Kaspersky Anti-Virus® 5.5 for Linux, FreeBSD and OpenBSD Mail Servers
(im Folgenden auch Kaspersky Anti-Virus
Mail Servers genannt) dient der Antivirenbearbeitung des Mailverkehrs und der
Dateisysteme von Servern, die mit den Betriebssystemen Linux, FreeBSD oder
OpenBSD arbeiten und eines der folgenden Mailprogramme verwenden:
sendmail, postfix, qmail, exim.
Das Softwareprodukt erlaubt:
• Virus-Untersuchung aller gemounteten Dateisysteme, sowie von
eingehenden und ausgehenden E-Mail-Nachrichten als Teil des SMTPVerkehrs eines Servers.
• Erkennen infizierter, verdächtiger, beschädigter und durch Kennwort
geschützter Dateien, sowie von Dateien, durch deren Untersuchung ein
Fehler auftrat.
• Ausführen der Antivirenbearbeitung (Desinfektion) infizierter Objekte von
Dateisystemen und E-Mail-Nachrichten.
• Verschieben von infizierten, verdächtigen und beschädigten Objekten der
Serverdateisysteme und dessen Mailverkehrs in ein Quarantäne-verzeichnis. Für den Mailverkehr können zusätzlich durch Kennwort
geschützte Dateien sowie Dateien, bei deren Untersuchung ein Fehler
auftritt, in die Quarantäne verschoben werden.
• Bearbeitung des Mailverkehrs in Übereinstimmung mit den Regeln, die für
Absender-Empfängergruppen festgelegt wurden.
• Organisation der zusätzlichen Filterung des Mailverkehrs nach Namen
und Typen der angehängten Dateien, und Anwendung separater
Bearbeitungsregeln auf ausgefilterte Objekte.
• Benachrichtigung von Absender, Empfänger und Gruppenadministrator
über eine Mail-Nachricht, die ein infiziertes, verdächtiges u.a. Objekt
enthält.
• Aktualisierung der Antiviren-Datenbanken. Als Updatequelle für die
Datenbanken dienen die Updateserver von Kaspersky Lab.
®
, Kaspersky Anti-Virus® for Unix
Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 6
Die Antiviren-Datenbanken werden während des Such- und Desinfektionsprozesses infizierter Dateien verwendet. Auf Basis der in den Datenbanken enthaltenen Einträge wird während der Untersuchung jede Datei
auf das Vorhandensein von Viren analysiert: Der Code der Datei wird mit
einem Code verglichen, der für einen bestimmten Virus charakteristisch
ist. Wenn eine Datei infiziert ist, führt das Programm seine Desinfektion
durch.
Es wird darauf hingewiesen, dass jeden Tag neue Viren auftauchen. Deshalb empfehlen wir, die Antiviren-Datenbanken täglich
zu aktualisieren, um den aktuellen Status des Produkts zu
gewährleisten.
• Konfiguration von Kaspersky Anti-Virus® über die Web-Oberfläche des
Programms Webmin und über die Konfigurationsdatei des Produkts.
1.1. Was ist neu in Version 5.5
In der Version Kaspersky Anti-Virus 5.5 for Linux, FreeBSD and OpenBSD
Mail Servers wurden im Vergleich zu Version 5.0 folgende Änderungen
vorgenommen:
• Neue Technologien zum Download der Antiviren-Datenbanken und
Programmmodule der Anwendung wurden integriert, darunter auch die
Integritätskontrolle der heruntergeladenen Datenbanken. Dadurch lassen
sich Einsparungen im Netzwerkverkehr erreichen (die Parameter wurden
der Komponente keepup2date hinzugefügt).
• Hinzugefügt wurde eine Option zum Erstellen eines Speichers für
Sicherheitskopien (Backup), in dem Kopien verdächtiger oder infizierter
Objekte vor der Desinfektion oder dem Löschen gespeichert werden
können. Dadurch lässt sich der Verlust von Originaldaten verhindern, falls
bei der Desinfektion unvorhersehbare Situationen eintreten.
• Um die Serverbelastung bei der Antivirenuntersuchung zu verringern,
wurden die Technologie iChecker und die zweistufige Cache-Speicherung
untersuchter Objekte integriert.
• Nun ist mit Hilfe des Programms Webmin die Anzeige einer Statistik über
die Virenaktivität für einen bestimmten Zeitraum möglich. Außerdem
können die Typen der Viren angezeigt werden, die bei der
Antivirenuntersuchung gefunden wurden.
• Eine Option zur Begrenzung der Anzahl von gleichzeitig im
Hintergrundmodus untersuchten Objekte wurde hinzugefügt. Dies erlaubt
eine Optimierung der Serverbelastung.
7 Kaspersky Anti-Virus
• Eine Option zur Generierung einer Liste der erkennbaren Viren wurde
hinzugefügt.
• Eine Option zur Auswahl des Protokolls (smtp oder Imtp) für die Funktion
der Komponente smtpscanner wurde hinzugefügt.
• Bei der Verwendung des Protokolls smtp wurde eine Option zur
Empfangsbestätigung für den Absender einer E-Mail-Nachricht realisiert.
• Hinzugefügt wurde eine Option, die es erlaubt, für jede Nachricht die
Virennamen und den ID-Code der Nachricht in einer Protokolldatei über
die Arbeit der Komponente smtpscanner zu speichern.
• Die Lizenzierungspolitik für die Anwendung wurde geändert. Es ist nicht
mehr notwendig, eine Liste der lizenzierten Benutzer zu erstellen und zu
aktualisieren. Diese Liste wird nun automatisch erstellt und gepflegt.
• Hinzugefügt wurde eine Option zur Auswahl des Typs der AntivirenDatenbanken (Standard-Datenbanken, erweiterte oder redundante
Datenbanken). Dabei kann der Typ der zu verwendenden AntivirenDatenbanken für jede Komponente der Anwendung separat festgelegt
werden.
• Zur Verwendung in Benachrichtigungen wurde ein neues Makro
hinzugefügt, welches das Einfügen aller Header der Ausgangsnachricht
erlaubt.
• Der Installations- und Deinstallationsprozess für die Anwendung wurde
wesentlich vereinfacht. Während des Deinstallationsprozesses werden
von der Anwendung die Konfigurationsdateien korrigiert und
Informationen über die Anwendung werden daraus entfernt.
• Bei der Installation der Anwendung besteht nun die Möglichkeit zum
Importieren der Einstellungen einer Vorgängerversion von Anti-Virus
(Version 4.0 oder 5.0). Dadurch wird erlaubt, wesentlich schneller eine
funktionsfähige Konfiguration zu erhalten.
• Die Anwendung erkennt bei der Installation, wenn Kaspersky Anti-Spam
bereits installiert ist und integriert diesen. Bei der Deinstallation wird die
vorhergehende Konfiguration wiederhergestellt.
®
for Linux, FreeBSD and OpenBSD Mail Servers
1.2. Hardware- und
Softwarevoraussetzungen
Für die Arbeit von Kaspersky Anti-Virus® sind folgende
Systemvoraussetzungen erforderlich:
Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 8
Linux Advanced Server 3), SuSE Linux (Version
Enterprise Server 9.0 und Professional 9.2), Linux
Mandrake Version 10.1 oder Debian GNU/Linux
(Version 3.0 updated (r4)
! FreeBSD Version 4.10 und 5.3
! OpenBSD Version 3.6
• Eines der folgenden Mailsysteme: sendmail Version 8.x, qmail
Version 1.03, Postfix Version nicht unter snapshot_20000529,
Exim Version 4.0.
• Utility which.
• Programm Webmin (www.webmin.com) – zur Remote-Admini-
stration von Kaspersky Anti-Virus®.
• Perl Version 5.0 und höher (www.perl.org) – zur Installation von
Kaspersky Anti-Virus® mit Hilfe von install.sh.
1.3. Lieferumfang
Das Softwareprodukt kann bei unseren Vertriebspartnern (als Hardcopy) oder in
einem Online-Shop (z.B. www.kaspersky.com/de
werden.
Wenn Sie das Produkt als Hardcopy erwerben, umfasst der Lieferumfang des
Softwareprodukts folgende Komponenten:
• versiegelter Umschlag mit Installations-CD (oder Disketten), welche die
Dateien des Softwareprodukts enthält.
• Handbuch für Administratoren.
• Lizenzschlüssel, im Lieferumfang der Distribution enthalten oder auf einer
speziellen Diskette gespeichert.
• Lizenzvertrag.
, Abschnitt E-Store) erworben
9 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Bitte lesen Sie vor dem Öffnen des versiegelten Umschlags mit der CD (oder mit
den Disketten) sorgfältig den Lizenzvertrag.
Beim Erwerb des Produkts in einem Online-Shop kopieren Sie das Produkt von
der Kaspersky-Lab-Internetseite. Die Distribution enthält neben dem eigentlichen
Produkt auch das vorliegende Handbuch. Der Lizenzschlüssel ist entweder in
der Distribution enthalten oder wird nach Eingang der Bezahlung per E-Mail
zugesandt.
Der Lizenzvertrag ist eine rechtsgültige Vereinbarung zwischen Ihnen und
Kaspersky Lab Ltd., in der festgelegt wird, zu welchen Bedingungen Sie das von
Ihnen erworbene Softwareprodukt verwenden dürfen.
Bitte lesen Sie den Lizenzvertrag sorgfältig!
Wenn Sie den Bedingungen des Lizenzvertrags nicht zustimmen, können Sie die
Packung mit Kaspersky Anti-Virus® an den Händler zurückgeben, bei dem Sie
diese erworben haben, und der Kaufbetrag des Abonnements wird an Sie
zurückerstattet. Voraussetzung dafür ist, dass der versiegelte Umschlag mit der
Installations-CD nicht geöffnet wurde.
Durch das Öffnen der versiegelten Packung mit der Installations-CD oder die
Installation des Programms auf einem Computer stimmen Sie allen Bedingungen
des Lizenzvertrags zu.
1.4. Service für registrierte Benutzer
Kaspersky Lab Ltd. bietet seinen registrierten Kunden ein breites Spektrum an
Serviceleistungen, die eine gesteigerte Effektivität von Kaspersky Anti-Virus
ermöglichen.
Durch den Erwerb eines Abonnements werden Sie zum registrierten Programmbenutzer und können während der Gültigkeitsdauer Ihres Abonnements folgende
Leistungen in Anspruch nehmen:
• Nutzung neuer Versionen des betreffenden Softwareprodukts;
• Beratung bei Fragen zu Installation, Konfiguration und Benutzung des
betreffenden Produkts (per Telefon und E-Mail);
• Nachrichten über das Erscheinen neuer Softwareprodukte von Kaspersky
Lab und über das Auftauchen neuer Viren (Dieser Service gilt für
Benutzer, die den Newsletter von Kaspersky Lab Ltd. abonniert haben).
Die Beratung erstreckt sich nicht auf Fragen über Funktion und
Benutzung von Betriebssystemen und anderen Technologien.
®
Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 10
1.5. Textgestaltung
Bestimmte Textteile dieser Dokumentation sind in Abhängigkeit von ihrer
Bedeutung durch unterschiedliche Formatierungselemente hervorgehoben. Die
Textgestaltung wird in folgender Tabelle erläutert.
Formatierung Bedeutung
Fette Schrift
Hinweis.
Achtung
Um diese Aktion durchzuführen,
1. Schritt 1.
2. …
Aufgabe, Beispiel
Lösung
Name eines Bedienungselements –
Funktion des Bedienungselements.
Namen von Menüs, Menüelementen,
Dialogfenstern, Elementen von Dialogfenstern, usw.
Zusatzinformationen, Hinweise.
Sehr wichtige Informationen.
Beschreibung einer Folge von Schritten
und möglichen Aktionen, die vom
Benutzer durchgeführt werden.
Aufgabenstellung, Beispiel für die Realisierung der Optionen des Softwareprodukts.
Lösung der vorhergehenden Aufgabe.
Beschreibung des Konfigurationsbaums.
[Parameter] – Funktion des
Parameters.
Befehlszeilentext
Befehlszeilenparameter.
Text von Benutzereingaben in der
Befehlszeile.
11 Kaspersky Anti-Virus
Formatierung Bedeutung
®
for Linux, FreeBSD and OpenBSD Mail Servers
Text von Meldungen
Text von Konfigurationsdateien, Informationsmeldungen des Programms.
