AV-Programm mit E-Mail-Schutz für SSL- und HTTP-Protokolle

  • Hallo!


    Nachdem man das Thunderbird-Profil wegen des bescheuerten mbox-Formats von Virenscans ausnehmen muß, wollte ich ein AV-Programm, welches die Mail wenigstens beim Herunterladen prüft. Ich probiere derzeit die Avira AntiVir PersonalEdition 7 Premium aus, da sie den meisten Testberichten zufolge sehr gute Erkennungsraten hat und resourcenschonend ist und ich mit der vorher von mir verwendeten Freeware-Version zufrieden war. Dabei habe ich leider etwas festgestellt, was in der Werbung natürlich gar nicht und nur in wenigen Tests erwähnt wird: Vom AntiVir-MailGuard werden IMAP-, SSL- und HTTP-basierende Protokolle NICHT gescannt! Auch Avast und Norton scannen Accounts mit SSL nicht (bezüglich HTTP bin ich mir bei diesen beiden nicht klar). Nachdem ich einerseits GMX-Accounts (mit SSL) und andererseits Hotmail-Accounts (HTTP) habe, erscheinen mir diese AV-Programme nicht mehr besonders verlockend.


    Und falls mir jetzt jemand damit kommen möchte, daß bei Thunderbird ein MailGuard unnötig sei: Ich habe in den Thunderbird-Einstellungen zwar die Funktion "Anti-Virus-Software ermöglichen, eingehende Nachrichten unter Quarantäne zu stellen" aktiviert, aber Avira AntiVir PersonalEdition 7 spricht darauf nicht an, ich hab das per c't-E-Mail-Check mit verschiedenen Viren-Dummy-Anhängen geprüft. Avira rührte sich in allen Fällen erst, als ich versuchte, den Anhang zu öffnen oder zu speichern. Die gleichen Erfahrungen haben laut Avira Personal Support Forum auch schon andere gemacht z.B. http://forum.avira.com/thread.…ba7473b46774ed44ead1ef392
    Und das war auch der Grund, warum ich von der Freeware AntiVir Classic auf das kostenpflichtige AntiVir Premium umgestiegen bin, weil ich deshalb einen MailGuard wollte. Bin erst jetzt draufgekommen, daß Avira AntiVir nicht zu den ausdrücklich als Thunderbird-kompatibel bezeichneten AV-Programmen zählt http://kb.mozillazine.org/Anti…_from_deleting_your_Inbox . Bei einem normalen POP3-Account funktioniert der AntiVir-MailGuard allerdings tadellos...


    Kennt jemand aus eigener Erfahrung ein gutes AV-Programm, wo entweder a) dessen MailGuard mit E-Mail-Accounts mit SSL und HTTP zurechtkommt oder b) dessen normaler Hintergrundwächter mit der Funktion "Anti-Virus-Software ermöglichen, eingehende Nachrichten unter Quarantäne zu stellen" verläßlich zusammenarbeitet?


    Meine Thunderbird-Version ist 2.0.0.6


    Besten Dank im voraus


    Marx_Brother

    Einmal editiert, zuletzt von Marx_Brother ()

  • SSL steht einfach gesagt für Verschlüsselung. Dabei werden die gesamten Mails MIT VIREN (wenn es denn welche gibt) verschlüsselt. Wie soll ein Virenscanner einen verschlüsselten Virus erkennen? Daher unterstützt das mit Sicherheit KEIN Virenscanner. Ich wüsste nicht wie man das Problem lösen soll.

  • Eben weil die meisten Antiviren-Produkte den SSL-Verkehr nicht untersuchen, wird die SSL-Verschlüsselung von Angreifern zur Verbreitung von schädlichen Programmen benutzt . Kaspersky kann solche geschützte Verbindungen angeblich untersuchen, ich hätte aber gerne von einem User bestätigt, daß das auch mit Thunderbird einwandfrei funktioniert
    http://support.kaspersky.com/de/faq/?qid=207618876
    http://support.kaspersky.com/de/kav7/mail?qid=196959726


    Bei der unverschlüsselten Hotmail (HTTP-basierend) sollte jedoch laut Thunderbird-Mail.de-Wiki eigentlich auch der normale Hintergrundwächter von Avira Antivir anschlagen, wenn die Funktion "Anti-Virus-Software ermöglichen, eingehende Nachrichten unter Quarantäne zu stellen" aktiviert ist: Zitat "Dabei wird die E-Mail zunächst im Standard-Temp-Ordner des Betriebssystems als newmsg-x abgelegt. Hier kann der Virenscanner die E-Mail abfangen und gegebenenfalls löschen. Nur E-Mails, die diese Hürde gemeistert haben, kommen dann in die mbox-Datei von Thunderbird." Tut er aber nicht!


