nicht angemeldet
Neue Spam-Viren gehen um - jetzt wird's für die Nutzer ernst!
Moin!
Ich als Administrator für den SELFHTML-Mailserver kriege so diverse unerwünschte EMail in mein Postfach, und ich kümmere mich auch darum, dass sich sowas nicht wiederholt.
Außerdem kriege ich so natürlich mit, was sich an der Spammer-Front so tut.
Und es ist festzustellen, dass die neueste Variante (ich vermute, es handelt sich um Sober, vgl. Spiegel Online: Sober geht um) sich jetzt über alle bisherigen Spam- und Virensperren hinwegsetzt:
Die Viren werden jetzt direkt über die Accounts der betroffenen Nutzer verschickt!
Das ist aus zweierlei Gründen toll für die Viren:
1. Der Müll geht über reguläre EMail-Infrastruktur, die möglicherweise in Whitelisten eingetragen oder per SPF autorisiert wird, dass der Empfänger die Mails annimmt.
2. Zusätzlich kann man serverseitig den sendenden Mailserver nicht einfach blocken, denn damit würde man z.B. ganz GMX sperren.
Ein Abuse-Team hat meinen Hinweis (mit allen nötigen Headern natürlich) jedenfalls sehr kurzfristig so beantwortet:
"vielen Dank fuer Ihren Hinweis.
Der Account des Nutzers wurde gemaess unseren Allgemeinen Geschaeftsbedingungen gesperrt."
Somit hat eine Vireninfektion direkte Auswirkungen auf die privaten Nutzer, und auch dieser Vertriebskanal wird eingeschränkt. Es hilft, so scheint es, wirklich nur Null Toleranz.
Zu befürchten ist aber, dass es in die Köpfe der Viren-Anklicker nicht reingeht...
- Sven Rautenberg
--
My sssignature, my preciousssss!
My sssignature, my preciousssss!
-
Hi Sven,
Die Viren werden jetzt direkt über die Accounts der betroffenen Nutzer verschickt!
leider ist das ja nicht so neu. Ob es einer der ersten Würmer war, weiß ich nicht, aber bereits der "I LOVE YOU" verschickte sich bereits 2000 oder 2001 selbst u. a. an alle Adressen aus dem Adreßbuch - damals noch per Outlook. Mittlerweile bringen die Würmer ihre eigenen SMTP-Server mit und richten noch etwas mehr Schaden an, indem sie z. B. "Sicherheitssoftware" deaktivieren oder einfach unterlaufen.
Gerade die Sober-Reihe schaffte es ja immer wieder durch originelle oder täuschende Texte, daß sie immer wieder verbreitet wurden bzw. werden. In diesem Fall könnte es durchaus auch mich betreffen: Ich verschicke ja sehr viele Exceldateien und da könnte sich durchaus ein Anwender durch diesen Text angesprochen fühlen, wenn er eine solche Sober-Mail erhält.
Somit hat eine Vireninfektion direkte Auswirkungen auf die privaten Nutzer, und auch dieser Vertriebskanal wird eingeschränkt. Es hilft, so scheint es, wirklich nur Null Toleranz.
Solange sich der Wurm mit der richtigen Adresse verschickt, ja. Aber was ist mit den vielen Würmern, die sich unter fremdem Namen verschicken? Vorübergehend habe ich mal Catch all aktiviert - es ist ja grausam, wieviele Mails mit einer falschen Adresse verschickt werden.
Zu befürchten ist aber, dass es in die Köpfe der Viren-Anklicker nicht reingeht...
Das ist wohl wahr - leider.
Viele Grüße
Jörg
-
Moin!
Die Viren werden jetzt direkt über die Accounts der betroffenen Nutzer verschickt!
leider ist das ja nicht so neu. Ob es einer der ersten Würmer war, weiß ich nicht, aber bereits der "I LOVE YOU" verschickte sich bereits 2000 oder 2001 selbst u. a. an alle Adressen aus dem Adreßbuch - damals noch per Outlook.
Angesichts der Struktur der Mails, die so reinkommt, würde ich sagen, dass das Versenden über den realen SMTP-Account beim Provider durchaus wieder "neu" ist. Was "IloveU" gemacht hat, erinnere ich nicht mehr so genau.
Mittlerweile bringen die Würmer ihre eigenen SMTP-Server mit und richten noch etwas mehr Schaden an, indem sie z. B. "Sicherheitssoftware" deaktivieren oder einfach unterlaufen.
Das wäre ja schön, wenn jeder Wurm seine eigene SMTP-Engine haben würde. Dann könnte man einfach weite IP-Bereiche mit dynamischer IP-Vergabe komplett für den Empfang sperren, und gut wärs. Wenn der Wurm sich aber mit korrektem Passwort bei GMX einloggt und darüber versendet, wird das Filtern extrem viel schwieriger.
Gerade die Sober-Reihe schaffte es ja immer wieder durch originelle oder täuschende Texte, daß sie immer wieder verbreitet wurden bzw. werden. In diesem Fall könnte es durchaus auch mich betreffen: Ich verschicke ja sehr viele Exceldateien und da könnte sich durchaus ein Anwender durch diesen Text angesprochen fühlen, wenn er eine solche Sober-Mail erhält.
Es gibt gewisse Datenformate, die sich nicht zum Versand eignen, würde ich behaupten. XLS wäre eines davon. :)
Somit hat eine Vireninfektion direkte Auswirkungen auf die privaten Nutzer, und auch dieser Vertriebskanal wird eingeschränkt. Es hilft, so scheint es, wirklich nur Null Toleranz.
Solange sich der Wurm mit der richtigen Adresse verschickt, ja. Aber was ist mit den vielen Würmern, die sich unter fremdem Namen verschicken? Vorübergehend habe ich mal Catch all aktiviert - es ist ja grausam, wieviele Mails mit einer falschen Adresse verschickt werden.
Die Absenderadressen der reinkommenden Mails interessieren mich absolut nicht, auf diese Angabe kann man sich ja nicht verlassen. Mich interessiert einzig die IP-Adresse des einliefernden SMTP-Servers, weil nur diese Angabe als vertrauenswürdiger Eintrag in den Mailheadern enthalten ist.
In diesem speziellen Fall kann ich diese IP aber nicht sperren, sondern mich lediglich an die Abuse-Abteilung wenden. Und die sperrt dann den User-Account - woher auch immer sie genau weiß, welcher User es war - Logfilevergleich oder der Eintrag von gewissen Authentifizierungen in den Mailheadern.
Was Catch-All angeht: Wer sowas aktiviert, der bettelt doch geradezu nach Spam. Alle geratenen Mailadressen funktionieren da. Nö, das ist nix für mich, dann doch lieber 90% weniger Spam haben, und allen, die eine Mailadresse nicht richtig tippen können, lieber eine Unzustellbarkeitsmail zukommen lassen.
Zu befürchten ist aber, dass es in die Köpfe der Viren-Anklicker nicht reingeht...
Das ist wohl wahr - leider.
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Hi Sven,
Angesichts der Struktur der Mails, die so reinkommt, würde ich sagen, dass das Versenden über den realen SMTP-Account beim Provider durchaus wieder "neu" ist. Was "IloveU" gemacht hat, erinnere ich nicht mehr so genau.
hier ein Auszug aus dem Quelltext:
Set male = out.CreateItem(0)
male.Recipients.Add (malead)
male.Subject = "ILOVEYOU"
male.Body = vbCrLf & "kindly check the attached LOVELETTER coming from me."
male.Attachments.Add (dirsystem & "\LOVE-LETTER-FOR-YOU.TXT.vbs")
male.SendDas Ganze läuft in einer Schleife über die Einträge des Adreßbuches und out ist das:
WScript.CreateObject("Outlook.Application")
Im Prinzip läuft das auf das Gleiche hinaus: Er verschickt sich über den ganz normalen Account. Wenn ich also in Outlook ein T-Online-Konto habe, wird das genutzt.
Es gibt gewisse Datenformate, die sich nicht zum Versand eignen, würde ich behaupten. XLS wäre eines davon. :)
Naja, wenn ein Auftraggeber eine Exceldatei erwartet, kann ich schlecht eine pdf-Datei schicken ... ;-)
Die Absenderadressen der reinkommenden Mails interessieren mich absolut nicht, auf diese Angabe kann man sich ja nicht verlassen. Mich interessiert einzig die IP-Adresse des einliefernden SMTP-Servers, weil nur diese Angabe als vertrauenswürdiger Eintrag in den Mailheadern enthalten ist.
In diesem speziellen Fall kann ich diese IP aber nicht sperren, sondern mich lediglich an die Abuse-Abteilung wenden. Und die sperrt dann den User-Account - woher auch immer sie genau weiß, welcher User es war - Logfilevergleich oder der Eintrag von gewissen Authentifizierungen in den Mailheadern.
Ja, siehe oben, beim Loveletter. In dem Beispiel dürfte das ja eine IP aus dem Bereich von T-Online sein.
Was Catch-All angeht: Wer sowas aktiviert, der bettelt doch geradezu nach Spam. Alle geratenen Mailadressen funktionieren da. Nö, das ist nix für mich, dann doch lieber 90% weniger Spam haben, und allen, die eine Mailadresse nicht richtig tippen können, lieber eine Unzustellbarkeitsmail zukommen lassen.
Deshalb habe ich es auch nur vorübergehend aktiviert. Aber das Problem ist doch ein anderes:
Ich habe eine Mailadresse lorenz@joerglorenz.de. Auf irgendeinem fremden PC verrichtet ein Wurm sein Werk und verschickt fleißig Mails an die Einträge des Adreßbuches. Als Absender gibt er sinnlose Namen an, die aber auf @joerglorenz.de enden, z. B. irgendwas@joerglorenz.de.
Die Empfängeradresse wird zufällig generiert, so daß manche Empfänger wirklich diese Spammails bekommen, andere wiederum nicht. Diejenigen Empfänger, die die Mail bekommen (weil deren Adresse wirklich existiert), sorgen dann vielleicht irgendwann dafür, daß joerglorenz.de auf einer Blacklist landet, obwohl es die Absenderadresse irgendwas@joerglorenz.de gar nicht gibt.
Diejenigen, die die Mail nicht bekommen (weil es die Empfängeradresse nicht gibt), schicken einen MAILER-DAEMON zurück, in dem ich nun wieder sehe, mit welchen Absenderadressen (also meinen) die Mails verschickt wurden.
Deshalb aktiviere ich auch ab und an Catch all. Sicher, einen Nutzen hat das letztendlich nicht.
Viele Grüße
Jörg
-
Moin!
Im Prinzip läuft das auf das Gleiche hinaus: Er verschickt sich über den ganz normalen Account. Wenn ich also in Outlook ein T-Online-Konto habe, wird das genutzt.
Richtig. Und ich sehe nicht ein, dass sowas unsanktioniert bleiben sollte. Zu Zeiten des Loveletters war es noch nicht so verbreitet, aber mittlerweile weiß man doch: "Mail ist böse". Oder weiß "man" das nicht?
Deshalb habe ich es auch nur vorübergehend aktiviert. Aber das Problem ist doch ein anderes:
Ich habe eine Mailadresse lorenz@joerglorenz.de. Auf irgendeinem fremden PC verrichtet ein Wurm sein Werk und verschickt fleißig Mails an die Einträge des Adreßbuches. Als Absender gibt er sinnlose Namen an, die aber auf @joerglorenz.de enden, z. B. irgendwas@joerglorenz.de.
Daran kannst du ihn nicht hindern, das ist klar. Du kannst lediglich den Empfängern mittels SPF Hinweise geben, welche IP-Adressen aus deiner Sicht für legitime Mailversendungen genutzt werden dürfen, und welche nicht. Das bringt allerdings nichts, wenn der Empfänger sich daran nicht orientiert, und es hilft auch nicht als das "ultimative Mittel gegen Spam"[TM], aber es gibt zumindest das Gefühl, wieder etwas mehr getan zu haben. Leider haben die wenigsten Domaininhaber die Möglichkeit, SPF einzusetzen, weil die Provider kein Interface zum Nameserver dafür anbieten.
Die Empfängeradresse wird zufällig generiert, so daß manche Empfänger wirklich diese Spammails bekommen, andere wiederum nicht. Diejenigen Empfänger, die die Mail bekommen (weil deren Adresse wirklich existiert), sorgen dann vielleicht irgendwann dafür, daß joerglorenz.de auf einer Blacklist landet, obwohl es die Absenderadresse irgendwas@joerglorenz.de gar nicht gibt.
Blacklisten sollten niemanden schocken. :) Zu Blacklisten gehören immer drei: Erstens der, der eine IP dort meldet, zweitens jemand, der diese IP dann tatsächlich einträgt, und drittens jemand, der basierend auf der Blacklist tatsächlich filtert.
Es gibt in meinen Augen einige gute und "gute" Blacklists, beispielsweise http://ordb.org für offene Relays, die die Listung rein auf technischer Grundlage vornehmen, oder http://Spamhaus.org, denen ich vertraue, dass sie manuell sinnvolle Auswahlen treffen.
Und es gibt eine Menge "böse" Blacklisten, die von eher fanatisch wirkenden Spamhassern betrieben werden, und deren List- und Delist-Kriterien sowie die Kontaktmöglichkeit zum Betreiber eher undurchsichtig sind. Solche Listen mag ein einzelner Nutzer seinem SpamCop zur Nutzung geben, als allgemeiner Filter taugen sie aber eher wenig.
Diejenigen, die die Mail nicht bekommen (weil es die Empfängeradresse nicht gibt), schicken einen MAILER-DAEMON zurück, in dem ich nun wieder sehe, mit welchen Absenderadressen (also meinen) die Mails verschickt wurden.
