Tampereen yliopisto
Tietokonekeskus
  etusivu: sähköposti ja www: ohjeet: sähköpostin suodatus

Sähköpostin suodatus

Tampereen yliopistossa suodatetaan sähköpostiliikennettä. Suodatus pyritään tekemään siten, että siitä on mahdollisimman vähän haittaa loppukäyttäjille.

Yleiset rajoitukset sähköpostiviesteille

Yliopiston sähköpostipalvelin ei ota vastaan sähköpostiviestejä, joiden koko on suurempi kuin 50 MB (megatavua).

Yliopiston rajalla oleva sähköpostipalvelin (ts. palvelin, joka ottaa sähköpostiviestejä vastaan Internetistä) tarkistaa, onko viestin vastaanottajan sähköpostiosoite toimiva @uta.fi-sähköpostiosoiteavaruudessa ja poistaa toimimattomiin @uta.fi-osoitteisiin osoitetut viestit.

Yliopiston sähköpostipalvelin ei toimi ns. avoimena sähköpostinvälityspalvelimena. Yliopiston ulkopuoliset käyttäjät voivat yliopiston sähköpostipalvelimen kautta lähettää viestejä vain @uta.fi-osoitteisiin.

Mustat listat

Yliopiston sähköpostipalvelimelle tulevia sähköpostiyhteyksiä suodatetaan kansainvälisten mustien listojen avulla. Tällä hetkellä käytetään seuraavia mustia listoja:

Virukset tai tunnistetut haittaohjelmat

Sähköpostiviesteistä pyritään suodattamaan pois tunnistetut haittaohjelmat. Viruskannat tarkistetaan F-Securelta viiden minuutin välein ja keskitetyssä hallinnassa olevan työasemat tarkistavat viruskannat palvelimelta 15 minuutin välein. Haittaohjelmien tunnistukseen käytetään Trend Micron InterScan VirusWall -ohjelmistoa.

Jos viestistä on poistettu tunnistettu haittaohjelma, niin siihen lisätään tiedote suoritetusta toimenpiteestä: 

------------------  Virus Warning Message (on the network)

eicar.com is removed from here because it contains a virus.

---------------------------------------------------------

------------------  Virus Warning Message (on the network)

Found virus Eicar_test_file in file eicar.com (in eicar.com)
The file eicar.com is moved to /etc/iscan/quarantine/virVAgl0O.

Viestin mukana tulleessa liitetiedostossa oli virus, joka on 
nyt poistettu. Lisatietoja sahkopostiviestien virustorjunnasta 
loytyy osoitteesta: 
http://www.uta.fi/laitokset/tkk/ohjeet/unix/postiskanneri.shtml.

---------------------------------------------------------

Viruspostin lähettäjälle lähtee tällainen virheilmoitus:

  
Lähettamassasi viestissa (tiedosto: eicar.com) osoitteeseen
cconol@uta.fi oli virus. Virus on poistettu ja vastaanottaja on saanut
viestin. 

Lisatietoja sahkopostiviestien virustorjunnasta loytyy osoitteesta: 
http://www.uta.fi/laitokset/tkk/ohjeet/unix/postiskanneri.shtml 

The mail message (file: eicar.com) you sent to cconol@uta.fi 
contained a virus. The virus has been removed and the message has reached 
its recipient. 

(InterScan on the network)   
-------------------------------------------------

Liitetiedostojen käsittely

Sähköposteista suodatetaan pois myös sellaiset tiedostotyypit, jotka Microsoft on luokitellut vaarallisiksi. Jos liitetiedoston tiedostopääte löytyy Microsoftin vaarallisten tiedostopäätteiden listalta, poistetaan liitetiedosto viestistä. Vaarallisia tiedostotyypejä etsitään myös Zip-pakettien sisältä. Jos Zip-paketin sisällä on tiedosto, jossa on kaksi tiedostopäätettä ja näistä jälkimmäinen on vaarallisten tiedostopäätteiden listalla, niin Zip-paketti poistetaan sähköpostiviestistä. Salasanalla suojattujen Zip-pakettien sisältöä ei toistaiseksi tutkita.

Microsoftin lista löytyy artikkelista Attachment file types blocked by Outlook. Suodatus tehdään käyttäen MIMEDefang -ohjelmistoa.

<-------------------------------

Lista vaarallisista tiedostopäätteistä ja tiedostotyypeistä, joita ei pitäisi lähettää sähköpostitse:
File extension File type
.ade Microsoft Access project extension
.adp Microsoft Access project
.appFoxPro generated application
.bas Microsoft Visual Basic class module
.bat Batch file
.chm Compiled HTML Help file
.cmd Microsoft Windows NT Command Script
.com Microsoft MS-DOS program
.cpl Control Panel extension
.crt Security certificate
.cshUnix shell script
.exe Program
.fxpFoxPro file
.hlp Help file
.hta HTML program
.inf Setup Information
.ins Internet Naming Service
.isp Internet Communication settings
.js JScript file
.jse Jscript Encoded Script file
.kshUnix shell script
.lnk Shortcut
.mda Microsoft Access add-in program
.mdb Microsoft Access database
.mde Microsoft Access MDE database
.mdt Microsoft Access add-in data
.mdw Microsoft Access workgroup information
.mdz Microsoft Access wizard program
.msc Microsoft Common Console Document
.msi Microsoft Windows Installer package
.msp Windows Installer patch
.mst Visual Test source files
.opsFoxPro file
.pcd Photo CD image or Microsoft Visual Test compiled script
.pif Shortcut to MS-DOS program
.prf Outlook profile information (msrating.dll)
.prgFoxPro program source file
.reg Registration entries
.scf Microsoft Windows Explorer command
.scr Screen saver
.sct Windows Script Component
.shb Shortcut into a document
.shs Shell Scrap Object
.url Internet shortcut
.vb VBScript file
.vbe VBScript Encoded Script file
.vbs VBScript file
.wsc Windows Script Component
.wsf Windows Script file
.wsh Windows Script Host Settings file
.xslXML file that can contain script

------------------------------->

Jos viestistä on poistettu liitetiedosto, jossa on vaarallinen tiedostopääte, niin viestiin lisätään tiedote suoritetusta toimenpiteestä: 

------------------  Filter Warning Message (on the network)

VAROITUS: Suodatinohjelma on muokannut tata viestia. Taman kappaleen
jalkeen tulee tieto muutoksista, joita viestille on tehty. Lisatietoja
sahkopostiviestien virustorjunnasta loytyy osoitteesta:
http://www.uta.fi/laitokset/tkk/ohjeet/unix/postiskanneri.shtml .

WARNING: This e-mail has been altered by filtering program. Following
this paragraph are indications of the actual changes made. For more
information:
http://www.uta.fi/laitokset/tkk/ohjeet/unix/postiskanneri.shtml . 

---------------------------------------------------------

Poistettiin liitetiedosto: my_docs.pif
Liitetiedosto poistettiin, koska siina oli vaarallinen tiedostopaate.
Jos tama tiedosto on tarpeellinen, niin ottakaa yhteytta
sahkopostiviestin lahettajaan ja kayttakaa jotakin vaihtoehtoista
tiedonsiirtotapaa.

Removed attachment named: my_docs.pif
The attachment was removed from this document as it constituted a
security hazard. If you require this document, please contact the sender
and arrange an alternate means of receiving it.
------------------------------------------------------------

Huom!
Liitetiedostojen avaamisessa on aina noudatettava varovaisuutta. Tutustakin osoitteesta voi tulla vaarallinen viesti, koska virukset voivat väärentää viestin lähettäjän osoitteen.

Windowsissa pitää olla tiedostotarkentimet näkyvissä, jotta liitetiedoston nimi olisi aina kokonaisuudessaan näkyvissä. Tarkentimet saa näkyviin (Windows2000/XP) vaikkapa komennolla My Computer-Tools-Folder Options-välilehti View. Kohdasta Hide extensions for known file types otetaan ruksi pois. Jos liitetiedoston tarkennin on esim. PIF, EXE, COM, BAT tai VBS, tiedosto on suoritettava ohjelma ja saattaa sisältää haittaohjelman. Jotkut madot tai virukset lisäävat tiedoston nimeen toisen päätteen, esimerkiksi raportti.doc.pif. Jos tiedostotarkentimet ovat piilossa, näkee käyttäjä vain nimen raportti.doc eikä osaa epäillä mitään.

Kun siis saat oudon viestin, älä anna uteliaisuuden voittaa, vaan tuhoa se! Estämällä virusta leviämästä säästät paitsi itsesi myös monet muut yliopistolaiset ylimääräiseltä harmilta.

Roskaposti

Jos viesti tunnistetaan roskapostiksi, niin siihen lisätään otsaketyyppejä, jotka helpottavat loppukäyttäjän tekemää roskapostisuodatusta. Roskaposteja tunnistetaan SpamAssassin-ohjelmalla. SpamAssassin ohjelmassa on käytössä oletussäännöstöt ja muutamia lisäsäännöstöjä.

SpamAssassin lisää sähköposteihin seuraavan kaltaiset otsaketiedot: 

X-Spam-Status: HIGH ; 235
X-Spam-Level: ***********************+++++
X-Spam-Flag: YES
X-Spam-Report: BANG_MONEY,BAYES_99,COPY_ACCURATELY,EARN_MONEY,
	FORGED_RCVD_NET_HELO,INVALUABLE_MARKETING,MLM,ORDER_REPORT,
	READ_TO_END,WALAA

X-Spam-Status: otsakekentässä voi olla arvot NO, LOW, MEDIUM tai HIGH. Näistä HIGH on suurimmalla todennäköisyydellä roskapostia ja LOW pienimmillä todennäköisyydellä. NO tarkoittaa, ettei viesti todennäköisesti ole roskapostia. Viestin saama pistearvo lukee kentässä ;-merkin jälkeen numeroina. Mitä suuremman pistearvon viesti saa, sen todennäköisemmin se on roskapostia.

X-Spam-Level: otsakekentässä on X-Spam-Status-otsakekentän pistearvo koodattuna merkeiksi. Kentässä *-merkki tarkoittaa aina kymmentä pistettä ja +-merkki yhtä pistettä. Jos viesti on saanut negatiivisen pistearvon, niin x-merkki tarkoittaa kymmentä pistettä ja - -merkki yhtä pistettä.

X-Spam-Flag: otsakekentässä on arvo YES, jos viestin saama pistearvo on ylittänyt MEDIUM tai HIGH raja-arvot.

X-Spam-Report: otsakekentässä luetellaan ne säännöstöt, joiden mukaan SpamAssassin on viestiä arvottanut.

Postitus
Friday, 11-Feb-2005 16:12:51 EET