Standard-Spam/Virenschutz
E-Mail Sicherheit - ein wichtiges Kriterium !
Alle E-Mail-Postfächer unserer Hosting und Cloud-Server verfügen standardmäßig über einen mehrstufigen Schutz vor Viren / Trojanern / Phishing und SPAM
Beachten Sie auch unsere Tipps für den E-Mail-Versandt über Websites.
Die Schutzfunktionen arbeiten als SMTP-Gateway, wobei eine E-Mail noch vor der Empfangsquittierung geprüft wird. Im Fall von SPAM- oder Schadcode/Viren-Erkennung wird der Empfang einer E-Mail am Gateway abgelehnt. Das heisst, unser E-Mailserver nimmt eine solche E-Mail gar nicht erst an.
Alternativ kann die E-Mail-Firewall gebucht werden. Diese Funktion überbrückt die Basis-, Reputationsprüfung.
Unsere Groupware-Angebote haben eigene integrierte Schutzmechanismen.
Schutzfunktionen für unsere Standard-Mailserver
Im Fall einer Ablehnung einer E-Mail wird der Absender mit einer Meldung über den Grund der Ablehnung informiert. Im Fall von Blacklisting wird kein konkreter Grund genannt.
Reihenfolge der Bearbeitung:
Black- und WhitelistingÜber die Black- und Whitelisten im Control-Center können einzelne Absender-E-Mailadressen oder Absender-Domains grundsätzlich freigeschaltet oder blockiert werden. Darüber hinaus gibt es interne globale Black-/Whitelisten in unserem Netzwerk, die für alle Server gelten.
Das Blacklisting überbrückt alle weiteren Prüfung. Bei einem Blacklisting wird immer abgelehnt. Das Whitelisting überbrückt die Reputations- und Basisprüfung, aber nicht die Prüfungen auf Viren-/Schadcode und verbotene Anhänge.
IP-Reputations-PrüfungDie IP-Reputation (Vertrauenswürdigkeit der IP) des sendenen Mailservers wird über ein weltweites Reputationsnetzwerk ermittelt.
Das Netzwerk ermittelt eine prozentuale Bewertung der IP als "Bad IP" im Bereich 0% bis 100%. Je größer der Wert desto eher handelt es sich um eine "Bad IP". Die Analyse basiert auf gemeldeten IP-Aktivitäten, wie z.B. Spamming, Hacking, Phishing und anderes.
Diese Reputationsprüfung ist standardmäßig für alle externen E-Mail-Weiterleitungen fest auf 25% (starke Prüfung) eingestellt. "Extern" bedeuted, E-Mails an andere Mailanbieter (wie GMX, Gmail usw.), aber auch an andere Mailserver bei uns. Weiterleitungen an Adressen im eigenen Account oder demselben Mailserver bei uns, werden nicht als "extern" eingestuft.
Sobald eine E-Mail an eine oder mehrere Adressen geht, die eine externe Weiterleitung beinhalten, wird die E-Mail an alle Empfänger abgelehnt, wenn die IP-Reputation einen Wert ab 25% ergibt. Keiner der Empfänger bekommt dann diese E-Mail.
Für eingehende E-Mails ohne Weiterleitung bei den Empfängern, ist diese Prüfung per Default auf 75% (leichte Prüfung) eingestellt. Der Kunde kann die Prüfung in mehreren Stufen individuell einstellen:
| Einstellung | Scoring | Hinweise |
|---|---|---|
| aus | -- | keine Prüfung |
| leichte Prüfung | 75% | Defaultwert |
| mittlere Prüfung | 50% | Mittelwert |
| starke Prüfung | 25% | Bei viel Spam. Fest-Einstellung bei Weiterleitungen |
| sehr starke Prüfung | 10% | Mit Vorsicht einstellen! |
Die Reputation der IPs wird über eine zentrale Datenbank inkl. Caching unseren Mailservern bereitgestellt. Noch nicht gecachte IPs werden immer live abgefragt. Bereits gecachte IPs werden unterschiedlich häufig neu abgefragt, um schnell auf Veränderungen reagieren zu können. Nach dem Caching gilt eine IP als neue IP und wird erneut live abgefragt.
| Bad-IP Wert | Cache Zeit für: IPs aus DE/AT/CH |
Cache-Zeit für: IPs weltweit |
|---|---|---|
| kleiner 25% | 2 Tage | 30 min |
| größer 25% | 1 Tag | 1 Tag |
Diese Reputations-Prüfung wirkt als eigenständiger Filter vor dem Basis-Schutz. Sollte eine E-Mail aufgrund dieser Prüfung abgelehnt werden, wirken die hier gezeigten Folge-Prüfungen nicht mehr.
