Universität Innsbruck
Zentraler Informatikdienst der Universität Innsbruck

Navigation überspringen

• 1: Home
• 2: Universität
  • aktuelle Seite: 2.1:
    Zentraler Informatikdienst
  • 2.2: Anträge
  • 2.3: Ticketsystem
  • 2.4: Öffnungszeiten
  • 2.5: Benutzerräume
  • 2.6: Services
  • 2.7: Software
  • 2.8: Systeme
  • 2.9: Der ZID - Wir über uns
  • 2.10: Benutzungsregelungen
  • 2.11: Mitarbeiterinnen und Mitarbeiter
  • 2.12: Abteilungen im ZID
  • 2.13: Anlaufstellen/Kontakt
• 3: Fakultäten
• 4: Forschung
• 5: Studium
• 6: iPoint

• FAQ
• Fragen zum Passwort
• Passwort ändern
• WLAN
• plug-INN
• VPN-Zugang
• E-Mail
• Telefonie: Festnetz/Diensthandy
• u:book
• uniFLOW
• Zugang zum Ticketsystem

Unerwünschte E-Mail (SPAM, Phishing)

Inhalt:

1. Was ist SPAM
2. Was sind Phishing E-Mails
3. Was unternimmt der ZID gegen SPAM
4. Was können Sie persönlich tun
5. Mailweiterleitungen von fremden Providern
6. Wie kommen die Verursacher zu den Mailadressen
7. E-Mail und Authentizität
8. Das TO:-Feld und die tatsächlichen Empfänger einer Nachricht
9. SPAM mit uibk Absenderadressen
10. SPAM - ein Beispiel
11. Interpretation und Hinweise zum Beispiel
12. Weiterleiten von SPAM-Nachrichten
13. Weitere Links zum Thema

Was ist SPAM?

"SPAM" ist der Fachausdruck für die Überflutung mit Neuigkeiten, die Keinen interessieren, benannt nach einem Dosenfleisch, das vornehmlich in den USA und Großbritannien verkauft wird. Das Fleisch spielte in vielen Monty-Python-Sketchen eine Rolle. In einem Film sang eine Gruppe Wikinger "Spam, Spam, Spam,...", wodurch sämtliche Konversation im Raum erstickt wurde. Ähnlich sehen Experten die Gefahr durch Werbemails; durch die Unmenge an Post könnten die Mailserver im Internet vollkommen überlastet werden und die wichtigen Nachrichten ihre Empfänger nur mit Mühe erreichen. (Erklärung ursprünglich von Till Heidemann auf cityweb.de)

Was sind Phishing Nachrichten?

Im Gegensatz zu "nur lästigem" SPAM werden Phishing Nachrichten in krimineller Absicht verschickt. Der Absender versucht unter Vortäuschung einer falschen Identität die Empfänger dazu zu verleiten, geheime Informationen wie Zugangsinformationen zu E-Banking-Anwendungen oder elektronischen Flohmarkt- und Einkaufssystemen weiterzugeben.

Im allgemeinen wird der Nutzer durch psychologische Tricks ("Konto abgelaufen", "Konto wurde gehackt" etc.) dazu verleitet, auf einer Webseite, die der tatsächlichen Bankwebseite täuschend ähnlich sieht, Passwörter, Transaktionscodes etc. einzugeben.

Es handelt sich dabei aber nicht um den Web-Server der Bank, sondern um einen gehackten PC irgendwo im Internet. Der angezeigte Link stimmt i.A. nicht mit dem tatsächlich angewählten Web-Server überein. Das können Sie i.A. verifizieren, wenn Sie mit dem Mauszeiger über den Link fahren. Der unten im Programmfenster angezeigte Link stimmt nicht mit dem im Mail angezeigten überein. Gute Mailprogramme wie z.B. der Mozilla Thunderbird weisen Sie in solchen Fällen auch explizit darauf hin.

Möglicherweise laden Sie durch Anklicken des Links bzw. den Download von Dateien/Programmen von dieser gefälschten Seite in Folge auch Schadprogramme wie Passwort-Sniffer, Tastatur-Aufzeichnungssoftware etc. auf Ihren PC herunter. Da diese unerwünschte Software eventuell maßgeschneidert und zum Zeitpunkt der Verbreitung der Mailnachrichten noch keine so große Verbreitung im Internet gefunden hat, ist es möglich, dass diese von Ihrer Anti-Virensoftware zum Zeitpunkt des Besuchs der gefälschten Webseite auch noch nicht als Schadprogramm erkannt wird.

