Löscht Kaspersky immer noch ganze TB Archive?

Leider kann ich keine Infos zu Kaspersky sagen, aber:

Zitat von "daghaedd"

Kann Kaspersky immer noch nicht einzelne infizierte Mails löschen, sondern löscht wie vor zwei Jahren gleich das ganze TB-File?

Ist die Frage richtig formuliert? Eine infizierte Mail sollte von der Antivirus-Software erkannt werden, bevor sie in die Mbox-Datei geschireben werden. (Das sollte auch Kaspersky können.)

Ist eine infizierte Mail erst einmal in eine Mbox-Datei geschrieben, kann doch keine Antivirus-Software eine einzelne Mail daraus löschen, oder?

Ich glaube Antivir erkennt mitlerweile, dass es sich um einen Virus in einer Maildatei handelt und bringt nun eine Warnmeldung wenn man die Datei säubern will (weil das Antivir nicht kann und die Datei danach unbrauchbar ist) . Hab das aber auch nur aus einem Artikel hier im Forum mal heraus gelesen.

Obwohl es eigentlich nicht allzu schwer zu programmieren wäre. Immerhin ist eine mbox-Datei nichts anderes als eine Text-Datei und der Virus ist ein binärer Anhang einer Mail - man müsste also entweder die ganze Mail (zwischen den From-Zeilen) oder auch nur den Anhang (also zwischen den Content-ID-Strings der Mail) aus der mbox-Datei heraus löschen. Mit Vb-Script müsste ich die gesamte Datei parsen (und umleiten in eine neue MBOX) und diesen Abschnitt beim neu-schreiben einfach weglassen. In anderen Programmiersprachen hat man aber bestimmt noch andere Möglichkeiten. Aber vermutlich ist TB den meisten AV-Herstellern noch zu unbedeutend.

schöne Grüße

Toolman

Zitat von "Toolman"

Obwohl es eigentlich nicht allzu schwer zu programmieren wäre.

Einen Algorithmus zum Löschen einer Mail aus einer MBOX-Datei könnte auch ein Hobbyprogrammierer leicht realisieren. Was die Hersteller von AV-Programmen davon abhält eine solche Funktion zu implementieren dürften eher die Probleme sein, die eine solche Löschaktion bei einem laufenden Mailclient verursachen würde.

Problem 1:
Durch das Löschen wird die Indexdatei unbrauchbar. Eine mögliche Folge wären falsche Anzeigen in der Mailübersicht oder sogar ein Absturz des Mailprogramms beim Zugriff auf eine Mail die in der MBOX-Datei hinter der gelöschten Mail abgelegt ist.

Problem 2:
Es kann zu einem Zugriffskonfikt auf die MBOX-Datei kommen denn während das AV-Programm eine infizierte Mail löscht will der Mailclient möglicherweise schon die nächste heruntergeladene Mail in die Datei schreiben. Dieser Konflikt kann nicht durch blockieren der Datei gelöst werden weil Thunderbird uneingeschränkten Zugriff auf die MBOX-Dateien erwartet und braucht.

Gruß
Werner

Hallo Werner,

na ja, wenn man einen speziellen Thunderbird-Virenscanner entwickeln würde, ließe sich auch das programmtechnisch lösen. So könnte man das Programm beenden und die msf-Datei mit löschen - bzw. den Anwender das beenden überlassen und andernfalls die Bereinigung verweigern.

Aber man kann ja schon froh sein, dass es überhaupt Bewegung in dieser Richtung gibt und dass die AV-Hersteller nicht nur für Outlook entwickeln.

Fakt ist aber das ein Hintergrundscan für ein MBox-basiertes Mailprogramm ungeeignet ist. Daher gibt es ja auch die Zwischenspeicher-Option ab 1.5, das man ja extra für die Virenscanner eingeführt hat.

Für den manuellen oder eingeplanten Vollscan könnten aber durchaus (mit einigem Aufwand versteht sich) Lösungen geschaffen werden, mit denen man MBOX-Dateien auf Viren scannen könnte.

