OpenSource Virenscanner auf Mailserver eine gute Wahl?

[NormanErmer]

Hi ,

bin bei einem Projekt, das das Aufsetzen eines Servers als Mailrelay beinhaltet.
Bewege mich im Bereich Linux aber auf Neuland.
Bin mittlerweile durch posten u.a. in anderen Foren, Messebesuche usw. soweit, das ich die Kombination:

Postfix
Amavis
ClamAV
+ 1 kommerz. Virenscanner z.B.
Bitdefender/NOD32/Kaspersky/Dr.Web

verwenden möchte.

Ist dies eine gute Wahl?

Gibts Einwände zu ClamAV für ein Firmennetzwerk?

Bzw. macht es Sinn hier eine OpenSource Lösung zu verwenden?

Reicht evtl. 1 Scanner, da im Firmennetz eh der Scanner Sophos aktiv ist?


Gibts von eurer Seite vielleicht Bedenken, Erfahrungsberichte?
Evtl. eine Beispielkonfiguration damit ich nen Anhaltspunkt habe wie das ganze überhaupt läuft?

Das ganze ist für ein Firmennetzwerk, welches diese Methode rein zur Vorfilterung von Viren benutzen möchte.

Das heißt momentan übernehmen das die Dominos die hinter der Firewall laufen.
Projektziel ist es, das der Mailserver bzw. SMTP Gateway welches nur als relay fungieren soll diese Vorfilterung übernimmt und den gröbsten Virenanteil einfach schon mal blockt.

Habe mich auf der Systems bei vielen Scanneranbietern informiert, bin aber momentan doch soweit hier eine OS-Lösung zu verwenden, da ich finde das diese für diesen Zweck völlig ausreicht.

Seid ihr da meiner Meinung?, oder gibst noch was zu berücksichtigen an das ich nocht nicht gedacht habe?

Ich weiß ich weiß, viele viele Fragen :roll: .. hoffe ihr könnt mir ein bischen helfen

Vielen Dank schon mal für eure Hilfe

Grüße
Norman

 

[docfred]

Bei aller Liebe und Hochachtung vor dem Projekt aber...
ClamAV würde ich nicht mal einen Testrechner anvertrauen

Die Ergebnisse mögen Angesichts der Umstände noch beachtenswert sein, im Vergleich zur erwachsenen Konkurrenz jedoch unter ferner... usw.

Sehr gute und gleichzeitig dennoch kostengünstige Lösung: NOD32. Immer hochaktuell und dürfte im Moment so ziemlich die beste Heuristik am Markt haben. Dabei extrem Resourcen schonend.

 

[dermichel]

mal was aus der praxis ohne computerbild geschreibsel von
irgendwelchen praxisfremden virenscannertests:

ich habe antivir und clamav mit amavisd-new laufen.
jeder virus wird von beiden scannern erkannt. clamav
erkannt sogar die phishing-mails wunderbar die antivir
nicht in seiner vdf-datei hat. es ist noch _nie_ vorgekommen
das ein virus nur von einer scanengine erkannt wurde!

ohne pauschal clamav zu verurteilen wie das einige ohne
praxisbezug machen:

clamav alleine hat mir am anfang auch bauchschmerzen
bereitet, aber in der zwischenzeit wuerde ich das bei firmen
die kein geld ausgeben wollen als filter durchaus einsetzen.

 

[docfred]

Ich empfehle nur den ein oder anderen Blick ins Wylders Board, sich regelmäßig den Virus Bulletin durchzulesen und auch das ein oder andere mal die Tests auf

ClamAV packt nicht mal ein Mindestmaß an in the wild Viren. Von den teilweise recht armen Ergebnissen von ClamAV bei den einschlägigen Onlinemehrfahtests mal abgesehen.

Tut mir leid, eine Geschäftsumgebung würd ich dem beim besten Willen nicht anvertrauen.

 

[NormanErmer]

Habe mir auch einige Testberichte z.B. von AV-Test Magdeburg durchgelesen, in denen aber ClamAV immer unter den Top Ten erscheint.

Möchte mich hier auf keine Variante versteiffen.. bin ja schließlich hier weil ich für Neuigkeiten von euch offen bin.

AntiVir für Firmen kostenlos?
Dachte das es da Lizenzprobleme gibt

 

[dermichel]

Habe mir auch einige Testberichte z.B. von AV-Test Magdeburg durchgelesen, in denen aber ClamAV immer unter den Top Ten erscheint.

Möchte mich hier auf keine Variante versteiffen.. bin ja schließlich hier weil ich für Neuigkeiten von euch offen bin.

AntiVir für Firmen kostenlos?
Dachte das es da Lizenzprobleme gibt

wo steht das es kostenlos ist?

