SPAM filtering

Hoe werkt de spamfilter en spamblokkering??

Het systeem van InterNLnet om spam te filteren en blokkeren is gebaseerd op een tweetal zaken. Er wordt gekeken naar de afkomst van het bericht en naar de inhoud.

Een emailbericht wordt altijd verstuurd door een bepaalde mailserver. Verschillende organisaties houden zogenaamde zwarte lijsten bij, met daarop mailservers waar vandaan spamberichten verstuurd worden. Elke keer als een mailserver een bericht bij InterNLnet wil afleveren, wordt er gekeken of die mailserver op zo'n zwarte lijst staat. Zo ja, dan wordt er gekeken of voor de mailbox waarvoor het bericht bedoeld is spamblokkering ingeschakeld is en zal aan de hand hiervan wel of niet afgeleverd worden in de betreffende mailbox.

Verder wordt er naast afkomst ook gekeken naar de inhoud van het emailbericht. Er wordt hierbij volautomatisch gekeken of er bepaalde woorden of andere kenmerken in het bericht zitten die duiden op spam. Denk daarbij aan zaken als: bepaalde (combinatie van) woorden, dubieuze links, afbeeldingen als bijlage die voor een groot deel tekst bevatten, hoofdlettergebruik, ongeldig afzenderadres etc. Ook hier bepaalt de instelling van de spamblokkering die u voor uw mailbox bij ons ingesteld heeft, of het bericht in uw mailbox wordt afgeleverd of niet.

In beide gevallen is er sprake van 3 spamcategorieen wat (mogelijke) spam betreft: Light, Medium en Heavy. Zo kan een mailserver die op een zwarte lijst staat gekenmerkt worden als Light, Medium of Heavy. Bij de inhoudelijke scan wordt een mail ook gekenmerkt als zijnde Light, Medium of Heavy. Deze categorieen zijn gerelateerd aan de instelling van de spamblokkering die u voor uw mailbox op onze ZelfService pagina in kunt stellen. Heeft u de spamblokkering bijvoorbeeld op Light staan, dan zal een binnenkomend bericht dat als Light gekenmerkt is, geblokkeerd worden. Medium en Heavy gekenmerkte berichten worden met deze instelling wél in uw mailbox afgeleverd. Staat uw spamblokkering op Medium, dan worden Light én Medium gekenmerkte berichten geblokkeerd en Heavy berichten worden wel afgeleverd. Zet u de spamblokkering op Heavy, dan worden alle spamgekenmerkte berichten geblokkeerd, alleen de berichten die door de spamfilter in geen enkele spamcategorie zijn ingedeeld komen dan in uw mailbox terecht.

Hoewel onze spamfilter uitermate zorgvuldig is en regelmatig bijgewerkt wordt, is zekerheid dat er nooit spam tussendoor zal glippen of dat er nooit een bericht ten onrechte als spam zal worden aangemerkt, niet te garanderen. Daarom kunt u, middels onze ZelfService pagina, voor uw mailbox zelf instellen welk niveau van spamblokkering u wilt gebruiken, te weten Light Medium en Heavy. Bij de Light instelling is de kans op vals-positieven (berichten die ten onrechte worden aangemerkt als spam) nihil maar is de kans op vals-negatieven (berichten die ten onrechte niet als spam zijn aangemerkt) groter dan bij de andere niveau's. Bij medium is het detectieniveau een stuk effectiever, terwijl de kans op vals-positieven nog steeds zeer gering is. Het niveau heavy is zeer effectief voor het detecteren van spam, maar de kans op vals-positieven is ook een stuk groter, met name wanneer u veel correspondeert in de engelse taal. Het is ook mogelijk om de spamblokkering geheel uit te zetten. InterNLnet raadt aan om de spamblokkering op Medium in te stellen.


Hoe kan ik zelf filteren op spam??

De inhoudelijke spamfilter van InterNLnet zal binnenkomende berichten sowieso kenmerken als deze door de filter in een van de spamcategorieen ingedeeld worden. Ook als u de spamblokkering bij InterNLnet geheel uit heeft gezet. Het systeem zal met behulp van extra zogenaamde headers in het bericht informatie meesturen die vervolgens door een extern systeem gebruikt kan worden om te filteren. De extra headers doe toegevoegd worden zijn:

X-Spam-Score:

De totale spamscore die het bericht heeft gehaald volgens de spamfilter.

X-SpamscanResult:

Waarde van het niveau waarop is gedetecteerd te weten light, medium of heavy. Wanneer deze header zich in een bericht bevindt, is er volgens het systeem dus sprake van spam. Het niveau wordt bepaald aan de hand van de totale spamscore. Light geldt voor een score van 7 en hoger, Medium voor een score van 5 tot 7 en Heavy voor score 3 tot 5.

X-Spam-Report:

Op basis van welke regels de totale spamscore tot stand is gekomen en de bijbehorende score voor elke regel afzonderlijk.

