Microsoft Defender und Thunderbird

Hallo Thunderstroke,

ich habe das bislang so verstanden, dass der Defender Dateiprozesse überwacht. Wie auch von dir vermutet müsste er also einerseits die MBOX-Dateien beim Zugriff überprüfen.

Andererseits wird er Mailanhänge beim Öffnen scannen, also wiederum beim Zugriff auf diese Dateien. Dabei sollte er auch Malware erkennen und deren Start verhindern, auch ohne dass er Mails beim Empfang schon durchsucht.

Wir hatten hier vor vielleicht zwei jahren oder so einen Thread, wo jemand gut erklärt hat, wieso das u.U. nicht reichen mag, ich finden den aber leider nicht wieder. Für meinen Bedarf langt der Defender auch ohne Eingriff in die transportverschlüsselte Mailübertragung.

MfG

Drachen

Es gibt dabei etwas zu beachten.

Quote from Thunderstroke

Bei Defender ging das meines Wissens nicht oder habe ich das falsch in Erinnerung?

So, wie man es von anderer AV kennt, dass eine einzelne E-Mail bereits untersucht wird, noch bevor der Thunderbird sie bekommt, geht es nicht. Dieses Feature hat der Defender nicht.

Das Mbox-Format gehört nicht zu den Formaten, die in dem von dir verlinkten Artikel aufgeführt sind. Nehmen wir an, man könne ihn trotzdem per GL so einstellen, dass er mbox untersucht. Das wäre dann so ähnlich wie bei einem manuellen Scan der Datei. Wenn der Defender darin etwas findet und die Datei löscht oder in Quarantäne schickt, ist der gesamte Ordner mit allen darin enthaltenen E-Mails weg.

Thunderbird bietet deshalb die Möglichkeit, eintreffenden Mails zunächst in einen temporären Ordner zu schieben und dort scannen zu lassen. Dann wäre nur diese eine E-Mail betroffen. Ob das mit dem Defender funktioniert, weiß ich nicht. Du könntest das mit dem Eicar testen.

Wo bleiben denn die ganzen Defender-Experten?

:Duck und weg:

Hallo,

unter Einstellungen > Datenschutz & Sicherheit gibt es diese Option, die es dem Defender ermöglichen sollte, Mails zu prüfen:

Test der Erkennung mit z. B. dem EICAR-Teststring funktioniert leider meistens nicht. In aller Regel haben die Provider mittlerweile einen Virenscanner auf dem Mail-Gateway laufen, so dass auch EICAR hängen bleibt und gar nicht erst in der INBOX ankommt.

Der Ordner für die temporären Daten ist, soweit sich mir das erschließt, C:\Users\<Benutzername>\AppData\Local\Temp

Darin findet sich z. B. ein Ordner mozilla-temp-files

Den Defender habe ich zwar schon live in Aktion beim Scannen der Thunderbird-Mailarchive beobachtet, auch mit Einträgen über Funde im Log anschließend, jedoch noch nie live mit einem Fund.

Gruß

Sehvornix

Quote from Feuerdrache

Wo bleiben denn die ganzen Defender-Experten?

Im Land Rover-Forum.

Quote from Sehvornix

Test der Erkennung mit z. B. dem EICAR-Teststring funktioniert leider meistens nicht. In aller Regel haben die Provider mittlerweile einen Virenscanner auf dem Mail-Gateway laufen, so dass auch EICAR hängen bleibt und gar nicht erst in der INBOX ankommt.

In diesem Fall wird das Live-Scannen auf dem Rechner nicht mehr benötigt, und die Anfrage hätte sich erledigt.

Quote from Susi to visit

In diesem Fall wird das Live-Scannen auf dem Rechner nicht mehr benötigt, und die Anfrage hätte sich erledigt.

Doch! Sollte ich so verstanden worden sein, dass sich ein lokaler AV-Schutz damit erübrigt hätte, war das nicht meine Intention. Drachen und Susi to Visit* haben weiter oben den Test mit EICAR vorgeschlagen und den habe ich heute (mal wieder) probiert. Ergebnis, das ist zwar eine gute Idee, wird aber durch Filter beim Provider vereitelt. So bekommt man jedenfalls nicht raus, ob der Windows Defender mit Thunderbird zusammenarbeitet.

