spam, spam und kein mittel in sicht?

gegen spam und phishing der via mail rein kommt kann man einiges machen ...
spamassassin an sich bietet viele regeln,
vom rulesemporium gibt es das sogenannte
SARE Ruleset das ziemlich effektiv
ist. kombiniert mit einem guten virenscanner sollte so fast nichts mehr
durchkommen. jedoch haben bisher alle von mir getesteten kommerziellen
virenscanner ein problem, sie erkennen phishing und scam nicht. macht ja auch
eigentlich nichts, den im normalfall greifen ja regeln aus dem genannten
ruleset um das ganze schon auf dem server zu blockieren. oder der absender
steht in in einer rbl, die mann auf entweder zum
greylisten
nutzen kann, oder aber direkt zum blockieren der mail (( hier sollte man
jedoch darauf achten, wenn der mailserver nicht nur für privat ist, an welcher
stelle das blockieren stattfindet, da man sonst mit dem postgeheimnis in
konflikt kommen kann, also wenn blockieren, dann gleich beim aufbau der smtp
verbindung und eine aussagekrägtige fehlermeldung dazu liefern! )) . aber
gerade in den letzten tagen ist immer mehr spam aufgekommen der mittels excel
sheets, pdf dateien oder sogar in zip container verpackten daten (( xls, pdf
oder bilder )) versuchte an den empfänger zu kommen. jetzt ist es aber so, das
sich schon genau um dieses thema menschen gedanken gemacht haben und für den
frei verfügbaren scanner clamav rulesets zur
verfügung stellen die phishing und scam
finden
. etwas gewöhnungsbedürftig ist der
gedanke schon einen virenscanner einzusetzen um spam auszusortieren, aber es
gibt einige punkte die dafür sprechen. die meisten desktop virenscanner melden
dem benutzer phishing mails als virus, was nicht wirklich ein grund ist, aber
die rückfragen der user auf ein minimum reduziert. der virenscanner hat die
ankommende mail eh schon einmal entpackt warum nicht auch gleich noch ein
paar zusätzliche checks darüber fahren? zu guter letzt können aus meiner sicht
pattern updates schneller generiert werden als native spamassassin rules ...
ist schon ein anderer virenscanner im system vorhanden, kann clamav als
zusätzlicher scanner integriert werden und die mails können z.B. gleich im
smtp dialog abgelehnt werden oder clamav wird über spamassassin aufgerufen und
kann so für zusätzliche punkte sorgen. das ganze funktioniert am einfachsten
über das clamav plugin des
spamassassin
. wenn clamav
bereits als virenscanner eingesetzt wird, braucht eigentlich nur das
zusätzliche ruleset heruntergeladen zu werden und gut ist, jedoch könnte evtl.
eine lokale policy im wege stehen, oder aber der grundgedanke das der
virenscanner nun auch schon spam mails verarbeitet und ggf. sogar dadurch die
annahme einer mail verweigert wird trifft nicht uberall auf grosse zustimmung.
doch auch dafür gibt es eine sehr einfach lösung. warum nicht den clamav
zweimal, mit unterschiedlichen datenbanken laufen lassen? als erstes läuft
clamav mit den standard definitionen und arbeitet als virenwächter, die zweite
version, getrennt über ein eigenes init.d script und eine eigene konfiguration
wird über das spamassassin plugin eingebunden und vergibt zusätzliche punkte
für phishing und scam. wenn im datenbank verzeichniss der zweiten version mit
symbolischen links gearbeitet wird, muss auch nur einmal für die updates der
grundpattern gesorgt werden. durch den selbstcheck der datenbank (( der
natürlich in der konfiguration eingeschaltet werden sollte )) bekommt auch die
zweite clamav version mit wenn sich etwas geändert hat. natürlich benötigt
diese methode ein wenig mehr ressourcen, aber wenn die erkennung von viren und
spam sauber getrennt sein soll, muss man dies in kauf nehmen.

{% include JB/setup %}

Show Comments