Empfangen Sie Ihre E-Mails direkt per SMTP, können Sie als erste Stufe zur Spamfilterung E-Mails von bekannten Spamversendern gleich vor der Annahme ablehnen lassen. Dies reduziert die Last auf dem System und vermeidet unnötigen Datentransfer.
Ist die Option "" im Menü Dienste > E-Mailfilter > Spam > Einstellungen aktiv, so wird die IP jedes Servers, der E-Mails direkt per SMTP einliefern will, per DNS überprüft. Dabei werden mehrere Blocklisten abgefragt. Ist die IP auf mehreren Blocklisten gleichzeitig als Spamversender geführt, wird der E-Mail-Empfang von diesem Server generell abgelehnt.
Ist die IP des sendenden Servers nur auf wenigen oder gar keiner Blockliste enthalten, wird die E-Mail angenommen und durch die weiteren Stufen des Spamfilters eingehend geprüft.
Das Intra2net System enthält einen mehrstufigen Spamfilter. Dabei wird eine E-Mail sowohl durch Spam-typische Kriterien (spezielle Worte, viele Ausrufezeichen, ungültige Absenderadressen usw.) als auch durch einen bayesischen Wortfilter kategorisiert. Der bayesische Wortfilter kann durch Vergleiche von Wortkombinationen mit einer vortrainierten Wortbasis eine Spam-Wahrscheinlichkeit errechnen.
Zusätzlich können noch DNS-basierte Netzwerktests durchgeführt werden. Dabei wird überprüft, ob die in der E-Mail enthaltenen E-Mailadressen und URLs in verschiedenen Blacklists vorkommen. Da diese Überprüfung auch für jede interne E-Mail ausgeführt wird, sollten Sie diese Option nur aktivieren, wenn Ihre Internetverbindung nicht pro Zeiteinheit oder Einwahlversuch abgerechnet wird.
Des Weiteren kann das Intra2net System E-Mails auch über das Razor Netzwerk überprüfen. Das Razor Netzwerk ist ein Zusammenschluss von E-Mail-Empfängern. Im Razor-Netzwerk werden Spam-E-Mails von Hand als Spam markiert. Diese Information wird dann über das Razor-Netzwerk verteilt. Je mehr Leute eine E-Mail als Spam einstufen, desto schneller wird sie herausgefiltert.
Ist der Spamfilter aktiviert (unter Dienste > E-Mailfilter > Spam > Einstellungen), wird für jede E-Mail ein Spam-Punktwert ermittelt und dieser in einem speziellen E-Mail-Header abgelegt. Dadurch wird aber noch keine E-Mail gelöscht oder verschoben. Der Punktwert wird in dem Header „X-Spam-Level:“ abgelegt. Er errechnet sich durch (Spampunkte+100)*10. Dadurch ist der Wert immer positiv und ganzzahlig, was einen Vergleich für die meisten anderen Programme erst ermöglicht. Außerdem wird eine ausführliche Beschreibung, warum eine E-Mail Spam ist oder nicht, im „X-Spam-Status:“ Header abgelegt.
Je höher der Spam-Punktwert ist, desto höher ist die Wahrscheinlichkeit, dass es sich um Spam handelt. Werte kleiner als 4 weisen normalerweise auf erwünschte E-Mails hin. Bei Werten zwischen 5 und 8 ist die Wahrscheinlichkeit für Spam höher, es kann sich aber dennoch um eine erwünschte E-Mail handeln. Bei Werten von 8 und größer ist die E-Mail ziemlich sicher Spam.
Je niedriger der Schwellwert, desto mehr E-Mails werden rausgefiltert. Gleichzeitig steigt aber auch die Gefahr, dass eine wichtige E-Mail im Spam-Ordner landet.
Im Intra2net System wird daher typischerweise zwischen 3 Kategorien unterschieden: erwünschte E-Mail, Spamverdacht und Spam.
Der Spamverdacht ist für E-Mails gedacht, die zwar klare Spam-Merkmale aufweisen, aber nicht ganz eindeutig als Spam klassifiziert werden können. Es empfiehlt sich, diese E-Mails regelmäßig (z.B. einmal pro Woche) manuell zu überprüfen.
Spam sind E-Mails, die eindeutig als Spam erkannt wurden. Diese E-Mails müssen normalerweise nicht manuell kontrolliert werden. Für den Fall von Fehlkonfigurationen empfiehlt es sich aber dennoch, diese E-Mails nicht sofort zu löschen sondern für einige Tage aufzubewahren.
Als guten Kompromiss haben sich die Schwellwerte 5 für Spamverdacht und 8 für Spam herausgestellt.
Unter Dienste > E-Mailfilter > Spam > Global kann der globale Spamfilter aktiviert werden. Er filtert alle empfangenen E-Mails - unabhängig davon, ob sie an einen lokalen Benutzer gehen oder weitergeleitet werden. Daher empfehlen wir den Globalen Spamfilter vor allem für die Fälle, in denen die E-Mails nicht endgültig auf dem Intra2net System abgelegt, sondern an einen anderen Server weitergeleitet werden.
Die folgenden Filteraktionen sind jeweils für Spam und Spamverdacht separat konfigurierbar. Damit können die Kategorien Spamverdacht und Spam unterschiedlich behandelt werden.
Die Option "" sorgt dafür, dass jeder betroffenen E-Mail „***SPAM***“ bzw. „***SPAMVERDACHT***“ im Betreff vorangestellt wird. Dies macht vor allem Sinn, wenn die E-Mails normal zugestellt werden.
Bei "" gehen die betroffenen E-Mails weiterhin ihren normalen Weg und werden nicht gestoppt oder umgeleitet. Dies ist vor allem im Zusammenhang mit dem Verändern des Betreffs und einer Filterregel auf dem Zielserver sinnvoll. Die Filterregel auf dem Zielserver kann die E-Mails dann anhand des Betreffs in entsprechende Unterordner ablegen.
Mit der Option "" werden die betroffenen E-Mails an eine Sammeladresse umgeleitet. Wenn Sie hierfür ein Konto auf dem Intra2net System selber verwenden, achten Sie unbedingt darauf, dort den benutzerabhängigen Spamfilter zu aktivieren und die Spam-E-Mails automatisch nach einiger Zeit löschen zu lassen. Ansonsten besteht die Gefahr, dass das Spam-Konto unbegrenzt wächst.
Die Spam-Quarantäne nimmt erkannte Spam-E-Mails auf, hält sie für eine einstellbare Zeit bereit und löscht sie dann. Bei Bedarf können falsch erkannte E-Mails aus der Quarantäne wieder freigegeben und normal zugestellt werden.
Die Spam-Quarantäne selbst ist unter Dienste > E-Mailfilter > Quarantäne > Spam erreichbar. Sie enthält die erkannten Spam-E-Mails aller Empfänger zusammen. Daher ist sie normalerweise nur für Benutzer mit administrativen Rechten erreichbar. Sie kann auch zusätzlich mit einem Datenschutz-Passwort unter Information > Datenschutz nur im 4-Augen-Verfahren zugänglich gemacht werden.
Um jedem Empfänger selbst einen Überblick über seine gefilterten E-Mails zu geben, gibt es die Report-Funktion. Wenn aktiviert, bekommt jeder Empfänger zu den einstellbaren Versandzeiten automatisch eine E-Mail mit einer Übersicht über die gefilterten E-Mails.
In der Report-E-Mail befindet sich unter den Daten zu jeder gefilterten E-Mail ein Link, mit dem die entsprechende E-Mail aus der Quarantäne freigegeben werden kann. Die Report-E-Mails sind nach aufsteigender Spam-Wahrscheinlichkeit sortiert.
![[Hinweis]](../images/admon/note.png) | Hinweis |
|---|---|
Da die Report-E-Mails die Betreff-Zeilen der gefilterten E-Mails enthalten, kann es sein, dass ein zusätzlich auf dem Zielserver oder Client installierter Spamfilter die Report-E-Mails fälschlicherweise als Spam identifiziert. Setzen Sie einen zusätzlichen Spamfilter ein, sollten Sie daher die Postmasteradresse des Intra2net Systems (Menü Dienste > E-Mail > Einstellungen) dort in die Whitelist eintragen. Die Postmasteradresse des Intra2net Systems wird für die Reports als Absenderadresse verwendet. |
Der benutzerabhängige Spamfilter kann für jeden Benutzer auf dem Intra2net System individuell konfiguriert werden. Er ist in der Lage, erkannte Spam-E-Mails in speziellen IMAP-Unterordnern des Benutzers abzulegen. Wir empfehlen den Einsatz des benutzerabhängigen Spamfilters daher für die Fälle, in denen die E-Mails endgültig auf dem Intra2net System abgelegt werden.
