails mit einem kleinen SCL häufiger erwünschte Nachrichten enthalten, gibt man dem Anwender so die Möglichkeit, False-Positives selbständig wieder aus dem Junk-Mail-Ordner zurückzuholen.

Nicht zu verwechseln ist letztere Variante mit dem in Outlook 2003 integrierten Junk-Mail-Filter. Dieser bewertet Mails auf dem Client, während alle IMF-Aktionen grundsätzlich auf dem Server stattfinden. Der Outlook-Filter kann im Bedarfsfall zusätzlich aktiviert werden. Im Zusammenspiel mit Exchange funktioniert dieser allerdings nur, wenn Outlook im Cached-Modus betrieben wird. Für den Einsatz des IMF ist das aber nicht notwendig. Die Aktivierung des Outlook-Filters kann man entweder dem Anwender überlassen, oder man gibt sie mit Hilfe der "Administrative Vorlagen" (.adm-Dateien) aus dem "Office Resource Kit" über Gruppenrichtlinien vor. Mit dieser Methode ist auch eine domänenweite Deaktivierung möglich, was in der Regel zu empfehlen ist, um die Ermittlung geeigneter Schwellenwerte für den IMF zu vereinfachen. Sind beide Filter aktiviert, bleibt bei falsch herausgefilterten E-Mails nämlich unklar, ob der IMF oder Outlook den Fehler begangen hat.

Ein niedriger SCL-Schwellenwert (geringe Spam-Wahrscheinlichkeit) führt dazu, dass mehr Spam-Mails aussortiert werden, hat aber eine größere False-Positive-Rate zur Folge. Die optimale Einstellung der Schwellenwerte hängt also im Wesentlichen davon ab, wie groß das Risiko falsch bewerteter E-Mails sein darf. Um sich zunächst einen Überblick zu verschaffen, wie groß der jeweilige Anteil der E-Mails mit einem bestimmten SCL ist, kann man den Windows-Systemmonitor zu Hilfe nehmen. Nach der Installation des IMF bietet dieser eine Reihe neuer Kenngrößen, die eine Überwachung der Performance und eine statistische Analyse des Filtervorgangs erlauben. In der Installations- und Konfigurationsanleitung des IMF ist ein Verfahren beschrieben, wie man zu sinnvollen Einstellungen gelangt.

Gefahr für Newsletter

Die SCL-Bewertung einzelner E-Mails kann man von Haus aus nicht einsehen. Ein Microsoft-Mitarbeiter bietet aber in seinem Weblog (http://blogs.msdn.com/exchange/archive/2004/05/26/142607.aspxi) eine Konfigurationsdatei für Outlook an, die die Anzeige des SCL ermöglicht. Dies kann bei der Ermittlung geeigneter SCL-Schwellenwerte sehr hilfreich sein, weil man sieht, wie der IMF False-Positives bewertet hat.

Wie bei jedem statistischen Filter sind auch beim IMF gelegentliche Fehlbewertungen unvermeidbar. Besonders gefährdet sind dabei Newsletter. Die Anwender können aber in Outlook 2003 die entsprechenden E-Mail-Adressen zur Liste der sicheren Absender hinzufügen. Es ist auch möglich, über eine Gruppenrichtlinie diese Liste vorzugeben. Vom Filter unangetastet bleiben außerdem E-Mails, deren Absenderadressen sich im persönlichen Kontakte-Ordner befinden, sowie jene, die aus der gleichen Exchange-Organisation stammen.

Trefferraten bis 99 Prozent

Je nach Schwellenwert erreicht der IMF Trefferraten von bis zu 99 Prozent. Eine Angabe der False-Positive-Rate ist jedoch kaum möglich. Um hier zu einer sinnvollen Aussage zu kommen, müsste man über eine repräsentative Auswahl typischer E-Mails verfügen. In jedem Fall muss sich der IMF hier nicht vor anderen Spam-Filtern verstecken. Als Datenmaterial lagen schließlich die Bewertungen von einigen hunderttausend Hotmail-Anwendern vor. Schwächen zeigt der IMF indes bei deutschsprachigen Junk-Mails. Angesichts der neuen Gesetzeslage in Deutschland dürfte sich wohl die Zahl der deutschsprachigen Spam-Mails künftig in Grenzen halten. (ws)

*Michael Pietroforte ist freier Autor in München.

So funktioniert der IMF

- Der Filter ermittelt die Wahrscheinlichkeit dafür, dass es sich bei einer Mail um Spam handelt. Diese bezeichnet Microsoft als "Spam Confidence Level" (SCL) und vergibt dafür numerische Werte zwischen -1 und 9, wobei die Spamwahrscheinlichkeit mit der Höhe der Zahl wächst.

- Administratoren können festlegen, was das System je nach SCL mit Mails macht.

- Solche SCL-Schwellenwerte beeinflussen die Effektivität des Filters. Ein auf niedrige Werte eingestellter Filter zieht mehr Spam aus dem Verkehr, vergreift sich aber auch öfter an erwünschter Mail (False-Positive).

- Die Filtereinstellungen gelten immer für alle Postfächer des Exchange-Servers. Benutzer- oder gruppenspezifische Konfigurationen sind nicht möglich.

- Anwender können den Filter nicht trainieren.

Fazit: Eingeschränkte Konfigurationsoptionen

Die Anti-Spam-Lösungen von Drittanbietern bieten eine Reihe von Features, die der IMF vermissen lässt. Das größte Manko der Microsoft-Lösung ist die Beschränkung auf Exchange 2003 beziehungsweise Outlook 2003. Wer noch mit älteren Versionen arbeitet, muss das Spam-Problem mit einer anderen Lösung angehen. Programme wie "iHateSpam" von Sunbelt Software bieten außerdem deutlich mehr Konfigurationsmöglichkeiten. Insbesondere fehlt dem IMF die Möglichkeit, Richtlinien für einzelne Benutzer oder Gruppen zu definieren. Die Filtereinstellungen gelten immer für alle Postfächer des Exchange-Servers. Man muss auch davon ausgehen, dass sich die Spam-Versender in nächster Zeit ausgiebiger mit Microsofts Smartscreen-Technologie auseinander setzen werden, um ihre Mails entsprechend anzupassen. Hier bleibt abzuwarten, ob Microsoft immer zügig mit neuen Updates für die Filterregeln reagieren wird. Allerdings fehlt derzeit eine automatisierte Update-Lösung ebenso wie die Möglichkeit, den Filter durch Anwender trainieren zu lassen.