Funktionsweise Viren- & Spamabwehr

Die Mail-Filterung auf Malware (u.A. Viren) und Spam erfolgt an der Leibniz Universität Hannover zentral durch das Rechenzentrum. Eine direkte Zustellung von Mails in Einrichtungen an der LUH ist aus Sicherheitsgründen grundsätzlich am Internet-Gateway durch Port-Sperren ausgeschlossen, damit eine einheitliche Anti-Malware-Policy in Bezug auf E-Mail aufrechterhalten werden kann.

Das Rechenzentrum erledigt die Viren- und Spam-Abwehr für in die LUH eingehenden Mails durch Rückgriff auf den Mail-Support-Dienst des DFN-Vereins, der als Internet-Provider auch für den Internet-Anschluss der Universität sorgt. Dabei werden Mails zunächst über Server (Mail-Relays) des DFN geschickt, wo eine Filterung als direkte Nicht-Annahme (insbesondere bei Malware) oder durch Kennzeichnung ("SPAM-Tagging" im Mail-Header) erfolgt.

Funktionsweise der DFN-Viren- & Spamabwehr

Die Spamwehr findet durch unseren Netzprovider DFN-Verein (Verein zur Förderung eines Deutschen Forschungsnetzes e. V.) statt. Sämtlicher E-Mail-Verkehr an die Leibniz Universität Hannover wird über entsprechende Relays des DFN geleitet und dort gefiltert und markiert.

Folgende Regeln gelten:

  • Der DFN verweigert die Annahme von SPAM mittels Blacklisting (RBL, aktuelle Liste vgl. DFN-RBL-Seite).
  • Nichtexistente Absender-Domänen werden sofort abgelehnt.
  • Die Annahme malware-behaftete E-Mails wird abgelehnt, wobei die Mails mittels dreier Viren-Scanner (Avira, ClamAV, Sophos) auf Malware untersucht werden.
  • Weitere Spamerkennung und Markierung erfolgen duch Spamassasin und Bogofilter.

Durch Blacklists oder Virenscanner identifizierte E-Mails werden nicht zugestellt, sondern direkt abgelehnt. Alle weiteren E-Mails werden markiert durch einen sogenannten 'Spam-Score' im Header der E-Mail.

Überschreitet der Spamscore den Wert 6,2 , so werden Spam-Markierung  gesetzt. Auf diese Markierung kann lokal oder serverseitig bei uns gefiltert werden (s.u.). Die  Flags lauten:

  • X-DFN-Spam-Flag: YES oder NO
  • X-DFN-Spam-Score: 0..?
  • X-DFN-Spam-Level: * (pro ganzen Spam-Punkt einen Stern)

E-Mails mit dem hohen Spam-Score von 12,5 werden abgewiesen.

Ausnahme:
Für die Mail-Domainen stud.uni-hannover.de und alumni-uni-hannover.de werden keine Spam-Markierungen gesetzt, für beide Domainen werden E-Mails mit einem Spam-Score ab 7,0 abgewiesen.

Details zum DFN-Mail-Dienst

Details zur Funktionsweise der Viren- und Spamabwehr des DFN können der Dokumentation des Mail-Supports des DFN entnommen werden. Dort werden neben den Randbedingungen des Dienstes auch die Details zu den Filtern und deren Einstellungsmöglichkeiten (die Auswahl trifft das Rechenzentrum der LUH) detailliert dargestellt.

Verbesserung der Spamabwehr

E-Mails, die von der Spamabwehr nicht  erkannt wurden, nach Ihrer Auffassung aber SPAM sind, senden Sie bitte an spam@luis.uni-hannover.de .

Wurden gewünschte E-Mails fälschlicherweise als SPAM bewertet, handelt es sich also um sogenannte HAM, dann senden Sie diese an ham@luis.uni-hannover.de .

In beiden Fällen können wir diese E-Mails aber nur unter folgenden Bedingungen verarbeiten:

  • wir bekommen die E-Mail als Anhang (Attachment)
  • die E-Mail sollte nicht älter sein als 48 Stunden. Ältere Spam-E-Mails sind in der Regel durch andere Stellen bereits in das System eingetragen worden.

Die für Sie einfachste Möglichkeit, Spam zu melden, ist direkt über SOGo: Auf https://kalender.uni-hannover.de können Sie E-Mails markieren, indem Sie auf das Personen-Symbol klicken. Sie können beliebig viele E-Mails markieren und anschließend mit einem Klick auf das "Daumen runter"-Symbol als Spam melden. Diese werden dann automatisch von SOGo an spam@luis.uni-hannover.de gesendet und dort von uns weiterverarbeitet.

Hinweis zu Outlook: Outlook verwirft bei der Weiterleitung leider wichtige Informationen, die X-DFN-Header. Diese werden von unserer Seite aber benötigt. Leiten Sie Spam- (oder Ham-) Mails daher bitte mit dem jeweiligen Webmail-Angebot weiter, Exchange-Anwender per https://email.uni-hannover.de, Anwender des Unix-Systems per https://kalender.uni-hannover.de.

