Kleine Firma vor Spam und Viren bewahren

[Alternativende]

Hallo zusammen,
ich verwalte ein kleines Unternehmen mit folgendem groben Aufbau:

Exchange 2007 auf Windows Server 2008 (als Smarthost sendet über Hostinganbieter und empfängt von Postfix)
Win7 Clients mit Outlook 2010 und Kaspersky Virenschutz
Debian Server holt die Mails mit fetchmail ab und verteilt sie mit Postfix

Das Problem ist nun das es immer mehr nette Spam, Phishing, Viren etc. per Mail bei uns eintrudeln und die meist erst auf den Clients von Kaspersky entdeckt werden. Zwar ist auch clamsmtpd eingerichtet aber das Teil scheint völlig nutzlos zu sein. Bisher hat es noch nie angeschlagen.

Meine Frage ist nun wie ich eurer Erfahrung nach da effektiver vorfiltern kann in so einem Setup. Ich würde gerne etwas effektives auf dem Debianserver einsetzen, es sei denn es macht mehr Sinn aus eurer Sicht das auf dem Exchange zu tun. Für Softwarevorschläge bin ich dankbar.

Gruß

[TRex]

Da du nicht am MX-Host sitzt, fallen alle Schutzmaßnahmen am selbigem schonmal weg... dir bleibt also nur Virenschutz und eine Antispamlösung wie Spamassassin oder dspam und optional amavis zum Zusammenführen.

Ich weiß nicht genau, was du wissen möchtest - dass du das brauchst, hast du schon gemerkt, neben clamav gibts einige kommerzielle Lösungen für Virenschutz unter Linux (gegen Windowsviren) - eine Liste davon findest du hier [1] (gibt ne Spalte "Linux").

Trivial ist so ein zentraler Filter nicht - du musst die Mails auf jeden Fall zustellen (im Firmenumfeld, zumindest, wenn du privaten Mailverkehr erlaubst) und du musst den Usern irgendwie ermöglichen, Mails zur Reklassifizierung zu markieren (beispielsweise über zwei Ordner HAM/SPAM, wo die Benutzer dann die Mails reinschieben). Die Trefferrate ist zu vergleichen mit dem Filter in Thunderbird - der nimmt auch "nur" bayes. Was du also ebenso trainieren musst, sind die Benutzer, das Filtern zu akzeptieren (mit all seinen anfänglichen Missgeschicken) und durch besagtes Training zu verbessern.

Und die technischen Aspekte solltest du vorher in ner VM ausprobieren. Ich fand die verschiedenen Arten der Integration von dspam in postfix beispielsweise ziemlich verwirrend.


[1] https://de.wikipedia.org/wiki/Antiviren ... ensoftware

[seep]

Für Softwarevorschläge bin ich dankbar.

Ich hänge mich mit meiner diesbezüglich weniger hilfreichen Antwort dran, weil mich das Thema auch brennend interessiert, behaupte aber, dass der wirksamste Schutz nicht am Server sondern beim User anfängt. Solange der Empfänger auf Links klickt oder Anhänge öffnet, hat man schon verloren. Meine Beobachtung im letzten Jahr war die, dass 100% der eingetroffenen verseuchten Anhänge nicht von Virenscannern erkannt wurden. Selbst zwei Tage verzögertes Hochladen bei Virustotal ergab nie Erkennungsraten über 50%.

Da ich mir erhoffe, auch endlich eine Lösung zu finden, die vorab schon den meisten Dreck wegputzt, schaue ich hier nun gespannt zu.

[heisenberg]

Da du nicht am MX-Host sitzt, fallen alle Schutzmaßnahmen am selbigem schonmal weg...

So schnell würde ich die effektivste Methode Spam zu reduzieren nicht wegwerfen. Ist das wirklich so? Ist wirklich keine Änderung des MX möglich? Man kann ja auch vor den Hoster noch etwas schalten.

Natürlich ist es wirksamser mehrere Massnahmen gleichzeitig zu nutzen(Am Server, Benutzerschulung, Spam/Ham-Training).

[BenutzerGa4gooPh]

Das Problem ist nun das es immer mehr nette Spam, Phishing, Viren etc. per Mail bei uns eintrudeln und die meist erst auf den Clients von Kaspersky entdeckt werden. Zwar ist auch clamsmtpd eingerichtet aber das Teil scheint völlig nutzlos zu sein. Bisher hat es noch nie angeschlagen.

