Empfangen Sie Ihre Emails direkt per SMTP, können Sie als erste Stufe zur Spamfilterung Emails von bekannten Spamversendern gleich vor der Annahme ablehnen lassen. Dies reduziert die Last auf dem System und vermeidet unnötigen Datentransfer.
Ist die Option im Menü Dienste > Emailfilter > Spam > Einstellungen aktiv, so wird die IP jedes Servers, der Emails direkt per SMTP einliefern will, per DNS überprüft. Dabei werden mehrere Blocklisten abgefragt. Ist die IP auf mehreren Blocklisten gleichzeitig als Spamversender geführt, wird der Emailempfang von diesem Server generell abgelehnt.
Ist die IP des sendenden Servers nur auf wenigen oder gar keiner Blockliste enthalten, wird die Email angenommen und durch die weiteren Stufen des Spamfilters eingehend geprüft.
Der Intranator enthält einen mehrstufigen Spamfilter. Dabei wird eine Email sowohl durch Spam-typische Kriterien (spezielle Worte, viele Ausrufezeichen, ungültige Absenderadressen usw.) als auch durch einen bayesischen Wortfilter kategorisiert. Der bayesische Wortfilter kann durch Vergleiche von Wortkombinationen mit einer vortrainierten Wortbasis eine Spam-Wahrscheinlichkeit errechnen.
Zusätzlich können noch DNS-basierte Netzwerktests durchgeführt werden. Dabei wird überprüft, ob die in der Email enthaltenen Emailadressen und URLs in verschiedenen Blacklists vorkommen. Da diese Überprüfung auch für jede interne Email ausgeführt wird, sollten Sie diese Option nur aktivieren, wenn Ihre Internetverbindung nicht pro Zeiteinheit oder Einwahlversuch abgerechnet wird.
Desweiteren kann der Intranator Emails auch über das Razor Netzwerk überprüfen. Das Razor Netzwerk ist ein Zusammenschluss von Email-Empfängern. Im Razor-Netzwerk werden Spam-Emails von Hand als Spam markiert. Diese Information wird dann über das Razor-Netzwerk verteilt. Je mehr Leute eine Email als Spam einstufen, desto schneller wird sie herausgefiltert.
Ist der Spamfilter aktiviert (unter Dienste > Emailfilter > Spam > Einstellungen), wird für jede Email ein Spam-Punktwert ermittelt und dieser in einem speziellen Emailheader abgelegt. Dadurch wird aber noch keine Email gelöscht oder verschoben. Der Punktwert wird in dem Header „X-Spam-Level:“ abgelegt. Er errechnet sich durch (Spampunkte+100)*10. Dadurch ist der Wert immer positiv und ganzzahlig, was einen Vergleich für die meisten anderen Programme erst ermöglicht. Außerdem wird eine ausführliche Beschreibung, warum eine Email Spam ist oder nicht, im „X-Spam-Status:“ Header abgelegt.
Desto höher der Spam-Punktwert ist, desto höher ist die Wahrscheinlichkeit, dass es sich um Spam handelt. Werte kleiner als 4 weisen normalerweise auf erwünschte Emails hin. Bei Werten zwischen 5 und 8 ist die Wahrscheinlichkeit für Spam höher, es kann sich aber dennoch um eine erwünschte Email handeln. Bei Werten von 8 und größer ist die Email ziemlich sicher Spam.
Je niedriger der Schwellwert, desto mehr Emails werden rausgefiltert. Gleichzeitig steigt aber auch die Gefahr, dass eine wichtige Email im Spam-Ordner landet.
Im Intranator wird daher typischerweise zwischen 3 Kategorien unterschieden: erwünschte Email, Spamverdacht und Spam.
Der Spamverdacht ist für Emails gedacht, die zwar klare Spam-Merkmale aufweisen, aber nicht ganz eindeutig als Spam klassifiziert werden können. Es empfiehlt sich diese Emails regelmäßig (z.B. einmal pro Woche) manuell zu überprüfen.
Spam sind Emails, die eindeutig als Spam erkannt wurden. Diese Emails müssen normalerweise nicht manuell kontrolliert werden. Für den Fall von Fehlkonfigurationen empfiehlt es sich aber dennoch, diese Emails nicht sofort zu löschen sondern für einige Tage aufzubewahren.
Als guten Kompromiss haben sich die Schwellwerte 5 für Spamverdacht und 8 für Spam herausgestellt.
