Anhänge komplett deaktivieren? Geht das?

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 38.6.0
    * Betriebssystem + Version: Win 7 (aktuell)
    * Kontenart (POP / IMAP):
    * Postfach-Anbieter (z.B. GMX): T-online
    * Eingesetzte Antiviren-Software: GData und Malwarebytes
    * Firewall (Betriebssystem-intern/Externe Software): GDate, Glaswire
    * Router-Modellbezeichnung (bei Sende-Problemen): Fritzbox

    Um sicherzugehen, dass in meiner Familie niemand vorschnell auf einen Anhang klickt, würde ich diese gerne komplett sperren. Am besten so, dass ich sie aber durch einen Button ein- und ausschalten kann. Gibt es so eine Möglichkeit? Ich kann mich erinnern, dass ich so eine Funktion mal in Outlock gesehen habe. Dann müsste Thunderbird sie doch sicher auch haben.
    Gruß
    Ein durch TeslaCrypt und Locky vorsichtig gewordener Benutzer. :D

    Hallo Uwe,

    Zitat von Uwe2012

    Ein durch TeslaCrypt und Locky vorsichtig gewordener Benutzer.

    Das ist auf jeden Fall besser, als erst durch Schaden klug zu werden. :)

    Zitat von Uwe2012

    Um sicherzugehen, dass in meiner Familie niemand vorschnell auf einen Anhang klickt, würde ich diese gerne komplett sperren.

    Das Thema ist so ähnlich wie die Aufklärung der Jugend zum Thema HIV. Diese Aufgabe stellt sich wohl allen Eltern.

    Mir ist keine solche Erweiterung bekannt. Der Nutzen wäre auch begrenzt. Gerade Locky ist ein gutes Beispiel dafür. Er verbreitet sich nicht nur über E-Mails sondern auch per Drive-By über Internetseiten. Das können u.U. ganz harmlose, Dir bekannte Seiten sein, die Du gestern noch gefahrlos lesen konntest.

    Der einzige mir bekannte wirksame Schutz ist eine Sandbox, wie z.B. Sandboxie. Die kostenlose Version genügt völlig, sofern Dich 5 Sekunden Wartezeit beim Start des Browsers oder des TB nicht stören. Sandboxie kommt mit einem quasi vorkonfigurierten Profil für den TB und den Firefox. Es sind nur wenige nachträgliche Einstellungen nötig.
    Unsere Kinder benutzen Sandboxie seit Jahren. Sie kennen das gar nicht anders. Unter Windows surfen auch mein Mann und ich nie ohne. ;-)

    Semper hat gerade gestern ein Video veröffentlicht, in dem sie Locky in dieser Sandbox ausführen. Man sieht sehr schön, wie Locky die Dateien innerhalb der Sandbox verschlüsselt, während die Originale außerhalb der Sandbox unberührt bleiben.
    Das verbleibende Restrisiko ist nur, dass ein Benutzer diese verschlüsselten Dateien oder einen Anhang bewusst außerhalb der Sandbox abspeichert und diesen dann dort zur Ausführung bringt.

    Eine VM kann ebenfalls vor solcher Schadsoftware schützen. Im Falle Locky allerdings nur, wenn diese VM keinen Zugriff auf andere Bereiche der Festplatte oder andere Laufwerke hat.

    Die üblichen Verhaltenshinweisen zur Sicherheit sollten natürlich nach wie vor beachtet werden. Vor allem: Backup, Backup und Backup.

    Gruß

    Susanne

    Noch ein Nachtrag:

    ein kluger Teenager hat mich darauf hingewiesen, dass ein schädlicher Anhang, auch wenn er in der Sandbox ausgeführt keinen Schaden anrichten kann, natürlich trotzdem noch in der E-Mail auf der Festplatte gespeichert ist. Da hat er natürlich recht.

    Auch bei Verwendung einer Sandbox muss eine schädliche E-Mail natürlich gelöscht und die zugehörige Mailbox komprimiert werden. Ansonsten kann es passieren, dass der Anhang aus Versehen doch noch außerhalb der Sandbox geöffnet wird oder dass später mal ein Virenscanner anschlägt und die gesamte Mailbox entsorgt.

