Bayes-Training¶
Das Bayes-Training verbessert die Erkennungsrate von rspamd, indem es aus bekannten Mails lernt. Die Training-Seite zeigt alle archivierten und in Quarantäne befindlichen Mails gemeinsam — Trainings-Aktionen sind direkt inline möglich.
Statistiken¶
Oben auf der Seite werden aktuelle Korpus-Zahlen angezeigt:
| Metrik | Beschreibung |
|---|---|
| Bayes Ham | Anzahl als Ham trainierter Nachrichten im Bayes-Corpus |
| Bayes Spam | Anzahl als Spam trainierter Nachrichten im Bayes-Corpus |
| Neural Spam-Samples | Trainingsdatensätze für das neurale Netz (Spam) |
| Neural Ham-Samples | Trainingsdatensätze für das neurale Netz (Ham) |
| Gescannt | Gesamtzahl aller verarbeiteten Nachrichten |
| Gelernt | Summe aller Bayes-Trainingsaktionen |
Das neurale Netz trainiert erst ab 1.000 Samples pro Klasse (rspamd-Standardverhalten).
Bayes-Klassen¶
nmg unterstützt 6 Bayes-Klassen (nicht nur Spam/Ham):
| Klasse | Beschreibung | Verwendung |
|---|---|---|
spam |
Unerwünschte Werbemail | Standard-Spam-Training |
ham |
Legitime Mail | Standard-Ham-Training |
phishing |
Phishing-Versuch | Spezifisches Phishing-Muster trainieren |
bec |
Business Email Compromise | CEO-Fraud, gezielte Impersonation |
newsletter |
Massenmail/Newsletter | Legitime Bulk-Mail korrekt klassifizieren |
transactional |
Transaktionsmails | Bestellbestätigungen, Systemmails |
Für spam und ham stehen Quick-Buttons direkt in der Zeile bereit. Die übrigen 4 Klassen werden über das Dropdown-Menü (⋮) in der Aktionsspalte trainiert.
Suche¶
Über das Suchfeld oberhalb der Tabelle kann der Mail-Korpus per Volltextsuche nach Absender, Empfänger oder Betreff gefiltert werden. Die Suche durchsucht alle Einträge der Tabelle und aktualisiert die Ansicht sofort. Reguläre Ausdrücke werden nicht unterstützt — der Suchbegriff wird als Substring geprüft.
Mail-Korpus¶
Die Tabelle zeigt alle Mails, die für das Training verfügbar sind — in einer gemeinsamen Liste:
- Archivierte Mails (
source: delivered) — Mails aus dem BCC-Archiv - Quarantäne-Mails (
source: hold) — Mails in der Postfix-Hold-Queue
| Spalte | Beschreibung |
|---|---|
| Zeit | Empfangszeitpunkt |
| Von | Absender (maskiert je nach Rolle) |
| An | Empfänger (maskiert je nach Rolle) |
| Betreff | Betreff (maskiert je nach Rolle) |
| Score | rspamd-Score bei der Zustellung |
| Bayes-Status | manualSpam / manualHam / autoSpam / autoHam / notLearned |
| Trainiert von | Admin-Account, der das Training ausgelöst hat |
| Node | Cluster-Node, auf der die Mail liegt |
Aktionen pro Mail¶
- Ham / Spam (Quick-Buttons) — direkt als Ham oder Spam trainieren
- Weitere Klassen (Dropdown) — phishing, bec, newsletter, transactional
- Unlearn — Training dieser Mail rückgängig machen
- Vorschau — Mail-Body und Header anzeigen
- EML herunterladen — Raw-Datei herunterladen
Massentraining¶
Mehrere Zeilen auswählen und über Als Spam trainieren oder Als Ham trainieren in einem Schritt trainieren. Fehler in einzelnen Zeilen unterbrechen nicht das Massentraining — sie werden separat gemeldet.
