Wie gut ist die Spamabwehr?

[MatthiasUe]

Hallo zusammen,
vorweg möchte ich sagen, dass ich NoSpamProxy seit Jahren nutze und es auch jederzeit weiterempfehlen würde.

In der letzten Zeit melden sich bei uns in der IT-Abteilung häufiger Kollegen, weil sie Spam-Mails bekommen haben. Über die Nachrichtenverfolgung kann man diese E-Mails auch gut erkennen und sieht auch gleich, dass keine der Prüfinstanzen angeschlagen hat. Bis auf SpamAssassin und Wortübereinstimmungen nutzen wir alle zur Verfügung stehenden Filter.

Ist unser Gefühl, dass in der letzten Zeit mehr Spam angenommen wird, subjektiv oder beobachtet jemand anders ähnliche Tendenzen?

Mir ist bewusst das heut zu Tage die Erkennung vom Spam immer schwieriger wird. Die meisten unerwünschten E-Mails, die ankommen, stammen von legitimen Absendern, deren Postfach übernommen wurde. Sowas zu erkennen stelle ich mir extrem schwer vor, weil jede Reputationsprüfung ins Leere läuft.

Auf der anderen Seite steht im NSP Blog, dass beim VBSpam-Test Q3 2024 eine Erkennungsrate von mehr als 99,96 % erreicht wurde. Wie entstehen solche Werte und wie realitätsnah sind diese Tests? Reden wir hier von „billigem“ Spambots oder übernommene E-Mail-Konten über die gezielten Spam- und Phishing-Kampanien gefahren werden?

Ich freue mich auf eure Erfahrungen und möchte nochmal betonen, dass es mir hierbei nicht um Stimmungsmache gegen NoSpamProxy geht.

Viele Grüße
Matthias

 

[Tim321]

Ich hatte deswegen schon vor einigen Monaten ein Ticket laufen. Ja, es kommt mehr Spam rein, viel mehr als früher. Ich pflege meinen Wortfilter und meine Blacklist intensiv, aber es ist ein Kampf gegen Windmühlen….

Früher, mit cyren wars deutlich besser, dann wurde die Erkennung schlechter und aktuell ist es nicht so toll. Teilweise kommen Mails durch, die erkannt hätten werden müssen, da eindeutig spam bzw. Phishing. Ja, es ist schwer und ja NSP ist immer noch sehr gut, war meines Erachtens aber mal deutlich besser.

 

[JanJäschke]

Guten morgen zusammen,

ich möchte mich erstmal nicht in die Diskussion einmischen da ich selbst sehr gespannt auf das Feedback bin.
Möchte aber gerne in den raum werfen, dass eine Analyse interessant wäre. Hierfür wären allerdings Maildumps vom Empfang notwendig und dies recht kurzfristig nach Empfang.
Schreibt mich dazu gerne per PN an

Ansonsten hoffe ich, dass hier noch einige Kommentare dazu kommen.

LG
Jan

 

[Tim321]

Ich habe mal die Messagetracks geschickt, allerdings will die Entwicklung dazu noch die Originalmail. Da die ja nicht nur bei mir sondern "überall" bei uns ankommen, war mir das dann aber zu umständlich. Ich melde allerdings brav regelmäßig meine Spammails, wenn sie mir bekannt werden.

 

[MatthiasUe]

Guten morgen,
ich würde mich über einen regen Austausch auch sehr freuen.

Blocklisten habe ich auch sehr genau im Monitoring und passe immer mal wieder die eingesetzten Listen an. Ab gerade die RBLs filtern nicht die Phishing E-Mails die von einem übernommenen M365 Postfach versendet werden. Bei diesen E-Mails haben nur die Filter eine Chance, die den Inhalt der E-Mails prüfen. In Wortfilterlisten habe ich persönlich noch gar keine Energie gesteckt, ich glaube das ist wirklich der besagte Kampf gegen Windmühlen.

Aktuell überlege ich noch den SpamAssassin Konnektor zu aktivieren, auch mit dem Wissen das einige Prüfungen dann doppelt stattfinden würden. Nutzt jemand von euch NSP und SpamAssassin im Verbund?

Wir implementieren aktuell ein neues Verfahren wie Mitarbeiter uns Spam- und Phishing Mails melden können. Die daraus entstehenden Meldungen können wir dann gerne an euch weiterleiten. Sollen wir die E-Mails dann per PM an dich schicken oder gibt es eine E-Mail-Adresse (ich glaube die Frage gab es schon mal )

Gruß
Matthias

 

[Tim321]

spamreport@nospamproxy.de ist die Mailadresse

 

[JanJäschke]

Uns hilft wirklich nur die original empfangene E-Mail.

Alles danach können wir natürlich betrachten, damit aber nicht in die Diskussion mit unserem Zulieferer gehen.
Nennt mich im Spamreport gerne namentlich oder leitet sie per PN direkt an mich.

 

[MatthiasUe]

Moin,
da es ja sehr ruhig ist und keine weiteren Erfahrungen eingetroffen sind, magst du noch etwas zu dem Thema sagen Jan?

LG
Matthias

 

[Mueller]

Moin,
ich kann aufjedenfall auch bestätigen, dass es aus unserer Perspektive auch uns so aussieht, als wären in der letzten Zeit mehr Spam Nachrichten durchgekommen.

 

[JanJäschke]

Hallo zusammen,

Das wir zu wenig ablehnen höre ich in letzter Zeit etwas vermehrt und wir würden hier natürlich gerne handeln.
Wie oben schon beschrieben brauchen wir dazu aber Infos/original E-Mails und da sind dann die meisten Kunden sehr zurückhaltend.
Was ich einerseits verstehen kann, andererseits sind es ja vermeintliche Spam Mails

Wir hatten in der Vergangenheit auch einige Kunden die sich massiv beschwert haben, hier mussten wir aber fast immer feststellen, dass die Konfiguration einfach zu offen war bzw. z.B. an den SCL werten rumgespielt wurde und das einfach in die Jahre gekommen war.

Ihr seht, ohne Infos/Material lässt sich da erstmal wirklich wenig sagen.

Generell ist es natürlich mit einer sauberen Reputation deutlich leichter etwas durch zubekommen, denn dann bleibt nur noch die Inhaltserkennung und hier wird es dann natürlich deutlich kniffliger saubere Anhaltspunkte zu finden. Zumal man dann auf der Kehrseite Kunden hat wo Mitarbeiter über Ihre private FreeMailer Adresse etwas reinschicken wo Betreff + Body eig leer sind und man sich dann beschwert, dass wir fälschlich ablehnen ^^
Wir müssen also auch noch schauen, dass wir einen guten Mittelweg finden und nicht zu aggressiv werden.


LG
Jan

 

[MatthiasUe]

Hallo Jan,
erstmal vielen Dank für deine Rückmeldung zu diesem Thema.

Wir werden versuchen in Zukunft mehr Spam-Mails zu übermitteln. Bis jetzt war es halt auch bei uns so, dass wir die meisten Spam-Mails selber gar nicht gesehen haben, sondern es dann immer nur über den „Büro-Funk“ mitbekommen haben. Aktuell implementieren wir einen Meldebutton in Outlook. Damit erhoffen wir uns, dass mehr Spam gemeldet wird. Die dort enthaltenen eml. Dateien können wir euch dann zur Verfügung stellen.

Ist bei NSP eine Inhaltserkennung aktiv? Ich teste gerade den SpamAssassin-Konnektor und dieser hat schon einige Spams anhand vom Inhalt erkennt und abgelehnt. Bei diesen Spam-Mails haben sonst keine Filter angeschlagen. Das sind auch echt so „einfache“ wo im Betreff schon steht „Dear Friend“.

Kannst du noch etwas zu den besagten 99,96% vom VBSpam-Test sagen? Wie realitätsnah ist dieser Wert?

LG
Matthias

 

[JanJäschke]

Hallo Matthias,

die CoreAntispam Engine macht eine leichte pattern und hash basierte Inhaltsfilter Erkennung.
Ansonsten bleibt bei uns nur der Wortfilter der wirklich die E-Mail auf expliziten Inhalt scannen kann.
SpamAssassin könnte hier natürlich eine gute Ergänzung sein grade wenn man die Instanz selbst betreibt behält man ja volle Kontrolle über seine Daten


Zum VBSpam Award:
Hier möchte ich ganz klar versichern, dass wir nichts faken oder auf uns zugeschnitten bekommen. Beim VBSpam werden verschiedene Wellen an guten sowie schlechten E-Mails an die Teilnehmer versendet und geschaut wie diese Systeme darauf reagieren.
Die Ergebnisse sind somit also realistisch.

