Die Frage nach dem "Warum"?

Die Möglichkeit, dass Emails schon auf dem Emailserver auf Viren gescannt werden, wünscht sich so mancher Netzwerksadministrator, egal, ob er nur ein kleines Heimnetzwerk betreut, oder aber den Emailverkehr eines grossen Unternehmens überwacht. Denn der Administrator weiss nur zu gut: Heutzutage werden Viren, Wurmer und andere destruktive Programme zum allergrößten Teil über Emails verbreitet, der Emailverkehr in ein Netzwerk herein ist also einer der wichtigsten neuralgischen Punkte, die es zu überwachen gilt, um ein Netzwerk vor ungewollten Eindringlingen zu schützen. Sicherzustellen gilt auch, dass ein Netzwerksteilnehmer, der sich einen Virus, Trojaner oder Wurm "eingefangen hat",genauer gesagt sein anfälliges Emailprogramm, diesen nicht intern andere Netzwerksteilnehmer unbemerkt weiterverbreitet, oder an externe Emailempfänger versendet.

So kann z.B. ein Mitarbeiter eines Unternehmens, auf dessen Rechner der lokale Virensanner nicht auf dem aktuellen Stand ist, und der beispielsweise eine veraltete Microsoft Outlook Version benutzt, unbeabsichtigt nicht nur seine Kollegen mit verseuchten Emails bombardieren, sondern auch mal eben schnell den gesammten Kundenstamm, der in seinem Adressbuch zu Referenzzwecken vermerkt ist, mit verseuchten Emails vergraulen. Dass ist der Alptraum jedes Administrators. Denn mal ganz ehrlich: Die meisten Würmer sind zwar relativ harmlos, weil sie sie oft nur Verbreitungsroutinen und keine Schadroutinen haben, denoch geht für ein Unternehmen der Imageschaden oft ins unermessliche, wenn aus dem Firmennetzwerk heraus solche Würmer an Kunden versendet wurden.

Tatsache ist also, dass ein Administrator eine Menge "Erziehungsarbeit" bei den Netzwerksnutzern leisten muss, will er ohne serverseitige Virenüberprüfung auskommen: Er muss seine Nutzer ständig ermahnen, die jeweils aktuellsten Sicherheitsupdates ihres Emailprogrammes aufzuspielen, oder ein sichereres (aber in der Regel unkomfortableres, und daher verpöntes, Emailprogramm zu nutzen), die Virenscanner ständig upzudaten, und am schlimmsten: er muss letztendlich jeden Netzwerksteilnehmer zum erfahrenen Viren(er)kenner ausbilden.

Was steckt technisch hinter dem serverseitigen Virenscan?

Leider genügt es nicht, wie viele Leute annehmen, einfach einen leistungsfähigen On-Access Virenscanner auf dem Emailserver meines Netzwerkes zu installieren, denn Emails sind in der Regel kodiert (MIME, Base64 etc. ) so dass in den Email enthaltene Attachments in der Email in verschlüsselter Form vorliegen, und daher vom Virenscanner nicht so ohne weiteres überprüft werden, selbst wenn bei Speichern der Email zur weiteren Verteilung ein "On-Access-Scan" des Virenscanners erfolgt. Faktisch muss der Virenscanner in der Lage sein, die Email als solche zu erkennen, zu decodieren, und dann alle Anhänge separat zu scannen.

Anwendungen, die die Technik unterstützen:

Es gibt proffessionelle Virenscanner-Lösungen speziell für Unternehmen die das serverseitige Scannen von Emails übernehmen, diese sind aber oft sehr mit sehr hohen Anschaffungskosten verbunden. Letztendlich ist die Technik, greift man auf kommerzielle Produkte zurück, also nur für grössere Unternehmen bezahlbar, für nicht so finanzkräftige Institutionen wie z.B. Schulen, Vereine, private Netzwerke gilt: Aufgrund des hohen Preises müssen sie auf Sicherheit verzichten.

Einzelne Emailkonten Providerseitig auf Viren zu prüfen lassen, wie es z.B. 1und1 anbietet, ist keine wirklichen Alternative:

• Es ist ebenfalls kostenpflichtig
• Alle Emails (auch interne Emails, z.B. an Kollegen) müssten über den Provider gehen, was den Internetzugang stark belastet.
• man beauftragt ein Fremd-Unternehmen mit dem Virenschutz, verliert letztendlich die Kontrolle über den Vorgang, weil sich das Ganze in einem Bereich abspielt, auf den man keinen Einfluss nehmen kann.

Doch es gibt auch Lösungen für jedermann: Es gibt Server, wie den Janaserver von Thomas Hauck (Freeware für Privat und nichtkommerzielle Einrichtungen www.janaserver.de) die in ihrem Emailservermodul eine Funktion zum Aufruf eines kommandozeilen-basierten Virenscanners (z.B. der kostenlose f-prot oder Antivir von H+BDV) eingebaut haben, d.h. jede Email, die den Server durchläuft, wird dekodiert und deren Anhänge an einen Virenscanner zum Testen übergeben. Das Ergebnis des Virenscanners (Errorlevel) wird ausgewertet, und bei einem Virenfund die verseuchte Mail dem Administrator in gesicherter Form zugestellt.

Mit dem Zusatztool für den Janaserver "Checkexec" von Andreas Hausladen (http://www.janatools.net) wird der Virenscan von der Pflicht zur Kür: Er und sein Team haben Untersuchungsmethoden entwickelt, wonach man selbst Emails als gefährdend einstufen kann, deren enthaltener Virus/Trojaner so neu ist, dass ihn die Virenscanner noch nicht kennen!

Grundüberlegungen dabei sind z.B. gewesen:

1. Emailattachments müssen über Html-Tags im Body der Email gestartet werden, z.B. mit dem IFRAME-Tag, sollen Sie automatisiert ausgeführt werden. Das Entfernen/Auskommentieren dieses Tags verhindert das automatisierte Ausführen von Anhängen.
2. Viele Viren/Würmer und Trojaner verwenden Doppelendungen, um z.B. hinter einer vermeindlichen Textdatei eine ausführbare Anwendung zu kaschieren, denn unter Windows werden bekannte Dateiendungen standartmässig ausgeblendet. Der User sieht also z.B eine readme.txt Datei, obwohl es sich in Wirklichkeit um eine readme.txt.exe, also um eine Anwendung handelt. Das standartmässige Einstufen solcher Doppelendungen als Virus filtert bereits über 90% aller aktuell im Umlauf befindlichen Würmer und Trojaner aus, ohne die Notwendigkeit eines Virenscans!
3. Manche Dateiendungen haben in Emails einfach nichts zu suchen! Oder kann sich jemand der Leser erinnern, schon mal eine *.HTA Datei bekommen zu haben, ohne dass dahinter nicht ein böses Ansinnen steckte? Es würde mich wundern... Deshalb wurde ein Filter für hochgefährdende Dateitypen eingebaut, so kann der User z.B. Emails mit *.exe, *.com, *.vbs und weitere eigenen definierte Attachments ausfiltern lassen.

Insgesamt also ein ausgereiftes Scansystem, das man mit etwas Grundlagenwissen selbst an seine eigenen Sicherheitsbedürfnisse anpassen kann.