A

Absenderreputation

Zur Berechnung Vertrauenswürdigkeit eines E-Mail-Absenders setzt NoSpamProxy das Verfahren der sogenannten Absenderreputation ein. Dieses Verfahren basiert auf der Prüfung von E-Mails hinsichtlich

der SPF-Einträge,

des DKIM-Protokolls und

der DMARC-Spezifikation.

Nur, wenn alle Prüfungen positiv ausfallen, wird die jeweilige E-Mail als vertrauenswürdig eingestuft.

Jetzt Ratgeber zum Thema „SPF, DKIM, DMARC und DANE“ downloaden!

C

Content Disarm and Reconstruction (CDR)

CDR macht gefährlichen Schadcode in Word- und Excel-Dateien unschädlich, indem es die gesamte E-Mail inklusive Anhängen in ein ungefährliches PDF umwandelt. Dazu werden die einzelnen Dateien zunächst zerlegt, analysiert und mit Dateistandards und/oder Unternehmensrichtlinien verglichen. Alle abweichenden Elemente werden entfernt und die Datei neu zusammengesetzt. Da alle Arten von potentiell schädlichem Schadcode entfernt werden, kann CDR auch bei Zero-Day-Schwachstellen Schutz bieten.

CxO Fraud

Beim sogenannten CxO Fraud – auf Deutsch „Chef-Betrug“ – geben sich Kriminelle als wichtige Mitarbeiter des jeweiligen Unternehmens aus. Es werden täuschend echte E-Mails versendet – beispielsweise im Namen des Geschäftsführers. Häufig werden Mitarbeiter durch diese E-Mails angewiesen, Geldbeträge auf ausländische Konten zu überweisen oder sensible Unternehmensdaten preiszugeben.

Techniken wie CxO-Fraud oder auch Social Engineering sind Teile des Trends zu individualisierten Angriffen, bei denen die potentiellen Opfer auf eine möglichst persönliche oder authentische Weise angesprochen werden, um diese zum Öffnen von gefährlichen E-Mails zu bewegen.

NoSpamProxy prüft bei eingehenden E-Mails die From- und Sender-Header auf Namen wichtiger Mitarbeiter des Unternehmens. Verdächtige E-Mails können abgelehnt, angenommen oder in ein dediziertes Postfach zur weiteren Analyse umgeleitet werden.

D

DKIM

DomainKeys ist ein Identifikationsprotokoll, mit dessen Hilfe die Authentizität von E-Mail-Absendern verifiziert werden kann. Mit Hilfe von Domain Keys Identified Mail (DKIM) wird ein Domänenname unter Anwendung einer digitalen Signatur mit einer E-Mail verknüpft. Die Verifizierung nutzt den öffentlichen, Schlüssel des Domäneninhabers. Dieser Schlüssel muss dazu im DNS (Domain Name System) veröffentlicht worden sein.

So verhindert DKIM die Verschleierung von Absenderadressen und dämmt auf diese Weise die Verbreitung von Phishing-E-Mails ein.

DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) ist eine Spezifikation, deren Ziel es ist, E-Mail-Missbrauch zu reduzieren. Der DMARC-Eintrag enthält Anweisungen dazu, wie der Empfänger einer E-Mail die Authentifizierung durchführen soll. Der Absender kann zudem Empfehlungen dazu geben, auf welche Art der Empfänger mit E-Mails umgeht, die nicht den Anforderungen von SPF und DKIM entsprechen. Sofern der Empfänger ebenfalls die DMARC-Spezifikation anwendet, ist eine konsistente Prüfung der Authentizität dieser E-Mail gesichert. DMARC nutzt die TXT-Records des Domain Name Systems (DNS).

E

Echtzeit-Schutz

NoSpamProxy Protection integriert die Cyren Zero-Hour-Technologie. Diese scannt das Internet proaktiv und identifiziert potenzielle Virus-Ausbrüche besonders schnell. Im Gegensatz zu signaturbasierten Verfahren erkennt diese Lösung den Ausbruch neuer Viren bereits während des Auftretens.

Die Kosten, die Malware, Ransomware und Spyware verursachen können, sind kaum zu beziffern. Verschiedene Studien gehen von Beträgen um 50 Milliarden Dollar jährlich aus – eine echte wirtschaftliche Gefahr für Unternehmen und Privatpersonen. Spam-E-Mails sind also schon lange mehr als nervende Werbe-E-Mails, und durch Anwendung von Methoden des Social Engineering wird es für Nutzer immer schwieriger, Spam zu erkennen und von erwünschten E-Mails zu unterscheiden.

