geht-schon Hilfe Wiki

Aus Geht-schon Wiki

IMAP Server

Werden Mails mittels IMAP abgerufen verbleiben die Mails auf dem Server, nur eine Kopie wird lokal angeschaut. Hierbei befinden sich auch die Ordnerstrukturen auf dem Server.

Daher empfiehlt sich IMAP besonders wenn mit unterschiedlichen Mail Programmen zugegriffen werden soll wie beispielsweise Thunderbird und dem geht-schon Webmailer.

Server

Der IMAP Server ist mail.geht-schon.de.

Sicherheit

Da Passworte per IMAP unverschlüsselt übertragen werden, sollte nur eine gesicherte IMAP Verbindung über SSL verwendet werden.

Mail Filter

geht-schon unterstützt die Filter Sprache Sieve, mit der komplexe Server seitige Filter möglich sind. Der geht-schon Webmailer wurde um ein Plugin erweitert mit dem einfache Filter über eine Oberfläche erstellt werden können:

Obiges Beispiel zeigt einen Filter der die Mails mehrerer Shops in einem gemeinsamen Ordner speichert.

1. Definiert den Filter Name. Dieser taucht dann links in der Liste der Filter auf.
2. Hiermit wird festgelegt ob alle Filter Kriterien zutreffen müssen oder es genügt wenn eines zutrifft.
   • trifft auf alle zu: wird benötigt wenn man eine Suche möchte wie Absender enthält Shopname UND Betreff enthält Sonderangebote
   • trifft auf eine zu: wird benötigt wenn man eine Suche möchte wie Absender enthält Shopname1 ODER Absender enthält Shopname2
3. Mögliche Felder der Mail auf die gefiltert wird. Üblicherweise werden Absender, Betreff und Empfänger benötigt.
4. Das Feld der Mail soll den Text enthalten, gleich sein ... üblicherweise ist enthält die richtige Wahl: der Absender ist Shopname mail@shopname, dann soll der Filter mail@shopname enthalten. Dadurch umgeht man Probleme falls die Mail mal von Shopname mail@shopname und mal von Sonderangebote mail@shopname kommt.
5. Dieses Feld enthält den zu suchenden Text wie die Mail Adresse oder den Betreff.
6. Definiert was mit der Mail passieren soll wenn ein Filter zutrifft. Die Nachricht kann in einen anderen Ordner verschoben werden, gelöscht werden etc.

Probleme

Bei Problemen kann einfach getestet werden ob das Problem beim Server liegt:

 $ telnet mail.geht-schon.de 143
 Trying 212.112.227.48...
 Connected to mail.geht-schon.de.
 Escape character is '^]'.
 * OK dbmail imap (protocol version 4r1) server 2.0.7 ready to run
 A1 LOGIN benutzername@domain password
 A1 OK LOGIN completed
 A2 SELECT Inbox
 * 6 EXISTS
 * 6 RECENT
 * FLAGS (\Seen \Answered \Deleted \Flagged \Draft \Recent)
 * OK [PERMANENTFLAGS (\Seen \Answered \Deleted \Flagged \Draft \Recent)]
 * OK [UIDNEXT 662884] Predicted next UID
 * OK [UIDVALIDITY 2] UIDs valid
 A2 OK [READ-WRITE] SELECT completed
 A3 FETCH 2 BODY[HEADER]
 * 2 FETCH (BODY[HEADER] {855}
 X-Envelope-To: benutzername@domain
 Content-Type: multipart/related;
  boundary="------------050507020604000001070305"
 Subject: ...
 [..]
 )
 A3 OK FETCH completed
 A4 FETCH 2 BODY[TEXT]
 * 2 FETCH (BODY[TEXT] {11832}
 This is a multi-part message in MIME format.
 --------------050507020604000001070305
 Content-Type: text/html; charset=ISO-8859-1
 [..]
 )
 A4 OK FETCH completed
 A5 LOGOUT
 * BYE dbmail imap server kisses you goodbye
 A5 OK completed
 Connection closed by foreign host.

Die vom Benutzer durchgeführten Befehle waren:

1. A1 LOGIN benutzername@domain password
2. A2 SELECT Inbox
3. A3 FETCH 2 BODY[HEADER]
4. A4 FETCH 2 BODY[TEXT]
5. A5 LOGOUT

POP3 Server

Beim Abruf von Mails mittels POP3 werden diese typischerweise nach dem Abruf auf dem Server gelöscht. POP3 bietet keine Ordner auf dem Server an. Normalerweise sollte daher IMAP verwendet werden.

Server

Der POP3 Server ist mail.geht-schon.de.

Sicherheit

Da Passworte per POP3 unverschlüsselt übertragen werden, sollte nur eine gesicherte POP3 Verbindung über SSL verwendet werden.

Probleme

Bei Problemen kann einfach getestet werden ob das Problem beim Server liegt (Achtung Verbindung erfolgt unverschlüsselt):

• Verbinden: telnet mail.geht-schon.de 110
• Login: user benutzername@domain
• Passwort: pass PASSWORT
• Liste der Nachrichten: list
• Größe Nachricht 2 anzeigen: list 2
• Nachricht 2 anzeigen: retr 2
• Nachricht 2 gelöscht markieren: dele 2
• Beenden (gelöscht markierte Nachrichten werden gelöscht): quit

SMTP Server

Der SMTP Server dient zum versenden der Mails unabhängig davon ob diese mittels POP3 oder IMAP abgerufen werden.

Der Server wurde so konfiguriert dass Mails für nicht lokale Domains nur mit einer Authentifizierung angenommen werden, um spammen zu vermeiden. Als Login muss der Mailkonto Name (benutzer@deine.domain) und dessen Passwort verwendet werden.

Server

Der SMTP Server ist mail.geht-schon.de.

Administrative Adresse

Für jede Domain sollten mindestens die folgenden administrativen Adressen empfangen werden können:

• webmaster: wird bei allen Fehlern des Webservern ausgegeben
• postmaster: bekommt Fehler die im Mail Verkehr auftreten
• hostmaster: steht im DNS Server als zuständig für die Domain

Probleme

Bei Problemen kann einfach getestet werden ob das Problem beim Server liegt:

 # telnet geht-schon.de 25
 Trying 212.112.227.48...
 Connected to geht-schon.de.
 Escape character is '^]'.
 220 geht-schon.de ESMTP Exim 4.50 Tue, 10 May 2005 20:40:18 +0000
 HELO example.com
 250 geht-schon.de Hello p54a23a53.dip0.t-ipconnect.de [84.162.58.83]
 MAIL FROM: tmm@example.com
 250 OK
 RCPT TO: tmm@example.com
 250 Accepted
 DATA
 354 Enter message, ending with "." on a line by itself
 From: tmm@example.com
 To: tmm@example.com
 Subject: Test
 
 Test
 .
 250 OK id=1DVbX7-0002ku-Ec</nowiki>

Spam und Viren Filter

Spam und Viren: wer verschickt diese und warum

Den Begriff Spam dürfte heute jeder kennen - vereinfacht unerwünschte Werbung per Mail. Heute sind teilweise über 90 Prozent aller Mails die im Internet unterwegs sind Spam.

Der meiste Spam kommt dabei von Rechnern normaler Internet Nutzer. Diese fangen sich Viren ein die im Gegensatz zu früher nicht mehr die Aufgabe haben sinnlos Daten zu vernichten, sondern auf dem Rechner lauern und Befehle des Virenschreibers entgegennehmen. Übliche Befehle sind beispielsweise das Versenden von Mails oder das attackieren bestimmter Rechner mit Anfragen um diesen lahmzulegen (sogenannte Denial of Service Attacken).

Diese sogenannten Bot Netze sind oft viele tausend Rechner groß. Stellt man sich vor dass ein Bot Netz 10000 Rechner umfasst und jeder Rechner 10 Mails pro Sekunden abschicken kann, können in einer Stunde immerhin 360 Millionen (!!) Spam Mails verschickt werden. Diese Bot Netze werden dann von den eigentlichen Spam Versendern gemietet. Hierbei wird leider richtig viel Geld verdient - sowohl von den Spam Versendern als auch von den Bot Netz Betreibern.

Da die Virenschreiber hierbei großes Interesse daran haben dass die Viren nicht entdeckt werden, tarnen sich diese auch vor Virenscannern und verrichten daher oft jahrelang unbemerkt vom PC Besitzer ihren Dienst.

Weitere Quellen sind offene Relays (Mail Server die ungeprüft von jedem Mails annehmen) und Rechner in die über das Internet eingedrungen wurde die zum Spam versenden missbraucht werden. Ungeschützte Formulare auf Webseiten werden ebenfalls gelegentlich zum versenden von Spam verwendet.

Ein umfangreicher Wikipedia Artikel beschreibt auch die rechtliche Lage und vieles mehr.

Zeitpunkt der Prüfung

Es gibt folgende zwei Möglichkeiten wann eine Mail auf Spam und Viren überprüft werden kann:

Spoolen

Üblicherweise wird eine Mail angenommen, zwischengespeichert (gespoolt) und kann dann zu einem beliebigen Zeitpunkt überprüft werden.

Dieses Vorgehen hat den Vorteil dass auch eine große Anzahl Nachrichten gleichzeitig angenommen werden kann, da das Spoolen sehr schnell geht. Das zeitaufwendige überprüfen der Nachrichten kann dann zu einem Zeitpunkt erfolgen an dem Ressourcen dafür übrig sind.

Der große Nachteil ist jedoch dass wenn sich herausstellt dass die Mail dem Empfänger nicht zugestellt werden kann oder soll, der Absender darüber informiert werden muß. Ist dieser gefälscht (bei Viren nahezu immer der Fall), wird ein unschuldiger Absender informiert - was schnell einige hundert Mails an einem Tag sein können. Um dies zu vermeiden wird üblicherweise der Empfänger informiert oder die Nachricht einfach gelöscht (was in Deutschland nicht erlaubt ist). Können weder der Absender noch der Empfänger informiert werden (z.B. da beide nicht existieren) bleibt der Server auf der angenommen Mail sitzen.

Beim Empfang

Die zweite und von geht-schon verwendete Möglichkeit ist die Mail schon beim Empfang zu überprüfen. Dadurch ist es möglich anstatt den Empfang zu bestätigen diesen abzulehnen - hierdurch werden die oben geschilderten Nachteile größtenteils vermieden. Eine Mail wird erst akzeptiert wenn die lokale Zustellung garantiert ist. Dadurch ist es nicht mehr notwendig den Empfänger im Falle eines Virus zu informieren, die Mail wurde ja abgelehnt.

Hierbei werden gleich einige schnelle Tests durchgeführt bevor die Mail an den Viren und Spam Filter gehen, das sind unter anderem:

• Recipient: verwendete Zeichen, Blacklist, existiert Empfänger
• MIME: Anzahl MIME Parts, Länge Dateinamen
• Data: Sender muss existieren, Syntax Checks

Viren

Alle ein- und ausgehenden Mails die über den geht-schon Mail Server laufen werden wie oben geschildert beim Empfang auf Viren untersucht. Enthält eine Mail einen Virus wird die Annahme verweigert.

Auf Wunsch kann diese Prüfung pro Domain abgeschaltet werden.

Spam

Die Mails werden zusätzlich auf Spam untersucht, allerdings wird hierbei standardmäßig nur eine Kopfzeile in der Mail als Markierung gesetzt, da eine sichere Klassifizierung Spam/Ham nicht möglich ist.

Auf Wunsch kann diese Prüfung pro Domain abgeschaltet werden.

Die Kopfzeilen sehen beispielsweise so aus:

 X-Spam-Status: Score 20.7: Tests: MIME_BOUND_DD_DIGITS=4.23, RAZOR2_CF_RANGE_51_100=1.485,
      RAZOR2_CHECK=0.15, RCVD_HELO_IP_MISMATCH=0.618, RCVD_NUMERIC_HELO=1.531,
      URIBL_AB_SURBL=2.007, URIBL_OB_SURBL=1.996, URIBL_SBL=0.629,
      URIBL_SC_SURBL=3.897, X_MESSAGE_INFO=4.187
 X-Spam-Level: ++++++++++++++++++++
 X-Spam-Flag: YES

Auf jede Mail werden dabei mehrere Tests angewendet die Punkte vergeben. Ein Test der vermuten lässt dass es sich um Spam handelt (es kommt z.B. der Text "Penis enlargement" vor) erhöht die Punktezahl, ein Test der vermuten lässt dass es sich nicht um Spam handelt reduziert die Punktezahl. Überschreitet die Punktezahl nach Abschluß aller Tests einen Schwellwert, wird angenommen dass es sich bei der Mail um Spam handelt.

Die Header haben hierbei folgende Bedeutung:

• alle X-Spam Header werden nur gesetzt wenn eine Mail mehr als 3.0 Punkte erhalten hat
  • X-Spam-Status zeigt an wieviele Punkte eine Mail insgesamt erhalten hat (20.7), welche Tests gegriffen haben und wieviele Punkte jeder Test gab
  • X-Spam-Level zeigt als Pluszeichen die Punkte abgerundet an
  • X-Spam-Flag: YES wird nur gesetzt wenn die Mail über dem Schwellwert 5.0 liegt, daher kann hierauf gefiltert werden

Eine Besonderheit wurde für geht-schon eingebaut: ist der Empfänger fwd-webde@, fwd-gmxnet@ oder fwd-webmailer@ werden jeder Mail schon 3.0 Punkte gegeben. Da über die Freemailer sehr große Spam Mengen kommen, kann damit ein zusätzlich vorhandenes Freemail Konto an fwd-webmailer@die-eigene-Domain weitergeleitet werden.

Alle Tests und ihre Punkte können hier nachgelesen werden.

Eine Untersuchung der Punkteverteilung bei Spam Mails habe ich auf der TipsDiensteSpamVirenFilterAnalyse Seite durchgeführt.

Whitelists / Weiße Listen

Ein wichtiger Test um false positives (also als Spam erkannte nicht Spam Mails) zu erkennen ist das überprüfen von Whitelists wie beispielsweise DNSWL. Diese enthalten Absender die keinen Spam versenden. Hier werden etwa 20.000 Absender aufgeführt wie Amazon, Ebay, Otto usw. und -100 bis -20 Punkte vergeben. Damit wird die Mail auch nicht als Spam klassifiziert wenn andere Spam Tests positive Punkte vergeben.

Hierbei wird auf Basis der IP Adresse geprüft da der Absender häufig gefälscht ist.

Autowhitelist / Automatische Whitelist

geht-schon führt eine automatische Whitelist die speichert welcher Spam Wert für einen Absender vergeben wurde. Eine neue Mail bekommt als zusätzliche Punktezahl den Mittelwerten der errechneten Punkte und der Autowhitelist.

Ein Beispiel: wurden bisher von Amazon 10 Mails mit einem Mittel von -20 Punkten gespeichert und eine neu angekommene Mail hat +5 Punkte da zum Zeitpunkt des Tests keiner der Whitelist Server erreichbar war, bekommt die Mail +5 -12.5 = -7.5 Punkte (statt +5). Hierdurch lassen sich Ausreiser sehr effektiv verhindern. Als neuer Punktestand wird für Amazon (10 * -20) -7.5 / 11 = -18.9 gespeichert.

Hierbei wird auf Basis der Mail Adresse und des IP Netzes geprüft. Durch die Verwendung des Netzes (16 Bit der IP Adresse) wird auch erfasst wenn Amazon von verschiedenen Rechnern seine Mails versendet).

Weitere Details bei auf der SpamAssassin Seite http://wiki.apache.org/spamassassin/AutoWhitelist.

Blacklists / Schwarze Listen

Analog zur Whitelist listen Blacklists Rechner die vermutlich Spam Versender sind. Bekannte und von geht-schon verwendete Blacklists sind unter anderem URIBL, SURBL, Spamhaus und nixspam.

Rechner landen hierbei auf verschiedene Arten auf einer Blacklist:

• Manuell: von einem bestimmten Rechner wird viel Spam empfangen, dieser landet dann auf einer Blacklist.
• Hohes Sendevolumen in Dial In IP Adressbereichen: Provider wie T-Online vergeben Internet Benutzern aus einem definierten Adressbereich bei jeder Einwahl eine Adresse. Sendet ein Rechner aus solch einem Bereich ein hohes Volumen an Mails handelt es sich höchstwahrscheinlich um einen Spam Versender - reguläre Mail Server sind hier nicht zu finden.
• Hohes Sendevolumen nahezu identischer Mails: über Mails wird eine Prüfsumme gebildet. Wird diese von vielen Rechnern weltweit empfangen handelt es sich vermutlich um Spam. Newsletter etc lassen sich meist dadurch ausschließen dass diese nur regional verschickt werden, Mailinglisten haben nur eine geringe Anzahl Abonnenten. Der Sender kommt auf eine Blacklist.
• Spam Traps: es werden spezielle Mail Adressen eingerichtet die nicht für reguläre Kommunikation verwendet werden. Kommen dort Mails an handelt es sich vermutlich um Spam - der Sender kommt auf eine Blacklist.
• Kombinationen der Methoden: um eine Fehlerkennung zu verringern werden häufig mehrere Methoden kombiniert.

Jeder Blacklist Treffer ergibt nur eine geringe Spam Punkte Zahl (2-4). Dadurch dass Spam Versender aber meist auf mehreren Blacklists stehen, erweisen sich Blacklists zur Zeit als das effektivste Verfahren gegen Spam. Aus diesem Grund finden immer öfter Attacken auf Anbieter von Blacklists statt (siehe zum Beispiel Heise).

Da zwischen dem ersten versenden von Spam Mails und dem Eintrag in eine Blacklist etwas vergeht verzögert geht-schon den Empfang unbekannter Absender etwas - siehe unten Greylisting.

Bayes Filter

Ein bayesscher Filter ist ein statistischer Filter der Aufgrund des Vorkommens von Worten ermittelt ob es sich vermutlich um Spam handelt oder nicht.

Dieser muss regelmäßig (um Veränderungen zu erfassen) mit Spam und nicht Spam Mails trainiert werden. Durch Worthäufigkeiten der schon klassifizierten Mails wird bei neu empfangenen abgeschätzt ob es sich um Spam handelt. Enthielten die trainierten Spam Mails beispielsweise oft die Begriffe "Sex" und "Viagra" wird eine neue Mail mit diesen Begriffen als Spam erkannt.

Durch regelmäßiges Training hat sich dieser Filter als sehr wirkungsvoll erwiesen und ist besondern wichtig wenn Absender noch nicht auf einer Blacklist stehen.

Siehe auch den Wikipedia Artikel zu Bayes Filtern.

Greylisting

Beim Greylisting wird eine Mail von einem unbekannten Absender vorübergehend abgelehnt und der Absender in einer Datenbank mit Zeitstempel vermerkt. Ein korrekt arbeitender Mail Server versucht in regelmäßigen Abständen erneute Zustellversuche, daher wird eine Mail beispielsweise 15 Minuten nach dem ersten Zustellversuch akzeptiert.

Dieses Verfahren hat zwei große Vorteile:

• Viele Spam Versender senden Mails nur schnellst möglich ab und ignorieren Zustellfehler - der Spam kommt durch das Greylisting also nie beim Empfänger an.
• Zunehmend mehr Spammer beachten mittlerweile Zustellfehler und versuchen es erneut - durch die sich hieraus ergebende Verzögerung stehen diese aber nach der Freischaltung nach 15 Minuten auf einer Blacklist und können dann sicher erkannt werden.

Ein Nachteil soll aber auch nicht verschwiegen werden: die Zustellung von nicht Spam Mails verzögert sich hierdurch ebenfalls um 15 Minuten. Bei geht-schon läuft eine Mail daher erst durch den Spam Filter und wird nur "greylisted" wenn sie mindestens 3.5 Punkte hat. In Kombination mit dem Whitelisting und der Autowhitelist werden praktisch keine regulären Mails verzögert aber alle Spam Mails.

Siehe auch den Wikipedia Artikel zu Greylisting.

Maßnahmen durch Benutzer

• Kein Catchall (*@domain) verwenden sondern definierte Mailboxen: mehr als 90% des empfangen Spams geht an automatisch generierte Adressen - *@domain nimmt diesen Spam natürlich an.
• Mails ablehnen mit mehr als 15 Spam Punkten: wird eine Mail als Spam erkannt kann diese automatisch abgelehnt werden. Der aktuelle Status für jede Domain kann in der Konto Verwaltung unter Mail -> Spam/Virus Filter -> Spalte Spam reject eingesehen werden. Steht hier eine Zahl wie 15 werden Mails ab dieser Anzahl Punkte automatisch abgelehnt und der Absender informiert. Steht hier nichts werden keine Mails automatisch abgelehnt.
• Herausgabe von Adressen der Form chk-FIRMA@domain: in Zukunft wird geht-schon eine Möglichkeit bieten statt eines Catchalls auch Adressen der Form chk-*@domain anzunehmen. Damit lassen sich die Vorteile eines Catchall nutzen ohne die Nachteile in Kauf nehmen zu müssen.
• Manuelle Blacklist: unter Mail -> Mail Blackliste könnten Mail Adressen auf eine schwarze Liste gesetzt werden die Spam empfangen ohne aktiv verwendet zu werden.
• Manuelle Blacklist mit regulären Ausdrücken: neben der manuellen Blacklist können auch reguläre Ausdrücke verwendet werden um gegen generierte Spam Adressen vorzugehen. ^[a-z]+[0-9]+$ lehnt beispielweise Mails der Form ga13456@domain ab. Da mit einem falschen regulären Ausdruck leicht jeder Mail Empfang verhindert werden kann können diese nur über die Administration eingerichtet werden. Die eingerichteten regulären Ausdrücke können jedoch in der Konto Verwaltung eingesehen werden.
  • Beispiel Eintrag: (^[0-9]+$|^.*\..*$|^[a-z]+[0-9]+$|^\+.*$|^scal.*$|^.*nn$)

Testen

Um eigene Filter oder ähnliches zu testen können Testsignaturen verwendet werden:

• EICAR: die Zeichenkette X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* in einem Anhang wird als Virus klassifiziert
• GTUBE: kommt die Zeichenkette XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X in einer Mail vor wird diese als Spam klassifiziert

Links zum Thema Spam

• Spamassassin der aktuell verwendete Spam Filter
• Spam Listen Abfrage frägt mehrere Spam Listen ab um zu überprüfen ob eine IP gelistet ist
• NiX Spam Filter Projekt des Heise Verlags, wird auf geht-schon von Spamassassin eingebunden
• DNSWL DNS Whitelist, wird auf geht-schon von Spamassassin eingebunden
• DomainKeys Identified Mail mittlerweile als RFC 4686 und 4871 veröffentlicht könnte unsere Spam Probleme effektiv lösen wenn alle an einem Strang ziehen
• Blocken chinesischer und koreanischer Mails von hier kommt der meiste Spam, Server sind erschreckend oft ungeschützt etc

Mail Abrufe

Wenn möglich sollten statt Mail Abrufe immer Weiterleitungen verwendet werden, was die meisten Anbieter unterstützen.

• Weiterleitungen sind schneller - eine ankommende Mail landet sofort bei der Zieladresse
• beide beteiligten Server werden weniger belastet

GMX

eMail -> Filterregeln -> Neue Filterregel einrichten -> Alle neuen Mails -> Weiter -> Kopie an eine andere Adresse weiterleiten UND Löschen -> ...

web.de

Extras -> E-Mail -> Nachricht weiterleiten