Kapitel 2. Typische
Einsatzmöglichkeiten des
Produkts
Abhängig von der Basisarchitektur des Mailservers bieten wir mehrere
Bereitstellungsvarianten von Kaspersky Anti-Virus
• für einen Server mit Mailsystem: Diese Variante wird verwendet, wenn auf
dem Server bereits eines der Mailsysteme sendmail, qmail, postfix oder
exim installiert und konfiguriert ist (s. Pkt. 2.2 auf S. 14).
• für einen separaten Server als sekundärer Filter: Die Verwendung dieser
Variante wird empfohlen, wenn der primäre Mailserver mit einem nicht
unterstützten Betriebs- und Mailsystem arbeitet (s. Pkt. 2.4 auf S. 17).
• für einen Server mit Mailsystem als sekundärer Filter: Diese
Organisationsvariante wird empfohlen, wenn auf dem Mailserver bereits
ein Mailfilter installiert ist, z.B. Kaspersky Anti-Spam (s. Pkt. 2.3 auf
S. 16).
• als Filter für externe Mailboxen: Diese Organisationsmethode eignet sich,
wenn die Benutzer des Mailservers über Mailboxen auf externen Servern
verfügen und der Antivirenschutz von heruntergeladenen Mail-Nachrichten erforderlich ist (s. Pkt. 2.5 auf S. 18).
In allen oben erwähnten Fällen kann Kaspersky Anti-Virus
des Mailverkehrs auch das Scannen aller gemounteten Dateisysteme durchführen.
Vor der ausführlichen Beschreibung der oben genannten Einsatzmöglichkeiten
betrachten wir mit dem Ziel der vollständigen Darstellung des Funktionsalgorithmus die interne Architektur von Kaspersky Anti-Virus®.
®
for Unix Mail Servers an:
®
neben der Filterung
2.1. Interne Architektur von
Kaspersky Anti-Virus
®
Bei der Arbeit mit Kaspersky Anti-Virus® stellt das präzise Verständnis des
Funktionsalgorithmus einen wichtigen Aspekt dar.
In diesem Abschnitt betrachten wir die interne Architektur des Produkts im
Kontext der Untersuchung des Mailverkehrs. Der Prozess zum Scannen von
13 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Serverdateisystemen ist relativ unkompliziert und bedarf keiner getrennten
Erklärung.
®
Es ist zu erwähnen, dass Kaspersky Anti-Virus
nur der Filterung der Mail auf
Viren dient und keinen Mailagenten darstellt, der zum Empfang und Routing des
Mailverkehrs fähig ist. Dafür wird ein auf dem Server installiertes Mailsystem
verwendet, in das Anti-Virus nach der Installation integriert wird.
Am Beispiel des Mailsystems sendmail betrachten wir den Algorithmus der
internen Arbeit von Kaspersky Anti-Virus
®
for Unix Mail Servers nach dessen
Integration in das Mailsystem genauer (s. Abb. 1).
Es wird daran erinnert, dass während des Integrationsprozesses von
Anti-Virus in das Mailsystem sendmail die zusätzliche Konfigurationsdatei sendmail.cf.listen angelegt wird.
Beim Start von sendmail unter Verwendung dieser Konfigurationsdatei
nimmt das Mailsystem den Empfang des Servermailverkehrs vor und
leitet diesen zur Bearbeitung an Kaspersky Anti-Virus® weiter. Beim
Start mit der Originalkonfigurationsdatei (sendmail.cf) stellt es die MailNachrichten zu, die von Anti-Virus weitergeleitet wurden.
Der Funktionsalgorithmus lässt sich wie folgt beschreiben:
1. Der Mailverkehr wird vom Mailsystem sendmail (Konfigurationsdatei
sendmail.cf.listen) nach SMTP-Protokoll empfangen. sendmail erstellt
eine Warteschlange, in der die eingehende Mail gespeichert wird, und
übergibt sie nach Protokoll LMTP zur Bearbeitung an die Komponente
smtpscanner.
2. Die Komponente smtpscanner bearbeitet den Mailverkehr in Überein-
stimmung mit den Einstellungen. Der Scan- und Desinfektionsprozess
besitzt folgenden Ablauf:
• smtpscanner übergibt unter Verwendung des lokalen Sockets
den Dateinamen der Mail-Nachricht an die Komponente
aveserver.
• aveserver führt mit Hilfe der Antiviren-Datenbanken die
Untersuchung und Desinfektion des Objekts durch.
• smtpscanner erhält von aveserver einen Rückgabewert, der
den Dateistatus festlegt.
• Abhängig vom Status des Objekts führt smtpscanner auf Basis
der Einstellungen der Konfigurationsdatei Aktionen damit durch.
3. Der bearbeitete Mailverkehr wird zusammen mit Benachrichtigungen
über die Ergebnisse der Untersuchung und Desinfektion nach SMTPProtokoll an das Mailsystem sendmail (Konfigurationsdatei sendmail.cf)
übergeben, das die Zustellung des Mailverkehrs an die lokalen
Benutzer oder das Routing auf andere Mailserver vornimmt.
Typische Einsatzmöglichkeiten des Produkts 14
Abb. 1. Interne Architektur von Kaspersky Anti-Virus® for Unix Mail Servers
2.2. Arbeit auf einem Server mit
Mailsystem
Im Folgenden wird bei der Beschreibung der Arbeit und Konfiguration
von Kaspersky Anti-Virus® die Variante "Betrieb auf einem Server mit
Mailsystem" beschrieben!
®
Installation und Betrieb von Kaspersky Anti-Virus
Mailprogramm sind nur auf den unterstützten Betriebssystemen (Linux, FreeBSD
oder OpenBSD) möglich.
Als Mailsystem können folgende Programme verwendet werden: sendmail,
qmail, postfix oder exim.
auf einem Server mit
15 Kaspersky Anti-Virus
Diese Variante wird für Mailserver empfohlen, die unter
durchschnittlicher Last arbeiten.
®
for Linux, FreeBSD and OpenBSD Mail Servers
Werfen wir einen ausführlichen Blick auf das Funktionsschema von Kaspersky
Anti-Virus
®
mit einem der genannten Mailsysteme auf einem Server (s. Abb. 2).
Die Reihenfolge der Arbeit ist für eingehende und ausgehende Mail identisch
und umfasst folgende Etappen:
1. Der Mailverkehr geht entweder von anderen Servern oder aus dem
lokalen Netzwerk nach SMTP-Protokoll ein.
2. Das Mailsystem empfängt den Mailverkehr und übergibt ihn zur Bearbeitung an Kaspersky Anti-Virus
3. Kaspersky Anti-Virus
®
bearbeitet den Mailverkehr entsprechend der
®
.
Einstellungen und leitet ihn zusammen mit einer zusätzlichen Auswahl
von Benachrichtigungen an das Mailsystem zurück.
4. Das Mailsystem führt das Routing des Mailverkehrs auf einen externen
Server oder in die Mailboxen des lokalen Netzwerks durch.
Abb. 2. Schema der Arbeit von Kaspersky Anti-Virus® auf einem Server mit Mailsystem
Von obigem Funktionsschema ausgehend, sind bei der Installation von
Kaspersky Anti-Virus
®
folgende Einstellungen vorzunehmen (entweder während
des Installationsprozesses oder direkt danach):
®
• Festlegen des Ports des Mailservers, auf dem Kaspersky Anti-Virus
arbeiten soll.
• Festlegen des Ports des Mailsystems, auf dem es nach der Filterung die
Mail von Kaspersky Anti-Virus
®
empfängt.
Typische Einsatzmöglichkeiten des Produkts 16
2.3. Arbeit als sekundärer Filter
Kaspersky Anti-Virus® kann sowohl als primärer wie auch als sekundärer Filter
verwendet werden. Wenn im Moment der Installation des Produkts auf Ihrem
Mailserver bereits ein Mail-Filter installiert war, dann muss festgelegt werden,
welcher Mail-Filter (Kaspersky Anti-Virus
installierte) der primäre und welcher der sekundäre Filter sein soll. Als Auswahlkriterium dient die Art der Filterung.
Der primäre Filter (wir nennen ihn hier MX1) ist jener, der den Mailverkehr auf
Basis der IP-Adresse des Absenders filtert. Ein solcher Filter wird als Primärfilter
auf Port 25 des Servers installiert. Er empfängt die auf dem Server eingehende
Mail, filtert sie und übergibt sie danach zur Bearbeitung an den sekundären
Filter. Der sekundäre Filter (wir nennen ihn hier MX2) wird auf dem gleichen Host
installiert wie der primäre, ihm werden aber eine andere IP-Adresse und ein
anderer Port zugewiesen.
Ist auf Ihrem Server kein Filter installiert, der auf der Absender-IP-Adresse
basiert, dann können Sie Kaspersky Anti-Virus
Wenn bereits in IP-Filter auf dem Server installiert ist, installieren Sie Anti-Virus
als sekundären Filter. Dieses Vorgehen ist dadurch begründet, dass nach der
Untersuchung durch Kaspersky Anti-Virus
IP-Adresse ausgeht. Folglich wäre eine IP-Filterung nach der
Antivirenbearbeitung sinnlos.
®
oder der bereits auf dem Server
®
als primären Filter installieren.
®
der gesamte Mailverkehr von einer
Abb. 3. Schema der Arbeit von Kaspersky Anti-Virus® als sekundärer Filter auf einem
Server mit Mailsystem
Nehmen Sie folgende Einstellungen für den primären und sekundären Filter vor:
• Konfiguration des primären Filters (MX1):
• Name des Hosts, auf dem der Filter installiert ist:
mx1.yourhost.domain;
17 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
• IP-Adresse des Filters: alle verfügbaren;
• Nummer des Ports, auf dem der Filter arbeitet: 25;
• Name des Hosts zum Senden der Mail:
mx2.yourhost.domain:10026.
• Konfiguration des sekundären Filters (MX2):
• Name des Hosts, auf dem der Filter installiert ist:
mx2.yourhost.domain;
• IP-Adresse des Filters: 127.0.0.1;
• Nummer des Ports, auf dem der Filter arbeitet: 10026;
• Name des Hosts, von dem Mail empfangen wird:
mx1.yourhost.domain.
Die Namen der Hosts für Filter MX1 und MX2 müssen unterschiedlich
sein, da der Server eine Nachricht nicht annimmt, wenn die Hosts im
Dialog helo/ehlo identische Namen besitzen. MX2 muss für MX1
vertrauenswürdig sein und umgekehrt, andernfalls wird die Zustellung
unmöglich sein.
2.4. Arbeit auf einem separaten
Server
Kaspersky Anti-Virus® for Unix Mail Servers kann die Filterung und Antivirenbearbeitung des Mailverkehrs auch dann vornehmen, wenn Ihr Mailserver mit
einem anderen Betriebssystem (z.B. Windows) arbeitet.
®
In diesem Fall wird Kaspersky Anti-Virus
der mit dem Betriebssystem Linux, FreeBSD oder OpenBSD arbeitet.
Um Empfang des Mailverkehrs und Senden des Mailverkehrs an den WindowsMailserver zu gewährleisten, wird auf dem separaten Server neben Anti-Virus
auch ein Mailsystem (sendmail, qmail, postfix oder exim) installiert und dessen
Integration mit Kaspersky Anti-Virus
In diesem Fall gilt folgender Arbeitsablauf (s. Abb. 4):
• Der Mailverkehr geht auf dem Server ein, der mit einem Betriebssystem
der Unix-Familie arbeitet.
• Das Mailsystem (z.B. qmail) sendet ihn nach Protokoll LMTP zur
Bearbeitung an Kaspersky Anti-Virus
auf einem separaten Server installiert,
®
vorgenommen (s. Pkt. 4.4 auf S. 29).
®
.
Typische Einsatzmöglichkeiten des Produkts 18
• Die untersuchte Mail wird zusammen mit von Anti-Virus erstellten
Benachrichtigungen an das Mailsystem zurückgegeben, das diese zur
Zustellung oder weiterem Routing auf den Hauptmailserver weiterleitet.
Abb. 4. Schema der Arbeit von Kaspersky Anti-Virus®
auf einem separaten Server
Im obigen Schema ist der Server mit Kaspersky Anti-Virus® der Hauptserver, da
er den Empfang des Mailverkehrs und dessen Weiterleitung vornimmt. Der
Server mit MS Exchange ist der sekundäre Server und führt lediglich die
Zustellung aus.
®
Wenn Ihr Mailserver vor der Installation von Kaspersky Anti-Virus
von Briefen nach der Absender-IP-Adresse ausgeführt hat, dann muss der
Server mit Kaspersky Anti-Virus
®
als sekundärer verwendet werden. Der Grund
die Filterung
besteht darin: Wenn der Server mit Anti-Virus als Hauptserver verwendet wird,
gehen auf den sekundären Server (mit IP-Filterung) alle Mail-Nachrichten von
einer IP-Adresse ein, was eine Filterung unmöglich macht.