Datenschutz (DSGVO)¶
Absender, Empfänger und Betreff werden je nach Benutzerrolle maskiert angezeigt:
| Rolle | Anzeige |
|---|---|
admin_full / admin |
Immer im Klartext |
training_operator |
Maskiert — Demaskierung per Demaskieren-Button möglich (erzeugt Audit-Eintrag) |
| andere | Immer maskiert, kein Demaskieren |
Autolearn¶
Wenn in der Mail-Konfiguration → Autolearn konfiguriert, trainiert nmg automatisch: - Mails mit hohem Score als Spam - Mails mit niedrigem Score als Ham
Spam-Bursts¶
Unter Spam-Bursts werden Häufungen gleichartiger Spam-Mails in kurzen Zeitfenstern erkannt.
Burst-Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Zeitraum | Beginn und Ende des Burst-Fensters |
| Anzahl | Anzahl gleichartiger Mails |
| Absender (Distinct) | Anzahl unterschiedlicher Absender-Adressen |
| Absender-Domain | Häufigste Absender-Domain |
| Beispiel-Betreff | Typische Betreffzeile des Bursts |
| Beispiel-Empfänger | Erste betroffene Empfänger |
| Score-Schnitt | Durchschnittlicher rspamd-Score |
| Aktiv | Ob der Burst noch aktiv geblockt wird |
| Ablauf | Automatisches Ablaufdatum der Blockierung |
Aktionen¶
- Als Spam trainieren — Alle Mails des Bursts in Bayes-Corpus aufnehmen
- Blockierung aufheben — Burst als abgearbeitet markieren (ohne Training)
- Löschen — Burst-Eintrag entfernen
Über Abgelaufene anzeigen werden bereits abgelaufene Burst-Blockierungen sichtbar.
Spam-Analytik¶
Unter Spam-Analytik wird angezeigt, welche rspamd-Symbole am häufigsten aktiv sind.
Symbol-Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Symbol | rspamd-Symbolname (z. B. RCVD_IN_SPAMHAUS_SBL) |
| Treffer | Gesamtanzahl Treffer im gewählten Zeitraum |
| Ø-Score | Durchschnittlicher Score-Beitrag |
| % an Spam | Anteil am Spam-Erkennungs-Traffic |
| % an Ham | Anteil am Ham-Traffic (False-Positive-Indikator) |
Symbole mit hohem Ham-Anteil sind potenzielle False-Positive-Quellen → in Score-Tuning heruntersetzen.
Score-Verteilung¶
Das Balkendiagramm zeigt, in welche Score-Bereiche die verarbeiteten Mails fallen:
| Bucket | Bedeutung |
|---|---|
< 0 (Ham) |
Klar legitime Mail |
0 – 2, 2 – 4, 4 – 6 |
Graubereiche |
6 – 8, 8 – 10, 10 – 14 |
Wahrscheinlicher Spam |
≥ 14 (Reject) |
Sofort abgewiesene Mail |
Near-Threshold-Senders (Top 50)¶
Absender-Domains, deren Mails im Durchschnitt nahe am Quarantäne-Schwellenwert liegen — frühzeitige Warnung vor schleichenden Spam-Quellen:
| Spalte | Beschreibung |
|---|---|
| Domain | Absender-Domain |
| Anzahl | Mails in diesem Zeitraum |
| Ø-Score | Durchschnittlicher rspamd-Score |
| Max-Score | Höchster beobachteter Score |
False Negatives¶
Mails, die vom Benutzer als Spam gemeldet wurden (und somit durch den Filter gefallen sind):
| Spalte | Beschreibung |
|---|---|
| Zeit | Meldezeit |
| Quelle | delivered (archiviert), hold (Quarantäne), other |
| Betreff | Betreff der gemeldeten Mail |
| Absender | Absender-Adresse |
| Melder (actor) | Wer die Mail gemeldet hat |
Der Zeitraum-Filter (24h / 7d / 30d) gilt für alle drei Ansichten.
Neurales Netz¶
rspamd enthält ein neurales Netz (neural), das automatisch aus dem Bayes-Training lernt. Es trainiert erst ab 1.000 Spam- und 1.000 Ham-Samples. Konfiguration in Mail-Konfiguration → Neurales Netz.