Zentrale Filterung von Spam und Viren am E-Mail-Server der FH

Sophos PureMessage ist eine flexible und variable Gateway-Lösung zur Überprüfung des gesamten E-Mail-Verkehrs an der Fachhochschule Dortmund. PureMessage (PMX) schützt vor Spam, Viren und anderen E-Mail-basierten Sicherheitsbedrohungen. Dazu zählen:

• ein Anti-Virus-Modul zum Schutz vor Viren, Würmern und Trojanern;
• ein Anti-Spam-Modul zum Schutz vor Spam-Mails mit flexiblem Quarantäne-Management und Erkennungsraten von bis zu 98 Prozent;
• ein Regelwerk (Policy Management)-Modul zur Überprüfung, ob ein- und ausgehende E-Mails den mailspezifischen Regeln der Fachhochschule Dortmund entsprechen.

Das Prinzip von PureMessage (PMX) basiert auf mehreren Spam-Tests, die die individuelle Charakteristik und Struktur jeder E-Mail analysieren. Jeder dieser Tests trägt über seine eigene numerische Gewichtung zur Gesamtbewertung der E-Mail bei, so dass eine errechnete Spam-Wahrscheinlichkeit von über 40% zur Zeit folgende Massnahmen anhand von definierten Filterregeln auslöst:

1. Regel zur Wahrscheinlichkeit von 40% bis 60%:
   Die E-Mail wird zugestellt, wobei der Betreff-Zeile ein Spamverdacht vorangesetzt wird.
2. Regel zur Wahrscheinlichkeit von 60% bis 90%:
   E-Mail wird dem Empfänger nicht zugestellt, bleibt aber dafür für 15 Tage in einer Quarantäne.
3. Regel zur Wahscheinlichkeit über 90%:
   Die Annahme der Mail wird verweigert und damit auch nicht in der Quarantäne aufbewahrt.
4. Regel zu Suspected Attachments:
   Mails mit Suspected Attachments werden zugestellt.

Alle von außerhalb des FH-Netzwerkes stammenden und an die Domäne "fh-dortmund.de" gerichteten E-Mails werden von PMX auf Spam überprüft, nicht aber der innerhalb der FH-Domäne stattfindende E-Mailverkehr. Für jeden Angehörigen der FH Dortmund, dessen E-Mail-Adresse aus der FH Domain (globaler Teil nach dem @-Zeichen, also z.B. "benutzername@fh-dortmund.de") stammt, steht ein Enduser Webinterface (EUWI) zur Verfügung.
Damit wird dem Benutzer die Chance gegeben, selbst die Filterfunktionen über einfache und überschaubare Optionen zu bestimmen.

Auch für den Fall, dass der zentrale Spamfilter für den E-Mail-Benutzer nicht in Frage kommt, muss zunächst ein Zugang zum EUWI beschafft werden, um in diesem die Filterung dann generell abstellen zu können.

Falls Sie die hier dargestellten Information ausdrucken möchten, nutzen Sie bitte das "Druckansicht"-Symbol am Ende dieser Seite.

Bitte einen Browser wie Mozilla Firefox oder Intenet Explorer starten und folgende URL-Adresse aufrufen:

https://pmx.fh-dortmund.de:28443

Wenn Sie die Seite zum ersten Mal besuchen, wird Ihnen wahrscheinlich eine Fehlermeldung wegen eines fehlerhaften Zertifikats angezeigt.
Wir bitten, diese Unannehmlichkeit zu entschuldigen und das Zertifikat vorübergehend dennoch zu akzeptieren.

In die daraufhin erscheinende Anmeldemaske tragen Sie bitte unter "Email/Login" Ihre FHKennung und unter "Password" das dazugehörige Passwort ein.

Danach klicken Sie auf den "Login" Knopf.

Hinweis:
Werden von Ihrem Browser Cookies nicht akzeptiert, so ist eine Anmeldung am Enduser-Webinterface nicht möglich.
Es muss das Flag für Cookies aktiviert sein!

