Hijacking-Erkennung

Erkennung des Hijackings von Benutzerkonten

Die Optionen in diesem Abschnitt dienen dazu, zu erkennen, ob ein Benutzerkonto von MDaemon möglicherweise gehijackt oder sonst kompromittiert wurde, und sodann den weiteren Versand von Nachrichten von diesem Benutzerkonto aus über Ihren Server automatisch zu unterbinden. Ein Beispiel für ein solches Hijacking ist, dass ein Spam-Versender sich die E-Mail-Adresse und das Kennwort eines Benutzerkontos verschafft; die Leistungsmerkmale zum Erkennen dieses Hijackings können dann den Spam-Versender daran hindern, von dem "gekaperten" Benutzerkonto aus massenhaft Spam- und Junk-Nachrichten über Ihren Server zu versenden. Sie können bestimmen, wie viele Nachrichten ein Benutzerkonto während einer in Minuten festgelegten Zeitspanne versenden darf, und Sie können wahlweise das Benutzerkonto sperren lassen, sobald diese Grenze erreicht wurde. Mithilfe einer Weißen Liste können Sie außerdem bestimmte Adressen von diesen Beschränkungen und Maßnahmen ausnehmen.

Die Erkennung des Hijackings von Benutzerkonten wirkt nur auf lokale Benutzerkonten und nur, soweit diese echtheitsbestätigte Verbindungen nutzen. Das Benutzerkonto des Postmasters ist von diesem Leistungsmerkmal automatisch ausgenommen.

Versand durch reservierte IPs begrenzen auf [x] Nachrichten binnen [x] Minuten

Diese Option begrenzt die Anzahl der Nachrichten, die in dem hier angegebenen Zeitraum durch MDaemon-Benutzerkonten versendet werden dürfen. Sie wirkt auf alle Nachrichten, die von reservierten IP-Adressen aus über die MDaemon-Benutzerkonten versendet werden. Die Definition der reservierten IP-Adressen entspricht dabei weitgehend den einschlägigen RFCs (etwa 127.0.0.*, 192.168.*.*, 10.*.*.*, 172.16.0.0/12, ::1, FD00::/8, FEC0::/10 und FE80::/64).

Versand durch lokale IPs begrenzen auf [x] Nachrichten binnen [x] Minuten

Diese Option begrenzt die Anzahl der Nachrichten, die in dem hier angegebenen Zeitraum durch MDaemon-Benutzerkonten versendet werden dürfen. Sie wirkt auf alle Nachrichten, die von lokalen IP-Adressen aus über die MDaemon-Benutzerkonten versendet werden. Als lokale IP-Adressen werden dabei alle IP-Adressen behandelt, die für eine beliebige lokale MDaemon-Domäne als lokale IP-Adressen eingetragen sind.

Versand durch alle anderen IPs begrenzen auf [x] Nachrichten binnen [x] Minuten

Diese Option begrenzt die Anzahl der Nachrichten, die in dem hier angegebenen Zeitraum durch MDaemon-Benutzerkonten versendet werden dürfen. Sie wirkt auf alle Nachrichten, die von sonstigen IP-Adressen aus versandt werden, die nicht unter eine der beiden oben stehenden Einstellungen fallen.

Zugriff begrenzen auf [x] Verbindungen von verschiedenen IPs binnen [x] Minuten

Diese Option begrenzt die Anzahl der Verbindungen, die im hier angegebenen Zeitraum von verschiedenen IP-Adressen aus auf dasselbe Benutzerkonto zulässig sind. Der Arbeitsweise dieser Option liegt die Annahme zugrunde, dass in bestimmten Zeitabschnitten nicht beliebig viele Verbindungen von unterschiedlichen IP-Adressen aus mit demselben Benutzerkonto hergestellt werden. Wird beispielsweise innerhalb von fünf Minuten von 10 verschiedenen IP-Adressen aus auf dasselbe Benutzerkonto zugegriffen, so spricht dies dafür, dass es sich nicht mehr um eine normale Nutzung handelt, sondern dass das Benutzerkonto gehijackt wurde. Diese Option ist per Voreinstellung abgeschaltet.

 

LAN-IPs in Begrenzungen für lokale IPs einbeziehen

Diese Option bewirkt, dass LAN-IPs in die Option "Versand durch lokale IPs begrenzen..." weiter oben einbezogen werden. Sie ist per Voreinstellung aktiv. Falls Sie die LAN-IPs nicht in die Begrenzung für lokale IPs einbeziehen wollen, deaktivieren Sie diese Option.

Nach Erreichen der Grenze 5xx übermitteln (bei deaktivierter Option wird 4xx übermittelt)

Diese Option bewirkt, dass MDaemon nach Erreichen einer oben festgelegten Grenze an das gehijackte Benutzerkonto den Meldungskode 5xx sendet. Falls Sie stattdessen einen Meldungskode 4xx senden wollen, deaktivieren Sie diese Option.

Nach Erreichen der Grenze Benutzerkonten einfrieren

Diese Option bewirkt, dass Benutzerkonten eingefroren werden, sobald einer der vorstehend bestimmten Grenzwerte überschritten ist. Tritt dieser Fall ein, so meldet der Server der Gegenstelle den Fehler 552 und trennt sofort die Verbindung; danach wird das Benutzerkonto eingefroren. Es kann dann keine Nachrichten mehr versenden und abrufen. MDaemon nimmt jedoch weiterhin die für das Benutzerkonto eingehenden Nachrichten entgegen. Der Postmaster wird per E-Mail davon informiert, dass das Benutzerkonto eingefroren wurde. Er kann durch Antwort auf die Benachrichtigung das Benutzerkonto wieder freischalten.

Weiße Liste

Mithilfe der Weißen Liste können Sie Adressen von der Erkennung des Hijackings von Benutzerkonten ausnehmen. Jokerzeichen sind zulässig. Einige Beispiele hierzu: "newsletter@example.com" nimmt das MDaemon-Benutzerkonto "newsletter" in der Domäne example.com aus. "*@newsletter.example.com" nimmt hingegen alle MDaemon-Benutzerkonten aus der Domäne newsletter.example.com aus. Das Konto des Postmasters ist von der Erkennung des Hijackings von Benutzerkonten automatisch ausgenommen.

 

Änderung der Absenderkopfzeile From

Dieses Leistungsmerkmal ändert die Absenderkopfzeile "From:" eingehender Nachrichten aus Sicherheitsgründen so, dass im Namensfeld der Absenderkopfzeile, das üblicherweise nur den Namen enthält, sowohl der Name als auch die E-Mail-Adresse erscheinen. Das Leistungsmerkmal will verhindern, dass Benutzer über die Absender eingehender Nachrichten getäuscht werden und meinen, dass eine Nachricht von einer bestimmten Person stammt, wohingegen sie tatsächlich beispielsweise von einem Angreifer gesandt wurde. Eine solche Täuschung wird durch den Umstand begünstigt, dass viele E-Mail-Clients nur den Namen des Absenders und nicht auch seine E-Mail-Adresse anzeigen. Der Empfänger sieht die eigentliche E-Mail-Adresse üblicherweise erst, wenn er die Nachricht geöffnet oder einen sonstigen Vorgang durchgeführt hat, etwa, das Kontextmenü zu öffnen, oder den Mauszeiger auf dem Eintrag stehen zu lassen. Aus diesem Grund erstellen Angreifer E-Mail-Nachrichten oft so, dass in dem sichtbaren Feld der Absenderkopfzeile "From:" ein legitim erscheinender Name einer Person oder eines Unternehmens erscheint, wohingegen die E-Mail-Adresse, die Hinweise auf eine missbräuchliche Verwendung gibt, nicht angezeigt wird. So kann beispielsweise die Absenderkopfzeile "From:" einer Nachricht "Ehrenwerte Bank und Treuhand" <langfinger.klepto@example.com> lauten, woraufhin der E-Mail-Client nur den Teil "Ehrenwerte Bank und Treuhand" als Absender anzeigt. Dieses Leistungsmerkmal ändert daher den sichtbaren Teil der Absenderkopfzeile, um eine solche Täuschung offenzulegen und beide Datenelemente anzuzeigen. In dem genannten Beispiel erscheint dann der Absender beim Empfänger als ""Ehrenwerte Bank und Treuhand (langfinger.klepto@example.com)" <langfinger.klepto@example.com>" und zeigt damit dem Empfänger an, dass die Nachricht missbräuchlich versandt wurde.

Absenderkopfzeile From ändern

Diese Option bewirkt, dass der Teil der Absenderkopfzeile "From:", der dem Empfänger angezeigt wird, in eingehenden Nachrichten geändert wird. Er enthält nach der Änderung sowohl den Namen wie auch die E-Mail-Adresse des Absenders. Durch diesen Vorgang ändert sich der Inhalt der Kopfzeile nach folgendem Schema: "Name des Absenders" <postfach@example.com> wird zu "Name des Absenders (postfach@example.com)" <postfach@example.com>. Diese Änderung wird nur in Nachrichten an lokale Benutzer durchgeführt, und sie ist per Voreinstellung abgeschaltet. Diese Option sollte umsichtig genutzt werden, da manche Benutzer eine solche Änderung des Absenders unter Umständen ablehnen, auch wenn sie ihnen bei der Erkennung missbräuchlicher Nachrichten helfen kann.

E-Mail-Adresse dem Namen voranstellen

Ist doe Option Absenderkopfzeile From ändern weiter oben aktiv, so können Sie mithilfe dieser Option die Reihenfolge von Namen und E-Mail-Adressen in den geänderten Absenderkopfzeilen vertauschen. Die E-Mail-Adresse erscheint dann an erster Stelle. In dem oben angeführten Beispiel "Name des Absenders" <postfach@example.com> ergibt sich dann "postfach@example.com (Name des Absenders)" <postfach@example.com>.