So - Schnautze voll!
Ich hab gerade bemerkt, dass eine unsere Sekretärinen sich den BadTrans eingefangen hat, und natürlich auch das so schöne MP3-Attachment geöffnet hat. Der Virenscanner wurde erst um 0:00 Uhr aktualisiert und war somit nicht up-to-date - SCHEISSE! Ich will daher nun, dass mein Linux-Rechner alle emails abholt, dieser hier prüft und die Windows Rechner diese dann von dem Linux-Rechner abholen. Ich habe hier postfix laufen und verwende kmail zum Versenden - direkt über den smtp unseres Providers. Squid ist auch installiert - einige Seiten sperre ich bereits - klappt ganz gut. Was muss/sollte ich nun installieren, daß ich eine überschaubare und wirkungsvolle Lösung habe, um mails zu filtern und zu scannen - bin leider noch fast ein Newbie. - Amavis für postfix ? - Antivir (ist bereits installiert) - AvMailgate ? - Qpopper ? - Sendmail und postfix deinstallieren Wir nutzen eine DSL-Flat. Ich wäre euch sehr dankbar für einige Hinweise. Irdendwie kommt ich fast gar nicht mehr zum Programmieren, da ich jeden Tag ein anderes Problem auf den Win-Kisten habe. Danke. -- WA-P: Programmierung - Beratung - Hosting Stuttgarter Strasse 3 - D-73033 Goeppingen Tel. 07161 - 92 95 94 Fax 07161 - 1 36 01 http://internet.wa-p.de - jk@wa-p.de
Hallo, at Wednesday 28.11.2001 (00:48 +0100), Jochen Kaechelin wrote:
Der Virenscanner wurde erst um 0:00 Uhr aktualisiert und war somit nicht up-to-date - SCHEISSE!
So ein hartes Wort für so eine Weiche Masse. ;-)))
Was muss/sollte ich nun installieren,
[...]
- Amavis für postfix ?
Ja, ist hier auch im Einsatz.
- Antivir (ist bereits installiert)
Amavis kann damit arbeiten.
- AvMailgate ?
Nicht unbedingt. Amavis reicht. Denn mit Amavis biste IMHO flexibler was Virenscanner anbelangt.
- Qpopper ?
Ja, sonst können Clients keine Mails abholen. Wenn bei euch POP3 (Port 110) nach draussen offen ist, würde ich zusätzlich drac mit installieren. Qpopper lässt sich leicht selbst backen.
- Sendmail und postfix deinstallieren
Neeeee. Lass Postfix drauf. Ich habe die Umstellung bis heute nicht bereut. Postfix ist IMHO viel besserer und ich glaub auch sicherer. Gruß Michael -- Phone/Fax +49 7000 MACBYTE (+49 7000-6222983) Registered Linux User #228306 HomePage http://www.macbyte.info/ http://counter.li.org/ PGP-Key http://www.macbyte.info/shared/mykey.pkr ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
Hallo Liste..
----- Original Message ----- From: Michael Raab <raab.edv@gmx.de> To: Suse Maillingliste <suse-linux@suse.com> Sent: Wednesday, November 28, 2001 12:58 AM Subject: Re: So - Schnautze voll!
Der Virenscanner wurde erst um 0:00 Uhr aktualisiert und war somit nicht up-to-date - SCHEISSE! So ein hartes Wort für so eine Weiche Masse. ;-))) [..]
