Neuer Mail-Server mit Viren-Check und SPAM-Analyse

Dr. W.A. Slaby

In meinem Beitrag "Wider die SPAM-Mail-Flut" in der letzten INKUERZE-Ausgabe habe ich bereits Möglichkeiten aufgezeigt, wie sich jeder Nutzer bei Verwendung eines der Mail-Clients NetscapeMail (bzw. der damit eng verwandten MozillaMail oder Thunderbird) oder PegasusMail gegen die zunehmende Flut unerwünschter Werbe-Mails (SPAM) zur Wehr setzen kann. Wesentlich sinnvoller und ökonomischer ist es jedoch, derartige Verfahren zur Analyse und Bewertung von SPAM und darüber hinaus zum Testen auf Viren am zentralen Mail-Server der Universität einzusetzen. Dieses schon damals formulierte und angestrebte Ziel konnte Anfang dieses Jahres erreicht werden: Seit Ende Januar 2004 befindet sich der neue Mail-Server mit Viren-Check und SPAM-Analyse im produktiven Einsatz.

Viren-Check und SPAM-Analyse

Als neuer Mail-Server steht ein System Dell PowerEdge 6650 mit 2 Xeon-Prozessoren (2.0 GHz) und 8 GB Hauptspeicher zur Verfügung, auf dem unter dem Betriebssystem Linux mit Hilfe verschiedener Programme folgendes Verfahren eingerichtet ist: Jede auf dem Mail-Server eingehende E-Mail, die vom Mail-Server-Prozess postfix entgegengenommen wird, wird an einen Analyse-Prozess amavis-new weitergeleitet, der zunächst diese E-Mail und ihre Anhänge unter Verwendung des Virenscanners Sophos AntiVirus auf möglichen Virenbefall untersucht und anschließend zusätzlich mit Hilfe des Bewertungsprogramms SpamAssassin nach mehreren Kriterien auf das Vorliegen von Merkmalen unerwünschter E-Mail-Werbung (SPAM) analysiert.

Potenziell mit Viren und/oder Würmern behaftete E-Mails erhalten eine zusätzliche Kopfzeile (Header) mit der Warnung X-Amavis-Alert: INFECTED und einen zusätzlichen Hinweis auf den durch den Virenscanner ermittelten Virus- oder Wurmtyp. Entsprechend wird jede als spamverdächtig eingestufte E-Mail mit einer zusätzlichen Kopfzeile (Header) mit der Information "X-Spam-Level: *..." versehen, wobei die Anzahl der Sternchen dem Grad der Wahrscheinlichkeit dafür entspricht, dass tatsächlich eine unverlangt zugesandte Werbe-Mail vorliegt. Erst nach dem Durchlaufen dieser Analyse-Verfahren wird die E-Mail im Posteingangsfach des Adressaten zugestellt.

Rechtliche Randbedingungen

An dieser Stelle kann man sich natürlich fragen, warum E-Mails, die als virenbehaftet oder mit hoher Wahrscheinlichkeit als spamverdächtig eingestuft worden sind, nicht gleich vernichtet werden. Zwei wichtige Gründe stehen dem entgegen: Zum einen ist das Universitätsrechenzentrum (ähnlich wie Ihr Breifträger bei der Postzustellung zuhause) ohne ausdrücklich erteiltes Einverständnis des Empfängers nicht berechtigt, selbst mit hoher Wahrscheinlichkeit als Werbe-Müll eingestufte E-Mails eigenmächtig zu vernichten; zum anderen kann ein Bewertungsverfahren eventuell auch einmal eine falsche Klassifikation vornehmen, auch wenn zahlreiche unterschiedliche Kriterien zur Beurteilung herangezogen werden.

Damit verbleibt als einzige Möglichkeit, eine als virenbehaftet bzw. hochgradig spamverdächtig eingestufte E-Mail entsprechend zu kennzeichnen. Da jedoch auch unsere ursprüngliche Absicht, eine derartige Kennzeichnung durch Einfügen eines Zusatzes der Form {Spam?} bzw. {Virus!} im Betreff-/Subject-Feld der E-Mail vorzunehmen und damit virenbehaftete bzw. hochgradig spamverdächtige E-Mails bereits in der Auf listung im Posteingangsfach deutlich hervorzuheben, auf rechtliche Bedenken stieß, mussten wir es bei der oben bereits dargestellten Kennzeichnung durch automatisch von amavis-new eingefügte Kopfzeilen bewenden lassen.

Auf den ersten Blick kann man damit einer E-Mail im Posteingangsfach leider nicht ansehen, ob sie mit Viren/Würmern behaftet oder eine unverlangt zugesandte Werbe-Mail ist. Erst ein Anzeigen aller Kopfzeilen bringt hier Klarheit; dies erreicht man bei PegasusMail dadurch, dass man sich die angezeigte Nachricht im Raw view darstellen lässt

bzw. in der neuen Version 4.2x von PegasusMail durch Klicken mit der rechten Maustaste auf den Maileintrag im Posteingangsfach und anschließendes Anklicken von Message headers ...

sich ein gesondertes Fenster mit allen Kopfzeilen dieser Nachricht anzeigen lässt.

In ähnlicher Weise erreicht man bei NetscapeMail über die Auswahl von Anzeigen --> Kopfzeilen--> Alles, dass für jede Nachricht alle Kopfzeilen angezeigt werden,

was über Anzeigen --> Kopfzeilen --> Normal natürlich auch wieder rückgängig gemacht werden kann.

Allerdings besteht in der Regel keine Notwendigkeit, sich alle Kopfzeilen einer E-Mail anzusehen und erst aufgrund dieser Information individuell zu entscheiden, was mit dieser E-Mail geschehen soll. Vielmehr können die beiden von amavis-new zusätzlich eingefügten Kopfzeilen für die weitere automatische Behandlung virenverseuchter bzw. spamverdächtiger E-Mails herangezogen werden, indem sich der Nutzer in seinem Mail-Client wie PegasusMail oder NetscapeMail einen Filter definiert, der beispielsweise virenverseuchte E-Mails im Posteingangsfach gleich löscht und spamverdächtige E-Mails je nach vergebener Bewertung in einen separaten Ordner verschiebt oder ebenfalls automatisch löscht.

Empfohlene Filter für NetscapeMail und PegasusMail

Auf der Grundlage der in der Testphase sowie in den ersten Monaten des produktiven Einsatzes gewonnenen Erfahrung können für die Gestaltung der Filterregeln folgende Empfehlungen gegeben werden: Jede E-Mail, die nach der Analyse durch amavis-new eine Kopfzeile mit der Information X-Amavis-Alert: INFECTED enthält, sollte gelöscht werden. In gleicher Weise kann jede E-Mail gelöscht werden, die bei der Bewertung durch SpamAssassin mit sechs oder mehr Sternchen als hochgradig spamverdächtig eingestuft wurde, die also eine Kopfzeile mit der Information X-Spam-Level: ****** enthält. Bei allen mit geringerer Wahrscheinlichkeit als ebenfalls spamverdächtig klassifizierten E-Mails empfiehlt sich allerdings, diese E-Mails nicht zu löschen, sondern in einen separaten Ordner (z.B. mit der Bezeichnung Spam) zu verschieben, um die wenigen dabei fälschlich als Werbe-Mail bewerteten Nachrichten doch noch zur Verfügung zu haben.

Auf die Details der Konfiguration der gewünschten Filterrregeln einzugehen, würde an dieser Stelle zu weit führen; für beide E-Mail-Clients NetscapeMail und PegasusMail stehen dazu ausführliche Anleitungen im Web-Angebot des Universitätsrechenzentrums unter

http://www.ku-eichstaett.de/Rechenzentrum/dienstleist/install

PegasusMail:

NetscapeMail:

Dabei bietet PegasusMail weitreichendere Möglichkeiten, Filterregeln für das Posteingangsfach, für die mit POP3 herunter zu ladenden E-Mails oder für einen sonstigen Ordner der Mail-Ablage zu definieren. Damit lassen sich beispielsweise virenbehaftete oder spamverdächtige E-Mails auch aus Ordnern herausfiltern, die wie z.B. der Ordner urz-beschaffungen unter der gleichnamigen Mail-Adresse eingehende Nachrichten aufnehmen und gleichzeitig von mehreren Nutzern verwaltet werden.

Ausblick

Der in dieser Weise vom Universitätsrechenzentrum für die Kath. Universität Eichstätt-Ingolstadt erbrachte E-Mail-Service, dessen Randbedingungen in den unter

http://www.ku-eichstaett.de/Rechenzentrum/allgemein/regeln

Darüber hinaus soll ein Verfahren entwickelt werden, das es gestattet, virenverseuchte oder hochgradig spamverdächtige E-Mails für all jene Nutzer, die dazu explizit ihre Zustimmung erteilt haben, bereits beim Eintreffen auf dem Mail-Server nach der Analyse durch amavis-new automatisch zu löschen, anstatt auch derartige E-Mails im Posteingangsfach bereitzustellen und damit unnötig Platz zu vergeuden.