Analyse des SMTP-Zeitverhaltens
English version
E-Mails werden im Internet über das SMTP-Protokoll versendet. SPONTS analysiert das Zeitverhalten des Absendeservers und kann daran erkennen, ob es sich um einen legitimen Mailserver, um spezielle Spammer-Software oder um einen Virus mit eigener SMTP-Engine handelt. Die Erkennungsrate eines durchschnittlichen Postfaches beträgt hierbei etwa 50-60% bei Spam und 80-95% bei Viren.
Diese Auswertung eines Mailservers zeigt die Anteile der Mail-Arten
- Ham: legitime Mail
- Filter: von regulären Spam-/Virenfiltern erkannte Mail
- Timing: durch Timing-Analyse erkannte Mail
Hierbei wird eine durch Timing-Analyse erkannte Mail nicht mehr durch die regulären Filter bearbeitet. Die X-Achse sind die Tage im September 2004. Der Mailserver ist Primary-Mailserver für etwa 15 Postfächer und Backup-Mailserver für etwa 200 Postfächer. Der Mailserver verarbeitet täglich im Schnitt etwa 1.400 E-Mails.
Fast keine False Positives
Seit Einführung der Technik Anfang 2004 sind bei uns und unseren Kunden nur 3 legitime Mailserver aufgetreten, deren Mails fälschlicherweise als Spam oder Virus erkannt worden sind. Bei allen dieser Mailserver konnte sehr schnell nachgewiesen werden, dass sie fehlerhaft und nicht RFC-konform implementiert waren, was der jeweilige Hersteller umgehend abstellte. Danach kam es zu keinerlei Problemen mehr.
Weniger Traffic
Zur Analyse sind die ersten wenigen SMTP-Kommandos
HELO/EHLO
MAIL FROM
RCPT TO
DATA
vollkommen ausreichend. Dies bedeutet, dass vor der Übertragung des Mail-Bodys feststeht, ob ein legitimer Mailserver versendet. Damit wird der Datenverkehr für Viren und Spam gespart.
Problemloses Whitelisting
Da der Mail-Envelope komplett übertragen wird, ist Whitelisting auf Basis von Absende-IP, Absender und Empfänger problemlos möglich.
Geringe Systemlast, sehr gute Skalierung
Die Analyse selbst benötigt fast keine Rechenleistung, so dass eine große Zahl von Mailverbindungen gleichzeitig getestet werden können. Die Last eines Mailservers wird durch Einsatz des Verfahrens üblicherweise um 60-80% gesenkt.
Langsame Verbindungen sind kein Problem
Die Zeitanalyse funktioniert problemlos mit langsamen Verbindungen, beispielsweise über Modem, Handy oder weit entfernten Ländern.
Lizensierung erwünscht
Spam ist ein Problem, das alle betrifft und iKu hilft mit, die Auswirkungen zu reduzieren. Das Verfahren zum Patent angemeldet und kann für die eigene Verwendung unabhängig von iKu Produkten lizensiert werden.