Intelligent Message Filter

Lesen sie zum Thema Spam auch die Seiten Microsoft Spamschutz und Spam und UCE und IMF HowTo

IMF und NoSpamProxy
IMF ist eine einfach zu installierende und zu betreibende Filterlösung, die aber nur bedingt an individuelle Wünschen angepasst werden kann. Im Wesentlichen basiert die IMF-Funktion auf der Blockade von Verbindungen über entsprechend auszuwählende RBL-Listen, die Ablehnung ungültiger Empfänger und eine nicht weiter offen gelegte Mustererkennung, anhand der Mails klassifiziert und abgelehnt bzw. nach Junk-E-Mail verschoben werden. Mir reicht das nicht. (Siehe auch NoSpamProxy)

Howto zur Einrichtung auf Exchange 2007: E2K7 Antispam

Achtung:
IMF 2.0 ist Bestandteil von Exchange 2003 SP2. Ein gesonderter Download ist nicht mehr erforderlich. Wer IMF1.0 installiert hat, muss diese Software vor der Installation von SP2 über die Systemsteuerung entfernen.
Bilder zur Aktivierung finden Sie weiter unten.

Beachten Sie, dass Out of Office-Regeln ausgeführt werden, auch wenn IMF auf dem Postfachserver die Nachricht in den Junk-E-Mail Ordner verschiebt.

Das Thema Spam beschäftigt schon einige Jahre die Nutzer von E-Mail. Hier kann auch Microsoft nicht untätig bleiben und rüstet Exchange mit einigen Funktionen nach. Microsoft nutzt dazu drei Techniken:'

IMF Lizenz und Download

Anfangs war von Microsoft vorgesehen, dass IMF nur von Firmen genutzt werden darf, die einen Vertrag mit "Software Assurance" angeschlossen haben. Dies ist nicht mehr der Fall. IMF steht allen Exchange 2003 Kunden "kostenlos" zur Verfügung.

Bitte lesen sie auch unbedingt das Handbuch zum Produkt. Die folgende Information ist nur ein kurzer Einstieg

IMF Deinstallation

Wenn Sie IMF jedoch wieder deinstallieren wollen, dann sollten sehr genau wissen, welcher Benutzer IMF installiert hat. Denn nur wenn dieser Benutzer angemeldet ist, sehen Sie in den Einstellungen unter Software auch die Deinstallationsroutine.

Sollte das nicht gehen, dann könnte ihnen der folgende BLOG-Eintrag weiterhelfen

Die Schritte zur manuellen Deinstallation von IMF 1.0

  1. Alle Exchange Dienste Stoppen
    Die betrifft nicht nur den Informationsspeicher, sondern auch SMTP und sonstige Antivirenprodukte., die sich in Exchange einbinden
  2. Ordner C:\Programme\Exchsrvr\bin\MSCFV1 umbenennen
    Hier wurden die IMF V1-Dateien abgelegt. Löschen Sie den Ordner erst später, wenn die manuelle Deinstallation von IMF1 und die Installation von Exchange 2003 SP2 erfolgreich war.
  3. Umbenennen von ContentFilter.dll file in \Exchsrvr\bin\
    Damit wird verhindert, dass beim nächsten starte diese alte DLL wieder verwendet wird. Auch diese DLL sollten Sie nicht sofort löschen.
  4. Regedit: Export von HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange
    Als Sicherung sollten die diesen Zweig als REG-Datei exportieren
  5. Regedit: Löschen von HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\ControlFilterVersion
    Diesen Teilbaum sollten Sie entfernen
  6. Server neu starten und Service Pack installieren
    Nach dem Neustart sollen Sie Exchange 2003 SP2 problemlos installieren können.

IMF im Einsatz

Der IMF Filter analysiert die eingehenden Nachrichten anhand einiger von Microsoft aufgestellten Regeln. Die Regeln sind angeblich identisch zu den Clientregeln von Outlook 2003. Diese Regeldatenbank muss immer mal wieder aktualisiert werden.

Dazu nimmt er aber auf jeden Fall die Nachrichten erst an. Es ist nicht notwendig auf ALLEN Servern die IMF-Filter zu installieren. Es ist ausreichend, wenn eine eingehende Nachricht bei einem Exchange Server geprüft wird. Bei größeren Installationen ist es natürlich sinnvoll, dass eine Mail sehr früh analysiert wird. Nach der Analyse wird eine Wahrscheinlichkeit für Spam der Mail in einem verborgenen Feld hinzugefügt.

