ICS-Datei fehlerhaft?

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.2
    * Lightning-Version: 3.1.1
    * Betriebssystem + Version:Win7Pro


    Hallo liebe Gemeinde,


    ich habe folgendes Problem:


    Meine Frau und ich teilen seit Jahren unsere Termine, indem wir uns Einladungen schicken. Sie benutzt geschäftlich einen Notebook mit Win7Pro und Outlook 2010, ich habe geschäftlich einen iMac mit OS X Lion (10.7.5) mit iCal und privat besitzen wir einen Notebook mit Win7Pro und Lightning. Bis vor einigen Tagen hat alles gut funktioniert. Dann konnte ich plötzlich auf dem Mac keine Einladungen mehr vom Privatrechner mit Lightning einlesen. In der Gegenrichtung klappte alles.


    Nach mühsamer Fehlersuche habe ich entdeckt, dass die vom Lightning erzeugte ICS-Datei plötzlich mit einer "Leerzeile" begann und nicht mit dem üblichen "BEGIN:VCALENDAR". Nach Löschen der Leerzeile konnte mein Mac die Einladung problemlos einlesen. Meine Suche nach dem "Saboteur" führte mich zu Aviras Virenscanner, den ich vor kurzem neu upgedatet habe.


    Nach Deaktivierung der Email-Schutzfunktion in Avira, kann ich die Einladungen vom Lightning wieder auf dem Mac einlesen. Die ICS-Datei ist wieder in Ordnung. Allerdings ist das keine wirkliche Lösung, die Virensuche bei Emails auf Dauer abzuschalten. Daher meine Frage:


    Hat jemand schon ähnliche Probleme erlebt und/oder könnte mir jemand einen Tipp geben wie ich trotz Virenschutz privat weiterhin mit Lightning arbeiten kann?


    Danke im Voraus


    Zellhaufen

  • Hallo Zellhaufen,


    und willkommen im Forum!
    Es gibt einen Grundsatz, welcher lautet: lasse niemals dein TB-Userprofil durch deinen AV-Scanner überwachen, und vor allem lasse durch diesen keine Schreibvorgänge im Profil zu!!!


    Ich sage mal, du hast einfach nur Glück gehabt, dass sich dein AV-Scanner "nur" an deinen ics-Dateien ausgelassen hat, und dass du wohl in der Zeit dieser Einstellung nie Schadcode mit einer E-Mail empfangen hast.
    Stell dir einfach mal vor, du empfängst einen derartigen "verseuchten" E-Mailanhang und der AV-Scanner will, weil falsch konfiguriert, diesen "Virus" löschen oder die befallene Datei "desinfizieren". Das Dumme ist nämlich, dass diese bewusste Datei dann deine INBOX ist, also dein kompletter Posteingang mit vlt. allen deinen jemals empfangenen E-Mails! Und wenn AV-Scanner eine tatsächlich oder vermutlich befallene Datei löschen, dann erfolgt nicht nur eine simple Löschung, sondern diese Datei wird geshreddert, also mit Zufallszahlen überschrieben. Deshalb => siehe oben!
    BTW: Genau daraus resultiert unser gebetsmühlenhaft vorgebrachter Hinweis, dass der Posteingang immer schön leer zu sein hat bzw. nur die neu reingekommenen bzw. noch nicht bearbeiteten Mails zu enthalten hat. Alle anderen Mails befinden sich in Ordnern und Unterordnern. Aber genau so speicherst du ja auch deine Mails, oder?


    Du solltest also deinen AV-Scanner so konfigurieren, dass der ankommende E-Mailtraffic (nur der ankommende!, also die Verbindungt zum POP3- oder IMAP-Server) überwacht wird und keinesfalls das Profil.


