Emails serverseitig auf Viren/Trojaner überprüfen

Emails serverseitig auf Viren/Trojaner überprüfen

Die Möglichkeit, dass Emails schon auf dem Emailserver auf Viren gescannt
werden, wünscht sich so mancher Netzwerksadministrator, egal, ob er nur ein
kleines Heimnetzwerk betreut, oder aber den Emailverkehr eines grossen
Unternehmens überwacht. Denn der Administrator weiss nur zu gut: Heutzutage
werden Viren, Wurmer und andere destruktive Programme zum allergrößten Teil
über Emails verbreitet, der Emailverkehr in ein Netzwerk herein ist also
einer der wichtigsten neuralgischen Punkte, die es zu überwachen gilt, um
ein Netzwerk vor ungewollten Eindringlingen zu schützen. Sicherzustellen
gilt auch, dass ein Netzwerksteilnehmer, der sich einen Virus, Trojaner oder
Wurm „eingefangen hat“,genauer gesagt sein anfälliges Emailprogramm, diesen
nicht intern andere Netzwerksteilnehmer unbemerkt weiterverbreitet, oder an
externe Emailempfänger versendet.
So kann z.B. ein Mitarbeiter eines Unternehmens, auf dessen Rechner der
lokale Virensanner nicht auf dem aktuellen Stand ist, und der beispielsweise
eine veraltete Microsoft Outlook Version benutzt, unbeabsichtigt nicht nur
seine Kollegen mit verseuchten Emails bombardieren, sondern auch mal eben
schnell den gesammten Kundenstamm, der in seinem Adressbuch zu
Referenzzwecken vermerkt ist, mit verseuchten Emails vergraulen. Dass ist
der Alptraum jedes Administrators. Denn mal ganz ehrlich: Die meisten Würmer
sind zwar relativ harmlos, weil sie sie oft nur Verbreitungsroutinen und
keine Schadroutinen haben, denoch geht für ein Unternehmen der Imageschaden
oft ins unermessliche, wenn aus dem Firmennetzwerk heraus solche Würmer an
Kunden versendet wurden.
Tatsache ist also, dass ein Administrator eine Menge „Erziehungsarbeit“ bei
den Netzwerksnutzern leisten muss, will er ohne serverseitige
Virenüberprüfung auskommen: Er muss seine Nutzer ständig ermahnen, die
jeweils aktuellsten Sicherheitsupdates ihres Emailprogrammes aufzuspielen,
oder ein sichereres (aber in der Regel unkomfortableres, und daher
verpöntes, Emailprogramm zu nutzen), die Virenscanner ständig upzudaten, und
am schlimmsten: er muss letztendlich jeden Netzwerksteilnehmer zum
erfahrenen Viren(er)kenner ausbilden.

Was steckt technisch hinter dem serverseitigem Virenscan?

Leider genügt es nicht, wie viele Leute annehmen, einfach einen
leistungsfähigen On-Access Virenscanner auf dem Emailserver meines
Netzwerkes zu installieren, denn Emails sind in der Regel kodiert (MIME,
Base64 etc. ) so dass in den Email enthaltene Attachments in der Email in
verschlüsselter Form vorliegen, und daher vom Virenscanner nicht so ohne
weiteres überprüft werden, selbst wenn bei Speichern der Email zur weiteren
Verteilung ein „On-Access-Scan“ des Virenscanners erfolgt. Faktisch muss der
Virenscanner in der Lage sein, die Email als solche zu erkennen, zu
decodieren, und dann alle Anhänge separat zu scannen.

Anwendungen, die die Technik unterstützen:

Es gibt proffessionelle Virenscanner-Lösungen speziell für Unternehmen die
das serverseitige Scannen von Emails übernehmen, diese sind aber oft sehr
mit sehr hohen Anschaffungskosten verbunden. Letztendlich ist die Technik,
greift man auf kommerzielle Produkte zurück, also nur für grössere
Unternehmen bezahlbar, für nicht so finanzkräftige Institutionen wie z.B.
Schulen, Vereine, private Netzwerke gilt: Aufgrund des hohen Preises müssen
sie auf Sicherheit verzichten.
Einzelne Emailkonten Providerseitig auf Viren zu prüfen lassen, wie es z.B. 1und1 anbietet, ist keine wirklichen Alternative:

  • Es ist ebenfalls kostenpflichtig
  • Alle Emails (auch interne Emails, z.B. an Kollegen) müssten über den Provider gehen, was den Internetzugang stark belastet.
  • man beauftragt ein Fremd-Unternehmen mit dem Virenschutz, verliert letztendlich die Kontrolle über den Vorgang, weil sich das Ganze in einem Bereich abspielt, auf den man keinen Einfluss nehmen kann.

