Beim Greylisting wird eine E-Mail zunächst für einen kurzen Zeitraum von einigen Minuten (5 min, sofern keine Weiterleitungen bei dem Empfängern existieren) abgewiesen und erst danach empfangen. Echte und korrekt konfigurierte Mailserver unternehmen mehrere Zustellversuche, so dass eine E-Mail bei diesem Verfahren nur leicht verzögert empfangen wird. Typische SPAM-Versender dagegen stellen oft nur einmal zu, so dass dieses Verfahren derartige SPAM-Emails blockiert.
Über ein Cacheverfahren wird sichergestellt, dass einmal empfangene Absender/Empfänger/Mailserver-Kombinationen über ein Zeitfenster nicht jedesmal erneut verzögert werden.
Je nach Verhalten des sendenen Mailservers kann der verzögerte Empfang ganz unterschiedlich lang sein. Von wenigen Minuten bis hin zu mehreren Stunden. Darauf haben wir keinen Einfluss.
Greylisting sollte nur bei Bedarf zugeschaltet werden.
Über die Black- und Whitelisten im Control-Center können einzelne Absender-E-Mailadressen oder Absender-Domains grundsätzlich freigeschaltet oder blockiert werden. Diese Eintragungen überbrücken die Ergebnisse der anderen Prüfungen innerhalb des Basis-Spamschutzes und den IP-Reputations-Check.
Folgende Einträge sind möglich:
Nutzen Sie die Whitelist, um wichtige Absender zu definieren, die immer zugestellt werden sollen.
Allgemeine Spammer über Blacklisten zu filtern ist dagegen uneffektiv, weil Spammer laufend unterschiedliche Absender und Domains benutzen. Die Blacklist ist dazu gedacht bestimmte immer gleich bleibende Absender zu blockieren, wie beispielsweise Newsletter, die man nicht richtig abgestellen kann.
Alle E-Mail-Postfächer unserer Hosting und Cloud-Server verfügen standardmäßig über einen mehrstufigen Schutz vor Viren / Trojanern / Phishing und SPAM
Beachten Sie auch unsere Tipps für den E-Mail-Versandt über Websites.
Die Schutzfunktionen arbeiten als SMTP-Gateway, wobei eine E-Mail noch vor der Empfangsquittierung geprüft wird. Im Fall von SPAM- oder Schadcode/Viren-Erkennung wird der Empfang einer E-Mail am Gateway abgelehnt. Das heisst, unser E-Mailserver nimmt eine solche E-Mail gar nicht erst an.
Alternativ kann die E-Mail-Firewall gebucht werden. Diese Funktion überbrückt die Basis-, Reputationsprüfung.
Unsere Groupware-Angebote haben eigene integrierte Schutzmechanismen.
Die Einstellungen sind hier zu finden:
Über den Einstellungen wird eine Monats-Statisik aller eingehenden E-Mails eines Benutzeraccounts angezeigt, die von externen Servern gesendet wurden. Interne E-Emails innerhalb desselben Servers, z.B. von Postfach zu Postfach werden hier nicht erfasst.
Im Fall einer Ablehnung einer E-Mail wird der Absender mit einer Meldung über den Grund der Ablehnung informiert. Im Fall von Blacklisting wird kein konkreter Grund genannt.
Über die Black- und Whitelisten im Control-Center können einzelne Absender-E-Mailadressen oder Absender-Domains grundsätzlich freigeschaltet oder blockiert werden. Darüber hinaus gibt es interne globale Black-/Whitelisten in unserem Netzwerk, die für alle Server gelten.
Das Blacklisting überbrückt alle weiteren Prüfung. Bei einem Blacklisting wird immer abgelehnt. Das Whitelisting überbrückt die Reputations- und Basisprüfung, aber nicht die Prüfungen auf Viren-/Schadcode und verbotene Anhänge.
Die IP-Reputation (Vertrauenswürdigkeit der IP) des sendenen Mailservers wird über ein weltweites Reputationsnetzwerk ermittelt.
Das Netzwerk ermittelt eine prozentuale Bewertung der IP als "Bad IP" im Bereich 0% bis 100%. Je größer der Wert desto eher handelt es sich um eine "Bad IP". Die Analyse basiert auf gemeldeten IP-Aktivitäten, wie z.B. Spamming, Hacking, Phishing und anderes.
Diese Reputationsprüfung ist standardmäßig auf 25% (starke Prüfung) eingestellt, wenn es mehr als eine externen E-Mail-Weiterleitung gibt. "Extern" bedeuted, E-Mails an andere Mailanbieter (wie GMX, Gmail usw.), aber auch an andere Mailserver bei uns. Weiterleitungen an Adressen im eigenen Account oder demselben Mailserver bei uns, werden nicht als "extern" eingestuft.
