Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Spam-Abwehr : Der Junk-Filter in Microsoft Outlook 2019 : BSI-Forum

Unabhängig von der konkreten Analyse von Outlook ist zu beobachten, dass die von Herstellern gewählten Standardeinstellungen für ihre Produkte nicht immer den erforderlichen IT-Sicherheitsanforderungen entsprechen.

Lesezeit 9 Min.

Mit dem Junk-Filter in Outlook 2019 werden Einstellungsmöglichkeiten zur Verfügung gestellt, die wesentlich die Filter-Güte bestimmen. Eine BSI-Analyse untersuchte die Funktionalitäten des Junk-Filters und deren Auswirkungen.

Nach wie vor sind maliziöse E-Mails einer der Hauptangriffsvektoren für Cyberkriminelle, sowohl gegen einzelne Bürgerinnen und Bürger als auch gegen Unternehmen und Regierungsbehörden. Derzeit ist Emotet eines der am massivsten per E-Mail verbreiteten Schadprogramme. Eine ganze Produktpalette von vielen Anbietern existiert, um ungewollt zugesandte E-Mails zu filtern. Und selbst der häufig auf dem Betriebssystem Windows genutzte E-Mail-Client Outlook bringt einen eigenen Spam-Filter mit.

Unabhängig von der konkreten Analyse von Outlook ist zu beobachten, dass die von Herstellern gewählten  Standardeinstellungen für ihre Produkte nicht immer den erforderlichen IT-Sicherheitsanforderungen entsprechen. Zumeist liegt das daran, dass Software-Hersteller nicht immer im selben Land wie die Nutzer ihren Hauptsitz haben und dementsprechend andere Perspektiven auf bestimmte Arten von Informationen und Konfigurationen haben. Dies betrifft häufig Einstellungen zum Datenschutz, da es hier grundlegende Unterschiede zwischen der EU und den USA gibt. Daher ist die individuelle Konfiguration von Software sowohl im privaten als auch im beruflichen Umfeld eine wichtige Aufgabe.

Je nach Software kann es viele Konfigurationsmöglichkeiten geben, die zu betrachten und sowohl funktional als auch mit dem IT-Sicherheitsbedürfnis in Einklang zu bringen sind. Erschwert wird die Aufgabe besonders dann, wenn bestimmte Konfigurationsoptionen für eine derartige Abschätzung nicht ausreichend dokumentiert sind. Dann wird eine aufwendige Analyse notwendig, um zu bewerten, ob die Konfiguration einer Software dem Schutzniveau entsprechend ausreicht oder weitere Maßnahmen notwendig sind.

BSI-Analyse

Das BSI hat eine solche Analyse für den Junk-Filter von Outlook 2019 durchgeführt: Die Analyse umfasst eine detaillierte Untersuchung der internen Arbeitsprinzipien des Outlook-Junk-Filters. Die Analyseergebnisse basieren auf Microsoft Outlook 2019 MSO, Version 16.0.11929.20370, 64-Bit.Der Outlook-Junk-Filter ist ein Modul der Outlook-Hauptanwendung. Der Filter analysiert jede eingehende E-Mail und klassifiziert die E-Mail als Spam- oder legitime E-Mail. Die Art und Weise, wie der Junk-Filter E-Mails klassifiziert, kann vom Benutzer konfiguriert werden. Der Junk-Filter von Outlook 2019 bietet die folgenden vier Einstellungsmöglichkeiten bzw. Schutzniveaus [1]:

  • keine automatische Filterung
  • nur sichere Absender und Empfänger
  • niedrig
  • hoch

Diese Einstellungsmöglichkeiten werden im Folgenden beschrieben und bewertet. Dabei werden die Begriffe Junk und Spam synonym behandelt [2].

Schutzniveau „Keine automatische Filterung“

In dieser Einstellung klassifiziert Outlook eingehende E-Mails nur dann als Spam, wenn die E-Mail-Adresse, die Domain einschließlich der Top-Level-Domain (TLD, z. B. example.com) oder nur die TLD (z. B. us) des Absenders von Benutzern in der sogenannten „Liste der blockierten Absender“ blockiert wird [3]. Alle anderen E-Mails werden nicht als Spam klassifiziert. Outlook bewertet den Wert des Felds „From“ im E-Mail-Header.