Die Informationen werden in Folge dazu verwendet, das Bankkonto der leichtgläubigen Empfänger zu leeren.

Siehe dazu auch die sehr gute Erklärung zu Phishing bei Wikipedia.de.

Was unternimmt der ZID gegen SPAM?

SPAM wird sich nie komplett unterbinden lassen ohne Ihre Erreichbarkeit per Mail massiv einzuschränken.

Um die Anzahl der unerwünschten Nachrichten trotzdem gering zu halten, wurden vom ZID verschiedene technische Maßnahmen ergriffen. Um wirksam zu bleiben, werden die Maßnahmen und Filterregeln laufend aktualisiert.

Unerwünschte Nachrichten werden in keinem Fall "verschluckt". Wird eine Nachricht als SPAM etc. identifiziert, wird die Post am ZID nicht angenommen und der Absender erhält eine Unzustellbarkeitsfehlermeldung mit weiterer Hilfe.

• Das Mailsystem nimmt keine Post von ungültigen Absenderadressen an.
  (genauer: der Teil hinter dem @ muss eine gültige Internetdomäne sein.)

• Seit 30.3.2007 verwenden wir eine als nolisting bezeichnete Anti-SPAM-Maßnahme.

• Das Mailsystem nimmt keine Post von Mailsystemen an, die schon SPAM weiterverbreitet haben, und nichts dagegen unternommen haben.
  Diese werden in weltweiten Datenbanken verwaltet. Wir prüfen beim Eintreffen von Nachrichten die sendende IP-Adresse und lehnen Post ggf. ab.
  Seit 5.6.2007 wird die Blackliste ZEN von spamhaus.org verwendet. Daneben wird auch die SPAMCOP-Datenbank. konsultiert.

• Bekannte Phishing-Nachrichten werden von unseren Virenscannern identifiziert und abgewiesen.

• Nachrichten werden dann am Mailrelais einer inhaltlichen Filterung mit Spamassassin unterzogen und bewertet.
  Sehr wahrscheinliche SPAM-Nachrichten mit mehr als 7 SPAM-Punkten werden sofort am Relais abgelehnt.
  Die anderen Nachrichten werden mit einer zusätzlichen Nachrichtenkopfzeile versehen, die eine SPAM-Bewertung enthält. Benutzer können dann

  • mit PROCMAIL direkt am Mailserver oder
  • mit den Filtermöglichkeiten Ihres Mailprogramms
  wahrscheinliche SPAM-Nachrichten (zwischen vier und sieben SPAM-Punkten) verwerfen oder in einem eigenen Mailordner ablegen.

Mit Stand November 2006 werden von unserem Spam- und Virenschutzsystem pro Tag von ca. 300 00 Nachrichten, die von außerhalb eintreffen, insgesamt ca. 250 000 abgelehnt, und 50 000 zugestellt. 1200 Nachrichten pro Tag sind virenverseucht und werden ebenso abgelehnt.

Das heißt in anderen Worten, dass sich ohne die Maßnahmen des ZID in der "durchschnittlichen" Mailbox pro 7 Nachrichten nur mehr eine erwünschte finden würde.

Eine komplette Filterung von SPAM ist aber leider unmöglich, da die Tatsache ob Post vom Empfänger erwünscht oder unerwünscht ist, persönlicher Natur ist, und damit technisch nur bedingt entschieden werden kann.

Ebenso ist es bei Phishingnachrichten sehr schwierig, diese von normalen Nachrichten zu unterscheiden, weil diese i.A. keine gefährlichen Anhänge enthalten und in Form und Inhalt laufend neu gestaltet werden.

Was können Sie persönlich tun?

Verfahren Sie mit unerwünschter E-Mail wie mit der täglichen Flut von unerwünschten Prospekten und Werbematerial. Löschen Sie die Nachrichten ungesehen aus Ihrer Mailbox.

Sollte Ihnen das zu mühsam werden:
Auf den zentralen Mailservern der Universität können Sie sich sehr einfach einen serverseitigen Filter einrichten, der SPAM-verdächtige Nachrichten in einen eigenen Mailordner verschiebt.

Für Mozilla/Thunderbird Benutzer gibt es eine Anleitung zur Spamfilterung mit Mozilla-Mail.