Sobald eine E-Mail an eine oder mehrere Adressen geht, die zwei oder mehrere externe Weiterleitung beinhalten, wird die E-Mail an alle Empfänger abgelehnt, wenn die IP-Reputation einen Wert ab 25% ergibt. Keiner der Empfänger bekommt dann diese E-Mail.
Für eingehende E-Mails ohne Weiterleitung oder nur einer Weiterleitung bei den Empfängern, ist diese Prüfung per Default auf 75% (leichte Prüfung) eingestellt. Der Kunde kann die Prüfung in mehreren Stufen individuell einstellen:
Einstellung | Scoring | Hinweise |
---|---|---|
aus | -- | keine Prüfung |
leichte Prüfung | 75% | Defaultwert |
mittlere Prüfung | 50% | Mittelwert |
starke Prüfung | 25% | Bei viel Spam. Fest-Einstellung bei mind. zwei externen Weiterleitungen |
sehr starke Prüfung | 10% | Mit Vorsicht einstellen! |
Die Reputation der IPs wird über eine zentrale Datenbank inkl. Caching unseren Mailservern bereitgestellt. Noch nicht gecachte IPs werden immer live abgefragt. Bereits gecachte IPs werden unterschiedlich häufig neu abgefragt, um schnell auf Veränderungen reagieren zu können. Nach dem Caching gilt eine IP als neue IP und wird erneut live abgefragt.
Bad-IP Wert | Cache Zeit für: IPs aus DE/AT/CH |
Cache-Zeit für: IPs weltweit |
---|---|---|
0 bis 0% | 7 Tage | 2 Tage |
1 bis 25% | 30 min | 30 min |
26 bis 100% | 1 Tag | 1 Tag |
Diese Reputations-Prüfung wirkt als eigenständiger Filter vor dem Basis-Schutz. Sollte eine E-Mail aufgrund dieser Prüfung abgelehnt werden, wirken die hier gezeigten Folge-Prüfungen nicht mehr.
Der Basis-Schutz besteht aus mehreren Prüfungen einer eingehenden E-Mail. Bestimmte Merkmale einer E-Mail werden mit positiven oder negativen Wertungspunkten bewertet und am Schluss zu einem Scoringwert zusammenaddiert. Je weiter der Wert von 0 entfernt ist, desto sicherer ist die Bewertung. Positive Werte sind "schlecht" und negative Werte "gut". Einträge in Blacklisten ergeben z.B. negative Werte und authentifizierte SPF- und DKIM-Records negative Werte. Wenn die schlechten Werte in der Summe überwiegen erfolgt die Einstufung als SPAM und eine E-Mail wird abgelehnt.
Scoringwert | |
negativ | Mail wird angenommen |
positiv | Mail wird abgelehnt |
Die Prüfungen sind:
Jede ein- und ausgehende E-Mail wird über einen Virenscanner geprüft. Wird Schadcode erkannt, erfolgt weder ein Versandt noch ein Empfang einer solchen E-Mail. Der Scanner arbeitet signaturenbasiert, wobei die Signaturen mehrmals täglich aktualisiert werden.
Der Virenscanner ist immer aktiv und kann nicht kundenseitig beeinflusst werden.
Eine große Gefahr stellen E-Mail-Anhänge dar. Oft getarnt als Office-, Multimedia-Dokumente oder Archivdateien werden Trojaner und Viren per E-Mail versendet. Ein unvorsichtiger Klick auf solche Anhänge kann dann den PC und ganze Netzwerke verseuchen (Stichwort Ransomeware).
Über unser Control-Center können bestimmte Dateitypen blockiert werden. Beim Empfang werden E-Mails zugestellt und nur der unerwünschte Anhang wird entfernt. Die E-Mail enthält dann einen Hinweis auf den gelöschten Anhang, so das der Empfänger informiert ist, was für ein Anhang entfernt wurde. Eine Klärung und Absicherung mit dem Absender kann eingeleitet werden. Beim Senden wird eine solche E-Mail geblockt.
Auch wenn E-Mails mit einem Virenscanner überprüft werden, empfehlen wir potentiell gefährliche Anhänge zu blockieren, denn kein Virenscanner kann immer jeden Schadcode erkennen.
Der Content-Schutz, basierend auf Spamassassin, besteht aus mehreren Prüfungen, die auf den SA-Standardregeln und den Heinlein-Regeln basieren. Neben den Body-/Header-Checks dieser Regeln updaten wir eigene Regeln manuell mit den Kennungen typische Spams, sobald wir solche Spams erkennen. Solche E-Mails werden danach aufgrund von Betreffzeilen, Absender- oder anderen Kennungen mit dem von uns vergebenen Scoring versehen.