Das ist natürlich bedauerlich, aber tatsächlich auch "bad practice". Entgegennehmende Mailserver sollten niemals Bounce-Messages schicken, weil das Mailpostfach doch nicht existiert. Sie sollten immer direkt im SMTP-Dialog die Annahme der Mail verweigern. Der sendende SMTP-Server soll dann seinen User informieren, dass die Zustellung fehlschlug.
Nur extrem idiotisch eingestellte Mailserver schicken diese Nachricht dann an dich. Oft sind es einfach Spamschleudern ohne weitergehende SMTP-Serverfunktion.
Deshalb aktiviere ich auch ab und an Catch all. Sicher, einen Nutzen hat das letztendlich nicht.
Mailversuche an nichtexistente Mailadressen kann ein Mailadmin durchaus auch aus den Logfiles seines Servers entnehmen. Solche Adressen eignen sich bei Interesse durchaus auch als Spamfalle, falls man eine eigene Blacklist eröffnen möchte. :)
Aber auch hier gilt: Nicht jeder Domaininhaber ist auch Mailadmin und hat die Logfiles verfügbar. Das kostet ja durchaus auch Zeit. Wobei ich mich durchaus frage, wozu du dich mit Mails an Adressen, die nicht existieren, wegen Virenschleudern, die du nicht stoppen kannst, an Empfänger, die nicht existieren, herumschlägst. Das wäre doch nun wirklich Zeitverschwendung.
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Moin Sven,
Richtig. Und ich sehe nicht ein, dass sowas unsanktioniert bleiben sollte. Zu Zeiten des Loveletters war es noch nicht so verbreitet, aber mittlerweile weiß man doch: "Mail ist böse". Oder weiß "man" das nicht?
obwohl ich Dir völlig zustimme, sehe ich das etwas differenzierter. Mittlerweile sollte man schon ein Gefühl entwickelt haben, welche Mails "böse" sind. Aber da gibt es auch noch andere Anwender, die sich um die Sicherheit erstmal nicht primär kümmern, sei es aus Unkenntnis oder aus Faulheit. Im letzten Fall können Sanktionen natürlich nicht schaden.
Dann gibt es aber aus meiner Erfahrung heraus noch die Anwender, die sich auf Aussagen anderer Anwender verlassen. Viele Möchtegernauskenner empfehlen Neulingen Antivirensoftware und PFWs, wodurch eine Scheinsicherheit entsteht. Es gab nicht nur einen Rechner, den ich dann dadurch neu einrichten durfte. Dies ging bis in die Chefetage einer nicht gerade kleinen Firma. Mir läuft es heute noch kalt den Rücken herunter wenn ich daran denke, wie die Chefsekretärin in Outlook fleißig die Betreffzeilen der Mails durchklickte und den Inhalt dann im Vorschaufenster sah. Daß es da z. B. eine Variante des Netsky.P gab, die sich bereits dadurch aktivierte, interessierte nicht. Wozu hat man denn ein Antivirenprogramm?
Daran kannst du ihn nicht hindern, das ist klar. Du kannst lediglich den Empfängern mittels SPF Hinweise geben, welche IP-Adressen aus deiner Sicht für legitime Mailversendungen genutzt werden dürfen, und welche nicht. Das bringt allerdings nichts, wenn der Empfänger sich daran nicht orientiert, und es hilft auch nicht als das "ultimative Mittel gegen Spam"[TM], aber es gibt zumindest das Gefühl, wieder etwas mehr getan zu haben. Leider haben die wenigsten Domaininhaber die Möglichkeit, SPF einzusetzen, weil die Provider kein Interface zum Nameserver dafür anbieten.
Ja, stimmt schon. Das ist dann aber auch wieder eine Frage der Zeit. Zeit, die bereits jetzt fehlt.
Blacklisten sollten niemanden schocken. :) Zu Blacklisten gehören immer drei: Erstens der, der eine IP dort meldet, zweitens jemand, der diese IP dann tatsächlich einträgt, und drittens jemand, der basierend auf der Blacklist tatsächlich filtert.
Mittlerweile schocken sie mich auch nicht mehr, zur allergrößten Not hat man ja Ausweichmöglichkeiten. Aber vor ein paar Jahren, als ich Catch all noch nicht kannte, hatte ich da schon ein paar Befürchtungen. Falls man da wirklich landet, kann man letztendlich sicher sowieso nur auf eine andere Adresse ausweichen, wenn man die Möglichkeit dazu hat.
Das ist natürlich bedauerlich, aber tatsächlich auch "bad practice". Entgegennehmende Mailserver sollten niemals Bounce-Messages schicken, weil das Mailpostfach doch nicht existiert. Sie sollten immer direkt im SMTP-Dialog die Annahme der Mail verweigern. Der sendende SMTP-Server soll dann seinen User informieren, dass die Zustellung fehlschlug.