Phishing Nachrichten sollten Sie sofort löschen! Klicken Sie nicht auf die angeführten Links und füllen Sie schon gar keine Ihrerm Web-Banking täuschend ähnlich sehenden Formulare aus. Banken nehmen im Allgemeinen nicht in Form von E-Mail-Nachrichten mit Ihnen Kontakt auf.

Die oft im E-Mail angebotene Möglichkeit sich aus dem "Mailverteiler" streichen zu lassen, funktioniert praktisch nie. Sie bekommen im besten Fall eine Unzustellbarkeitsmeldung retour. Sparen Sie sich also die Mühe.

Mailweiterleitungen von fremden Providern

Unsere Filtermaßnahmen berücksichtigen wesentlich, woher eine Mailnachricht zu uns kommt. Sobald Sie ein anderes Postfach/eine weitere Mailadresse an die Innsbrucker Mailadresse weiterleiten, müssen Sie damit rechnen, wesentlich mehr SPAM zu bekommen, weil wir der Quelle (Ihrem Mailprovider für die alternative Adresse) ja trauen.

Was können Sie tun?

• Hinterlegen Sie statt einer automatischen Weiterleitung eine "Urlaubsnachricht" auf Ihrem alten Mailsystem. Menschliche Nutzer können mit der Nachricht

  Meine Mailbox xx@yy wird nicht mehr gelesen. 
  Bitte wenden Sie sich an xxx.yyy <at> uibk.ac.at
  

  gut leben. SPAMer lesen das nicht und Sie sind einen Teil der unerwünschten Nachrichten los.
• Alternativ können Sie bei uns Ihren serverseitigen Mailfilter so anpassen, dass die weitergeleiteten Nachrichten gleich in einem eigenen Mailordner landen, den Sie dann weniger oft auf neue Nachrichten prüfen.

Wie kommen die Verursacher zu den Mailadressen?

Insbesondere wenn mehrere Innsbrucker E-Mail-Adressen in einer Nachricht angeführt werden, fragt man sich natürlich, wie die Verursacher zu den Adressen kommen. Haben Sie diese von der Uni?
Fast sicher nein. Web-Formulare können von Suchmaschinen insofern nicht durchsucht werden, als hier die Eingabe eines Suchstrings erforderlich wäre.
Der ZID oder die Uni gibt diese natürlich auch nicht weiter. Das ist sogar explizit verboten.

Die wahrscheinlichste Quelle für Mailadressen sind Web-Seiten, in denen Ihre Adresse im "Klartext" aufgeführt ist.

"Adresshändler" durchsuchen die Seiten nach Zeichenketten, die wie Mailadressen aussehen und bieten diese dann in Datenbanken an, die möglichst viele Adressen umfassen. Sie verwenden dabei dieselbe Technik, mit der Suchmaschinen im Internet zu Ihren Daten kommen.

Suchen Sie z.B. einmal bei google.com nach Ihrer Adresse und Sie werden sehen, in wie vielen Dokumenten Ihre Mailadresse vorkommt.

Leider geben inzwischen auch sehr viele Windows-Viren die Mailadressen, die Sie am verseuchten PC in Adressbüchern, Mailnachrichten und gecachten Web-Seiten sammeln konnten, auch an Ihre "Auftraggeber" weiter. So genügt oft ein einziger verseuchter PC eines Bekannten, der Ihre Mailadresse lokal gespeichert hatte, dass Ihre Adresse SPAM erhält.

E-Mail und Authentizität

Vielen Benutzern kaum bewusst, aber doch Tatsache ist, dass Internet-E-Mail standardmäßig in keiner Weise auf Authentizität, also auf die Richtigkeit des angegebenen Absenders bzw. auf die Korrektheit und Unverfälschtheit des Inhalts überprüft wird.

Sie können also eine E-Mail vom Präsidenten der Vereinigten Staaten, vom ZID oder auch vom Rektor bekommen, die (natürlich) nicht von diesen verfasst wurde.

Im ersten Moment werden Sie sagen Katastrophe! Im realen Leben, können Sie aber natürlich genauso mit einer Urlaubspostkarte mit falschem Absender, einem anonymen oder gefälschten Brief konfrontiert werden. Erscheint Ihnen der Inhalt unglaubwürdig, werden Sie die Nachricht mehr oder weniger schnell entsorgen.

Behandeln Sie also auch elektronische Post notwendigerweise mit einer gewissen Skepsis. Ein kurzer Anruf oder eine Antwort an den vermeintlichen Absender der Nachricht kann hier so manches Missverständnis frühzeitig aufklären.

Diese Unzulänglichkeit klassischer E-Mail kann mit so genannten elektronischen Signaturen kompensiert werden. Vorausgesetzt, Ihr Partner signiert die Nachrichten vor dem Verschicken und Sie prüfen die Korrektheit der Signatur mit geeigneten Maßnahmen, können Sie dann auch von der Unverfälschtheit und Authentizität der Nachricht ausgehen.

Das TO:-Feld und die tatsächlichen Empfänger einer Nachricht

Warum bekommen Sie E-Mail, die an friends@yahoo.com adressiert ist? Liegt ein Zustellungsfehler vor?

Nein. Gleich wie bei der normalen Post muss die Adresse am Kuvert eines Briefes nicht mit der im Briefkopf übereinstimmen. Der Briefträger richtet sich nach der Adresse am Kuvert. Sie sehen am Brief selbst nur die Ansprache "Liebe Wähler und Wählerinnen".

Das TO-Feld einer Nachricht entspricht dem einer Ansprache in einem normalen Brief und ist deshalb mit einfachen Mitteln genauso zu "fälschen" wie z. B. der Absender der Nachricht.

Einzig die bei der Zustellung in den Nachrichtenkopf kodierten Informationen lassen analog zum Aufgabestempel eines Briefes Aufschlüsse über den Absender einer Nachricht zu.

SPAM mit uibk Absenderadressen

In letzter Zeit kommt es auch vor, dass uibk-Mailadressen als gefälschter Absender in SPAM-Nachrichten verwendet werden. Ungünstig konfigurierte Mailserver im Internet glauben dann, den vermeintlichen Absender über Zustellfehlern etc. informieren zu müssen.

Der Nutzer der uibk-Adresse bekommt dann in Folge leider innerhalb kurzer Zeit viele Fehlermeldungen auf Nachrichten zugestellt, die er gar nicht verschickt hat. Dem Nutzer bleibt meist nur übrig, die Nachrichten zu löschen und zu warten, dass der SPAMer bald andere Adressen zum Versand nützt.

Leider lassen sich solche Nachrichten nur schwer filtern, weil diese ja von richtigen, großen Mailservern stammen und kaum von Fehlermeldungen zu unterscheiden sind, die auf Grund tatsächlich von Ihnen stammenden Nachrichten generiert werden.

SPAM - ein Beispiel

Für die Analyse von SPAM ist es notwendig, die ganze Nachricht inklusive aller Kopfzeilen zu betrachten. Mailprogramme zeigen normalerweise nur die ohnehin gefälschten und unbrauchbaren Kopfdaten an.

Im Netscape Messenger können Sie den gesamten Inhalt mit der Menüfunktion "Ansicht/Seitenquelltext" anzeigen lassen. Bei Outlook Express können Sie alle Kopfzeilen einer Nachricht mit "Datei/Eigenschaften/Details" ermitteln, Outlook 2003 ermöglicht eine Abfrage der Headerzeilen einer (geöffneten) Mail über "Ansicht/Optionen". Sie sollten dann also z. B. folgendes vorfinden:

Return-Path: <Intelligenz@yahoo.com.br> 1) 
Received: via tmail-4.1(11) for cXXXXXX+; Mon, 1 Oct 2001 17:53:54 +0200 
(MET DST) 2) 
Received: from lmr2.uibk.ac.at (lmr2.uibk.ac.at [138.232.1.202] 
Intelligenz@yahoo.com.br) by smc.uibk.ac.at
   (8.11.6/uibk) with ESMTP id f91Frsc11273
   for <cXXXXXX@mail1.uibk.ac.at>; Mon, 1 Oct 2001 17:53:54 +0200 (MET DST)
Received: from po.ontake.jp ([210.238.89.17] Intelligenz@yahoo.com.br) by
lmr2.uibk.ac.at (8.11.3/E2) with ESMTP
   id f91Frp3338705 for <Vorname.Nachname@uibk.ac.at>; Mon, 1 Oct 2001 
17:53:51 +0200 (MDT) 3) 
Received: from yahoo.com.br [202.138.44.232] by po.ontake.jp (SMTPD32-4.10)
id A5D05212010C; Mon, 01 Oct 2001 23:59:28 +0900 4) 
Von: Intelligenz@lmr2.uibk.ac.at, Emotionen <Intelligenz@yahoo.com.br> 5) 
An:  Intelligente.Leute@lmr2.uibk.ac.at 6) 
Betreff: Intelligenz, Emotionen
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Nachrichten-ID: <20011002000328.SM00201@yahoo.com.br> 7) 
Datum: Tue, 2 Oct 2001 00:10:23 +0900

