So funktioniert der weblucid Secure Mail Service

Spam-Erkennung, Stufe 1 (SMTP-Blocker)

Auf unterster Ebene, dem Mailübertragungsprotokoll SMTP, werden Kriterien geprüft, die als harte Verstöße bewertet werden und zum sofortigen Blockieren der Verbindung führen:

• Erkennung von schweren Verstößen gegen den SMTP-Standard
  Wehrt sowohl Spam als auch Viren ab, die von Computern aus versendet werden, die erheblich gegen die Email-Standards verstoßen.
• Blockierung ungültiger oder nicht vorhandener Absender
  Emails von Absenderadressen mit ungültigen oder nicht existierenden Domains werden gar nicht erst angenommen.
• Identifizierung bekannter Spam-Versender
  Ist ein Email-Versender in der Vergangenheit bereits durch den wiederholten Versand von Spam aufgefallen, so wird dieser in eine Datenbank aufgenommen (so genannte RBL - Realtime Black List). Unsere Systeme prüfen jede eingehende Mail-Verbindung gegen diese Datenbank und blocken die Verbindung ggf. bereits vor Beginn der Mail-Übertragung ab.
• Abwehr von Dial-In-Verbindungen
  Viele Spam-Versender nutzen Dial-In-Accounts, um in kurzer Zeit unerkannt massenhaft Emails zu versenden, ohne über die o.g. RBL-Datenbanken identifiziert werden zu können. Dynamisch vergebene und nur kurzzeitig existierende IP-Adressen dürfen sich nicht mit unseren Systemen daher verbinden.
  Legitime E-Mail-Benutzer, die sich aus dem Hotel oder von zu Hause in das Internet einwählen, um E-Mails zu versenden, sind davon nicht betroffen, da diese Benutzer Mails über ihren eigenen Mailserver versenden, der eine feste IP-Adresse besitzt.

Jede abgeblockte Email wird protokolliert. Datum, Uhrzeit, Absender und Grund der Ablehnung sind für den Empfänger jederzeit abrufbar.

Spam-Erkennung, Stufe 2 (Inhalts-Analyse)

Die zweite Methode zur Erkennung von Spam arbeitet mit weichen Faktoren, die erst in der Summe zur Klassifizierung einer Mail als Spam führen:

• Erkennung typischer Spam-Bestandteile
  Die charakteristischen Merkmale vieler Spam-Mails wie z.B. groß formatierte Schrift oder ein "click here"-Link werden in die Bewertung mit einbezogen. Selbstverständlich reicht dieses Kriterium noch lange nicht aus, um eine Mail als Spam zu klassifizieren.
• URL-Blacklisting
  Die in einer E-Mail enthaltenen URLs werden in Echtzeit mit Datenbanken abgeglichen, in denen typische Spammer-Links enthalten sind, z.B. Links auf Onlineshops für Viagra.
• Plausibilitätskontrolle
  Viele Spam-Versender wollen ihre E-Mails so aussehen lassen, als stammten sie von einem ganz gewöhnlichen Email-Programm, z.B. MS Outlook. Solche Versuche werden eben so erkannt wie ein Absendedatum, das in der Zukunft liegt.
• Statistische Analyse
  Mit dem so genannten bayesischen Algorithmus wird die Ähnlichkeit einer E-Mail zu bisherigen Spams und bisherigen legitimen E-Mails festgestellt. Herzstück dieser Prüfmethode ist eine Datenbank mit Mustern, die aus sehr vielen vorklassifizierten E-Mails extrahiert wurden. Somit werden auch Spams erkannt, die mit keiner der anderen Methoden eindeutig hätte identifiziert werden können.

Als Spam klassifizierte E-Mails werden im persönlichen Quarantäne-Bereich des Empfängers abgelegt und können auf Wunsch des Empfängers per Mausklick nachträglich zugestellt werden.

• Paralleler Einsatz verschiedener Viren-Scanner
• Identifizierung von
• Viren,
• Trojanern,
• Dialern,
• Downloadern  sowie
• Phishing-Attacken
• Update der Erkennungsmuster im 10-Minuten-Takt

Als infiziert klassifizierte E-Mails werden im persönlichen Quarantäne-Bereich des Empfängers abgelegt, da auch virenversuchte Emails vertrauliche oder personenbezogene Daten enthalten können. Der Empfänger kann die Mail jedoch zwecks Analyse per Mausklick in das Quarantänepostfach Ihres Administrators überstellen.

