Virusmeldung nach E-Mail-Weiterleitung des Intranators

[Ebi]

Hallo,

wir haben seit einiger Zeit immer mal eine E-Mail dabei, die der Virenscanner unseres Exchange-Servers als Virus identifiziert. Hier die entsprechende Meldung:

Die Datei D:\Microsoft Exchange Server\Mailroot\vsi 1\Queue\NTFS_3dfa662a01ca431e0000ccbe.EML\File_WU_ N3b39eb.zip\File_WU_N3b39eb.exe ist mit dem Virus Bredolab.gen.a '_' infiziert. Unbestimmter Säuberungsfehler, erfolgreich gelöscht. Der Virus wurde durch die Scan-Modulversion 5301.4018 DAT-Version 5758.0000 entdeckt. (von MAILSERVER IP ip.ip.ip.ip Benutzer domain\user Software VirusScan EntSv 8.5 OAS)

Ich habe die entsprechende Mail mal zurückverfolgt und es stellte sich heraus, dass diese eine vom Intranator als Spam klassifizierte und an eine entsprechend eingerichtete Spam-E-Mail-Adresse weitergeleitete Mail ist.

Nun stellt sich mir die Frage - liegt hier ein Problem vom Intranator vor, hat der Intranator-Virenscanner den Virus nicht erkannt oder ist das gar kein Virus, sondern die Heuristik vom Mailscanner des Exchange-Servers?

Liebe Grüße,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

es kann sein, daß hier die Virendatenbank von Ihrem Virenscanner auf dem Exchange schneller an einen neuen Virus angepasst wurde als die auf dem Intranator. Daher wurde der Virus auf dem Intranator noch nicht als solcher erkannt.

Eigentlich sollte der Anhangfilter den Empfang von ausführbaren Dateien (wie hier die .exe) für normale Benutzer unterbinden. Kontrollieren Sie bitte dessen Einstellung: Dienste > Emailfilter > Anhang > Einstellungen. Hier sollte die Standard-Filterliste auf "Vordefiniert: Ausführbare Dateien" stehen und ein Haken bei "Eingehende Emails filtern" gesetzt sein.

Diese eine Email wurde ja nach Ihrer Beschreibung durch den globalen Spamfilter als Spam klassifiziert. Dadurch hat der Anhangfilter dann nicht gegriffen. Wenn die Einstellungen korrekt sind (siehe oben) greift der aber für alle nicht als Spam erkannten Emails und damit sind die Benutzer also auch in diesem Fall vor Viren geschützt.

Herzliche Grüße,

v. Egidy

[Ebi]

Hallo,

unterbindet der Anhangfilter dann auch gezippte Exe-Dateien so wie in diesem Fall? Oder lässt er diese durch?

Liebe Grüße,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

wenn EXE-Dateien blockiert sind (das ist Standardeinstellung), dann werden die auch innerhalb von ZIP-, RAR-, etc. Archiven erkannt und gesperrt. Ansonsten wäre der Anhangfilter ja relativ sinnlos.

Herzliche Grüße,

v. Egidy

[Thomas Jarosch]

unterbindet der Anhangfilter dann auch gezippte Exe-Dateien so wie in diesem Fall? Oder lässt er diese durch?

Eine Idee kam mir gerade noch bezüglich der Konfiguration des Anhangfilters: Ist er bei Ihnen so eingestellt, daß die Mails ohne Anhang weitergeleitet werden oder kommen die Emails komplett unter Quarantäne?
Wird der Anhang ersetzt, so bleibt das ".exe" noch mit im Dateinamen.

Oder kommen vollständige .exe Dateien am Server an? Die ersetzten Dateien sind nur wenige Bytes groß.

Herzliche Grüße,
Thomas Jarosch

[Ebi]

Hallo Herr Jarosch,
habe Ihre Antwort zum Thema gerade eben entdeckt.

Der Anhangfilter ist in der Tat so eingestellt, dass die Mails ohne Anhang weitergeleitet werden. Da der Scanner auf dem Exchange-Server allerdings die Mails löscht bevor ich sie einsehen kann, kann ich leider nicht schauen, wie der Inhalt dieser E-Mails war.

Was mir allerdings aufgefallen ist, ist die Tatsache, dass der Intranator für diese Mails keine Viruswarnung versendet. D.h. ich habe zu diesen Mails nur Viruswarnungen vom Scanner des Exchange Servers, jedoch keine des Intranators. Der müsste, wenn er einen Virus erkennt oder entsprechenden Anhang blockiert, ja auch eine Warnmeldung an den Admin versenden, oder?

Liebe Grüße,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

Was mir allerdings aufgefallen ist, ist die Tatsache, dass der Intranator für diese Mails keine Viruswarnung versendet. D.h. ich habe zu diesen Mails nur Viruswarnungen vom Scanner des Exchange Servers, jedoch keine des Intranators. Der müsste, wenn er einen Virus erkennt oder entsprechenden Anhang blockiert, ja auch eine Warnmeldung an den Admin versenden, oder?

Ob bei einem Virus eine Meldung an den Admin gesendet werden soll oder nicht können Sie einstellen, Menü Dienste > Emailfilter > Antivirus. Ein erkannter Virus wird natürlich unabhängig von der Meldung komplett rausgefiltert und in die Quarantäne gelegt.

Ich stelle das normalerweise aus, denn es werden am Tag oft hunderte Viren gefiltert. Die Hinweis-Mail bringt da keinen Informations-Mehrwert.

Herzliche Grüße,

v. Egidy