hab am Wochenende auf meinem Windoof-Rechner nen Virus gehabt. Dieser
hat tausende von Mails versand, alle infiziert (logisch).
Frage für die Zukunft:
Ich beabsichtige meinen Linux-Rechner als Internet-Gateway zu
konfigurieren, sprich die Windoofrechner gehen über Linux ins Netz, und
damit auch die Mails, welches Programm ist in der Lage ausgehende Mails
auf Viren zu checken und auszubremsen? Oder anders: gibt es ein
Programm, welches explizit eine Versandfreigabe vom Versender anfordert
bevor es die Mail rausschickt? Wäre zwar doppelt gemoppelt, wenn ich
eine Mail verschicke und dann bestätigen muss, das ich sie wirklich
verschicken will, aber so hätte ich sofort erkannt, das etwas nicht
stimmt und nicht erst zur Weiterverbreitung des Virus beigetragen.
Hans
*Ohne Worte*
>
> Frage für die Zukunft:
Bye Michael
--
This fortune does not require Microsoft Windows.
_______________________________________________________________________
Registered Linux User #228306 http://macbyte.info/ ICQ #151172379
Jepp: AntiVir-Mailgate - für den Privatgebrauch kostenlos.
www.antivir.de
> Programm, welches explizit eine Versandfreigabe vom Versender anfordert
> bevor es die Mail rausschickt? Wäre zwar doppelt gemoppelt, wenn ich
> eine Mail verschicke und dann bestätigen muss, das ich sie wirklich
> verschicken will, aber so hätte ich sofort erkannt, das etwas nicht
> stimmt und nicht erst zur Weiterverbreitung des Virus beigetragen.
da lässt sich auf sendmail-ebene bestimmt was drehen, dass erstmal alles
nur gequeued wird und dann per sendmail -q ausgeliefert wird.
Nur wie, kann ich dir grad so schnell nicht sagen...
regards, Kim
--
"Is RedHat going to be the next Microsoft?" (ZDNet)
> hab am Wochenende auf meinem Windoof-Rechner nen Virus gehabt. Dieser
> hat tausende von Mails versand, alle infiziert (logisch).
Was genau ist daran logisch?
> Frage für die Zukunft:
>
> Ich beabsichtige meinen Linux-Rechner als Internet-Gateway zu
> konfigurieren, sprich die Windoofrechner gehen über Linux ins Netz,
> und damit auch die Mails, welches Programm ist in der Lage ausgehende
> Mails auf Viren zu checken und auszubremsen?
Nein. Scanner für Microsoft Viren funktionieren nicht. Du willst die
Programme entsorgen, die für solche Angriffen anfällig sind, nicht an
Symptomen herumpfuschen.
Ich benutze dafür amavis-perl[1] als transport meines MTA und als
Virenscanner AntiVir / Linux Version 2.0.3.22 von H+BEDV Datentechnik[2].
Ein- und ausgehende Mails werden direkt beim Passieren des
SMTP-Servers geprüft und bei Virenbefall in Quarantäne gesteckt
bzw. gelöscht. Der Empfänger bzw. Absender enhält eine entsprechende
Benachrichtigung. AntiVir ist für den Privatgebrauch kostenlos und hat
eine automatische Updatefunktion.
Natürlich erkennen solche Virenscanner nur bereits bekannte Viren und
bieten insofern keine absolute Sicherheit, aber wenn zu bestimmten
Zeiten Dutzende von KLEZ-Mails pro Tag auflaufen, ist es schon eine
Arbeitserleichterung und allemal sicherer als sich darauf zu
verlassen, dass die Empfänger die Anhänge sofort entsorgen statt sie
zu öffnen.
[1] http://www.amavis.org/download/
[2] http://www.hbedv.com/
--
begin sig
This line intentionally left blank.
end
Warum setzt Du bekanntermaßen defekte Software ein? Rechner mir
Windows darauf gehören nicht an öffentliche Datennetze, IMO.
