Test des Inhalts der E-Mail

Hat die ankommende E-Mail die formalen Tests bestanden, werden die inhaltlichen Checks durch den Filter MIMEDefang durchgeführt, der eine Schnittstelle zu verschiedenen Virenscannern bietet.

Auch ausgehend werden E-Mails untersucht um zu verhindern, daß Spam-E-Mails die TU Graz verlassen und damit die Reputation der TU Graz schädigen.


Überprüfung des Headers

Der Header wird auf eine gültige Message-ID überprüft und die E-Mail gegebenfalls abgewiesen:
< id-left @ id-right >

top

Test auf Viren

Die eingehende E-Mail wird von clamav (Clam Anti Virus) auf „Malware“ (Schadsoftware) untersucht, wobei die Virenpattern automatisch bis zu 24 mal am Tag aktualisiert werden (d. h. es wird stündlich überprüft, ob neue Pattern verfügbar sind).

Bei einer verseuchten E-Mail wird diese noch auf der SMTP-Ebene mit einem entsprechenden Fehlercode abgewiesen (rejected), d. h. nicht der (vermutlich gefälschte) Absender wird informiert, sondern der zustellende Server. Was dieser Server dann mit unserem Fehlercode macht können wir nicht beeinflussen.

Diese E-Mail-Filter sind eine erste, hoffentlich schwere Hürde für Viren, dem Endbenutzer wird damit aber nicht jede Eigenverantwortung genommen:

  • für neue (und somit unbekannte Viren) kann es noch kein Suchmuster („Pattern“) geben, daher kann ein solcher Virus mit Mustererkennung nicht gefunden werden
  • innerhalb von 60 Minuten („stündlich“) kann auch ein bereits bekannter Virus die TU Graz erreichen - wenn unsere Anti-Viren-Software das Suchmuster aber noch nicht kennt, dann kann sie auch den Virus noch nicht erkennen
  • Viren nehmen auch andere Wege, nicht nur E-Mail; wenn ein Virus somit gar nicht an unseren Mailgates vorbei kommt, können diese den Virus auch nicht finden und blockieren

Wir raten daher dringend

  • Outlook nur in Verbindung mit Exchange zu verwenden, da viele Viren gezielt Schwachstellen von Outlook ausnutzen
  • die Vorschau in jedem E-Mail-Client zu deaktivieren
  • Attachements nicht zu öffnen, wenn man keine erwartet

Weitere Informationen

Weitere Informationen zum Thema „Viren“ finden Sie z. B. bei Trend Micro oder Kaspersky.

Bitte beachten Sie aber auch, daß nicht jede Virenwarnung tatsächlich echt ist, es gibt auch viele „Scherz“- oder Falschmeldungen, außerdem gibt es auch andere Bedrohungen als nur Viren.

top

Anhänge

Anhänge mit den Dateierweiterungen bas|bat|chm|cmd|com|dll|exe|hta|inf|jar|js|jse|lnk|msi|pif|ps1|reg|scf|scr|vb|vbe|vbs|ws|wsf|wsh werden entfernt (siehe auch Empfehlung des BSI) und durch eine entsprechende Mitteilung ersetzt. Auch der Absender wird per E-Mail darüber informiert.

top

Spam-Check

Erst nach all diesen Tests werden die E-Mails auch inhaltlich auf Spam überprüft; ankommende E-Mails, die es bis hierher geschafft haben, werden immer zugestellt, denn nun ist die E-Mail angenommen und die TU Graz für die Zustellung verantwortlich, allerdings können Sie für die IMAP-Server per Webmail Filter definieren, die bestimmte E-Mails automatisch aussortieren.

Ausgehende E-Mails werden (wenn sie als Spam eingestuft werden) aber nicht abgesandt!

Als Software kommt dabei SpamAssassin mit folgenden Erweiterungen zum Einsatz:

Falls die E-Mail als Spam eingestuft wird (ab X-Spam-Score 3.5), wird das Subject (der Betreff) mit „[ SPAM? ]” am Beginn ergänzt, zusätzlich werden u. a. folgende Header gesetzt:

X-TUGAntiSpamFlag: spam
X-Spam-Score: SA-score
X-TUG-Spam-Level: ####..
X-Spam-Tests: SA-Test
X-Spam-Status: suspected

Die Bedeutung dieser SA-Tests (z. B. HTML_MESSAGE) findet man z. B. hier.

Ein Beispielsbetreff einer solchen E-Mail wäre etwa:

[ SPAM? ] Herzlichen Glückwunsch, Sie haben eine Kreuzfahrt gewonnen.

top