Virenscanner für Postfix/Amavis

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

Virenscanner für Postfix/Amavis

Frank Fiene
Hallo,

gibt es eigentlich eine Empfehlung für den besten Virenscanner, den man mit Amavis einbinden kann?

Vielleicht ist es ja ClamAV, aber im Moment kommen die Einschläge bei einem großen Kunden immer näher.
Der Kunde nutzt natürlich für Windows-Server, Clients, Groupware, Proxy und Mailgateways fünf unterschiedliche Scanner.

Die CLients mit McAfee melden jedenfalls regelmäßig Viren und es kam auch schon vor, dass die kompletten Daten eines MA durch einen BKA-Trojaner verloren (verschlüsselt) waren.

Also ist es ClamAV oder doch ein kommerzieller?

Viele Grüße!
Frank
--
Frank Fiene / IT-Services
Internet Services / IT-Security
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com
PGP-ID: 20419C64
PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD  EAB5 BBB4 435F 2041 9C64

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Uwe Drießen
Im Auftrag von Frank Fiene
>
> Hallo,
>
> gibt es eigentlich eine Empfehlung für den besten Virenscanner, den man
> mit Amavis einbinden kann?

Es gibt nicht DEN Virenscanner. Jeder hat seine Vor und Nachteile.
Gegen eine  vor 10 Minuten irgendwo in der Welt  neue Schadsoftware die in
die freie Wildbahn entlassen wurde hilft kein noch so guter Virenscanner.
Virescanner wirken gegen alles was bekannt und erkannt ist.

Ich würde eher mal schauen was sind das für Mails und woher kommen diese.
Wer hat die verschickt und über wen wurden diese Mails eingeliefert.

Die Herkunftsprüfung verhindert hier das Dialin und Fragwürdige Server
überhaupt Mails einliefern können.
Damit fangen wir schon mal 99% der Schadsoftware ab bevor diese im Mailkonto
bzw. überhaupt auf unserem Server landet.
Den Rest filtern Textanalysen, Clamav mit Sanesecurity.

Infektionen über unseren Mailserver kann ich für die letzten 3 Jahre
praktisch ausschließen.    

>
> Vielleicht ist es ja ClamAV, aber im Moment kommen die Einschläge bei
> einem großen Kunden immer näher.
> Der Kunde nutzt natürlich für Windows-Server, Clients, Groupware, Proxy
> und Mailgateways fünf unterschiedliche Scanner.
>
> Die CLients mit McAfee melden jedenfalls regelmäßig Viren und es kam auch
> schon vor, dass die kompletten Daten eines MA durch einen BKA-Trojaner
> verloren (verschlüsselt) waren.

Gerade dieser Trojaner kommt eher über manipulierte Webseiten!

Bei diesem Kunden gehört eine Mitarbeiterschulung über den sicheren Umgang
mit Mail und Internet gemacht.
Die Mailclients gehören auf Only Text Anzeige und KEINE Vorschau
eingestellt.

>
> Also ist es ClamAV oder doch ein kommerzieller?

Das ist Jacke wie Hose. Der eine erkennt mehr in die eine Richtung der
andere mehr in die andere.

>
> Viele Grüße!
> Frank


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Helmut Hullen
In reply to this post by Frank Fiene
Hallo, Frank,

Du meintest am 21.03.13:

> gibt es eigentlich eine Empfehlung für den besten Virenscanner, den
> man mit Amavis einbinden kann?

Nein.
Ich werfe seit vielen Monaten die mir netterweise zugeschickten Viren-E-
Mails jotti.org und virustotal.com vor: da gibt es einige Scanner, die  
sehr schlafmützig (bei dieser Art Dreckszeug) sind, aber keinen Scanner,  
der stets schon binnen 1 bis 2 Stunden das Dreckszeug erkennt.

> Vielleicht ist es ja ClamAV, aber im Moment kommen die Einschläge bei
> einem großen Kunden immer näher.

ClamAV braucht recht oft viele Stunden, bis er den Dreck erkennt. Diesen  
Scanner würde ich irgendwo im Mittelfeld einsortieren.

> Der Kunde nutzt natürlich für
> Windows-Server, Clients, Groupware, Proxy und Mailgateways fünf
> unterschiedliche Scanner.

> Die CLients mit McAfee melden jedenfalls regelmäßig Viren und es kam
> auch schon vor, dass die kompletten Daten eines MA durch einen
> BKA-Trojaner verloren (verschlüsselt) waren.