hallo Micha, ich habe mal etwas ausprobiert .. nai (vormals mcafee) bietet ein kostenloses unix-skript an, was mit den jeweils aktuellen super.dat.files etwaige angeschlossene smbpipe (mounted) rechner auf viren untersucht. http://nai.com/naicommon/registration/survey.asp?type=d&prodid=2960&mktg=ESD 309&bu=McAfee nun... ok... die emails sind davon nicht _direkt_ betroffen.. wenn man dem teil nicht explizit sagt, das es auch im /var/spool/ oder /var/mail nachschauen soll... das teil frisst etwas sehr an ressourcen... seit dem ist der mcafee auf den windoze-büchsen (vmware) auch unterfordert.. weil gar nichts zu tun und so..:-) aaaaaaber... wenn man sich die pdf dazu mal etwas genauer ansieht -- autoupdate via ftp und son schnick schnack.. zumindest isses ne nette ergänzung... ich habe das mal in einem echt finster verseuchten firmennetz installiert.. der arme fileserver hatte nachts nicht anderes zu tun als täglich (also nächtlich) so 4-5 stunden lang cross zu scannen... aber seit dem iss die hütte sauber... vielleicht ermuntert das ja den einen oder die andere :-)) CU andreas PS: mich erinnert das immer wieder an eine filmscene, wo schutzanzug und stabgabelbewaffnete spezialisten (windoze) versuchen einen fremdling zu untersuchen... unix/linux iss da irgendwie (schmunzel..) anders... mansch.. schnüffel... schmeiß wech... wenn ihr wißt, was ich meine..:-) ein os, für das die "viren" nicht gecodet wurden, kann das also nix anhaben... oder täusche ich mich da?
Hi Michael On Wed, Nov 28, 2001 at 12:58:12AM +0100, Michael Raab wrote:
Nicht unbedingt. Amavis reicht. Denn mit Amavis biste IMHO flexibler was Virenscanner anbelangt.
ich halte gar nix von den reinen scanner Lösungen, generische Filter sind imho unverzichtbar, denn scanner rennen dem Elend nur hinterher. langsam müsstet ihr die links kennen. ;-) http://www.impsec.org/email-tools/procmail-security.html http://mailtools.anomy.net/ -- MfG. Falk
Jochen Kaechelin <jk@wa-p.de> writes: [...]
Ich will daher nun, dass mein Linux-Rechner alle emails abholt, dieser hier prüft und die Windows Rechner diese dann von dem Linux-Rechner abholen.
Ich habe hier postfix laufen und verwende kmail zum Versenden - direkt über den smtp unseres Providers.
Das Versenden wuerde ich dann auch postfix ueberlassen.
Squid ist auch installiert - einige Seiten sperre ich bereits - klappt ganz gut.
Was muss/sollte ich nun installieren, daß ich eine überschaubare und wirkungsvolle Lösung habe, um mails zu filtern und zu scannen - bin leider noch fast ein Newbie.
- Amavis für postfix ? - Antivir (ist bereits installiert) - AvMailgate ? - Qpopper ? - Sendmail und postfix deinstallieren
Ich wuerde zu avmailgate raten, ist aber in deinem Falle kostenpflichtig, hat aber den Vorteil der woechentlichen Aktualiesierung, ist aber letztlich abhaengig von den eigenen Erfahrungen. Als MTA solltest du postfix behalten, diesen aber auch fuer den Versand nutzen. Dazu das Paket imap aus der Serie 'n' installieren, da muss nichts konfiguriert werden,der Dienst muss nur in /etc/inetd.conf aktiviert werden. Deine Windows-Rechner koennen dann die Post auf dem Mailserver lesen. In deinem Falle wuerde ich nicht zu cyrus-imap raten, dazu benoetigt man etwas Erfahrung. Die Windows-User muessen als User auf dem Server eingerichtet werden, z.B. mit shell=/usr/bin/passwd, home=/tmp -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hi Dieter, On 2001-11-28 08:50 GMT, Dieter Kluenter <dieter@incode.com> wrote:
Ich wuerde zu avmailgate raten, ist aber in deinem Falle kostenpflichtig, hat aber den Vorteil der woechentlichen Aktualiesierung, ist aber letztlich abhaengig von den eigenen Erfahrungen.
Wöchentliche Aktualisierung kannst Du inzwischen vergessen. Die {Viren|Würmer} sind schneller. BADTRANS schlug hier ca. 8h nach der "Emergency Warning" von Sophos und 4h nach der Aktualisierung unserer Signaturen erstmalig auf. -- Ralf Cirksena <ci@holmco.de>
On Wed, Nov 28, 2001 at 12:48:01AM +0100, Jochen Kaechelin wrote:
Ich hab gerade bemerkt, dass eine unsere Sekretärinen sich den BadTrans eingefangen hat, und natürlich auch das so schöne MP3-Attachment geöffnet hat.
Der Virenscanner wurde erst um 0:00 Uhr aktualisiert und war somit nicht up-to-date - SCHEISSE!
Ich will daher nun, dass mein Linux-Rechner alle emails abholt, dieser hier prüft und die Windows Rechner diese dann von dem Linux-Rechner abholen.
Warum glaubst du das das besser wird, wenn dein Linux-Rechner das prueft? Jeder mir bekannte Viren-Scanner setzt Pruefmuster ein, und damit ist der Scanner so viel Wert wie seine Pruefmuster. (Ich hatte zu DOS-Zeiten mal einen der mit einer heuristischen Engine an die Sache heranging, diese erzeugte aber so viele Fehlalarme, das es auch nicht benutzbar war.) Ein neuer Virus wird auch durch deinen Linux-Mailscanner nicht erkannt und kann Schaden anrichten. Letztendlich ist es der User der den Schaden verursacht. Ich oeffne keine Attachments, die mir irgendwer zugeschickt hat, ohne das ich was davon weiss, und schon gar nicht direkt aus meinem Mailprogramm heraus. Ich habe meinen Rechner auch noch nie mit einem Virus aus dem Internet verseucht. Peter
Peter Wiersig wrote:
On Wed, Nov 28, 2001 at 12:48:01AM +0100, Jochen Kaechelin wrote:
Ich hab gerade bemerkt, dass eine unsere Sekretärinen sich den BadTrans eingefangen hat, und natürlich auch das so schöne MP3-Attachment geöffnet hat.
Der Virenscanner wurde erst um 0:00 Uhr aktualisiert und war somit nicht up-to-date - SCHEISSE!
Ich will daher nun, dass mein Linux-Rechner alle emails abholt, dieser hier prüft und die Windows Rechner diese dann von dem Linux-Rechner abholen.
Warum glaubst du das das besser wird, wenn dein Linux-Rechner das prueft?
Jeder mir bekannte Viren-Scanner setzt Pruefmuster ein, und damit ist der Scanner so viel Wert wie seine Pruefmuster. (Ich hatte zu DOS-Zeiten mal einen der mit einer heuristischen Engine an die Sache heranging, diese erzeugte aber so viele Fehlalarme, das es auch nicht benutzbar war.)
F-Prot, den ich zu DOS-Zeiten benutzt habe, hatte auch eine heuristische Virensuche integriert, zusätzlich zu den normalen Suchmustern. Von Fehlalarmen hab ich allerdings recht wenig mitbekommen
Ein neuer Virus wird auch durch deinen Linux-Mailscanner nicht erkannt und kann Schaden anrichten.
Teilweise ACK, wenn der Virus/Wurm/Trojaner nicht im Suchmuster ist kannd er Scanner ihn auch nicht finden. Da hast du auch völlig recht, aber wenn die Mails zentral auf dem Server gescannt werden, braucht er nur einen Scanner mit regelmässigen Updates zu versehen anstatt alle anderen Rechner im Netz. Das spart Zeit und Zeit ist das worauf es hierbei ankommt (wenn ich die ursprüngliche Mail richtig verstanden hab hätte ein um ein wenige Studnen früheres Update die Misere verhindert). Ausserdem hat er die Gewissheit, dass gescannt wird. Es ist nämlich in Büros und sonstwo nicht unüblich einfach die Virenscanner auszuschalten falls der Rechner dadurch zu langsam wird.
Letztendlich ist es der User der den Schaden verursacht.
ACK, aber die UIser wird manmeist nur schwerlich ändern können.
Ich oeffne keine Attachments, die mir irgendwer zugeschickt hat, ohne das ich was davon weiss, und schon gar nicht direkt aus meinem Mailprogramm heraus.
Das ist eine gute Vorgehensweise, aber leider erspart einem Admin dass nicht die Dummheit der User. -fen
On Wed, Nov 28, 2001 at 01:28:25PM +0100, Daniel Brachmann wrote:
aber wenn die Mails zentral auf dem Server gescannt werden, braucht er nur einen Scanner mit regelmässigen Updates zu versehen anstatt alle anderen Rechner im Netz.
Klar, das sollte ein Viren-Scanner schon koennen. Norton AV Corporate Edition wird in meiner Firma eingesetzt. Die Musterdatei liegt auf dem Novell-Server, auf welchem auch ein Online-Scanner laeuft.
Das spart Zeit und Zeit ist das worauf es hierbei ankommt (wenn ich die ursprüngliche Mail richtig verstanden hab hätte ein um ein wenige Studnen früheres Update die Misere verhindert).
Ich hatte verstanden, das der Scanner SCHON um 0:00 aktualisiert wurde, und das ein spaeteres Update den Virusbefall verhindert haette. Das Problem an Viren die sich ueber Microsoft-Internetprogramme verbreiten koennen ist das diese sich aufgrund der Monokultur schoen schnell verbreiten - schneller als die Virenmusterdateien auf jeden Fall. Was man dagegen machen kann ist keine Attachments zu erlauben. Das ist das was ich meinem Chef vorschlage, wenn hier mal eine Epidemie herrscht. SMTP is not "Simple Mans fileTransfer Protocol". Ich mag's nicht wie die meisten Leute mit Mails umgehen. Von mir aus muessen keine Attachments funktionieren.
Ausserdem hat er die Gewissheit, dass gescannt wird. Es ist nämlich in Büros und sonstwo nicht unüblich einfach die Virenscanner auszuschalten falls der Rechner dadurch zu langsam wird.
Finde ich auch ok, wenn der User weiss was er tut. Ansonsten sollte man eine Betriebsystem/Viren-Scanner Kombination einsetzen, die sich nicht so einfach abschalten laesst. Aber ich denke, das man jedem klar machen kann, wie man mit einem Computer umzugehen hat und ihm auch erklaeren kann, wie man mit Attachments umgehen muss. (Und ich kenne keine Sekretaerin, die weiss das Ihr Computer langsamer wird, wenn der Virenscanner laeuft.) Peter
On 28-Nov-2001 Peter Wiersig wrote:
Letztendlich ist es der User der den Schaden verursacht.
Und der Admin, der ihn ausbuegeln darf.
Ich oeffne keine Attachments, die mir irgendwer zugeschickt hat, ohne das ich was davon weiss, und schon gar nicht direkt aus meinem Mailprogramm heraus.
Du, aber was ist mit der uebergrossen Mehrheit der User? Der kannst du heute deatilliert erklaeren, warum sie etwas nicht tun soll - und morgen tut sie genau das. Einzige Moeglichkeit waere, grundsaetzlich keine Attachements zuzulassen. Allerdings kenne ich nur ein groesseres Unternehmen, in dem Attachements prinzipiell herausgefiltert und geloescht werden. Fuer die meisten duerfte es nicht praktikabel sein, weil sie sich sonst von ihren Geschaeftspartnern abschliessen. Gruss, Heinz. -- E-Mail: Heinz W. Pahlke <h.pahlke@nexgo.de> This message was sent by means of XFMail via SuSE Linux
Ich hab gerade bemerkt, dass eine unsere Sekretärinen sich den BadTrans eingefangen hat, und natürlich auch das so schöne MP3-Attachment geöffnet hat.
Warum benutzt Du nicht procmail mit dem E-Mail Sanitizer [1], dann kannst Du Attachments wie .vbs .exe etc. einfach blockieren. [1] http://www.impsec.org/email-tools/procmail-security.html
Jochen Kaechelin schrieb am 28.11.2001 um 00:48:01 +0100: Hallo Jochen,
Ich hab gerade bemerkt, dass eine unsere Sekretärinen sich den BadTrans eingefangen hat, und natürlich auch das so schöne MP3-Attachment geöffnet hat. Der Virenscanner wurde erst um 0:00 Uhr aktualisiert und war somit nicht up-to-date - SCHEISSE!
und? Glaubst Du Linux hätte das besser gemacht?
