ANHANG D. ANWENDUNGEN DER FERMDANBIETER........................................ 134
KAPITEL 1. KASPERSKY®
ANTI-SPAM 3.0
Kaspersky
genant) ist ein Programmkomplex, der das Filtern der elektronischen Post
durchführt und als Ziel hat, die Benutzer des E-Mail-Systems von dem
Massenversand - Spam zu schützen.
Anhand von vordefinierten Richtlinien, bearbeitet Kaspersky Anti-Spam die
Nachricht, das heißt: entweder stellt die Nachricht dem Benutzer unverändert zu,
blockt sie, generiert eine Benachrichtigung darüber, dass die Nachricht nicht
angenommen werden kann, verändert oder ergänzt die Betreffzeile, und führt
andere von dem Administrator festgelegte Aktionen durch.
Jede Nachricht wird auf typische Merkmahle des unerwünchten WerbeMassenversand untersucht.
Als erstes, werden unterschiedliche E-Mail-Parameter untersucht: Absenderund Empfängeradresse (envelope), Grösse der Nachricht, wie auch die Headers
der E-Mail (Überschrifte From und To eingeschlossen). Außerdem, führt
Kaspersky Anti-Spam folgende Untersuchungen während der Analyse durch:
• Überprüfung der Absenderadresse (E-Mail und/oder IP-Adresse) mit Hilfe
• Vorhandensein der IP-Adresse des Absenders in diesem oder jenem der
®
Anti-Spam 3.0 (weiter auch Kaspersky Anti-Spam oder Produkt
der Schwarz- und Weißlisten;
DNS-based real time black hole list (DNSBL);
DNSBL (DNS based black hole list) – IP-Adressen-Datenbank
der Mailserver, von welchen Massenversand ausgeführt wird.
Solche Mailserver nehmen die Nachrichten von allen an und
versenden diese an jemanden weiter. Das Benutzen von
DNSBL gibt Ihnen die Möglichkeit das Annehmen der
Nachrichten von so einem Server automatisch zu verbieten.
Richtlinien der Listenerstellung sind bei den Service
unterschiedlich. Bitte legen Sie die Richtlinien sorgfältig durch,
bevor Sie diesen Service zur Filterung der Nachrichten
benutzen.
• Vorhandensein des DNS-Eintrags über den Absender-Server (reverse
DNS lookup);
• Überprüfung der IP-Adresse des Absenders auf Übereinsimmung mit der
für die Domäne erlaubten Adressen mit Hilfe der Sender Policy
Framework Technologie (SPF);
Kaspersky® Anti-Spam 3.0 7
• Überprüfung der Adressen und Links zu Webseiten, die im E-Mail-Text
enthalten sind, mit Hilfe des Dienstes Spam URI Realtime Blocklists
(SURBL).
Als Zweites, wird Inhaltsfilterung benutzt, das heißt, es werden Inhalt einer EMail (einschließlich E-Mail-Header Subject) und eingefügte Dateien
1
analysiert.
Dabei werden linguistische Algorithmen benutzt, die auf dem Vergleichen der
Nachricht mit Muster-E-Mail und auf der Suche charakteristische Begriffe (Wörter
und Wortverbindungen) basieren.
Kaspersky Anti-Spam führt auch Untersuchung der grafischen Dateien durch und
vergleicht diese mit den Signaturen von bekannten Spam-Nachrichten.
Ergebnisse des Vergleichs werden brücksichtigt beim Entscheiden, ob E-Mail
zum Spam gehört.
E-Mails, in den Anzeichen der unerwünchten Korrespondenz gefunden werden,
werden der Filterung-Richtlinie entsprechend behandelt (s. Pkt. 2.3 auf S. 21).
Filterung-Richtlinie wird mit Hilfe der Verwaltungszentrale vom Administrator
eingestellt (s. Pkt.2.6 auf S.23).
1.1.Was ist neue in der Version 3.0
Kaspersky Anti-Spam 3.0 behältet alle Vorteile der Vorgängerversion bei, enthält
aber auch eine Reihe von Verbesserungen und Erweiterungen:
1. Neue Version des Filterungskerns Spamtest.
Neue Version des Filterungskerns Spamtest, welcher zum Inhalt von
Kaspersky Anti-Spam 3.0 gehört, besitzt folgende Eigenschaften:
• Erhöhte Produktivität und Arbeitsstabilität;
• niedrige Anforderungen an die Grösse des Arbeitsspeichers;
• niedriger Netzwerkverkehr über das Internet (Updates der
Datenbasen der Inhaltsfilterung).
2. Verbesserte Filterungsmethoden.
Praktisch alle Methoden der Spamerkennung, die in Vorgängerversion
benutzt wurden, wurden verbessert; unter Anderen:
1
Es werden Einlagen folgender Formaten untersucht Plain text, HTML, Microsoft Word,
RTF (Details s. Pkt. 2.2.2 auf S.18).
8 Kaspersky
®
Anti-Spam 3.0
• Es wurden Auswertungs-Algorithmen der HTML-Objekte in EMail verbessert (erhöht Bekempfungseffektivität der SpammerTricks, die auf das Umgehen der Filterungsysteme ausgerichtet
sind);
• Analysesystem der E-Mail-Header wurde erweitert und
verbessert;
• Analysesystem der grafischen Einlagen (GSG) wurde
verbessert,
• Die Benutzung der Dienste Sender Policy Framework (SPF)
und Spam URL Realtime Blocklists (SURBL) wurde
hinzugefügt.
•das Benutzen des eigenen Dienstes Urgent Detection System
(UDS) wurde eingeschaltet, dies erlaubt die Daten über SpamArten in Echtzeit zu erhalten.
3. Ein grundsätzlich neues Interface.
Kaspersky Anti-Spam 3.0 benutzt eine Verwaltungszentrale, diese
erlaubt Ihnen:
• Produkteinstellungen vornehmen: Filterungsrichtlinien,
Aktionen an den Nachrichten, Produktivitätsparameter u.s.w.;
• Produktlizenzen verwalten: Lizenzschlüssel installieren,
Information über aktuellen Lizenzschlüssel ansehen;
• Monitoring des Produktzustands durchführen und Statistik
ansehen.
4. Bequemes Einstellen der Filterungsrichtlinien.
In der Version 3.0 Einstellung der Filterungsrichtlinien wird mit dem
intuitiv zu bedienenden Interface der Verwaltungszentrale durchgeführt,
dieses gibt Ihnen folgende Vorteile:
• Einfache Administration: bequemes Interface hat eine
minimale Auswahl der Werkzeuge für Systemadministration
und bietet dabei breite Möglichkeiten für die Adaptation des
Systems zu den konkreten BetriebsBedingungen;
• Eigene Einstellungen für Benutzergruppen: für jede Gruppe
können unabhängig von den Anderen die Methoden der
Untersuchung ein- oder ausgeschaltet werden, es können auch
an den Nachrichten vorzunehmende Aktionen definiert werden.
5. Verbesserte Mittel für Integration des Produktes und für die Anpassung
in die Infrastruktur:
• Wurden überarbeitet und verbessert die Module der
Zusammenarbeit mit Sendmail und Communigate Pro Server;
Kaspersky® Anti-Spam 3.0 9
• Ein Neues System der Zustellung der Updates für
Inhaltsfilterung-Datenbanken wurde ausgearbeitet;
• Alle Einstellungen wurden in eine gemeinsame
Konfigurationsdatei zusammengefügt, dies vereinfacht die
Systemeinstellungen und Administration.
1.2.Lizenzierungspolitik
Lizenzierungspolitik von Kaspersky Anti-Spam 3.0 bietet die Begrenzung
für die Nutzung der Anwendung hinsichtlich folgender Merkmale:
• Umfang des E-Mail-Verkehrs;
• Anzahl der geschützten Postfächer.
Die genannten Begrenzungen werden nur für Nachrichten gelten, die den
Bentztern der geschützten Domänen adressiert sind. Eine Liste der
Domänen, E-Mail-Verkehr deren vom Produkt gefiltert wird, wird in dem
Verwaltungszentrale erstellt (s. Pkt. 4.3.4 auf S. 48). Nachrichten, welche
den Benutzern aus anderen Domänen adressiert sind, werden nicht
gefiltert.
Erstellen Sie eine Liste der geschützten Domänen bevor Sie anfangen
Kaspersky Anti-Spam zu benutzen.
1.3. Hardware- und
Softwarevoraussetzungen
Für die Arbeit von Kaspersky Anti-Spam sind folgende Systemvoraussetzungen
erforderlich:
• Intel Pentium III Prozessor mit Taktfrequenz nicht niedriger, als 500 MHz.
• Mindestens 512 MB Arbeitsspeicher.
• Eines der folgenden Betriebssysteme:
• RedHat Linux 9.0.
• Fedora Core 3.
• RedHat Enterprise Linux Advanced Server 3.
• SuSe Linux Enterprise Server 9.0.
• SuSe Linux Professional 9.2.
• Mandrakelinux version 10.1.
10 Kaspersky
®
Anti-Spam 3.0
• Debian GNU/Linux 3.1.
• FreeBSD 4.10.
• FreeBSD 5.4 .
• Eines der folgenden E-Mail Server:
• Sendmail 8.13.5 mit Milter API Unterstützung.
• Postfix 2.2.2.
• Qmail 1.03.
• Exim 4.50.
• Communigate Pro 4.3.7.
• Installierte Werkzeuge bzip2 und which.
• Perl-Interpreter.
1.4.Lieferumfang
Das Softwareprodukt kann bei unseren Vertriebspartnern (als Hardcopy) oder in
einem Online-Shop (z.B. www.kaspersky.com/de
werden.
Wenn Sie das Produkt als Hardcopy erwerben, umfasst der Lieferumfang des
Softwareprodukts folgende Komponenten:
, Abschnitt E-Store) erworben
• versiegelter Umschlag mit einer Installations-CD, welche die Dateien des
Softwareprodukts enthält.
• Benutzerhandbuch.
• Lizenzschlüssel, auf einer separaten Diskette gespeichert ist.
• Registrierkarte (mit Lizenzschlüssel).
• Lizenzvereinbarung.
Bitte lesen Sie vor dem Öffnen des Umschlags mit der CD sorgfältig
den Lizenzvereinbarung.
Beim Erwerb des Produkts in einem Online-Shop kopieren Sie das Produkt von
der Kaspersky-Lab-Webseite. Die Distribution enthält neben dem eigentlichen
Produkt auch das vorliegende Handbuch. Der Lizenzschlüssel ist entweder in
der Distribution enthalten oder wird Ihnen nach Eingang der Bezahlung per EMail zugeschickt.
Kaspersky® Anti-Spam 3.0 11
1.4.1.Lizenzvereinbarung
Die Lizenzvereinbarung ist eine rechtsgültige Vereinbarung zwischen Ihnen und
Kaspersky Lab Ltd., in der festgelegt wird, zu welchen Bedingungen Sie das von
Ihnen erworbene Softwareprodukt verwenden dürfen.
Bitte lesen Sie die Lizenzvereinbarung sorgfältig!
Wenn Sie den Bedingungen der Lizenzvereinbarung nicht zustimmen, können
Sie die Packung mit Kaspersky Anti-Virus an den Händler zurückgeben, bei dem
Sie diese erworben haben, und der Kaufbetrag des Produkts wird an Sie
zurückerstattet. Voraussetzung dafür ist, dass der Umschlag mit der
Installations-CD nicht geöffnet wurde.
Durch das Öffnen der versiegelten Packung mit der Installations-CD oder die
Installation des Programms auf einem Computer akzeptieren Sie alle
Bedingungen der Lizenzvereinbarung.
1.4.2.Registrationskarte
Bitte fühlen Sie die Abreisskarte vollständig aus: Ihren Namen, E-Mail-Adresse,
Telefonnumer, und senden Sie an den Händler, bei dem Sie das Produkt gekauft
haben.
Wenn Ihre Postalische- / E-Mail-Adresse oder Telefonnummer sich ändern, bitte
teilen Sie die neuen Angaben dem Händler mit, an den Sie die Abreisskarte der
Registrationskarte gesendet haben.
Registrationskarte ist ein Dokument, auf Grund dessen Sie den Status des
registrierten Benutzers unserer Firma erhalten.Das gibt Ihnen das Recht auf
technichen Support während der Gültigkeit der Lizenz.Außerdem bekommen die
registrierte BenutzerNachrichten über das Erscheinen neuer Softwareprodukte
von Kaspersky Lab und über das Auftauchen neuer Viren (Dieser Service gilt für
Benutzer, die den Newsletter von Kaspersky Lab Ltd. abonniert haben).
1.5.Service für registrierte Benutzer
Kaspersky Lab Ltd. bietet seinen legalen Benutzern ein breites Spektrum an
Serviceleistungen, die eine gesteigerte Effektivität von Kaspersky Anti-Virus
ermöglichen.
Durch den Erwerb einer Lizenz werden Sie zum registrierten Programmbenutzer
und können während der Gültigkeitsdauer Ihrer Lizenz folgende Leistungen in
Anspruch nehmen:
• Nutzung neuer Versionen des betreffenden Softwareprodukts
12 Kaspersky
®
Anti-Spam 3.0
• Beratung bei Fragen zu Installation, Konfiguration und Benutzung des
betreffenden Softwareprodukts (per Telefon und E-Mail)
• Benachrichtigungen über das Erscheinen neuer Softwareprodukte von
Kaspersky Lab und über das Auftauchen neuer Viren (Dieser Service gilt
für Benutzer, die den Newsletter von Kaspersky Lab Ltd. abonniert
haben).
Bitte lesen Sie vor dem Öffnen des Umschlags mit der CD sorgfältig
den Lizenzvereinbarung.
1.6.Textgestaltung
Bestimmte Textteile dieser Dokumentation sind in Abhängigkeit von ihrer
Bedeutung durch unterschiedliche Formatierungselemente hervorgehoben. Die
Textgestaltung wird in folgender Tabelle erläutert.
Formatierung Bedeutung
Fette Schrift
Hinweis.
Achtung!
Um diese Aktion durchzuführen,
Aufgabe, Beispiel
Lösung
Namen von Menüs, Menüelementen,
Dialogfenstern, Elementen von Dialogfenstern, usw.
Zusatzinformationen, Hinweise.
Sehr wichtige Informationen.
Beschreibung einer Folge von Schritten
und möglichen Aktionen, die vom
Benutzer durchgeführt werden.
1. Schritt 1.
2. …
Aufgabenstellung, Beispiel für die Realisierung der Optionen des Softwareprodukts.
Lösung der vorhergehenden Aufgabe.
Kaspersky® Anti-Spam 3.0 13
Formatierung Bedeutung
[Parameter] – Funktion des
Befehlszeilenparameter.
Parameters.
Text von Meldungen Befehlszeilen Text von Konfigurationsdateien,
informativen Meldungen des Programms
und Befehlszeilen.
KAPITEL 2. ARCHITEKTUR VON
KASPERSKY ANTI-SPAM
UND SPAMFILTERUNGSGRUNDSÄTZE
Dieser Kapitel enthält Beschreibungen der Produktkomponenten und SpamFilterungsgrundsätze, wie auch Beschreibung des Hauptwerkzeuges für
Verwaltung und Einstellung von Kaspersky Anti-Spam – Verwaltungszentrale.
2.1.Produktbestand
Kaspersky Anti-Spam 3.0 ist ein System der Spamerkennung und Spamfilterung
die mit dem Mailserver integriert wird. Kaspersky Anti-Spam 3.0 ist kein
funktionstüchtiger Mailserver, der E-Mails empfangen, weiterleiten oder den
Endbenutzern zustellen kann. Innere Aufbau von Kaspersky Anti-Spam ist auf
der Abbildung 1 zu sehen.
•Clientmodule – sind zum Integrieren des Produktes in den Mailserver
bestimmt.
•Filterungsserver – eine Komponente, die Analyse der Nachrichten
durchführt, diese klassifiziert und bearbeitet. Filterungsserver beinhaltet
auch eine Reihe der Hilfsmodulle, die seine Arbeit und Integration mit
Mailserver gewährleisten:
• Filterungsmodul – ein Modul, der Spamfilterung durchführt.
• Lizenzverwaltungsmodul – Modul, welcher für Lizezen- und
Domänenlisten-Verwaltung bestimmt ist.
• Inhaltsfilterung-Datenbanken – Datensatz, der vom
Filterungsserver zur Klassifikation der E-Mails benutzt wird;
Updates der Inhaltsfilterung-Datenbanken werden alle zwanzig
Minuten zum Download bereitgestellt.
• Update-Modul der Inhaltsfilterung-Datenbanken – ein System,
das automatisches Herunterladen der InhaltsfilterungDatenbanken von dem Update-Server und deren Instalation für
weitere Verwendung vom Spamfilterung-Server gewährleistet.
• Verwaltungszentrale – mit Hilfe dieses Web-Interface kann
Systemadministrator die Einstellungen des Produkts ändern,
wie auch Zustand und Arbeitsfähigkeit analysieren.
• Monitoring-System – ein System, das erlaubt Zustand von
Kaspersky Anti-Spam und seine einzelne Komponente zu
Überwachen, und dem Administrator warnen, wenn Störungen
bei der Arbeit des Produktes auftreten.
Clientmodule sind für die Integration von Kaspersky Anti-Spam in
unterschiedliche Mailserver bestimmt. Jeder Clientmodul berücksichtigt
Besonderheiten des konkreten Mailservers und ausgewählte Methode der
Integration.
Zum Lieferumfang von Kaspersky Anti-Spam gehören Clientmodule für
Mailserver Sendmail, Postfix, Exim, Qmail und Communigate Pro.
In der Regel, wird Clientmodul als Filter installiert und gewährleistet Empfang
von dem Mailserver der Nachrichten, welche gefiltert werden sollen, wie auch
darauf folgende Rückgabe der modifizierten E-Mails.
Die Module werden durch Mailserver gestartet. Ausnahme davon ist Sendmail,
welcher keine Clientmodule startet. Mailserver kann mehrere Clientmodule
starten, damit diese parallel die Nachrichten bearbeiten können. Details über
Clientmodule und dessen Integration in den Mailserver s. Pkt. A.2 auf S. 89.
16 Kaspersky
®
Anti-Spam 3.0
Unabhängig von Besonderheiten eines oder anderen Clientmodul wird die
Zusammenarbeit mit Filterungsserver über Netzwerk- oder Lokalsocket, unter
Benutzung eines internen Protokolls für Datenaustausch, ausgeführt.
Filterungsserver antwortet auf Anfragen der Clients, bekommt von Clients zum
Untersuchen E-Mails und gibt die Ergebnisse zurück.
Wenn Standardverfahren für die Installation benutzt wird, werden Mailserver mit
den integrierten Clientmodulen und Filterungsserver auf einem Computer
installiert.
Es gibt auch Möglichkeit den Filterungsserver von Kaspersky Anti-Spam auf
einem separaten Server zu installieren: in dem Fall werden die Daten zwischen
Clientmodulen, die auf einem anderen Computer (Server) arbeiten, und dem
Filterungsserver über TCP-Protokoll ausgetauscht.
Wenn Filterungsserver auf einem separaten Computer arbeitet, kann er
gleichzeitig mehrere Mailserver bedienen, bei der Voraussetzung, dass
Leistungsfähigkeit des Rechners für das Bearbeiten des gesamten E-MailVerkehrs ausreichend ist.
Bestandteile des Filterungsservers:
• Filterungsmodul, welcher das Untersuchen der E-Mails durchführt.
• Lizenzierungsmodul, welcher das Vorhandensein der gültigen
Lizenzschlüssel-Datei, wie auch das Einhalten der in der Lizenz
enthaltenen Begrenzungen überprüft.
• Hilfsprogramm für SPF-Anfragen.
• Ein Skript zum automatischen Downloaden und Kompilieren von Updates
der Inhaltsfilterung-Datenbanken.
• Verwaltungszentrale.
• Hilfsprogramme und Skripte.
Hauptkomponente des Moduls ist Masterprozess der Filterung (ap-processserver), welche folgenden Aufgaben ausführt:
• Überwachung der Verbindungsanfragen des Clientmoduls an den
Filterungsprozess;
• Das Starten der Filterungsprozesse, wenn keine freie Prozesse mehr gibt;
• Statusüberwachung der Prozesse;
• Beenden der Prozesse, wenn eine entsprechende Signale kommt (z. B.,
SIGHUP).
Kaspersky Anti-Spam Architecture 17
Beim beachtlichen E-Mailverkehr kann die Anzahl der Filterungsprozesse bis zu
mehrere Dutzende steigen. Beim verringern der Last auf den Mailserver werden
freie Filterungsprozesse beendet. Maximale und minimale Anzahl der
gestarteten Filterungsprozesse wird in den Einstellungen des Filterungsservers
definiert (s. Pkt. A.3.1 auf S. 107).
Filterungsprozess (ap-mailfilter) lädt beim Starten die Filterungsrichtlinien, wie
auch die Inhaltsfilterung-Datenbanken. Nach dem die Verbindung mit dem
Clientmodul, bekommt der Filterungsprozess die E-Mail-Header und den E-MailKörper; analysiert sie und gibt an den Clientmodul die Ergebnisse zurück.
Wenn es notwendig ist, dass der E-Mail-Absender der SPF-Richtlinie entspricht,
übergibt Filterungsprozess eine Anfrage an den SPF-Hilfsprogramm
(ap-spfd), welches alle nötigen Anfragen an den DNS-Server erledigt und denn
die Ergebnisse an den Filterungsprozess übergibt.
