Unser hochmodernes E-Mail-Sicherheitssystem prüft eingehende E-Mails auf verschiedene Weise. Wenn unser E-Mail-Sicherheitsgerät Ihre Mail verworfen hat, bedeutet dies, dass eine der folgenden Überprüfungen fehlgeschlagen ist:
5.1 Reverse DNS
Reverse DNS Lookup bestimmt den Host, der mit einer bestimmten IP-Adresse verknüpft ist. Wenn eine E-Mail von somecompany.eu mit einer Quell-IP-Adresse von X.X.X.X an unser Anti-Spam-Sicherheitsgateway geliefert wird, überprüft die Reverse DNS-Lookup-Funktion, ob die IP-Adresse X.X.X.X tatsächlich mit der Domain somecompany.eu verknüpft ist. Wenn dies nicht der Fall ist, wird angenommen, dass die E-Mail gefälscht wurde.
5.2 SPF
Der Inhaber einer Domain (somecompany.eu) veröffentlicht einen SPF-Eintrag, der alle autorisierten E-Mail-Sender für diese Domain auflistet. Ein E-Mail-Empfänger kann die Einträge des Senders überprüfen, um zu sehen, ob sie mit dieser Domain verknüpft sind, und wenn die SPF-Einträge dies bestätigen, wird die E-Mail akzeptiert.
Der SPF-Eintrag beweist, dass der Sender ein vertrauenswürdiger Sender für diese Domain ist.
Es gibt einen Unterschied zwischen:
- SPF softfail
v=spf1 ip4:X.X.X.X ~all
~all bedeutet, dass alle Server, die nicht in diesem SPF-Eintrag aufgeführt sind, als "Softfail" behandelt werden sollten, d. h. E-Mails können durchgelassen werden, sollten aber als verdächtig markiert werden.
-
-> Protime wird die E-Mail mit einem Tag [SPF SOFTFAIL] versehen
-> Protime wird die Mail in den persönlichen SPAM-Quarantänebereich des Nutzers legen, wo sie bei Bedarf freigegeben werden kann
-> Domains, die ein Tag [SPF SOFTFAIL] erhalten, können nicht zur persönlichen Whitelist hinzugefügt werden
- SPF Hardfail
Der Inhaber der Domain kann den SPF-Eintrag für die Domain wie folgt angeben:
v=spf1 ip4:X.X.X.X -all
-all bedeutet, dass alle Sender, die nicht in diesem SPF-Eintrag aufgeführt sind, als "Hardfail" behandelt werden sollten, d. h. sie sind nicht autorisiert und E-Mails von ihnen sollten verworfen werden
-> Protime wird die E-Mail mit einem Tag [SPF FAIL] versehen
-> Protime wird die Mail in die Quarantäne legen, wo sie vom Itservicedesk-Team überprüft werden kann
5.3 DKIM
DKIM (DomainKeysIdentified Mail) ist ein E-Mail-Sicherheitsstandard, der sicherstellen soll, dass Nachrichten auf dem Weg zwischen Sende- und Empfangsserver nicht verändert werden. Es verwendet Public-Key-Kryptografie, um E-Mails mit einem privaten Schlüssel zu signieren, wenn sie einen sendenden Server verlassen. Empfangsserver verwenden dann einen öffentlichen Schlüssel, der in der DNS einer Domain veröffentlicht wird, um die Quelle der Nachricht zu überprüfen und sicherzustellen, dass der Inhalt der Nachricht während des Transits nicht verändert wurde. Sobald die Signatur vom Empfängerserver mit dem öffentlichen Schlüssel verifiziert wurde, ist die Nachricht DKIM-konform und gilt als authentisch.
Die E-Mail-Sicherheit wird Nachrichten mit dem Fehler "DKIM: permfail body hash did not verify [final]" für jede von $sender gesendete E-Mail mit einem Tag [DKIM failed] markieren.
Dies kann durch verschiedene Dinge verursacht werden:
>> Der im DKIM-Signatur-Header angegebene öffentliche Schlüssel ist falsch.
>> Der vom Sender in seinem DNS veröffentlichte öffentliche Schlüssel ist falsch.
>> Der Inhalt der E-Mail wurde nach dem Verlassen des Mailservers verändert.
>> Jemand hat die E-Mail gefälscht und ohne den korrekten privaten Schlüssel signiert.
>> Andere Ursachen sind ebenfalls möglich
Jedenfalls werden E-Mails mit dem DKIM-Fehlerflag als "verdächtig" eingestuft und in Quarantäne gestellt.
Der Sender muss dieses Problem lösen!
5.4 Anti-Malware - Virenscan
Das Anti-Malware-System kombiniert Web-Reputationsfilter, eine entscheidende erste Verteidigungslinie gegen neue Ausbrüche, mit erstklassigen signaturbasierten Entscheidungsmotoren, um einen leistungsstarken, vollständig integrierten Anti-Malware-Schutz zu bieten.
Als zweite Verteidigungslinie scannt das Anti-Malware-System Webinhalte während des Downloads auf Malware und Virensignaturen, wodurch das breiteste Spektrum bekannter und neu auftretender webbasierter Bedrohungen eliminiert wird. Eine Kombination aus mehreren Antiviren-Engines, darunter Sophos und McAfee, bietet maximale Sicherheit, ohne die Skalierbarkeit zu beeinträchtigen.
5.5 AMP (Advanced Malware Protection)
AMP analysiert E-Mails auf Bedrohungen, die in bösartigen Anhängen versteckt sind. Es bietet fortschrittlichen Schutz vor Spear-Phishing, Ransomware und anderen ausgeklügelten Angriffen.
AMP verwendet eine Kombination aus Datei-Reputation und Datei-Sandboxing, um Bedrohungen zu identifizieren und zu stoppen.
- Die Datei-Reputation erfasst einen Fingerabdruck jeder Datei, während sie das E-Mail-Sicherheitsgateway durchläuft, und sendet ihn an das Cloud-basierte AMP-Intelligence-Netzwerk, um ein Reputationsurteil abzugeben. Angesichts dieser Ergebnisse werden bösartige Dateien automatisch blockiert.
- Das Datei-Sandboxing bietet die Möglichkeit, unbekannte Dateien, die das E-Mail-Sicherheitsgateway durchlaufen, zu analysieren. Eine hochsichere Sandbox-Umgebung ermöglicht es AMP, genaue Details über das Verhalten einer Datei zu ermitteln und diese Daten mit detaillierter menschlicher und maschineller Analyse zu kombinieren, um das Bedrohungsniveau der Datei zu bestimmen. Diese Informationen werden dann in das Cloud-basierte AMP-Intelligenznetzwerk eingespeist und zur dynamischen Aktualisierung und Erweiterung des AMP-Cloud-Datensatzes für einen verbesserten Schutz verwendet.
5.6 Ausbruchfilter – URL-Filterung
Ausbruchfilter schützen unser Netzwerk vor groß angelegten Virenausbrüchen und kleineren, nicht-viralen Angriffen, wie Phishing-Betrügereien und Malware-Verbreitung, sobald sie auftreten.
Anhand globaler Verkehrsmuster werden Regeln entwickelt, die bestimmen, ob eine eingehende Nachricht sicher oder Teil eines Ausbruchs ist. Nachrichten, die Teil eines Ausbruchs sein könnten, werden unter Quarantäne gestellt, bis sie auf der Grundlage aktualisierter Ausbruchsinformationen als sicher eingestuft werden oder neue Antivirendefinitionen von Sophos und McAfee veröffentlicht werden.
Ausbruchfilter analysieren den Inhalt einer Nachricht und suchen nach URL-Links, um diese Art von nicht-viralem Angriff zu erkennen.
Die Reputation und Kategorie von Links in Nachrichten werden zusammen mit anderen Spam-Identifikationsalgorithmen genutzt, um Spam zu identifizieren. Zum Beispiel ist eine Nachricht wahrscheinlicher eine Marketing-Nachricht, wenn ein Link in der Nachricht zu einer Marketing-Website gehört.
5.7 Erpressung (SPAM)
Alle unsere eingehenden Mails werden von einem Anti-Spam-Motor überprüft. Dieses System verfügt über eine sehr umfangreiche Regelbasis (Tausende von Regeln), um E-Mails zu prüfen und eine Gesamtbewertung für Spam vorzunehmen.
Wenn Mails eine Punktzahl zwischen 50 und 90 erhalten, werden sie mit dem Tag [SUSPECTED SPAM] versehen.
Wenn Mails eine Punktzahl zwischen 90 und 100 erhalten, werden sie mit dem Tag [SPAM] versehen.
Wir können nicht überprüfen, warum die Gesamtbewertung so ist, wie sie ist. Wir können auch nicht den aktuellen Punktestand ablesen oder Einsicht in frühere Punktestände erhalten.
5.8 Graumail (SOCIAL/MARKETING/BULK)
Graumail-Nachrichten sind Nachrichten, die nicht der Definition von Spam entsprechen, zum Beispiel Newsletter, Mailinglisten-Abonnements, Benachrichtigungen aus sozialen Netzwerken und so weiter. Diese Nachrichten waren zu einem bestimmten Zeitpunkt von Nutzen, haben aber in der Folgezeit an Wert verloren, so dass der Endnutzer sie nicht mehr erhalten möchte.
Der Unterschied zwischen Graumail und Spam besteht darin, dass der Endnutzer irgendwann absichtlich eine E-Mail-Adresse angegeben hat (zum Beispiel hat der Endnutzer sich auf einer E-Commerce-Website für einen Newsletter angemeldet oder Kontaktinformationen während einer Konferenz an eine Organisation weitergegeben), im Gegensatz zu Spam, Nachrichten, für die sich der Endnutzer nicht angemeldet hat.
Die Graumail-Engine klassifiziert jede Graumail in eine der folgenden Kategorien:
- Marketing-E-Mail. Werbenachrichten, die von professionellen Marketinggruppen gesendet werden, z. B. Bulletins von Amazon.com mit Informationen über ihre neu eingeführten Produkte.
- Soziales Netzwerk E-Mail. Benachrichtigungsnachrichten aus sozialen Netzwerken, Dating-Websites, Foren und so weiter. Beispiele umfassen Alerts von: LinkedIn, für Jobs, die Sie interessieren könnten, CNET-Foren, wenn ein Benutzer auf Ihren Beitrag antwortet.
- Massen-E-Mail. Werbenachrichten, die von nicht anerkannten Marketinggruppen gesendet werden, zum Beispiel Newsletter von TechTarget, einem Technologiemedienunternehmen.
5.9 Verdächtige Domain
Wenn unsere Kollegen immer wieder "saubere" unerwünschte Nachrichten von derselben Domain erhalten, klassifizieren wir die Domain als VERDÄCHTIG und alle E-Mails von dieser Domain werden in Quarantäne gestellt!
Wenn Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Protime-Berater oder an unseren Helpdesk.