Doch es gibt auch Lösungen für jedermann: Es gibt Server, wie den Janaserver
von Thomas Hauck (Freeware für Privat und nichtkommerzielle Einrichtungen
www. janaserver.de) die in ihrem Emailservermodul eine Funktion zum Aufruf
eines kommandozeilen-basierten Virenscanners (z.B. der kostenlose f-prot
oder Antivir von H+BDV) eingebaut haben, d.h. jede Email, die den Server
durchläuft, wird dekodiert und deren Anhänge an einen Virenscanner zum
Testen übergeben. Das Ergebnis des Virenscanners (Errorlevel) wird
ausgewertet, und bei einem Virenfund die verseuchte Mail dem Administrator
in gesicherter Form zugestellt.

Mit dem Zusatztool für den Janaserver „Checkexec“ von Andreas Hausladen (
www.janatools.de/djanatools.htm) wird der Virenscan von der Pflicht zur Kür:
Er und sein Team haben Untersuchungsmethoden entwickelt, wonach man selbst
Emails als gefährdend einstufen kann, deren enthaltener Virus/Trojaner so
neu ist, dass ihn die Virenscanner noch nicht kennen! Grundüberlegungen
dabei sind z.B. gewesen:

  1. Emailattachments müssen über Html-Tags im Body der Email gestartet
    werden, z.B. mit dem IFRAME-Tag, sollen Sie automatisiert ausgeführt werden.
    Das Entfernen/Auskommentieren dieses Tags verhindert das automatisierte
    Ausführen von Anhängen.

  2. Viele Viren/Würmer und Trojaner verwenden Doppelendungen, um z.B. hinter
    einer vermeindlichen Textdatei eine ausführbare Anwendung zu kaschieren,
    denn unter Windows werden bekannte Dateiendungen standartmässig
    ausgeblendet. Der User sieht also z.B eine readme.txt Datei, obwohl es sich
    in Wirklichkeit um eine readme.txt.exe, also um eine Anwendung handelt. Das
    standartmässige Einstufen solcher Doppelendungen als Virus filtert bereits
    über 90% aller aktuell im Umlauf befindlichen Würmer und Trojaner aus, ohne
    die Notwendigkeit eines Virenscans!

  3. Manche Dateiendungen haben in Emails einfach nichts zu suchen! Oder kann
    sich jemand der Leser erinnern, schon mal eine *.HTA Datei bekommen zu
    haben, ohne dass dahinter nicht ein böses Ansinnen steckte? Es würde mich
    wundern… Deshalb wurde ein Filter für hochgefährdende Dateitypen
    eingebaut, so kann der User z.B. Emails mit *.exe, *.com, *.vbs und weitere
    eigenen definierte Attachments ausfiltern lassen.

Insgesamt also ein ausgereiftes Scansystem, das man mit etwas
Grundlagenwissen selbst an seine eigenen Sicherheitsbedürfnisse anpassen
kann.

Raphael Georg Haugwitz, Dezember 2002

Die Möglichkeit, dass Emails schon auf dem Emailserver auf
Viren gescannt
werden, wünscht sich so mancher Netzwerksadministrator,

dumm nur, wenn er sich deshalb neuen Gefahre eines DoS-Angriffes auf den Mailserver aussetzt.

Tatsache ist also, dass ein Administrator eine Menge
„Erziehungsarbeit“ bei
den Netzwerksnutzern leisten muss, will er ohne serverseitige
Virenüberprüfung auskommen: Er muss seine Nutzer ständig
ermahnen, die
jeweils aktuellsten Sicherheitsupdates ihres Emailprogrammes
aufzuspielen,
oder ein sichereres (aber in der Regel unkomfortableres, und
daher
verpöntes, Emailprogramm zu nutzen), die Virenscanner ständig
upzudaten, und
am schlimmsten: er muss letztendlich jeden Netzwerksteilnehmer
zum
erfahrenen Viren(er)kenner ausbilden.

Modernes Märchen (der Virenscannerhersteller?): und mit Virenscanner kann auch ein noch so unsicheres Mailprogramm benutzt werden und die unerzogensten User der Welt können selbstredend keinen Schaden anrichten.

[BTW: wer verbreitet eigentlich immer das Gerücht, daß Outlook komfortabel oder sogar in iegendeinem Punkt empfehlenswert sei? Vermutlich Leute, die das Programm mit der T-Online-Mail-Software verglichen haben (und noch nie in die Nähe eines „richtigen“ E-Mail-Programmes gekommen sind.[

Faktisch muss der
Virenscanner in der Lage sein, die Email als solche zu
erkennen, zu
decodieren, und dann alle Anhänge separat zu scannen.

Moderne E-Mail-Scanner sollten auch die Möglichkeit haben, PGP-Verschlüsselte Schädlinge zu erkennen. Bei kleinen Mails und einem allenfalls mittelschnellen Quantenrechner ist das höchstens Sache von ein paar Monaten oder Jahren…

  • man beauftragt ein Fremd-Unternehmen mit dem Virenschutz,
    verliert letztendlich die Kontrolle über den Vorgang, weil
    sich das Ganze in einem Bereich abspielt, auf den man keinen
    Einfluss nehmen kann.