Auch McAfee rangiert bei meinen Tests eher im Mittelfeld. Klar: nach 1  
Tag erkennt auch er (wie ClamAV, wie Kaspersky) den Dreck.

> Also ist es ClamAV oder doch ein kommerzieller?

Nein: ein anderes (vorgeschaltetes) Prüfverfahren, das 3 meiner 4 Mail-
Provider benutzen (beim 4. habe ich vorsätzlich auf diese Prüfungen  
verzichtet, um zu sehen, was ungefiltert durchkommt):

Sowohl Amavis als auch exPurgate können warnen, wenn (z.B.) eine *.zip-
Datei eine *.exe-Datei enthält.

Reicht, wenn der lokale Filter des Clients auf diese Warnung passend  
reagiert. Und diese Prüfung hängt nicht von der Aktualität der  
Signaturdatei ab.

Viele Gruesse!
Helmut
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Frank Fiene
In reply to this post by Uwe Drießen
Am 21.03.2013 um 21:44 schrieb Uwe Drießen <[hidden email]>:

> Im Auftrag von Frank Fiene
>>
>> Hallo,
>>
>> gibt es eigentlich eine Empfehlung für den besten Virenscanner, den man
>> mit Amavis einbinden kann?
>
> Es gibt nicht DEN Virenscanner. Jeder hat seine Vor und Nachteile.
> Gegen eine  vor 10 Minuten irgendwo in der Welt  neue Schadsoftware die in
> die freie Wildbahn entlassen wurde hilft kein noch so guter Virenscanner.
> Virescanner wirken gegen alles was bekannt und erkannt ist.

Sicher.

> Ich würde eher mal schauen was sind das für Mails und woher kommen diese.
> Wer hat die verschickt und über wen wurden diese Mails eingeliefert.

Es geht darum, ob man die Erkennung noch optimieren kann.

> Die Herkunftsprüfung verhindert hier das Dialin und Fragwürdige Server
> überhaupt Mails einliefern können.
> Damit fangen wir schon mal 99% der Schadsoftware ab bevor diese im Mailkonto
> bzw. überhaupt auf unserem Server landet.

Ja, das sagt auch meine Erfahrung.

> Den Rest filtern Textanalysen, Clamav mit Sanesecurity.



> Infektionen über unseren Mailserver kann ich für die letzten 3 Jahre
> praktisch ausschließen.    

Ja, das würde ich für die Mailserver auch behaupten, nur beweisen kann man sowas natürlich nicht!

>> Vielleicht ist es ja ClamAV, aber im Moment kommen die Einschläge bei
>> einem großen Kunden immer näher.
>> Der Kunde nutzt natürlich für Windows-Server, Clients, Groupware, Proxy
>> und Mailgateways fünf unterschiedliche Scanner.
>>
>> Die CLients mit McAfee melden jedenfalls regelmäßig Viren und es kam auch
>> schon vor, dass die kompletten Daten eines MA durch einen BKA-Trojaner
>> verloren (verschlüsselt) waren.
>
> Gerade dieser Trojaner kommt eher über manipulierte Webseiten!

Es geht wie gesagt um Optimierung. Und ja, der BKA-Trojaner kommt meistens per Webseite oder Datenaustausch.

> Bei diesem Kunden gehört eine Mitarbeiterschulung über den sicheren Umgang
> mit Mail und Internet gemacht.
> Die Mailclients gehören auf Only Text Anzeige und KEINE Vorschau
> eingestellt.
>>
>> Also ist es ClamAV oder doch ein kommerzieller?
>
> Das ist Jacke wie Hose. Der eine erkennt mehr in die eine Richtung der
> andere mehr in die andere.

OK
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Uwe Drießen
In reply to this post by Helmut Hullen
Im Auftrag von Helmut Hullen
> Sowohl Amavis als auch exPurgate können warnen, wenn (z.B.) eine *.zip-
> Datei eine *.exe-Datei enthält.

Ausführbare Dateien com, exe, bat, vbs usw. werden hier überhaupt nicht
durchgelassen.
Das soll sich der User dann bitte BEWUST auf einer Seite seines Vertrauens
runterladen.


