E-Mails werden im Internet über das SMTP-Protokoll versendet. SPONTS analysiert das Zeitverhalten des Absendeservers und kann daran erkennen, ob es sich um einen legitimen Mailserver, um spezielle Spammer-Software oder um einen Virus mit eigener SMTP-Engine handelt. Die Erkennungsrate eines durchschnittlichen Postfaches beträgt hierbei etwa 50-60% bei Spam und 80-95% bei Viren.
Diese Auswertung eines Mailservers zeigt die Anteile der Mail-Arten
Hierbei wird eine durch Timing-Analyse erkannte Mail nicht mehr durch die regulären Filter bearbeitet. Die X-Achse sind die Tage im September 2004. Der Mailserver ist Primary-Mailserver für etwa 15 Postfächer und Backup-Mailserver für etwa 200 Postfächer. Der Mailserver verarbeitet täglich im Schnitt etwa 1.400 E-Mails.
Seit Einführung der Technik Anfang 2004 sind bei uns und unseren Kunden nur 3 legitime Mailserver aufgetreten, deren Mails fälschlicherweise als Spam oder Virus erkannt worden sind. Bei allen dieser Mailserver konnte sehr schnell nachgewiesen werden, dass sie fehlerhaft und nicht RFC-konform implementiert waren, was der jeweilige Hersteller umgehend abstellte. Danach kam es zu keinerlei Problemen mehr.
Zur Analyse sind die ersten wenigen SMTP-Kommandos
HELO/EHLO MAIL FROM RCPT TO DATA
vollkommen ausreichend. Dies bedeutet, dass vor der Übertragung des Mail-Bodys feststeht, ob ein legitimer Mailserver versendet. Damit wird der Datenverkehr für Viren und Spam gespart.
Da der Mail-Envelope komplett übertragen wird, ist Whitelisting auf Basis von Absende-IP, Absender und Empfänger problemlos möglich.
Die Analyse selbst benötigt fast keine Rechenleistung, so dass eine große Zahl von Mailverbindungen gleichzeitig getestet werden können. Die Last eines Mailservers wird durch Einsatz des Verfahrens üblicherweise um 60-80% gesenkt.
Die Zeitanalyse funktioniert problemlos mit langsamen Verbindungen, beispielsweise über Modem, Handy oder weit entfernten Ländern.
Spam ist ein Problem, das alle betrifft und iKu hilft mit, die Auswirkungen zu reduzieren. Das Verfahren zum Patent angemeldet und kann für die eigene Verwendung unabhängig von iKu Produkten lizensiert werden.
