Spam Confidence Level - SCL
Microsoft nur bei ihren Bemühungen gegen Spam sowohl für den Einsatz im Outlook "Junk-Mail" Filter als auch bei der Serverlösung mit Intelligent Message Filter ein Verfahren um die Wahrscheinlichkeit von Spam zu ermitteln.
Microsoft bewertet Nachrichten mit einem mehr oder minder ausgeklügeltem Filter und errechnet daraus einen "Spam Confidence Level". Dieser numerische Wert zwischen -1 und 10 ist ein Maß, wie wahrscheinlich die Nachricht eine Spam-Nachricht ist.
- SCL= „$null“
Diese Mail wurde nicht durch IMF bewertet - SCL = -1
Die Mail kam durch eine "authentifizierte Verbindung, d.h. die SMTP-Übertragung wurde mit Anmeldedaten bestätigt und ist kein "anonymer" Absender aus dem Internet. IMF sieht die Mail als "Trusted" an. - SCL = 0-9
Wert der Spamwahrscheinlichkeit. Anhand welcher Regeln Exchange aber den SC vergibt ist niemandem bekannt. (außer wohl Microsoft).
Je höher der Wert, desto eher ist die Wahrscheinlichkeit. Dieser SCL-Wert kann dann von Exchange oder Outlook genutzt werden, um die Nachrichten zu blocken oder zu verschieben.
SCL in Outlook anzeigen
Um in Outlook den SCL als eigene Spalte in die Ansicht einzublenden, sind folgende Tätigkeiten erforderlich:
Die Anleitung funktioniert auch mit Outlook 2007 und Exchange 2007. Hier schreibt Exchange den SCL zusätzlich in den SMTP-Header, welcher einfach in Outlook oder Drittprogrammen angezeigt werden kann.
- Laden Sie sich die Datei sclform.cfg herunter und speichern Sie diese unter "C:\Programme\MicrosoftOffice\Office11\FORMS\1031", wo auch die IDO-Dateien liegen.
- Importieren Sie diese Datei in Outlook unter
Extras - Optionen - Karteikarte: Weitere - erweiterte Optionen - Benutzerformulare - Karteikarte: Benutzerdefinierte Formulare - Formulare verwalten.
Über den "Installieren" Button können sie die SCLFORM.CFG-Datei auswählen und in ihren persönlichen Formularspeicher importieren
(Siehe SCL Extension Form)
Bestätigen Sie nun alle Fenster rückwärts mit OK bis Sie wieder im Posteingang sind. - Im Posteingang können Sie mit der rechten Maustaste auf die
Tabellenüberschriften klicken und die Feldauswahl" auswählen.
Wählen Sie im DropDown-Feld "Formulare".
Im nächsten Fenster müssen Sie dann unter "Persönlichen Formulare" das "SCL Extension Form" auswählen und hinzufügen.
Schließen Sie dieses Fenster. Sie sehen dann das SCL-Fenster
Hier können Sie das Feld mit der Maus in ihre Tabellenüberschriften ziehen.
Am Ende sehen Sie in Outlook die SCL-Spalte:
Es ist gut zu erkennen, dass interne Mail mit einem "-1" geflaggt sind, d.h. gegen internen Spam kann IMF nicht schützen.
SCL in OWA anzeigen
Das SCL-Feld können Sich auch in OWA anzeigen lassen. Dazu müssen Sie erst wie bereits beschrieben in Outlook das Feld sichtbar machen. für den Einsatz unter OWA benötigen Sie eine neue Ansicht.
- Legen Sie in Outlook eine neue Ansicht an. Sie können dazu ihre bestehende Ansicht einfach kopieren.
- Setzen Sie diese Ansicht auf "sichtbar für jeder"
Stellen Sie sicher, dass das SCL-Feld sichtbar ist, speichern Sie die Ansicht und wenden Sie an - In OWA können Sie nun diese neue Ansicht ebenfalls aktivieren.
Mit diesen wenigen Schritten können Sie den SCL-Level jeder Nachricht anzeigen und so ein Gefühl dafür entwickeln, welche Einstellungen Sie für IMF nutzen sollten.
Über OWA2003 können Anwender sogar einen Spamreport anfordern, wenn dieser im OWAADMIN (Siehe Outlook Webzugriff 2003) aktiviert ist.
Erfahrungen mit SCL
Interessant ist, dass der Outlook 2003 Filter irgendwo bei SCL 5 die Nachrichten filtert. In meinem Junk-Mail Ordner sind nur Nachrichten mit einem SCL von 5 bis 9. Allerdings landen ab und an auch einige SCL 5 Nachrichten im Posteingang.
Auf der anderen Seite scheinen "interne" Quittungen, d.h. Nachrichten, die nicht von außerhalb gekommen sind, mit SCL -1 bewertet zu werden.
Interessant ist aber auch, dass es Nachrichten gibt, für die ich keinen SCL-Level erkennen kann. Ich konnte noch nicht erkennen, unter welchen umständen IMF bestimmte Nachrichten nicht prüft.
