1. Hauptnavigation
  2. Navigation des Hauptbereiches
  3. Inhalt der Seite

Mailscanner (Mail IN)

Behandlung von E-Mails an den zentralen Mail-Eingangsservern der HTW

Die Mail-Eingangsserver der HTW nehmen E-Mails für die Domain htw-dresden.de einschließlich aller im DNS aufgeführten Subdomains an und leiten diese an den Empfänger weiter, soweit die E-Mails nicht durch nachfolgende Ergänzungen abweichend behandelt werden.

1.) Abweisung von E-Mails von nicht korrekt konfigurierten Mailservern
Die Mail-Eingangsserver der HTW nehmen keine E-Mails mehr von Clients an, die keinen RFC 5321 konformen HELO/EHLO-Request senden. Mails von Clients, deren im "HELO" gesendeter Name nicht RFC-konform auf eine IP-Adresse aufgelöst werden kann, werden mit entsprechender Fehlermeldung abgelehnt. Gleiches gilt für Mailserver, bei denen die Auflösung von IP-Adresse zu Hostname und die "Rückwärtsauflösung" von Hostname zu IP-Adresse nicht übereinstimmen. Dies kann u. U. dazu führen, dass auch "korrekte" E-Mails von fehlerhaft konfigurierten sendenden Mailservern von unseren Mailservern abgewiesen werden.

Die vorstehend genannten Einschränkungen betreffen nur Clients außerhalb der HTW. Mails von Rechnern innerhalb des Adressbereiches der HTW werden auch weiterhin wie bisher angenommen.

2.) Greylisting
Seit Juli 2007 kommt auf den Mail-Eingangsservern der HTW Greylisting zum Einsatz. Der Begriff Greylisting (brit.)/Graylisting (USA) bezeichnet dabei eine Form der Spam-Bekämpfung bei E-Mails, bei dem die erste E-Mail von unbekannten Absendern temporär abgewiesen und erst nach einem zweiten Zustellversuch angenommen wird.

Funktionsweise:
Wird ein SMTP-Server kontaktiert, damit dieser eine E-Mail in Empfang nimmt, so sind diesem Mailserver folgende drei Daten bekannt, bevor der Mail-Server die E-Mail annehmen muss:

  1. IP-Adresse des absendenden Mailservers
  2. E-Mail-Adresse des E-Mail-Senders
  3. E-Mail-Adresse des E-Mail-Empfängers

Wurde eine E-Mail mit dieser Kombination von Adressen innerhalb eines zurückliegnden Zeitintervalls von 30 Tagen noch nie empfangen, dann wird der Zustellversuch durch den SMTP-Server abgeblockt mit einer Meldung, dass ein temporärer Fehler aufgetreten sei, der SMTP-Client die Zustellung also später noch einmal versuchen soll. Wird ein nächstes Mal versucht, eine E-Mail mit der selben Kombination von Daten zuzustellen (was ein regulärer und RFC-konform konfigurierter SMTP-Server nach einem konfigurierbaren Zeitintervall auf jeden Fall tun sollte), so wird diese E-Mail akzeptiert. Ob und wann ein erneuter Zustellversuch unternommen wird, hängt einzig und allein vom Versender ab. Der absende Mailserver (nicht der Absender der E-Mail selbst !!!) wird in jedem Fall durch eine entsprechende Meldung über die verzögerte Annahme informiert.

3.) Viren, Würmer, Trojaner
Auf den Mail-Eingangsservern der HTW werden grundsätzlich alle eingehenden E-Mails automatisch auf ggf. vorhandene Schadsoftware überprüft. E-Mails, in denen von der zum Einsatz kommenden Antivirensoftware Viren etc. festgestellt werden, werden nicht weiter an den Empfänger zugestellt und automatisch gelöscht, eine Benachrichtigung des Empfängers erfolgt nicht. Da i. d. R. die Absendeadresse solcher E-Mails gefälscht ist, erfolgt grundsätzlich auch keine Information des Absenders.

4.) E-Mails mit "verdächtigen" Anhängen
E-Mails mit Anhängen, die ausführbare Dateien (u. a. *.exe, *.vbs, *.pif, *.scr, *.bat, *.cmd, *.com, *.cpl, *.dll) enthalten oder andere verdächtige Merkmale aufweisen (doppelte Indizierung, wie z. B. xyz.doc.pdf, sehr lange Dateinamen mit z. T. vielen Leer- oder Sonderzeichen) werden zurückgehalten und in Quarantäne-Ordnern zwischengespeichert. Archiv-Dateien (*zip, *.rar, etc.), die ausführbare Dateien (s. o.) enthalten, werden ebenfalls in Quarantäne-Ordnern zwischengespeichert. Da die Überprüfung der E-Mails contentbezogen erfolgt, führen Versuche, die Funktion der Mailscanner durch Umbenennen der Dateien zu umgehen, nicht zum Erfolg.

Der Empfänger und der Absender der E-Mail werden entsprechend informiert. Auf Anforderung wird dem Empfänger die E-Mail einschließlich der Anhänge zugänglich gemacht. Nach Ablauf von vier Wochen ab Eintreffen der E-Mail wird diese am darauf folgenden Monatsende ohne weitere Information gelöscht.

5.) Spambehandlung und Kennzeichnung
Auf den Mail-Eingangsservern der HTW werden neben der Virenerkennung auch alle eingehenden E-Mails auf Spam-Kriterien untersucht und bei Vorhandensein entsprechend markiert. In Abhängigkeit von der Höhe des sog. Spam-Score (Höhe der Spam-Wahrscheinlichkeit) werden diese E-Mails unterschiedlich behandelt:

  • a) Spam-Score = / > 1: Die E-Mail wird in einer Header-Zeile mit einer der Höhe des Spam-Score entsprechenden Anzahl von "s" gekennzeichnet.
  • b) Spam-Score > 5: Das Subject der E-Mail wird umgeschrieben, dem ursprüglichen Text wird ein {Spam?} vorangestellt.

Soweit als Spam klassifizierte E-Mails keinen weiteren der unter 3.) und/oder 4.) aufgeführten Kriterien entsprechen, werden sie an den Empfänger zugestellt, ein ggf. vorzunehmendes Ausfiltern und Löschen von Spam-Mails muss durch den Nutzer selbst erfolgen. E-Mails die neben den Spam-Kriterien auch Kriterien der Punkte 3.) und/oder 4.) erfüllen, werden entsprechend den dort festgelegten Verfahrensweisen behandelt und nicht zugestellt.

Aktualisiert: 30.08.2016  |  Autor: D. Makowitz