Moin!

Ich habe die Möglichkeit Spamfilter zu installieren. Allerdings sagen mir die Namen nicht viel und ich weiß nicht, welche ich verwenden soll.

Die Frage läßt sich so einfach schlecht beantworten, weil du nicht darlegst, wo der Filter denn ansetzen soll. Im Mailserver? Betreibst du einen eigenen?

Es geht mir vor allem darum, dass für mich wichtige Emails nicht gelöscht werden.

Die oberste, heiligste Regel bei der Filterung auf dem Server lautet: Entweder die Mail wird nicht angenommen - dann erhalten legitime Sender von ihrem eigenen Mailserver eine Ablehnungsmitteilung, und spammende Teilnehmer ignorieren's halt. Oder die Mail wird angenommen und einem User zugestellt. Dann muß der damit zurechtkommen und ggf. durch clientseitige Filter bzw. banales manuelles Löschen damit klarkommen.

Folgende Spamfilter habe ich zur Verfügung:

In welchem Zusammenhang? Wer bietet dir die an?

Greylisting

Greylisting ist ein Verfahren, welches beim Erstkontakt die Kombination aus einliefernder IP, Absender-Mailadresse und Empfängermailadresse speichert, den Empfang aber mit einem temporären Fehler quittiert und somit erstmal ablehnt. Erst nach Ablauf einer gewissen Zeitdauer wird die gespeicherte Dreierkombination als zulässig vom Filter durchgelassen.

Vorteil gegen Spam: Oftmals haben spammende Zombierechner keine wirklich intelligenten Mailsendealgorithmen, sondern versuchen nur die einmalige Zustellung. Oder ein Zombie-Netzwerk versucht verteilt von mehreren unterschiedlichen IPs die wiederholte Zustellung von Mails. Die laufen sich im Greylisting fest.

Nachteil gegen normale Mails: Manche Absenderserver versuchen trotz der nur temporären Ablehnung keinen weiteren Zustellungsversuch mehr. Das ist zwar alles andere als standardkonform, lässt sich allerdings durch entsprechende Whitelisten umgehen. Weiterer Nachteil: Der erste Mailkontakt dauert aufgrund der Verzögerungsspanne natürlich länger. Telefoniert man z.B. live mit dem Sender, wird die Mail eben nicht "sofort" ankommen, selbst wenn diesem Wunsch mit "Ich schick' es grad mal eben schnell" Ausdruck verliehen wird.

Dennoch ist Greylisting ein gutes Verfahren, um einen signifikant großen Anteil an Spam auszufiltern - allerdings sollte es nie das einzige Verfahren bleiben.

Policyd-weight

Der Policy-Demon ist kein einzelner Spamfilter, sondern kombiniert die Ergebnisse unterschiedlicher Quellen, z.B. Blacklisten, um bei Erreichen eines Schwellwertes der kombinierten Einzelergebnisse dann "Spam" als Gesamtresultat zurückzumelden. Ohne vernünftige Konfiguration der Einzelbestandteile ist er nicht sinnvoll anwendbar. Insbesondere muss hier ein sorgfältiges Augenmerk auf die angezapften einzelnen Informationsquellen sowie deren Gewichtung gelegt werden.

Reject Unverified Sender

Das Verifizieren des Absenders kann auf unterschiedliche Weise geschehen. Allerdings gibt es hierfür sowohl taugliche als auch untaugliche Methoden. Untauglich ist beispielsweise der Versuch, wenn der Empfänger seinerseits an die Absenderadresse eine Mail zuzustellen versucht. Zum einen kann es hierbei zu Endlosschleifen bzw. Blockierungen kommen (wenn der erste Sender eine Mail schicken will, muss er warten, weil der Empfänger dem Sender eine Mail zurückschicken will, was aber warten muss, weil der Sender dem Empfänger eine Mail schicken will...). Zum anderen muss eine Mailadresse nicht existieren, die man als Absender benutzt - und das auch ganz legitimerweise. Man denke nur an die Möglichkeit einer typischen "noreply"-Adresse für den Versand von z.B. erwünschten Statusmails.

Filter auf base64 kodierten Spam

Klingt nicht besonders vertrauenerweckend. base64 ist ein Codierschema, welches legitim auch in normalen Mails genutzt werden könnte. Es wird vor allem deshalb in Spam angewendet, weil dumme Inhaltsfilter den base64-codierten Inhalt nicht dekodieren und erst dann analysieren (um z.B. Wortfilter anzuwenden).

Insgesamt klingt der Filter nach Inhaltsanalyse. Die will man aber nicht auf dem Server durchführen, weil sowas viel CPU-Power benötigt, und außerdem zu einem Zeitpunkt im SMTP-Ablauf passieren muss, bei dem der gesamte Spam schon über die Leitung gewandert ist, und der Sender nur noch das finale OK abwartet. Heißt: Man kann eigentlich nur noch dem legitimen Absender signalisieren, dass seine Mail doch abgelehnt wird - jeder Spammer wird es ignorieren.

Spamdatenbank: cbl.abuseat.org
Spamdatenbank: SBL (sbl.spamhaus.org)
Spamdatenbank: XBL (xbl.spamhaus.org)

Diese "Spamdatenbanken" sind Blacklisten von IP-Adressen, die von bekannten Spammern genutzt werden, bzw. von denen Spam in sogenannten Spamfallen gelandet ist. Ihr Einsatz ist grundsätzlich sehr zu empfehlen, weil deren Abfrage verhältnismäßig wenig Aufwand erfordert (eine DNS-Abfrage - das braucht nur etwas Zeit, aber keine CPU), aber sehr viel Erfolg verspricht. Allerdings ist auch hier eine vernünftige manuelle Auswahl der jeweiligen Listen erforderlich, denn nicht jede Liste hat Aufnahme- und Streichkriterien, die man persönlich gutheißen möchte. Hier gilt es also, sich zu informieren.

Virenscanner - löschen der E-Mails

Das ist böse. Zumindest ist es so formuliert, dass es böse sein könnte. Zuerst: Der Virenscanner gehört nicht in die vorderste Front der Spamfilter, sondern in die hinterste, denn er frißt sehr viel CPU - siehe mein Kommentar zur Inhaltsanalyse weiter oben. Zweitens ist "Löschen der E-Mails" von dir nicht gewünscht, denn die Anforderung war ja, dass "wichtige Mails nicht verloren gehen dürfen". Die Formulierung deutet darauf hin, dass der Sender vom Löschen nichts mitbekommen muss.

Virenscanner - markieren der E-Mails

Das ist ebenfalls nicht so wahnsinnig schlau. Zwar kann es nicht schaden, sowohl auf dem Server als auch noch mal auf dem Client einen Virenscanner zu nutzen (je mehr unterschiedliche Scanner, desto höher tendentiell die Chance auf Erfolg), aber es ist doch grundsätzlich die Frage, ob Virenscanner überhaupt noch etwas nützen, wenn die anderweitigen Filtermaßnahmen gegen Spam eigentlich schon 95% des Mailverkehrs abblocken. Abgesehen davon ist das Funktionsprinzip eines Virenscanners ohnehin fragwürdig, da er nur bekannte Bytemuster als Virus erkennt, die in seiner Datenbank enthalten sind - alle ihm unbekannten Viren läßt er durch. Dummerweise sind unbekannte Viren aber immer mehr das Problem, erst recht dann, wenn der Benutzer sich in Sicherheit wähnt, und deshalb unsichere Mailprogramme nutzt und/oder blind auf alle Attachments klickt, die er erhält.

Wurmfilter: Sobig.F

Ich glaube kaum, dass das explizite filtern eines einzigen Wurms irgendetwas bringt. Zum Thema Inhaltsanalyse siehe oben.

Kann mir jemand welche empfehlen?

Leider fehlen noch eine ganze Reihe von sinnvollen Spamfiltermaßnahmen, die sehr effizient (d.h. ressourcenschonend), und vor allem effektiv sind. Mir fallen aus dem Kopf noch ein: 1. Striktes Checken der HELO-Angabe, Verbieten der Verwendung der eigenen Domain in HELO. Checken der Existenz der Absenderdomain. Checken von SPF-Einträgen (allerdings nur in Richtung negativ, d.h. wenn der Domaininhaber der Sender-IP verbietet, zu senden, dann wird ablehnt - erlaubt er es hingegen, ist das keine nutzbare Information, um z.B. weitere Spamfilter zu umgehen).

- Sven Rautenberg