Massen-Mails mit Viren-Anhang...

Lesenswerte Artikel, Anleitungen und Diskussionen
Anonymous

Massen-Mails mit Viren-Anhang...

Post by Anonymous » 2004-01-16 19:52

Hi und Hallo,

sicher ist das Problem hier schon mal aufgetaucht, doch ich wollte mal nachfragen, was man gegen diese sch... Massen-Mails mit Viren-Anhängen machen kann, die derzeit ihr Unwesen treiben.

Alleine Heute habe ich 85 von diesen Mails bekommen.

Absender ist meistens der Server selber im Format web23@p...pureserver.info.
Manchmal geht die Mail aber auch direkt an den Alias astrid@domain.de.

Ich frage mich, wie die rausbekommen, welche Postfächer eingerichtet sind.

Nun bin ich in diesen Dingen noch totaler Anfänger. Kann man da was machen? Jemand eine Idee oder selber betroffen?

Vielen Dank für eure Hilfe!


Beste Grüße
Astrid

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-17 14:22

Ich frage mich, wie die rausbekommen, welche Postfächer eingerichtet sind.
Wenn man sich die entsprechenden Infoseiten der AntiViren-Hersteller zu den jeweiligen Mass-Mailing-Würmern anschaut, kann man das sehr leicht selbst herausbekommen, woher sie ihre Adressen bekommen: Meist aus Newsgruppen und sämtlichen lokalen Dateien, die Mailadressen enthalten könnten, u.a. Browsercaches und Outlook/Outlook Express Dateien/Adressbücher/Mailboxen.
Kann man da was machen? Jemand eine Idee oder selber betroffen?
Betroffen sind wohl fast alle Menschen, die E-Mail benutzen. Manche mehr, manche weniger - je nachdem, wie öffentlich die Mail-Adresse ist.

Ich handhabe das so, dass ich Mails mit Attachments mit "verdächtigen" Dateiendungen wie u.a. exe,com,pif,bat,scr usw. gleich von meinem MTA nach dem DATA im SMTP-Dialog abweisen (rejecten) lasse (Exim/exiscan-acl) und das, was dann noch durchkommen sollte lass ich von ClamAV (GPL AntiViren-Scanner) durchscannen und im Falle eines Virus/Wurms ebenso nach dem DATA im SMTP-Dialog per exiscan-acl abweisen.

So bleibt meine Inbox wunderprächtig sauber. Das einzige Problem sind jetzt noch diverse Bounce-Nachrichten, bei denen die Würmer meine Adresse als Absender missbrauchen oder bei denen bescheuert konfigurierte VirenScanner in fremden Mailservern meinen mir mitteilen zu müssen, wenn sie einen Virus gefunden haben. Das hält sich aber in erträglichen Grenzen und kann per Bayes-Training ebenso automatisch erkannt und in den Spam-Ordner verschoben werden.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Massen-Mails mit Viren-Anhang...

Post by alexander newald » 2004-01-17 18:18

Wobei ich das nicht wirklich für eine gute Idee halte, denn du produzierst damit unnötig Traffic bei dir und bei anderen:

Die Mail wird von deinem Server vollständig empfangen, bevor dein Mailserver die Mail abweisst und zurückschickt -> Traffic doppel bei dir

Der Mailserver des Empfängers der angeblichen Absenderadresse erhält die Mail, die für Ihn mindestens genauso Spam ist, wie für dich, nur mit dem Unterschied, das als letzter Mailserver deiner im Header steht. -> Traffic für den evtl. Empfanger + Dein Mailserver im Header

Die Bounce Mails bei einem evtl. nicht vorhandenen Absender erzeugen nochmal Traffic bei dir und bei dem Mailserver des angeblichen Absenders.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-17 20:26

Die Mail wird von deinem Server vollständig empfangen, bevor dein Mailserver die Mail abweisst und zurückschickt -> Traffic doppel bei dir
Du hast da wohl was falsch verstanden.

