E-Mail

Stufe 1: Filterung von Malware und Spam beim Provider (DFN-Verein)

Unser Internet-Provider DFN (= Verein zur Förderung eines Deutschen Forschungsnetzes) hat den Auftrag, in unserem Namen ankommende Mail für die Domain „@tiho-hannover.de“ wie folgt zu filtern:

1. Malware-behaftete Mails werden abgelehnt.
2. Alle Mails werden mit einem sogenannten 'X-Spam-Score' bewertet.
   1. Überschreitet der X-Spam-Score den Wert 2.0, so wird ein X-Spam-Header zur Kennzeichnung gesetzt.
   2. Ab einem X-Spam-Score von 6.2 geht man von einer Spam-Mail aus, und sie werden im Betreff um [SPAM Score: SCORE] ergänzt.
   3. Mails ab einem X-Spam-Score von 12.5 werden abgewiesen.
3. Mails, welche nicht von den Servern der TiHo stammen, werden im Betreff mit [EXTERN] gekennzeichnet.

Insgesamt werden durch diesen Filter > 90% der (werk)täglich an der TiHo ankommenden Mails abgewiesen.

Stufe 2: Filterung von Malware und Spam bei der TiHo

Da seit einigen Jahren die Zahl der Malware- oder Spam-Mails, die diesen ersten Filter überwinden, zunimmt, setzen wir seit Sommer 2023 zusätzlich auf eine spezialisierte kommerzielle Sicherheitslösung für E-Mails. Diese filtert die Mails mit einer Reihe von aufwändigen Techniken ein zweites Mal.

Hier kommen folgende neue Abwehrmechanismen zum Einsatz:

System-Quarantäne

Diese Funktion dient dazu, verdächtige E-Mails zu isolieren und der Umgang mit diesen Mails effektiver zu organisieren. Die Systemquarantäne ist ein zentraler Bereich, in dem E-Mails landen, die als verdächtig oder gefährlich identifiziert wurden. Hierzu gehören nicht nur E-Mails mit Viren, sondern auch solche, die schädliche Anhänge oder Links enthalten, Spam-Nachrichten mit betrügerischen Absichten und potenziell andere Bedrohungen für die E-Mail-Infrastruktur.

Persönliche Quarantäne

Verdächtige E-Mails werden für 28 Tage in persönlichen Quarantänen zurückgehalten, bevor sie endgültig gelöscht werden. Die Empfänger erhalten hierzu regelmäßig eine Mail mit einer Quarantäne-Zusammenfassung.

Sollten die Empfänger mit der Klassifikation als Spam in der Quarantäne nicht einverstanden sein, kann dies durch eine Antwortmail bekannt geben werden.

Hierdurch wird eine erneute manuelle Prüfung der Mails initiiert, die zur Freigabe der zurückgehaltenen Mail führen kann. Eine diensthabende Person im IDS-Team trifft eine Entscheidung darüber, ob die E-Mail freigegeben oder abgelehnt wird. Wenn die E-Mail freigegeben wurde, wird sie in den regulären Posteingang verschoben, bei Ablehnung wird eine Rückmeldung per E-Mail zugesandt.

In diesem Zusammenhang bitten wir um Beachtung der "Richtlinie des Präsidiums der Stiftung Tierärztliche Hochschule Hannover zur Benutzung der IT-Ressourcen" vom 12.9.2017 (VkB 242) insbesondere §2 Abs. 5 (Private Nutzung der IT-Ressourcen) und Abs. 6 (Verbot der Nutzung der IT-Ressourcen, falls diese die Sicherheit des Netzwerks gefährdet). 

Whitelists

Ein weiterer Mechanismus ist die Nutzung von Whitelists. Bei dieser Liste vertrauenswürdiger Absender erfolgt keine Spam-Klassifizierung.

Schutz vor Identitätsdiebstahl (Impersonation)

Viele Phishing Angriffe auf die TiHo wurden und werden durchgeführt unter Vortäuschung eines gefälschten TiHo Absenders (Klassiker: Mitteilungen aus dem Rechenzentrum, dass ein Account ausläuft oder ein Postfach nicht genutzt werden kann).

Daher verwenden wir Energie darauf zu prüfen, ob eine vermeintliche Mail wirklich von der TiHo kommt, oder dieses nur vortäuscht. Hierbei werden der E-Mail-Header, die E-Mail-Adresse und die Absenderidentität auf Plausibilität geprüft.

Werden solche Mails erkannt, die mit dem Namen einer TiHo-Person aber einer Nicht-TiHo-Mailadresse verschickt werden, werden diese ebenfalls in der persönlichen Quarantäne abgelegt.

• Vorsicht bei E-Mails mit unbekanntem Absender
  Misstrauen Sie E-Mails, deren Absender(-adresse) Sie nicht kennen. Öffnen Sie in diesem Fall keine angefügten Dokumente oder Programme und nutzen Sie keine darin angegebenen Links.
• Auf Vertrauenswürdigkeit der Quellen achten
  Öffnen Sie nur Dateien oder Programme aus vertrauenswürdigen Quellen und nur nach vorheriger Prüfung mit einer aktuellen Antiviren-Software.
• Vorsicht bei Dateinamen mit zwei Endungen
  Öffnen Sie keine E-Mail-Anhänge, die zwei Endungen aufweisen (z. B. picture.bmp.vbs). Lassen Sie sich nicht durch das Icon einer solchen Datei täuschen. Deaktivieren Sie im Windows-Explorer unter Extras (Alt+X) -> Ordneroptionen... -> Ansicht die Option "Erweiterungen bei bekannten Dateitypen ausblenden".
• Software-Update des E-Mail-Programms
  Auch E-Mail-Programme können Sicherheitslücken aufweisen. Vergewissern Sie sich regelmäßig, ob ein Software-Update Ihres E-Mail-Programms vorhanden ist und spielen Sie dieses ein.
• Bitte schonen Sie die Ressourcen unseres Mail-Systems und verteilen keine Massenmails (weiter) – diese enthalten oft angehängte Dateien und eingebettete Links mit Malware. Nicht anklicken!
• Benutzen Sie insbesondere die Möglichkeit, zur Verteilung von Dateien an mehrere Empfänger über einen Link auf unsere Webseite, die TiHo-Cloud oder GigaMove, anstatt Dateien in vielen Mailboxen identisch zu replizieren. 

Durch eine elektronische Signatur zeigen Sie, dass Sie als Absender einer E-Mail "echt" sind. Wie Sie das dafür notwendige Nutzerzertifikat erhalten, beschreibt Ihnen unsere Anleitung: