Abwehr von Viren und anderer Malware in E-Mails
In diesem Artikel ist zusammengefasst, worauf Sie für eine effektive Abwehr von Malware achten sollten. Soweit nicht anders
angegeben, erfolgt die Konfiguration im Menü "Module > Mail-Server > SPAM/Virus/Malware".
Die beste Virenmail ist die, die gar nicht erst angenommen wird
Viele Schädlinge verhalten sich ähnlich wie SPAM und können folglich mit den selben Maßnahmen abgewehrt werden. Darunter sind
auch einige Verfahren, die E-Mails schon abweisen, bevor der eigentliche Inhalt überhaupt übertragen wurde. Machen Sie Ihren
DEFENDO also zunächst fit gegen SPAM, wie es im Artikel
SPAM-Abwehr beschrieben wird.
Virenscanner
Sind die ersten Hürden überwunden und die E-Mail wurde samt Inhalt übertragen, wird sie zunächst auf Viren geprüft. Dazu muss
natürlich mindestens ein Virenscanner installiert und die entsprechende Option aktiviert sein. Die Signaturen der Scanner
werden am besten stündlich aktualisiert. Prüfen Sie dies im Menü "Module > Virenscanner". Der Scanvorgang als solches läuft mehrstufig ab. Zunächst wird die E-mail in ihre Bestandteile zerlegt und Archive rekursiv
entpackt. Dabei kommen spezielle, abgesicherte Routinen zum Einsatz, die Angriffen erkennen, mit denen Systeme überlastet
werden sollen. Dazu gehören z.B. manipulierte Archive, Archive mit extrem vielen Dateien oder stark komprimierte Dateien.
Die auf diese Weise gewonnenen einzelnen Bestandteile sowie auch nochmals die E-Mail als ganzes werden dann den installierten
Virenscannern zur weiteren Analyse übergeben.
Gerade bei neuen Viren kommt es leider regelmäßig vor, dass die Virenscanner den Schädling noch nicht erkennen. Nicht nur
deshalb sollte auf jeden Fall auch auf den Client-Systemen ein Virenscanner installiert sein - und zwar am besten von einem
anderen Hersteller. Sie können die Erkennungsrate weiter erhöhen, wenn Sie auf dem
DEFENDO mehrere Virenscanner installieren. Hilfreich ist außerdem, die Zustellung verdächtiger eingehender E-Mails zu verzögern.
Das ist über Greylisting möglich (siehe
SPAM-Abwehr) und durch das nachfolgend beschriebene Quarantäne-Verfahren.
MIME-Filter
Erkennt der Virenscanner einen Schädling nicht, kann der Dateianhangs-Filter eingreifen. Basierend auf der Dateinamensendung
prüft dieser, ob unerwünschte Anhänge in E-Mails enthalten sind. Wahlweise werden solche E-Mails abgewiesen, als ganzes unter
Quarantäne gestellt oder lediglich die beanstandeten Anhänge unter Quarantäne gestellt. Der Quarantäne-Bereich wird nach jedem
Signatur-Update der installierten Virenscanner erneut auf Viren geprüft, so dass eventuell zuvor noch nicht erkannte Viren
so schnell wie möglich entdeckt werden.
In der Konfiguration wird zwischen zwei Arten unerwünschter Anhänge unterschieden. Auf den Quarantänebereich von besonders
gefährlichen Anhänge hat ausschließlich ein Administrator über die Administrations-Oberfläche zugriff. Auf weniger gefährliche
Anhänge kann der Administrator den Zugriff auch für den Empfänger freigeben. Dieser erhält dann in der Quarantäne-Mitteilung
einen Link, über den die Zustellung der Mail freigegeben bzw. der Download des beanstandeten Anhangs erfolgen kann. Der Administrator
kann dies mit zusätzlichen Bedingungen verknüpfen: Warten auf zumindest ein Signatur-Update der installierten Virenscanner
und ggf. eine Mindestaufenthaltsdauer in der Quarantäne.
Für den Zugriff auf die Quarantäne genügt der Link in der Quarantäne-Mitteilung. Es ist keine Zugriffsberechtigung für die
Administrations-Oberfläche erforderlich und es müssen keine Benutzer angelegt werden.
Die Grundkonfiguration des Filters erfolgt auf dem Reiter (Tab) "MIME-Filter". Stellen Sie dort zunächst sicher, dass der Filter aktiviert ist. Da viele Schädlinge in ZIP-Archiven versendet werden,
sollten Sie unbedingt auch die Option "ZIP-/RAR-Archive untersuchen" anschalten. Entscheiden Sie sich dann für eines der Quarantäne-Verfahren.