Ein wirksamer Anti-Spam-Filter schützt sie vor finanziellen Verlusten, Schäden an Ihrer IT-Infrastruktur und erspart Ihnen zudem den Ärger im Umgang mit Spam-Emails.

F

False Positive

Als False Positives bezeichnet man E-Mails oder Dateien, die irrtümlich als gefährlich eingestuft und blockiert wurden. False Positives sind problematisch, da die geblockten E-Mails wichtige Informationen, Dokumente oder Dateien enthalten können, die so nicht den Empfänger erreichen.

NoSpamProxy versendet für jede blockierte E-Mail eine Nachricht darüber, dass die betreffende E-Mail nicht zugestellt wurde. Der Empfänger ist somit über die entgangene E-Mail informiert und kann den Absender anrufen und um das erneute Versenden der betreffenden E-Mail bitten. Die erneut versendete E-Mail spricht die Level of Trust Funktion des Gateways an, so dass E-Mails dieses Absenders künftig angenommen werden.

G

Greylisting

Greylisting ist eine Methode zur Spam-Bekämpfung, bei der der erste Zustellversuch einer ankommenden E-Mail mit unbekanntem Absender abgewiesen wird. Die Idee basiert darauf, dass viele Spammer nach einem missglückten Zustellversuch aufgeben und keine weitere E-Mail an dieselbe Adresse versenden.

NoSpamProxy berechnet für jede eingehende E-Mail das sogenannte Spam Confidence Level (SCL). Dieses sagt aus, mit welcher Wahrscheinlichkeit es sich bei einer E-Mail um Spam handelt. In NoSpamProxy Protection kann ein Schwellenwert definiert werden, unterhalb dessen eine E-Mail als ungefährlich eingestuft wird. Bleibt eine E-Mail nur knapp unter dem definierten Wert, würde diese E-Mail ohne Greylisting ebenfalls als gut bewertet werden. Das Greylisting in NoSpamProxy Protection lässt nun diese E-Mail nicht gleich durch, sondern lehnt sie temporär ab. Der Schwellenwert ist hierbei frei konfigurierbar.

H

Homographischer Angriff

Homographische Angriffe sind eine Unterform des Spoofing, bei dem Angreifer das ähnliche Aussehen verschiedener Schriftzeichen dazu nutzen, eine falsche Identität – meist der absenden Domain – vorzutäuschen. Nutzer werden so zu einer Domain geleitet, insbesondere bei Domains. Der Angreifer lockt den Nutzer zu einem Domainnamen, der fast genauso aussieht wie ein bekannter Domainname. Beispiele für ähnlich aussehende Schriftzeichen sind die kyrillischen Buchstaben а с, е, о, р, х und у, die für viele Nutzer genauso aus wie die lateinischen Buchstaben c, e, o, p, x und y.

NoSpamProxy prüft, ob im To- oder From-Header Zeichen aus anderen Alphabeten enthalten sind und vergibt innerhalb des Reputationsfilters für diese Fälle Strafpunkte.

I

Inhaltsfilter

Inhaltsfilter werden dazu verwendet, E-Mail-Anhänge auf Basis von zuvor definierten Kriterien zu erlauben, zu blockieren oder umzuleiten. Kriterien können beispielsweise der Dateiname, der Dateityp oder die Größe des E-Mail-Anhangs sein. Entscheidend ist aber nicht nur das treffsichere Erkennen des jeweiligen Anhangs, sondern auch dessen weitere Verarbeitung.

NoSpamProxy Protection erlaubt die Anwendung aller oben genannten Kriterien und bietet zudem die Möglichkeit, Aktionen wie Sperren, Zulassen, Hochladen der Anhänge oder Abweisen der E-Mail auszuführen. Zusätzlich bietet Content Disarm and Reconstruction die Option, die komplette E-Mail inklusive aller Anhänge in ungefährliche PDF-Dateien zu verwandeln. So werden aktive Inhalte entfernt und potentiell gefährliche Dokumente entschärft.