So musste ausgerechnet die Anmeldung zum MEDION-Newsletter darunter leiden. Obwohl SCL einen Wert von "0" ergeben hat, wurden die Mails in Junk-Mail einsortiert. Obwohl ich in Outlook sogar die Filter und abgeschaltet habe.
Das ist für mich ein etwas "rätselhaftes" Verhalten und zeigt deutlich die Risiken von "False Positives" (Siehe Behandlung).
SCL und Drittprodukte
Leider ist es für Drittprodukte von außen nicht einfach möglich, einen SCL vorzugeben. Das kann natürlich wünschenswert sein, wenn der Spamfilter nicht der Exchange Intelligent Message Filter ist, sondern ein anderes Produkt vor Exchange schon eine Bewertung der Mails vornimmt und diese Wertung im Betreff oder Header als X-Feld hinterlegt.
Die Mail wird dann über Exchange normal an den Exchange Server zugestellt und landet im Posteingang. Nun wäre es ja wünschenswert, dass auch diese Mails anhand der fremden Spambewertung z.B. gleich in Junk-E-Mail landen würden.
Leider ist genau dies nicht möglich, da der SCL-Wert nur per Outlook und OWA erreicht werden kann und die Information im Header (X-SCL) nur eine Kopie für die Fehlersuche darstellt. Sendet daher ein Spamfilter die Mail mit bereits gesetztem X-SCL, so hat dies keine Auswirkungen. Denkbar wäre natürlich, dass ein Transport Event Sink die Mail nach dem Empfang abfängt und nach der IMF-Logik den SCL-Wert setzt oder addiert, so dass der Store basierend auf dieser Information die Mail in den Junk-E-Mail Ordner verschieben kann. Ich kenne aber kein Produkt, welches dies aktuell schon macht.
Sie könnten auch selbst einen E200x Storesink schreiben oder ein Skript über Exchange Skripting ausführen lassen, um diese Mails auf dem Server zu verschieben.
- Beispielskript für den Event Service
http://blogs.technet.com/b/exchange/archive/2004/05/26/142607.aspx - Kommerziell: IVASOFT Spammover: Verschiebt Mails in Unterordner
http://www.ivasoft.biz/spammover2007.shtml
http://www.ivasoft.biz/spammover.shtml
Mit Exchange 2007 können Sie über eine Transportregel dafür sorgen, dass der SCL abhängig von bestimmten Inhalten im Betreff oder Headerzeilen gesetzt wird. Damit ist Exchange 2007 schon von Hause aus gut vorbereitet, um auch fremde Filterprodukte aktiv zu unterstützen.
Weitere Links
- MSXFAQ - Spam und UCE
- MSXFAQ - Microsoft Spamschutz
- Code: SCL-Skript
- Weitere Links zur Programmierung mit SCL und IMF
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_anti_spam_infrastructure.asp
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_spam_filter.asp
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_anti_spam.asp?frame=true
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_protocol_sink_template.asp - Tired of spam? Find out about the upcoming Exchange Server Intelligent
Message Filter
http://www.Microsoft.com/exchange/techinfo/security/imfoverview.asp - ShowSCL für MS Exchange 2003
http://www.ivasoft.biz/showscl.shtml
Eventsink SCL in Kategorie für Sortieren FREE
ShowSCL_PF für MS Exchange 2003
http://www.ivasoft.com/showsclpf.shtml
Gleiches für Public Folder - How to View Anti-Spam Stamps in Outlook 2007
http://technet.microsoft.com/en-us/library/bb124595.aspx
E2007 schreibt den SCL in den Message Header - http://cs.thefoleyhouse.co.uk/blogs/karl/archive/2007/04/06/how-to-display-scl-spam-confidence-level-in-outlook-2007.aspx
- SmartScreen Technologie
http://go.Microsoft.com/fwlink/?LinkId=25910 - Bereitstellungshandbuch für Microsoft Exchange Intelligent Message Filter http://go.Microsoft.com/fwlink/?LinkId=27922
- http://www.Microsoft.com/presspass/features/2003/nov03/11-17spamfilter.asp
- Protocol Sink Template
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_protocol_sink_template.asp
The protocol sink template supports three actions für messages assigned an SCL value higher than the Block Threshold:
- No Action. The message is stamped with an appropriate SCL rating and allowed into the organization.
- Reject. The message is not accepted and the connecting server is responsible für generating the non-delivery report (NDR).
- Delete. The message is accepted and subsequently deleted. There is no notification sent to the sender or recipient that the message has been deleted. - http://www.MSExchange.org/tutorials/Microsoft-Exchange-Intelligent-Message-Filter.html
- Erweiterungen für IMF
http://www.nemx.com/products/powertools/HowTo/ExchangeSCL.asp - IMF auf dem Exchange Blog
http://msgoodies.blogspot.com/2004/10/intelligent-messaging-filtering.html