Um der Flut unerwünschter Werbe-Mails Herr zu werden, können im Mail-System des DEFENDO mehrere unterschiedliche Abwehr-Mechanismen aktiviert werden. Dies beginnt mit der optionalen Überprüfung ob die Absender-Domain einer E-Mail tatsächlich existiert. Werden eingehende E-Mails direkt per SMTP zugestellt, kann der Schutz vor SMTP-Slamming und das Greylisting zugeschaltet werden. Nicht nur ein Großteil des SPAM-Aufkommens lässt sich damit äußerst resourcenschonend abgefangen. Im selben Zuge werden auch viele Schädlinge abgewehrt ohne je den Virenscanner bemühen zu müssen. Selbst wenn DEFENDO eingehende Mails an einen internen Mail-Server im LAN weiterleitet, kann DEFENDO vorab verifizieren, ob der interne Mail-Server eine E-Mail des entsprechenden Absenders akzeptieren würde und - wichtiger noch - ob der Empfänger überhaupt existiert. Mit unsinnigen Unzustellbarkeits-Benachrichtigungen (SPAM-Bounces) überfüllte Mail-Server-Warteschlangen gehören damit der Vergangenheit an. E-Mails die all diese Barrieren überwunden haben müssen schließlich DEFENDO's SPAM-Filter passieren. Neben einer integrierten Regel-Datenbank zur Identifizierung von SPAM-Mails kann DEFENDO online diverse Echtzeit-Datenbanken abfragen.

Normalerweise beantwortet ein Mail-Server eine neue SMTP-Verbindung sofort mit einer Begrüßungsmeldung. Auf diese wartet der Zusteller und sendet dann seinerseits eine Begrüßung. SPAM- und Virenmails werden jedoch häufig über recht einfache Routinen verbreitet, die in kürzester Zeit soviele Mails wie möglich generieren sollen. Auf die Begrüßung durch den Server wird hier nicht gewartet. Vielmehr werden sofort nach Verbindungsaufbau alle notwendigen SMTP-Befehle abgesetzt. Dieses Verhalten macht sich die Anti-Slamming-Option des DEFENDO zu Nutze. Die Begrüßung wird einen kurzen Augenblick verzögert gesendet. Fängt der Client schon vorher an, Befehle zu senden, wird die Verbindung abgewiesen.

Das Konzept des Greylistings macht sich die Tatsache zu Nutze, dass die Versand-Routinen von SPAM-Mails nicht weiter reagieren, wenn bei der Zustellung einer SPAM-Mail ein Fehler auftritt. Ein ordentlicher Mail-Server würde nach einiger Zeit eine erneute Zustellung versuchen. Anders bei vielen Spammern: Bei der Masse von E-Mails könnte eine ordentliche Behandlung des Fehlers schnell die zur Verfügung stehende Infrastruktur überlasten oder schlicht zu lange in Anspruch nehmen. Ein erneuter Zustellversuch unterbleibt also und die SPAM-Mail ist abgewehrt. Ein ähnliches Verhalten zeigen Viren, die über eine eigene SMTP-Verbreitungsroutine verfügen. Auch hier fehlt typischerweise die Fehlerbehandlung so dass durch Greylisting derartige Schädlinge abgefangen werden.

Die Graue Liste ist prinzipbedingt nur dann wirksam, wenn DEFENDO unmittelbar mit dem Absender der unerwünschten E-Mail kommuniziert. Grundvoraussetzung ist somit, dass DEFENDO eingehende E-Mails direkt per SMTP empfängt. Werden E-Mails mit POP3 vom Provider abgeholt ist das Greylisting wirkungslos. Selbiges gilt für die SMTP-Zustellung über ein vorgeschaltetes Relay, beispielsweise dem des Providers.

