Die Outbreak Protection (OP), der Schutz gegen Massenangriffe, ist Teil des optional erhältlichen Leistungsmerkmals MDaemon AntiVirus. Wenn Sie MDaemon AntiVirus erstmals aktivieren, beginnt hierdurch ein 30 Tage dauernder Testzeitraum. Lizenzen für dieses Leistungsmerkmal können Sie über Ihren autorisierten Reseller für MDaemon oder auf der Website www.mdaemon.com kaufen.

Sie erreichen den Konfigurationsdialog für die Outbreak Protection (OP) über das Menü Sicherheit auf der Benutzeroberfläche von MDaemon (Sicherheit » Outbreak Protection... oder Strg+Umschalt+1). Die OP ist ein revolutionäres, in Echtzeit arbeitendes System zum Schutz gegen Spam, Viren und Phishing. Seine Technologie kann die durch MDaemon getragene E-Mail-Infrastruktur vorausschauend, automatisch und binnen weniger Minuten nach Beginn eines Massenangriffs schützen.

Die Outbreak Protection arbeitet vollständig unabhängig von den Inhalten; sie stützt sich insbesondere nicht auf eine nur lexikalische Analyse von Nachrichten-Inhalten. Aus diesem Grund benötigt sie keine heuristischen Regeln, keinen Inhaltsfilter und keine Aktualisierung von Signaturen. Sie ist kann daher auch nicht durch zusätzlich eingestreuten gezielt ablenkenden Text, bewusste Abweichungen von der Normschreibweise, Strategien des Social Engineerings, Sprachbarrieren und Unterschieden in der verwendeten Kodierung umgangen werden. Die OP stützt sich auf die durch Cyren entwickelten Techniken zur Erkennung wiederkehrender Verhaltensmuster ("Recurrent Pattern Detection") und zum Schutz in Echtzeit ("Zero-Hour"). Die OP wertet Nachrichtenstrukturen und die Charakteristik der Nachrichtenübermittlung über SMTP mathematisch aus und analysiert dabei Muster der Übermittlung von E-Mail-Nachrichten. Die so gewonnenen Datenmuster werden mit ähnlichen Mustern verglichen, die aus Millionen von E-Mail-Nachrichten weltweit gewonnen, analysiert und in Echtzeit verglichen werden. Beachte: Die OP übermittelt nie die eigentlichen Inhalte der Nachrichten, und die Inhalte der Nachrichten lassen sich auch nicht aus den gewonnenen Datenmustern herleiten.

Da die Nachrichten weltweit in Echtzeit analysiert werden, kann der Schutz binnen Minuten, oft binnen Sekunden, nach Beginn eines neuen Massenangriffs oder Ausbruchs bereit gestellt werden. Bei Viren ist dieses Schutzniveau besonders wichtig, da die Hersteller herkömmlicher AntiVirus-Lösungen oft erst Stunden nach Beginn eines Massenangriffs aktualisierte Virensignaturen prüfen und bereit stellen können, und da es noch länger dauern kann, bis solche Aktualisierungen dann im Wirkbetrieb eingesetzt werden. Während dieser Zeiträume sind Server ohne Outbreak Protection für den jeweiligen Massenangriff verwundbar. Bei Spam-Nachrichten stellt sich die Situation vergleichbar dar; es kostet oft Zeit und Aufwand, Spam zu analysieren und hieraus funktionssichere Filterregeln zu erstellen, damit die Spam-Nachrichten von herkömmlichen heuristischen und inhaltsgestützten Systemen erkannt werden können.

Es ist jedoch wichtig, zu bedenken, dass das Leistungsmerkmal Outbreak Protection keinen Ersatz für herkömmliche Techniken zur Abwehr von Viren, Spam und Phishing darstellt. Vielmehr bietet die OP eine zusätzliche besondere Schutzschicht, die die bestehenden heuristischen, Signatur- und Inhalts-gestützten Techniken in MDaemon ergänzt. Insbesondere ist die OP darauf ausgerichtet, umfangreiche Massenangriffe und Ausbrüche zu behandeln, wohingegen bereits länger bekannte, nur im Einzelfall auftretende oder besonders zielgerichtete Nachrichten durch die herkömmlichen Leistungsmerkmale besser erkannt werden können.

