Verbesserte E-Mail Sicherheit Mit Procmail

Einführung

Back to the home page

Wenn Sie einem Link in einer SECURITY WARNING Email nachgegangen und hier gelandet sind, dann fragen Sie sich wahrscheinlich, was passiert ist.

Um es kurz zu machen, der Email-Administrator der Empfängerseite, zu der Sie Ihre Email gesandt haben, hat einige Sicherheitsrichtlinien für Dateinanhänge, welche als akzeptabel und welche als möglicherweise gefährlich einzustufen sind, aufgestellt. Wenn man sich die geschätzten Kosten von Microsoft Outlook Email Viren für Anfang 2001 ansieht - 8 Milliarden Dollar - dann können Sie sicherlich nachvollziehen, warum er dies getan hat. (Diese Zahl ist aus einem Artikel auf der CNNfn Webseite, früher August, 2001)


"Aber ich habe keine solche Email geschickt!" sagen Sie jetzt bestimmt. Wahrscheinlich haben sie auch keine verschickt und es behauptet auch niemand das Sie soetwas getan haben - diese Benachrichtigung ist ein erstes Zeichen dafür, dass etwas mit Ihrem Computer nicht stimmen könnte. Es gibt zwei Möglichkeiten:

Die erste ist das ihr Computer mit einem der Microsoft Email Viren infiziert wurde, und dieser jetzt ohne Ihr Wissen andere Leute angreift. Dieses Virus Programm gibt sich für Sie in der Hoffnung aus, dass andere Leute der Email, die von Ihnen zu kommen scheint, vertrauen und sich so selbst infizieren, indem sie den Dateianhang öffnen, den "Sie" ihnen geschickt haben.

Die andere Möglichkeit ist das ein Computer mit dem Sie Email ausgetauscht haben infiziert worden ist, und der Wurm nun Ihre Email Adresse zufällig aus dem Adress Buch des Empfängers ausgewählt hat um sie als Absender für seine Attacken einzutragen, um den wahren Ursprung dieser Attacken zu verschleiern. Dies führt zu Benachrichtigungen die offensichtlich falsch sind, z.B. für Mac oder Linux Benutzer die angeblich mit einem Microsoft Outlook Email Wurm infiziert seien.

Die am weitesten verbreitesten Microsoft Outlook Email Würmer Mitte 2003 sind SoBig (by far), BugBear, MiMail und Klez, und einige ältere Email Würmer wie z.B.SirCam, BadTrans, Goner, Aliz, Magistr, Apost und Nimda sind immer noch unterwegs und attackieren andere Benutzer. Besuchen Sie diese Seiten und laden Sie die dortigen Desinfektionsprogramme herunter und lassen Sie diese auf Ihrem Rechner laufen.

Um sich gegen zukünftige Attacken zu schützen, sollten Sie ein Antivirus Programm installieren und die Viren-Signaturen aktuell halten. Stellen Sie auch sicher, dass Ihr Antivirus Programm keine Dateien von der Suche ausschließt. Vielleicht möchten Sie das auch anderen Leuten nahelegen, mit denen sie per Email kommunizieren, so dass ihre Computer nicht infiziert werden und dann womöglich andere Leute in Ihrem Namen attackieren.

Wenn Sie jemals eine Email empfangen, in der behauptet wird, sie enthalte ein Betriebssystem- oder Programm-Update, dann VERTRAUEN SIE DEM DATEIANHANG NICHT. Software Hersteller vertreiben keine Updates per Email, aber sie geben möglicherweise die Existenz solcher per Email bekannt. Wenn Sie jemals eine Email empfangen, die sagt "Ich hatte einen Virus, hier ist eine Kopie des Antivirus-Programmes", dann VERTRAUEN SIE DEM DATEIANHANG NICHT. Dies ist gerade die Art und Weise, wie sich solche Virus-Programme Ihnen gegenüber ausgeben können, um lange genug Ihr Vertrauen zu gewinnen, so dass Sie daraufhin den Dateianhang öffnen, um Ihren Computer zu infizieren.