Letztlich ist das Verfahren aber konsequent: hat man die Kontrolle durch hartnäckiges Outlook-Nutzen ohnehin irgendwo an ein "Fremd-"Unternehmen abgegeben. Nein, wünschenswert ist das natürlich alles nicht…

  1. Manche Dateiendungen haben in Emails einfach nichts zu
    suchen!

Oder kann
sich jemand der Leser erinnern, schon mal eine *.HTA Datei
bekommen zu
haben, ohne dass dahinter nicht ein böses Ansinnen steckte?

Cool, wieder eine gewagte These. „Manche Typen haben in Flugzeugen einfach nichts zu suchen: Oder kann sich jemand erinnern, schoneinmal von einem arabisch aussehenden Typen ein deftiges Stück Schweineschnitzel hoch über den Wolken bekommen zu haben?“

Worin bestand noch gleich der Zusammenhang zwischen Dateiendung und Inhalt?

Insgesamt also ein ausgereiftes Scansystem, das man mit etwas
Grundlagenwissen selbst an seine eigenen
Sicherheitsbedürfnisse anpassen
kann.

Raphael Georg Haugwitz, Dezember 2002

Wo hast Du den Bericht eigentlich herge-Copy-'n-pasted? Die Formatierung ist etwas flatternd…

Sebastian

  1. Manche Dateiendungen haben in Emails einfach nichts zu
    suchen! Oder kann sich jemand der Leser erinnern, schon mal eine :*.HTA Datei bekommen zu haben, ohne dass dahinter nicht ein
    böses Ansinnen steckte?

Hä?

Es würde mich wundern… Deshalb wurde ein Filter für
hochgefährdende Dateitypen eingebaut, so kann der User z.B.
Emails mit *.exe, *.com, *.vbs und weitere eigenen definierte
Attachments ausfiltern lassen.

Was haben Dateinamen, die einen Punkt enthalten, mit dem Inhalt zu tun?

Insgesamt also ein ausgereiftes Scansystem, das man mit etwas
Grundlagenwissen selbst an seine eigenen Sicherheitsbedürfnisse
anpassen kann.

Das einzige, vernünftig anpassbare Virenscan-System für Mailserver, das ich kenne, ist Amavis. Aber solche Scanner sind ein zweischneidiges Pferd, und es wird mich nicht wundern, wenn im nächsten Jahr keine mehr eingesetzt werden, weil sie mit einfachen Tricks gegen die Wand gefahren werden können (DoS).

Stefan

dumm nur, wenn er sich deshalb neuen Gefahre eines
DoS-Angriffes auf den Mailserver aussetzt.

Tja, aber was soll ich machen? Im Netz sitzt immer irgendeiner (meistens im Marketing, warum eigentlich?), der wie wild auf alles klickt, was bunt ist - und da helfen keine Erklärungen und Ermahnungen.

Irgendetwas muss ich tun - vielleicht kann ja Se „ich empfehle dieses“ Sebastian mal eine schlaue Idee absondern?

Es gab ja schon einige Diskussionen hier über Virenscanner, meistens sprachen Wissende zu Unwissenden. Vielleicht könnte man mal eine Diskussion im Wissenden-Kreis führen.

Aber ich hab den DoS auf meinen Mail-Scanner schon hinter mir, weil es tatsächlich Leute im eigenen Laden gibt, die versuchen, anderer Leute Server mit dem guten 42.zip lahm zu legen, und dann natürlich meinen Mailserver erwischen. Wirklich wahr!

Wen muss man jetzt rausschmeißen, die Arschgeige von User oder den Admin, weil der Einsatz seiner Scansoftware ja letztendlich zum DoS geführt hat. Ich plädiere ja normalerweise für Letzteres, aber ich werde der Geschäftsleitung sicherlich nicht meine Entlassung vorschlagen :wink:

Stefan

Aber solche Scanner
sind ein zweischneidiges Pferd,

Wieher…

Pop

dumm nur, wenn er sich deshalb neuen Gefahre eines
DoS-Angriffes auf den Mailserver aussetzt.

Tja, aber was soll ich machen? Im Netz sitzt immer irgendeiner
(meistens im Marketing, warum eigentlich?), der wie wild auf
alles klickt, was bunt ist - und da helfen keine Erklärungen
und Ermahnungen.

Tja, ein bösartiger User wird immer Schaden anrichten können. Es ist andereseits aber nicht einsehbar, warum durch einen simplen Klick auf den Button eines Mailprogrammes Programme von irgendwoher augeführt werden.

Die Strategie sollte folgende sein: User schulen, was sie dürfen und was nicht. Außerdem sollte man „Automatismen“ wie das simple Ausföhren von Prorammen unterbinden. Ich habe hier immerhin ein Sammlung Mail-Programme und da passiert nichts problematisches, nur weil ich auf ein mitgeschickte Shell-Script oder ähnliches klicke.