L

Level of Trust

Das Level-of-Trust-System in NoSpamProxy ist ein mehrschichtiges Konzept, das die Vertrauenswürdigkeit einer Kommunikationsbeziehung oder einer Domäne beurteilt. „Vertrauen“ muss sich ein Absender verdienen. Stärkster Pluspunkt dabei ist eine verlässliche und dauerhafte Verbindungshistorie. Das System bewertet verschiedene Kriterien, u.a. Absenderadressen und Prüfsummen, vor allem aber auch die Adressbeziehungen zwischen Absendern und Empfängern von E-Mails. NoSpamProxy lernt so, welche Ihrer Kommunikationsbeziehungen erwünscht sind und welche nicht.

P

Phishing

Das Wort Phishing ist eine Kombination der Wörter password und fishing. Es beschreibt den Versuch, Personen dazu zu bringen, sensible oder vertrauliche Daten preiszugeben. Um dies zu erreichen, geben sich die Kriminellen in Phishing-Mails als jemand anders aus – als Onlineshop, als Bankinstitut oder als Ihr Chef. Originalgetreu nachgebaute E-Mails und dazugehörige Websites sorgen dafür, dass Menschen immer wieder Opfer von Phishing-Betrug werden.

NoSpamProxy hilft dabei, Sie vor Phishing zu schützen. NoSpamProxy überprüft konsequent, ob die jeweilige E-Mail vom angegebenen Absender stammt. Dieses wird beispielsweise durch die Prüfung der Absenderreputation und das Erkennen von homographischen Angriffen erreicht. Das wirkungsvolle Anhangsmanagement in NoSpamProxy entschärft zudem gefährliche Anhänge, die Schadcode enthalten.

S

Sandboxing

Sandboxing ist eine Technologie, mit deren Hilfe Dateien und URLs innerhalb eines isolierten Bereichs analysiert werden können. Dieses Vorgehen schützt die Anwender und Systeme der Nutzer, die auf in E-Mails enthaltene Links klicken oder potentiell gefährliche Anhänge öffnen.

NoSpamProxy integriert die Sandboxing-Technologie des führenden Internet-Security-Anbieters Cyren und bietet mit seinem Sandbox-Service so einen umfassenden Schutz gegen Viren und andere Bedrohungen. Bösartige Dateien, URLs sowie Befehl- und Steuer-Traffic werden sofort blockiert, und die Wahrscheinlichkeit der Erkennung von Malware steigt signifikant. Ein großer Vorteil des NoSpamProxy-Sandbox-Service ist die Tatsache, dass die Prüfung nicht nur in einer einzelnen Sandbox, sondern in einem Sandbox-Array durchgeführt wird.

Social Engineering

Als Social Engineering bezeichnet man den Versuch, Menschen auf zwischenmenschlicher Ebene zu beeinflussen, um sie zu einem bestimmten Verhalten zu bewegen. Ziel ist hierbei, sensible Daten und Informationen oder Finanzmittel – auch in Form eines Warenkaufs – von den Betroffenen zu erhalten. Erreicht wird dies beispielsweise, indem das Umfeld des Opfers ausspioniert wird, um eine andere Identität glaubhaft vortäuschen zu können.

In diesem Zusammenhang ist Social Engineering eng mit Phishing und CxO-Fraud verwandt, da es dort gerade um das Vortäuschen von Identitäten geht.

SPF (Sender Policy Framework)

SPF-Einträge nennen – vereinfacht gesagt – die IP-Adressen, von denen aus E-Mails für diese Domain versendet werden dürfen. Durch den Abgleich der sendenden IP-Adresse mit den SPF-Einträgen lässt sich erkennen, ob eine E-Mail von zweifelhafter Herkunft ist oder nicht. Der Inhaber einer Domain trägt dabei Informationen dazu in das Domain Name System (DNS) ein, welche Computer zum Versand von E-Mails für die jeweilige Domain berechtigt sind.

T

Tarpitting

Durch den Einsatz einer Teergrube („tarpit“) werden unerwünschte Netzwerkverbindungen künstlich verlangsamt. Das Ziel des Tarpittings ist es, den Kommunikationspartner möglichst lange zu blockieren und letztendlich zum Aufgeben – also zum Einstellen der Kommunikationsversuche – zu bringen. Teergruben werden zur Bekämpfung von Spam eingesetzt.

Allerdings hat Tarpitting einige problematische Seiteneffekte. Firmenintern kann es zu Problemen kommen, wenn jemand eine gültige E-Mail an 100 oder mehr gültige Empfänger in Ihrem Unternehmen sendet. Tarpitting trifft in diesem Fall die falsche Stelle. Ein anderes Beispiel ist die Tatsache, dass für das Anlegen der Teergrube einige Verbindungen des eigenen Mailservers unverhältnismäßig lange geöffnet sein müssen – wodurch eventuell andere Verbindungen (die wichtige E-Mails zu Ihnen transportieren würden) blockiert sind.

U

URL Rewriting

Das Erkennen und Entschärfen gefährlicher Links ist eine der wichtigsten Funktionen von Anti-Spam-Filtern. Durch das Umschreiben von Links wird verhindert, dass auf gefährliche Inhalte wie zum Beispiel Phishing-Webseiten zugegriffen werden kann.

NoSpamProxy setzt den URL Safeguard ein, welcher jeden einzelnen Link unmittelbar nach dem Anklicken überprüft und nur dann den Zugriff erlaubt, wenn das Ziel des Links sicher ist.

V

Virensignatur

Über eine spezifische Byte-Abfolge – die Virensignatur – ist jedes Virus eindeutig identifizierbar. Man könnte sie auch als Fingerabdruck bezeichnen. Für das Erstellen eines solchen Fingerabdrucks ist es notwendig, mehrere Exemplare eines Virus zu untersuchen, da es im Laufe der Ausbreitung zu Veränderungen im Code geben kann. Für Anti-Viren-Programme sind Datenbanken, die die aktuellen Signaturen enthalten, die wichtigste Voraussetzung, um einen Schutz garantieren zu können.

NoSpamProxy Protection integriert die Zero Hour Technologie von Cyren. Diese scannt das Internet proaktiv und identifiziert potenzielle Virus-Ausbrüche besonders schnell. Ausbrüche neuer Viren werden bereits während ihres Auftretens erkannt, so dass IT-Systeme bereits innerhalb der ersten Sekunden geschützt sind.

W

Whitelisting

Eine Whitelist ist eine Positiv-Liste, auf der alle explizit erlaubten E-Mail-Adressen aufgeführt sind. Jeder einzelne Eintrag auf einer Whitelist ist damit eine Ausnahme zu bestehenden Verboten. Der Vorteil von Whitelists ist, dass sich sehr zentral steuern lässt, welche E-Mail-Adressen erlaubt sind.

In bestimmten Szenarien – wie der Auslieferung Newslettern – ist der Einsatz einer Whitelist sinnvoll, da ohne diese die Auslieferung auf Grund eines fehlenden Level-of-Trust-Eintrags blockiert werden würde. Viele Newsletter sind aber erwünscht, da ihre Inhalte mit Zustimmung des Empfängers ausgeliefert werden.

Die CSA-Whitelist in NoSpamProxy ist eine Positiv-Liste, bei der ein Kontrollgremium die Rechtmäßigkeit der versendeten Newsletter überwacht. Dadurch können Newsletter von Versendern, die sich auf der CSA-Whitelist befinden, gefahrlos zugestellt werden.

Wortfilter

Ein Wortfilter scannt einkommende E-Mails auf bestimmte Schlüsselwörter, die typisch für Spam-E-Mails sind. Enthält eine E-Mail eines dieser Schlüsselwörter, wird die E-Mail geblockt. Das Problem ist, dass nicht alle Fälle eindeutig sind. Ein Beispiel: Wenn Sie einen Wortfilter einsetzen, ist der Ausdruck „Viagra“ sehr wahrscheinlich auf Ihrer „schwarzen“ Liste. Das Ziel: Sie möchten E-Mails mit „Viagra“-Werbung blocken. Für ein Pharma-Unternehmen ist dieser Ausdruck jedoch nur sehr bedingt ein Spam-Kriterium.

Mit NoSpamProxy Protection können Sie selbst aussuchen, ob Sie „Viagra“ in den Wortfilter aufnehmen, ob Sie überhaupt einen Wortfilter einsetzen und wenn ja, wie stark er in die Bewertung einer E-Mail als Spam eingeht. Denn wenn eine E-Mail ansonsten seriös erscheint oder von einem bekannten E-Mail-Sender kommt, kann das Auftreten des verdächtigen Wortes unter Umständen akzeptabel sein. In Verbindung mit dem Level-of-Trust-System wäre der Wortfilter nur eines von vielen Kriterien, die bei der Bewertung der E-Mail berücksichtigt wird.

Haben Sie Fragen? Schreiben Sie uns.

4 + 2 = ?

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn

Telefon +49 5251 304-600
Telefax +49 5251 304-650
www.netatwork.de