IMF 1.0 Konfiguration

An globaler Stelle werden die entsprechenden Schwellwerte eingestellt, ab wann eine Mal als Spam erkannt wird.

Die Funktion der Erkennung muss auf jedem virtuellen Server explizit erst aktiviert werden.

Ab dem Moment profitieren alle Nutzer von einer serverbasierten Verschiebung von Werbemails in den Junk-Mail Ordner. Also auch bei Nutzung von OMA, OWA oder ActiveSync. Allerdings ist auch das Problem denkbar, dass erwünschte Nachrichten ungesehen in "Junk-Mail" landen. Besonders wenn Sie viele Werbemails erhalten und gefiltert werden, wird das Problem schwerwiegender.

Den Erfolg der Installation und die Aktivieren können Sie im Eventlog kontrollieren:

Weitere Events im Umfeld des IMF sind.

Quelle

EventID

Beschreibung

MSIInstaller

1005

Der Windows Installer hat einen Neustart des Systems initiiert, um die Konfiguration von "Intelligenter Nachrichtenfilter von Microsoft Exchange" fortzusetzen bzw. abzuschließen.

MSIInstaller

11707

Produkt: Intelligenter Nachrichtenfilter von Microsoft Exchange
Die Installation wurde erfolgreich abgeschlossen.

MSIInstaller

1005

Der Windows Installer hat einen Neustart des Systems initiiert, um die Konfiguration von "Intelligenter Nachrichtenfilter von Microsoft Exchange" fortzusetzen bzw. abzuschließen.

IMF 2.0 Aktivierung

Seit Exchange 2003 SP2 wird IMF 2.0 automatisch mit installiert. Aber auch IMF 2.0 ist per Default erst einmal deaktiviert. Es muss auch erst aktiviert werden. Dazu müssen Sie zuerst die Eigenschaften des virtuellen SMTP-Servers bearbeiten.

Unter den erweiterten Einstellungen sehen Sie nicht nur die zugewiesenen IP-Adressen, sondern auch, ob Filter aktiviert sind. Bei ihnen dürfte da noch ein "Nein" stehen.

Über den Punkt "Bearbeiten" können Sie dann die gewünschten Filter aktivieren

Über diesen Weg wird nicht nur IMF 2.0 aktiviert, sondern auch die anderen Filter (RBL, Empfängerfilter etc.) müssen hier aktiviert werden. Wenn Sie mehrere virtuelle SMTP-Server haben, dann müssen Sie diese Einstellung je Instanz durchführen.

Mit IMF2 können Sie sogar über eine XML-Datei eigene Wortlisten etc. erhalten kann. Details finden sich in den SP2 Release Notes unter http://download.Microsoft.com/download/F/B/5/FB5C54AF-FE5C-48E9-BE97-F9E8207325AB/DE_Ex_2003_SP2_RelNotes.htm

Allerdings steht in den Release Notes zum Service Pack 2 auch:

"Microsoft Exchange Intelligent Message Filter Exchange Server 2003 SP2 erstellt während des Updates von Exchange Server 2003 oder Exchange Server 2003 SP1 den Registrierungsschlüssel mit dem Namen ContentFilter unter HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange nicht, wenn Intelligent Message Filter, Version 1, zuvor nicht installiert wurde. Um eine erweiterte Funktionalität zu ermöglichen (z. B. ändern des Archivverzeichnisses), müssen daher der Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter manuell erstellt und der SMTP-Dienst erneut gestartet werden."
http://download.Microsoft.com/download/F/B/5/FB5C54AF-FE5C-48E9-BE97-F9E8207325AB/DE_Ex_2003_SP2_RelNotes.htm

Sie sehen also, es ist immer eine gute Idee, zumindest die Release Notes zu lesen und nicht einfach ein Setup zu starten.

IMF Internals

Anhand diese Felds "X-SCL" entscheidet später der Postfachserver, ob die Mail im Posteingang oder im Junkmail landet.

Exchange 2003 Anti-Spam Architecture
Quelle: http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_anti_spam_infrastructure.asp

Ein Server mit installiertem IMF prüft die Existenz dieses Headers ab. Ist er vorhanden.

Allerdings sollten Sie wissen, dass die IMF-Logik nur greift, wenn die Einlieferung per SMTP über nicht authentifizierte Verbindung erfolgt. Wenn sich ein Absender über SMTP anmeldet oder die Mail von einem Exchange Server zum anderen Server innerhalb der Organisation über Connectoren übertragen wird, dann erfolgt keine erneute IMF-Bewertung.