Ja, Theorie und Praxis.
Mailversuche an nichtexistente Mailadressen kann ein Mailadmin durchaus auch aus den Logfiles seines Servers entnehmen. Solche Adressen eignen sich bei Interesse durchaus auch als Spamfalle, falls man eine eigene Blacklist eröffnen möchte. :)
Womit wir wieder beim Thema wären. ;-)
Aber auch hier gilt: Nicht jeder Domaininhaber ist auch Mailadmin und hat die Logfiles verfügbar. Das kostet ja durchaus auch Zeit. Wobei ich mich durchaus frage, wozu du dich mit Mails an Adressen, die nicht existieren, wegen Virenschleudern, die du nicht stoppen kannst, an Empfänger, die nicht existieren, herumschlägst. Das wäre doch nun wirklich Zeitverschwendung.
Das hat "historische" Hintergründe. ;-)
Ich habe mal Schädlinge gesammelt und analysiert, da konnte man aus solchen Rückläufern durchaus einige gewinnen. Außerdem mußte ich im Seminar auch Fragen der Sicherheit behandeln - da war es gut, wenn man sich aufgrund persönlicher Beispiele auf dem Laufenden hielt. Und wie war das: Einen Gegner kann man am besten bekämpfen, wenn man ihn kennt. ;-)Viele Grüße
Jörg
-
-
-
Hallo,
Was Catch-All angeht: Wer sowas aktiviert, der bettelt doch
geradezu nach Spam. Alle geratenen Mailadressen funktionieren da.naja, das ist auch "relativierend" zu bewerten. Ich habe die catch-All Funktion bei meinen vier oder fünf Domains (verdräng sowas ja immer) an. Noch vor zwei Jahren war mein Spamaufkommen pro Tag bei ca 100 bis 150 Stück am Tag. 80% kamen an Adressen, die von mir so im Netzt verteilt wurden, ich gebe "ja" überall richtige Adressen an. Also wenig mit "raten"....
Mittlerweile hat sich mein Spamaufkommen auf ca 5 bis 10 je Tag reduziert. Durch nichtstun. Alle heiligen tips wie "Adressen nicht angeben" " Wegwerfadressen nutzen" "catch all" deaktivieren und was es sonst so alles gab, habe ich nie beachtet. Auf dem Server wird "natürlich" nichts gefiltert, das übernimmt mein Client und der fischt eben besagte 5 bis 10 täglich raus.
Mein Mailaufkommen entspricht in etwa denen meiner mittelstädnigen Kunden mit deren Internetauftritten (die haben eher weniger). Da sehe ich also im pauschalen Tip "catch all" auszuschalten noch nicht die durchschlagende Wichtigkeit beim anpacken des Problems Spam....
Chräcker
-
-
-
Hi,
Ich als Administrator für den SELFHTML-Mailserver kriege so diverse unerwünschte EMail in mein Postfach, und ich kümmere mich auch darum, dass sich sowas nicht wiederholt.
Außerdem kriege ich so natürlich mit, was sich an der Spammer-Front so tut.
nicht ganz ernst gemeint:
https://forum.selfhtml.org/?t=118483&m=759625Und es ist festzustellen, dass die neueste Variante (ich vermute, es handelt sich um Sober, vgl. Spiegel Online: Sober geht um) sich jetzt über alle bisherigen Spam- und Virensperren hinwegsetzt:
Dann hast Du vielleicht die falschen Sperren. Ich kenne zumindest Viren nur aus der Presse bzw. von anderen Leuten. Mit guten Firewalls, Betriebssystemen und vor allem persönlicher Vorsicht, sehe ich darin kein Problem.
Zu befürchten ist aber, dass es in die Köpfe der Viren-Anklicker nicht reingeht...
Daran wird sich nie etwas ändern. Das ist bei Fahranfängern auch so. Auch wenn alle anderen toll fahren, gibt es Leute, die auch die "Profis" in Gefahr bringen können.
Gruß
Reiner-
Moin!
Außerdem kriege ich so natürlich mit, was sich an der Spammer-Front so tut.
nicht ganz ernst gemeint:
http://forum.de.selfhtml.org/my/?t=118483&m=759625Naja, zuviel Zeit habe ich eigentlich nicht. Aber ich müßte vermutlich noch viel mehr Zeit aufwenden, mich über die überhandnehmenden Spams aufzuregen (auch ein Spam-Ordner will regelmäßig durchgesehen werden) - und außerdem spart jede Minute, die ICH dafür aufwende, beim restlichen SELFHTML-Team Zeit ein.
