Spam- und Virenabwehr mit Exchange, Teil II

Signaturbasierte Filter

Eine weitere Möglichkeit, Spam und Viren auszufiltern, besteht darin, den Inhalt einer Nachricht zu untersuchen und dann mit einer Kombination aus Schlüsselwörtern, Regeln und Inhaltsanalyse zu bestimmen, ob die Nachricht „spammig“ ist oder möglicherweise einen Virus enthält.

Wenn der Hersteller die Regeln häufig aktualisiert, kann dieser Ansatz äußerst effektiv sein. Eine auf Regeln basierende Filterung wird jedoch dadurch eingeschränkt, dass schädliche Inhalte sehr verschieden aussehen können. Ein regelbasierter Antispamfilter entdeckt vielleicht eine Nachricht mit der Betreffzeile „You Can Last Twice as Long“, aber übersieht „You, Can La$t Twice /As Long mxplxct“. Ein anderes Beispiel: Eine Virusmail wird dann entdeckt, wenn sie eine VBS-Datei enthält, bleibt aber unter Umständen unerkannt, wenn stattdessen eine ZIP-Datei angehängt ist.

Fast alle Antivirenprogramme nutzen Signaturen in irgendeiner Form. Die Beispiele dafür sind zu zahlreich, als dass man sie hier anführen könnte. Qualitätsunterschiede zeigen sich bei signaturbasierten Lösungen oft darin, wie schnell Signaturen zur Verfügung stehen bzw. ein neuer Angriff erfasst und in die Signaturdatei aufgenommen werden kann und wie einfach sich die Signaturen innerhalb eines Unternehmens weitergeben lassen.

Auch einige Hersteller von Antispamprogrammen nutzen Signaturen, weil ihr Ergebnis vorhersagbar und der Verteilungsmechanismus bekannt ist. Auf Regeln beruhen unter anderem die folgenden verbreiteten Antispamprodukte: