E-Mailsicherheit

Täglich werden weltweit mehrere Millionen unerwünschte Massen-Emails, auch Junk- oder Spammail genannt, versendet. Dabei bedienen sich die Absender verschiedener Methoden, um die Herkunft der Emails zu verschleiern und eine automatische Erkennung solcher Emails zu verhindern.

Bitte daher um Beachtung folgender grundsätzlicher Hinweise, um die Sicherheit im Umgang mit E-Mails zu erhöhen:

Seien Sie grundsätzlich skeptisch bei unerwarteten E-Mails (vor allem zu den Themen Rechnung, Bewerbung oder Schreiben von Anwälten).

Klicken Sie auf keine Links, welche auf dubiose Webseiten verweisen (dies können u.a. auch Dropbox-Links sein).
Öffnen Sie keine E-Mail-Anhänge mit ausführbarem Inhalt und seien Sie auch bei (z.B. Zip- oder Rar-) Archiven vorsichtig (gilt gleichermaßen für Anhänge von bekannten Absendern).

Informationen einer E-Mail können manipuliert sein, nur eine signierte E-Mail ist daher eine vertrauenswürdige Nachricht.
Senden sie möglichst keine vertrauenswürdigen oder personenbezogenen Inhalte per E-Mail, andernfalls ist die E-Mail zu verschlüsseln
Nutzen sie Ihre Hochschul-E-Mailadresse nicht bei hochschulfremden E-Mail-Anbietern.
Fragen Sie bei verdächtigen E-Mails besser beim Absender und/oder beim HRZ nach.

Policy und der Dienst DFN-MailSupport

Um der Flut dieser unerwünschten Werbemails zu begegnen, werden alle E-Mails bevor sie unsere Mailserver erreichen, maschinell und automatisch, d.h. ohne menschliche Eingriffe, geprüft. Diese Prüfung wird im Rahmen des Dienstes DFN-MailSupport vom Deutschen Forschungsnetz Verein (DFN) vorgenommen. Der Dienst nutzt eine Vielzahl automatisierter Tests, um Nachrichten auf signifikante Merkmale von Spam und Malware zu untersuchen. Alle E-Mails werden durch das Einfügen spezieller Steuerzeilen im Mail-Header markiert. Danach wird die E-Mail an unsere Mailserver ausgeliefert.

Die verschiedenen Markierungen können nun auf unseren Mailservern genutzt werden, um unerwünschte E-Mails automatisch aus zu sortieren.

Es werden grundsätzlich keine Modifikationen an Mail-Inhalten vorgenommen und die Mail nach der Prüfung auch stets an den Empfänger ausgeliefert. Dieser muß letztlich selbst entscheiden, was mit SPAM-verdächtigen E-Mails und E-Mails mit verdächtigen Anhängen geschehen soll.

E-Mails mit virenverseuchten Anhängen werden zugestellt, jedoch werden alle Anhänge entfernt und der Betreff der E-Mail um einen entsprechenden Hinweis "[Warnung: Anhaenge wegen Virenbefall entfernt]" ergänzt. Anstelle des Anhanges gibt es in der Mail zusätzlich nochmal einen Hinweis auf den entfernten Anhang und es werden die Dateinamen der entfernten Anhänge genannt. Der Empfänger muss nun selbst entscheiden, wie mit der entsprechenden E-Mail umzugehen ist - löschen oder Absender informieren.

E-Mails von extern mit ausführbaren Anhängen werden nicht zugestellt. Sender und Empfänger bekommen eine entsperechende Info-E-Mail (Absender ist postmaster@hszg.de). Ausführbare Anhänge impliziert auch Dokumente im "alten" MS-Office-Format (*.doc, *.xls etc. OHNE x, also *.docx ist nicht betroffen), da diese gefährliche Makros zum Einschleusen von Schadsoftware auf den Rechner enthalten können.

Tests und Untersuchungen

Im ersten Schritt wird die Reputation des Versende-Server anhand von Realtime Blackhole Lists (RBL) geprüft. Ist der Absende-Server nicht vertrauenswürdig, wird die Mail nicht angenommen und der Absender darüber entsprechend informiert.

Im zweiten Schritt wird geprüft, ob der Empfänger der E-Mail auf dem Zielmailserver, also unser Mailserver, existiert. Ist dies nicht der Fall, wird die Mail abgewiesen und der Absender darüber informiert.

Nach erfolgreicher Prüfung der Vertrauenswürdigkeit des Versende-Servers und Existenz der Empfängeradresse wird die Mail auf unsichere Anhänge untersucht. Unsichere Anhänge sind insbesondere ausführbare Dateien wie ".exe", ".bat" oder ".pif". Eine E-Mail mit einer ".bat"-Datei im Anhang wird durch einen Eintrag im Mailheader wie

X-Amavis-Alert: BANNED, message contains application/x-msdownload,.asc,attached.bat

markiert.

Nun werden nacheinander mehrere Virenscanner zur Untersuchung auf Malware aufgerufen. Bei Erkennung von Malware wird der Mail-Header um z.B.

X-Amavis-Alert: INFECTED, message contains virus: Trojan.Spy.Zbot-54

ergänzt. Wird ein virenbehafteter Anhang erkannt, werden alle Anhänge durch einen entsprechenden Hinweis (Anhang entfernt und Auflistung der Dateinamen) ersetzt, der Betreff der E-Mail um einen Hinweis ergänzt und die E-Mail dem Empfänger zugestellt.

Zur Spam-Erkennung durchlaufen die E-Mails nun einen regelbasierten Filter und dann einen Bayes-Filter. Beide Filter vergeben für bestimmte Eigenschaften der E-Mail Punkte. Übersteigt die Summe der Punkte eine Schwellwert (6.2 Punkte), wird die E-Mail als Spam eingestuft.

Eine Spam-verdächtige E-Mail wird z.B. um die Headerzeilen

X-Spam-Flag: NO
X-Spam-Score: 3.991
X-Spam-Level: ***
X-Spam-Status: No, score=3.991 tagged_above=2 required=6.2
   tests=[BOGO_UNSURE=-0.01, HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.2,
   TO_EQ_FM_DOM_HTML_ONLY=2.799, TO_EQ_FM_HTML_ONLY=0.001]
   autolearn=disabled

ergänzt.

Eine als Spam eingestufte E-Mail wird um Headerzeilen wie

X-Spam-Flag: YES
X-Spam-Score: 10.301
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.301 tagged_above=2 required=6.2
tests=[BOGO_SPAM=7, HTML_MESSAGE=0.001, HTML_OBFUSCATE_05_10=0.601,
MIME_HEADER_CTYPE_ONLY=3.299, RP_MATCHES_RCVD=-0.6] autolearn=disabled

ergänzt.

Auch völlig unverdächtige E-Mails werden mit einem Header-Eintrag wie

X-Virus-Scanned: Debian amavisd-new at mgw1-tub.srv.dfn.de

gekennzeichnet.

Zustellung

Die Untersuchungen sind nun abgeschlossen und die E-Mail wird, um die entsprechenden Header-Zeilen ergänzt, an unsere Mailserver zugestellt.

Die weitere Verarbeitung der E-Mail, unter Beachtung der Untersuchungsergebnisse, obliegt nun dem Empfänger der E-Mail.

Wie Sie z.B. eine Sortierung der Spam-verdächtigen oder mit unsicheren Anhängen versehenen E-Mails vornehmen wird unter Spamfilterung beschrieben.

Fehlerhafte Spam-Erkennung

Die Erkennung von Spam bedient sich mehrerer regelbasierter und statistischer Prüfmethoden. Leider können diese Methoden, und die Tatsache, dass sich auch die Spamversender fortwährend anpassen, keine hundertprozentige Sicherheit garantieren. Jedoch sind die verwendeten Filter trainierbar und nach kurzer Anlernzeit in der Lage, ihre Prüfergebnisse erheblich zu verbessern.

Wenn Sie fälschlich als Spam erkannte E-Mails oder Spam-Mails, die nicht als Spam erkannt wurden, erhalten, lesen Sie bitte unter Probleme bei der Spam-Erkennung nach, wie Sie helfen können, die Filter zu verbessern.

weitere technische Informationen

Die Markierung der E-Mails als Spam geschieht durch Einfügen spezieller Steuerzeilen im Mail-Header, in dem auch Angaben wie "Subject", "To", "From" usw. enthalten sind. Weiterführende Informationen dazu können Sie unter E-Mail-Header lesen und verstehen auf der Webseite von Thomas Hochstein nachlesen.