    Ja, das stimmt natürlich.
    Ich habe übrigens das Problem, dass Thunderbird nicht immer startet, wenn ich es in Sandboxie öffnen will. Dann kommt die Meldung: Thunderbird läuft bereits, reagiert aber nicht. Kennt noch jemand das Problem?

    Hallo,
    ruf den Windows Taskmanager auf (strg+Umschalt+esc) auf und überprüfe, ob dort schon eine Thunderbird.exe vor dem Aufruf in der Sandbox existiert.
    Und gewöhnt euch generell an, niemals Anhänge zu öffnen, es sei denn, sie wurden angekündigt bzw man erwartet sie.
    Dann braucht man auch keine Sandbox. Ich halte mich akribisch an diese Regel.
    Gruß

    Hallo,

    Zitat von mrb

    Dann braucht man auch keine Sandbox.

    Ich würde sie Dir dennoch sehr empfehlen und zwar in erster Linie für den Browser.

    Zitat von mrb

    Ich halte mich akribisch an diese Regel.

    Uwe vermutlich auch. Aber er will sich ja davor schützen, dass

    Zitat von Uwe2012

    ... dass in meiner Familie niemand vorschnell auf einen Anhang klickt, ...

    was ich wiederum sehr gut nachvollziehen kann.

    Gruß

    Susanne

    Ja, so ist es. Außerdem ist niemand fehlerfrei. Ich habe einen Bekannten - IT-Fachmann - der bekam neulich eine Mail, angeblich von "T-Online" mit einer Rechnung über 450€. Im gleichen Moment, in dem er auf den Anhang klickte, wusste er, dass er einen Virus startet. Aber es passte alles: Er war bei T-Online, und wusste, dass seine Kinde ohne ihn zu fragen gesurft und telefoniert hatten. Peng! Und schon war die Kiste Viren verseucht!!!

    Zitat von Uwe2012

    Außerdem ist niemand fehlerfrei. Ich habe einen Bekannten - IT-Fachmann - ...

    Genau so ist es. Eine kurze Unaufmerksamkeit kann genügen, und manchmal, wie bei den Drive-By-Angriffen, hilft auch Aufmerksamkeit nicht. Es kann einen jeden erwischen.

    Zitat von Uwe2012

    Peng! Und schon war die Kiste Viren verseucht!!!

    Was soll ich sagen? Mit der Sandbox wäre das nicht passiert.* ^^

    * : Meinen Kindern sage ich oft zwinkernd "mit Linux wäre das nicht passiert", wohl wissend, dass a) auch Linux kein Freifahrtschein ist und b) sie Linux für ihre Zwecke überhaupt nicht gebrauchen können.

    Hallo Susanne!
    Nur verstehe nicht ganz, was es für einen Unterschied macht, die Kinder zu erziehen, eine Sandbox zu nehmen oder nicht auf Anhänge zu klicken. Es sei denn, man hat die Sandbox so eingestellt, dass sich der Browser bzw Thunderbird nur darüber öffnen lassen und alle direkten Verknüpfungen zu den Programmen gelöscht hat.

    Gruß

    Hallo mrb,

    für mich ist das ein großer Unterschied. Es gibt halt Situationen, in denen Du selbst dann, wenn Du Dich eisern an die Regel hältst, keine Chance gegen solche Angriffe hast. Ich spreche ich dabei aus eigener Erfahrung, siehe unten. :whistling:

    Natürlich lassen sich der Browser oder auch der TB nach wie vor auch ohne Sandbox starten. Aber das ist ein bewusster Vorgang. Die normalen (alten) Starticons für Thunderbird und Firefox haben wir auf dem Desktop in einen Unterordner gelegt. Die lassen sich also gar nicht so einfach erreichen wie die (neuen) Starticons über die Sandbox. Da ist ein Versehen fast ausgeschlossen.

    Doch selbst wenn es aus Versehen passieren sollte, sieht man es gleich und kann seinen "Fehler" korrigieren, noch bevor man eine Seite mit Maleware aufruft oder einen Anhang öffnet.

    Es geht also nicht darum, jemanden zu erziehen, ganz und gar nicht. In dem Wissen, dass jedem ein Fehler unterlaufen kann und dass man selbst bei aller Vorsicht völlig unschuldig Opfer einer Maleware werden kann, benutzen wir Erwachsenen die Sandbox ja ebenfalls. Es geht also vielmehr darum, den Schaden, den so ein kleines Versehen anrichten kann, zu verhindern.

    Uns selbst hat trotz aller Vorsicht und stets aktueller Software auch beinahe so ein Drive-By erwischt. Ich weiß gar nicht mehr, ob ich selbst am Rechner saß oder jemand anderes aus der Familie. Jedenfalls hatten wir damals nach "Pirates of the Caribbean" oder einem Piratenspielzeug gesucht und waren durch einen zu schnellen Klick in der Trefferliste auf einer Warez-Seite gelandet, die ohne weiteres Zutun sofort versuchte, den Rechner mit diesem "Bundeskriminalamt-Erpresser" zu sperren. Das war so einer von den Locky-Vorgängern.

    Die Sandbox hat das sauber verhindert. Wir haben es dann noch mal in einer VM ohne Sandbox ausprobiert und konnten sehen, dass allein der Aufruf dieser Seite den Rechner sofort sperrte. In einem solchem Fall hast Du keine Chance!

    Das war für uns alle recht eindrucksvoll, so etwas mal live zu erleben. Vielleicht auch deshalb müssen wir die Kinder gar nicht daran erinnern, die Sandbox zu verwenden. Es ist für sie ganz normal, Firefox und Thunderbird so starten. Lediglich für ein Update werden die Programm normal gestartet, weil das natürlich innerhalb der Sandbox ebenfalls nicht funktioniert.

    Gruß

    Susanne

    Zitat von mrb

    ruf den Windows Taskmanager auf (strg+Umschalt+esc) auf und überprüfe, ob dort schon eine Thunderbird.exe vor dem Aufruf in der Sandbox existiert.


    Mein Thunderbird muss ich immer mehrmals starten. :-(
    Obwohl zuvor keine Instanz läuft. Ich denke, es hängt mit G-Data zusammen. Ich habe zwar schon dort probeweise den Virentest abgeschaltet, aber auch das brachte keine Besserung. Hat jemand eine Idee, was ich noch testen kann?

    Zunächst würde ich einmal im TB safe-mode versuchen, um auszuschließen, dass es an einer Erweiterung hängt. Im nächsten Schritt würde ich diese Vermutung überprüfen:

    Zitat von Uwe2012

    Ich denke, es hängt mit G-Data zusammen.

    Also G-Data für einen Test deinstallieren, Rechner neu starten, testen.

    Zitat von Uwe2012

    Welche von denen nutzt ihr:

    keine :-)

    Bei mir funktioniert Enigmail 1.9. mit GnuPG 2.0.x einwandfrei, auch wenn der TB innerhalb der Sandbox läuft. Ich weiß nicht, ob es vielleicht eine Rolle spielt: Ich verwende nur das Minimalpaket, also nicht das komplette GPG4Win sondern nur die GPG-Komponente ohne den ganzen Rest. Ich meine das Paket heißt GPG4Win-Vanilla.

    Nachtrag: Vielleicht liegt es auch an einem Zusammenspiel mehrerer Erweiterungen. Du könntest also einmal alles außer Enigmail deaktivieren.

    Einmal editiert, zuletzt von SusiTux (4. März 2016 um 10:15)

    Leider hat es nicht an den Erweiterungen gelegen. Es ist so, dass Thunderbird beim ersten Mal immer über Sandboxie startet. Wenn ich es dann aber Thunderbird beende und wieder starten will, hängt es. Wahrscheinlich gibt Sandboxie beim Beenden von Thunderbird nicht alles frei. Allerdings habe ich die "Light"-Version, wisst ihr, aber dieses Problem mit der kostenpflichtigen Version auch besteht? Wenn nicht, wäre das für mich ein Grund zu wechseln.