 

Diese Funktion entspricht demnach einem Blacklisting-Ansatz und einer manuellen Festlegung des Nutzers, wann E-Mails als Junk markiert werden sollen. Sämtliche automatischen Entscheidungsfunktionen von Outlook sind deaktiviert.

Schutzniveau „Nur sichere Absender und Empfänger“

In dieser Einstellung klassifiziert Outlook alle eingehenden E-Mails als Spam, mit Ausnahme von E-Mails, die von einer E-Mail-Adresse oder einer Domain gesendet werden, die von Benutzern in der sogenannten Liste der sicheren Absender zugelassen wurde (Outlook bewertet dann den Wert des Felds „From“ im E-Mail-Header), und die an eine E-Mail-Adresse oder eine Domain gesendet werden, die von Benutzern in der sogenannten Liste sicherer Empfänger zugelassen wurde (Outlook bewertet den Wert des Felds „To“ im E-Mail-Header.).

Hierbei handelt es sich um den Whitelisting-Ansatz und ebenso eine rein manuelle Festlegung des Nutzers, wann E-Mails nicht als Junk klassifiziert sind. Die automatischen Entscheidungsfunktionen von Outlook sind deaktiviert.

Schutzniveaus „niedrig“ und „hoch“

Diese Konfigurationsoptionen aktivieren die automatische, schwellenwertbasierte Klassifizierung von E-Mails als Spam oder legitime E-Mail. Jede eingehende E-Mail wird vom Outlook-Junk-Filter verarbeitet, der der E-Mail eine Ganzzahlstufe zuweist. Diese Stufe wird als Spam-Confidence-Level (SCL) bezeichnet und liegt zwischen 0 und 9. Wenn der SCL einer E-Mail höher als der Schwellenwert 3 (aktiv, wenn die Schutzniveau „hoch“ konfiguriert ist) beziehungsweise 6 (aktiv, wenn das Schutzniveau „niedrig“ konfiguriert ist) ist, klassifiziert Outlook die E-Mail als Spam.

Der SCL basiert auf einem normalisierten Wert der Summe der einzelnen Gewichte (dezimale Werte, als Spam-Gewichte bezeichnet), die der Outlook-Junk-Filter bestimmten Eigenschaften einer E-Mail zuweist. Diese Eigenschaften geben an, ob es sich bei der E-Mail um Spam handelt oder nicht – sie werden im Folgenden als Spam-Eigenschaften bezeichnet.

Beispielhafte Spam-Eigenschaften sind Wörter im E-Mail-Betreff oder Text: Wenn einige dieser Wörter eindeutig auf Spam-Nachrichten hinweisen, wie zum Beispiel „money“ oder „cash“ (auf Englisch), weist ihnen der Outlook-Junk-Filter ein höheres Spam-Gewicht zu (vgl. Kasten). Je höher das einer Spam-Eigenschaft zugewiesene Spam-Gewicht ist, desto größer ist der SCL und die Wahrscheinlichkeit, dass es sich bei der E-Mail um Spam handelt. Die Bewertung der Spam-Eigenschaften wird im Kontext von Entitäten implementiert, die als Filterregeln bezeichnet werden.

Filterregeln

Der Outlook-Junk-Filter implementiert über 30 Filterregeln. In Bezug auf die von ihnen bewerteten Spam-Eigenschaften, das heißt die von ihnen bewerteten Aspekte von E-Mails, können die meisten Filterregeln in die folgenden Kategorien eingeteilt werden:

Inhalt

Diese Filterregeln bewerten den Inhalt von E-Mails. Das umfasst die Analyse des E-Mail-Betreffs, des E-Mail-Texts und der im E-Mail-Text oder -Betreff platzierten Uniform-Resource-Identifiers (URIs). Beispiele für analysierte E-Mail-Eigenschaften sind:

  • bestimmte Wörter im E-Mail-Text oder E-Mail-Betreff (siehe Beispiel im Kasten – Wörter werden mit
    vordefinierten Zeichenfolgen verglichen)
  • die Domain und die TLD des Absenders, die im Feld „From“ des E-Mail-Headers angegeben sind (die Domain und die TLD werden dabei mit vordefinierten Zeichenfolgen verglichen)
  • die Frage, ob das Verhältnis zwischen der Anzahl der nicht-alphanumerischen Zeichen im E-Mail-Betreff (ohne Leerzeichen) und der Anzahl aller Zeichen im E-Mail-Betreff (ohne Leerzeichen) größer als 0,08 ist
  • die Frage, ob der URI das At-Zeichen (@) enthält

Zeit

Diese Filterregeln bewerten zeitliche Aspekte von E-Mails. Beispiele für analysierte E-Mail-Eigenschaften sind:

  • der Wochentag, an dem der Ziel-E-Mail-Server die E-Mail empfangen hat
  • die Stunde, zu der der Ziel-E-Mail-Server die E-Mail empfangen hat.

Anhänge

Diese Filterregeln bewerten E-Mail-Anhänge. Beispiele für analysierte E-Mail-Eigenschaften sind:

  • ob die E-Mail einen oder mehrere Anhänge enthält
  • die Anzahl der E-Mail-Anhänge

E-Mail-Header

Diese Filterregeln bewerten E-Mail-Header. Ein Beispiel für eine analysierte Spam-Eigenschaft ist, ob der E-Mail-Header einen der möglichen Werte des Felds „SenderID status“ enthält: Pass, Neutral, Soft Fail, Fail, None, TempError, PermError, oder NotAttempted [4]. Dieses Feld wird zur Erkennung gefälschter E-Mail-Adressen von Absendern verwendet und wird vom Microsoft Exchange Server erstellt und/oder in den E-Mail-Header eingefügt.

Fazit

Der Blacklisting- oder Whitelisting-Ansatz, also die Schutzniveaus „keine automatische Filterung“ beziehungsweise „nur sichere Absender und Empfänger“, sind heutzutage im privaten oder beruflichen Umfeld praktisch nur dann nützlich, wenn die E-Mail-Adressen und/oder die Domains, die Spam-E-Mails verteilen, im Voraus bekannt sind. In der Regel wird Spam nicht immer von derselben E-Mail-Adresse versendet beziehungsweise sind vorher nicht alle E-Mail-Adressen und/oder Domains zur Kommunikation bekannt.

Generell ist die Qualität der Erkennungsleistung bei einem Spam-Filter besonders von der implementierten Filterlogik abhängig. Ein wesentlicher Teil der Filterregeln, die aktiv sind, wenn das Schutzniveau „niedrig“ oder „hoch“ konfiguriert ist, vergleicht Zeichenfolgen im E-Mail-Text, im E-Mail-Betreff oder im E-Mail-Header mit vordefinierten Zeichenfolgen. Dies schränkt die Qualität und Wirksamkeit des Outlook-Junk-Filters in erheblichem Maße auf den Umfang und die Kontextqualität dieser Zeichenfolgen ein. Für eine Bewertung durch den Nutzer sind die vordefinierten Zeichenfolgen jedoch nicht transparent, sodass die Frage, ob und welche Filterregeln ergänzend sinnvoll sind, durch ihn nicht entschieden werden kann. Ebenso implementiert die Outlook-Anwendung keinen lernenden Algorithmus, der sich mit der Zeit an den E-Mail-Verkehr und das, was der Nutzer selbst als Junk bewertet, anpasst.

Wenn eine Spam-Welle wie Emotet veröffentlicht wird, kann der Nutzer nicht herausfinden, ob ein Schutz durch die Filterlogiken des verwendeten Spam-Filters besteht. Nutzer müssen in jedem Fall behutsam im Umgang mit allen eingehenden E-Mails sein und im Zweifel bei fehlender Dokumentation immer von keiner vorhandenen Schutzmaßnahme durch den Spam-Filter ausgehen. Der Outlook-Junk-Filter ist beispielsweise gegen die konkrete Spam-Kampagne von Emotet nicht gewappnet. Dabei enthalten Emotet-E-Mails Merkmale, die in einen Spam-Filter einfließen könnten.

Die Dokumentationen von Sicherheitsmechanismen nicht zu veröffentlichen ist bei proprietären Produkten gängige Praxis und kann den positiven Effekt mit sich bringen, dass Angreifern das Finden und anschließende Ausnutzen von potenziellen Umgehungsmöglichkeiten (zeitlich) erschwert wird.

Insgesamt gibt es Hinweise in offiziellen Verlautbarungen, dass die kontinuierliche Entwicklung des Outlook-Junk-Filters für Microsoft keine Priorität hat [5]. Daher wird sich die Wirksamkeit des Outlook-Junk-Filters im Laufe der Zeit verschlechtern.

Beispiel für Spam-Eigenschaften und Spam-Gewichte

Ein klassisches Beispiel für die Erkennungsleistung von Spam-Filtern ist, nach auffälligen Wörter im Betreff und Text der E-Mail zu suchen. Hierfür werden alle Zeichen in das Unicode-Transformation-Format (UTF)-16 konvertiert und Großbuchstaben in Kleinbuchstaben umgewandelt. Ein Wort ist definiert als eine alphanumerische Zeichenfolge mit einem nachgestellten Leerzeichen oder einer nachgestellten nicht-alphanumerischen Zeichenfolge (falls nicht am Ende des E-Mail-Textes platziert) – zum Beispiel „test123“, „test“.

Wenn die E-Mail im Hypertext-Markup-Language-(HTML)- oder Rich-Text-Format vorliegt, wird der HTML- oder Rich-Text-Code als Teil des E-Mail-Texts betrachtet. Leere oder nichtexistierende HTML-Tags in Wörtern (z. B. mo<i></i>ney [money], ea<adsag>sy [easy]) werden identifiziert und die „richtigen“ Wörter bewertet – dies ist ein Schutz gegen Verschleierung. Die Position jedes Worts (im E-Mail-Betreff oder im E-Mail-Text) wird berücksichtigt, das heißt: Dem gleichen Wort, das sowohl im E-Mail-Betreff als auch im E-Mail-Text platziert ist, kann ein anderes Spam-Gewicht zugewiesen werden.

Für die folgende E-Mail im Simple-Mail-Transfer-Protocol-(SMTP)-Format werden die Spam-Eigenschaften der Wörter „test“, „t123“, „!“, „a“, „#$>.“ und „betreff“ für die Berechnung des SCL berücksichtigt:
[…]
DATA
Subject: BEtreff
TEst t123 !a #$>.
.
Das der Spam-Eigenschaft zugewiesene Spam-Gewicht hängt vom Inhalt der Spam-Eigenschaft ab. Nachfolgend sind einige Spam-Eigenschaften und ihre Spam-Gewichte aufgeführt:
Spam-Eigenschaft Spam-Gewicht
easy 7,82880306244
money (im Text) 15,7369937897
money (im Betreff) 19,0767459869
free 3,2750556469
dear -9,88620567322
greetings 9,83236503601

Literatur

[1] Microsoft, Ändern des Schutzgrads im Junk-E-Mail-Filter, Support-Webseite, https://support.microsoft.com/de-de/office/%C3%A4ndern-des-schutzgrads-im-junk-e-mail-filter-e89c12d8-9d61-4320-8c57-d982c8d52f6b

[2] Microsoft, What’s the difference between junk email and bulk email in EOP?, Microsoft 365-Dokumentation, September 2020, https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/what-s-the-difference-between-junk-email-and-bulk-email?view=o365-worldwide

[3] Microsoft, Junk-E-Mail-Filter (Übersicht), Support-Webseite, https://support.office.com/de-de/article/junk-e-mail-filter-%C3%BCbersicht-5ae3ea8e-cf41-4fa0-b02a-3b96e21de089

[4] Microsoft, Sender ID, Microsoft 365-Dokumentation, Juli 2020, https://docs.microsoft.com/de-de/exchange/antispam-and-antimalware/antispam-protection/sender-id?view=exchserver-2019

[5] Microsoft Exchange-Team, Deprecating support for SmartScreen in Outlook and Exchange, Techcommunity-Announcement, Januar 2016, https://techcommunity.microsoft.com/t5/exchange-team-blog/deprecating-support-for-smartscreen-in-outlook-and-exchange/ba-p/605332

Impressum

Redaktion:
Nora Basting (verantwortlich)
E-Mail: nora.basting@bsi.bund.de
Sonja Rutow
E-Mail: sonja.rutow@bsi.bund.de
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat Öffentlichkeitsarbeit
Postfach 20 03 63
53133 Bonn

Hausanschrift:
Godesberger Allee 185–189
53175 Bonn

Telefon: +49 228 999582-0
Telefax: +49 228 999582-5455

Web: www.bsi.bund.de
www.bsi-fuer-buerger.de

Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> – Die Zeitschrift für Informations-Sicherheit

Die Beiträge der einzelnen Autoren spiegeln deren persönliche Meinung wider, die nicht unbedingt der Position des BSI entsprechen muss.

29. Jahrgang 2021

Diesen Beitrag teilen: