Ab sofort ist der Viren-Filter für alle E-Mail-Accounts auf dem AUGE-Server aktiv. Infizierte Mails werden nicht mehr zugestellt. Stattdessen wird eine Nachricht mit dem Betreff "Virus gelöscht! [Subject der E-Mail]" geschickt, die ggf. für eine weitere Analyse verwendet werden kann (z.B. Hinweise auf den Absender, der Viruscode ist darin NICHT enthalten).
Und er wirkt auch auf Weiterleitungen! Nice
M5543, Schriftführer und Leiter der RG600 im AUGE e.V.
1.) Verstehe ich das richtig, daß es sich hier tatsächlich um einen richtigen Virenscanner handelt?
Bisher wurde ja ungeprüft jede Mail mit anhängender EXE- oder ZIP-Datei mit dem Titel *VIRUSVERDACHT* versehen.
2.) Werden nur eingehende Mails geprüft oder auch ausgehende?
Ich erinnere mich an einen Fall (der auch hier im Forum Erwähnung fand), wo ich mit Absenderangabe Pepo zwei Mails bekam, die zunächst durch alle Virenfilter hindurchschlüpften. Da die Absenderadresse aber gefälscht war (Nachfrage bei Pepo), und sie mir auch sonst verdächtig erschienen, habe ich sie an meine Antiviren-Experten weitergeleitet. Am nächsten Morgen stellte sich heraus, daß mein Verdacht richtig war. Es handelte sich um einen neuen Virus.
Wäre eine solche Weiterleitung heute auch noch möglich?
(Klar, solange der Filter kein Update erfahren hat sowieso.)
Aber auch eine verdächtige Datei, die ich auf einem Kunden-PC finde, würde ich evtl. weiterleiten wollen. Geht das?
3.) Wie sieht es mit möglichen Fehl-Diagnosen aus? Und wie geht man damit um, wenn man die Mitteilung bekommt, daß eine Mail gelöscht wurde?
Ich meine natürlich eine, die man erwartet hat, und von der man weiß, daß es sich nicht und eine virenverseuchte handelt.
hrk schrieb:
> 1.) Verstehe ich das richtig, daß es sich hier tatsächlich um
> einen richtigen Virenscanner handelt?
Ja, genauer gesagt, um ClamAV.
> Bisher wurde ja ungeprüft jede Mail mit anhängender EXE- oder
> ZIP-Datei mit dem Titel *VIRUSVERDACHT* versehen.
Das ist nach wie vor der Fall, ein ausführbares Attachment ist immer noch verdächtig, auch wenn kein Virus erkannt wurde.
> 2.) Werden nur eingehende Mails geprüft oder auch
> ausgehende?
Nur eingehende Mails werden geprüft.
> 3.) Wie sieht es mit möglichen Fehl-Diagnosen aus? Und wie
> geht man damit um, wenn man die Mitteilung bekommt, daß eine
> Mail gelöscht wurde?
Wenn ClamAV einen Virus findet, dann wird die Mail nicht zugestellt. Man sollte ggf. den Absender bitten, die Mail nochmal zu senden (dann natürlich ohne Virus). "False Positives" sind hier eher nicht zu befürchten.