Ein Mailserver läuft eben nicht von alleine, er will immer betreut werden. Für kleine Mailserver geht das nebenbei, große Provider brauchen eben hauptberufliche Abuse-Teams.
Und es ist festzustellen, dass die neueste Variante (ich vermute, es handelt sich um Sober, vgl. Spiegel Online: Sober geht um) sich jetzt über alle bisherigen Spam- und Virensperren hinwegsetzt:
Dann hast Du vielleicht die falschen Sperren. Ich kenne zumindest Viren nur aus der Presse bzw. von anderen Leuten. Mit guten Firewalls, Betriebssystemen und vor allem persönlicher Vorsicht, sehe ich darin kein Problem.
Der SELFHTML-Mailserver nimmt Mails entweder an und stellt sie zu, oder er verweigert die Annahme. Da man vor dem Empfang des Inhalts aber nicht reingucken kann, und weil ich glaube, dass Virenchecks Sache des Empfängerrechners sind, nicht des Mailservers, landen solche Viren natürlich in meinem Postfach - dort aber im Junk-Folder.
Aber drauf reagieren muß man ja irgendwie.
Zu befürchten ist aber, dass es in die Köpfe der Viren-Anklicker nicht reingeht...
Daran wird sich nie etwas ändern. Das ist bei Fahranfängern auch so. Auch wenn alle anderen toll fahren, gibt es Leute, die auch die "Profis" in Gefahr bringen können.
Und deshalb befürworte ich, dass den Mailanfängern bei Fehlern dann eben die Mailerlaubnis entzogen wird - genau wie beim Auto die Fahrerlaubnis.
Dumm nur, dass man sich jederzeit woanders wieder einen Mailaccount holen kann - beim Führerschein ist das schon komplizierter.
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Hi Sven,
...weil ich glaube, dass Virenchecks Sache des Empfängerrechners sind, nicht des Mailservers
Ich lasse es mir seit Jahren einiges kosten, den Virencheck auf dem Server laufen zu lassen und finde das sehr beruhigend. Ob sich das für kleinere Server lohnt wie den unseren, wage ich nicht zu beurteilen.
Viele Grüße
Mathias Bigge-
Moin!
...weil ich glaube, dass Virenchecks Sache des Empfängerrechners sind, nicht des Mailservers
Ich lasse es mir seit Jahren einiges kosten, den Virencheck auf dem Server laufen zu lassen und finde das sehr beruhigend. Ob sich das für kleinere Server lohnt wie den unseren, wage ich nicht zu beurteilen.Nun ja, ich halte sowieso nicht sonderlich viel von Virenchecks. Man findet damit prinzipbedingt nur Viren, die schon bekannt sind. Viren werden aber nur bekannt, wenn sie sich hinreichend groß verbreiten und dadurch irgendwie den Herstellern von Antivirensoftware bekannt werden, damit die die Signaturen integrieren können.
Das bedeutet im Umkehrschluß, dass alle Viren, die den Scannern nicht bekannt werden, ungehindert durchgehen. Und jemand, der es drauf anlegt, kann sich problemlos alle Virenscanner zulegen und seinen neuen Virus auf Erkennung testen - und dann eben so lange Umstellungen und funktionslose Ergänzungen im Code vornehmen, bis der Virus nicht mehr erkannt wird.
Da eine der Tendenzen durchaus darauf abzielt, Customized-Viren explizit nur für eine spezielle Zielgruppe (wie z.B. eine Firma) herzustellen, die gar keine große Verbreitung erfahren soll, und sich auch nicht ausbreiten, sondern als Hintertür oder zur Spionage fungiert, sind Virenscanner zunehmend wirkungslos.
Wer vor Viren sicher sein will, für den gilt als einziges Prinzip: Er darf keinen virulenten Programmcode zur Ausführung bringen. Punkt.
Und das bedeutet eben, dass man eben gerade NICHT auf alles klickt, was per Mail reinkommt, sondern eigentlich alles LÖSCHT, was irgendwie seltsam erscheint.
Mit diversen "Virenscannern" in Firmen habe ich schon so meine Erfahrungen gesammelt. Es gibt dabei zwei Varianten:
Nummer 1 läßt ZIP-Dateien durch, löscht darin aber sinnloserweise vermeintlich "böse" Dinge - wie zum Beispiel alle ".js"-Dateien einer gezippten Website, ohne die Bösartigkeit auch nur im Geringsten zu prüfen - mit dem Erfolg, dass der Kunde die Website zwar sieht, die vielen netten Javascript-Features (WYSIWYG-Editor u.ä.) aber nicht funktionieren, die in externen Dateien stecken. Andere Features, die direkt im HTML-Code stecken und grundsätzlich genauso böse wären, werden aber durchgelassen.