Ohne explizite Zustimmung des Benutzers erhält der Administrator zunächst nur eine kurze Mitteilung über das Vorliegen diese potenziellen Gefährdung, jedoch nicht den Inhalt der Mail selbst.

Mit diesem Feature schützen Sie Ihre Benutzer vor möglicherweise risikobehafteten Dateien, die über E-Mail in Ihre Netzwerk eindringen.

Wenn es in Ihrem Unternehmen per Richtlinie den Benutzern nicht gestattet ist, selbst Programme auf den PC zu laden, auszuführen oder zu installieren, können Sie dies mit dem weblucid Secure Mail Service wirkungsvoll auf technischer Ebene  unterstützen.

• Blockierung ausführbarer Dateitypen
  .exe, .vbs, .com, .bat, .pif, ... und viele weitere
• Identifizierung des tatsächlichen Inhalts, nicht bloß des Dateinamens (Extension)
  Manche Content-Filter-Produkte erkennen ausführbare Dateien nur an der Dateiendung (z.B. .exe), was viele Benutzer mittlerweile durch einfaches umbenennen (z.B. "spiel.exe" nach "spiel.doc") zu umgehen wissen.
  Der weblucid Content-Filter analysiert jedoch auch den tatsächlichen Inhalt der Datei und erkennt die ausführbare Datei auch dann, wenn sie umbenannt wurde.
• Erkennung von Dateien in Archiven (z.B. in ZIP-Dateien)
  Ausführbare Dateien werden selbst dann erkannt, wenn sie erst umbenannt und dann in ein Archiv eingepackt werden.
  Sogar in kennwort-geschützten und verschlüsselten ZIP-Files wird eine EXE-Datei noch entdeckt.

Alle E-Mails mit identifizierten ausführbaren Dateien werden zunächst in dem persönlichen Quarantäne-Bereich des Empfängers abgelegt, der darüber via Email informiert wird. Der Benutzer kann sich die Mail selbst (ohne Anhänge) ansehen und ggf. an den Administrator überstellen lassen, in dessen Verantwortung es dann liegt, die Mail an den Benutzer weiterzuleiten.

Auch der Absender erhält eine Nachricht, dass seine E-Mail auf Grund Ihrer Sicherheitsrichtlinien nicht direkt weitergeleitet werden konnte.

Um die möglicherweise vertraulichen Inhalte gegen fremden Zugriff zu schützen, sind alle unsere Server mit TLS-Verschlüsselung ausgestattet. Dabei werden die E-Mails während der Übertragung vom Absender auf unsere Systeme sowie von weblucid zu Ihrem Mailserver verschlüsselt übertragen. Vorausssetzung dafür ist, dass der jeweilige Kommunikationspartner ebenfalls Verschlüsselung aktiviert hat.

Im Gegensatz zur Client-basierten Verschlüsselung mit PGP oder S/MIME ist die Server-basierte TLS-Verschlüsselung mittlerweile auf allen modernen Mailservern standardmäßig implementiert, z.B. auf MS Exchange, Sendmail, Postfix, Qmail etc.

Die Verschlüsselung wird unabhängig von den Einstellungen einzelner Benutzer oder Mailprogramme standardmäßig bei jeder E-Mail durchgeführt und ist für Absender und Empfänger transparent.

Der weitaus größte Teil Ihre E-Mails, über 99%, werden vollautomatisch und ohne Ihr Zutun korrekt klassifiziert.

Sollte es doch einmal dazu kommen, dass eine legitime E-Mail fälschlicherweise herausgefiltert oder eine Spam-Mail zugestellt wurde, so können Sie oder Ihre Mitarbeiter auf einfache Art und Weise zukünftigen Fehlentscheidungen entgegenwirken.

Das weblucid Secure Mail Bewertungssystem verfügt über mehrere automatische sowie einen manuell beeinflussbaren Lernmechansimus und führt darüber hinaus sogenannte Whitelists, die von Ihnen vorgegebene Ausnahmen von der Spambehandlung angeben.

