Viren, Spam, Werbung und Müll

Seite 2/4

Wo können wir filtern ?

Wir wissen nun, welche Elemente wir in unserem Netzwerk nicht haben wollen.

Ich werden in diesem Abschnitt überwiegend Beispiele anhand der Produktserie von Trend Micro nennen, da mir diese geläufig ist und ich von der Funktion überzeugt bin. Das bedeutet nicht, dass andere Produkte nicht auch ihre Funktion erfüllen. Das wichtigste ist, dass Sie als Administrator mit den Produkte umgehen können und vor allem die Funktion kontrollieren können. Wo können wir nun eingreifen ?

  • 328841 Exchange und Antivirus-Software

SMTP Scanner

SMTP Scanner werden zwischen Exchange und Internet geschaltet und kontrollieren jede Nachricht, die zwischen Exchange und dem Internet ausgetauscht wird. SMTP Scanner sind unabhängig von Exchange und eigenen sich für jede Art Kommunikation über das Internet. Also auch für den Einsatz mit Lotus Note, Linux und anderen Mailsystem. Diese Virenscanner arbeiten meist als SMTP-Relay und übernehmen damit auch eine gewissen Schutzfunktion gegen Angriffe; müssen aber selbst entsprechend "gehärtet" sein und sollten kein Relay abgeben. Die Platzierung dieser Scanner erfolgt meist in der DMZ einer Firewall. Manchmal auch auf dem Exchange Server, welcher dann nicht mehr auf dem Port 25 SMTP Nachrichten annehmen wird.

Wir setzen hierzu gerne die Trend Micro Viruswall ein, welche neben einer robusten Funktion (sonst würde sie wohl kaum bei Microsoft, Bertelsmann etc. laufen) auch zusätzlicher Filter (eManager) nutzen kann. Auch eine CVP-Version für den Einsatz mit einer Checkpoint Firewall und eine Unix-Version ist verfügbar.

POP3 Scanner

POP3 ist ein Abholprotokoll ohne einen Serverprozess auf dem PC des Anwenders. Damit ist erst mal kein Scanvorgang möglich. Es gibt aber trotzdem auch hier Lösungen, z.B.: PC-Cillin, welches quasi als POP3-Proxy zwischen dem Mailprogramm und dem Internet  geschaltet werden kann

All die, die per POP3 ihre Firmenmails aus dem Internet abholen und nach Exchange senden, bietet sich der SMTP Scanner an. Die POP3-Abholprogramme senden ihre Nachrichten per SMTP an Exchange und da kann wieder ein Virenscanner dazwischen geschaltet werden. Allerdings ist der umgang mit drei Programme und nur einem Port 25 auf einem PC nicht immer einfach, aber möglich.

MAPI-Scanner

Wenn die Mail schon angenommen wurde, dann landet sie im Exchange Informationsspeicher. Es gibt nun Virenscanner, welche mit den notwendigen Rechten ausgestattet werden, um alle Postfächer und Ordner zu 

Risiken sind hierbei, dass der Scanner vielleicht doch nicht alle Rechte auf alle Postfächer hat und auch nicht alle öffentliche Ordner sehen kann. Weiterhin gibt es eine kleine Lücke zwischen Zustellung der Mail in das Postfach und dem Entfernen durch den Virenscanner. Wenn der Server oder der Virenscanner stark beschäftigt  ist, kann ein Anwender theoretisch eine Nachricht öffnen, ehe diese vom Scanner bearbeitet wurde. Dies ist ein Prinzipproblem von MAPI. Nebenbei braucht der Scanner mehrere Threads, da ein Prozess nur 255 Postfächer gleichzeitig öffnen kann 

Wir setzen hier gerne ScanMail Exchange ein, da es schon mehrere Jahre auf dem Markt ist, und Trend in dem Bereich einen größeren Erfahrungsschatz hat. Exchange Scanner anderer Hersteller sind erst 1999 oder 2000 richtig verfügbar geworden. Lesen Sie einfach die Newsgroup und schauen sie, wer Probleme hat :-). 

  • Q245822 XGEN: Recommendations für Troubleshooting an Exchange Computer with Antivirus Software Installed

AVAPI/VSAPI-Scanner

Aus all den Erfahrungen mit MAPI hat Microsoft mit dem Exchange 5.5. SP3 eine neue Schnittstelle AVAPI bereitgestellt, damit unter anderem Virenscanner einen weiteren Zugriff auf die Datenbank haben. Sie brauchen aber ein Hotfix oder besser gleich Service Pack 4, damit die Virenscanner sauber arbeiten. Virenscanner können damit vor dem Speichern der Nachricht im Postfach sich in die Übertragung einschalten und scannen. Leider können Sie Virenscanner an dieser Stelle weder den Absender, den Empfänger noch den Body der Nachricht erhalten. Dieser Scanvorgang beschränkt sich daher auf die Anlagen. Entsprechend kann eine Alarmierung auch nicht sagen, wer der Absender oder Empfänger gewesen ist. Ein MAPI-Scan macht auch hier durchaus noch Sinn.

