Bundesamt für Sicherheit in der Informationstechnik

M 5.109 Einsatz eines E-Mail-Scanners auf dem Mailserver

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Zur Erhöhung der Sicherheit sollte auf dem zentralen Mailserver ein E-Mail-Scanner mit integriertem speicherresidentem Virenschutzprogramm (oft auch E-Mail-Wächter genannt) installiert werden, das sowohl eingehende als auch ausgehende E-Mails, insbesondere deren Anhänge, auf Spam-Merkmale, Computer-Viren und andere schädliche Inhalte überprüft.

Ergänzend zur Einrichtung eines E-Mail-Wächters auf dem Mailserver selbst kann auch am Übergang zum Internet ein so genanntes SMTP -Gateway eingerichtet werden, auf dem die Überprüfung der ein- und ausgehenden E-Mails erfolgt. Die Anbindung an das Internet muss dann so realisiert werden, dass sämtliche SMTP-Verbindungen nur über das SMTP-Gateway abgewickelt werden können.

E-Mail-Scanner arbeiten dabei nach zwei grundsätzlich verschiedenen Ansätzen. Ein "Store-and-Forward"-Scanner nimmt zunächst eine E-Mail an und wendet dann seine Mechanismen an, um die E-Mail zu klassifizieren. Nach der Klassifikation entscheidet der Scanner, was mit der E-Mail geschehen soll (Löschen, Markieren, ...). Das Verfahren hat den Vorteil, dass die E-Mail zuerst angenommen wird und dann in aller Ruhe überprüft werden kann. Dies ist gleichzeitig aber auch ein Nachteil, da man aus juristischer Sicht die E-Mail bereits entgegengenommen hat und somit zur Zustellung an den Benutzer verpflichtet ist. Ein Online-Scanner prüft eine E-Mail bereits während der Annahme einer E-Mail und versucht diese zu klassifizieren. Stellt er fest, dass eine E-Mail unerwünscht sein könnte, kann er sie direkt ablehnen und die E-Mail verbleibt in der Verantwortung des Einlieferers. Dieses Verfahren hat den Vorteil, dass die Benutzer nicht mit markierten E-Mails oder Quarantänemitteilungen überhäuft werden. Nachteilig ist, dass bei einer falschen Klassifikation durch den Scanner die E-Mail nicht mehr lokal vorliegt. Sie liegt physikalisch beim Einlieferer und weder Benutzer noch Administrator haben zunächst Zugriff darauf. Im praktischen Einsatz wird häufig eine Mischung aus beiden Verfahren verwendet. Welche Filtermaßnahmen dabei "online" bzw. nach der Annahme der E-Mail angewendet werden sollen, muss durch eine entsprechende Richtlinie definiert und mit der Leitung abgestimmt werden.

Ebenso wichtig ist es, auch ausgehende E-Mails zu überprüfen. Einerseits kann so möglicherweise eine Infektion im internen Netz entdeckt werden, bevor größerer Schaden entsteht. Andererseits schützt dies aber auch die Behörde bzw. das Unternehmen vor einem eventuellen Ansehensverlust oder gar Schadensersatzansprüchen, die dadurch entstehen könnten, dass virenverseuchte E-Mails an Geschäftspartner verschickt werden. Bei ausgehenden E-Mail-Scannern muss definiert werden, was mit als virenverseucht erkannten E-Mails geschehen soll. Zumindest sollte ein Alarm beim Administrator ausgelöst werden.

Die meisten E-Mail-Wächter bieten umfangreiche Einstellmöglichkeiten im Bezug darauf, was mit "verdächtigen" E-Mails zu tun ist. Beispielsweise können solche E-Mails grundsätzlich gelöscht, markiert zugestellt oder auch auf einem "Quarantäne-Server" zwischengespeichert werden bis feststeht, ob der Inhalt harmlos ist. Eine weitere Möglichkeit ist es, nur eventuell bösartige E-Mail-Anhänge abzutrennen, während die Nachricht selbst mit einem entsprechenden Hinweis an den Empfänger weitergeleitet wird.

Um Spam-Merkmale in einer E-Mail zu erkennen, unterstützen entsprechende E-Mail-Scanner vielfältige Mechanismen.

Im ersten Schritt werden häufig Black- und Whitelists verwendet, um die Reputation der an der Kommunikation beteiligten fremden IP-Adresse zu verifizieren. Es gibt beispielsweise Listen, die eine Aussage darüber tätigen, ob eine IP -Adresse in der Vergangenheit unerwünschte E-Mails versendet hat oder ob hinter der IP-Adresse ein valider Mailserver steckt. Des Weiteren gibt es Listen, die aussagen, ob sich ein Mailserver hinter einer IP-Adresse RFC-konform verhält, oder ob er sich in einem Einwahlnetz befindet.

