IT Solutions
> Zum Inhalt

Funktionsweise und Eigenschaften

Funktionsweise

TU.it stellt auf den zentralen Mailservern für den eingehenden Mail-Verkehr (Mailbastionrechner tuvok, neelix, sowie die Incoming Mailrouter mri1, mri2 und mri3) ein SPAM-Markierungsservice zur Verfügung. Dieses bewertet alle eingehenden E-Mails mit einem Score (quasi eine Art Spam-Faktor, auch Spam-Level genannt), fügt Header-Zeilen der Mail hinzu bzw. ändert diese, allerdings nur unter ganz speziellen Umständen.

Kern der verwendeten Software ist das Opensource Paket SpamAssassin. Dieses ermittelt den Score anhand einer umfangreichen und flexiblen (anpassbaren und regelmässig aktualisierten) Regelbasis. Es werden nicht nur spezifische Anomalitäten im Mail-Header analysiert, sondern auch im Mail-Body auf entsprechende spam-verdächtige Strukturen und Schlüsselwörter untersucht.
Weiters sind auch diverse DNS-basierte Überprüfungen inkludiert (u.a. SORBS u.v.m), die zu einen die IP-Adresse der eingehenden Mailverbindung prüfen, aber auch eventuell in der Mail vorkommende URLs auf eine Negativlistung testen (das beworbene Ziel).

Eigenschaften

  • Die Mail bleibt im Aufbau (Attachments/Anhänge) unverändert und bleibt auf jeden Fall lesbar.
  • In Abhängigkeit eines ermittelten "Score-Werts" werden einige Headerzeilen immer, andere bei entsprechender Klassifizierung hinzugefügt, vgl. Mailheadermarkierung
  • Mails werden unter allen Umständen weitergeleitet, d.h. nicht blockiert oder nicht (wesentlich) verzögert oder zwischengelagert. Das eigentliche Verwerfen oder Ausfiltern der Mail ist am Instituts-Mailserver oder durch den Mailclient durchzuführen.
    Mit Einführung der benutzerspezifischen Mailoptionen ist auch ein mehr oder weniges striktes Blockieren oder Ignorieren abhängig von einem individuellen Spam-Level möglich.

  • im Falle von technischen Problemen bei der Spam-Markierung bzw. wenn E-Mails bestimmte Parameter hinsichtlich Umfang erfüllen, ist es möglich, dass Mails unbewertet passieren, vgl. Betroffene Emails

  • die Regeln, das Markierungslimit bzw. das generelle Verhalten von SpamAssassin können nicht benutzerspezifisch angepasst werden. Allerdings sind einige benutzerspezifischen Mailoptionen einstellbar, die eine bewertete E-Mail unterschiedlichst behandeln können.

  • Globale an die TU Wien Gegebenheiten angepasste Regeln bzw. Korrekturen und Anpassungen aus aktuellen Anlässen können unter TU Wien spezifische Spam-Markierungsregeln eingesehen werden.

Mailheadermarkierung

Abhängig vom ermittelten Score-Wert, wobei auf ein gewisses LIMIT (= 6,0), Bezug genommen wird, werden einige Headerzeilen immer, andere bei entsprechender Klassifizierung hinzugefügt. Der LIMIT-Wert dient primär dazu Mails als Spam zu klassifizieren (bzw. ein Mail mit einer gewissen Wahrscheinlichkeit als Spam zu verdächtigen). Erreicht oder überschreitet der Score-Wert den LIMIT-Wert, werden - zusätzlich zu den immer vorhandenen - erweiterte Informationen der Nachricht im Mailheader hinzugefügt.

alle Score-Werte (immer vorhandene Headerzeilen):

X-Spam-TU-Processing-Host: HOSTNAME

Eine organisationsspezifsche Markierung, die bedeutet, dass die Mail den Spam-Markierungsprozess durchlaufen hat.



X-Spam-Level: ****+++

Score-Wert in grafischer Notation: "*" entsprechen Einer, "+" Zehntel. In diesem Beispiel entspr. das dem Score von 4,3. Es werden nur positive Werte angezeigt, bei negativen Werten oder bei 0 wird ein Minus "-" angegeben. Vor dem 16.5.2003 wurde der Eintrag in diesem Fall leer geblieben, was mitunter bei diversen E-Mail-Programmen oder e-mail-verarbeitenden Scripts problematisch sein könnte.



X-Spam-Status: STATUS ; SCORE

Der hier angegebene SCORE-Wert ist der um den Faktor 10 multiplizierte Wert, den SpamAssassin eigentlich berechnet.

	SCORE     STATUS
--------------
<60 LOW
>=60 <100 MEDIUM
>=100 HIGH

Score >= LIMIT (erweiterte Headerzeilen):

Subject: [SPAM?] ...

Eingefügter Subject-Prefix, um den Outlook (Express) Benutzern die Möglichkeit des Filterns zu geben.
Diese Markierung kann unter gewissen Randbedingungen über die benutzerspezifischen Mailoptionen unterdrückt werden.



X-Spam-Flag: YES

Man beachte, dass es kein Gegenstück in Form eines "NO" gibt. In einem solchen Fall wird die Headerzeile überhaupt nicht generiert.



X-Spam-Report: 15.50/6.0
* -0.1 -- Forwarded email (Outlook style)
* 0.9 -- From: ends in numbers
* 0.2 -- To: repeats address as real name
* 0.3 -- BODY: Asks you to click below
* 0.2 -- BODY: Tells you how to stop further spam
* 1.6 -- BODY: Spam phrases score is 05 to 08 (medium)
[score: 5]
* 0.9 -- BODY: Message is 70-90% HTML tags
* 2.1 -- BODY: HTML comments which obfuscate text
* 0.3 -- RAW: Message contains a lot of ^M characters
* 0.1 -- 'Message-Id' was added by a relay (2)
* 3.2 -- RBL: Received via a relay in list.dsbl.org
[RBL check: found 126.128.164.200.list.dsbl.org]
* 0.4 -- RBL: Received via a relay in relays.osirusoft.com
[RBL check: found 15.88.189.211.relays.osirusoft.com.]
* 2.3 -- RBL: Received via a relay in ipwhois.rfc-ignorant.org
[RBL check: found 126.128.164.200.ipwhois.rfc-ignorant.org., type: 127.0.0.6]
* 2.7 -- RBL: DNSBL: sender is Confirmed Open Relay
* 0.4 -- HTML-only mail, with no text version

Dieser Report enthält alle Komponenten, aus denen sich die Score-Bewertung (additiv) zusammensetzt und beginnt mit einer Zeile, die den erreichten Score der Nachricht und durch "/" getrennt das systemweite Limit enthält. Man beachte das an dieser Stelle die echten, von SpamAssassin stammenden (also nicht um den Faktor 10 skalierten, wie bei X-Spam-Status) Score-Werte vorkommen.
Details dazu sind im allgemeinen unter http://spamassassin.org/tests.html (umfangreiche Seite!) nachzulesen.
Zusätzlich gibt es noch TU Wien spezifische Spam-Markierungsregeln, die aktuelle Spamattacken bzw. auch nur TU Spezialitäten berücksichtigen.

Betroffene Emails

AbsenderEmpfängerbehandelt von
nur außerhalb TUNET

*@*.tuwien.ac.at

Mailbastion
nur außerhalb TUNET

(Fremddomains der TU)

Mailbastion
überall

*@tuwien.ac.at

Incoming Mailrouter
überall

*@student.tuwien.ac.at

Incoming Mailrouter
überall

*@alumni.tuwien.ac.at

Incoming Mailrouter

Mails, deren Größe mehr als 500.000 Byte beträgt werden stets unmarkiert weitergeleitet (diese werden auch sonst nicht markiert).
Nachrichten, deren Analyse ein Zeitlimit überschreiten (man denke nur an die DNS-basierten Überprüfungen) werden schlussendlich ohne weitere Prüfung weitergeleitet.