Automatische Schutzfilter für E-Mail
In den URZ-Mitteilungen 2/2001 wurden Möglichkeiten beschrieben, wie
E-Mail beim Empfang individuell "gefiltert" werden kann (zum Nachlesen:
http://archiv.tu-chemnitz.de/pub/2001/0069/data/mailfilter.html).
In diesem Beitrag wollen wir die automatischen Schutzfilter für E-Mail
vorstellen.
Diese Filter-Maßnahmen, die im URZ-Beirat diskutiert wurden und
seit Anfang November installiert sind, erfüllen zwei Aufgaben:
- Schutz vor E-Mails mit gefährlichem Inhalt
(insbondere Mails mit ausführbaren Anhängen, die Viren enthalten können)
- Abweisen von E-Mails mit unerwünschtem Inhalt (sogenannte
"Spam", Werbe-Mails mit meist dubiosem Inhalt)
Im Gegensatz zu den individuellen Mail-Filtern wirken diese
automatischen Schutzfilter nicht erst bei Zustellung in die persönliche
Mailbox, sondern bereits an den Mail-Relays, also dann, wenn die E-Mail
die TU Chemnitz "betritt".
So wird ein E-Mail-Virus erst gar nicht in die Uni gelassen.
Die Annahme von Werbe-Mail kann sofort verweigert werden, was auf
längere Sicht hoffentlich zu einer Eindämmung dieser "Plage" führt.
Die einzelnen Schutzfilter-Maßnahmen werden im folgenden vorgestellt.
Spamschutz RBL
Dies ist eine Methode, um unerwünschte Werbe-Mail mit
Hilfe von "Realtime Blackhole Lists (RBL)" abzulehnen.
Dies sind einfach Listen von Rechnern (via DNS verwaltet), von denen selbst
Spam gesendet wurde oder die das Senden von Spam begünstigen (Open Relays).
Mit dieser Maßnahme werden viele Werbe-Mails wirkungsvoll abgeblockt.
Es kann aber nicht sicher ausgeschlossen werden, dass damit auch "gute" Mails
abgewiesen werden. In diesem Falle wird der Absender benachrichtigt, Sie
als Empfänger sehen dies in Ihrem Mail-Protokoll (s.u.).
Falls für Sie die Kommunikation mit diesem abgewiesenen Absender wichtig ist
und der Absender keinen anderen Mail-Server (der nicht als Spam-Sender
aufgefallen ist) verwenden kann, müssten Sie diesen Schutz abstellen.
Dann bekommen Sie weiterhin Mails von den geblockten Rechnern.
Anhand des Mail-Headers X-RBL-Warning kann solche Mail mit den
individuellen Filtern behandelt werden.
Inhalt-Schutz Viren
Hiermit werden akut verbreitete E-Mail-Viren (z.Z. SirCam und Nimda) erkannt.
Eine solche Mail wird nicht weitergeleitet, der Absender wird
informiert. Diesen Schutz sollten Sie immer verwenden!
Er entbindet Sie jedoch nicht von Ihrer Vorsicht gegenüber
E-Mail-Anhängen.
Inhalt-Schutz aktive Inhalte
Damit wird die Zustellung aller Mails mit aktiven Inhalten unterbunden.
D.h. E-Mails, die Anhänge mit ausführbaren Programmen enthalten, werden
abgelehnt. Das betrifft Datei-Anhänge mit
vbs, exe, com, shs, bat, scr, pif.
Datei-Anhänge mit ausführbaren Programmen waren schon häufig
Ausgangspunkt für rasante Virenverbreitung auf Windows-Systemen.
Mit dieser Maßnahme schützt man sich vor dem Empfang solcher Dateien.
Möchte man mit E-Mail-Partnern trotzdem ausführbare Programme
austauschen, so sind diese vorher mit einem Packprogramm (z.B. ZIP)
einzupacken.
Aktive (und möglicherweise gefährliche) Inhalte können auch in
Dokumentenformaten (wie Macros in Word) enthalten sein.
Deshalb sollten solche E-Mail-Anhänge auch weiterhin
kritisch auf Viren geprüft werden.