Diese Listen werden häufig verwendet, um die Kommunikation mit den IP-Adressen schon frühzeitig zu beenden und gar keine E-Mails anzunehmen. Sie werden von Anbietern gepflegt und sowohl kostenlos als auch kostenpflichtig angeboten. Bei der Nutzung solcher Listen ist zu beachten, dass diese potentiell fehleranfällig sein können. Möglicherweise wird ein Geschäftspartner durch eine Unachtsamkeit auf eine solche Liste gesetzt und man kann in Folge dessen keine E-Mails mehr von diesem Partner erhalten. Weiterhin muss berücksichtigt werden, dass ein Anbieter einer solchen Liste auch die Macht besitzt, zu entscheiden, von welchem Partner die Institution zukünftig noch E-Mails erhalten wird.

Die Anbieter solcher Listen bieten diese häufig über einen DNS -Server an (sogenannte DNSBL , DNS-based Blackhole Lists). Nutzt ein Betreiber eines E-Mail-Scanners eine solche DNSBL, sendet der E-Mail-Scanner die IP-Adressen aller eingehenden E-Mails an den Betreiber der DNSBL. Als Antwort erhält der E-Mail-Scanner eine Aussage, ob die IP-Adresse gelistet ist oder nicht. Durch dieses Verfahren erhält der Anbieter einer DNSBL die IP-Adressen aller mit der Institution kommunizierenden Mailsysteme. Ihm ist es damit möglich umfangreiche Profile über die Mailkommunikation zu erstellen. Um dieses Problem zu vermeiden, bietet es sich an, auf lokale Kopien der Blacklists zurückzugreifen. Viele Anbieter stellen Kopien des Datenbestandes (kostenpflichtig) zur Verfügung.

Die Risiken zum Einsatz von Blacklists müssen vor dem Einsatz überprüft werden. Die Gefahren, die durch den Einsatz entstehen, müssen durch entsprechende Vorsorgemaßnahmen oder Verträge mit dem Anbieter minimiert werden.

RFC-Konformitätsprüfung

Ein weiterer wichtiger Prüfschritt ist eine RFC -Konformitätsprüfung während des SMTP-Dialogs. Es ist zu prüfen, ob der einliefernde Mailserver sich mit einem gültigen Namen meldet (HELO/EHLO), ob die IP-Adresse des Servers per DNS rückwärts auflösbar ist, ob die Auflösung des Namens wieder die IP-Adresse ergibt, ob die Syntax des Absenders und des Empfängers der E-Mail korrekt ist und ob der Empfänger überhaupt existiert. Spammer erzeugen hier häufig so viele Fehler, dass viele E-Mails über Konformitätsprüfungen abgelehnt werden können. Im Umkehrschluss bedeutet dies aber auch, dass ein Administrator seine Systeme RFC-konform einrichten muss, damit eigene E-Mails nicht aufgrund solcher Fehler geblockt werden.

Prüfung von E-Mail-Inhalten

Im nächsten Schritt werden häufig die Inhalte einer E-Mail überprüft. Hier werden signaturbasierende Filtersysteme verwendet, um unerwünschte E-Mails anhand von Schlüsselbegriffen oder anderer spamtypischer Eigenarten zu erkennen. Häufig arbeiten die Filter nach einem Punktesystem. Erkennt das Filtersystem eine bestimmte negative Eigenschaft, werden Punkte dafür vergeben. Die Punkte aller negativen Eigenschaften werden dann addiert und ergeben somit einen Indikator für die Wahrscheinlichkeit, dass die E-Mail unerwünscht ist. Die Filter, die dazu eingerichtet werden müssen, unterliegen einem ständigen Wandel. Die Vision eines selbständig arbeitenden E-Mail-Scanners bleibt allerdings eine solche. Die Filtersysteme müssen dynamisch an die aktuellen Spamwellen angepasst werden und erfordern händische Eingriffsmöglichkeiten durch den Administrator.

Jeder E-Mail-Scanner sollte auch mindestens eine, besser mehrere Module zur Erkennung von Schadsoftware besitzen. E-Mails mit erkannten Viren sollten nicht zugestellt, sondern in Quarantänen zwischengespeichert werden.

