E-Mail-Policy im Informatik-Rechenzentrum
E-Mail ist ein unverzichtbares Kommunikationsmedium für unsere Benutzer. Leider wird es durch die schiere Menge von Spam-Mails inzwischen stark behindert; weniger als 5% der an unseren Mailserver geschickten Mails sind tatsächlich für unsere Benutzer bestimmte Nutzmails.
Um die Verbreitung von Spam-E-Mails und virenverseuchten E-Mails innerhalb der Uni Hamburg zu verhindern bzw. zumindest wesentlich einzuschränken, prüft das Informatik-RZ in Zusammenarbeit mit dem Regionalen Rechenzentrum (RRZ) recht agressiv, ob der sendende Mailserver die “Spielregeln” (RFCs) des Mailbetriebes einhält. Die weitaus meisten Spam-Mails stammen von Privat- oder Arbeitsplatzrechnern, die von “Malware” übernommen wurden und nun in sogenannten “Bot-Netzen” ferngesteuert werden. In der Regel enthalten sie keine vernünftige Mail-Software, sondern verschicken E-Mails aus der Malware heraus.
Wir wollen nur E-Mails von legitimen Mailservern annehmen und versuchen, andere E-Mails soweit wie möglich abzublocken Dabei kann es im Einzelfall dazu kommen, dass Ihre legitimen Mails zurückgewiesen werden. Bitte wenden Sie sich dann an die Benutzerberatung im Informatik-RZ (Tel. 2295).
Generell gelten auf dem Mailserver
mailhost.informatik.uni-hamburg.de folgenden Regeln:
1. Grundsätzlich Annahme lokaler E-Mail:
Wenn Sie E-Mails aus dem Informatik-Netz heraus verschicken - auch aus dem Informatik-VLAN - wird Ihre Mail von unserem Mailserver grundsätzlich akzeptiert.
Wenn Sie sich beim Mailversand von außerhalb des Informatik-Netzes mit Ihrer Benutzerkennung am Mailserver authentisieren, wird Ihre Mail von unserem Mailserver akzeptiert.
2. Restriktive Prüfung externer E-Mails:
Wenn eine nicht per Benutzerkennung authentisierte E-Mail von außerhalb
des Informatik-Netzes an
mailhost.informatik.uni-hamburg.de
verschickt werden soll, wird
sie unter den folgenden Umständen nicht akzeptiert und zurückgewiesen:
Prüfung des sendenden Mailservers
Wenn der IP-Adresse des die Mail versendenden Rechners im Namensdienst (DNS) kein Domainname zugeordnet ist, wird die E-Mail nicht akzeptiert. Ein vernünftig konfigurierter Mailserver hat eine bekannten Domainnamen und eine bekannte IP-Adresse und die IP-Adresse muss im Namensdienst wieder auf den Domainname verweisen.
Typische Fehlermeldung:
450 4.7.1 Client host rejected: cannot find your reverse hostname, [88.245.184.54]
Wenn der die Mail versendende Rechner eine von einem DHCP-Server dynamisch zugeteilte IP-Adresse hat, wird die E-Mail nicht akzeptiert, sofern wir dies feststellen können. Ein vernünftig konfigurierter Mailserver hat eine bekannten Domainnamen und eine bekannte feste IP-Adresse.
Wenn Ihr Rechner eine von Ihrem Provider dynamisch zugeteilte IP-Adresse hat, dann senden Sie Ihre E-Mails entweder an den Mailserver Ihres Providers oder authentisieren Sie sich bitte an unserem Mailserver mit Ihrer Benutzerkennung.
Typische Fehlermeldungen:
550 5.7.1 <pc-169-67-44-190.cm.vtr.net[190.44.67.169]>: Client host rejected: No dynamic IP please! 550 5.7.1 <p5B121ECF.dip0.t-ipconnect.de[91.18.30.207]>: Client host rejected: reject We do not accept mail from dynamic IP
Wenn der die Mail versendende Rechner als bekannter Spam-Versender auf sogenannten “Blacklists” aufgeführt ist, wird die E-Mail nicht akzeptiert.
Typische Fehlermeldungen:
550 5.7.1 Recipient address rejected: Your MTA is listed in too many DNSBLs; check http://rbls.org/?q=81.174.143.180 550 5.7.1 <zierke@informatik.uni-hamburg.de>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs
Wenn der die Mail versendende Rechner sich im Mail-(“SMTP”)-Protokoll im Begrüßungskommando (“HELO”) mit einem ungültigen Rechnernamen meldet, wird die E-Mail nicht akzeptiert. Ein vernünftig konfigurierter Mailserver weiss, wer er ist und kann das auch sagen.