Die E-Mail-Analyse und Anwenden der Richtlinien, die in den Filterungsrichtlinien
definiert sind, wird nur beim Vorhandensein des gültigen Lizenzschlüssels
durgeführt.
Alle Überprüfungen, die Lizensierung betreffen, werden von dem Lizenz-Modul
(kas-license) auf Anfrage von dem Filterungsprozess durchgeführt.
Nach dem die E-Mail-Bearbeitug beendet ist, wartet Filterungsprozess auf neue
Anfrage. Filterungsprozess wird beendet nach dem maximale Anzahl der E-Mails
bearbeitet wurde (gewöhnlich sind es 300) oder sich über eine lange Zeit in
Wartezustand befindet.
Skript für automatische Updates (sfupdates) wird nach Zeitplan gestartet (mit
Hilfe des Dienstes cron), gewährleistet das Downloaden der letzten Version der
Inhaltsfilterung-Datenabnken von den Update-Server und Installation der
Datenbanken zur Weiterverwendung von dem Filterungsserver.
Verwaltungszentrale bietet ein Webinterface, mit Hilfe dessen stellt der
Systemadministrator das Produkt und Spam-Filterungsrichtlinien ein.
Überwachungssystem führt die Kontrolle über Zustand der Komponente des
Kaspersky Anti-Spam aus und warnt den Administrator, wenn Störungen bei der
Arbeit des Filterungsservers oder andere Komponente des Produktes auftreten.
Das Bearbeiten des E-Mailverkehrs wird vom Kaspersky Anti-Spam 3.0 nach
folgendem Algorithmus durchgeführt:
1. Clientmodul des Produktes wird in den Mailserver integriert.
2. Mailserver übergibt die Nachrichten an den Clientmodul zur
anschließenden Überprüfung durch den Filterungsserver.
3. Filterungsserver übeprüft E-Mails nach Spamanzeichen und, abhängig
von dem Ergebnis, modifiziert die Nachrichten entsprechend den
vordefinierten Richtlinien.
18 Kaspersky
4. Bearbeitete E-Mails werden von dem Clientmodul an den Mailserver
zurückgegeben, damit die E-Mails an den Empfänger zugestellt werden.
®
Anti-Spam 3.0
2.2.Erkennungstechnologie
Kaspersky Anti-Spam bittet ein mächtiges Werkzeug für Spamerkennung in der
E-Mailflut. In diesem Abschnitt wird kurz über Spamerkennung-Technologien
erzahlt, die im Produkt benutzt wurden.
2.2.1.Analyse der formellen Anzeichen
Diese Methode benutzt einen Regelnsatz, welcher auf der Untersuchung von
bestimmten Kopfzeilen (Header) der E-Mail und dem Vergleich dieser Zeilen mit
den Header, welche für Spam typisch sind, basiert.Außer Analyse der
Kopfzeilen, wird beim Untersuchen auch E-Mail-Struktur, E-Mail-Grösse,
angehängte Dateien und andere Änlichkeiten berücksichtigt.
Die Methode gewährleistet auch die Analyse der Daten, die der Absender
während der SMTP-Sitzung übermittelt. Insbesondere werden folgende
Informationen analysiert:
• IP-Adresse des Servers, von dem E-Mail empfangen wurde und seine
Zugehörigkeit zu der "weiße" oder "schwarze" Listen der Absender;
• IP-Adressen der Zwischenserver, die zum Weiterleiten der Nachrichten
benutzt werden. Die Adressen werden dem Header Received entnohmen;
• E-Mail-Adressen des Absenders und Empfängers, die in den Befehlen
der SMTP-Sitzung übergeben werden;
• Dazugehören der E-Mail-Adressen des Absenders und Empfängers zu
der "weißen" oder "schwarzen" Listen der E-Mail-Adressen;
• Übereinstimmung der bei SMTP-Sitzung übermitelten Adressen und EMail-Adressen, welche im Header angegeben sind, wie auch eine Reihe
anderen Prüfungen.
2.2.2.Inhaltsfilterung
Inhaltsfilterung wird von Kaspersky Anti-Spam zur Analyse der Inhalte von
Nachrichten benutzt. Dabei, unter Benutzung der Technologie des künstlischen
Intellektes, wird E-Mail-Inhalt (Header Subject eingeschlossen) analysiert wie
auch die Einlagedateien der folgenden Typen:
• Text: plain text (ASCII, nicht multibyte);
• HTML (2.0, 3.0, 3.2, 4.0, XHTML 1.0);
Kaspersky Anti-Spam Architecture 19
• Microsoft Word (Version 6.0, 95/97/2000/XP);
• RTF.
Aufgabe der Spamfilterung besteht darin, die Anzahl der unerwünchten
Korrespondenz in den Postfächern der Benutzer zu verringern.
Hundertprozentiges Auffinden des Spams kann nicht garantiert werden,
denn zu strenge Kriterien unvermeidlich zum Ausfiltern der nützlichen
Korrespondenz führen wird.
Zum Auffinden der Spam-Nachrichten werden drei Methodengruppen benutzt:
•Vergleichen des Textes mit den Symantischen Muster
unterschiedlicher Kategorien (auf Basis der Suche in dem E-mail-Körper
der Schlüsselbegriffe (Wörter und Wortgruppen) und darauf folgenden
stochastischen Analyse). Diese Methode gewährleistet heuristische
Suche der spezifischen Sätze und Redewendungen in dem Text.
• Ungenaues Vergleichen der analysierten E-Mail mit einem Satz der
Muster-E-Mail durch Vergleichen der Signaturen. Diese Methode erlaubt
modifizierte Spam-Nachrichten zu identifizieren.
• Analyse der grafischen Einlagen.
Alle Daten, die Kaspersky Anti-Spam für Inhaltsfilterung benutzt, – Rubrikator
(Hierarchische Liste der Kategorien), Muster-E-Mail, charakteristische Begriffe
u.s.w. – sind in den Inhaltsfilterung-Datenbanken gespeichert.
Analisten-Gruppe von Kaspersky Lab führt ständige Untersuchungen
durch, um die Inhaltsfilterung-Datenbanken zu erweitern und zu
verbessern, deswegen wird es empfohlen die Datenbanken ständig zu
erneuern (s. Pkt. 4.4 auf S. 56).
Sie können die Muster der Spam-E-Mail an Kaspersky Lab senden, die
von Kaspersky Anti-Spam nicht erkannt wurden, wie auch Muster der
E-Mail, die Fälschlicherweise als Spam identifiziert wurden. Ihre Daten
werden uns dabei helfen, die Inhaltsfilterung-Datenbanken zu
verbessern und schnell auf neue Arten des Spams zu reagieren. Details
dazu sehe Anhang B auf S. 126.
2.2.3. Überprüffen mit Hilfe der externe
Dienste
Außer Text- und Headeranalyse erlaubt Kaspersky Anti-Spam folgende
Untersuchungen mit Hilfe der externe Netzwerkservices durchzuführen:
• Überprüfung des Vorhandenseins von IP-Adresse des E-Mail-Absenders
in dem DNS (reverse DNS lookup);
20 Kaspersky
• Überprüfung des Vorhandenseins der IP-Adresse des E-Mail-Absenders
in einem oder mehreren DNSBL (DNS-based black hole list);
• Überprüfung des E-Mail-Absenders nach Übereinstimmung dessen
Adressese mit der SPF-Richtlinie (Sender Police Framework) für die
Domäne, aus der die E-Mail stamm;
• Überprüfung der Links, die in der E-Mail enthalten sind, auf
Vorhandensein in der Spam-Datenbank mit Hilfe des Dienstes SURBL
(Spam URL Realtime Blocklists – www.surbl.org
• Erkennung der E-Mails mit der UDS-Technologie (Urgent Detection
System).
Alle der oben genannten Überprüfungen, außer UDS-Überprüfungen, basieren
auf Benutzung des DNS-Protokolls, und, im Regelfall, brauchen keine ExtraEinstellungen des Netzwerks.
).
®
Anti-Spam 3.0
2.2.4. Urgent Detection System
Technologie
Technologie Urgent Detection System ist eine originelle Technologie für
Auffinden des Spams, die von Kaspersky Lab erarbeitet und unterstüzt wird.
Funktionsweise der Technologie ist folgende:
1. Aus der analysierten E-Mail wird ein Satz der Eigenschaften
ausgesondert, mit Hilfe deren die Identifikation der Nachricht ausgeführt
wird. In dem Satz kann die Information aus dem Header, Textfragmente
und andere Informationen über die zu bearbeitende E-Mail
eingeschlossen sein.
2. Unter Benutzung der Eigenschaften erstellt der Fiterungsserver eine
kompakte UDS-Anfrage und verschickt diese an einen der UDS-Server
des Kaspersky Lab.
Da an externe Server keine Daten verschickt werden, die den
Empfänger erkennen oder den Nachrichten-Text
wiederherstellen lassen, ist das Benutzen der Methode in
keiner Weise für die Sicherheit oder Vertraulichkeit Ihre Daten
gefährlich.
3. Auf dem UDS-Server wird eine Überprüfung der Anfrage in der Datenbank
der bekannten Spam-Versandlisten durchgeführt. In dem Fall, wenn die
Anfrage einer der bekannten Versandlisten entspricht, wird an den
Filterungsserver eine Nachricht darüber verschickt, dass die Nachricht
höchstwarscheinlich zum Spam gehört. Diese Information wird beim
Vergeben des E-Mail-Status berücksichtigt.
Kaspersky Anti-Spam Architecture 21
Die UDS-Technologie erlaubt die bekannten SpamVersandlisten auszufiltern, ohne dass die InhaltsfilterungDatenbanken erneuert sind.
Die Zusammenarbeit des Filterungsserver mit den UDS-Servern des Kaspersky
Lab wird über UDP-Protokoll organisiert, für die Verbindung wird Port 7060
benutzt. Damit UDS-Server angesprochen werden kann, muss Filterungsserver
ausgehende Verbindungen über den Port aufbauen können.
Information über zugängige UDS-Server ist in den Inhaltsfilterung-Datenbanken
enthalten. Auswahl des konkreten UDS-Server, mit Hilfe dessen die Analyse der
E-Mails durchgeführt wird, erfolgt automatisch auf Basis der Analyse der
Antwortzeit der zugängigen UDS-Server.
2.3. Erkennungsergebnisse und EMail-Handhabung
Als Analyseergebnis wird an E-Mail ein Status vergeben:
•Spam – E-Mail wurde mit einer höchen Wahrscheinlichkeit als Spam
erkannt.
•Probable Spam – E-Mail enthält einige Anzeichen vom Spam, kann aber
nicht eindeutig als Spam identifiziert werden.
•Formal – E-Mail ist eine formäle Nachricht, z. B., eine Benachrichtigung
des E-Mal-Servers über das Zustellen der E-Mail, über die Unmöglichkeit
der Zustellung oder darüber, dass die E-Mail mit einem Virus infiziert ist.
Zur Kategorie zählen auch die Nachrichten, die automatisch durch die
Client-Programme erstellt werden. Diese E-Mails werden nicht zur SpamE-Mails gezählt.
•Trusted – E-Mail wurde von einer vertrauten Quelle bekommen, z.B. von
den internen Servern. Eine Liste der vertrauten Quellen („weiße“ Liste der
Absender) wird von dem Administrator erstellt. Status Trusted wird auch
an E-Mails vergeben, für diese in der Gruppenrichtlinie das Überprüfen
der E-Mails auf Spam-Vorhandensein ausgeschaltet ist.
•Blacklisted – E-Mail kommt von der E-Mail-Adresse, welche in die
„schwarze“ Liste eingetragen ist. „Schwarze“ Liste wird von dem
Administrator erstellt.
•Not detected – E-Mail wurde nicht als Spam erkannt.
Jeder E-Mail kann nur ein Status von den aufgezählten vergeben werden.
Status, der einer E-Mail nach dem Übrprüfen vergeben wurde, wird in den Extra-
22 Kaspersky
®
Anti-Spam 3.0
Header X-Spamtest-Status-Extended eingetragen. Details zu den Kopfzeilen,
die als Ergebnis der Filterung zur E-Mail hinzugefühgt werden, s. Pkt. A.5 auf
S. 120.
Nach der Erkennung kann an E-Mail eine der folgenden Aktionen vorgenommen
werden:
• E-Mail annehmen;
• E-Mail oder eine Kopie davon an eine andere Adresse weiterleiten;
• Eine Markierung in das Betreff-Feld einfügen;
• Ein Extra-Header zur E-Mail hinzufügen;
• E-Mail löschen;
• Annahme der E-Mail verweigern.
Der Systemadministrator kann bestimmen, welche von den aufgezählten
Aktionen auf die E-Mail mit dem bestimmten Status angewendet werden.
Hauptpriorität für Systemadministrator beim Einstellen des Produktes
soll das Erhalten von nützlischen Korrespondenz sein, denn das
Verlorengehen einer E-Mail kann dem Endbenutzer mehr Schaden
hinzufügen, als mehrere Dutzende nicht Spam-Nachrichten. Damit
nützlische Korrespondenz nicht verloren geht, empfehlen wir die EMails, welche nach der Inhantsanalyse als Spam oder Spamverdacht
gekennzeichnet wurden, nur sanft zu behandeln, z. B., in dem Feld
Betreff eine Markierung [!! SPAM] eintragen.
2.4.Inhaltfilterung-Datenbanken
Das Erkennen der E-Mails, welche Spam enthalten, wird auf Grund der Daten
durchgeführt, die aus den ständig updatenden Datenbanken der Inhaltsfilterung
entnommen werden. Inhaltsfilterung-Datenbanken enthalten Regelsätze, Begriffe
und Signaturen der E-Mails, diese werden während der Filterung benutzt.
Inhaltsfilterung-Datenbanken werden von den Updateservern des Kaspersky Lab
mit Hilfe des Update-Moduls herunter geladen. Dabei werden, zum verringern
des Umfangs zu ladenden Dateien, von dem Update-Server nur neue Daten
herunter geladen.
Da neu Spam-Muster jeden Tag erscheinen, ist es notwendig, dass die
Inhaltsfilterung-Datenbanken ständig aktuell sind. Es wird empfohlen die
Datenbanken alle zwanzig Minuten upzudaten.
Kaspersky Anti-Spam Architecture 23
Vergessen Sie nicht die Inhaltsfilterung-Datenbanken gleich nach dem
Installieren des Produktes zu erneuern!
2.5.Filterungsrichtlinien
Filterungsrichtlinien werden von Kaspersky Anti-Spam zur Festlegung der
Methoden der Spamerkennung, an den E-Mails ausführende Aktionen, wie auch
zum bestimmen der „weißen“ und „schwarzen“ Listen benutzt.
Das Produkt benutzt ein zweistufiges System der Filterungsrichtlinien, welches
aus allgemeinen Filterungsrichtlinie und Gruppen-Filterungsrichtlinie besteht.
Allgemeine Filterungsrichtlinie enthält gemeinsame Einstellungen für alle
Gruppen: Erkennungsmethoden für E-Mails, „weiße“ und „schwarze“ Listen der
Absender. Gruppenrichtlinien, Außer oben genannten Einstellungen, bestimmen
Aktionen, die an E-Mails vorgenommen werden.
Bevor der Administrator zum Einstellen der Gruppenrichtlinien übergeht, müssen
Gruppen erstellt werden, welche aus eine Liste der Empfängeradressen
bestehen.
Das Anwenden der Richtlinien wird nach folgenden Regeln durchgeführt:
allgemeine Filterungsrichtlinie bestimmt standardmäßige Einstellungen für alle
Gruppen, während die Gruppenrichtlinien diese Einstellungen entweder erben,
oder auf neue bestimmen. So, z. B., kann für eine Benutzergruppe, die eine
stärkere Filterung der E-Mails verlangt, die Methoden der Spamerkennung und
die Aktionen verschärft werden.
Einstellungen der Erkennungsparameter sind sehr eng mit den Eigenschaften
der Inhaltsfilterung-Datenbanken verbunden, und können erweitert und verändert
werden den neuen Arten des Spams und Richtlinien der Spamerkennung
entsprechend. Entsprechend neuen Inhaltsfilterung-Datenbanken werden dem
Interface der Verwaltungszentrale neue Einstellungen zum steuern von
Kaspersky Anti-Spam hinzugefügt.
2.6.Verwaltungszentrale
Verwaltungszentrale (Control center) ist ein Web-Interface, welches dem
Administrator erlabt die Arbeit von Kaspersky Anti-Spam zu kontrollieren und
Einstellungen vorzunehmen.
Verwaltungszentrale gewährleistet das Ausführen folgenden Aufgaben:
• Überprüfen des jetzigen Zustand des Produktes und seine Komponente;
• Installieren von Lizenzschlüssel und Verwalten der Liste der geschützten
Domänen;
24 Kaspersky
®
Anti-Spam 3.0
• Statistik der bearbeiteten E-Mails ansehen und exportieren;
• Verwalten von Gruppenrichtlinien und allgemeinen Richtlinien der
Spamfilterung;
• Filterungsserver und Produktkomponente verwalten.
2.7.Monitoring
Um den Zustand des Filterungsservers zu überwachen, ist in den Kaspersky
Anti-Spam ein Überwachung-Modul eingebaut.
Die Information über Systemzustand ist in dem Abschnitt Monitoring der
Verwaltungszentrale enthalten.
Abbildung 2. Abschnitt Monitoring der Verwaltungszentrale
Dieser Abschnitt enthält Parameter, die von dem Überwachungssystem
kontrolliert werden, wie auch Meldungen der Module, die zur Analyse des
jetzigen Zustandes der Komponente von Kaspersky Anti-Spam benutzt werden
können.
Während der Arbeit erstellt das Überwachungssystem Meldungen und Berichte.
Monitoringskript wird periodisch gestartet und, wenn Fehler in Arbeit des
Systems auftreten, versendet eine Nachricht mit den Fehlerdaten an den
Systemadministrator. Nachricht wird einmalig in Moment der
Problemmerkennung verschickt, das garantiert schnelle Benachrichtigung über
die Situation, welche das Eingreifen des Administrators verlangt.
Kaspersky Anti-Spam Architecture 25
Später, wenn der Fehler nicht behoben wurde, wird das Monitoring-System
täglich einen Bericht über alle gefundene und nicht behobene Fehler versenden.
Die E-Mail-Adresse, an welche das System die Nachricht versenden wird, wird
mit Hilfe der Verwaltungszentrale definiert.
KAPITEL 3. INSTALLATION VON
KASPERSKY ANTI-SPAM
Dieser Abschnitt enthält Informationen über das Installieren des Produktes,
Integration der Clientmodule in den Mailserver, wie auch über das Einstellen des
Zuganges zu dem Hauptwerkzeug der Systemverwaltung - Verwaltungszentrale.
3.1.Vorbereitung der Installation
Bevor Sie mit der Installation von Kaspersky Anti-Spam anfangen:
• Vergewissern Sie sich, dass das System den Systemanforderungen von
Kaspersky Anti-Spam (s. Pkt. 1.3 auf S. 9) entspricht;
• Vergewissern Sie sich, dass Sie im Besitz eines Lizenzschüssels für
Kaspersky Anti-Spam 3.0 sind;
• Vergewissern Sie sich, dass die Programme bzip2, perl, which installiert
sind;
• Vergewissern Sie sich, dass Ihr Mailserver korrekt funktioniert;
• Machen Sie eine Sicherheitskopie der Konfigurationsdateien des
Mailservers;
• Logen Sie sich als Benutzer root ein.
Es wird empfohlen die Installation zur Zeit der niedrigsten Auslastung
des Mailservers durchzuführen.
Die Installation von Kaspersky Anti-Spam wird in fünf Etappen durchgeführt:
1. Installation des Kaspersky Anti-Spam Distributives.
2. Lizenzschüssel-Installation.
3. Integration der Clientmodule in den Mailserver.
4. Einstellung des HTTP-Servers um Zugang zu dem Verwaltungsserver
zu gewährleisten.
5. Update-Einstellungen der Inhaltsfilterung-Datenbanken und
Einstellungen von Benutzung des UDS-Dienstes.
In den folgenden Abschnitten werden alle Etappen detailliert beschrieben.
Installation von Kaspersky Anti-Spam 27
3.2. Installation von Kaspersky AntiSpam
Distributiv von Kaspersky Anti-Spam 3.0 wird in mehreren Versionen vertrieben:
• rpm-Paket für die meisten Versionen des Betriebssystems Linux (RedHat,
SuSe, Mandrake, Fedora u.s.w.);
• deb- Paket für Debian-Distributiv;
• tgz- Paket für Betriebssystem FreeBSD 4.10;
• tbz-Paket für Betriebssystem FreeBSD 5.4;
Benutzung eines oder anderen Pakets ist von dem installierten Betriebssystem
abhängig.
