Was ist der VirEinfrierer®?
Unser VirEinfrierer® ist ein System aus Virenfiltern,
die auf verschiedenen Secondary Mailservern implementiert sind.
Sie dienen zum Schutz unserer Kunden vor gefährlichen Viren,
die über E-Mail-Attachments übertragen werden.
Als ideale Ergänzung dazu empfehlen wir unseren SpamVerdampfer®,
der an anderer Stelle
ausführlich beschrieben wird.
Nach oben
Was genau macht der VirEinfrierer®?
Unser VirEinfrierer® sitzt unmittelbar vor dem SpamVerdampfer®
in der selben Pipeline.
Bei jeder durchgeleiteten E-Mail, egal ob ankommend oder abgehend,
werden zunächst sämtliche Attachments
auf verdächtige Bezeichnungen kontrolliert.
Mit Vorsicht zu handhaben sind u.a.
Gefährliche Extensions
Doppel-Extensions
- .txt.pif
- .gif.exe
- .jpg.scr
Gefährliche HTML-Tags
Wird ein solches Attachment entdeckt, so wird es geöffnet
und dem Virenscanner zur Analyse übergeben.
Wird dabei ein Treffer erzielt,
so versucht ein weiteres Virenschutzprogramm,
das beanstandete Attachment zu desinfizieren.
Gelingt dies, so wird das desinfizierte Attachment
wieder in die noch offene E-Mail eingebunden.
Gelingt dies nicht, dann wird anstelle des virenverseuchten Attachments
eine erklärende Warnmeldung des Virenscanners in die E-Mail eingebunden.
Grundsätzlich werden Viren niemals weitergeleitet.
Der verseuchte Originalanhang wird auf dem Mailserver
automatisch in einen speziellen Quarantänebereich abgestellt,
der nur den Systemverwaltern zugänglich ist.
Dort verbleibt er für einige Tage
zur möglichen Weiterleitung an den Kunden,
und wir danach gelöscht.
Alle genannten Maßnahmen werden bei Unregelmäßigkeiten
von ausführlichen Meldungen an den Absender, den Empfänger,
sowie an den Systemverwalter begleitet.
In einer solchen Meldung wird der Name des entdeckten Virus
sowie der genaue Abstellort im Quarantänebereich genannt,
und es werden weitergehende Empfehlungen ausgesprochen.
Nach oben
Wie aktuell und wie umfassend ist der VirEinfrierer®?
Unser VirEinfrierer® nimmt täglich jeweils morgens und abends
Kontakt mit dem Hersteller auf, um dort möglicherweise neu
hinterlegte Virensignaturen automatisch bei uns einzubinden.
In der Praxis liegt die Zahl der tatsächlichen Updates
bei etwa 3 bis 10 pro Woche.
Gegenwärtig verfügt er über ein Repertoire
von mehr als 60.000 Viren-Signaturen.
Dazu gehören:
Hier ein typisches Beispiel vom Januar 2003:
| Name |
W32/Sobig.A (»big@boss.com«) |
| Fundstellen in Google |
am 11.01.03 um 14:15 Uhr: 2
am 24.01.03 um 12:00 Uhr: 1670 |
| Gefährdung |
high risk |
| erstes Auftreten |
am 09.01.03 in den Niederlanden |
| Details |
http://www.messagelabs.com/viruseye/threatlist.asp |
VirEinfrierer® erkannt
und abgefangen |
am 11.01.03 um 14:12 Uhr |
Nach oben
Wie lange dauert die Durchlaufzeit beim VirEinfrierer®?
Dies hängt stark von der Größe der E-Mail
und der momentanen Auslastung des Servers ab.
Für die üblichen Alltagsmails beträgt die Durchlaufzeit
um die 5 sec.
Länger dauert es allerdings,
wenn gepackte Dateien zur Analyse entpackt werden müssen.
Bei einem Attachment von 25 MB müssen Sie mit 1-2 min. rechnen.
Nach oben
Wieviele virenverseuchte E-Mails kommen den so rein am Tag?
Im Moment läuft noch der interne Testbetrieb,
bei dem nur ankommende E-Mails an muenchner-freiheit.net
sowie an einen Pilotkunden gefiltert werden.
Wir registrieren dabei etwa 50-100 virenverseuchte E-Mails am Tag,
meist an die Mailboxen der Webmaster und andere Role-Accounts.
Schwerpunkt ist stets das Wochenende.
Es gab aber auch einen Tag, am dem von einem einzelnen Absender aus
über 80 Viren im Minutentakt auf verschiedene Zieladressen
abgefeuert wurden.
Details dazu in unseren täglich aktualisierten
Statistiken
Nach oben
Wie reagiert VirEinfrierer® auf den zip-of-death?
Seit Mitte 2001 werden zu DoS-Angriffen (»Denial-of-Service«)
auf Virenscanner aller Art rekursiv gepackte Zip-Files losgelassen.
Klassischer Fall ist der
zip-of-death, eine unscheinbare 42kB große E-Mail,
die als solche ungefärlich und schon gar kein Virus ist.
