Microsoft Defender und Thunderbird

  • • Thunderbird-Version (konkrete Versionsnummer): 91.4.1
    • Betriebssystem + Version: Windows 10 Version 21H1
    • Kontenart (POP / IMAP): IMA
    • Postfachanbieter (z.B. GMX): gmx
    • Eingesetzte Antivirensoftware: Defender


    Hallo zusammen,


    seit geraumer Zeit benutze ich nur noch MS Defender als Standard Virenscanner. Ich muss sagen ich hatte nie Probleme mit Performance oder Virenschutz.


    Ich muss gestehen, dass trotz der Tatsache das der User vermutlich der größte Unsicherheitsfaktor beim "Einholen" von Viren ist, mir es schon gefallen hat, dass wenn man Mails geholt hat im Hintergrund ein Virenscanner diese Mails auf Schadsoftware - insb. in den Anhängen - analysiert hat.


    1. Bei Defender ging das meines Wissens nicht oder habe ich das falsch in Erinnerung?

    2. Wie ist die Schutzwirkung dann von Defender mit Fokus auf Thunderbird? Ich glaube es wird die MBOX Datei durchsucht?

    3. Beim Stöbern und Recherchieren im Netz bin ich auf folgenden Artikel gestoßen: E-Mails mit dem Windows Defender nach Viren scannen » Antivirus, Defender, E-Mail, Gruppenrichtlinie, PST, Virenscanner, Virus » Windows FAQ (windows-faq.de)

    Dort heißt es das Defender mittlerweile das Scanner von Mails unterstützt - hat jemand Erfahrungen mit dieser Funktion - und natürlich in Verbindung mit Thunderbird?


    Danke für Euer Feedback!

  • graba

    Approved the thread.
  • Hallo Thunderstroke,


    ich habe das bislang so verstanden, dass der Defender Dateiprozesse überwacht. Wie auch von dir vermutet müsste er also einerseits die MBOX-Dateien beim Zugriff überprüfen.

    Andererseits wird er Mailanhänge beim Öffnen scannen, also wiederum beim Zugriff auf diese Dateien. Dabei sollte er auch Malware erkennen und deren Start verhindern, auch ohne dass er Mails beim Empfang schon durchsucht.


    Wir hatten hier vor vielleicht zwei jahren oder so einen Thread, wo jemand gut erklärt hat, wieso das u.U. nicht reichen mag, ich finden den aber leider nicht wieder. Für meinen Bedarf langt der Defender auch ohne Eingriff in die transportverschlüsselte Mailübertragung.


    MfG

    Drachen

  • Es gibt dabei etwas zu beachten.

    Bei Defender ging das meines Wissens nicht oder habe ich das falsch in Erinnerung?

    So, wie man es von anderer AV kennt, dass eine einzelne E-Mail bereits untersucht wird, noch bevor der Thunderbird sie bekommt, geht es nicht. Dieses Feature hat der Defender nicht.

    Das Mbox-Format gehört nicht zu den Formaten, die in dem von dir verlinkten Artikel aufgeführt sind. Nehmen wir an, man könne ihn trotzdem per GL so einstellen, dass er mbox untersucht. Das wäre dann so ähnlich wie bei einem manuellen Scan der Datei. Wenn der Defender darin etwas findet und die Datei löscht oder in Quarantäne schickt, ist der gesamte Ordner mit allen darin enthaltenen E-Mails weg.


    Thunderbird bietet deshalb die Möglichkeit, eintreffenden Mails zunächst in einen temporären Ordner zu schieben und dort scannen zu lassen. Dann wäre nur diese eine E-Mail betroffen. Ob das mit dem Defender funktioniert, weiß ich nicht. Du könntest das mit dem Eicar testen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Wo bleiben denn die ganzen Defender-Experten?


