Zarafa: Spam und wie man ihn vermeidet

Spam ist nervig und wird zur Verbreitung von Viren oder Phishing Angriffen verwendet. Nicht selten gehen auch vorsichtige Benutzer Betrügern auf den Leim. Dabei gibt es gute Lösungen gegen Spam, die die unerwünschten E-Mails nahezu komplett eindämmen können. Wir zeigen einige Möglichkeiten.

Wie entsteht Spam eigentlich?

Die meisten Spam Nachrichten werden von virenverseuchten PCs und Servern aus versendet. Der Benutzer bemerkt häufig nichts, da der Versand im Hintergrund stattfindet. Häufig kommt dann irgendwann ein Hinweis vom eigenen Internet Provider, dass vom eigenen Anschluß aus Spam versendet wird. Manchmal ist ein nicht ganz aktueller Virenscanner schuld an der Infektion, manchmal sind es auch andere Einfallstüren, über die solche Schadsoftware den PC befällt.

Spam bekämpfen - aber richtig

Das Spam bekämpft man am besten dort, wo er in das eigene Netzwerk eintritt: Direkt an der Haustür. In einem Netzwerk stellt eine Firewall meist diese Haustür dar. Dort kann eine Spam Nachricht bereits mit großer Sicherheit identifiziert werden. Beispielsweise kann eine UTM Firewall prüfen, ob die vor der Tür stehende Nachricht von einem normalen DSL Anschluss aus versendet wurde (eher Spam) oder von einem richtig konfigurierten und eingetragenen Mailserver (eher kein Spam). Auch lässt sich prüfen, ob die Serveradressen des Absenders mit den angegebenen Daten übereinstimmen und ob die Absendeadresse gültig ist. Nimmt man mehrere dieser Kriterien zusammen, lässt sich eine Spam Mail bereits mit einer sehr hohen Wahrscheinlichkeit bestimmen - und das, bevor man ihr die Tür öffnet und sie in das eigene Netzwerk eintreten lässt. Sollte eine echte Mail nicht angenommen werden, erhält ein echter Absender über die Ablehnung auch eine Benachrichtigung und kann zum Telefonhörer greifen.

Mit dieser Methode lässt sich das Spam Aufkommen bereits um mehr als 90% eindämmen. Die restlichen E-Mails gelangen noch ins Netzwerk und sollten dort nochmals einer genauen Prüfung des Inhalts unterzogen werden. Das übernimmt in der Regel eine Antiviren Software, die dann auch Viren und Schädlinge aus der Mail entfernen kann, bevor sie dem Empfänger zugestellt wird. Die dann identifizierten Spams sollten idealerweise auch nicht mehr im Posteingang des Empfängers landen, sondern in einem separaten Ordner, den der Benutzer ale paar Tage durchforstet und danach löscht. Outlook bietet dafür einen Ordner namens Junk E-Mail an, in Thunderbird heißt der Ordner nur Junk.

Outlook Spam Ordner

Damit haben alle Benutzer einen Posteinang, der nahezu frei von Spam ist. Sollte eine Mail mal im Spam Ordner des Benutzers landen, kann er die Mail dort selbst finden und verschieben.

Und wie macht man das nun?

Um diese Prüfung an der Netzwerk-Haustür durchzuführen gibt es mehrere Möglichkeiten.

Der Open Source Weg ist, auf einem eigenen Linux Server policyd-weight, postfwd oder eigene Prüfungen über Postfix Policies einzusetzen. Darüber hinaus kann man es auch noch mit postgrey als Greylisting Erweiterung aufpeppen. Wir haben ein paar Jahre genau dieses Konstrukt mit großem Erfolg verwendet. Die Vorteile sind, dass man die komplette Kontrolle darüber besitzt und auf diesem Linux Server auch noch eine Antivirus Prüfung mittels ClamAV anschließend durchführen kann. Nach erfolgter und erfolgreicher Prüfung stellt dieser Server die Mail an den Benutzer oder an den E-Mail Server des Unternehmens zu.

Die obige Lösung lässt sich verbessern, wenn statt des quelloffenen und kostenlosen ClamAV andere Virenscanner zum Einsatz kommen. Kaspersky Security für Mail Server und ESET Mail Security sind zwar nicht kostenlos zu haben, leisten bei unseren Kunden aber hervorragende Dienste mit einer sehr hohen Erkennung und vor allem einer sehr guten Handhabung.

Der Cloud Weg ist, dass man sich um die Haustür nicht mehr selbst kümmert. Man heuert einen Türsteher an, der von allen namhaften Antiviren- und Antispam Herstellern mittlerweile angeboten wird. Beispielsweise prüft Avira AMES bei unseren Kunden die Mails auf Spam und Viren und leitet sie dann erst an den internen Mailserver weiter. Ein vergleichbares Angebot gibt es auch von Kaspersky. Selbstverständlich kann man auch den Open Source Weg in die Cloud nehmen. Wir betreiben bei und für unsere Kunden verschiedenste Szenarien, um das gewünschte Ergebnis zu erreichen.

Eine letzte Möglichkeit besteht im lokalen Weg. Hier installiert man eine Software auf dem eigenen Rechner, die eingehende Mail prüft und diese dann bei Spam oder Viren verschiebt. Antiviren Hersteller bieten oft sogenannte Endpoint Protection Suites an, die E-Mail Eingänge mit überwachen können. Dies sollte jedoch nur dann in Betracht gezogen werden, wenn die anderen beiden Möglichkeiten oben nicht möglich sind. Der entscheidende Nachteil der lokalen Lösung ist, dass Spam und virenverseuchte Mails bereits auf meinem Rechner sein müssen, um diese prüfen zu können. Da alle E-Mails erst einmal eingehen, unabhängig davon ob es sich um Spam oder gefährlich Mails handelt, muss auch mein internes Mailsystem bereits 10 bis 30 Mal mehr E-Mail verarbeiten als bei einer der beiden ersten Lösungen.

Integration in Zarafa

Der Zarafa Delivery Agent kann eingehende Mail auch direkt in den Junk E-Mail Ordner ausliefern, so dass sie gar nicht erst in der Inbox landet. Je nach dem, wie die Zustellung vorgenommen wird, kann man hierfür verschiedene Optionen setzen:

  1. Zarafa LMTP: Diese Version kommt häufig bei neueren Installationen von Zarafa zum Einsatz. Hier muss nur die /etc/zarafa/dagent.cfg angepasst werden um dort die Kennung für Spams zu erkennen. Die beiden Optionen spam_header_name und spam_header_value sind dafür relevant.
  2. Procmail: Diese Zustellungsart kam oft bei älteren Installationen zum Einsatz. Hier wird die Mail über die Shell in den zarafa-dagent übergeben. Mit der Richtigen Procmail Regel kann man Spam Mails dann an zarafa-dagent -j weitergeben. Der Parameter -j sorgt für die Zustellung in die Junk Box des Empfängers.

Fazit

Eine effektive Antispam Lösung für Zarafa oder auch andere Mailserver lässt sich bereits mit kostenlosen Open Source Programmen aufbauen und mit kommerziellen Produkten weiter verbessern.