 

[dermichel]

firmen die kein geld ausgeben wollen

die meisten firmen/hochschulen fuer die ich arbeite
haben lizenzen fuer "etablierte" scanner.
aus spass habe ich clamav immer mitlaufen. es wird
alles erkannt was der grosse teure scanner auch findet.
die meisten viren die eintreffen sind 0815 standardviren
die es gibt.

wie gesagt: aus der praxis! nicht nur durch lesen auf
irgendwelchen seiten mit hypersuperpraxisfremden
szenarien.

 

[docfred]

wie gesagt: aus der praxis! nicht nur durch lesen auf
irgendwelchen seiten mit hypersuperpraxisfremden
szenarien.

Die wirst du zu schätzen wissen, wenn die nächste große Wurmwelle stattfindet, die Scanner wie Sophos oder Clam, die größtenteils nur auf ihre Datenbank vertrauen, nicht erkennen, während sie NOD32 oder der KAV schon allein über die Heuristik erkennt und dich und dein Netz von vorneherein auch ohne Sigupdate schützt 8)

 

[dermichel]

der nod32 gefaellt mir. die seite ist was die lizenzen angeht aber etwas... naja... unuebersichtlich... :-(

 

[Frankie777]

Da die Entwickler von Schädlingen ihre Produkte an vorhandenen Virenscannern testen ist es für eine Virenprogramm-Hersteller schwierig bis unmöglich ein Programm zu entwicklen, welches Schädlinge erkannt zu denen keine eindeutige Signatur vorhanden ist.

Erkaufen kann man sich das durch mehr false positive Meldungen, welche aber dazu führen, dass emails in der Versenkung verschwinden oder teuer von Hand geprüft werden müssen.

Da die Erkennungsquoten miserabel sind kann man einen Virenscanner nur wie einen Spamfilter einsetzen. Er dient dazu das Müllaufkommen an emails zu verringern. Einen Schutz vor Schädlingen kann man mit Virenscanner nicht erreichen. Dazu funktionieren sie systembedingt einfach zu schlecht.

Auswertungen zu Virenscanner
http://www.av-comparatives.org/seiten/ergebnisse_2005_05.php

 

[docfred]

Das kannst du so nicht sagen. Kann hier wieder nur auf den NOD32 verweisen. Der hat nahezu alle relevanten Würmer des letzten Jahres per Heuristik erkannt. Habe jetzt leider keinen Link für die genauen Zahlen, kann den allerdings heute Abend heraussuchen und posten, wenn Bedarf besteht

Zu deinem Link: http://www.av-comparatives.org/seiten/ergebnisse_2005_08.php

Ist doch die beste Werbung für KAV und NOD32

 

[Frankie777]

Die Zahlen sind wohl eher miserabel und stehen im krassen Gegensatz zu den Werbeaussagen.

Und wieviel false positive hat die Heuristik erzeugt?
Entweder teuer manuelle Nacharbeit oder es verschwinden eben emails. Beides ist nicht akzeptabel.

Mit Scannern kann man die Mailbox des Benutzers entlasten, Sicherheit kann man dadurch nicht erzeugen.

 

[docfred]

Miserabel. Aha. Was wäre denn gut?

Btw: Hatte bis dato noch keinen einzigen false positive mit NOD32. Da schlägt der KAV schon eher mal Alarm.

Mit Scannern kann man die Mailbox des Benutzers entlasten, Sicherheit kann man dadurch nicht erzeugen.

Ist das eine "Werft alle Virenscanner weg, sowas braucht man nicht"-Rede?

 

[Frankie777]

Auf Deine Frage was denn gut wäre:
Gut durchdachte Datensicherungen haben eine sehr hohe Erfolgsquote.
Ebenfalls ist das zeitnahe Einspielen von Patches bei Windows Rechnern viel wichtiger als einen Virenscanner zu haben.

In der Tat kann man ohne Spamfilter und Virenscanner auskommen. Es macht sicher in vielen Umgebungen Sinn sowas zu installieren. Man sollte sich bloß nicht darauf verlassen, zumal bekannt ist das eh nur alter Kram erkannt wird und die neuen Schädlinge eher zufällig erkannt werden.

 

[NormanErmer]

Ich danke euch, für eure eifrigen Antworten.

Es ist kein Thema Geld auszugeben, es ist ein großes Unternehmen das sich das auch leisten kann.

Virenschutz übernehmen momentan die Dominos mit Sophos. Zur Zeit wird alles Virentechnische so geregelt.
An dem System soll auch nichts geändert werden, da alles so passt und funktioniert wie es soll.


Die Frage ist nur, ob es notwendig ist auf dem bereits existierenden Mailrelay, das momentan ohne Scanner läuft, eine teure Virensoftware zu installieren oder tut es eine Open Source-Lösung in diesem Falle genaus so gut.

