Dat heeft veel voordelen, stelt Erik Loman, security expert bij SurfRight. “Het filter werkt beter omdat gebruikers nogal eens verkeerde markeringen aanbrengen waardoor mail onterecht op de zwarte lijst gaat. En het scheelt een gebruiker veel werk.”

SurfRight heeft een eerste grootzakelijke klant al weten te strikken voor zijn enterprise-versie, een middelgrote gemeente in het oosten van het land, die er nu een pilot mee doet.

De software maakt gebruik van een trits filtertechnieken, waaronder enkele zelf ontworpen technieken maar ook tientallen bestaande. Het bericht krijgt per techniek een score. Valt de totale score te hoog uit, dan krijgt het bericht het stempel ‘spam’. Al die informatie wordt centraal in de cloud bijgehouden. “Zo leert het systeem zelf. Dat hoeft de gebruiker niet te doen.” Caretaker draait op de mailserver, of als het met een appliance werkt, net voor de mailserver. Maar in elk geval bij de klant zelf.

Een belangrijke technologie hierbij is de reputatieherkenning. Hierbij wordt niet gekeken naar de reputatie van de verzender van de e-mail, maar naar die van de ontvanger. Loman: “Daarvan weten we snel hoe hoog het percentage spam is dat hij ontvangt. Wordt een bericht naar gebruiker A gestuurd, waarvan 90 procent van de mail uit spam bestaat, en naar gebruiker B, waarvan dat percentage 80 bedraagt, dan komen we uit op een kans van gemiddeld 85 procent dat het spam is. Die score combineren we met de scores van het bericht bij andere technologieën en zo bepalen we of het bericht op de zwarte lijst gaat of niet.”

Deze reputatietechnologie volstaat echter niet. Caretaker werkt ook met intentieanalyse. Dat gebeurt centraal, met behulp van cloud-technologie. Aan de hand van allerhande eigenschappen van het bericht, gegevens over de afzender en de ontvanger bepaalt het spamfilter centraal of het bericht een kwaadaardige intentie heeft of niet. Daarnaast voegt Caretaker ‘goede eigenschappen’ toe aan te verzenden mailtjes om te voorkomen dat ze als spam worden gezien. “Met de hash-cache-technologie krijgt een bericht een code mee waarmee de mailserver eerst aan de slag moet voordat het verzonden kan worden. Daardoor wordt de verzending een paar seconden vertraagd. Dat is een duidelijk teken dat het bericht geen spam is, omdat spammers de boel zo snel mogelijk verzonden willen hebben en er zeker geen seconden tussen willen laten zitten”, zegt Loman.

Aan de enterprise-versie is de technologie ‘traffic shaping’ toegevoegd. “Wij kijken in onze wolk naar de gegevens over de reputatie van de zender. Zijn die goed, dan hebben zijn berichten sneller toegang. Dat reduceert het spamverkeer met 95 procent. Verdachte mail komt niet meer bij je aan, ook al omdat de vertragingen bij het doorsturen spammers laten afhaken. Die zijn al weg als het langer dan 20 seconden duurt. Alles moet snel voor hen.”