Der Traffic entsteht nur einmal bei mir, da nichts außer einem

550 Rejected: <weitere Ausführungen>

an den Sender übertragen wird. Das ist das Beste, was mit dem derzeitigen Protokoll möglich ist, denn man kann nunmal erst dann eine Mail auf Viren/Würmer scannen, wenn man sie vollständig erhalten hat. Wenn ich aber anstatt einem 250 Ok, Mail accepted einen 550 Rejected, warumauchimmer sende, dann hat man IMHO das bestmögliche getan. Man generiert damit keine zustätzlichen Mails/Bounces und meistens werden auch keine gefälschen Absender belästigt, da heutzutage der größte Spam/Wurmanteil von Dialups per eigener SMTP-Engine oder von offenen Proxies kommt. Diese haben keine Queue-ing-Mechanismen wie ein richtiger MTA (da es für die Spammer wesentlich einfacher und günstiger ist, einfach einen neuen kompletten Spamrun zu starten als nicht zugestellte Mails nochmals zu versuchen) und somit verschwinden die von meinem Server abgewiesenen Mails quasi im "nichts". Kommt doch mal ein rechtmäßiger MTA und will etwas nichterlauberweise hier einliefern, dann wird dieser andere MTA einen Bounce generieren. Das ist dann allerdings nicht mein Problem, sondern das Problem eben jenes MTAs, der ja diese Spam-/Wurmmail zuerst angenommen hat (was er ja hätte vermeiden können (z.B. mit meiner Methode)).

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Massen-Mails mit Viren-Anhang...

Post by alexander newald » 2004-01-17 20:49

Wenn du die Mail vor dem Empfangen mit einem Reject zurückweist, dann erhält der Absender keine E-Mail bzw. eine Statusmail seines eigenen MTA. Wenn du die Mail nach dem Empfang abweisst, dann sollte der Empfänger auch eine Nachricht von deinem Server darüber bekommen.

Da man eine Mail nur auf einen Angang prüfen kann, wenn die Mail empfangen worden ist, sollte der Absender eine Mail über die nicht Zustellung erhalten.

Ansonsten habe ich das Ganze falsch verstanden... ;-)

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-17 21:30

Ansonsten habe ich das Ganze falsch verstanden...
Ja, hast du. *gg*

Lies mal:
http://duncanthrax.net/exiscan-acl/
http://marc.merlins.org/linux/exim/sa.html

Der 2. Link hat ne Beispiel-Session.

In Kurz: Mit einem guten(tm) MTA kann man noch während des SMTP-Dialogs nach erhalt der vollständigen Mail diese mit diversen Tools nach Wahl filtern lassen und dann (immer noch innerhalb des SMTP-Dialogs!) entscheiden, ob man die Mail annimmt oder nicht. Das ist derzeit das Beste, was man gegen die Spam- und Wurmflut machen kann.

Es gibt da so ein paar Nachteile, z.B. dass eine Mail mehrere RCPT TO haben kann und es so schwer wird, userspezifische Einstellungen bei diesen Dingen vorzunehmen. Ich bin allerdings gerade dabei, mir hier etwas geiles zu bauen, was trotzdem userspezifische Einstellungen erlaubt. Bis das fertig ist, wird es aber noch ein Weilchen dauern...

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Massen-Mails mit Viren-Anhang...

Post by alexander newald » 2004-01-18 06:58

Ok, hat dann aber nichts mehr mit Mail Standards zu tun, und die Mail ist zumindest trotzdem auf deinem Server angekommen. Sollte der Spammer die Mail nicht direkt einliefern, sehe ich aber immer noch das Problem, dass zumindest die Reject Meldung bei einem gefälschtem Absender ankommt.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-18 09:42

Ok, hat dann aber nichts mehr mit Mail Standards zu tun
Warum?

Dass man 5er Fehler nach dem DATA geben kann ist explizit vorgesehen. Es heißt zwar (aus dem Kopf...) man "sollte" es möglichst vermeiden oder so, aber es ist definitiv nicht verboten und jeder sendende MTA muss damit zurechtkommen.

Die Spam-/Wurmproblematik (die ja immer mehr zunimmt) erfordert nunmal Gegenmaßnahmen. Bei allen Maßnahmen muss man dann sehr sorgfältig Kosten/Nutzen überprüfen und schauen, dass man den normalen Mailverkehr nicht kaputt macht oder unnötig belästigt.