Im Umgang mit Anhängen, die ein Schadpotential haben könnten, aber in denen zum Einlieferungszeitpunkt keine Schadsoftware nachgewiesen werden konnte, muss zunächst eine Richtlinie definiert werden, die entweder aussagt, welche Dateitypen für eine Institution schädlich sind oder welche Dateitypen definitiv unschädlich sind. Sehr kritisch sollte dabei die Notwendigkeit der Übertragung von ausführbaren Anhängen in E-Mails hinterfragt werden. Nach der Definition der Richtlinie kann diese dann mit einer entsprechenden durch "Blacklists" oder "Whitelists" umgesetzt werden. Bei einer "Blacklist" wird eine Liste "verbotener" Dateitypen definiert, die keinesfalls als Anhänge an E-Mails versandt werden dürfen und die auch bei eingehenden E-Mails nicht akzeptiert werden. Ein restriktiverer Ansatz ist die "Whitelist", bei der nur solche Dateitypen als E-Mail-Anhänge zugelassen werden, die auf der festgelegten Liste erlaubter Typen stehen. Bei der Festlegung von Black- oder Whitelists sollte darauf geachtet werden, dass ein vernünftiger Kompromiss zwischen Sicherheit und Funktionalität gefunden wird. Zu laxe Einstellungen führen unter Umständen dazu, dass schädliche Inhalte in das interne Netz gelangen, während zu strenge Einstellungen die Produktivität behindern können.

Da verschlüsselte E-Mails nicht automatisch überprüft werden können, muss auch festgelegt werden, wie mit verschlüsselten E-Mails zu verfahren ist (siehe hierzu auch Bausteine B 1.6 Schutz vor Schadprogrammen und B 1.7 Kryptokonzept ).

Die Mitarbeiter müssen darüber informiert werden, dass E-Mails automatisch gescannt werden und welche Regeln gelten. Außerdem sollte bei der Entscheidung, E-Mails automatisch auf dem Mailserver zu scannen, die Personalvertretung und der Datenschutzbeauftragte beteiligt werden. Je nach Land und der Art der Institution (Behörde oder Firma) müssen eventuell auch noch andere Rechtsvorschriften beachtet werden.

Selbst wenn ein E-Mail-Wächter auf dem Mailserver installiert wurde, sollte keinesfalls auf den Einsatz von Virenscannern auf den Arbeitsplatzrechnern verzichtet werden. Obwohl inzwischen der überwiegende Anteil von Viren und anderen Schadprogrammen per E-Mail verbreitet wird, gibt es doch noch genügend andere Verbreitungsmöglichkeiten für bösartige Programme, beispielsweise über USB-Sticks oder andere Wechselmedien oder über den Dateidownload aus dem Web.

Notfallpläne gegen Überlastung

E-Mail übertragende Systeme haben auch häufig damit zu kämpfen, dass sich das zu verarbeitende Volumen schlagartig ändern kann. Selbst wenn die Institution peinlichst auf gute Skalierung der Systeme geachtet hat, kommt der Moment, wo die Systeme überlastet werden. Für diese Momente muss ein Notfallplan vorbereitet werden.

Ein Notfallplan muss definieren, wie schrittweise die Funktionalität des E-Mail-Scanners verschärft werden kann, um das Verarbeitungsvolumen zu senken und welche Auswirkungen dies auf die Kommunikation hat. Da die Auswirkungen häufig mit Einschränkungen verbunden sind, ist die Leitungsebene auf diese Einschränkung hinzuweisen und der Notfallplan mit der Leitungsebene abzustimmen. Die praktische Durchführbarkeit des Notfallplans sollte im Vorfeld geübt werden und, wenn nötig, Anpassungen vorgenommen werden.

Exemplarisch als Notfallmaßnahme sei genannt, dass es möglich ist, den E-Mail-Scanner so zu konfigurieren, dass er nur noch eine Kommunikation zwischen definierten Kommunikationspartnern zulässt. Alle anderen (neuen) Kommunikationspartner werden während der Aktivierung des Notfallplans ausgesperrt.

Prüffragen:

  • Ist auf dem zentralen Mailserver ein speicherresidentes Virenschutzprogramm (sogenannte E-Mail-Wächter) installiert, das sowohl eingehende als auch ausgehende E-Mails auf schädliche Inhalte überprüft?

  • Gibt es eine Regelung für den Umgang mit verschlüsselten E-Mails, die nicht ohne weiteres gescannt werden können?

  • Sind Mitarbeiter, Datenschutzbeauftragter und Personalrat darüber informiert, dass E-Mails gescannt werden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK