Zweiter Spam Filter

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
slechelmayr
Posts: 7
Joined: 2005-09-20 10:53
Location: Loehne bei Bielefeld

Zweiter Spam Filter

Post by slechelmayr » 2006-02-13 11:37

Hi,

wir betreiben hier in der Firma einen Mail Server fuer Kunden, natuerlich mit Spam Filter. Jetzt ist es geplant, einen zweiten Spamfilter einzurichten um besser abfangen zu koennen.
Ich wollte die Filter quasi in Reihe schalten, sprich Mail Server nummer 1 mit Spam Filter nummer 1 reicht die (durchgelasseben) Mails weiter an Mail Server nummer 2 mit Spam Filter nummer 2 (bis auf den zweiten Spamfilter wird das bereits so gehandhabt).
Mein Chef moechte nun aber gern, dass beide Filter auf Mail Server nummer 1 laufen.
Meine Frage: Macht es Sinn, zwei Spam Filter auf einem Server zu betreiben? Und wie wuerde man das ueberhaupt anstellen?

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: Zweiter Spam Filter

Post by felixs » 2006-02-13 13:29

Hallo,
SLechelmayr wrote:Meine Frage: Macht es Sinn, zwei Spam Filter auf einem Server zu betreiben? Und wie wuerde man das ueberhaupt anstellen?
Prinzipiell kannst du beliebig viele Spamfilter auf einem einzigen Server betreiben. Die genaue Konfiguration hängt von deinem Umfeld ab (benutzt du MailScanner oder amavisd-new, direkte Integration im MTA?).

Mir stellt sich allerdings die Frage, warum ihr zwei Filter parallel installieren wollt? Erkennt der erste nicht genug?

Prinzipiell empfiehlt es sich aus meiner Sicht derzeit, nur einen Scanner zu nehmen, der dafür aber möglichst gut sein soll. Andernfalls wirst du sehr wahrscheinlich eine deutlich schlechtere Erkennungsleistung bekommen (je nach Verknüpfungsregel mehr false positives oder false negatives).

Für meine Zwecke ist derzeit DSPAM der beste verfügbare Open-Source-Spamfilter mit hervorragenden Erkennungsraten. Je nachdem, was euch konkret an eurem derzeitigen System stört, würde ich euch raten, doch DSPAM einmal zu evaluieren. Eventuell ist dann ein zweiter Scanner überflüssig.

fs

slechelmayr
Posts: 7
Joined: 2005-09-20 10:53
Location: Loehne bei Bielefeld

Re: Zweiter Spam Filter

Post by slechelmayr » 2006-02-15 09:59

Hi,
felixs wrote:Prinzipiell kannst du beliebig viele Spamfilter auf einem einzigen Server betreiben. Die genaue Konfiguration hängt von deinem Umfeld ab (benutzt du MailScanner oder amavisd-new, direkte Integration im MTA?).
Gute Frage, werd ich rausfinden.
felixs wrote:Mir stellt sich allerdings die Frage, warum ihr zwei Filter parallel installieren wollt? Erkennt der erste nicht genug?
Richtig. Ich hatte auch zuerst vorgeschlagen die Konfig. des Scanners zu ueberarbeiten..aber mein chef moechte gerne einen zweiten.. ersetzen ist erstmal keine Option, da der aktuelle Scanner (WebWasher) auch als Proxy und Content Filter dient (auch fuer unsere Kunden..)
felixs wrote:Prinzipiell empfiehlt es sich aus meiner Sicht derzeit, nur einen Scanner zu nehmen, der dafür aber möglichst gut sein soll. Andernfalls wirst du sehr wahrscheinlich eine deutlich schlechtere Erkennungsleistung bekommen (je nach Verknüpfungsregel mehr false positives oder false negatives).
Hmm.. verstehe ich irgendwie nicht.. Ich haette angenommen, wenn beispielsweise eine Spam Mail durch den ersten Scanner durchkommt (-> false negative - richtig?) besteht doch die chance, dass diese vom zweiten scanner noch abgefangen wird. Es sollte doch eigentlich nur bei fehlerhafter Konfiguration dazu kommen, dass es mehr false positives/negatives gibt, oder?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Zweiter Spam Filter

Post by captaincrunch » 2006-02-15 12:29

Was bitte hat WebWasher mit Spam zu tun?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

perlitz
Posts: 202
Joined: 2003-11-01 12:25

Re: Zweiter Spam Filter

Post by perlitz » 2006-02-15 14:13

@Captain
erstaunte mich auch, bis ich mal hier lesen durfte, das die och nen SpamFilter Modul haben ;)

@SLechelmayr
wir nutzen Spamassassin und NiX Spam (IX -> procmail) und sind recht zufrieden ;)
Wobei es immer false positives/negatives gibt (geben wird). Bei guter config sollten es wenig sein, aber einige sinds immer. :roll:

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: Zweiter Spam Filter

Post by felixs » 2006-02-15 15:22

SLechelmayr wrote:
felixs wrote:Mir stellt sich allerdings die Frage, warum ihr zwei Filter parallel installieren wollt? Erkennt der erste nicht genug?
Richtig. Ich hatte auch zuerst vorgeschlagen die Konfig. des Scanners zu ueberarbeiten..aber mein chef moechte gerne einen zweiten.. ersetzen ist erstmal keine Option, da der aktuelle Scanner (WebWasher) auch als Proxy und Content Filter dient (auch fuer unsere Kunden..)
In diesem Fall könnte es sich u.U. lohnen, nur den WebWasher Spamfilter zu deaktivieren - zumindest für alle Empfänger, die noch einen anderen Filter bekommen.
SLechelmayr wrote:
felixs wrote:Prinzipiell empfiehlt es sich aus meiner Sicht derzeit, nur einen Scanner zu nehmen, der dafür aber möglichst gut sein soll. Andernfalls wirst du sehr wahrscheinlich eine deutlich schlechtere Erkennungsleistung bekommen (je nach Verknüpfungsregel mehr false positives oder false negatives).
Hmm.. verstehe ich irgendwie nicht.. Ich haette angenommen, wenn beispielsweise eine Spam Mail durch den ersten Scanner durchkommt (-> false negative - richtig?) besteht doch die chance, dass diese vom zweiten scanner noch abgefangen wird. Es sollte doch eigentlich nur bei fehlerhafter Konfiguration dazu kommen, dass es mehr false positives/negatives gibt, oder?
Angenommen du hast zwei Filter A und B. Was Filter A als Spam erkennt, wird in die Quarantäne gesteckt, Filter B bekommt alles, was A als HAM erkannt hat und filtert ebenfalls noch einmal.

Angenommen, 50% deines Mailaufkommens besteht aus Spam.

Angenommen, Filter A erkennt 95% des Spams richtig, veursacht aber 0,5% false positives. Filter B erkennt 99,9% des Spams und hat eine fp-Rate von 0,1%.

Dann steigt deine fp-Rate von 0,5% (nur Filter A) auf 0,6% beim Gesamtsystem. Bei 10000 Mails sind das unter den getroffenen Annahmen 5 false positives mehr...

Hättest du dagegen nur den effektiveren Filter B eingesetzt, läge deine false positive Rate bei 0,1% (= 5 false positives überhaupt) bei nur 5 Spammails mehr (gegenüber Filter A+B), die durchkommen.

Ich hoffe ich, habe mich jetzt nicht verrechnet. Damit das ganze nachvollziehbar ist, habe ich mein calc-Sheet mal online gestellt: http://www.felix-schwarz.name/files/mis ... vitaet.ods

Dort kannst du auch die diversen Parameter ändern und mal schauen, wie sich das auswirkt.

fs