Virenscanner prüfen [erl.]

Guten Morgen Walt Gallus,

zunächst einmal ist die Version 3.1.15 die derzeit aktuelle
Zu deiner Frage lies Antivirus-Software - Datenverlust droht!
Und: ein- ausgehende Mails scannen? Hier ein interessanter Beitrag von Peter_Lehmann dazu

Hallo,

nun ja, zu wissen ob ein AV-Scanner wirklich funktioniert, ist ja gar nicht mal so uninteressant.
Zuerst einmal solltest du unbedingt dafür sorgen, dass der Scanner (beide, on-access und auch on-demand) nicht das TB-Userprofil anfassen. Dies kann für alle deine Mails wirklich tödlich sein!

Für die Freunde der WinDOSe ist es gar nicht mal so übel, wenn der eingehende Mailtraffic life gescannt wird. In der Regel wird damit eine mit Schadcode versetzte Mail schon erkannt. Dieser Scann ersetzt aber nicht die Überprüfung des abgelösten Mailanhanges! Da gibt es noch eine große Grauzone.
Als sinnfrei und sogar Ursache für viele Probleme bezeichne ich das Scannen des ausgehenden Mailtraffics.
Und Probleme treten fast immer auf, wenn du die Verbindungen zu den Mailservern verschlüsseln lässt.

=> All diese Einstellungen sind Einstellungen des AV-Scanners. Zuerst musst du diese also genau kontrollieren! Und natürlich richtig einstellen (Ausnahmen für das Profil, ausgehender Traffic: nein, ankommender Traffic ja)

So, und nun beschreibe ich, wie du testen kannst, ob dein AV-Scanner generell richtig funktioniert:
Für derartige Zwecke wurde der EICAR-Testvirus entwickelt.
Das ist ein völlig ungefährlicher "Virus", der garantiert nicht schadet, der aber durch jeden AV-Scanner erkannt wird. Hier: EICAR -Testdatei – Wikipedia kannst du alles dazu nachlesen.

Du kannst diese Testdatei herunterladen (dabei müsste schon der Scanner ansprechen => also beim zweiten Versuch diesen deaktivieren!). Dann kannst du dir selbst eine Mail mit dem "Virus" als Anhang schicken. Entweder gleich beim Laden der "verseuchten" Mail (= Überwachung des eingehenden Traffic) oder beim Ablösen des Anhanges, oder wenn du gar unvernünftigerweise gleich aus dem Programm heraus den Anhang startest, muss der Hindergrundwächter (on access) ansprechen.
BTW: Das Versenden dieser Datei als Scherz an andere unbedarfte Nutzer solltest du aber bitte unterlassen!

Und noch was: Bei einem falsch konfigurierten AV-Scanner kann es allerdings ganz schnell mal passieren, dass du sämtliche Mails los bist: Der falsch konfigurierte Scanner löscht die befallene Datei. Dumm ist nur, dass diese Datei dein kompletter Posteingang/Unterordner ist. Jetzt weißt du auch, warum der Scanner das Profil nicht überwachen darf.

HTH

MfG Peter

Hallo,

Zitat von "waltgallus"

GData Antivirus erkennt den Bösewicht und löscht das gesamte Mail, nicht nur den Anhang, und das ohne jeglichen Kommentar. Der Empfänger merkt gar nicht, dass er ein infiziertes Mail erhalten hat. Nicht einmal im Protokoll wird das vermerkt.

das müsste sich doch über die Einstellungen in der Software ändern lassen...

Zitat

Worauf genau muss ich da achten?

Das habe ich doch in meinem letzten Absatz geschrieben.

Wie du aus unserer Anleitung weißt ..., werden alle Mails je "Mailordner" hintereinander in einer mbox-Datei gespeichert. Und wenn du den Scanner auf dein Profil loslässt und er in einer mbox-Datei etwas seiner Meinung nach schädliches findet, dann wird er bei falscher Konfiguration die befallene Datei gründlich shreddern. => und schwupps ist deine komplette mbox-Datei weg. Und zwar unwiederbringlich.
Deshalb solltest du einen AV-Scanner (unabhängig davon, dass er nicht das TB-Usrprofil überwachen darf) immer so konfigurieren, dass er nie von alleine löscht! Immer entweder nur melden und keinen Zugriff zulassen oder die befallene Datei in Quarantäne verschieben.

OK?

MfG Peter