O'Reilly logo

Mit Open Souce-Tools Spam & Viren bekaempfen by Alexander Wirt, Peter Eisentraut

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

This is the Title of the Book, eMatter Edition
Copyright © 2005 O’Reilly & Associates, Inc. All rights reserved.
|
159
First
Max.
Linie
Max.
Linie
Kapitel 7
KAPITEL 7
Virenscanner
Dieses Kapitel behandelt, wie Virenscanner in E-Mail-Systemen eingesetzt werden,
um die Empfänger von E-Mails vor schädlichen Sendungen zu schützen. Da der
Fokus dieses Buchs Open Source-Software ist, wird der führende Open Source-
Virenscanner ClamAV im Detail beschrieben.
Funktionsweise
Die Aufgabe eines Virenscanners ist es herauszufinden, ob eine Datei oder ein ande-
rer Teil eines Computersystems ein Virus enthält (zur Verwendung des Begriffs
Virus siehe Kapitel 1, Einführung). Zusätzlich kann ein Virenscanner versuchen, das
Virus zu entfernen und die Wirtsdatei wiederherzustellen, aber dies ist nicht immer
glich.
Virenscanner können diese Aufgabe auf verschiedene Weise erledigen. Die wich-
tigste und am häufigsten verwendete Methode ist, die verdächtige Datei mit einer
Datenbank von bekannten Viren zu vergleichen. Diese Datenbanken enthalten nor-
malerweise nicht das ganze Virus, sondern nur einen kurzen, charakteristischen
Teil, eine so genannte Signatur. Alternativ können Virenscanner auch das Verhalten
des Computersystems beobachten und bei verdächtiger Aktivität Alarm schlagen.
Dadurch lassen sich insbesondere bisher unbekannte Viren entdecken. Beim Ein-
satz eines Virenscanners zur Filterung von E-Mail ist das Ziel jedoch, das Virus auf-
zuhalten, bevor es ein anfälliges System erreichen und infizieren kann. Daher ist die
zweite Methode hier nicht anwendbar. Virenscanner müssen sich also im Großen
und Ganzen auf Signaturdatenbanken stützen.
Die Einbindung von Virenscannern in ein E-Mail-System ist nicht frei von gli-
chen Problemen. E-Mails können durch verschiedene Mechanismen komplex
kodiert werden: Anhänge, ZIP-Archive, MIME, Base64 und andere. Viele Viren-
scanner nnen auch Archive und bestimmte kodierte Formen scannen, aber nicht
unbedingt alle. Deshalb muss dafür gesorgt werden, dass bei der Übergabe einer
E-Mail an den Virenscanner die E-Mail so weit, wie es der Virenscanner verlangt,
dekodiert ist. Dies ist eine der Hauptaufgaben der Software-Komponenten, die die
Integration der Virenscanner in das E-Mail-System realisieren, die später in diesem
Kapitel beschrieben werden.
This is the Title of the Book, eMatter Edition
Copyright © 2005 O’Reilly & Associates, Inc. All rights reserved.
160
|
Kapitel 7: Virenscanner
Links
Max.
Linie
Max.
Linie
Auswahlkriterien
Computerviren gibt es seit über 20 Jahren, also viel länger, als es E-Mail in signifi-
kanter Verbreitung gibt. Die Virenscanner-Industrie ist heute kaum überschaubar,
mit rund zwei Dutzend Firmen in aller Welt, oft mit jeweils mehreren Produkten,
Varianten, Lizenzmodellen und Marketing-Sprüchen. Daneben gibt es seit gerau-
mer Zeit auch im Open Source-Bereich erfolgreiche Anstrengungen, die sich mit der
Herstellung von Antivirentechnologie beschäftigen. In diesem Abschnitt soll zu-
nächst behandelt werden, wie man für sich in diesem Überangebot eine passende
Lösung finden kann.
Erkennungsrate
Wenn ein Virenscanner-Produkt mehr Viren erkennt als ein anderes Virenscanner-
Produkt, ist es natürlich zunächst einmal »besser«. Allerdings muss man die nack-
ten Zahlen differenziert bewerten. Wenn ein Hersteller schon sehr viel länger im
Geschäft ist als ein anderer, hat Ersterer womöglich sehr viele alte Viren in seiner
Datenbank, die heute nicht mehr relevant sind. Virenscanner können auch auf ver-
schiedene Arten eingesetzt werden. Viren, die nicht über E-Mail versendet werden,
müssen auch nicht von einem Virenscanner erkannt werden, der nur für den Ein-
satz in E-Mail-Systemen gedacht ist. Virenscanner, die nur auf Windows-Betriebs-
systemen laufen,ssen keine Viren erkennen, die nur auf Macintosh-Betriebssys-
temen aktiv werden können. Und so weiter.
Man kann davon ausgehen, dass alle Virenscanner-Produkte, die heute am Markt
sind und einigermaßen aktuell gehalten werden, vernünftig funktionieren. Detail-
lierte Bewertungen und Vergleiche kann man in Berichten von unabhängigen Tes-
tern finden, zum Beispiel regelmäßig in Fachzeitschriften oder auf der Website
Virus Bulletin (http://www.virusbtn.com/). Wie sicher ein Virenscanner im konkre-
ten Ernstfall ist, kann man nur selbst herausfinden. Wer sich trotz allem nicht
sicher fühlt, der kann auch einfach mehr als ein Virenscanner-Produkt einsetzen
und hat damit eine zusätzliche Absicherung.
Updates
Die Datenbanken von Virenscannern müssen laufend aktualisiert werden, da stän-
dig neue Viren auftreten. Bei der Auswahl eines Virenscanners muss also auch
beachtet werden, ob und wie diese Updates angeboten werden. Insbesondere müs-
sen eventuelle Kosten mit einkalkuliert werden. Garantierte Reaktionszeiten kann
natürlich kein Hersteller anbieten, aber man kann die Promptheit der Hersteller
durch eigene Beobachtungen und Nachforschungen einschätzen lernen.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required