Falls der Spamfilter, oder auch persönlicher E-Mail-Filter genannt, nicht genutzt werden soll, gehen Sie bitte wie folgt vor:

1. Melden Sie sich, wie oben beschrieben, am Enduser-Webinterface an.
2. Im Hauptmenü unter linker Spalte "Optionen" anklicken.
3. Im Kästchen "Für meine E-Mails alle Abblockfunktionen für Spam und beleidigende Inhalte deaktivieren"
   den Haken setzen.

Ihre E-Mail wird dann lediglich auf Viren geprüft.

Weitere Informationen sind unter dem Punkt "Ein-/Ausschalten des Spamfilters und Digest" zu finden.

Das erste Bild nach der Anmeldung zeigt immer das Ergebis des E-Mail-Filters an - unter Menüpunkt "Abgeblockte E-Mails" ! Hier auf diesem Bild sind für den Benutzer keine E-Mail abgeblockt worden.
Am linken Rand unter "SOPHOS" wird das Menü angezeigt, um weitere Funktion wie Hilfe, Optionen ,etc. nutzen zu können.
Soll generell der Spamfilter abgeschaltet, dann gleich Menüpunkt "Optionen" wählen.

Alle spamverdächtigen E-Mails, entsprechend der Spameinstufung von PMX, sind in die Quarantäne verschoben worden. Mehrere Verwaltungsmaßnahmen können nun ausgelöst werden.

Anhand der Bewertung, Absender oder Betreffszeile kann man nun selbst herausfinden, ob vielleicht eine E-Mail nicht zugestellt, sondern abgeblockt worden ist - also keine Spam ("False Positive" !). In diesem Fall in das entsprechende Kästchen links vor der betreffenden E-Mail einen Haken setzen und anschließend auf "E-Mail senden" klicken.

Weiterhin kann man E-Mails löschen oder zur Zustellung freigeben und zugleich den Absender freigeben oder alle geblockten E-Mails löschen.

Hinweis:
Falls der Inhalt der E-Mail angezeigt werden soll, dann bitte in der Spalte "Betreffszeile" entsprechendes Feld für Betreff anklicken!

Wenn eine E-Mail zugestellt und zugleich der Absender freigegeben werden soll, so wird dieser Absender automatisch in die Liste der freigegebenen Absender übernommen.

Absender, die in dieser Liste enthalten sind, werden künftig nicht mehr geblockt, auch wenn Sie von diesen eine Spam-Mail erhalten.

Im Anschluss wird das erfolgreiche Senden der angeforderten E-Mails bestätigt.

Die Mails werden im Enduser-Webinterface weiterhin aufgelistet, obwohl sie gesendet wurden.

Sie verbleiben in der Übersicht, bis sie das System nach einem bestimmten Turnus automatisch aus der Übersicht der geblockten E-Mails entfernt.

Abhängig von dem allgemeinen Mailverkehr erhält man nach ca. 10 Minuten die angeforderten E-Mails in seinem Postfach.

Sofern Sie im Menue "Optionen" einen Haken bei

"Ich möchte regelmäßig über abgeblockte E-Mails benachrichtigt werden."

gesetzt haben, erhalten Sie einmal pro Tag eine Digest-Mail, in der alle seit dem Versenden des letzten Digests eingegangenen Spammails aufgelistet sind.

Ist die Digest-Mail (Sammelliste über alle abgeblockten E-Mails) im Postfach angekommen (unter Betreff: Spam-Mails in der Quarantäne seit ...), so kann Folgendes ggf. veranlasst werden:

Um eine einzelne, erwünschte E-Mail zu verschicken, ist in der Spalte ID des Digest der Link der entsprechenden zuzustellenden E-Mail anzuklicken.

Sollen hingegen sämtliche der in dem Digest aufgelisteten E-Mails zugestellt werden, so ist einfach auf diese E-Mail zu antworten.

Wie schon in den hier vorangestellten Punkten das "Optionen-"Menü öfters erwähnt worden ist, spielt es aus der Sicht des Benutzers die entscheidende Rolle:
Soll ein persönlicher Spamfilter überhaupt genutzt werden und wenn ja, besteht zumindestens in der Anfangphase das Interesse, sich jeden Tag eine Digest-Mail zukommen zu lassen, um die Qualität des Spamfilters auf einen Blick zu überprüfen?

Der Spamschutz ist standardgemäß immer eingeschaltet bzw. automatisch wirksam. Wenn doch der Wunsch besteht, auf diesen zentralen Service zu verzichten, so ist wie folgt vorzugehen:
Im Kästchen
"Für meine E-Mails alle Abblockfunktionen für Spam und beleidigende Inhalte deaktivieren"
ein Häkchen setzen.

Ihre Mails werden dann lediglich auf Viren geprüft.

Mails, die in die Quarantäne verschoben worden sind, verbleiben dort 15 Tage, bevor sie vom System endgültig gelöscht werden.
Um über die in die Quarantäne verschobenen Mails durch einen Digest per E-Mail informiert zu werden, muss diese Funktion eingeschaltet sein.

Um künftig eine Digestbenachrichtigung der abgeblockten Spammails zu erhalten, ist bei
"Ich möchte regelmäßig über abgeblockte E-Mails benachrichtigt werden."
ein Häkchen zu setzen.

Weiterhin können im Menü "Optionen" die Sprache des Enduser-Webinterface und für den Fall einer längeren Abwesenheit eine längere Aufbewahrungsfrist der E-Mails eingestellt werden.

Damit die durchgeführten Änderungen übernommen werden, ist der Button "Speichern" zu betätigen. Die Einstellungen werden abhängig vom allgemeinen Mailbetrieb nach ca. 10 Minuten wirksam.

Alle E-Mails, die unter dem Menü "Abgeblockte E-Mails" gelöscht worden sind, werden hier angezeigt. Nun besteht die Möglichkeit, die Löschung bei Bedarf rückgängig zu machen.

Bis zum nächsten automatischen Systemabgleich verbleiben die E-Mails in dieser Übersicht, bevor sie vom System abschließend endgültig gelöscht werden.

Allgemein gilt: Alle in der Quarantäne befindlichen E-Mails, die älter als 15 Tage sind, werden generell nur vom System endgültig gelöscht!

Hier können Sie explizit festlegen, von welchen E-Mail Adressen ankommende E-Mails, unabhängig von ihrer Spamwahrscheinlichkeit, grundsätzlich zugestellt werden sollen.
Die Formulierung der Filter-Regel muss sehr exakt erfolgen, um wirklich nur die gewünschte Wirkung zu erzielen.

Hier können Sie explizit festlegen, von welchen E-Mail Adressen ankommende E-Mails, unabhängig von ihrer Spamwahrscheinlichkeit, grundsätzlich geblockt werden sollen.
Da SPAM-Versender die Absender-Adressen jedoch andauernd ändern, macht die Verwendung dieser Seite aber nur in Ausnahmefällen Sinn.

Für alle E-Mail-Filter gibt es das Problem mit dem einer E-Mail angefügten Anhang, z.B. einer ausführbaren Datei ("*.exe"). Dieser Dateityp ist normalerweise ein binäres Programm, welches per E-Mail transferiert werden möchte.
In den Anfängen des Internetverkehrs war dies über den E-Mail-Dienst auch möglich. Aber weil sich heutzutage diese Anhänge meistens als Viren entpuppen, die der Empfängerseite absichtlichen Schaden zufügen wollen, werden solche Dateien nach gängiger Praxis als "suspect" eingestuft.
Folgende Dateiendungen führen zu dieser Einstufung:

*.???.exe	*.com	*.jse	*.shb
*.???.lnk	*.cpl	*.lnk	*.shs
*.???.pif	*.crt	*.msc	*.url
*.ade	*.email	*.msi	*.vb
*.adp	*.eml	*.mst	*.vbe
*.bas	*.exe	*.ocx	*.vbs
*.bat	*.hlp	*.pcd	*.wsc
*.chm	*.hta	*.pif	*.wsf
*.cla	*.inf	*.reg	*.wsh
*.class	*.ins	*.scr
*.cmd	*.js	*.sct

