Skip to content

Suspicious-TLDs

Self-learning Liste verdächtiger Top-Level-Domains. MailGuard lernt aus den letzten 30 Tagen Mail-Verkehr im Cluster, welche TLDs gerade „gefährlich" sind, und pflegt die Liste automatisch.

Lerner-Tick

Täglich läuft der Suspicious-TLD-Lerner auf einem ausgewählten Cluster-Node:

  1. Aggregation — alle quarantänen + zugestellten Mails der letzten 30 Tage werden nach TLD gruppiert
  2. Filter — nur TLDs mit ≥ 20 beobachteten Mails (statistisch signifikant)
  3. Spam-Quote wird pro TLD berechnet
  4. Hysterese-Logik:
  5. Quote ≥ 80 % → TLD wird aktiviert (Score-Beitrag +4.0)
  6. Quote < 50 % → TLD wird deaktiviert
  7. 50 %–80 % → Hysterese-Zone, vorheriger Status bleibt erhalten (kein Flapping)

Whitelist

Eingebaute Whitelist die der Lerner ignoriert (auch bei hohem Spam-Volumen):

com, de, at, ch, org, net, io, eu, gov, edu,
fr, it, es, nl, be, lu, dk, se, no, fi, pl,
cz, hu, gr, pt, ie, uk, jp, kr, cn, hk, sg,
au, nz, br, mx, us, ca, il, ae, sa

Diese TLDs haben Volumen-bedingt zwangsläufig viel Spam-Verkehr — der Lerner würde sie sonst dauerhaft als „gefährlich" listen, was Operator irritiert ohne Mehrwert.

Tabelle in der UI

Pro TLD:

  • TLD — z.B. tk, xyz, top, click
  • Sourcestatic (eingebaut, z.B. die initialen 30 Phishing-TLDs) / learned (vom Lerner-Tick) / manual (Operator-Eingabe)
  • Active-Toggle
  • Score — Beitrag bei Treffer, Default +4.0
  • Observed-Mails — wie viele Mails von dieser TLD im 30-Tage-Fenster
  • Spam-Quote — Anteil quarantänisierter/rejected Mails
  • Last-Learned — Zeitstempel des letzten Lerner-Ticks
  • Operator-Locked — wenn gesetzt: Lerner ändert die TLD-Settings nicht mehr

Operator-Lock

Wenn Sie eine TLD manuell finetuned haben (z.B. xyz mit Score +6.0 statt +4.0), aktivieren Sie das Lock-Symbol — der Lerner respektiert das und überschreibt nicht beim nächsten Tick.

Eigene TLDs hinzufügen

Plus-Button → TLD eingeben (z.B. monster), Score wählen, Aktivieren. Diese Operator-TLDs werden automatisch als manual markiert und vom Lerner nicht angefasst.

Initiale 30 statische TLDs

Ab Werk geseedet (Empirie aus Mailcow-/EdgeGuard-Operations):

tk, ml, ga, cf, gq, xyz, top, click, icu, cyou,
loan, men, win, racing, party, review, science,
download, work, country, kim, gdn, accountant,
faith, bid, stream, trade, webcam, mom, cricket

Diese sind ab Tag 1 aktiv ohne dass der Lerner-Tick gelaufen sein muss.

Cluster-Verhalten

Lerner läuft auf einem Sticky-Hash-ausgewählten Node (alphabetisch erster Cluster-Node). Ergebnisse werden per mTLS-Fan-Out an alle Peers verteilt — kein Drift möglich, alle Knoten haben dieselbe TLD-Liste.

Verwandte Pages

Home Features Preise Kontakt Impressum Datenschutz
© 2026 NetCell IT — NetCell MailGuard ist ein Produkt von NetCell-IT.