Erreicht eine E-Mail einen Benutzer, der unter Benutzermanager > Benutzer : Spamfilter den Spamfilter für sich aktiviert hat, wird die E-Mail überprüft. Der Benutzer-Spamfilter ist zweistufig aufgebaut. Es gibt einen Schwellwert für spamverdächtige E-Mails sowie einen für „richtigen“ Spam. Hat die E-Mail einen Spam-Punktwert größer oder gleich dem eingetragenen Schwellwert wird sie nicht gelöscht, sondern in die IMAP Unterordner „Spamverdacht“ oder „Spam“ des Benutzers abgelegt. Auf Wunsch können Spam-E-Mails auch an eine zentrale Sammeladresse weitergeleitet werden.
Jeder Benutzer hat zusätzlich noch die Möglichkeit, dies durch Blacklists (Alle diese Absender oder Empfänger sind immer Spam) und Whitelists (Alle diese Absender oder Empfänger sind nie Spam) zu beeinflussen.
Wenn ein Benutzer per IMAP auf seine E-Mails zugreift, sind die Unterordner direkt sichtbar. Eventuell muss die Ordnerliste im E-Mail-Programm neu übertragen und die Ordner abonniert werden (subscribe). Beim Zugriff via POP3 bleiben die Spam-E-Mails auf dem Server. Der Benutzer sollte daher den „Spamverdacht“-Ordner regelmäßig per Webmail auf fälschlich gefilterte Nachrichten überprüfen.
Im Standardmodus prüft der Spamfilter bei allen „Received“-Kopfzeilen einer E-Mail, ob deren IPs in DNS-Blacklisten enthalten sind. Im optimierten Modus wird nur die IP des letzten Servers des Versenders überprüft. Dadurch wird die Spam-Erkennungsrate weiter gesteigert sowie die potentielle Falscherkennung von erwünschten Nachrichten reduziert. Der aktuell verwendete Modus ist unter "" einsehbar.
Um die IP des letzten Versender-Servers von gefälschten Daten unterscheiden zu können, muss das System wissen, welche Server glaubwürdig sind. Ein SMTP-Server gilt als glaubwürdig, wenn angenommen werden kann, dass dieser die Received-Zeilen im E-Mail-Header nicht verfälscht und seinen eigenen Received-Eintrag wahrheitsgemäß einfügt. Man kann normalerweise davon ausgehen, dass alle für Empfang und Verarbeitung der eigenen E-Mails konfigurierten Server glaubwürdig sind, da deren Betreiber vertraglich gebunden sind.
Das Intra2net System versucht automatisch die glaubwürdigen Server zu ermitteln, dabei kommt für jede E-Mail-Empfangsmethode ein angepasstes Verfahren zum Einsatz.
Glaubwürdige Server bei direktem SMTP und POP-Sammelkonten (Multidrop). Das Intra2net System fragt automatisch per DNS für jede konfigurierte Domain die für den E-Mail-Empfang zuständigen Server (MX-Eintrag der Domain) ab. Diese Server werden der Liste der glaubwürdigen Server hinzugefügt.
In folgenden Fällen kann es notwendig sein, die Liste der glaubwürdigen Server anzupassen:
Die E-Mails werden beim für den E-Mail-Empfang zuständigen Server (MX-Eintrag der Domain) entgegengenommen und dann an einen anderen Server weitergeleitet (z.B. zur Überprüfung oder Zwischenspeicherung), bevor Sie zum Intra2net System gehen. Hier müssen die IPs oder DNS-Namen aller Zwischenserver in die Liste der „weiteren glaubwürdigen Server“ eingetragen werden.
Das Intra2net System bekommt per DNS im lokalen Netz andere Daten für die eigene Domain zu sehen, als es „draußen“ im Internet der Fall ist. Diese Konstellation wird normalerweise „Split-DNS“ genannt. Hier müssen die IPs aller extern für den E-Mail-Empfang zuständigen Server (MX-Eintrag der Domain) in die Liste der „weiteren glaubwürdigen Server“ eingetragen werden.
Die E-Mails werden von einem Server unter der Domain A empfangen, dort auf die Domain B umgeschrieben und dann an das Intra2net System oder für die Domain B zuständigen Server weitergeleitet. Das Intra2net System kennt nur die Domain B. Hier muss die ursprüngliche Domain A in die Liste der „glaubwürdigen Domains“ aufgenommen werden.
Glaubwürdige Server bei einzelnen POP-Konten. Das Intra2net System überprüft automatisch per DNS alle unter Dienste > E-Mail > Abholen eingetragenen E-Mail-Server. Diese Server werden als glaubwürdig behandelt. Zusätzlich wird jeder Servername auf die Second-Level-Domain gekürzt, so wird z.B. aus dem Servernamen „pop.1und1.de“ die Domain „1und1.de“. Die für diese Domain zuständigen E-Mail-Server (MX-Einträge) werden abgefragt und zusätzlich als glaubwürdige Server übernommen.
