E-Mails von bestimmten Domänen, IP-Bereichen, E-Mail-Adressen oder mit bestimmten Betreffinhalten können durch die integrierten Blacklist-Technologien herausgefiltert werden.
Diese Listen können vom Administrator unternehmensweit und zusätzlich vom Benutzer individuell erstellt und gepflegt werden.
Die Blacklist Filter des REDDOXX Spamfinders basieren aber auch auf externen, öffentlichen Listen.
Ein allgemeines Problem dieser Filtertechniken ist das Risiko der Fehldetektion (so genannte False-Positives).
Die integrierte Benutzer-Quarantäne-Funktion des REDDOXX Spamfinders vermindert das Risiko der False-Positives, da jeder Benutzer die Möglichkeit hat, auf seinen Quarantänebereich zuzugreifen und sicherzustellen, dass keine E-Mail fälschlicherweise aussortiert wurde.
Auf diese Weise haben Administratoren auch einen geringen Aufwand, Spam auf der Suche nach wichtigen E-Mails zu durchsuchen.
Whitelists sind so genannte freundliche Listen und sofern bestimmte Kriterien erfüllt sind, werden die E-Mails ohne weitere Verzögerung direkt zugestellt.
Diese Listen variieren von individuellen E-Mail-Adressen bis hin zu allgemeinen Domänenadressen.
Sie können einzelne IP-Adressen oder IP-Adressbereiche beinhalten oder einfach nur bestimmte Betreffinhalte, die eine E-Mail als "erwünscht" klassifizieren.
Beim REDDOXX Spamfinder wurden diese Listen wie folgt implementiert:
AWL: Adressen Whitelist
DWL: Domänen Whitelist
NWL: Netzwerk Whitelist
SWL: Betreff Whitelist
Diese Filterlisten gibt es auf einer allgemeinen Basis für alle Benutzer eines Systems, aber auch für jeden einzelnen Benutzer, um die Treffsicherheit des REDDOXX Spamfinders zu perfektionieren.
RBL (Realtime Blacklist):
Realtime Prüfung des sendenden E-Mailservers gegen öffentliche Blacklistserver.
Dynamische IP-Blacklist:
Bereits beim SMTP-Verbindungsaufbau für den Empfang einer E-Mail wird geprüft, ob die Sender-IP-Adresse auf einer Blacklist steht.
Hierzu werden alle Blacklist-Server verwendet, die in der Filterkonfiguration RBL-Filter angegeben sind.
Steht die IP-Adresse auf einer Blacklist, wird der Mailempfang sofort abgebrochen.
Vorteil dieser Funktion ist, dass dadurch Ihre Appliance bei massiven Spam-Attacken deutlich weniger belastet wird.
Voraussetzung dabei ist, dass E-Mails direkt, also nicht über ein Relay, zugestellt werden.
Die Abfragen der RBL-Filter werden zwischengespeichert und sind unter „gesperrte IP-Adressen“ gelistet. Ein Eintrag ist für 7 Tage gültig.
ARBL (Advanced Realtime Blacklist):
Der Advanced Realtime Blacklist Filter prüft den letzten Mailserver innerhalb des Mailflusses, also denjenigen, der die E-Mail dem Spamfinder zustellt.
Falls Sie Ihre E-Mails über ein eigenes Relay beziehen, muss dieses in der Konfiguration ausgeschlossen werden.
Fuzzy Filter:
Von REDDOXX entwickelter Filter, der den Inhalt der E-Mail mit bereits identifizierten Spammails vergleicht.
Dabei werden sowohl Patterns die über ein Honeypotverfahren ermittelt werden als auch die so erzeugte Reputation als Bewertungsgrundlage verwendet.
Die Freigabe von TCP über ausgehenden Port 55555 ist dabei zu beachten.
Im Logfile erkennt man die korrekte Funktionsweise des Fuzzy Filters, wenn in den jeweiligen Fuzzy Zeilen hinter dem „result“ ein Ergebnis über die Auswertung steht:
Fuzzy-Filter (64B44D65FB1) phase 1 (ex) 3248ms result: Major=clean Minor=normal Fallback=clean Virus=
Antispoofing:
Der Antispoofing Filter prüft, ob Empfänger- und Absenderadresse aus unterschiedlichen Netzen kommen aber zur gleichen Domain gehören.
Dies wäre ein Spoofing Angriff mit gefälschter Absenderdomain und wird somit bei aktiviertem Antispoofing gefiltert.
Antivirus Filter:
Als umfassendes Sicherheitssystem für E-Mails, beinhaltet die REDDOXX Appliance auch einen integrierten Virenschutz für Ihren E-Mail-Server.
Um die hohen Qualitätsstandards der Filter zu unterstreichen, wird hier der Virenschutz der Open Source Software von ClamAV verwendet.
RVC: Recipient Verify Check (Empfängerprüfung):
Der RVC-Filter prüft bereits während der E-Mail-Annahme (SMTP-Server-Dialog), ob die Empfängeradresse auf dem Zielsystem überhaupt bekannt ist.
Falls nicht, wird der Empfang bereits während des Zustellversuches abgelehnt.
Dadurch werden Spam-Attacken auf nicht existierende Postfächer abgefedert, ohne die Leistung Ihrer E-Mail-Server zu beeinträchtigen.
Die Quittierung erfolgt dabei mit: 550 Recipient not accepted (Unknown recipient: xxxx@domain.tld).
Die Empfängerprüfung wird im Gegensatz zu den anderen Filtern in den Einstellungen der Lokalen Internet Domänen vorgenommen.
CISS (Confirmation Interactive Site Server) ist ein einmaliger, mehrstufiger Kontrollvorgang, der den dauerhaften Austausch von erwünschten E-Mails zwischen Sender und Empfänger sicherstellt.
Stufe: E-Mail-Empfang, Prüfung auf Viren und Spam durch Anti-Spam-Filter und Ablage in temporären Speicher.
Versand einer Antwort-E-Mail an den Absender mit der Bitte um einmalige Autorisierung unter dem angegebenen Link.
Stufe: Aufforderung auf der Internetseite eine bestimmte Aktion auszuführen, die nur von einem Menschen, nicht aber von Spam-Robots ausgeführt werden kann.
Stufe: Rückmeldung vom Portal an den REDDOXX Spamfinder über die erfolgreiche Autorisierung und automatische Weiterleitung der E-Mail an den Empfänger.
Diese 3 Schritte werden durchgeführt, falls der Absender bisher unbekannt, oder noch keine CISS Challenge beantwortet hat
Bekannte Absender (die auf der AWL stehen) werden von der Appliance in Hinblick auf Spam / Viren / Trojaner geprüft, durchlaufen die CISS Prüfung allerdings nicht erneut