Funktionsweise Viren- & Spamabwehr

Die Mail-Filterung auf Malware (u.A. Viren) und Spam erfolgt an der Leibniz Universität Hannover zentral durch das Rechenzentrum. Eine direkte Zustellung von Mails in Einrichtungen an der LUH ist aus Sicherheitsgründen grundsätzlich am Internet-Gateway durch Port-Sperren ausgeschlossen, damit eine einheitliche Anti-Malware-Policy in Bezug auf E-Mail aufrechterhalten werden kann.

Das Rechenzentrum erledigt die Viren- und Spam-Abwehr für in die LUH eingehenden Mails durch Rückgriff auf den Mail-Support-Dienst des DFN-Vereins, der als Internet-Provider auch für den Internet-Anschluss der Universität sorgt. Dabei werden Mails zunächst über Server (Mail-Relays) des DFN geschickt, wo eine Filterung als direkte Nicht-Annahme (insbesondere bei Malware) oder durch Kennzeichnung ("Tagging" im Mail-Header) erfolgt.

Details zur Funktionsweise der Viren- und Spamabwehr des DFN können der Dokumentation des Mail-Supports des DFN entnommen werden. Dort werden neben den Randbedingungen des Dienstes auch die Details zu den Filtern und deren Einstellungsmöglichkeiten (die Auswahl trifft das Rechenzentrum der LUH) detailliert dargestellt.

E-Mails, die von der Spamabwehr nicht  erkannt wurden, nach Ihrer Auffassung aber SPAM sind, senden Sie bitte an spamrrzn.uni-hannover.de .

Wurden gewünschte E-Mails fälschlicherweise als SPAM bewertet, handelt es sich also um sogenannte HAM, dann senden Sie diese an hamrrzn.uni-hannover.de .

In beiden Fällen können wir diese E-Mails aber nur unter folgenden Bedingungen verarbeiten:

• wir bekommen die E-Mail als Anhang (Attachment)
• der Anhang enthält die vollständigen Kopfzeilen (Header) der fraglichen E-Mail
• die E-Mail sollte nicht älter sein als 48 Stunden, ältere SPAM ist in der Regel durch andere Stellen bereits in das System eingetragen worden.
• Sie senden keine eigenen Signaturen und elektronischen Visitenkarten mit.  Es sei den  Sie wünschen, das diese mit in die Spam-Bewertung aufgenommen werden

Nachdem der DFN eingehende Mails als Spam gekennzeichnet hat, werden diese zu den Mail-Servern der LUH weitergeleitet. Dort erfolgt die Zustellung an die auf den Mailservern gespeicherten Mail-Accounts. Wie und ob dort eine Aussortierung unerwünschter Werbe-Mails erfolgt, hängt von den account-spezifischen Einstellungen und dem verwendeten Mail-Server ab.

Mail-Server des Rechenzentrums

In den Einstellungen der Mail-Accounts, genauer in den serverseitigen Filterskripten, kann eine Aussortierung der Spam-Mails vor Abruf durch den Nutzer erfolgen. Dieses geschieht mit den über den Webmailer Horde konfigurierten Sieve-Skripten, wobei standardmäßig eine Aussortierung in den Ordner "30dTrash" vorgesehen ist. In diesem Ordner werden automatisch einmal täglich alle Mails, die älter als 30 Tage sind, gelöscht.

Ob ein Mail-Account an dieser serverseitigen und damit unabhängig vom Weg des Mailabrufs (egal welcher Mail-Client auf welchem System oder ob über den Webmailer) funktionierenden Spam-Aussortierung teilnimmt, ist account-spezifische Einstellung. Ggf. ist die vordefinierte Spam-Abwehrregel im Webmail-Filter von Horde zu aktivieren.

Alternativ kann auf die Spam-Sortierung über den Server verzichtet werden. Dann kann die Spam-Kennzeichnung immernoch im Mail-Client ausgewertet werden. Diese Einstellung bietet sich für alle an die noch das POP-Protokoll zum Mailabruf verwenden, weil dabei ein Abruf nur für die INBOX und nicht für den Spam-Folder 30dTrash möglich ist.

Einrichtungseigene Mail-Server

Einrichtungen, die noch selbst einen Mail-Server betreiben, können die Spam-Kennzeichnung des DFNs selbst auswerten. Dieses kann z.B. auf dem Mail-Server der Einrichtung erfolgen. Dieses muss entweder durch den Mailserver-Admin zentral oder durch die Nutzer am Mailserver einzeln eingestellt werden. Alternativ ist eine client-seitige Filterung durch jeden Mail-Nutzer möglich.

Mail, die innerhalb der LUH verschickt wird, geht nicht über die Server des DFN. Es erfolgt keine Spam-Abwehr, sehr wohl ist aber eine Virenabwehr, d.h. das Prüfen der Mail mit einem Antivirus-Programm, auf den Mail-Relays und SMTP-Servern des Rechenzentrums implementiert. Damit jede interne Mail gefiltert werden kann, sollten daher alle Mails durch die Server des Rechenzentrums laufen. Insbesondere sollten nachgelagerte, einrichtungseigene Mailserver alle Mails über das Rechenzentrum schicken.

Wird von einem SMTP-Server des Rechenzentrums eine Mail als malware-infiziert klassifiziert, so wird der Empfang gleich abgebrochen und damit die Annahme verweigert. Auf den Mail-Relais wird eine Viren-Mail aussortiert und stattdessen der Empfänger über das Zurückhalten der Mail informiert (dieses betrifft nur vom DFN bereits gescannte Mail, sollte daher fast nicht auftreten).

Einige Dateianhänge wie z.B. direkt ausführbare Programme gelten als besonders gefährlich, da sie durch den Nutzer sehr leicht aktiviert werden können und traditionell eher Viren enthielten. Mails mit solchen Anhängen, in denen die Antivirus-Scanner keine Malware festgestellt haben, werden innerhalb der Universität trotzdem zugestellt. Wenn solche Mails aber von Außerhalb kommen, werden sie zusätzlich mit einer Warnung versehen. Die Anhänge bleiben unverändert erhalten, und der Nutzer muss vorsichtig und verantwortungsvoll damit umgehen.