[Postfixbuch-users] gewollte Mailverzoegerung mit Postfix
Uwe Driessen
driessen at fblan.de
Sa Apr 21 20:54:14 CEST 2007
Andreas Winkelmann schrieb:
> Aber der OP wollte jede Mail um 30-60 Minuten verspätet annehmen bzw. durch
> den Virenscanner schicken und das wird mit dem normalen Greylisting nicht
> ermöglicht. Die einzige sinnvolle Möglichkeit ist Mails per default auf Hold
> zu setzen und sie einzeln nach der entsprechenden Wartezeit per Script aus
> der Queue freizugeben.
>
Hast du dem OP mal versucht zu erklären das dieser sehr fragwürdige Sicherheitsvorteil mit
einer massiven Einschränkung erkauft wird und es evtl. wesentlich besser und vor allen
dingen wesentlich effektiver und sicherer ist die die Mails einliefern dürfen genau zu
selektieren/einzuschränken.
Analyse:
1.) woher kommen verseuchte Mails,
2.) wie ist deren Verbreitung,
3.) wie arbeiten diese Trojaner und Viren.
4.) wie werden diese in der Regel gefunden
Zu 1. in der Regel nicht von "offiziellen" Mailservern sondern über eine lokale Engine des
befallenen Rechners
Gegenmaßnahme keine Annahme von Mails aus Dialinnetzen, von Rechnern ohne reverse DNS,
Ohne FQN HElO Eintrag, keine Mails mit Anhang von Dateien welche auf den Zielrechnern
ausführbar sind.
Alle Mails grundsätzlich nur als Text versenden und bei HTML ebenfalls nur als Text
anzeigen. Die Mailclients entsprechend konfigurieren.
Zu 2.) sehr schnell wenn 1 nicht beachtet wird. Und da der Virenschreiber nicht erkannt
werden möchte wird er sich die Mühe machen über unbekannte Dialinnetze seine
Identität zu verschleiern. Ist im Prinzip das gleiche vorgehen wie bei den
Spamern.
Also sollte das was gegen die Spamer hilft auch gegen diese Kriminellen helfen.
Zu 3.) gibt es Tonnen an Websites im Netz
Zu 4.) alte sind in den meisten Virenscannern schon enthalten,
neue meistens zufällig oder über Heuristik (sofern das Verhalten den bisherigen
ähnelt). 95% der Trojaner/Viren kommen von Scriptkiddies aus dem Baukasten und
werden in der Regel auch von einem aktuellen Virenprogramm erkannt.
Kommt ein gänzlich neuer Virus/Trojaner auf haben alle Engines in der Regel erstmal
Sendepause. Was nicht bekannt ist oder etwas anderem ähnlich ist kann nicht gefunden
werden. Und wird der gefunden ist er in der Regel schon mal mehr wie 1-2 Tage in der
Verbreitung. (da war doch so einer der von den Philippinen kam und tausende Rechner selbst
Tage nachdem schon über die Medien gewarnt wurde noch lahmgelegt hatte)
Z.T. existieren Viren/Trojaner im Netz welche schon seit einiger Zeit eingesetzt werden
und auch noch in Zukunft eingesetzt werden können weil
a. sehr gut versteckt
b. nur auf bestimmte Firmen angesetzt wurden (Wirtschaftsspionage)
c. noch nie auffällig wurden.
Irgendeine Bundes Behörde testet doch schon den Einsatz solcher Trojaner zur
Verbrechensbekämpfung. Keiner weis auf welchen Rechnern das Teil schon angekommen ist und
wo im Einsatz oder auch nicht. Und zur zeit wüsste ich nicht das auch nur eins der
aktuellen Virenschutzsoftware solche Teile schon gefunden hätten.
Ergo Mach aus der Zeitverzögerung 5 Jahre dann haste evtl. Glück und die Viren oder
Trojaner treffen dann auf ein System das sie nicht mehr kennen oder Ihre einsatz hat sich
überholt *gg
Der OP der sich da einen Schutz von verspricht Mails 3-12 Stunden zu verzögern kann man
nur als blauäugig (und evtl. auch noch Blond?) bezeichnen. Nicht böse sein aber ist meine
Meinung dazu, und darf auch gerne so zitiert werden
Der Aufwand den man für ein solches System treiben muß um da nur eine 0,01%tige Chance zu
bekommen einen Virus/Trojaner dann zu erkennen ist nicht gerechtfertigt. Persönlich halte
ich diese vorgehensweise wie viele andere hier auch für blanken Unsinn.
Also anderes Konzept wie Peer schon angeregt hat und wie z.B. unter zu 1. angefangen zu
beschreiben .......
Peer hatte sich ja schon angeboten einen solchen 50 Zeiler zu schreiben *gg aber bitte
nicht mir schicken.
Mit freundlichen Grüßen
Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045 Fax: 06708 / 661397
Mehr Informationen über die Mailingliste Postfixbuch-users