Folgende Maßnahmen haben wir für die Zukunft noch geplant:
Spamschutz Administrator
Zum Abweisen von unerwünschter E-Mail sollen Regeln zum Einsatz kommen,
die von den Mail-Administratoren des URZ eingestellt werden.
Diese Regeln (das sind spezielle Absender o.ä.) werden veröffentlicht.
Dies soll akute Werbe-Mail-Fluten eindämmen, die nicht durch die Maßnahme
"Spamschutz RBL" erkannt werden.
Spamschutz "ad hoc" Erkennung
Hier soll in Zukunft ein regelbasiertes Erkennungssystem Spam-Mails
aussortieren bzw. kennzeichnen.
Ideen dazu sind sehr gefragt...
- Die Anwendung dieser automatischen Filter ist individuell einstellbar,
wenn Sie ein URZ-Nutzerkennzeichen haben:
- http://mouse.hrz.tu-chemnitz.de/
- dort ganz unten: "Filtereinstellungen"
Geänderte Einstellungen werden nicht sofort wirksam, sondern erst
zur nächsten vollen Stunde.
- Damit Sie die Funktionsweise dieser Regeln kontrollieren
können, sind die Protokoll-Daten zu Ihren E-Mails einsehbar (vom Vortag
bis letzten Monat, mit URZ-Nutzerkennzeichen + Passwort
authentifizieren):
- https://www.tu-chemnitz.de/urz/mail/log/
- Hier können Sie Informationen ansehen zu Ihren gesendeten und empfangenen
Mails, aber auch zu den abgewiesenen.
Leider ist abzusehen, dass die automatisierbaren Spam-Schutzmaßnahmen
keinen 100%-igen Schutz bieten.
So wirkt "Spamschutz RBL" nur für solche Sende-Rechner, die bereits negativ
aufgefallen sind, und die den Betreibern der Blockliste bekannt gemacht wurden.
So werden wir auch in Zukunft mit (hoffentlich deutlich weniger) unerwünschter
Werbe-Mail konfrontiert werden. Deshalb hier
Einige Verhaltensregeln zum Umgang mit unerwünschter Werbe-Mail
zusammengefasst:
- Normalfall: Löschen der E-Mail
- Bei Wiederholungen oder besonders hartnäckigen Fällen:
Den lokalen Postmaster kontaktieren:
postmaster@tu-chemnitz.de
- Wenn der Absender eindeutig identifizierbar ist: per Mail beim
Administrator der Absender-Domain beschweren.
- Trotz Aufforderung: Keine Mail mit 'Remove'-Subject zurücksenden!
Keine WWW-Links in der Mail anklicken.
- Natürlich: Keine Massenmails selber senden - keine Beteiligung an
Kettenbriefen!
- Wie überall: Vorsicht bei mitgesendeten Dateien unbekannter Herkunft
- Prüfung auf Viren!
- Trotz allem: Eigene Mail-Adresse korrekt senden.
- Sorgsam mit der eigenen E-Mail-Adresse umgehen! Nicht unüberlegt einfach
"irgendwo" eingeben (z.B. in WWW-Formularen).
Und schließlich noch ein Dauerbrenner unter den Anfragen an den Postmaster:
Wieso erhält man eigentlich eine E-Mail, obwohl die eigene Adresse gar
nicht im Mail-Kopf (To: oder CC: Header) auftaucht?
Eine E-Mail besteht neben dem vom Mail-Programm angezeigten
Header-Zeilen (To:, Subject: etc.) und dem eigentlichen Inhalt (Text,
evtl. Anhänge = Attachments) auch einen "Umschlag" (Envelope), der Absender und
Empfänger enthält.
Das Übertragungssystem für E-Mail nutzt zur Zustellung der Mail
nur die Adressen des Umschlages (wie bei der Briefpost auch).
Im Normalfall sind die Adressen in Umschlag und Header identisch
(analog zum Fenster-Kouvert bei Briefpost).
Bei Massenmails werden die Umschlagadressen häufig unabhängig vom Header
(der meist gefälschte Adressen enthält) gesetzt, um die Herkunft zu
verschleiern.
Weitere Informationen: http://www.tu-chemnitz.de/urz/mail/filter/