Ich will daher nun, dass mein Linux-Rechner alle emails abholt, dieser hier prüft und die Windows Rechner diese dann von dem Linux-Rechner abholen.
ist ja auch ne gute Idee, die ich umsetzen würde, aber auch Linux kann nur in begrenztem Umfang hellsehen. Und ein Virenscanner prüft auf bekannte Muster. Egal ob Linux oder Windows, wenn das Muster nicht erkannt wird, wird es nicht erkannt. Diese ganzen in die Zukunft-Hellseh-Virenscanner mit heuristischer Suche usw. haben bie mir immer mehr Fehlalarme ausgelöst als etwas gebracht. Also bitte nicht falsch verstehen, setz das ruhig um, nur mit Linux hättest Du die Schanuze genauso voll gehabt. Und ausserdem schlägt man seine Mitarbeiter so lange bis sie im Schlaf sagen: "Ich öffne keine mir unbekannten Attachments". ;-)))))) Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
On 28-Nov-2001 Michael Schulz wrote:
Und ausserdem schlägt man seine Mitarbeiter so lange bis sie im Schlaf sagen: "Ich öffne keine mir unbekannten Attachments". ;-))))))
Und welcher Admin soll das Geschnarche in den Bueros dann aushalten ;-)))))) Heinz. -- E-Mail: Heinz W. Pahlke <h.pahlke@nexgo.de> This message was sent by means of XFMail via SuSE Linux
Heinz W. Pahlke schrieb am 28.11.2001 um 14:04:09 +0100: Hallo Heinz,
On 28-Nov-2001 Michael Schulz wrote:
Und ausserdem schlägt man seine Mitarbeiter so lange bis sie im Schlaf sagen: "Ich öffne keine mir unbekannten Attachments". ;-))))))
Und welcher Admin soll das Geschnarche in den Bueros dann aushalten ;-))))))
hat ein anständiger Admin nicht sein eigenes Büro? Vieleicht sogar mit einer Tür zum zumachen? :-) Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
Moin Michael, * Michael Schulz schrieb am 28 Nov 2001:
Heinz W. Pahlke schrieb am 28.11.2001 um 14:04:09 +0100:
On 28-Nov-2001 Michael Schulz wrote:
Und ausserdem schlägt man seine Mitarbeiter so lange bis sie im Schlaf sagen: "Ich öffne keine mir unbekannten Attachments". ;-))))))
Und welcher Admin soll das Geschnarche in den Bueros dann aushalten ;-))))))
hat ein anständiger Admin nicht sein eigenes Büro?
Ein anständiger Admin arbeitet von zuhause aus ;-)
Vieleicht sogar mit einer Tür zum zumachen? :-)
Die sollte er da hoffentlich auch haben ;-) Gruß, Sebastian -- Do not meddle in the affairs of Wizards, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/
On 28-Nov-2001 Michael Schulz wrote:
Heinz W. Pahlke schrieb am 28.11.2001 um 14:04:09 +0100:
Hallo Heinz,
On 28-Nov-2001 Michael Schulz wrote:
Und ausserdem schlägt man seine Mitarbeiter so lange bis sie im Schlaf sagen: "Ich öffne keine mir unbekannten Attachments". ;-))))))
Und welcher Admin soll das Geschnarche in den Bueros dann aushalten ;-))))))
hat ein anständiger Admin nicht sein eigenes Büro? Vieleicht sogar mit einer Tür zum zumachen? :-)
Aber wie hoert er dann, ob sie wirklich im Schlaf "Ich öffne keine mir unbekannten Attachments" sagen? Ratlos, Heinz. -- E-Mail: Heinz W. Pahlke <h.pahlke@nexgo.de> This message was sent by means of XFMail via SuSE Linux
Heinz W. Pahlke schrieb am 29.11.2001 um 09:08:52 +0100: Hallo Heinz,
On 28-Nov-2001 Michael Schulz wrote:
Heinz W. Pahlke schrieb am 28.11.2001 um 14:04:09 +0100:
Hallo Heinz,
On 28-Nov-2001 Michael Schulz wrote:
Und ausserdem schlägt man seine Mitarbeiter so lange bis sie im Schlaf sagen: "Ich öffne keine mir unbekannten Attachments". ;-))))))
Und welcher Admin soll das Geschnarche in den Bueros dann aushalten ;-))))))
hat ein anständiger Admin nicht sein eigenes Büro? Vieleicht sogar mit einer Tür zum zumachen? :-)
Aber wie hoert er dann, ob sie wirklich im Schlaf "Ich öffne keine mir unbekannten Attachments" sagen?