Nummer 2 löscht grundsätzlich alle Dateien, die als "böse" aufgrund ihrer Dateiendung erkannt werden, läßt dieselben Dateien, verpackt in ZIPs, aber unbeanstandet durch.
Sorry, aber so ein Müll behindert den legitimen Mailverkehr mehr, als dass er irgendwelche Sicherheit vor Viren bringt. Und überdies kostet es bei höherem Mailaufkommen auch richtig viel Rechenpower, die nur deswegen enorme Zusatzhardware notwendig macht - und dem Kunden eine deswegen tatsächlich gerechtfertigte Zusatzgebühr berechnet wird.
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Hi Sven,
Nun ja, ich halte sowieso nicht sonderlich viel von Virenchecks. Man findet damit prinzipbedingt nur Viren, die schon bekannt sind. Viren werden aber nur bekannt, wenn sie sich hinreichend groß verbreiten und dadurch irgendwie den Herstellern von Antivirensoftware bekannt werden, damit die die Signaturen integrieren können.
Wirklich überzeugen tut mich Deine Argumentation mit den unbekannten Viren nicht. Vielleicht gibt es dieses Problem der spezialisierten Spionage-Viren, auch wenn ich noch nicht damit konfrontiert wurde, das Hauptproblem scheinen mir aber doch die Schadprogramme zu sein, die auf massenhafte Verbreitung angelegt sind und daher relativ zuverlässig zu erkennen sind.
Mit diversen "Virenscannern" in Firmen habe ich schon so meine Erfahrungen gesammelt. Es gibt dabei zwei Varianten:
Diese Systematik halte ich für falsch. Auf meinem Server läuft eine normale Virenerkennung, die halt sehr häufig aktualisiert wird, und wie die mit *.zip, wie übrigens auch für andere Formate, die mehrere Dateien enthalten, umgeht, ist einstellbar.
Und überdies kostet es bei höherem Mailaufkommen auch richtig viel Rechenpower, die nur deswegen enorme Zusatzhardware notwendig macht - und dem Kunden eine deswegen tatsächlich gerechtfertigte Zusatzgebühr berechnet wird.
Es kostet vor allem Gebühren für die entsprechende Software, der Rechenaufwand ist m.E. akzeptabel. Du gehst bei Deiner Argumentation von einem Benutzer aus, der sehr kompetent mit dem Rechner umgeht und das Geschehen verfolgt, für eine Firma müssen aber gerade die Arbeitsplätze der DAUs ein Stück sicherer gemacht werden.
Es ist eine Tatsache, dass die Virenverbreitung über Mail-Anhänge nach wie vor funktioniert, und insofern spart jede verhinderte Infektion bares Geld.
Viele Grüße
Mathias Bigge
-
-
-
-
-
Hi,
Ich als Administrator für den SELFHTML-Mailserver
Jaja, wenn man einmal mal nicht aufpasst beim Handheben ... ;-)
Die Viren werden jetzt direkt über die Accounts der betroffenen Nutzer verschickt!
Eine unangenehme Methode, die sich nur bedingt technisch loesen laesst (asymetrische Verschluesselung mit vorherigem gegenseitigem Signieren der Keys. So, und jetzt erklaere mal dem unbedarftem Benutzer, der gerade mal bei Outlook -- aber nur bei einer einzigen Version! -- die passenden Knoepfchen druecken kann, wie das funktioniert), wie Du ja schon ganz richtig festgestellt hast.
Somit hat eine Vireninfektion direkte Auswirkungen auf die privaten Nutzer, und auch dieser Vertriebskanal wird eingeschränkt. Es hilft, so scheint es, wirklich nur Null Toleranz.
Ja, sowas kann sehr schoen befriedigen, kann ich durchaus nachvollziehen *eg*, hilft aber leider nicht wirklich. Zombienetzwerke/Botnets oder wie die Nomenklatur du jour gerade lautet haben zehntausende von Knoten, vorzugsweise ueber viele Netze/ISPs verteilt, eine haendische Abwicklung reicht da einfach nicht und auf eine automatische Abwicklung wird auch automatisch reagiert: mit einem Routing nach /dev/null. Warum? Nun, es gibt keine wirklichen finanziellen Konsequenzen, wenn der ISP den Spamversand zulaesst, es gibt jedoch finanzielle Konsequenzen wenn sich der Kunde einen anderen ISP sucht.
Zu befürchten ist aber, dass es in die Köpfe der Viren-Anklicker nicht reingeht...
Das ist nicht nur zu befuerchten, das ist tatsaechlich so.
Was also tun?
