Spam-Bursts¶
Schnellansicht für plötzliche Spam-Wellen. Wenn innerhalb kurzer Zeit (typischerweise 15-60 Minuten) ungewöhnlich viele Mails von einer Domain oder IP-Range geblockt werden, taucht das hier als „Burst" auf.
Burst-Erkennung¶
Das Backend gruppiert quarantäne Mails nach Sender-Domain + Zeitfenster. Wenn die Anzahl pro Bucket eine Schwelle übersteigt (Default: 50 Mails/15 min, anpassbar in Mail-Konfiguration), wird ein Burst-Eintrag erzeugt.
Tabelle¶
Pro Burst:
- Sender-Domain — die Quelle
- Mail-Anzahl im Burst-Fenster
- Detection-Reason — meist Phishing-Pattern, Suspicious-TLD oder Sandbox-Hit
- Zeitraum — Start / Ende des Bursts (rollierend bis Quelle aufhört)
- Empfänger — wie viele unterschiedliche Empfänger im Cluster betroffen waren
Aktionen¶
- Sender-Domain blocken (Mülltonne) — fügt die Domain in die clusterweite Block-Liste, alle weiteren Mails werden direkt 5xx-rejected
- Sender entsperren (Schloss-auf) — falls fälschlich geblockt
- Burst-Details — zeigt alle Mails des Bursts in der Quarantäne-Liste
Anwendung¶
Gut für reaktive Verteidigung: Operator sieht morgens „heute Nacht 1.500 Mails von apple-id-confirm.tk" → ein Klick blockt die Domain für die Zukunft. Spart Zeit gegenüber manuellem Quarantäne-Filter + Block-List-Pflege.