Außerdem, schätzungsweise wird ClamAV genutzt und dessen Erkennungsrate ist nur mittelprächtig. Für den EICAR-String reicht es und auch um andere Dinge grob wegzufischen, aber das ersetzt in Bezug auf Mail keinesfalls einen AV-Schutz am Endpunkt.

Gruß

Sehvornix

Quote from Sehvornix

Doch!

Nein

Es geht nicht darum, ob ein lokaler Schutz zu empfehlen ist. Der Defender ist ja aktiv. Es geht um das Scannen von E-Mails bereits bevor sie lokal auf dem Rechner landen. Thunderstroke bieten sich zwei Möglichkeiten: Er sucht sich einen Provider, der das erledigt, oder er nutzt eine AV die das kann. Ansonsten gäbe es noch die Möglichkeit mit einem Proxy etc. zu arbeiten. Das ist aber, denke ich, nicht das, wonach er gefragt hat.

Der Defender kann seinen Wunsch jedenfalls nicht erfüllen.

Quote from Sehvornix

Drachen hat weiter oben den Test mit EICAR vorgeschlagen

Eigentlich kam der Vorschlag von mir, in #3.

Soweit hast du alles richtig verstanden.

Quote from Thunderstroke

Frage zu 3: Hat das schon mal jemand gesehen/erlebt? Ich in 5 Jahren noch NIE!

Ich auch nicht, weil ich noch einen Virus auf meinem PC hatte. Außer absichtlich in einer VM. Es gab zwei oder drei Situationen, in denen tatsächlich ein Schädling im Anhang war. Der wurde aber gleich beim Provider abgefangen. Die haben meinen Rechner also nie erreicht.

Andere haben das schon erlebt und auch hier im Forum berichtet.

Quote from Thunderstroke

Habe aber auch dort noch nie beobachtet wie sie das im Infektionsfall verhält. Hat das schon mal jemand gesehen?

Ich nicht. Deshalb bin ich zurückhalten damit, hier etwas zu versprechen.

Quote from Thunderstroke

weitere Frage: Wenn im Thunderbird Ein- oder Ausgang eine verseuchte Email enthalten ist und diese irgendwann von Defender erkannt werden würde: gehe ich recht in der annahme das man dann einfach diese Mail inkl. Anhang löscht und das Problem ist behoben? Voraussetzung wäre natürlich das Defender die genaue Mail mit Anhang ausweisen würde beim Scan und nicht die gesamte MBOX Datei!

Hier liegst du nach allem, was ich weiß, falsch. Ich kenne kein AV-Programm, das selektiv nur eine E-Mail aus einer Mbox löschen könnte. Dazu müssten sie die Struktur der Mboxen kennen. Manche AV kann aber die E-Mails abfangen, bevor die den Thunderbird erreichen. Der Defender kann das eben nicht. Deshalb verursacht er auch weniger Probleme mit dem Thunderbird.

Bei IMAP wären nur die lokale gespeicherten Ordner betroffen. Die auf dem Server blieben erhalten. Das wäre also kein Problem.

Ferner: Beim Format Maildir werden die E-Mails einzeln gespeichert. Hier wäre dann tatsächlich nur die jeweils betroffene E-Mail weg.

Quote from Thunderstroke

Frage zu 3: Hat das schon mal jemand gesehen/erlebt? Ich in 5 Jahren noch NIE!

In annähernd dreißig Jahren E-Mail-Nutzung mehrfach, davon meiner Erinnerung nach auch mind. einmal auch bei Verwendung des TB. In den letzten Jahren wurde aber alles schon auf den Mailservern gefunden, da bekam der Client nichts mehr davon mit.

Quote from Thunderstroke

Wenn im Thunderbird Ein- oder Ausgang eine verseuchte Email enthalten ist und diese irgendwann von Defender erkannt werden würde: gehe ich recht in der annahme das man dann einfach diese Mail inkl. Anhang löscht und das Problem ist behoben? Voraussetzung wäre natürlich das Defender die genaue Mail mit Anhang ausweisen würde beim Scan und nicht die gesamte MBOX Datei!

