• Zielgruppen
  • Suche
 

Funktionsweise Viren- & Spamabwehr

Die Mail-Filterung auf Malware (u.A. Viren) und Spam erfolgt an der Leibniz Universität Hannover zentral durch das Rechenzentrum. Eine direkte Zustellung von Mails in Einrichtungen an der LUH ist aus Sicherheitsgründen grundsätzlich am Internet-Gateway durch Port-Sperren ausgeschlossen, damit eine einheitliche Anti-Malware-Policy in Bezug auf E-Mail aufrechterhalten werden kann.

Das Rechenzentrum erledigt die Viren- und Spam-Abwehr für in die LUH eingehenden Mails durch Rückgriff auf den Mail-Support-Dienst des DFN-Vereins, der als Internet-Provider auch für den Internet-Anschluss der Universität sorgt. Dabei werden Mails zunächst über Server (Mail-Relays) des DFN geschickt, wo eine Filterung als direkte Nicht-Annahme (insbesondere bei Malware) oder durch Kennzeichnung ("SPAM-Tagging" im Mail-Header) erfolgt.

Das Bild zeigt, welche Mailserver von Absender bis Empfänger durchlaufen werden (Absender-ISP, DFN, LUH-Relais, Rechenzentrums- oder Einrichtungs-Mailstorage)

Funktionsweise der DFN-Viren- & Spamabwehr

Die Spamwehr findet durch unseren Netzprovider DFN-Verein (Verein zur Förderung eines Deutschen Forschungsnetzes e. V.) statt. Sämtlicher E-Mail-Verkehr an die Leibniz Universität Hannover wird über entsprechende Relays des DFN geleitet und dort gefiltert und markiert.

Folgende Regeln gelten:

  • Der DFN verweigert die Annahme von SPAM mittels Blacklisting (RBL, aktuelle Liste vgl. DFN-RBL-Seite).
  • Nichtexistente Absender-Domänen werden sofort abgelehnt.
  • Die Annahme malware-behaftete E-Mails wird abgelehnt, wobei die Mails mittels dreier Viren-Scanner (Avira, ClamAV, Sophos) auf Malware untersucht werden.
  • Weitere Spamerkennung und Markierung erfolgen duch Spamassasin und Bogofilter.

Durch Blacklists oder Virenscanner identifizierte E-Mails werden nicht zugestellt, sondern direkt abgelehnt. Alle weiteren E-Mails werden markiert durch einen sogenannten 'Spam-Score' im Header der E-Mail.

Überschreitet der Spamscore den Wert 6,2 , so werden Spam-Markierung  gesetzt. Auf diese Markierung kann lokal oder serverseitig bei uns gefiltert werden (s.u.). Die  Flags lauten:

  • X-DFN-Spam-Flag: YES oder NO
  • X-DFN-Spam-Score: 0..?
  • X-DFN-Spam-Level: * (pro ganzen Spam-Punkt einen Stern)

E-Mails mit dem hohen Spam-Score von 12,5 werden abgewiesen.

Ausnahme:
Für die Mail-Domainen stud.uni-hannover.de und alumni-uni-hannover.de werden keine Spam-Markierungen gesetzt, für beide Domainen werden E-Mails mit einem Spam-Score ab 7,0 abgewiesen.

Details zum DFN-Mail-Dienst

Details zur Funktionsweise der Viren- und Spamabwehr des DFN können der Dokumentation des Mail-Supports des DFN entnommen werden. Dort werden neben den Randbedingungen des Dienstes auch die Details zu den Filtern und deren Einstellungsmöglichkeiten (die Auswahl trifft das Rechenzentrum der LUH) detailliert dargestellt.

Verbesserung der Spamabwehr

E-Mails, die von der Spamabwehr nicht  erkannt wurden, nach Ihrer Auffassung aber SPAM sind, senden Sie bitte an spamluis.uni-hannover.de .

Wurden gewünschte E-Mails fälschlicherweise als SPAM bewertet, handelt es sich also um sogenannte HAM, dann senden Sie diese an hamluis.uni-hannover.de .

In beiden Fällen können wir diese E-Mails aber nur unter folgenden Bedingungen verarbeiten:

  • wir bekommen die E-Mail als Anhang (Attachment)
  • der Anhang enthält die vollständigen Kopfzeilen (Header) der fraglichen E-Mail
  • die E-Mail sollte nicht älter sein als 48 Stunden. Ältere Spam-E-Mails sind in der Regel durch andere Stellen bereits in das System eingetragen worden.
  • Sie senden keine eigenen Signaturen und elektronischen Visitenkarten mit, da sonst auch diese als Kriterien mit in die Spam-Abwehr aufgenommen würden.

