Jeder kennt sie, keiner will sie: SPAM-E-Mails. Die RWTH Aachen war im Juli 2019 von einer SPAM-Welle betroffen. Obwohl viele E-Mails vom System erkannt und blockiert wurden, landeten dennoch viele E-Mails in den Postfächern der RWTH-Nutzenden, die in die Kategorie „SPAM“ fallen. Warum das so ist und was das IT Center den Nutzenden bei SPAM und Angriffen auf ihren Rechnern rät, lesen Sie hier.
In der nachfolgenden Abbildung finden Sie eine Übersicht, was Sie bei dem Verdacht auf einen infizierten Rechner tun können.
Unsere Anleitungen zum Thema SPAM und HAM (E-Mails, die fälschlicherweise als SPAM gekennzeichnet wurden), haben wir im Dokumentationsportal für Sie hinterlegt.
Verantwortlich für die Inhalte dieses Beitrags sind Jakob Dulian und Linda Jörres.
(*) Aktualisiert am 22.06.2020.
Wenn Sie keine nervigen SPAM-E-Mails in ihrem regulären Postfach sehen möchten, gibt es hier eine Anleitung, wie die mit „*****SPAM****“-gekennzeichneten E-Mails automatisch in einen Unterordner verschoben und entfernt werden können.
Doch: Kein System ist perfekt. Es kann trotz allem passieren, dass E-Mails in das Postfach gelangen, die vom SPAM-Filter nicht erkannt und gekennzeichnet werden, obwohl es sich um SPAM handelt. Diese E-Mails können Sie als Anhang an spam@access.ironport.com (*) schicken. Die Datenbank von IronPort nutzt diese E-Mails, um Muster von SPAM-E-Mails zu erstellen. Dadurch wird die Datenbank bekannter SPM-Beispiele erweitert. SPAM-Filter-Systeme lernen diese neuen Muster, können dadurch E-Mails besser prüfen und die Nutzenden vor SPAM schützen.
Wieso kann man nicht einfach die Absender von SPAM blockieren?
Angreifer machen sich die Rechner von anderen Personen zunutze, sie verschicken die SPAM-E-Mails also nicht direkt, sondern verstecken sich hinter anderen. Über infizierte Links oder Anhänge werden Rechner von Unwissenden infiziert, um von dort aus SPAM zu verschicken und Angriffe auf weitere Rechner vorzunehmen. Dadurch wird ein Netz aus infizierten Rechner aufgebaut, ein sogenanntes „Botnetz“.
Es gibt daher nicht eine Adresse, die blockiert werden kann, sondern Millionen einzelne infizierte Rechner. Der Angreifer kann die Rechner über einen Command and Control-Server steuern. Deshalb ist es schwierig den wahren Angreifer ausfindig zu machen.
Wollen Sie mehr über Botnetze wissen? Bleiben Sie gespannt, nächste Woche gibt es dazu mehr.
Umgang mit SPAM: Was tun, wenn es passiert ist?
Meist bemerkt man es selber erst, wenn andere einen darauf ansprechen. „Du verschickst SPAM!“, heißt es dann oft.
Der erste Schritt sollte immer die Änderung des Passwortes sein. Generell gilt, keine verdächtigen Links anzuklicken oder blindlings Anhänge zu öffnen. Leider kann man zur Überprüfung, ob man befallen ist, und anscheinend SPAM-E-Mails versendet, nicht einfach den Postausgang kontrollieren. Die SPAM E-Mails tragen einen Befehl in sich, sodass sie nicht in den ausgehenden Mails gespeichert werden. Hier hilft der kritische Blick auf das Verhalten des Rechners. Läuft er heiß? Werden viele Prozesse im Hintergrund ausgeführt? Ist er langsam? Am besten direkt einen Virenscan laufen lassen und einen Blick in den Task-Manager werfen.
In der nachfolgenden Abbildung finden Sie eine Übersicht, was Sie bei dem Verdacht auf einen infizierten Rechner tun können.
Unsere Anleitungen zum Thema SPAM und HAM (E-Mails, die fälschlicherweise als SPAM gekennzeichnet wurden), haben wir im Dokumentationsportal für Sie hinterlegt.
Verantwortlich für die Inhalte dieses Beitrags sind Jakob Dulian und Linda Jörres.
(*) Aktualisiert am 22.06.2020.
SPAM an der RWTH – Wie er ausfindig gemacht wird
Thomas Pätzold, Spezialist rund um das Thema E-Mail, erklärte uns den Prozess zur Erkennung von schädlichen E-Mails und, warum trotzdem ab und an noch SPAM in die Postfächer der RWTH-Nutzenden gelangt.
Kommt eine E-Mail bei den Servern der RWTH Aachen an, wird zunächst geprüft, ob der Absender bereits als Spammer bekannt ist. E-Mails von Servern, die bekannt dafür sind, dass sie SPAM versenden, werden gar nicht erst angenommen und gelangen gar nicht erst in die Postfächer der Nutzenden.
