E-Mailsicherheit

Inhalt

• Allgemeines
• Der Dienst DFN-MailSupport
• Tests und Untersuchungen
• Zustellung
• Fehlerhafte Spam-Erkennung
• weitere technische Informationen

Allgemeines

Der Dienst DFN-MailSupport

Um der Flut dieser unerwünschten Werbemails zu begegnen, werden alle E-Mails bevor sie unsere Mailserver erreichen, maschinell und automatisch, d.h. ohne menschliche Eingriffe, geprüft. Diese Prüfung wird im Rahmen des Dienstes DFN-MailSupport vom Deutschen Forschungsnetz Verein (DFN) vorgenommen. Der Dienst nutzt eine vielzahl automatisierter Tests, um Nachrichten auf signifikante Merkmale von Spam und Malware zu untersuchen. Alle E-Mails werden durch das Einfügen spezieller Steuerzeilen im Mail-Header markiert. Danach wird die E-Mail an unsere Mailserver ausgeliefert.

Die verschiedenen Markierungen können nun auf unseren Mailservern genutzt werden, um unerwünschte E-Mails automatisch aus zu sortieren.

Es werden grundsätzlich keine Modifikationen an Mail-Inhalten vorgenommen und die Mail nach der Prüfung auch stets an den Empfänger ausgeliefert.  Dieser muß letztlich selbst entscheiden, was mit SPAM-verdächtigen E-Mails und E-Mails mit verdächtigen Anhängen geschehen soll.

E-Mails mit virenverseuchten Anhängen werden nicht automatisch zugestellt. Sie werden in einem Quarantänebereich zurück gehalten und nach Sichtung durch das HRZ ohne die verseuchten Anhänge zugestellt (bei vertrauenswürdigen Absendern) oder gelöscht (bei erkanntem Spam).

Tests und Untersuchungen

Im ersten Schritt wird die Reputation des Versende-Server anhand von Realtime Blackhole Lists (RBL) geprüft. Ist der Absende-Server nicht vertrauenswürdig, wird die Mail nicht angenommen und der Absender darüber entsprechend informiert.

Im zweiten Schritt wird geprüft, ob der Empfänger der E-Mail auf dem Zielmailserver, also unser Mailserver, existiert. Ist dies nicht der Fall, wird die Mail abgewiesen und der Absender darüber informiert.

Nach erfolgreicher Prüfung der Vertrauenswürdigkeit des Versende-Servers und Existenz der Empfängeradresse wird die Mail auf unsichere Anhänge untersucht. Unsichere Anhänge sind insbesondere ausführbare Dateien wie ".exe", ".bat" oder ".pif". Eine E-Mail mit einer ".bat"-Datei im Anhang wird durch einen Eintrag im Mailheader wie

markiert.

Nun werden nacheinander mehrere Virenscanner zur Untersuchung auf Malware aufgerufen. Bei Erkennung von Malware wird der Mail-Header um z.B.

ergänzt. So markierte E-Mails werden nicht an unsere Mailserver ausgeliefert. Sie werden in einem Quarantänebereich zurück gehalten und nach Sichtung durch das HRZ ohne die verseuchten Anhänge zugestellt (bei vertrauenswürdigen Absendern) oder gelöscht (bei erkanntem Spam).

Zur Spam-Erkennung durchlaufen die E-Mails nun einen regelbasierten Filter und dann einen Bayes-Filter. Beide Filter vergeben für bestimmte Eigenschaften der E-Mail Punkte. Übersteigt die Summe der Punkte eine Schwellwert (6.2 Punkte), wird die E-Mail als Spam eingestuft.

Eine Spam-verdächtige E-Mail wird z.B. um die Headerzeilen

ergänzt.

Eine als Spam eingestufte E-Mail wird um Headerzeilen wie

ergänzt.

Auch völlig unverdächtige E-Mails werden mit einem Header-Eintrag wie

gekennzeichnet.

Zustellung

Die Untersuchungen sind nun abgeschlossen und die E-Mail wird, um die entsprechenden Header-Zeilen ergänzt, an unsere Mailserver zugestellt (Ausnahme: virenverseuchte E-Mails).

Die weitere Verarbeitung der E-Mail, unter Beachtung der Untersuchungsergebnisse, obliegt nun dem Empfänger der E-Mail.

Wie Sie z.B. eine Sortierung der Spam-verdächtigen  oder mit unsicheren Anhängen versehenen E-Mails vornehmen wird unter Spamfilterung beschrieben.

Fehlerhafte Spam-Erkennung

Die Erkennung von Spam bedient sich mehrerer regelbasierter und statistischer Prüfmethoden. Leider können diese Methoden, und die Tatsache, dass sich auch die Spamversender fortwährend anpassen, keine hundertprozentige Sicherheit garantieren. Jedoch sind die verwendeten Filter trainierbar und nach kurzer Anlernzeit in der Lage, ihre Prüfergebnisse erheblich zu verbessern.

Wenn Sie fälschlich als Spam erkannte E-Mails oder Spam-Mails, die nicht als Spam erkannt wurden, erhalten, lesen Sie bitte unter Probleme bei der Spam-Erkennung nach, wie Sie helfen können, die Filter zu verbessern.

weitere technische Informationen

Die Markierung der E-Mails als Spam geschieht durch Einfügen spezieller Steuerzeilen im Mail-Header, in dem auch Angaben wie "Subject", "To", "From" usw. enthalten sind. Weiterführende Informationen dazu können Sie unter E-Mail-Header lesen und verstehen auf der Webseite von Thomas Hochstein nachlesen.