Es gab ja schon einige Diskussionen hier über Virenscanner,
meistens sprachen Wissende zu Unwissenden. Vielleicht könnte
man mal eine Diskussion im Wissenden-Kreis führen.

Virenscanner sind prinzipiell bedingt zu spät. „Man sollte“ mehr an der Wurzel des Übels anpacken… User. Mailprogramme…

Aber ich hab den DoS auf meinen Mail-Scanner schon hinter mir,
weil es tatsächlich Leute im eigenen Laden gibt, die
versuchen, anderer Leute Server mit dem guten 42.zip lahm zu
legen, und dann natürlich meinen Mailserver erwischen.

Nett :wink:

Wirklich wahr!

Wen muss man jetzt rausschmeißen, die Arschgeige von User oder
den Admin, weil der Einsatz seiner Scansoftware ja
letztendlich zum DoS geführt hat. Ich plädiere ja
normalerweise für Letzteres,

Ich auch. Immerhin enthält die Datei ja kein Schadprogramm…

aber ich werde der
Geschäftsleitung sicherlich nicht meine Entlassung vorschlagen
:wink:

Schon klar. Du solltest die Chance nutzen, anhand diesen Beispiels die Geschäftsleitung davon zu überzeugen, daß der Einsatz von Virenscannern das Problem nicht löst und dafür neue einführt.

Sebastian

Schon klar. Du solltest die Chance nutzen, anhand diesen
Beispiels die Geschäftsleitung davon zu überzeugen, daß der
Einsatz von Virenscannern das Problem nicht löst und dafür
neue einführt.

Fast full ACK. Allerdings: Es ist _schon_ ein Spagat, denn letztlich hilft die beste Schulung nicht beim dummen/untauglichen/bösartigen Mitarbeiter, der trotz aller Warnung weiter sein Unwesen mit der Maus treibt.
Ein vernünftig konfigurierter Virenscanner kann ggf. seinen Beitrag zur Unternehmenssicherheit leisten, sofern auf den Desktops Windows sein muss und der User anzunehmender DAU ist.
Und der DoS per 42.zip muss auch nicht sein.

Die Frage: Virenscanner - ja oder nein - läßt sich wohl erst noch einer spezifischen Analyse der Gegebenheiten vor Ort und der Abwägung von Nutzen neuen Problemen klären. Find ich.

Gruß,
Jürgen

Fast full ACK. Allerdings: Es ist _schon_ ein Spagat,
denn letztlich hilft die beste Schulung nicht beim
dummen/untauglichen/bösartigen Mitarbeiter, der trotz aller
Warnung weiter sein Unwesen mit der Maus treibt.

Klar, bei Vorsatz wird knallhart abhemahnt. Auch mit der Löschtaste kann man viel Unsinn machen (oder mit der E-Mail-Adresse des Vorgesetzen). Aber wer Mutwillig Schrott macht, hat sich das Ausbluten redlich verdient…

Da hilft kein noch so raffinierter Virenscanner gegen.

Und der DoS per 42.zip muss auch nicht sein.

Äh? In wiefern? Wie willst Du analoge Probleme abfangen?

Sebastian

Und der DoS per 42.zip muss auch nicht sein.

Äh? In wiefern? Wie willst Du analoge Probleme abfangen?

Zumindest kann man das Lahmlegen des Mailservers an sich mit einer Beschränkung der Dateigröße abfangen: contents exceed 1073741824 bytes
Dass dies natürlich keine Lösung ist (Mail kommt durch) und der Virenscanner sich dadurch selbst ad absurdum führt, ist klar.
Aber es geht ja auch eher um die alltägliche Viren-/Würmer-/Trojanerschwemme, die vom allzu unbedarften User abgehalten werden soll.

Gruß,
Jürgen

Zumindest kann man das Lahmlegen des Mailservers an sich mit
einer Beschränkung der Dateigröße abfangen: contents exceed
1073741824 bytes

Nun, das ist bei 42.zip zuerst nicht zu sehen… und wenn man deren 42 schickt…

Aber es geht ja auch eher um die alltägliche
Viren-/Würmer-/Trojanerschwemme, die vom allzu unbedarften
User abgehalten werden soll.

Sicherheitskonzepte sollten auch immer das Szenario des gefrusteten Mitarbeiters beinhalten, der seiner Firma 'was auswischen will (und den ganzen Mailserver weg DoS-en wäre doch schon was, was im Allgemeinen deutlich über „ich lösche einfach alles, was ich erreichen kann“ hinausgeht…

Außerdem bietet ein Virenscanner einen proma DoS-Angriffspunkt für „jedermann“ von draußen…

Was spricht dagegen, die Leute Mailprogramme nutzen zu lassen, die nicht einfach jeden Dateimüll ausführen?

Gruß,

Sebastian

Was spricht dagegen, die Leute Mailprogramme nutzen zu lassen,
die nicht einfach jeden Dateimüll ausführen?