In folgenden Fällen kann es notwenig sein, die Liste der glaubwürdigen Server anzupassen:
Der Provider verwendet für seine eigenen E-Mails andere Server als für die E-Mails der Kunden. Tragen Sie in diesem Fall die Domains aller E-Mail-Adressen, die bei Ihnen verwendet werden, in die Liste der „glaubwürdigen Domains“ ein.
Beim Provider werden die E-Mails auf einem Server empfangen, z.B. zur Überprüfung an einen anderen Server weitergeleitet und dann nochmal auf einem anderen Server zur Abholung bereitgehalten. In diesem Fall müssen Sie die IPs oder DNS-Namen aller zur Überprüfung verwendeten Zwischenserver in die Liste der „weiteren glaubwürdigen Server“ eintragen.
E-Mails werden von einer Domain empfangen und dort automatisiert an eine andere Domain weitergeleitet. Das Intra2net System holt dann die weitergeleiteten E-Mails ab. Tragen Sie in diesem Fall alle ursprünglichen Domains, von denen aus weitergeleitet wird, in die Liste der „glaubwürdigen Domains“ ein.
Anhand der letzten 1.000 Spam-E-Mails kann das Intra2net System erkennen, ob die Liste der glaubwürdigen Server korrekt ist. Nach dieser Kalibrierung schaltet der Spamfilter, falls möglich, in den optimierten Modus. Die Kalibrierung wird im laufenden Betrieb stündlich erneut überprüft.
| Hinweis |
|---|---|
Nach Änderung der glaubwürdigen Server oder Domains werden bis zu 1.000 Spam-Nachrichten benötigt, bevor der Spamfilter automatisch in den optimierten Modus wechselt. |
Unter Dienste > E-Mailfilter > Antivirus kann der E-Mail-Virenscanner aktiviert werden. Ist er aktiviert, werden alle E-Mails, die das Intra2net System passieren (eingehend, ausgehend, weitergeleitet,...), auf Viren überprüft.
Wurde ein Virus gefunden, so wird er unter Dienste > E-Mailfilter > Quarantäne : Virus-Quarantäne in Quarantäne genommen und kann dort vom Administrator inspiziert werden.
Bei einem gefundenen Virus können Warnungen an den Administrator sowie an den Empfänger gesendet werden. Es werden nur Warnungen an lokale Empfänger versendet.
Der Virenscanner bietet die Möglichkeit der Cloud-basierten Virenerkennung. Dabei werden von ausführbaren Dateien Prüfsummen errechnet und an ein Rechenzentrum gesendet. Sind die Prüfsummen dort als bösartig bekannt, wird die E-Mail blockert. Dadurch wird die Zeit zwischen dem ersten Auftreten eines Virus und der Erkennung deutlich verkürzt. Die Cloud-basierte Virenerkennung sendet aus Gründen des Datenschutz nur Prüfsummen und Dateinamen, nicht aber vollständige Dateien an das Rechenzentrum.
Der Virenscanner kann neben Viren und Trojanern auch Ad- und Spyware erkennen. Sollten solche Programme tatsächlich erwünscht sein, so kann die Erkennung dafür abgeschaltet werden.
Der Virenscanner enthält eine Komponente zur Erkennung von Makroviren mit heuristischen Verfahren. Die Erkennungsrate für die Heuristik kann eingestellt werden. Bei höheren Erkennungsraten werden mehr Makros als Virus erkannt, damit steigt aber auch die Quote von fälschlicherweise als Virus erkannten Dateien.
E-Mail-Anhänge können neue, dem Virenscanner bisher unbekannte Viren enthalten. Diese müssen aber als ausführbare Dateien auf den PC gelangen bevor sie Schaden anrichten können. Das Intra2net System kann daher E-Mail-Anhänge untersuchen und bestimmte Dateitypen blockieren. So können Sie sichergehen, dass keine ausführbare Datei per E-Mail auf einen Rechner im Intranet gelangt.
Der Anhangfilter untersucht Anhänge anhand der Dateiendung sowie des MIME-Typs. Zusätzlich führt er eine Typerkennung auf die tatsächlich in der E-Mail enthaltenen Daten durch. Archive wie z.B. ZIP und RAR, aber auch PDF, werden entpackt und durchsucht.
