Vorbemerkung

Alle ein- und ausgehenden E-Mails werden über einen zentralen Viren- und Spam-Filter geleitet.

Die Filterung von E-Mails auf Viren, potenziell gefährliche Inhalte und Spam erfolgt aufgrund eines Beschlusses des Rechnersicherheitsrats des DESY.

Es hat sich im Internet eingebürgert, unerwünscht zugesandte Werbe-E-Mails als "Spam" zu bezeichnen, erwuenschte E-Mails als "Ham", und wir verwenden die Begriffe im Folgenden auch. Eine ausfürliche Darstellung der Spam-Problematik durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) finden Sie hier.

Filterkriterien

Der E-Mail-Filter blockiert alle E-Mails, welche Viren enthalten oder Anhänge mit potenziell problematischen Inhalten. Das gilt sowohl für eingehende wie ausgehende E-Mails.

Je nach Ursache der Blockierung werden automatische Benachrichtigungen versendet.

Problematische Inhalte

Problematische Inhalte sind verschiedenste ausführbare Anhänge, z.B. auch ActiveX-Komponenten von Office-Dokumenten, Java-Class-Dateien (.jar, .class), Javascript-Dateien (.js) und Linux-/Unix-Binaries. Solche Anhänge werden von den Virenscannern auch erkannt, wenn sie in Archiven wie z.B. ZIP- oder rar-Dateien enthalten sind!

Problematische Inhalte sind ebenfalls vom Virenscanner als defekt eingestufte Archive (z.B. ZIP u.a.) oder andere ausführbare Dateien (Visual Basic Script etc.)

Im folgenden die am häufigsten verwendeten Dateiendungen, welche gesperrt sind:

• .com,
• .bat,
• .cmd,
• .scr,
• .exe,
• .cpl,
• .lnk oder
• .pif / .pi

Passwortgeschützte Anhänge

Um die Virenscanner zu täuschen, welche die E-Mails untersuchen, werden häufig passwortgeschützte Archive versendet. Solche E-Mails können durch den Virenfilter nicht beurteilt werden und werden deshalb vom Virenscanner blockiert, um Sicherheitsrisiken auszuschließen. In der E-Mail steht das passende Passwort, häufig in Form einer Grafikdatei (.jpg, .gif, .bmp).

Der geschickt formulierte Begleittext soll den Empfänger überreden, die Datei mit dem beigefügten Passwort zu entschlüsseln und das beiliegende Programm auszuführen. Um die Glaubwürdigkeit der E-Mail zu erhöhen, werden aus den E-Mails und Adressbüchern des bereits befallenen Absendercomputers E-Mail-Adressen extrahiert und als Absender verwendet, in der Annahme, das die betreffenden Personen in E-Mail Kontakt stehen, das Misstrauen gegen den Absender somit gering ist.

Sie sollten daher generell gegenüber verschlüsselten E-Mails misstrauisch sein und nur verschlüsselte Archive öffnen (das können auch andere als die mit der Endung ZIP sein), welche Sie auch erwarten -- zumal eine E-Mail, bei welcher das Passwort anbei liegt sowieso nicht geeignet ist, schutzwürdige Daten zu transportieren.

SPAM -- unerwünschte Werbe-E-Mails

„Spam“-E-Mails sind E-Mails, die unerwünscht und unverlangt im Rahmen einer Massen(werbe)aktion mit (zweifelhaften) kommerziellen Hintergrund oder zwecks Ausforschung Ihrer Daten oder anderweitiger Geheimnisse (Phishing) zugeschickt werden.

E-Mails an „Empfänger@desy.de“ werden seit Mai 2003 bei DESY automatisch daraufhin überprüft, ob es sich um „Spam“ handeln könnte. Werden solche E-Mails erkannt, erhalten sie in der „Betreff“-Zeile („Subject“) die Kennung „[SPAM]“. Diese Markierung erlaubt es Ihnen, optisch mögliche Spam-E-Mails schnell zu erkennen.

Automatisierte Verarbeitung von SPAM-Mails

Sie können verdächtige E-Mails auch automatisch bearbeiten. Beispielsweise können Sie Ihr E-Mail-Programm so einrichten, dass speziell markierte E-Mails automatisch in einen Ordner namens "Spam" verschoben werden. Ihr Posteingang bleibt dann verschont von solchen E-Mails und alle in den Spam-Ordner geleiteten Spam-E-Mails können – nach Kontrolle durch Sie – von Zeit zu Zeit gelöscht werden. Obwohl das Löschen auch automatisch vorgenommen werden könnte, wird diese Vorgehensweise ausdrücklich nicht empfohlen, weil in sehr seltenen Fällen E-Mails auch fälschlich als Spam klassifiziert werden können.