Da brauchst du wohl eigentlich eine UTM- oder NG-Firewall. Unified Thread Management oder Next Generation soll bedeuten, dass ein Schutz durchgängig bis zum Client erfolgt. Die FW-Hersteller kaufen den Spam-/Phishing-/Virenschutz oft zu. Der wird aktuell gehalten.

Unified Threat Management (UTM) steht für vollständigen Schutz. UTM-Systeme filtern ein- und ausgehenden Netzverkehr, erkennen und verhindern Angriffe und sperren Viren in Quarantäne. Wenn sich eine Appliance um all diese Aufgaben kümmert, sollte sie zu den individuellen Ansprüchen genau passen.

http://www.admin-magazin.de/Das-Heft/20 ... und-Sophos

Hier noch einige Anbieter:
http://www.tecchannel.de/a/die-beliebte ... es,2028975

Nun hast du evtl. ein finanzielles Problem:

ich verwalte ein kleines Unternehmen ...

Web-Recherche bei den aufgeführten Anbietern für eine skalierbare oder angemessene Loesung entsprechend Firmengroesse/Clientanzahl. Ist mir bei meinen Recherchen schon über den Weg gelaufen.

Tipps:
VM aufsetzen und testen. Sophos (ehemals Astaro) habe ich selbst mal so probiert. War mir privat dann zu "oversized" - obwohl privat kostenfrei bis 50 IPs. Deutsches Handbuch.
Nach Auswahl und etwas Einarbeitung 30-Tage-Testversion auf Blech!
Man muss in einer Firma nicht alles selber machen. Wenn doch mal was passiert ... haften andere.
Beim BSI gibt es eine

Konzeption von Sicherheitsgateways

.

[weshalb]

Ixh wollte demnächst mal die unoffiziellen Signaturen von ClamAv ausprobieren. Bei Heise im Forum war heute zu lesen, dass der aktuelle Virus, der heute auf die Office-Lücke losgelassen wurde, damit erkannt wurde.

Was man ebenfalls machen kann, ist die Kunden zu bitten, z.B. nur PDF's zu schicken, sofern das möglich ist. Alles andere nach vorheriger Absprache.

Ich verschiebe in einem kleinen Büro beispielsweise alle Mails mit Anhang bei jedem User in den Ordner Prüfung, so dass er etwas sensibilisierter wird. Das mit dem globalen Spamlern- und NoSpamordner hat sich dort zumindest als Fehlgriff herausgestellt, da irgendwie keiner so richtig mitmachen möchte. Trotzdem habe ich dort mit Spamassassin eine Erkennungsquote von über 90%.

Und da nach wie vor so viel schief gehen kann, sind konsequente Backups in meinen Augen immer noch die erste Wahl, denn der Kampf gegen Viren scheint irgendwie verloren.

[heisenberg]

Man muss in einer Firma nicht alles selber machen. Wenn doch mal was passiert ... haften andere.

Na eine Sophos mit an Sicherheit grenzender Wahrscheinlichkeit nicht. Dafür werden die AGBs schon von ausreichend vielen Juristen aufgesetzt worden sein.

Aber einen Sicherheitsgewinn gibt es dadurch alle Mal. Und das gute Datensicherungskonzept ist der Rettungsanker.

[rendegast]

Was man ebenfalls machen kann, ist die Kunden zu bitten, z.B. nur PDF's zu schicken, sofern das möglich ist.

Damit fängt mensch sich irgendwann pdf mit javascript ein, wohl dessen Haupt-Angriffspunkt.
Das funktioniert je nach Version nur mit dem Adobe-Reader.
Wohl nur durch ein komplexes Zertifikatsmanagement abzusichern, ob da die Senderseite mitspielt / mitspielen kann?
Oder generell freigeschaltet, Aua.

Zentrales Virenscanning bedingt Aufbrechen der Ende-zu-Ende-Verschlüssellung, Aua.
clamav ist für nicht-hobby-Zwecke ungeeignet,
einfach mal eine neue Malware auf virustotal.com hochladen und eine Weile beobachten,
die Erkennnung von clamav ist meist unter den letzten bis nie.




