E-Mailverkehr im Griff

So vermeiden Sie typische Fehler beim E-Mail-Management

07.06.2014 von Susan Perschke
Die Verwaltung des Mailverkehrs eines Unternehmens ist eine Herkulesaufgabe. Wir zeigen die typischen Fehler, die dabei vorkommen, und sagen, wie Sie diese vermeiden können.

Wir stellen Ihnen häufig auftretende Fehler bei der Mail-Administration vor und sagen Ihnen, wie Sie diese vermeiden können.

Die E-Mail-Verwaltung ist nicht nur eine IT-Aufgabe

Der Mailserver-Administrator ist zunächst für die folgenden Aufgaben verantwortlich: Für einen funktionierenden Mail-Server, für regelmäßige Sicherungen, dafür, dass die Serversoftware aktuell bleibt, für den Benutzer-Support und für alles, was was sonst noch an technischen und Sicherheits-Administrations-Funktionen vorhanden ist.

Doch wirklich gutes Mail-Management geht noch weiter. Laut einem kürzlich veröffentlichten Bericht des U.S. Office of the National Counterintelligence Executive soll die Industrie-Spionage gegen große US-Unternehmen und gegen Regierungs-Ämter immer schneller zunehmen. Und die E-Mail wurde als primäres Mittel für verratene Unternehmensgeheimnisse identifiziert.

Trotz der Tatsache, dass wichtige Datendiebstähle fast täglich veröffentlicht werden, zeigen Untersuchungen, dass viele Mailserver-Administratoren nicht über die adäquaten Mittel verfügen, um die sensiblen Daten effektiv zu schützen. In einer kürzlich veröffentlichten Umfrage von eMedia gaben 94 Prozent der Netzwerk-Manager zu, dass sie keine Mechanismen hätten um zu verhindern, dass vertrauliche Informationen ihr Netzwerk verlassen. Hier muss die Wachsamkeit auf jeden Fall steigen.

Wenn es um E-Mails geht, kann die Data Loss Prevention (kurz: DLP; Daten-Verlust-Vorbeugung) erreicht werden, indem der ausgehende Mail-Verkehr über viele unterschiedliche Hardware- und Software-basierte Technologielösungen inspiziert und analysiert wird. Das sollte zusammen mit einer technikfreien DLP-Richtlinie gekoppelt werden. Viele DLP-Lösungen erweitern die übliche Firewall-Plattform. Eine gute DLP-Lösung kann die Nutzer daran erinnern, dass die aufgestellten Vorschriften eingehalten werden.

Sie sollten auf jeden Fall eine Doppelstrategie verfolgen: In Ihrem Unternehmen eine DLP-Richtlinie aufstellen und technische DLP-Mechanismen installieren.

Aktionsplan:

  1. Die E-Mail-Richtlinien-Administration sollte von Experten besetzt werden und diese Richtlinien müssen für alle gelten.

  2. Finden Sie die beste DLP-Lösung für Ihr Unternehmen und integrieren Sie diese.

  3. Erstellen Sie eine „Regel zur angemessenen Verwendung". Hierin sollten Sie klar herausstellen, ob die Nutzer auf den Arbeitscomputern ihre persönlichen E-Mails überprüfen dürfen oder nicht. Außerdem sollten Sie klären, ob die Mitarbeiter die Arbeits-E-Mail-Adresse für persönliche Online-Angelegenheiten verwenden dürfen.

  4. Schulen Sie Ihre Mitarbeiter und stellen Sie sicher, dass diese die Wichtigkeit der E-Mail-Richtlinien verstehen und diese somit beachten.

Andere Bereiche der E-Mail-Verwaltung, die häufig nicht allein in das Aufgabenfeld der IT-Abteilung fallen, sind die Einhaltung der gesetzlichen Vorschriften und die Vorratsdatenspeicherung. Es gibt viele gesetzliche Vorschriften, die die E-Mail-Richtlinien beeinflussen können.

