Emails serverseitig auf Viren/Trojaner überprüfen
Die Möglichkeit, dass Emails schon auf dem Emailserver auf Viren gescannt
werden, wünscht sich so mancher Netzwerksadministrator, egal, ob er nur ein
kleines Heimnetzwerk betreut, oder aber den Emailverkehr eines grossen
Unternehmens überwacht. Denn der Administrator weiss nur zu gut: Heutzutage
werden Viren, Wurmer und andere destruktive Programme zum allergrößten Teil
über Emails verbreitet, der Emailverkehr in ein Netzwerk herein ist also
einer der wichtigsten neuralgischen Punkte, die es zu überwachen gilt, um
ein Netzwerk vor ungewollten Eindringlingen zu schützen. Sicherzustellen
gilt auch, dass ein Netzwerksteilnehmer, der sich einen Virus, Trojaner oder
Wurm „eingefangen hat“,genauer gesagt sein anfälliges Emailprogramm, diesen
nicht intern andere Netzwerksteilnehmer unbemerkt weiterverbreitet, oder an
externe Emailempfänger versendet.
So kann z.B. ein Mitarbeiter eines Unternehmens, auf dessen Rechner der
lokale Virensanner nicht auf dem aktuellen Stand ist, und der beispielsweise
eine veraltete Microsoft Outlook Version benutzt, unbeabsichtigt nicht nur
seine Kollegen mit verseuchten Emails bombardieren, sondern auch mal eben
schnell den gesammten Kundenstamm, der in seinem Adressbuch zu
Referenzzwecken vermerkt ist, mit verseuchten Emails vergraulen. Dass ist
der Alptraum jedes Administrators. Denn mal ganz ehrlich: Die meisten Würmer
sind zwar relativ harmlos, weil sie sie oft nur Verbreitungsroutinen und
keine Schadroutinen haben, denoch geht für ein Unternehmen der Imageschaden
oft ins unermessliche, wenn aus dem Firmennetzwerk heraus solche Würmer an
Kunden versendet wurden.
Tatsache ist also, dass ein Administrator eine Menge „Erziehungsarbeit“ bei
den Netzwerksnutzern leisten muss, will er ohne serverseitige
Virenüberprüfung auskommen: Er muss seine Nutzer ständig ermahnen, die
jeweils aktuellsten Sicherheitsupdates ihres Emailprogrammes aufzuspielen,
oder ein sichereres (aber in der Regel unkomfortableres, und daher
verpöntes, Emailprogramm zu nutzen), die Virenscanner ständig upzudaten, und
am schlimmsten: er muss letztendlich jeden Netzwerksteilnehmer zum
erfahrenen Viren(er)kenner ausbilden.
Was steckt technisch hinter dem serverseitigem Virenscan?
Leider genügt es nicht, wie viele Leute annehmen, einfach einen
leistungsfähigen On-Access Virenscanner auf dem Emailserver meines
Netzwerkes zu installieren, denn Emails sind in der Regel kodiert (MIME,
Base64 etc. ) so dass in den Email enthaltene Attachments in der Email in
verschlüsselter Form vorliegen, und daher vom Virenscanner nicht so ohne
weiteres überprüft werden, selbst wenn bei Speichern der Email zur weiteren
Verteilung ein „On-Access-Scan“ des Virenscanners erfolgt. Faktisch muss der
Virenscanner in der Lage sein, die Email als solche zu erkennen, zu
decodieren, und dann alle Anhänge separat zu scannen.
Anwendungen, die die Technik unterstützen:
Es gibt proffessionelle Virenscanner-Lösungen speziell für Unternehmen die
das serverseitige Scannen von Emails übernehmen, diese sind aber oft sehr
mit sehr hohen Anschaffungskosten verbunden. Letztendlich ist die Technik,
greift man auf kommerzielle Produkte zurück, also nur für grössere
Unternehmen bezahlbar, für nicht so finanzkräftige Institutionen wie z.B.
Schulen, Vereine, private Netzwerke gilt: Aufgrund des hohen Preises müssen
sie auf Sicherheit verzichten.
Einzelne Emailkonten Providerseitig auf Viren zu prüfen lassen, wie es z.B. 1und1 anbietet, ist keine wirklichen Alternative:
- Es ist ebenfalls kostenpflichtig
- Alle Emails (auch interne Emails, z.B. an Kollegen) müssten über den Provider gehen, was den Internetzugang stark belastet.
- man beauftragt ein Fremd-Unternehmen mit dem Virenschutz, verliert letztendlich die Kontrolle über den Vorgang, weil sich das Ganze in einem Bereich abspielt, auf den man keinen Einfluss nehmen kann.
Doch es gibt auch Lösungen für jedermann: Es gibt Server, wie den Janaserver
von Thomas Hauck (Freeware für Privat und nichtkommerzielle Einrichtungen
www. janaserver.de) die in ihrem Emailservermodul eine Funktion zum Aufruf
eines kommandozeilen-basierten Virenscanners (z.B. der kostenlose f-prot
oder Antivir von H+BDV) eingebaut haben, d.h. jede Email, die den Server
durchläuft, wird dekodiert und deren Anhänge an einen Virenscanner zum
Testen übergeben. Das Ergebnis des Virenscanners (Errorlevel) wird
ausgewertet, und bei einem Virenfund die verseuchte Mail dem Administrator
in gesicherter Form zugestellt.
Mit dem Zusatztool für den Janaserver „Checkexec“ von Andreas Hausladen (
www.janatools.de/djanatools.htm) wird der Virenscan von der Pflicht zur Kür:
Er und sein Team haben Untersuchungsmethoden entwickelt, wonach man selbst
Emails als gefährdend einstufen kann, deren enthaltener Virus/Trojaner so
neu ist, dass ihn die Virenscanner noch nicht kennen! Grundüberlegungen
dabei sind z.B. gewesen:
-
Emailattachments müssen über Html-Tags im Body der Email gestartet
werden, z.B. mit dem IFRAME-Tag, sollen Sie automatisiert ausgeführt werden.
Das Entfernen/Auskommentieren dieses Tags verhindert das automatisierte
Ausführen von Anhängen. -
Viele Viren/Würmer und Trojaner verwenden Doppelendungen, um z.B. hinter
einer vermeindlichen Textdatei eine ausführbare Anwendung zu kaschieren,
denn unter Windows werden bekannte Dateiendungen standartmässig
ausgeblendet. Der User sieht also z.B eine readme.txt Datei, obwohl es sich
in Wirklichkeit um eine readme.txt.exe, also um eine Anwendung handelt. Das
standartmässige Einstufen solcher Doppelendungen als Virus filtert bereits
über 90% aller aktuell im Umlauf befindlichen Würmer und Trojaner aus, ohne
die Notwendigkeit eines Virenscans! -
Manche Dateiendungen haben in Emails einfach nichts zu suchen! Oder kann
sich jemand der Leser erinnern, schon mal eine *.HTA Datei bekommen zu
haben, ohne dass dahinter nicht ein böses Ansinnen steckte? Es würde mich
wundern… Deshalb wurde ein Filter für hochgefährdende Dateitypen
eingebaut, so kann der User z.B. Emails mit *.exe, *.com, *.vbs und weitere
eigenen definierte Attachments ausfiltern lassen.
Insgesamt also ein ausgereiftes Scansystem, das man mit etwas
Grundlagenwissen selbst an seine eigenen Sicherheitsbedürfnisse anpassen
kann.
Raphael Georg Haugwitz, Dezember 2002