SMTP-Mailscanner: Was müssen die Virenscanner für E-Mail können?
Diesen Beitrag wurde im Mai 2003 im Newsletter Admins Favorite veröffentlicht.
Das Netzwerk ist wie ein Operationssaal. Wird das Netz nicht sauber gehalten, entwickelt es sich zum Träger für Viren und digitale Keime. Häufigster Überträger virulenter Fracht sind E-Mails. Lesen Sie in diesem Beitrag, wie Sie Viren aus dem Netzwerk abwehren, und worauf Sie bei der Anschaffung eines Mail-Virenscanners achten sollten.
Um ein Netzwerk gegen Viren abzusichern, muss man eine mehrgleisige Strategie fahren:
- Auf den Desktops sitzen Virenscanner, die alle Dateien untersuchen, sobald diese geöffnet werden.
- Der Server wird von einem Virenscanner überwacht.
- Der gesamte eingehende und ausgehende E-Mail-Verkehr geht durch einen Scanner.
Dieser Mail-Scanner arbeitet entweder als eigenständiger SMTP-Server oder klinkt sich in Microsoft-Exchange ein. Microsoft hat dafür eigens das AVAPI geschaffen. Ein SMTP-Server ist aber flexibler, weil es sich auch in gemischten Umgebungen einsetzen lässt. Das ist etwa in Unternehmen der Fall, die einen POP- oder einen IMAP-Mail-Server verwenden oder die ihre Mail über einen Linux-Server abwickeln. Häufig wird der SMTP-Virenchecker auch einem Exchange-Server vorgeschaltet, an dessen SMTP-Connektor er Mail weiterleitet.
Grundsätzlich werden die SMTP-Scanner so konfiguriert, als wären sie eigenständige SMTP-Server. Der Admin definiert Ports und Zugriffsbeschränkungen, sowie einen Server, an den alle Mail weiter geleitet werden soll. Der Einfachheit halber sollten Sie alle eingehende und ausgehende Mail zunächst an den Scanner-Server leiten und von dort an einen Smart Relay weitergeben, der entscheidet, wohin mit der Mail – nach draußen für die ausgehenden Nachrichten, in die Postfächer für die eingehende Post.
Aufgaben eines SMTP-Scanners
Ein schlichter SMTP-Virenscanner erfüllt genau eine Aufgabe: Er untersucht die durchlaufenden Mails anhand einer Signaturen-Datei nach verdächtigen Inhalten. Unbedingt wichtig ist es, dass vermeintlich virulente Mails in einem Quarantäne-Verzeichnis gespeichert werden. Dort liegen sie zum Zugriff mit geeigneten Tools bereit, falls die Mail neben dem Virus auch noch wichtige Information trägt. Besser noch ist es, wenn die Mail oder die darin enthaltene Datei repariert wird. Das klappt jedoch längst nicht mit allen Anhängen.
In jedem Fall aber müssen Wege existieren, um eine Alarm-Meldung an den Administrator zu senden. Zumindest muss er per E-Mail Information bekommen dürfen. Darüber hinaus sind Meldungen per Net Send unter Windows oder an einen Pager interessant. Wer nicht bei jedem Virus alarmiert werden möchte, sollte zusehen, dass die Antiviren-Software Log-Dateien mitführt oder die Ereignis-Logs von Windows füllt. Doch Vorsicht: Bei starkem Viren-Bombardement sind diese Logs schnell überfüllt. Gut wenn eine Software dann die Möglichkeit hat, die Größe der Log-Dateien zu begrenzen.
Geschwindigkeit
Wichtig bei Virenscannern ist ihre Arbeitsgeschwindigkeit. Schließlich kostet es eine Menge Zeit, die Nachrichten nach Schädlingen zu durchsuchen. Je mehr Anhänge unterwegs sind, desto länger dauert es. Und wenn ein solcher Server die Messages von 1000 Nutzern in einem Unternehmen durchsucht, sollte dahinter auch entsprechende Hardware stehen. Für die Scanner gilt: Speicher satt bringt es, am besten sind mindestens 512 MByte. Ein leistungsfähiger Prozessor der 2 GHz-Klasse sollte auch im Rechner stecken. Die Festplatte selbst sollte nicht unter 20 GByte haben. Mehr ist aber auch nicht unbedingt notwendig, außer man möchte alle Viren von mehreren Jahren samt zugehöriger Log-Dateien sichern.
Investieren Sie lieber in noch ein wenig mehr Hauptspeicher. In Sachen Geschwindigkeit nehmen sich die Virenscanner nicht sehr viel. Einige sind beim Finden von virulenten Dateien schneller, andere beim Durchschleusen sauberer Mails. Wichtig ist nur, dass Sie dem Scanner einen eigenen Rechner geben, damit der Mail-Versand ungebremst läuft und auch keine anderen Anwendungen bremst.
Eigenschutz
Manch' Böswilliger probiert es noch, mit einem "Zip of Death" genannten Zip-File Virenscanner auszuhebeln. Da werden zum Beispiel 16 Gigabyte gleicher Zeichen in ein Zip gepackt. Auf Grund der hohen Redundanz im Original wird das resultierende File nur 42 KByte groß. Im Jahr 2001 brachte das Zip of Death Virenscanner zum Absturz, die versucht haben, dieses File komplett zu entpacken, um es nach schädlichem Code zu untersuchen. Heute sollte Zip of Death keinen Virenscanner mehr schocken.
Weiteres Zip-Thema: Die Software sollte auch mehrfach gepackte ZIP-Dateien scannen können, also ein ZIP, das in einem ZIP steckt, das wiederum in einer ZIP-Datei gespeichert ist. Ideal ist's wenn sich diese Scan-Tiefe im Scan-Programm einstellen lässt.
Wichtig für den Scan-Betrieb ist, dass der Scanner auch sich selbst schützt. So gehört es zum Standard-Repertoire eines SMTP-Servers, dass er festlegen kann, von welchen Adressen überhaupt er Mails entgegen nimmt. Zusätzlich sollten einige konfigurierbare Limits gesetzt werden können:
- Eine maximale Grenze für die Größe von Mail-Anhängen
- Eine maximale Anzahl gleichzeitiger Verbindungen von einem Server aus
- Eine maximale Anzahl von E-Mails innerhalb eines bestimmten Zeitraums
Die Größenbegrenzung ist mit Vorsicht zu handhaben. Während zum Beispiel die Entwicklungsabteilung mit recht kompakten Dateien hantiert, braucht das Marketing gerne einmal zehn oder zwanzig Megabyte, um eine Bilddatei oder eine Druckvorlage an den Hersteller zu liefern. Dumm, wenn das an so einer Begrenzung scheitert. Noch schlimmer, wenn es entweder keiner merkt oder der Absender nicht weiß, dass es eine vom Mail-Admin gesetzte Beschränkung ist. Sollten Sie also solche Mail-Grenzen setzen, machen Sie das auf jeden Fall auf der Intranet-Seite oder anderer für jeden gut sichtbaren Stelle publik.
Die Begrenzung gleichzeitiger Verbindungen ist ein Schutz für den Server selbst. Denn kommen von einem Computer zu viele gleichzeitige Verbindungen und Mails liegt der Verdacht nahe: Entweder versucht sich ein Wurm massenhaft zu verbreiten – oder ein Spam-Versender hat sich des Netzwerks bemächtigt. Dasselbe gilt, wenn über eine einzelne Verbindung mehrere Mails auf einmal kommen. Der Virenscanner unterbricht dann die Aufnahme neuer Mails und fährt erst nach einem Timeout wieder fort. Andererseits kann auch eine solche Grenze stören, etwa wenn man den wöchtentlichen E-Mail-Newsletter an Kunden sendet und alle Mails durch den Scanner jagt. In solchen Fällen rentiert es sich, große Mailings auf die Nacht zu verlegen.
Updates
Täglich, besser alle vier bis fünf Stunden muss ein Virenscanner seine Signaturen auffrischen können. Im Normalbetrieb mögen diese vier bis fünf Stunden albern häufig sein. Doch falls der nächste Loveletter ausbricht, wird die Zeit knapp. Gut, wer da das eilends vom Virenhersteller produzierte Signatur-File schon hat. Die Update-Vorgänge müssen sich automatisieren lassen. Ganz wichtig ist auch ein Blick auf das Budget: Wieviel Update gibt es wie lange mit dem Software-Paket und was kosten die Updates danach.
Zusatzfunktionen
Einige Virenscanner bringen noch zusätzliche Funktionen mit. Esafe hat seinem Aladdin zum Beispiel einen Inhaltsfilter spendiert, der Mails nach Schlüsselwörten durchsucht und Spam anhand der Herkunftsadressen erkennt. Zusätzlich lassen sich sogar bestimmte Makro-Funktionen blockieren, die in per E-Mail versanten Dokumenten enthalten sind. Trend Micro hat seinen Viren-Checker mit einem ausgefeilten Regelsystem ausgestattet. Da lässt sich genau festlegen, wer wem welche Mails schicken darf. Webshield verfügt über ausgefeilte Alarm-Mechanismen – bis hin zum Abspielen eines Sounds oder der Ausgabe eines Alarmschreibens auf dem Drucker. Doch sollte sich jeder fragen, ob er wirklich diese Funktionen braucht oder ob es nicht auch ein sehr einfach zu verwaltendes Norton Antivirus für SMTP-Gateways tut. Weitere interessante Kandidaten: Die SMTP-Scanner von FSecure und Sophos.
