TB 3.0: Virenscanner oder SSL bei POP, SMTP?

  • Hallo zusammen,


    bin leider nach langer Lektüre immer noch nicht schlauer. Ich weiß nun, dass die Virenscanner Mails auf SSL-verschlüsselten Verbindungen nicht prüfen können. Nach kurzem Umsehen hab ich festgestellt, dass die wenigsten meiner Bekannten überhaupt SSL bei ihren Konten aktiv haben. Lediglich die Hotmail-Kunden, die wohl zwangsweise so vorgehen müssen.


    Über das Forum bin ich zwar dem Tip von Toolman gefolgt, aber ich kapiers nicht.


    Zum einen fehlt mir eine klare Empfehlung:
    SSL bei Konten aktiv: ja oder nein.
    Nachdem Hotmail auf SSL umgestellt hat, zwangsweise ein ja, oder täusche ich mich?


    Zum anderen sollte die Beschreibung der Virenscanner-Einstellungen - in meinem Fall Avast - um ein paar wichtige Punkte ergänzt werden:
    Ein Hinweis auf Vor- und Nachteile der SSL-Verschlüsselung wären angebracht. Speziell, nachdem Hotmail wohl nur noch über SSL Verbindungen annimmt (kann mich irren).
    Wenn ich wegen SSL-Nutzung keine ein- und ausgehenden Mails prüfe kann (Haken deaktivieren), warum nicht den Provider "Internet Mail" (Avast) deaktivieren bzw. gar nicht erst installieren?
    Ausschluss des TB-Profilverzeichnisses über Programmeinstellungen sollte ausreichen.
    Anhänge erst speichern und dann öffnen.
    Wie umgehen mit Security Essentials bei Windows 7?


    Jetzt die Preisfragen:
    Warum beim Standardschutz nochmals das TB-Profil angeben, wenn es über die Programmeinstellungen schon ausgeschlossen ist?
    Warum immer vor einem Scan wieder neu die Ordner auswählen und das Profilverzeichnis abwählen, wenn es schon ausgeschlossen ist?


    Nicht böse sein, aber ich bin echt verwirrt und soll morgen Abend meine Kompetenz beweisen.

  • Hi Bruce :-),


    ich versuchs mal.
    Und zwar versuche ich mal, das verbleibende Risiko herauszuarbeiten. In meinem Beruf nennt man das "das kalkulierbare Restrisiko".
    Was bringt uns die Verschlüsselung des Traffics zwischen deinem Client und dem Server deines Providers?
    - Es wird die o.g. Verbindung schon zu ihrem Beginn, also deren Aushandlung, verschlüsselt;
    - bereits der Benutzername und dessen Passwort werden verschlüsselt übertragen;
    - selbstverständlich werden nach der Anmeldung auch die zu übertragenden Mails verschlüsselt. Genau gesagt, nicht die Mails, sondern "der Traffic";
    - auf dem Server des Providers liegen diese Mails dann wieder in lesbarer Form vor;
    - wie der Austausch zwischen den einzelnen Providern und letztendlich zum Empfänger erfolgt, kannst du weder wissen noch beeinflussen. Es ist also kein end-to-end-Schutz deiner Mails!
    - Herr Neugierig (da "Bob" und "Alice" schon vergeben sind, nennen wir ihn einfach mal "Wolfgang") kann deine Mails jederzeit beim Provider abgreifen bzw. bekommt sie sogar frei Haus geliefert.
    - Also dient diese Verschlüsselung lediglich dem Schutz des kleinsten Stücks der Verbindung und dabei vor allem deiner Konto-PW.
    - Und vor wem? Maximal vor eventuell vorhandenen neugierigen Administratoren in Firmen, einer Uni, von Internetcafes oder einer WG usw.
    - Aber immer bei Verwendung öffentlicher Zugangspunkte wie unverschlüsselten öffentlichen WLAN-AP, wo wirklich jeder mitlauschen kann!
    - Als "Gegenleistung" kannst du deinen Mailtraffic nicht auf Viren scannen.


    Und da sind wir beim zweiten Teil, dem Scannen des Mailtraffics.
    - Den ankommenden Traffic scannen zu lassen betrachte ich als zwar nicht zwingend notwendig, aber keinesfalls schädlich.
    - Für zwingend erforderlich halte ich es, Mailanhänge niemals aus dem Mailprogramm heraus zu starten, sondern immer erst ablösen, scannen und dann vor Ort starten => damit relativiert sich die Notwendigkeit des Scannens des Verbindung zum pop/imap-Server.
    - Als sinnfrei betrachte ich das Scannen der Verbindung zum Postausgangsserver. Es bringt fast immer Nachteile und Probleme mit sich (Timeout bei größeren Anhängen usw.) Ein verantwortungsbewusster User scannt die Anhänge, bevor er sie anderen Leuten schickt!


    ==> Schätze selbst ein, wie groß bei beiden Möglichkeiten dein kalkulierbares Restrisiko ist. Und beziehe auch deine eigene Bequemlichkeit mit ein.


    Was du unbedingt verhindern musst ist, dass der an-access-Scanner (Virenwächter) das TB-Benutzerprofil überwacht. Das kann nicht nur zu echten "Betriebsstörungen" führen, sondern sogar zum Totalverlust aller deiner Mails.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • :) Merci für die Antwort.


    Schon fast was gelernt: Ich habe tatsächlich SSL aktiviert, ohne zu wissen, ob es in der Wohnung wirklich notwendig ist. WLan ist WPA2-gesichert und es dürfen sich keine anderen Mac-Adressen als die bekannten anmelden. Da kann sich tatsächlich keiner so einfach (!) reinhängen. Mailinhalte sind nicht wirklich so wichtig, dass sie verschlüsselt sein müssen. Dass allerdings der Versand möglicherweise häufiger genutzter Benutzer-PW-Kombinationen verschlüsselt sein sollte, erachte ich tatsächlich als sehr, sehr wichtig. Ich vermute nicht umsonst gehts bei Hotmail nicht anders.


    Zum Virencheck:
    Bei GMX und Hotmail habe ich mit Eicar geprüft - da geht nichts durch. Lediglich IMAP beim Webhoster ist noch ungeprüft. Ich für meinen Teil komme zum Fazit,
    dass mir SSL-Schutz meines PWs und meines Logins wichtiger ist.
    dass ich Anhänge erst abspeichere und dann scanne bzw von Platte öffne und der Scanner prüft bei diesem Zugriff.
    dass ich den Mailprovider von Avast nicht installieren werde, wenn eh schon ein Teil der Mails ungeprüft kommt (trügerische Sicherheit).


    Meine abschließenden Fragen:
    Warum einen Anhang ablösen?
    Warum wurde die Exkludierung der Verzeichnisse in Avast im HowTo (siehe Link im ersten Post) an drei Stellen vorgenommen, statt an einer?

  • Es ist spät, und morgen klingelt wie immer um 05:15 der Wecker ... .
    Suche mal mit Hilfe unserer Suchfunktion. Ich habe schon viel zu diesem Thema geschrieben.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Bruce_Will_Es


    ich habe das gleiche Problem und versteh es auch nicht richtig.


    gibt es hier eine "bebilderte" Anleitung der Einstellungen in AVAST 5 und Thunderbird3?
    Habe den Hinweis von AVAST bekommen, dass ich SSL deaktivren soll, es hat selbst eine SSL-Verschlüsselung :-/


    Was denn nu. SSL in TH aktivieren und in AVAST deaktivieren oder umgekehrt?

