|
Schutz gegen Rückstreuung |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Rückstreuung
Als "Rückstreuung" (englisch "Backscatter") bezeichnet man Antwortnachrichten, die Ihre Benutzer empfangen, obwohl sie die Nachrichten, auf die geantwortet wird, gar nicht versandt haben. Diese Erscheinung tritt auf, wenn Spam-Nachrichten oder Nachrichten, die durch Viren versandt werden, als Antwortpfad eine gefälschte Adresse enthalten. Werden solche Nachrichten durch den Server des Empfängers abgewiesen, oder hat der Empfänger für sein Benutzerkonto einen Auto-Beantworter oder eine Abwesenheitsnachricht eingerichtet, so wird die Antwort an die gefälschte Adresse gerichtet. Dies kann dazu führen, dass sich in den Posteingängen Ihrer Benutzer zahlreiche falsche Nachrichten über Zustellfehler (sog. Delivery Status Notifications oder kurz "DSN") und Nachrichten von Auto-Beantwortern sammeln. Spammer und Urheber von Viren nützen diese Erscheinung bisweilen gezielt für Denial-of-Service-Angriffe (kurz "DoS") gegen E-Mail-Server, indem sie eine Flut ungültiger E-Mail-Nachrichten auslösen, die von den verschiedensten Servern weltweit ausgeht.
Schutz gegen Rückstreuung
Um die Rückstreuung zu bekämpfen, kann SecurityGateway mithilfe der Funktion zum Schutz gegen Rückstreuung helfen, sicherzustellen, dass nur legitime Nachrichten über Zustellfehler und Nachrichten von Auto-Beantwortern an Ihre Domänen zugestellt werden. SecurityGateway setzt dazu eine Hash-Funktion und einen geheimen Schlüssel in Verbindung mit einem besonderen, zeitabhängigen Kode ein, der in die Antwortadresse, den "Return-Path", abgehender Nachrichten eingefügt wird. Tritt bei der Zustellung einer solchen Nachricht ein Fehler auf, und wird sie zurückgeleitet, oder geht eine automatisch erzeugte Antwort mit dem Antwortpfad "mailer-daemon@..." oder NULL ein, so erkennt SecurityGateway den besonderen Kode und bestätigt damit, dass die Nachricht eine echte automatisch erstellte Antwort auf eine Nachricht ist, die wirklich von einer Ihrer Domänen aus gesendet wurde. Enthält die Nachrichten den Kode nicht, oder ist seine Gültigkeit abgelaufen, so wird dies ebenfalls festgestellt, und die Nachricht kann abgewiesen werden.
Konfiguration
Schutz gegen Rückstreuung aktivieren
Diese Option aktiviert den Schutz gegen Rückstreuung. Sobald die Option aktiv ist, beginnt SecurityGateway, den besonderen Kode zu erzeugen und in den Antwortpfad aller abgehenden Nachrichten einzufügen. SecurityGateway sucht auch in allein zurückgeleiteten Nachrichten nach diesem Kode. Der Schutz gegen Rückstreuung ist per Voreinstellung abgeschaltet.
|
Falls Sie diese Option abschalten, fügt SecurityGateway den besonderen Kode für den Schutz gegen Rückstreuung nicht mehr in abgehende Nachrichten ein. Eingehende Nachrichten über Zustellfehler und Nachrichten von Auto-Beantwortern werden aber weiterhin ausgewertet, damit sichergestellt ist, dass nicht etwa eine Nachricht mit einem gültigen Kode versehentlich abgewiesen wird. |
Nachrichten abweisen, bei denen die Prüfung gegen Rückstreuung fehlschlägt
Diese Option bewirkt, dass Nachrichten über Zustellfehler und andere Nachrichten von Auto-Beantwortern automatisch abgewiesen werden, falls sie die Prüfung des Schutzes gegen Rückstreuung nicht bestehen. Nachrichten mit dem Antwortpfad "mailer-daemon@..." oder NULL bestehen diese Prüfung nicht, falls sie den besonderen Kode nicht enthalten oder die Gültigkeitsdauer des Kodes abgelaufen ist. Der Schutz gegen Rückstreuung arbeitet so zuverlässig, dass es keine falschen positiven Treffer oder "Unsicherheiten" in der Auswertung gibt. Eine Nachricht ist entweder gültig oder ungültig. Aus diesem Grund kann SecurityGateway ohne Bedenken so konfiguriert werden, dass ungültige Nachrichten abgewiesen werden; es muss dann nur sichergestellt sein, dass alle abgehenden Nachrichten den besonderen Kode des Schutzes gegen Rückstreuung enthalten. Die Ergebnisse der Prüfung durch den Schutz gegen Rückstreuung werden in jedem Fall protokolliert, und zwar auch dann, wenn das System Nachrichten nach fehlgeschlagener Prüfung nicht abweist.