Um die Installation von Kaspersky Anti-Spam aus einem rpm-Paket zu starten,
geben Sie in der Befehlszeile ein:
# rpm –i kas-3-<Distributiv-Version>.i386.rpm
Um die Installation von Kaspersky Anti-Spam aus einem deb-Paket zu starten,
geben Sie in der Befehlszeile ein:
# dpkg –i kas-3-<Distributiv-Version>.i386.deb
Um die Installation von Kaspersky Anti-Spam aus einem tgz-Paket zu starten,
geben Sie in der Befehlszeile ein:
# pkg_add kas-3-<Distributiv-Version>.tgz
Um die Installation von Kaspersky Anti-Spam aus einem tbz-Paket zu starten,
geben Sie in der Befehlszeile ein:
# pkg_add kas-3-<Distributiv-Version>.tbz
Während der Installation werden folgende Aktionen unternommen:
• Benutzer und Gruppe mailflt3 anlegen, mit dessen Rechte Kaspersky
Anti-Spam gestartet wird;
• Installation alle Programme in den Ordner /usr/local/ap-mailfilter3;
• Erstellung und Installation des Skriptes, welches das automatisches
Starten des Master-Prozesses der Filterung (ap-process-server), SPFHifsprogramms (ap-spfd), Lizenzmoduls (kas-license) und HTTP-Servers
(kas-thttpd) beim Starten des Betriebssystems gewährleistet;
• Das Starten von allen nötigen Dienste;
28 Kaspersky
• Erstellen des сron-Tasks für Benutzer mailflt3, um automatisches Starten
der Updates der Inhaltsfilterung-Datenbanken zu gewährleisten, wie auch
Skripte für Überwachung der Arbeit des Filterungs-Dienstes.
Nach der Installation des Filterungservers, installieren Sie den Lizenzschlüssel
und führen Sie die Integration von Kaspersky Anti-Spam in den Mailservers
durch.
®
Anti-Spam 3.0
3.3. Zugangseinstellungen für die
Verwaltungszentrale.
Nach der Installation wird der Dienst kas-thttpd gestartet, welcher den lokalen
Zugang zu der Verwaltungszentrale gewährleistet. Standartmäßig werden
folgende Einstellungen der Verwaltungszentrale benutzt:
• Adresse http://127.0.0.1:3080/.
• Benutzername: admin
• Passwort: admin
Sie sollen unbedingt nach der Installation von Kaspersky Anti-Spam
den Benutzernamen und Passwort für den Zugang zur
Verwaltungszentrale ändern. Das Benutzen der Standartwerte bedroht
die Sicherheit Ihres Systems.
Es wird auch empfohlen den Port für die Verbindung mit der
Verwaltungszentrale zu ändern.
Benutzername und Passwort werden in dem Ordner der cgi-Skripte der
Verwaltungszentrale gespeichert /usr/local/ap-mailfilter3/control/www/, in der
Datei .htpasswd.
Das Erstellen eines neuen Benutzer oder das Ändern eines bestehenden
Passworts wird mit dem Werkzeug kas-htpasswd durchgeführt, das zum
Lieferumfang von Kaspersky Anti-Spam gehört. Beim Starten des Werkzeugs
müssen Sie den Pfad zu der Datei angeben, die Passwörter enthält, wie auch
den Namen des zu erstellenden Benutzers, oder des Benutzers, dessen
Passwort geändert werden soll:
Passwortänderung tritt in Kraft sofort nach Modifikation der Datei .htpasswd.
Zugangsdaten für die Verwaltungszentrale werden in der Datei
.htpasswd verschlüsselt gespeichert.
Interface und Portnummer für die Verbindung mit der Verwaltungszentrale
werden in der /usr/local/ap-mailfilter3/etc/kas-thttpd.conf vorgegeben, mit Hilfe
der Parameter host und port entsprechend. Z. B., Werte:
host=0.0.0.0
port=3080
bestimmen, dass die Verwaltungszentrale Verbindung über den Port 3080 an
allen Netzwerkkarten des Servers erwartet. Standardmäßig ist Zugang zu der
Verwaltungszentrale nur von dem Server möglich, auf dem Kaspersky Anti-Spam
installiert ist (dem Parameter host ist Wert 127.0.0.1 vergeben).
Nach Änderung des Ports starten Sie die Verwaltungszentrale-Konfiguration neu.
Unter Linux-Distributiv führen Sie den Befehl aus:
# /etc/init.d/kas3-control-center restart
• Für FreeBSD-Distributiv führen Sie den Befehl aus:
Ein Lizenzschlüssel wird entsprechend der erworbenen Lizenz mit dem
Distributiv des Kaspersky Anti-Spam geliefert.
Wenn Sie aus irgendeinem Grund keinen Schüssel haben, wenden
Sie sich an den Support von Kaspersky Lab (Abschnitt
Dienste/Technischer Support auf unser Internet-Seite).
Um neuen Lizenzschlüssel mit Hilfe des Verwaltungszentrales zu
installieren:
1. Mit Hilfe von Web-Brousers verbinden Sie sich mit dem
Verwaltungszentrale, in dem Sie in der Adressenzeile
30 Kaspersky
http://localhost:3080/ eingeben. Als Benutzername geben Sie admin
ein, als Passwort – admin.
2. Gehen Sie auf die Seite der Lizenzschlüssel-Verwaltung
License → License Keys.
3. In dem Feld Install a New License Key dieses Abschnitts, geben Sie
den Pfad zu der Lizenzschlüssel-Datei ein, oder benutzen Sie die
Schaltfläsche Choose zum Auswählen der Datei.
4. Klicken Sie auf die Schaltfläsche Apply.
Um einen neuen Lizenzschlüssel lokal mit Hilfe der Befehlszeile zu
installieren, führen Sie folgenden Befehl aus:
# /usr/local/ap-mailfilter3/bin/install-key <key>
wobei <key> - Pfad zu der Datei ist, welche den Schlüssel enthält.
Wenn ein Lizenzschlüssel nicht Installiert oder nicht gültig ist, wird Kaspersky
Anti-Spam die Filterung der E-Mails nicht ausführen. Arbeitsfähigkeit des Servers
wird dabei nicht beeinträchtigt, E-Mail-Verkehr wird ohne Filterung
durchgelassen.
Es muß berücksichtigt werden, dass E-Mail-Filterung nur für die Benutzer der
geschützten Domänen durchgeführt wird.
Vergessen Sie nicht vor Benutzung von Kaspersky Anti-Spam die Liste
der geschützten Domänen auszufühlen. Details s. Pkt. 4.3.4 auf S. 48
®
Anti-Spam 3.0
3.5. Kaspersky Anti-Spam in den
Mailserver integrieren
Integration des Kaspersky Anti-Spam in den Mailserver besteht aus der
Installation des Clientmoduls und dem Eintragen der Änderungen in die
Konfigurationsdateien.
Diese Aktionen werden automatisch, mit Hilfe des Universal-Skriptes
durchgeführt, oder, wenn die Skript-Integration nicht möglich ist (z.B. wenn keine
standarte Mailserverkonfiguration benutzt wird), mit Hilfe der Einstellungs-Skripte
desjenigen Mailservers.
Eine ausführliche Information über Integrationsmöglichkeiten der Clientmodule
für jeden der unterstützten Mailserver, und über die Änderungen in den
Konfigurationsdateien, finden Sie im Anhang A.2 auf S. 89.
Installation von Kaspersky Anti-Spam 31
Um Kaspersky Anti-Spam in den Mailserver zu integrieren, der bei
Ihnen installiert ist, starten Sie den Universalskript:
# /usr/local/ap-mailfilter3/bin/MTA-config.pl
Vorgegebener Skript erkennt den Typ des Mailservers und trägt die Änderungen
in die Konfigurationsdateien ein.
Wenn aber Ihrer Mailserver nicht standardmäßig installiert oder konfiguriert ist,
wird Skript MTA-config.pl die Konfigurationsdateien nicht finden können. In dem
Fall benutzen Sie ein Skript zur Einstellung des konkreten Mailservers:
• Für die Integration von Kaspersky Anti-Spam in den Mailserver Sendmail
führen Sie unter Benutzer root folgendes Befehl aus:
wo path – Pfad zu der Konfigurationsdatei Exim ist.
Für Debian-Distributiv gibt es eine Reihe der Besonderheiten
bei der Integration Kaspersky Anti-Spam in den Mailserver
Exim. Für eine korrekte Integration benutzen Sie den Skript
/usr/local/ap-mailfilter3/bin/config-exim-debian.pl. Details s.
Pkt. A.2.4.2 auf S. 98.
• Für die Integration von Kaspersky Anti-Spam in den Mailserver Qmail
führen Sie unter Benutzer root folgendes Befehl aus:
Eine korrekte Integration in den Qmail Mailserver mit Hilfe
des Skriptes config-qmail.pl ist nur denn möglich, wenn Qmail
das Benutzerkonto qmailq und die Gruppe qmail benutzt
(beide werden standardmäßig benutzt).
Integration von Kaspersky Anti-Spam in den Mailserver Exim mit Hilfe des
Clientmoduls kas-exim, wie auch mit dem Mailserver Communigate Pro wird von
dem Administrator per Hand gemacht.
Information über Besonderheiten jedes von den Clientmoduls und
Integretionsmöglichkeiten sind näher in dem Punkt A.2 auf S. 89 beschreiben.
Mehr über Aufhebung der Integration und Wiederherstellung der ursprünglichen
Einstellungen des Mailservers s. Kappitel 5 auf S. 82.
®
Anti-Spam 3.0
3.6. Einstellungen von Updates der
Inhalt-Datenbanken und
Benutzung des UDS-Dienstes
Standardmäßig sind nach der Installation von Kaspersky Anti-Spam die Updates
der Inhalt-Datenbanken und die Benutzung des UDS-Dienstes abgeschaltet. Um
die Updates und Benutzung UDS-Dienstes zu erlauben, starten Sie den Skript
enable-updates.sh:
Sie können auch das Interface der Verwaltungszentrale benutzen, um die
Updates der Inhaltsfilterung-Datenbanken einzuschalten (s. Pkt. 4.4 auf S. 56)
und das Benutzen des UDS-Dienstes zu (s. Pkt. 4.44.5.4 auf S. 64).
KAPITEL 4. VERWALTUNG VON
SPAMFILTERUNGSSERVER
Mittels Kaspersky Anti-Spam können Sie den E-Mailverkehr-Schutz gegen Spam
organisieren. Schutzsystem wird auf dem Ausführen der Aufgaben aufgebaut, in
welchen die Hauptfunktionen des Programms enthalten sind. Aufgaben, die von
Kaspersky Anti-Spam realisiert werden, können in drei Gruppen aufgeteilt
werden:
• Schutz des E-Mail-Verkehrs gegen Spam.
• Update der Inhaltsfilterung-Datenbanken, die zur Spamerkennung benutzt
werden.
• Überwachung der Arbeit des Filterungsservers.
Jede Gruppe enthält kleinere Aufgaben. In diesem Kapitel werden wir einige
davon behandeln. Administrator kann die Aufgaben den Bedürfnissen der Firma
entsprechend kombinieren und verkomplizieren.
In dieser Dokumentation sind Einstellungen und das Starten der Aufgaben lokal
aus der Befehlszeile beschrieben, wie auch Verwaltung des Produktes mit Hilfe
der Verwaltungszentrale.
4.1. Starten und Verwalten der
Komponente von Kaspersky
Anti-Spam
Das Starten der Komponente des Filterungs-Servers, zu den der
Hauptfilterungsprozess (ap-process-server), Lizenzirungsmodul (kas-license)
und SPF-Hilfsprogramm (ap-spfd) gehören, wird beim Starten des
Betriebssystem mit Hilfe des Skripts durchgeführt, dessen Name und Lage für
Linux und FreeBSD unterschiedlich ist. In dem Betriebssystem Linux wird Skript
kas3 benutzt, der in dem Verzeichnis /etc/init.d liegt, in FreeBSD – kas3.sh, der
in dem Verzeichnis /usr/local/etc/rc.d abgelegt ist.
Obengenannte Skripte können mit den folgenden Befehlszeilenoptionenn von
Administrator zum Starten, Beenden und Neuestarten der Komponenten des
Filterungsservers benutzt werden:
start – Hauptkomponente des Filterungsservers starten;
stop – Arbeit der Hauptkomponente des Filterungsservers beenden;
34 Kaspersky
restart – Hauptkomponente des Filterungsservers neuestarten; diese Aktion
ist dem aufeinander folgendem Ausführen der Aktionen stop und start
gleich.
Das Starten des kas-thttpd-Dienstes, welcher den Zugang zu der
Verwaltungszentrale von Kaspersky Anti-Spam frei gibt, wird unter Benutzung
des Skriptes kas3-control-center (unter Linux) und Skripts kas3-control-center.sh
(unter FreeBSD) ausgeführt.
Um das Starten, Beenden oder Neuestarten des Dienstes kas-thttpd
auszuführen, benutzen Sie den Skript mit den Befehlszeilenoptionen, die oben
für den Skript kas3 beschrieben sind.
®
Anti-Spam 3.0
4.2. Verwaltungszentrale von
Kaspersky Anti-Spam
Hauptwerkzeug für die Steuerung von Kaspersky Anti-Spam ist
Verwaltungszentrale. Die Verwaltungszentrale ist eine Web-Anwendung, die es
erlaubt, Einstellungen am Filterungsserver von einem entfernten Computer aus
vorzunehmen. Dieser Abschnitt enthält eine detaillierte Beschreibung aller
Elemente des Anwendung-Interfaces.
In dem oberen Teil des Fensters ist eine Reihe der Regestrirkarten vorhanden,
welche den Zugang zu folgenden Funktionalitäten der Verwaltungszentrale
anbieten:
•Monitoring – eine Registerkarte, die Informationen über Zustand der
Komponente des Filterungsservers enthält; diese Information kann zum
erkennen der Fehler benutzt werden.
•Statistics – eine Registerkarte, die statistische Protokolle enthält, welche
eine Anzahlanalyse der bearbeiteten E-Mails erlaubt.
•Policies – eine Registerkarte, die zum Einstellen von Richtlinien der
•Settings – eine Registerkarte, die Einstellungen des Spam-
Filterungsservers, der Verwaltungszentrale und Update-Systems der
Inhaltsfilterung-Datenbanken enthält.
•License – eine Registerkarte, die zum Verwalten der Lizenzen von
Kaspersky Anti-Spam und Registrieren der Benutzer, die Produkt
verwalten dürfen, benutzt wird.
In dem linken Teil des Fensters ist eine Auswahl, welche eine Liste von Seiten
der ausgewählten Registerkarte enthält. Inhalt der Auswahl kann sich ändern,
abhängig von der gewälten Registerkarte.
Außer aufgezählten Navigationsschaltfläschen ist in dem oberen Teil des
Fensters eine Adressenzeile angebracht, die den Pfad zu der aktuellen Seite in
der Hierarchie der Abschnitte der Verwaltungszentrale anzeigt.
Weiter werden die Aufgaben beschrieben, welche mit der Verwaltung des
Filterungsserver und seiner Komponente zusammen hängen.
4.3. Verwaltung von
Filterungsrichtlinien
Hauptfunktion von Kaspersky Anti-Spam ist das Erkennen und Filtern der
unerwünschten Nachrichten. Verwaltungssystem bietet Ihnen ein mächtiges
Werkzeug zum Einstellen des Spam-Erkennungsprozesses und der darauf
folgenden Bearbeitung der E-Mails.
36 Kaspersky
®
Anti-Spam 3.0
Einstellungen der Filterungsrichtlinien sind in dem Abschnitt Policies der
Verwaltungszentrale enthalten.
Auswahl des Abschnittes Policies enthält folgende Unterabschnitte:
•Common – Einstellungen der allgemeinen Filterungsrichtlinie. Abschnitt
enthält:
• Default Rules – Verwaltung der Spamerkennung-Richtlinien.
• Black List – Verwaltung einer "schwarzen" Liste der
Absenderadressen, von den keine E-Mails angenommen
werden.
•White List – Verwaltung der "weißen" Liste der
Absenderadressen, E-Mails von den in der Liste stehenden
Absender werden nicht nach Spam untersucht.
•DNS Black Lists – Verwaltung der Liste von benutzten
DNSBL-Diensten.
•Groups – Benutzergruppen-Einstellungen, Erkennungsrichtlinien, welche
auf bestimmten Gruppen angewendet werden, und Aktionen, welche an
E-Mails vorgenommen werden:
•Group list – Benutzergruppen-Verwaltung: hier können Sie
Gruppen erstellen, löschen und Gruppeneigenschaften ändern.
Parametereinstellungen der Gruppenrichtlinien werden in dem
Gruppenrichtlinien-Editor geändert. Gruppenrichtlinien-Editor wird in dem
Fenster Group list gestartet.
Link Rebuild All Policies
, der in der Auswahl Build platziert ist, wird zur
erzwungenen Kompilierung der Filterungsrichtlinien benutzt (zum Einlesen und
Anwenden der Konfigurationseinstellungen). Erzwungene Kompilierung kann,
z.B., benutzt werden, wenn Einstellungen der Filterungsrichtlinien erneut
eingelesen werden sollen, wenn sie früher falsch gelesen wurden.
4.3.1.Allgemeine Filterungsrichtlinie
Einstellungen der Filterungsrichtlinie, welche für alle Gruppen gleich ist, sind in
dem Abschnitt Default Rules (s. Abb. 4) untergebracht. Um zu diesem Abschnitt
zu gelangen, benutzen Sie den Link Default Rules
des Abschnitts Policies platziert ist.
, der in der Auswahl Common
Verwaltung von SpamFilterungsserver 37
Abbildung 4. Einstellungen der allgemeinen Filterungsrichtlinie
Einstellungen der Spam-Erkennungsrichtlinien sind in Gruppiert nach dem
Prinzip der Funtionsänlichkeit aufgeteilt. Die Hauptseite zeigt eine Liste der
Gruppierungen.
Die Kombinationen der Einstellungen und Funktionalitäten werden von
den Inhaltsfilterung-Datenbanken bestimmt. Nach dem Updaten der
Datenbanken können Kombinationen der Einstellungen und
Funktionalitäten sich ändern.
Außer Gruppennamen der Abschnitte enthält die Liste folgende Informationen:
• Eine Kurze Abschnittbeschreibung;
• Gesamte Anzahl der Richtlinien im Abschnitt;
• Anzahl der Richtlinien, die modifiziert wurden, verglichen mit den
ursprünglichen Einstellungen der Inhaltsfilterung-Datenbanken.
Rechts von den Beschreibungen der Abschnitte ist eine Schltfläche platziert, die
den Editor der Regeln des Abschnittes aufruft:
. Für die Abschnitte, für welche
die Regeln geändert wurden, wird diese Schaltfläche orange gekennzeichnet.
Beim Klick auf die Schltfläche wird die Redaktor-Seite geöffnet. Das Aufrufen der
Redaktor-Seite kann auch durch den Klick auf den Namen des Abschnitts
durchgeführt werden. Zum Widerrufen der Änderungen benutzen Sie die
Schltfläche.
38 Kaspersky
®
Anti-Spam 3.0
4.3.1.1.Abschnitt
Das Aufrufen der Regel-Einstellungen des Abschnitts General wird durch den
Klick auf den Namen des Abschnitts in der Regelnliste der allgemeinen
Filterungsrichtlinie ausgeführt (s. Abb. 5).
Abbildung 5. Regelnabschnitt General der allgemeinen Filterungsrichtlinie
Abschnitt General erlaubt Ihnen folgende Parameter einzustellen:
General
• Detection – bestimmt,ob die Spam-Erkennung an E-Mails ausgeführt
wird. Wenn die Erkennung ausgeschaltet ist, werden alle E-Mails den
Status Trusted bekommen (Details s. Pkt. 2.3 auf S. 21).
Es wird nicht empfohlen die Erkennung auf der Ebene der
allgemeinen Richtlinien abzuschalten. Diese Möglichkeit kann
nützlich sein während der Testphase des Produktes, wie in den
Situationen, wenn Spamfilterung nur für einige
Benutzergruppen eingeschaltet werden soll.
•Detection Level – bestimmt Schärfestufe bei der Spamerkennung. Das
Entscheiden, ob E-Mail Spam ist oder nicht, passiert auf Grund der
Merkmale, die vom Filterungsmodul erkannt werden. Diese Einstellung
bestimmt, wie der Filterungsmodul diese Merkmale bewertet beim
Vergeben des Status an die Nachricht. Filterungsrichtlinie hat vier
Schärfestufen: Minimum, Standard, High, Maximum. Um je höher die
Verwaltung von SpamFilterungsserver 39
Schärfestufe der Erkennung, um so wenige Anzahl der Merkmale führt
zur Erkennung der E-Mail als Spam. Auf den Ebenen mit niedriger
Schärfe-Stufe wird gleicher Satz der Merkmale nur dazu führen, dass EMail als verdächtige (Status Probable Spam), oder gar nicht als Spam
anerkannt wird.
Es wird empfohlen die Schärfe-Stufe Standard zu benutzen.
Eine höhere Schärfe-Stufe der Filterung kann in dem Fall benutzt werden,
wenn Kaspersky Anti-Spam die Spam-Nachrichten nicht erkennt, oder
diese als verdächtige erkennt (Status Probable Spam). Aber in diesem
Fall wird die Wahrscheinlichkeit des fälschlichen Funktionierens erhöht,
wenn eine normale E-Mail als Spam anerkannt wird.
Eine niedrigere Schärfe-Stufe führt zu einer kleineren Wahrscheinlichkeit
des fälschlichen Funktionierens, dabei erhöht sich die Wahrscheinlichkeit,
dass Spam den Filter umgehen kann.
Außer Schärfe-Stufe werden die Filterungergebnisse auch von
den Erkennungsmethoden beeinträchtigt. Bei dem fälschlichen
Funktionieren sollen Sie die Methoden überprüfen, die bei der
Spamerkenung benutzt werden.
• Assignment of the 'Probable Spam' status – Ein- oder Ausschalten der
Status-Vergabe Probable Spam. Wenn der Parameter den Wert Disable
bekommt, dann wird Kaspersky Anti-Spam den Status Probable Spam
nicht an E-Mails vergeben.
