Zur Hauptnavigation / To main navigation

Zur Sekundärnavigation / To secondary navigation

Zum Inhalt dieser Seite / To the content of this page

Sekundärnavigation / Secondary navigation

Inhaltsbereich / Content

SPAM & Virenfilter

(von Dirk Müller und Philipp Graupeter)

Allgemein:

Das an der Uni-Kl derzeit eingesetzte SPAM & Virenfilter ist auf den Rechnern mailgate1.uni-kl.de und mailgate2.uni-kl.de installiert.

 Beide Rechner sind für die Welt erreichbar, nehmen also E-Mails von dort an. Aus dem Adressbereich uni-kl.de werden KEINE Mails angenommen. Welcher der beiden Rechner gerade Mails entgegennehmen wird, regelt der Nameservice (DNS) durch die MX-Records. Derzeit nimmt bevorzugt mailgate2.uni-kl.de E-Mails entgegen und mailgate1.uni-kl.de springt ein, wenn mailgate2.uni-kl.de nicht erreichbar ist.

 E-Mails aus dem Adressbereich uni-kl.de stellen auf die Adresse virenfilter.uni-kl.de ihre Mails zu. 

 Studenten und Mitarbeiter, die einen E-Mail-Account bei einem anderen Provider nutzen wollen, tragen bei SMTP-Host in ihrem Mail-Tool den Host virenfilter.uni-kl.de ein. IMAP oder Pop-Host ist in diesen Fällen der vom Provider angegebene Host.

VIREN

WICHTIG!!!

Ein Virenfilter ist kein 100%iger Schutz gegen Viren!

Ein neues Virus, das dem Filter unbekannt ist, wird natürlich zugestellt!

Virenfilter:

Mails, die nicht lokal zugestellt werden (wie oben genannt, beispielsweise von user mueller nach user schmitt auf der aix) laufen immer über eine der beiden mailgates. Das dort eingerichtete virtuelle Interface virenfilter.uni-kl.de nimmt E-Mails aus den einzelnen Abteilungen entgegen. Auf den mailgates wird jedes Attachement jeder Mail in ein temporäres Verzeichnis extrahiert. Sophos Antivirus scannt das Attachment. Das Versionsupdate von Sophos wird Freitags installiert. Daneben gibt es noch sogenannte Signatur-Updates, die in unregelmäßigen Abständen von Sophos herausgegeben werden (immer dann wenn ein neues Virus ITW >in the wild< entdeckt wurde). Diese Updates werden durch Cron-Jobs und Skripte auf den Maschinen direkt und automatisiert heruntergeladen und in den laufenden Virenscanner eingebunden.

Die Virenscanner testen jede Datei, auch wenn sie durch .ZIP, .ARJ, .RAR oder ähnliche Packer gepackt ist. Wenn die Datei durch ein Passwort geschützt ist, kann sie nicht automatisiert gescannt werden UND WIRD EINFACH DURCHGELASSEN!

Der Virenscanner durchsucht auch Word- (.doc), Powerpoint- und Exel-Dokumente nach eingebetteten Macro-Viren.

Benötigt das Scannen der Attachments eine ungewöhnlich lange Zeit (d.h. mehr als 5 Minuten), wird die Mail mit einem 4xx Code abgewiesen, um zu Zeiten, bei denen das Relay-System weniger zu tun hat, es erneut zu versuchen. Nach wiederholten Abbrüchen wird die Mail endgültig abgewiesen.

Mail's mit mehr als 200 einzelnen Dateiattachments werden abgewiesen. Mails, die grösser sind als 10MByte, werden NICHT getestet und durchgelassen.

Wird nun ein Virus gefunden, geschieht folgendes:

a) falls die Mail von einem Uni-internen Mailrelay stammt (z.B.pop3.rhrk.uni-kl.de), wird die Mail abgewiesen. Damit wird vermieden, dass die doch ab und zu infizierten Outlook-Systeme, die auf Laptops o.ä. einfach an das Uni-LAN angeschlossen werden, innerhalb von wenigen Minuten tausende von Mails in alle Welt mit dem Virus verschicken.

ansonsten

b) kam die Mail von einem externen Relay und enthält einen der üblichen massenverbreiteten Mailviren (Fizzer, Yaha, Klez usw. die nur eine fast leere Mail mit dem üblichen Outlook-Exploit-Attachement haben) dann wird die Mail abgewiesen. Der Empfänger enthält keine Nachricht über diesen Vorgang, der potentielle Absender dagegen erhält die übliche Fehlermeldung.

Leider ist dies bei vielen Viren nicht der wahre Absender, da die meisten Email-Viren eigene SMTP-Routinen verwenden und als Absender z.B. big@boss.com oder support@microsoft.com verwenden. Aus rechtlichen Gründen ist es uns aber nicht erlaubt, das eigentlich sinnvolle Verhalten (die Mail anzunehmen und dann, ohne sie weiterzuleiten zu löschen) zu implementieren. Dadurch werden immer öfter nicht-Virus-verseuchte-Systeme und damit deren Besitzer =) verunsichert und zu unnötiger Arbeit (durchsuchen eines nicht infizierten Systems) angeleitet.

c) kam die Mail von einem externen Relay und enthält nicht eine der üblichen Emailviren, die zu hunderten bis tausenden pro Tag ankommen, dann wird der jeweilige infizierte Anhang aus der Mail entfernt. Statt des infizierten Attachements wird ein neues generiert und in die Mail eingefügt, das einen Hinweis auf die Vireninfektion enthält und eine URL enthält, mit der man via HTTP das vireninfizierte Attachement trotzdem erhalten kann.

Dazu wird dem Anhang ein ca. 50 Zeichen langer Dateiname zugewiesen (der nicht erraten werden kann) und in einem nicht listbaren Verzeichnis auf den Mailgates via http angeboten. Die Anhänge liegen dort mindestens mehrere Wochen zum Abruf bereit und werden je nach Platzknappheit bzw. Alter nach einer Weile gelöscht.

Wichtig: Eine Desinfektion des Attachements FINDET NICHT STATT! Der Anhang wird

völlig unverändert ausgeliefert.

Der Absender erhält über diesen Vorgang keine Benachrichtigung, nur der

Empfänger enthält die nach obigen Regeln modifizierte Mail zugestellt.

 

SPAM

 

Spam und virenbehaftete Mails stellen bei der modernen elektronischen Kommunikation ein erhebliches Belästigungs- und Gefahrenpotential dar.

Das Spamaufkommen hat sich in den letzten Jahren nahezu exponentiell entwickelt. Die bloße Belästigung hat sich dadurch auch zu einem ernstzunehmenden wirtschaftlichen Faktor entwickelt. Mitarbeiter von Unternehmen, Behörden und Hochschulen müssen immer mehr Arbeitszeit darauf verwenden, nützliche von unnützen Mails zu trennen. Die hierbei aufgewendete Arbeitszeit summiert sich finanziell europaweit sicher auf eine einstellige Milliardensumme. Daneben erfordert die Datenflut durch Spam auch den Ausbau von Speicherkapazitäten.

Um den vorgenannten Gefahren zu begegnen, wurden zahlreiche Strategien zu deren Abwendung entwickelt. Bei Planung und Einsatz von Abwehrstrategien ist jedoch immer auch zu beachten, dass es sich hierbei um ein Informationsmedium unter anderem auch für die Individualkommunikation handelt, wodurch schützenswerte Interessen der an der Kommunikation Beteiligten bestehen, die es zu beachten gilt.

Hierunter fallen das durch § 206 StGB und das TKG geschützte Telekommunikationsgeheimnis, datenschutzrechtliche Gesichtspunkte und das durch § 303a StGB geschützte Interesse an der Datenintegrität (in Verbindung mit § 202 StGB). Diese Interessen erlangen bei dienstlichem Mailzugang insbesondere dann ihre volle Entfaltung, wenn die Privatnutzung erlaubt oder geduldet wird. Unabhängig von der Differenzierung zwischen privater und dienstlicher Nutzung erlangt im Bereich von Bildungs- und Forschungseinrichtungen die Lehr- und Wissenschaftsfreiheit Bedeutung. Radikallösungen unter Ausschluss der Privatnutzung des dienstlichen Mailzugangs sind an der TU Kaiserslautern deshalb unmöglich.

Da in der oben dargelegten Rechtslage die Inhalte von mails nicht von menschlicher Hand kontrolliert oder gar verändert werden dürfen, überprüft ein Automat (Sophos, SpamAssasin, ClamAV, o.ä.) die mails und markiert SPAM auf der Envelope (Kuvert), der Inhalt bleibt unverändert.

Wie mit dieser SPAM-mail, die selbstverständlich zugestellt wird, vom Empfänger verfahren wird, stellt dieser in seinem mail-client ein.

