@plumpsackplumpsack hat geschrieben: ↑21 Mär 2023, 18:16 @tstimper
könntest du mir mal bitte erklären:
A) wie wird da SPAM gefiltert, da es sich ja um "Anti-Spam-Services" handelt ?
- ist da eine Liste ersichtlich?
- eigentlich wird SPAM direkt beim ISP zurückgewiesen.
B) welcher Content wird da gefiltert?
- ist da eine Liste ersichtlich?
- wer bestimmt den "Content"?
zu A)
beim Anti-SPAM Service wird eine Email beim oder nach dem Eintreffen bein SMTP Server auf SPAM Merkmale geprüft.
Die Merkmale einer Email werden prinzipiel erstmal gewichtet.
z.b. SPF Record Check
- kommt die Emal von einem Server der im SPF Record der Sender Domain steht? -> Mail warscheinlich ok -> früfen auf weiterer Merkmale
- kommt die Email von einem Server , der nihct im SPF Recort der Sender Domain steht -> Email mit hoger Wascheinlickkeit SPAM oder Schlimmeres...> Email abweisen oder zumindest in die Quarantine verschieben (zur Prüfung durch den Admin)
z.B. IP Adresse des Senders ist nicht vertrauenswürdig -> IP Reputation Check -> Email wird geblockt
Es kann zum Beispiel sein, das ein eigentlich vertrauenswürdiger SMTP Server aufgrund eines Konfigurationsfehlers als Relay Server misbraucht wurde
und massenhaft SPAM versendet. Das reporten Systeme und User an die jeweiligen Anbieter und schon landet der Server auf einer Blockliste.
Es geht auch einfacher, ich habe mal an einen Email Verteiler von ca 250 Empfängern dreimal kurz hintereinander Terminänderungs Emails geschickt.
Da waren wir zwar nicht auf einer Blockliste, aber die Telekom hat unseren Business Anschluss ausgehend auf Port 25 SMTP geblockt.
SPAM Check kann überall auf dem Weg, auch beim Provider, erfolgen. Eine Kontrolle hat man nur beim eigenen Anti-SPAM-Gateway.
Deshalb macht man das am besten selbst und kann dann auch Logs analysieren und sieht, warum Emails nicht durchkommen.
Bei LANCOM macht das die UF-xxx.
Die muss nun irgendwie wissen, was nun gute und was schlechhte Emails sind. Früher, also vor 15-20 Jahren, hat das ein Gateway im wesentlichen dadurch gelernt, das die Nutzer Emails als SPAM (schlecht) oder HAM (gut) gekennzeichnet haben.
Später haben die Gateways die Information darüber untereinander austauschen können.
Und dann haben sich Anbieter wie Cyren (früher Comtouch) , Bitdefender, IBM X-Force, Cisco Talos usw. gebildet, die zentrale Lösungen zum Wichten der Emails anbieten. Diese Dienste verkaufen sie auch an OEMs, die das dann in die jeweiligen Produkte einbauen.
Wenn nun eine Email eine Sophos, Securepoint, LANCOM UF, was auch immer erreicht, werden Merkmale wir Sender IP und Domain, enthaltene Links,
ggf Hash Werte usw. an die jeweiligen OEM Partner, in diesen drei Fällen Cyren, per API und oder DNS Requests weitergeleitet.
Cyren meldet dann, ob die Email ok oder problematisch aus deren Sicht ist. Den SPF Check macht das Gateway selbst, für Antivirus wird dann wieder ein anderer OEM wie Bitdefender, Avira oder einfach das freie ClamAV genutzt. Das macht jeder Gateway hersteller wie er will.
Der Punkt ist: Jemand zentrales wertet ständig die Email merkmale aus, wichtet die und meldet dann das Ergebnis ain die Gateways zurück.
Das Gateway entscheidet, was es dmit der Meilung macht.
Also sogut wie jeder Firewall und Email gateway Hersteller, der nicht selbst auch Antivirus / AntiSPAM Hersteller ist, und das sind dann fast alle auser den vielleicht fünf großen Herstellern, hat eine Schnittstelle zu einem oder mehreren von denen eingebaut und nutzt deren Funktionalität und baut das hinter einer hübschen eigenen Oberfäche ein.
Auch ISPs wie die Telekom nutzenn genau diese großen AV / AS Provider.
zu B)
Die Listen sind teilweise bei den Anbietern ersichtlich , teilweise nur für den OEM und es gibt in der Regel einen Prozess, um False Positives zu melden, um z.b. eine geblockte IP Adresse wieder freigeben zu lassen.
Der IP Reputation Check von Cyren ist zum Beispiel nich Onlien und wird von der LANCOM UF auch noch genutzt.
Vertrauen kann man dem nicht mehr :
https://www.cyren.com/security-center/c ... check-gate
Wie der Cyren URL Filter funktionierte, findest zu z.b. hier
https://www.cyren.com/tl_files/download ... EN_web.pdf
Anmerkung: Die Links funktionierten heute am 21-03.2023 18:54 Uhr
Wir alle anderen betroffenen Gateway Hersteller muss sich LANCOM jetzt um eine Alternative bemühen und zum Beispiel eine Schnitstelle x-force (nutzt schon der Content-Filter im LCOS), Bitdefender (nutzen sehr viele Systeme ), Cisco Talos oder was auch immer einbauen.64 categories, 8 of which are security related — returns up to 5 per URL
• Language and content-agnostic; vast coverage of global sites
• Database contains ~140 million of the most relevant URLs
• Configurable cache footprint with auto-tuning of cache contents
• High-performance: >50,000 queries/ second, with low resource utilization
• Supports http, https, ftp and other protocols
Fein raus sind die Hersteller, die Cyren nihct genutzt haben oder zu schon imer zwei Anbieter eingebunden hatten.
Das MicroFocus SecureMessaging Gateway (früher GWAVA), das wir zum Email Check auch bei uns und bei Kunden einsetzen, ist vor zwei jahren von Cyren zu Bitdefender gewechselt. Damals haben wir geflucht... Bitdefender ist nicht so "schön", aber offensichtich sehr überlebensfähig.
Also deshalb ist es so wichtig, das LANCOm hier schnell handelt und ein Firmware Update mit neuem OEM zeitnah zur Verfügung stellt.
Viele Grüße
ts