Ein mir sinnvoller Ansatz scheint das Aufheben der Ausführungsrechte per group-Policy für die von den (NICHT-Admin!)Benutzern der (win)Clients beschreibbaren Verzeichnisse,
insbesondere deren %USERPROFILE%, zumindest deren
%*APPDATA% / "Anwendungsdaten" / "Lokale Einstellungen" / %Temp%.
Jegliche heruntergeladene Schadsoftware macht dann erstmal >GARNIX<.
Die Problematik liegt im Bestimmen der Ausnahmen davon,
zBsp. im USERPROFILE hinterlegte (und sich auch noch dynamisch wegen zBsp. Updates ändernde) Plugins wie
ActiveX oder firefox-Erweiterungen,
oder auch die obigen zugesendeten javascript-pdf.

Es gibt wohl Downloads, die rein im Arbeitsspeicher bleiben und sich auch von dort ausführen,
wie diese Orte im obigen Modell integriert werden können? Dazu kenne ich neueres windows zu wenig.

[seep]

Und da nach wie vor so viel schief gehen kann, sind konsequente Backups in meinen Augen immer noch die erste Wahl, denn der Kampf gegen Viren scheint irgendwie verloren.

Nicht ganz, ich bringe mal noch eine andere Variante ins Spiel.

Auf den (Windows-)Clients meiner Benutzer hier habe ich per isso!-Dekret Thunderbird durchgesetzt, als Browser fungiert eh immer schon Firefox. Da die Anzahl der Benutzer überschaubar ist (6), könnte ich auf dem natürlich vorhandenen Linux-Server jedem seinen eigenen Linux-Thunderbird per XDMCP-Single-Window per VcXsrv auf den Windows-Desktop zaubern. Auf dem Windows-Client sieht alles fast identisch aus, laufen tut aber alles im Linux-Kontext. Ein unbedachter Klick auf einen Link öffnet ebenso den Linux-Firefox, ein Klick auf ein PDF den Linux-PDF-Viewer. Will man von Windows-Seite an die Anhänge heran, sichert man sie in Thunderbird halt auf einen Netzwerk-Share, im einfachsten Fall das per Samba erreichbare Home-Verzeichnis.

Was mir nicht klar ist, wie viel Netzwerktraffic da erzeugt wird, wenn alle Benutzer per XDMCP ihre entfernt laufenden Fenster auf den Windows-Rechner holen und ob ich mir damit das Netz verstopfe.

[BenutzerGa4gooPh]

Na eine Sophos mit an Sicherheit grenzender Wahrscheinlichkeit nicht. Dafür werden die AGBs schon von ausreichend vielen Juristen aufgesetzt worden sein.

Da hast du sicher Recht - in Bezug auf alle Anbieter. Einem kleinen Sysadmin jedoch kann der Chef keinen Anschiss erteilen oder gar in Arbeitnehmerhaftung nehmen, wenn Profis, deren Hauptgeschäft Sicherheit für viele Kunden ist, irgendwas nicht im Griff haben (können). Des Weiteren haben Sysadmins wohl mehr zu tun, als sich ganztägig/zeitaufwändig mit Sicherheit zu befassen. Es gibt Dinge, die überlässt man besser Profis. Autos feilen wir auch nicht selber, reparieren sie nicht mal mehr selber.
Professionelle Systeme bieten auch Revisionssicherheit. Weiß nicht, was rechtlich getan werden muss, z. B. bei Deep Packet Inspection (https), zentralem Mail Scanning, Man in the Middle ... .

Und das gute Datensicherungskonzept ist der Rettungsanker.

Genau. Und hierfür trägt der Admin volle Verantwortung - so die Geschäftsleitung nicht daran geizt!

[Alternativende]

Danke für die rege Diskussion, ich bemühe mich mal das zusammenzufassen.

Möglich wäre eine Lösung alá Sophos oder Endian, beides kostet aber vermutlich nicht gerade wenig Geld. Daher wird das ohne "konkreten Nutzen" eher schwierig sein genehmigt zu bekommen (Ja würde ich mir auch anders wünschen aber so sieht es vermutlich aus).

Ein Umstieg auf Thunderbird scheidet zum einen Aufgrund des Exchangeserver´s aus und zum anderen wegen der Gewöhnung der User etc.. Ich verwende Thunderbird mit davmail zwar auch an einem Exchangeserver, aber für die Masse der User ist das sicher nicht praxisrelevant.

Gute Backups sind Pflicht und werden natürlich gemacht. In unserem Fall mit Bareos, das läuft auch recht gut.

