Sprungmarken

Die letzten Meldungen

Neues IT-Kursprogramm bis Januar online

29. August 2014

Die Kurstermine des Schulungszentrums bis Januar 2015 sind online. Sie finden sie wie immer unter http://www.kurse.rrze.fau.de.
Weiterlesen...

Wartungsankündigung mysqlold.rrze.uni-erlangen.de

7. August 2014

Aufgrund einer dringenden Hardwarewartung wird der Mysql-Server “mysqlold.rrze.uni-erlangen.de” am kommenden Dienstag, den 12.08.2014, von 8:30 – 9:00 Uhr nicht zur Verfügung stehen.
Weiterlesen...

Störung der Exchange-Suche [behoben]

6. August 2014

Aufgrund eines technischen Problems steht Ihnen die Suchfunktion in Exchange diese Woche leider nur eingeschränkt zur Verfügung. Wir arbeiten selbstverständlich mit Hochdruck an einer Lösung und bitten um Verständnis.
Weiterlesen...

Meldungen nach Thema

 

SPAM-Analyse: Anti-Spam-Maßnahmen des RRZE

Inhalt

Allgemein

Das RRZE führt am zentralen FAU-Mail-Relay eine Spam-Analyse aller eingehenden E-Mails auf der Basis von Externer Link:  SpamAssassin durch. Ziel dieser Maßnahme ist die Bereitstellung einer Bewertung jeder E-Mail nach zentral gepflegten Kriterien. Diese Bewertung kann dann jeder RRZE-Kunde in eigener Verantwortung einem selbst definierten E-Mail-Filter zugrundelegen. Die Bewertungskriterien lassen sich an zentraler Stelle nicht auf die Kommunikationsbeziehungen jedes einzelnen E-Mail-Emfängers zuschneiden. Die Bewertung soll als Hilfestellung für die Sortierung von E-Mails dienen und damit jedem Empfänger die Möglichkeit einräumen, durch Konfiguration seiner E-Mail-Oberfläche, die Belastung durch Spam-Mails zu reduzieren. Die Spam-Bekämpfung wird also in zwei Phasen aufgeteilt, eine Analyse-Phase und eine Filterphase, die nacheinander durchlaufen werden müssen.

Analyse-Phase

Jede Mail wird um zusätzliche Header-Zeilen ergänzt, die alle mit "X-Spam-" beginnen. Diese Zeilen dokumentieren die Spam-Analyse des RRZE und ihr Ergebnis. Die Spam-Bewertung stellt eine Wahrscheinlichkeitsgröße dar. Eine Garantie für die Qualität der Spam-Bewertung kann nicht gegeben werden. Es werden alle Mails analysiert, die aus dem Internet über den zentralen FAU-Mail-Relay an andere Mail-Server innerhalb der FAU verteilt werden, oder am zentralen FAU-Mail-Relay lokal zugestellt werden.

Beispiele

X-Spam-Flag: YES
X-Spam-Level: *******************
X-Spam-Status: Yes, score=19.877 tagged_above=-999 required=5 tests=[BAYES_99=3.5, DATE_IN_FUTURE_Q_PLUS=2.6, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, EXTRA_MPART_TYPE=1, FORGED_OUTLOOK_HTML=0.021, FREEMAIL_ENVFROM_END_DIGIT=1.65, FREEMAIL_FROM=0.35, HK_RANDOM_ENVFROM=0.001, HTML_FONT_FACE_BAD=0.981, HTML_IMAGE_ONLY_08=1.4, HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.723, MIME_HTML_ONLY_MULTI=0.001, PYZOR_CHECK=1.392, RCVD_IN_DNSWL_NONE=-0.0001, RFC_ABUSE_POST=0.001, SARE_SUB_ENC_GB2312=1.345, SORTED_RECIPS=2.499, STOCK_IMG_CTYPE=0.001, SUSPICIOUS_RECIPS=2.51, UNPARSEABLE_RELAY=0.001] autolearn=spam
X-Spam-Status: No, score=-1.0 tests=ALL_TRUSTED=-1.5, BAYES_50=0.5 autolearn=no

Die Bewertung kann nur genutzt werden, wenn die Header X-Spam-Flag oder X-Spam-Level in der der empfangenen E-Mail auftauchen. Die Bewertung wird ab einem Schwellwert von 5 in Form von X-Spam-Header-Informationen eingetragen. Die Überschreitung des Schwellwertes erkennt man an dem Header X-Spam-Flag = YES. Zusätzlich gibt dann die Anzahl der Sternchen im Header X-Spam-Level = ****** die Bewertungszahl wieder. Mails mit einem Level >= 15 sind ziemlich sicher Spam, solche mit weniger als 15 Punkten sind wahrscheinlich ebenfalls Spam, sollten aber nochmal kontrolliert werden.

