Markierung der Mails

Im folgenden werden die Header beschrieben, die von den DFN-Gateways an die Mails angefügt werden. Zu beachten ist dabei, dass die Header der verschiedenen Filter gleichzeitig auftauchen können. Eine Mail, die einen Virus enthält und als Spam erkannt wird enthält von uns beide Header. In ihrer Filterkonfiguration sollten Sie daher die Header in der Reihenfolge der Priorität parsen, für gewöhnlich:

  1. Viren
  2. verdächtige Anhänge
  3. Spam
  4. sonstiges

und die Mail dann entsprechend klassifizieren.

Wir empfehlen, erkannten Spam, Viren, Mails mit verdächtigen Anhängen in separate Ordner zu sortieren wie unter Mailverarbeitung beschrieben.

 

1. stets eingefügter Header

Bei der Verarbeitung einer Mail durch die Filter auf den DFN-Gateways wird immer folgender Header eingefügt:

X-Virus-Scanned: Debian amavisd-new at ...

wobei ... für den Hostnamen des Gateways steht und auf folgende regular expression passt: ^mgw.+\.srv\.dfn\.de$. Fehlt dieser Header, so kam die Mail entweder nicht über ein DFN-Gateway oder wurde infolge eines Eintrages auf einer Whitelist nicht gescannt.

 

2. Header-/MIME-Fehler

Nicht-RFC-konforme Header, fehlende Header bzw. Fehler in der MIME-Struktur der Mail werden mit folgendem Header markiert:

X-Amavis-Alert: BAD HEADER...

wobei ... für eine Vielzahl an Fehlertexten steht. Die Wirksamkeit dieses Checks ist begrenzt und leider es gibt legitime Absender (z.B. Trouble-Ticket-Systeme), die gegen RFCs verstossen und deren Mails leider markiert werden. Es ist daher in der Überlegung, diesen Check komplett zu entfernen.

 

3. unerwünschte Anhänge

Ein Reihe von oft missbrauchten Attachment-Mime-Types bzw. trickreich konstruierten Namen von Attachments werden mit diesem Header markiert:

X-Amavis-Alert: BANNED, ...

wobei ... für eine Vielzahl an Fehlertexten steht. Die Details zu diesem Check können Sie hier einsehen.

 

4. Viren 

Wird ein Virus erkannt, wird folgender Header eingefügt:

X-Amavis-Alert: INFECTED, message contains virus: ...

wobei ... für den Namen des Virus steht.

 

5. Spam

Der Spamfilter vergibt jeder Mail einen sogenannten Spamscore. Der Score ist eine reelle Zahl mit drei Nachkommastellen und im Betrag nicht begrenzt. Werte über Null deuten auf Spam hin, Werte unter Null auf Ham (saubere Mails). Der Wert, ab dem eine Mail als Spam gilt, wird von den Programmierern des Filters empfohlen und liegt derzeit bei 6.2. Mails zwischen 2.0 und 6.2 werden markiert, sind aber kein Spam, unter 2.0 als Ham. Je nach Einstufung werden unterschiedliche Header eingefügt:

  • Ham. Score < 2.0: Es werden keine Header eingefügt.
     