X-Spam-Level:

Weergave van de spamscore in asterisken (aantal asterisken is gelijk aan absolute waarden van de spamscore)

X-Priority: 5

Het veel gebruikte emailprogramma Outlook Express van Microsoft biedt maar beperkte mogelijkheden om op basis van X-headers berichten te filteren. De enige mogelijkheid in Outlook Express hiervoor is om te kijken of het bericht met een bepaalde urgentie is gemarkeerd. Vandaar dat InterNLnet in het geval van spamdetectie op het niveau van light of medium, ook de header X-Priority: 5 toevoegt. Voor Outlook Express betekent dit "Een bericht met lage prioriteit". Van berichten die reeds een X-priority header van 4 of hoger bevatten (dus door de afzender reeds gemarkeerd waren met "lage prioriteit"), zal deze header worden verwijderd indien het bericht niet wordt gezien als spam. Op deze wijze wordt voorkomen dat Outlook Express gebruikers email zouden filteren die door de spamdetectie software niet als spam was aangemerkt.


Hoe stel ik mijn emailprogramma in om spam te filteren?

Microsoft Outlook Express

Voor gebruikers van Microsoft Outlook Express is het niet mogelijk om te differentiren tussen de verschillende detectieniveau's. Voor gebruikers die in Outlook Express willen filteren geldt altijd het medium spamdetectie niveau.

  • Kies in het menu Extra voor Berichtregels en vervolgens voor E-mail.

  • Wanneer u nog geen berichtregels had ingesteld komt u automatisch in het scherm voor een nieuwe e-mailregel. Indien u reeds e-mailregels had ingesteld kiest u voor de knop Nieuw.

  • Kies bij het venster Selecteer de criteria voor de regel voor de optie "Als het bericht met een bepaalde urgentie is gemarkeerd".

  • Klik in het 3e venster op de link "bepaalde urgentie en" selecteer de optie Berichten met prioriteit Laag.
  • Klik op OK.

  • Kies in het 2e venster (Selecteer actie) voor de optie "Verplaatsen naar een bepaalde map"

  • Klik in het 3e venster op de link "een bepaalde map".

  • Selecteer de plaats waar u een nieuwe map wenst aan te maken. Klik op de knop Nieuw.

  • Vul als mapnaam SPAM in en klik op OK.

  • Klik nogmaals op OK.

  • Vul in het 4e venster als naam voor de regel spamdetectie in en klik op OK .

  • Klik nogmaals op OK.

    Alle mail die via het niveau light of medium gemarkeerd wordt als spam zal in het vervolg automatisch worden verplaatst naar de spamfolder die u zojuist heeft aangemaakt . Vergeet niet de folder van tijd tot tijd te controleren en te legen.

    Microsoft Outlook 2000

  • Kies in het menu Extra voor Wizard regels.

  • Klik op Nieuw.

  • Selecteer 'Beginnen met een lege regel'.
  • Kies voor het type 'Berichten controleren als deze aankomen'
  • Klik nu op Volgende.

  • Kies als voorwaarde welke u gecontroleerd wil hebben de optie 'met specifieke tekst in de berichtkop' en klik in het scherm eronder op 'specifieke tekst'.

  • De zin waarnaar gezocht moet worden in de berichtkop luidt:

    X-SpamscanResult: light

  • Vul dit in bij 'Geen een woord of zin op waarnaar u in de berichtkop wil zoeken' en klik op Toevoegen.

  • Klik op OK.

  • Klik vervolgens op Volgende

  • Voor de vraag wat u met het bericht wilt doen adviseert InterNLnet de optie 'Verplaats het bericht naar map'.
  • Vink deze optie aan en en klik in het scherm eronder op 'naam map'.

  • Kies een map waarnaar u de spam automatisch verplaatst wil hebben of klik op de knop Nieuw om een nieuwe map aan te maken met bijvoorbeeld de naam SPAM.

    Klik op OK en kies eventueel voor het aanmaken van een snelkoppeling.

  • Klik op OK

  • Klik vervolgens op Volgende.

  • Klik op Voltooien.

    Om te scannen op het niveau medium dient u dezelfde stappen als hierboven beschreven nogmaals te doorlopen door weer op Nieuw te klikken. De zin waarnaar gezocht moet worden in de berichtkop luidt in dit geval:

    X-SpamscanResult: medium

    Om te scannen op het niveau heavy dient u e.e.a. voor een derde maal te doorlopen. De zin waarnaar gezocht moet worden in de berichtkop luidt dan:

    X-SpamscanResult: heavy

    Wanneer u ook wenst te scannen op het niveau heavy raden wij u aan om een nog een aparte map aan te maken (bijvoorbeeld met de naam SPAM-heavy) die u vervolgens wat frequenter controleert op berichten die ten onrechte zijn gemarkeerd als spam.

    Klik op OK als u alle gewenste niveau's heeft ingesteld. Vergeet niet de spamfolder(s) van tijd tot tijd te controleren en te legen.

    Eudora 6.1

  • Kies in het menu Tools voor Filters.

  • Klik op New

  • Vink bij Match de optie Incoming aan.

  • Vul bij Header X-SpamscanResult: in.
  • Vul achter contains light in. Wijzig het daaronderstaande pull-down menu van ignore in or en vul bij het tweede headerveld wederom X-SpamscanResult: in.

  • Vul achter het contains-veld wat bij deze 2e header hoort de waarde medium in.

  • Wijzig het eerste action veld in Transfer To.

  • Klik op het rechter veld met In en verander dit in Junk.

  • Sluit het venster en klik op Ja wanneer u wordt gevraagd om het nieuwe filter te bewaren.

    Alle berichten die aangemerkt worden met een spamdetectie van light of medium komen nu automatisch in de Junk folder.