Letzteres kann allem Anschein nach bisher kein AV-Scanner, wie ja auch Susi bereits schrieb.

Wenn du den Virenscanner so einstellen kannst, dass er dich generell fragt, was bei einem Fund (oder Verdacht) passieren soll, statt automatisch in Quarantäne zu schieben oder gar zu löschen, kannst du aber den ersten Teil in Handarbeit wie beschrieben regeln. Wenn du deinen Posteingang einigermaßen leer hälst und erledigte Mails in eine Ablagestruktur einsortierst, bekommst du vom Virenscanner ja den Namen der betroffenen Datei. Je nachdem, wie voll dieser TB-Ordner ist, wie oft es Änderungen gibt und wie oft das Profil gescannt wird, gestaltet sich das Identifizieren der "verursachenden" E-Mail mit der Malware im Anhang einfach bis mühsam.
- Bei Meldung nichts von AV-Scanner anfassen lassen!

- TB starten, betreffenden Ordner öffnen, betreffende Mail löschen.

(wenn man nicht sicher ist, in Frage kommende Mails in separaten Ordner verschieben)

- den Ordner komprimieren, aus welchem man die Mail gelöscht bzw. die Mails verschoben hat

- Virenscanner erneut übers Profil jagen

(nun dürfte der vorherige Ordner bzw. im dateisystem die entsprechende Datei nicht mehr moniert werden, stattdessen aber der neue Ordner oder der Papierkorb-Ordner)

- ggf. noch weiter eingrenzen, bis die Mail mit dem verseuchten Anhang zweifelsfrei erkannt wurde, die dan löschen und nochmal Ordner im TB komprimieren

- neuer Suchlauf des Virenscanners düfte dann nichts mehr finden

Ich bin ja der Meinung, das Thema ist müßig. GMX hat einen Virenschutz und löscht solche Mails bereits auf dem Server. Wenn ich davon ausgehe, dass deren Signaturen ebenso automatisch aktualisiert werden, wie die der privaten Anwender, erwischen die alles, was auch eine AV vorab erkennen könnte.

Quote from Susi to visit

Ich bin ja der Meinung, das Thema ist müßig. GMX hat einen Virenschutz und löscht solche Mails bereits auf dem Server.

Da ich schon lange keine lokalen Funde mehr hatte, weil es schon beim Mailprovider entdeckt wird, bin ich geneigt, dir zuzustimmen. Und andere Anbieter dürften diesbezüglich kaum schlechter als GMX sein.

So oder so bereitet mir die "fehlende" Möglichkeit, E-Mails schon beim Abruf auf Malware zu scannen, ganz sicher keine schlaflosen Nächte oder auch nur Momente. Wozu auch?!

Ohne die Interna bei GMX zu kennen, sag ich's mal so: Jede kostenlose AV bekommt regelmäßig automatische Updates. Da können wir vermutlich davon ausgehen, dass GMX diese Updates ebenfalls bekommt. Das ist natürlich nur eine These.

Features wie die Heuristik spielen hier keine Rolle, weil der Schädling ja noch gar nicht zur Ausführung kommt. Mir fällt deshalb wirklich nicht viel ein, welchen Vorteil man hat, wenn die eigene AV auch noch direkt beim Empfang prüft. Mit viel Phantasie kann ich mir den Fall vorstellen, dass zwischen Empfang auf dem Server und dem Abrufen eine größere Zeitspanne liegt, vielleicht nach dem Urlaub oder so.

Ich sehe keinen wirklichen Vorteil in diesen AVs, außer der Provider bietet keinen Virenschutz. Aber, des Menschen Wille ist sein Königreich. Wer dieses Feature nutzen möchte und sogar bereit ist, dafür extra zu bezahlen, der soll es machen. Für den Thunderbird muss er dazu zusätzlichen Aufwand für die Konfig in kauf nehmen. Jedoch, es kann natürlich den Fall geben, wo Produkt xy einen Schädling schon erkennt, den der Provider noch durchgelassen hat. In diesem Fall können diese AVs tatsächlich einen Mehrwert bieten. Deshalb, des Menschen Wille ... .