Test des Inhalts der E-Mail

Der Header wird auf eine gültige Message-ID überprüft und die E-Mail gegebenfalls abgewiesen:
< id-left @ id-right >

Außerdem wird überprüft, ob bei externen E-Mails im Realnamen @tugraz.at vorkommt.

Die eingehende E-Mail wird von clamav (Clam Anti Virus) auf „Malware“ (Schadsoftware) untersucht, wobei die Virenpattern automatisch bis zu 24 mal am Tag aktualisiert werden (d. h. es wird stündlich überprüft, ob neue Pattern verfügbar sind).

Bei einer verseuchten E-Mail wird diese noch auf der SMTP-Ebene mit einem entsprechenden Fehlercode abgewiesen (rejected), d. h. nicht der (vermutlich gefälschte) Absender wird informiert, sondern der zustellende Server. Was dieser Server dann mit unserem Fehlercode macht können wir nicht beeinflussen.

Diese E-Mail-Filter sind eine erste, hoffentlich schwere Hürde für Viren, dem Endbenutzer wird damit aber nicht jede Eigenverantwortung genommen:

• für neue (und somit unbekannte Viren) kann es noch kein Suchmuster („Pattern“) geben, daher kann ein solcher Virus mit Mustererkennung nicht gefunden werden
• innerhalb von 60 Minuten („stündlich“) kann auch ein bereits bekannter Virus die TU Graz erreichen - wenn unsere Anti-Viren-Software das Suchmuster aber noch nicht kennt, dann kann sie auch den Virus noch nicht erkennen
• Viren nehmen auch andere Wege, nicht nur E-Mail; wenn ein Virus somit gar nicht an unseren Mailgates vorbei kommt, können diese den Virus auch nicht finden und blockieren

Wir raten daher dringend

• Outlook nur in Verbindung mit Exchange zu verwenden, da viele Viren gezielt Schwachstellen von Outlook ausnutzen
• die Vorschau in jedem E-Mail-Client zu deaktivieren
• Attachements nicht zu öffnen, wenn man keine erwartet

Weitere Informationen

Weitere Informationen zum Thema „Viren“ finden Sie z. B. bei Trend Micro oder Kaspersky.

Bitte beachten Sie aber auch, daß nicht jede Virenwarnung tatsächlich echt ist, es gibt auch viele „Scherz“- oder Falschmeldungen, außerdem gibt es auch andere Bedrohungen als nur Viren.

Erst nach all diesen Tests werden die E-Mails auch inhaltlich auf Spam überprüft; ankommende E-Mails, die es bis hierher geschafft haben, werden immer zugestellt, denn nun ist die E-Mail angenommen und die TU Graz für die Zustellung verantwortlich, allerdings können Sie für die IMAP-Server per Webmail Filter definieren, die bestimmte E-Mails automatisch aussortieren.

Ausgehende E-Mails werden (wenn sie als Spam eingestuft werden) aber nicht abgesandt!

Als Software kommt dabei SpamAssassin mit folgenden Erweiterungen zum Einsatz:

• DCC
• Razor
• FuzzyOcr
• Bayesscher Filter, der über den Punkt „Als Spam melden” im Webmail trainiert werden kann
• DKIM

Falls die E-Mail als Spam eingestuft wird (ab X-Spam-Score 3.5), wird das Subject (der Betreff) mit „[ SPAM? ]” am Beginn ergänzt, zusätzlich werden u. a. folgende Header gesetzt:

Die Bedeutung dieser SA-Tests (z. B. HTML_MESSAGE) findet man z. B. hier.

Ein Beispielsbetreff einer solchen E-Mail wäre etwa:

[ SPAM? ] Herzlichen Glückwunsch, Sie haben eine Kreuzfahrt gewonnen.

Informationen zu Anhängen.