 

SPAM Filter

a) manuell verwaltete Black- und Whitelists

b) DNS basiertes SPAM-Relay, sog. open proxy und open relay Listen. Daneben

kommen die Mailserver der erwiesenen SPAM-Bulk-Mailer auf die Blacklist.

c) Absender- / relaybasierte Scoring-Regeln. Mails, die über bekannte

SPAM-Relays laufen, werden dabei deutlich leichter als SPAM markiert, können jedoch bei genügend body-basierten Negativtests durchaus noch durchgelassen werden.

d) Dialup-Teergruben. Dabei werden Mails von dialup-IPs und einer

unbekannten Absendeadresse einmalig mit einem 4xx SMTP-Code abgelehnt. Die üblichen Direct-TO-MX SPAM-Mailer sind dadurch wirkungslos, da sie von Wegwerf-Accounts (AOL, T-Online und ähnlichem) und ständig variiertem Absender versuchen, SPAM Mails einzuwerfen.

e) Auf Header basierte Filterrules. Gefakte Received: Lines führen fast immer zielsicher in den SPAM-Filter.

f) Header-basierte SPAM-typische Kennzeichen.

g) Body-basierte SPAM-typische Kennzeichen einer Mail.

h) übliche "SPAM-Phrases" im Mail-Body (Penis Enlargement etc.)

i) SMTP-Session-basiertes Blocking. Wenn ein Relay überwiegend nicht mehr existente Emailadressen anmailt, läuft er in eine SMTP-Teergrube, aus der sich übliche SPAM-Mailer nicht mehr erholen. Reguläre Mailsoftware (sendmail, postfix etc) wird dadurch nicht geblockt.

j) ca. ein dutzend DNS-basierte Tests, die Plausibilität der Absendeadresse, des HELO-Argumentes, des Reverse-DNS des Relays und ähnliches testen.

Insgesamt werden auf jede Mail, die nicht von einem uni-internen Mailrelay stammt, über 800 verschiedene Tests durchgeführt. Die positiven Tests werden nach einem dynamischen Scoringprinzip miteinander verknüpft. Diese Tests benötigen bei durchschnittlicher Last auf der jetzigen Hardware etwa 2 Sekunden. Die Scorehöhe ist dabei auch von der Bekanntheit der Absendeadresse abhängig (sogenanntes Auto-Whitelisting). Unbekannte Absendeadressen werden dabei vorerst als "potentielle Spammer" eingestuft.

Liegen deutliche SPAM-Kennzeichen vor, wird in den Header der Mail der folgende Header eingefügt:

X-Spam-Score: ******* (7.8) CLICK_BELOW,DATE_IN_FUTURE_...

Die Anzahl der Sternchen ist dabei proportional zu der Wahrscheinlichkeit, dass es tatsächlich SPAM ist. Hinter dem Scoring-Ergebnis (hier 7.8) stehen zu Debuggingzwecken die erfolgreichen Tests.

Diese Kennzeichnung kann von Outlook, Eudora und anderen E-Mail Clients zum weiteren Filtern benutzt werden. Auf Unix-Systemen kann man mit procmail Filter-Regeln schreiben, die solche Mails schon vor dem POP-Download in entsprechende Ordner kopieren. Löschen ist auch möglich, nur greifen die Filterregeln des SPAM-Assassins nie zu 100%.

Überschreitet eine Mail eine deutliche SPAM-Schwelle, wird die Mail abgewiesen. Die Bounce-Message enthält einen Text a la "Junkmail threshold exceeded." Oder auch ähnliches wie "Sorry, no SPAMMERS.". In gar keinem Fall wird die Mail einfach "geschluckt", d.h. nicht an den Empfänger ausgeliefert, ohne den Sender zu benachrichtigen. Diese Strategie hat in den vergangenen 12 Monaten nur 2 mal zu einer "falsch positiv" Einstufung einer Mail geführt und zwei Einträge in der white-List erforderlich gemacht.

Da die DNS-basierten Tests teilweise bedingt durch Netzausfälle und Überlast sehr lange dauern, werden die Tests nach 30 Sekunden abgebrochen. Nicht fertiggestellte Tests werden dabei als negativ betrachtet. Dies führt dazu, dass Mail durchgelassen wird, obwohl sie doch SPAM ist. Daher kann es zu üblichen Überlastzeiten (z.B. Montag morgen 9 Uhr - 10 Uhr) dazu führen, dass mehr SPAM-Mail als sonst zugestellt wird.