E-Mails sind aus unserem Alltag nicht mehr wegzudenken – in Unternehmen schon lange nicht mehr und auch in unseren Schulen haben sie Einzug gehalten. Damit kommen auf Schulen die gleichen Probleme zu, die Organisationen schon lange kennen: Organisationen mit Tausenden von Schülern, Lehrern und Verwaltungsangestellten bieten für Hacker ein genauso lohnendes Ziel wie große Unternehmen.

In diesem Artikel zeige ich Ihnen einige einfache und gleichzeitig höchst wirksame Maßnahmen, die Sie als Administrator einer Unternehmens-IT oder einer Schul-IT ergreifen können, um Ihre Nutzer und Ihre Mail-Server effektiv vor Hacker-Angriffen zu schützen. Denn massenhafte Spams sind nicht nur lästig sondern auch gefährlich. Sie können dazu führen, dass Ihre E-Mail-Server von anderen Mail-Servern als nicht mehr vertrauenswürdig eingestuft werden und Ihre Nutzer reguläre Mails nicht mehr versenden können.

Während sich in der Unternehmenswelt oft bereits ein Verständnis für IT-Sicherheit durchgesetzt hat, ist dies in der Schule ungleich schwerer. Zum einen sind die Ressourcen für die Verwaltung von Schul-IT begrenzt, zum andern ist das Verständnis für Technologie und Sicherheitsstandards noch nicht ausgeprägt. Insbesondere, wenn es sich bei den Nutzern um Lehrer handelt, für die IT im besten Fall ein Hobby ist, oder um jüngere Schüler, die sich der Brisanz des Themas wohl noch weniger bewusst sind.

E-Mail-Accounts sind ein besonders lohnenswertes Ziel, da sich über einen E-Mail-Server nicht nur die Nutzer in Ihren Schulen oder Unternehmen angreifen lassen, sondern auch alle E-Mail-Nutzer, die mit diesen verbunden sind. Für einen Spammer ist nicht der Absender entscheidend, für ihn ist wichtig, dass seine E-Mail bei besonders vielen Empfängern ankommt. Aus diesem Grund ist es besonders wichtig, dass E-Mail-Server gegen fremden Zugriff und Missbrauch gesichert werden.

Die Sicherung des Servers ist aber nicht nur wichtig, um Spam-E-Mails zu verhindern. Auch für die Sicherstellung des offiziellen und gewünschten Versands von E-Mails spielt sie eine wichtige Rolle. Denn eine weit verbreitete Anti-Spam-Maßnahme ist das Blacklisting von Servern. Dabei werden Server, die besonders viele Spam-E-Mails versenden, auf eine Blacklist gesetzt. Die Mail-Server anderer Organisationen nehmen dann keine E-Mails mehr von diesem Server an. Sollte ein Unternehmens- oder Schulserver also zum Versenden von Spam-E-Mails missbraucht werden und daraufhin auf der Blacklist stehen, beeinträchtigt dies nicht nur die Spam-E-Mails, sondern auch alle legitimen E-Mails, die von Mitarbeitern, Schülerinnen oder Lehrkräften versendet werden.

Jedoch können Ihnen bereits ein paar durchdachte Maßnahmen schnell und kostengünstig helfen, das Problem zu erkennen und zu entschärfen.

Nutzersensibilisierung – Vorsicht ist die Mutter der Porzellankiste

Egal ob im Unternehmen, dem Verein, der Schule oder in der eigenen Familie – an erster Stelle steht immer die Sensibilisierung der Nutzer. Ihnen muss klar gemacht werden, keine zu einfachen oder zu nachvollziehbaren Passwörter zu wählen. Um dieser Sensibilisierung aber auch „Nachdruck“ zu verleihen, können Sie in Ihrem Mailserver Passwortregeln für die Nutzung von E-Mail-Accounts definieren. Hier legen Sie z. B. eine Mindestkomplexität fest, die ein Passwort aufweisen muss und können einstellen, dass das Passwort in regelmäßigen Abständen aktualisiert werden muss. Ihnen als Administrator oder als Lehrer einer Klasse sollten diese Regeln natürlich bekannt sein, damit Sie Fragen Ihrer Nutzer oder der Schüler schnell beantworten können.

Nutzerauthentifizierung – Ihr erste Verteidigungslinie

Neben diesen ersten Basismaßnahmen können Sie dank diverser technischer Tools noch mehr für die Verteidigung Ihrer E-Mail-Server tun. Univention Corporate Server hat die wichtigsten technischen Tools für eine Absicherung von E-Mails bereits standardmäßig implementiert.
Als erste Verteidigungslinie ist in UCS eingerichtet, dass nur E-Mails akzeptiert werden, die entweder für einen Empfänger in der Domain bestimmt sind oder von einem Nutzer gesendet wurden, der ein Postfach in der Domain besitzt.

Ein Benutzer, der eine E-Mail an extern versenden will, muss sich dabei zunächst mit seinem Passwort authentifizieren, bevor er eine E-Mail zu einem Empfänger außerhalb der Domain versenden kann. Wer nun eine E-Mail über einen UCS Server an ein externes Postfach verschickt, kann also nicht einfach behaupten, der Besitzer des Accounts zu sein, sondern muss dies auch nachweisen.