• Soft-Whitelisting und Soft-Blacklisting
  Hat ein Absender bereits mehrmals E-Mails an Sie gesendet, so werden zukünftige E-Mails des selben Absenders tendenziell ähnlich bewertet wie die bisherigen.
  Hier liegt die Annahme zu Grunde, dass ein Absender entweder nur legitime Mails oder nur Spam-Mails versendet. Einzelne Ausreißer werden in ihrer Bewertung um 50% abgemildert.
• Automatische Lernfunktion
  Jede E-Mail, die eine besonders extreme Bewertung als legitim oder Spam hatte, geht automatisch als Vergleichswert in die bayesische Datenbank zur statistischen Analyse ein. Der Datenschutz und die Vertraulichkeit bleiben dabei selbstverständlich gewahrt. Es ist nicht möglich, aus den ca. 300.000 gespeicherten Datenfragmenten auch nur zwei oder drei zusamenhängende Wörter zu rekonstruieren.
  Darüber hinaus setzt weblucid noch weitere Methoden zur Verbesserung der Analyseergebnisse ein.
• Manuelle Lernfunktion
  In einem der seltenen Fälle der falschen Klassifizierung können Sie unserem System die korrekte Klassifizierung der betroffenen Email beibringen, in dem Sie diese einfach an eine bestimmte Adresse weiterleiten. Die Mail wird dann automatisch analysiert und der bayesischen Datenbank zugeführt.
  Im Quarantänebereich ist die nachträgliche klassifizierung einer Mail als "Nicht-Spam" per Mausklick möglich.
• Manuelle Ausnahmen
  Wenn an Sie adressierte E-Mails durch den auf Protokoll-Ebene arbeitenden SMTP-Blocker abgelehnt wurden, können Sie den betroffenen Mailversender innerhalb weniger Sekunden selbst freischalten.

Spam

• Unverlangte Massen- und Werbe-Emails
  UBE (Unsolicited Bulk Emails) bzw. UCE (Unsolicited Commercial Emails) sind Sendungen, die Sie trotz fehlender Zustimmung zum Empfang oder trotz widerrufener Zustimmung erhalten. Typisches Kennzeichen ist häufig auch die gefälschte oder verschleierte Herkunft derartiger Emails, weswegen eine Abbestellung in nahezu allen Fällen unmöglich ist.
• Kollateral-Spam
  Dabei handelt es sich meistens um sogenannte Backscatter-Mails, die Sie erhalten, wenn eine Spam-Mail, bei der Ihre Email-Adresse als Absender missbraucht wurde, vom Empfänger abgelehnt wurde.

Betrug

• Phishing (Password Fishing)
  Diese Mails tragen den Namen einer Bank als (gefälschte) Absenderadresse und enthalten meist einen Hyperlink zu einer Website, die dem Login-Bereich des Online-Banking-Accounts zum Verwechseln ähnlich sieht. Mit den dort eingegebenen Daten räumen organisierte Banden dann die Konten der Opfer leer.
• Scam etc.
  Neben dem klassischen Onlinebanking-Phishing gibt es weitere Massenmail-Typen, die in betrügerischer Absicht versendet werden. So zum Beispiel die Scams der Nigeria-Connection, die hohe Provisionen bei angeblichen Millionentransfers versprechen.

Maliscious Code

• Viren
  Der Begriff "Virus", der häufig auch als Oberbegriff für Maliscious Code benutzt wird, bezeichnet eine das System oder die Daten schädigende Software, die sich selbsttätig ausbreitet.
• Würmer
  Als Wurm oder auch Email-Wurm wird ein Virus dann bezeichnet, wenn er sich selbst via Email verbreitet.
• Trojaner
  In Anlehnung an das Trojanische Pferd der Antike handelt es sich hierbei um Programme, die sich durch einen angeblichen oder tatsächlichen Nutzen attarktiv machen, jedoch zusätzlich vom Benutzer ungewollte Aktionen ausführen.
  Am gefährlichsten und am weitesten verbreitet sind Password-Stealer, die zunächst einen harmlosen Eindruck (z.B. Online-Telefonrechnung.pdf.exe) erwecken, nach Aktivierung jedoch die Kennwörter oder Bankdaten des Benutzers via Internet versenden.
• Spyware
  Diese meist in Trojanern enthaltene Programme spionieren das Verhalten des Benutzers oder seine Kennwörter aus und versenden sie via Internet.
• Adware
  Als eher harmlos gilt die Einblendung von Werbebannern zur Finanzierung von Software. Oftmals werden aber ohne Zutun des Benutzers Systemeinstellungen wie zum Beispiel die  Start- und Suchseite des Internetbrowsers verändert, um dem Auftraggeber Besucher und potenzielle Kunden zuzuführen. Die Grenze zwischen Adware und Trojanern ist fließend.