Die exiscan-acl Lösung ist IMHO ein sehr gutes Beispiel dafür, wie man möglichst wenig Leute belastet und sich auch vollkommen innerhalb der RFCs bewegt.
und die Mail ist zumindest trotzdem auf deinem Server angekommen.
Das lässt sich nunmal nicht vermeiden, will man anhand des Inhalts (Contents) filtern.
Sollte der Spammer die Mail nicht direkt einliefern, sehe ich aber immer noch das Problem, dass zumindest die Reject Meldung bei einem gefälschtem Absender ankommt.
Wie gesagt, MEIN Server generiert damit keine Bounces mehr, also bin auch nicht ICH dafür verantwortlich. Es ist immer noch die derzeit beste Möglichkeit, mit dem Problem umzugehen...

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Massen-Mails mit Viren-Anhang...

Post by floschi » 2004-01-18 11:17

Ich les immer nur von den tollen Configs, die man mittlerweile hat - aber sie wirklich posten bzw. erklären, das macht keiner. Schade eigentlich, evtl. könnten ja mehrere davon profitieren (und ich meine nicht mich, da ich qmail hab).

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Massen-Mails mit Viren-Anhang...

Post by nyxus » 2004-01-18 11:28

dodolin wrote:In Kurz: Mit einem guten(tm) MTA kann man noch während des SMTP-Dialogs nach erhalt der vollständigen Mail diese mit diversen Tools nach Wahl filtern lassen ...
Weiß hier jemand, ob Postfix auch ein guter(tm) MTA ist? Denn die Methode klingt ja wirklich viel besser als das was ich zur Zeit mache (annehmen, scannen und ab in die Tonne).
Last edited by nyxus on 2004-01-18 13:53, edited 1 time in total.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-18 11:44

Ich les immer nur von den tollen Configs, die man mittlerweile hat - aber sie wirklich posten bzw. erklären, das macht keiner. Schade eigentlich, evtl. könnten ja mehrere davon profitieren (und ich meine nicht mich, da ich qmail hab).
Ich habe keine Probleme damit und kann gerne meine ganzen Konfigverzeichnisse 1:1 online stellen. Ich fürchte aber, dass damit eben kaum jemand etwas damit anfangen kann, da mein Setup einfach viel zu speziell ist. Ebenso bin ich momentan der einzige User auf meinem System, sodass ich keinerlei Rücksicht auf andere Leute nehmen muss.

Mittelfristig plane ich aber, dass ich mein Setup so umstricke, dass es auch für mehrere User mit unterschiedlichen Anforderungen nutzbar ist. Und am liebsten würde ich auch vexim in dieser Hinsicht erweitern, sodass man das ganze über eine Weboberfläche verwalten kann.

Wenn mein Setup mal soweit gediehen ist, dann werde ich es auch sicher z.B. beim Debianhowto publizieren und erklären. Momentan fehlt mir aber die Zeit, um große Anleitungen zu schreiben. Ich bin schon froh, wenn mir die Zeit reicht, um mein System ab und an mal ein wenig zu modifizieren.

Gib mir noch bis heute Mittag oder so, dann poste ich hier nen Link (falls es jemand 1:1 ohne große Kommentare bzw. mit veralteten Kommentaren teilweise haben will).

Edit: Also um das nochmal klarzustellen: Ich hatte bisher noch keine größeren Abschnitte aus meiner exim.conf gepostet, weil ich der Meinung bin, dass man diese üblen Hacks so nicht auf "die Leute" loslassen kann. Ich habe schließlich auch nen gewissen Anspruch an mich selbst. :) Aber wenn das jemand brauchen kann, kann ich das gerne ohne jegliche Gewähr (!) (gilt zwar sowieso immer, aber dann in diesem Fall ganz besonders) zur Verfügung stellen.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-18 12:03

Weiß hier gemand, ob Postfix auch ein guter(tm) MTA ist?
Disclaimer: Ich habe ziemlich Null Ahnung von Postfix. ;)

Mit den body_checks, mime_header_checks und Co. kann man auch nach diversen Kriterien Mails anhand des Inhalts bereits im SMTP-Dialog ablehnen. Beispiele z.B. siehe http://www.stahl.bau.tu-bs.de/~hildeb/p ... bigf.shtml . Im MTA-Forum hatte auch mal jemand (ich glaube "suppenuser") ausführliche Beispiele für diese Features gepostet. Man sollte solche Dinge aber niemals (!) einfach abtippen, sondern genau wissen, was man da tut. Ein MTA ist ne mächtige Waffe. :)

Ob es bei Postfix aber auch die Möglichkeit gibt, verschiedenste AV-Scanner (like exiscan-acl) oder Spamassassin (like sa-exim und exiscan-acl) @SMTP-Time einzubauen, weiß ich nicht. Vermutlich nicht, aber wie gesagt, ich kenne Postfix nicht so gut...

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Massen-Mails mit Viren-Anhang...

Post by nyxus » 2004-01-18 13:58

dodolin wrote:Mit den body_checks, mime_header_checks und Co. kann man auch nach diversen Kriterien Mails anhand des Inhalts bereits im SMTP-Dialog ablehnen.
das habe ich auch für ein paar Sachen drin, die sich gut erkennen lassen. Aber für jeden neuen Müll (Viren in Anhängen) habe ich keine Lust meine Konfig anzupassen wenn der Virenscanner es eh erkennt.
Ob es bei Postfix aber auch die Möglichkeit gibt, verschiedenste AV-Scanner (like exiscan-acl) oder Spamassassin (like sa-exim und exiscan-acl) @SMTP-Time einzubauen, weiß ich nicht. Vermutlich nicht, aber wie gesagt, ich kenne Postfix nicht so gut...
Und das wäre halt eleganter. Vielleicht sollte ich mir doch mal Exim anschauen. Irgendwie klingt das alles recht gut was man hier davon liest ...

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-18 15:22

Also, wie versprochen: http://users.dodolin.de/~dominik/conf/exim/

Wie gesagt, ich finde das teilweise wirklich eklig (mit Black-/Whitelistfiles auf der Platte pro User) und würde das keinem so empfehlen. Wenn ich irgendwann zuviel Zeit habe, werde ich das alles mit ner MySQL-DB machen... Aber solange ich es alleine nutze, war das eben der geringste Aufwand, um was halbwegs funktionierendes auf die Beine zu stellen.

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Massen-Mails mit Viren-Anhang...

Post by kenzo » 2004-01-18 18:23

olfi wrote:(...)
Schade eigentlich, evtl. könnten ja mehrere davon profitieren (und ich meine nicht mich, da ich qmail hab).
Wie meinst Du das?

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Massen-Mails mit Viren-Anhang...

Post by floschi » 2004-01-18 19:33

kenzo wrote:
olfi wrote:(...)
Schade eigentlich, evtl. könnten ja mehrere davon profitieren (und ich meine nicht mich, da ich qmail hab).
Wie meinst Du das?
So wie ich es geschrieben habe - imho gibt es genügen Leute, die es interessieren. Sofern dodolin qmailer wäre, würde es mich interessieren - da er eximler ist, interessiert es mich (noch) nicht ;)

kajo0011
Userprojekt
Userprojekt
Posts: 382
Joined: 2003-04-15 12:49

Re: Massen-Mails mit Viren-Anhang...

Post by kajo0011 » 2004-01-18 21:15

Das ganz emag ja für einen einzelnen User realisierbar sein, aber für eine Produktiv-Server ist das leider aus rechtlicher Sicht etwas komplizierter:

Siehe auch: Strafbares Filtern

Greetings
Jochen

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Massen-Mails mit Viren-Anhang...

Post by oxygen » 2004-01-18 21:26

Maildir + IMAP benutzten und die Spammails in einen anderen Ordner aussortieren, wie z.B. GMX es macht.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-19 00:21

Das ganz emag ja für einen einzelnen User realisierbar sein, aber für eine Produktiv-Server ist das leider aus rechtlicher Sicht etwas komplizierter
Da in meinem Setup keinerlei Mails einfach "spurlos" verschwinden, sondern alles korrekt per 5xx Fehler abgewiesen wird, gibt es auch bei mehreren Usern keinerlei rechtliche Probleme.

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Massen-Mails mit Viren-Anhang...

Post by flo » 2004-01-19 00:46

dodolin wrote: Da in meinem Setup keinerlei Mails einfach "spurlos" verschwinden, sondern alles korrekt per 5xx Fehler abgewiesen wird, gibt es auch bei mehreren Usern keinerlei rechtliche Probleme.
Was ich nicht verstehe - ist es jetzt rechtswidrig, das Zeug zulöschen, ohne daß Sender und Empfänger das wissen oder ist es rechtswidrig, daß der Benutzer eine an ihn adressierte Mail nciht bekommt?

Die "rejected"-Variante über Header-Check kommt mir auch sauberer vor, ich hatte neulich ein ähnliches Problem bezüglich Postfix und Virtual bei einer besonders Spam belasteten Domain.

flo.

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Massen-Mails mit Viren-Anhang...

Post by floschi » 2004-01-19 07:58

Es ist rechtswidrig:

a) E-Mails einfach komplett zu löschen, ohne dass Sender oder Empfänger benachrichtig werden
b) Anhänge zu blocken bzw. zu löschen, ohne dass Sender oder Empfänger benachrichtigt werden

Was dodolin macht und was oxygen vorschlägt ist _nicht_ rechtswidrig, sofern ich da nix übersehen habe.

Privat mag das einfach nur nett sein, aber gerade in Behörden, die derzeit immer massiver Spam- und Virusfilter einsetzen, ist das ein verdammt heisses Thema.

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Massen-Mails mit Viren-Anhang...

Post by flo » 2004-01-19 12:05

Danke, Olfi, genauso hatte ich mir das auch gedacht.
olfi wrote: Privat mag das einfach nur nett sein, aber gerade in Behörden, die derzeit immer massiver Spam- und Virusfilter einsetzen, ist das ein verdammt heisses Thema.
Was mich an den Virenscannern nur so bervt, ist daß manche konfigurierbar sind, dem Absender zu antworten, diese Mails bouncen dann meistens auch noch.

Welche Ansätze gibt es denn noch, die Viren/Spams _vor_ der Einlieferung beim Mailserver abzuweisen - ist Euch da was bekannt? Die Virenscanner, die ich kenne, arbeiten alle vor der Zustellung ans Postfach.

flo.

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Massen-Mails mit Viren-Anhang...

Post by kenzo » 2004-01-19 13:25

Welche Ansätze gibt es denn noch, die Viren/Spams _vor_ der Einlieferung beim Mailserver abzuweisen - ist Euch da was bekannt?
Ja, für qmail z.B. http://qmail.mirrors.space.net/qmail-sm ... -1.2.patch
Blockt zwar erstmal alle .exe-Dateien, aber: so what? User sollten sowieso keine .exe verschicken, und wenn, dann gezippt. User erziehen, alles gut.
Das einzige, was man rausnehmen muss, ist

Code: Select all

# .ZIPfile signature seen in SoBig.E:
UEsDBBQAA
denn dies ist unspezifisch (blockt alle .zips)

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Massen-Mails mit Viren-Anhang...

Post by alexander newald » 2004-01-19 16:04

Keine Rechtsberatung:

So habe ich die rechtliche Seite ganz persönlich verstanden:

E-Mails werden wie Briefpost behandelt, es ist also nicht rechtens E-Mails auf einem Multiuser System ohne Zustimmung des jeweiligen Nutzers einfach auf Grund bestimmter Kriterien abzuweisen, noch die Mails zu untersuchen um die Mails nach bestimmten Kriterien zu behandeln. Stimmt der einzelne Nutzer dem expliziet zu - er aktiviert z.B. die Funktion selbst - ist es wieder zulässig, solange der Nutzer alle E-Mails erhält, die für ihn vorgesehen waren. Zwar ist eine Spam/Virus Mail aus der Sicht des Nutzers nicht wirklich für den Nutzer sinnvoll (und evtl. sogar schädlich), aber mit dem Versuch die Mail zuzustellen, ist die Mail für den Nutzer vorgesehen.

Das Abweisen aller E-Mails mit einem Anhang .exe hat auch die Gefahr, dass gewollte Mails abgewiesen werden (Entwickler schicken sich neueste Version eines Programms etc)

Ich sehe immer noch nicht den Vorteil: Die Mail wird empfangen, der Traffic entsteht. Die Mail kann dem Benutzer auf Wunsch in einen Ordner seines Accounts einsortiert werden. Es entstehen keine Bounces und man hat einen Ansatzpunkt für Streitereien (Oder zumindest von Supportanfragen "Wo ist meine Mail") auf einem Multiusersystem weniger.

Auf einem Server, den man alleine nutzt, sieht das dagegen ganz anders aus. Wenn man keine .exe will (Weil z.B. nur Linux zum Einsatz kommt) kann man diese Mails getrost ungesehen in die Tonne werfen.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Massen-Mails mit Viren-Anhang...

Post by dodolin » 2004-01-19 17:04

Ich bin zwar auch kein Rechtfachmann, aber hier melde ich Widersprüche an:
E-Mails werden wie Briefpost behandelt, es ist also nicht rechtens E-Mails auf einem Multiuser System ohne Zustimmung des jeweiligen Nutzers einfach auf Grund bestimmter Kriterien abzuweisen, noch die Mails zu untersuchen um die Mails nach bestimmten Kriterien zu behandeln. Stimmt der einzelne Nutzer dem expliziet zu - er aktiviert z.B. die Funktion selbst - ist es wieder zulässig, solange der Nutzer alle E-Mails erhält, die für ihn vorgesehen waren.
"Solange der Nutzer alle E-Mails erhält" gilt sicher nicht. An meiner Uni kann man explizit einstellen, dass Mails ab einem bestimmten Spam-Score gelöscht werden sollen. Ergo: Wenn der User das wünscht und aktiviert, kann auch gelöscht werden.

2. Beispiel: Freemaildienste ala GMX oder Web.de:
Dort werden auch diverse DNSBLs eingesetzt und ebenso diverse Mails in Spamordner verschoben, die dann nach einer relativ kurzen Zeit automatisch geleert werden. Man beachte, dass die User diese Filter NICHT explizit angeschaltet haben, sondern lediglich eine Info-Mail bekommen haben, die sie über die ab Datum X aktivierten Filter/Ã?nderungen informiert und dass man sie gegebenenfalls ABSCHALTEN muss, wenn man das wünscht.

Ich denke mal, dass in beiden Beispielen davon ausgegangen werden kann, dass solche Institutionen/Firmen die rechtlichen Aspekte vorher von Fachleuten abklären lassen.
Das Abweisen aller E-Mails mit einem Anhang .exe hat auch die Gefahr, dass gewollte Mails abgewiesen werden (Entwickler schicken sich neueste Version eines Programms etc)
Dann sollen sie es halt zippen, wo ist das Problem?
Ich sehe immer noch nicht den Vorteil: Die Mail wird empfangen, der Traffic entsteht. Die Mail kann dem Benutzer auf Wunsch in einen Ordner seines Accounts einsortiert werden.
Du hast es wohl noch nicht selbst erlebt, wie es ist, wenn du pro Tag mehrere Hundert oder Tausend Virenmails bekommst, die jeweils einige Hundert KByte groß sind. Wenn man dann noch ein Quotalimit hat, ist Ende-Gelände - auch für dann eintreffende erwünschte Mails. Wenn man das ganze dann noch über eine Dialup-Verbindung runterladen muss, wird es nochmal schöner. Ich erinnere mich lebhaft an die Diskussionen in danam und Co. zur Zeit, als Sobig gerade aktuell war...
Auf einem Server, den man alleine nutzt, sieht das dagegen ganz anders aus. Wenn man keine .exe will (Weil z.B. nur Linux zum Einsatz kommt) kann man diese Mails getrost ungesehen in die Tonne werfen.
Nochmal: Es wird nichts ungesehen in die Tonne geworfen, es wird ordnungsgemäß rejected. Es darf nur dann in die Tonne getreten werden, ohne das dem Absender mitzuteilen, wenn der Empfänger das explizit wünscht. Denn dann kommt das quasi auf das gleiche raus, als würde der Empfänger halt ein Script laufen lassen, das seine Mailordner aufräumt und dabei diverse Mails nach bestimmten Kriterien löscht.