Martin-Luther-Universität Halle-Wittenberg

Kaltgang im Maschinensaal des ITZ

Kontakt

Helpdesk

Telefon: 0345 55 21 888

Kurt-Mothes-Str. 1
06120 Halle (Saale)

Sie erreichen uns
Montag-Donnerstag
8:00 Uhr bis 15:00 Uhr
Freitag
8:00 Uhr bis 12:00 Uhr

Weiteres

Login für Redakteure

Einsatz von SPAM-Filtern für E-Mail

Der Anteil an unerwüschter E-Mail (Spam) nimmt immer mehr zu.
Damit entsteht natürlich der Wunsch, solche E-Mails möglichst automatisch auszufiltern.

Bei der Beschäftigung mit diesem Problem entstehen sofort mehrere Fragen:

  1. "Unerwünschte E-Mail - Was ist das?":
  2. Was soll mit als SPAM bewerteter E-Mail geschehen?

Was ist unerwünschte E-Mail (Spam)?

Identifizierung über den Absender

Über die Absender-Adresse sind solche Mails nicht eindeutig zu identifizieren:

  • In der Regel sind die Absender-Adressen gefälscht.
  • Überprüft werden kann i.d.R. auf Server-Seite die Mail-Domain, d.h. die Angabe in der Mailadresse nach dem Zeichen "@".
    Realisiert wird dies dadurch, indem geprüft wird, ob eine  Routing-Aussage existiert, nach der der Server E-Mail an diese Domain  (nicht an die konkrete Adresse!) zustellen könnte.
    Existiert die Mail-Domain nicht, kann es auch eine damit gebildete  Mail-Adresse nicht geben. Diese Überprüfung ist relativ einfach und wird  auch bei uns seit langem ausgeführt.
  • Ob bei gültiger Sende-Domain der Adressteil vor '@' gültig ist, kann  nur durch das Senden einer Mail an diese Adresse überprüft werden.
  • Das bedeutet im Beispiel:
    Mail von "" muss ungültig sein, Mail von "" aber kann gültig sein.
  • SPAM-Mails sind äußerlich ("auf dem Briefumschlag") immer völlig  korrekte E-Mails und nur über den Inhalt als unerwünscht zu erkennen.

Identifizierung über den Inhalt

  • Unerwünschte Mails sind über den Inhalt nicht eindeutig zu identifizieren.
  • Für jeden Nutzer ist "Müll" etwas anderes. Eine Mail mit dem Wort  "Kinderpornographie" kann z.B. für Juristen eine sinnvolle Mail sein.
  • Deshalb kann die Entscheidung über die Art einer Mail nur der Empfänger treffen.
  • Auch aus Datenschutzgründen dürfen wir nicht in die Mails schauen und "zensieren".
    Einzige Ausnahme:
    Prüfung auf Viren (da ist relativ sicher, was ein solcher ist). Und auch  da heben wir die Mail noch einige Tage auf, da es ein Fehlalarm sein  könnte.
  • Es könnte höchstens ermittlelt werden: "Das koennte SPAM sein."

Was tun mit SPAM?

SPAM-Mail könnten im wesentlichen auf drei Arten verarbeitet werden:

  • Mail nicht annehmen:
    Dies ist gerechtfertigt bei ungültiger Sender-Adresse auf dem "Umschlag" oder wenn andere Adress-Werte nicht korrekt sind.
    Bezüglich des Inhalts kann "Mail nicht annehmen" erst nach der  Übertragung der Mail realisiert werden, denn um den Inhalt der Mail  auswerten zu können, muss die Mail schon komplett übertragen worden.
  • Mail automatisch löschen:
    Wegen der Möglichkeit der Fehlbewertung ist diese Methode i.d.R. nicht anwendbar.
    Paragraph 206 (2) StGB:
    "Ebenso [mit Freiheitsstrafe bis zu fünf Jahren oder
    mit Geldstrafe] wird bestraft, wer als [...] Beschäftigter eines [...] Unternehmens [das geschäftsmässig Telekommunikationsdienste erbringt] unbefugt [...] eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt [...]"
  • Mail mit Zusatz "evtl. SPAM" markieren und weiterverarbeiten:
    Es gibt kein einheitliches Verfahren, in welcher Form eine Mail eine "SPAM-Markierung" erhalten kann:
    Es gibt Programme, die bei SPAM-Verdacht den Subject/Betreff z.B. mit  "***SPAM***" ergänzen, andere fügen einen zusätzlichen Header ein.
    Nicht alle Mail-Programme können mit solchen Markierungen umgehen.

Was tut das IT-Servicezentrum zentral gegen SPAM, Viren und Müll?

  • Die Mail-Software akzeptiert keine E-Mail, bei der die Sende-Domain  (also der Teil nach dem '@') nicht existiert. Damit werden E-Mails mit  offensichtlich ungültiger Absender-Adresse, d.h. mit ungültiger  Sende-Domain nicht angenommen.
  • Seit 13. Juni 2003 ist auf MAILGATE und MAILGATE2 die Überprüfung aller zu verarbeitenden E-Mails erweitert:  
    • Es wird die vollständige Adresse "" verifiziert:  
      • Dazu wird die Sender-Adresse in einer fiktiven Rückantwort als  Empfänger-Adresse verwendet, die fiktive Rückantwort wird versucht  zuzustellen ("Callback").
      • Liefert dieses Callback keine positive Antwort, wird die Annahme der E-Mail verweigert.
    • Zur Beachtung:
      Es werden so auch E-Mails abgewiesen, für die der Mailserver des  Absenders zum Zeitpunkt der Einlieferung nur temporär nicht erreichbar  ist!
      Beispiel:  
      • Es wird eine E-Mail mit der Sender-Adresse "" gesendet.
      • Der Mailserver für "@bereich.uni-halle.de" ist temporär nicht verfügbar.
      • Da die Sender-Adresse so nicht verifiziert werden kann, wird die Annahme der E-Mail abgelehnt.
  • Am 22. August 2004 wurde für alle von außen einkommende E-Mail das System Greylisting in Betrieb genommen, siehe Spambekämpfung mit Greylisting
  • Wir prüfen alle einkommende E-Mail auf Viren.
  • E-Mails, die Anhänge/Attachments mit spezifischen  "virenverdächtigen" Suffixen im Dateinamen enthalten (z.B. ".pif",  ".bat", ".scr"), werden nicht zugestellt (sie werden nicht entgegen genommen) und der Absender wird nicht darüber informiert, da diese Absender zu 99,9 % gefälscht sind.
  • Weitere inhaltliche Prüfungen werden nicht gemacht.

Was kann der Nutzer tun?

Pegasus Mail (http://www.pmail.com     ) in aktueller Version V 4.12a enthält selbst sehr gute Möglichkeiten der Filterung.

Zum Seitenanfang