Kunden können uns auch Spam-E-Mails zusenden, so dass wir diese anhand eindeutiger Kennungen zukünftig blockieren. Dazu muss eine Spam-E-Mail als Datei abgespeichert und als Anhang an uns gesendet werden. Nur so bleiben die Headerdaten einer E-Mail unverändert. Eine Weiterleitung kann nicht bearbeitet werden.
Das Ergebnis aller Prüfungen wird wieder über einen Scoringwert abgebildet. In einer E-Mail wird das Ergebnis über Headereinträge "X-Spam-Flag" und "X-Spam-Score" eingetragen. E-Mailprogramme können diese Einträge für eine eigene Auswertung/Filterung verwenden.
negativ | Mail wird angenommen | NO | negativ |
Von 0 bis 6,2 | Mail wird angenommen | NO | 0.00 bis 6.20 |
Von 6,2 bis 8,9 | Mail wird angenommen | YES | 6.21 bis 8.99 |
Von 9,0 | Mail wird abgelehnt | -- | -- |
Beachte: Dieses Scoring basiert nur auf dieser Contentprüfung und beinhaltet keine Ergebnisse der anderen Prüfungen.
Die meisten Mailserver erwarten mittlerweile Angaben, mit denen geprüft werden kann, ob ein Mailserver berechtigt ist eine E-Mail einer bestimmten Domain zu versenden. Das ist beispielsweise notwendig um gefälsche E-Mails sicherer erkennen zu können, um Phishing und anderen Mißbrauch zu verhindern.
So können Sie die SPF-, DKIM- und DMARC-Records setzen: zur FAQ
Das Sender Policy Framework (SPF) soll das Fälschen von Absendern verhindern.
Der SPF-Record definiert die zuständigen Mailserver für eine Domain und was mit E-Mails von unauthorisierten Mailservern passieren soll. Die Einstellung '-all' gibt z.B. die Anweisung, dass E-Mails von unautorisierten Mailservern abgewiesen werden sollen. Nicht jeder Empfänger-Server wertet diesen Record aus, bzw. handelt strikt nach der Vorgabe. Dennoch kann man mit diesem Eintrag den Missbrauch der eigenen Domain reduzieren.
Wichtig zu wissen: E-Mailweiterleitungen an externe Domains können auf dem Zielserver geblockt werden, wenn die externe Domain ein SPF-Record besitzt und der Weiterleitungsserver dort nicht hinterlegt ist.
Detailierte Infos zum SPF-Record sind bei Wikipedia zu finden.
Der SPF-Record kann direkt im Control-Center eingestellt werden, wenn unsere Nameserver benutzt werden. Die Änderungen werden direkt auf die Nameservern übertragen.
DomainKeys Identified Mail (DKIM) ist eine Technik um das Verschleiern von Absendeadressen zu reduzieren.
Der versendene Mailserver erzeugt vom Inhalt einer E-Mail eine digitale Signatur, die mit einem öffentlich einsehbaren DKIM-Record beim Empfang auf einem anderen Mailserver geprüft werden kann. Stimmt die Signatur, stammt die E-Mail vom zuständigen Mailserver.
Detailierte Infos zu DKIM sind bei Wikipedia zu finden.
Das DKIM-Verfahren ist auf unseren Mailservern integriert und sofern unsere Mail- und Nameserver genutzt werden, kann über das Control-Center für jede Maildomain DKIM per Mausklick eingerichtet werden. Bei der Nutzung externer Nameserver wird der notwendige DKIM-Record angezeigt, welcher dann im externen Nameserver manuell eingestellt werden muss.
Domain-based Message Authentication, Reporting and Conformance (DMARC) soll den Missbrauch von E-Mails reduzieren.
Der DMARC setzt auf die bereits bekannten Techniken SPF und DKIM auf und gibt für diese vor, wie mit unautorisierten E-Mails umgegangen werden soll. Der DMARC stellt strengere Anforderungen an den Absender (FROM-Header), wodurch er z.B. oft nicht kompatibel zu älterer Mailingsoftware ist.
Detailierte Infos zu DMARC sind bei Wikipedia zu finden.
Der DMARC-Record kann direkt im Control-Center eingestellt werden, wenn unsere Nameserver benutzt werden. Die Änderungen werden direkt auf die Nameservern übertragen. Unsere Mailserver werten einen DMARC-Record allerdings nicht selbst aus.