Wenn also Dateien mit o.g. Endungen per E-Mail verschickt werden müssen,
hat sich die folgende gängige Praxis bewährt:
Die absendende Seite solte eine Datei mit einer o.g. Dateiendung zunächst in ein Archiv, z.B. zip, rar, ace o.ä., packen, anschließend das Archiv der E-Mail als Attachment hinzufügen und dann absenden.
Hierbei sollte aber immer beachtet werden, das die meisten Mailserver die Kapazität für die E-Mail-Übertragung begrenzen! Eine Standardgröße für den Transfer der gesamten E-Mail ist 30 MB.

Das Hauptargument für den zentralen Einsatz sind einmal die Entlastung der Angehörigen der FH Dortmund von unsäglichen Spam-Mails beim täglichen Öffnen des elektronischen Postfaches und zum anderen eine höhere Sicherheit und Effizienz im innerbetrieblichen Mailverkehr.
Viele E-Mail-Benutzer bekommen häufig pro Tag mehr als 30 Spams, wobei bei dezentraler Betrachtungsweise einige die Spams am Arbeitsplaz-Rechner manuell und zeitaufwendig selber aussortieren, andere wiederum den dezentralen Einsatz von Spamfilter-Techniken der Browser oder SpamPal bevorzugen. Allen Verfahren ist gemein, dass man einerseits Zeit für Installation, Kontrolle und Überwachung, anderseits auch ein gewisses Maß an Know-how investieren muss. Selbstredend besteht beim zentralen Einsatz auch einer sehr professionellen SW wie PureMessage die Gefahr, dass eine eigentlich "wahre" bzw. "echte" Mail ("True Negative" aus der Sicht des Spamfilters!) nicht zugestellt werden könnte und zunächst in der Quarantäne verbleiben würde. In diesem Fall sollte bei Bedarf der Benutzer das hier vorgestellte Enduser Webinterface nutzen.
Zu guter Letzt noch eine kurze Zusammenfassung, deren Inhalt den zentralen Einsatz von PureMessage nochmals hervorheben soll:

1. Eine E-Mail wird als Spam-Mail erkannt.
   (Benachrichtigung via Spam-Digest möglich)
2. Eine E-Mail enhielt einen Virus.
   (Benachrichtigung via Spam-Digest möglich)

Zu 1:

Erfolgte die Quarantäne aufgrund der Spamklassifizierung, so erhält der Mailaddressat einmal am Tag per E-Mail einen Digest über die in Quarantäne genommenen Spam-Mails.

Der Digest kann jederzeit durch den Benutzer abgeschaltet werden.

Die geblockten Spam-Mails werden sowohl im Enduser-Webinterface unter dem Menü "Geblockte E-Mails" als auch im Spam-Digest aufgelistet.

Zu 2:

Erfolgte die Quarantäne aufgrund eines identifizierten Virus, so wurde der Virus entfernt und die Mail mit einer entsprechenden Meldung ergänzt.

Da die Erfahrung gezeigt hat, dass fast alle eingehenden Mails mit Virenanhängen keine bewusst gesendeten Nachrichten darstellen, sondern von mit Viren befallenen Systemen automatisch erzeugt wurden und um Ihre Mailbox nicht unnötig zu belasten, wird diese "Rest-Mail" vom System wie eine Spam-Mail behandelt und ebenso geblockt.

Es bleibt letztlich Ihnen überlassen, sich mit dem Absender in Verbindung zu setzen, um diesen um die Zusendung einer virenfreien Mail zu bitten.

Bedenken Sie hierbei aber, dass die E-Mail Absenderadresse häufig gefälscht worden sind.

Diese geblockten virus-bereinigten E-Mails werden sowohl im Enduser-Webinterface unter dem Menue "Geblockte E-Mails" als auch im Spam-Digest aufgelistet.