Statt dessen wird der SCL-Level von einem Server zum anderen als Bestandteil der "xexch50"-Blob übertragen. Sobald Sie also zwischen zwei Exchange Servern ein Relay schalten, dann wird der SCL-Level nicht übertragen und das Empfängersystem wird erneut eine SCL-Ermittlung starten, sofern die Übertragung anonym erfolgt.

Damit wissen Sie nun aber auch, wie sie z.B. eine 100%tige Zustellung von Systemdiensten und anderen internen SMTP-Sendern erreichen können: Die Absender müssen sich bei Exchange 2000/2003 einfach nur per SMTP authentifizieren. Alle Nachrichten von authentifizierten Absendern erhalten den SCL -1 und werden daher nie als Spam behandelt. Leider gibt es noch viel zu viele Systeme, die zwar per SMTP eine Mail versenden können aber eine Anmeldung nicht unterstützen. Dann bleibt ihnen nur einen weiteren Mailserver ohne IMF zu konfigurieren oder ein Relay zur Authentifizierung einzusetzen.

IMF und Filter der Absenderdomain

Man kann seit Exchange 2003 mit IMF eine Liste der Domänen pflegen von der man keine Mail annehmen will. für mich ist es verwunderlich, welchen Schutz dies bieten soll, da ich die Absenderadresse und die Domain sehr einfach fälschen kann (Fälschung) Aber wenn Sie viele Einträge pflegen wollen, dann ist eine manuelle Pflege in der GUI natürlich nicht effektiv. Sie müssen aber nur wissen, wo die Daten gespeichert sind.

Die Daten stehen in der Konfigurationspartition im Active Directory.

Feld: msExchTurfListNames
Object: CN=Default Message Filter, CN=Message Delivery, CN=Global Settings, CN=<orgname>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=deindomain,DC=tld

Über eine LDIF-Datei kann ich die Liste der Domäne einfach importieren. Hier eine Beispiel LDF-Datei zum Anpassen:

dn: CN=Default Message Filter,CN=Message Delivery,CN=Global Settings,CN=<orgname>,
  CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=msxfaq,DC=local
changetype: modify
replace: msExchTurfListNames
msExchTurfListNames: spammer@spamdomain2.de
msExchTurfListNames: *@spammer.de

Der Import erfolgt dann über die Kommandozeile

LDIFDE -i -f dateiname

IMF Custom Weight Feature mit MSExchange.UCEContentFilter.xml

Auch wenn die Anpassung von IMF selten erforderlich ist, so kann es doch mal passieren, dass man bestimmte Domains "Allowlisten" möchte, auch wenn ich das für keine Gute Idee halte, da Spammer "besondere" Domains natürlich auch missbrauchen. Wenn Sie also unbedingt die Mails von eBay erhalten wollen, dann ist das ein wenig geeigneter Weg.

Es beginnt damit, das Sie eine Datei "MSExchange.UCEContentFilter.xml" anlegen und dort die Werte entsprechend eintragen

<?xml version="1.0" encoding="UTF-16"?>
<CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">
     <CustomWeightEntry Type="BOTH" Change="1" Text="MSXFAQ Newsletter"/>
     <CustomWeightEntry Type="BODY" Change="-2" Text="Net at Work"/>
     <CustomWeightEntry Type="BODY" Change="-7" Text="Frank Carius"/>
     <CustomWeightEntry Type="SUBJECT" Change="MIN" Text="Backupbericht"/>
     <CustomWeightEntry Type="SUBJECT" Change="MAX" Text="SPAM"/>
</CustomWeightEntries>

Beachten Sie, dass Sie diese XML-Datei mit Notepad bearbeiten können aber unbedingt als UNICODE im Zielverzeichnis: "C:\ProgrammeFiles\Exchsrvr\bin\MSCFV2\6.5.7942.0" abspeichern müssen.

Als zweiten Schritt müssen Sie noch die DLL auf dem Server registrieren

regsvr32 MSExchange.UCEContentFilter.dll

Damit wird nun jede Mail auch gegen diese Parameter geprüft und der SCL entsprechend dem XML-Wert entsprechend geändert. Wenn man dies dann mit einer "Move to Junk-Mail"-Einstellung kombiniert, sollte es ihnen auch möglich sein, Mails mit "SPAM"-Tags von vorgelagerten Gateways direkt in den Junk-E-Mail Ordner abzulegen.

