Spam-Schutz: Blacklists, Greylisting, Bayes
Über 80 % aller weltweit verschickten E-Mails sind Spam, Phishing oder Malware. Würde dein Posteingang ungefiltert alles bekommen, wäre er nutzlos – die wenigen echten Mails würden in einem Strom aus Werbung für „Penis Enlargement" und „Microsoft Tech Support Calls" untergehen. Mailserver setzen deshalb mehrere Anti-Spam-Mechanismen parallel ein, die zusammen ein Spam-Score-System ergeben: jede einzelne Heuristik wirkt für sich genommen nur eingeschränkt, aber als Stapel sind sie sehr wirkungsvoll. Diese Lektion zeigt dir die wichtigsten Methoden – Blacklists/DNSBL, Greylisting, SPF/DKIM/DMARC-Prüfung, Bayes-Klassifizierung, Reputation-Scoring und Inhalts-Heuristiken – wie sie über ein Score-Modell kombiniert werden, mit welchen Tools (SpamAssassin, Rspamd, Microsoft Defender for Office 365) sie umgesetzt sind, und welche Fehler beim Konfigurieren passieren. Wer den Mailserver betreibt, will jeden False-Negative (Spam in Inbox) und jeden False-Positive (legitime Mail im Spam-Ordner) vermeiden – ein schwieriger Balance-Akt.
1) Die wichtigsten Anti-Spam-Methoden
Klick die Methoden an, um Funktionsweise und Trade-offs zu sehen:
2) Score-Modell – wie ein Spam-Filter entscheidet
Moderne Spam-Filter wenden nicht eine Regel an, sondern viele. Jede gibt einen Punktwert (positiv für Spam-Indiz, negativ für „eher legitim"), die Summe entscheidet. Spiel mit den Checks unten – siehe den resultierenden Score:
3) Tool-Landschaft
SpamAssassin
Klassiker, Perl-basiert, Open Source. Sehr konfigurierbar. Etwas in die Jahre gekommen. Apache-Projekt.
Rspamd
Moderner Nachfolger. C-basiert, deutlich schneller, mit Web-UI, integrierter Bayes-Engine, Lua-Plugins. Heute der De-facto-Standard im Linux-Open-Source-Stack.
Microsoft Defender for O365
Cloud-Anti-Spam von Microsoft, in M365 integriert (E3 als „EOP", E5 als „Defender Plan 2"). Sehr stark gegen Phishing.
Proofpoint / Mimecast
Kommerzielle Mail-Gateways, vor dem eigenen Server geschaltet. Sehr starke Anti-Phishing-/Anti-Malware-Erkennung. Pro-User-Lizenz.
Barracuda Email Gateway
Hardware-Appliance oder Cloud. Mittelstand-Standard.
Mailcleaner / efa-project
Open-Source-Distributionen, die SpamAssassin/Rspamd + ClamAV vorbündeln und als Mail-Gateway laufen.
4) Phishing – die gefährliche Spam-Variante
Phishing ist Spam mit krimineller Absicht: gefälschte Absender (Bank, Chef, Behörde), eingeblendete Angst/Druck/Dringlichkeit, Link auf Fake-Login-Seite. Anti-Phishing nutzt zusätzliche Methoden:
- Display-Name-Spoofing-Schutz: wenn From-Display-Name den eines internen Chefs imitiert, aber von externer Domain kommt – Alarm.
- Anti-Impersonation: bekannte interne Adressen werden auf Fake-Variante geprüft (ch3f@firma.de statt chef@).
- Sandbox-Analyse: Anhänge werden in isolierter VM geöffnet, Verhalten beobachtet.
- URL-Rewriting: Links werden umgeschrieben, beim Klick erst geprüft (Microsoft Safe Links, Proofpoint URL Defense).
- Banner-Warnung: Outlook zeigt „Diese Mail stammt von einem externen Absender" oder bei Verdacht „Möglicherweise Phishing".
- Threat Intelligence: Globale Blacklist-Updates über Cloud-Feeds.
5) Server-seitige Spam-Aktionen
Was tun, wenn der Score eine bestimmte Schwelle überschreitet?
| Score-Bereich | Aktion |
|---|---|
| < 5.0 (Score-Beispiel) | Inbox – Mail durchlassen |
| 5.0 - 8.0 | Spam-Ordner – Mail mit X-Spam-Flag: YES, evtl. mit „SPAM" im Betreff |
| 8.0 - 15.0 | Reject (5xx) – Sender bekommt Bounce |
| > 15.0 | Drop – Mail wird stillschweigend verworfen (Spammer sollen kein Feedback bekommen) |
Wichtig: Quarantäne ist eine Spielart von „Spam-Ordner" – die Mail liegt in einem Admin-zugänglichen Bereich, User können sie freigeben lassen.