Aufgrund dessen bin ich letztlich auch darauf angewiesen von euch das negative Feedback zu bekommen. Bei uns im Unternehmen höre ich nämlich auch selten, dass etwas reingekommen ist wodurch erstmal für uns alles gut aussieht

LG
Jan

 

[Tim321]

Das Problem ist, dass euch die weitergleitete Mail ja nicht reicht. Heißt, der Empfänger muss seine Mail speichern, dann als Anhang an den Admin weiterleiten und der reportet das dann euch. Das ist leider etwas umständlich und wird daher häufig vom Mailempfänger leider nicht gemacht.

Die Meldung über NSP direkt scheint nicht auszureichen, sodass ich mich frage, ob es überhaupt sinnvoll ist, mir die Mühe zu machen, das aus der Nachrichtenübersicht zu melden. Wenn Euch die Meldung aus NSP direkt nicht reicht, wäre es doch ggf. eine Idee, die von euch benötigten Daten über einen gewissen Zeitraum, sagen wir eine Woche im System vorzuhalten, sodass mit der Meldung via NSP euch alle Daten vorliegen, die ihr benötigt. Dann könnte der Admin das "mal eben" machen und es wären nicht noch Mitarbeiter beschäftigt um euch bei der Erkennung zu unterstützen.

 

[JanJäschke]

Wir können mit den Daten schon einiges anfangen.
Im FP Bereich ist das natürlich etwas leichter.
Im FN Bereich ist dann eben die Frage was an Daten zu der E-Mail vorliegen.

Wenn wir mal das Beispiel mit "Dear Friend" im betreff nehmen und sonst nichts, gibt es eben wenig Anhaltspunkte wenn die Reputation auch noch sauber ist. Was immer im Hinterkopf behalten werden muss ist, dass wir keine Daten der E-Mail direkt an uns übermitteln sondern nur Hash Werte und ggf. Domänen. Aber wir kennen nie den Inhalt des Body.

Eine Funktion wie du sie beschreibst würde dazu führen, dass wir jede E-Mail irgendwo für z.B. eine Woche speichern müssten um diese dann vollständig an uns weiterzuleiten. Da muss ich ehrlich sagen, das werden die wenigsten gut heißen und da bin ich ganz vorne mit dabei

Hier könnt ihr eher das E-Mail Dumping aktivieren und dann die entsprechende E-Mail nach der Meldung raussuchen.
Ziel soll es ja auch nicht sein, dass man das permanent benötigt sondern eher nur in der Zeit wo es zu einer zu schlechten Erkennung kommt.
Wir wollen natürlich erreichen, dass man da eigentlich nicht weiter groß drüber nachdenken muss

 

[Tim321]

Es muss ja keine Woche sein. Die Mail, die als .eml an euch weitergleitet wird, bekommt ihr ja auch ganz. Hinsichtlich der "zwischenzeitlichen Speicherung der Mails zum Melden" reden wir ja "nur" über benötigten Speicherplatz. Ggf. könnte man das ja z.B. auf Mails einschränken, deren Absender nicht in den Partnern vorhanden ist und natürlich nur die, die auch zugestellt wurden. Das würde den Umfang m.E. erheblich reduzieren. So oder so, ja, das Ziel ist, es möglichst sicher und einfach zu machen, dazu gehört finde ich dann auch, möglichst einfach Spam und Phishing zu reporten.

 

[MatthiasUe]

Hallo Jan,

plant ihr in Zukunft die Implementierung einer eigenen Inhaltserkennungslösung? Selber Wortfilter-Listen zu pflegen halte ich für keine praktikable Lösung, hatte ich ja oben schon kurz angerissen.

SpamAssassin läuft bei uns auf dem einen Gateway-Server mit. Bis auf die fehlende Übermittlung der Flags, finde ich die Implementierung aktuell sehr gut. Hilfreich wäre, wenn im Nachrichten-Feld die SA-Flags stehen würden, aus denen die Spam-Punkte entstanden sind.

Ich wollte euch beim Thema VBSpam Award nicht unterstellen etwas zu faken. Wenn das so rüberkam, tut es mir leid. Die Frage ging eher in Richtung wie „realitätsnah“ dieser Test an sich ist, also mit was für E-Mails getestet wird.

LG
Matthias