Reputationsfilter
Dieser Filter führt verschiedene Prüfungen auf dem E-Mail-Envelope, dem Inhalt der E-Mail sowie den Kopfzeilen aus. Durch einige der Prüfungen wird auch DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework) analysiert. Abhängig von den Ergebnissen der einzelnen Prüfungen können SCL-Punkte vergeben werden, die individuell konfigurierbar sind. So können Sie die Bewertungen an die Anforderungen Ihres Unternehmens anpassen.
Testtyp Verbindung
| Titel | Beschreibung |
|---|---|
| Ungesicherte Verbindung | Prüft, ob die eingehende Verbindung durch TLS gesichert ist. Eine TLS-Verschlüsselung garantiert, dass sowohl Meta- als auch Inhaltsdaten zwischen E-Mail-Programm und Server beziehungsweise zwischen verschiedenen E-Mail-Servern verschlüsselt ausgetauscht werden. Die Datenschutz-Grundverordnung (DS-GVO) schreibt den Einsatz einer TLS-Verschlüsselung vor. Da Spammer sich häufig nicht an die DS-GVO halten, lässt dieser Test Rückschlüsse auf die Legitimität der E-Mail zu. |
Testtyp E-Mail-Envelope
| Titel | Beschreibung |
|---|---|
| Fehlender PTR-Eintrag | Prüft, ob sich die IP-Adresse zu einem Hostnamen zurück auflösen lässt. Ist dies nicht der Fall, so ist die Ursache ein fehlender PTR-Eintrag. PTR (Pointer Resource Records) ordnen im DNS einer IP-Adresse einen oder mehrere Hostnamen zu. Ist diese Zuordnung nicht möglich, deutet dies auf einen Missbrauchsversuch hin. |
| Dynamische Adresse vermutet |
Prüft, ob der Hostname, der mit der IP-Adresse verknüpft ist, die IP-Adresse in Textform beinhaltet. NoSpamProxy prüft, ob die IP-Adresse aus einem dynamischen IP-Adressbereich stammt. Dies tritt häufig bei infizierten Rechnern auf, die als Spambot agieren. |
| 'Reverse lookup' schlug fehl | Prüft, ob der Hostname, der mit der IP-Adresse des E-Mail-Servers verknüpft ist, sich bei einem Gegentest ('Reverse lookup') zu dieser IP-Adresse zurück auflösen lässt. Ist dies nicht möglich, so deutet dies auf Spoofing hin, da mit hoher Wahrscheinlichkeit die tatsächliche Identität des Hosts verschleiert werden soll. |
| Fehlende IP-Adresse | Prüft, ob sich die 'MAIL FROM'-Domäne zu einer IP-Adresse auflösen lässt. Ist dies nicht möglich, so deutet dies auf einen Missbrauchsversuch hin, da die genannte Domäne höchstwahrscheinlich nicht existiert. |
Testtyp DMARC
| Titel | Beschreibung |
|---|---|
| SPF schlug fehl | Prüft, ob ein gültiger SPF-Eintrag vorhanden ist. Es wird geprüft, ob die IP-Adresse des E‑Mail-Servers im DNS als berechtigter MTA (Mail Transfer Agent) hinterlegt ist, also für diese Domäne E‑Mails versenden darf. Dieser Test vergibt nur Punkte, falls keine DMARC-Policy (siehe unten) aktiv ist. |
| DKIM schlug fehl |
Führt DKIM-Prüfungen für die jeweilige E-Mail aus. Diese Prüfungen bestehen aus der Überprüfung der Header-Signatur sowie des Hashes, der aus dem Body der E-Mail berechnet wird und ebenfalls signiert ist. Der öffentliche Schlüssel des Absenders ist im DNS hinterlegt. Dieser Test vergibt nur SCL-Punkte, falls keine DMARC-Policy aktiv ist. |
| DMARC-Ergebnis 'Quarantäne' |
In der DMARC-Policy des Absenders ist für den Fall einer gescheiterten Überprüfung der Modus 'quarantine' definiert. Die DMARC-Prüfung beinhaltet zusätzlich die des sogenannten 'alignment' zwischen den von DKIM und SPF geprüften Domänen. Die Höhe der vergebenen Punkte hängt vom angewandten DMARC-Ergebnis ab. |
| DMARC-Ergebnis 'Abweisen' |
In der DMARC-Policy des Absenders ist für den Fall einer gescheiterten Überprüfung der Modus 'reject' definiert. Die DMARC-Prüfung beinhaltet zusätzlich die des sogenannten 'alignment' zwischen den von DKIM und SPF geprüften Domänen. Die Höhe der vergebenen Punkte hängt vom angewandten DMARC-Ergebnis ab. |
| Adresse ist nicht übereinstimmend |
Prüft, ob die 'MAIL FROM'-Domäne und 'Header-From'-Domäne identisch sind ('alignment'). Dieser Test vergibt nur Punkte, falls keine DMARC-Policy aktiv ist. |
HINWEIS: Sollte ein oder mehrere Tests vom Typ DMARC - also SPF, DKIM oder DMARC - fehlschlagen, wird dieses Ergebnis durch eine intakte ARC-Kontrollkette überschrieben. In einem solchen Fall werden keine Strafpunkte vergeben, die das Spam Confidence Level (SCL) erhöhen würden. Siehe Vetrauenswürdige ARC-Unterzeichner.
