Header-Kontrolle
Das Modul zur Header-Kontrolle analysiert die einzelnen Felder im E-Mail-Header. Hierbei werden das SMTP- und MIME-Feld untersucht. SMTP-Felder werden vom E-Mail-Server festgelegt, MIME-Felder hingegen vom E-Mail-Client (der die E-Mail im MIME-Format kodiert).
Die Konfigurierung der Anti-Spam-Erkennung mit Hilfe von E-Mail-Headern erfolgt über den Knoten „Anti-Spam" > „Header-Kontrolle". Mit einem rechten Mausklick auf diesen Knoten rufen Sie die Eigenschaften für die Header-Kontrolle auf.
Screenshot 44 - Eigenschaften der Header-Kontrolle (1)
Optionen zum Überprüfen von Headern auf Spam-Merkmale
Die Registerkarte „Allgemein" im Dialogfenster „Eigenschaften der Header-Kontrolle" bietet Ihnen folgende Optionen:
1. Überprüft E-Mail-Header auf leeres MIME-Absenderfeld („FROM:") - Mit dieser Funktion wird geprüft, ob der Absender der E-Mail seinen Namen im "FROM:"-Feld angegeben hat. Fehlt der Absender, stammt die E-Mail vermutlich von einem Spammer.
2. Überprüft E-Mail-Header auf irreguläres MIME-Absenderfeld („FROM:") - Mit dieser Funktion wird kontrolliert, ob das MIME FROM-Feld eine korrekte Notation aufweist, d. h., ob es dem RFC-Format entspricht. Von Spammern wird die FROM-Adresse oftmals falsch oder fehlerhaft angegeben.
3. E-Mails mit einer Empfängerliste von mehr als X Personen als Spam markieren - Mit dieser Funktion werden E-Mails mit großen Empfängerlisten als Spam klassifiziert. E-Mails mit umfangreichen Empfängerlisten sind zumeist Kettenbriefe oder wurden von unerfahrenen Anwendern versehentlich an eine ganze Empfängergruppe verschickt.
4. E-Mails mit unterschiedlichen SMTP- und MIME-Empfängerfeldern („TO:") als Spam markieren: Mit dieser Funktion wird überprüft, ob die Angaben in den SMTP TO- und MIME TO-Feldern übereinstimmen. Der E-Mail-Server eines Spammers muss immer eine SMTP TO-Adresse angeben. Die MIME TO-Adresse ist oftmals jedoch nicht vorhanden oder unterschiedlich. Mit dieser Funktion können viele Spam-Mitteilungen abgefangen werden. Einige Listen-Server geben die MIME TO-Adresse jedoch ebenfalls nicht an. Aus diesem Grund muss bei Verwendung dieser Funktion die Absenderadresse eines Newsletters in die Whitelist aufgenommen werden, falls dieser als Spam markiert werden sollte. Dies kann über den Whitelist-Knoten erfolgen oder indem der Newsletter einfach per Drag-and-Drop in den öffentlichen Ordner „GFI Anti-Spam-Ordner" > „Diese Diskussionsliste abonnieren" verschoben wird.
5. E-Mail auf Remote-Images überprüfen - Eine weitere Methode von Spammern, Stichwort-Filter zu umgehen, sind so genannte „Nur-Bild-Mails". GFI MailEssentials kann E-Mails als Spam klassifizieren, die fast nur aus Bildern und kaum aus Text bestehen.
Screenshot 45 - Weitere Einstellungen für die Header-Kontrolle
6. Gültigkeit der Absender-Domäne überprüfen - Mit dieser Funktion können Sie eine DNS-Überprüfung für die im MIME FROM-Feld angegebene Domäne durchführen und feststellen, ob diese gültig ist. Trifft dies nicht zu, ist die Mitteilung mit größter Sicherheit eine Spam-Mail.