Daher ist es besonders wichtig, dass die Passwortqualität ausreichend ist und sich kein Nutzer mit „1234“ als Passwort anmelden kann.

 

Absicherung gegen Angriffe von privaten Geräten – Ihre zweite Verteidigungslinie

Bereits die beiden oben genannten Maßnahmen werden vermutlich die meisten Versuche, Ihren Mail-Server als Spamquelle zu nutzen, verhindern. Wenn sich in Ihrer Umgebung jedoch eine große Anzahl von Benutzern befindet, die private Geräte benutzen – Sie also ein typisches Bring-your-Own-Device-Szenario administrieren – müssen Sie sich auch mit dem Problem auseinandersetzen, dass die Systeme einiger Nutzer bereits durch Malware infiziert sind. Diese Malware kann die E-Mail-Clients nutzen, um über sie Spam-E-Mails zu verschicken. Visualisierung Computer VirusDa diese E-Mail-Clients über ein gültiges Konto laufen, werden die vorhin genannten Maßnahmen in diesem Fall nicht greifen. Wenn es außerdem einem Dritten gelingt, die Anmeldeinformationen des jeweiligen Nutzers abzugreifen, reicht eine einfache Passwortauthentifizierung nicht mehr aus, um Spam sinnvoll zu verhindern. In unserem Artikel zum Schutz vor Ransomware haben wir bereits einen Überblick über viele weitere Angriffspunkte und Verteidigungsmöglichkeiten gegeben.

Regelbasierte Systeme, um suspekte E-Mail-Aktiviäten zu erkennen – Ihre Bastion

Aber auch auf dem Server selbst lassen sich weitere Maßnahmen treffen, die den Spamversand erschweren. Mit sogenannten „regelbasierten Systemen“ können Sie Plausibilitätskontrollen durchführen, die zeigen, ob ein real existierender Nutzer eine E-Mail versendet oder hier gerade eine fragwürdige Aktion ausgeführt wird. Typische Fragen, mit denen Sie als Administrator diese Wahrscheinlichkeit abfragen, könnten sein: „Kann dieser spezielle Nutzer von diesem expliziten Ort aus überhaupt eine Mail senden?“ und „Versendet der Nutzer eine ungewöhnlich große Anzahl von E-Mails?“. Sollte ein Mitarbeiter oder ein Schüler beispielsweise tausend E-Mails in fünf Minuten verschicken, wäre das wohl kaum ein normaler Anwendungsfall und der Server sollte diese Mails blockieren. Ebenso wenig werden Grundschüler um 2 Uhr morgens E-Mails versenden oder sich während der Schulzeit aus dem Ausland anmelden. Genauso wenig wird einer Ihrer Kollegen vor Ort gerade Mails aus Hongkong verschicken, wenn Ihr Unternehmen dort weder eine Niederlassung hat noch Dienstreisen in diese Region wahrscheinlich sind.

Automatische Prüfungen durch mtpolicyd-Daemon – Ihre Wunderwaffe

All diese Prüfungen können automatisch mithilfe eines mtpolicyd-Daemon durchgeführt werden. Mit dem Daemon können Sie eine Whitelist der Länder erstellen, aus denen E-Mails versendet werden dürfen. Außerdem können Sie eine Obergrenze für die Anzahl an Nachrichten, die pro Tag gesendet werden dürfen, einrichten. Wichtig hierbei: Eine Sendebegrenzung zählt die Anzahl an Empfängern, nicht die der E-Mails. Ist z. B. 1000 als Obergrenze festgelegt und Sie wollen eine E-Mail an 1001 Empfänger verschicken, wird dies nicht möglich sein, da Sie Ihr Limit um einen Empfänger überschritten haben.

In unserem Wiki finden Sie Anleitungen zum Einrichten und Konfigurieren von mtpolicyd für UCS. Wir haben diese Pakete bereits erfolgreich bei Kunden für den UCS Mailstack und für Open-Xchange eingerichtet. Weitere Prüfungen lassen sich einfach per UCR oder über die Konfiguration einbinden. Wir freuen uns über Feedback und weitere Anregungen.

Fazit – Ihre Verteidigungslinie steht

Durch regelbasierte Systeme lässt sich der E-Mail-Versand sinnvoll einschränken. Diese Richtlinien tragen maßgeblich dazu bei, den Spamversand zu reduzieren und Schülern sowie Lehrern aber auch Unternehmensnutzern, ein sicheres und zuverlässiges E-Mail-System bereitzustellen. Damit leisten Sie allen von uns einen Dienst, indem Sie helfen, die Anzahl von Spam zu reduzieren.
Die schnell und einfach durchzuführende Installation eines mtpolicyd-Daemon und die Einrichtung per UCR-Richtlinien kann verhindern, dass in Zukunft von Ihrem Server unerwünschte E-Mails verschickt werden.


 

Weitere interessante Blogartikel zu dem Thema Mail:

Kevin Dominik Korte studierte Informatik an der Jacobs University Bremen und schloss 2011 mit einem Master of Science ab. Anschließend arbeitete er zwei Jahre im Professional Services Team von Univention. Seit Oktober 2013 ist er President of Univention North America Inc. und für die Geschäftsentwicklung in den USA verantwortlich.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.