Testtyp Header-From
| Titel | Beschreibung |
|---|---|
| Ungültige spitze Klammern |
Prüft, ob der 'Header-From' eine spitze Klammer mit einer ungültigen E‑Mail-Adresse enthält, was nicht RFC-konform ist. Fehlende RFC-Konformität deutet auf Spam hin, da Spammer sich unter Umständen weniger Mühe geben, eine solche Konformität sicherzustellen. |
| Fehlender Absender |
Prüft, ob der 'MAIL FROM' leer ist und der 'Header-From' eine gültige E-Mail-Adresse enthält. Ist dies nicht der Fall, so deutet dies auf NDR Backscatter hin. Mobilgeräte und E-Mail-Programme wie Outlook zeigen nur den Anzeigenamen an, so dass ein Missbrauch nicht erkannt wird. |
| Unternehmensdomäne in der E‑Mail-Adresse |
Prüft, ob die im 'Header-From' angegebene E‑Mail-Adresse eine Unternehmensdomäne enthält. Ist dies der Fall, so deutet dies auf Identitätsdiebstahl hin, da dieser Test nur für eingehende E‑Mails nutzbar ist und es sich deshalb um eine externe E‑Mail handeln muss. Beachten Sie, dass ein solcher Fall auch auftreten kann, wenn ein externes E-Mail-System im Namen der Unternehmensdomäne sendet, aber nicht als E-Mail-Server des Unternehmens hinzufügen konfiguriert ist. EXAMPLE: <xyz@netatwork.de> HINWEIS: Eine gültige DKIM-Signatur für die 'Header-From'-Domäne setzt diesen Filter standardmäßig außer Kraft, so dass keine Maluspunkte vergeben werden. Um dieses Verhalten zu unterbinden, beachten Sie die Informationen unter Aufheben der DKIM-Signatur im Reputationsfilter. |
| Unternehmensdomäne im Anzeigenamen |
Prüft, ob der Anzeigename eine E-Mail-Adresse enthält, deren Teil eine Unternehmensdomäne ist. E-Mail-Adressen, deren Teil eine Unternehmensdomäne ist, werden von Spammern als Teil von Anzeigenamen verwendet, da in vielen Mobilgeräten und E-Mail-Programmen zunächst nur dieser Name erscheint. Der Absender kann so eine falsche Identität vortäuschen. EXAMPLE: "Uwe Ulbrich uwe.ulbrich@netatwork.de" <spam@spammer.de> |
| Unterdomäne einer Unternehmensdomäne in der E‑Mail-Adresse |
Prüft, ob eine Unterdomäne einer Unternehmensdomäne verwendet wird. Ist diese Unterdomäne legitim, wird der Test 'Unternehmensdomäne in der E‑Mail-Adresse' angewendet. EXAMPLE: <xyz@hr.netatwork.de> |
| Unterdomäne einer Unternehmensdomäne im Anzeigenamen |
Prüft, ob der Anzeigename eine Subdomäne einer Unternehmensdomäne enthält. Domänen im Anzeigenamen werden von Spammern verwendet, da in vielen Mobilgeräten und E-Mail-Programmen zunächst nur dieser Name erscheint. Der Absender kann so eine falsche Identität vortäuschen. EXAMPLE: "hr.netatwork.de" <spam@spammer.de> |
| Verschleierte Unternehmensdomäne in der E‑Mail-Adresse |
Wie der Test 'Unternehmensdomäne in der E‑Mail-Adresse'. Zusätzlich wird hier geprüft, ob ASCII-Schriftzeichen in der Domäne verwendet wurden, die bestimmten Buchstaben ähnlich sehen. EXAMPLE: <xyz@n3tatw0rk.de> |
| Verschleierte Unternehmensdomäne im Anzeigenamen |
Wie der Test 'Unternehmensdomäne im Anzeigenamen'. Zusätzlich wird hier geprüft, ob ASCII-Schriftzeichen in der Domäne verwendet wurden, die bestimmten Buchstaben ähnlich sehen. Domänen im Anzeigenamen werden von Spammern verwendet, da in vielen Mobilgeräten und E-Mail-Programmen zunächst nur dieser Name erscheint.