Beispielsweise kann es für Unternehmen im Gesundheitswesen notwendig sein den E-Mail-Verkehr besonders zu sichern, damit die Kundendaten gut geschützt werden. Falls ein Unternehmen in diesem Bereich fahrlässig handelt und über keine entsprechenden Richtlinien verfügt, dann kann dieses Unternehmen im Falle einer versehentlichen Datenveröffentlichung verklagt werden. Sensible Daten und das intellektuelle Eigentum des Unternehmens müssen besonders gut geschützt werden.

Aktionsplan:

  1. Sie sollten die rechtlichen Anforderungen an Ihr Unternehmen, in Abhängigkeit von der Größe und des Geschäftsfeldes, kennen.

  2. Installieren Sie eine sichere Mail-Kommunikations-Infrastruktur, wenn diese notwendig ist.

  3. Engagieren Sie eine Person, die für die Kommunikation zwischen Management und IT verantwortlich ist, sodass sichergestellt ist, dass die gesetzlichen Vorschriften in den Unternehmensrichtlinien verankert werden. Die Einhaltung der Unternehmensrichtlinien sollte, falls möglich, von der eingesetzten Technik unterstützt und geprüft werden.

Vor fünfzehn Jahren hat ein Mann namens „Spam King" locker 20.000 Euro pro Tag mit der vermeintlich größten Spam-Operation verdient. Robert Soloway, der dafür ins Gefängnis musste, weil er gegen Anti-Spam-Gesetze verstoßen hatte, gibt offen zu, dass es sich heutzutage nicht mehr lohnt mit Spam Geld zu verdienen.

Verschärfte Regeln gegen Spam

In der Tat schreitet die Technik voran und es gibt wesentlich aggressivere Anti-Spam-Regelungen, sodass die Bekämpfung von Spam und Phishing-E-Mails besser funktioniert, aber dieser Kampf ist noch lange nicht gewonnen. Eine Stichprobe für einen ganzen Tag bei dem Mail-Unternehmen MailArmory im April 2012 ergab, dass 87,2 Prozent des verarbeiteten E-Mail-Verkehrs Spam sind. Aber dieser Spam landet glücklicherweise nicht mehr im E-Mail-Postfach der Nutzer. Die abgefangenen Nachrichten können beim MailArmory Server betrachtet und bei Spamverdacht entfernt werden. Oder Sie können diese Nachrichten einfach ignorieren, sodass die verdächtigen E-Mails einfach entfernt werden.

Eine andere Anti-Spam- und Anti-Phishing-Front stellen die Industrie-Giganten, wie Google, Microsoft, PayPal, Bank of America und Facebook dar, um ein paar zu nennen. Diese arbeiten zusammen um DMARC (Domain-based Message Authentication, Reporting & Conformance) zu unterstützen, das den Missbrauch von Mails verringern soll.

DMARC stellt einen sehr vielversprechenden Schritt in die richtige Richtung dar. Es nutzt aktuelle Techniken wie SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) im Kampf gegen Spam und Phishing-Nachrichten. Kurzum: Es bietet eine Möglichkeit für E-Mail-Versender dem Empfänger mitzuteilen, dass deren E-Mails über SPF/DKIM geschützt sind. Außerdem können die Empfänger Nachrichten authentifizieren, nachdem sie Informationen über den Absender gesehen haben. Wenn dieser Standard weit verbreitet wird, solle es für Spammer schwierig werden, dass deren Mails überhaupt noch an den Endnutzer gelangen.

Agari ist einer der frühen Entwickler und Anbieter von DMARC-Services. Derzeit werden mehr als 1,5 Milliarden Nachrichten pro Tag über DMARC verarbeitet. Patrick Peterson, der Geschäftsführer und Gründer von Agari, sagt, dass einfache Textnachrichten, die immer noch den größten Teil an E-Mails ausmachen, sehr unsicher sind. Aber tatsächlich stellen diese eine sehr viel geringere Gefahr dar als alternative Angriffsmethoden wie APT (Advanced Persistent Thread), die derzeit verwendet werden.

Sichere Mailübertragung

Mails können beispielsweise über SSL oder TLS gesichert werden. Dies ist die vermeintlich beste Lösung, um reine Text-Nachrichten sicher zu übertragen. Aber dieses Verfahren ist nicht praktikabel. „Es gehören immer zwei dazu", sagt Peterson. Er merkt an, dass derzeit weniger als eine Promille der E-Mail-Nachrichten über sichere Kanäle versandt werden. Peterson sagt, dass hauptsächlich Regierungs-Behörden und Gesundheits-Unternehmen Mails sicher von Endpunkt zu Endpunkt übertragen. Diese sind gesetzlich dazu verpflichtet sind.

Sie können jedoch auch mit Hardware gegen Spam oder Phishing vorgehen. David Cahill, ein Sicherheit-Experte bei ESB, sagt, dass sein Unternehmen die E-Mail-Sicherheit für mehr als 1100 Angestellte zentral verwalten musste. Hierfür haben sie ein Gerät herausgesucht, bei dem die Migration in die E-Mail-Infrastruktur einfach ausfiel.

Egel, welche Technik verwendet wird, um gegen Spam und Phishing vorzugehen, es ist immer noch nahezu unmöglich alle Spam-Nachrichten zu blockieren, sodass immer ein paar im Posteingang des Nutzers landen. Phishing-E-Mails sind heutzutage so ausgefeilt, dass diese sogar Schadprogramme verteilen können, indem Sie einfach geöffnet werden. Der Empfänger muss also nicht einmal auf irgendetwas innerhalb der E-Mail klicken.

Aktionsplan:

  1. Reduzieren Sie die Spam- oder Phishing-Nachrichten, indem Sie zu Techniken verwenden, die zu Ihrem Unternehmen passen.

  2. Stellen Sie sicher, dass Ihre E-Mail-Richtlinien genau erklären, was die Angestellten im Fall von verdächtigen E-Mails tun sollten.

So gelingt effektiveres E-Mail-Management -
Digital-Experte
Diese Tipps stammen von Thorsten Jekel. Der IT-Unternehmer ist Autor des Buches "Digital Working für Manager".
Änderungen kommunizieren
Idealerweise bespricht man seine neue E-Mailstrategie mit den wichtigsten Kommunikationspartnern. So sind sie über neue Verhaltensweisen informiert.
Zeitfresser identifizieren
Wer deutlich mehr als eine Stunde pro Tag für seine E-Mails benötigt, sollten seinen E-Mail-Eingang genau ansehen und Zeitfresser identifizieren. Dazu gehören zum Beispiel Newsletter oder CC-Mails, die den Posteingang verstopfen.
Zeitfenster nutzen
Wer am Flughafen oder Bahnhof wartet, kann diese Zeit gut für das Bearbeiten von Mails nutzen. Doch auch hier sollte man die Mails in Blöcken bearbeiten.
Zweiter Grundsatz
E-Mails sollte man nicht zwischendurch sondern immer im Block bearbeiten. Das spart Zeit und vermeidet den Ping-Pong-Effekt.
Erster Grundsatz
Man sollte den Arbeitstag nie mit E-Mails beginnen. Damit verschwendet man die produktivste Zeit des Tages mit dem Löschen und Beantworten von unwichtigen Nachrichten.

Seien Sie vorsichtig, wenn Sie Ihre E-Mails in der Cloud speichern

Viele Cloud-Anbieter helfen Unternehmen dabei den Ressourcen-intensiven Job der E-Mail-Verwaltung zu übernehmen. Aber die Unternehmen müssen die vollen Auswirkungen kennen.

Technisch gesehen sind die Schritte sehr einfach. Es dauert nicht lang, um die MX-Aufnahmen umzuleiten. Aber wenn Sie zu voreilig sind, kann die Expansion in die Cloud negative Folgen haben. Es gibt noch andere wichtige Dinge, die die E-Mail-Manager beachten müssen, bevor Sie so eine wichtige Unternehmensfunktion wie den Mailverkehr an Drittanbieter übertragen.

Aktionsplan:

  1. Sie müssen das SLA (Service-Level-Agreement) verstehen und sicherstellen, dass Ihr Unternehmen und der Cloud-Anbieter einen Plan B für den Fall eines Ausfalls haben.

  2. Stellen Sie sicher, dass der Provider verlässliche Sicherungen erstellt und dass Sie einen angemessenen Zugriff beziehungsweise eine angemessene Kontrolle über Ihre Daten haben. Achten Sie darauf, dass die Anforderungen Ihres Unternehmens eingehalten werden.

  3. Stellen Sie sicher, dass der Anbieter angemessene Sicherheitsfunktionen aktiviert hat, um einen Datenverlust zu vermeiden.

  4. Nehmen Sie den Anbieter genau unter die Lupe, sodass Sie anschließend Ihr volles Vertrauen in ihn stecken können.

  5. Holen Sie sich rechtliche Hilfe, um zu analysieren, welche Auswirkungen ein Informations-Leck hätte, wenn die E-Mails einem anderen Unternehmen anvertraut werden.

Schützen Sie die Server vor Ausfällen

Die meisten Mailserver-Administratoren kennen die Hauptanforderungen für einen fehlertoleranten E-Mail-Server und wissen, dass man einen oder mehrere Backup-Server benötigt. Ein Ausfallsicherungsserver mit sekundären DNS MX-Aufzeichnungen ist so aufgebaut, dass dieser den E-Mail-Verkehr abhandelt, falls der primäre Server ausfällt. Der Ausfallsicherungs-Server arbeitet so lange, bis der primäre wieder online ist. Leider sind die Sicherungs-Server in einigen Unternehmen nicht genauso gut wie der primäre Server, insbesondere in Bezug auf Sicherheits-Funktionen und die Gewährleistung der Richtlinien-Einhaltung.

Wenn Sie bedenken, wie viele Schritte erforderlich sind, um einen sicheren E-Mail-Server mit hoher Verfügbarkeit zu konfigurieren und in Stand zu halten, dann verstehen Sie, warum die selten verwendeten Sicherungs-Server nicht so gut ausgerüstet sind und nicht die gleiche Aufmerksamkeit erhalten. Aber auch Hacker und Spammer kennen diese Schwachstelle und sie können den Haupt-E-Mail-Server umgehen, um die Schwächen des einfacher gesicherten Backup-Servers auszunutzen. Diese Angriffe können sogar unentdeckt bleiben, wenn der Backup-E-Mail-Server nicht aktiv überwacht wird.

Aktionsplan:

  1. Stellen Sie sicher, dass Ihre sekundären E-Mail-Server alle sicher und auf dem aktuellsten Stand sind. Behandeln Sie diese Server genauso wie die hauptsächlichen Produktions-Server.

  2. Installieren Sie Überwachungssoftware, die automatisch erkennt, wenn der Ausfallsicherungs-Server angegriffen wird und die aufzeichnet, wenn der Server ohne manuelle Intervention online gebracht wird.

Beachten Sie: Es wird immer beliebter auf die schwachen „aktiven" Ausfallsicherungs-Server zu verzichten. Stattdessen wird ein offline befindlicher Mail-Server genutzt, der beim Ausfall des primären Servers schnell online gestellt werden kann. Dieses Verfahren reduziert die Angriffsfläche, aber Sie müssen schnell reagieren, wenn der Haupt-E-Mail-Host ausfällt.

Planen Sie die IPv6-Umstellung

Selbst wenn Ihr Unternehmen die Migration zu IPv6 für Web-Dienste und E-Mails nicht beachtet, findet die Umstellung zu Gunsten von IPv6 überall statt, beispielsweise bei den Providern und Hostern. Und irgendwann in näherer Zukunft wird auch Ihr Internetdienstanbieter IPv6 unterstützen. Das bedeutet, dass Ihre auf IPv4 beschränkte Infrastruktur nicht mehr zeitgemäß wäre. Es böte Spammern und Hackern den perfekten Weg, um in das Zentrum Ihrer E-Mail-Server und sogar dahinter einzudringen.

Aktionsplan:

  1. Entwickeln Sie einen allgemeinen Plan für IPv6 und einen konkreten Plan für die Auswirkungen der Umstellung auf IPv6 für die E-Mails.

  2. Aktualisieren Sie alte Router, die nur IPv4 unterstützen und Switches, die keine genaue Untersuchung des IPv6-Datenverkehrs vornehmen können.

  3. Beachten Sie, dass das Reverse Lookup auf Grund der immensen Anzahl von IPv6-Adressen überflüssig werden kann. Sie müssen zukünftig den Spam über Black-Listen und Reputations-Services bekämpfen. (hal)