Alles andere ist für das Mailrelay nicht wichtig.
Wie gesagt es soll nur eine Vorfilterung geschehen. (nur die Emails sollen gescannt werden)

Und das ganze resourcenschonend

Grüße an alle Mitdiskutierenden
Norman

 

[docfred]

Gut durchdachte Datensicherungen haben eine sehr hohe Erfolgsquote.

Wüsste nicht, was mir eine Datensicherung zur Prävention bringen sollte. Die bringt mir nur etwas, wenn das Kind bereits in den Brunnen gefallen ist.
Obligatorisch ist sie natürlich dennoch.

Ebenfalls ist das zeitnahe Einspielen von Patches bei Windows Rechnern viel wichtiger als einen Virenscanner zu haben.

Ausser Frage. Nur leider hängt es nicht nur an Windows. Auch in Linux und zahlreichen Applikationen auf verschiedensten Plattformen gibt es Lücken die Öffentlichkeit bestimmt noch nicht in allen Ausführungen bekannt sind, aber evtl. schon verwendet werden.

In der Tat kann man ohne [...] Virenscanner auskommen

Falsch.

Man sollte sich bloß nicht darauf verlassen, zumal bekannt ist das eh nur alter Kram erkannt wird und die neuen Schädlinge eher zufällig erkannt werden.

Verlassen sollte man sich auf nichts. Aber man sollte sein Möglichstes tun.

Zum "alten Kram". Ein Virus oder ein Wurm ist bereits wenige Stunden nach dem ersten Ausbruch schon "alt", da bekannt. Das heißt noch lange nicht, dass man sich davor nicht schützen muss. Malware setzt nicht nur auf Lücken.

 

[NormanErmer]

:idea: :?: :idea:

ich wäre euch allen sehr verbunden wenn ihr wieder zum Ursprung
des Postings findet würdet...

:?


Grüße
Norman

 

[Frankie777]

Du hattest mich gefragt was "gut" ist.
Eine Datensicherung ist "gut".

Besonders dann, wenn man sich auf einen Virenscanner verlasen hat und trotzdem der Rechner verseucht ist.

Eine Virenscanner arbeitet ebenso zufällig/zuverlässig wie ein Spamfilter. Es ist ein nettes Tool, aber eben kein Schutzinstrument.
Es ist, wie der Name schon sagt, ein Signaturen Vergleichsprogramm.

Ich habe kein Problem damit, mir einen per emil zugestellten Virus anzuschauen. Die HTML Ansicht ist aus, da kann gar nicht passieren.

Ich habe aber ein Problem damit, wenn ein Virenscanner mir ungefragt emails wegwirft oder der, der das installiert/betreut die false prositive mir nicht raus sucht und zustellt.

 

[docfred]

Du hattest mich gefragt was "gut" ist.
Eine Datensicherung ist "gut".

Besonders dann, wenn man sich auf einen Virenscanner verlasen hat und trotzdem der Rechner verseucht ist.

Die Datensicherung ist besonders gut, wenn sie von einem noch inaktiven Virus befallen ist, weil man keinen Scanner eingesetzt hat ;-)

Eine Virenscanner arbeitet ebenso zufällig/zuverlässig wie ein Spamfilter. Es ist ein nettes Tool, aber eben kein Schutzinstrument.

Jetzt fehlt nur noch das Statement, dass die Hersteller der Tools hinter den meisten Viren stecken.

Ich habe aber ein Problem damit, wenn ein Virenscanner mir ungefragt emails wegwirft oder der, der das installiert/betreut die false prositive mir nicht raus sucht und zustellt.

Wenn man eben auf die falschen Scanner setzt oder der Admin PestPatrol einsetzt und nicht weiß, was er tut, kann sowas shcon vorkommen

 

[Frankie777]

Ein Schädling kommt nicht dadurch zur Ausführung das er auf der Platte gespeichert ist oder man sich eine solche email im Textmodus anschaut. Daher ist das für eine Datensicherung vollkommen unkritisch.
Es spricht auch nichts dagegen einen Scanner nachts über Datenbestände laufen zu lassen, insbesondere wenn man weiß, daß mit zunehmender Zeit die Erkennungsrate steigt.

Es ist bekannt, dass ein Scanner erst nach drei Monaten knapp 100 % Erkennungsrate erreicht, nur kann man leider nicht so lange warten. Vorher ist die Erkennungsrate eben relativ beliebig und ändert sich auch laufend. Die Erkennungsrate kann nächstes Jahr höher oder niedriger sein. Das kann man nicht vorhersagen.

Eben alles zufällig und relativ. Im Gegensatz zu einer Datensicherung. Da kann man sich drauf verlassen.