Ratlos,
hast Du deine Glaskugel verloren? :-) Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
On Wednesday 28 November 2001 00:48, you wrote:
Ich hab gerade bemerkt, dass eine unsere Sekretärinen sich den BadTrans eingefangen hat, und natürlich auch das so schöne MP3-Attachment geöffnet hat.
Naja, As usual.
Der Virenscanner wurde erst um 0:00 Uhr aktualisiert und war somit nicht up-to-date - SCHEISSE!
Jupp. Entweder scheiß scanner oder scheiß Konfiguration, den der BadTrans.B ist schon eine ganze Zeit bekannt und dementsprechend waren zumindestens die gängigen Scanner vor gestern 0:00 Uhr in der Lage den zu erkennen.
Ich will daher nun, dass mein Linux-Rechner alle emails abholt, dieser hier prüft und die Windows Rechner diese dann von dem Linux-Rechner abholen.
Nobler Gedanke.
Ich habe hier postfix laufen und verwende kmail zum Versenden - direkt über den smtp unseres Providers.
Und warum dann postfix wenn kmail direkt auf den relay vom Provider schickt? Besser MUA->MTA->ISP-relay->welt oder MUA->MTA->welt.
Squid ist auch installiert - einige Seiten sperre ich bereits - klappt ganz gut.
Was hat das mit der Virenproblematik zu tun? Das bekommst Du mit squid erst mal nicht in den Griff.
Was muss/sollte ich nun installieren, daß ich eine überschaubare und wirkungsvolle Lösung habe, um mails zu filtern und zu scannen - bin leider noch fast ein Newbie.
- Amavis für postfix ?
Funktioniert zumindest mit sendmail sehr gut. Mit postfix hab ich es nicht getestet.
- Antivir (ist bereits installiert)
Geht auch. Aber nur mit FUSE. Sonst ist er nicht aktuell genug.
- AvMailgate ?
IMHO unnötig.
- Qpopper ?
Was zum Henker hat der POP3 server jetzt damit zu tun? Das Filtern sollte stattfinden BEVOR die Mail abgeholt werden kann. Egal ob per POP3/IMAP/ETRN oder sonst was.
- Sendmail und postfix deinstallieren
Und dann? zmail installieren? Also einen MTA solltest Du schon auf dem Rechner lassen.
Wir nutzen eine DSL-Flat.
Ah ja. Ist ja super. Deine Sig "WA-P: Programmierung - Beratung - Hosting" drückt eigentlich aus das Ihr Ahnung haben solltet. Sieht aber nicht ganz so aus und wer macht hosting mit einer DSL flat? Wahrscheinlich noch T-DSL. Also irgendwie komme ich um den Sarkasmus und das Grinsen nicht mehr so ganz herum.
Ich wäre euch sehr dankbar für einige Hinweise. Irdendwie kommt ich fast gar nicht mehr zum Programmieren, da ich jeden Tag ein anderes Problem auf den Win-Kisten habe.
Thomas --
participants (13)
-
Daniel Brachmann -
Dieter Kluenter -
Falk Sauer -
Heinz W. Pahlke -
Info (Andreas Christian Appenheimer) -
Jochen Kaechelin -
Michael Raab -
Michael Schulz -
Peter Wiersig -
Ralf Cirksena -
Sebastian Helms -
Stefan Rieger -
Thomas Vollmer