Maßnahmen zur Spam- und Virenabwehr

Inhalt:

Allgemeines

Die Anti-Spam-Maßnahmen an den zentralen Mailrelays teilen sich in zwei Phasen auf:

  • Phase 1: Entscheidung anhand verschiedener Kriterien, ob eine E-Mail überhaupt angenommen oder von vornherein zurückgewiesen wird
  • Phase 2: Nach der Annahme der E-Mail: inhaltliche Bewertung, Markierung von vermeintlichen Spam-Mails

Der Schwerpunkt der Spam-Abwehr liegt eindeutig bei Phase 1. Dort werden im Durchschnitt ca. 80% aller Zustellversuche abgewiesen. Dabei kommen insbesondere folgende Abwehrtechniken zum Einsatz:

  • Keine Annahme von E-Mails aus Dialup-Netzen (DSL etc.): Benutzer aus solchen Netzen sollen den Postausgangsserver (SMTP-Server) ihres Providers verwenden (so wie LRZ-Benutzer postout.lrz.de verwenden sollen)
  • Keine Annahme von E-Mails von Rechnern mit fehlerhafter DNS-Konfiguration (DNS = Domain Name Service)
  • Greylisting (siehe nächsten Abschnitt)
  • Keine Annahme von E-Mails an nicht existierende Zieladressen

Dabei wird der/die Absender:in stets per E-Mail über den Ablehnungsgrund informiert.

Greylisting

Für aus dem Internet ankommenden E-Mails wird am LRZ u.a. die Antispam-Technik Greylisting angewendet. Beim Greylisting wird ausgenutzt, dass beim Versenden von Spam-Mails oft nur ein einziger Versuch gemacht wird eine E-Mail zuzustellen ("fire and forget"), während SMTP-konforme Mailserver mehrere Zustellversuche unternehmen, falls bei der Übermittlung Probleme auftreten. Greylisting funktioniert nun so, dass E-Mails nicht gleich beim ersten Zustellversuch angenommen werden. Stattdessen werden einige charakteristische Daten notiert (IP-Adresse des sendenden Mailservers, Mailadressen des Senders und des Empfängers), und wenn dieselbe Datenkombination später erneut auftritt, wird die E-Mail angenommen. Ein großer Vorteil von Greylisting gegenüber anderen Verfahren (wie z.B. auch SpamAssassin) ist, dass viele Spam-Mails gar nicht erst angenommen werden, und das kommt uns allen zugute: Ihnen als Mail-Benutzer:in, da Ihre Mailbox nicht mehr so "zugemüllt" wird, und uns als Provider, da die Mail-Infrastruktur entlastet wird. Ein weiterer Vorteil ist, dass auch viele automatisch erzeugte Viren- und Wurm-Mails nicht mehr ankommen, da auch diese in der Regel nur einmal abgesetzt werden.

Welche E-Mails unterliegen dem Greylisting?

Alle E-Mails, die aus dem Internet über die LRZ-Mailrelays ins MWN gelangen. MWN-interne E-Mails durchlaufen das Greylisting nicht, sondern werden direkt zugestellt. Benutzer:innen, die ihre E-Mails von anderen (regulären) Mailservern weiterleiten, profitieren übrigens nicht vom Greylisting - egal ob der andere Mailserver innerhalb oder außerhalb des MWN liegt.

Hat Greylisting auch Nachteile?

Ja, aber diese lassen sich in den Griff bekommen. Ein Nachteil ist, dass auch reguläre E-Mails nicht gleich angenommen und dadurch etwas verzögert zugestellt werden (je nach Konfiguration des sendenden Mailservers, in der Regel ca. 30 bis 60 Minuten). Dies betrifft jedoch in der Regel nur die erste E-Mail zwischen zwei Mailpartner:innen. Dann sind die oben genannten Daten bekannt und neue E-Mails werden sofort angenommen. Außerdem werden am LRZ Ausnahmelisten vertrauenswürdiger Mailserver gepflegt ("white lists"), von denen E-Mails grundsätzlich beim ersten Zustellversuch akzeptiert werden.

Wie lange werden die Verbindungsdaten in der Greylisting-Datenbank gespeichert?

Die o.g. Daten (IP-Adresse des sendenden Mailservers, Mailadressen des Senders und des Empfängers) werden 36 Tage gespeichert, d.h. solange werden neu eintreffende E-Mails ohne Verzögerung zugestellt. Der Zeitraum von 36 Tagen wurde gewählt, damit E-Mails, die z.B. monatlich verschickt werden (z.B. Newsletter), nicht vom Greylisting betroffen sind. Für Verbindungen, die durch die o.g. Ausnahmelisten abgedeckt sind (z.B. große Provider wie gmx.de) werden keine Verbindungsdaten gespeichert.

Vereinzelt gibt es auch reguläre Mailserver, die nur einen Zustellversuch unternehmen. E-Mails von solchen Servern kommen beim Einsatz von Greylisting nicht an, aber immerhin sollte der/die Absender:in eine entsprechende Fehlermeldung erhalten. Wenn Sie eine E-Mail erwarten, aber auch nach der erwähnten Verzögerung nicht bekommen, so teilen Sie dies bitte unserem Servicedesk unter Angabe der folgenden Daten mit:

  • Mailadresse des Absenders
  • Mailadresse des Empfängers
  • Datum und Uhrzeit, zu der die E-Mail abgeschickt wurde (je genauer, desto besser)

Wir werden dann nach der Ursache suchen und den sendenden Mailserver erforderlichenfalls in unsere Ausnahmelisten aufnehmen. Bitte warten Sie mit der Fehlermeldung aber 24 Stunden, denn sonst kommen auch andere Fehlerursachen als das Greylisting in Frage.

Mehr Informationen zum Greylisting finden Sie z.B. unter http://www.greylisting.org/.

Markierung von Spam-Mails durch Einsatz von SpamAssassin

Die E-Mails, die an den zentralen Mailrelays akzepiert worden sind, werden anschließend danach bewertet, ob es sich möglicherweise (trotzdem) um "Spam" handelt, und entsprechend markiert.

Die Spam-Filterung erfolgt in zwei Schritten:

  • An den zentralen Mail-Relays des LRZ werden alle durchlaufenden E-Mails von dem Programm SpamAssassin automatisch dahingehend bewertet, ob es sich um Spam handelt. Die als Spam eingestuften E-Mails werden markiert, indem ihnen spezifische Header-Zeilen hinzugefügt werden.
  • Diese Markierungen können dazu verwendet werden, ankommende E-Mails mit dem eigenen E-Mail-Programm Mails vorzusortieren bzw. zu filtern.

Eine genaue Beschreibung dazu, insbesondere wie Sie die Filterung bei den gängigsten Mail-Programmen vornehmen können, finden Sie im Artikel Spam-Filterung am LRZ mit Hilfe von SpamAssassin.

Virenfilterung

Zur Filterung von Viren-Mails setzt das LRZ die zwei Produkte Sophos Anti-Virus und Clam Anti-Virus ein. Wird festgestellt, dass es sich bei einer E-Mail um eine Virus-Mail handelt, wird diese in Quarantäne genommen. Näheres finden Sie in den Richtlinien für die LRZ-Mailserver im Abschnitt „Ausfilterung von vireninfizierten E-Mails“.