6) Anwender-Beteiligung – Spam-Training
Bayes-Filter und Reputation-Systeme lernen aus User-Feedback:
- „Als Spam markieren" – User kennzeichnet Mail im Mailclient. Filter lernt diese Eigenschaften als Spam.
- „Kein Spam" – umgekehrt, wenn legitime Mail im Spam-Ordner landet.
- Whitelist / Trusted Senders – Anwender markiert bestimmte Absender als „immer zustellen".
- Block-Liste – manuelles Blocken einzelner Absender.
Bei Großsetups wird das Feedback an den zentralen Filter zurückgespielt – das ist auch das Geschäftsmodell von Gmail: jeder „Mark as Spam"-Klick verbessert Googles Bayes-Modell für alle.
7) Antipatterns
- Nur eine Methode statt Score-System. Reine Blacklist? Spammer rotieren IPs schneller, als die Liste aktualisiert. Reines Bayes? False-Positives bei neuen Mailings. Lösung: Score-System mit mehreren Faktoren.
- RBLs ohne Whitelisting. Einzelne Hosts auf Spamhaus, obwohl legitim → wichtige Mails blockiert. Lösung: interne Whitelist für bekannte Partner-Domains.
- Greylisting auf empfindliche Domains. Banken-Bestätigungs-Mails, Two-Factor-Codes – User wartet 15 Minuten auf den Code, der nie kommt. Lösung: bestimmte Sender-Domains von Greylisting ausnehmen.
- Spam-Folder vergessen. User schaut nie rein, wichtige Mails versinken. Lösung: regelmäßiges Reminder, übersichtlicher Spam-Ordner.
- Mails einfach droppen, kein Spam-Ordner. Falsche Mails verschwinden ohne Spur. Lösung: konservativer mit Drop sein, lieber Spam-Ordner.
- Bayes-Training nur einmal. Spam ändert sich, Modell wird veralten. Lösung: kontinuierliches Training, periodisches Refresh.
- Score-Schwellen statisch. Eine Schwelle für alle Domains. Lösung: Spam-Profile pro User/Abteilung (z. B. Marketing toleriert mehr Marketing-Mails).
- Eigene MTA ohne PTR. Ironie: dein eigener Mailserver wird von vielen Empfängern als Spam markiert. Lösung: Reverse-DNS-Record Pflicht.
Zusammenfassung
Mailserver kombinieren mehrere Anti-Spam-Methoden zu einem Score-System: DNSBL/RBL (Blacklists wie Spamhaus, schnell aber grob), Greylisting (temporäre Ablehnung, lässt seriöse MTAs den Retry machen), SPF/DKIM/DMARC-Prüfung (Authentifizierung), Bayes-Klassifizierung (statistisches Lernen aus Spam/Ham), Heuristiken (Keyword-Regeln, HTML-Eigenheiten), Reputation-Scoring (Sender-Geschichte), Anhangs-/URL-Analyse (Sandbox, Malware-Scan), Rate-Limiting. Jede Methode liefert einen Score-Anteil, der Summen-Score entscheidet die Aktion: Inbox · Spam-Ordner · Reject (5xx) · Drop. Tools: SpamAssassin (Klassiker, Perl), Rspamd (Standard heute, C, schnell), Microsoft Defender for O365 (Cloud), kommerziell Proofpoint, Mimecast, Barracuda. Anti-Phishing erweitert um Display-Name-Spoofing-Schutz, Sandbox, URL-Rewriting, Banner-Warnungen. Anwender-Beteiligung über „Als Spam markieren"-Feedback verbessert Bayes-Modell. Antipatterns: Single-Method-Filter, RBL ohne Whitelist, Greylisting für Banken, ignorierter Spam-Ordner, stilles Droppen, einmaliges Bayes-Training, fehlende Reverse-DNS.
Verwandte Lektionen: DNS und E-Mail · Postfix & Dovecot · Exchange/M365 · und mehrWeitere relevante LektionenTLS & S/MIMESMTPIDS/IPSCVE/CVSSCIA-TriadeE-Mail-ArchivierungMFA