Das es heute noch keinen Scanner gibt, der das kann, liegt meiner Meinung nach nur daran, dass die AV-Hersteller nur für den Mainstream entwickeln und TB immer noch als Nischenprodukt ansehen.

schöne Grüße

Toolman

Zitat von "Toolman"

...Das es heute noch keinen Scanner gibt, der das kann, liegt meiner Meinung nach nur daran, dass die AV-Hersteller nur für den Mainstream entwickeln und TB immer noch als Nischenprodukt ansehen.

Öööhm, Symantec AntiVirus hat einen vermutlich letzten Patch für die Version 9 herausgebracht (SAV CE 9.0.6.1100), bei dem genau dieses Problem gefixt sein soll.

Zitat

When using mbox format for storing electronic mail, the inbox file is quarantined when a virus is found
Fix ID: 1-5PL4Z5
Symptom: When a threat is found within an mbox mail file, the entire mail file is quarantined.
Solution: Changed code to use the Decomposer engine to determine mbox container settings. Threats can now be quarantined individually without quarantining the entire mail file.

Jetzt bräuchte man nur noch jemanden der die Corporate Edition hat und das mal in einer Testumgebung testen kann. Hört sich zumindest nicht schlecht an.

schöne Grüße

Toolman

Zitat von "daghaedd"

Kann Kaspersky immer noch nicht einzelne infizierte Mails löschen, sondern löscht wie vor zwei Jahren gleich das ganze TB-File?

Habe auch Kaspersky im Einsatz. In der Hilfe steht (in Auszügen):

Kaspersky Internet Security enthält eine spezielle Komponente, die den Schutz der ein- und ausgehenden E-Mail vor gefährlichen Objekten gewährleistet: Mail-Anti-Virus. Diese Komponente wird beim Start des Betriebssystems gestartet, befindet sich ständig im Arbeitsspeicher des Computers und untersucht alle E-Mail-Nachrichten der Protokolle POP3, SMTP, IMAP, MAPI1 und NNTP, sowie im sicheren Modus (SSL) mit den Protokollen POP3 und IMAP.

[...]

Bei der Arbeit mit anderen Mailprogrammen (einschließlich [...] Mozilla Thunderbird [...]) untersucht Mail-Anti-Virus den Mailverkehr der Protokolle SMTP, POP3, IMAP und NNTP bei Empfang bzw. Versand.

Beachten Sie, dass bei der Arbeit mit dem Mailprogramm Thunderbird E-Mails des Protokolls IMAP nicht auf Viren untersucht werden, wenn Filter verwendet werden, welche die Nachrichten aus dem Ordner Inbox verschieben.

Der letzte komplette Virenscan bei mir ist heute morgen gelaufen - und hat keine TB-Dateien beschädigt. (Übrigens benötigt der Scan bei mir für 250 GB + 250 GB + 100 GB ca. 45 Min, allerdings werden "nur" neue und geänderte Dateien sowie bes. sensible Bereiche geprüft.)

Nur: das Kaspersky AntiSpam-Modul wird bisher nur in Outlook, Outlook Express und The Bat! integriert.

Gruß
Anka

dann mach mal den Heise Eicar-Test - ich würde aber empfehlen vorher ein Profilbackup zu machen.

http://www.heise.de/security/diens…html?mail=eicar

schöne Grüße

Toolman

Danke Toolman, das war ein guter Tipp.

Bei meinem Konto (bei domainfactory) kam die Mail gar nicht erst hier an. Auf dem Konto eines Kunden von mir (liegt bei 1&1) ist sie bis zu meinem Client vorgedrungen ... und wurde von Kaspersky IS eliminiert. Beruhigend zu wissen.

Gruß,
Anka

Hallo go24,

wirklich sicher ist dein Profil trotzdem nicht - Kaspersky könnte Thunderbird beim lesen und Schreiben von Mbox-Datei oder Prefs.js derart in die Quere kommen, dass du irgendwann auch Daten oder Kontoeinstellungen verlierst. Ich habe auch Kaspersky, das erste was ich gemacht habe war der Ausschluß des Profils - genaueres kannst du auf meiner Homepage unter Virenscanner-Anleitungen nachlesen. Es muss nicht heute oder morgen sein - manchmal reicht schon ein nicht ganz so sauber programmiertes Virendefinitionsupdate und du kannst deine Prefs.js neu aufbauen oder Mails verschwinden weil die Index-Datei beschädigt wird. Die Dateien müssen dabei nicht vom Virenscanner gelöscht oder verschoben werden - dann ließen sie sich ja in den meisten Fällen aus der Quarantäne holen. In den meisten hier beobachteten Fällen hat der Virenscanner nicht mal gemeckert. Er hat aber den Zugriff auf die Profildateien verzögert. Bei einigen Dateien wie der Prefs.js legt TB dann die Datei neu an und arbeitet dann mit dieser weiter - mit fatalen Folgen. Daher kannst du uns ruhig glauben, dass es nicht die schlechteste Idee ist, das Profilverzeichnis vom Scannen auszunehmen. Virenschutz besteht ja weiterhin wenn die Antivirus-Einstellung in Thunderbird gesetzt wird um eine Zwischenspeicherung der Mail in %temp% zu erreichen.

schöne Grüße

Toolman

Hallo Toolman,

vielen Dank für deine Tipps - ganz verstehe ich sie nicht und würde gern noch mal drauf zurückkkommen, sobald ich Zeit dafür finde. Aber ich hab grad noch mal eine andere Frage, da du auch Kaspersky einsetzt und dich sher gut auszukennen scheinst. Ich habe den vagen Verdacht, dass meine Mails von KIS nicht geprüft werden. Was genau bedeutet in der Kaspersky-Hilfe die Aussage "geprüft werden E-Mail-Nachrichten ... im sicheren Modus (SSL) mit den Protokollen POP3 und IMAP"? Mein Konto ist eigentlich als POP-Account eingerichtet, aber der SSL-Mail-Server hat kein "POP" im Namen. Und wenn Mails abgeholt werden, sehe ich keine Akitivität im Tray ...

Viele Grüße,
Anka

Hallo Anka,

du hast offensichtlich die entsprechende Anleitung bei mir im Forum noch nicht gelesen - ich kann Sie dir nur wärmstens empfehlen... Auch den Wiki - Artikel hier im Forum den ich unten in meiner Sig verlinkt habe. Wenn du die Antivirus-Einstellung gesetzt hast, erfolgt eine Virus-Prüfung der Mail in %temp% auf Dateiebene und nicht auf Protokollebene - daher kannst du die eher fehleranfälligen Mailscanner getrost deaktivieren - doppelt brauchst du eine Mail nun wirklich nicht mit der gleichen Scan-Engine zu scannen :lol:

Was das Scannen von ausgehenden Mails betrifft: las mich kurz mal nachdenken:

Wann braucht man das?

- du schreibst selbst einen Virus und willst vermeiden das der ausbricht
- du bist eine geteilte Persönlichkeit - die eine schreibt den Virus und die andere versucht das zu verhindern

im normalen Fall brauchst du das nicht - ist dein Rechner infiziert, hat dein Virenschutz ja schon versagt - und wird auch beim Senden versagen das ganze abzufangen. In vielen Fällen wird ein Virenschutz vom Virus , wenn er denn einmal ausgebrochen ist, deaktiviert, oder der Virus versteckt sich in einem vom Scanner nicht scanbaren Bereich)

Also auch deaktivieren....

OK, dann lass ich dich erst mal lesen (insbesondere den Wiki-Artikel und diesen hier: http://agsm.de/forum/viewtopic.php?t=33
sowie den zu deinem Scanner...
http://agsm.de/forum/viewtopic.php?t=42

schöne Grüße

Toolman

Hi Toolman,

habe deine Anleitungen jetzt studiert - sind ja echt ausführlich, danke. Ausgehende Mails lasse ich standardmäßig nicht prüfen. Ich verwalte drei Mailkonten: 2 mit SSL-Verbindungen, 1 normales POP-Konto. Bei letzterem sehe ich bei eingehenden Mails anhand des Kaspersky-Icons im Systray, dass die Mails untersucht werden, bei den Konten mit SSL-Verbindung sehe ich da keine Aktivität. Das verunsichert mich etwas. Diese ganze "Sicherheiterei" ist für mich sowieso ein bömisches Dorf, nur - funktionieren sollte es trotzdem

Gruß
Anka

Hallo go24,

ich gebs auf, du liest dir anscheinend meine Beiträge nur zur Hälfte durch.

schöne Grüße

Toolman