> Frage für die Zukunft:
>
> Ich beabsichtige meinen Linux-Rechner als Internet-Gateway zu
> konfigurieren, sprich die Windoofrechner gehen über Linux ins
> Netz, und damit auch die Mails, welches Programm ist in der Lage
> ausgehende Mails auf Viren zu checken und auszubremsen? Oder
> anders: gibt es ein Programm, welches explizit eine
> Versandfreigabe vom Versender anfordert bevor es die Mail
> rausschickt? Wäre zwar doppelt gemoppelt, wenn ich eine Mail
> verschicke und dann bestätigen muss, das ich sie wirklich
> verschicken will, aber so hätte ich sofort erkannt, das etwas
> nicht stimmt und nicht erst zur Weiterverbreitung des Virus
> beigetragen.
Mir fallen zwei Möglichkeiten ein: Der Gateway leitet nur Emails
weiter, die mit einem Schlüssel signiert sind, der lediglich auf
dem Gateway installiert ist. Jede Email, die solch eine Signatur
nicht trägt, wird signiert und zurückgesendet. Jetzt kann sie
nochmal abgeschickt werden, und wird diesmal wegen der Signatur
weitergeleitet.
Bei der zweiten verlangt der Gateway, daß die Emails alle mir einem
Schlüssel signiert sind, der nur auf dem Client liegt und mit einer
Passphrase geschützt ist.
Implementieren könnte man das sicher mit Qmail, Serialmail und ein
paar Skripten. Aber all das nützt nichts, wenn der Clientrechner
wirklich übernommen wurde, wie man sich leicht überlegen kann.
Am sinnvollsten ist wohl immernoch eine Begrenzung der täglich
übertragbaren Emails. Am besten sollte man auch gleich noch das
Volumen begrenzen. Den Zähler darf man nur am Gateway selber
zurücksetzen können, d.h. man braucht dort root oder so.
Lasse Kliemann <stu3...@mail.uni-kiel.de> schrieb in news:aktsda$qfc
$1...@stu33404.mail.uni-kiel.de:
Ich würde Dir empfehlen, einfach einen Mailserver mit sendmail/qmail,
amavis und einem Virenscanner aufzusetzen.
Der das script in amavis prüft alle Mails mit Hilfe des Virenscanners,
einschließlich ausgehende.
Zusätzlich verhinderst Du damit natürlich, dass die Viren über E-Mail
überhaupt reinkommen. Die Voraussetzung ist allerdings, dass Du Deinen
Virenscanner immer aktuell hältst.
--
Thomas Pietzonka
Wimatherm Klimatechnik
und Maschinenbau GmbH
D-31515 Wunstorf
[Thomas will quoten lernen]
> Zusätzlich verhinderst Du damit natürlich, dass die Viren über E-Mail
> überhaupt reinkommen. Die Voraussetzung ist allerdings, dass Du Deinen
> Virenscanner immer aktuell hältst.
Du redest Müll. Virenscanner funktionieren nicht. Ende Diskussion. Wir
sind hier nicht in Windowshausen - eine Latenzzeit von
Sekundenbruchteilen ist bei heutigen Netzen für ein Update schon zu lang
- und mir wäre neu, dass Scannerupdates in weniger als Stunden verfügbar
wären.
Kurz: Entweder elimierst Du die Virenreplikationssoftware (sprich:
Windows + Anwendungen), oder Du löschst alle Attachments außer als
unbedenklich einzuschätzenden (für #defines von "unbedenklich" <
Outlook/MSIE/$ANDERER_SCHROTT) - oder Du verschwindest hier und
nimmst Deine CHIP-Weisheiten mit.
Kinder... Hier ist Handwerk. Pfusch am Bau ist drüben in microsoft.ALL,
ja? Danke. [fup2 de.alt.0d]
Moin,
oha, da habe ich es ja mit dem absoluten Mega-Hardcore-Linux-User zu
tun.
Leider müssen manche Leute mit dem Rechner Geld verdienen und könnnen
werden nicht danach gefragt, ob ihnen das BS passt oder nicht. Deshalb
soll es Anwender geben, die wider besseres Wissen mit Windows
arbeiten, schon allein, weil Zulieferer auch mit diesem arbeiten.
Ein guter Ansatz von Dir ist immerhin, alle Attachments zu löschen,
die _nicht_ unbedenklich sind.
Ich gehe auch mal davon aus, dass der Ursprungsposter _nicht_ auf auf
der mutwilligen Suche nach Viren ist (Surfen auf betimmten Sites
etc.). Dann kann man nichts machen, ein neuer Virus geht dann
natürlich direkt vom Outlook über das Mailgateway ins Intrernet.
