iKu Systemhaus AG
SPONTS
Home | Kontakt / Impressum  * 
---

Analyse des SMTP-Zeitverhaltens

English version

E-Mails werden im Internet über das SMTP-Protokoll versendet. SPONTS analysiert das Zeitverhalten des Absendeservers und kann daran erkennen, ob es sich um einen legitimen Mailserver, um spezielle Spammer-Software oder um einen Virus mit eigener SMTP-Engine handelt. Die Erkennungsrate eines durchschnittlichen Postfaches beträgt hierbei etwa 50-60% bei Spam und 80-95% bei Viren.

Mail Verteilung
Diese Auswertung eines Mailservers zeigt die Anteile der Mail-Arten

Hierbei wird eine durch Timing-Analyse erkannte Mail nicht mehr durch die regulären Filter bearbeitet. Die X-Achse sind die Tage im September 2004. Der Mailserver ist Primary-Mailserver für etwa 15 Postfächer und Backup-Mailserver für etwa 200 Postfächer. Der Mailserver verarbeitet täglich im Schnitt etwa 1.400 E-Mails.

Fast keine False Positives

Seit Einführung der Technik Anfang 2004 sind bei uns und unseren Kunden nur 3 legitime Mailserver aufgetreten, deren Mails fälschlicherweise als Spam oder Virus erkannt worden sind. Bei allen dieser Mailserver konnte sehr schnell nachgewiesen werden, dass sie fehlerhaft und nicht RFC-konform implementiert waren, was der jeweilige Hersteller umgehend abstellte. Danach kam es zu keinerlei Problemen mehr.

Weniger Traffic

Zur Analyse sind die ersten wenigen SMTP-Kommandos

HELO/EHLO
MAIL FROM
RCPT TO
DATA

vollkommen ausreichend. Dies bedeutet, dass vor der Übertragung des Mail-Bodys feststeht, ob ein legitimer Mailserver versendet. Damit wird der Datenverkehr für Viren und Spam gespart.

Problemloses Whitelisting

Da der Mail-Envelope komplett übertragen wird, ist Whitelisting auf Basis von Absende-IP, Absender und Empfänger problemlos möglich.

Geringe Systemlast, sehr gute Skalierung

Die Analyse selbst benötigt fast keine Rechenleistung, so dass eine große Zahl von Mailverbindungen gleichzeitig getestet werden können. Die Last eines Mailservers wird durch Einsatz des Verfahrens üblicherweise um 60-80% gesenkt.

Langsame Verbindungen sind kein Problem

Die Zeitanalyse funktioniert problemlos mit langsamen Verbindungen, beispielsweise über Modem, Handy oder weit entfernten Ländern.

Lizensierung erwünscht

Spam ist ein Problem, das alle betrifft und iKu hilft mit, die Auswirkungen zu reduzieren. Das Verfahren zum Patent angemeldet und kann für die eigene Verwendung unabhängig von iKu Produkten lizensiert werden.