Spam Confidence Level - SCL

Microsoft nur bei ihren Bemühungen gegen Spam sowohl für den Einsatz im Outlook "Junk-Mail" Filter als auch bei der Serverlösung mit Intelligent Message Filter ein Verfahren um die Wahrscheinlichkeit von Spam zu ermitteln.

Microsoft bewertet Nachrichten mit einem mehr oder minder ausgeklügeltem Filter und errechnet daraus einen "Spam Confidence Level". Dieser numerische Wert zwischen -1 und 10 ist ein Maß, wie wahrscheinlich die Nachricht eine Spam-Nachricht ist.

  • SCL= „$null“
    Diese Mail wurde nicht durch IMF bewertet
  • SCL = -1
    Die Mail kam durch eine "authentifizierte Verbindung, d.h. die SMTP-Übertragung wurde mit Anmeldedaten bestätigt und ist kein "anonymer" Absender aus dem Internet. IMF sieht die Mail als "Trusted" an.
  • SCL = 0-9
    Wert der Spamwahrscheinlichkeit. Anhand welcher Regeln Exchange aber den SC vergibt ist niemandem bekannt. (außer wohl Microsoft).

Je höher der Wert, desto eher ist die Wahrscheinlichkeit. Dieser SCL-Wert kann dann von Exchange oder Outlook genutzt werden, um die Nachrichten zu blocken oder zu verschieben.

SCL in Outlook anzeigen

Um in Outlook den SCL als eigene Spalte in die Ansicht einzublenden, sind folgende Tätigkeiten erforderlich: (Siehe auch  http://weblogs.asp.net/exchange/archive/2004/05/26/142607.aspx bzw. http://blogs.msdn.com/exchange/archive/2004/05/26/142607.aspx

Die Anleitung funktioniert auch mi9t Outlook 2007 und Exchange 2007. Hier schreibt Exchange den SCL zusätzlich in den SMTP-Header, welcher einfach in Outlook oder Drittprogrammen angezeigt werden kann.

  1. Laden Sie sich die Datei sclform.cfg herunter und speichern Sie diese unter "C:\Programme\MicrosoftOffice\Office11\FORMS\1031", wo auch die IDO-Dateien liegen.
  2. Importieren Sie diese Datei in Outlook unter
    Extras - Optionen - Karteikarte: Weitere - erweiterte Optionen - Benutzerformulare - Karteikarte: Benutzerdefinierte Formulare - Formulare verwalten.
    Über den "Installieren" Button können sie die SCLFORM.CFG-Datei auswählen und in ihren persönlichen Formularspeicher importieren

    (Siehe SCL Extension Form)
    Bestätigen Sie nun alle Fenster rückwärts mit OK bis Sie wieder im Posteingang sind.
  3. Im Posteingang können Sie mit der rechten Maustaste auf die Tabellenüberschriften klicken und die Feldauswahl" auswählen.
    Wählen Sie im DropDown-Feld "Formulare".
    Im nächsten Fenster müssen Sie dann unter "Persönlichen Formulare" das "SCL Extension Form" auswählen und hinzufügen.

    Schließen Sie dieses Fenster. Sie sehen dann das SCL-Fenster

    Hier können Sie das Feld mit der Maus in ihre Tabellenüberschriften ziehen.

Am Ende sehen Sie in Outlook die SCL-Spalte:

Es ist gut zu erkennen, dass interne Mail mit einem "-1" geflaggt sind, d.h. gegen internen Spam kann IMF nicht schützen.

SCL in OWA anzeigen

Das SCL-Feld können Sich auch in OWA anzeigen lassen. Dazu müssen Sie erst wie bereits beschrieben in Outlook das Feld sichtbar machen. für den Einsatz unter OWA benötigen Sie eine neue Ansicht.

  1. Legen Sie in Outlook eine neue Ansicht an. Sie können dazu ihre bestehende Ansicht einfach kopieren.
  2. Setzen Sie diese Ansicht auf "sichtbar für jeder"
    Stellen Sie sicher, dass das SCL-Feld sichtbar ist, speichern Sie die Ansicht und wenden Sie an
  3. In OWA können Sie nun diese neue Ansicht ebenfalls aktivieren.

Mit diesen wenigen Schritten können Sie den SCL-Level jeder Nachricht anzeigen und so ein Gefühl dafür entwickeln, welche Einstellungen Sie für IMF nutzen sollten.

Über OWA2003 können Anwender sogar einen Spamreport anfordern, wenn dieser im OWAADMIN (Siehe Outlook Webzugriff 2003) aktiviert ist.

Erfahrungen mit SCL

Interessant ist, dass der Outlook 2003 Filter irgendwo bei SCL 5 die Nachrichten filtert. In meinem Junk-Mail Ordner sind nur Nachrichten mit einem SCL von 5 bis 9. Allerdings landen ab und an auch einige SCL 5 Nachrichten im Posteingang.

Auf der anderen Seite scheinen "interne" Quittungen, d.h. Nachrichten, die nicht von außerhalb gekommen sind, mit SCL -1 bewertet zu werden.

Interessant ist aber auch, dass es Nachrichten gibt, für die ich keinen SCL-Level erkennen kann. Ich konnte noch nicht erkennen, unter welchen umständen IMF bestimmte Nachrichten nicht prüft.

So musste ausgerechnet die Anmeldung zum MEDION-Newsletter darunter leiden. Obwohl SCL einen Wert von "0" ergeben hat, wurden die Mails in Junk-Mail einsortiert. Obwohl ich in Outlook sogar die Filterund abgeschaltet habe.

Das ist für mich ein etwas "rätselhaftes" Verhalten und zeigt deutlich die Risiken von "False Positives" (Siehe Behandlung).

SCL und Drittprodukte

Leider ist es f��r Drittprodukte von außen nicht einfach möglich, einen SCL vorzugeben. Das kann natürlich wünschenswert sein, wenn der Spamfilter nicht der Exchange Intelligent Message Filter ist, sondern ein anderes Produkt vor Exchange schon eine Bewertung der Mails vornimmt und diese Wertung im Betreff oder Header als X-Feld hinterlegt.

Die Mail wird dann über Exchange normal an den Exchange Server zugestellt und landet im Posteingang. Nun wäre es ja wünschenswert, dass auch diese Mails anhand der fremden Spambewertung z.B. gleich in Junk-E-Mail landen würden.

Leider ist genau dies nicht möglich, da der SCL_Wert nur per Outlook und OWA erreicht werden kann und die Information im Header (X-SCL) nur eine Kopie für die Fehlersuche darstellt. Sendet daher ein Spamfilter die Mail mit bereits gesetztem X-SCL, so hat dies keine Auswirkungen. Denkbar wäre natürlich, dass ein Transport Event Sink die Mail nach dem Empfang abfängt und nach der IMF-Logik den SCL-Wert setzt oder addiert, so dass der Store basierend auf dieser Information die Mail in den Junk-E-Mail Ordner verschieben kann. Ich kenne aber kein Produkt, welches dies aktuell schon macht.

Sie könnten auch selbst einen E200x Storesink schreiben oder ein Skript über Exchange Skripting ausführen lassen, um diese Mails auf dem Server zu verschieben.

Mit Exchange 2007 können Sie über eine Transportregel dafür sorgen, dass der SCL abhängig von bestimmten Inhalten im Betreff oder Headerzeilen gesetzt wird. Damit ist Exchange 2007 schon von Hause aus gut vorbereitet, um auch fremde Filterprodukte aktiv zu unterstützen.

Weitere Links