Alternative Antispam-Lösungen für schmale Security-Budgets Open Source Spam-Schutz für den E-Mail-Server

Autor / Redakteur: Dr. Holger Reibold / Stephan Augsten

Die Zahl der unerwünschten Werbe-Mails steigt von Tag zu Tag. Sie kostet die Anwender Zeit und Nerven und verbraucht zudem wertvolle Netzwerk-Ressourcen. Das Netzwerk entlastet man am effektivsten durch den Einsatz eines Server-seitigen Spam-Filters. Security-Insider.de stellt die wichtigsten Open-Source-Spam-Filter vor.

Firmen zum Thema

Wer Open-Source-Lösungen nutzt, muss nicht an Security-Funktionen sparen.
Wer Open-Source-Lösungen nutzt, muss nicht an Security-Funktionen sparen.
( Archiv: Vogel Business Media )

Früher oder später gerät jeder einmal in die Fänge der Spammer, die uns ungefragt mit ihren Werbebotschaften zumüllen. Auch durch sorgsamen Umgang mit der eigenen E-Mail-Adresse kann man sich ihnen kaum entziehen. Für Unternehmen entstehen durch Spam inzwischen Milliardenschäden.

Neben dem klassischen Spam sind insbesondere auch E-Mails problematisch, die als Träger von Schädlingen agieren. Netzwerkbetreiber tun daher gut daran, Maßnahmen gegen die Werbeflut zu ergreifen.

Bildergalerie

Überall dort, wo ein mehr oder minder großes Netzwerk mit E-Mails versorgt wird, sollte man die elektronische Post bereits auf Seiten des Servers analysieren und gegebenenfalls filtern. Das entlastet die Benutzer spürbar.

Open-Source-Lösungen

In Zeiten hohen Kostendrucks ist jedes Unternehmen froh, wenn es an der einen oder anderen Stelle Geld sparen kann. So bietet es sich an, den Einsatz von Open-Source-Lösungen in Betracht zu ziehen, die sich zudem an die jeweiligen Gegebenheiten anpassen lassen.

Die Bandbreite der inzwischen verfügbaren Open-Source-Spam-Filter ist beachtlich. Sie reicht von einfachen Werkzeugen, die für den Einsatz in kleinen Netzwerken geeignet sind, bis hin zu Highend-Lösungen, die selbst höchsten Anforderungen genügen. Wir stellen im Folgenden die wichtigsten Spam-Filter vor.

Seite 2: SpamAssassin und MailScanner

SpamAssassin

Der Platzhirsch unter den E-Mail-Filtern ist zweifelsohne SpamAssassin. Das Open-Source-Tool kommt millionenfach zum Einsatz und hat sich in der Vergangenheit bestens bewährt. Der Filter ist für Unix-basierte Systeme konzipiert. Zur Identifikation von Spam nutzt SpamAssassin verschiedene Methoden. Mithilfe der Header-Analyse versucht der Filter herauszufinden, ob der Sender eine Identität vortäuscht und ob eine Nachricht von einer gültigen Adresse stammt. SpamAssassin führt außerdem Textanalysen durch, um die Nachrichteninhalte auf typische Charakteristika von Werbemails zu untersuchen.

Ergänzend dazu nutzt SpamAssassin verschiedene Blacklists (z.B. Spamhaus und DSBL) und greift auf die Spam-Tracking-Datenbank Vipul‘s Razor zurück. Identifiziert SpamAssassin eine Nachricht als Spam, so wird sie entsprechend gekennzeichnet.

Der in SpamAssassin integrierte Bayes’scher-Filter berechnet auf Grundlage der Einteilung der bisher empfangenen E-Mails die statistische Wahrscheinlichkeit, ob es sich bei einer neuen Nachricht um eine erwünschte oder unerwünschte E-Mail handelt.

Der Vorteil von SpamAssassin: Das Tool kommt mit geringem Konfigurationsaufwand aus. Als Administrator ist man nicht gezwungen, das System laufend zu aktualisieren oder mit Einzelheiten über Mailaccounts, Mailinglisten etc. zu füttern. Das bewerkstelligt der Filter quasi von alleine.

GUI-verwöhnte Administratoren müssen sich allerdings weitgehend mit der textbasierten Konfiguration anfreunden. Allerdings gibt es auch hier Abhilfe. Mit dem SpamAssassin Configuration Generator und dem SpamAssassin-Webmin-Modul gibt es auch grafische Schnittstellen für den Filter.

MailScanner

Einer der beliebtesten Filter ist Mailscanner. Er verspricht insbesondere Schutz vor Viren und Spam. Er kommt inzwischen auf zehntausenden Sites rund um den Globus zum Einsatz. MailScanner ist kein typischer Antispam-Filter, sondern mehr ein Framework, das die Einbindung unterschiedlicher Spezialisten erlaubt. So kann MailScanner bis zu 14 verschiedene Virenscanner einbinden und miteinander kombinieren.