  • Hi, ich habe Avast in den Programmeinstellungen unter Ausschlüsse nicht gestattet, auf mein TB-Profil-Verzeichnis zuzugreifen (volle Pfadangabe). Zudem habe ich den Avast Mailprovider unter "on access Schutz Steuerung" beendet. Ansonsten sehe ich keine weiteren Einstellungsmöglichkeiten - korrigiert mich, wenn ich falsch liege.


    SSL für den Verbindungsaufbau behalte ich bei meinen Konten bei. Gerade bei Hotmail gehts nicht anders.


    Getestet habe ich mit der Eicar-Testdatei. Übliche kostenfreie Mailprovider kontrollieren mit ihren Virenscannern sowieso schon im Basispaket und benachrichtigen, wenn da was gefunden wird (keine Zustellung).


    TB 3.0 sollte keine Scripte ausführen können, von daher geht von HTML-Mails auch keine Gefahr aus. Wenn eine Datei geöffnet werden soll: Abspeichern, per Rechtsklick mit Virenscanner prüfen und erst dann öffnen.

  • Hallo, ich habe keine Ahnung, wo man im Forum ewine Frage stellen kann. Daher klinke ich mich hier ein, da das Thema wohl meine Frage berührt: Ich arbveite neuerdings mit Thunderbird. Als Antivirenprogramm nutze ich seit Jahren !Avast! home". Bei Thunderbird, Version 3.03, auf einem Vista Rechner, gibt Avast mir die Meldung, dass sie eine sichere Verbindung (Prozess thunderbird.exe) zum SMTP-Server von gmx.net gefunden haben und dieser Verbindungstyp nicht auf Viren überprüft werden kann. Daher empfielt Avast, SSL/TLS in thunderbird zu deaktivieren, damit die Nachrichten überprüft werden können. Avast! Mail-Schutz bietet eiene SSL/TLS-Sicherheitsdienste an.


    Kann einer von Euch mir sagen, wie man das macht?? Danke! Gleichzeitig bitte ich Euch foren-Veteranen, mir zu sagen, wie ich eine Frage im forum plazieren kann. Danke nochmals und Gruss Franzhenry

  • Hallo Franzhenry,
    willkommen im Thunderbird-Forum!


    Ich habe zunächst einmal deinen Beitrag "entfettet", um Augenschmerzen zu vermeiden.

    Zitat von "Franzhenry"

    Hallo, ich habe keine Ahnung, wo man im Forum ewine Frage stellen kann.


    Für derartige Fragen haben wir unsere Foren-FAQ auf der linken Seite. Darin findest du u. a. auch Wie schreibe ich ein Thema?

  • Hallo Franzhenry,


    finde Deinen Beitrag hier nicht verkehrt, da ähnliche Problemstellungen eine Art Knowledge-Base bilden können.


    Wie schon in meinem Beitrag zuvor habe ich auch Avast in Kombination mit TB 3.x am Laufen.


    Viren per Mail bekomme ich über GMX keine rein oder raus: Wenn ich testweise einen sende/bekomme, dann kommt sofort eine Mail von GMX. Von daher bist Du auf der Mailseite schon mal abgesichert. Dazu lese ich meine Mails als Plain/Rich Text ohne Nachladen von Serverbildern. Phishing, Spam-Bilder vom Server nachladen (dient denen zur Verifikation) und vieles andere HTML-Gedöns kommt dabei auch nicht mehr vor. Ist am Ende sogar komfortabler zu lesen als vieles andere.


    Da ich also hier keine Befürchtungen haben muss, habe ich Avast ohne Mailscanner installiert und das Profilverzeichnis von TB zusätzlich noch vom Scannen ausgeschlossen.


    Beste Grüße,
    Bruce

  • Hi Bruce,


    über deinen Beitrag habe ich mich sehr gefreut!


    Zitat von "Bruce_Will_Es"

    ... da ähnliche Problemstellungen eine Art Knowledge-Base bilden können.