Grundsätzlich alles außer PDF-Anhänge zu sperren scheint mir derzeit am sinnvollsten zu sein zumindest gegenüber Locky und Co.. Wie ich das in meiner Konstellation allerdings praktikabel umsetzen kann weiß ich nicht.

Alternative Quellen für clamav fände ich eine gute Idee, wenn es da wirklich gute brauchbare Signaturen gibt. @weshalb kannst Du da mal genauer berichten?

Den Hostingunternehmer werde ich auf jeden Fall kontaktieren und um zentrale Spamabwehrmaßnahmen fragen. Ein umschreiben des Betreffs [SPAM] und eine Löschung von verseuchten Mails direkt dort fände ich sehr sinnig. Lernende Spamfilter wären sicherlich auch sehr nett, aber bestimmt schwierig umzusetzen.

Edit:
Ach im übrigen ist als Firewall IPFire im Einsatz, in dem Maßstab wie Sophos kann die uns aber sicher nicht schützen.

[scientific]

@seep, x2go erlaubt auch die Einzelfensterfreigabe, benutzt das nx-Protokoll.

Ich hab das testweise eine Zeit lang verwendet. Man muss nur den Ton deaktivieren, sonst sind die Menüs in Mozillen grottenlangsam, azfgrund des fehlenden Sounddevices unter Windows. Ein äußerst seltsamer Zusammenhang...

Lg scientific

[uname]

Kannst du nicht besser umgekehrt innerhalb von Debian einfach Windows virtualisieren?

[heisenberg]

Hier auch nochmal der kürzliche Thread zum fast Thema Anti-Spam:

Debianforum: Mailgateway für Antispam

[uname]

Ich halte mittlerweile Webmailer für weit sicherer und praktischer als entsprechende Client-Anwendungen. Der größte Vorteil von z.B. Roundcube [1][2] ist aber, dass E-Mails generell nur als TXT angezeigt werden und nur bei manueller Aktivierung integrierte HTML-Objekte wie Bilder mit benutzerindividuellen Spam-URL-meine-E-Mail-Adresse-existiert-noch-Links nachladen. Werden bei Euch HTML-E-Mails erlaubt bzw. angezeigt? Ich hoffe nicht.

Nun müsste man nur noch den Browser virtualisieren bzw. in eine Sandbox packen.

[1] https://roundcube.net
[2] https://de.wikipedia.org/wiki/Roundcube

[seep]

@seep, x2go ... Menüs in Mozillen grottenlangsam

per XDMCP läuft das flott, Gigabit-Netz vorausgesetzt.

Kannst du nicht besser umgekehrt innerhalb von Debian einfach Windows virtualisieren?

Es gäbe ja mehrere Möglichkeiten: per Remote-Bedienung (wie oben), Debian unter Windows virtualisiert, Windows unter Debian virtualisiert, Wine. Virtualisierung und Emulation ist aus Komfortgründen zumindest für meine Benutzer keine Alternative. Die Remotebedienung wäre hingegen transparent. Ich lege denen ein Icon auf den Desktop und ins Starmenü, das nicht den lokalen sondern den entfernten Thunderbird (oder Evolution oder younameit) startet und die merken bis auf ein paar unterschiedliche oder ausgefransten Schriften keinen Unterschied.

Mir (und dem TE) wäre es lieber, der Mist und Müll würde erst gar nicht im Postfach des Benutzers landen, und darum soll es ja hier wohl eher gehen.

[Alternativende]

Richtig. Virtualisierungen und andere Clients sind leider alle nicht so komfortabel wie ein Klick auf Outlook und alles ist wie immer...

[uname]

Kann man in Outlook nicht einfach alle Dateiendungen auf den Mime-Type "application/octet-stream" setzen, so dass Windows die zugehörigen Anwendungen nicht mehr erkennt? Oder umkehrt wie bei IIS mit mimeMap serverseitig auf "application/octet-stream"setzen? Dann muss der Anwender jede Datei einzeln erst mal abspeichern.

[BenutzerGa4gooPh]

Möglich wäre eine Lösung alá Sophos oder Endian, beides kostet aber vermutlich nicht gerade wenig Geld.

