Spam- und Virenabwehr mit Exchange, Teil II

Bayes-Filter

Im Kampf gegen schwer zu fassende Spam-E-Mails nutzen viele Anbieter von Antispamprogrammen einen Entscheidungsprozess, der auf den Arbeiten von Thomas Bayes beruht, einem Mathematiker und Theologen des 18. Jahrhunderts. In einem Text mit dem Titel „Essay Towards Solving a Problem in the Doctrine of Chances“ stellte Reverend Bayes die These auf, dass es möglich sei, anhand der Häufigkeit eines Ereignisses in der Vergangenheit die Wahrscheinlichkeit seines Auftretens in der Zukunft zu berechnen.

Bayes’ Logik definiert den Prozess, in dem ein naiver Lernender Kenntnisse über einen Sachverhalt gewinnt. Ein Spamfilter, der diese Entscheidungsprozesse verwendet, muss also den Unterschied zwischen erwünschter E-Mail und Spam lernen. Das dauert ein wenig. Die meisten Bayes-Filter zerlegen den Inhalt einer Nachricht in Token und analysieren, wie oft ein bestimmter Token in bekannten Spam-E-Mails verwendet wurde. Das Ergebnis einer Bayes-Analyse für eine Spam-E-Mail, durchgeführt von InBoxer, einem Outlook-Plug-In von Audiotrieve, ist in folgender Abbildung dargestellt. Wie Sie sehen können, hat der Filter bemerkt, dass es sich bei der Nachricht mit einer Wahrscheinlichkeit von 98,03 Prozent um Spam handelt, weil das Wort „Viagra“ bereits in elf unerwünschten Mails enthalten war. In Verbindung mit einer leeren Betreffzeile (auch fast immer ein Zeichen von Spam) trifft er die Entscheidung, die Nachricht zu sperren.

Durch die tokenbasierte Analyse sind Bayes-Filter besonders gut im Identifizieren von Mails, die gewollte Falschschreibungen enthalten. Ein regelbasierter Filter lässt sich möglicherweise von einem Satz wie „Kure baldne$$ with hare im-plant$“ täuschen, aber ein Bayes-Filter weiß, dass Token mit Sonderzeichen fast immer auf Spam hinweisen, und ordnet die E-Mail entsprechend ein. Wenn die Nachricht jedoch sorgfältig verfasst ist, wird auch ein Bayes-Filter nicht aktiv. Außerdem verzichten viele Spammer ganz auf Worte und verschicken stattdessen E-Mails mit eingebetteten Grafiken, bei denen eine Bayes-Analyse nicht möglich ist. Solche Nachrichten werden aber von Outlook Web Access und Outlook 2003 blockiert.

Weitere Antispam-Programme mit Bayes-Filtern sind:

  • MailEssentials für Exchange/SMTP von GFI Software

  • OutlookSpamFilter von Novosoft, ein Outlook-Plug-In

  • SpamKiller von McAfee (beruht auf der legendären Technologie von Spam-Assassin)