Sie sollten dazu in Ihrem Mailprogramm auf einen speziellen sog. Mail-Header filtern:

X-Spam-TaggedAsSpamByDesy: YES

Die Anzahl der Sternchen (mind. 5) steht für die Erkennungsgüte. Je mehr Sternchen (Maluspunkte) eine E-Mail erreicht, desto höher ist die Wahrscheinlichkeit, dass es sich tatsächlich um Spam handelt. Wichtiger noch: Sie sollten nur Mails mit vielen Sternchen in einen speziellen Ordner sichern, den Sie dann nur noch gelegentlich auf unzutreffende Klassifikation (sog. False-Positives) hin überprüfen sollten.

NB: Sie sollten für eine automatisierte Verarbeitung nicht auf das Wort "[SPAM]" in der Betreffzeile, da solche Markierungen auch anderweitig in die Betreffzeile gelangen können, bspw. bei der Mailweiterleitung oder -beantwortung.

Blockierte E-Mail -- was Sie tun können

Eingehende E-Mails

Bitten Sie den Absender, die Dateien auf einer Webseite für Sie zum Download per HTTP oder FTP bereitzustellen. Wegen der Probleme und Sicherheitsrisiken beim Dateiversand per E-Mail ist diese Methode vorzuziehen und sie wird von vielen Software-Anbietern auch angeboten.

Ausgehende E-Mails

Wie Sie Ihre Dateien zum Download anbieten, wird in unserer Dokumentation für Web-Veröffentlichungen von Dateien beschrieben.

Weitere Informationen

Blockierte E-Mails werden automatisch nach 30 Tagen unwiederbringlich gelöscht. Sollten Sie nicht an einer blockierten E-Mail interessiert sein, so müssen Sie also nichts unternehmen.

Sollten Sie die Zustellung einer blockierten E-Mail dennoch wünschen, so lesen Sie bitte im Folgenden, wie Sie weiter vorgehen müssen:

E-Mail, die Aufgrund der o.g. problematischen Anhänge blockiert wurde, kann auf Anforderung frei gegeben werden. Dazu beantworten Sie bitte die Ihnen zugestellte Benachrichtigungsmail in Ihrem Email-Programm, so dass die erforderlichen Angaben über die blockierte E-Mail noch enthalten sind.

Benachrichtigungen durch den E-Mail-Filter

Blockierte E-Mails oder E-Mails mit verschlüsseltem Anhang

Ausgehende E-Mails

Für E-Mails die von DESY stammen und blockiert werden, erhält der DESY-Absender eine Benachrichtigung, der potenzielle Empfänger jedoch nicht. Zusätzlich wird die Stabsstelle D4 informiert.

Eingehende E-Mails

Für E-Mails die von Dritten an DESY gerichtet sind und blockiert werden, erhält

• bei problematischen Inhalten der Empfänger innerhalb DESY eine Benachrichtigung.
  Zusätzlich wird die Stabsstelle D4 informiert.
  
• bei verschlüsselten Archiven der Empfänger innerhalb DESY eine Benachrichtigung.
  Zusätzlich wird die Stabsstelle D4 informiert.
  
• der Absender wird nicht informiert
  

Vermeidung von False-Positives -- Verbesserung der automatischen Kategorisierung

Wenn Sie einen Mailserver am DESY, Standort Hamburg nutzen

1. Erzeugen Sie mit Ihrem E-Mailprogramm einen Mailordner namens Ham
• Wenn Sie mit Outlook auf den DESY Exchange Server zugreifen,legen Sie den Mailordner Ham bitte in Ihrem Posteingang/Inbox an.
• Die anderen zentral unterstützten E-Mail-Programme legen einen neuen Mailordner standardmäßig an der richtigen Stelle an.
2. Kopieren Sie die entsprechende Mail in den Ordner Ham
• so, wie Sie sie erhalten haben: mit der vorgeschalteten Spam-Benachrichtigung.
• Wenn Sie UNIX-Mail (mail.desy.de) benutzen, ist das Unterverzeichnis mail/ in Ihren AFS-Homeverzeichnisses das Standardverzeichnis für Mailordner. Dort legen Sie bitte mit Ihrem Mailprogramm einen Ordner Ham an, also $HOME/mail/Ham. Dorthin kopieren Sie ihn bitte die zu lernende, falsch klassifizierte "gute" E-Mail.
3. Schicken Sie eine E-Mail an mailmaster@desy.de, in der Sie uns mitteilen, wo Ihr Ham gespeichert ist, damit wir die Daten auslesen können.
• Wir verständigen Sie, wenn Sie die Daten löschen können.

Wenn Sie einen Mailserver am DESY, Standort Zeuthen nutzen

Falls die Mail von einem Rechner namens spamfilterX.desy.de (X=2..4) falsch klassifiziert wurde (was dann in der Spam-Benachrichtigung vermerkt ist), wenden Sie sich bitte an mailmaster@desy.de, anderenfalls wenden Sie sich bitte an an das UCO Zeuthen uco-zn@desy.de