Diese Funktion gibt es erst seit Exchange 2003 SP2. Im Readme zum SP2 finden Sie weitere Hinweise zur Konfiguration der XML-Datei

"Junk E-mail Rule"

Eine Schlüsselkomponenten bei der Verarbeitung von Junk E-mails auf dem Exchange Server sind die Regeln im Postfach. Wenn Sie mit MFCMAPI mal etwas genauer im Posteingang die verborgenen Nachrichten anzeigen lassen, dann finden Sie auch eine "Junk E-mail Rule". Diese Junk-E-Mail Regel wird durch Outlook 2003/2007 oder OWA beim ersten Zugriff des Benutzers erstellt und enthält auch die Konfiguration des Clients.

Junk E-mail Rule im Postfach

Ist diese Regel nicht vorhanden, dann wird auf diesem Postfach auch nicht die Serverlogik aktiv, um Nachrichten schon auf dem Server in den Ordner "Junk E-Mail" zu verschieben. Ohne diese Regel wird dann maximal der Outlook Client mit seinem Clientfilter die Nachrichten erkennen und verschieben. Manchmal ist diese Regel korrupt. Dann kann ein Löschen mit MFCMAPI dies korrigieren. Leider ist der Aufbau der Regel nicht bekannt und sie kann auch nicht in Outlook selbst direkt bearbeitet werden. Allerdings werden wohl hier auch Einstellungen zu Safe Sender etc. hinterlegt.

Leider legt Outlook 2003 im online Mode diese Regel nicht automatisch an, sondern erst wenn der Benutzer über die Optionen an den Spamschutzeinstellungen etwas ändert. Über OWA muss man ebenfalls in den Optionen den Spamschutz erst aktivieren. Outlook 2003 im Cached Mode setzt die Regel alleine. Alle älteren Outlooks wissen nicht, wie man die Regel setzt. Vielleicht erklärt dies, warum in einigen Postfächern der Exchange Store keine Junk-E-Mails selbst sofort verschiebt.

IMF und SafeSender

Als Anwender von Outlook können Sie auch Absender als "Safe" kennzeichnen. Outlook speichert diese Safe-Sender-Liste im Postfach mit ab. Ein Prozess, der  auf dem Exchange 2007 Server manuell zu starten ist, sammelt diese Daten ein und publiziert diese im Active Directory. Hier ein Auzug

dn: CN=Carius\, Frank,OU=Technik,OU=Abteilung,DC=netatwork,DC=de
msExchSafeRecipientsHash:: CQzfHyoji9eQ9M/b
msExchSafeSendersHash:: 
 vPYDAMDNDwAH1hoA/o9FAN91TADpLk0AlfdeAE4aXwBpXn4ApPODAKMcpwCRk7sAf3nQAFEN+QBeaA
 kBBkwYAdFrHwF9CyMBpA9bAePOZQHIn4oBO92XAaXKvgHELsIBV+3JAUMS1AH+KvcBeI4IAkfCHgJJ
 aE4CH2yQAnltqAIV0qoCbCKwAoy/vAJmx8ECbgPXAkiv/QKo7RQDIzUuA7AGewP9MpMD3LmeAy....

Diese Daten können dann über den Edge-Sync-Prozess zum Edge-Server übertragen werden, so dass er bestimmte Empfänger "white-listed."

IMF und Windows Update

Eine wesentliche Komponente von IMF ist die Datenbank mit den Mustern zur Erkennung der Werbenachrichten, die natürlich immer mal aktualisiert werden muss. Das kann Exchange selbst machen bzw. der Windows Update Dienst direkt von Microsoft oder über den WSUS-Server. Wenn Sie aber mit dem Internet Explorer auf die Windows Update Webseite gehen, dann finden Sie erst mal keine Update für IMF. Aber auch hierfür gibt es einen Trick:

Auf der Seite http://www.Microsoft.com/technet/prodtechnol/exchange/2003/articles/watercooler.mspx steht, wie Sie diese Anzeige auch aktivieren. Sie müssen dazu einfach einen Registrierungsschlüssel setzen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange]
"ContentFilterState"=dword:00000001

Alternativ hier eine REG-Datei, die Sie beim Download mit der Endung. ".REG" speichern und durch einen Doppelklick importieren können:

imf-wu.reg

Wenn Sie dann das nächste mal auf dem Exchange Server auf Windowsupdate surfen, dann finden Sie unter dem Produkt "Exchange Server" die aktuellen Exchange IMF Updates, sofern es welche zu installieren gibt.