Im zweiten Schritt wird der Inhalt der E-Mail überprüft. Ähnelt eine E-Mail dem Muster einer bereits bekannten SPAM-E-Mail, greift der SPAM-Filter ein. Der Zusatz „*****SPAM*****“ wird in den Betreff eingefügt, um Empfänger zu warnen. Sollte ein Virus entdeckt werden, so wird der Anhang – in dem sich oft der Virus versteckt – gelöscht und mit einer leeren Textdatei ersetzt. E-Mails, die unauffällig sind, werden unverändert zugestellt.
In der nachfolgenden Abbildung wird der Prozess noch einmal bildlich dargestellt.
Wenn Sie keine nervigen SPAM-E-Mails in ihrem regulären Postfach sehen möchten, gibt es hier eine Anleitung, wie die mit „*****SPAM****“-gekennzeichneten E-Mails automatisch in einen Unterordner verschoben und entfernt werden können.
Doch: Kein System ist perfekt. Es kann trotz allem passieren, dass E-Mails in das Postfach gelangen, die vom SPAM-Filter nicht erkannt und gekennzeichnet werden, obwohl es sich um SPAM handelt. Diese E-Mails können Sie als Anhang an spam@access.ironport.com (*) schicken. Die Datenbank von IronPort nutzt diese E-Mails, um Muster von SPAM-E-Mails zu erstellen. Dadurch wird die Datenbank bekannter SPM-Beispiele erweitert. SPAM-Filter-Systeme lernen diese neuen Muster, können dadurch E-Mails besser prüfen und die Nutzenden vor SPAM schützen.
Wieso kann man nicht einfach die Absender von SPAM blockieren?
Angreifer machen sich die Rechner von anderen Personen zunutze, sie verschicken die SPAM-E-Mails also nicht direkt, sondern verstecken sich hinter anderen. Über infizierte Links oder Anhänge werden Rechner von Unwissenden infiziert, um von dort aus SPAM zu verschicken und Angriffe auf weitere Rechner vorzunehmen. Dadurch wird ein Netz aus infizierten Rechner aufgebaut, ein sogenanntes „Botnetz“.
Es gibt daher nicht eine Adresse, die blockiert werden kann, sondern Millionen einzelne infizierte Rechner. Der Angreifer kann die Rechner über einen Command and Control-Server steuern. Deshalb ist es schwierig den wahren Angreifer ausfindig zu machen.
Wollen Sie mehr über Botnetze wissen? Bleiben Sie gespannt, nächste Woche gibt es dazu mehr.
Umgang mit SPAM: Was tun, wenn es passiert ist?
Meist bemerkt man es selber erst, wenn andere einen darauf ansprechen. „Du verschickst SPAM!“, heißt es dann oft.
Der erste Schritt sollte immer die Änderung des Passwortes sein. Generell gilt, keine verdächtigen Links anzuklicken oder blindlings Anhänge zu öffnen. Leider kann man zur Überprüfung, ob man befallen ist, und anscheinend SPAM-E-Mails versendet, nicht einfach den Postausgang kontrollieren. Die SPAM E-Mails tragen einen Befehl in sich, sodass sie nicht in den ausgehenden Mails gespeichert werden. Hier hilft der kritische Blick auf das Verhalten des Rechners. Läuft er heiß? Werden viele Prozesse im Hintergrund ausgeführt? Ist er langsam? Am besten direkt einen Virenscan laufen lassen und einen Blick in den Task-Manager werfen.
In der nachfolgenden Abbildung finden Sie eine Übersicht, was Sie bei dem Verdacht auf einen infizierten Rechner tun können.
Unsere Anleitungen zum Thema SPAM und HAM (E-Mails, die fälschlicherweise als SPAM gekennzeichnet wurden), haben wir im Dokumentationsportal für Sie hinterlegt.
Verantwortlich für die Inhalte dieses Beitrags sind Jakob Dulian und Linda Jörres.
(*) Aktualisiert am 22.06.2020.
Hallo zusammen,
da ich aktuell wieder viel Spam auf meine RWTH-Adresse bekomme, der nicht als solchen gekennzeichnet wird, bin ich auf diese Seite gestoßen. Offenbar ist aber die Zieladresse, um SPAM zu melden, mittlerweile eine andere. Siehe https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/214133-how-to-submit-email-messages-to-cisco.html – Absatz Direct Email Submission. Es macht vielleicht Sinn, diesen Beitrag nochmal dementsprechend anzupassen.
Gruß,
Achim Hentschel
Guten Tag Herr Hentschel,
vielen Dank für Ihren Hinweis!
Die E-Mail-Adressen wurden im Text und im Schaubild entsprechend angepasst.
Freundliche Grüße
Linda Jörres
IT Center-Blogteam
Spannender Post, leicht verständlich. Danke.