Outbreak Protection

Outbreak Protection aktivieren

Diese Option aktiviert Outbreak Protection auf dem Server. Eingehende Nachrichten werden dann analysiert, um festzustellen, ob sie Teil eines laufenden Massenangriffs mit oder Ausbruchs von Viren, Spam oder Phishing sind. Die folgenden Optionen in diesem Konfigurationsmenü legen fest, wie mit Nachrichten zu verfahren ist, wenn sie als Teil eines Massenangriffs erkannt werden. Auch die Absender, deren Nachrichten von der Prüfung auf Massenangriffe ausgenommen sein sollen, werden hier festgelegt.

Viren werden...

in Echtzeit abgewiesen

Falls gewünscht ist, dass Nachrichten bereits während der SMTP-Übertragung abgewiesen werden, wenn festgestellt wird, dass sie Teil eines Virenangriffs sind, so muss diese Option aktiv sein. Die Nachrichten werden dann weder in Quarantäne gegeben noch an ihre Empfänger zugestellt; sie werden direkt vom Server abgewiesen.

in Quarantäne gegeben

Diese Einstellung bewirkt, dass Nachrichten auch dann entgegen genommen werden, wenn sie als Teil eines Massenangriffs erkannt werden. Die Nachrichten werden dann zwar nicht abgewiesen, aber auch nicht an die Empfänger zugestellt. Statt dessen werden sie in Quarantäne gegeben und im Quarantäne-Ordner abgelegt.

Spam wird...

in Echtzeit abgewiesen

Sollen Nachrichten durch den Server bereits während der Zustellung abgewiesen werden, wenn der Schutz gegen Massenangriffe bestätigt hat, dass sie Teil eines Massenangriffs mit Spam sind, so muss diese Option aktiv sein. Die Nachrichten werden dann nicht als Spam gekennzeichnet und zugestellt, sie werden direkt während der SMTP-Übermittlung durch den Server abgewiesen. Nachrichten, die der Schutz gegen Massenangriffe als "Massensendung" ("bulk") einstuft, werden durch diese Funktion nur dann abgewiesen, wenn die Option Beim Abweisen von Spam auch Nachrichten abweisen, die als "Massensendungen" eingestuft werden aktiv ist. Nachrichten, die der Schutz gegen Massenangriffe als "Massensendungen" einstuft, können einfach Teil bestimmter sehr umfangreicher Mailinglisten oder sonstiger weit verbreiteter Inhalte sein, sodass der Empfänger solche Nachrichten nicht als Spam ansehen muss. Aus diesem Grund sollten Massensendungen normalerweise durch den Schutz gegen Massenangriffe nicht abgewiesen oder mit einer ungünstigeren Spam-Bewertung versehen werden.

angenommen und später gefiltert

Diese Option bewirkt, dass Nachrichten angenommen werden, auch wenn der Schutz gegen Massenangriffe bestätigt, dass die Nachrichten Teil eines Massenangriffs mit Spam sind. Die Nachrichten können dann durch Spam- und Inhaltsfilter verarbeitet werden. Die Nachrichten werden durch den Schutz gegen Massenangriffe nicht abgewiesen; ihre Spam-Bewertung wird in Übereinstimmung mit den Einstellungen zur Spam-Bewertung weiter unten angepasst.

Die Einstellung angenommen und später gefiltert bewirkt zwar, dass der Schutz gegen Massenangriffe die Nachrichten nicht selbst direkt abweist, verhindert aber nicht, dass MDaemon Nachrichten seinerseits während der SMTP-Übertragung abweist, falls der Spam-Filter entsprechend konfiguriert ist und die Spam-Bewertung den im Konfigurationsdialog Spam-Filter eingestellten Schwellwert überschreitet.

Bewirkt die Bewertungs-Einstellung weiter unten beispielsweise, dass die Spam-Bewertung einer Nachricht 15,0 beträgt, und ist der Spam-Filter so konfiguriert, dass er Nachrichten mit einer Bewertung ab 15,0 bereits während der SMTP-Übertragung abweist, dann wird die Nachricht bereits während der Übermittlung abgewiesen, nicht aber angenommen und später gefiltert.

Bewertung

Bei Nutzung der Option angenommen und später gefiltert wird der hier eingetragene Wert der Spam-Bewertung einer Nachricht hinzugerechnet, falls der Schutz gegen Massenangriffe bestätigt, dass die Nachricht Teil eines Massenangriffs mit Spam ist.