(Vielen Dank an Heinrich Haskamp für den Tipp und das Bild)

Auch im Exchange Team-Blog gibt es Tools für das Update

IMF und interne Sender

Mit der Kenntnis um die interne Funktion von IMF, bzw. dass nur anonyme Verbindungen per SMTP "bewertet" werden, wissen Sie nun auch, wie Sie z.B. ihren Faxserver per SMTP anbinden, damit dessen Nachrichten nicht als Spam erkannt und vielleicht abgelehnt werden. Dazu gibt es folgende Optionen

  • SMTP Authentifizierung
    Der Faxserver wird so konfiguriert, dass eingehende Faxe per SMTP mit Anmeldung an Exchange übermittelt werden (Siehe SMTP authentifiziert senden)
  • Eigener virtueller SMTP-Server ohne IMF
    Kann der Absender kein SMTPAUTH, dann kann alternativ ein z.B. ein weiterer virtueller SMTP-Server eingerichtet werden, auf dem IMF nicht aktiviert wird. Damit nun dieser Server natürlich nicht jedem zur Verfügung steht, sollte hier z.B.: über IP-Beschränkungen nur die Erreichbarkeit für erlaubte Absendersysteme sichergestellt werden

Über diese Möglichkeiten können Sie auch interne "vertraute" Systeme eine ungestörte Übermittlung von Nachrichten an Exchange erlauben, ohne IMF komplett zu deaktivieren.

IMF und POP3Connector

Wenn ihr Exchange Server die Mails nicht direkt empfängt, sondern ein POP3-Sammelkonto ihr Posteingang ist, dann sollten Sie sich genau den POP3-Helfer anschauen, der die Nachrichten vom Providerpostfach abholt und an ihren Exchange Server versendet. Hier gibt es zwei Fallstricke:

  • IMF Ablehnung bei SMTP-Eingang
    Die meisten POP3-Sammelprogramme senden die Nachrichten dann per SMTP an ihren Exchange Server. Sie dürfen nicht die Funktion des Ablehnens (Reject) von IMF nutzen, da Sie die Mail ja bereits vollständig empfangen haben. Würde nun IMF die Mail ablehnen, dann versuchen es die meisten POP3-Sammler einfach eine erneute Zustellung oder verwerfen die Mail. (Sie ist also dann einfach gelöscht). Ich kenne keinen POP3-Sammler, der eine unzustellbarkeit an den Absender generiert.
  • CDO statt SMTP
    Der POP3 Connector des Small Business Service (SBS) stellt die Nachrichten nicht per SMTP an ihren Exchange Server zu, sondern über CDO und damit der "End of Data" Event sink von SMTP nicht greift, welcher IMF nutzt. Solche Mails werden als überhaupt nicht durch IMF auf dem Server verarbeitet.

Vielleicht sollten Sie sich neben all en anderen Problemen von POP3 Sammelkonten (POP3 Probleme) einen alternativen Weg der Anbindung suchen.

IMF und Performance Monitor

Die Funktion des IMF lässt sich auch mit Perfmon überwachen. Allerdings muss dabei beachtet werden, dass nach der Installation die entsprechenden Counter noch nicht vorhanden sind. Damit IMF die gewünschten Performance Counter anlegt, muss IMF erst auf dem virtuellen SMTP-Server aktiviert werden undeine Mail über SMTP empfangen worden sein.

IMF legt erst dann die Counter an und protokolliert dazu im Eventlog die Meldung

Ereignistyp: Informationen
Ereignisquelle: LoadPerf
Ereigniskategorie: Keine
Ereigniskennung: 1000
Die Leistungsindikatoren für den Dienst MSExchangeUCF (MSExchangeUCF) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Erst dann können Sie mit Perfmon die Statistik anschauen.

Sie sehen die absolute Anzahl an Mails sortiert nach dem SCL-Wert zwischen 0 und 9. Diese Grafik sieht je nach ihrer "Spamrate" natürlich unterschiedlich aus. Hier mal drei Beispiele:

 Eine Firma mit sehr wenig Spam oder einem davor geschalteten Spamfilter, so dass bei IMF nicht mehr so viel ankommt.

Allerdings könnte solche ein Bild auch erscheinen, wenn die IMF-Erkennung nicht mehr effektiv die Mails klassifizieren kann oder ihr System überwiegend interne Mails von vertrauenswürdigen Systemen bekommt.

Das durchschnittliche Bild für die Spam Thematik heute. In den meisten Fällen halten sich gute Mails und Spams von Volumen Her die Waage bzw. der gute Anteil überwiegt.