Unter Dienste > Emailfilter > Spam > Global kann der globale Spamfilter aktiviert werden. Er filtert alle empfangenen Emails - unabhängig davon, ob sie an einen lokalen Benutzer gehen oder weitergeleitet werden. Daher empfehlen wir den Globalen Spamfilter vor allem für die Fälle, in denen die Emails nicht endgültig auf dem Intranator abgelegt, sondern an einen anderen Server weitergeleitet werden.
Die folgenden Filteraktionen sind jeweils für Spam und Spamverdacht separat konfigurierbar. Damit können die Kategorien Spamverdacht und Spam unterschiedlich behandelt werden.
Die Option sorgt dafür, daß jeder betroffenen Email „***SPAM***“ bzw. „***SPAMVERDACHT***“ im Betreff vorangestellt wird. Dies macht vor allem Sinn, wenn die Emails normal zugestellt werden.
Bei gehen die betroffenen Emails weiterhin ihren normalen Weg und werden nicht gestoppt oder umgeleitet. Dies ist vor allem im Zusammenhang mit dem Verändern des Betreffs und einer Filterregel auf dem Zielserver sinnvoll. Die Filterregel auf dem Zielserver kann die Emails dann anhand des Betreffs in entsprechende Unterordner ablegen.
Mit der Option werden die betroffenen Emails an eine Sammeladresse umgeleitet. Wenn Sie hierfür ein Konto auf dem Intranator selber verwenden, achten Sie unbedingt darauf, dort den benutzerabhängigen Spamfilter zu aktivieren und die Spam-Emails automatisch nach einiger Zeit löschen zu lassen. Ansonsonsten besteht die Gefahr daß das Spam-Konto unbegrenzt wächst.
Die Spam-Quarantäne nimmt erkannte Spam-Emails auf, hält sie für eine einstellbare Zeit bereit und löscht sie dann. Bei Bedarf können falsch erkannte Emails aus der Quarantäne wieder freigegeben und normal zugestellt werden.
Die Spam-Quarantäne selbst ist unter Dienste > E-Mailfilter > Quarantäne > Spam erreichbar. Sie enthält die erkannten Spam-Emails aller Empfänger zusammen. Daher ist sie normalerweise nur für Benutzer mit administrativen Rechten erreichbar. Sie kann auch zusätzlich mit einem Datenschutz-Passwort unter Information > Datenschutz nur im 4-Augen-Verfahren zugänglich gemacht werden.
Um jedem Empfänger selbst einen Überblick über seine gefilterten Emails zu geben gibt es die Report-Funktion. Wenn aktiviert bekommt jeder Empfänger zu den einstellbaren Versandzeiten automatisch eine Email mit einer Übersicht über die gefilterten Emails.
In der Report-Email befindet sich unter den Daten zu jeder gefilterten Email ein Link mit dem die entsprechende Email aus der Quarantäne freigegeben werden kann. Die Report-Emails sind nach aufsteigender Spam-Wahrscheinlichkeit sortiert.
![[Hinweis]](../images/admon/note.png) | Hinweis |
|---|---|
Da die Report-Emails die Betreff-Zeilen der gefilterten Emails enthalten, kann es sein, daß ein zusätzlich auf dem Zielserver oder Client installierter Spamfilter die Report-Emails fälschlicherweise als Spam identifiziert. Setzen Sie einen zusätzlichen Spamfilter ein, sollten Sie daher die Postmasteradresse des Intranators (Menü Dienste > E-mail > Einstellungen) dort in die Whitelist eintragen. Die Postmasteradresse des Intranators wird für die Reports als Absenderadresse verwendet. |
Der benutzerabhängige Spamfilter kann für jeden Benutzer auf dem Intranator individuell konfiguriert werden. Er ist in der Lage, erkannte Spam-Emails in speziellen IMAP-Unterordnern des Benutzers abzulegen. Wir empfehlen den Einsatz des benutzerabhängigen Spamfilters daher für die Fälle, in denen die Emails endgültig auf dem Intranator abgelegt werden.
Erreicht eine Email einen Benutzer, der unter Benutzermanager > Benutzer : Spamfilter den Spamfilter für sich aktiviert hat, wird die Email überprüft. Der Benutzer-Spamfilter ist zweistufig aufgebaut. Es gibt einen Schwellwert für spamverdächtige Emails sowie einen für „richtigen“ Spam. Hat die Email einen Spam-Punktwert größer oder gleich dem eingetragenen Schwellwert wird sie nicht gelöscht, sondern in die IMAP Unterordner „Spamverdacht“ oder „Spam“ des Benutzers abgelegt. Auf Wunsch können Spam-Emails auch an eine zentrale Sammeladresse weitergeleitet werden.
Jeder Benutzer hat zusätzlich noch die Möglichkeit dies durch Blacklists (Alle diese Absender oder Empfänger sind immer Spam) und Whitelists (Alle diese Absender oder Empfänger sind nie Spam) zu beeinflussen.