Auf der Seite Dienste > E-Mailfilter > Anhang > Filterlisten können Sie Filterlisten für Dateianhänge anlegen. Es wird zwischen Freigabe- und Sperrlisten unterschieden. Freigabelisten lassen nur bekannte und freigegebene Anhänge durch, Sperrlisten lassen alles bis auf die aufgeführten Einträge durch.
Verschlüsselte (mit einem Passwort geschützte) Archive können vom Anhangfilter nicht untersucht werden. In der Praxis sind öfters Viren zu beobachten, die in verschlüsselten Archiven verschickt werden und deren Passwort dann im Text der E-Mail oder einem angehängten Bild enthalten ist. Normalerweise wird daher empfohlen, verschlüsselte Archive herauszufiltern.
In einigen Unternehmen wird ein signifikanter Anteil der Kommunikation mit verschlüsselten PDF-Dateien abgewickelt. Für diesen Fall gibt es die Möglichkeit, für verschlüsselte PDFs Ausnahmen zu definieren. Diese gelten immer nur für bestimmte, im entsprechenden Feld hinterlegte Absenderadressen. Da die Absenderadresse von E-Mails beliebig gefälscht werden kann und in der Praxis beobachtet wurde, dass auf infizierten Systemen von Geschäftspartnern etc. durch die Angreifer die E-Mail-Programme systematisch nach untereinander kommunizierenden E-Mail-Adressen ausgelesen werden, wird davon abgeraten, verschlüsselte Anhänge komplett ungefiltert durchzulassen.
Der Empfänger sollte E-Mails mit verschlüsselten Anhängen immer darauf überprüfen, dass das verwendete Passwort nicht in der E-Mail selbst enthalten oder verlinkt ist, sondern mit diesem Kommunikationspartner vorher über einen anderen Kanal wie z.B. per Telefon ausgemacht wurde. Um den Empfänger auf die Notwendigkeit dieser Prüfung hinzuweisen gibt es den Modus "". Der Empfänger bekommt dabei statt dem Anhang einen Link, unter dem er die nötigen Prüfungen bestätigen muss und dann den Anhang selbst freigeben kann.
Da auch Office-Dateien ausführbare Bestandteile (Makros, VBA-Script, etc.) enthalten können, besteht auch die Möglichkeit Office-Dateien auf diese untersuchen zu lassen. Mit der Einstellung "" wird keinerlei spezifische Filterung für Office-Dateien vorgenommen, es gelten rein die Einstellungen wie sie unter "" vorgenommen wurden. Bei der Einstellung "" werden Office-Dateien geöffnet, vorhandene Makros extrahiert und bewertet. Enthält eine Office-Datei Makros, die mehrere typische Kriterien für Malware erfüllen, wird die Datei blockiert. Bei der Einstellung "" werden alle Office-Dateien gefiltert, sobald sie Makros enthalten.
Die Filterlisten „Alles erlaubt“, „Alles verboten“ sowie „Ausführbare Dateien“ sind vordefiniert. Unter Dienste > E-Mailfilter > Anhang > Einstellungen legen Sie globale Einstellungen zum Anhangfilter sowie die „Standard-Filterliste“ fest. Bei Auslieferung steht sie auf „Ausführbare Dateien“. Ausgehende E-Mails sowie Domain-Weiterleitungen werden über diese Standard-Liste gefiltert.
Eingehende E-Mails verwenden die Filterliste der Benutzergruppen. Diese kann unter Benutzermanager > Gruppen : Rechte zugewiesen werden. Standardmäßig verwenden alle Benutzergruppen die „Standard-Filterliste“. Ist ein Benutzer in mehreren Gruppen mit unterschiedlichen Filterlisten Mitglied, so werden die Filterlisten gemischt. Freigabelisten haben dabei Vorrang vor Sperrlisten. So können Sie generell alle ausführbaren Dateien sperren, jedoch z.B. für die Administrator-Gruppe .exe freigeben.
Wird eine E-Mail gefiltert, so liegt sie unter Dienste > E-Mailfilter > Quarantäne : Anhang in Quarantäne und der Administrator bekommt einen Hinweis. Die E-Mail kann später per Mausklick freigegeben oder gelöscht werden. Alternativ ist es bei eingehenden E-Mails möglich, dass die E-Mail ohne den (potentiell gefährlichen) Anhang ausgeliefert wird. Die Original-E-Mail inkl. Anhang liegt dann in der Quarantäne und kann bei Bedarf freigegeben werden.
Der Zugriff auf die Quarantäne kann, wie auf jeden anderen Menüpunkt, unter Benutzermanager > Gruppen > Administrationsrechte jeder beliebigen Benutzergruppe erlaubt werden.