Das eigentliche Regelwerk finden Sie auf dem Reiter (Tab) "MIME-Filter Regeln. Die Tabelle "Gefährliche Dateianhänge" enthält eine von uns vorkonfigurierte Liste, die Sie selbst aktuell halten müssen. Die aktuelle Voreinstellung für Neugeräte
ist in der Online-Hilfe hinterlegt. Insbesondere folgende Erweiterungen fehlen evtl. bei älteren Geräten: "docm dotm jvs pac
potm ppam ppsm pptm sldm xla xlam xll xlm xlsm xltm".
Sie müssen die Einträge nicht alle einzeln hinzufügen. Mehrere Erweiterungen können mit Leerzeichen getrennt auf einmal ergänzt
werden. Duplikate werden automatisch ignoriert. Nach dem Übernehmen können Sie im Log der Administrationsoberfläche sehen,
was sich tatsächlich geändert hat.
Enthält eine E-Mail entsprechende Anhänge, werden diese in jedem Fall unter Quarantäne gestellt. Die Empfänger erhalten keinen
Zugriff auf diese Anhänge.
Es folgt eine Liste mit Absender-Adressen, die beliebige Dateianhänge versenden dürfen, natürlich mit Ausnahme von "Gefährliche Dateianhänge". Sie können individuelle E-Mail-Adressen eintragen oder auch ganze Absenderdomains.
In der Einstellung "Alle übrigen Dateianhänge sind: erlaubt" steht Ihnen unter "Unerwünschte Dateianhänge" eine weitere Liste mit gesperrten Dateinamen zur Verfügung. Im Unterschied zu "Gefährliche Dateianhänge" gilt diese Liste nicht für "Vertrauenswürdige Absender". Hier könnten Sie z.B. Archiv-Formate wie "rar" und "zip" sperren. Solange sich Schädlinge gerne in Office-Dokumenten verstecken,
könnten Sie hier die "normalen" Office-Dateiformate sperren (doc, docx, xls, xlsx, ppt, pptx, ...).
Grundsätzlich ist es stets sicherer, Erwünschtes freizugeben statt Unerwünschtes zu sperren. Verwenden Sie dazu die Einstellung
"Alle übrigen Dateianhänge sind: unerwünscht". Geben Sie in der Liste "Erlaubte Dateianhänge" ein, welche Dateianhänge als eher ungefährlich gelten sollen und somit für jeden erlaubt sind.
Falls Sie hier ZIP- oder RAR-Archive freigeben und zugleich - wie empfohlen - die Option "ZIP-/RAR-Archive untersuchen" aktiviert ist, müssen auch alle Dateinamen innerhalb des Archivs durch die Freigabe abgedeckt sein.
Anhänge, die unter Quarantäne gestellt wurden, können von Administratoren im Menü "Monitoring > Mail-Server" heruntergeladen werden. Im Namen des Quarantäne-Verzeichnisses sind Datum, Uhrzeit der Filterung sowie eine laufende Nummer
enthalten. Die ID der Mail ist ein Link unter dem Sie die vollständigen Kopfzeilen der Mail abrufen können. Dies kann hilfreich
sein um zu Unterscheiden, ob es sich um eine legitime Mail handelt oder nicht. Nach Absender und Empfänger folgt in aktuellen
Versionen eine Spalte mit dem Virenscan-Status. Der Tooltip auf dem Ampel-Symbol zeigt an, wann die Datei zuletzt geprüft
wurde bzw. wann der Virus erstmalig entdeckt wurde. Es folgen die Links auf die ausgefilterten Dateianhänge mit dem ursprünglichen
Dateinamen. Beim Download erhält jede Datei die Endung ".bin". Um den ursprünglichen Dateinamen zu verwenden, müssen Sie die
Datei selbst umbenennen.
Der Administrator kann die Verwaltung des Quarantäne-Bereichs auch an weitere Mitarbeiter deligieren. In der Benutzerverwaltung
müssen dazu Benutzer angelegt sein, die Mitglied der Gruppe "system-admin" sind. Bei diesen Benutzern wird für jedes Hauptmenü
ein eigener Reiter (Tab) angezeigt. Dort wird festgelegt, auf welche Menüpunkte der jeweilige Benutzer zugreifen darf. Geben
Sie auf dem Reiter "Menü Monitoring" das Menü "Mail-Server" frei.