Im Artikel „Von wegen schöne Bescherung: Einschränkungen im E-Mail-Verkehr“ haben wir berichtet, wie durch leichtfertigen Umgang mit Logindaten das E-Mail-System der TU Chemnitz missbraucht wurde und somit erheblicher Schaden entstand. Um in Zukunft solchen Schaden abzuwehren und den E-Mail-Dienst sicherer und dauerhaft nutzbar zu machen, werden wir einige Sicherheitsmaßnahmen ergreifen. Diese sind im Folgenden beschrieben.
Einliefern von E-Mail nur noch über den zentralen Mailbox-Server
Wer E-Mails von außerhalb des TU-Netzes über die Mail-Server der TU senden will, muss das seit jeher authentisiert über sein Loginkennzeichen tun. Auch für das interne Senden ist die Authentisierung sinnvoll. Der Postausgangs-Server ist mail.tu-chemnitz.de, siehe Einstellungen zum Senden von E-Mail. Falls Sie dort z. B. mailhost.tu-chemnitz.de verwenden, müssen Sie das ändern. Ab 25.03.2019 unterstützen die Mail-Relays diese Funktion nicht mehr. Für Benutzer mit Exchange-Postfach ändert sich nichts.
Begründung: Eine zentrale Einlieferung sorgt für das bessere Erkennen von Missbrauch durch massenhaftes Senden in kurzer Zeit.
Übrigens: Wenn Sie Ihr Passwort im Mail-Programm abspeichern, verwenden Sie bitte unbedingt ein App- und Gerätepasswort.
Einliefern von E-Mails aus Netzen mit privaten Geräten nur noch mit Authentifizierung
Was für die Einlieferung von E-Mails aus dem Internet gilt, gilt nun auch für TU-interne Netze, in denen private Geräte erlaubt sind. Wer aus dem WLAN, über VPN und aus dem Chemnitzer Studentennetz über unsere Mail-Server senden möchte, muss sich ab 25.3.2019 mit Loginkennzeichen und Passwort authentisieren. Hinweise dazu finden Sie im vorigen Abschnitt.
Begründung: Über private oder mobile Geräte versendete E-Mails müssen Benutzern zuordenbar sein.
Ratelimits für das Senden von E-Mail
Um Missbrauch einzudämmen, werden wir die Menge von eingelieferten E-Mails auf ein Maß beschränken, das der normalen Benutzung entspricht. Folgende Limits sind ab sofort eingestellt:
- E-Mail-Versand aus dem Internet, sowie aus dem WLAN, über VPN und aus dem Chemnitzer Studentennetz (CSN): Maximal 150 Empfänger pro Stunde und authentisierter Benutzer. Bei Überschreitung des Limits wird die Annahme verweigert.
Begründung: Das massenhafte Versenden dubioser E-Mails über kompromittierte Accounts stellt ein enormes Risiko für die TU Chemnitz dar. - E-Mail-Versand aus dem TU-Netz (außer WLAN, VPN und CSN) ohne Authentisierung: Pro Absende-IP-Adresse werden an einem Tag maximal 10.000 Empfänger zugelassen. Bei Überschreitung des Limits wird die Annahme temporär verweigert.
Begründung: Auch das Risiko kompromittierter Rechner im TU-Netz muss abgemildert werden.
Für beide Fälle kann es begründete Ausnahmen geben, z. B. die Mail-Server selbst, Plattformen für E-Learning, Verwaltung usw. oder wenn z. B. für Einladungen viele E-Mails versendet werden sollen. Wenn Sie betroffen sind, wenden Sie sich bitte an support@hrz.tu-chemnitz.de oder persönlich an den URZ-Nutzerservice.
Weiterleitungen nur bei vollständig aktivierten Schutzfiltern
Die automatischen Schutzfilter für E-Mail dienen der Abwehr von E-Mails mit gefährlichem Inhalt und unliebsamen Spam-Mails. Jeder Nutzer der TU Chemnitz hat im IdM-Portal die Möglichkeit, Filter bezüglich Spamschutz abzuschalten. Wer ohne Spamschutz eine Weiterleitung seiner E-Mail an einen externen Anbieter einstellt, bringt die Mailserver der TU Chemnitz in eine schwierige Situation: Bei weitergeleiteter E-Mail mit dubiosem Inhalt tritt nun die TU Chemnitz als Spam-Versender auf. Das gefährdet die Reputation unserer Mail-Server und trifft alle E-Mail-Benutzer der TU. Daher werden ab 25.3.2019 für Benutzer mit Weiterleitungen an externe Adressen die automatischen Schutzfilter aktiviert.
E-Mail-Weiterleitungen sind übrigens auch aus juristischer Sicht problematzisch (siehe Jahresband 2015 Infobrief Recht des DFN-Vereins, Seiten 91 bis 102), insbesondere für Mitarbeiter. Dabei sind solche Weiterleitungen in vielen Fällen gar nicht nötig, da man mit jedem E-Mail-Programm auf sein Postfach an der TU Chemnitz zugreifen kann: Zugangsmöglichkeiten zum E-Mail-Postfach
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.