In allen anderen Fällen kann mit einem Virenscanner (auch wenn Du das
Gegenteil behauptest) sehr wohl die Mails und Anhänge prüfen.
Natürlich nur dann, wenn man über einen MTA mit Virenscanner geht
(z.B. mit fetchmail bei POP3 / IMAP abholen).
Absolute Sicherheit bekommt man jedoch nie (nicht mal mit firewall mit
stateful inspection - auch die muß upgedatet werden) in Windows-Netzen
- um die geht es hier. Ein guter Ansatz ist es aber bestimmt.
Ganz abgesehen davon, dass Du zur Problemlösung bisher nichts
beigetragen hast denke ich mal, ein wenig mehr
a) Höflichkeit,
b) Toleranz und
c) Nachdenken
Könnte nicht schaden.
man Kündigung
Ansonsten sollten sie tunlichst ihre Vorgesetzten darauf aufmerksam
machen, daß sie fahrlässige Entscheidungen treffen und somit doch
bitte auch für etwaig entstandene Schäden haften mögen.
> Deshalb soll es Anwender geben, die wider besseres Wissen mit
> Windows arbeiten, schon allein, weil Zulieferer auch mit diesem
> arbeiten.
Welche Zulieferer denn? Die unter #warez?
> Ein guter Ansatz von Dir ist immerhin, alle Attachments zu löschen,
> die _nicht_ unbedenklich sind.
Windowsuser tun mir leid. Wirklich. Ich öffne auf meinem Rechner
jedes Attachment, egal von wem. Mein Emailprogramm läßt automatisch
genug Privilegien fallen, so daß nichts passieren kann dabei.
Welches email-Programm soll das sein? Und wie soll das funktionieren?
-- Gerhard
Man kann jedes email-Programm verwenden, welches die /etc/mailcap
beachtet. In dieser stehen Aufrufe zu Skripten, die per sudo zu
einem anderen Account wechseln und dann den entsprechenden Viewer
(qiv, Netscape, wvWare, ghostview, xpdf, ...) starten.
Der Account, zu dem gewechselt wird, ist sehr eingeschränkt. Er
darf insbesondere kein einziges suid-Programm ausführen. Man könnte
ihm mittels iptables sogar noch die Kommunikation übers Netz
entziehen.
mutt, Gnus bspw.
"Gute" Dateitypen werden mit passenden Tools angezeigt (Grafiken
bspw.). Der Rest im Textmodus.
Dann sieht ein voll krasser Virus halt auf einmal so aus:
xUåXEnUF [...]
Gruss Urs...
--
Wer nicht waehlt, waehlt Stoiber. *huestel*
Interessante Kombination, mailcap mit sudo.
> Der Account, zu dem gewechselt wird, ist sehr eingeschränkt. Er darf
> insbesondere kein einziges suid-Programm ausführen.
Wie geht das? In "man 5 passwd" steckt die Lösung scheinbar nicht.
> Man könnte ihm mittels iptables sogar noch die Kommunikation übers Netz
> entziehen.
Bleiben nur noch evtl. lokale root-Exploits.
-- Gerhard
Unix eben: Man kombiniert, was schon da ist.
> > Der Account, zu dem gewechselt wird, ist sehr eingeschränkt. Er darf
> > insbesondere kein einziges suid-Programm ausführen.
>
> Wie geht das? In "man 5 passwd" steckt die Lösung scheinbar nicht.
»chmod o-rwx« und »chgrp priv« auf das suid-Programm, und dann
alle, die es benutzten dürfen sollen in die Gruppe »priv«
aufnehmen, siehe »man usermod«.
> > Man könnte ihm mittels iptables sogar noch die Kommunikation
> > übers Netz entziehen.
>
> Bleiben nur noch evtl. lokale root-Exploits.
Ja, mögliche Angriffpunkte sind:
- Kernel,
- Windowmanager,
- X,
- locale Dienste.
Die ersten drei halte ich für nicht so schwerwiegend und bei den
Diensten kann man auch vorsorgen. Zur Not verwendet man auch dort
iptables mit owner-matching. Aber was läuft auf einem gut
konfigurierten Desktopsystem schon an Diensten, die nicht selber
auch unter einer genügend unpriviligierten UserID gestartet werden
können?