Die Überprüfung auf Schadcode, unerwünschte Anhänge und bösartige Links findet für alle externen E-Mails statt, die an RUB-Mailadressen gerichtet sind, sowie alle ausgehenden E-Mails, die von RUB-Mailadressen verschickt werden. Eintreffende E-Mails werden zusätzlich auf Spam überprüft und mit einem Kennwert (spam score) versehen, der die Wahrscheinlichkeit beziffert, dass es sich um unerwünschten Spam handelt.

Der interne Mailverkehr zwischen RUB-Mailadressen wird nicht auf Spam überpüft.

• Nutzende, deren Mailbox auf dem "RUB-Mail" Mailhost liegen, können die Spamfilterung über die LoginID-Einstellungen auf https://rub.de/login aktivieren/prüfen. Markieren Sie dazu "Spam aussortieren:an" und klicken Sie danach unbedingt auf "Änderungen übernehmen". Der Standardname des Junk/Spam-Ordners ist "UCE-TMP".
• Für Mailboxen auf "RUB-Exchange" Servern ist die Spam-Filterung automatisch aktiviert. Spam-Mails werden markiert und in den Junk/Spam-Ordner "Junk-E-Mail" verschoben.
• Nutzende anderer, dezentraler Mailserver an der RUB können die Einstellungen über ihr Admin-Team erfragen und gegebenenfalls ändern lassen.

Bitte berücksichtigen Sie, dass der Name des Junk/Spam-Ordners immer abhängig ist von Ihren individuellen Einstellungen im verwendeten E-Mail-Programm.

E-Mail, die bei der Bewertung einen Kennwert (spam score) von 5,0 oder mehr erhält, wird als Spam gekennzeichnet. Rein technisch wird eine solche Mail mit einem zusätzlichen sogenannten Mailheader versehen (X-Spam-Flag: YES). Danach wird die Mail an den jeweiligen Mailserver weitergegeben und dort je nach Server- bzw. Nutzereinstellungen behandelt.

• RUB-Mail: Ist die Spam-Filterung eingeschaltet, wird die Mail in den Junk/Spam-Ordner (UCE-TMP) geschoben. Über die im Laufe des Tages dort abgelegten E-Mails erhält man abends eine Zusammenfassung per E-Mail. Ist die Spam-Filterung ausgeschaltet, wird die Mail im Posteingang abgelegt.
• RUB-Exchange: Der Betreff der betroffenen E-Mail wird mit *** SPAMVERDACHT *** ergänzt und sie wird in den Junk/Spam-Ordner (Junk-E-Mail) verschoben.

Bitte beachten Sie, dass die meisten E-Mail-Programme über einen zusätzlichen eigenen Spam-/Filtermechanismus verfügen. Über deren Einstellungen und Konfiguration informiert Sie Ihre lokale IT-Administration.

• RUB-Mail: Die Mail kann aus dem Junk/Spam-Ordner (UCE-TMP) direkt in den Posteingang oder einen beliebigen anderen Ordner verschoben werden. Je nach der von Ihnen auf der LoginID-Seite eingestellten Aufbewahrungsdauer werden E-Mails im Junk/Spam-Ordner nach Ablauf der Aufbewahrungsdauer endgültig gelöscht.
• RUB-Exchange: Klicken Sie mit der rechten Maustaste auf die betreffende E-Mail im Junk/Spam-Ordner (Junk-E-Mail) und wählen Sie Junk-E-Mail -> Keine Junk-E-Mail. Die E-Mail wird nach Bestätigung in den Posteingang verschoben. Die Markierung ***SPAMVERDACHT*** bleibt allerdings im Betreff erhalten.

Wird eine Mail gelöscht oder in ein beliebiges Verzeichnis verschoben, gelten sie für das Mailsystem als "überflüssig, aber harmlos". Durch bestimmte Aktionen kann man dagegen selbst die Spam-Erkennung trainieren:

• RUB-Mail: Die Mail sollte vom Posteingang in den Junk/Spam-Ordner (UCE-TMP) verschoben werden. Zusätzlich kann in den LoginID-Einstellungen auf https://rub.de/login eine Mailadresse oder die Domäne eines Absenders auf die Liste unerwünschter Absender (Blacklist) gesetzt werden.
• RUB-Exchange: Klicken Sie mit der rechten Maustaste auf die betreffende E-Mail und verschieben Sie diese in den Junk/Spam-Ordner (Junk-E-Mail). Achtung: es wird keine Markierung ***SPAMVERDACHT*** gesetzt. Zusätzlich kann auch über das Kontextmenü der Mail der Absender der E-Mail bzw. die Domäne des Absenders gesperrt werden.

Spammer verwenden E-Mail-Listen oder Nutzerprofile, die von frei verfügbaren Webseiten zusammengesucht wurden, oder die aus Einbrüchen in IT-Systeme stammen und im Netz veröffentlicht oder verkauft werden. Mit einer Antwort auf Spam-Mails erreicht man entweder die Falschen (Opfer, in deren Namen Spam versendet wird) oder man bestätigt sogar die Gültigkeit der eigenen Mailadresse (und steigert damit deren Wiederverkaufswert). Manche Spam-Mails erscheinen Newsletter-artig und offerieren einen Abmelde-Button. Ist man ohne eigenes Zutun auf einer solchen Spammer-Newsletterliste gelandet, wird vermutlich auch die Abmelde-Funktion eher zweifelsfreien Effekt haben. Wir raten daher, derartige E-Mails in den Junk/Spam-Ordner zu verschieben oder Absender auf die Spam-Blacklist zu setzen (s. auch: RUB Spam-Filter trainieren).

Manche E-Mail-Programme oder Apps führen auch eine Spam-Behandlung durch. Die Spam-Filterung der RUB schützt zusätzlich gegen Spam-Mails, die einen RUB-Absender vortäuschen, und E-Mails mit anerkannten Phishing- oder Malware-Links.

Einige E-Mail-Programme, -Apps oder -Clients bieten eigene Mechnismen zur Spam-Behandlung an. Beim Empfang von E-Mails durchlaufen diese allerdings zuerst den RUB Spam-Filter bevor sie von dem zuständigen Server und anschließend von Ihrem Client verarbeitet werden. Der RUB Spam-Filter kennzeichnet (flaged) und schützt vor Spam-Mails mit bekannten Phishing- oder Malware-Inhalten sowie vor E-Mails, die nur vorgeben, von einem RUB-Absender zu stammen. Für eine weitergehende Verarbeitung können Sie Ihr individuelles E-Mail-Programm entsprechend konfigurieren.

Offensichtlich unerwünschte E-Mail, allgemein als Spam bezeichnet, von unbekannten Absendern, mit abstrusen Inhalten oder Aufforderungen sind oft einfach zu erkennen. Besondere Gefahr kann aber von E-Mails ausgehen, die eine "plausible Geschichte erzählen" oder von vermutlich harmlosen oder bekannten Absendern stammen. Dies trifft insb. auf Phishing-Mails zu, deren Ziel der Identitätsdiebstahl ist. Wir empfehlen, allen eintreffenden Mails kritische Aufmerksamkeit zu widmen.

Den empfohlenen 3-Sekunden-Sicherheitscheck, andere wichtige Hinweise zur Erkennung schädlicher Links und Anhänge sowie vorbeugende Tipps erläutern wir im Rahmen unserer Top-Tipps zur Informationssicherheit.

Falls Sie sich über die Legitimität einer E-Mail unsicher sein sollten, ziehen Sie gegebenenfalls Ihre lokale IT-Adminstration und/oder Kolleginnen und Kollegen zu Rate. Über offizielle E-Mails von zentralen Stellen kann Ihnen in der Regel auch das Helpdesk von IT.SERVICES eine verläßliche Auskunft erteilen. Haben Sie den Verdacht, dass es sich um eine E-Mail mit schädlichem Inhalt handelt, melden Sie diese bitte das abuse-Team.

Spam von der eigenen oder einer anderen, bekannten Adresse ist nichts außergewöhnliches. Solche Absender-Adressen sind leicht fälschbar. Hintergrund-Informationen dazu liefert unser Beitrag Gefälschte E-Mails. E-Mails, die eine gefälschte RUB-Absenderadresse verwenden, landen in der Regel im Spam-Ordner.

Verwendete Mailadressen und häufig auch Namen/Adressen von existierenden Kommunikationspartnern wurden entweder bei Einbrüchen in Online-Diensten erbeutet, oder schlicht auf öffentlichen Webseiten zusammengetragen. Da die Angreifer/Angreifer meist illegal erworbene Ressourcen - gerne auch im Ausland - oder Mailaccounts von anderen Spam-Opfern nutzen, kann man in der Regel nicht wirksam gegen solche missbräuchliche Nutzung der eigenen Mailadresse vorgehen.

In manchen Fällen werden aber auch kompromittierte RUB-Accounts für Spam-Versand genutzt. Nutzer sind dann zuvor selbst Opfer von Phishing-Mails oder Infektion ihrer Rechner geworden. Sofern RUB-Accounts so auffällig werden, werden sie umgehend gesperrt, damit es zu keinem weiteren Schaden für Nutzende kommt. Betroffene sollten schnellstmöglich Kontakt zu uns aufnehmen.

Der Besuch von Webseiten, die gefährliche Inhalte verbreiten oder über Social Engineering und nachgeahmte RUB-Seiten Daten erbeuten wollen, ist aus dem RUB-Netz aus Sicherheitsgründen blockiert.

Geschützt sind Rechner,

• die sich im RUB-Netz befinden (am Campus, im Eduroam oder an HIRN-Ports) oder
• bei mobilem Arbeiten via RUB-VPN mit der RUB verbunden sind, und
• die von IT.SERVICES betriebenen zentralen Nameserver (ns1.ruhr-uni-bochum.de und ns2.ruhr-uni-bochum.de) konfiguriert haben. Konfigurationsanpassungen sollten von den zuständigen Admin-Teams vorgenommen werden.

Bei der Einstufung von Webseiten kann es zu falsch-positiven Einträgen kommen. In diesem Fall wenden Sie sich bitte zur weiteren Klärung an its-helpdesk@ruhr-uni-bochum.de.

Wenn Sie Verdacht auf Schadcode in E-Mails haben, aber auch zur Aufklärung neuartiger oder komplexer Spam-/Phishing-Mails, senden Sie diese bitte an abuse@rub.de. Damit wir die E-Mail analysieren können, müssen wir die vollständig E-Mail erhalten, also mit den sogenannten E-Mail-Headern. Je nach verwendetem Mailprogramm verschicken Sie die vollständige E-Mail bitte wie folgt:

• Thunderbird: Betreffende Mail markieren und im Menü "Nachricht" klicken auf "Weiterleiten als" -> "Anhang"
• Outlook: Betreffende Mail markieren und im Menüband "Antworten" klicken auf "Weitere" -> "Als Anlage weiterleiten"
• RUB-Webmail: Auf das kleine Dreieck rechts neben "Weiterleiten" klicken und dann "Als Anhang weiterleiten".