EXAMPLE: "Uwe Ulbrich uwe.ulbrich@n3tatw0rk.de" <spam@spammer.de> |
| Unterdomäne einer verschleierten Unternehmensdomäne in der E‑Mail-Adresse |
Wie der Test 'Unterdomäne einer Unternehmensdomäne in der E‑Mail-Adresse'. Zusätzlich wird hier geprüft, ob ASCII-Schriftzeichen in der Domäne verwendet wurden, die bestimmten Buchstaben ähnlich sehen. EXAMPLE: <xyz@hr.n3tatw0rk.de> |
| Unterdomäne einer verschleierten Unternehmensdomäne im Anzeigenamen |
Wie der Test 'Unterdomäne einer Unternehmensdomäne im Anzeigenamen'. Zusätzlich wird hier geprüft, ob ASCII-Schriftzeichen in der Domäne verwendet wurden, die bestimmten Buchstaben ähnlich sehen. Domänen im Anzeigenamen werden von Spammern verwendet, da in vielen Mobilgeräten und E-Mail-Programmen zunächst nur dieser Name erscheint. EXAMPLE: Uwe Ulbrich uwe.ulbrich@hr.n3tatw0rk.de" <spam@spammer.de> |
| Mehrere E-Mail-Adressen |
Prüft, ob der 'Header-From' mehr als eine E‑Mail-Adresse enthält, was nicht RFC-konform ist. Fehlende RFC-Konformität deutet auf Spam hin, da Spammer sich unter Umständen weniger Mühe geben, eine solche Konformität sicherzustellen. |
| Domäne im Anzeigenamen abweichend von der E‑Mail-Adresse |
Prüft, ob eine im Anzeigenamen des 'Header-From' angegebene Domäne von der Domäne abweicht, die Teil der 'Header-From'-E-Mail-Adresse ist. Domänen im Anzeigenamen werden von Spammern verwendet, da in vielen Mobilgeräten und E-Mail-Programmen zunächst nur dieser Name erscheint. EXAMPLE: "service@paypal.com" <spam@spammer.de> |
Testtyp Header-To
| Titel | Beschreibung |
|---|---|
| Ungültiges '@' |
Prüft, ob der 'Header-To' ein '@'-Zeichen enthält, das nicht Teil einer E‑Mail-Adresse ist, was nicht konform mit RFC 5322 ist. Fehlende RFC-Konformität deutet auf Spam hin, da Spammer sich unter Umständen weniger Mühe geben, eine solche Konformität sicherzustellen. |
| Ungültige spitze Klammern |
Prüft, ob der 'Header-To' spitze Klammern mit einer ungültigen E‑Mail-Adresse enthält, was nicht konform mit RFC 5322 ist. Fehlende RFC-Konformität deutet auf Spam hin, da Spammer sich unter Umständen weniger Mühe geben, eine solche Konformität sicherzustellen. |
| Fehlendes 'Header-To' | Prüft, ob der 'Header-To' eine Angabe enthält beziehungsweise vorhanden ist. Ist dies nicht der Fall, ist der Empfänger nicht bestimmbar. Angaben zum Empfänger sind in diesem Fall nur im 'Bcc'-Feld zu finden. |
| Fehlende Unternehmens-E‑Mail-Adresse | Prüft, ob der 'Header-To' oder der 'CC' eine Unternehmens-E‑Mail-Adresse enthält. Angaben zum Empfänger sind in diesem Fall nur im 'Bcc'-Feld zu finden. |