E-Mails aus dem Internet sicher erkennen

Die iQ.Suite liefert zur Erkennung von E-Mails aus dem Internet per Default eine Adressauswahlregel "InetSender" mit. Inhaltlich wird hier das "FROM"-Feld der E-Mail auf den Ausdruck *@*.* geprüft. In den meisten Fällen resultiert dies in einem zuverlässigen Ergebnis. Wird das "FROM"-Feld jedoch (meist von Spammern) mit falschen Angaben belegt, kann das Ergebnis völlig falsch ausfallen. Insbesondere dann, wenn Absendeadressen, die lokal vorhanden sind, verwendet werden. Beispielsweise werden in der Folge solche E-Mails von Anti-Spam-Jobs nicht mehr geprüft - diese laufen typischerweise nur für E-Mails, die von SMTP-Absendern (Auswahlregel InetSender) kommen. Um sicher zu gehen, dass die E-Mail aus dem Internet kommt, können weitere Felder der E-Mail ausgewertet werden.

SMTP-Mails unterscheiden sich gegenüber Notes-Nachrichten unter anderem im Vorhandensein der Felder "SMTPOriginator" und "Received". Wenn Ihre E-Mails von intern nicht über SMTP zugestellt werden, können diese Felder mithilfe zweier Notesformeln zur Identifizierung einer Internetmail genutzt werden:

a)
_NotEmpty:=SMTPOriginator!="";
@if(@iserror(_NotEmpty);@false;_NotEmpty)

b)
!@isNull(Received);

Im Beispiel wollen wir den Spam-Prüfjob nur für E-Mails laufen lassen, die aus dem Internet kommen.

• Erstellen Sie zwei Mail-Formelregeln mit den o. g. Formeln:

• Fügen Sie diese unter dem Punkt "Abhängigkeit von positiven Regeln" in Ihrem Spam-Prüfjob ein. Als logische Verknüpfung wählen Sie "Alle wahr":

Diese Konfiguration gewährleistet, dass künftig nur noch SMTP-Mails, also E-Mails, die nicht aus einem Notes-Umfeld kommen, geprüft werden. SMTP-Mails, die von Absendern auf unserer Whiteliste gesendet werden, sind von der Prüfung ausgenommen, um False Positives zu vermeiden.

Etwas aufwändiger gestaltet sich die Konfiguration, wenn man E-Mails, die von SMTP-Absendern zu kommen scheinen, die es in der eigenen Domäne gibt. Diese will man nicht nur auf Spam prüfen, sie sind allein schon aufgrund des Absenders als Spam einzustufen und können ohne weitere Prüfung in Quarantäne gestellt werden. Voraussetzung hierfür ist natürlich, dass interne E-Mails in Form von Notesmails versandt werden.

Es gibt mittlerweile wohl keinen Spammer mehr, der unter seiner echten Absenderadresse E-Mails versendet. Diese Fakemails oder Spoofingmails können durch unterschiedliche Maßnahmen als Spam erkannt und gefiltert werden.

Eines der zentralen Themen beim Aufbau eines Anti-Spam-Konzeptes in unseren Schulungen und Workshops ist das Filtern von Spam-E-Mail auf Grund von gefälschten Absenderadressen. Dies ist ein wichtiger Ansatz bei der Spambekämpfung, da im Anschluss aufwändige Inhaltsprüfungen unter Umständen nicht mehr nötig sind.