•DNS & SPF Checks – Überprüfung der Absender-Information über DNS
und mit Hilfe der Dienste, die auf Basis von DNS, DNSBL, SPF u.s.w.
aufgebaut sind.
Überprüfungen über DNS und Dienste auf Basis von DNS
können zu wesentlichen Verzögerungen der E-Mail-Bearbeitung
führen. Schalten Sie die Methode ab, wenn ihre Benutzung zu
wesentlichen Verringerung der Leistunsfähigkeit des Filters
führt.
Der Parameter bestimmt die Benutzung der DNS-Dienste durch den
Filterungsserver, Ein / Ausschalten der Dienste wird in dem Abschnitt
DNS & SPF Checks (s. Pkt. 4.3.1.2 auf S. 40) ausgeführt.
Details zu den Einstellungen der DNSBL-Dienste s. Pkt. 4.3.3 auf S. 46.
•SURBL Check – Benutzung der SURBL-Dienste.
40 Kaspersky
•Use of White and Black Lists – Benutzung der "weisen" und
"schwarzen" Listen der IP-Adressen und E-Mail-Adressen. Details über
Benutzung der "weisen" und "schwarzen" Listen s. Pkt. 4.3.2 auf S. 44.
Schltfläsche Apply dient zu Speicherung der Einstellungen. Nach dem die
Schltfläsche angeklickt wurde, werden Speicherung der Einstellungen,
Kompilierung der Filterungsrichtlinien und Neuestarten des Filterungsmodules
durchgeführt. Dadurch werden die Änderungen sofort wirksam.
Schltfläsche Reset setzt die Werte der Parameter zurück (es werden alle nicht
gespeicherte änderungen aufgehoben).
Schltfläsche Default setzt die Einstellungen für die Inhaltsfilterung-Datenbanken
auf standardmäßige zurück. Um die Einstellungen auf die Standardmäßige
®
Anti-Spam 3.0
zurück zu setzen können Sie auch die Schaltfläche
über von den Namen des Abschnittes in der Liste der Regeln der allgemeinen
Filterungsrichtlinien platziert ist.
Um zu der Liste der Regeln von allgemeinen Filterungsrichtlinie zurück zu
kehren, klicken Sie auf die Schaltfläche Apply (dabei werden die Änderungen
gespeichert) oder benutzen Sie den Link Default Rules
(dabei werden die Änderungen nicht gespeichert).
4.3.1.2.Abschnitt
Abschnitt DNS & SPF Checks (s. Abb. 6) enthält Einstellungen, welche die
externe Dienste bestimmen, die für Spamerkennung benutzt werden.
Die Parameter, welche in diesem Abschnitt platziert sind, erlauben Ihnen die
Benutzung folgender Methoden Ein- und Ausschalten:
•Use of DNSBL services – Überprüfung der IP-Adresse des Absenders
über die DNSBL-Dienste. Eine Liste der Dienste kann auf der Seite
Policies → Common → DNS Black Lists erstell werden. Details s.
Pkt. 4.3.3 auf S. 46.
•Check ip addresses in DNS – Überprüfung der IP-Adresse des
Absenders über DNS (reverse DNS lookup).
•Check SPF Records – Überprüfung der IP-Adresse des Absenders mit
Hilfe der SPF-Technologie.
DNS & SPF Checks
benutzen, die gegen
der Aufstellung Common
Verwaltung von SpamFilterungsserver 41
Abbildung 6. Abschnitt DNS & SPF Checks.
4.3.1.3.Abschnitt
Abschnitt Headers Checks (s. Abb. 7) erlaubt Ihnen die Parameter der Regeln
einzustellen, nach welche die Inhaltanalyse der E-Mail-Header durchgeführt wird.
Abbildung 7. Abschnitt Headers Checks der allgemeinen Filterungsrichtlinie
Headers Checks
42 Kaspersky
®
Anti-Spam 3.0
Dieser Abschnitt enthält keine komplette Auflistung der Regeln, welche von
Kaspersky Anti-Spam bei der Analyse der E-Mail-Titelzeilen benutzt werden,
sondern eine Auflistung der Regeln, Anwendung dessen zur Ausfilterung von
nützlichen E-Mails, welche Spam-Merkamale enthalten, führen kann. Zu solchen
Merkmale gehören:
•Undisclosed list of recipients in TO – Vorhandensein der versteckten
Empfängerlisten in dem Feld TO.
•Digits mixed with letters in TO or FROM headers (Vorhandensein der
Zahlen in Absender- oder Empfänger-Adresse). Anwendungen, welche
zum Spam-Versand benutzt werden, benutzen des Öfteren als Absenderoder Empfängeradressen automatisch generierte Adressen, die eine
Gruppe von Zahlen enthalten. Wenn Benutzer Ihres Mailservers keine
Adressen mit Zahlen benutzen, ist es ratsam diese Regel einzuschalten.
•Address with no domain name (fehlende Domäneninformation in der
Adresse). Beim Versenden der Spamnachrichten werden oft
unvollständige Adressen benutzt (ohne Angabe der Mail-Domäne), E-Mail
Client-Programme
dagegen geben eine volle E-Mail-Adresse an, z. B.
user@domain.com. Es wird empfohlen diese Regel für solche Benutzer
abzuschalten, die E-Mail-Versand mit unvollständigen Adressen
zulassen.
•SUBJECT is longer than 250 symbols (Langer Text in Feld “Betreff”).
Anwendungen, welche zum Spam-Versand benutzt werden, tragen des
Öfteren in das Feld “Betreff”(Subject) lange zufällige Zeichen- oder
Wörter-Reihenfolgen (mehr, als 250 Zeichen), um Filter zu umgehen.
Schalten Sie diese Regel aus, wenn in Ihrem System Versand solchen
Nachrichten erlaubt ist.
•
SUBJECT contains lots of white space or dots (Text in Feld “Betreff”
enthält viele Lehrzeichen und Punkte). Anwendungen, welche zum
Spamversand benutzt werden, tragen in das Feld “Betreff” viele
Lehrzeichen und Punkte ein, um Filter zu umgehen. Schalten Sie diese
Regel aus, wenn in Ihrem System Versand von solchen Nachrichten
erlaubt ist.
•SUBJECT contains DIGIT ID or Timestamp (like 'Time: 14:30:35')
(Text im Feld “Betreff” enthält Zeitmuster oder Digitale ID). Die Methode,
bei welcher in das Feld “Betreff” Zeitmuster oder Digitale ID eingetragen
werden, wird auch von den Spamversand-Programmen benutzt, um
Spam-Filter zu umgehen.
Ein Dropdown-Menü rechts von den aufgezählten Regeln erlaubt Ihnen die
Benutzung der Regel Ein- (Wert Enabled) oder Auszuschalten (Wert Disabled).
Verwaltung von SpamFilterungsserver 43
Endgültige Entscheidung, welcher Status der Nachricht vergeben wird,
wird auf Grund viele Merkmale gefällt. Deswegen bedeutet das Einoder Ausschalten einer Regel oder Regel-Gruppe noch nicht, dass die
zu bearbeiteten E-Mails als Spam erkannt werden oder, im Gegenteil,
vom Filterungsserver durch gelassen werden. Das Einstellen der Regel
erlaubt es, die Fehlerquote beim Erkennen des Spams zu verkleinern.
Aufgezehlte Regeln können nicht nur für alle Benutzer in der allgemeinen
Filterungsrichtlinie, sondern auch für einzelne Gruppen eingeschaltet werden, mit
Hilfe der Gruppenrichtlinie.
4.3.1.4.Abschnitt
Im Abschnitt Eastern Encodings (s. Abb. 8) können Sie die Sprachen und
Kodierungen der Nachrichten angeben, welche den Benutzern Ihres E-MailSystems zugeschickt werden dürfen und nicht zum Spam gehören.
Abbildung 8. Abschnitt Eastern Encodings der allgemeinen Filterungsrichtlinie.
In der laufenden Produkt-Version wird Gruppe der asiatischen Sprachen
kontroliert: Chinesische, Koreanische, Taiwanesische und Japanische.
Wenn die Benutzer Ihres E-Mail-Systems einer der aufgezählten Sprachen
benutzt, wählen Sie für diese Sprache den Punkt is allowed aus dem Dropdown-Menü. Wenn keine der Sprachen von den Benutzern Ihres E-MailSystems benutzt wird, wählen Sie den Wert is treated as suspicious aus.
Eastern Encodings
4.3.1.5. Abschnitt
Abschnitt Obscene Content (s. Abb. 9) erlaubt Ihnen zu bestimmen, ob die
Nachrichten mit obszönen Ausdrücken markiert werden sollen. Kaspersky AntiSpam erkennt Obszönitäten aus Russischer und Englischer Sprachen.
Obscene Content
44 Kaspersky
Abbildung 9. Abschnitt Obscene Content der allgemeinen Filterungsrichtlinie.
Wenn Parameter Message with obscene words and phrases den Wert mark in Subject bekommt, werden alle E-Mails mit obszönen Ausdrücken mit
Kennzeichnung [--Obscene--] in dem Betreff-Feld gekennzeichnet.
®
Anti-Spam 3.0
4.3.2. Verwaltung der "weißen" und
"schwarzen" Listen
"Weiße" Absenderliste (White List) wird benutzt um eindeutig die Adressen
anzugeben, von welchen kommende E-Mails nicht nach Spam untersucht
werden. In diese Liste können IP-Adresen der internen Mailserver oder
Versandlisten eingetragen werden. E-Mails von Absender aus der "weißen" Liste
werden Status Trusted bekommen.
"Schwarze" Absenderliste (Black List) hat eine gegenteilige Bedeutung. In diese
Liste trägt der Filterungsserver-Administrator die Absender-Ardessen, welche
zum Versenden der Spam-E-Mails benutzt werden. Nachrichten, dessen
Absender in der "schwarzen" Liste sind, bekommen den Status Blacklisted.
Verwaltung der Listen ist identisch. In diesem Abschnitt werden Beispiele der
Einstellungen der "wiesen" Liste betrachtet (s. Abb. 10).
Zugang zu der Bearbeitungsmaske der "weißen" Liste wird über den Menüpunkt
Policies → Common → White List (für die "schwarze" Liste –
Policies → Common → Black List).
Eine Liste der Vertrauten Adressen wird in IP-Adressen-Liste und E-MailAdressen-Liste unterteilt. Für die Adresseneingabe dient ein Textfeld in der Mitte
der Seite. Der Schalter e-mails | ip addresses wird zum Auswählen der
Eintragstypen der "weisen" Liste benutzt.
Schaltfläche Apply dient zu Speicherung der eingetragenen Änderungen. Damit
nicht gespeicherte Änderungen verworfen werden, benutzen Sie die Schaltfläche
Reset.
Verwaltung von SpamFilterungsserver 45
Speichern Sie die Änderungen, bevor Sie den Schalter emails | ip addresses benutzen. Beim Umschalten gehen alle
nichtgespeicherte Änderungen verloren.
Abbildung 10. Einstellungsseite der "weißen" Liste
Um die E-Mail-Adressen einzugeben werden folgende Schreibweisen benutzt:
• user@domain – eine bestimmte Adresse;
• @domain – alle Adressen aus der Domäne domain.
In den E-Mail-Adressen können auch spezielle Sonderzeichen benutzt werden:
• * (Stern) – eine Zeichenzeile willkürlicher Länge;
• ? (Fragezeichen) – ein willkürlicher Zeichen.
Z. B., Eintrag user*@mycompany.com zeigt auf alle Adressen, die mit dem Wort
user anfangen und aus der E-Mail-Damäne mycompany.com kommen.
Zum Eintragen der IP-Adressen wird CIDR-Schreibweise benutzt, die folgenden
Varianten zuläßt:
• aaa.bbb.ccc.ddd/mm – Subnetz-Adresse mit vorgegebener Nummer und
Maske, z. B. 192.168.0.0/16.
46 Kaspersky
Adressen in der Liste können durch Lehrzeichen, Zeilenvorschub, Semikolon
und Punkt getrennt werden.
®
Anti-Spam 3.0
4.3.3. Verwaltung von Listen der benutzten
DNSBL-Diensten
Um auf die Seite der Verwaltung von Listen der DNSBL-Dienste zu gelangen,
benutzen Sie den Link DNS Black Lists
Policies (s. Abb. 11).
Liste der Einstellungen der benutzten DNSBL-Diensten gehört zur allgemeinen
Filterungsrichtlinie. Später können Sie für jede Benutzergruppe angeben, ob die
Ergebnisse der Untersuchung mit Hilfe der DNSBL-Dienste für diese Gruppe
benutzt werden sollen. Die Liste der Dienste ist für alle Benutzergruppen gleich.
In der Mitte der Seite ist eine Liste der benutzten Dienste platziert. Für jeden
DNSBL-Dienst wird seine Adresse angegeben, über welche die Anfragen an den
Dienst geschickt werden, wie auch Popularität des Dienstes.
Dienst-Popularität bestimmt die Vertrauensstufe des Administrators an den
Dienst. Bei der Überprüfung der IP-Adresse in den DNSBL verschickt Kaspersky
Anti-Spam Anfragen an alle Dienste aus der Liste. Nach dem die Ergebnisse
vorliegen, werden die Popularitäten der Dienste summiert, welche angegebenen
IP-Adressen erkannt haben als die Adresse, von der Massenversand stattfindet.
im Menü Common des Abschnittes
Abbildung 11. Seite der Verwaltung von DNSBL-Listen
Wenn die Summe der Popularitäten DNSBL-Dienste höher ist, als 100, wird der
Absender als einer aus der "schwarzen" Liste behandelt und die Nachricht
Verwaltung von SpamFilterungsserver 47
bekommt Status blackisted, unabhängig von den Ergebnissen der Anderen
Methoden. Bei bestimmter Schärfestufe können auch die Situationen analysierte
werden, wann die Summe der Dienstpopularitäten, welche den Absender in
"schwarzer" Liste haben, weniger als 100 ist. Indiesem Fall wird die Information
von den DNSBL-Diensten nur als zusätztlischer Merkmal benutzt und die
Nachricht erhält den Spamstatus nur denn, wenn die Spammerkmale auch mit
Hilfe anderen Methoden festgestellt wurden.
Es sind folgende Aktionen an der Liste der DNSBL-Dienste möglich:
• Einen Dienst hinzufügen.
• Dienst-Popularität ändern.
• Dienst entfernen.
Sehen wir jede Aktion detailliert an:
• Um einen neuen Dienst zu Liste zunzuzufügen:
1. Dienst-Adresse in der unteren freien Zeile mit dem Zeichen +
angeben;
2. Dienst-Popularität angeben;
3. Ergebnisse speichern, in dem Sie auf die Schltfläche Apply
klicken.
• Um Popularität eines existierenden DNSBL-Dienst zu ändern:
1. neun Popularitätswert in der Tabelle Rate des Dienstes
angeben;
2. Ergebnisse speichern, in dem Sie auf die Schltfläche Apply
klicken.
• Um einen Dienst aus der Liste zu Löschen:
Auf die Schaltfläche
klicken, die rechts von der Adressenzeile des Dienstes
platziert ist.
Auswahl zu benutzenden DNSBL sollte mit Vorsicht getroffen werden.
Bei den unterschiedlichen Diensten unterscheiden sich die Richtlinien
der Listenerstellung. Lesen Sie die Richtlinien der Dienste sorgfeltig,
bevor Sie Listen des Dienstes zur E-Mail-Filterung benutzen.
48 Kaspersky
®
Anti-Spam 3.0
4.3.4. Verwaltung von Liste der
geschützten Domänen
Liste der geschützten Domänen enthält Domänennamen, an den Spamfilterung
ausgeübt wird. Für die Listenverwaltung dient die Seite, die an der Adresse
Policies → Common → Protected Domains platziert ist (s. Abb. 12).
Abbildung 12. Liste der geschützten Domänen
Beim Angeben von Adressen geschützten Domänen dürfen Sonderzeichen
benutzt werden: * – beliebige Anzahl von Zeichen, ? – ein beliebiges Zeichen. Z.
B.; um Domäne example.com und Ihre Subdomänen in die Liste der
geschützten aufzunehmen, ist es ausreichend einen Eintrag zu machen:
*example.com
Um den Produkt auf Filterung aller E-Mails einzustellen, können Sie entweder
die Liste lehr lassen, oder fügen Sie folgende Zeile hinzu:
*
Nach dem Bearbeiten der Liste klicken Sie auf die Schaltfläche Apply um die
Änderungen zu bestätigen, und auf Reset um die Änderungen zu verwerfen.
Für die Domänen, die in Liste der geschützten aufgenommen sind, wird
Kontrolle der Lizenz-BeGrenzung durchgeführt (z. B., Umfangkontrolle
des E-Mail-Verkehrs, wenn Lizenz-Schema mit BeGrenzung nach
diesem Parameter benutzt wird).
Verwaltung von SpamFilterungsserver 49
Änderungen in die Liste können auch lokal eingetragen werden, unter Benutzung
der Befehlszeile. Domänenliste wird in Form einer Textdatei protected_domains,
in dem Verzeichnis /usr/local/ap-mailfilter3/conf abgelegt.
Nach dem die Datei bearbeitet ist, führen Sie folgenden Befehl als Benutzer root
aus:
# /usr/local/ap-mailfilter3/bin/kas-restart –f
An alle E-Mails, die an Benutzer nicht geschützten Domänen
wetergeleitet werden, wird ein folgender Header eingefühgt:
X-SpamTest-Info: Not protected
Details über spezielle Header s. Pkt. A.5 auf S. 120.
4.3.5.Gruppenverwaltung
Filterungsserver-Administrator kann unterschiedliche SpamerkennungEinstellungen für verschiedene Benutzer vorgeben. Dafür dienen die GruppenFilterungsrichtlinien.
Bevor Sie zu den Einstellungen der Regeln von Gruppen-Richtlinien übergehen,
muss eine Liste von E-Mail-Adressen definiert werden, für welche GruppenRichtlinie wirksam sein soll.
Außer von dem Administrator erstellten Gruppen, benutzt das Produkt eine
Gruppe namens All, die bei der Installation standardmäßig erstellt wird. Diese
Gruppe bestimmt die E-Mail-Bearbeitungsregel, welche nicht unter Wirkung
anderen Gruppen fallen. Gruppe All ist eine Systemgruppe und kann nicht
gelöscht werden.
Um zu den Gruppeneinstellungen zu gelangen ist Menüpunkt Groups
vorgesehen, welchen Sie an der linken Seite des Fensters im Abschnitt Policies
finden.
Link Group List
Abb. 13).
öffnet eine Seite, diese enthält eine Auflistung aller Gruppen (s.
50 Kaspersky
Abbildung 13. Auflistung von Kaspersky Anti-Spam benutzten Gruppen
Es sind folgende Aktionen an den Gruppen möglich:
• Gruppeneigenschaften ändern.
• Eine neue Gruppe erstellen.
• Eine Gruppe Löschen.
®
Anti-Spam 3.0
• Gruppenanordnung ändern.
Weiter werden jede der aufgezählten Aufgaben detailliert behandelt:
Um Gruppeneigenschaften-Editor zu öffnen, gehen Sie wie folgt vor:
klicken Sie rechts von dem Namen der Gruppe, deren Eigenschaften Sie
bearbeiten wollen, auf die Schaltfläche
.
• Gruppeneigenschaften-Editor erlaubt Ihnen zu bearbeiten:
• Allgemeine Gruppenparameter, wie z. B., Gruppenname, Anmerkungen,
wie auch die Liste der E-Mail-Adressen, an welche die Regeln der
Gruppe angewendet werden.
• Spamerkennung-Regeln;
• Aktionen, die an den E-Mails unternommen werden;
• " schwarze" und "weiße" Absenderlisten.
Verwaltung von SpamFilterungsserver 51
Name und die E-Mail-Adressen von der Gruppe All sind fürs Bearbeiten
unzugängig, denn diese Gruppe bestimmt Bearbeitungsregeln aller
Nachrichten,Absender und Empfänger deren in keine von
Administrator erstellten Gruppen eingeschlossen sind.
Um eine neu Gruppe zu erstellen, gehen Sie wie folgt vor:
1. Klicken Sie auf Schltfläche, welche sich über die Gruppenliste
befindet.
2. In dem darauf folgenden Fenster (s. Abb. 14) wählen Sie
Gruppennamen aus, tragen Sie die Anmerkungen (wenn nötig ist) und
die E-Mail-Adressen ein.
Das Feld Group Id enthält Gruppen-Bezeichner, diese Gruppen-Bezeichner wird
beim erstellen der Gruppe vergeben. Dieser Parameter kann nicht geändert
werden.
Text aus dem Feld Comments wird in der Gruppenliste unter dem Namen der
erstellten Gruppe angezeigt.
Für E-Mail-Enträge wird die gleiche Schreibweise benutzt, wie für Adressen in
der "schwarzen" und "weißen" Absenderlisten (s. Pkt. 4.3.2 auf S. 44).
Um eine Gruppe zu löschen,
Klicken Sie auf die Schltfläche, welche sich rechts von dem Namen der
Gruppe befindet.
Um Anzeigereihenfolge der Gruppen zu ändern,,
Klicken Sie auf die Schltfläche
, welche sich links von dem Namen der Gruppe
befindet. Dabei wird die Gruppe in der Liste nach oben verschoben.
Bei E-Mail-Bearbeitung durchsucht der Filterungsmodul die Gruppen in der
vorgegebenen Reihenfolge (vom Anfang zu Ende). Dabei wird E-Mail nach
Regel der Gruppe bearbeitet, in welcher Liste die Empfängeradresse als erstes
gefunden wird. Wenn Empfänger in keiner der Gruppen gefunden wird, wird EMail nach Regeln der Gruppe All behandelt.
52 Kaspersky
®
Anti-Spam 3.0
Abbildung 14. Erstellung einer neuen Gruppe
4.3.6. Verwaltung von GruppenFilterungsrichtlinien
Für jede Gruppe, auch für Gruppe All, können eigene Erkennungseinstellungen
vorgegeben werden, wie auch eigene "schwarze" und "weiße" Absenderlisten.
So hat der Administrator eine Möglichkeit unterschiedliche Regeln für
verschiedene Benutzergruppen zu definieren.
Standardmäßig erben alle Gruppen die Erkennungsregeln von der allgemeinen
Filterungsrichtlinie, jedoch kann der Administrator die Erkennungsregeln für
Gruppen umdefinieren.
Zu den Einstellungen von Erkennungsregeln der Gruppen-Filterungsrichtlinie
können Sie über Link Rules
gelangen. Die Regeln-Struktur ist mit der Struktur von allgemeinen
Filterungsrichtlinie identisch .
im Menü Group Policy des Richtlinieneditors
Verwaltung von SpamFilterungsserver 53
Der einzige Unterschied besteht darin, dass die Liste möglischen RichtlinienWerte einen Parameter by default enthält. Das bedeutet, dass dieser Parameter die Einstellungen von der allgemeinen Filterungsrichtlinie erbt.
Auf Abbildung 15 ist Fenster Rules der Gruppen-Filterungsrichtlinie gezeigt.
Wie aus der Abbildung zu sehen ist, erbt die Gruppe alle Einstellungen von
allgemeinen Filterungsrichtlinie (Wert by default) mit Ausnahme von Parameter
DNS & SPF Сhecks. Das Benutzen dieser Methode ist ausgeschaltet.
Um "schwarze" und "weiße" Absenderlisten zu definieren sind Links White List
und Black List
Listeneinstellungen für Gruppen sind den Einstellungen von allgemeinen
Filterungsrichtlinie identisch .
bestimmt, welche sich im Menü Group Policy befinden.
Abbildung 15. Seite Rules der Gruppen-Filterungsrichtlinie
4.3.7.Aktionen an den E-Mails
Gruppenrichtlinie enthält auch eine Reihe von Weiterleitung- und
Modifikationsaktionen, die an den von Filterungsmodul erkannten E-Mails
vorgenommen werden. Benutzen Sie den Link Actions, welcher sich in dem
Menü Group Policy des Richtlinieneditors befindet, um die Aktionen einzustellen.
Aktionen werden von dem Status bestimmt, welcher während der Überprüfung
durch Filterungsmodul vergeben wird. Die Seite Actions (s. Abb. 16) enthält
einen Muster, welcher Ihnen erlaubt die Aktionen für jeden Status zu definieren.
54 Kaspersky
®
Anti-Spam 3.0
Eine dropdown-Liste, welche sich unter Statusbeschreibung befindet, dient zur
Bestimmung von Aktionen.
Administrator kann folgende Aktionen definieren:
•Accept this messagе – Mailserver nimmt E-Mail an und stellt dem
Empfänger zu.
•Send a copy of this message to other recipient(s) – Mailserver nimmt
E-Mail an, stellt dem Empfänger zu und verschickt eine Kopie an die
Adresse, welche in dem Feld Send message to eingetragen ist.
•Redirect this message to other recipient(s) – Mailserver nimmt E-Mail
an und leitet an die Adresse weiter, die im Feld Send message to
eingetragen ist. An den E-Mail-Empfänger wird die Nachricht nicht
zugestellt. Diese Option kann zum Versenden von Spam-Nachrichten an
das Spamspeicherung-Postfach benutzt werden.
•Reject this message – Mailserver lehnt die Nachricht ab und schickt an
den Absender eine Benachrichtigung über Unmöglichkeit der Zustellung.
Wenn Zustellung für alle Empfänger abgelehnt wird, versendet Mailserver
Benachrichtigung Ablehnung der Zustellung direkt während der SMTPSitzung (reject message). Wenn die Zustellung für mindestens einen
Benutzer erlabt sein sollte, wird dem Absender eine Benachrichtigung
über Unmöglichkeit der Zustellung an die einzelnen Empfänger verschickt
(bounce message). Text der Benachrichtigung können Sie unter
Settings→ Reject Messages einstellen (Details s. Pkt. 4.5.4 auf S. 64 ).
•Delete this message – Mailserver erhält E-Mail und löscht sie, ohne dem
Empfänger zu zustellen. Dabei erhält der Absender keine
Benachrichtigung über Unmöglichkeit der Zustellung.
Verwaltung von SpamFilterungsserver 55
Abbildung 16. Seite Actions der Gruppenrichtlinie
Nachrichten, welche Status Not detected (E-Mail wurde nicht als Spam erkannt)
oder Status Trusted (Nachricht kommt aus vertrauter Quelle oder für Empfänger
wurde in Gruppenrichtlinien Spamuntersuchung der E-Mails ausgeschaltet),
werden immer an den Empfänger zugestellt.
Trotzdem, dass Produkt ständig weiterentwickelt wird, um die Qualität
der Spamerkennung zu steigern und Fehlfunktionen beim Filtern zu
mindern, können die Fehlfunktionen, wenn normale E-Mails als Spam
erkannt werden, nicht vollständig ausschließen. In diesem
Zusammenhang empfahlen wir das Löschen der E-Mails mit Vorsicht zu
benutzen.
Außer Weiterleitung kann Administrator Aktionen für Nachrichten-Modifizierung
definieren. Dieses ist wie für die Visualisierung der Erkennung-Ergebnisse, so
auch für die Filterung der Nachrichten in den E-Mail-Clientprogrammen bequem.
Kaspersky Anti-Spam bietet Ihnen folgende Möglichkeiten der Modifizierung:
56 Kaspersky
• Eine Markierung in Feld „Betreff“ eintragen (am Anfang der Zeile). Für
Texteingabe der Markierung dient Feld Prepend to the Subject.
• Einen zusätzlischen Header X-Spamtest-Header hinzufügen, welche vom
Administrator vorgegebenen Text enthält. Diese Headermarkirung kann
zur automatischen E-Mail-Bearbeitung von den Client-Programmen
benutzt werden. Um ein Text für die Headermarkirung einzugeben,
benutzen Sie das Feld Set X-Spamtest-Header. Mehr über
Headermarkirungen, die bei Filterung zur E-Mail hinzugefügt werden s.
Pkt. A.5 auf S. 120.
®
Anti-Spam 3.0
4.4. Inhaltsfilterung-Datenbanken
updaten
Update von Inhaltsfilterung-Datenbanken, welche zur Inhaltsanalyse von E-Mails
benutzt werden, führt eine Anwendungskomponente aus – sfupdates.
Als Quelle für die Updates der Inhaltsfilterung-Datenbanken kann KasperskyLab-Updateserver im Internet oder ein Netzwerkordner dienen.
Updatestart wird entweder per Hand aus Befehlszeile mit Hilfe eines Skripts oder
automatisch nach Zeitplan mit Hilfe des Dienstes cron gestartet.
4.4.1.Update-Parameter einstellen
Um die Update-Parameter einzustellen, benutzen Sie die Seite
Settings → Maintenance → Updater in der Verwaltungszentrale (s. Abb. 17).
Verwaltung von SpamFilterungsserver 57
Abbildung 17. Updatemodul von Kaspersky Anti-Spam einstellen
•Run updater automatically – Zeitspanne zwischen Downloadvorgängen.
Zeitspanne kann von 20 Minuten bis 3 Stunden betragen.
Es wird empfohlen eine kurze Zeitspanne anzugeben.
Schnellere Updates der Inhaltsfilterung-Datenbanken bietet
eine schnelle Reaktion auf neue Versandlisten. Empfohlene
Zeitspanne ist: 20 Minuten.
Parameter-Wert bestimmt Zeitspanne, in welcher der cron-Task für ProduktUpdate gestartet wird. Beim Bedarf kann cron-Task- Einstellung per Hand
gemacht werden.
•Updater log level – Stufe der Updateprotokoll-Genauigkeit. Es sind
folgende Genauigkeitsstufen vorhanden:
58 Kaspersky
®
Anti-Spam 3.0
• fatal – Es werden kritische Fehler in das Protokoll eingetragen;
• error – Es werden Informationen über alle Fehler in das
Protokoll eingetragen (kritische und nicht kritische).
•warning – Es werden Warnungen und Fehler in das Protokoll
eingetragen;
•info – Außer Warnungen und Fehlermeldungen werden in das
Protokoll Informative Meldungen eingetragen (Information uber
das Starten des Update-Moduls, Updateergebnisse und s.w.);
•activity – In das Protokoll wird Information eingetragen, die
Stufe info entspricht, wie auch erweiterte Informationen über
Update-Verlauf (Verbindung mit dem Update-Server,
Kopiervorgang der Dateien u.s.w.);
•debug – In das Protokoll wird Information eingetragen, die
Stufe activity entspricht, wie auch Information für die
Fehlersuche.
•Network timeout – Timeout (in Sekunden) für die Netzwerk-
Verbindungen beim Updaten der Inhaltsfilterung-Datenbanken.
Empfohlener Wert: 30.
•Use passive FTP mode – dieser Parameter zeigt, dass bei Verbindung
über FTP-Protokol passive Modus benutzt werden soll (empfohlen).
Sektion Updates Server enthält Serverparameter des Update-Servers:
•Region – Region-Name. Wird vom Produkt zur Auswahl des nähesten
Update-Servers benutzt.
•Updates server URL – Adresse des Update-Servers. Dieser Parameter
wird in Verbindung mit den Parametern Use updates server URL und Use
updates server URL only benutzt. Standardmäßig ist die Server-Liste
der Update-Server in der Datei updcfg.xml definiert, die Datei ist in dem
Produkt-Distributiv enthalten. Beim Updaten wählt Kaspersky Anti-Spam
automatisch einen Server aus dieser Liste. Mit Hilfe der Einstellung Use
updates server URL können Sie angeben, dass für Updates Server
benutzt werden soll, welcher im Parameter Updates server URL
definiert ist. Wenn Option Use updates server URL only benutzt wird,
dann wird Kaspersky Anti-Spam nur den angegebenen Server zum
updaten der Inhaltfilterungs-Datenbanken, dabei wird nicht versucht
andere Server zu benutzen.
Als Update-Quellen lässt dieser folgende Parameter zu:
Benutzen eines lokalen Verzeichnisses als Update-Quelle erlaubt das
Updaten mehrere Server in einem großen Netzwerk zu organisieren.
Sektion Proxy Server enthält Zugangseinstellungen für Proxy-Server:
•Proxy address – Adresse des Proxy-Servers, welcher für Internet-
Zugang benutzt wird. Schreibweise: http://url:port, wo url und port
Adresse und Port für die Verbindung mit dem Proxy-Server sind. Wenn
die Adresse nicht angegeben ist, wird dieser Wert der Variabelen
http_proxy entnommen.
• User – Benutzername für Zugang zum Proxy-Server.
• Password – Benutzerpasswort für Zugang zum Proxy-Server.
• Use proxy – dieser Parameter zeigt, dass ein HTTP-Proxy-Server zum
updaten der Inhaltsfilterung-Datenbanken benutzt werden muss.
4.4.2.Update starten
Sie können das Updaten der Inhaltsfilterung-Datenbanken auf zwei Wegen
starten:
• Automatisch nach Zeitplan;
• Per Hand aus Befehlszeile.
Es wird empfohlen automatische Updates einzustellen, dieses erlaubt Ihnen die
Inhaltsfilterung-Datenbanken im aktuellen Zustand zu halten und gewährleistet
effiziente Spamfilterung.
Um Update per Hand zu starten, geben Sie in der Befehlszeile ein:
wo [schlüssel] – ein Skript-Startparameter ist. Eine volle Parameterliste
des Skriptes sfupdates s. Pkt. A.4.8 auf S. 119.
Wenn Sie keinen Schlüssel zum Starten des Skriptes benutzen, werden neue
Inhaltsfilterung-Datenbanken von dem Server kopiert, wird eine
Vollständigkeitsuntersuchung durchgeführt, die Datenbanken werden installiert
und Filterungsmodul wird neue gestartet.
Standardmäßig wird bei Produktinstallation Dienstprogramm cron zum
automatischen Start des Updateskripts für Benutzer mailflt3 mit 20-minutigen
60 Kaspersky
Zeitabständen konfiguriert. Wenn es notwendig ist den Start-Task des UpdateSkripts per Hand einzustellen, gehen Sie wie folgt vor:
1. Starten Sie den Task-Editor des Prozesses cron für den
Benutzer mailflt3
Bevor Sie automatisches Staten der Updates wählen, vergewissern Sie
sich, dass Benutzer mailflt3 in den Verzeichnisen /usr/local/ap-mailfilter3/cfdata und /usr/local/ap-mailfilter3/conf Schreibrechte hat.
®
Anti-Spam 3.0
4.5. Einstellungen von
Spamfilterung-Server
Im Abschnitt Settings befinden sich die Einstellungen des SpamfilterungServers. Zu den Seiten gelangen Sie über Links, welche sich im Menü Anti-Spam Engine befinden:
• Common – allgemeine Einstellungen des Spamfilterung-Servers.
• Process Server – Einstellungen des Master-Prozesses ap-process-
server.
• Filtration Process – Funktionsparameter der Filterungsprozesse
ap-mailfilter.
• Check Options
• MTA Clients
• Reject Messages
Mail-Annahme an den Absender verschickt werden.
Die Parameter können auch per Hand in der Konfiguratinsdatei filter.conf
bearbeitet werden. Eine Detaillierte Beschreibung der Konfigurationsdatei
filter.conf s. Pkt. A.3.1 auf S. 107.
– Spamerkennung-Parameter.
– Parameter der Clientmodule.
– Texte der Nachrichten, welche beim Ablehnen der E-
Verwaltung von SpamFilterungsserver 61
4.5.1. Allgemeine Filterungsserver-
Parameter
Allgemeine Filterungsserver-Parameter befinden sich auf der Seite
Settings→Anti-Spam Engine → Common (s. Abb. 18), dazu gehören:
•Syslog facility – Systemprotokoll-Katerorie, in welche Kaspersky
Anti-Spam-Einträge geschrieben werden. Standardmäßig werden die
Einträge in die Kategorie mail geschrieben, bei Bedarf kann der
Administrator die Einträge in folgende Kategorien schreiben lassen: mail, user, local0 – local7.
Nach dem Parameter Syslog facility geändert wurde, stellen Sie das
Hilfsprogramm syslog ein, um das Schreiben in die Kategorie zu
gewährleisten. Diese Einstellungen werden per Hand in der
Konfigurationsdatei /etc/syslog.conf vorgenohmen. Details dazu s.
manual pages für syslogd und syslog.conf.
Systemprotokolle werden von dem Monitoring-System benutzt um die
Informationen über Arbeit des Filterungsservers und seine Komponente
anzuzeigen. Um den Pfad des Verzeichnis zu definieren werden
Parameter-Werte aus der Konfigurationsdatei /etc/syslog.conf benutzt.
•Verbose level – Stufe der Protokollgenauigket der Information, welche in
Module-Protokoll des Kaspersky Anti-Spam geschrieben wird. Als Wert
für den Parameter kann benutzt werden: minimum, low, normal, high, debug, more debug. Bei Wertvergabe sollen Sie beachten, dass die
Einstellungen der Konfigurationsdatei /etc/syslog.conf abhängig von der
Kategorie die Protokollgenauigket-Stufe beinträchtigen können (syslog
facility). Z. B., in FreeBSD Standardmäßiger Wert für Kategorie mail ist
mail.info; auch wenn dem Parameter Verbose level Wert more debug
vergeben ist, wird die Protokollgenauigket-Stufe durch standardmäßig
en Wert gesenkt.
Stufe der Protokollgenauigket more debug führt zu höherer
Server-Belastung und kann so zum Senken der
Leistungsfähigkeit führen. Bitte, benutzen Sie diese Stufe nur
während Fehlrsuche.
62 Kaspersky
Abbildung 18. Allgemeine Einstellungen des Filterungsservers
Nach dem die allgemeine Parameter geändert sind, klicken Sie auf die
Schaltfläsche Apply und starten den Server neu, in dem Sie folgenden Befehl
ausführen:
# /etc/init.d/kas3 restart
unter Linux-Betriebssystem;
# /usr/local/etc/rc.d/kas3.sh restart
unter FreeBSD-Betriebssystem.
®
Anti-Spam 3.0
4.5.2. Parameter des Master-
Filterungsprozesses
Seite Settings → Anti-Spam Engine → Process Server enthält folgende
Parameter des Master-Filterungsprozesses (s. Abb. 19):
•Max. number of filtration processes – Maximale Anzahl der
Filterungsprozesse, welche gleichzeitig gestartet werden.
Standardmäßiger Wert: 10.
•Number of filtration processes at server start-up – Anzahl der
Filterungsprozesse, welche beim Start des Filterungsserver gestartet
werden. Standardmäßiger Wert ist 0; das heißt, dass die
Filterungsprozesse nur nach Einkommen der Nachrichten gestartet
werden.
•Number of spare filtration processes – Maximale Anzahl der
gestarteten Filterungsprozesse, welche in Anfrage-Wartezustand sind.
Verwaltung von SpamFilterungsserver 63
Wenn die Anzahl der Prozesse vorgegebener Begrenzung übersteigt,
wird Zwangsbeenden der nicht benutzten Prozesse ausgeführt.
Standardmäßiger Wert: 0.
Abbildung 19. Параметры работы мастер-процесса фильтрации
Nach dem die Parameter des Master-Filterungsprozesses geändert sind, klicken
Sie auf die Schaltfläsche Apply und starten den Server neu, in dem Sie
folgenden Befehl ausführen:
# /etc/init.d/kas3 restart
unter Linux-Betriebssystem;
# /usr/local/etc/rc.d/kas3.sh restart
unter FreeBSD-Betriebssystem.
4.5.3.Parameter der Filterungsprozesse
Seite Settings → Anti-Spam Engine → Filtration Process (s. Abb. 20) enthält
folgende Parameter der Filterungsprozesse ap-mailfilter:
•Max. number of mail messages to be processed – Maximale Anzahl
der Nachrichten, die vom Filterungsprozess bearbeitet werden. Nach dem
die vorgegebene Anzahl der Nachrichten bearbeitet wurde, wird
Filterungsprozess beendet, und es wird ein neuer Filterungsprozess
gestartet. Abhängig von der Serverauslastung kann dieser Parameter
geändert werden. Empfohlener Wert: 300.
•Max. number of mail messages randomization – dieser Wert wird von
Kaspersky Anti-Spam zum Bestimmen der maximalen Anzahl der
Nachrichten, welche von dem Filterungsprozess bearbeitet werden
64 Kaspersky
®
Anti-Spam 3.0
können. Für jeden Filterungsprozess diese Anzahl wird zufällig aus dem
Bereich ausgewählt, dessen niedrigste Grenze von der Zahl
Max. number of mail messages to be processed, und höhste aus der
Summe der Zahlen Max. number of mail messages to be processed
und Max. number of mail messages randomization errechnet wird.
Daher, wenn die Werte entsprechend 300 und 30 sind, dann jeder der
Filterungsprozesse wird von 300 bis 330 Nachrichten bearbeiten. Diese
Einstellung erlaubt der Situation zu entgehen, dass mehrere
Filterungsprozesse in den Spitzenzeiten der Auslastung beendet und
gestartet werden.
•Max. idle time (in seconds) –maximaler Zeitraum (in Sekunden),
während dessen ein Filterungsprozess im Wartezustand sein kann. Wenn
in dem Zeitraum Filterungsprozess keine Aufgabe bekommt, dann wird
seine Arbeit beendet. Standardmäßiger Wert: 300.
•Exit delay (in seconds) – maximale Verzögerungszeit (in Sekunden)
beim Beenden des Filterungsprozesses. Standardmäßig ist dem
Parameter der Wert 0 vergeben, das heißt, dass nach dem Befehl den
Prozess zu beenden, wird Filterungsprozesses sofort nach Bearbeitung
der Nachricht beendet wird.
Abbildung 20. Parameter der Filterungsprozesse
4.5.4.Spamerkennungsparameter
Die Seite Settings → Anti-Spam Engine → Сheck Options (s. Abb. 21) enthält
folgende Parameter der Filterungsprozesse ap-mailfilter:
•Number of 'Received' headers to be parsed while retrieving ip address
(for use in DNSBL checks) – dieser Parameter gibt an, dass die
Verwaltung von SpamFilterungsserver 65
Zwischenserver mit Hilfe DNSBL-Dienstes überprüft werden sollen. Es ist
üblich, dass beim Überprüfen der Absender-IP-Adresse nur die IPAdresse des Absendeservers überprüft wird. Wenn aber die Nachricht
einen oder mehrere Zwischenserver passiert, wird die Absendeserver-IPAdresse versteckt. Um die Adressen-Überprüfung nicht nur
Absendeserver-IP-Adresse, sondern auch der Zwischenserver
einzuleiten, setzen Sie mit Hilfe dieses Parameters die Anzahl zu
überprüfenden Zwischenserver. Die Analyse wird mit Hilfe des Headers
Received durchgeführt. Wert 0 bedeutet, dass die Analyse des Headers
Received nicht durchgeführt wird.
Ein höherer Wert des Parameters zeigt dem Filterungsserver,
dass eine größere Anzahl der Zwischenserver überprüft werden
soll. Einerseits erhöht es die Wahrscheinlichkeit, das Spam
erkannt wird, anderseits erhöht es die Auslastung des
Filterungservers und kann zu Fehlfunktionen des Filters führen.
•Overall timeout of all DNS requests (in seconds) – Wartezeit (in
Sekunden) auf Antwort von einem DNS-Server bei den auf DNS basierten
uberprüfungen. Standardmäßiger Wert: 10.
•Check MS Word and RTF files – dieser Parameter schaltet die
Untersuchung der Texteinlagen, z. B., Word Document (doc) und RTF,
ein uns aus.
Abbildung 21. Spamerkennung Parameter
66 Kaspersky
®
Anti-Spam 3.0
•UDS enabled – dieser Parameter schaltet den Überprüfungsmodus mit
Hilfe UDS-Dienstes ein und aus. Diese Überprüfungsmethode erlaubt
schnell Versandlisten zu Blockieren, ohne auf Update der InhaltsfilterungDatenbanken zu warten. Es wir empfohlen die Überprüfungen über UDS
nur dann auszuschalten, wenn die Methode erheblich die Auslastung des
Servers steigert oder wenn es keine Möglichkeiten gibt die
Zusammenarbeit mit den UDS-Server von Kaspersky Lab zu
gewährleisten.
Mehr über UDS-Dienst s. Pkt. 2.2.4 auf S. 20.
•Timeout for receiving response from UDS server (in seconds) –
Timeout für Verbindungsaufbau zwischen Filterungsserver und UDSServer. Wenn während der Zeitspanne Filterungsserver keine Antwort
von dem UDS-Server bekommt, wird versucht eine Verbindung mit dem
nächsten UDS-Server von Kaspersky Lab aufzubauen.
4.5.5.Einstellungen von Clientmodulen
Die Seite Settings → Anti-Spam Engine → MTA Clients (s. Abb. 22), enthält
einstellungen für Clientmodule, welche für die Zusammenarbeit des Mailservers
und Filterungsserver verantwortlich ist:
•Filtering size limit (KB) – maximale Grösse der Nachrichten, die vom
Filterungsserver bearbeitet werden (in KB). Wenn Grösse der Nachricht
den definierten Wert übersteigt, wird keine Überprüfung durchgeführt.
Standardmäßiger Wert: 500.
•On filtering error – damit wird die Reaktion des Clientmodules bei Fehler
während des Zusammenwirkens mit dem Filterungsserver definiert. Dem
Parameter können folgende Werte vergeben werden:
•accept message – wenn ein Fehler auftritt, wird die Nachricht
dem Empfänger übergeben, ohne Bearbeitung durch
Filterungsserver;
•reject message – Zustellung der Nachricht, bei Bearbeitung
welcher ein Fehler auftratt, wird nicht ausgeführt;
•generate temporary error – Zustellung der Nachricht wird
nicht ausgeführt, dem Absender wird eine Meldung über
temporären Mailserver-Fehler verschickt. Normaler Weise,
versucht Absender-Server die Nachricht noch ein Mal zu
verschicken.
•Default domain – Mail-Domänen Name, welche standardmäßig in die E-
Mail-Adresse eingesetzt wird, wenn keine Domäne angegeben wurde. Z.
Verwaltung von SpamFilterungsserver 67
B., wenn als standardmäßige Domäne mycompany.com angegeben ist,
wird die Adresse someuser als someuser@mycompany.com interpretiert.
•Connection timeout (in seconds) – Timeout (in Sekunden) für die
Verbindung zwischen dem Clientmodul und Filterungsserver.
Standardmäßiger Wert: 40.
•Data exchange timeout (in seconds) – Timeout (in Sekunden) für die
Ausführung der Lese- und Schreiboperationen zwischen dem Clientmodul
und Filterungsserver. Standardmäßiger Wert: 30.
Wenn Fehler regelmässig auftreten, wenden Sie sich an den
technischen Support des Kaspersky Lab. Kontaktinformationen finden .
Abbildung 22. Einstellungen der Clientmodule
4.5.6. Benachrichtigung über EMailablehnung
Wenn als Aktion an E-Mail beim bestimmten Status Reject this message
angegeben ist, wird Filterungsserver diese Nachrichten nicht an den
ursprünglichen Empfänger weiter leiten. Dabei wird an den Absender eine
Meldung über Unmöglichkeit der Zustellung gesendet.
68 Kaspersky
®
Anti-Spam 3.0
Filterungsserver benutzt zwei Arten von Meldungen. Die Benutzung einer oder
anderen Art wird von Produkteinstellungen und Erkennungsergebnissen
bestimmt.
Die erste Meldungsart – Reject message. Diese Meldung wird an den Absender
direkt während die SMTP-Sitzung zusammen der Fehlercode verschickt, welche
meldet, dass die Nachricht nicht zugestellt wurde. Folgender Beispiel der SMTPSitzung enthält den Meldungstext Reject message:
Server: 220 mail.mycompamy.com ESMTP
Client: HELO spamhost.whatever.com
Server: 250 mail.mycompamy.com
Client: MAIL FROM: <spamer@whatever.com>
Server: 250 Ok
Client: RCPT TO: <someuser@mycompany.com>
Server: 250 Ok
Client: DATA
Server: 354 End data with <CR><LF>.<CR><LF>
Client: >>>
Client: >>> Meldungstext...
Client: >>>
Client: .
Server: 550 The message is rejected by spam
filtering engine.
Client: QUIT
Server: 221 Bye...
Filterungsserver benutzt Meldungen Reject message nur denn, wenn nach der
Überprüfung das Weiterleiten der E-Mail an alle Empfänger verboten ist.
Wenn E-Mail an mehrere Empfänger adressiert ist und für mindestens einen von
Benutzer Empfang der E-Mail nach Filterungsrichtlinien erlaubt ist, wird während
der SMTP-Sitzung der Server melden, dass E-Mail angenommen wurde. Danach
wird an den Absender die Meldung Bounce message verschickt, zusammen mit
den Empfängerinformationen, an welche die E-Mail nicht zugestellt wurde.
Zur Modifikation der Meldungstexte dient die Seite der Verwaltungszentrale
Settings → Anti-Spam Engine → Reject Messages (s. Abb. 23).
Verwaltung von SpamFilterungsserver 69
Abbildung 23. Benachrichtigung über E-Mailablehnung
4.6. Einstellungen der
Verwaltungszentrale
Die Seite Settings → Maintenаnce → Control Center (s. Abb. 24), enthält
Parameter, Benutzung dessen erlaubt Ihnen:
• Eine Adresse angeben, an welche die Meldungen des MonitoringSystems verschickt werden, wie auch Meldungen über Fehler, welche
während der Skriptausführung mit Hilfe des Dienstes cron passieren
(Parameter Send alerts to);
• Monitoring des HTTP-Servers kas-thttpd ein- und ausschalten (Parameter
Monitoring of kas-thttpd daemon);
• Monitoring des Clientmoduls kas-milter, welcher zur Zusammenwirkung
mit dem Mailserver Sendmail benutzt wird, ein- und ausschalten
(Parameter Monitoring of kas-milter daemon).
Meldungen, welche während des Monitoringsprozesses der Module kas-thttpd
und kas-milter erstellt werden, werden auf der Seite Monitoring → Anti-Spam Engine angezeigt (s. Pkt. 4.8.1.1 auf S. 75).
70 Kaspersky
Abbildung 24. Einstellungen der Verwaltungszentrale
®
Anti-Spam 3.0
4.7. Verwaltung von
Lizenzschlüsseln
Das Benutzen von Kaspersky Anti-Spam hängt von dem Vorhandensein eines
Lizenzschlüssels. Der Lizenzschlüssel gehört zum Liferungsumfang des
Produktes und gibt Ihnen das Recht zur Nutzung der Anwendung von dem Tag
an, an dem die Lizenz erworben und Installiert wurde.
Ohne einen Lizenzschlüssel funktioniert Kaspersky Anti-Spam NICHT!
Alle E-Mails werden ohne Filterung durch gelassen.
Lizenzschlüssel enthält alle mit der Lizenz verbundene Informationen, dazu
zählen: Typ der Lizenz, Ende der Gültigkeitsdauer der Lizenz,
Händlerinformationen, usw.
Während der Gültigkeitsdauer der Lizenz bekommen Sie neben dem Recht zur
Nutzung der Anwendung folgende Möglichkeiten:
• Technische Unterstützung (rund um die Uhr);
• Update der Inhatsfilterung-Datenbanken alle zwanzig Minuten.
Bei Ablauf der Gültigkeitsdauer der Lizenz behält die Anwendung ihre
Funkionalitäten bei, außer Update der Inhatsfilterung-Datenbanken. Sie können
denn weiterhin die Filterung ausführen, werden aber dabei die Datenbanken,
welche zur Auslaufszeit des Lizenzschlüssels aktuell waren. Daher wird
Kaspersky Anti-Spam nicht mehr effektiv neue Arten vom Spam bekämpfen.
Aus diesem Grund ist es sehr wichtig, rechtzeitig die Lizenz auf Nutzung von
Kaspersky Anti-Spam zu verlängern. Es ist auch möglich ein
Verwaltung von SpamFilterungsserver 71
Ersatzlizenzschlüssel zu installieren, welcher nach Ablauf des aktuellen
Lizenzschlüssels vom Produkt benutzt wird.
Alle Aktionen, die mit Verwaltung der Lizenzschlüssel verbunden sind, können
mit Hilfe der Verwaltungszentrale durchgeführt werden.
4.7.1. Informationen über den
Lizenzschlüssel ansehen
Um die Lizenzinformationen anzusehen und zu Verwalten dient eine Seite in der
Verwaltungszentrale: License → License Keys (s. Abb. 25).
In dem oberen Teil der Seite befindet sich Abschnitt Active License Information, dieser enthält folgende Informationen:
• Produktname;
• Lizenz-Typ;
• Ablaufzeit der Lizenz;
Abbildung 25. Информация о лицензии Kaspersky Anti-Spam
Information in den letzten zwei Zeilen erlaubt dem Systemadministrator die
Einhaltung der Lizenzbedingungen einzuhalten (Ablaufzeit, vorgegebene
Begrenzungen).
Abhängig von dem momentanen Zustand kann das Piktogramm folgendermaßen
aussehen:
72 Kaspersky
– Lizenzbedingungen sind erfühlt;
– das Produkt funktioniert unter Grenzbedingungen der Lizenz oder
Gültigkeit der Lizenz läuft in zwei Wochen aus;
– Der Zeitraum der Lizenzgültigkeit ist abgelaufen oder Grenzwerte
wurden überschritten (z. B., Umfang des E-Mail-Vehrkers).
®
Anti-Spam 3.0
In den letzten zwei Fällen ist ein Erleuterungstext zu sehen.
Unter dem Erleuterungstext befindet sich eine Auflistung der Installierten
Lizenzschlüssel von Kaspersky Anti-Spam, zu jedem der Schüssel ist eine kurze
Information zu sehen.
4.7.2.Neuen Lizenzschlüssel installieren
Um einen neuen Lizenzschlüssel zu installieren, kann der Systemadministrator
entweder die Verwaltungszentrale benutzen, oder die Installation lokal aus der
Befehlszeile ausführen.
Um einen neuen Lizenzschlüssel mit Hilfe der Verwaltun gszentrale zu
installieren, gehen Sie wie folgt vor:
1. Öffnen Sie die Seite der Lizenzschlüssel-Verwaltung
License → License Keys.
2. In dem Feld, welcher sich in dem unteren Teil der Seite befindet, im
Abschnitt Install a New License Key, geben Sie den Pfad zu der
Lizenzschlüssel-Datei an oder denutzen Sie die Schalfläche
„Durchsuchen“ rechts von dem Feld um die Lizenzschlüssel-Datei
auszuwählen.
3. Klicken Sie auf die Schaltfläche Apply.
Um neun Lizenzschlüssel lokal mit Hilfe der Befehlszeile zu installieren,
führen Sie folgenden Befehl aus:
# /usr/local/ap-mailfilter3/bin/install-key <key>
key – Pfad zur Lizenzschlüssel-Datei ist.
wo
Wenn Sie einen neuen Lizenzschlüssel vor der Ablaufzeit des alten installieren
wollen, denn können Sie den Lizenzschlüssel als ein Reserve-Lizenzschlüssel
hinzufügen. Reserve-Lizenzschlüssel nimmt seine Funktion auf, wenn der
aktuelle Lizenzschlüssel seine Gültigkeit verliert. Gültigkeitsdauer des
Lizenzschlüssels wird von dem Moment der Aktivierung gezählt. Es kann nur ein
Reserve-Lizenzschlüssel installiert werden.
Verwaltung von SpamFilterungsserver 73
4.7.3.Lizenzschlüssel entfernen
Um den aktuellen Lizenzschlüssel und den Reserve-Lizenzschlüssel zu
entfernen, geben Sie in der Befehlszeile ein:
# /usr/local/ap-mailfilter3/bin/remove-key -a
Um den Reserve-Lizenzschlüssel zu entfernen, geben Sie in der Befehlszeile
ein:
# /usr/local/ap-mailfilter3/bin/remove-key -r
Lizenzschlüssel können nicht mit Hilfe der Verwaltungszentrale entfernt
werden.
4.8. Monitoring des
Filterungsservers
Kaspersky Anti-Spam enthält ein Monitoring-System einzelne
Produktkomponente. Monitoring-System erlaubt Ihnen die Arbeit des Produktes
zu kontrolieren, wie auch den Administrator mit Hilfe des VerwaltungszentraleInterface über Systemfehler zu informieren.
4.8.1. Allgemeine Informationen über
Produktzustand
Die Seite, welche sich unter Adresse Monitoring → General Status befindet,
zeigt dem Administrator kurz gefasste Informationen über Kaspersky Anti-Spam
und den Zustand seine Hauptkomponente (s. Abb. 26).
Für jede der kontrollierten Komponente kann die Seite, außer
Zustandinformation, auch Informationen über Ereignisse enthalten, welche mit
der Komponente verbunden sind.
74 Kaspersky
Abbildung 26. Allgemeine Informationen über Komponente von Kaspersky Anti-Spam
®
Anti-Spam 3.0
Ein zusätzlisches Mittel der Zustanddarstellung sind die Piktogramme, welche
sich neben den Namen der Parameter befinden. Ein Piktogramm zeigt den
Zustand der Komponente an:
– Fehler: ein Fehler in der Arbeit oder die Grenzwerte des
kontrollierten Parameters sind Überschritten.
– Warnung: es sind unkritische Fehler bei der Arbeit der Komponente
aufgetreten, welche die Arbeit des Produktes insgesammt nicht
beeinträchtigen oder kontrollierter Parameter ist sehr nah an den
Grenzwerten.
– Normaler Zustand: die Komponente funktioniert korrekt oder der
kontrollierter Parameter enthält zulassige Werte.
Abschnitt System Information enthält folgende Informationen über den Server,
auf dem Kaspersky Anti-Spam installiert ist:
• Host Name – Servername.
• System – Bezeichnung, Version und Architektur des Betriebssystems.
• Load Average – Zahlenparameter, welcher Serverauslastung
widerspiegelt. Details über den Parameter s. manual pages für
Werkzeuge top und uptime.
Verwaltung von SpamFilterungsserver 75
Abschnitt Kaspersky Anti-Spam bietet eine Zusammenstellung der Produkt-
Informationen und Informationen über Zustand seine Hauptkomponente.
Abschnitt enthält folgende Felder:
• Product – voller Produktname.
• Version – Version- und Build-Info des Filterungsmoduls.
• Anti-Spam Engine – Zustand des Filterungsserver.
• Updates – Zustand der Inhaltsfilterung-Datenbanken und
Updatesystems.
•License – Zustand des Lizenzierungsmoduls.
4.8.1.1. Detaillierte Information über
Filterungsserver-Kernel
Beim Klick auf den Link Anti-Spam Engine, der sich in dem Menü Monitoring
befindet, gehen Sie zur Seite über, welche Detaillierte Information über
Filterungsserver-Komponente enthält (s. Abb. 27).
Abbildung 27. Monitoringseite des Kernels von dem Filterungsservers
•Version – Version- und Build-Info des Filterungsmoduls.
76 Kaspersky
®
Anti-Spam 3.0
•ap-process-server – Zustand des Master-Filterungsprozesses. Wenn
Prozess normal Funktioniert, enthält die Zeile auch die Prozess-ID (pid).
•ap-mailfilter – Zustand der Filterungsprozesse. Wenn alle Funtionalitäten
in Ordnung sind, enthält die Zeile Informationen über Anzahl der aktuällen
Prozesse.
•ap-spfd – Zustand des SPF-Hintergrundprogramms. Wenn das
Hintergrundprogramm normal funktioniert, wird in der Zeile Anzahl der
ausgeführten Prozesse angezeigt.
•kas-thttpd – Zustand des HTTP-Servers, welcher von
Verwaltungszentrale benutzt wird.
•Monitoring & Statistics – Informationen über Sripts, welche mit dem
Monitoring und Statistikbearbeitung verbunden sind. Außerdem, wird das
Vorhandensein der cron-Starttasks für diese Sripts überprüft, unter
Benutzerkennung mailflt3. Details s. Pkt. A.6 auf S. 123.
Abschnitt Last Anti-Spam Engine Events enthält Meldungen der Komponente
des Filterungservers, welche in das Systemprotokoll eingetragen wurden
(syslog). Die Meldungen sind absteigend nach Datum sortiert und mit
Piktogrammen versehen, welche auf die Wichtigkeitsstufe der Meldung
hinweisen. Mit Hilfe des dropdown Liste View hat der Administrator die
Möglichkeit die Kategorie der anzuzeigenden Meldungen zu bestimmen. Die
Dropdown Liste enthält folgende Werte:
• All messages – alle Meldungen anzeigen;
• Notices, Warnings and Errors – alle Meldungen, Außer
Informationsmelungen anzeigen;
• Warnings and Errors – nur kritische Fehler und Warnungen anzeigen;
• Errors only – nur kritische Fehler anzeigen.
4.8.1.2. Detaillierte Information über
Updatemodul
Um zu der Seite mit den Informationen über Updatemodul und InhaltsfilterungDatenbanken zu gelangen, benutzen Sie den Link Updates
Menü Monitoring befindet (s. Abb. 28).
Abschnitt Anti-Spam Updates, welcher sich in dem oberen Teil der Seite
befindet, enthält folgende Felder:
•Automatic Updates – dieses Feld zeigt, ob die automatischen Updates
der Inhaltsfilterung-Datenbanken eingeschaltet sind. Details über die
, welcher sich im
Verwaltung von SpamFilterungsserver 77
Einstellungen der Inhaltsfilterung-Datenbanken s. Pkt. 4.4.1 auf S. 56 und
P. A.6 auf S. 123.
•Anti-Spam Database Id – Informationen über installierte Inhaltsfilterung-
Datenbanken: Datum und Urzeit der Publikation, wie auch Informationen
über letzte Updates.
•Last Update – Datum und Urzeit des letzten Updates von Inhaltsfilterung-
Datenbanken. Das Monitoring-System zeigt Warnungen an, wenn die
Inhaltsfilterung-Datenbanken über eine lange Zeit nicht upgedatet
wurden.
Abbildung 28. Monitoringseite des Updatesmoduls
Abschnitt Last Updater Events enthält Protokoll der Meldungen des
Produktupdatesystems, diese Meldungen sind in das Systemprotokoll (syslog)
eingetragen. Die Meldungen sind absteigend nach Datum sortiert und mit
Piktogrammen versehen, welche auf die Wichtigkeitsstufe der Meldung
hinweisen. Mit Hilfe der dropdown Liste View hat der Administrator die
Möglichkeit die Kategorie der anzuzeigenden Meldungen zu bestimmen. Die
Werte des Dropdown-Menüs und dessen Bedeutung sind den Werten gleich,
welche auf der Seite des Monitorings vom Filterungsserver aufgeführt sind
(s. Pkt. 4.8.1.1 auf S. 75).
78 Kaspersky
®
Anti-Spam 3.0
4.8.1.3. Detaillierte Information über
Lizensierungsmodul
Die Seite, welche unter Monitoring → License Information über Updatemodul zu
finden ist, liefert dem Administrator die Informationen über benutzte Lizenz, wie
auch die einen Protokoll der Meldungen des Lizenzierungsmoduls (s. Abb. 29).
Abschnitt Monitoring→License, welcher sich in dem oberen Teil der Seite
befindet, enthält folgende Felder:
• Product – Bezeichnung des installierten Produktes.
• License – Lizenztyp und Informationen über Lizenzbegrenzungen.
Abbildung 29. Страница мониторинга работы модуля лицензирования
•Valid till – Auslaufdatum der Lizenz. Das Monitoring-System warnt den
Administrator einen Monat vor dem Auslaufen der Lizenz;
•License Daemon – Zustand des Lizenzierungsdienstes. Wenn der Dienst
normal funktioniert, wird in dem Feld auch Process-ID (pid) angezeigt.
Abschnitt Last License Daemon Events enthält ein Meldungsprotokoll des
Lizensierungsdienstes, diese Meldungen sind in das Systemprotokoll (syslog)
eingetragen. Die Meldungen sind absteigend nach Datum sortiert und mit
Piktogrammen versehen, welche auf die Wichtigkeitsstufe der Meldung
hinweisen. Mit Hilfe des dropdown Liste View hat der Administrator die
Verwaltung von SpamFilterungsserver 79
Möglichkeit die Kategorie der anzuzeigenden Meldungen zu bestimmen. Die
Werte des Dropdown-Menü und dessen Bedeutung sind den Werten gleich,
welche auf der Seite des Monitorings vom Filterungsserver aufgeführt sind (s.
Pkt. 4.8.1.1 auf S. 75).
4.8.2. Meldungen und Berichte des
Monitoringssystems
Außer Monitoring-Werkzeuge, welche Vewaltungszentralle Ihnen zur Verfügung
stellt, enthält Kaspersky Anti-Spam ein Skript sfmonitoring, welcher eine
stänndige Kontrolle des Filterungsserver gewährleistet. Das Starten dieses
Skriptes wird automatisch von dem Dienst cron durchgeführt. Nach dem Start
führte sfmonitoring die Untersuchung des Filterungsserver-Zustandes und im
Fall, dass Fehler in der Arbeit des Filterungsservers auftreten, wird an den
Administrator eine Meldung darüber verschickt.
Es gibt zwei Meldungsarten, welche an den Administrator von dem MonitoringSkript verschickt werden:
•Meldungen über neu entdeckte Fehler – Meldungen über bei der Arbeit
des Filterungsservers entdeckte Fehler, diese Meldungen enthalten eine
Beschreibung der Situation. Fehlermeldung wird einmalig verschickt.
Wenn das Problem nicht behoben wird, wird die Fehlermeldung in den
täglichen Bericht über bekannte Probleme aufgenommen.
•Tägliche Berichte über bekannte Probleme – eine Auflistung aller
Fehler und Warnungen, welche zur Zeit der Berichterstellung bekannt
sind. In den Bericht werden wie neue Fehler, so auch früher entdeckte,
aber zur Zeit der Berichterstellung nicht behobene Fehler aufgenommen.
Dieser Bericht wird ein Mal in 24 Stunden, um Mitternacht, erstellt (der
Serverzeit ensprächend). Um den Versand des Berichtes zu erzwingen,
führen Sie folgenden Befehl unter Benutzerkennung root aus:
# su –m mailflt3 -c '/usr/local/apailfilter3/control/
bin/sfmonitoring –m'
Um den Bericht auf der Konsole anzusehen:
# su –m mailflt3 -c '/usr/local/apailfilter3/control/
bin/sfmonitoring –p'
Wenn Kaspersky Anti-Spam auf dem Server mit dem RedHatDistributiv installiert ist, denn benutzen Sie zum Starten von
sfmonitoring folgendes Befehl:
su – –m mailflt3 -c '/usr/local/ap-
80 Kaspersky
mailfilter3/control/bin/sfmonitorin
g
-<Parameter>'
Systemmeldungen werden an die Adresse verschickt, welche auf der Seite
Settings → Maintenance → Control center angegeben ist (s. Pkt. 4.6 auf S. 69).
®
Anti-Spam 3.0
4.9. Statistik von Kaspersky Anti-
Spam
Um die quantitative Analyse der Ergebnisse des Produktes durchzuführen,
enthält die Verwaltungszentrale einen Modul, welcher für Ansammlung der
quantitative Daten über verarbeiteten E-Mails und für die grafische Darstellung
der Ergebnisse in dem Interface der Verwaltungszentrale verantwortlich ist.
Sammlung der statistische Daten und deren Verarbeitung führen spezielle
Skripte durch, welche mit Hilfe des cron-Dienstprogramms gestartet werden
(Details zu den Skripten s. Pkt. A.6 auf S. 123). Bearbeitungsergebnisse werden
in Form einer Diagramm auf den Seiten des Abschnitts Statistics angezeigt (s.
Abb. 30).
Jede der Seiten des Abschnitts Statistics enthält statistische Information für eine
bestimmte Zeitperiode. Links zu den Seiten befinden sich im Menü Period in der
Linken Seite des Abschnitts Statistics:
• Last Day
• Last Week – Statistik der bearbeiteten E-Mail für die letzte Woche;
• Last Month
• Last Year
In dem oberen Teil der Seite ist eine Tabelle platziert, welche Gesamtinformation
über Anzahl und Grösse der bearbeiteten E-Mails unterschiedlicher Typen
enthält.
Unter der Tabelle ist eine graphische Darstellung des Umfangs der erkannten
Nachrichten unterschiedlicher Typen zu sehen, nach Zeit sortiert (der gewählten
Periode entsprechend), wie auch ein rundes Diagramm, welches prozentuellen
Umfangsverhältnis der Nachrichten unterschiedlicher Typen darstellt.
– Statistik der bearbeiteten E-Mail für die letzte 24 Stunden;
– Statistik der bearbeiteten E-Mail für den letzten Monat;
– Statistik der bearbeiteten E-Mail für das letzte Jahr.
Verwaltung von SpamFilterungsserver 81
Abbildung 30. Statistik-Seite
Auf dem runden Diagramm wird Umfangsverhältnis der Nachrichten
angezeigt. Nachrichten, welche nach Erkennung den gleichen Status
bekommen haben, sind mit einem Segment bestimmter Farbe
dargestellt. Für Übersichtlichkeit werden Segmente, dessen Größe
nicht bedeutend ist, in einen einheitlichen Segment Other
geschlossen.
Links Messages
und Bytes, welche sich in der linken unteren Ecke befinden,
werden zur Auswahl der Einheiten bei der Darstellung der Statistik des
bearbeiteten E-Mail-Verkehr - Nachrichten oder Bytes entsprechend.
Links Export data
CSV | Html, welche sich in der unteren rechten Ecke befinden,
werden zum Exportieren der statistischen Daten im Format CSV (Comma
Separated Values) oder in eine HTML-Tabelle benutzt.
KAPITEL 5. KASPERSKY ANTI-
SPAM DEINSTALLIEREN
Um Kaspersky Anti-Spam deinstalliere zu können müßen Sie root-Rechte
besitzen. Wenn Sie diese Rechte nicht besitzen, denn müssen Sie sich als
Benutzer root einlogen.
Deinstallation-Prozess wird automatisch alle Kaspersky Anti-SpamDienste anhalten!
Beim Deinstallieren werden die Dienste von Kaspersky Anti-Spam angehalten,
bei der Installation erstellte Verzeichnis e und Dateien werden gelöscht.
Dennoch vom Administrator erstellte Verzeichnis e und Dateien
(Konfigurationsdateien, Inhaltsfilterung-Datenbanken, Lizenzschlüsseldateien)
bleiben erhalten. Es werden auch die Parameter von dem Mail-Serever
wiederhergestellt, die vor der Installation von Kaspersky Anti-Spam aktuell
waren.
Wenn die Konfigurationsdatei des Mailservers nsch der Installation von
Kaspersky Anti-Spam verändert wurde, wird automatisches
wiederherstellen der vorherigen Einstellungen nicht ausgeführt und der
Administrator wird die Änderungen, welche vom Produkt bei der
Installation gemacht wurden, per Hand entfernen müßen.
Benutzerkennung mailflt3 und entsprechende Gruppe mailflt3 werden aus
Sicherheitsgründen nicht entfernt. Diese Einträge können vom Administrator per
Hand entfernt werden.
Die Deinstallation kann auf unterschiedlichen Wegen gestartet werden, abhängig
von dem Paketmanager:
• Wenn Kaspersky Anti-Spam aus einem rpm-Paket installiert wurde,
führen Sie zur Deinstallation in der Befehlszeile folgenden Befehl aus:
# rpm –e kas-3-<Version der Distribution>
•Wenn Kaspersky Anti-Spam aus einem deb-Paket installiert wurde,
führen Sie zur Deinstallation in der Befehlszeile folgenden Befehl aus:
# dpkg –P kas-3
• Wenn Kaspersky Anti-Spam aus einem tgz- oder tbz-Paket installiert
wurde, führen Sie zur Deinstallation in der Befehlszeile folgenden Befehl
aus:
Kaspersky Anti-Spam deinstallieren 83
# pkg_delete kas-3-<Version der Distribution>
Da die Integration in den Mailserver Communigate Pro per Hand
gemacht wird, sollen Sie vor der Deinstallation aus der
Konfigurationsdatei von Communigate Pro die Einstellungen von
Kaspersky Anti-Spam entfernen (s. Pkt. A.2.7 auf S. 104).
Wenn Sie die Einstellungen wiederherstellen wollen, welche der Mailserver vor
der Installation von Kaspersky Anti-Spam hatte, ohne Produkt zu deinstallieren,
benutzen Sie den Skript MTA-unconfig.pl, der sich in dem Verzeichnis
/usr/local/ap-mailfilter3/bin befindet. Dieses Skript wird die Parameter des
Mailservers wiederherstellen, welche vor der Installation von Kaspersky AntiSpam benutzt wurden.
Jedoch der oben genannter Skript nicht für die Wiederherstellung der
Konfiguration des Mailservers benutzt werden, wenn:
• die Konfigurationsdatei des Mailservers nach der Installation von
Kaspersky Anti-Spam geändert wurde;
• Mailserver Exim benutzt wird, und als Clientmodul – kas-exim;
• Mailserver Communigate Pro benutzt wird.
In den beschriebenen Situationen muß der Administrator die Änderungen per
Hand aus der Konfigurationsdatei entfernen. Details zu den Änderungen, welche
in der Konfiguration der Mailserver bei der Integration des Kaspersky Anti-Spam
vorgenommen werden, sind in A.2 auf S. 89 beschrieben.
KAPITEL 6. HÄUFIGE FRAGEN
In diesem Kapitel beantworten wir ausführlich die von Benutzern häufig
gestellten Fragen über Installation, Konfiguration und Funktion von Kaspersky
Anti-Spam.
: Wofür braucht das Produkt ist ein Lizenzschlüssel? Kann das
Frage
Produkt ohne einen Lizenzschlüssel funktionieren?
Ohne Lizenzschlüssel funktioniert Kaspersky Anti-Spam nicht.
Wenn Sie sich zum Kauf des Produktes nicht entschlossen haben,
könenn wir Ihnen einen Test-Schlüssel aushändigen (Trial), welcher im
Laufe zwei Wochen oder einen Monat funktionieren wird. Danach wird
dieser Schlüssel blokiert.
: Was passiert, wenn die Lizenz zur Produktnutzung abläuft?
Frage
Bei Ablauf der Gültigkeitsdauer der Lizenz für die Nutzung von Kaspersky
Anti- Spam setzt das Produkt seine Arbeit fort, aber die Verwendung
neuer Inhaltsfilterung-Datenbanken ist nicht mehr möglich. Kaspersky
Anti- Spam wird weiterhin die Filterung des E-Mail-Verkehrs durchführen,
wird dabei jedoch die neuen Spam-Arten nicht erkennen können.
Sollte diese Situation eintreten, dann informieren Sie Ihren
Systemadministrator oder wenden Sie sich zur Lizenzverlängerung an die
Firma, bei der Kaspersky Anti-Virus erworben wurde, oder direkt an
Kaspersky Lab Ltd.
Warum sind die regelmässigen Updates erforderlich?
Spam ist ein brennendes Problemm für alle Internet-Benutzer, aber für
Firmen stellt Spam eine Bedrohung des Geschäfts da.Nach Letzten
Erkenntnissen Spamumfang beträgt momentan 75-80% vom dem
gesammten Mail-Verkehr und es erscheinen immer neue Versandlisten.
Um auf neue Versandlisten schnell zu und die Versandlisten zu
blokieren, müssen die Inhatsfilterung-Datenbanken ständig erneuert
werden. Die Updates der Inhatsfilterung-Datenbanken erscheinen alle 20
Minuten auf den Update-Server von Kaspersky Lab.
Häufige Fragen 85
: Die Anwendung funktioniert nicht. Was soll ich tun?
Frage
Wenn beim Benutze des Produktes Fehler auftreten, sehen Sie als erstes
nach, ob das Problem in dieser Dokumentation oder auf Webseite von
Kaspersky Lab im Abschnitt Dienste/Wissensdatenbank
(http://www.kaspersky.com/de/
) beschrieben ist.
Wenn Sie in der Dokumentation und auf der Webseite keine Lösung für
das Problem gefunden haben, empfählen wir Ihnen sich an das
Techniche Support von Kaspersky Lab zu wenden.
Bei dringenden Problemen rufen Sie uns an unter der Telefonnummer,
welche im Abschnitt Kontaktinformationen angegeben ist.
Benutzersupport wird 24-Stunden in Russischen, Englischen,
Französischen und Deutschen Sprachen geleistet. Um Support zu
erhalten, müßen Sie ein registrierter Benutzer sein und Ihre
Registriernummer dem Support-Mitarbeiter durchgeben können (wenn sie
das Produkt In-Box gekauft haben) oder Bestellnummer und
registrierten Kundennamen, wenn Sie unsere Produkte über das Internet
gekauft haben.
Außerdem können Sie eine Support-Anfrage an den Technischen
Support von Kaspersky Lab stellen im Abschnitt Dienste/Technischer
Support/Support-Anfrage an den Technischen Support von
Kaspersky Lab stellen.
Beim Ausfühlen der Anfrage sollten Sie aufmerksam sein: geben Sie eine
genaue Information an über das Produkt von Kaspersky Lab, die
Registrierungsinformation und beschreiben Sie das Problem ausführlich.
In den erforderlichen
Feldern geben Sie an:
• Anfragetyp. Bitte wählen Sie einen passenden Typ für Ihre
Anfrage aus.
• Den Namen des benutzten Produkts (z. B., Kaspersky Anti-
Spam 3.0).
• Anfrage-Text. Bitte beschreiben Sie Ihre Anfrage.
• Registrierungsinformationen. Typ von
Registrierungsinformation: Lizenzschlüssel, wenn sie das
Produkt In-Box gekauft haben oder Bestellnummer und
registrierten Kundennamen, wenn Sie unsere Produkte über
das Internet gekauft haben. Abhängig von dem
Registrierungstyp geben Sie Serien- oder Bestellnummer ein.
Informationen über Seriennummer von Kaspersky Anti-Spam können Sie
der Seite License der Verwaltungszentrale entnehmen .
86 Kaspersky
•E-Mail, über die Sie erreichbar sind.
In dem nächsten Fenster geben Sie die Kontaktinformationen, tragen Sie
den Schtüzcode ein un klicken Sie auf die Schaltfläsche Anfrage absenden. Unsere Support-Mitarbeiter werden das Problem sorgfältig
untersuchen und mit Ihnen Kontakt aufnehmen.
: Wie kann ich überprüfen, ob Kaspersky Anti-Spam die Spam-
Frage
Filterung durchführt?
Um die Funktionsfähigkeit der Filterung zu überprüfen, können Sie ein
Muster GTUBE (Generic Test for Unsolicited Bulk E-Mail) benutzen.
Überprüfung der Spamfilterung mit Hilfe GTUBE ist der
Funktionsüberprüfung des Antivirusprogramms mit Hilfe des Testvirus
EICAR ähnlich.
Erstellen Sie eine E-Mail, welche fogende Zeile enthalten wird (ohne
Lehrzeichen und Silbentrennungen):
und schicken Sie ihn an die von Kaspersky Anti-Spam geschützte E-Mail.
Nach der Erkennung wird der E-Mail Status SPAM vergeben und die
Aktion vorgenohmen, welche von der Filterungsrichtlinie definiert ist.
®
Anti-Spam 3.0
Frage: Bei hoher Auslastung des Kaspersky Anti-Spam führt der Server
keine Filterung durch. Bearbeitete Nachrichten erhalten einen Header:
X-SpamTest-Info: Not processed
Höchstwarscheinlich besteht das Problem daran, dass die
Filterungsprozesse in der vorgegebenen Zeit es nicht schafen, sich mit
dem Lizenzierungsmodul (kas-license) zu verbinden, um die
LizenzBedingungen zu überprüfen.
Um das Problem zu beheben, erhöhen Sie den Wert Timeout für die
Verbindung unt Datenaustausch mit dem Modul kas-license, welcher die
Parameter FilterLicenseConnectTimeout und
FilterLicenseDataTimeout bestimmen. Wenn diese Aktion das Problem
nicht löst, wenden Sie sich an den Technischen Support von Kaspersky
Lab.
: Kaspersky Anti-Spam fürhrt die Spamfilterung nicht durch.
Frage
Bearbeitete Nachrichten enthalten Brifkopf:
X-SpamTest-Info: No License
Häufige Fragen 87
Problemursache ist, dass die Lizenz abgelaufen ist, oder kein
Lizenzscjlüssel installiert ist. Wergewissern Sie sich, dass der Schlüssel
installiert ist oder Lizenz noch gültig ist.
Frage: Kaspersky Anti-Spam führt keine IP-Adressen-Untersuchung
Version IPv6 durch, welche dem Header Received entnommen wurden.
Es ist keine Unterstützung der IP-Adressen Version IPv6 in das Produkt
Kaspersky Anti-Virus 3.0 eingebaut.
: Die Integration mit dem Mailserver Exim kann nicht mit Hilfe des
Frage
Skripts MTA-config.pl ausgeführt werden. Es wird folgende
Fehlermeldung auf der Konsole angezeigt:
Your Exim configuration file
/usr/local/etc/exim/configure already
contains kas-exim local_scan configuration
parameters. If your Exim hasn't been
integrated with kas-exim, remove all
local_scan parameters and try again.
Diese Meldung zeigt, dass die Integration schon per Hand durchgeführt
wurde mit Halfe des Moduls kas-exim. Beim Benutzen des Skripts MTA-config.pl wird versucht den Clientmodul kas-pipe zu installieren. Löschen
Sie die einstellungen für Zusammenarbeit mit dem Modul
kas-exim (Details об использовании kas-exim s. Pkt. A.2.5 auf S. 100)
aus der Konfigurationsdatei Exim und wiederholen Sie des
Integrationsversuch.
ANHANG A.
ZUSÄTZLICHE
INFORMATIONEN ÜBER
KASPERSKY ANTI-SPAM
A.1. Anordnung der Dateien in den
Verzeichnissen
Nach der Installation von Kaspersky Anti-Spam sind die Dateien
folgendermassen verteilt:
/usr/local/ap-mailfilter3/ – Hauptverzeichnis von Kaspersky Anti-Spam, der
enthält:
bin/ – Verzeichnis, in dem die ausführenden Dateien und Skripte des
Kaspersky Anti-Spam abgelegt sind.
cfdata/ – Verzeichnis zum Speichern der Inhaltsfilterung-Datenbanken und
Updates der Module von Kaspersky Anti-Spam.
conf/ – Verzeichnis zum Speichern der Konfigurationsdateien. Dieses
def/ – ein Verzeichnis, welcher die für Kopilation nötigen Dateien enthält,
eingeschlossen Quelldateien der Inhaltsfilterung-Datenbankenund die
Dateien, welche Information über Filterungsrichtlinien beinhalten;
data/ – Verzeichnis zum Speichern der binären Konfigurationsdateien;
src/ – ein Verzeichnis, welcher temporären Dateien der Filterungsregeln
enthält. Die Daten werden zur Kompilierung der Regeln gebraucht.
tmp/ – temporärer Verzeichnis, in dem die Konfigurationsdaten zuwischen
gespeichert.
control/ – Verzeichnis, in dem die Dateien der Verwaltungszentrale abgelegt
sind. Enthält folgende Unterverzeichnise:
bin/ – Verzeichnis, in dem die ausführenden Dateien und Skripte der
Verwaltungszentrale abgelegt sind;
lib/ – ein Verzeichnis, in dem die Bibliothek-Dateien gespeichert werden,
welche von der Verwaltungszentrale benutzt werden;
stat/ – Dateien des Systems, welches die Protokolle und Statistik bearbeitet;
Anhang A 89
tmp/ – Temporärer Verzeichnis der Verwaltungszentrale;
www/ – cgi-Skripte und grafische Dateien, welcher von der
Verwaltungszentrale benutzt werden.
etc/ – Konfigurationsdateien-Verzeichnis des Kaspersky Anti-Spam;
lib/ – von dem Produkt benötigte Bibliotheken.
log/ – Verzeichnis zum Speichern der Protokolldateien, welche für
Statistikerstellung benutzt werden;
run/ – рабочий каталогпродукта. Этоткаталогтакжеслужитдля
хранения pid-файлов запущенных процессов сервера фильтрации.
src/ – каталог, содержащий исходные тексты модуля kas-exim.
A.2.Clientmodule der Mailserver
Zum Betsnd des Kaspersky Anti-Spam gehären folgende Clientmodule, welche
für Integration des Produktes in den unterschiedlichen Mailserver benutzt
werden:
• kas-milter – Clientmodul für den Mailserver Sendmail;
• kas-pipe – universeller Clientmodul; wird stamdartmässig für die
Mailserver Postfix und Exim benutzt;
• kas-exim – Clientmodul für den Mailserver Exim (alternative Variante);
• kas-qmail – Clientmodul für den Mailserver Qmail;
• kas-cgpro – Clientmodul für den Mailserver Communigate Pro.
Integration in den Mailserver wird während der Installation von Kaspersky AntiSpam durchgeführt mit Hilfe spezieller Konfigurationsskripte.
Dieser Anhang enthält Informationen über Arbeitsweise der Clientmodule, ihre
Konfigurationsdateien und Besonderheiten der Einstellungen.
A.2.1. Zusammenarbeit des Clientmoduls
mit dem Filterungsservers
Zusammenarbeit des Clientmoduls mit dem Filterungsservers funktioniert nach
folgendem Algorithmus:
1. Clientmodul erhält die E-Mail von dem Mailserver und schickt eine
Anfrage auf Verbindung mit dem Filterungsserver.
90 Kaspersky
2. Masterprozess der Filterung wählt einen gestarteten Filterungsprozess
oder startet einen neuen und stellt eine Verbindung zwischen dem
Clientmodul und dem Filterunsprozess her.
3. Über diese Verbindung übergibt der Clientmodul die E-Mail zur
Überprüfung und erhält von dem Filterunsprozess die Ergebnisse der
Überprüfung.
4. Den Ergebnissen entsprechend nimmt Clientmodul Änderungen an der
E-Mail vor und schickt die E-Mail an den Mailserver zurück.
Zusammenarbeit zwischen dem Clientmodul, dem Masterprozess und
Filterunsprozess wird unter Benutzung eines internen Protokolls über einen
Netzwerk- oder Lokalsocket realisiert.
Benutzung eines Netzwerksockets erlaubt Ihnen den Filterungsserver und den
Mailserver mit dem integrierten Clientmodul auf unterschiedlichen Servern zu
platzieren. Dabei kann Filterungsserver mehrere Mailserver bedienen, wenn zu
bearbeitender E-Mail-Verkehr dieses erlaubt. Solche Konfiguration verlangt, dass
die Parameter-Einstellungen der Zusammenarbeit von Kaspersky Anti-Spam und
Mailserver per Hand eingestellt werden müssen.
®
Anti-Spam 3.0
A.2.2. Allgemeine Parameter der
Clientmodule
Im Kaspersky Anti-Spam Version 3.0 werden die Einstellungen der Clientmodule
in der gemeinsamen Konfigurationsdatei filter.conf gespeichert, welche sich im
Verzeichnis /usr/local/ap-mailfilter3/etc/ befindet.
Folgende Einstellungen sind für alle Module gleich:
•ClientConnectTo – Socketadresse der Zusammenarbeit mit dem
Filterungsserver. Die Schreibweise ist: tcp:<host>:<port>, wo <host> –
IP-Adresse des Filterungsserver ist, und <port> – Verbindungsport ist,
dass auf die Benutzung eines Netzwerksocket zeigt, die Schreibweise
unix:<Dateipfad>, wo <Dateipfad> – Pfad zu der Socketdatei, das auf
Benutzung eines lokalen Socket zeigt.
•ClientConnectTimeout – maximale Wartezeit (in Sekunden) bei der
Herstellung der Verbindung.
•ClientDataTimeout – maximale Wartezeit (in Sekunden) bei dem
Datenaustausch mit dem Filterungsserver.
•ClientOnError – Bearbeitung der aufgetretenen Fehler (keine
Verbindung mit dem Filterungsserver, Timeout bei Datenaustausch ist
abgelaufen u.s.w.). Mögliche Werte:
Anhang A 91
•reject – E-Mail-Empfang ablehnen, den Code 5xx zurückgeben während
der SMTP-Sitzung;
•tempfail – E-Mail-Empfang vorübergehend ablehnen, den
Code 4xx zurückgeben während der SMTP-Sitzung (wird
standardmäßig benutzt);
•accept – E-Mail annehmen.
Wenn Sie Sendmail als Mailserver benutzen, wird Wert accept
bedeuten, dass E-Mail, ohne weitere Bearbeitung von den anderen
Milter-Filtern, welche nach Kaspersky Anti-Spam benutzt werden,
angenommen wird.
•ClientDefaultDomain – имя почтового домена, подставляемое в
адрес, в котором не указан почтовый домен. Ein Beispiel: wenn als
Domänenname standardmäßig если в качестве домена по умолчанию
указан домен mycompany.com, то адрес someuser будет
интерпретирован как someuser@mycompany.com. Если данный
параметр не задан, то подстановка имени домена не производится
(по умолчанию параметр не задан).
•ClientFilteringSizeLimit – maximale Größe (in Kilobytes) der E-Mail,
welche an den Filterungsserver übergeben wird. Größere E-Mails werden
ohne Bearbeitung durch Filterungsserver durchgereicht. Standardwert:
500
.
•ClientMessageStoreMem – minimale E-Mail-Grösse (in Kilobytes), bei
der die Daten auf der Festplatte zwischengespeichert werden. Dieses
erlaubt Ihnen den Umfang des benutzten Arbeitsspeichers zu
kontrollieren. Wenn dem Parameter Wert 0 (Standardwert) vergeben ist,
werden alle Daten in dem Arbeitsspeicher gehalten.
•ClientTempDir – Pfad zu dem Verzeichnis, in dem temporäre Daten
gespeichert werden.
A.2.3. kas-milter – Clientmodul für den
Mailserver Sendmail
Für die Integration in den Mailserver Sendmail benutzt Kaspersky Anti-Spam
Clientmodul kas-milter. Zusammenarbeit des Clientmoduls mit dem Mailserver
wird mittels Bibliothek libmilter realisiert.
Ein Diagramm der Zusammenarbeit der Module bei der Arbeit von Kaspersky
Anti-Spam mit Sendmail ist au der Abb. 31 gezeigt.
92 Kaspersky
®
Anti-Spam 3.0
Abbildung 31. Zusammenarbeit von Kaspersky Anti-Spam mit dem Maiserver Sendmail
Parametereinstellungen der Zusammenarbeit des Clientmoduls und Mailservers
können mit Hilfe der speziellen Skripte (s. Pkt. 3.5 auf S. 30), wie auch per Hand
gemacht werden.
Parametereinstellungen werden per Hand in der Konfigurationsdatei filter.conf
durchgeführt, diese Konfigurationsdatei befindet sich im Verzeichnis
/usr/local/ap-mailfilter3/etc/. Weiter sehen Sie ein Teil der Konfigurationsdatei,
welcher die Clientmodul-Einstellungen enthält:
ClientConnectTo tcp:127.0.0.1:2277
ClientConnectTimeout 10
ClientDataTimeout 30
SendMailAddress unix:/var/run/kas-milter.socket
ClientOnError accept
ClientFilteringSizeLimit 500
ClientDefaultDomain localhost
Außer den Parameter, welche in dem A.2.2 beschrieben werden, wird für den
Modul kas-milter in der Konfigurationsdatei filter.conf Parameter
SendMailAddress definiert, welcher den Socket für Zusammenarbeit mit
Sendmail vorgibt.
Um Sendmail für die Zusammenarbeit mit kas-milter zu konfigurieren, fügen Sie
folgende Zeilen in die Konfigurationsdatei sendmail.cf:
Eine Detaillierte Beschreibung der Fitereinstellungen sendmail.cf ist in der
Dokumentation von Sendmail vorhanden.
In der Regel wird Sendmail beim Starten vom Betriebssystem früher,
als Kaspersky Anti-Spam gestartet, deswegen kann Sendmail den
Socket für Zusammenarbeit nicht finden. In dem Fall wird in das
Systemprotokoll folgendes eingetragen:
WARNING: Xkas: local socket name <Socketdatei> missing
Dies ist keine Störung, denn die Socketdatei wird von dem Clientmodul
kas-milter erst nach dem Starten von Kaspersky Anti-Spam erstellt.
Anhang A 93
Das sind die Besonderheiten beim Benutzen des Clientmoduls kas-milter
zusammen mit dem Mailserver Sendmail:
• kas-milter erstellt keine Kopien von E-Mails bei der Bearbeitung; wenn die
E-Mail an mehrere Empfänger gesendet wurde, welche zu verschiedenen
Gruppen mit unterschiedlichen Bearbeitungsregeln gehören, werden an
die E-Mail Aktionen ausgeführt, welche in jeder der Gruppen definiert
sind. Ein Beispiel:
die E-Mail ist an die Adressen alice@mycompany.com und
bob@mycompany.com gerichtet. Diese Adressen gehören entsprechend
zu den Gruppen sales und managers. Nach der Erkennung bekamm EMail Status Spam für Gruppe sales und Status Not detected für Gruppe
managers. Nach Regeln für die Gruppe sales wird in die E-Mail mit dem
Status Spam in das Feld „Betreff“ eine Kennung [!! SPAM] hinzugefügt,
und nach Regel der Gruppe managers für die E-Mail mit dem Status Not Detected ist Aktion Accept this message definiert. Als Ergebniss wird
die E-Mail mit der Kennung [!! SPAM] in dem Feld „Betreff“ den deiden
Empfängen tzgectellt. Labei enthält die E-Mail folgende Kopfzeilen:
X-Spamtest-Status-Extended: SPAM
X-Spamtest-Status-Extended: Not detected
X-Spamtest-Group-ID: 00000002
X-Spamtest-Group-ID: 00000001
Dies bedeutet, dass die E-mail nach Regeln der Gruppen mit der
Kennungen 1 und 2 (Kennungen, welche den Gruppen sales und
managers gehören) bearbeitet wurde, und der E-Mail Status SPAM und
Not Detected vergeben wurden. Detaillierte Beschreibung der Kopfzeilen
s. Pkt. A.5 auf S. 120.
• Wenn die E-Mail an mehrere Empfänger gesendet wurde und dabei für
einige von ihnen die Zustellung der E-Mail verboten ist (Aktion reject message), und für einige erlaubt ist (Aktion accept message), denn wird
an den Absender die Meldung über Unmöglichkeit der Zustellung an
einige Empfänger (bounce message) nicht gesendet;
• Da für Sendmail keine Möglichkeit gibt die Anzahl der Verbindungen über
den Port 25 anzugeben, hängt die Anzahl der Filterungsprocesse ap-mailfilter direkt von der Anzahl der ankommenden Verbindungen ab. Dies
kann zur zusätzlichen Serverbelastung führen.
A.2.4.
kas-pipe
– Clientmodul für die
Mailserver Postfix, Exim
94 Kaspersky
®
Anti-Spam 3.0
Modul kas-pipe ist ein universäler Clientmodul von Kaspersky Anti-Spam und
kann zur Integration in den jeden von unterstützten Mailserver benutzt werden.
Bei der Standardinstallation wird kas-pipe für Integration in Postfix und Exim
benutzt.
Modul kas-pipe nimmt E-Mails an, und übergibt diese nach der Filterung dem
Mailserver, dabei benutzt der Modul Protokolle SMTP und LMTP.
Das Starten des Moduls kas-pipe wird von der externen Anwendung
durchgeführt (z. B., durch den Mailserver). Zum Weterleiten der E-Mails dient ein
Netzwerk- oder Lokalsocket. Es wird auch das Starten der Anwendung mit Hilfe
der Befehle fork und exec zugelassen.
Ein Diagramm der Zusammenarbeit zwischen Kaspersky Anti-Spam und dem
Modul kas-pipe ist auf der Abb. 32 zu sehen.
Dieses Schema kann mit jedem Mailserver realisiert werden, welcher erlaubt
seine Kopie mit anderen Einstellungen zu starten, die Zustellung über LMTPProtokoll unterstützt, oder die Zustellung gesamten E-Mail-Verkehrs über SMTP
an einen besimmten Server unterstützt.
Abbildung 32. Benutzung des Moduls kas-pipe
Einstellungen der Parameter für die Zusammenarbeit des Clientmoduls und
Mailservers kann wie mit Hilfe der Scripte (s. Pkt. 3.5 auf S. 30), so auch per
Hand durchgeführt werden.
Händliche Einstellungen der Parameter werden in der Konfigurationsdatei
filter.conf vorgenommen, welcher sich in dem Verzeichniss /usr/local/apmailfilter3/etc/ befindet. Weiter sehen Sie ein Teil der Konfigurationsdatei,
welcher die Clientmodul-Einstellungen enthält:
ClientConnectTo tcp:127.0.0.1:2277
ClientConnectTimeout 10
ClientDataTimeout 30
PipeInProtocol lmtp
PipeOutProtocol lmtp
Anhang A 95
PipeOutgoingAddr exec:/usr/sbin/sendmail –bs
PipeMultipleMessagesAllowed yes
ClientDefaultDomain localhost
ClientOnError accept
ClientFilteringSizeLimit 500
Außer Parameter, welche im Anhang A.2.2 beschrieben sind, enthalten die
Moduleinstellungen des Moduls kas-pipe in der Konfigurationsdatei filter.conf
folgende zusätzliche Parameter:
•PipeInProtocol – Protokoll, welcher für die Zustellung der E-Mails
benutzt wird. Mögliche Werte: smtp, lmtp.
•PipeOutProtocol – Protokoll, welcher für die Weterleitung der
bearbeiteten E-Mails benutzt wird. Mögliche Werte: smtp, lmtp.
•PipeHELOGreeting – Domänenname, welche von dem Modul kas-pipe während der SMTP-Sitzung bei der Begrüssung benutzt wird.
Standardwert: kas30pipe.+ <Domänenname des Servers>.
•PipeOutgoingAddr – Adresse des Sockets, welcher zur Weiterleitung
der bearbeiteten E-Mails benutzt wird. Schreibweise: tcp:<host>:<port>,
wo <host> – IP-Adresse des Filterungsserver ist, und <port> –
Verbindungsport ist, zeigt auf Benutzung des Netzwerksockets, sie
Schreibweise unix:<Dateipfad>, wo <Dateipfad> – Pfad zu der
Socketdatei ist, das zeigt auf Benutzung eines lokalen Socket, die
Schreibweise exec:/<Pfad zu der ausführenden Datei des Produktes> –<Parameter> zeigt auf das Programm, welches zur
Übergabe der E-Mails gestartet wird.
•PipeOutConnectTimeout=5...600 – Timeout für die Verbindug mit dem
Socket oder mit dem Programm, welches zum Übergeben der
bearbeiteten E-Mails benutzt wird (Wird durch Parameter
PipeOutgoingAddr vorgegeben).
•PipeOutDataTimeout=5...600 – Timeout für die Übergabe der Daten
über den Socket oder das Programm, welches vom Parameter
PipeOutgoingAddr bestimmt wird.
•PipeMultipleMessagesAllowed – einen Modus benutzen, bei dem
Kopien der E-Mails erstellt werden, wenn Filterungsergebnisse für
verschiedene Empfänger unterschiedlich sind. Mögliche Werte: yes, no.
•PipeUseXForward – Unterstützung des Befehls XForward, welche
erlaubt die IP-Adresse des Servers zu bekommen, von dem E-Mail
gekommen ist (nur bei Arbeit mit Postfix). Mögliche Werte: yes, no.
96 Kaspersky
• Pipe8BitHack – Benutzung der Erweiterung 8BITMIME. Mögliche Werte:
yes, no. Geben Sie den Wert yes ein, wenn Ihr Mailserver für die
Unterstützung der Erweiterung 8BITMIME konfiguriert ist.
•PipeBufferedIO – Pufferung benutzen bei der Bearbeitung der E-Mails.
Pufferung erlaubt die Bearbeitung der E-Mails zu beschleunigen, in dem
zusätzlicher Arbeitsspeicher benutzt wird. Mögliche Werte: yes, no.
Besonderheiten bei Benutzung des Clientmoduls kas-pipe:
• Da die E-Mail dem Clientmodul kas-pipe über SMTP- oder LMTPProtokoll übergeben wird, gibt es keine Möglichkeit (für alle Mailserver
außer Postfix) die IP-Adresse des Absender-Servers fest zu stellen. Alle
DNS-Überprüfungen können nur mit den IP-Adressen durchgeführt
werden, welche sich in dem Brifkopf Received befinden. Beim Benutzen
von Postfix geben Sie für den Parameter PipeUseXForward den Wert
yes ein, damit Clientmodul kas-pipe die IP-Adresse des AbsenderServers bekommt.
• Так как kas-pipe интегрируется с почтовым сервером после очереди
входящих сообщений, у клиентского модуля нет возможности
выполнить действие reject в процессе SMTP-сессии. Если для
сообщения задано действие reject this message, то отправителю
будет отправлено
адресату (bounce message);
уведомление о невозможности доставки письма
®
Anti-Spam 3.0
A.2.4.1. Konfiguration von Postfix für die Arbeit
mit
kas-pipe
Dieser Данный Abschnitt enthält ein Beispiel der Konfiguration von kas-pipe und
Mailservers Postfix, in dem folgendes Arbeitsschema reslisiert wird:
• kas-pipe arbeitet als Inhaltsfilter (content_filter);
• kas-pipe nimmt E-Mails über den Netzwerk-Socket localhost:9026 und
den Dienst kas3scan an, welcher per Hand in der Konfiguration von
Postfix angegeben ist.
•kas-pipe übergibt E-Mails, welche von Kaspersky Anti-Spam bearbeitet
wurden, über das SMTP-Protokoll auf den Socket localhost:9025.
Der Dienst kas3scan gibt eine BeGrenzung der gleichzeitigen
Verbindungen vor und benutzt die Option
smtp_send_xforward_command zum Weitergeben an den Modul kaspipe der IP-Adresse des Servers, von dem die E-Mail kamm.
Anhang A 97
Um dieses Arbeitsschema zu realisieren, gehen Sie wie folg vor:
1. In der Konfigurationsdatei filter.conf geben Sie folgende
Parameterwerte ein:
ClientConnectTo tcp:127.0.0.1:2277
PipeMultipleMessagesAllowed Yes
PipeInProtocol smtp
PipeOutProtocol smtp
PipeOutgoingAddr tcp:127.0.0.1:9025
PipeUseXForward yes
2. Nehmen Sie Änderungen in der Konfigurationsdatei von Postfix
Für Postfix Version 2.1 und höher ist die benutzung von kas-pipe als
Proxy-Server möglich (smtpd_proxy_filter). Dies erlaubt die Aktion
reject während der SMTP-Sitzung zu benutzen, was die E-MailBearbeitung bescheunigen wird. Solche Einstellung wird nur für wenig
Belastete Mailserver empfohlen. Um kas-pipe als Proxy-Server zu
konfigurieren, ändern Sie zwei Zeilen in dem oben beschriebenen
Beispiel auf folgende:
smtp inet n - n - - smtpd
-o smtpd_proxy_filter=127.0.0.1:9026
®
Anti-Spam 3.0
A.2.4.2. Konfiguration von Exim für die Arbeit mit
kas-pipe
Die Integration von kas-pipe in den Mailserver Exim wird durch das Hinzufügen
in die Exim-Konfiguration eines neuen Router am Anfang der Routerliste, wie
auch eines Transports zum Starten vom Modul kas-pipe. Dieser Router ist
symbolisch, er reagirt nicht af E-Mails, welche lokal über ESMTP-Protokoll
verschickt wurden.
Die Überprüfung der E-Mails unter Benutzung des Clientmoduls kas-pipe mit
Exim wird nach folgendem Schema durchgeführt:
1. Exim nimmt auf den Port 25 ankommende E-Mails an und verschibt
diese in die Warteschlange.
2. Exim sucht eine E-Mail aus der Warteschlange und dursucht die Liste
der Router um den passenden zur diese E-Mail auszuwählen. Da der
Router welcher auf kas-pipe zeigt als erster in der Liste steht, werden
alle Nachrichten mit dem entsprechenden Transport an den CleintModul kas-pipe übergeben.
Anhang A 99
3. Zach der Überprüfung der Nachricht übergibt kas-pipe diese zurük, in
dem er Befehl exim –bs ausführt. E-Mail wird erneut in die
Warteschlange von Exim verschoben, jetzt wird aber der Router für den
Modul kas-pipe nicht reagieren, da die E-Mail lokal verschickt wurde.
4. Exim stellt die E-Mail dem Empfänger zu.
Um dieses Schema zu realisieren, gehen Sie wie folgt vor:
1. In der Konfigurationsdatei filter.conf vergeben Sie an die Parameter
folgende Werte:
PipeInProtocol lmtp
PipeOutProtocol smtp
PipeOutgoingAddr exec:/usr/local/sbin/exim -bs
2. Nehmen Sie folgende Änderungen in der Exim-Konfigurationsdatei vor:
• Im Abschnitt ROUTERS fügen Sie folgende Zeilen ein:
• Im Abschnitt TRANSPORTS fügen Sie folgende Zeilen ein:
begin transports
# TRANSPORT ADDED BY KAS 3.0 INSTALLER
kas30transport:
driver = lmtp
batch_max = 100
command = /usr/local/ap-mailfilter3/bin/kas-pipe
return_path_add = false
Im Debian-Distributiv hat die Integration in Exim einige Besonderheiten. Dies
hängt damit zusammen, dass die Konfiguration des Mailservers durch einen
Skript update-exim4.conf aus einem Muster /etc/exim4/exim4.conf.template
generiert wird, welcher sich in dem Verzeichnis /etc/exim4/conf.d/ befindet. Das
Benutzen einen oder mehreren Muster wird mit dem Parameter use_split_files
der Konfiguratinonsdatei Exim exim4-update.conf.conf definiert. Die daraus
100 Kaspersky
enstehende Konfiguration wird unter /var/lib/exim4/config.autogenerated
gespeichert.
Die Integration von Kaspersky Anti-Spam in den Mailserver Exim unter DebianDistributiv kann wie automatisch mit Hilfe des spezielen Skript (s. Pkt. 3.5 auf
S. 30), so auch per Hand gemacht werden.
Um Exim für die Arbeit mit dem Clientmodul kas-pipe einzustellen,
gehen Sie wie folgt vor:
• Wenn für die Einstellung der Exim-konfiguration das Muster
exim4.conf.template benutzt wird, dann fügen Sie in die entsprechende
Abschnitte ROUTERS und TRANSPORTS die obengenannte Zeilen ein.
• Wenn für die Einstellung der Exim-konfiguration das Muster aus dem
Verzeichnis /etc/exim4/conf.d/ benutzt wird, denn
1. im Orddner /etc/exim4/conf.d/router/ erstellen Sie Datei 099_exim4-config_kas30router und fügen Sie in die Datei folgende Zeilen ein: