Detection

Threat-Intelligence — externe Listen, lokal verarbeitet.

Phishing-Domains, Malware-URLs, Suspicious-TLDs und URL-Shortener werden gegen aktuelle Threat-Feeds geprüft. Wir holen die Listen per HTTP-Pull, der Match passiert lokal auf jedem Cluster-Node — kein Cloud-Lookup, keine URL-Telemetrie an Dritte.

Externe Feeds

Drei öffentliche Phishing-/Malware-Feeds werden stündlich aktualisiert. Jeder Feed wird einzeln verifiziert (Signatur/Prüfsumme wo verfügbar) und in eine lokale Domain-/URL-Liste pro Cluster-Node übernommen.

OpenPhish

Community-getriebene Phishing-URL-Datenbank. Aktive Phishing-Kits werden i.d.R. innerhalb von 30-90 Minuten nach Erstmeldung aufgenommen. Wir nutzen die Free-Feed-Variante (CSV, alle 60 Minuten).

URLhaus (abuse.ch)

Malware-URL-Tracker des Schweizer abuse.ch-Projekts. Spezialisiert auf URLs die Malware ausliefern (Loader, Banking-Trojaner, Ransomware-Stager). Stündliche Aktualisierung.

PhishTank

OpenDNS/Cisco Talos-Phishing-Datenbank mit Community-Verifikation. Einträge werden manuell gegengeprüft, dadurch False-Positive-Rate niedrig. Stündliche Aktualisierung.

URL-Shortener-Resolver

Phishing-Mails verstecken die Ziel-URL hinter URL-Shortenern, damit RBL- und Blacklist-Lookups ins Leere laufen. MailGuard folgt jeder Shortener-URL bis zur finalen Ziel-Adresse und prüft erst die aufgelöste URL gegen die Threat-Feeds. Aktuell unterstützt:

  • bit.ly
  • tinyurl.com
  • goo.gl
  • t.co (Twitter/X)
  • lnkd.in (LinkedIn)
  • buff.ly
  • ow.ly
  • is.gd
  • cutt.ly
  • shorturl.at
  • rebrand.ly
  • t.ly
  • v.gd
  • tiny.cc
  • bl.ink
  • rb.gy
  • shrtfly.com
  • shortlink.com
  • linktr.ee
  • fb.me
  • amzn.to
  • youtu.be
  • wp.me
  • flip.it
  • chil.li
  • spr.ly

Bei Redirect-Chains werden bis zu 5 Hops verfolgt. Jeder Hop wird zwischendurch gegen die Feeds geprüft — nicht nur die Endposition.

Self-Learning-Suspicious-TLDs

Statt eine fixe TLD-Blocklist zu pflegen (.zip, .top, .xyz usw.) lernt MailGuard pro Cluster, welche TLDs bei Ihrem Mail-Aufkommen überproportional in Spam/Phishing landen. Hysterese verhindert Over-Reaction:

  • Trigger: Eine TLD wird verdächtig, wenn >70 % der eingehenden Mails mit Sender- oder URL-Domain dieser TLD als Spam/Phishing klassifiziert werden (Mindestmenge: 50 Mails über 7 Tage).
  • Cooldown: Fällt die Spam-Quote unter 30 % zurück (legitimer Traffic baut Reputation auf), wird die TLD wieder neutral.
  • Score-Beitrag: Aktive Suspicious-TLDs erhöhen den Spam-Score um +1.5 — kein Hard-Block, sondern ein Faktor in der Gesamt-Bewertung.
  • Operator-Override: TLDs können per Whitelist/Blocklist permanent fixiert werden (z. B. .de fix neutral, .zip fix verdächtig).

DACH-Phishing-Keywords

Eigene Keyword-Liste für deutschsprachige Phishing-Wellen — Banking-Pretexte, Behörden-Mitteilungen, Logistik-Benachrichtigungen. Volle Beschreibung der DACH-Detection.

Was nicht passiert

  • Kein Lookup gegen Cloud-APIs. Wir fragen nicht VirusTotal, urlscan.io oder Google Safe Browsing pro Mail. Listen werden gepullt, der Match passiert lokal.
  • Keine URL-Telemetrie an Dritte. Wir melden URLs aus Ihren Mails nicht an externe Threat-Feeds zurück.
  • Keine Mail-Inhalte an externe Klassifikatoren. Spam-/Phishing-Bewertung passiert in Ihrem Cluster mit lokalen Modellen.

Threat-Intel ist eine Detection-Schicht von vielen — kombiniert mit RBL/URIBL, SPF/DKIM/DMARC, Header-Anomalie-Detection, Spamscanner-ML und Sandbox-Detonation. Vollständiger Detection-Stack.

Externe Feeds, lokale Verarbeitung.

Threat-Intel ohne Datenrückfluss an Dritte. DSGVO-konform per Architektur.

Preise ansehen