    MfG Marx_Brother

  • Hi Marx-Brother,


    warum es nicht funktioniert und auch niemals funktionieren wird, einen verschlüsselten Datenstrom zu scannen, hat dir Thunder ja erklärt. (Natürlich kannst du dir einen eigenen Mailserver -Sicherheitsgateway- vorschalten, der die Mails abholt und scannt - dann brauchst du auf dem Client nicht zu scannen, aber wir sprechen ja hier wohl von einer Privatanwendung ... .) Das ist eben so - und du must dir überlegen, ob dir die Verschlüsselung der Verbindung zum Provider ODER das Scannen des Traffics wichtiger ist.
    Derartige Überlegungen und deren Ergebnisse nennen wir im Bereich der IT-Sicherheit das Abschätzen des "kalkulierbaren Restrisikos".


    Was bringt dir die verschlüsselte Verbindung?
    Nein, deine Mails schützt sie nicht vor fremden Blicken. Ab Gateway des Providers liegt sie wieder unverschlüsselt vor. Wie es dann weitergeht, kannst du weder wissen noch beeinflussen. Sie schützt aber sowohl deine Mail-Passwörter und auch die Mails selbst - aber nur auf dem kurzen Stück bis zum Provider. Lohnenswert also nur in einem (Firmen-) Netzwerk oder einer Wohngemeinschaft mit neugierigen Administratoren bzw. Mitbewohnern oder falls du noch ein unverschlüsseltes WLAN benutzt (aber das ist ja schon sträfliche Dummheit!).


    Was nutzt dir das Scannen des Mailtraffics bzw. welchen Gefahren setzt du dich aus, wenn du es nicht machst? Oder, welche Nachtreile bringt das sogar?
    Wenn du von unbelehrbaren oder auch unwissenden Menschen umgeben bist, die ohne Nachzudenken auf jeden Anhang mit einem interessant klingenden Namen klicken müssen - meistens auch noch direkt aus dem Mailprogramm heraus - ja dann bleibt dir keine andere Wahl. Dann hast du deine Entscheidung getroffen und du kannst mit Lesen aufhören.
    Was passiert denn eigentlich, wenn du dir eine Mail mit einem Malware-Anhang runtergeladen hast? Zuerst einmal NICHTS! Du hast im Body eine Menge codierten Code. Na und? Wenn du jetzt diesen Anhang ablöst, damit decodierst und in den Speicher holst, dann muss ein funktionierender on-access-Wächter aktiv werden und melden. Dies passiert sogar bei den Unbelehrbaren, die aus Bequemlichkeit unbedingt Anhänge direkt aus dem Mailprogramm heraus starten müssen, zumindest meistens ... . Wenn du jetzt deinen Virenwächter richtig konfiguriert hast, dass er nur meldet und nicht etwa löscht oder gar "desinfiziert", dann passiert absolut nichts. Du weißt, dass diese Mail infiziert ist, kannst sie löschen, den Papierkorb leeren und beide Ordner komprimieren. Und schon ist der Spuk beseitigt. Und weil ein on-demand-Scanner in der Erkennungsrate noch immer besser als ein on-access-Scanner funktioniert, empfehle ich auch noch das manuelle Scannen der Datei im Download-Ordner.
    Ich möchte auch die direkten Nachteile des Scannens des Mailtraffics nicht vergessen: Ausbremsen der Downloadgeschwindigkeit bei den heute beliebten übergroßen Anhängen, damit Laufen in die Timeout-Falle bis zu Verbindungsabbrüchen, unnütze Prozessorlast, unerklärbare Fehler beim Empfang oder Senden - bis hin zu nicht verifizierbaren Ergebnissen des Scannens, also nicht festgestellten Viren. (Siehe weiter oben.)


    Für mich heißt der beste Virenscanner "Brain 01"!
    Er ist trainierbar (lebenslang!), macht automatische Updates, kostet nichts, bremst das System nicht aus und funktioniert problemlos. Und in Verbindung mit einem strikten Verzicht auf Klickibunti-Mails (verzeihung, meine html ...) reicht mir ein guter on-demand-Scanner, damit ich nicht etwa infizierte Anhänge an meine WinDOSen-benutzenden Freunde weiterleite. Wäre schließlich peinlich ... .
    Ein weiteres Argument für den Verzicht auf das Scannen des Traffics ist für mich auch, dass ich fast alle meine Mails per S/MIME, also "end-to-end" verschlüssele.