"Warum kann ich meinen Dateianhang nicht öffnen?" fragen Sie sich. Wenn der Name des Dateianhanges das Wort "DEFANGED" enthält, dann hat Ihr Administrator eine Sicherheitsrichtlinie umgesetzt, um Sie vor solchen Attacken zu schützen. Der Inhalt des Dateianhanges wurde nicht in irgendeiner Weise geändert. Das einzige, was passiert ist, dass der Name des Dateianhanges verändert wurde, um Sie daran zu hindern, reflexartig den Anhang mit einem Doppel-Click zu öffnen.

Das ist der Weg, auf dem sich diese Viren vermehren. Sie vertrauen auf den Doppel-Click Reflex, den grafische Benutzeroberflächen Ihnen geben. "Hey! Ein Dateianhang! {click-click}". Wenn Sie nicht zuerst nachdenken, dann wird Ihnen entgehen, dass diese Email möglicherweise von einem völlig Fremden kommt, der keinen guten Grund hat, Ihnen irgendeine Datei zu schicken. Das ist ein Grund, warum der Dateiname geändert wurde - um Sie dazu zu bewegen, zuerst darüber nachzudenken, ob Sie diesen Dateianhang öffnen sollten.

Der zweite Grund ist, dass wenn Sie Antiviren-Software haben, dann kann diese beim Abspeichern des Dateianhanges eine Chance bekommen, diese auf Viren zu untersuchen. Wenn Sie diese direkt aus Ihrem Email Programm öffnen, dann kann es passieren, dass eine Untersuchung unterbleibt.

Der dritte Grund ist, dass Microsoft in seiner unendlichen Weisheit entschieden hat, dass Sie gar nicht alles von dem Dateinamen zu sehen brauchen. Windows hat eine Option, die "Verstecken von bekannten Dateiendungen" heißt. Diese Option ist normalerweise eingeschaltet. Ein Angreifer kann sich dies zum Vorteil machen, indem er einen Dateianhang zum Beispiel VIRUS.TXT.EXE nennt, was von Windows als VIRUS.TXT angezeigt wird, so dass Leute annehmen, es sei sicher diesen Dateianhang zu öffnen, da er ja mit .TXT endet - nur endet der echte Dateiname (den Windows hilfreicherweise vor Ihnen versteckt) ja gar nicht auf .TXT, so dass, wenn Sie den Dateianhang öffnen, gar nicht Notepad gestartet wird. Stattdessen wird Ihr Computer infiziert und fängt an, andere anzugreifen.

Ein großer Schritt, den Sie tun können, um sich selbst zu schützen, ist das Verstecken der Dateiendungen abzuschalten. Öffnen Sie Mein Arbeitsplatz, clicken Sie auf Ansicht -> Optionen, wählen Sie den Ansicht-Reiter, und entfernen Sie die Markierung bei "Verstecken von bekannten Dateiendungen".

Das Umbenennen des Dateianhanges durch das Filterprogramm erzwingt, dass der volle Dateiname angezeigt wird und wenn Sie einen Dateianhang empfangen, der VIRUS.TXT.12345DEFANGED-EXE heisst, dann sollten bei Ihnen die Alarmglocken läuten.

Manchmal werden werden auch legitime Dateianhänge umbenannt - zum Beispiel DIES_IST_KEIN_VIRUS.ETC.12345DEFANGED-DOC kann ein völlig normales Dokument sein.

Um einen solchen Dateianhang zu speichern und den Dateinamen wieder richtig zu stellen, clicken Sie mit der rechten Maustaste auf den Dateianhang und wählen Sie "Speichern unter...". Ein Dialogfenster mit dem umbenannten Dateinamen wird angezeigt. Wählen Sie ein Verzeichniss, in dem Sie die Datei speichern wollen, und in dem Fenster, in dem der Dateiname angezeigt wird, entfernen Sie einfach den "DEFANGED"-Anteil. Zum Beispiel: Wenn der Dateianhang in DIES_IST_KEIN_VIRUS.ETC.12345DEFANGED-DOC umbenannt wurde, dann löschen Sie einfach 12345DEFANGED- aus dem Dateinamen, um den originalen Namen DIES_IST_KEIN_VIRUS.ETC.DOC wiederherzustellen - dann können Sie die Datei ganz normal öffnen.