Wenn ein Benutzer per IMAP auf seine Emails zugreift, sind die Unterordner direkt sichtbar. Eventuell muss die Ordnerliste im Emailprogramm neu übertragen und die Ordner abonniert werden (subscribe). Beim Zugriff via POP3 bleiben die Spam-Emails auf dem Server. Der Benutzer sollte daher den „Spamverdacht“-Ordner regelmäßig per Webmail auf fälschlich gefilterte Nachrichten überprüfen.
Im Standardmodus prüft der Spamfilter bei allen „Received“-Kopfzeilen einer Email, ob deren IPs in DNS-Blacklisten enthalten sind. Im optimierten Modus wird nur die IP des letzten Servers des Versenders überprüft. Dadurch wird die Spam-Erkennungsrate weiter gesteigert sowie die potentielle Falscherkennung von erwünschten Nachrichten reduziert. Der aktuell verwendete Modus ist unter einsehbar.
Um die IP des letzten Versender-Servers von gefälschten Daten unterscheiden zu können, muß das System wissen, welche Server glaubwürdig sind. Ein SMTP-Server gilt als glaubwürdig, wenn angenommen werden kann, dass dieser die Received-Zeilen im Email-Header nicht verfälscht und seinen eigenen Received-Eintrag wahrheitsgemäß einfügt. Man kann normalerweise davon ausgehen, dass alle für Empfang und Verarbeitung der eigenen Emails konfigurierten Server glaubwürdig sind, da deren Betreiber vertraglich gebunden sind.
Der Intranator versucht automatisch die glaubwürdigen Server zu ermitteln. Dabei kommt für jede Emailempfangsmethode eine angepasstes Verfahren zum Einsatz.
Glaubwürdige Server bei direktem SMTP und POP-Sammelkonten (Multidrop). Der Intranator fragt automatisch per DNS für jede konfigurierte Domain die für den Email-Empfang zuständigen Server (MX-Eintrag der Domain) ab. Diese Server werden der Liste der glaubwürdigen Server hinzugefügt.
In folgenden Fällen kann es notwenig sein, die Liste der glaubwürdigen Server anzupassen:
Die Emails werden beim für den Email-Empfang zuständigen Server (MX-Eintrag der Domain) entgegengenommen und dann an einen anderen Server weitergeleitet (z.B. zur Überprüfung oder Zwischenspeicherung) bevor Sie zum Intranator gehen. Hier müssen die IPs oder DNS-Namen aller Zwischenserver in die Liste der „weiteren glaubwürdigen Server“ eingetragen werden.
Der Intranator bekommt per DNS im lokalen Netz andere Daten für die eigene Domain zu sehen, als es „draußen“ im Internet der Fall ist. Diese Konstellation wird normalerweise „Split-DNS“ genannt. Hier müssen die IPs aller extern für den Email-Empfang zuständigen Server (MX-Eintrag der Domain) in die Liste der „weiteren glaubwürdigen Server“ eingetragen werden.
Die Emails werden von einem Server unter der Domain A empfangen, dort auf die Domain B umgeschrieben und dann an den Intranator oder für die Domain B zuständigen Server weitergeleitet. Der Intranator kennt nur die Domain B. Hier muß die ursprüngliche Domain A in die Liste der „glaubwürdigen Domains“ aufgenommen werden.
Glaubwürdige Server bei einzelnen POP-Konten. Der Intranator überprüft automatisch per DNS alle unter Dienste > Email > Abholen eingetragenen Email-Server. Diese Server werden als glaubwürdig behandelt. Zusätzlich wird jeder Servername auf die Second-Level-Domain gekürzt, so wird z.B. aus dem Servernamen „pop.1und1.de“ die Domain „1und1.de“. Die für diese Domain zuständigen Email-Server (MX-Einträge) werden abgefragt und zusätzlich als glaubwürdige Server übernommen.
In folgenden Fällen kann es notwenig sein, die Liste der glaubwürdigen Server anzupassen:
Der Provider verwendet für seine eigenen Emails andere Server als für die Emails der Kunden. Tragen Sie in diesem Fall die Domains aller Email-Adressen, die bei Ihnen verwendet werden, in die Liste der „glaubwürdigen Domains“ ein.
Beim Provider werden die Emails auf einem Server empfangen, z.B. zur Überprüfung an einen anderen Server weitergeleitet und dann nochmal auf einem anderen Server zur Abholung bereitgehalten. In diesem Fall müssen Sie die IPs oder DNS-Namen aller zur Überprüfung verwendeten Zwischenserver in die Liste der „weiteren glaubwürdigen Server“ eintragen.