    MfG Peter
    der sich voll bewusst ist, dass nicht jeder mit meiner persönlichen Meinung einverstanden ist :-)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"


    warum es nicht funktioniert und auch niemals funktionieren wird, einen verschlüsselten Datenstrom zu scannen, hat dir Thunder ja erklärt.


    Hi Peter,


    Thunder hat hier nix erklärt, sondern nur behauptet, und auf der anderen Seite behauptet Kaspersky, daß es bei seinem Anti-Virus 7.0 geht, brauchtest Dir nur meine obigen Links anschauen...


    Aber Deine Argumente gegen einen MailGuard sind durchaus überlegenswert.


    Warum bei unverschlüsselter Hotmail (HTTP-basierend) der normale Hintergrundwächter von Avira Antivir trotz aktivierter TB-Funktion "Anti-Virus-Software ermöglichen, eingehende Nachrichten unter Quarantäne zu stellen" nicht Alarm schlägt (nicht nur bei mir), bleibt allerdings ungeklärt.


    MfG Marx_Brother

  • Ich denke, dass man einen verschlüsselten Traffic nicht auf Viren untersuchen kann, bleibt unbestritten.
    Die Frage ist, WO gescannt wird.
    Im professionellen Bereich setzt man eben richtige Security-Gateways ein. Diese laufen auf extra Maschinen, bauen die Verbindung selbst auf und nach der Entschlüsselung kann man eben auch scannen. Nicht viel anders - aber eben auf dem Benutzerclient - wird das "der Kasperski" machen. Er wird sich also wie ein Proxy nach der Entschlüsselung in den Datenstrom einklinken. Noch eine Stufe mehr ... .


    Bei der ominösen Hotmail-Trickserei ist "alles anders" als üblicherweise. Irgendwie grabbert die Hotmail-Erweiterung die html-Ausgabe von Hotmail ab und extrahiert den Inhalt raus. Will mich damit nicht befassen, ich betrachte das einfach als eine unsaubere Angelegenheit. Aber wers braucht ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat Kaspersky:
    Zur Untersuchung von verschlüsselten Verbindungen tauscht Kaspersky Anti-Virus/Kaspersky Internet Security das angeforderte Sicherheitszertifikat durch ein selbst signiertes Zertifikat aus.


    Es ist natürlich fragwürdig, ob ich einem selbst-signierten Zertifikat einer Softwareschmiede mehr vertraue als einen Zertifikat eines anerkannten ZDA.


    Whatever, ich glaube, darum geht es aber in erster Linie in diesem Thread nicht :-)


    Fakt ist, wie Peter schon richtig sagt. auf realen und unüberlisteten, bzw. ungetäuschten Wegen ist es bisher keinem Programm möglich, verschlüsselte Daten auf Viren zu scannen!!!

  • Auf die Gefahr, daß ich Verschlüsselung von emails und Sicherheitsprotokolle von Webseiten durcheinander werfe. Kaspersky (bei mir KIS 6.0) erkennt Viren, die über eine verschlüsselte Internetverbindung gedownloadet werden sollen (allerdings mit einigen Sekunden Verzögerung).


    http://img66.imageshack.us/img66/7943/ssluf2.png


    Wie das geht, weiß ich nicht.

  • Na ja, wenn ich die Infos aus dem Screnshot richtig gedeutet habe (auf die Schnelle), dann hast du versucht, die angehängte Datei auf den Rechner zu downloaden. Da schlägt (hoffentlich) jeder gute Virenscanner an durch den Realtime-/Echtzeitscan, da eine 'verseuchte Datei auf dem Rechner abgelegt werden soll.

  • Tja, ich wusste schon, dass ich dass hier

    Zitat von "Peter_Lehmann"

    Ich denke, dass man einen verschlüsselten Traffic nicht auf Viren untersuchen kann, bleibt unbestritten.


    nicht ganz kapiert habe...


    Fakt ist, ich habe den testlink angeklickt, aber dem Downloadmanager von Firefox 2 noch keine Zustimmung zum Abspeichern auf meinen PC gegeben sondern nur gewartet. Das ist doch lediglich traffic, oder? :oops:

  • Zitat von "Amsterdammer"

    Fakt ist, ich habe den testlink angeklickt, aber dem Downloadmanager von Firefox 2 noch keine Zustimmung zum Abspeichern auf meinen PC gegeben sondern nur gewartet. Das ist doch lediglich traffic, oder? :oops:


    Die Datei wird aber AFAIK bereits im Hintergrund geladen. Wenn man die "Zustimmung zum Abspeichern" erst nach einiger Zeit gibt, sieht man (meine ich), dass der Download bereits begonnen hatte.