>
> Viele Gruesse!
> Helmut


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Uwe Drießen
In reply to this post by Frank Fiene
Im Auftrag von Frank Fiene
>
> Am 21.03.2013 um 21:44 schrieb Uwe Drießen <[hidden email]>:
>
> > Im Auftrag von Frank Fiene
> > Infektionen über unseren Mailserver kann ich für die letzten 3 Jahre
> > praktisch ausschließen.
>
> Ja, das würde ich für die Mailserver auch behaupten, nur beweisen kann
> man sowas natürlich nicht!

Klar kann man. Ein bisschen Voodoo,  ein bisschen Forensik und schon kann
man schauen was da wer wann wie gemacht hat.

Gibt es echte Spezies für, aber ist nicht ganz billig.

Meine Kunden verplappern sich dann doch mal im Gespräch "da war doch was
komisches" oder "ich hab doch nur mal online nach ... geschaut" oder so
ähnlich  

Oder es kommt auch raus das die noch Gaaaanz viele andere Mailkonten haben
weil braucht man ja unbedingt.

Und der  Messanger in asbach Uralt Version muß immer im Hintergrund laufen
man muß ja IMMER erreichbar sein.(und das in nicht angepassten
Einstellungen, jeder darf mich anscheißen)

Die letzten Updates fürs BS wurden auch vor 6 Monaten gemacht " das dauert
doch immer so lange" oder "da habe ich noch keine Zeit dafür gehabt"

Aber das Auto muß alle 1/4 Jahre zur Inspektion und das bitte auf den Tag
und KM genau.

Die Sicherheit SITZT grundsätzlich zwischen Stuhl und Bildschirm. Sitzt da
ein gedankenloser DAU, des Lesens nicht mächtig kannst du filtern soviel du
willst der wird den Rechner innerhalb von Minuten zu Grunde richten. Ob Mail
empfangen oder auch nicht *gg

Grundsätzliche security auf dem Mailserver
Soviel wie möglich ausfiltern

Und für den Rest bemühen wir die Kirche *gg
Die hat ein Herz für Ahnungslose.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Andre
In reply to this post by Uwe Drießen

Am 21.03.2013 22:22, schrieb Uwe Drießen:
> Ausführbare Dateien com, exe, bat, vbs usw. werden hier überhaupt nicht
> durchgelassen.
> Das soll sich der User dann bitte BEWUST auf einer Seite seines Vertrauens
> runterladen.
ja, genau!
Wir haben unseren Amavis so eingestellt, dass KEINE Mails mit solchen
Dateien durchgelassen werden, sprich solche Mails in Echtzeit geblockt.
Das Ganze läuft seit 10 Tagen. Bis jetzt dutzende Mails mit ausführbaren
Dateien abgefangen.

Wir haben ClamAV und ESET laufen.
Wir wollten noch eine kommerzielle Lösung haben, um besser schlafen zu
können. ESET ist relativ günstig zu haben. Deshalb die Entscheidung für
ESET.

Innerhalb dieser 10 Tagen hat ClamAV nur eine Viren-Mail an ESET
durchgelassen, die dann ESET geblockt hat.

Mehr Erfahrungen habe ich bis jetzt nicht.
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Dirk Jakobsmeier
In reply to this post by Frank Fiene
Guten Morgen,

als Info wie bei uns damit umgegangen wird (Mittelstand also eher weniger User wie bei den meisten in der Liste):

1. kommerzielles Blacklisting, zu Hochzeiten gabs ca. 100000 Mails/Tag, danach war Ruhe
2. Greylisting
3. Prüfung darf der Sendeserver überhaupt für die Domain

und alles was dann noch durchkommt

4. Problematische Anhänge kommen in die Quarantäne und wir IT-ler prüfen von Hand und stellen dann zu
5. 4 Virenscanner prüfen jede Mail
6. Internet geht immer über squid mit Virenscanner
7. Alle Dateneingänge gehen über ein Virenscannerlaufwerk (die selben 4 wie oben, Firefox wird auf dieses LW festgenagelt)
8. Kontrolle von dubiosen Anhängen über virustotal bzw. unseren kommerziellen AV Softwarehersteller
9. jede! hier noch auffällige Mail wird zurückverfolgt und beim Absender nachgefragt warum dort so eine Mail überhaupt rausgeht, erhalte ich hier keine Antwort erhalte ich von diesem Absender, bis zur Klärung, keine Mails mehr

Wir haben hier per Mail seit ca. 4 1/2 Jahren keinen Schadensfall mehr. Die Virenscanner tut hierbei das wenigste, das Ausfiltern der Absender vorher hat den größten Erfolg gebracht. Die Methode "nur Textmail" bekomme ich aber eher nicht durchgesetzt. Und immer wieder die Benutzer auf die Problematik hinweisen.

Am 21.03.2013 21:19, schrieb Frank Fiene:
Hallo,

gibt es eigentlich eine Empfehlung für den besten Virenscanner, den man mit Amavis einbinden kann?

Vielleicht ist es ja ClamAV, aber im Moment kommen die Einschläge bei einem großen Kunden immer näher.
Der Kunde nutzt natürlich für Windows-Server, Clients, Groupware, Proxy und Mailgateways fünf unterschiedliche Scanner.

Die CLients mit McAfee melden jedenfalls regelmäßig Viren und es kam auch schon vor, dass die kompletten Daten eines MA durch einen BKA-Trojaner verloren (verschlüsselt) waren.

Also ist es ClamAV oder doch ein kommerzieller?

Viele Grüße!
Frank

Gruß
--
Dirk

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Thomas Klein
Hallo Dirk,

3. Prüfung darf der Sendeserver überhaupt für die Domain
=> nutzt ihr hierfür SPF?

Viele Grüße
Thomas


Am 2013-03-22 06:59, schrieb Dirk Jakobsmeier:

> Guten Morgen,
>
> als Info wie bei uns damit umgegangen wird (Mittelstand also eher
> weniger User wie bei den meisten in der Liste):
>
> 1. kommerzielles Blacklisting, zu Hochzeiten gabs ca. 100000
> Mails/Tag,
> danach war Ruhe
> 2. Greylisting
> 3. Prüfung darf der Sendeserver überhaupt für die Domain
>
> und alles was dann noch durchkommt
>
> 4. Problematische Anhänge kommen in die Quarantäne und wir IT-ler
> prüfen von Hand und stellen dann zu
> 5. 4 Virenscanner prüfen jede Mail
> 6. Internet geht immer über squid mit Virenscanner
> 7. Alle Dateneingänge gehen über ein Virenscannerlaufwerk (die selben
> 4 wie oben, Firefox wird auf dieses LW festgenagelt)
> 8. Kontrolle von dubiosen Anhängen über virustotal bzw. unseren
> kommerziellen AV Softwarehersteller
> 9. jede! hier noch auffällige Mail wird zurückverfolgt und beim
> Absender nachgefragt warum dort so eine Mail überhaupt rausgeht,
> erhalte
> ich hier keine Antwort erhalte ich von diesem Absender, bis zur
> Klärung,
> keine Mails mehr
>
> Wir haben hier per Mail seit ca. 4 1/2 Jahren keinen Schadensfall
> mehr.
> Die Virenscanner tut hierbei das wenigste, das Ausfiltern der
> Absender
> vorher hat den größten Erfolg gebracht. Die Methode "nur Textmail"
> bekomme ich aber eher nicht durchgesetzt. Und immer wieder die
> Benutzer
> auf die Problematik hinweisen.
>
> Am 21.03.2013 21:19, schrieb Frank Fiene:
>
>> Hallo,
>>
>> gibt es eigentlich eine Empfehlung für den besten Virenscanner, den
>> man mit Amavis einbinden kann?
>>
>> Vielleicht ist es ja ClamAV, aber im Moment kommen die Einschläge
>> bei
>> einem großen Kunden immer näher.
>> Der Kunde nutzt natürlich für Windows-Server, Clients, Groupware,
>> Proxy und Mailgateways fünf unterschiedliche Scanner.
>>
>> Die CLients mit McAfee melden jedenfalls regelmäßig Viren und es kam
>> auch schon vor, dass die kompletten Daten eines MA durch einen
>> BKA-Trojaner verloren (verschlüsselt) waren.
>>
>> Also ist es ClamAV oder doch ein kommerzieller?
>>
>> Viele Grüße!
>> Frank
>
> Gruß
>
> --
> Dirk
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Virenscanner für Postfix/Amavis

Peer Heinlein
Am 07.04.2013 19:04, schrieb Thomas Klein:

Hi,

> 3. Prüfung darf der Sendeserver überhaupt für die Domain
> => nutzt ihr hierfür SPF?

Ich halte die Idee, Sendeserver für eine Domain festlegen zu wollen für
im Ansatz total falsch und nicht funktionierend.

SPF im ganz besonderen -- das ist ein großer Irrtum und "broken by design."

Schönen Gruß

Peer




--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users