Bei uns werden zugesandte Spam-E-Mails auf mögliche lokale Probleme gesichtet und anschließend unserem Provider, dem DFN-Verein, zur Verfügung gestellt. Deshalb bat uns der DFN um folgende Hinweise:

  • E-Mails zum Spam-/Hamtraining werden in der Regel automatisiert verarbeitet, in Einzelfällen aber auch manuell gesichtet.
  • die Trainingsmails werden bis maximal zum Ablauf von 3 Jahren archiviert, um im Falle eines Defekts an der Datenbank die Trainingsdatenbank wieder herstellen zu können.
  • Spam- und Hamtraining sind ein sehr wichtiger Bestandteil des Dienstes DFN-MailSupport. Eine rege Teilnahme verbessert den Dienst.

Spam-Sortierung in der LUH

Nachdem der DFN eingehende Mails als Spam gekennzeichnet hat, werden diese zu den Mail-Servern der LUH weitergeleitet. Dort erfolgt die Zustellung an die auf den Mailservern gespeicherten Mail-Accounts. Wie und ob dort eine Aussortierung unerwünschter Werbe-Mails erfolgt, hängt von den account-spezifischen Einstellungen und dem verwendeten Mail-Server ab.

Mail-Server des Rechenzentrums

In den Einstellungen der Mail-Accounts, genauer in den serverseitigen Filterskripten, kann eine Aussortierung der Spam-Mails vor Abruf durch den Nutzer erfolgen. Dieses geschieht z.B mit einem über den Web-Mailer Horde vorkonfigurierten Sieve-Skript, in dem standardmäßig eine Aussortierung in den Ordner "30dTrash" vorgesehen ist. Im Ordner "30dTrash" werden automatisch einmal täglich alle Mails gelöscht, die älter als 30 Tage sind. Wählen Sie in dem Sieve-Skript einen anderen Ordner, wenn Sie die automatisierte Löschung nicht wünschen.

Ob ein Mail-Account an dieser serverseitigen und damit unabhängig vom Weg des Mailabrufs (egal welcher Mail-Client auf welchem System oder ob über den Webmailer) funktionierenden Spam-Aussortierung teilnimmt, ist account-spezifische Einstellung. Ggf. ist die vordefinierte Spam-Abwehrregel im Web-Mail-Filter von Horde zu aktivieren.

Alternativ kann auf die Spam-Sortierung über den Server verzichtet werden. Dann kann die Spam-Kennzeichnung immernoch im Mail-Client ausgewertet werden. Diese Einstellung bietet sich für alle an, die noch das POP-Protokoll zum Mailabruf verwenden, weil dabei ein Abruf nur für die INBOX und nicht für den Spam-Folder 30dTrash möglich ist.

Einrichtungseigene Mail-Server

Einrichtungen, die noch selbst einen Mail-Server betreiben, können die Spam-Kennzeichnung des DFNs selbst auswerten. Dieses kann z.B. auf dem Mail-Server der Einrichtung erfolgen. Dieses muss entweder durch den Mail-Server-Admin zentral oder durch die Nutzer am Mail-Server einzeln eingestellt werden. Alternativ ist eine client-seitige Filterung durch jeden Mail-Nutzer möglich.

LUH-interne Mail

Mail, die innerhalb der LUH verschickt wird, geht nicht über die Server des DFN. Es erfolgt keine Spam-Abwehr, sehr wohl ist aber eine Virenabwehr, d.h. das Prüfen der Mail mit einem Antivirus-Programm, auf den Mail-Relays und SMTP-Servern des Rechenzentrums implementiert. Damit jede interne Mail gefiltert werden kann, sollten daher alle Mails durch die Server des Rechenzentrums laufen. Insbesondere sollten nachgelagerte, einrichtungseigene Mailserver alle Mails über das Rechenzentrum schicken.

Wird von einem SMTP-Server des Rechenzentrums eine Mail als malware-infiziert klassifiziert, so wird der Empfang gleich abgebrochen und damit die Annahme verweigert. Auf den Mail-Relays wird eine Viren-Mail aussortiert und stattdessen der Empfänger über das Zurückhalten der Mail informiert (dieses betrifft nur vom DFN bereits gescannte Mail, sollte daher fast nicht auftreten).

Potentiell gefährliche Anhänge

Einige Dateianhänge wie z.B. direkt ausführbare Programme gelten als besonders gefährlich, da sie durch den Nutzer sehr leicht aktiviert werden können und traditionell eher Viren enthielten. Mails mit solchen Anhängen, in denen die Antivirus-Scanner keine Malware festgestellt haben, werden innerhalb der Universität trotzdem zugestellt. Wenn solche Mails aber von Außerhalb kommen, werden sie zusätzlich mit einer Warnung versehen. Die Anhänge bleiben unverändert erhalten, und der Nutzer muss vorsichtig und verantwortungsvoll damit umgehen, die Warnung sieht wie folgt aus:

  •  X-DFN-Amavis-Alert: BANNED, .... (plus weiterem Text zur Beschreibung des Anhangs)

Kontakt

Hotline IT-Service-Desk
Office hours
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Office hours
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.