E-Mailsicherheit


Allgemeines

Täglich werden weltweit mehrere Millionen unerwünschte Massen-Emails, auch Junk- oder Spammail genannt, versendet. Dabei bedienen sich die Absender verschiedener Methoden, um die Herkunft der Emails zu verschleiern und eine automatische Erkennung solcher Emails zu verhindern.

Der Dienst DFN-MailSupport

Um der Flut dieser unerwünschten Werbemails zu begegnen, werden alle E-Mails bevor sie unsere Mailserver erreichen, maschinell und automatisch, d.h. ohne menschliche Eingriffe, geprüft. Diese Prüfung wird im Rahmen des Dienstes Opens external link in new windowDFN-MailSupport vom Opens external link in new windowDeutschen Forschungsnetz Verein (DFN) vorgenommen. Der Dienst nutzt eine vielzahl automatisierter Tests, um Nachrichten auf signifikante Merkmale von Spam und Malware zu untersuchen. Alle E-Mails werden durch das Einfügen spezieller Steuerzeilen im Mail-Header markiert. Danach wird die E-Mail an unsere Mailserver ausgeliefert.

Die verschiedenen Markierungen können nun auf unseren Mailservern genutzt werden, um unerwünschte E-Mails automatisch aus zu sortieren.

Es werden grundsätzlich keine Modifikationen an Mail-Inhalten vorgenommen und die Mail nach der Prüfung auch stets an den Empfänger ausgeliefert.  Dieser muß letztlich selbst entscheiden, was mit SPAM-verdächtigen E-Mails und E-Mails mit verdächtigen Anhängen geschehen soll.

E-Mails mit virenverseuchten Anhängen werden nicht automatisch zugestellt. Sie werden in einem Quarantänebereich zurück gehalten und nach Sichtung durch das HRZ ohne die verseuchten Anhänge zugestellt (bei vertrauenswürdigen Absendern) oder gelöscht (bei erkanntem Spam).

Tests und Untersuchungen

Im ersten Schritt wird die Reputation des Versende-Server anhand von Realtime Blackhole Lists (RBL) geprüft. Ist der Absende-Server nicht vertrauenswürdig, wird die Mail nicht angenommen und der Absender darüber entsprechend informiert.

Im zweiten Schritt wird geprüft, ob der Empfänger der E-Mail auf dem Zielmailserver, also unser Mailserver, existiert. Ist dies nicht der Fall, wird die Mail abgewiesen und der Absender darüber informiert.

Nach erfolgreicher Prüfung der Vertrauenswürdigkeit des Versende-Servers und Existenz der Empfängeradresse wird die Mail auf unsichere Anhänge untersucht. Unsichere Anhänge sind insbesondere ausführbare Dateien wie ".exe", ".bat" oder ".pif". Eine E-Mail mit einer ".bat"-Datei im Anhang wird durch einen Eintrag im Mailheader wie

      

X-Amavis-Alert: BANNED, message contains application/x-msdownload,.asc,attached.bat

markiert.

Nun werden nacheinander mehrere Virenscanner zur Untersuchung auf Malware aufgerufen. Bei Erkennung von Malware wird der Mail-Header um z.B.

      

X-Amavis-Alert: INFECTED, message contains virus: Trojan.Spy.Zbot-54

ergänzt. So markierte E-Mails werden nicht an unsere Mailserver ausgeliefert. Sie werden in einem Quarantänebereich zurück gehalten und nach Sichtung durch das HRZ ohne die verseuchten Anhänge zugestellt (bei vertrauenswürdigen Absendern) oder gelöscht (bei erkanntem Spam).

Zur Spam-Erkennung durchlaufen die E-Mails nun einen regelbasierten Filter und dann einen Bayes-Filter. Beide Filter vergeben für bestimmte Eigenschaften der E-Mail Punkte. Übersteigt die Summe der Punkte eine Schwellwert (6.2 Punkte), wird die E-Mail als Spam eingestuft.

Eine Spam-verdächtige E-Mail wird z.B. um die Headerzeilen

      

X-Spam-Flag: NO
X-Spam-Score: 3.991
X-Spam-Level: ***
X-Spam-Status: No, score=3.991 tagged_above=2 required=6.2
    tests=[BOGO_UNSURE=-0.01, HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.2,
    TO_EQ_FM_DOM_HTML_ONLY=2.799, TO_EQ_FM_HTML_ONLY=0.001]
    autolearn=disabled

ergänzt.

Eine als Spam eingestufte E-Mail wird um Headerzeilen wie

      

X-Spam-Flag: YES
X-Spam-Score: 10.301
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.301 tagged_above=2 required=6.2
    tests=[BOGO_SPAM=7, HTML_MESSAGE=0.001, HTML_OBFUSCATE_05_10=0.601,
    MIME_HEADER_CTYPE_ONLY=3.299, RP_MATCHES_RCVD=-0.6] autolearn=disabled

ergänzt.

Auch völlig unverdächtige E-Mails werden mit einem Header-Eintrag wie

      

X-Virus-Scanned: Debian amavisd-new at mgw1-tub.srv.dfn.de

gekennzeichnet.

Zustellung

Die Untersuchungen sind nun abgeschlossen und die E-Mail wird, um die entsprechenden Header-Zeilen ergänzt, an unsere Mailserver zugestellt (Ausnahme: virenverseuchte E-Mails).

Die weitere Verarbeitung der E-Mail, unter Beachtung der Untersuchungsergebnisse, obliegt nun dem Empfänger der E-Mail.

Wie Sie z.B. eine Sortierung der Spam-verdächtigen  oder mit unsicheren Anhängen versehenen E-Mails vornehmen wird unter Opens internal link in current windowSpamfilterung beschrieben.

Fehlerhafte Spam-Erkennung

Die Erkennung von Spam bedient sich mehrerer regelbasierter und statistischer Prüfmethoden. Leider können diese Methoden, und die Tatsache, dass sich auch die Spamversender fortwährend anpassen, keine hundertprozentige Sicherheit garantieren. Jedoch sind die verwendeten Filter trainierbar und nach kurzer Anlernzeit in der Lage, ihre Prüfergebnisse erheblich zu verbessern.

Wenn Sie fälschlich als Spam erkannte E-Mails oder Spam-Mails, die nicht als Spam erkannt wurden, erhalten, lesen Sie bitte unter Opens internal link in current windowProbleme bei der Spam-Erkennung nach, wie Sie helfen können, die Filter zu verbessern.

weitere technische Informationen

Die Markierung der E-Mails als Spam geschieht durch Einfügen spezieller Steuerzeilen im Mail-Header, in dem auch Angaben wie "Subject", "To", "From" usw. enthalten sind. Weiterführende Informationen dazu können Sie unter Opens external link in new windowE-Mail-Header lesen und verstehen auf der Webseite von Thomas Hochstein nachlesen.

Fragen oder Probleme?

Senden Sie uns eine E-Mail mit genauer Beschreibung (Anliegen, betroffene Systeme, Screenshot, Fehler etc.) an
 Opens window for sending emailhrz-service@hszg.de
oder nutzen das Formular.

Besucheranschrift

Hochschulrechenzentrum

Haus Z V

Hochwaldstraße 2a

02763 Zittau

03583 - 612 3333

03583 - 612 3249

Opens window for sending emailhrz@hszg.de

weitere Informationen

Anmelden
Direktlinks & Suche
Lade Suchmaske...