Warum serverseitig auf Viren scannen

Aus JanaWiki
Wechseln zu: Navigation, Suche

Die Frage nach dem Warum?

Die Möglichkeit, dass E-Mails schon auf dem E-Mailserver auf Viren gescannt werden, wünscht sich so mancher Netzwerksadministrator, egal, ob er nur ein kleines Heimnetzwerk betreut, oder aber den E-Mailverkehr eines grossen Unternehmens überwacht. Denn der Administrator weiss nur zu gut: Heutzutage werden Viren, Wurmer und andere destruktive Programme zum allergrößten Teil über E-Mails verbreitet, der E-Mailverkehr in ein Netzwerk herein ist also einer der wichtigsten neuralgischen Punkte, die es zu überwachen gilt, um ein Netzwerk vor ungewollten Eindringlingen zu schützen. Sicherzustellen gilt auch, dass ein Netzwerksteilnehmer, der sich einen Virus, Trojaner oder Wurm eingefangen hat,genauer gesagt sein anfälliges E-Mailprogramm, diesen nicht intern andere Netzwerksteilnehmer unbemerkt weiterverbreitet, oder an externe E-Mailempfänger versendet.

So kann z.B. ein Mitarbeiter eines Unternehmens, auf dessen Rechner der lokale Virensanner nicht auf dem aktuellen Stand ist, und der beispielsweise eine veraltete Microsoft Outlook Version benutzt, unbeabsichtigt nicht nur seine Kollegen mit verseuchten E-Mails bombardieren, sondern auch mal eben schnell den gesammten Kundenstamm, der in seinem Adressbuch zu Referenzzwecken vermerkt ist, mit verseuchten E-Mails vergraulen. Dass ist der Alptraum jedes Administrators. Denn mal ganz ehrlich: Die meisten Würmer sind zwar relativ harmlos, weil sie sie oft nur Verbreitungsroutinen und keine Schadroutinen haben, denoch geht für ein Unternehmen der Imageschaden oft ins unermessliche, wenn aus dem Firmennetzwerk heraus solche Würmer an Kunden versendet wurden.

Tatsache ist also, dass ein Administrator eine Menge Erziehungsarbeit bei den Netzwerksnutzern leisten muss, will er ohne serverseitige Virenüberprüfung auskommen: Er muss seine Nutzer ständig ermahnen, die jeweils aktuellsten Sicherheitsupdates ihres E-Mailprogrammes aufzuspielen, oder ein sichereres (aber in der Regel unkomfortableres, und daher verpöntes, E-Mailprogramm zu nutzen), die Virenscanner ständig upzudaten, und am schlimmsten: er muss letztendlich jeden Netzwerksteilnehmer zum erfahrenen Viren(er)kenner ausbilden.


Was steckt technisch hinter dem serverseitigen Virenscan?

Leider genügt es nicht, wie viele Leute annehmen, einfach einen leistungsfähigen On-Access Virenscanner auf dem E-Mailserver meines Netzwerkes zu installieren, denn E-Mails sind in der Regel kodiert (MIME, Base64 etc.) so dass in den E-Mail enthaltene Attachments in der E-Mail in verschlüsselter Form vorliegen, und daher vom Virenscanner nicht so ohne weiteres überprüft werden, selbst wenn bei Speichern der E-Mail zur weiteren Verteilung ein On-Access-Scan des Virenscanners erfolgt. Faktisch muss der Virenscanner in der Lage sein, die E-Mail als solche zu erkennen, zu decodieren, und dann alle Anhänge separat zu scannen.


Anwendungen, die diese Technik unterstützen.

Es gibt proffessionelle Virenscanner-Lösungen speziell für Unternehmen die das serverseitige Scannen von E-Mails übernehmen, diese sind aber oft sehr mit sehr hohen Anschaffungskosten verbunden. Letztendlich ist die Technik, greift man auf kommerzielle Produkte zurück, also nur für grössere Unternehmen bezahlbar, für nicht so finanzkräftige Institutionen wie z.B. Schulen, Vereine, private Netzwerke gilt: Aufgrund des hohen Preises müssen sie auf Sicherheit verzichten.


Einzelne E-Mailkonten Providerseitig auf Viren zu prüfen lassen, wie es z.B. 1und1 anbietet, ist keine wirklichen Alternative:

  • es ist ebenfalls kostenpflichtig
  • alle E-Mails (auch interne E-Mails, z.B. an Kollegen) müssten über den Provider gehen, was den Internetzugang stark belastet.
  • man beauftragt ein Fremd-Unternehmen mit dem Virenschutz, verliert letztendlich die Kontrolle über den Vorgang, weil sich das Ganze in einem Bereich abspielt, auf den man keinen Einfluss nehmen kann


Doch es gibt auch Lösungen für jedermann. Es gibt Server, wie den Janaserver von Thomas Hauck (Freeware für Privat und nichtkommerzielle Einrichtungen www.janaserver.de) die in ihrem E-Mailservermodul eine Funktion zum Aufruf eines kommandozeilen-basierten Virenscanners (z.B. der kostenlose F-Prot oder Antivir von H+BDV) eingebaut haben, d.h. jede E-Mail, die den Server durchläuft, wird dekodiert und deren Anhänge an einen Virenscanner zum Testen übergeben. Das Ergebnis des Virenscanners (Errorlevel) wird ausgewertet, und bei einem Virenfund die verseuchte Mail dem Administrator in gesicherter Form zugestellt.

Mit dem Zusatztool für den Janaserver JanaMailProtect von Andreas Hausladen (www.janatools.net) wird der Virenscan von der Pflicht zur Kür. Er und sein Team haben Untersuchungsmethoden entwickelt, wonach man selbst E-Mails als gefährdend einstufen kann, deren enthaltener Virus/Trojaner so neu ist, dass ihn die Virenscanner noch nicht kennen!


Grundüberlegungen dabei sind z.B. gewesen:

  1. E-Mailattachments müssen über Html-Tags im Body der E-Mail gestartet werden, z.B. mit dem IFRAME-Tag, sollen Sie automatisiert ausgeführt werden. Das Entfernen/Auskommentieren dieses Tags verhindert das automatisierte Ausführen von Anhängen.
  2. Viele Viren/Würmer und Trojaner verwenden Doppelendungen, um z.B. hinter einer vermeindlichen Textdatei eine ausführbare Anwendung zu kaschieren, denn unter Windows werden bekannte Dateiendungen standartmässig ausgeblendet. Der User sieht also z.B eine readme.txt Datei, obwohl es sich in Wirklichkeit um eine readme.txt.exe, also um eine Anwendung handelt. Das standartmässige Einstufen solcher Doppelendungen als Virus filtert bereits über 90% aller aktuell im Umlauf befindlichen Würmer und Trojaner aus, ohne die Notwendigkeit eines Virenscans!
  3. Manche Dateiendungen haben in E-Mails einfach nichts zu suchen! Oder kann sich jemand der Leser erinnern, schon mal eine *.HTA Datei bekommen zu haben, ohne dass dahinter nicht ein böses Ansinnen steckte? Es würde mich wundern... Deshalb wurde ein Filter für hochgefährdende Dateitypen eingebaut, so kann der User z.B. E-Mails mit *.exe, *.com, *.vbs und weitere eigenen definierte Attachments ausfiltern lassen.


Insgesamt also ein ausgereiftes Scansystem, das man mit etwas Grundlagenwissen selbst an seine eigenen Sicherheitsbedürfnisse anpassen kann.