Emails werden von einer Domain empfangen und dort automatisiert an eine andere Domain weitergeleitet. Der Intranator holt dann die weitergeleiteten Emails ab. Tragen Sie in diesem Fall alle ursprünglichen Domains, von denen aus weitergeleitet wird, in die Liste der „glaubwürdigen Domains“ ein.
Anhand der letzten 1.000 Spam-Emails kann der Intranator erkennen, ob die Liste der glaubwürdigen Server korrekt ist. Nach dieser Kalibrierung schaltet der Spamfilter, falls möglich, in den optimierten Modus. Die Kalibrierung wird im laufenden Betrieb stündlich erneut überprüft.
| Hinweis |
|---|---|
Nach Änderung der glaubwürdigen Server oder Domains werden bis zu 1.000 Spam-Nachrichten benötigt, bevor der Spamfilter automatisch in den optimierten Modus wechselt. |
Unter Dienste > Emailfilter > Antivirus kann der Email-Virenscanner aktiviert werden. Ist er aktiviert, werden alle Emails, die den Intranator passieren (eingehend, ausgehend, weitergeleitet,...), auf Viren überprüft.
Wurde ein Virus gefunden, so wird er unter Dienste > Emailfilter > Quarantäne : Virus-Quarantäne in Quarantäne genommen und kann dort vom Administrator inspiziert werden.
Bei einem gefundenen Virus können Warnungen an den Administrator sowie an den Empfänger gesendet werden. Es werden nur Warnungen an lokale Empfänger versendet.
Da der F-Secure Virenscanner eine heuristische Virenerkennung unterstützt, werden manche Dateien nur als verdächtig eingestuft. Diese können mit der entsprechenden Option auch blockiert werden. Sie sollten diese Option nur deaktivieren, falls häufiger wichtige Dateien falsch erkannt werden.
Email-Anhänge können neue, unbekannte Viren enthalten. Diese müssen als ausführbare Dateien auf den PC gelangen. Der Intranator kann Email-Anhänge untersuchen und bestimmte Typen blockieren. So können Sie sichergehen, dass keine ausführbare Datei per Email auf einen Rechner im Intranet gelangt.
Der Anhangfilter untersucht Anhänge anhand der Dateiendung sowie des MIME-Typs. Zusätzlich führt er eine Typerkennung auf die tatsächlich in der Email enthaltenen Daten durch. Archive wie z.B. ZIP oder RAR werden auch durchsucht. Verschlüsselte (mit einem Passwort geschützte) Archive können vom Anhangfilter nicht untersucht werden. Deswegen ist es möglich und ratsam, sie generell zu blockieren.
Auf der Seite Dienste > Emailfilter > Anhang > Filterlisten können Sie Filterlisten für Dateianhänge anlegen. Es wird zwischen Freigabe- und Sperrlisten unterschieden. Freigabelisten lassen nur bekannte und freigegebene Anhänge durch, Sperrlisten lassen alles bis auf die aufgeführten Einträge durch.
Die Filterlisten „Alles erlaubt“, „Alles verboten“ sowie „Ausführbare Dateien“ sind vordefiniert. Unter Dienste > Emailfilter > Anhang > Einstellungen legen Sie globale Einstellungen zum Anhangfilter sowie die „Standard-Filterliste“ fest. Bei Auslieferung steht sie auf „Ausführbare Dateien“. Ausgehende Emails sowie Domain-Weiterleitungen werden über diese Standard-Liste gefiltert.
Eingehende Emails verwenden die Filterliste der Benutzergruppen. Diese kann unter Benutzermanager > Gruppen : Rechte zugewiesen werden. Standardmässig verwenden alle Benutzergruppen die „Standard-Filterliste“. Ist ein Benutzer in mehreren Gruppen mit unterschiedlichen Filterlisten Mitglied, so werden die Filterlisten gemischt. Freigabelisten haben dabei Vorrang vor Sperrlisten. So können Sie generell alle ausführbaren Dateienen sperren, jedoch z.B. für die Administrator-Gruppe .exe freigeben.
Wird eine Email gefiltert, so liegt sie unter Dienste > Emailfilter > Quarantäne : Anhang in Quarantäne und der Administrator bekommt einen Hinweis. Die Email kann später per Mausklick freigegeben oder gelöscht werden. Alternativ ist es bei eingehenden Emails möglich, dass die Email ohne den (potentiell gefährlichen) Anhang ausgeliefert wird. Die Original-Email inkl. Anhang liegt dann in der Quarantäne und kann bei Bedarf freigegeben werden.