Alle binaeren Daten unbekannter Herkunft aus den Mails loeschen? Aber wie macht man den Kunden klar, das sie selbst ihre Bildchen von der Buerofeier -- die, bei der die Chefin den Praktikanten so herzzerreissend inbruenstig deflorierte -- signieren sollen? Die werden einen Teufel tun und sich einen suchen, der sowas Unverschaemtes nicht verlangt! ("Rabatt" ist bei solchen Problemen uebrigens ein haeufig wirksames Mittel) Dazu kommt natuerlich noch die Frage, was ueberhaupt binaere Daten sind und das Problem, das die Einschraenkung auf binaere Daten keine sehr gute Idee ist.Es bleibt also doch alles beim Empfaenger haengen und als einzige wirkliche Moeglichkeit bleibt lediglich die Schadensminimierung.
So kann man den Absender recht genau bestimmen, wenn man etwas durch das eigene Webinterface schleusst:"Supportanfragen bitte aussschliesslich ueber das Webformular!".
Eine sorgfaeltige Einteilung der Subnetze (gewisse Anzahl an Knoten natuerlich vorausgesetzt) kann eine Ausbreitung eingrenzen und evt auch einen Ausfall auffangen, wenn z.B. von einer Abteilung nur die Haelfte aussfaellt.
Jede Aenderung an den (lebenswichtigen) Daten muss protokolliert werden. Eine ausfuehrliche Versionskontrolle sollte bei den Speicherpreisen heutzutage kein Problem mehr darstellen. Das erfordert nateurlich die Trennung der Daten von der Gefahrenstelle.
Bei besonders sensibelen Daten ist auch mal der Mailverkehr (und nicht nur der!) ganz auszulagern.Eine Probe in einer Sandbox auszufuehren ist ebenfalls ein verlockendes Angebot, aber ich musste feststellen, das es keinen grossen Sinn macht. Es laesst sich erstens nur sehr schlecht automatisieren wie die Reaktionen auszuwerten sind und zweitens ist ein recht homogenes Netzwerk erforderlich, ansonsten man alle vorhandene Programme und Betriebsysteme in allen vorhandenen Konfigurationen vorhalten und natuerlich auch testen muss. Das wird einfach zu teuer, da kann man sich ja auch gleich Macs hinstellen! ;-)
Und Mail ist nur _ein_ Loch, in das Schaedlinge reinschluepfen koennen.
Man glaubt gar nicht, wieviele Putzfrauen eine Schluessel zum Serverraum haben, denn "Da muss ja schliesslich auch mal saubergemacht werden!".
Ich moechte ja dem Reinigungspersonal nichts unterstellen, aber bei einem Stundenlohn von vielleicht einmal 5 Euro wenn's gut geht?
Und dann noch das Wachpersonal! Quid custodies ipsos custodet? 4,50 Euro Stundenlohn? Wohl kaum, oder?Seltene Extreme ("Movie plot" sagt Bruce Schneier dazu)? Ja, klar, deswegen hilft ja nur Schadenbegrenzung. Denn was ist mit den gar nicht so seltenen Laptops der Aussendienstmitarbeiter? Wo die alle gewesen sein moegen, das moecht' man doch mitunter gar nicht wissen! Es werden mit Sicherheit auch mehr Daten versehentlich geloescht oder gar veraendert, als alle Viren zusammengenommen es je getan haben.
Es gibt natuerlich auch noch die Moeglichkeit einer Mitarbeiterschulung. Die muss aber bei allen Mitwirkenden einen angenehmen Nachgeschmack hinterlassen, denn unangenehme Erinnerungen verblassen naturgemaess schneller. Ich biete zu diesem Zweck Wochenendseminare an, habe aber die Moeglichkeit dafuer ein kleines Sporthotel auf dem Lande komplett anmieten zu koennen. Das ist zwar recht teuer, aber meiner Erfahrung nach aussergewoehnlich effektiv, denn aufgrund der abgeschiedenen Lage hat man sie alle abends am Tresen versammelt.
Und was Werbespam angeht kann ich mich Chraecker nur anschliessen: es ist nicht mehr signifikant, auch wenn Ausnahmen die Regel bestaetigen moegen. Der Nutzen eines Spamfilters auf dem Mailserver ist mittlerweile nicht mehr gross genug, um das Risiko und die Kosten eines zusaetzlichen Programmes zu rechtfertigen und die Kosten fuer das Loeschen von 5-10 Spams am Tag liegen auch eher unterhalb des S/N-Ratios.
Ueber die Gruende fuer das geringe Aufkommen laesst sich natuerlich nur spekulieren und es ist leider auch fraglich ob das dauerhaft sein wird.so short
Christoph Zurnieden