    Schadcode befindet sich niemals im Text der E-Mail, sondern immer in einem Mailanhang. Deshalb solltest du dir angewöhnen, Mailanhänge niemals (!) direkt aus dem Mailprogramm aufzurufen (auch wenn diese das leider zulassen), sondern immer erst in einen Downloadordner abzuspeichern, dann den gesamten Downloadordner bewusst zu scannen und erst danach die Datei vor Ort zu öffnen. Das ist die einzige Möglichkeit, dich bzw. deinen Rechner vor Schadsoftware zu schützen. Auch wenn mal eine "versuchte" E-Mail bei dir lokal gespeichert ist, so ist das überhaupt kein Problem, so lange du diesen Anhang nicht ungeprüft startest. Du stellst bei der Prüfung der Datei fest, dass eben jener Anhang befallen ist, löschst den Anhang und die betreffende E-Mail, leerst den Papierkorb und komprimierst alle Ordner. Und schon ist nichts mehr von dem Schaden vorhanden.
    Nebeneffekt: deine .ics-Dateien bleiben heile ... .



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für die schnelle und umfassende Antwort und für die wertvollen Hinweise!


    Ich habe als erste Maßnahme das TB-Verzeichnis in User/AppData/Roaming/Thunderbird vom Scannnen ausgeschlossen. Leider finde ich in Avira keine Möglichkeit dem Scanner nur die Schreibrechte zu entziehen. Zusätzlich habe ich das Prüfen von Mail-Ausgängen untersagt und nur die Eingänge (POP und IMAP) erlaubt. Jetzt funktioniert wieder alles.


    Ist das OK so?


    Danke Dir sehr


    Zellhaufen

  • Hallo Zellhaufen,


    ja, jetzt ist das OK so. Wenn du meine Hinweise hinsichtlich des Öffnens von Mails beachtest, kann dir gar nichts passieren.
    Das Scannen des ausgehenden Traffics führt sehr oft zum Timeout, weil das Überprüfen größerer Anhänge sehr häufig zu lange dauert. Außerdem betrachte ich es als selbstverständlich, wenn zu sendende Mailanhänge durch den User vor dem Anhängen an eine E-Mail noch einmal überprüft werden. Alles andere ist gegenüber den Mailempfängern einfach verantwortungslos. Und wenn du die zu sendenden Anhänge vorher überprüfst, kannst du auch ruhigen Gewissens das fehlerträchtige Scannen des ausgehenden Mailtraffics deaktivieren.


    Auf ein mögliches Problem will ich dich noch hinweisen:
    Kein AV-Scanner ist in der Lage, den verschlüsselten Traffic einer mit TLS (alte Bezeichnung SSL) gesicherten Verbindung mitzulesen. Wenn das so wäre, könnten wir uns die Verschlüsselung sparen. Nun haben fast alle Provider die Verschlüsselung dieser Verbindungen zwangsaktiviert. Eigentlich notwendig, gut und richtig!
    Nun haben die Hersteller der AV-Software ein Problem. Sie lösen das Problem, indem sich ihr Scanner nach der Art eines Man-in-the-Middle-Angriffs in diese Verbindung einklinken (auch hier: Man-in-the-Middle Angriff - YouTube sehr gut beschrieben!). Damit ist zwar eine Überwachung dieser Verbundung durch den Scanner möglich, aber du verlierst die Möglichkeit einen echten MitM zu erkennen, und du bemerkst auch nicht, wenn deine Verbindung zu einem Fakeserver umgeleitet wurde.
    Otto Normaluser, der wild und ohne nachzudenken auf jeden Anhang (vor allem mit interessantem Namen) klickt, welcher nicht bei DREI auf dem Baum ist, und auch die entsprechenden Warnmeldung wegen eines falschen Zertifikates nur mit "Du darfst immer" beantwortet, sollte besser immer die Überwachung des E-Mailtraffics aktiviert lassen, besser auch den ausgehenden.
    Ein mitdenkender sicherheitsbewusster User schaltet diese Überwachung besser aus, denn er macht ja das, was ich dir schon für den Umgang mit Mailanhängen beschrieben habe.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich ziehe meinen digitalen Hut vor Deinen Ausführungen. Perfekt erklärt und ich habe wieder etwas dazu gelernt.
    Einige Semper Videos habe ich früher schon mal gesehen, über MitM aber noch nicht, danke auch hierfür.
    Was das betrifft, werde ich in Zukunft etwas aufmerksamer sein.


    Danke nochmal und Gruss


    Zellhaufen