  • Kein Spam, aber markiert. 2.0 <= Score < 6.2: 
 X-Spam-Flag: NO
 X-Spam-Score: 2.437
 X-Spam-Level: **
 X-Spam-Status: No, score=2.437 tagged_above=-200 required=6.2
   tests=[ALL_TRUSTED=-1, BAYES_50=0.1, 
   BOGO_UNSURE=0.1,DKIM_SIGNED=0.1,
   DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, DKIM_VERIFIED=-0.001,
   FREEMAIL_FORGED_FROMDOMAIN=0.248, FREEMAIL_FROM=0.001,
   FREEMAIL_REPLYTO_END_DIGIT=0.25,
   HEADER_FROM_DIFFERENT_DOMAINS=0.248,
   LOTS_OF_MONEY=0.001, MAILING_LIST_MULTI=-1,
   MONEY_FREEMAIL_REPTO=1.085, MONEY_NOHTML=2.497,
   SPF_HELO_PASS=-0.001,
   SPF_PASS=-0.001, T_MONEY_PERCENT=0.01]
   autolearn=disabled
  • Spam. Score >= 6.2:
 X-Spam-Flag: YES
 X-Spam-Score: 15.069
 X-Spam-Level: ***************
 X-Spam-Status: Yes, score=15.069 tagged_above=-200 required=6.2
   tests=[ADVANCE_FEE_5_NEW_MONEY=3, ALL_TRUSTED=-0.01,
   BAYES_60=2.2,
   BOGO_SPAM=7.5, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
   DKIM_VALID_AU=-0.1,
   DKIM_VERIFIED=-0.001, FREEMAIL_FORGED_FROMDOMAIN=0.25,
   FREEMAIL_FROM=0.001, HEADER_FROM_DIFFERENT_DOMAINS=0.25,
   HK_SCAM=0.01,
   LOTS_OF_MONEY=0.001, MAILING_LIST_MULTI=-1,
   MILLION_HUNDRED=0.001,
   MONEY_FREEMAIL_REPTO=0.723, MONEY_NOHTML=1.736,
   SPF_HELO_PASS=-0.001,
   SPF_PASS=-0.001, SUBJ_ALL_CAPS=0.5, T_MONEY_PERCENT=0.01]
   autolearn=disabled

Die einfachste Möglichkeit, auf Spam zu testen ist der Header X-Spam-Flag. Enthält dieser YES, so handelt es sich um Spam, ansonsten um Ham. Sind Sie mit der Standard-Klassifikation nicht einverstanden und möchten gerne die Schwellwerte geändert haben, so können wir diese auch individuell für Sie einstellen. Alternativ können Sie auch die Header X-Spam-Score oder X-Spam-Level parsen und gegen ihren eigenen Schwellwert testen.

  • Status: SPAMMY. 6,2 <= Score < Level, ab dem die Mail abgelehnt wird (7-13)
    Bei Einrichtungen, die ab einer gewissen Schwelle Spammails abweisen, gibt es einen weiteren Status. Dieser Status taucht im syslog auf, für Mails, die zwar Spam sind, aber aufgrund des niedrigen Levels noch nicht abgewiesen werden. Das Level für die Abweisung wird von den Einrichtungen definiert. Es gibt hier keine echte Empfehlung für den Wert, da jede Einrichtung ein wenig anderen Spam erhält und andere "Toleranzen" beim Empfang hat.

Im Header X-Spam-Status werden auch alle spamassassin-Regeln aufgeführt, die zur Bewertung beigetragen haben. Im Repository können die Regeln samt Erläuterung eingesehen werden. In begründeten Fällen werden wir diese auf Wunsch auch modifizieren.

zusätzliche Tests:

Eine Erweiterung bilden die BOGO_* -Tests, diese wurden im DFN-Mailsupport für den bogofilter eingefügt und werden hier erläutert. Weiterhin setzen wir das optionale spamassassin-Modul olemacro ein. Taucht im Status der Tests OLEMACRO auf, so enthält einer der Anhänge ein Microsoft-Office-Dokument mit eingebetteten Makros.

Optionen:

  • Die Zahlenwerte der Scores können individuell angepasst werden, auch individuell pro Empfängerdomain.
  • Das Schreiben des X-Spam-Report-Headers kann aktiviert werden. In diesem wird jeder einzelne Test genauer erläutert. Der Header ist jedoch mehrzeilig und kann recht umfangreich werden.
  • Im Header X-Spam-Level kann das Level-Zeichen * durch ein fast beliebiges anderes Zeichen ersetzt werden, z.B. + oder X.

6. DKIM-Verifikation

Ist der Mail eine DKIM-Signatur beigefügt, so wird das Ergebnis deren Verifikation im Header Authentication-Results vermerkt. Ein dkim=pass bedeutet hierbei, dass die Signatur gültig ist, die verifizierte Domain wird unter header.d=.... angezeigt.

7. X-DFN-Header

Zur besseren Übersicht können wir die durch unsere Mailgateways eingefügten Header auch leicht umbenannt schreiben, nämlich "X-DFN-Spam" bzw. "X-DFN-Amavis-Alert".

Dies erleichtert insbesondere das Vergleichen unserer Erkennungsraten mit Ihren Scannern vor Ort.

Dieses Merkmal kann über das interaktive Portal eingeschaltet werden oder über unsere Hotline. Bitte sprechen Sie uns an!