32Guards

32Guards ist einerseits ein Filter, der die Berechnung des Spam Confidence Levels beeinflusst, andererseits eine Aktion, die Bedrohungen direkt temporär oder permanent abweisen kann.

Die Bewertung von E-Mails durch 32Guards basiert auf der Auswertung einer Reihe von Indikatoren. Diese Auswertung ergibt am Ende eine finale Beurteilung der E-Mail. Beispiele für solche Indikatoren sind verdächtige Dateinamen oder gehäuftes Auftreten neuer beziehungsweise unbekannter URLs in sehr kurzer Zeit.

Diese Aktion/dieser Filter sorgt dafür, dass Metadaten zu E-Mail-Anhängen und URLs gesammelt und in die NoSpamProxy-Cloud hochgeladen werden. Es werden hierbei weder Dateiinhalte gesammelt noch auf diese zugegriffen. Durch 32Guards lassen sich Angriffe durch Spam und Malware schneller und zielsicherer erkennen und abwehren. Auf Basis dieser Metadaten erstellt 32Guards eine Gefahrenbewertung, die wiederum als Grundlage für weitere Aktionen in NoSpamProxy genutzt wird.

Es werden durch NoSpamProxy ausschließlich die folgenden Metadaten gesammelt:

Anhänge

  • Dateiname
  • Dateigröße
  • Details zu den ersten zehn Dateien innerhalb von Archiven/zu maximal 50 Dateien bei verschachtelten Archiven (geordnet nach Dateityp): Dateiname, Hash-Wert, Größe, Anzahl, Größe ohne Komprimierung
  • SHA-256-Hashwert
  • TLSH-Hashwert
  • MIME-Typ (wie durch NoSpamProxy erkannt)
  • Informationen darüber, ob Malware im Anhang gefunden wurde

URLs

  • Die vollständige URL
  • Klassifikation der URL (Spam, Phishing, Malware)

E-Mails

  • Quell-IP eingehender E-Mails
  • Authentifizierte Domäne und Quelle (DKIM/SPF/S/MIME)
  • Salted hash des local part der Header-From-Domäne und 'MAIL FROM'-Domäne eingehender E-Mails
  • Salted hash des local part der Rcpt-Domäne und To/CC-Header-Domäne ausgehender E-Mails
  • Message ID
  • Ob es sich um eine automatisch generierte E-Mail handelt
  • Status der Kontrollkette im Rahmen von Authenticated Received Chain (ARC)
  • Status bezüglich der Certified IP List der Certified Senders Alliance (CSA)
  • TLS-Zertifikat inklusive Gültigkeit, Vertrauensstatus, Thumbprint, Name der Domäne und Herausgeber
  • Transaktions-ID
  • Informationen darüber, ob die E-Mail eingehend (vertrauenswürdig/nicht vertrauenswürdig) oder ausgehend war
  • Version des NoSpamProxy-Clients
  • Version des angewendeten 32Guards-Datenmodells

Aus jedem der genannten Bereiche (Anhänge, URLs, E-Mails) fließt nur die jeweils schlechteste Bewertung in die Berechnung ein. Bewertungen aus unterschiedlichen Bereichen werden aufsummiert.

Updates auf NoSpamProxy 14 und höher

Bei Updates von älteren Versionen auf NoSpamProxy 14 und höher wird der Filter 32Guards automatisch einer Regel hinzugefügt, wenn vor dem Update die folgenden beiden Bedingungen erfüllt sind:

  • Die Aktion 32Guards ist als Teil einer Regel konfiguriert und
  • auf der Registerkarte Filter ist die Option Überprüfen der E-Mail mit den unten angegebenen Filtern ausgewählt.

Siehe auch

Melden von False Negatives und False Positives

Filter konfigurieren

Aktionen konfigurieren