|
Nachdem Sie den Schutz gegen Rückstreuung aktiviert haben, sollten Sie im Normalfall etwa eine Woche warten, bevor Sie SecurityGateway so konfigurieren, dass Nachrichten nach fehlgeschlagener Prüfung durch den Schutz gegen Rückstreuung abgewiesen werden. Während dieser Zeit könnten noch Nachrichten über Zustellfehler und Nachrichten von Auto-Beantwortern für solche Nachrichten eingehen, die versandt worden waren, bevor der Schutz gegen Rückstreuung aktiviert wurde. Würde der Schutz gegen Rückstreuung während dieser ersten Zeit bereits abweisen, so würden diese legitimen Antworten fälschlich abgewiesen werden. Nach etwa einer Woche wird es im Regelfall problemlos möglich sein, mit dem Abweisen von Nachrichten nach fehlgeschlagener Prüfung zu beginnen. Was vorstehend für den erstmaligen Einsatz des Schutzes gegen Rückstreuung gesagt wurde, gilt entsprechend, falls Sie einen neuen Schlüssel für den Schutz gegen Rückstreuung erstellen, die Option Bisherigen Schlüssel danach noch aufbewahren für [xx] Tag(e) aber nicht einsetzen, um den bisherigen Schlüssel noch für eine Übergangszeit zu speichern. |
Klicken Sie hier, um sofort einen neuen Schlüssel für den Schutz gegen Rückstreuung zu erzeugen.
Mithilfe dieser Verknüpfung können Sie sofort einen neuen Schlüssel für den Schutz gegen Rückstreuung erzeugen. Ist die Option Bisherigen Schlüssel danach noch aufbewahren für [xx] Tag(e) weiter unten aktiv, so können Nachrichten mit Kodes auf Basis des vorherigen Schlüssels noch für den dort angegebenen Zeitraum erfolgreich geprüft werden.
Ausschlüsse
IP-Adressen und Hosts auf der globalen Freigabeliste von Abwehrmaßnahmen ausnehmen
Per Voreinstellung sind Nachrichten von IP-Adressen auf der Freigabeliste von den Beschränkungen des Schutzes gegen Rückstreuung ausgenommen. Falls Sie den Schutz gegen Rückstreuung auch auf IP-Adressen auf der Freigabeliste anwenden wollen, deaktivieren Sie diese Option.
Nachrichten aus echtheitsbestätigten Verbindungen ausnehmen
Per Voreinstellung sind eingehende Nachrichten von den Beschränkungen des Schutzes gegen Rückstreuung ausgenommen, falls sie über Verbindungen mit Echtheitsbestätigung übermittelt wurden. Falls Sie den Schutz gegen Rückstreuung auch auf solche Nachrichten anwenden wollen, deaktivieren Sie diese Option.
Nachrichten von Mailservern der Domäne ausnehmen
Nachrichten, die durch Ihre Mailserver der Domäne übermittelt werden, sind per Voreinstellung von den Beschränkungen des Schutzes gegen Rückstreuung ausgenommen. Falls Sie den Schutz gegen Rückstreuung auch auf solche Nachrichten anwenden wollen, deaktivieren Sie diese Option.
Signatur für Antwortpfad der Nachrichten
Neuen Schlüssel für den Schutz gegen Rückstreuung erstellen alle [xx] Tag(e)
Per Voreinstellung wird alle 7 Tage ein neuer Schlüssel für den Schutz gegen Rückstreuung erzeugt. Der neue Schlüssel wird unmittelbar nach seiner Erstellung genutzt, um den Kode für den Schutz gegen Rückstreuung zu erzeugen und in abgehende Nachrichten einzufügen.
Bisherigen Schlüssel danach noch aufbewahren für [xx] Tag(e)
Per Voreinstellung speichert SecurityGateway den alten Schlüssel für den Schutz gegen Rückstreuung noch für 7 Tage ab dem Datum, an dem ein neuer Schlüssel erstellt wurde. Während dieser Zeit kann SecurityGateway zurücklaufende Nachrichten, die noch einen Kode auf Basis des alten Schlüssels enthalten, erfolgreich prüfen. Die Übergangszeit soll eingehalten werden, damit Nachrichten nicht versehentlich abgewiesen werden, nachdem ein neuer Schlüssel erstellt wurde. Es wird empfohlen, diese Option aktiviert zu lassen (siehe auch den Warnhinweis zur Option Nachrichten abweisen, bei denen die Prüfung gegen Rückstreuung fehlschlägt weiter oben).
Nachrichten an folgende IP-Adressen und Domänen nicht mit Signatur für den Antwortpfad versehen
Mithilfe dieser Option können Sie IP-Adressen und Domänennamen von der Signatur des Antwortpfads durch den Schutz gegen Rückstreuung ausnehmen.
