VegaSystems Spamschutz

Um möglichst effektiv gegen Spammails vorgehen zu können, entwickeln wir unsere Infrastruktur ständig weiter. Hier finden Sie eine Übersicht über die aktuell von uns eingesetzten Techniken.

AntiSpam Plugins

Durch die folgenden Optionen können verschiedene Plugins zur Spambekämpfung aktiviert werden.

Greylisting

Beim sogenannten Greylisting wird die Tatsache ausgenutzt, dass die meisten Spammer nur einen einzigen Zustellversuch pro Spam-Mail unternehmen. Folgende Informationen werden aus jeder E-Mail ausgewertet:

• IP-Adresse des absendenden Mailservers
• E-Mailadresse des Absenders
• E-Mailadresse des Empfängers

Ist diese Kombination aus Informationen noch nicht zuvor aufgetreten (nicht in der Datenbank hinterlegt), wird die E-Mail temporär abgewiesen. Dieses Verhalten ist ein ganz normaler und vor allem mit weltweiten Standards konformer Vorgang. Wird eine Email temporär abgelehnt, besagt der Standard, dass bspw. nach einer Viertelstunde erneut versucht wird die E-Mail abzusetzen. Der Zeitpunkt der erneuten Zustellung hängt hier von der Konfiguration des jeweiligen Mailservers ab, da der Standard keine definierte Zeit festlegt. Üblich sind hier aber 15 - 30 Minuten zwischen den Zustellversuchen.

Ist diese Kombination bereits einmal aufgetreten, wird die E-Mail direkt akzeptiert. Wichtig ist also, dass nicht grundsätzlich alle E-Mails verzögert werden, sondern lediglich die erste E-Mail die von einem bestimmten Absender an einen bestimmten Empfänger gesendet wird.

SenderPolicyFramework (SPF)

Eine Maßnahme welche sich gegen Spam- und gegen Phishing/Pharming E-Mails richtet, ist das Auswerten von SPF-Records. Diese werden direkt in der DNS-Zone einer Domain hinterlegt und definieren, welche Server autorisiert sind, E-Mails mit genau dieser Domain im Absender zu verschicken. Da viele Banken bereits SPF Records hinterlegen, kann man sich über das Auswerten von SPF Records gut gegen Phishing/Pharming schützen. Des Weiteren hinterlegen auch große E-Mailprovider wie GMX und AOL SPF Records, wodurch hier gefälschte E-Mail abgeblockt werden können.

Blacklisten

RealtimeBlackholeLists (RBLs)

Wenn ein Mailserver eine Verbindung aufbaut um eine E-Mail an unsere Server zu übergeben, wird geprüft ob die IP-Adresse in einer RealtimeBlackholeList (RBL) auftaucht.
Zunächst wird die VegaSystems Blackliste überprüft. Diese pflegen wir selbst und lassen fortlaufend Ergebnisse verschiedener Auswertungen unserer Mailserver Protokolle einfliessen, um einen möglichst umfangreichen Schutz zu gewährleisten.
Zusätzlich haben sich die folgenden externen Blacklisten in unseren Tests als zuverlässig herausgestellt. Diese werden durch externe Anbieter gepflegt. Wir haben keinen Einfluss auf die Listen selbst:

• zen.spamhaus.org
  
  Die ZEN Blackliste von Spamhaus vereint drei verschiedene Spamhaus RBLs. Das ist die SBL (Spam-Blocklist) welche Quellen von Spam auflistet, die XBL (Exploit-Blocklist) welche Quellen von Würmern und Trojanern beinhaltet sowie die PBL (Policy-Blocklist) in der hauptsächlich dynamische IP-Adressen von Dialup Providern eingetragen werden.

• spamcop.net

  Die Spamcop Blackliste basiert auf einer grossen Gemeinschaft von Benutzern, welche bei dem Erhalt von Spam diese Spam-Mails an Spamcop weiterreichen. Das Spamcop Projekt wertet diese Emails aus und kann feststellen, woher diese E-Mails kommen. Häufen sich die Beschwerden über bestimmte IP-Adressen, werden diese in der Blackliste aufgenommen.

• njabl.org, sorbs.net

  Die NJABL (Not Just Another Bogus List) und SORBS (Spam and Open Relay Blocking System) Blacklisten sind weitere qualititiv hochwertige RBLs, mit welchen wir sowohl im Testbetrieb als auch im produktiven Einsatz durchweg positive Erfahrungen gesammelt haben.

• nixspam.org

  Die NixSpam Blackliste ist ein Projekt des Heise Verlags. Hier wird neben der Auswertung von E-Mails, welche an Mitarbeiter des Verlags selbst geschickt werden, zusätzlich mit Spamfallen gearbeitet. Diese stellen Mailaccounts dar, die keinerlei echte E-Mails erhalten. Wird hier eine E-Mail empfangen, kann man davon ausgehen, dass diese als Spam zu deklarieren ist. Wird von einer bestimmten Adresse kein weiterer Spam mehr empfangen, wird diese nach einigen Tagen automatisch aus der Liste entfernt. 

Client Filter

HELO Servername muss auflösbar sein

Diese Option bewirkt dass bei dem Empfang einer E-Mail nicht nur die Form des Servernamens eines Servers überprüft wird (ist der Hostname ein FQHN?), sondern zusätzlich ob dieser wirklich über das Domain Name System (DNS) auflösbar ist. Diese Überprüfung findet noch während der HELO-Phase statt, also in der Phase in der sich die Mailserver einander "vorstellen". Schlägt die Überprüfung fehl, wird die E-Mail nicht angenommen.
Im Internet sollten "echte Mailserver" heutzutage wegen der Flut an Spam den Servernamen welcher wärend der HELO Phase genannt wird ohnehin korrekt setzen.  Vor allem aber Spambots und ähnliche Kandidaten sind hier zu einem großen Prozentsatz falsch konfiguriert und können somit direkt herausgefiltert werden.

ReverseDNS Eintrag für Mailserver-IP erforderlich

Wenn eine E-Mail empfangen wird überprüfen, insofern die Option aktiviert ist, unsere Mailserver ob zu der IP-Adresse ein ReverseDNS Eintrag existiert. Ist dies nicht der Fall, wird die E-Mail nicht angenommen bzw. die Verbindung beendet. Ein  Mailserver hat im Normalfall heutzutage einen ReverseDNS Eintrag. Hierfür muss ein MailAdministrator sorge tragen.

Inhaltliche Filter

Die inhaltliche Filterung bezieht sich auf den Inhalt der E-Mail und nicht mehr auf die Parameter und Rahmendaten welche durch die Verbindung und die TCP/IP Schicht bestimmt werden.

Spamfilter

Hat eine E-Mail alle vorherigen Filterstufen erfolgreich passiert, wird eine inhaltliche Analyse der E-Mail durchgeführt. Diese basiert auf sehr vielen unterschiedlichen Kriterien und Tests. Die Filter vergeben anhand sehr vieler verschiedener Regeln Punkte für E-Mails. Überschreitet die Punktzahl (der sogenannte Score) einen bestimmten Schwellenwert, wird die E-Mail als Spam eingestuft. Der Administrator einer Domain kann festlegen, was mit einer solchen markierten Email geschehen soll. Entweder wird diese lediglich als Spam markiert und in das Zielpostfach weitergeleitet (Standard), oder es wird für die komplette Domain ein Postfach eingerichtet in welchem alle Spamemails zentral gespeichert.