Typische Fehlermeldungen:
501 5.5.2 <8?:>: Helo command rejected: Invalid name 504 5.5.2 <AWIE>: Helo command rejected: need fully-qualified hostname
Prüfung der Absender- und Empfängeradresse
Im SMTP-Dialog zwischen dem sendenden und unserem Mailserver gibt der sendene Mailserver an, von welcher Absenderadresse die Mail stammt und für welche Empfängeradressen die Mail bestimmt ist. Allein diese Angaben entscheiden, an wen eine E-Mail tatsächlich geschickt wird. Sie haben absolut nichts mit den Absender- und Empfängeradressen in der eigentlichen E-Mail zu tun; letztere sind aus Sicht des Mail-Transport-Systems reiner Kommentar!
Wenn die Sender- oder Empfängeradresse im SMTP-Dialog unvollständig oder der Domainname der Sender- oder Empfängeradresse im Namensdienst (DNS) unbekannt ist, wird die E-Mail nicht akzeptiert.
Typische Fehlermeldungen:
504 5.5.2 <zierke>: Recipient address rejected: need fully-qualified address
Wenn sowohl Sender- als auch Empfängeradresse außerhalb des Informatiknetzes sind (oder einer der anderen Domains, für die unser Mailserver zuständig ist), wird die E-Mail nicht akzeptiert. Wir nehmen nur Mails aus unserem Netz oder für unser Netz an.
Typische Fehlermeldungen:
554 5.7.1 <user@example.com>: Relay access denied
Wenn die Empfängeradresse auf unserem Mailserver unbekannt ist, ist die E-Mail nicht zustellbar und wird nicht akzeptiert.
Typische Fehlermeldungen:
550 5.1.1 <niemand@informatik.uni-hamburg.de>: Recipient address rejected: User unknown in local recipient table
Greylisting
Die Idee hinter Greylisting ist, dass echte Mailserver derzeit nicht zustellbare E-Mails später noch einmal zuzustellen versuchen, Spamschleudern dies in der Regel aber nicht tun.
Deshalb weist unser Mailserver Mailverbindungen von einem bisher unbekannten Mailserver zunächst mit einem temporären Fehler ab, merkt sich aber die IP-Adresse des sendenden Mailservers sowie die Absender- und Empfänger-Mailadresse. Wenn der sendende Mailserver die E-Mail später noch einmal zuzustellen versucht, wird sie akzeptiert. Wenn der sendende Mailserver später andere E-Mails an uns schickt, werden sie auch akzeptiert.
Damit werden zwar E-Mails von bisher unbekannten Mailserver beim ersten Mal um etwa 10-15 Minuten verzögert, aber viele Spam-Mails verhindert.
Typische Meldung:
450 4.2.0 <zierke@informatik.uni-hamburg.de>: Recipient address rejected: Greylisted
3. Viren- und Spamprüfung
Wenn eine dem Mailserver mailhost.informatik.uni-hamburg.de
angebotene E-Mail alle Prüfungen im vorigen Abschnitt erfolgreich durchlaufen
hat, wird sie zur Auslieferung angenommen. Damit ist der Mailserver nach
dem Teledienstgesetz zur Auslieferung der E-Mail verpflichtet und darf sie
nicht mehr wegwerfen.
Die angenommene E-Mail wird aber noch durch einen Filter Amavis geleitet, der die E-Mail mit Hilfe von Sophos Sweep auf Mail-Viren prüft und mit Hilfe von SpamAssassin bewertet, ob die E-Mail Spam enthält.
Virenscanner
Wenn in einer E-Mail ein Virus erkannt wird, so wird diese E-Mail für etwa einen Monat in einem “Quarantäne”-Verzeichnis sichergestellt und der Empfänger der E-Mail benachrichtigt. Die Absender von Viren-Mails werden nicht benachrichtigt, weil aktuelle Mail-Viren grundsätzlich die Absenderadressen fälschen, um ihre Spuren zu verschleiern. Eine Absender-Benachrichtigung würde also nur Unschuldige belästigen.
Auf begründeten Antrag können wir bestimmte Empfänger in eine Ausnahmeliste aufnehmen, damit E-Mails an diese Empfänger nicht auf Viren geprüft und ggfs. sichergestellt werden, sondern normal zugestellt werden.
Spam-Prüfung
Von SpamAssassin als Spam eingestufte E-Mails werden durch
Einfügen vom zusätzlichen Informationen in den Kopf der E-Mail markiert.
Außerdem wird die Zeichenkette ***SPAM*** am Anfang der
Betreff-Zeile im Kopf der E-Mail eingefügt. Sie können Ihre Mails anhand
dieser Informationen direkt bei der Zustellung der E-Mail
filtern,
d.h. automatisch löschen oder besser in einen getrennten Mail-Ordner sichern,
den sie später noch durchschauen und dann die E-Mail löschen können.
Auf Antrag können wir bestimmte Empfänger in eine Ausnahmeliste aufnehmen, damit E-Mails an diese Empfänger nicht auf Spam geprüft und ggfs. gekennzeichnet werden, sondern unverändert zugestellt werden.