Laut Angaben des Chefentwicklers identifiziert das Programm 95 Prozent aller Spam-Mails. Der Filter ist für den Einsatz in großen Netzwerken konzipiert. Ein typischer PC kann bereits über 1,5 Millionen E-Mails pro Tag verarbeiten – so die Entwickler. Außerdem soll MailScanner nicht für Denial-of-Service-Attacken und Betriebssystem-spezifische Schwachstellen anfällig sein.

In der Standardkonfiguration führt MailScanner zunächst verschiedene RBL-Tests durch. Übersteht eine E-Mail die MailScanner-Tests, wird sie standardmäßig an SpamAssassin zur weiteren Analyse übergeben, insbesondere zur heuristischen Analyse.

Die Konfiguration des Linux-Programms erfolgt über die Dateien im Verzeichnis /etc/MailScanner. Die beiden wichtigsten Dateien für die MailScanner-Konfiguration sind /etc/MailScanner/MailScanner.conf (enthält die eigentliche MailScanner-Konfiguration) und /etc/MailScanner/spam.assassin.prefs.conf (die Einstellungen für das Zusammenspiel mit SpamAssassin).

Für die Konfiguration steht ein Webmin-Modul zur Verfügung. Die Administration und Konfiguration von MailScanner setzt solide SpamAssassin-Kenntnisse voraus. Es empfiehlt sich außerdem, die gedruckte Dokumentation des Entwicklers zu erwerben, aus deren Erlösen die Weiterentwicklung gefördert wird.

Seite 3: SpamPal und MailWasher Server

SpamPal

Der relativ unbekannte SpamPal ist für den Einsatz in kleinen Unternehmen und Gruppen geeignet. Für den Einsatz in großen Netzwerken mit sehr hohem E-Mail-Aufkommen ist er definitiv nicht konzipiert – dazu fehlt es an wichtigen administrativen und sicherheitsrelevanten Funktionen.

Wie andere Spam-Filter klinkt sich das Windows-Programm zwischen dem E-Mail-Server und dem E-Mail-Client ein. SpamPal verwendet zur Spam-Identifizierung und -Analyse insbesondere die Listen der DNSBL-Anbieter wie MAPS, SpamCop, Spamhaus oder Fiveten. Jede E-Mail, deren Absender in einer DNSBL-Liste steht, wird mit speziellen Headern (z.B. X-SpamPal: SPAM) oder einer Erweiterung im Betreff (*SPAM*) versehen und somit als Spam markiert.

Das Besondere an SpamPal: Das Programm kann durch zahlreiche Plug-ins erweitert werden, wodurch die Erkennungsrate spürbar verbessert wird. So verhindert z.B. das Plug-in HTMLModify, dass Webbugs in HTML-Anhängen ausgeführt werden. Zudem benennt es potenziell gefährliche Anhänge um.

Das Plug-in RegExFilter stellt ein Scoring-System zur Verfügung (ähnlich wie SpamAssassin), das anhand verschiedener Kriterien Punkte verteilt und bei Überschreiten eines Wertes eine E-Mail als Spam markiert. Erwähnt werden sollte auch das Plug-in Bayesian, das Spam nach der Bayes’schen Methode identifiziert.

Dank seiner einfachen Handhabung erlaubt SpamPal den einfachen Einstieg in die Welt der Antispam-Tools. Auf der Website stehen zudem unzählige deutschsprachige Anleitungen zur Verfügung, wie man den Filter optimal einsetzt.

MailWasher Server

Aus dem Hause FireTrust kommen mehrere Sicherheitsprodukte, die einen sicheren und zuverlässigen E-Mail-Verkehr versprechen. Neben verschiedenen kommerziellen Produkten bietet FireTrust mit MailWasher Server eine ausgewachsene Open-Source-Lösung an, die auf die Filterung von Spam spezialisiert ist.

Laut Angaben der Entwickler kann der Server in Netzen beliebiger Größenordnung eingesetzt werden. Interessant für den Einsatz in heterogenen Umgebungen: Der MailWasher Server ist für alle relevanten Betriebssysteme verfügbar. Mit diesem Tool kann man quasi jeden beliebigen Mailserver um einen Antispam-Filter erweitern, ohne an der bestehenden Mailserver-Konfiguration schrauben zu müssen.

Für die Spam-Filterung kommen auch bei diesem Server mehrere Techniken zum Einsatz. Da ist zunächst einmal ein Bayes-Filtersystem, das lernfähig ist. Außerdem unterstützt der Server White- und Blacklists. Die volle Leistungsfähigkeit des Systems entfaltet sich allerdings erst bei Nutzung des FirstAlert!-Services, einem von Trust betriebenen Prüfservice für E-Mails. Diesen Service kann man ab 9,95 US-Dollar pro Jahr einkaufen. Zusätzlich bieten die Entwickler kommerziellen Support an.

Dank der sehr übersichtlichen Web-Schnittstelle ist die Handhabung des Servers ein Kinderspiel. Eine ähnlich benutzerfreundliche Schnittstelle würde man sich auch bei anderen Open-Source-Projekten wünschen.

Seite 4: Anti-Spam SMTP Proxy Server und POPFile

Anti-Spam SMTP Proxy Server (ASSP)

Ein echter Geheimtipp unter den Antispam-Lösungen für Mailserver ist der Anti-Spam SMTP Proxy Server, kurz ASSP). Dieses Tool kann man quasi mit jedem beliebigen Mailserver einsetzen, auch mit kommerziellen Highend-Lösungen wie dem MS Exchange Server.

Da der ASSP komplett in Perl entwickelt wurde, kann er auf jedem beliebigen Betriebssystem eingesetzt werden. Die Featureliste ist lang. Das Tool unterstützt alle aktuell gebräuchlichen Antispam-Methoden, insbesondere Grey- und Blacklisting, die Überprüfung der Empfängeradressen per LDAP und Active Directory, die Überprüfung der HELO-Header, Reverse PTR Checks, SPF, URIBL und Penalty Box.

Eine Besonderheit von ASSP: die Spam-Fallen. Dabei versteckt man auf seiner Website E-Mail-Adressen. Absender, die an eine solche versteckte Adresse ein E-Mail senden, werden für eine definierbare Anzahl an Tagen gesperrt. Standardmäßig sind es fünf Tage.

Die Filterung der E-Mails erfolgt insbesondere mithilfe des Bayes-Filters, der bei einer Neuinstallation sich aber natürlich noch in der Anlernphase befindet. Da die E-Mail-Analyse auf SMTP-Ebene erfolgt, wird der Mailserver mit vergleichsweise wenig Werbemüll konfrontiert.

Installation und Inbetriebnahme von ASSP sind einfach. Zunächst müssen die Perl-Bibliotheken installiert sein. Dann legt man einen ASSP-Ordner an und kopiert die Software in die Ordner. Im nächsten Schritt sollte ASSP als Service installiert werden. Außerdem müssen beim verwendeten Mailserver die Ports so umgestellt werden, dass die E-Mails über ASSP geleitet werden.

Die Konfiguration und Administration erfolgt über den ASSP-Webserver. Das Schöne an ASSP: Der Spam-Filter vereint unter einer übersichtlichen Schnittstelle eine Vielzahl an Funktionen für den Kampf gegen Spam. Damit ist das Programm insbesondere auch für weniger versierte Administratoren geeignet. Einziger Haken: Die Dokumentation ist spärlich oder aber in weiten Teilen veraltet.

POPFile

Wie ASSP ist auch POPFile ein in Perl programmierter Proxy-Server, der die Filterung von E-Mails erlaubt. Auch dieses Tool wird über eine Web-Schnittstelle administriert. Über die POPFile-Website stehen ein Windows- und ein plattformübergreifendes Paket zum Download zur Verfügung. Nach dem Starten greift man über die Adresse http://127.0.0.1:8080 auf die Schnittstelle zu.

Im Mittelpunkt von POPFile stehen die so genannten Kategorien, in die der E-Mail-Filter elektronische Post einsortiert. Es bietet sich an, eine Kategorie für Spam, eine für „normale“ E-Mail oder eine für private Post zu erstellen. Das Einrichten von Kategorien erfolgt über das Register Buckets. Im nächsten Schritt gilt es dann, Filter zu definieren.

Wie andere Lösungen benötigt auch das POPFile-System zur E-Mail-Klassifizierung eine gewisse Trainingsphase, in der es die Anforderungen des Administrators kennen und umsetzen lernt, bevor es effektiv einsetzbar ist. Und: Umso mehr der Filter trainiert, umso effektiver arbeitet er. Beim ersten Einsatz wird nicht einmal der Versuch einer Klassifizierung unternommen.

Kann POPFile im weiteren Einsatz E-Mails nicht klassifizieren, so ist der Administrator gefragt und muss den Filter anpassen. POPFile ist dank der einfachen Handhabung ebenfalls für weniger versierte Administratoren geeignet.

Fazit

Die Open-Source-Entwicklergemeinde hat in den vergangenen Jahren ganze Arbeit geleistet. Für nahezu jede Anforderung gibt es heute die passende Lösung.

Guten Gewissens kann für kleinere Netzwerke der benutzerfreundliche Anti-Spam SMTP Proxy Server empfohlen werden. Bei höchsten Anforderungen sollte man zu dem bewährten SpamAssassin greifen. Aber auch die anderen hier vorgestellten Tools sind eine Evaluierung wert.

registrieren Sie sich jetzt bei Security-Insider.de

Dieser Artikel stammt aus der Fachzeitschrift INFORMATION SECURITY, dem Vorgänger des TechTarget-Magazins. Wenn Sie Beiträge wie diesen und weitere hochklassige Analysen und Interviews in Zukunft regelmäßig und kostenlos nach Hause geliefert bekommen möchten, registrieren Sie sich jetzt bei Security-Insider.de. Mit dem Experten-Know-how aus dem TechTarget Magazin finden Sie dann künftig mehr Zeit für die wichtigen Dinge Ihres Jobs!

(ID:2006663)