Wenn innerhalb Ihres lokalen Netzwerks Mailserver vorhanden sind,
dann müssen die MX-Einträge oder Parameter für die Weiterleitung auf
den Hauptserver verweisen, nicht auf den sekundären Server.
• Konfiguration des primären Filters (MX1):
• Name des Hosts, auf dem der Filter installiert ist:
mx1.yourhost.domain;
• Name des Hosts zum Senden der Mail:
mx2.yourhost.domain:25.
• Konfiguration des sekundären Filters (MX2):
• Name des Hosts, auf dem der Filter installiert ist:
mx2.yourhost.domain;
19 Kaspersky Anti-Virus
• Name des Hosts, von dem Mail empfangen wird:
mx1.yourhost.domain.
®
for Linux, FreeBSD and OpenBSD Mail Servers
2.5. Filterung der Mail aus externen
Mailboxen
Heutzutage sind externe Mailboxen auf Servern wie www.mail.ru, www.gmx.de,
www.hotmail.com u.a. weit verbreitet.
Wie kann beim Herunterladen infizierter Mail-Nachrichten aus solchen Mailboxen
eine Infektion verhindert werden? Tatsächlich wird solche Mail über das POP3Protokoll zugestellt, aber Kaspersky Anti-Virus
SMTP-Protokoll.
Zur Gewährleistung des Antivirenschutzes von externer Mail sind folgende
Maßnahmen erforderlich:
1. Schließen von Port 110. Den Benutzern wird einfacher Zugriff auf
die externe Mail gegeben, und die Arbeit des Gateway wird mit Hilfe
des Pakets fetchmail als Proxyserver für POP3 organisiert. Dieses
Paket lädt Mail-Nachrichten von externen Servern herunter und
sendet sie an den lokalen SMTP-Port weiter. Nach dem Eingang auf
dem SMTP-Port werden sie von Kaspersky Anti-Virus
Für die Filterung der Mails von externen Mailboxen sind ein
lokaler SMTP-Server und ein lokales Benutzerkonto auf dem
Computer erforderlich, auf dem das Paket fetchmail installiert ist!
Die Konfiguration von fetchmail ist sehr einfach: Im Verzeichnis
$HOME jedes Benutzers existiert die Datei .fetcmailrc, die
mindestens folgende Zeilen enthält:
set postmaster "user"
set bouncemail
set no spambounce
set properties ""
poll mail.that.is.free.ru with proto POP3
user 'remote_user' there with password
'pass12345' is 'user' here
poll mail2.that.is.free.ru with proto POP3
user 'remote_user2' there with password
'pass123452' is 'user' here
®
untersucht nur Mailverkehr nach
®
bearbeitet.
Typische Einsatzmöglichkeiten des Produkts 20
wobei:
• user – Benutzername im lokalen Netzwerk;
• mail.that.is.free.ru und mail2.that.is.free.ru – Name der Hosts,
von denen Mail abgeholt werden soll;
• remote_user und remote_user2 – Benutzernamen auf den
Hosts mail.that.is.free.ru und mail2.that.is.free.ru;
• pass12345 und pass123452 – Kennwörter für die
Benutzernamen remote_user und remote_user2.
Mit diesen Einstellungen holt das Programm fetchmail von den Hosts
mail.that.is.free.ru und mail2.that.is.free.ru Mail-Nachrichten ab und
sendet sie für den Benutzer user an das lokale SMTP. Dabei bleiben die
Felder der Mail-Nachricht (von, an usw.) unverändert. Von fetchmail wird
lediglich ein zusätzlicher Header received hinzugefügt. Der Benutzer
erhält die Briefe in der gleichen Form wie beim Empfang auf
herkömmliche Weise.
2. Angabe des Befehls fetchamail im crontab des Benutzers zum Start
z.B. alle 10-15 Minuten.
Zur Automatisierung des Konfigurationsprozesses des Programms fetchmail für
andere Benutzer, die externe Mailboxen verwenden, werden folgende Daten
benötigt:
• Name des externen Hosts, von dem fetchmail Mails abholen soll;
• Benutzername auf dem externen Host;
• Kennwort für den Benutzernamen.
Außerdem muss im Home-Verzeichnis jedes Benutzers die Datei .fetchmailrc mit
folgendem Inhalt vorhanden sein:
set postmaster "user"
set bouncemail
set no spambounce
set properties ""
Folgende Skriptdatei dient dem Hinzufügen von Einträgen über Mailboxen:
#!/bin/bash
echo "poll $1 with proto POP3 " >>$HOME/.fetchmailrc
echo "user '$2' with password '$3' is '$4'
here">>$HOME/.fetchmailrc
21 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Wenn diese Skriptdatei mit folgenden Parametern gestartet wird: pop.mail.ru,
dan, secret, admin, dann werden Briefe für den Empfänger dan@mail.ru an die
Adresse admin@your_host.your_domain weitergeleitet.
Kapitel 3. Installation von
Kaspersky Anti-Virus®
Wir empfehlen Ihnen, vor dem Beginn der Installation von Kaspersky Anti-Virus®
for Unix Mail Servers Ihr System folgendermaßen vorzubereiten:
• Stellen Sie sicher, dass das System den Hardware- und Softwarevoraussetzungen für die Installation von Kaspersky Anti-Virus
(s. Pkt. 1.2 auf S. 5). Sollten bestimmte Anwendungen nicht installiert
sein, dann wird deren Installation empfohlen. Andernfalls ergeben sich
Einschränkungen der Anwendungsfunktionalität.
• Anfertigen von Sicherheitskopien der Konfigurationsdateien des
Mailsystems, das auf Ihrem Server installiert ist.
• Konfiguration der Internetverbindung.
• Beenden der Arbeit des Mailservers, in das die Integration von
Kaspersky Anti-Virus geplant ist.
• Anmeldung am System als Benutzer root.
Es wird empfohlen, die Installation des Produkts außerhalb der
Arbeitszeiten oder dann durchzuführen, wenn der Mailverkehr möglichst
gering ist!
®
entspricht
3.1. Installation der Anwendung auf
einem Linux-Server
Kaspersky Anti-Virus wird in drei Installationsvarianten geliefert: rpm, deb oder
tar.gz. Verwenden Sie diese abhängig von der Distribution des Betriebssystems.
Um die Installation von Kaspersky Anti-Virus aus dem rpm-Paket zu
starten, geben Sie in der Befehlszeile ein:
rpm –i <Name_der_Distributionsdatei>
Um die Installation von Kaspersky Anti-Virus aus dem deb-Paket zu
starten, geben Sie in der Befehlszeile ein:
23 Kaspersky Anti-Virus
dpkg –i <Name_der_Distributionsdatei>
Außerdem können Sie die für alle Linux-Betriebssysteme einheitliche
Standarddistribution verwenden. Diese Variante kann benutzt werden, wenn die
entsprechende Linux-Distribution von den Formaten rpm oder deb nicht
unterstützt wird (z.B. Slackware) oder wenn der Administrator den integrierten
Paket-Manager nicht verwendet.
Die universale Distribution von Kaspersky Anti-Virus wird als Archiv geliefert.
Das Archiv enthält einen Verzeichnisbaum der Distributionsdateien und das
Installationsskript install.sh, das die Installation vornimmt.
Um die Installation von Kaspersky Anti-Virus auf dem Server zu starten,
sind folgende Aktionen erforderlich:
1. Kopieren des Distributionsarchivs in einen Ordner des
Serverdateisystems und entpacken des Archivs.
®
for Linux, FreeBSD and OpenBSD Mail Servers
2. Starten des Installationsskripts:
install.sh.
3.2. Installation der Anwendung auf
einem FreeBSD- oder OpenBSDServer
Für Server, die mit dem Betriebssystem FreeBSD oder OpenBSD arbeiten, wird
die Distribution von Kaspersky Anti-Virus als pkg-Paket geliefert.
Um die Installation von Kaspersky Anti-Virus aus dem pkg-Paket zu
starten, geben Sie in der Befehlszeile ein:
pkg_add <Paketname>
3.3. Installationsprozess
Aus bestimmten Gründen kann der Installationsprozess mit einem
Fehlercode abgeschlossen werden. Vergewissern Sie sich in diesem
Fall, ob Ihr Computer die Hardware- und Softwarevoraussetzungen (s.
Pkt. 1.2 auf S. 7) erfüllt und ob die Anmeldung am System mit den
Rechten des Benutzers root erfolgte.
Die Installation der Anwendung auf einem Server umfasst folgende Etappen:
1. Kopieren der Distributionsdateien auf den Server.
Installation von Kaspersky Anti-Virus 24
2. Installation des Lizenzschlüssels.
Wenn kein Lizenzschlüssel installiert ist, wird der Konfigurationsprozess
nicht ausgeführt und die Arbeit mit der Anwendung ist nicht möglich.
Sollte der Lizenzschlüssel vorübergehend nicht vorhanden sein (z.B.
wenn die Anwendung über das Internet erworben wurde und der
Lizenzschlüssel noch nicht per E-Mail eingetroffen ist), dann kann er
nach dem Installationsprozess, direkt vor dem Beginn der Arbeit mit der
Anwendung installiert werden.
3. Konfiguration der Komponente keepup2date.
4. Installation (Update) der Antiviren-Datenbanken.
Denken Sie daran, die Antiviren-Datenbanken zu installieren, bevor
Sie mit der Verwendung der Anwendung beginnen. Die Suche und
Desinfektion von Viren basiert auf den Einträgen der AntivirenDatenbanken, die eine Beschreibung aller momentan bekannten
Viren und Methoden zur Desinfektion infizierter Objekte enthalten.
Ohne Antiviren-Datenbanken sind Untersuchung und Bearbeitung
von Dateien nicht möglich!
Beachten Sie, dass die automatische Konfiguration der Anwendung
nicht ausgeführt wird, wenn die Antiviren-Datenbanken nicht installiert
werden.
5. Installation des Moduls Webmin.
Das Modul zur entfernten Verwaltung zum Paket Webmin wird nur unter
der Bedingung installiert, dass sich Webmin im standardmäßigen
Ordner befindet. Nach der Installation des Moduls erfolgen
entsprechende Empfehlungen zur Konfiguration der gemeinsamen
Arbeit mit der Anwendung.
3.4. Konfiguration der Anwendung
Direkt nachdem das Kopieren der Distributionsdateien auf den Server
abgeschlossen wurde, wird die Systemkonfiguration ausgeführt. Abhängig vom
Paket-Manager wird die Konfigurationsetappe entweder automatisch gestartet
oder (wenn der Paket-Manager die Verwendung interaktiver Skripts nicht zulässt,
z.B. rpm) der Benutzer wird zu bestimmten zusätzlichen Aktionen aufgefordert.
In diesem Fall erscheinen entsprechende Meldungen auf dem Bildschirm.
Der Prozess zur Konfiguration der Anwendung umfasst:
• Suche nach dem installierten Mailserver und Überprüfung seiner Version
auf Übereinstimmung mit den Softwarevoraussetzungen.
• Suche und Anpassen der Konfigurationsdatei des Mailservers.
25 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Wen bei der Systemkonfiguration bestimmte Zusatzangaben notwendig sind
(beispielsweise der Pfad der Konfigurationsdatei des Mailservers), dann werden
entsprechende Anfragen auf der Serverkonsole angezeigt. Bei inkorrekten
Antworten wird der Konfigurationsprozess abgebrochen.
Wenn alle oben beschriebenen Konfigurationsschritte erfolgreich abgeschlossen
wurden, ist die Anwendung zur Arbeit bereit und es erfolgen keine zusätzlichen
Meldungen. Die Konfigurationsdatei, die zum Lieferumfang der Anwendung
gehört, enthält alle für den Beginn der Arbeit erforderlichen Parameter.
Vergessen Sie nicht, den Mailserver neu zu starten, bevor die Arbeit
beginnt.
Kapitel 4. Konfiguration nach
der Installation
Während des Installationsprozesses erfolgt eine Analyse des Systems, auf dem
Kaspersky Anti-Virus
werden automatisch festgelegt. Für eine Reihe von Parametern der Konfigurationsdatei des Produkts wurden Standardwerte gewählt, welche die Arbeit mit
Anti-Virus möglichst komfortabel gestalten (s. Pkt. 4.1 auf S. 26).
Es wird empfohlen, vor Beginn der Arbeit mit dem Produkt die AntivirenDatenbanken zu installieren oder zu aktualisieren, falls dies nicht
bereits während der Installation erfolgte, und die Serverdateisysteme
auf das Vorhandensein von Viren zu scannen!
Vor Beginn der Arbeit mit dem Produkt sind allerdings noch folgende Aktionen
erforderlich:
• Integration von Kaspersky Anti-Virus
Server installiert ist.
• Erstellen einer Liste der lizenzierten Benutzer, deren eingehende und
ausgehende Mail auf Viren analysiert und desinfiziert wird.
Außerdem wird empfohlen, die gemeinsame Arbeit von Kaspersky Anti-Virus
mit dem Paket Webmin zu konfigurieren.
In diesem Kapitel beschreiben wir, welche Einstellungen für Kaspersky Anti-
®
Virus
als Standard gelten, und erläutern die für die Arbeit mit dem Produkt erfor-
derliche Konfiguration.
In den folgenden Beispielen werden die für Linux-Distributionen gültigen
Dateipfade verwendet.
®
installiert wird, und bestimmte Konfigurationsparameter
®
in das Mailsystem, das auf Ihrem
®
4.1. Standardeinstellungen des
Produkts
Alle Funktionsparameter von Kaspersky Anti-Virus® for Unix Mail Servers sind in
der Datei kav4mailservers.conf gespeichert. Dies ist die standardmäßig verwendete Konfigurationsdatei.
27 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Sie können eigene Konfigurationsdateien anlegen und diese sowohl
beim Ausführen einer aktuellen Aufgabe wie auch als StandardKonfigurationsdatei verwenden.
Betrachten wir genauer, welche Parameter in dieser Datei als Standard gelten.
Ausgehend von den Angaben dieses Abschnitts können Sie feststellen, ob zur
optimalen Anpassung an die Anforderungen Ihres Unternehmens eine
zusätzliche Konfiguration von Kaspersky Anti-Virus
®
erforderlich ist (s. Kapitel 6
auf S. 62).
ANTIVIRENSCHUTZ VON SERVERDATEISYSTEMEN
®
In der Grundeinstellung ist Kaspersky Anti-Virus
so konfiguriert, dass
beim Start der entsprechenden Komponente (kavscanner) ohne
zusätzliche Befehlszeilenparameter die Antivirenuntersuchung der
Verzeichnisse und Dateisysteme des Servers erfolgt, wobei mit dem
aktuellen Verzeichnis begonnen wird.
Beim Fund von infizierten, verdächtigen oder beschädigten Dateien
werden entsprechende Meldungen auf der Konsole und in der
Protokolldatei angezeigt.
Beachten Sie, dass IN DER GRUNDEINSTELLUNG DIE
DESINFEKTION von gefundenen infizierten Dateien NICHT
durchgeführt wird!
ANTIVIRENSCHUTZ DES SERVERMAILVERKEHRS
Der Antivirenschutz des Mailverkehrs ist vor der Integration von
Kaspersky Anti-Virus
erörtern hier die nach der Integration für die Funktion des
®
in das Mailsystem NICHT MÖGLICH. Wir
Produkts als Standard gültigen Einstellungen.
Der Abschnitt [smtpscan.group:default] der Konfigurationsdatei
kav4mailservers.conf definiert das Vorhandensein der Gruppe default,
die für alle zu schützenden Benutzer des Mailservers gilt. In dieser
Gruppe werden folgende Regeln für die Antivirenuntersuchung und bearbeitung des Mailverkehrs festgelegt:
• Untersuchung von eingehenden und ausgehenden Mail-
Nachrichten.
• Beim Fund von infizierten Mail-Nachrichten erfolgt deren
Desinfektion.
• Desinfizierte Mail-Nachrichten werden den Adressaten und
dem Gruppenadministrator (postmaster@localhost) zugestellt,
wobei sie zusätzliche Benachrichtigungen darüber enthalten,
dass die Nachrichten durch Viren infiziert waren und erfolgreich
Konfiguration nach der Installation 28
desinfiziert wurden. Entsprechende Benachrichtigungen werden
auch an die Absender der Nachrichten gesandt.
• Wenn die Desinfektion einer Nachricht unmöglich ist, wird diese
gelöscht und an Absender, Gruppenadministrator und Empfänger wird eine entsprechende Benachrichtigung geschickt.
Alle Benachrichtigungen, welche die Untersuchung
von Mail-Nachrichten, deren Desinfektion und
sonstige die Mail betreffende Aktionen (Löschen,
Verschieben nach Quarantäne usw.) betreffen,
werden in der Grundeinstellung von der Adresse
MAILER-DAEMON@localhost abgesandt.
• Wenn während der Antivirenanalyse des Mailverkehrs
verdächtige, beschädigte oder durch Kennwort geschützte
Dateien, sowie Mail-Nachrichten, durch deren Untersuchung ein
Fehler auftrat, gefunden werden, dann werden diese gelöscht.
An Absender, Gruppenadministrator und Empfänger werden
entsprechende Benachrichtigungen geschickt.
• Alle Aktionen des Programms werden in einer Protokolldatei
aufgezeichnet.
Beachten Sie, dass der Prozess aveserver gestartet sein muss,
damit die Antivirenuntersuchung des Mailverkehrs von der
Anwendung durchgeführt werden kann. Wenn der Prozess nicht
gestartet wurde, wird die gesamte eingehende Mail in der
Warteschlange zur Untersuchung und Bearbeitung gespeichert.
Informationen darüber werden in der Log-Datei der Anwendung
aufgezeichnet. Details über die Arbeit des Prozesses aveserver
s. Pkt. 6.3 auf S. 74.
4.2. Installation / Aktualisierung der
Antiviren-Datenbanken
Wir empfehlen, unmittelbar nach der Installation des Produkts auf dem Server
die Antiviren-Datenbanken zu installieren/aktualisieren.
Starten Sie dazu die Komponente keepup2date. Geben Sie in der Befehlszeile
ein:
/Pfad/von/keepup2date
Die Antiviren-Datenbanken werden von den Updateservern von Kaspersky Lab
kopiert und in einem speziellen Verzeichnis gespeichert, das in der Konfigurationsdatei festgelegt ist.
29 Kaspersky Anti-Virus
Wir empfehlen Ihnen, die Antiviren-Datenbanken TÄGLICH zu aktualisieren, weil jeden Tag neue Viren auftauchen und die Gewährleistung
der Aktualität des Produkts erforderlich ist. Zu Details über die Varianten zur Organisation von Updates s. Pkt. 5.1.1 - 5.1.4 auf S. 35 - 39.
®
for Linux, FreeBSD and OpenBSD Mail Servers
4.3. Konfiguration der gemeinsamen
Arbeit mit Webmin
Wird die Remote-Administration von Kaspersky Anti-Virus® beabsichtigt, dann ist
die Konfiguration der Zusammenarbeit mit dem Paket Webmin zu empfehlen.
Mit den Werkzeugen von Webmin kann beispielsweise die Kontrolle der Zugriffsrechte auf das Programm und die Organisation des Systems der Benutzerkennwörter vorgenommen werden (Details über die Konfiguration des
Programms Webmin s. Dokumentation des betreffenden Produkts).
In der Grundeinstellung werden alle Einstellungen, die mit Hilfe des Programms
Webmin vorgenommen wurden, in der Datei kav4mailservers.conf gespeichert,
die als Standard verwendet wird.
Wenn Sie mit Hilfe des Programms Webmin eine alternative
Konfigurationsdatei anlegen wollen:
• Die Daten aus der bereits vorhandenen Konfigurationsdatei in eine neue
Datei kopieren, die unter einem anderen Namen gespeichert werden
muss. Danach können die erforderlichen Änderungen der neuen
(alternativen) Konfigurationsdatei entsprechend Ihrer Aufgaben erfolgen.
• Geben Sie den Namen der alternativen Konfigurationsdatei auf der
Registerkarte Configuration im Eingabefeld des Parameters Full path to KAV config an.
4.4. Manuelle Integration des
Produkts in Mailsysteme
Der unten beschriebene Prozess ist aktuell, wenn die Integration bei
der Installation nicht automatisch ausgeführt wurde (wenn das Skript
setup.sh NICHT VERWENDET WURDE).
Der manuelle Integrationsprozess umfasst drei Etappen:
Konfiguration nach der Installation 30
1. Ändern der Konfiguration des Mailsystems für die gemeinsame
Arbeit mit Anti-Virus.
2. Eintragen von Änderungen, welche die Arbeit mit dem Mailsystem
betreffen, in der Konfiguration von Kaspersky Anti-Virus
®
.
3. Start des Mailsystems mit der neuen Konfiguration.
Die Benutzerkonten, die für Start und Arbeit des
Mailsystems verwendet werden, müssen über die
Berechtigung zum Lesen der Konfigurationsdateien des
entsprechenden Mailsystems verfügen.
Betrachten wir die manuelle Integration von Kaspersky Anti-Virus
®
mit den
Mailsystemen genauer.
4.4.1. Integration in das Mailsystem
sendmail
Um Kaspersky Anti-Virus
®
in das Mailsystem sendmail zu integrieren,
1. Korrigieren Sie Regel 98 in der bei der Installation erstellten Datei
sendmail.cf.listen auf folgende Weise:
SParseLocal=98
R$* $#smtpscanner[Tabulatorsymbol]$@ $1 $: $1
2. Geben Sie in dieser Datei die Beschreibung von smtpscanner an.
Wenn Sie das Mailsystem sendmail Version 8.12 oder höher in der
Konfiguration submit.cf verwenden, fügen Sie den Start-up-Skripts
die drei folgenden Prozesse hinzu:
4. Konfigurieren Sie Kaspersky Anti-Virus® auf die erforderliche Weise
(s. Pkt. 4.4.5 auf S. 33).
5. Starten Sie das Mailsystem neu.
Wenn im Mailsystem Qmail die Utility softlimit verwendet wird, muss
darin die Größe des verfügbaren Speichers erhöht werden (oder die
Größenbeschränkung deaktiviert werden). Andernfalls kann es bei der
Untersuchung voluminöser E-Mail-Nachrichten zu Schwierigkeiten
kommen.
Konfiguration nach der Installation 32
4.4.3. Integration in das Mailsystem Postfix
Um Kaspersky Anti-Virus
1. Überprüfen Sie die Versionsnummer Ihres Postfix-Mailsystems. Die
Version muss neuer sein als
andernfalls eine neue Version von der Web-Seite des Programms
Postfix herunter (www.postfix.org
2. Fügen Sie der Konfigurationsdatei main.cf des Mailsystem Postfix
folgende Zeile hinzu:
content_filter = lmtp:localhost:10025
3. Fügen Sie der Konfigurationsdatei master.cf des Mailsystem
Postfix folgende Zeilen hinzu:
localhost:10025 inet n n n 10 spawn user=filter
argv=/opt/kav/bin/smtpscanner
localhost:10026 inet n - n -
®
in das Mailsystem Postfix zu integrieren,
snapshot_20000529. Laden Sie
).
10 smtpd -o content_filter= -o
myhostname=localhost
4. Legen Sie den Benutzer filter
filter auf und legen Sie ein Home-Verzeichnis für ihn an
Wenn Sie die Komponente smtpscanner von einem anderen
Benutzerkonto aus starten wollen, kompilieren Sie das Mailsystem Exim
mit den definierten Variablen EXIM_GID und EXIM_UID (Details s.
Dokumentation des Mailsystems Exim).
®
for Linux, FreeBSD and OpenBSD Mail Servers
®
auf die erforderliche
4.4.5. Konfiguration von Kaspersky AntiVirus
®
zur Integration in das
Mailsystem
Ein wesentlicher Bestandteil der Integration von Kaspersky Anti-Virus® in das
Mailsystem besteht in der Konfiguration des Antivirenprogramms.
Die Konfiguration kann direkt in der Konfigurationsdatei des Programms oder im
Remote-Modus mit Hilfe des Pakets Webmin erfolgen.
®
Um Kaspersky Anti-Virus
konfigurieren:
Nehmen Sie in der Konfigurationsdatei von Kaspersky Anti-Virus
folgende Einstellungen vor:
für die Arbeit mit dem Mailsystem zu
®
Konfiguration nach der Installation 34
• Geben Sie die Adresse an, von der aus Benachrichtigungen
versandt werden:
NotifyFromAddress=admin@yourhostname.ru
• Legen Sie im Abschnitt [smtpscan.general] einen ID für das
Mailsystem fest. Der ID des Mailsystems hat folgende Struktur:
Protokoll:Host:Port
, wobei:
Protokoll – Name des Protokolls, nach dem der Mailtransfer
erfolgt (
smtp oder lmtp);
Host – Name oder IP-Adresse des Hosts, von dem aus die Mail
versandt wird, oder Name des Mailprogramms;
Wählen Sie das Protokoll aus (LMTP oder SMTP).