Durch IWF erfasste Inhalte

Die folgenden Optionen beziehen sich auf Inhalte, die durch die Internet Watch Foundation (IWF) als Verweise auf Sites erkannt werden, die den Missbrauch von Kindern bildlich darstellen (etwa Sites mit Kinderpornographie). Sie ermöglichen es dem Schutz gegen Massenangriffe, eine URL-Liste zu nutzen, die die IWF bereitstellt, und damit Nachrichten zu erkennen und zu kennzeichnen, die auf die fraglichen Inhalte verweisen. Die IWF betreibt eine unabhängige Anlaufstelle, bei der möglicherweise rechtswidrige Online-Inhalte, insbesondere Kinderpornographie, weltweit gemeldet werden können. Die IWF arbeitet mit der Polizei, verschiedenen Behörden, der Online-Industrie im weiteren Sinne und der Öffentlichkeit zusammen, um die Verfügbarkeit rechtswidriger Online-Inhalte zu bekämpfen. Die URL-Liste der IWF wird täglich aktualisiert und um neue Sites erweitert, die Bilder von Kindesmissbrauch anbieten.

Viele Unternehmen und sonstige Organisationen haben interne Richtlinien, die bestimmen, welche Arten von Inhalten ihre Angestellten und Mitarbeiter per E-Mail senden und empfangen dürfen. Insbesondere pornographische und rechtswidrige Inhalte sind dabei oft verboten. In vielen Ländern sind darüber hinaus Versand und Empfang solcher Inhalte gesetzlich unzulässig. Die folgenden Funktionen können dabei helfen, die Einhaltung solcher Regelungen und Gesetze sicherzustellen.

Nähere Informationen über die IWF sind verfügbar unter:

http://www.iwf.org.uk/

Durch IWF erfasste Inhalte werden...

in Echtzeit abgewiesen

Diese Option bewirkt, dass eingehende Nachrichten bereits während der SMTP-Übermittlung abgewiesen werden, falls sie Inhalte enthalten, die durch die IWF erfasst sind.

angenommen und später gefiltert

Diese Option bewirkt, dass die Spam-Bewertung von Nachrichten verschlechtert wird, falls sie Inhalte enthalten, die durch die IWF erfasst sind. Die Nachrichten werden dann nicht abgewiesen. Die Bewertung wird um den im Feld Bewertung festgelegten Wert erhöht.

Bewertung

Ist die Option angenommen und später gefiltert weiter oben aktiv, so wird der Spam-Filter-Bewertung der Nachrichten der hier festgelegte Wert hinzugerechnet, falls sie Inhalte enthalten, die durch die IWF erfasst sind.

Beim Abweisen von Spam auch Nachrichten abweisen, die als "Massensendungen" eingestuft werden

Der Schutz gegen Massenangriffe spricht gelegentlich auf Nachrichten an, die als Spam angesehen werden können, obwohl sie nicht durch einen bekannten Spam-Versender oder ein Bot-Netz versandt wurden. Dies kann insbesondere auf legitime Newsletter und Mailinglisten zutreffen. Der Schutz gegen Massenangriffe stuft solche Nachrichten nicht als "Spam (bestätigt)" ("Spam [confirmed]") sondern als "Spam (Massenversand)" ("Spam [bulk]") ein. Um die Abwehrfunktionen des Schutzes gegen Massenangriffe auch auf den Massenversand anzuwenden, muss diese Option aktiv sein. Ist die Option nicht aktiv, so beziehen sich die Abwehrmaßnahmen nur auf bestätigten Spam. Soll auf einem System Massen-E-Mail empfangen werden, und können die Quellen oder die Empfänger nicht in die Weißen Listen eingetragen werden, so kann es erforderlich sein, diese Option zu deaktivieren und Nachrichten zunächst anzunehmen, wenn ihre Quelle nicht einwandfrei als Spam-Versender identifiziert wurde.

Verbindungen zur Nachrichtenübermittlung trennen, nachdem Viren, Spam oder durch IWF erfasste Inhalte abgewiesen wurden

Diese Option bewirkt, dass eine Verbindung zur Nachrichtenübermittlung getrennt wird, nachdem eine Nachricht abgewiesen wurde, weil sie Viren enthielt, als Spam eingestuft wurde, oder durch die IWF erfasste Inhalte enthielt.

OP-Aktivität im Plugin-Protokoll von MDaemon protokollieren

Soll die Aktivität des Schutzes gegen Massenangriffe im Plugin-Protokoll erfasst werden, so muss diese Option aktiv sein.

Ausnahmen

Echtheitsbestätigte SMTP-Verbindungen sind von OP-Verarbeitung ausgenommen

Ist diese Option aktiv, so sind SMTP-Verbindungen mit Echtheitsbestätigung von der Bearbeitung durch den Schutz gegen Massenangriffe ausgenommen. Der Schutz wird für Nachrichten aus echtheitsbestätigten Verbindungen nicht wirksam.

SMTP-Verbindungen von vertrauten IPs sind von OP-Verarbeitung ausgenommen

Ist diese Option aktiv, so sind Verbindungen, die von vertrauten IP-Adressen ausgehen, von der Bearbeitung durch den Schutz gegen Massenangriffe ausgenommen. Der Schutz wird für Nachrichten, die von vertrauten IP-Adressen aus übermittelt werden, nicht wirksam.

Durch SPF/DKIM erfolgreich geprüfte Nachrichten sind von OP-Verarbeitung ausgenommen

Diese Option bewirkt, dass Nachrichten von der Verarbeitung durch den Schutz gegen Massenangriffe ausgenommen sind, falls sie durch SPF oder DKIM erfolgreich geprüft wurden und die Absenderdomäne in der Liste zugelassener Domänen erfasst ist.

Adressen der Spam-Honeypots und Adressen aus der Weißen Liste des Spam-Filters sind von OP-Verarbeitung ausgenommen

Diese Option bewirkt, dass die Spam-Honeypots und die Weißen Listen des Spam-Filters von der Verarbeitung durch Outbreak Protection ausgenommen sind. "Weiße Listen" bezieht sich dabei auf die Empfänger oder den Parameter des Befehls RCPT, der während der SMTP-Verbindung übermittelt wird. Die Weißen Listen für Absender beziehen sich dabei auf den Absender oder den Parameter des Befehls MAIL, der während der SMTP-Verbindung übermittelt wird. Diese Vorgänge werden nicht durch Inhalte aus den Kopfzeilen der Nachrichten gesteuert.

Falsche positive und falsche negative Treffer

Falsche positive Treffer, die dazu führen, dass normale Nachrichten irrtümlich als Teil eines Massenangriffs erkannt werden, sollten, wenn überhaupt, nur sehr selten auftreten. Sollte es doch zu einem falschen positiven Treffer kommen, so kann der Systemverwalter die fälschlich erkannte Nachricht im Falle falscher positiver Treffer bei Spam und Phishing an spamfp@mdaemon.com und bei Viren an virusfp@mdaemon.com übermitteln, sodass Alt-N die Erkennungs- und Einstufungsverfahren verfeinern kann.

Falsche negative Treffer, die dazu führen, dass Nachrichten irrtümlich nicht als Teil eines Massenangriffs erkannt werden, werden häufiger auftreten als falsche positive Treffer. Dabei ist aber zu beachten, dass der Schutz gegen Massenangriffe nicht darauf ausgelegt ist, alle Spam-Nachrichten, Virenangriffe und ähnliche Nachrichten abzufangen; er bietet lediglich eine weitere Schutzschicht, die sich speziell gegen Massenangriffe richtet. Alte Nachrichten, besonders auf die Empfänger abgestimmte Nachrichten und ähnliches erkennt der Schutz gegen Massenangriffe unter Umständen nicht. Solche Nachrichten sollten aber durch die anderen Funktionen von AntiVirus und MDaemon, die in der Verarbeitungskette später wirksam werden, erkannt werden. Sollte ein falscher negativer Treffer auftreten, kann der Systemverwalter jedoch auch solche Nachrichten im Falle falscher negativer Spam- und Phishing-Nachrichten an spamfn@mdaemon.com und bei Viren an virusfn@mdaemon.com senden, damit auch hier die Erkennungs- und Einstufungsverfahren verbessert werden können.

Werden falsch eingestufte Nachrichten an Alt-N übermittelt, so sollen sie als MIME-Dateianlage versandt und nicht einfach weitergeleitet werden, sonst gehen Kopfzeilen und andere für die Einstufung entscheidende Daten verloren.