Scan Mail ab Version 3.5 kann auch AVAPI scannen. Mit Exchange Service Pack 4 sollten Sie unbedingt die Version 3.51 einsetzen. Wir haben Exchange Server mit einer Dauerlast von 10 Nachrichten pro Sekunde und 130.000 gescannten Objekte mit AVAPI im Einsatz.

Die AVAPI/VSAPI-Schnittstelle ist von Microsoft nicht öffentlich dokumentiert und wird nur an "vertrauenswürdige" Antivirenhersteller abgegeben. Es ist aber auch mit Exchange 2000 der empfohlene Weg, einen Exchange Server auf Viren zu scannen.

  • Background on VSAPI
    Teil 1: http://blogs.technet.com/b/exchange/archive/2004/10/20/245157.aspx
    Teil 2: http://blogs.technet.com/b/exchange/archive/2004/11/02/251177.aspx
    Teil 3: http://blogs.technet.com/b/exchange/archive/2004/11/15/257737.aspx
  • Q245822 XGEN: Recommendations für Troubleshooting an Exchange Computer with Antivirus Software Installed
  • Q247774 XADM: MSExchangeIS (306) Error in Event Log with Antivirus use
  • Q259163 XADM: Cannot Open Attachments If Virus Scanning Is Enabled
  • Q262491 XADM: Information Store Crashes When using Antivirus Application Programming Interface
  • Q263947 XADM: Messages Stuck in Outbox with Antivirus Application Programming Interface in use
  • Q263949 XADM: understanding How the Antivirus API Scans Attachments
  • Q264731 XADM: MAPI-Based Tasks Do Not Work with Virus API Anti-Virus Software Running on the Exchange Server Computer
  • Q269439 XADM: Synchronization of .ost Files Does Not Work When the Antivirus API Is Enabled
  • Q285667 XADM: understanding Virus Scanning API 2.0 in Exchange 2000 SP1
  • Q298404 XADM: Virus Scanning API 2.0 Allows Connectors Access to Infected Messages
  • Q298551 XADM: Large Number of Transaction Logs Created
  • Q299046 XADM: Calendar Items Disappear from User's Folders
  • 328841 Exchange und Antivirus-Software

MTA-Scanner

Immer wieder kommen Fragen, ob nicht auch die Viren zu filtern sind, die zwischen Exchange Servern z.B. über die Funktion "Verbundene Standorte" über einen Connector ausgetauscht werden. Im Moment der Erstellung dieser Seite ist die Antwort "NEIN". Halten wir jedem Hersteller, der etwas anderes behauptet, einmal zugute, dass er sie vielleicht nicht richtig verstanden hat. Aber es gibt aktuell keine Möglichkeit solche Nachrichten zu scannen. Auch wenn diese über einen SMTP-Connector versendet werden, so sind es doch TNEF-Nachrichten, die in eine SMTP-Nachricht eingekapselt sind und daher nicht zu prüfen sind.

Wenn ein Hersteller oder Lieferant ihnen diese Funktion zusichert, dann lassen Sie sich das schriftlich geben, damit Sie ihr Geld zurück erhalten. Soviel Produktwissen sollte ein guter Verkäufer haben (oder diese Seite können). Oder suchen Sie sich jemand, der sie seriöser berät und nicht nur des Verkaufens willen immer nur "Ja" sagt.

Event Sink Scanner (E2K)

Exchange 2000 erlaubt es, an verschiedenen Stellen des Nachrichtenflusses diverse "Event Sinks" einzubauen. Das sind Codesegmente, die Exchange ausführt, wenn eine Nachricht den Regeln entspricht. Solche Sinks gibt es sowohl beim Transport als auch beim Store. Siegfried Weber baut auf seiner Seite http://playground.doesntexist.org/?category=Exchange einige Beispiele, wie sie an jede Mail einen Trailer hängen können oder wie Sie verhindern, dass eine Quittung gesendet wird. Es ist nur eine Frage der Zeit, bis Virenscanner diese Schnittstelle entdecken, um hier ihre Suchfunktion einzubauen. Dann wird auch das Scannen einer Nachricht durch den MTA möglich werden. Das ganze scheint aber noch nicht so einfach zu sein, da Exchange 2000 nun schon einige Monate auf dem Markt ist, aber noch keine großen Ankündigungen zu lesen sind. Ich bitte um eine Info, wenn jemand etwas neues weiß.

Allerdings liefert Microsoft mittlerweile einen SMTP-Transport Event Sink für Windows 2000, um Anlagen zu blockieren. Weitere Infos auf Viren Soforthilfe