Spam-Sortierung in der LUH

Nachdem der DFN eingehende Mails als Spam gekennzeichnet hat, werden diese zu den Mail-Servern der LUH weitergeleitet. Dort erfolgt die Zustellung an die auf den Mailservern gespeicherten Mail-Accounts. Wie und ob dort eine Aussortierung unerwünschter Werbe-Mails erfolgt, hängt von den account-spezifischen Einstellungen und dem verwendeten Mail-Server ab.

Mail-Server des Rechenzentrums

In den Einstellungen der Mail-Accounts, genauer in den serverseitigen Filterskripten, kann eine Aussortierung der Spam-Mails vor Abruf durch den Nutzer erfolgen. Dieses geschieht z.B mit einem über den Web-Mailer Horde vorkonfigurierten Sieve-Skript, in dem standardmäßig eine Aussortierung in den Ordner "30dTrash" vorgesehen ist. Im Ordner "30dTrash" werden automatisch einmal täglich alle Mails gelöscht, die älter als 30 Tage sind. Wählen Sie in dem Sieve-Skript einen anderen Ordner, wenn Sie die automatisierte Löschung nicht wünschen.

Ob ein Mail-Account an dieser serverseitigen und damit unabhängig vom Weg des Mailabrufs (egal welcher Mail-Client auf welchem System oder ob über den Webmailer) funktionierenden Spam-Aussortierung teilnimmt, ist account-spezifische Einstellung. Ggf. ist die vordefinierte Spam-Abwehrregel im Web-Mail-Filter von Horde zu aktivieren.

Alternativ kann auf die Spam-Sortierung über den Server verzichtet werden. Dann kann die Spam-Kennzeichnung immernoch im Mail-Client ausgewertet werden. Diese Einstellung bietet sich für alle an, die noch das POP-Protokoll zum Mailabruf verwenden, weil dabei ein Abruf nur für die INBOX und nicht für den Spam-Folder 30dTrash möglich ist.

Einrichtungseigene Mail-Server

Einrichtungen, die noch selbst einen Mail-Server betreiben, können die Spam-Kennzeichnung des DFNs selbst auswerten. Dieses kann z.B. auf dem Mail-Server der Einrichtung erfolgen. Dieses muss entweder durch den Mail-Server-Admin zentral oder durch die Nutzer am Mail-Server einzeln eingestellt werden. Alternativ ist eine client-seitige Filterung durch jeden Mail-Nutzer möglich.

LUH-interne Mail

Mail, die innerhalb der LUH verschickt wird, geht nicht über die Server des DFN. Es erfolgt keine Spam-Abwehr, sehr wohl ist aber eine Virenabwehr, d.h. das Prüfen der Mail mit einem Antivirus-Programm, auf den Mail-Relays und SMTP-Servern des Rechenzentrums implementiert. Damit jede interne Mail gefiltert werden kann, sollten daher alle Mails durch die Server des Rechenzentrums laufen. Insbesondere sollten nachgelagerte, einrichtungseigene Mailserver alle Mails über das Rechenzentrum schicken.

Wird von einem SMTP-Server des Rechenzentrums eine Mail als malware-infiziert klassifiziert, so wird der Empfang gleich abgebrochen und damit die Annahme verweigert. Auf den Mail-Relays wird eine Viren-Mail aussortiert und stattdessen der Empfänger über das Zurückhalten der Mail informiert (dieses betrifft nur vom DFN bereits gescannte Mail, sollte daher fast nicht auftreten).

Das Bild zeigt die Wege LUH-interner Mail: Die Einlieferung erfolgt am LUH-SMTP-Server, der direkt auf die Mail-Storage-Systeme zustellt.

Potentiell gefährliche Anhänge

Einige Dateianhänge wie z.B. direkt ausführbare Programme gelten als besonders gefährlich, da sie durch den Nutzer sehr leicht aktiviert werden können und traditionell eher Viren enthielten. Mails mit solchen Anhängen, in denen die Antivirus-Scanner keine Malware festgestellt haben, werden innerhalb der Universität trotzdem zugestellt. Wenn solche Mails aber von Außerhalb kommen, werden sie zusätzlich mit einer Warnung versehen. Die Anhänge bleiben unverändert erhalten, und der Nutzer muss vorsichtig und verantwortungsvoll damit umgehen, die Warnung sieht wie folgt aus:

  •  X-DFN-Amavis-Alert: BANNED, .... (plus weiterem Text zur Beschreibung des Anhangs)