Virenscanner prüfen [erl.]

  • TB 3.1.12 POP Win7


    Guten Tag


    Neu bei TB. Wie kann ich fetstellen, ob mein Virenscanner GData Antivirus die eingehenden Mails tatsächlich prüft?


    Dank und Gruss
    Walt Gallus

  • Hallo,


    nun ja, zu wissen ob ein AV-Scanner wirklich funktioniert, ist ja gar nicht mal so uninteressant.
    Zuerst einmal solltest du unbedingt dafür sorgen, dass der Scanner (beide, on-access und auch on-demand) nicht das TB-Userprofil anfassen. Dies kann für alle deine Mails wirklich tödlich sein!


    Für die Freunde der WinDOSe ist es gar nicht mal so übel, wenn der eingehende Mailtraffic life gescannt wird. In der Regel wird damit eine mit Schadcode versetzte Mail schon erkannt. Dieser Scann ersetzt aber nicht die Überprüfung des abgelösten Mailanhanges! Da gibt es noch eine große Grauzone.
    Als sinnfrei und sogar Ursache für viele Probleme bezeichne ich das Scannen des ausgehenden Mailtraffics.
    Und Probleme treten fast immer auf, wenn du die Verbindungen zu den Mailservern verschlüsseln lässt.


    => All diese Einstellungen sind Einstellungen des AV-Scanners. Zuerst musst du diese also genau kontrollieren! Und natürlich richtig einstellen (Ausnahmen für das Profil, ausgehender Traffic: nein, ankommender Traffic ja)



    So, und nun beschreibe ich, wie du testen kannst, ob dein AV-Scanner generell richtig funktioniert:
    Für derartige Zwecke wurde der EICAR-Testvirus entwickelt.
    Das ist ein völlig ungefährlicher "Virus", der garantiert nicht schadet, der aber durch jeden AV-Scanner erkannt wird. Hier: EICAR -Testdatei – Wikipedia kannst du alles dazu nachlesen.


    Du kannst diese Testdatei herunterladen (dabei müsste schon der Scanner ansprechen => also beim zweiten Versuch diesen deaktivieren!). Dann kannst du dir selbst eine Mail mit dem "Virus" als Anhang schicken. Entweder gleich beim Laden der "verseuchten" Mail (= Überwachung des eingehenden Traffic) oder beim Ablösen des Anhanges, oder wenn du gar unvernünftigerweise gleich aus dem Programm heraus den Anhang startest, muss der Hindergrundwächter (on access) ansprechen.
    BTW: Das Versenden dieser Datei als Scherz an andere unbedarfte Nutzer solltest du aber bitte unterlassen!


    Und noch was: Bei einem falsch konfigurierten AV-Scanner kann es allerdings ganz schnell mal passieren, dass du sämtliche Mails los bist: Der falsch konfigurierte Scanner löscht die befallene Datei. Dumm ist nur, dass diese Datei dein kompletter Posteingang/Unterordner ist. Jetzt weißt du auch, warum der Scanner das Profil nicht überwachen darf.


    HTH


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter


    Vorab vielen Dank für deine ausführlichen und wertvollen Hinweise.


    Zitat von "Peter_Lehmann"


    Zuerst einmal solltest du unbedingt dafür sorgen, dass der Scanner (beide, on-access und auch on-demand) nicht das TB-Userprofil anfassen. Dies kann für alle deine Mails wirklich tödlich sein!


    Das hatte ich bereits in den Anleitugen gelesen und so eingerichtet. Zudem sichere ich das Profil regelmässig.


    Zitat

    Dieser Scann ersetzt aber nicht die Überprüfung des abgelösten Mailanhanges!


    Ich öffne keinen Mailanhang, ohne ihn vorher manuell auf Viren zu scannen (on demand).


    Zitat

    Und Probleme treten fast immer auf, wenn du die Verbindungen zu den Mailservern verschlüsseln lässt.


    Tue ich nicht.


    Zitat

    (Ausnahmen für das Profil, ausgehender Traffic: nein, ankommender Traffic ja)


    Genau so ist das bei mir eingerichtet.


    Zitat

    Hier: EICAR -Testdatei – Wikipedia kannst du alles dazu nachlesen.


    Eigentlich war mir EICAR vertraut, ich habe einfach nicht daran gedacht. Danke für den Link; ich hab's gerne nochmals gelesen.


    Zitat

    Dann kannst du dir selbst eine Mail mit dem "Virus" als Anhang schicken.


    GData Antivirus erkennt den Bösewicht und löscht das gesamte Mail, nicht nur den Anhang, und das ohne jeglichen Kommentar. Der Empfänger merkt gar nicht, dass er ein infiziertes Mail erhalten hat. Nicht einmal im Protokoll wird das vermerkt. Das ist aus meiner Sicht unbefriedigend. Es würde genügen, den Anhang zu löschen und den Empfänger zu informieren.


    Zitat

    Und noch was: Bei einem falsch konfigurierten AV-Scanner kann es allerdings ganz schnell mal passieren, dass du sämtliche Mails los bist: Der falsch konfigurierte Scanner löscht die befallene Datei.


    Worauf genau muss ich da achten?


    Dank und Gruss


    Walt Gallus

  • Hallo,

    Zitat von "waltgallus"


    GData Antivirus erkennt den Bösewicht und löscht das gesamte Mail, nicht nur den Anhang, und das ohne jeglichen Kommentar. Der Empfänger merkt gar nicht, dass er ein infiziertes Mail erhalten hat. Nicht einmal im Protokoll wird das vermerkt.


    das müsste sich doch über die Einstellungen in der Software ändern lassen...

  • Zitat

    Worauf genau muss ich da achten?


    Das habe ich doch in meinem letzten Absatz geschrieben.


    Wie du aus unserer Anleitung weißt ..., werden alle Mails je "Mailordner" hintereinander in einer mbox-Datei gespeichert. Und wenn du den Scanner auf dein Profil loslässt und er in einer mbox-Datei etwas seiner Meinung nach schädliches findet, dann wird er bei falscher Konfiguration die befallene Datei gründlich shreddern. => und schwupps ist deine komplette mbox-Datei weg. Und zwar unwiederbringlich.
    Deshalb solltest du einen AV-Scanner (unabhängig davon, dass er nicht das TB-Usrprofil überwachen darf) immer so konfigurieren, dass er nie von alleine löscht! Immer entweder nur melden und keinen Zugriff zulassen oder die befallene Datei in Quarantäne verschieben.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "graba"


    das müsste sich doch über die Einstellungen in der Software ändern lassen...


    Inzwischen habe ich das auch gefunden.


    Dank und Gruss
    Walt Gallus