    :Duck und weg:

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo,


    unter Einstellungen > Datenschutz & Sicherheit gibt es diese Option, die es dem Defender ermöglichen sollte, Mails zu prüfen:



    Test der Erkennung mit z. B. dem EICAR-Teststring funktioniert leider meistens nicht. In aller Regel haben die Provider mittlerweile einen Virenscanner auf dem Mail-Gateway laufen, so dass auch EICAR hängen bleibt und gar nicht erst in der INBOX ankommt.


    Der Ordner für die temporären Daten ist, soweit sich mir das erschließt, C:\Users\<Benutzername>\AppData\Local\Temp

    Darin findet sich z. B. ein Ordner mozilla-temp-files


    Den Defender habe ich zwar schon live in Aktion beim Scannen der Thunderbird-Mailarchive beobachtet, auch mit Einträgen über Funde im Log anschließend, jedoch noch nie live mit einem Fund.


    Gruß

    Sehvornix

  • Test der Erkennung mit z. B. dem EICAR-Teststring funktioniert leider meistens nicht. In aller Regel haben die Provider mittlerweile einen Virenscanner auf dem Mail-Gateway laufen, so dass auch EICAR hängen bleibt und gar nicht erst in der INBOX ankommt.

    In diesem Fall wird das Live-Scannen auf dem Rechner nicht mehr benötigt, und die Anfrage hätte sich erledigt.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • In diesem Fall wird das Live-Scannen auf dem Rechner nicht mehr benötigt, und die Anfrage hätte sich erledigt.

    Doch! Sollte ich so verstanden worden sein, dass sich ein lokaler AV-Schutz damit erübrigt hätte, war das nicht meine Intention. Drachen und Susi to Visit* haben weiter oben den Test mit EICAR vorgeschlagen und den habe ich heute (mal wieder) probiert. Ergebnis, das ist zwar eine gute Idee, wird aber durch Filter beim Provider vereitelt. So bekommt man jedenfalls nicht raus, ob der Windows Defender mit Thunderbird zusammenarbeitet.


    Außerdem, schätzungsweise wird ClamAV genutzt und dessen Erkennungsrate ist nur mittelprächtig. Für den EICAR-String reicht es und auch um andere Dinge grob wegzufischen, aber das ersetzt in Bezug auf Mail keinesfalls einen AV-Schutz am Endpunkt.


    Gruß

    Sehvornix

    Edited once, last by Sehvornix: *Edit: Quelle ergänzt ().

  • Doch!

    Nein ;)

    Es geht nicht darum, ob ein lokaler Schutz zu empfehlen ist. Der Defender ist ja aktiv. Es geht um das Scannen von E-Mails bereits bevor sie lokal auf dem Rechner landen. Thunderstroke bieten sich zwei Möglichkeiten: Er sucht sich einen Provider, der das erledigt, oder er nutzt eine AV die das kann. Ansonsten gäbe es noch die Möglichkeit mit einem Proxy etc. zu arbeiten. Das ist aber, denke ich, nicht das, wonach er gefragt hat.

    Der Defender kann seinen Wunsch jedenfalls nicht erfüllen.

    Drachen hat weiter oben den Test mit EICAR vorgeschlagen

    Eigentlich kam der Vorschlag von mir, in #3.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Ok also zusammen gefasst:


    1. MS Defender kann das aktuell nicht, E-Mails sofort beim/vor dem Download ODER vor dem Versenden zu scannen
    2. D.h. eine "verseuchte" Mail würde runtergeladen
    3. Sobald man aber den Anhang öffnen möchte würde der Defender anschlagen (weil Defender Dateiprozesse überwacht)

    Wenn der Defender dann anschlägt ODER die MBOX DAtei einen Virus enthält und bei einem "RoutineScan / Manuellem Scan" der Defender etwas findet, ist der gesamte Ordner mit allen darin enthaltenen E-Mails weg

    4. Einstellungen > Datenschutz & Sicherheit gibt es eine Option, die es dem Defender ermöglichen sollte, Mails zu prüfen BEVOR sie in den Posteingang gelangen




    Frage zu 3: Hat das schon mal jemand gesehen/erlebt? Ich in 5 Jahren noch NIE!

    Frage zu 4: Die Schaltung habe ich schon IMMER an. Habe aber auch dort noch nie beobachtet wie sie das im Infektionsfall verhält. Hat das schon mal jemand gesehen?

    weitere Frage: Wenn im Thunderbird Ein- oder Ausgang eine verseuchte Email enthalten ist und diese irgendwann von Defender erkannt werden würde: gehe ich recht in der annahme das man dann einfach diese Mail inkl. Anhang löscht und das Problem ist behoben? Voraussetzung wäre natürlich das Defender die genaue Mail mit Anhang ausweisen würde beim Scan und nicht die gesamte MBOX Datei!

  • Soweit hast du alles richtig verstanden.

    Frage zu 3: Hat das schon mal jemand gesehen/erlebt? Ich in 5 Jahren noch NIE!

    Ich auch nicht, weil ich noch einen Virus auf meinem PC hatte. Außer absichtlich in einer VM. Es gab zwei oder drei Situationen, in denen tatsächlich ein Schädling im Anhang war. Der wurde aber gleich beim Provider abgefangen. Die haben meinen Rechner also nie erreicht.

    Andere haben das schon erlebt und auch hier im Forum berichtet.

    Habe aber auch dort noch nie beobachtet wie sie das im Infektionsfall verhält. Hat das schon mal jemand gesehen?

    Ich nicht. Deshalb bin ich zurückhalten damit, hier etwas zu versprechen.

    weitere Frage: Wenn im Thunderbird Ein- oder Ausgang eine verseuchte Email enthalten ist und diese irgendwann von Defender erkannt werden würde: gehe ich recht in der annahme das man dann einfach diese Mail inkl. Anhang löscht und das Problem ist behoben? Voraussetzung wäre natürlich das Defender die genaue Mail mit Anhang ausweisen würde beim Scan und nicht die gesamte MBOX Datei!

    Hier liegst du nach allem, was ich weiß, falsch. Ich kenne kein AV-Programm, das selektiv nur eine E-Mail aus einer Mbox löschen könnte. Dazu müssten sie die Struktur der Mboxen kennen. Manche AV kann aber die E-Mails abfangen, bevor die den Thunderbird erreichen. Der Defender kann das eben nicht. Deshalb verursacht er auch weniger Probleme mit dem Thunderbird.


    Bei IMAP wären nur die lokale gespeicherten Ordner betroffen. Die auf dem Server blieben erhalten. Das wäre also kein Problem.


    Ferner: Beim Format Maildir werden die E-Mails einzeln gespeichert. Hier wäre dann tatsächlich nur die jeweils betroffene E-Mail weg.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Frage zu 3: Hat das schon mal jemand gesehen/erlebt? Ich in 5 Jahren noch NIE!

    In annähernd dreißig Jahren E-Mail-Nutzung mehrfach, davon meiner Erinnerung nach auch mind. einmal auch bei Verwendung des TB. In den letzten Jahren wurde aber alles schon auf den Mailservern gefunden, da bekam der Client nichts mehr davon mit.


    Wenn im Thunderbird Ein- oder Ausgang eine verseuchte Email enthalten ist und diese irgendwann von Defender erkannt werden würde: gehe ich recht in der annahme das man dann einfach diese Mail inkl. Anhang löscht und das Problem ist behoben? Voraussetzung wäre natürlich das Defender die genaue Mail mit Anhang ausweisen würde beim Scan und nicht die gesamte MBOX Datei!

    Letzteres kann allem Anschein nach bisher kein AV-Scanner, wie ja auch Susi bereits schrieb.


