Email
ID #1001
FAQ Spam- und Virenabwehr
Email ist ein immer wichtiger werdendes Kommunikationsmittel. Leider nimmt jedoch im selben Umfang auch der Versand von Spam und Viren zu und vermindert damit den gewünschten Mehrwert dieses Kommunikationsweges.
Ohne entsprechende Vorkehrungen kann es im günstigsten Fall zur Ablehnung einer benötigten oder gewollten Email kommen, da das Email-Postfach mit Spam überhäuft wurde. Im schlimmsten Fall kann es durch per Email empfangene Viren zu hohen Kosten für die Reparatur, Neuinstallation oder Wiederherstellung kommen. In beiden Fällen ist der Ärger vorprogrammiert und eigentlich unnötig.
Um unseren Kunden diesen Ärger zu ersparen, schützen wir alle Benutzer unserer Dienste vor UBE (Unsolicited Bulk E-Mail) und UCE (Unsolicited Commercial E-Mail) -allgemein auch unter dem Begriff Spam bekannt - sowie vor über E-Mails transportierte Viren, Trojaner und Würmer.
Hierzu werden von uns verschiedene System eingesetzt:
Wenn eine E-Mail eingeliefert werden soll, werden nacheinander folgende Schritte durchgeführt:
Davon schafften es 10.475.127 Emails nicht über den Regelbasierten Filter hinaus.
Unser Virenfilter blockte von den 4.523.617 verbleibenden Emails weitere 1.109.004 Emails.
14.998.744 Insgesamt empfangene Emails im Dezember 2004
11.584.131 Insgesamt verworfene Emails wegen Spam und Viren im Dezember 2004
3.414.613 Insgesamt an unsere Benutzer ausgelieferte Emails im Dezember 2004
Ohne entsprechende Vorkehrungen kann es im günstigsten Fall zur Ablehnung einer benötigten oder gewollten Email kommen, da das Email-Postfach mit Spam überhäuft wurde. Im schlimmsten Fall kann es durch per Email empfangene Viren zu hohen Kosten für die Reparatur, Neuinstallation oder Wiederherstellung kommen. In beiden Fällen ist der Ärger vorprogrammiert und eigentlich unnötig.
Um unseren Kunden diesen Ärger zu ersparen, schützen wir alle Benutzer unserer Dienste vor UBE (Unsolicited Bulk E-Mail) und UCE (Unsolicited Commercial E-Mail) -allgemein auch unter dem Begriff Spam bekannt - sowie vor über E-Mails transportierte Viren, Trojaner und Würmer.
Hierzu werden von uns verschiedene System eingesetzt:
Wenn eine E-Mail eingeliefert werden soll, werden nacheinander folgende Schritte durchgeführt:
- Der Hostname und der Absender wird auf Gültigkeit überprüft. Ist eines von beiden (oder beide) ungültig, wird die E-Mail mit einem entsprechenden Hinweis abgelehnt.
- Als zweites wird die Empfänger-Email überprüft. Ist diese nicht in unseren System vermerkt, wird die E-Mail mit einem entsprechenden Hinweis abgelehnt. (Relaytest)
- Nun wird der einliefernde Mailserver gegen unsere eigene Blacklist (rbl.twosteps.net) geprüft. Falls es sich beim einliefernden "Server" um einen Rechner mit Wählleitung handelt, der Rechner als Proxy oder Spammer gekennzeichnet ist oder durch einen nicht allzu fähigen Postmaster (siehe Freenet-AG) gewartet wird, wird die E-Mail mit einem entsprechenden Hinweis abgelehnt.
Derzeit enthalten unsere Blacklists ca. 3 Mio. Einträge - Anschliessend wird der einliefernde Mailserver gegen die Spamhaus Block List Spamhaus sowie die Open Relay Database ORDB und Spam and Open Relay Database SORBS getestet und bei positivem Befund mit einem entsprechenden Hinweis abgelehnt.
- Nach den DNS-basierten Tests erfolgt ein Test auf Gültigkeit der Einlieferungsdaten. Falls diese ungültig sind, wird die E-Mail mit einem entsprechenden Hinweis abgelehnt.
- Seit März 2005 setzen wir als weitere Prüfstufe Greylisting ein.
Hierbei wird eine eingehende Mail zuerst mit dem Fehlercode 450 für einen temporären Fehler und dem Hinweis auf Greylisting für 60 Sekunden abgeleht.
Anschließend werden alle relevanten Headereinträge der Email in eine Datenbank eingetragen und mit einem Zeitstempel versehen. Wenn nun nach der eingestellten Zeit (bei uns derzeit 60 Sekunden) ein erneuter Einlieferungsversuch für diese Email stattfindet, wird die Email an den nächsten Filter weitergereicht und der Absender für eine Zeit von 30 Tagen vom Greylisting ausgenommen.
Hintergrund für dieses System ist, dass der überwiegende Teil aller Spammails durch virenverseuchte Rechner versandt wird, die den Fehlercode nicht auswerten (diese so genannten Spambots sind in der Regel auf den reinen Durchsatz optimiert) wohingegen sauber eingerichtete Mailserver nach einer gewissen Zeit einen neuen Zustellversuch unternehmen. - Emails, die es bis zu diesem Punkt geschafft haben, werden nun durch einen signaturbasierten Filter getestet, der Emails mit vorher empfangenen Spams vergleicht und Treffer ablehnt.
- Als letzter regelbasierter Test wird nun nach dem Vorkommen bestimmter, häufig verwendeter Keywords und Phrasen wie Viagra etc. gesucht. Hierbei werden bedingt auch Abwandlungen der Worte wie V!agra oder Wiagra für Viagra gefunden und entsprechend behandelt und abgelehnt.
Bei diesem Schritt werden ebenfalls alle nicht erlaubten (da für Anwender gefährliche) Anhänge wie Pif, Exe, SCR etc. sowie die häufigsten Emailviren erkannt und abgelehnt.
- Systemseitig erfolgt nun als letzter nicht vom Benutzer beeinflussbarer Schritt die Überprüfung der Emails durch einen stündlich aktualisierten Virenscanner.
- Falls der Anwender es wünscht (dies ist in Ihrer Administrationsebene einstellbar) wird die Email nun noch durch Spamassassin kontrolliert und bewertet.
Hierbei werden Emails durch das System jedoch nicht gelöscht, sondern abhängig von Ihren Einstellungen nur markiert.
Davon schafften es 10.475.127 Emails nicht über den Regelbasierten Filter hinaus.
Unser Virenfilter blockte von den 4.523.617 verbleibenden Emails weitere 1.109.004 Emails.
14.998.744 Insgesamt empfangene Emails im Dezember 2004
11.584.131 Insgesamt verworfene Emails wegen Spam und Viren im Dezember 2004
3.414.613 Insgesamt an unsere Benutzer ausgelieferte Emails im Dezember 2004
Tags: -
Verwandte Artikel:
Letzte Änderung des Artikels: 2006-02-07 12:53
Verfasser des Artikels: Support
Revision: 1.0
Kommentieren nicht möglich