HINWEIS: Für diese Funktion muss der DNS-Server korrekt konfiguriert worden sein. Andernfalls treten Zeitüberschreitungen auf, und Mitteilungen werden nur sehr langsam verarbeitet. Zudem würden viele erwünschte E-Mails als Spam klassifiziert werden. Nach Aktivierung dieser Funktion können Sie DNS-Server und -Services durch Klick auf die entsprechende Schaltfläche testen. Nach dem Test informiert Sie ein Dialog über das Ergebnis.
7. Überprüfen, ob E-Mails mehr als X Ziffern im MIME FROM-Feld enthalten - In vielen Fällen kann bei mehr als 3 Ziffern im MIME FROM-Feld davon ausgegangen werden, dass der Absender ein Spammer ist. Dies liegt daran, dass Spam-Versender häufig spezielle Tools einsetzen, mit denen die Reply to-Adressen bei Hotmail oder anderen Free-Mail-Diensten automatisch erzeugt werden. Oftmals werden dabei 3 oder mehr Ziffern im Namen verwendet um sicherzustellen, dass die Reply to-Adresse eindeutig ist.
8. Kontrollieren, ob Betreffzeile den ersten Teil der Empfänger-Adresse enthält - Um eine Spam-Mail zu „personalisieren", wird von Spammern häufig der vor dem @-Zeichen stehende Benutzername des Empfängers in der Betreffzeile eingesetzt. Bitte beachten Sie, dass bei Verwendung dieser Funktion im Zusammenhang mit generischen Adressen wie Vertrieb@Unternehmen.de Probleme entstehen können. E-Mails von Kunden, die auf eine automatische Antwort mit dem Betreff „Ihre Anfrage an unseren Vertrieb" antworten, würden dann als Spam klassifiziert werden. Klicken Sie auf die Schaltfläche „Ausnahme", um dieses Problem zu umgehen, indem Sie Adressen angeben, für die diese Kontrolle nicht durchgeführt werden soll.
Screenshot 46 - Von der Prüfung ausgenommene E-Mail-Adressen
9. E-Mail auf verschlüsselte IP-Adressen überprüfen - Mit dieser Kontrolle wird nach einer URL gesucht, die eine hexadezimal/oktal verschlüsselte IP (z. B. http://0072389472/hello.com) aufweist oder eine Kombination aus Benutzername/Passwort enthält (z. B. www.citibank.com@scammer.com)
Diese Praktiken werden sowohl von Spammern als auch Hackern gerne eingesetzt. So würden folgende Beispiele als Spam klassifiziert werden:
http://12312
www.microsoft.com:hello%01@123123
Sprachidentifizierung
Screenshot 47 - Sprachidentifizierung
Die Registerkarte „Sprachen" im Dialog „Eigenschaften" der Header-Kontrolle enthält verschiedene Optionen zur Sprachidentifizierung. Viele Spam-Mails sind nicht in der Sprache des Empfängers verfasst und enthalten fremde Schriftzeichen, z. B. aus dem asiatischen Raum. Mit Hilfe der Registerkarte „Sprachen" können Sie E-Mail mit fremden Schriftzeichen blockieren. (GFI MailEssentials kann jedoch nicht zwischen Italienisch und Französisch unterscheiden, da sie die gleichen Schriftzeichen verwenden. Eine Identifizierung ist nur bei Sprachen mit nicht-lateinischen Schriftzeichen möglich.)
Registerkarte „Aktionen"
Nachdem Sie die Header-Kontrolle konfiguriert haben, klicken Sie auf die Registerkarte „Aktionen", um festzulegen, was mit E-Mails geschehen soll, die von diesem Filter als Spam klassifiziert wurden. Weitere Informationen zu möglichen Aktionen erhalten Sie unter „Aktionen - Umgang mit Spam-Mail" in diesem Kapitel.
Registerkarte „Weitere Optionen"
Nähere Informationen zu dieser Registerkarte erhalten Sie unter „Weitere Optionen" in diesem Kaptitel.
