ESET Mail Security - Zu Hohe Spamquote

  • Hallo,

    ich bin auf der Suche nach Hilfe zur korrekten Einstellung des SPAMFilters in ESET Mail Security.

    Bei uns landen einfach zu viele Mails mit entsprechendem Prüfhinweis in den Spamordnern sodass ich eigentlich immer davon ausging das der Filter einfach zu scharf eingestellt ist.

    Folgende Einstellungen habe ich im System.

    Nachrichten behalten im Transport Agent.
    SpamScore ab dem die Nachricht als Spam gewertet wird: 90
    SpamScore ab dem die angenommen wird das eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist: 75 <- was muss hier rein, die Punktzahl für ordentlich Mails oder doch für Spam?
    SpamScore, ab dem die Nachricht als legitim gewertet wird: 60

    Als Warn-/Prüfhinweis lasse ich [ESET-SPAM] eintragen was auch bestens funktioniert.

    Generell verstehe ich die Punkteverteilung noch nicht ganz.
    Die Nachricht wird analysiert und es werden Punkte vergeben. Wenn nun 90 Punkte dann = Spam. Was ist aber bei der Legitimation, hier habe ich ja 60, wenn nun 60 Punkte Nachricht iO, aber was ist unter 60?
    Logischer wäre es doch 0-10 = Legitim / 10 - 40 = Wahrscheinlich / > 40 =Spam

    Oder habe ich es richtig verstanden, meine Idee aber nicht umgesetzt? Welche Werte habt ihr?

    Vielen Dank,
    Gruß, Tom

  • Hallo,

    die Darstellung ist tatsächlich nicht ganz eindeutig, wird sich aber mit der kommenden Version 4.5 der ESET Mail Security für Microsoft Exchange deutlich verbessern.

    Das Handbuch sagt dazu folgendes:

    Als SPAM gewertete Nachrichten: – Der Spam-Score der E-Mail ist mindestens so hoch wie der unter SpamScore, ab dem Nachricht als Spam gewertet wird festgelegte Wert

    Als vermutlich SPAM gewertete Nachrichten: – Der Spam-Score der E-Mail ist mindestens so hoch wie der unter Spam-Score, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist festgelegte Wert

    Als vermutlich KEIN SPAM gewertete Nachrichten: – Der Spam-Score der E-Mail ist niedriger als der unter SpamScore, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist festgelegte Wert

    Als KEIN SPAM gewertete Nachrichten: – Der Spam-Score der E-Mail ist niedriger als der unter Spam-Score, ab dem Nachricht als legitim gewertet wird festgelegte Wert

    Ich hoffe das hilft ein wenig fürs Verständnis, falls nicht, einfach wieder nachfragen! :)

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Hallo,

    vielen Dank für die Infos.

    Wann kommt denn die 4.5?

    Mit den Werteinstellungen hatte ich mir schon gedacht, aber leider funktioniert es dann nicht so ganz.
    Ich habe die Einstellungen 100/50/0 eingestellt, trotzdem landen noch viel zu viel als SPAM gekennzeichnet in den Ordnern.

    Gibt es hier Beispiele, der Standard 90/50/10 hatte ja gar nicht funktioniert und sogar einfache Rechnungen rausgefiltert. Schön wäre auch ein Beispiel für die SPAMScore Berechnung um das Verhalten besser verstehen zu können.

    Vielen Dank!
    Gruß, Tom

  • Hallo,

    eine Spamklassifizierung von 100 gibt es nur dann, wenn eine Mail/Absender/Kriterium usw. auf einer Blacklist steht. Im Normalfall dürften also E-Mails gar nicht bei der Einstellung 100 klassifiziert werden.
    Ich vermute eher, dass irgendein anderes Modul / anderer Scanner schon die Spamwerte vergibt und ESET dem "nur folgt".

    Das beste wäre, mir einen E-Mail-Header zukommen zu lassen, dass ich mal durchschaue, welche Informationen da enthalten sind. Sender und Empfänger bitte anonymisieren oder die Info als PN / per E-Mail an mich schicken!

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Hallo,

    danke für die PN - bitte folgendes probieren:
    Zuerst einmal im Programm unter "Tools > Log-Dateien" in die Spamlogs schauen und dort nach dem Grund der Spamklassifizierung schauen und evtl. mit posten.
    Zusätzlich dazu in den erweiterten Einstellungen das Verhalten des Spamcatchers auf "Maximale Präzision" umstellen.
    Das bewirkt u.a. folgende Konfigurationsänderungen automatisch:

    # turn on netchecks
    netcheck=yes
    netcheck_threshold=1:99
    # turn on more rbls
    rbl_list=bl.spamcop.net::60,sbl-xbl.spamhaus.org::50,list.dsbl.org::40,dnsbl.njabl.org::30
    rbl_threshold=50:90
    rbl_multihit=yes
    # use
    rbl_timeout=6
    rbl_max_ips=5
    # increase word entries
    max_word_entries=100000

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Hallo,

    hier die Eigenschaften des entsprechenden Logeintrages.

    Spam-Tricks: Verschleierung (38%)
    Absender wird als Spam-Versender eingeschätzt (37%)
    Charakteristische Spam-Begriffe: Medikamente (25%)

    IP-Adresse: 192.168.92.124
    HELO-Domain: localhost

    Auf die max. Präzision habe ich umgestellt.
    Danach habe ich die Mail an meinen priv. Account weitergeleitet und von dort wieder an das Postfach im Unternehmen. Jetzt ist die Mail zwar ohne SPAM Vermerk durchgegangen aber immer noch mit 87 Punkten gekennzeichnet. Text hier aus der Logdatei:

    Charakteristische Spam-Begriffe: Medikamente (63%)
    Spam-Tricks: Verschleierung (37%)

    IP-Adresse: 192.168.92.124
    HELO-Domain: localhost

    Testweise könnte ich die Mail mal zur Verfügung stellen wenn es hilft, denn Hinweise auf Medikamente finde ich da nicht.
    Irgendwie sollte der Scanner mal ein wenig die Augen zudrücken :grin:

    Auf jeden Fall vielen Dank für die Unterstützung.

    Gruß, Tom

  • Hallo,

    ich werde einmal ein Ticket direkt beim Support aufmachen mit der gesamten Kommunikation hier und an die E-Mail-Adresse schicken, die hier im Forum hinterlegt ist. Da sollten sich die Techniker direkt drum kümmern. Ok?

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!