Technische Beschreibung des Email-Empfangs

Artikel erstellt am: 09.07.2018

Sie erhalten manche Emails verzögert oder gar nicht, andere Spam/Virusmails kommen durch.

Hier beschreiben wir, welche Schritte alle durchlaufen werden, bis eine Mail „von außen“ wirklich in Ihrem Outlook / Mobiltelefon / … landet.

Wo „anwendbar“ auch eine Erklärung im „klassischen“ Postsystem …

 

  1. Der Absender der Mail übergibt diese an seinen Mailserver (klassisch: gibt das Paket in seiner Postfiliale ab)
  2. Dieser Mailserver versucht nun, das Paket bei unserem Eingangs-Mailserver abzugeben (klassisch: einem Zusteller „in einem anderen Land“ zu übergeben – oder besser „der zentralen Poststelle im Unternehmen“)

Dabei passieren jetzt einige Tests, um sicherzustellen, daß möglichst wenig Spam/Viren durchkommen und keine legitime Mail „untergeht“.
Diese Ziele sind leider im Konflikt, d.h. je sicherer Spam und Viren gefiltert werden, desto größer die Chance, daß auch legitime Mails weggeworfen werden

Folgende Prüfungen und Filter werden jetzt durchlaufen:

  1. Es wird geprüft, daß der einliefernde Mailserver sich sauber ans Protokoll hält (d.h. die richtige Reihenfolge bei den Befehlen, keine Befehle auslässt, korrekte Namen verwendet etc.) – das ist ein Basistest, den schon sehr viele „Spambots“ auf PCs nicht schaffen, aber JEDER „echte“ Mailserver
    Wenn dieser Test schiefläuft, wird die Verbindung getrennt, der einliefernde Mailserver muß dann die Mail mit einer Fehlermeldung an den Absender zurückgeben.
  2. Jetzt darf der einliefernde Mailserver einen Schritt weiter und den Absender + Empfänger, der außen auf dem Paket steht angeben. Wenn wir diesen Mailserver kennen und er in der Vergangenheit bereits erfolgreich Mails für diese Absenderdomäne eingeliefert hat, die „sauber“ waren, dann darf er sofort weiter zu 3. Ansonsten sagt unser Mailserver „bitte kommen Sie später (in 30 Minuten) wieder“. Echte Mailserver haben damit kein Problem, halten sich daran und dürfen dann nach 30 Minuten zu 3. Spammer halten sich selten daran, da sie dafür keine Zeit haben …
    Dieser Schritt nennt sich Greylisting und kann pro Empfängeradresse ausgeschaltet werden – mit erhöhtem Spam- und Virenrisiko
  3. Jetzt beginnen „ernsthafte“ Tests – dazu läßt sich unser Mailserver jetzt auch den Inhalt der Mail
    Wenn irgendwelche dieser Tests „fehlschlagen“ (d.h. angeben: SPAM/VIRUS) wird die Mail sofort abgelehnt und der einliefernde Mailsever muß sie mit Fehlermeldung an den Absender zurückgeben.

    1. Gibt es die Absenderdomäne überhaupt für E-Mails?
    2. Ist der Server, der die Mail einliefert, der für die Domäne angegebene Server
    3. steht der einliefernde Server auf einer oder mehreren Blacklisten (oder auch auf internen Whistelisten, um trotzdem durchzukommen)
    4. gibt es den vorgesehenen Empfänger bei uns
    5. steht die Domäne oder der Absender auf einer Blacklist/Whitelist des Empfängers
    6. Enthält die Mail Teile bekannter Spammails (dafür gibt es eine weltweite Datenbank mit „Mailschnipseln“, die ständig von allen Teilnehmern aktualisiert wird)
    7. Enthält die Mail verbotene Dateitypen oder Dateien, die sich „maskieren“ (d.h. z.B. vorgeben, eine Word-Datei zu sein, in Wirklichkeit aber ein Programm)
  4. Erst jetzt nimmt unser Mailserver die „Verantwortung“ für die Mail entgegen – denn jetzt beginnen zeitaufwendige Prüfungen:
    1. jede Mail wird von mehreren Virenscanner-Engines durchsucht – und dabei dann z.T. auch „entschärft“ (z.B. Skripte und Makros aus Word-Dateien entfernt)
      (klassisch: das Paket wird ausgepackt und auf gefährliche Inhalte durchsucht – das macht wenn dann nur die Poststelle im Unternehmen)
      Wenn dabei ein Treffer auftritt, wird die Mail entweder zurückgehalten (wenn sie nicht „entschärft“ werden kann) bzw. der gefährliche Teil entfernt UND eine Nachricht an den Empfänger angehängt, damit er weiß, daß etwas entfernt wurde und wo er es sich ggf. doch abholen kann (falls es ein Fehler war)
    2. Dann wird die Mail ins Postfach des Empängers gelegt (auch klassisch wäre das so). Bis es von dort gelöscht wird, wird es in regelmäßigen Abständen auch immer wieder von mehreren Virenscannern geprüft und ggf. in Quarantäne verschoben – denn oft dauert es länger als 1 Tag, bis neue Bedrohungen sicher erkannt werden.
  5. Als letztes wird die Mail vom Empfänger aus dem Postfach abgeholt – via Outlook (oder sonst einem Mailprogramm ), dem Smartphone, …
    Auch dabei kann sie wieder auf Viren geprüft werden.