Nix. Ich sehe das auch so.
Trotzdem kann der Nutzer die 42.zip auch „von Hand“ ausführen. Dafür braucht er schließlich (meistens) keine Hilfe. Damit wäre schon mal ein Arbeitsplatz platt. Und das Verbieten des Ausführens von .zip-Dateien paßt in wenige Sicherheitskonzepte, ist schließlich ein nicht selten genutztes Format.
Wir drehen uns im Kreis: Vernünftige Software und ein Update auf Brain.pre2 sollten reichen.

Gruß,
Jürgen

Trotzdem kann der Nutzer die 42.zip auch „von Hand“ ausführen.
Dafür braucht er schließlich (meistens) keine Hilfe. Damit
wäre schon mal ein Arbeitsplatz platt.

Ja, aber um seine Arbeitsstation durch dummheit zu plätten, gibt es andere Mittel, da ist man mit Software machtlos (ich denke da so an Kaffee in die Tastatur). Wenn der User noch Diskquota hat, sollten wenigstens andere Leute ungestört an der Kiste weiterarbeiten können.

Einen Mailserver zu plätten (und das potenziell von außen) hat schon mehr Stil…

Und das Verbieten des
Ausführens von .zip-Dateien paßt in wenige
Sicherheitskonzepte, ist schließlich ein nicht selten
genutztes Format.

In der Tat.

Wir drehen uns im Kreis: Vernünftige Software und ein Update
auf Brain.pre2 sollten reichen.

Jupp. Die Schulung der Benutzer nicht zu vergessen. Wer mit Firmenbriefpapier Papierflieger baut und sie bei (un)passender Gelegenheit auf dem Holzkasten vor der feierlich schreitenden Menschenmenge landen läßt, dürfte in der Regel auch ein Tadelndes Wort vom Chef zu hören bekommen. So was macht man nicht, sowas muß nicht sein.

Sebastian

ACK, aber…

Wir drehen uns im Kreis: Vernünftige Software und ein Update
auf Brain.pre2 sollten reichen.

Das alte Spiel! Du weisst das, ich weiß das, Sebastian und Stefan wissen das auch. Aber der CIO weiß das nicht, und er will es auch nicht wissen. (Was sind das eigentlich für Leute, die CIOs werden?)
Der interessiert sich dafür, wieviel Geld schon jedes Jahr für den Support-Vertrag mit M$ ausgegeben wird, und der interessiert sich für Single Vendor-Strategien. Das alte Spiel. Neue Software? Die kostet doch Geld. Und es funktioniert doch alles.
Mitarbeiterschulungen? Wofür, es funktioniert doch alles! Die MItarbeiter sollen ihren Job machen, und keine IT-Profis werden. Wpfür haben wir denn unsere IT-Abteilung? Doch genau dafür, daß Anwender nicht denken müssen. Und auf _interne_ Vorschläge hört er sowieso nicht. Da hat bestenfalls ein externes Consulting-Unternehmen die Chance, Vorschläge anzubringen.

Gruß,

Doc.

Die Strategie sollte folgende sein: User schulen, was sie
dürfen und was nicht.

Darüber muss nicht diskutiert werden, ich finde, das gehört zum Job, und normalerweise finden die User das auch ganz klasse, wenn ihnen mal einer etwas zum Thema Security und Viren erzählt, weil sie das ja auch zuhause einsetzen können.

Das ist nicht das Thema. Das Thema ist doch vielmehr, dass ich ihnen nicht verbieten kann, Attachments zu öffnen, denn die Übermittlung von Informationen per Word-Dokument gehört zum täglichen Geschäft (unnötig, diesen Sachverhalt hier zu diskutieren).

Selbst wenn ich meinen Usern beibringen würde, alles als PDF (oder meinetwegen als plain HTML oder als Text) zu verschicken, bekämen sie ja immer noch die Dokumente von außen in jeden Format, das wir uns vorstellen können (oder auch nicht). Und wenn sie den Absender kennen, dann öffnen sie jedes Attachment, weil sie erwarten, dass es so seine Richtigkeit hat. Daher halte ich einen vorhergehenden Scan für unverzichtbar.

Ich habe hier immerhin ein Sammlung Mail-Programme

Das ist bei mir anders - ich benutze genau ein Email-Programm, und zwar Ximian Evolution, und meine User benutzen - na was wohl: Lookout! Und das setzen die auch nach allen Regeln der Kunst ein, mit Terminen und dem ganzen blabla. Ich kann es ihnen nicht wegnehmen, weil ich ihnen keinen adäquaten Ersatz bieten kann.

Außerdem ist diese ganze Wurm- und Virengeschichte nicht unbedingt ein Outlook-Problem, sondern vielmehr eine Folge dieser gigantischen Designschwäche und Konzeptlosigkeit namens Windows. Das ist nicht austauschbar wegen Massen von Programmen, die man nur dafür bekommt.

Virenscanner sind prinzipiell bedingt zu spät. „Man sollte“
mehr an der Wurzel des Übels anpacken… User.
Mailprogramme…

Das reicht IMHO nicht aus. Ich kann nicht den ganzen Tag Nimdas von den Platten kratzen, nur weil es jedem mal passieren kann, das er die Bombe zündet :wink: Und ich kenne kein Mailprogramm, das per Definition für alle Zeiten fehlerfrei ist.

Schon klar. Du solltest die Chance nutzen, anhand diesen
Beispiels die Geschäftsleitung davon zu überzeugen, daß der
Einsatz von Virenscannern das Problem nicht löst und dafür
neue einführt.

Diese Entscheidungen treffe ich alle selbst - die Geschäftsleitung wird im Zweifel derartige „Details“ eh nicht verstehen. Sorry, das sind die letzten, die Entscheidungen im Security-Bereich treffen sollten, und außerdem bezahlen die mich dafür, dass ich für sie darüber nachdenke.

Stefan

dumm nur, wenn er sich deshalb neuen Gefahre eines
DoS-Angriffes auf den Mailserver aussetzt.

Bei checkexec kann man die maximale Scanzeit, bis das scannende Programm zwangsweise beendet wird, frei einstellen von 1-1000000 Sekunden.

Bekomme ich eure 42.zip, wandern die nach angemessener Zeit, ohne das mein Server sich verabschiedet, ins Adminkonto.
Es bremst also schon, bringt uns aber nicht um.

[BTW: wer verbreitet eigentlich immer das Gerücht, daß Outlook
komfortabel oder sogar in iegendeinem Punkt empfehlenswert
sei? Vermutlich Leute, die das Programm mit der
T-Online-Mail-Software verglichen haben (und noch nie in die
Nähe eines „richtigen“ E-Mail-Programmes gekommen sind.[

Letztlich ist das Verfahren aber konsequent: hat man die
Kontrolle durch hartnäckiges Outlook-Nutzen ohnehin irgendwo
an ein "Fremd-"Unternehmen abgegeben. Nein,
wünschenswert ist das natürlich alles nicht…

Ja, klar Microsoft Produkte sind immer scheisse, und andere Produkte immer besser -> weil nicht von Microsoft.

Dass habe ich jetzt schon zu oft so gehört.

Ich habe schon genug alternative Email-Programme getestet,
viele der hochgepriesenen Programme sind wegen gravierender Sicherheitsmängel bei mir rausgeflogen (z.B. Pegasus).
Ausserdem verlasse ich mich immer noch eher auf ein grosses Unternehmen, auf dass wenigstens alle ein wachsames Auge richten, so dass es faktisch gar keinen Scheiss bauen kann, ohne dass jemand es merkt,als auf irgendeinen anderen Hobby-Programmierer dem ich genauso wenig vertrauen kann.

Und mein Emailprogramm selber zu programmieren, dazu fehlt mir allemal die Lust.

Fazit:
Microsoft-Produkte haben Sicherheitsprobleme, aber dies sind bekannte, und daher kallkulierbare Sicherheitsrisiken.

Oder kann
sich jemand der Leser erinnern, schon mal eine *.HTA Datei
bekommen zu
haben, ohne dass dahinter nicht ein böses Ansinnen steckte?

Cool, wieder eine gewagte These. „Manche Typen haben in
Flugzeugen einfach nichts zu suchen: Oder kann sich jemand
erinnern, schoneinmal von einem arabisch aussehenden Typen ein
deftiges Stück Schweineschnitzel hoch über den Wolken bekommen
zu haben?“

Das ist jetzt aber eine wenig zynisch. Weil ich es für unhöflich halte, bestimmte Dateitypen einfach so ohne Ankündigung, und nicht mal gezippt, jemandem per Email zuzustellen, bin ich gleich ein Rassist, oder was?

Der Absender kann sich doch allemal ausrechnen, dass der Empfänger zumindest verunsichert ist, und etwas genervt, weil:

  • Er die Datei sehr sorgfälltig prüfen muss
  • Evtl. nochmal nachfragen muss, was das Ganze soll etc.

Wo hast Du den Bericht eigentlich herge-Copy-'n-pasted? Die
Formatierung ist etwas flatternd…

Sebastian

Aus einer Word-Datei, ist ja wohl klar, dass ich diesen Artikel nicht mal eben „online“ geschrieben habe.

Zu eurer Diskussion bzgl. " Meinen Usern bringe ich die Sicherheit schon bei…" auch wieder ein Zitat aus einem Artikel von mir:

_Jedes Sicherheitskonzept funktioniert nur, wenn es die Akzeptanz aller Beteiligten Personen erworben hat.
Ihr dürft also euren Kollegen im Netzwerk nicht einfach Maßnahmen aufdrängen und vordiktieren, sondern müsst sachlich und vorallem behutsam jede neue Maßnahme, die in irgendeiner Form in die Intressen der Netzwerk-User eingreift und diese bei ihrer Nutzung des Mediums Internet/Netzwerk einschränkt oder sogar behindert, für alle Beteiligten in einer akzeptabelen Form einführen. Der positive Erfolg einer Maßnahme ist leider oft nicht messbar, zwar evtl. schon für den Administrator, der die Möglichkeit hat, die Sicherheit in seinem Netzwerk objektiv zu erfassen und den „Wert der Sicherheit“ zu erkennen, den er geschaffen hat, nicht aber für den normalen Anwender. Dieser sieht vorwiegend nur die Einschränkungen und Hemmnisse, die ihm auferlegt werden. Wenn z.B. eine gelungene Virenattacke in einem Unternehmen auf jeden Fall für grossen Schaden und damit für Aufregung sorgt, die auch sehr bald auch mit Vorwürfen an den Administrator gepaart sein wird (hat er seine Arbeit nicht sorgfälltig gemacht?), wird der umgekehrte Fall (geblockte Virenattacke) ja nur vom Administrator selbst registriert. Da hilft es auch wenig, wenn der Administrator durch die Firma läuft, und allen Mitarbeitern erzählt, dass er Sie vor einer grossen Gefahr bewahrt hat. Denn keiner der Anderen kann sich, weil er ja überhaupt nie oder nur selten eintritt, den „Ernstfall“ wirklich vorstellen. Jeder Administrator muss sich mit dem Gedanken anfreunden, dass seine Arbeit eine „ruhmlose Kunst“ ist, dass seine Leistung nicht gewürdigt wird. Selbst sein Chef wird im irgendwann eine Behinderung der Produktivität durch zu rigorose Maßnahmen vorwerfen.

Daraus folgt:

  • Der Administrator hat immer einen schweren Stand, wenn es darum geht, neue Sicherheitskonzepte als sinnvoll anzupreisen. Er muss den gesunden Mittelweg finden, er muss möglichst viele Sicherheitseinrichtungen in das Netzwerk integrieren, aber so, dass diese Maßnahmen vorwiegend unabhängig, und vor allem unbemerkt vom normalen Anwender ablaufen. Diesen Interessenkonflikt zu lösen, ist eine der schwierigsten Aufgaben überhaupt, die ein Administrator zu leisten hat!_

Hallo,

[…]

dumm nur, wenn er sich deshalb neuen Gefahre eines
DoS-Angriffes auf den Mailserver aussetzt.

Bei checkexec kann man die maximale Scanzeit, bis das scannende
Programm zwangsweise beendet wird, frei einstellen von 1-1000000
Sekunden.

Bekomme ich eure 42.zip, wandern die nach angemessener Zeit,
ohne das mein Server sich verabschiedet, ins Adminkonto.
Es bremst also schon, bringt uns aber nicht um.

Nun muß bloß noch verhindert werden, daß man durch multiples Senden
viele gleichzeitige Scanprozesse anstößt und in der Folge checkexec
nicht für jede andere Mail auch länger benötigt: die landen dann auch
beim Admin, der DoS ist dann etwas abgeschwächt, aber nicht voll
geglückt…

[BTW: wer verbreitet eigentlich immer das Gerücht, daß Outlook
komfortabel oder sogar in iegendeinem Punkt empfehlenswert
sei? Vermutlich Leute, die das Programm mit der
T-Online-Mail-Software verglichen haben (und noch nie in die
Nähe eines „richtigen“ E-Mail-Programmes gekommen sind.[

Letztlich ist das Verfahren aber konsequent: hat man die
Kontrolle durch hartnäckiges Outlook-Nutzen ohnehin irgendwo
an ein "Fremd-"Unternehmen abgegeben. Nein,
wünschenswert ist das natürlich alles nicht…

Ja, klar Microsoft Produkte sind immer scheisse, und andere
Produkte immer besser -> weil nicht von Microsoft.

Dass habe ich jetzt schon zu oft so gehört.

Klar, ich bin kein Fan von Microsoft. Aber solche Sätze täuschen
nicht darüber hinweg, daß Du kein echtes Argument hat bzw. keine
Fakten nennen kannst.

Ich habe schon genug alternative Email-Programme getestet,
viele der hochgepriesenen Programme sind wegen gravierender
Sicherheitsmängel bei mir rausgeflogen (z.B. Pegasus).

Ich kann zu Pegasus nicht wirklich Stellung beziehen, es war zwar das
zuletzt von mir genutzte Mailprogramm, aber das ist schon etwas her…

Interessehalber: welche Lücke hatte Pegasus?

Was mich an Outlook & Co stört ist eben nicht primär, daß es von
Microsoft ist, sondern zum einen, daß es ein ganz armes Konzept hat
(und beispielsweise überhaupt die Möglichkeit vorsieht, externen Code
„mal eben“ auszuführe). Nebenbei verletzt es technische Standards en
masse (was nicht daran legt, daß der Hersteller nichts davon weiß,
sondern daß er schlicht und einfach keinen Bock auf Interoperabilität
hat).