    Wenn du den Virenscanner so einstellen kannst, dass er dich generell fragt, was bei einem Fund (oder Verdacht) passieren soll, statt automatisch in Quarantäne zu schieben oder gar zu löschen, kannst du aber den ersten Teil in Handarbeit wie beschrieben regeln. Wenn du deinen Posteingang einigermaßen leer hälst und erledigte Mails in eine Ablagestruktur einsortierst, bekommst du vom Virenscanner ja den Namen der betroffenen Datei. Je nachdem, wie voll dieser TB-Ordner ist, wie oft es Änderungen gibt und wie oft das Profil gescannt wird, gestaltet sich das Identifizieren der "verursachenden" E-Mail mit der Malware im Anhang einfach bis mühsam.
    - Bei Meldung nichts von AV-Scanner anfassen lassen!

    - TB starten, betreffenden Ordner öffnen, betreffende Mail löschen.

    (wenn man nicht sicher ist, in Frage kommende Mails in separaten Ordner verschieben)

    - den Ordner komprimieren, aus welchem man die Mail gelöscht bzw. die Mails verschoben hat

    - Virenscanner erneut übers Profil jagen

    (nun dürfte der vorherige Ordner bzw. im dateisystem die entsprechende Datei nicht mehr moniert werden, stattdessen aber der neue Ordner oder der Papierkorb-Ordner)

    - ggf. noch weiter eingrenzen, bis die Mail mit dem verseuchten Anhang zweifelsfrei erkannt wurde, die dan löschen und nochmal Ordner im TB komprimieren

    - neuer Suchlauf des Virenscanners düfte dann nichts mehr finden

  • Ich bin ja der Meinung, das Thema ist müßig. GMX hat einen Virenschutz und löscht solche Mails bereits auf dem Server. Wenn ich davon ausgehe, dass deren Signaturen ebenso automatisch aktualisiert werden, wie die der privaten Anwender, erwischen die alles, was auch eine AV vorab erkennen könnte.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Ich bin ja der Meinung, das Thema ist müßig. GMX hat einen Virenschutz und löscht solche Mails bereits auf dem Server.

    Da ich schon lange keine lokalen Funde mehr hatte, weil es schon beim Mailprovider entdeckt wird, bin ich geneigt, dir zuzustimmen. Und andere Anbieter dürften diesbezüglich kaum schlechter als GMX sein.


    So oder so bereitet mir die "fehlende" Möglichkeit, E-Mails schon beim Abruf auf Malware zu scannen, ganz sicher keine schlaflosen Nächte oder auch nur Momente. Wozu auch?!

  • Ohne die Interna bei GMX zu kennen, sag ich's mal so: Jede kostenlose AV bekommt regelmäßig automatische Updates. Da können wir vermutlich davon ausgehen, dass GMX diese Updates ebenfalls bekommt. Das ist natürlich nur eine These.

    Features wie die Heuristik spielen hier keine Rolle, weil der Schädling ja noch gar nicht zur Ausführung kommt. Mir fällt deshalb wirklich nicht viel ein, welchen Vorteil man hat, wenn die eigene AV auch noch direkt beim Empfang prüft. Mit viel Phantasie kann ich mir den Fall vorstellen, dass zwischen Empfang auf dem Server und dem Abrufen eine größere Zeitspanne liegt, vielleicht nach dem Urlaub oder so.

    Ich sehe keinen wirklichen Vorteil in diesen AVs, außer der Provider bietet keinen Virenschutz. Aber, des Menschen Wille ist sein Königreich. Wer dieses Feature nutzen möchte und sogar bereit ist, dafür extra zu bezahlen, der soll es machen. Für den Thunderbird muss er dazu zusätzlichen Aufwand für die Konfig in kauf nehmen. Jedoch, es kann natürlich den Fall geben, wo Produkt xy einen Schädling schon erkennt, den der Provider noch durchgelassen hat. In diesem Fall können diese AVs tatsächlich einen Mehrwert bieten. Deshalb, des Menschen Wille ... .

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)