Basis-Schutz Teil 1 - Header-Checks u.a.Der Basis-Schutz besteht aus mehreren Prüfungen einer eingehenden E-Mail. Bestimmte Merkmale einer E-Mail werden mit positiven oder negativen Wertungspunkten bewertet und am Schluss zu einem Scoringwert zusammenaddiert. Je weiter der Wert von 0 entfernt ist, desto sicherer ist die Bewertung. Positive Werte sind "schlecht" und negative Werte "gut". Einträge in Blacklisten ergeben z.B. negative Werte und authentifizierte SPF- und DKIM-Records negative Werte. Wenn die schlechten Werte in der Summe überwiegen erfolgt die Einstufung als SPAM und eine E-Mail wird abgelehnt.
| Scoringwert | |
| negativ | Mail wird angenommen |
| positiv | Mail wird abgelehnt |
Die Prüfungen sind:
- SPF-Prüfung
- DKIM-Prüfung
- Verschiedene Headerprüfungen
- RFC-Konformitäten (SMTP-Meldung, DNS/rDNS, u.a.)
- Öffentliche Blacklisteneinträge
- Greylisting für E-Mails ohne Weiterleitungen (per Default inaktiv und kann vom Kunden aktiviert werden)
- Fest eingestelltes Greylisting wenn E-Mails bei uns auf Adressen treffen, die nach extern weiterleiten: 30 min
- Sender Score Bewertung
- Die Anzahl eingetragener Empfänger, getrennt nach to: und cc:-Feldern kann als Kriterium zur Abweisung von E-Mails eingestellt werden. "Spammer-Rundmails" beinhalten oft eine Vielzahl an eingetragenen Empfängern. Diese Limits sind vom Kunden im Control-Center selbst einstellbar. Diese Einstellung wirkt unabhängig vom Scoring. Wird die Anzahl Empfänger überschritten, dann wird eine E-Mail abgelehnt.
Viren-ScannerJede ein- und ausgehende E-Mail wird über einen Virenscanner geprüft. Wird Schadcode erkannt, erfolgt weder ein Versandt noch ein Empfang einer solchen E-Mail. Der Scanner arbeitet signaturenbasiert, wobei die Signaturen mehrmals täglich aktualisiert werden.
Der Virenscanner ist immer aktiv und kann nicht kundenseitig beeinflusst werden.
Schutz vor E-Mail-AnhängenEine große Gefahr stellen E-Mail-Anhänge dar. Oft getarnt als Office-, Multimedia-Dokumente oder Archivdateien werden Trojaner und Viren per E-Mail versendet. Ein unvorsichtiger Klick auf solche Anhänge kann dann den PC und ganze Netzwerke verseuchen (Stichwort Ransomeware).
Über unser Control-Center können bestimmte Dateitypen blockiert werden. Beim Empfang werden E-Mails zugestellt und nur der unerwünschte Anhang wird entfernt. Die E-Mail enthält dann einen Hinweis auf den gelöschten Anhang, so das der Empfänger informiert ist, was für ein Anhang entfernt wurde. Eine Klärung und Absicherung mit dem Absender kann eingeleitet werden. Beim Senden wird eine solche E-Mail geblockt.
Auch wenn E-Mails mit einem Virenscanner überprüft werden, empfehlen wir potentiell gefährliche Anhänge zu blockieren, denn kein Virenscanner kann immer jeden Schadcode erkennen.
Basis-Schutz Teil 2 - Content-ChecksDer Content-Schutz, basierend auf Spamassassin, besteht aus mehreren Prüfungen, die auf den SA-Standardregeln und den Heinlein-Regeln basieren. Neben den Body-/Header-Checks dieser Regeln updaten wir eigene Regeln manuell mit den Kennungen typische Spams, sobald wir solche Spams erkennen. Solche E-Mails werden danach aufgrund von Betreffzeilen, Absender- oder anderen Kennungen mit dem von uns vergebenen Scoring versehen.
