Verhalten bei Problemen mit Virenscannern

    Hallo,
    die meisten Helfer im Forum geben den Tipp, Virenscannern das Abscannen des Profilordner zu untersagen.
    Ich persönlich fand immer, dass das nicht genug ist.
    Die viel ausführlicher gehaltene Dokumentation bei MozillaZine über dieses Problem:
    http://kb.mozillazine.org/Mozilla_Suite_…-virus_Software

    Fordert dagegen:
    "Even if your AV program is compatible with Thunderbird, consider turning off your AV program's e-mail scanning but not its autoprotect function."
    Also sollte - wenn ich richtig verstanden habe - ebenfalls das Mailscanning untersagt werden.
    Mit anderen Worten: praktisch alle Funktionen, die die Überwachung von Mails angehen, sollten abgeschaltet werden.
    Hierzu zähle ich natürlich nicht das Eingreifen des AV beim Öffnen von Dateien im Anhang.

    Außerdem wird zwischen kompatiblen und inkompatiblen Virenscannern unterschieden.

    Ich persönlich finde, wir sollten uns das zu eigen machen und evtl. auch die Dokumentation ausführlicher zu diesem Thema gestalten.
    Welche unberechenbaren Auswirkungen derartige Programme bei bestimmten Einstellungen haben, konnte ich im MozillaZine-forum lesen und selbst in unserem Forum wurde ja schon gemeldet, das sogar Zeichensätze von diesen Tools beeinträchtigt werden.
    Gruß

    Zitat von "mrb"

    Die viel ausführlicher gehaltene Dokumentation bei MozillaZine über dieses Problem:
    http://kb.mozillazine.org/Mozilla_Suite_…-virus_Software

    Fordert dagegen:
    "Even if your AV program is compatible with Thunderbird, consider turning off your AV program's e-mail scanning but not its autoprotect function."
    Also sollte - wenn ich richtig verstanden habe - ebenfalls das Mailscanning untersagt werden.
    Mit anderen Worten: praktisch alle Funktionen, die die Überwachung von Mails angehen, sollten abgeschaltet werden.


    Schwierig.

    Man sollte berücksichtigen, dass die letzte Änderung des Artikels vor Erscheinen von TB 2 lag, dein zitierter Text ist vermutlich aus 2005. Seitdem hat ist die Quarantänegeschichte in TB dazu gekommen.

    Die Liste kompatibler AV-Software ist teils völlig veraltet in dem Artikel.

    Ich persönlich würde sowieso bei einem "vernünftigen" AV-Programm nichts gegen das Scannen von eingehenden Mails sagen, sofern die Mails gescannt werden, bevor sie in die Maildatei geschrieben werden . (Z.B. NOD32).

    Mit dem Stcihwort "Ausführlicher" hast du natürlich Recht.

    Hallo allblue,
    wenn also das Mailscannen nicht schädlich ist unter deiner genannten Bedingung, braucht man ja nicht weiter darüber zu diskutieren.
    Nur wie weiß man, ob Mails vor oder nach dem Abspeichern gescannt werden.
    OK, da man es nicht weiß, muss eben, wie es bisher so von uns gehandhabt wird, das Abscannen des Profilordners unterbunden werden.
    Gut, dann war meine Besorgnis unbegründet. Dachte immer, die Dokumentation dort sei der letzte Stand aller Dinge, weil ja vieles bei uns von dort übernommen zu sein scheint.
    Gruß

    Zitat von "mrb"

    Nur wie weiß man, ob Mails vor oder nach dem Abspeichern gescannt werden.


    Das sollte man von seiner AV-Software erfahren. Normalerweise. In der Praxis weiß es natürlich kaum jemand.

    Ich gehe aber davon aus (ohne Garantie!!!***), dass jede AV-Software, die sich brüstet, "eingehende Mails" zu checken, das vor dem Schreiben in die Inbox tut. Sonst macht es ja wenig Sinn, dann würde ja die Mbox-Datei untersucht, nicht die Mail.

    Daher würde ich sogar denken, dass die Quarantänegeschichte überflüssig ist. ***Scheint aber nicht überflüssig zu sein, sonst gäbe es sie wohl nicht. Daher bin ich in diesem Punkt doch noch unsicher. Zudem teste ich nicht dauernd verschiedene AV-Software. Das ist unser aller gemeinsames Problem, was die Sache schwierig macht.

    Hi,

    ich glaube, das Wichtigste ist, dass wir unseren Usern den Unterschied zwischen der Überwachung des Profils durch den Scanner und dem Scannen des Traffics zum Mailserver klar machen.

    Das Scannen des Profils ist "tödlich". Je nach Einstellung des Scanners ("Desinfizieren" oder gar Löschen) ist entweder die mbox-Datei "nur" defekt oder vollständig entsorgt, wenn der Scanner meint, einen Virus darin entdeckt zu haben. Von Laufzeitproblemen beim Einsatz des Scanners, zerschossenen Indexdateien usw. will ich hier gar nichts sagen.

    Das Scannen des Traffics betrachte ich als möglich, wenn der User weiß,
    - dass es gerade bei größeren Anhängen zu timeout-Problemen kommen kann,
    - dass verschlüsselter Traffic nicht zu scannen ist,
    - nach welchem Verfahren der Scanner den Traffic untersucht (Proxy, Parallelzugriff, temporäres Entpacken der Anhänge, oder wie auch immer)
    - dass es meistens besser ist, auf dieses Scannen zu verzichten. Ein bewusstes Scannen der Anhänge vor einem Versand und nach dem Empfang (s. unten) zusätzlich zum on-access-Scanner ist immer besser.

    Vielleicht sollten wir den Nutzern auch deutlich sagen, dass ein Virus innerhalb einer mbox-Datei eigentlich keinerlei Gefahr darstellt - so lange der User nicht einfach den Anhang startet, sondern - so wie ich es immer wieder predige, - erst abspeichert, scannt und dann erst startet. (Aber mir glauben ja immer nur diejenigen, die mir aus gewonnener Erfahrung heraus zustimmen ... .)
    Dazu gehört auch der freiwillige Verzicht auf Klickibunti, um bösartigen Scripten keine Chance zu geben.

    Das alles habe ich natürlich nicht für euch beide eingetippt :-), sondern einmal als Diskussionsgrundlage, und zum Anderen in der kleinen Hoffnung, dass es auch von unsicheren Usern gelesen wird ... .

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!