    Jede anständige AV-Software schlägt da bereits an. Bei mir meldet sich z.B. NOD32 schon definitiv vorher.

  • Sorry fot theradspam, sind das zwei paar Schuhe?
    Die Eicar Datei wird ueber

    Zitat

    Download Area using the secure, SSL enabled protocol https


    angeboten. Wenn ein AV das entschluesseln kann, muss das auch mit SSL verschluesselten Dateien moeglich sein, die via mail-port auf deinen PC gelangen?

  • Hi,


    ich dachte, dass ich das schon erklärt habe ... .
    - den TLS/SSL verschlüsselten Traffic kann definitiv den Virenscanner untersuchen. (Dann könnte es ein anderes Programm ... auch)
    - Der Endpunkt für die verschlüsselte Verbindung ist (im Normalzustand) dein Mailclient, dein Browser oder ein sonstiges Anwendungsprogramm
    - Es wird aber nicht nur ent- und in Senderichtung verschlüsselt, sondern es wird überprüft, ob die Gegenstelle, also der Server des Providers, wirklich authentisch ist. Auch das macht das Anwendungsprogramm. Das sind die bewussten Fehlermeldungen bei einem falschen Servernamen, die Unkundige gern deaktiviert haben möchten ... .
    - Jetzt wird das Sicherheitsgateway (ganz allgemein) vor deinen Client bzw. vor das Anwendungsprogramm geschaltet.
    - Also handelt dieses Programm jetzt mit dem Server den symm Schlüssel aus und entschlüsselt bereits den Traffic. Jetzt kann er diesen auch scannen, denn er ist ja entschlüsselt.
    - Und jetzt ist eben nur noch die Frage, wie es dann zur Applikation weiter geht und wie die Auth-Prüfung ausgewertet wird. Das Gateway kann wieder verschlüsseln (mit einem eigenen Zertifikat ...) und deine Applikation macht auch wieder TLS/SSL (ist bei echten Sicherheitsgateway nicht unüblich), oder es leitet unverschlüsselt weiter (bei lokaler Anwendung auf dem eigenen Rechner, warum nicht?). Die Frage ist, mit welcher Zuverlässigkeit derartige Gateway einen Auth-Fehler an den Client durchreichen. Oder deutlicher: Ob und wie sie einen man-in-the-middle erkennen und an den Bediener melden. Oder vielleicht gar vergessen?


    Jetzt sind wir wieder bei der Frage, was mir wichtiger ist? (Aber die hatten wir ja wirklich weiter oben schon ... .)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    ich hab hier eine "Bastelanleitung" gefunden, wie man bei Norton, dessen E-Mail-Prüfung auch nicht mit dem SSL-Protokoll kompatibel ist, das Scannen von via SSL versendeter POP3-Mail angeblich ermöglichen kann http://robert.accettura.com/ar…virus-with-pop3-over-ssl/


    Wenn das klappt, müßte es wohl auch bei Avira AntiVir PE Premium bzw. anderen Virenscannern funktionieren, ist mir als Laien aber zu kompliziert. :roll:


    Vielleicht findet sich ein Könner, den das interessiert und der es ausprobiert und dann darüber berichtet?


    MfG Bogey :drinking:

  • Ich gebs auf ...


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Marx_Brother"

    ... versendeter POP3-Mail


    ??


    Ich sehe immer noch kein Problem, das in der Praxis sicherheitstechnisch relevant ist (abgesehen davon, dass gewünscht wird, dass eine Software meine verschlüsselte Verbindung bepfuschen soll ;))

  • Was heißt hier beratungsresistent? Ich würde eher sagen vorurteilsfrei. Hab eben gedacht, daß es jemanden interessieren könnte, diese Gratis-Lösung selbst bezüglich ihrer Sicherheit zu checken, zumal hier auch erklärt wird, wie man das Sicherheitsmanko eines vorgegebenen Zertifikats durch ein eigenes beseitigen kann. Tschuldigen für diese Fehleinschätzung! [-o<


    Wenn die Methode an sich so ein offensichtliches unnötiges Sicherheitsrisiko ist, dann frag ich mich nur, ob die Leute, die so etwas beim Kaspersky AntiVirus serienmäßig eingebaut haben, nix von der Materie verstehen? Kaspersky wird doch ansonsten meistens als einer der besten wenn nicht der beste Virenscanner überhaupt gelobt?


    MfG Marx_Brother