Handhabung von Spam

Das vom ITS betriebene Mailgateway (Cisco Ironport) markiert verdächtige Nachrichten durch Ergänzungen im Subject.

• [SUSPICIOUS MESSAGE]
• [SPAM DETECTED]

Emails mit erkannten Viren werden sofort vom Gateway gelöscht und der Empfänger wie auch der Sender werden über diesen Eingriff informiert.

Prinzipiell könnte das Spam-Tagging auch ausgeschaltet werden, dies würde dann aber für alle unsere Empfänger gelten. (Der Fachbereich hat sich entschieden das Subject-Tagging zu behalten.)

Unser nachgeschalteter Mailserver überprüft noch einmal mit Spamassassin und markiert verdächtige Nachrichten NICHT im Subject! nun auch im Subject. Es werden aber auch entsprechende Mail-Headers hinzugefügt:

• X-spam-flag: YES/NO
• X-spam-score: 6.9
• X-spam-level: ******
• X-spam-status: <Report>

Mit Hilfe von Sieve-Regeln kann man diese Header Abfragen und z.B. alle getaggten Mails in einen Ordner Spamverdacht verschieben, oder auch gleich in den Ordner Junk.

Wenn spamassassin einen Wert # ≥ 6.0 erreicht, wird auch um Subject ein Tag eingefügt: *SPAM* Score: #/6 <Subject>

Änderungen am Subject bewirken, dass DKIM-Signaturen oder DMARC unbrauchbar werden. Diese sollen das Erkennen von validen Emails erleichtern. – Wenn jedoch das Mailgateway eine Nachricht im Subject taggt, ist das Kind schon in den Brunnen gefallen.

Hinweis: Unser Mailserver flagt Emails mit einem Spamassassin-Score ab 6.0 als Spam.

Im ersten Beispiel werden alle als Spam getagten Emails einfach in den Ordner Junk verschoben.

require ["fileinto"];
# rule:[SpamIntoJunk]
# Move mails which Spamassassin tagged as spam into the "Junk" folder.
if header :contains "X-spam-flag" "YES" {
     fileinto "Junk";
}

Im zweiten Beispiel werden Mails ab einem Level von 6.0 in den Ordner /Spamverdacht verschoben. Sollte der Ordner noch nicht existieren, so wird er (durch :create) automatisch angelegt. Auf diese Weise kann man seinen eigenen Schwellenwert festlegen.

require ["fileinto","mailbox"];
 
# rule:[SpamIntoSpamverdacht]
# Move mails with a Spamassassin score of 6.0 or more into the folder "Spamverdacht".
if allof (header :contains "X-spam-level" "******") {
     fileinto :create "Spamverdacht";
}

Das dritte Beispiel ist wesentlich aggressiver, da Emails ab einem sehr hohen Wert von 15.0 einfach unwiederbringlich gelöscht werden. Emails automatisch zu löschen ist rechtlich problematisch, da sie dennoch als zugestellt betrachtet werden. Deshalb können wir ein solches Vorgehen nicht empfehlen.

require ["fileinto","envelope","mailbox"];
 
# rule:[SpamAccordingSeverity]
# Dump mails with a Spamassassin score of 15.0 or more.
# else move mails not from sbg.ac.at adresses with a Spamassassin score of 7.0 or more into the folder "Junk"
# else move mails with a Spamassassin score of 5.0 or more into the folder "Spamverdacht".
 
if header :contains "X-spam-level" "***************" {
     discard;
     stop;
} elsif allof (header :contains "X-spam-level" "*******",
               not anyof (envelope :is :domain "From" "sbg.ac.at",
                          envelope :is :domain "From" "stud.sbg.ac.at",
                          envelope :is :domain "From" "cosy.sbg.ac.at",
                          envelope :is :domain "From" "cs.sbg.ac.at",
                          envelope :is :domain "From" "dbresearch.uni-salzburg.at"
                         )
              ) {
     fileinto "Junk";
} elsif header :contains "X-spam-level" "*****" {             
     fileinto :create "Spamverdacht";
}

Spamassassin markiert Emails mit Hilfe des Headers “X-spam-flag” als Spam. Im IMAP gibt es eigene Flags, wie zum Beispiel “gelesen”,“gelöscht”,“nichtSpam” und eben auch “Spam”. Es liegt dann am Email-Client ob und wie diese Flags dargestellt werden (Thunderbird mit Flammen-Icon, Gnome Evolution durch rotes Durchstreichen).

require ["imap4flags"];
 
# rule:[SpamFlagging]
# IMAP flag mails which Spamassassin tagged as spam.
if header :contains "X-spam-flag" "YES" {
     addflag "Junk";
}