Spam-Bewertung beim Durchlaufen des zentralen FAU-Mail-Relay

Die Spam-Bewertung nach zentralen Spam-Kriterien für alle E-Mails erfolgt, wenn diese den zentralen FAU-Mail-Relay passieren. Damit werden alle aus dem Internet ankommenden E-Mails bewertet, wenn für die Mail-Domains der Ziel-Adressen der mailhub.rrze.uni-erlangen.de mit niedrigster oder zweitniedrigster Präferenz zuständig ist. Diese Information lässt sich mit dem Aufruf
nslookup -q=mx <maildomain>
abrufen. Dieses Kommando gibt die für einen Mail-Domain zuständigen Mail-Server (Mail eXchanger Record, MX-Record des Domain Name Service, DNS) wieder.

Wird bei der Analyse ein Zeitlimit nicht eingehalten oder überschreitet eine E-Mail die Maximalgröße, wird keine Bewertung durchgeführt. In diesen Fällen ist eine Filterung nicht möglich.

Die folgenden Aussagen bezüglich der Header X-Spam-RRZE-Info und X-Spam-Checker-Version stimmen seit der Umstallung der Spamanalyse auf Amavis nur noch bedingt!

Zusätzlich wird dort den E-Mails ein weiterer Header mit einem Verweis auf diese Dokumentation hinzugefügt.:

Beispiel

X-Spam-RRZE-Info: Diese Mail wurde einer automatischen Spam-Analyse unterzogen, siehe: http://www.rrze.uni-erlangen.de/dienste/e-mail/spam-analyse/

Jede E-Mail, welche die zentrale Spam-Analyse durchlaufen hat, trägt diesen zusätzlichen X-Spam-Header, auch wenn sie nicht als Spam-Mail bewertet wurde.

Beispiele

X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck1.rrze.uni-erlangen.de
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck2.rrze.uni-erlangen.de
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck3.rrze.uni-erlangen.de
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck4.rrze.uni-erlangen.de
X-Spam-Checker-Version: SpamAssassin 3.3.1-rrze on boeck5.rrze.uni-erlangen.de

Dieser Header gilt nur in Verbindung mit dem oben beschriebenen Header X-Spam-Checker-Version , wenn dieser den Spamcheck-Server boeck? enthält. Sonst stammt die Spambewertung nicht vom RRZE, sondern von einem anderen Spam-Check-Server, den die entsprechende Mail anschließend durchlaufen hat!

Fehlt dieser Header, so hat die E-Mail nicht den den zentralen FAU-Mail-Relay passiert und wurde auf anderen Wegen zugestellt.

Filter-Phase am Arbeitsplatz-Rechner des Kunden

Jede E-Mail-Oberfläche bietet (mehr oder weniger mächtige) Möglichkeiten, die eintreffenden E-Mails nach Kriterien zu filtern. Die Einrichtung eines Filters, der die zentrale Spam-Bewertung nutzt, liegt in der Verantwortung des Mailbox-Inhabers. Wir raten dringend dazu, beim Filtern die als Spam bewerteten E-Mails in eigene Ordner zu legen und nicht vollautomatisch zu löschen. Diese Spam-Ordner sollten mehrmals überflogen werden (am besten täglich), um fälschlicherweise als Spam bewertete E-Mails zurück in die Inbox zu verschieben.

Eine Hilfestellung zum Einrichten von Spam-Filtern auf der Basis der zentralen Bewertung ist gegliedert nach E-Mail-Programmen: Siehe hierzu die Seiten

Letzte Änderung: 13. Maerz 2012, Historie

zum Seitenanfang

Startseite | Kontakt | Impressum

RRZE - Regionales RechenZentrum Erlangen, Martensstraße 1, D-91058 Erlangen | Tel.: +49 9131 8527031 | Fax: +49 9131 302941

Inhaltenavigation

Zielgruppennavigation

  1. Studierende
  2. Beschäftigte
  3. Einrichtungen
  4. IT-Beauftragte
  5. Presse & Öffentlichkeit