Vermutlich oder recherchiert?
Gibt auch Foren von Berufskollegen, die auch nicht um Windows "rumkommen". Ähnliche Fragen in Vergangenheit: https://www.administrator.de/

[Knorkator]

Wir setzen die Software Restriction Policies von MS ein um das Ausführen von Dateien zu unterbinden.
Die "normalen" Benutzer können bei uns keine cmd.exe, powershell, cscript, wscript starten.
Wird doch mal eine .exe oder .msi aus dem Internet benötigt, kann diese in den c:\temp Ordner kopiert werden.
Dort können solche Dateien gestartet werden, dann aber auch nur mit Adminkonto.

Funktioniert bis auf Kleinigkeiten sehr gut und bietet meiner Meinung nach einen wirksameren Schutz vor Infektionen als ein Viren/Spamfilter.
Aktuell habe ich hier eine Mindmap-Software welche Java Dateien unbedingt im User-Temp-Ordner erstellen/ausführen möchte, da muss dann schonmal nachkonfiguriert werden.

Infizierte Mails bzw. deren Anhänge die an der NG-Firewall und am Eset AV-Filter vorbeigekommen sind, wurden bei Virustotal teilweise erst nach 2 Tagen von den bekannten Scannern erkannt.
Die SRPs bieten einen sehr guten Schutz!

https://kurtsh.com/2012/03/23/news-nsas ... s-windows/

[scientific]

Ein unbekanntes Programm mit Adminrechten ausführen zu lassen... Ob das soviel Schutz bietet?

[uname]

Der Ansatz ist gut. Dem Anwender so viel wie möglich verbieten. Als Administrator sollte man sowas aber nur dann ausführen, wenn Administrator-Rechte benötigt werden. Man muss natürlich vorher die Prüfsumme überprüfen. Natürlich nicht mit der Prüfsumme auf dem identischen (möglicherweise gehackten) Webserver, sondern aus einer alternativen Quelle. Manchmal reicht es bei Google nach der Prüfsumme zu suchen. Wer Geld für Software bezahlt sollte diese Prüfsumme im übrigen über die zugehörige Hotline in Erfahrung bringen können. Dieser Anruf hilft weit mehr als jeder Virenscanner. Software würde ich im übrigen ähnlich wie bei den Debian-Repositories aufgrund der Prüfsummen eher whitelisten (Verwaltung erlaubter Software) als blacklisten (Suche nach Malware z.B. bei Virustotal). Keine Ahnung ob bei Windows diese Möglichkeiten vorgesehen sind. Gibt es dort nicht auch mittlerweile eine Art AppStore? Wobei eigentlich müsste man ja nur die zugehörigen (sicheren) Prüfsummen verwalten. Wo die Dateien am Ende liegen ist eigentlich egal.

[cougar]

Also, ich hab keine ahnung von Mailservern etc., aber ich hab seit rd. 1,5 Jahren bei mailbox.org mein Mailkonto,
seit dem nicht eine Spammail, kein Dreck mit Viren im Anhang usw usw., kostet mich als Privathansel genau 1,-/Monat,
vielleicht wäre das ja schon was... ich bin da echt zufrieden, vorher hatte ich min 20x Schrott/Tag im Postfach, jetzt gar
keinen mehr.... gibt es eigentlich noch Viagra, echte Rolex für 25,- oder scharfe Nachbarinnen die ein Date wollen? Bin
da gar nicht mehr up to date

[TRex]

gibt es eigentlich noch Viagra, echte Rolex für 25,- oder scharfe Nachbarinnen die ein Date wollen? Bin
da gar nicht mehr up to date

Als "cougar" solltest du das doch wissen *duck und weg*

[weshalb]

Heute wieder ein Fall in einem Autohaus bei mir in der Nähe: 1 Mailanhang geöffnet und ein Verschlüsselungstrojaner konnte sämtliche Profile der Mitarbeiter, sowie die Backups verschlüsseln. Bei solchen Konstellationen gehe ich stark davon aus, dass die Administratoren schon im Vorfeld stark geschlampt haben dürften, da es keine physikalische Trennung der Backups gab, vom völlig falschen Rechtemanagement ganz zu schweigen.

Seltsamerweise findet man solche Szenarien tatsächlich recht häufig am Markt. Ich möchte niemanden etwas unterstellen, aber ich könnte mir gut vorstellen, dass genau die gleichen Admins jetzt in der selben Bude für den Neuinstall genug Geld scheffeln, schließlich war der Trojaner "schuld".