Spamfilter

Die Inhalte dieser Seite werden derzeit grundlegend überarbeitet. Um uns über fälschlicherweise als Spam klassifizierte oder nicht als Spam erkannte Nachrichten zu informieren, nutzen Sie die folgende Kurzanleitung. Falls Sie Hilfe brauchen, wenden Sie sich gerne an unseren IT-Service.

Um  falsch klassifizierte Mail zu melden, schicken Sie die betroffene Nachricht an eine der folgenden Adressen, je nach Anwendungsfall:

is_spam@uni-hd.de dient der Meldung von unerkanntem Spam, also unerwünschten Nachrichten, die SpamAssassin nicht als solche klassifiziert hat. E-Mails an diese Adresse werden automatisch verarbeitet. Dabei wird die Mail den Datenbanken Pyzor und Razor gemeldet, das lokale Bayes-System trainiert und die Mail in einem Archiv abgespeichert, um später eventuell neue SpamAssassin-Regeln hinzuzufügen .

is_ham@uni-hd.deAn diese Adresse sollen alle Mails gemeldet werden, die als Spam indiziert worden sind, aber keine Spam sind. Diese werden nicht automatisch verarbeitet, sondern werden so schnell wie möglich von einem Mitarbeiter bearbeitet. In der Regel wird der Absender der Mail in die globale Whitelist eingetragen und die SpamAssassin-Auswertung dahingehend untersucht, ob eine der Regeln vielleicht geändert oder gelöscht werden muss.

Bei beiden Adressen ist es wichtig, dass der Original-Header der Mail unbeschadet mitgeschickt wird. Dies erreicht man am Besten, indem man die Original-Mail als Anhang (Attachment) an die genannten Adressen schickt. Bei Mail-Klienten, die solch eine Funktion nicht haben, kann die Mail auch über die 'Bounce'-Funktion geschickt werden.

Neben einem Virenfilter wurde auf den zentralen Mail-Relay-Rechnern auch ein Spamfilter integriert. Im Gegensatz zu einem Virenscanner ist es einem Spamfilter nicht mit 100-prozentiger Sicherheit möglich, gewollte von unerwünschter Mail zu unterscheiden.

Daher vergibt das Programm SpamAssassin für verschiedene Kriterien Punkte. Übersteigt die Punktezahl am Ende der Analyse einen wählbaren Grenzwert, so wird die Mail als Spam eingestuft SpamAssassin lehnt keine Mail ab, sondert markiert diese nur als Spam oder "Ham" (nicht-Spam). Soll die Weiterleitung einer Mail aufgrund eines positiven Spam-Befunds verweigert werden, so wird eine weitere Software benötigt, die in dem MTA (auf den Relay-Rechnern im URZ ist dies Sendmail) integriert ist. Dies übernimmt in unserem Falle MIMEDefang, die, je nach Konfiguration der Zieldomain, eine als Spam erkannte Nachricht zurückweist, markiert aber weiterleitet oder an eine "Quarantäne"-Adresse schickt, unter der der Administrator sie anschauen und bei Bedarf an den Empfänger weiterleiten kann.

Untersucht werden allein Nachrichten, die von Servern außerhalb der Universität an Empfänger innerhalb der Universität verschickt werden. Der Mailverkehr innerhalb der Universität und der Verkehr von der Universität nach außen wird nicht auf Spam, sondern nur auf Viren überprüft.

Von der Spam-Filterung ausgenommen sind auch alle E-Mails von Absendern, denen ein Benutzer der Universität in der Vergangenheit eine E-Mail geschickt hat. Dazu werden bei ausgehenden Nachrichten die Adresse der Empfänger in einer sogenannten "Auto-Whitelist" gesammelt. Ist der Absender bei einer eingehenden Nachricht in der Auto-Whitelist, so werden alle Spam-Überprüfungen unterdrückt.

Um falsch klassifizierte Mail zu melden, stehen zwei Adressen zur Verfügung:

is_spam@uni-hd.dedient der Meldung von unerkannter Spam, also unerwünschter Nachrichten, die SpamAssassin nicht als solche klassifiziert hat. E-Mails an diese Adresse werden automatisch verarbeitet. Dabei wird die Mail den Datenbanken Pyzor und Razor gemeldet, das lokale Bayes-System trainiert und die Mail in einem Archiv abgespeichert, um später eventuell neue SpamAssassin-Regeln hinzuzufügen .

is_ham@uni-hd.deAn diese Adresse sollen alle Mails gemeldet werden, die als Spam indiziert worden sind, aber keine Spam sind. Diese werden nicht automatisch verarbeitet, sondern werden so schnell wie möglich von einem Mitarbeiter bearbeitet. In der Regel wird der Absender der Mail in die globale Whitelist eingetragen und die SpamAssassin-Auswertung dahingehend untersucht, ob eine der Regeln vielleicht geändert oder gelöscht werden muss.

Bei beiden Adressen ist es wichtig, dass der Original-Header der Mail unbeschadet mitgeschickt wird. Dies erreicht man am Besten, indem man die Original-Mail als Anhang (Attachment) an die genannten Adressen schickt. Bei Mail-Klienten, die solch eine Funktion nicht haben, kann die Mail auch über die 'Bounce'-Funktion geschickt werden. Eine solche Funktion bietet z. B. Pine, Mutt oder Elm.

Fehlermeldungen oder Verbesserungsvorschläge können an die Adresse spamfilter@uni-hd.de gesandt werden.

Neben der Spam-Erkennung über SpamAssassin werden noch ein paar weitere Tests auf SMTP-Ebene durchgeführt, von denen einige bereits in den letzten Jahren getätigt wurden:

  • Abgelehnt (BOUNCE) wird eine E-Mail, deren Domain-Namen in der Absenderadresse nicht über DNS aufgelöst werden kann.

  • Abgelehnt (BOUNCE) werden Server, die sich im "HELO/EHLO" Begüßungs-Protokoll als ein Rechner der Uni-Heidelberg ausgeben, obwohl sie sich nicht im Uni-Netz befinden. Eine noch restriktivere Handhabung des HELO-Protokolls schließt leider alle Microsoft-Server aus, da diese sich (gegen jeden Standard) meist mit ihrem SMB-Namen melden.

  • Für eine Stunde temporär abgelehnt (TEMPFAIL) werden Verbindungen von Servern, von denen wir in der letzten Sunde mehr als 5 Spammails hintereinander erhalten haben. Dies dient der Entlastung der Mailserver und hat den Nebeneffekt, dass Spam-Quellen, die über Dial-Up Leitungen operieren, in der Regel auf weitere Auslieferungsversuche verzichten.

  • Verzögert (TEMPFAIL) werden Verbindungen von unbekannten Servern, deren IP-Adresse nicht auflösbar ist oder deren Name auf eine Dial-UP-Verbindung schließen lässt. Der Rechner wird sofort permanent freigeschaltet, sobald dieser nach mindestens 30 Minuten die Auslieferung der bisher verzögerten Nachrichten wiederholt. Dieses System nennt sich "Greylisting".

  • Abgelehnt (BOUNCE) werden E-Mails, deren SpamAssassin "Score" größer ist, als das vom Administrator der Zieldomain festgelegte Limit.

BOUNCE: Ein permanenter Fehler mit der Fehlernummer 5xx, bei der die Auslieferung verweigert wird. Eine typische Fehlermeldung ist etwa:

      550 5.1.1 User unknown

TEMPFAIL: Ein temporärer Fehler mit einer Fehlernummer 4xx, bei dem der sendende Server die Auslieferung (meist nach einigen Minuten) erneut versuchen darf. Ein typisches Beispiel eines solchen Fehlers ist:

      431 4.1.1 Over quota. Try again later