Hinter diesem vergleichsweise winzigen Anhängsel
verbirgt sich jedoch ein wahrhaft kollossales Zip-Gebäude
von mehr als einer Million Files,
und einer ausgepackten Gesamtgröße von 49.000.000 Gigabytes.
Diese unscheinbare Mail zwingt den Entpacker eines Virenscanners
in uferlose Endlosschleifen, was meist zu dessen Absturz führt.
Davon betroffen sind nicht nur die kleinen Virenscanner
der Arbeitsplatzrechner,
sondern auch - und mit besonders verhängnisvollen Folgen -
die in der Öffentlichkeit stehenden Mailserver.
Theoretisch würde ein zip-of-death den Virenscanner
auf unseren Mailservern nach wenigen Minuten zum Absturz bringen,
und so möglicherweise vorübergehend
die Weiterleitung der E-Mails blockieren.
In der Praxis werden unsere Virenscanner aber
von einem Scheduler überwacht,
der nach einer bestimmten Menge an verbrauchter Rechenzeit
den Virenscanner abbricht,
die halb abgearbeitete E-Mail in die Quarantäne weiterleitet,
und die beim Auspacken übriggebliebenen Dateileichen löscht.
Auch in diesem Fall werden Absender, Empfänger
und Sytemverwalter benachrichtigt.
Nach oben
Wie verschicke ich Viren zu wissenschaftlichen Zwecken?
Sie forschen mit einem externen Partner gemeinsam an Computerviren?
Werter Herr Kollege, wir bitten Sie herzlich zu berücksichtigen,
dass mehr als 80% unserer Kunden
ihre E-Mails mit Programmen wie Microsoft®-OUTLOOK bearbeiten.
Auf den Sicherheitsstandard dieses und ähnlicher Mail-Clients
müssen unsere Virenschutzmaßnahmen
beim Mailtransport abgestimmt sein.
Bitte nutzen Sie daher zur Übertragung Ihrer Viren
ein beliebiges anderes Transportprotokoll,
wie z.B. HTTP, FTP, SCP, etc.
Verschicken Sie Ihre Viren um Himmels Willen
niemals als Mail-Attachment.
Sie würen sonst sogar riskieren,
dass Ihre kostbare Virenzucht in falsche Hände gerät.
Falls nämlich unser Virenscanner interveniert,
so würde er Ihre virenverseuchten Attachments
im Quarantänebereich unseres Mailservers ablegen,
und so direkt in die Hände unserer Sysops spielen...
Nach oben
Kann ich SpamVerdampfer® und VirEinfrierer®
auch ohne Funkanschluss nutzen?
Selbst wenn Sie nicht über unser Münchner Funknetz angeschlossen sind,
können wir Ihnen mit unseren Mailfilterprodukten
SpamVerdampfer® und VirEinfrierer®
eine Steigerung der Lebensqualität bieten.
Voraussetzung ist, dass unter Ihrer Domain
ein eigener (auch virtueller) Mailserver eingerichtet ist,
und dass Sie Zugriff auf die Konfigurationsdaten
des Primary-DNS-Servers Ihrer Domain haben.
Dort müssen die MX-Records geändert werden,
damit die Umleitung oder besser die Durchleitung
durch unsere Filter-Mailserver wirksam wird.
Der Wermutstropfen bei diesem Ansatz: jeder Mail-Traffic fällt doppelt an -
zuerst rein in unser Netz, und nach erfolgter Filterung wieder raus.
Daher müssen wir bei externen Kunden auch die doppelten
Preise
berechnen.
Nach oben
Kann ich Ihre Antiviren-Maßnahmen vorab testen?
Gerne - wir schenken Ihnen ein einwöchiges unverbindliches Probeabo.
Kommt im Verlauf der Probezeit kein Vertrag zu Stande,
dann läuft das Probeabo am achten Kalendertag
um 12:00 Uhr mittags automatisch aus.
Wir brauchen lediglich den Domainnamen,
für den das Probeabo eingerichtet werden soll.
Nutzen Sie ohnehin unsere Mailserver,
dann können wir die Filter innerhalb von wenigen Minuten
für Sie aktivieren.
Betreiben Sie dagegen Ihre eigenen Mailserver,
dann können wir zwar unsere Konfiguration kurzfristig aktivieren,
es bedarf in diesem Fall aber noch einer Änderung Ihrer DNS-Server,
die Sie selbst ausführen müssen.
Die Vorgehensweise ist in unseren
Mailserver-FAQs
Schritt für Schritt beschrieben.
Für das Probeabo spielt es übrigens keine Rolle,
ob Ihre Server in unserem Funknetz
oder im Netz eines anderen Providers stehen.
Sie müssen lediglich Zugriff auf die DNS-Konfiguration
der gewünschten Domain haben.
Nach oben
Sind Sie Microsoft®-zertifiziert?
Gott bewahre! -
Als Ingenieure mit jahrzehntelanger Entwicklungserfahrung
nehmen wir Systems Engineering ernst
und wissen was zu tun ist
Microsoft® Certified Systems Engineer
ist in der professionellen EDV vergleichbar mit dem, was
McDonalds® Certified Food Specialist
für die Haute Cuisine bedeutet
Nach oben
von
