E-Mail von der TU Graz?

Sie denken, Sie hätten eine E-Mail mit Spam oder Malware von der TU Graz bekommen?
Natürlich ist das möglich, aber es ist ziemlich unwahrscheinlich. Bis zu diesem Zeitpunkt waren fast alle E-Mails (also der Absender) gefälscht.

Hat sich jemand beschwert, Sie hätten ihm eine E-Mail mit Spam oder Viren gesendet?
Natürlich könnte Ihr Rechner mit „Malicious Code“ oder Malware (=Viren, Trojaner, Wurm, …) infiziert sein und von Ihnen Mails unbemerkt senden, wahrscheinlicher ist aber, daß auf einem anderen System Ihre E-Mail Adresse als Absenderadresse angegeben wird (das Fälschen der Absenderadresse ohne digitale Signatur ist sehr einfach!).

Auch wenn Sie eine E-Mail bekommen, bei der Sie nicht sicher sind, ob sie tatsächlich von der TU kommt: analysieren Sie (wenn möglich) selbst den Header (s. u.) oder fragen Sie Ihren EDV-Beauftragten. Dieser kann bei Unsicherheit auch beim Postmaster nachfragen: Ein Mal zu viel gefragt schadet weniger als ein Mal zu viel Daten weiter gegeben!


Sie scheinen selbst der Absender zu sein?

In Wellen passiert es immer wieder, daß bei Spam-E-Mails als Absender Adressen der TU Graz mißbraucht werden, dabei kommt es natürlich auch vor, daß solche E-Mails auch an die TU Graz versandt werden und Sie sich scheinbar selbst E-Mails geschickt haben.
Abgesehen davon, daß Sie diese E-Mails wie unten beschrieben analysieren können, können Sie natürlich auch Filter definieren, die diese E-Mails - falls die Anzahl störend hoch ist - automatisch löschen.
Diese Filter können Sie entweder in Ihrem lokalen E-Mail-Client, besser aber serverseitig (Studierende/Alumni per Webmail, Bedienstete mittels OWA) definieren:

Spamfilter
 

top

Beispiel eines Teils eines E-Mail-Headers

Received: from [some rgendeine IP adresse] (helo=irgendwas.tu-graz.ac.at)
 by irgendein Rechner with smtp (irgendein MTA)
(…)
Received: from irgendein anderer Server ([irgendeine andere Adresse]) 
 by irgendein anderer Rechner with (…)
Reply-To: <irgendeinnamenummer@irgendwas.tu-graz.ac.at>
Date: (…)
Message-ID: <irgendeine (ungültige) Message-ID>
From: <irgendeinnamenummer@irgendwas.tu-graz.ac.at>
To: <ihre@mail.adresse>
(…)

top

Den E-Mail-Header genauer untersuchen

  • Die From:- (und eventuelle Return-path:-)Zeilen können mit fast jedem E-Mail-Client gefälscht werden, solange DKIM (RFC 4871) oder SPF etc. bzw. digitale E-Mail-Signatur nicht weit verbreitet ist.
  • In der 1. Zeile (Received:) sehen Sie, daß der Name irgendwas.tu-graz.ac.at mit dem helo-Befehl gesetzt wurde, das ist nur dann notwendig, wenn der Name gefälscht wurde. Aber auch wenn Sie kein helo sehen - überprüfen Sie bitte die IP-Adresse.
    Der IP-Bereich der TU Graz („TUGnet“) ist 129.27.*.
  • Die letzte Received:-Zeile im Header (also vor dem Inhalt, in dem natürlich ebenfalls Received: als Text stehen kann!) zeigt Ihnen (falls sie nicht ebenfalls gefälscht ist, was aber relativ schwierig ist), wo die E-Mail tatsächlich herstammt - Sie sollten den Postmaster oder das Abuse-Team dieses System kontaktieren und uns damit verschonen, weil wir nichts dagegen tun können!

top

Warum wird das überhaupt zugestellt?

Wir verwenden unterschiedliche Methoden um Spam bereits vor der Annahme durch unsere Server abzulehnen, wenn unsere Server eine E-Mail aber angenommen haben, dann stellen wir die E-Mail auch zu - dazu sind wir nach TKG verpflichtet! Sie können dann aber solche E-Mails durch serverseitige Filter automatisch löschen lassen.

top

Zuständigkeit

Leider sind wir gegenüber  Spammern und Würmer/Viren auf anderen Systemen, welche vorgeben Angehörige der TU Graz zu sein, eigentlich machtlos.

From:-Zeilen und Servernamen können sehr leicht gefälscht werden, überprüfen Sie daher bitte immer den gesamten Header und fordern Sie Ihren Provider auf schwarze Listen zu verwenden.

Sollten Sie eine E-Mail mit einer persönlichen Beschwerde erhalten haben, so weisen Sie den Beschwerdeführer darauf hin, daß er den Header der E-Mail untersuchen soll. Wenn Sie den Header der Ursprungsmail zur Verfügung haben, dann können Sie sich natürlich auch selbst beim Provider des echten Absenders beschweren.

top