    Da hast du völlig Recht.
    Wenn ich alle Beiträge, die ich zu diesem Thema immer wieder life eintippe, zusammenfassen würde ... .
    Aber zum Verfassen eines FAQ-Beitrages fehlt mir immer wieder der Anstoß. Alles eine Frage der Zeit ... .


    Zitat von "Bruce_Will_Es"

    Viren per Mail bekomme ich über GMX keine rein oder raus: Wenn ich testweise einen sende/bekomme, dann kommt sofort eine Mail von GMX. Von daher bist Du auf der Mailseite schon mal abgesichert.


    Nun, den ersten Satz wollen wir relativieren. Einen 100pro-Schutz kann dir niemand bieten. Aber in einem stimme ich dir voll zu: Den Aufwand, den ein seriöser Provider hinsichtlich Schutz vor Malware aber auch für das Backup bei IMAP-Konten betreibt, kann ein "Normalnutzer" nie leisten! Deshalb meine volle Zustimmung!


    Zitat von "Bruce_Will_Es"

    Dazu lese ich meine Mails als Plain/Rich Text ohne Nachladen von Serverbildern. Phishing, Spam-Bilder vom Server nachladen (dient denen zur Verifikation) und vieles andere HTML-Gedöns kommt dabei auch nicht mehr vor. Ist am Ende sogar komfortabler zu lesen als vieles andere.


    Volle Zustimmung!
    Und wenn ich mir wirklich mal bewusst eine Mail im Klickibuntiformat ansehen will, gibt es das schöne Add-on "Allow HTML temp", mit welchem ich die Ansicht für diese eine Mail per Knopfdruck umschalten kann.


    Zitat von "Bruce_Will_Es"

    Da ich also hier keine Befürchtungen haben muss, habe ich Avast ohne Mailscanner installiert und das Profilverzeichnis von TB zusätzlich noch vom Scannen ausgeschlossen.


    Und wenn du jetzt noch Mailanhänge nicht direkt aus dem Mailprogramm heraus öffnest, sondern erst abspeicherst, scannst und dann vor Ort öffnest, dann hast du wirklich alles was zumutbar ist, getan.


    Also nochmals vielen Dank für deinen Beitrag.
    Mögen ihn möglichst viele Nutzer lesen und auch danach handeln ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Paradise (<= ja, so viel Zeit nehmen wir uns hier ... .),


    selbstverständlich kannst du ein derartiges "Sicherheits-"Programm als eine Art lokalen Proxy zwischen deinen Client und den Server schalten (*). Dieses Teil spielt dem Server die Gegenstelle vor und somit den Endpunkt der verschlüsselten Verbindung. Ja, damit hast du die verschlüsselte Verbindung bis zum ersten Mailserver und kannst den Traffic scannen.
    (*) In Firmen- und Behörden-Intranets ist es sehr wohl üblich, sämtlichen TLS/SL-gesicherten Internet-Traffic in einem Sicherheitsgateway zu entschlüsseln und zu scannen. Und nicht nur das ... .


    Trotzdem ist diese Lösung mit dem lokalen Proxy IMHO wenig sinnvoll:
    1.) Da der Mailclient nicht das SSL-Zertifikat des Servers prüfen kann, kannst du nie sicher sein, ob du mit der richtigen Gegenstelle korrespondierst. Du siehst maximal das Zertifikat des Gateways, und dieses stimmt immer. Durch diesen Proxy ist dem Man-in the-Middle-Angriff Tür und Tor geöffnet. Damit ist die Verschlüssselung sinnfrei.
    2.) Mit dem Einbau eines zusätzlichen Proxy hast du wieder eine Fehlerquelle. Ich freue mich schon auf die kommenden Anfragen im Forum ... .


    Ich bleibe bei der Aussage, welche ich schon x-mal gepostet habe: Du musst dich entscheiden, ob du TLS/SSL haben willst, oder den Traffic scannst.


    Mit den bei uns üblichen "freundlichen Grüßen"!
    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!