Der Name des Mailprogramms wird in runden
Klammern angegeben und kann beliebige Parameter
enthalten.
[smtpscan.group:default] der Konfigurationsdatei an:
AdminAddress=admin@yourhostname.ru
AdminNotify=yes
• Legen Sie im Abschnitt [smtpscan.limits] die maximale
Wartezeit (in Sekunden) für eine Antwort des Prozesses
aveserver zum Ausführen einer Operation fest. Zum Beispiel:
MaxCheckTime=60
Kapitel 5. Arbeit mit Kaspersky
Anti-Virus®
Mit Kaspersky Anti-Virus® können Sie den vollständigen Antivirenschutz Ihres
Servers organisieren: von einer einzelnen Datei, die auf dem Server gespeichert
ist, bis zum eingehenden und ausgehenden Mailverkehr, einschließlich der Mails
von externen Mailboxen.
Die Funktionalität des Produkts unterstützt den Administrator bei unterschiedlichen Aufgaben. Alle mit Hilfe von Kaspersky Anti-Virus
Aufgaben können in drei Gruppen unterteilt werden:
1. Aktualisierung der Antiviren-Datenbanken, die zur Suche von Viren
und Desinfektion infizierter Objekte verwendet werden.
2. Antivirenschutz des Servermailverkehrs.
3. Antivirenschutz der Serverdateisysteme.
Jede Gruppe umfasst konkrete Aufgaben, die eine bestimmte Funktionalität des
Produkts realisieren. In diesem Kapitel betrachten wir die aktuellsten Aufgaben.
Im Rahmen eines konkreten Unternehmens kann der Administrator diese
kombinieren und komplexer gestalten.
Wo dies möglich ist, werden Konfiguration und Start einer Aufgabe sowohl lokal
aus der Befehlszeile als auch im Remote-Modus über das Programm Webmin
beschrieben.
®
realisierbaren
In allen unten angeführten Aufgaben wird davon ausgegangen, dass
der Administrator die nach der Installation erforderliche Konfiguration
vorgenommen hat (s. Kapitel 4 auf S. 26).
Vor dem Start von Aufgaben, die mit der Antivirenuntersuchung von Mail
verbunden sind, ist der Start des Prozesses aveserver erforderlich, falls dieser
nicht beim Start des Betriebssystems geladen wurde.
5.1. Aktualisierung der AntivirenDatenbanken
Ein obligatorischer Faktor des umfassenden Antivirenschutzes ist die
Aktualisierung der Antiviren-Datenbanken. Als Quelle für die Updates der
Antiviren-Datenbanken, die von Kaspersky Anti-Virus® während des Such- und
Arbeit mit Kaspersky Anti-Virus 36
Desinfektionsprozesses infizierter Dateien verwendet werden, dienen die
Updateserver von Kaspersky Lab. Zum Beispiel:
Eine Liste der Adressen, von denen die Updates kopiert werden können,
befindet sich in der Datei updcfg.xml, die zum Lieferumfang der Anwendung
gehört. Diese Liste wird in bestimmten Zeitabständen automatisch aktualisiert.
Es ist unzulässig, die Datei updcfg.xml selbständig zu ändern!
Bei der Aktualisierung greift die Komponente keepup2date auf diese Liste zu,
wählt eine Adresse und versucht, die Antiviren-Datenbanken vom Server
herunterzuladen. Wenn die Aktualisierung von der gewählten Adresse erfolglos
ist, wendet sich das Programm an die folgende Adresse und versucht erneut, die
Datenbanken zu aktualisieren. Nach dem erfolgreichen Update erfolgt
standardmäßig der automatische Neustart der Anwendung (Parameter
PostUpdateCmd des Abschnitts [updater.options]).
Alle Einstellungen der Komponente keepup2date befinden sich in den
Optionen [updater.*] der Konfigurationsdatei kav4mailservers.conf.
Wenn die Struktur Ihres lokalen Netzwerks eine gewisse Komplexität aufweist,
wird empfohlen, die Updates von den Updateservern herunterzuladen, in einem
bestimmten Netzwerkordner zu speichern und für die lokalen Computer den
Download der Datenbanken aus diesem Ordner festzulegen.
und andere.
Es wird nachdrücklich empfohlen, die Antiviren-Datenbanken stündlich
zu aktualisieren.
Die Aktualisierung lässt sich mit Hilfe des Programms cron nach Zeitplan (s.
Pkt. 5.1.1 auf S. 36) organisieren oder wird auf Befehl des Administrators aus
der Befehlszeile ausgeführt (s. Pkt. 5.1.4 auf S. 39).
5.1.1. Komponente zum Update der
Antiviren-Datenbanken
Beachten Sie, dass die Komponente zum Update der AntivirenDatenbanken keepup2date eine Neuentwicklung ist, welche die
Komponente kavupdater ersetzt!
keepup2date
37 Kaspersky Anti-Virus
In Version 5.5 von Kaspersky Anti-Virus wurde die Komponente zum Update
der Antiviren-Datenbanken ersetzt. In der neuen Komponente wurde eine Reihe
bereits vorhandener Funktionen optimiert und neue Optionen wurden
hinzugefügt:
• Option zur automatischen Auswahl des geographisch nächsten
Updateservers, basierend auf der in der Konfigurationsdatei
angegebenen Region.
• Download und Installation inkrementeller Updates beim Erscheinen eines
kumulativen Updates. Dadurch können Netzwerkressourcen eingespart
werden.
• Wenn die Verbindung während des Kopierens der Antiviren-Datenbanken
getrennt wird oder nach dem Wiederherstellen der Verbindung der
Updateserver gewechselt wird, lädt die Komponente automatisch den
verbleibenden Teil der Antiviren-Datenbanken herunter und beginnt den
Download nicht von vorne.
• Erneutes Laden der Antiviren-Datenbanken sofort nach dem erfolgreichen
Update.
• Unterstützung der Option für die Rückkehr zu der vorigen Version der
Antiviren-Datenbanken (rollbacks);
• Für die Arbeit der neuen Komponente ist das Programm wget nicht
erforderlich;
• Zur Durchführung von lokalen Updates aus einem Netzwerkordner
können Ordner dienen, die sich auf einem Samba-Server oder auf einem
Computer mit dem Betriebssystem Microsoft Windows befinden.
®
for Linux, FreeBSD and OpenBSD Mail Servers
5.1.2.
Verbunden mit den Änderungen der Update-Komponente werden einige
Optionen der Konfigurationsdatei, die für die Komponente kavupdater spezifisch
waren, nicht mehr verwendet. Es wird empfohlen, alle genannten Optionen
manuell aus der Konfigurationsdatei zu entfernen. Sollten die darin enthaltenen
Daten von Bedeutung sein (z.B. Adresse des Proxyservers), dann müssen diese
Werte in die neuen Abschnitte der Komponente übertragen werden.
Empfohlene Einstellungen der
Komponente
Folgende Optionen werden nicht mehr verwendet und sind aus der
Konfigurationsdatei der Anwendung im Abschnitt [updater.options] zu
löschen:
keepup2date
Arbeit mit Kaspersky Anti-Virus 38
RandomServerOrder – Diese Option wurde aufgrund des veränderten
Vorgehens zur Serverauswahl ausgeschlossen.
ReloadApplication – Diese Option wurde durch eine umfassendere Option
ersetzt (Ausführung des Skripts PostUpdateCmd
).
ExtraWgetOptions – Das externe Programm wget wird nicht mehr
verwendet.
ShowExternalCmdOutput – Externe Befehle werden nicht mehr ausgeführt.
Außerdem wird die Option UpdateServersFile im Abschnitt [path] nicht mehr
verwendet, weil die Liste der Server nun dynamisch aktualisiert wird.
Das Update der Antiviren-Datenbanken kann auf unterschiedliche Weise
erfolgen:
Um das Update der Antiviren-Datenbanken von einem der KasperskyLab-Updateserver zu konfigurieren, deren Adressen in der Liste der
Komponente keepup2date enthalten sind:
Geben Sie für den Parameter UseUpdateServerUrl im Abschnitt
[updater.options] den Wert No an.
Um das Update der Antiviren-Datenbanken von einer
benutzerdefinierten Adresse zu konfigurieren, bei Fehlschlag aber den
Updateprozess abzubrechen:
Geben Sie für die Parameter UseUpdateServerUrl und
UseUpdateServerUrlOnly im Abschnitt [updater.options] den Wert
Yes an. Außerdem muss der Parameter UpdateServerUrl die Adresse
des Updateservers enthalten.
Um das Update der Antiviren-Datenbanken von einer
benutzerdefinierten Adresse zu konfigurieren, bei Fehlschlag aber die
Datenbanken von einer Adresse zu aktualisieren, die in der
Updateserver-Liste der Komponente enthalten ist:
Geben Sie für den Parameter UseUpdateServerUrl im Abschnitt
[updater.options] den Wert Yes an, und für den Parameter
UseUpdateServerUrlOnly den Wert No. Außerdem muss der Parameter UpdateServerUrl die Adresse des Updateservers enthalten.
39 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
5.1.3. Planung von Updates der AntivirenDatenbanken mit Hilfe von cron
Sie können die regelmäßige automatische Aktualisierung der Antiviren-Datenbanken mit Hilfe des Programms cron planen.
Aufgabe: Festlegen der automatischen Aktualisierung der AntivirenDatenbanken im Drei-Stunden-Takt. Festlegen der zufälligen Auswahl
des Updateservers. Aktivieren des Modus für den automatischen
Neustart des Prozesses aveserver sofort nach der Aktualisierung der
Datenbanken. Im Systemprotokoll sollen nur Fehler beim Update
aufgezeichnet werden. In einem allgemeinen Protokoll werden alle
Taskstarts aufgezeichnet. Auf der Konsole werden keine Informationen
angezeigt.
Lösung
1. Legen Sie in der Konfigurationsdatei der Anwendung die
2. Ändern Sie die Datei, welche die Regeln für die Arbeit des
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
crontab –e) festlegt. Geben Sie folgende Zeile ein:
5.1.4. Einmalige Aktualisierung der
Antiviren-Datenbanken
Die Aktualisierung der Antiviren-Datenbanken kann jederzeit aus der
Befehlszeile gestartet werden.
Aufgabe: Start der Aktualisierung der Antiviren-Datenbanken,
Speichern der Arbeitsergebnisse in der Datei /tmp/updatesreport.log.
Lösung
: Geben Sie zur Lösung dieser Aufgabe in der Befehlszeile ein:
Arbeit mit Kaspersky Anti-Virus 40
keepup2date –l /tmp/updatesreport.log
Ist es erforderlich, die Antiviren-Datenbanken auf mehreren Computern zu
aktualisieren, dann bietet sich an, anstelle des mehrmaligen Downloads der
Datenbanken aus dem Internet, die Datenbanken einmal von den Updateservern
herunterzuladen, sie in einem bestimmten Verzeichnis zu speichern und die
Datenbanken danach aus diesem Verzeichnis zu aktualisieren.
Aufgabe: Organisation der Aktualisierung der Antiviren-Datenbanken
aus dem Netzwerkverzeichnis
Verzeichnis nicht verfügbar oder leer ist, Aktualisierung von den
Kaspersky-Lab-Servern. Die Arbeitsergebnisse werden in einer
Protokolldatei aufgezeichnet.
Lösung
1. Legen Sie in der Konfigurationsdatei der Anwendung die
2. Geben Sie in der Befehlszeile ein:
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
entsprechenden Parameterwerte fest:
[updater.options]
UpdateServerUrl=/home/bases
UseUpdateServerUrl=yes
UseUpdateServerUrlOnly=no
(oder verwenden Sie den Parameter –g /home/bases)
keepup2date –l /tmp/report.txt
/home/bases, und wenn dieses
5.1.5. Erstellen eines Netzwerkordners zum
Speichern und Kopieren der
Antiviren-Datenbanken
Da die als Quelle für Updates der Antiviren-Datenbanken dienenden KasperskyLab-Seiten eine komplexe Struktur aufweisen, muss bei der Konfiguration des
Updates der lokalen Computer Ihres Netzwerks aus einem bestimmten
Netzwerkordner eine analoge Dateistruktur erstellt werden
Aufgabe
Datenbanken auf die lokalen Computer des Netzwerks kopiert werden.