Eine durch Spam sehr stark belastete Firma. Deutlich ist das Missverhältnis zwischen wenig als 0-4 klassifizierten Nachrichten und sehr vielen als 8 und schlechter eingestuften Nachrichten zu sehen.

Wobei diese Bild sich wunderbar für die Bestimmung eines SCL-Werts für IMF herziehen lässt. Es ist gut zu sehen, dass ein SCL-Wert von 6,5 oder 4 nicht wirklich mehr Spam Mails blockiert aber das Risiko einer falsch klassifizierten Mail natürlich stark zunimmt. In diesem Fall wäre vermutlich ein SCL von 7 ein passabler Wert, wenn Sie die Mail ablehen können oder 8, wenn Sie das False Positive Risiko aufgrund dem Einsatz der Quarantäne "Junk-E-Mail" minimieren müssen.

Allerdings kann der Performance Monitor nur die Werte nur so anzeigen, wie dieser Sie auch erkannt hat. Wird eine Mail durch SmartScreen nicht als Spam erkannt, dann hat die einen zu guten Wert.

Erfahrungen mit IMF

Nun kann man Microsoft entweder blind vertrauen oder man möchte IMF installieren, aber in den ersten Tagen erst mal nur "zuschauen". Da stellt sich die Frage, wie der SCL-Wert angezeigt werden kann. Outlook bietet hierzu erst einmal keine Möglichkeit, aber dank Paul Bowden gibt es auch hier Abhilfe. So können Sie den SCL der Nachrichten selbst ansehen und später dann die Kriterien einstellen, ab welcher Stufe ihr IMF diese Nachrichten blockieren oder nach Junk-Mail schieben soll.

IMF Add-ons

Aufgrund der Einschränkungen von IMF gibt es natürlich Dritthersteller, die teils kostenfrei, teils als kommerzielle Erweiterung Funktionen ergänzt haben.

Offene Fragen

So schön die Funktion des IMF aussieht, so bleiben einige Fragen offen bzw. einige Optionen sind nicht verfügbar:

  • Mangelnde Transparenz
    Es ist nicht ersichtlich, nach welchen Kriterien und Regeln der Filter eine Spam-Nachricht erkennt. Angeblich "lernt" er sogar selbst. Wo steht diese Datenbank und was kann der Administrator tun, wenn eine Mail irrtümlich geblockt wird ?
  • Update
    An keiner Stelle ist ersichtlich, wie die Regeldatenbank aktualisiert wird. Anders als bei Virenscannern gibt es keinen Weg, immer wieder neue "Patterns" zu laden.
  • Globale Einstellung
    Es ist anscheinend nicht möglich, die Einstellungen der Schwelle oder der Analyse feiner zu steuern. Die gesamte Organisation wird über einen Kamm geschoren.  Es ist nicht möglich, Pro Benutzer, Gruppe, Speichergruppe, Server, Empfängerrichtlinie oder anderen Kriterien eine Auswahl zu treffen. Damit wird diese
  • Keine Clientsteuerung
    Die Anwender selbst haben keine Chance, eigene Einstellungen vorzunehmen. Nicht mal eine eigene Allowlist ist möglich.
  • False Positive
    Viele Nutzer werden es als bequem befinden, dass angebliche Spams direkt in Junk-Mail landen. Nur ist der Filter von Hause aus auf Stufe 8 relativ "schwach" eingestellt. Aber selbst hierbei hatten wir schon am ersten Tag einige wichtige Mails in den Junk-Mail Order verschoben. Aber selbst in der schwachen Stellung kommen sehr viele Junkmails weiterhin durch. Der Junkmail-Filter in Outlook ist daher ebenfalls notwendig.
  • Neue Techniken
    Anscheinend nutzt IMF weder die eigenen Techniken wie MARID, SPF/CallerID noch neue Filter (Unscharfe Prüfsummen, DCC etc.). Ein Contentscanner oder Bayes-Ffilter wird auf Dauer nicht bestehen können, da die Wege zum Austricksen schon beschrieben sind und auch genutzt werden.

Ich denke IMF ist eine nette Funktion und die API und Bereitstellung eines Standards ist hilfreich für andere Firmen, die flexiblere und leistungsfähigere Systeme entwickeln können. So könnten andere Produkte ebenfalls den X-SCL-Header setzen und damit die Funktion des Store nutzen, solche Nachrichten in Junk-Mail abzulegen. Die Zukunft wird zeigen, wie leistungsfähig die nächsten Filter von Microsoft sind.

Weitere Links