Viren-Warnhinweise: Verseucht oder nicht ?


Thomas Wölfer
Thomas Wölfer

30. März 2004


Eine Frage die ich in letzter Zeit häufiger gehört habe ist die: Ich bekomme immer so Hinweise von irgendwelchen Leuten die besagen das ich eine Virusverseuchte Mail verschickt habe. Was mache ich denn nun?

Solche Benachrichtigungen sehen beispielsweise folgendermassen aus:

A mail sent by you has been identified as suspicious by MailMonitor for Exchange.

Event: infection
Action: Message quarantined
Message ID: <
RAILSRV01h5q7AYQkv300000001@railsrv01.Railways.TU-Berlin.de>
Message subject: stolen
Recipient: "
****@railways.tu-berlin.de" <***@railways.tu-berlin.de>

=============================================================

Attachment information:
Event: infection 
Action: Unable to disinfect
Filename: release.txt.com
Virus: W32/Netsky-B
=============================================================

Was bedeutet das ?

Zunächst einmal haben wir hier also einen Mailserver (in diesem Fall ein Microsoft Exchange) der mit einem Antiviren-Programm ausgestattet ist. (MailMonitor in diesem Fall). Der MailMonitor untersucht alle eingehenden Mails und hat dann eine entdeckt in der ein Virus enthalten war. (W32/Netsky-B).

Also hat der MailMonitor diese Mail gelöscht und sie dem Empfänger nicht zugestellt. Das ist löblich, denn so kann der nicht auch noch infiziert werden. Was dann passiert ist weniger löblich: Der MailMonitor erzeugt eine neue Mail mit dem Hinweis auf den Virus und schickt ihn an die Absender-Adresse der Mail.

Darum hat man diesen Hinweis dann in seiner Mailbox. Nur ist es aber so, das praktisch alle Mailwürmer gefälschte Absender-Adressen verwenden. (Das fälschen von eMail-Absendern ist auch nicht schwieriger als die Angabe einer richtigen Adresse! Wie das geht ist hier ganz gut beschrieben.)

Resultat: In den allermeisten Fällen bekommt ein völlig Unschuldiger einen entsprechenden Hinweis - und sucht unter Umständen verzweifelt nach dem Virus auf dem eigenen Rechner! Man würde sich wünschen, die Mail-Administratoren würden das versenden dieser Benachrichtigungen unterlassen.... Es gilt also: Meist gibts überhaupt kein Problem.

In diesem Zusammenhang...

Wenn Ihre Antiviren-Software (Sie verwenden doch einen Antirvirensoftware, oder ?) Ihnen mitteilt das Sie eine virenverseuchte Mail von D.I.E. erhalten haben, dann liegt das auch immer daran, das jemand einen gefäschten Absender verwendet hat - in diesem Fall einen von D.I.E..

Alle Mails die duch unseren Mailserver gehen - egal ob es sich um ein- ode ausgehende handelt - werden auf unserem Mailserver auf Viren untersucht. Der wird alle 40 Minuten (!) mit neuen Virensignaturen ausgestattet (von hier), und das vollautomatisch. Natürlich kann man nicht zu 100% ausschließen das mal ein Virus durchkommt - doch bis heute ist das noch kein einziges Mal passiert, und ich bin auch relativ zuversichtlich das das auch in Zukunft nicht passieren wird.

Wenn Sie auch einen eigenen Mailserver mit Antivirus (und Anti-Spam) Software wollen: Ich empfehle den MDaemon von Alt-N.