Lösung
: Erstellen eines Netzwerkordners, aus dem die Antiviren-
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
41 Kaspersky Anti-Virus
1. Erstellen Sie einen lokalen Ordner.
2. Starten Sie die Komponente keepup2date auf folgende Weise:
keepup2date –u rdir
wobei rdir – vollständiger Pfad des erstellten Ordners.
3. Erlauben für die die lokalen Computer den Netzwerkzugriff auf
diesen Ordner.
®
for Linux, FreeBSD and OpenBSD Mail Servers
Aufgabe
einen Proxyserver.
Lösung
: Konfiguration des Updates der Antiviren-Datenbanken über
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Geben Sie im Abschnitt[updater.options] der Konfigurationsdatei
für den Parameter UseProxy den Wert Yes an.
2.
Vergewissern Sie sich, dass der ParameterProxyAddress im
Abschnitt
des Proxyservers enthält. Die Adresse muss folgendes Format
besitzen: http://username:password@ip_address:port. Dabei
gelten die Werte ip_address und port als obligatorisch, username
und password sind nur erforderlich, wenn die Autorisierung auf
dem Proxyserver erforderlich ist.
oder:
[updater.options] der Konfigurationsdatei die Adresse
1. Geben Sie im Abschnitt[updater.options] der Konfigurationsdatei
für den Parameter UseProxy den Wert Yes an.
2. Legen Sie die Umgebungsvariablehttp_proxyim Format http://username:password@ip_address:port fest. Beachten Sie,
dass die Variable nur dann berücksichtigt wird, wenn der
Parameter UseProxy im Abschnitt [updater.options] fehlt oder
den Wert Yes besitzt.
5.2. Antivirenschutz des
Mailverkehrs des Servers
Die Antivirenfilterung des Mailverkehrs (eingehender und ausgehender Traffic,
sowie Transit) ist die Hauptaufgabe von Kaspersky Anti-Virus und wird mit Hilfe
der Komponente smtpscanner realisiert.
Arbeit mit Kaspersky Anti-Virus 42
Mit Hilfe von smtpscanner können Sie den Schutz Ihrer Benutzer vor infizierten
Briefen gewährleisten und die Zustellung von virusfreien und desinfizierten
Nachrichten mit Benachrichtigungen über die Untersuchungsergebnisse jedes
Briefes organisieren.
Die Realisierung der sekundären Filterung nach den Typen angehängter Dateien
erlaubt es, die Serverbelastung während der Antivirenbearbeitung des Mailverkehrs zu verringern. Und dies ist nur ein Teil der Funktionalität des Produkts.
Weitere Möglichkeiten von Kaspersky Anti-Virus
benen Aufgaben zum Schutz des Mailverkehrs gezeigt.
Alle Parameter der Komponente smtpscanner befinden sich in den
Optionen [smtpscan.*] der Konfigurationsdatei kav4mailservers.conf.
Im Folgenden betrachten wir typische Aufgaben, die den Antivirenschutz des
Mailverkehrs realisieren.
Beachten Sie, dass der Prozess aveserver gestartet sein muss, damit die
Antivirenuntersuchung des Mailverkehrs von der Anwendung
durchgeführt werden kann!
®
werden in den unten beschrie-
5.2.1. Nur virusfreie und desinfizierte E-
Mails sollen zugestellt werden
Diese Art der Konfiguration von Kaspersky Anti-Virus® wird verwendet, wenn
keine Unterteilung der Benutzer in Absender-Empfängergruppen vorgesehen ist.
Von Nutzen ist dies z.B., wenn die Zustellung von ausschließlich virusfreien und
desinfizierten Mail-Nachrichten an alle Adressaten des Servers konfiguriert
werden soll.
43 Kaspersky Anti-Virus
Aufgabe:
• Untersuchung des gesamten Mailverkehrs auf das Vorhandensein von Viren und Desinfektion aller infizierten MailNachrichten;
• Löschen von infizierten Mail-Nachrichten, die nicht desinfiziert
werden konnten;
• Zustellung von desinfizierten Nachrichten an die Adressaten;
• Benachrichtigung von Absendern, Empfängern und Admini-
stratoren über desinfizierte, gelöschte, verdächtige und
beschädigte Mail-Nachrichten, sowie über Objekte, durch deren
Untersuchung ein Fehler auftrat. An Benachrichtigungen für den
Administrator werden die infizierten Objekte in unveränderter
Form angehängt;
• Aufzeichnung der Arbeitsergebnisse in der Datei /tmp/report.log.
Lösung
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Legen Sie für die Gruppe [smtpscan.group:default] folgende
Konfigurationsparameter fest:
[smtpscan.group:default]
Check=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes
RecipientAction=remove
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
Die Parameter Sender*, Recipient* und Admin* bestimmen die
Bearbeitungsregeln für alle Objekttypen außer Clean. Jede
Regel, die für ein konkretes Objekt festgelegt wird, besitzt
höhere Priorität. Im vorliegenden Beispiel werden alle
Objekttypen aus der Mail eines Empfängers entfernt
(RecipientAction=remove), außer dem Objekt Cured
(CuredRecipientAction=cured).
®
for Linux, FreeBSD and OpenBSD Mail Servers
Arbeit mit Kaspersky Anti-Virus 44
2. Konfigurieren Sie den Protokolleintrag über die Arbeitsergebnisse
der Komponente in der Datei /tmp/report.log:
[smtpscan.report]
ReportOk=yes
ReportFileName=/tmp/report.log
ReportFilePermission=0660
5.2.2. Infizierte E-Mails zustellen
In bestimmten Situationen kann die Zustellung beliebiger Nachrichten, einschließlich infizierter, an eine ausgewählte Empfängergruppe erforderlich sein.
Aufgabe
Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Legen Sie für die Gruppe [smtpscan.group:default] folgende
:
• Untersuchung des gesamten Mailverkehrs auf das Vorhandensein von Viren;
• Desinfektion aller infizierten Nachrichten für alle Empfänger,
außer jenen der Gruppe urgent;
• Verschieben von Mail-Nachrichten, die nicht desinfiziert werden
konnten, sowie von verdächtigen und beschädigten Briefen in
das Quarantäneverzeichnis für alle Empfänger, außer jenen der
Gruppe urgent;
• Benachrichtigung von Absendern, Empfängern und Administratoren über gesperrte, desinfizierte, gelöschte, verdächtige
und beschädigte Mail-Nachrichten, sowie über Objekte, durch
deren Untersuchung ein Fehler auftrat. An Benachrichtigungen
für den Administrator werden die infizierten Objekte in unveränderter Form angehängt;
• Zustellung aller Briefe, einschließlich infizierter, an die Benutzer
der Gruppe urgent zusammen mit einem obligatorischen
Hinweis auf die Möglichkeit einer Virusinfektion.
5.2.3. Zustellung von Nachrichten, die ein
kennwortgeschütztes Archive
enthalten
Es kommt häufig vor, dass eine E-Mail-Nachricht ein durch Kennwort
geschütztes Archiv enthält. Kaspersky Anti-Virus desinfiziert infizierte Dateien,
die in Archive verpackt sind (Details s. Pkt. 5.3.3.1 auf S. 52). Deshalb stellt die
Arbeit mit Kaspersky Anti-Virus 46
Anwendung standardmäßig Briefe zu, die ein kennwortgeschütztes Archiv
enthalten, ohne sie zu untersuchen. Dabei wird ein Brief erstellt, der darüber
informiert, dass dieses Archiv nicht untersucht wurde. Die Benachrichtigung wird
an den Nachrichtenempfänger und an den Administrator geschickt.
Um die Funktion zur Benachrichtigung über die Zustellung eines nicht
untersuchten Archivs zu deaktivieren:
• Wählen Sie im Abschnitt [smtpscan.group:default] der
Konfigurationsdatei der Anwendung für den Parameter
ProtectedRecipientAttachReport den Wert no. Dadurch wird die
Zustellung der Benachrichtigung an den Empfänger deaktiviert.
• Wählen Sie im Abschnitt [smtpscan.group:default] der
Konfigurationsdatei der Anwendung für den Parameter
ProtectedAdminNotify den Wert no. Dadurch wird die Zustellung der
Benachrichtigung an den Gruppenadministrator deaktiviert.
5.2.4. Zustellung von Nachrichten an
Adressaten sperren
Gewöhnlich besteht für den Administrator die Notwendigkeit, den Empfang
bestimmter Nachrichten für Empfänger zu blockieren.
Betrachten wir folgendes Beispiel: Eine Mail-Nachricht ist virusverdächtig, enthält
aber wichtige Daten, die unbedingt gespeichert werden müssen. Bei der Desinfektion könnten die Daten verloren gehen. In dieser Situation ist es besser, die
Mail-Nachricht zu isolieren und z.B. zur Untersuchung durch Spezialisten an
Kaspersky Lab zu senden.
Aufgabe
:
• Untersuchung des gesamten Mailverkehrs auf das Vorhan-
densein von Viren und Desinfektion aller infizierten MailNachrichten;
• Blockieren der Zustellung von infizierten, verdächtigen,
beschädigten und durch Kennwort geschützten Mail-Nachrichten, sowie Nachrichten, durch deren Untersuchung ein
Fehler auftrat;
• Zustellung von ausschließlich desinfizierten Nachrichten an die
Adressaten;
47 Kaspersky Anti-Virus
• Benachrichtigung von Absendern, Empfängern und Admini-
stratoren über blockierte, desinfizierte, gelöschte, verdächtige
und beschädigte Mail-Nachrichten, sowie über Objekte, durch
deren Untersuchung ein Fehler auftrat. An Benachrichtigungen
für den Administrator werden die infizierten Objekte in unveränderter Form angehängt.
Lösung
Nehmen Sie in der Konfigurationsdatei kav4mailservers.conf folgende
Einstellungen vor:
[smtpscan.group:default]
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
InfectedQuarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
ProtectedQuarantine=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes
RecipientAction=remove
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
®
for Linux, FreeBSD and OpenBSD Mail Servers
5.2.5. E-Mails zusätzlich nach dem Typ der
Anlagen filtern
Häufig enthalten Mail-Nachrichten Dateien, die mit hoher Wahrscheinlichkeit
einen Virus (z.B. eine exe-Datei) enthalten. Zur Verhinderung einer Infektion
empfehlen wir, die Filterung des Mailverkehrs nach Name und/oder Typ solcher
Arbeit mit Kaspersky Anti-Virus 48
Objekte zu organisieren und sie zur weiteren Bearbeitung in einem separaten
Verzeichnis zu blockieren.
Es existieren auch solche Objekte, die nicht infiziert sein können. Zur
Verringerung der Serverbelastung bei der Antivirenbearbeitung von MailNachrichten empfehlen wir, die Typen und/oder Namen solcher angehängter
Dateien vorher zu bestimmen und sie bei der Mailuntersuchung auszufiltern.
Aufgabe
:
• für Benutzergruppe users:
! Untersuchung von Mail-Nachrichten der Gruppe auf
das Vorhandensein von Viren;
! Filterung der Mail nach angehängten exe-Dateien;
Blockieren der ausgefilterten Nachrichten in einem
Quarantäneverzeichnis;
! Desinfektion von infizierten Mail-Nachrichten; wenn
der Desinfektionsversuch eines Objekts erfolglos war,
dann soll es aus dem Brief an den Empfänger
entfernt werden, jedoch in unveränderter Form an
den Gruppenadministrator zugestellt werden;
! Benachrichtigung über blockierte Objekte nur an den
Gruppenadministrator und die Empfänger;
! Benachrichtigung von Absendern, Empfängern und
Administrator über gelöschte, infizierte, beschädigte
und durch Kennwort geschützte Objekte, sowie über
Objekte, durch deren Untersuchung ein Fehler
auftrat.
• für alle übrigen Empfänger:
! Untersuchung des gesamten Mailverkehrs des
Servers auf das Vorhandensein von Viren und
Desinfektion aller infizierten Mail-Nachrichten;
! Blockieren von infizierten Objekten, deren
Desinfektion erfolglos war, sowie von verdächtigen,
beschädigten Briefen, und Objekten, durch deren
Untersuchung ein Fehler auftrat, in einem
Quarantäneverzeichnis;
! Zustellung von desinfizierten Nachrichten an die
Adressaten;
49 Kaspersky Anti-Virus
! Zustellung von durch Kennwort geschützten Dateien
mit einem Hinweis über die Möglichkeit einer
Virusinfektion;
! Benachrichtigung von Absendern, Empfängern und
Administrator über gelöschte, infizierte, beschädigte,
blockierte Mail-Nachrichten, sowie über Objekte,
durch deren Untersuchung ein Fehler auftrat. An
Benachrichtigungen für den Administrator werden alle
Objekttypen in unveränderter Form angehängt.
Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Passen Sie die Konfiguration für die Gruppe
[smtpscan.group:users] folgendermaßen an:
[smtpscan.group:users]
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
AdminAddress=admin@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=yes
RecipientAction=remove
FilterName=*.exe$
FilteredQuarantine=yes
FilteredRecipientNotify=yes
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
ProtectedRecipientNotify=yes
ProtectedRecipientAction=unchanged
ProtectedRecipientAttachReport=no
ProtectedSenderNotify=no
ProtectedAdminNotify=no
2. Passen Sie die Konfiguration für die Gruppe
[smtpscan.group:default] folgendermaßen an:
®
for Linux, FreeBSD and OpenBSD Mail Servers
Arbeit mit Kaspersky Anti-Virus 50
Check=yes
QuarantinePath=/var/db/Quarantine
Quarantine=yes
InfectedQuarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
AdminAddress=admin2@localhost.ru
AdminNotify=yes
AdminAction=unchanged
SenderNotify=yes
RecipientNotify=yes
RecipientAttachReport=no
RecipientAction=remove
ProtectedRecipientNotify=yes
ProtectedRecipientAttachReport=yes
ProtectedRecipientAction=unchanged
CuredRecipientNotify=yes
CuredRecipientAttachReport=yes
CuredRecipientAction=cured
Details zum Erstellen einer Liste der Benutzergruppen s. Pkt. 6.1.1 auf
S. 64
5.3. Antivirenschutz von
Dateisystemen
Der Antivirenschutz der Dateisysteme eines Servers erfolgt mit Hilfe der
Komponente kavscanner, die Serverdateien auf das Vorhandensein von Viren
untersucht und entsprechend den Funktionsparametern die Bearbeitung
infizierter und verdächtiger Objekte vornimmt. Die Bearbeitung der Objekte kann
entweder rein informativen Charakter besitzen (Anzeige von Informationen im
Protokoll und auf der Serverkonsole, Benachrichtigung des Administrators) oder
auch zur Veränderung des Objekts führen (Desinfektion, Verschieben in ein
Quarantäneverzeichnis, Löschen).
Alle Parameter der Komponente kavscanner befinden sich in den
Optionen [scanner.*] der Konfigurationsdatei kav4mailservers.conf.
51 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Die Untersuchung des Dateisystems Ihres Servers kann einmalig aus der
Befehlszeile ausgeführt werden oder nach Taskplan mit Hilfe des Standarddienstprogramms cron. Sie können entweder die Untersuchung aller Dateisysteme des Servers oder eines bestimmten Verzeichnisses festlegen.
Im Folgenden betrachten wir typische Aufgaben für den Antivirenschutz eines
Serverdateisystems.
Der Prozess einer Virusuntersuchung des gesamten Servers ist eine
Prozedur mit relativ hohem Ressourcenbedarf. Es ist zu beachten, dass
sich bei ihrem Start die Funktionsgeschwindigkeit verlangsamt. Deshalb
wird empfohlen, parallel keine anderen Prozesse zu starten. Zur
Vermeidung solcher Probleme wird empfohlen, einzelne Verzeichnisse
zu untersuchen.
5.3.1. Untersuchung von Dateien auf Befehl
Eine der Aufgaben, die mit Kaspersky Anti-Virus® gelöst werden können, ist die
Virus-Untersuchung und Desinfektion der Dateien eines bestimmten
Serververzeichnisses.
Aufgabe
mit automatischer Desinfektion aller infizierten Objekte. Alle Objekte,
deren Desinfektion nicht möglich ist, sollen gelöscht werden.
: Start der rekursiven Untersuchung des Verzeichnisses /tmp
Die Arbeitsergebnisse der Komponente (Startdatum, Informationen
über alle Dateien außer virusfreien Objekten, mit Detailinfos) sollen nur
in der Protokolldatei kavscanner-aktuelles_Datum-pid.log erscheinen,
die im gleichen Verzeichnis gespeichert wird.
Lösung: Geben Sie zur Lösung dieser Aufgabe in der Befehlszeile ein:
Wenn bei der Untersuchung ein infiziertes Objekt in einem Archiv
gefunden wird, dann wird das gesamte Archiv gelöscht!
Arbeit mit Kaspersky Anti-Virus 52
5.3.2. Tägliche Untersuchung eines
Verzeichnisses nach Taskplan
(cron)
In den Betriebssystemen der Unix-Familie wird der zeitgesteuerte Start von
Programmen, wozu auch die Tasks von Kaspersky Anti-Virus
des Dienstprogramms cron durchgeführt.
Aufgabe: Jeden Tag um 0 Uhr 00 Minuten soll die Virus-Untersuchung
des Verzeichnisses /home gestartet werden. Dabei sollen die ScanParameter verwendet werden, die in der Konfigurationsdatei
/etc/kav/scanhome.conf festgelegt sind.
Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Erstellen Sie die Konfigurationsdatei /etc/kav/kavscaner.cron und
geben Sie dort alle erforderlichen Untersuchungsparameter an.
2. Ändern Sie die Datei, welche die Regeln für die Arbeit des
Prozesses cron (
5.3.3. Zusätzliche Optionen: Verwendung
von Skriptdateien
Kaspersky Anti-Virus® bietet die Möglichkeit zur zusätzlichen Bearbeitung von
Objekten, die der Antiviren-Analyse unterzogen wurden. Hierzu werden
unterschiedliche Unix-Standardbefehle sowie Skriptdateien verwendet. Mit Hilfe
solcher Werkzeuge können erfahrene Administratoren die Aktionen für Objekte
mit unterschiedlichem Status selbständig festlegen und so die Funktionalität von
Kaspersky Anti-Virus
®
erweitern.
5.3.3.1. Desinfektion infizierter Archiv-Objekte
Zur Untersuchung von Archiven müssen die entsprechenden
Programme zur Arbeit mit den Archiven installiert sein!
53 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Kaspersky Anti-Virus® führt keine Desinfektion infizierter Dateien durch, die in
Archive gepackt sind, findet aber in diesen enthaltene verdächtige und infizierte
Objekte. Allerdings kann die Desinfektion durch eine zusätzliche Skriptdatei
realisiert werden. In der vorliegenden Dokumentation wird ein Beispiel für die
Desinfektion von Archiven des Typs tar, rar, tgz und zip mit Hilfe der Skriptdatei
vox.sh besprochen. Dieses Skript gehört zum Lieferumfang von Kaspersky AntiVirus®.
Aufgabe
Typen tar und zip, und Desinfektionsversuch aller in Archiven
gefundenen infizierten Objekte mit Hilfe des Skripts vox.sh. Als
: Untersuchung aller auf dem Server vorhandenen Archive der
Konfigurationsdatei soll /etc/kav/kavscanner.conf.in verwendet werden,
in der vorher die Verwendung der Skriptdatei für die Archivdesinfektion
festgelegt wird. Verwendung des Heuristischen Code-Analyzers.
Aufzeichnung einer Liste aller infizierten Objekte mit vollständigem Pfad
in der Datei /tmp/infected_archive.lst. Arbeitsprotokoll der Komponente
in der Datei /tmp/logfile.log.
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
Lösung
1. Erstellen Sie die alternative Datei kavscanner.conf.in.
2. Legen Sie als Bearbeitungsregeln für infizierte Objekte im Abschnitt
Durch die Verwendung von Unix-Standardwerkzeugen können Sie mit
Kaspersky Anti-Virus
®
eine Benachrichtigung an den Serveradministrator
konfigurieren, die über den Fund von infizierten, verdächtigen und beschädigten
Dateien in den gemounteten Dateisystemen informiert.
Arbeit mit Kaspersky Anti-Virus 54
Aufgabe: Konfiguration einer Benachrichtigung des Administrators beim
Fund infizierter Dateien und Archive in den Dateisystemen des Servers
bei jeder Untersuchung des Servers, die entsprechend den Parametern
der Konfigurationsdatei kav4mailservers.conf ausgeführt wird.
Lösung
Geben Sie in der Konfigurationsdatei kav4mailservers.conf die Bearbeitungsregeln für gewöhnliche Objekte und Archiv-Objekte an:
[scanner.object]
OnInfected=exec echo %FULLPATH%/%FILENAME% is
infected by %VIRUSNAME% |
mail -s kavscanner admin@localhost.ru
[scanner.container]
OnInfected=exec echo archive %FULLPATH%/%FILENAME% is
infected, viruses list is in the attached file %LIST%
| mail -s kavscanner -a %LIST% admin@localhost.ru
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
5.3.4. Verschieben von Objekten in ein
separates Verzeichnis (Quarantäne)
Sie können die Arbeit von Kaspersky Anti-Virus® so organisieren, dass alle
infizierten Objekte des Serverdateisystems in ein separates Verzeichnis
verschoben werden.
Diese Möglichkeit kann z.B. verwendet werden, wenn während der Antivirenuntersuchung eines Verzeichnisses eine infizierte Datei gefunden wurde, die
wichtige Daten enthält. Bei der Desinfektion könnten die Daten teilweise verloren
gehen. In dieser Situation ist es ratsam, das infizierte Objekt in einem separaten
Verzeichnis zu isolieren, um es z.B. später zur Untersuchung an Kaspersky Lab
zu schicken. Möglicherweise gelingt den Experten die Reparatur der Datei und
die darin enthaltenen Daten können vollständig erhalten bleiben.
Wenn das Verzeichnis für isolierte Objekte in der Struktur des Serverdateisystems gespeichert werden soll, empfehlen wir, es für folgende Untersuchungen aus dem Scanbereich auszuschließen, indem sein vollständiger Pfad
als Wert des Parameters ExcludeDir der Konfigurationsdatei angegeben wird.
55 Kaspersky Anti-Virus
Aufgabe: Untersuchung aller Objekte, die in der Datei /tmp/download.lst
aufgezählt werden, auf das Vorhandensein von Viren und Verschieben
von gefundenen infizierten Objekten mit vollständigem Pfad in das Verzeichnis /tmp/infected. Verwendung des Heuristischen Code-Analyzers;
Rekursion deaktivieren. Informationen über infizierte, verdächtige und
beschädigte Objekte werden in einer Protokolldatei aufgezeichnet.
Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
1. Geben Sie als Aktion für infizierte Objekte in den Abschnitten
[scanner.object] und [scanner.container] der
Konfigurationsdatei folgende Zeile an:
OnInfected=movePath /tmp/infected
2. Deaktivieren Sie den Desinfektionsmodus (Cure=no), falls dieser
Dieser Task lässt sich auch komplexer gestalten, indem die Forderung
aufgestellt wird, den Zugriff auf Dateien des Verzeichnisses /tmp/infected auf
Lesen und Schreiben zu beschränken. Dies kann mit Hilfe von Unix-Standardwerkzeugen (Befehl chmod) erreicht werden. Zur Lösung der Aufgabe sind
folgende Änderungen erforderlich:
Geben Sie in den Abschnitten [scanner.object] und
[scanner.container] der Konfigurationsdatei /etc/kav/kavscanner.conf
als Bearbeitungsregeln für infizierte Objekte folgende Zeile an:
Wenn bei der Untersuchung infizierte Dateien gefunden werden und als Aktion
für infizierte Objekte das Löschen aus dem Dateisystem festgelegt wurde,
besteht das Risiko des Verlusts wichtiger Daten. Um dies zu vermeiden, bietet
Kaspersky Anti-Virus die Möglichkeit, Dateien in den Backup-Speicher zu
kopieren.
Arbeit mit Kaspersky Anti-Virus 56
Vor der Desinfektion oder dem Löschen eines Objekts wird im Backup-Speicher
(Abschnitt [scanner.path], Parameter BackupPath) automatisch eine Kopie
angelegt. Die Sicherheitskopie bleibt auch dann erhalten (und bei Bedarf kann
die ursprüngliche Datei wiederhergestellt werden), wenn das Objekt bei der
Desinfektion beschädigt werden sollte. Das Objekt wird mit vollständigem Pfad in
Backup gespeichert. Bei wiederholtem Speichern im Backup-Speicher wird die
ältere Kopie eines Objekts automatisch durch die neuere ersetzt.