Bemerkenswert ist, dass das Greylisting bereits in einem sehr frühen Stadium des E-Mail Transfers greift. Noch vor der Übermittlung der eigentlichen Nachricht wird die Verbindung schon wieder beendet. Die Internet-Anbindung wird also nicht unnötig belastet. Auch DEFENDO profitiert, da weder Virenscan noch SPAM-Filter zum Einsatz kommen müssen. Stimmen die Rahmenbedingungen, so ist Greylisting an Effizienz kaum zu überbieten.

Der SPAM-Filter des DEFENDO kann auf unterschiedliche Weise eingesetzt werden. Als Relay-SPAM-Filter werden alle eingehenden E-Mails unabhängig vom eigentlichen Empfänger analysiert. Dabei spielt es keine Rolle ob die E-Mails an einen internen Mail-Server im LAN weitergeleitet oder aber in ein Postfach auf dem DEFENDO zugestellt werden. Alternativ kann der SPAM-Filter benutzerbezogen je Postfach eingesetzt werden. Über die Administrations-Oberfläche des DEFENDO sind berechtigte Benutzer dann in der Lage, die Einstellungen des persönlichen SPAM-Filters anzupassen.

Die Analyse der E-Mails kann ausschließlich offline anhand einer Regel-Datenbank erfolgen. Sowohl nach bestimmten Stichwörtern als auch nach allgemeinen Merkmalen wie auffälliger Formatierung oder bestimmten Kopfzeilen wird dabei gesucht. Die Datenbank kann durch eigene Regeln ergänzt werden. Optimale Ergebnisse liefert der SPAM-Filter wenn zusätzlich die Online-Abfrage diverser Echtzeit-Datenbanken aktiviert wird. DEFENDO kann dabei verschieden Arten einbeziehen:

RBLs (Realtime Blackhole Lists)

Je nach Einstellung kontaktiert DEFENDO bis zu 9 verschiedene dieser Listen. Verzeichnet sind hier auffällige IP-Adressen, die bereits von SPAM-Versendern missbraucht wurden bzw. potentiell missbraucht werden könnten. Dazu gehören Adressen offener Proxies und Relay-Server, Adressen die durch SPAM-Fallen entdeckt wurden oder dynamische IP-Adressen von Wählzugängen. Durch die Online-Abfrage stehen dem SPAM-Filter all diese Informationen jederzeit aktuell für die SPAM-Bewertung zur Verfügung.

URIBLs (URI Blackhole Lists)

Während mit Hilfe der RBLs geprüft wird, ob eine E-Mail über verdächtige Server versendet wurde, betrachten URIBLs etwaige Links im Text der Mail. Die Listen verzeichnen Adressen für die in SPAM-Mails geworben wird.

Razor2 Netzwerk

Anders als bei den zuvor beschriebenen Blackhole Listen, wird beim Razor2-Verfahren geprüft, ob die E-Mail an sich bereits als SPAM bekannt ist. Die Razor2-Server stellen dazu eine Datenbank mit Prüfsummen von SPAM-Mails zur Verfügung. Zu jeder Prüfsumme ist ausserdem hinterlegt, wie zuverlässig die Quelle ist, die diese Prüfsumme gemeldet hat. Dem SPAM-Filter ist es dadurch möglich, das Resultat der Razor2-Prüfung mehr oder weniger stark zu gewichten.

Die Auswirkung von eventuellen Fehleinträgen bei den Echtzeit-Verfahren bleibt minimal, da der Eintrag in einer Liste für sich alleine grundsätzlich nicht ausreicht um eine E-Mail als SPAM zu klassifizieren.

Basierend auf den identifizierten Merkmalen sowie den Resultaten der Online-Abfragen wird die SPAM-Wahrscheinlichkeit jeder E-Mail durch einen Punktewert ausgedrückt. Mit konfigurierbaren Schwellwerten wird festgelegt, ab welcher Punktezahl eine E-Mail als potentielle SPAM-Mail markiert bzw. kommentarlos verworfen wird. Der globale Relay-SPAM-Filter erlaubt es zudem, potentiellen SPAM an eine definierte Adresse umzuleiten, so dass eine Art Quarantäne-Bereich entsteht.