Ausserdem verlasse ich mich immer noch eher auf ein grosses
Unternehmen, auf dass wenigstens alle ein wachsames Auge richten, so
dass es faktisch gar keinen Scheiss bauen kann, ohne dass jemand es
merkt,als auf irgendeinen anderen Hobby-Programmierer dem ich genauso
wenig vertrauen kann.

Das ist ein Satz wie aus dem Munde der OpenSource Lobby, den man unter
FUD (fear, uncertainity and doubt) zusammenfaßt
[http://www.tuxedo.org/~esr/jargon/html/entry/FUD.html]. Leider hat
die Praxis gezeigt, daß zumindest ich einem Hersteller (der immerhin -
im Gegensatz zu vielen Beteiligten der Open-Source-Szene) handfeste
monetäre Interessen hat) nicht weiter über den Weg traue als ich eine
Lieferung Waschmaschinen werfen kann.

Schönes, aktuelles Beispiel:
http://www.heise.de/newsticker/data/ad-07.12.02-000/ Kurz: Eine
Sicherheitslücke, die es erlaubt, beliebige Dateien auszulesen oder
Programme auszuführen wird als „mäßig bedeutsam“ heruntergespielt.

Und über die Zahl der seit langem bekannten und offenen
Sicherheitslücken wirst Du auch ein paar Links weiter unterrichtet:
Ich kenne keine etablierte OpenSource-Software, die sich ein
derartiges Trödeltempo erlaubt.

Andersrum (mein Gegenbeispiel): qmail - seit 1997 ist - wenn ich das
korrekt erinnere - die letzte Version herausgeommen. Du bekommst vom
Autor Geld, wenn Du einen Server „rootest“. Du hast den Quellcode. Du
hat die Motivation (weil das Programm auch von den „Großen“ der
Branche - unter anderen GMX und Hotmail - eingesetzt wird.

Im Rahmen Deiner Argumentation erscheint mir das komisch…

Und mein Emailprogramm selber zu programmieren, dazu fehlt mir
allemal die Lust.

Fazit:
Microsoft-Produkte haben Sicherheitsprobleme, aber dies sind
bekannte, und daher kallkulierbare Sicherheitsrisiken.

Kalkulierbar im Sinne wie „jedes Desaster ist wahrscheinlich“, vermute
ich…

Cool, wieder eine gewagte These. „Manche Typen haben in
Flugzeugen einfach nichts zu suchen: Oder kann sich jemand
erinnern, schoneinmal von einem arabisch aussehenden Typen ein
deftiges Stück Schweineschnitzel hoch über den Wolken bekommen
zu haben?“

Das ist jetzt aber eine wenig zynisch. Weil ich es für unhöflich
halte, bestimmte Dateitypen einfach so ohne Ankündigung, und
nicht mal gezippt, jemandem per Email zuzustellen, bin ich
gleich ein Rassist, oder was?

Nein, das Beispiel sollte nicht auf einen Rassismusvorwurf abheben
(das ist meinerseits vermutlich unglücklich formuliert gewesen).

Ich halte nur Dinge wie die Dateiendung für ein nicht besonders
schlaues Kriterium - schließlich sind Dateiendung und Inhalt sehr
unabhängig voneinander.

Jedes Sicherheitskonzept funktioniert nur, wenn es die
Akzeptanz aller Beteiligten Personen erworben hat.
Ihr dürft also euren Kollegen im Netzwerk nicht einfach
Maßnahmen aufdrängen und vordiktieren, sondern müsst sachlich
und vorallem behutsam jede neue Maßnahme, die in irgendeiner
Form in die Intressen der Netzwerk-User eingreift und diese bei
ihrer Nutzung des Mediums Internet/Netzwerk einschränkt oder
sogar behindert, für alle Beteiligten in einer akzeptabelen Form
einführen.

Ja. Und man sollte auch auf Nachfragen erklären (können), warum man
diese Sicherheitsmaßnahme oder Einschränkung implementieren mußte.

[…]

Jeder Administrator muss sich mit dem Gedanken anfreunden, dass seine
Arbeit eine „ruhmlose Kunst“ ist, dass seine Leistung nicht gewürdigt
wird. Selbst sein Chef wird im irgendwann eine Behinderung der
Produktivität durch zu rigorose Maßnahmen vorwerfen.

Das ist in der Tat das Übel aller Berufe, die eine reibungslose
Funktion von irgendwas sichern sollen: man nimmt die Leute erst wahr,
wenn etwas nicht funktioniert.

Daraus folgt:

  • Der Administrator hat immer einen schweren Stand, wenn es
    darum geht, neue Sicherheitskonzepte als sinnvoll anzupreisen.

Der erste Verbündete des Administrators ist der Chef. Oder sollte es
sein. Dem Chef muß klar sein, wie wichtig Sicherheit ist. So läuft es
glücklicherweise bei und (nur daß die Administratoren keinen Schimmer
von Sicherheitsdenken zu haben scheinen, aber das ist eine andere
Geschichte…)

Gruß,

Sebastian