Abwehr von Viren und anderer Malware in E-Mails

In diesem Artikel ist zusammengefasst, worauf Sie für eine effektive Abwehr von Malware achten sollten. Soweit nicht anders angegeben, erfolgt die Konfiguration im Menü "Module > Mail-Server > SPAM/Virus/Malware".

Die beste Virenmail ist die, die gar nicht erst angenommen wird

Viele Schädlinge verhalten sich ähnlich wie SPAM und können folglich mit den selben Maßnahmen abgewehrt werden. Darunter sind auch einige Verfahren, die E-Mails schon abweisen, bevor der eigentliche Inhalt überhaupt übertragen wurde. Machen Sie Ihren DEFENDO also zunächst fit gegen SPAM, wie es im Artikel SPAM-Abwehr beschrieben wird.

Virenscanner

Sind die ersten Hürden überwunden und die E-Mail wurde samt Inhalt übertragen, wird sie zunächst auf Viren geprüft. Dazu muss natürlich mindestens ein Virenscanner installiert und die entsprechende Option aktiviert sein. Die Signaturen der Scanner werden am besten stündlich aktualisiert. Prüfen Sie dies im Menü "Module > Virenscanner". Der Scanvorgang als solches läuft mehrstufig ab. Zunächst wird die E-mail in ihre Bestandteile zerlegt und Archive rekursiv entpackt. Dabei kommen spezielle, abgesicherte Routinen zum Einsatz, die Angriffen erkennen, mit denen Systeme überlastet werden sollen. Dazu gehören z.B. manipulierte Archive, Archive mit extrem vielen Dateien oder stark komprimierte Dateien. Die auf diese Weise gewonnenen einzelnen Bestandteile sowie auch nochmals die E-Mail als ganzes werden dann den installierten Virenscannern zur weiteren Analyse übergeben.
Gerade bei neuen Viren kommt es leider regelmäßig vor, dass die Virenscanner den Schädling noch nicht erkennen. Nicht nur deshalb sollte auf jeden Fall auch auf den Client-Systemen ein Virenscanner installiert sein - und zwar am besten von einem anderen Hersteller. Sie können die Erkennungsrate weiter erhöhen, wenn Sie auf dem DEFENDO mehrere Virenscanner installieren. Hilfreich ist außerdem, die Zustellung verdächtiger eingehender E-Mails zu verzögern. Das ist über Greylisting möglich (siehe SPAM-Abwehr) und durch das nachfolgend beschriebene Quarantäne-Verfahren.

MIME-Filter

Erkennt der Virenscanner einen Schädling nicht, kann der Dateianhangs-Filter eingreifen. Basierend auf der Dateinamensendung prüft dieser, ob unerwünschte Anhänge in E-Mails enthalten sind. Wahlweise werden solche E-Mails abgewiesen, als ganzes unter Quarantäne gestellt oder lediglich die beanstandeten Anhänge unter Quarantäne gestellt. Der Quarantäne-Bereich wird nach jedem Signatur-Update der installierten Virenscanner erneut auf Viren geprüft, so dass eventuell zuvor noch nicht erkannte Viren so schnell wie möglich entdeckt werden.
In der Konfiguration wird zwischen zwei Arten unerwünschter Anhänge unterschieden. Auf den Quarantänebereich von besonders gefährlichen Anhänge hat ausschließlich ein Administrator über die Administrations-Oberfläche zugriff. Auf weniger gefährliche Anhänge kann der Administrator den Zugriff auch für den Empfänger freigeben. Dieser erhält dann in der Quarantäne-Mitteilung einen Link, über den die Zustellung der Mail freigegeben bzw. der Download des beanstandeten Anhangs erfolgen kann. Der Administrator kann dies mit zusätzlichen Bedingungen verknüpfen: Warten auf zumindest ein Signatur-Update der installierten Virenscanner und ggf. eine Mindestaufenthaltsdauer in der Quarantäne.
Für den Zugriff auf die Quarantäne genügt der Link in der Quarantäne-Mitteilung. Es ist keine Zugriffsberechtigung für die Administrations-Oberfläche erforderlich und es müssen keine Benutzer angelegt werden.
Die Grundkonfiguration des Filters erfolgt auf dem Reiter (Tab) "MIME-Filter". Stellen Sie dort zunächst sicher, dass der Filter aktiviert ist. Da viele Schädlinge in ZIP-Archiven versendet werden, sollten Sie unbedingt auch die Option "ZIP-/RAR-Archive untersuchen" anschalten. Entscheiden Sie sich dann für eines der Quarantäne-Verfahren.
Das eigentliche Regelwerk finden Sie auf dem Reiter (Tab) "MIME-Filter Regeln. Die Tabelle "Gefährliche Dateianhänge" enthält eine von uns vorkonfigurierte Liste, die Sie selbst aktuell halten müssen. Die aktuelle Voreinstellung für Neugeräte ist in der Online-Hilfe hinterlegt. Insbesondere folgende Erweiterungen fehlen evtl. bei älteren Geräten: "docm dotm jvs pac potm ppam ppsm pptm sldm xla xlam xll xlm xlsm xltm".
Sie müssen die Einträge nicht alle einzeln hinzufügen. Mehrere Erweiterungen können mit Leerzeichen getrennt auf einmal ergänzt werden. Duplikate werden automatisch ignoriert. Nach dem Übernehmen können Sie im Log der Administrationsoberfläche sehen, was sich tatsächlich geändert hat.
Enthält eine E-Mail entsprechende Anhänge, werden diese in jedem Fall unter Quarantäne gestellt. Die Empfänger erhalten keinen Zugriff auf diese Anhänge.
Es folgt eine Liste mit Absender-Adressen, die beliebige Dateianhänge versenden dürfen, natürlich mit Ausnahme von "Gefährliche Dateianhänge". Sie können individuelle E-Mail-Adressen eintragen oder auch ganze Absenderdomains.
In der Einstellung "Alle übrigen Dateianhänge sind: erlaubt" steht Ihnen unter "Unerwünschte Dateianhänge" eine weitere Liste mit gesperrten Dateinamen zur Verfügung. Im Unterschied zu "Gefährliche Dateianhänge" gilt diese Liste nicht für "Vertrauenswürdige Absender". Hier könnten Sie z.B. Archiv-Formate wie "rar" und "zip" sperren. Solange sich Schädlinge gerne in Office-Dokumenten verstecken, könnten Sie hier die "normalen" Office-Dateiformate sperren (doc, docx, xls, xlsx, ppt, pptx, ...).
Grundsätzlich ist es stets sicherer, Erwünschtes freizugeben statt Unerwünschtes zu sperren. Verwenden Sie dazu die Einstellung "Alle übrigen Dateianhänge sind: unerwünscht". Geben Sie in der Liste "Erlaubte Dateianhänge" ein, welche Dateianhänge als eher ungefährlich gelten sollen und somit für jeden erlaubt sind.
Falls Sie hier ZIP- oder RAR-Archive freigeben und zugleich - wie empfohlen - die Option "ZIP-/RAR-Archive untersuchen" aktiviert ist, müssen auch alle Dateinamen innerhalb des Archivs durch die Freigabe abgedeckt sein.
Anhänge, die unter Quarantäne gestellt wurden, können von Administratoren im Menü "Monitoring > Mail-Server" heruntergeladen werden. Im Namen des Quarantäne-Verzeichnisses sind Datum, Uhrzeit der Filterung sowie eine laufende Nummer enthalten. Die ID der Mail ist ein Link unter dem Sie die vollständigen Kopfzeilen der Mail abrufen können. Dies kann hilfreich sein um zu Unterscheiden, ob es sich um eine legitime Mail handelt oder nicht. Nach Absender und Empfänger folgt in aktuellen Versionen eine Spalte mit dem Virenscan-Status. Der Tooltip auf dem Ampel-Symbol zeigt an, wann die Datei zuletzt geprüft wurde bzw. wann der Virus erstmalig entdeckt wurde. Es folgen die Links auf die ausgefilterten Dateianhänge mit dem ursprünglichen Dateinamen. Beim Download erhält jede Datei die Endung ".bin". Um den ursprünglichen Dateinamen zu verwenden, müssen Sie die Datei selbst umbenennen.
Der Administrator kann die Verwaltung des Quarantäne-Bereichs auch an weitere Mitarbeiter deligieren. In der Benutzerverwaltung müssen dazu Benutzer angelegt sein, die Mitglied der Gruppe "system-admin" sind. Bei diesen Benutzern wird für jedes Hauptmenü ein eigener Reiter (Tab) angezeigt. Dort wird festgelegt, auf welche Menüpunkte der jeweilige Benutzer zugreifen darf. Geben Sie auf dem Reiter "Menü Monitoring" das Menü "Mail-Server" frei.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany