Detection

Anti-Spam — drei Klassifikatoren parallel.

Statistischer Klassifikator (klassisches Bayes-Verfahren), Neural-Modell (Deep-Learning-basiert) und Reputation-Bewertung (URL- und IP-Score) entscheiden gemeinsam. State wird im Cluster zwischen allen Knoten in Echtzeit synchronisiert — der Klassifikator lernt auf einem Knoten, alle anderen profitieren sofort.

Drei Klassifikatoren, ein Verdict

Statistisch

Klassisches Bayes-Verfahren, lernt aus Operator-Feedback (Spam-Markierung, Ham-Markierung). Pro Domain trainierbar — die Sprache des Mandanten beeinflusst die Worthäufigkeiten. Effektiv ab ~500 trainierten Mails pro Klasse.

Neural

Deep-Learning-Modell, vortrainiert auf großem Mail-Korpus. Erkennt Muster die statistisch nicht erkennbar sind — etwa „der Stil dieses Textes wirkt wie automatisch generiertes Marketing-Sprech". Nicht-trainierbar pro Mandant, dafür sofort wirksam ohne Anlern-Phase.

Reputation

URL- und IP-basierte Bewertung. Eine Domain die in den letzten 24 Stunden 1.000 Spam-Mails verschickt hat, kriegt einen schlechten Score. Operator-Whitelist überschreibt automatisch — ihre eigenen Geschäftspartner werden nie geblockt.

Jede Mail bekommt einen kombinierten Score (üblicherweise zwischen -10 und +20). Der Operator legt Schwellen pro Domain fest:

  • ≤ 6.0 Mail geht durch (Default-Schwelle, anpassbar)
  • 6.0 – 12.0 Soft-Flag: Header gesetzt (X-Spam-Score), Subject-Prefix optional
  • > 12.0 Quarantäne (Default-Schwelle, anpassbar)
  • > 18.0 Reject am SMTP-Level (5xx-Antwort, kein Quarantäne-Eintrag, Mail kommt nie an)

Cluster-State-Synchronisation

Spam-Statistiken, Reputation-Scores, Greylisting-Tracker und Ratelimit-Counter sind clusterweit synchron in einem verteilten In-Memory-Store. Bedeutung im Betrieb:

  • Der Klassifikator lernt auf Node-1 — Node-2 und Node-3 profitieren innerhalb Sekunden ohne separate Trainings-Pipeline
  • Eine IP die auf Node-1 wegen Volumen geratelimitet ist, wird auch auf Node-2/3 nicht durchgelassen — kein „Cluster-Hopping" durch Spammer möglich
  • Greylisting-Entscheidungen sind auf allen Knoten konsistent — die zweite Mail vom selben Sender innerhalb des Greylist-Fensters wird auf jedem Knoten akzeptiert

Greylisting + Ratelimit

Greylisting wirft auf den ersten Verbindungsversuch eine 4xx-Antwort zurück (temporary failure) — legitime Mailserver retryen nach wenigen Minuten, primitive Spam-Bots geben auf. Ratelimit wirkt pro Sender-IP, pro Sender-Domain und pro Empfänger-Adresse mit unabhängig konfigurierbaren Schwellen. Beides ist Standard-Mail-Hygiene, bei MailGuard mit clusterweiter Konsistenz.

DNSBL- und URIBL-Listen

Standardmäßig aktiv: Spamhaus ZEN, SURBL, ivmsip, ivmuri. Operator kann eigene Listen hinzufügen. Pro Domain im Standard-Plan einzeln aktivierbar — manche Mandanten haben besondere Anforderungen (false-positive-empfindliche Branchen).

Operator-Feedback-Schleife

Wenn ein Empfänger eine quarantäne Mail freigibt (über Digest oder Self-Service-Portal), wird der Klassifikator automatisch mit einem Ham-Sample trainiert. Wenn er eine durchgelassene Mail als Spam markiert (Move-to-Junk im IMAP, oder über Admin-UI), wird die als Spam-Sample trainiert. Der Klassifikator wird mit jedem Feedback genauer — ohne dass das Admin-Team manuell Trainings-Sets pflegen muss.

Drei Klassifikatoren, ein konsistenter Cluster.

Anti-Spam ist in jedem Tier inkludiert — auch im Free-Tier. Der Standard-Plan addiert Cluster-State-Sync, externe Threat-Feeds und DACH-Phishing-Keywords.

Preise ansehen