blablabla

Interpretation und Hinweise zum Beispiel

1) Die vom Sender verwendete Absenderadresse. Vermutlich nicht existent oder vom Provider yahoo inzwischen schon gesperrt.

2) Die Nachricht wurde um 17:53 Ortszeit in Ihrer Mailbox am Mailserver der Uni abgelegt.

3) Das Mailrelais der Universität hat die Nachricht um 17:53 vom vermutlich offenen Mailrelais 210.238.89.17 (po.ontake.jp) entgegengenommen.
BTW: Das Mailrelais po.ontake.jp wurde inzwischen in die MAPS-Datenbank aufgenommen. Wir sollten also von dort keine SPAM mehr bekommen.

4) Die Nachricht wird von der IP-Adresse 202.138.44.232 beim offenen Mailrelais po.ontake.jp zur weiteren Verteilung im Internet abgeliefert.
BTW:Genauere Recherchen würden ergeben, dass die Adresse 202.138.44.232 an einen australischen Internetprovider vergeben wurde. Man könnte sich bei diesem über dessen Benutzer, den Verursacher der Nachricht, beschweren.

5) Der Absender der Nachricht ist natürlich gefälscht.

6) Als Empfänger hat der Sender die Adresse "Intelligente.Leute" angegeben. Unser Mailgateway hat dann bei der Weiterbeförderung der Nachricht "@lmr2.uibk.ac.at" angehängt um die Adresse zu einer gültigen E-Mail-Adresse zu machen.
Lassen Sie sich dadurch nicht beunruhigen - Es ist niemand in das Mailsystem eingebrochen etc. .

7) Die Nachrichten-ID wurde vom Sender ebenfalls konsistent zur falschen Absenderadresse gewählt.

Weiterleiten von SPAM-Nachrichten

Falls Sie uns SPAM-Nachrichten zukommen lassen wollen, ist es ganz wichtig, dass alle Header-Zeilen erhalten bleiben.

Gehen Sie dazu wie folgt vor:

1. Erstellen Sie in Ihrem Mailprogramm eine neue Nachricht. Verwenden Sie ein aussagekräftiges Betreff wie z.B. "Meine SPAM-Spende".
2. Ziehen Sie nun die unerwünschte(n) Nachricht(en) aus der Nachrichtenübersicht in den Attachmentbereich des von Ihnen neu erstellten Mails.
3. Schicken Sie das Mail an postmaster (at) uibk.ac.at ab.

Damit bleiben die für uns besonders wichtigen Kopfzeilen erhalten. Ein Weiterleiten mit Web-Mail ist nicht möglich. Schicken Sie uns in diesem Fall einfach den Nachrichtenquelltext der SPAM-Nachricht (mit Cut&Paste in eine neue Nachricht kopieren).

Bitte schicken Sie uns auch keine Nachrichten mit SPAM-Score größer vier. Diese Nachrichten sollten in Ihrem SPAM-Ordner landen.

Weitere Links zum Thema

• Mailrelais der LFU - aktuelle Statistiken
• SPAM@Google (in Deutsch)
• SPAM@Google (in Englisch)
• Spam und Belästigung durch E-mail (Verein für Internet-Benutzer Österreichs www.vibe.at)
• Fight Spam on the Internet!
• MAPS @ mail-abuse.org
• SPAMCOP
• SPAM - Gesetzeslage in Österreich
• Internet&Recht - E-Mail
• Warum erhalte ich diese eMail-Nachricht, obwohl sie nicht an mich adressiert ist? (ZID der Uni Wien)
• Was tun gegen Spam? (Informationen des ZID der Uni Wien)
• Siehe dazu auch die sehr gute Erklärung zu Phishing bei Wikipedia.de.
• Erklärung und Beispiele zu Phishing von ZID der Universität für Bodenkultur, Wien