Spam- und Virenabwehr mit Exchange, Teil II

Hashbasierte Filter

Antiviren- und Antispamprogramme, die auf Signaturen basieren, blockieren möglicherweise auch erwünschte E-Mails, die dem Filtermechanismus verdächtig vorkommen. Hashbasierte Filter versuchen diesen Fehler zu vermeiden, indem sie einzelne Exemplare unerwünschter Nachrichten abfangen und auf einen digitalen Fingerabdruck, Hash genannt, reduzieren. In der Kryptographie wird ein Hash aus einer unidirektionalen Funktion mit einer Ausgabe fester Länge konstruiert, die sehr empfindlich auf die Eingabe reagiert. Bei einer guten Hashfunktion wird durch ein einziges verändertes Byte in der Eingabe der Hashinhalt zu 50 Prozent modifiziert.

Ein Anbieter eines hashbasierten Programms ist bemüht, Spam und Viren zu bekommen. Wenn der unerwünschte Inhalt bestätigt ist, wird ein Hash produziert und eine Aktualisierung verschickt. Die Clients erhalten den Hash und prüfen damit eingehende Nachrichten.

Im Vergleich zur Verwendung von Signaturen haben hashbasierte Filter etliche Vorteile. Sie sind sehr schnell, weil Hash-Algorithmen auf Leistung optimiert sind, und praktisch unfehlbar, denn es ist schlicht unmöglich, dass zwei Nachrichten in freier Wildbahn den gleichen Hash haben. Da ein Hash auch sehr kompakt ist, lassen sich Aktualisierungen schnell und einfach an die Clients verschicken.

Aber ein hashbasierter Filter hat auch einen großten Nachteil. Wenn der Anbieter nicht bemerkt, dass eine Virenattacke einsetzt oder eine neue Spam-E-Mail abgeschickt wird, sind die Clients den unerwünschten Nachrichten ausgeliefert.

En Beispiel für ein hashbasiertes Programm ist Brightmail Anti-Spam von Brightmail.