Die Grundeinstellung dieses Filterprogrammes ist auf "hohe Sicherheit" eingestellt, welche möglicherweise ein wenig zu hoch für einen Internet Provider ist. Wenn Sie ein privater Nutzer sind, und .EML (weitergeleitete Emails) und .VCF (V-Card) Dateianhänge umbenannt werden, dann kontaktieren Sie bitte die Hotline Ihres Internetproviders und bitten Sie ihn, die Einstellungen ein wenig herunterzusetzen.


"Aber ich will doch nur diese Datei schicken, ich habe sie mit einem Anti-Virus Programm untersucht und es ist alles in Ordnung. Warum wird sie abgewiesen?" fragen Sie sich. Anti-Virus Programme sind reaktiv - der Antiviren-Hersteller braucht eine Kopie des Virus, um danach suchen zu können. Dieser Prozess kann einige Tage dauern, bevor man eine neue Version der Virus-Signaturen herunterladen und so das Virus finden kann. Das heisst, dass Ihr Computer für ein neues Virus - oder eine neue Variante eines Virus - für einige Tage anfällig sein kann. Wenn man sich überlegt, dass ein Email Virus sich weltweit innerhalb von zwei Tagen verbreiten kann, dann ist das einfach nicht schnell genug. Das heisst auch, dass wenn die Virus-Signaturen nicht regelmässig erneuert werden, dass Ihre Anti-Virus Software nicht in der Lage sein wird, ein neues oder Varianten eines Virus zu erkennen. Viele Leute aktualisieren diese Virus-Signaturen nicht nach der anfänglichen 30- bis 60-tägigen Einführungsphase. Viele Hersteller erlauben das manuelle Herunterladen ihrer Signatur Dateien sowie eine Neuinstallation der Anti-Virus Software führt in der Regel zu einer Aktualisierung der Signaturen und einer erneuten 30- bis 60-tägigen Einführungsphase für die Aktualisierung von Signaturen.

Dieses Filterprogramm andererseits ist ein proaktives Programm, dass eine Sicherheitsrichtlinie durchsetzt. Der Administrator des EMail Systems hat die Risiken abgewogen und entschieden, dass bestimmte Typen von Dateianhängen einfach ein zu großes Risiko darstellen. Auf diesem Wege werden alle Viren, die auf einen ausführbaren Dateianhang setzen, um sich zu verbreiten, an diesem Email Server gestoppt. Dieses Ablehnen eines Dateianhanges heißt nicht, dass dieser infiziert sein muss. Es heißt vielmehr, dass eine bestimmte Klasse von Dateien einfach ein zu großes Risiko darstellt.

Wenn Sie einen Dateianhang an diesem Filter vorbeischicken möchten, dann müssen Sie diesen in einer Weise verpacken, so dass er nicht direkt ausführbar ist. Anstelle einer direkt ausführbaren Datei können Sie diesen zum Beispiel mit Hilfe von WinZip, StuffIt oder ähnlichen Archivierungsprogrammen packen. Wenn Sie bereits einige Dateien auf diese Weise verschicken, dann machen Sie aus dem Archiv keinesfalls eine ausführbare .EXE Datei. Wenn Sie etwas verschicken möchten, dass öffentlich verfügbar ist (zum Beispiel Elf Bowling XXXVII), dann sollten Sie die URL, von der die Datei bezogen werden kann, anstelle der Datei selbst verschicken. Wenn Sie Dateien verschicken, an der möglicherweise mehrere Leute Interesse haben (Ihre Urlaubs-Fotos oder neue Baby-Bilder), dann sollten Sie diese auf Ihre Homepage stellen (die meisten Internet Provider stellen dies als Teil Ihres Angebotes zur Verfügung) und schicken Sie die URL anstelle der Dateien.


Bitte beachten Sie:

Der Email-Administrator entscheidet über die Sicherheitsrichtlinien, nicht ich! Wenn Sie ein Problem mit der Umbenennung von Dateianhängen haben, dann sollten Sie sich an Ihren Administrator wenden. Ich kann ihm dabei helfen, die richtigen Einstellungen zu finden, aber ich kann sie nicht für Sie einstellen oder gar abschalten, wenn Sie das Umbennen stören sollte. Es ist auch kein Abo-basierter Dienst, den ich für Sie abschalten könnte!


Der Autor des Filterprogramms kann unter der Email-Adresse mailto:jhardin@impsec.org erreicht werden - Sie können auch meine home page besuchen. Übersetzung von Markus Breitenbach.