Kunden können uns auch Spam-E-Mails zusenden, so dass wir diese anhand eindeutiger Kennungen zukünftig blockieren. Dazu muss eine Spam-E-Mail als Datei abgespeichert und als Anhang an uns gesendet werden. Nur so bleiben die Headerdaten einer E-Mail unverändert. Eine Weiterleitung kann nicht bearbeitet werden.
Das Ergebnis aller Prüfungen wird wieder über einen Scoringwert abgebildet. In einer E-Mail wird das Ergebnis über Headereinträge "X-Spam-Flag" und "X-Spam-Score" eingetragen. E-Mailprogramme können diese Einträge für eine eigene Auswertung/Filterung verwenden.
| negativ | Mail wird angenommen | NO | negativ |
| Von 0 bis 6,2 | Mail wird angenommen | NO | 0.00 bis 6.20 |
| Von 6,2 bis 8,9 | Mail wird angenommen | YES | 6.21 bis 8.99 |
| Von 9,0 | Mail wird abgelehnt | -- | -- |
Beachte: Dieses Scoring basiert nur auf dieser Contentprüfung und beinhaltet keine Ergebnisse der anderen Prüfungen.
Schutzfunktionen gegen Missbrauch von E-Mailadressen
Die meisten Mailserver erwarten mittlerweile Angaben, mit denen geprüft werden kann, ob ein Mailserver berechtigt ist eine E-Mail einer bestimmten Domain zu versenden. Das ist beispielsweise notwendig um gefälsche E-Mails sicherer erkennen zu können, um Phishing und anderen Mißbrauch zu verhindern.
So können Sie die SPF-, DKIM- und DMARC-Records setzen: zur FAQ
SPF-RecordDas Sender Policy Framework (SPF) soll das Fälschen von Absendern verhindern.
Der SPF-Record definiert die zuständigen Mailserver für eine Domain und was mit E-Mails von unauthorisierten Mailservern passieren soll. Die Einstellung '-all' gibt z.B. die Anweisung, dass E-Mails von unautorisierten Mailservern abgewiesen werden sollen. Nicht jeder Empfänger-Server wertet diesen Record aus, bzw. handelt strikt nach der Vorgabe. Dennoch kann man mit diesem Eintrag den Missbrauch der eigenen Domain reduzieren.
Wichtig zu wissen: E-Mailweiterleitungen an externe Domains können auf dem Zielserver geblockt werden, wenn die externe Domain ein SPF-Record besitzt und der Weiterleitungsserver dort nicht hinterlegt ist.
Detailierte Infos zum SPF-Record sind bei Wikipedia zu finden.
Der SPF-Record kann direkt im Control-Center eingestellt werden, wenn unsere Nameserver benutzt werden. Die Änderungen werden direkt auf die Nameservern übertragen.
DKIM-RecordDomainKeys Identified Mail (DKIM) ist eine Technik um das Verschleiern von Absendeadressen zu reduzieren.
Der versendene Mailserver erzeugt vom Inhalt einer E-Mail eine digitale Signatur, die mit einem öffentlich einsehbaren DKIM-Record beim Empfang auf einem anderen Mailserver geprüft werden kann. Stimmt die Signatur, stammt die E-Mail vom zuständigen Mailserver.
Detailierte Infos zu DKIM sind bei Wikipedia zu finden.
Das DKIM-Verfahren ist auf unseren Mailservern integriert und sofern unsere Mail- und Nameserver genutzt werden, kann über das Control-Center für jede Maildomain DKIM per Mausklick eingerichtet werden. Bei der Nutzung externer Nameserver wird der notwendige DKIM-Record angezeigt, welcher dann im externen Nameserver manuell eingestellt werden muss.
DMARC-RecordDomain-based Message Authentication, Reporting and Conformance (DMARC) soll den Missbrauch von E-Mails reduzieren.
Der DMARC setzt auf die bereits bekannten Techniken SPF und DKIM auf und gibt für diese vor, wie mit unautorisierten E-Mails umgegangen werden soll. Der DMARC stellt strengere Anforderungen an den Absender (FROM-Header), wodurch er z.B. oft nicht kompatibel zu älterer Mailingsoftware ist.
Detailierte Infos zu DMARC sind bei Wikipedia zu finden.
Der DMARC-Record kann direkt im Control-Center eingestellt werden, wenn unsere Nameserver benutzt werden. Die Änderungen werden direkt auf die Nameservern übertragen. Unsere Mailserver werten einen DMARC-Record allerdings nicht selbst aus.