Viren/Trojaner Verschlüsselte Verbindungen können die Sicherheit des Rechners gefährden...

QuHno

Außer Betrieb
Klingt zugegbenermaßen ein wenig reißerisch, ist aber so. GMX z.B. hat am 16.03.09 die Verbindungen auf TLS gesetzt und wenn ein Virenwächter sich in diese Verbindung einklicken will, bekommt er nur Datenmüll zu lesen, da der Client und der Server eine verschlüsselte Verbindung aufgebaut haben.

Also Achtung bei Maildownloads!

Anhänge werden nicht mehr während des herunter ladens überprüft. Weist eure Virenscanner an, das Mailverzeichnis bei jeder Veränderung zu scannen, oder scannt jede Mail mit Anhang bzw. HTML Mail von Hand, bevor ihr sie öffnet ...
 
Hmm, *kopfkratz*
jetzt bin ich etwas verwirrt und weiß nicht so recht, was tun?! :unsure:

Bei Arcor habe ich die freie Wahl, ob die Verbindung mit oder ohne TLS aufgebaut wird.
Bisher hatte ich bei den Server-Einstellungen in Thunderbird die verschlüsselte Verbindung auf "TLS, wenn möglich" eingestellt gehabt.
Nun meckerte der MailGuard der frisch auf die Version 9 geupgradeten (was'n Wort:angel) Avira Premium Security Suite genau das an...keine Unterstützung von TLS.

Der Guard (Echtzeit Virenscanner, nicht zu verwechseln mit dem MailGuard) prüft sowieso bei jedem Lese-/Schreibzugriff die Dateien nach Vorgabe der Dateierweiterungsliste, die Mails sind da auch mit dabei.

Jetzt frage ich mich, was ist besser?
Entweder den MailGuard deaktivieren und "TLS, wenn möglich" einschalten oder lieber TLS aus und den MailGuard aktivieren.
Letzteres hätte den Vorteil, dass die Mails auch dann geprüft werden, wenn mal keine gesicherte Verbindung mit TLS besteht.
Der letzte Satz war, glaube ich, Quatsch. Sollte ja in dem Fall auch dann funktionieren, wenn MailGuard und "TLS, wenn möglich" aktiviert ist.
 
Zuletzt bearbeitet:
Das ist ein klassisches Dilemma:

Wenn man nicht will, das irgendwer im Netz die eigenen Passwörter für das Login mitbekommt und die Mails lesen kann, sollte man auf alle Fälle TLS oder STARTTLS verwenden, am besten auch nicht über Port 25 sondern direkt 465 (SSL) oder über 587 (TLS), damit erst gar nicht versucht wird, unautorisiert und unverschlüsselt irgend etwas zu versenden - vorausgesetzt der Provider hat nicht an den Ports und den Einstellungen herum gebogen und verhält sich Norm konform nach IEC TREC.

Dann hat man allerdings das "sicht scannen" Problem.

Das beste wäre, wenn der Mail Provider selbst eine hochwertigen Malwarescanner hätte, der den Müll direkt herausfischt - aber wir wissen ja alle, dass kein einziges Anti-Irgendetwas Programm eine Erkennungsquote von 100% haben kann und ein einziges Teil, was durch kommt, kann eins zu viel sein.

Sollte man einen Löhnaccount beim Mailprovider haben, sollte dieser auch einen Malwarescanner eingebaut haben, der den Kram schon filtert, bevor er überhaupt im Postfach landet, ansonsten ist er sein Geld nicht wert.

Wer wirklich paranoid ist und dennoch seine eigene Anti-Malware Lösung die Mails checken lassen will, bevor das Mailprogramm auch auch nur versuchen kann, sie zu öffnen, müsste sich einen kleinen Mailproxy einrichten. Dieser holt dann die Mails per TLS verschlüsselter Verbindung vom Provider ab und stellt sie anschließend seinerseits als lokaler Mailserver dem Mailclient unverschlüsselt lokal zur Verfügung. Diese "Verbindung" könnte dann vom Antivirenprogramm überprüft werden bzw. es bekommt schon mit, wenn die Daten vom Proxy auf die Platte gebannt werden, wenn es jeden Schreibvorgang überwacht.

Das Beste wäre natürlich, wenn das Anti-Malware Programm selbst als TLS tauglicher Proxy ausgelegt wäre und man die Zugangsdaten zum Mailprovider dort eintragen würde.

Ansonsten hilft natürlich, wie immer, der beste Anti-Bösartige-Software-Schutz von allen:
brain.exe, die zuverlässig das klicken auf unbekannte Datei Anhänge oder Datei Anhänge von unbekannten Absendern verhindert, Mails nur im reinen Text und nicht im HTML Format öffnen lässt und sämtliche Scripting Möglichkeiten deaktiviert. ;)
 
Tja, schwierige Entscheidung, ist wirklich ein klassisches Dilemma.:unsure:

Ich habe jetzt mal die entsprechenden Einstellungen bei meinem Arcor-Account überprüft.
Spam-Blocker und Virenschutz für Emails ist aktiv (ohne Mehrkosten), ein spezieller Malwareschutz ist auch als Löhnware nicht zu finden. Da die genauen Filter-Grundeinstellungen nicht so recht zu erkennen sind (wohl irgendwelche Standard-Einstellungen) könnte es sein, das ein Malwareschutz da evtl. irgendwo mit drinsteckt.

Das Beste wäre natürlich, wenn das Anti-Malware Programm selbst als TLS tauglicher Proxy ausgelegt wäre und man die Zugangsdaten zum Mailprovider dort eintragen würde.
Das wäre natürlich prima, muss ich mal im Avira-Forum anregen. Vielleicht wirkt es.

Bisher hatte ich ja noch keine Probleme mit Emails - Stichwort brain.exe :D und Mails von unbekannten Absendern schmeiß ich auch immer gleich ungeöffnet weg - werde ich es mal mit beiden Einstellungsversionen testen. Und mal schauen, falls sich die TLS-Warnmeldungen unterdrücken lassen, kann ich auch beides aktivieren, TLS und MailGuard...
*probier*
...nee, geht leider nicht. Die Verbindung wird vom MailGuard sofort beendet (Bild).:motz

Ich denke, ich werde die erstere Lösung von Dir mit TLS (und freilich brain.exe :ROFLMAO:) bevorzugen und den MailGuard abschalten. Das Posteingangs-Verzeichnis wird ja wie schon gesagt auch vom Guard überprüft.

Vielen Dank für Deine Hilfe!
LG
Norbert
 

Anhänge

  • MailGuard.jpg
    MailGuard.jpg
    70,6 KB · Aufrufe: 355
Da ist es nützlich als auch sinnvoll, wenn der benutzte Mailer seine Anhänge als B64
speichert und nicht "as is" in Reinform. B64 kann durchsucht werden nach Malware,
ist aber nicht ausführbar ;)
 
Für alle nicht Technik Freaks:
B64 = base64 ist das Standard Format, in welches Anhänge konvertiert werden müssen, damit sie überhaupt als Mail versandt werden können, denn Mail sieht von sich aus nur reinen 7Bit ASCII Text vor, alles andere muss codiert werden (auch Sonderzeichen wie ä, ö, ü, ;)).

So sieht z.B. der Start eines GIF Bildes aus:
Code:
Content-type: image/gif; name="bild.gif" 
Content-Transfer-Encoding: base64

Davon kann man sich leicht überzeugen, wenn man sich ein Mal eine Mail im Rohformat ansieht, das geht mit jedem Texteditor, es sollte jedoch kein Wort-Verarbeitungsprogramm sein, denn Wort-Verarbeitungsprogramme aus einem bestimmten Haus sind für VBS Viren emfänglich ;)

Wenn das Mailprogramm die Mail mit ihren Anhängen so lässt, wie sie ist, kann der Anhang nicht ausgeführt werden.

Es soll jedoch Mail Programme geben, die die Anhänge serienmäßig abtrennen und decodieren, bevor sie die Mail speichern, bei einigen soll sogar ein direktes Ausführen möglich sein, wenn man darauf klickt. Gute Mailprogramme machen so etwas nicht.
 
BTW - da trifft es sich ganz gut, das Eset v4 jetzt auch SSL kann ;)
Zu Avira v9 kann ich nichts sagen, können die das damit? (@Norbert)
 
Will auch sowas haben :cry:

Für Avast ist für dieses Frühjahr geplant (was auch immer das heißen mag) eine Adaption von STunnel einzubinden (Gerücht aus ungenannt bleiben wollender, halbwegs vertrauenswürdiger Quelle. Bitte nicht verklagen! ;)), danach sollte es auch möglich sein ...

... wann war noch einmal offizieller Frühlingsbeginn? :unsure: :ROFLMAO:
 
BTW - da trifft es sich ganz gut, das Eset v4 jetzt auch SSL kann ;)
Zu Avira v9 kann ich nichts sagen, können die das damit? (@Norbert)
Jippie, das funktioniert, hab's gerade mal im Thunderbird umgestellt (Standard: Port=995, ist ok?).
Wieso bin ich Hampel nicht selber drauf gekommen, das mal zu testen? :eek:
Der MailGuard meckert jetzt auch nicht mehr und holt brav die Mails ab.

Den Postausgang habe ich noch weiterhin auf "TLS, wenn möglich" stehen.
Das scheint keine Probleme zu machen, die Mails werden wohl vorher geprüft.

Danke für den Tipp.:)(y)

LG
Norbert
 
Meckert der Mailguard nur deswegen nicht mehr weil er sich jetzt sauber einklinken kann oder weil er den Port 995 gar nicht erst überwacht, weil er weiß, dass er sowieso nicht lesen kann, was dort versendet wird, da es ein dedizierter Port für verschlüsselte Verbindungen ist?

Ich vermute letzeres, denn ansonsten müsstest Du im Mail Programm Avira als Server und in Avira die Daten zum Mail Provider eintragen können, damit Avira die Daten abholen, entschlüsseln und, wenn sauber, an das Mail Programm weitergeben kann ...
 
Meckert der Mailguard nur deswegen nicht mehr weil er sich jetzt sauber einklinken kann oder weil er den Port 995 gar nicht erst überwacht, weil er weiß, dass er sowieso nicht lesen kann, was dort versendet wird, da es ein dedizierter Port für verschlüsselte Verbindungen ist?

Ich vermute letzeres, denn ansonsten müsstest Du im Mail Programm Avira als Server und in Avira die Daten zum Mail Provider eintragen können, damit Avira die Daten abholen, entschlüsseln und, wenn sauber, an das Mail Programm weitergeben kann ...
Ja tatsächlich, letzteres war der Fall.:eek: Habe jetzt folgendes durchgeführt:
  1. AV9: Der überwachte Port vom MailGuard stand noch auf 110, habe ihn auf 995 geändert.
  2. AV9: Unter Allgemein -> Proxy habe ich die Daten zum Mail-Provider eingetragen.
Tja, und jetzt klemmt's.
Der MailGuard meckert zwar nicht, aber Thunderbird hat ja noch den pop3.arcor.de
als Server eingetragen und produziert daher einen Timeout beim Versuch, Emails abzuholen.

Wie bringe ich Thunderbird bei, dass er ein Programm als Server nehmen soll?
Geht das mit "file:///C:\Programme\Avira\AntiVir Desktop\avmailc.exe"?
Falls ja, wäre avmailc.exe (Antivirus MailScanner Service) überhaupt das richtige Programm?
 
Das dürfte nicht möglich sein, wenn Avira keinen echten Proxy stellt.
 
Nun, das ist dann natürlich schade. Kann man wohl machen nix.:(
Hab es jetzt erstmal wieder alles auf die vorherigen Einstellungen zurückgesetzt.

Vielen Dank für eure Mühe.:)(y)
Umsonst war sie trotzdem nicht, der Thread hier hat mir zumindest wieder einen Lernerfolg gebracht.

Liebe Grüße
Norbert :)
 
AV9: Unter Allgemein -> Proxy habe ich die Daten zum Mail-Provider eingetragen.
Eben aufgefallen - das ist aber nicht der Proxy für den allgemeinen Internetzugang?
(Updates etc) Das funktioniert erst recht nicht ;)
 
Stimmt ja, das könnte freilich sein. Dann kann es ja gar nicht gehen.
Der Proxy steht schließlich unter Allgemein und nicht unter MailGuard:
 

Anhänge

  • AV9-Config.jpg
    AV9-Config.jpg
    160,1 KB · Aufrufe: 321
Ist der selbe Müll wie unter Avast: Da kann man zwar auch Port 995 eintragen, aber wegen mangelnder SSL/TLS Fähigkeit tut sich da freilich nichts, da sich das Programm nicht in den Layer der True Layer Security einklinken kann - was ja auch Sinn macht, denn genau dafür, dass sich eben niemand da einklinken kann, wurde sie ja geschaffen :D
 
Update:

Die neue Avast!5 Version baut auch in der Free Version die verschlüsselten SSL/TLS Verbindungen zu Mailprovider selbst auf.

Im Mailprogramm selbst muss dazu die Option SSL/TLS deaktiviert werden. Damit ist es jetzt möglich auch über eine verschlüsselte Verbindung übertragene Mails scannen zu lassen. Der Betrieb geschieht völlig transparent.

Bitte hängt hier im Thread auch die anderen Anti Viren Programme an, die das können - denn ein Großteil der Rechnerinfektionen findet nach wie vor per E-Mail statt und viele AV Programme können verschlüsselte Übertragungen nach wie vor nicht ohne Zusatzsoftware wie z.B. Stunnel scannen.

Bitte schreibt auch dazu, ob es auch in einer eventuell vorhandenen Free Version der Anti Viren Software funktioniert.

edit: Schamlose Eigenwerbung:
Anleitung zum Mailscan am Beispiel Opera
 
Zuletzt bearbeitet:
Oben