Markierung der Mails

Im folgenden werden die Header beschrieben, die von den DFN-Gateways an die Mails angefügt werden. Zu beachten ist dabei, dass die Header der verschiedenen Filter gleichzeitig auftauchen können. Eine Mail, die einen Virus enthält und als Spam erkannt wird erthält von uns beide Header. In ihrer Filterkonfiguration sollten Sie daher die Header in der Reihenfolge der Priorität parsen, für gewöhnlich:

  1. Viren
  2. Spam
  3. sonstiges

und die Mail dann entsprechend klassifizieren.

Wir empfehlen, erkannten Spam, Viren, Mails mit verdächtigen Anhängen in separate Ordner zu sortieren wie unter Mailverarbeitung beschrieben.

 

1. stets eingefügter Header

Bei der Verarbeitung einer Mail durch die Filter auf den DFN-Gateways wird immer folgender Header eingefügt:

X-Virus-Scanned: Debian amavisd-new at ...

wobei ... für den Hostnamen des Gateways steht und auf folgende regular expression passt: ^mgw.+\.srv\.dfn\.de$. Fehlt dieser Header, so kam die Mail entweder nicht über ein DFN-Gateway oder wurde infolge eines Eintrages auf einer Whitelist nicht gescannt.

 

2. Header-/MIME-Fehler

Nicht-RFC-konforme Header, fehlende Header bzw. Fehler in der MIME-Struktur der Mail werden mit folgendem Header markiert:

X-Amavis-Alert: BAD HEADER...

wobei ... für eine Vielzahl an Fehlertexten steht. Die Wirksamkeit dieses Checks ist begrenzt und leider es gibt legitime Absender (z.B. Trouble-Ticket-Systeme), die gegen RFCs verstossen und deren Mails leider markiert werden. Es ist daher in der Überlegung, diesen Check komplett zu entfernen.

 

3. unerwünschte Anhänge

Ein Reihe von oft missbrauchten Attachment-Mime-Types bzw. trickreich konstruierten Namen von Attachments werden mit diesem Header markiert:

X-Amavis-Alert: BANNED, ...

wobei ... für eine Vielzahl an Fehlertexten steht. Die Details zu diesem Check können Sie hier einsehen.

 

4. Viren 

Wird ein Virus erkannt, wird folgender Header eingefügt:

X-Amavis-Alert: INFECTED, message contains virus: ...

wobei ... für den Namen des Virus steht.

4a. Schädliche Makros in Officedokumenten

Seit Dezember 2016 haben wir dem Virenscanner ClamAV eigene Pattern zur Makroerkennnung hinzugefügt, die schädliche Makros in Officedokumenten erkennen.

Wenn Ihre Einrichtung "Viren abweisen" gewählt hat, werden die so erkannten Mails mit dem Header INFECTED abgelehnt.

Nimmt Ihre Einrichtung auch erkannte Viren an, werden die Makros im Header X-Spam-Status gekennzeichnet mit

AV:DFN.ContainsMacros.UNOFFICIAL

und zugestellt.

Nicht als schädlich erkannte Makros sind hiervon nicht betroffen.

 

5. Spam

Der Spamfilter vergibt jeder Mail einen sogenannten Spamscore. Der Score ist eine reelle Zahl mit drei Nachkommastellen und im Betrag nicht begrenzt. Werte über Null deuten auf Spam hin, Werte unter Null auf Ham (saubere Mails). Der Wert, ab dem eine Mail als Spam gilt, wird von den Programmierern des Filters empfohlen und liegt derzeit bei 6.2. Mails zwischen 2.0 und 6.2 werden markiert, sind aber kein Spam, unter 2.0 als Ham. Je nach Einstufung werden unterschiedliche Header eingefügt:

  • Ham. Score < 2.0: Es werden keine Header eingefügt.

  • Kein Spam, aber markiert. 2.0 <= Score < 6.2: 

     X-Spam-Flag: NO
     X-Spam-Score: 4.809
     X-Spam-Level: ****
     X-Spam-Status: No, score=4.809 tagged_above=2 required=6.2 tests=[BOGO_UNSURE=-0.01, FREEMAIL_FORGED_REPLYTO=1.199, FREEMAIL_REPLYTO_END_DIGIT=1.221, RDNS_NONE=2.399] autolearn=disabled

  • Spam. Score >= 6.2:
 X-Spam-Flag: YES
 X-Spam-Score: 7.022
 X-Spam-Level: *******
 X-Spam-Status: Yes, score=7.022 tagged_above=2 required=6.2 tests=[BOGO_SPAM=7, HTML_FONT_SIZE_HUGE=0.001, HTML_MESSAGE=0.001, T_FRT_CONTACT=0.01, T_FRT_PROFIT1=0.01] autolearn=disabled

Die einfachste Möglichkeit, auf Spam zu testen ist der Header X-Spam-Flag. Enthält dieser YES, so handelt es sich um Spam, ansonsten um Ham. Sind Sie mit der Standard-Klassifikation nicht einverstanden und möchten gerne die Schwellwerte geändert haben, so können wir diese auch individuell für Sie einstellen. Alternativ können Sie auch die Header X-Spam-Score oder X-Spam-Level parsen und gegen ihren eigenen Schwellwert testen.

  • Status: SPAMMY. 6,2 <= Score < Level, ab dem die Mail abgelehnt wird (7-13)
    Bei Einrichtungen, die ab einer gewissen Schwelle Spammails abweisen, gibt es einen weiteren Status. Dieser Status taucht im syslog auf, für Mails, die zwar Spam sind, aber aufgrund des niedrigen Levels noch nicht abgewiesen werden. Das Level für die Abweisung wird von den Einrichtungen definiert. Es gibt hier keine echte Empfehlung für den Wert, da jede Einrichtung ein wenig anderen Spam erhält und andere "Toleranzen" beim Empfang hat.

Im Header X-Spam-Status werden auch alle spamassassin-Regeln aufgeführt, die zur Bewertung beigetragen haben. Unter Tests performed können die Regeln samt Erläuterung eingesehen werden. In begründeten Fällen werden wir diese auf Wunsch auch modifizieren.

Eine Ausnahme bilden die BOGO_* -Tests, diese wurden im DFN-Mailsupport für den bogofilter eingefügt und werden hier erläutert.

6. X-DFN-Header

Zur besseren Übersicht können wir die durch unsere Mailgateways eingefügten Header auch leicht umbenannt schreiben, nämlich "X-DFN-Spam" bzw. "X-DFN-Amavis-Alert".

Dies erleichtert insbesondere das Vergleichen unserer Erkennungsraten mit Ihren Scannern vor Ort.

Dieses Merkmal kann über das interaktive Portal eingeschaltet werden oder über unsere Hotline. Bitte sprechen Sie uns an!