Ausführbare Anhänge

• Ausführbare Dateien
  (optional ein-/ausschaltbar)
  Geblockt werden Programmdateien (exe, com, binaries etc.), Scriptfiles (bat, cmd, vbs etc.) sowie weitere Dateitypen, die ausführbaren Code enthalten können, der durch Doppelklick aktiviert werden könnte.
• Verschleierte Dateien
  Der Filter erkennt ausführbare Dateien auch dann, wenn die Datei umbenannt wurde, beispielsweise von "programm.exe" in "programm.ixi".
• ZIP-Archive
  Ausführbare Dateien in ZIP-Archiven werden ebenfalls erkannt, sogar dann, wenn das Archiv verschlüsselt wurde, mit Kennwortschutz versehen ist oder die enthaltenen Datein umbenannt wurden.
• Andere Archive
  Neben dem bekannten ZIP-Format erkennt der Secure Mail Service viele weitere Archive und andere Arten, möglicherweise gefährliche Dateien sozusagen "huckepack" an den Sicherheitsrichtlinien vorbei zu schleusen.
  So werden z.B. als OLE-Object in Office-Dokumente eingebettete Dateien ebenfalls erkannt und ggf. blockiert.

Durch die Blockierung ausführbarer Dateien werden auch gerade erst ausgebrochene Viren (Zero-Day-Viren) gestoppt, die ansonsten noch keinem Antivirus-Programm bekannt sind.

Unnötige Mails: Der weblucid Bounce-Cache

Zusätzlich zu den oben erwähnten unerwünschten Mails werden Emails gestoppt, bei denen keine Chance auf Zustellung besteht.

Dies entlastet Ihre Mailserver, verhindert Mail-Schleifen und verbessert den Komfort für Ihre Anwender.

Der weblucid Secure Mail Service erkennt automatisch fehlgeschlagene Zustellungsversuche, nicht funktionierende Domains sowie nicht existierende Benutzer. Durch den von weblucid entwickelten Bounce-Cache erhält der Absender von nun an binnen Sekunden eine aussagekräftige Fehlermeldung, die er ansonsten erst nach Stunden oder Tagen erhalten hätte.

• Mails an nicht funktionierende Domains
  Mails an gar nicht existierende Domains werden sofort geblockt. Es gibt jedoch auch Domains, die zwar existieren, aber niemals Mails entgegennehmen. Anstatt, wie bei Fehlern üblich, die Zustellung der Mails über mehrere Tage regelmäßig zu versuchen, werden diese Mails direkt an den Absender zurückgesendet.
• Mails an nicht vorhandene externe Benutzer
  Automatische Antworten wie "bin bis zum ... im Urlaub" sind meist sehr sinnvoll, haben aber bei Newslettern oder Versandbenachrichtigungen von Online-Shops keinen Sinn, da diese Adressen meist keine Mails entgegennehmen. Der Secure Mail Service merkt sich diese und auch andere nicht anschreibbare Adressen.
• Mails an nicht vorhandene interne Benutzer
  Der weblucid Secure Mail Service weiß, welche Adressen es bei seinen Kunden gibt und welche nicht. Das geschieht vollautomatisch. Ein Import von Listen oder gar manuelles Pflegen ist nicht notwendig. Mails an Adressen, die es nicht gibt, werden gar nicht erst an den Kunden-Mailserver weitergeleitet sondern direkt inklusive Fehlermeldung an den Absender zurückgesendet.

Screenshots des Quarantäne-Systems