Bitte beachten Sie: Der Modus zum Anlegen von Sicherheitskopien im BackupSpeicher ist nicht standardmäßig aktiviert und der Ordner, in dem die
Sicherheitskopien gespeichert werden sollen, ist nicht festgelegt. Um diese
Option zu nutzen, muss dieser Pfad angegeben werden.
Wenn ein Objekt aus dem Dateisystem gelöscht wird, bleibt die Kopie
im Backup-Speicher solange erhalten, bis sie vom Administrator
gelöscht wird.
5.4. Verwaltung von
Lizenzschlüsseln
Der Lizenzschlüssel verleiht Ihnen das Recht zur Nutzung des Produkts und
enthält alle erforderlichen Informationen, die mit der von Ihnen erworbenen
Lizenz verbunden sind. Dazu zählen: Typ der Lizenz, Ende der Gültigkeitsdauer
der Lizenz, Anzahl der geschützten Benutzer oder Volumen des lizenzierten
Traffic (abhängig vom Typ der Lizenz), Händlerinformationen, usw.
Neben dem Recht zur Nutzung des Produkts während der Gültigkeitsdauer der
Lizenz stehen Ihnen folgende Möglichkeiten zur Verfügung:
• Technische Unterstützung (rund um die Uhr);
• tägliches Update der Antiviren-Datenbanken;
• Produktaktualisierung (Patch);
• Download neuer Produktversionen (Upgrade);
• frühzeitige Benachrichtigung über neue Viren.
Bei Ablauf der Gültigkeitsdauer der Lizenz verlieren Sie automatisch das Recht
auf die oben genannten Leistungen. Kaspersky Anti-Virus
Antivirenbearbeitung der Serverdateisysteme und des Mailverkehrs durchführen,
dabei aber nur die Antiviren-Datenbanken verwenden, die am Datum des
Ablaufs der Lizenzgültigkeit aktuell waren. Der Serveradministrator erhält eine
Benachrichtigung über den Ablauf der Lizenzgültigkeit. Die automatische
Updatefunktion für die Antiviren-Datenbanken steht nicht mehr zur Verfügung.
®
wird weiterhin die
57 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Aus diesem Grund ist es sehr wichtig, regelmäßig die im Lizenzschlüssel
angegebenen Informationen zu überprüfen und das Ablaufdatum der Lizenzgültigkeit zu verfolgen.
5.4.1. Lizenzierungsmechanismus
Kaspersky Anti-Virus Version 5.5 besitzt eine neue Technologie zur
Lizenzierung. Beim Installationsvorgang der Anwendung auf dem Server wird der
Administrator aufgefordert, eine Liste der Domänen anzulegen, deren Mail
untersucht werden soll. Die Lizenzierung kann erfolgen:
• entweder nach dem Volumen des untersuchten Traffics
• nach der Anzahl der geschützten Benutzer.
Im ersten Fall gilt als lizenzierter Traffic das Gesamtvolumen der von der
Anwendung empfangenen Nachrichten, die mit Hilfe des Antivirenkerns
untersucht wurden und den Status Clean erhielten (d.h. keinen Virus enthielten).
Im zweiten Fall gilt jeder Absender und/oder Empfänger einer Nachricht, die von
der Anwendung untersucht und bearbeitet wurde und nicht infiziert war, als
lizenzierter Benutzer.
Vierzehn Tage bevor die Gültigkeitsfrist der Lizenz abläuft, wird automatisch eine
entsprechende Benachrichtigung an den Administrator erstellt. Diese Meldung
erfolgt einmal täglich sowie bei jedem erneuten Start der Anwendung.
Durch einen analogen Mechanismus erfolgt auch eine Benachrichtigung, wenn
die Gültigkeitsdauer der Lizenz endet und das lizenzierte Trafficvolumen
erschöpft ist.
Wenn das Trafficvolumen den lizenzierten Umfang um über 10 Prozent
übersteigt, erhält der Administrator jedes Mal eine entsprechende
Benachrichtigung, wenn eine Nachricht mit einem anderen Status als Clean
gefunden wird.
Zur korrekten Konfiguration des Lizenzierungsmechanismus ist es
erforderlich:
den Parameter LicenseDomain Abschnitt [smtpscan.license]
festzulegen. Dieser Parameter bestimmt die Maske der Domänen (unter
Verwendung des Standards POSIX regexp), deren Benutzer als
lizenzierte Benutzer gelten. Als Argument dieses Parameters müssen
alle E-Mail-Domänen angegeben werden, die von Kaspersky Anti-Virus
geschützt werden sollen. Die Domänen müssen im Format POSIX
regexp angegeben werden und werden in separaten Zeilen durch
Komma getrennt aufgezählt.
Arbeit mit Kaspersky Anti-Virus 58
Beachten Sie, dass das Symbol "." im Format POSIX regexp eine
eigene Bedeutung besitzt. Es muss deshalb von dem Zeichen "\"
begleitet werden.
5.4.2. Anzeige von Informationen über den
Lizenzschlüssel
Sie können Informationen über die installierten Lizenzschlüssel in den
Arbeitsprotokollen der Komponenten kavscanner, keepup2date und aveserver
kontrollieren. Beim Start jeder dieser Komponenten werden Informationen über
die Schlüssel geladen.
Daneben ist in Kaspersky Anti-Virus
licensemanager vorgesehen, die es ermöglicht, nicht nur ausführliche
Informationen über die Schlüssel, sondern auch bestimmte analytische Daten zu
erhalten.
Wenn Sie Kaspersky Anti-Virus
®
mit dem Lizenztyp NACH VOLUMEN DES
MAILVERKEHRS erworben haben, erlaubt Ihnen die Komponente
licensemanager, zu überprüfen, welches Trafficvolumen bereits verbraucht
wurde und welches Volumen (in MB) des lizenzierten Mailverkehrs im Moment
noch verbleibt.
Außerdem können Sie Informationen über das Volumen des innerhalb eines
Tages (nach Stunden) bearbeiteten Traffic erhalten und auf diese Weise Zeiten
mit hoher Belastung ermitteln. Diese Informationen können z.B. dann nützlich
sein, wenn Probleme mit dem Produkt auftreten und Sie den Service für
Technische Unterstützung in Anspruch nehmen möchten.
Beim Erwerb von Kaspersky Anti-Virus
BENUTZERANZAHL können Sie die Gesamtzahl der lizenzierten Benutzer
ermitteln, die der erworbenen Lizenz entspricht.
Alle oben genannten Informationen können auf der Serverkonsole angezeigt
werden oder im Remote-Modus mit Hilfe des Programms Webmin von jedem
Computer Ihres Netzwerks gelesen werden.
®
eine spezielle Komponente
®
mit dem Lizenztyp NACH
Um Informationen über alle installierten Lizenzschlüssel anzuzeigen,
geben Sie in der Befehlszeile ein:
licensemanager –s
Auf der Serverkonsole werden folgende Informationen angezeigt:
Kaspersky license manager Version 5.5
59 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Copyright (C) Kaspersky Lab. 1998-2005.
License file 0003D3EA.key, serial 0038-0004190003D3EA, "Kaspersky Anti-Virus for Unix Mail
Servers", expires 04-07-2003 in 28 days
License file 0003E3E8.key, serial 011E-0004130003E3E8, "Kaspersky Anti-Virus for Unix Mail Servers
(licence per e-mail address)", expires 25-01-2004 in
234 days
Um Informationen über eine bestimmte Lizenzdatei anzuzeigen,
Geben Sie in der Befehlszeile z.B. folgende Zeile ein:
licensemanager –k 0003D3EA.key
Auf der Konsole werden folgende Informationen angezeigt:
Kaspersky license manager Version 5.5
Copyright (C) Kaspersky Lab. 1998-2005.
Serial 0038-000419-0003D3EA, "Kaspersky Anti-Virus
for Unix Mail Servers", expires 04-07-2003 in 28 days
Um Informationen über den lizenzierten Mailverkehr oder die Anzahl
der geschützten Benutzer zu erhalten,
Geben Sie in der Befehlszeile ein:
licensemanager –i
Auf der Serverkonsole werden folgende Informationen angezeigt:
• für den Lizenztyp NACH BENUTZERANZAHL:
Kaspersky license manager for Linux. Version
5.5.0/RELEASE #68
Copyright (C) Kaspersky Lab, 1997-2005.
Portions Copyright (C) Lan Crypto
License users units: 5
Users units used: 0
Users units left: 5
• für den Lizenztyp NACH VOLUMEN DES MAILVERKEHRS:
Kaspersky license manager Version 5.5
Copyright (C) Kaspersky Lab. 1998-2005.
Arbeit mit Kaspersky Anti-Virus 60
Daily traffic statistic(Bytes):
0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0
License traffic units: 10 (MB)
Traffic units used: 0 (MB)
Traffic units left: 10 (MB)
®
Für Kaspersky Anti-Virus
mit dem Lizenztyp NACH BENUTZERANZAHL
besteht die zusätzliche Möglichkeit, während der Arbeit mit dem Programm
jederzeit zu überprüfen, ob ein bestimmter Benutzer geschützt ist, d.h. ob
eingehende und ausgehende Mail-Nachrichten des Benutzers der
Antivirenbearbeitung unterzogen werden.
Diese Option kann z.B. dann benutzt werden, wenn sich die erworbene Lizenz
auf eine große Benutzerzahl erstreckt und vor der Aufnahme eines bestimmten
Benutzers in die Liste der lizenzierten Benutzer kontrolliert werden muss, ob
dieser bereits in die Lizenzliste aufgenommen wurde.
5.4.3. Lizenzverlängerung
Die Verlängerung der Lizenz für die Benutzung von Kaspersky Anti-Virus®
verleiht Ihnen das Recht auf die Wiederherstellung der vollen Funktionalität des
Produkts, einschließlich der Aktualisierung der Antiviren-Datenbanken.
Außerdem werden die Zusatzleistungen, die in Pkt. 5.3.3 auf S. 52 genannt sind,
erneuert.
®
Um die Lizenz für die Benutzung von Kaspersky Anti-Virus
Mail Servers zu verlängern:
for Unix
Setzen Sie sich mit der Firma in Verbindung, bei der Sie das Produkt
gekauft haben, und erwerben Sie eine Lizenzverlängerung für die
Nutzung von Kaspersky Anti-Virus
®
.
oder:
Verlängern Sie die Lizenz direkt bei Kaspersky Lab, indem Sie an die
Verkaufsabteilung (sales@kaspersky.com
) schreiben oder auf unserer
Internetseite (www.kaspersky.com/de) im Abschnitt Erneuern Sie Ihre Lizenz das entsprechende Formular ausfüllen. Nach Eingang der
Bezahlung wird Ihnen der Lizenzschlüssel per E-Mail an die Adresse
zugeschickt, die im Bestellformular angegeben wurde.
Nach dem Erwerb ist die Installation des neuen Lizenzschlüssels erforderlich.
Kopieren Sie dazu den Schlüssel in das Verzeichnis, in dem die Schlüssel
gespeichert sind (Parameter LicensePath in der Konfigurationsdatei), und
starten Sie den Server neu.
61 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Es wird empfohlen, anschließend die Antiviren-Datenbanken zu aktualisieren (s.
Pkt. 5.1 auf S. 35).
Kapitel 6. Erweiterte
Einstellungen
In diesem Kapitel behandeln wir die zusätzlichen Funktionalitätseinstellungen
von Kaspersky Anti-Virus
(s. Kapitel 4 auf S. 26), ohne die das Produkt nicht funktionsfähig ist, erfolgen die
Zusatzeinstellungen nach Ermessen des Administrators. Sie dienen der
Erweiterung der Funktionalität des Produkts und dessen Anpassung an die
Verwendungsbedingungen im Rahmen eines konkreten Unternehmens.
®
. Im Unterschied zu den obligatorischen Einstellungen
6.1. Konfiguration des
Antivirenschutzes für den
Mailverkehr
Beim Scannen des Mailverkehrs auf das Vorhandensein von Viren gelten als
Hauptkriterium für die Auswahl der Bearbeitungsregeln jeder Mail-Nachricht die
Absender- und Empfängeradressen und die Parameter der entsprechenden
Gruppe. Deshalb ist es die Zuordnung von Adressen zu den erforderlichen
Gruppen sehr wichtig.
Die Zugehörigkeit einer Mail-Nachricht zu einer konkreten Gruppe wird dadurch
bestimmt, dass sowohl Absenderadresse als auch Empfängeradresse in dieser
Gruppe vorhanden sind. Das Programm durchsucht die Adressenliste der
Gruppe nach beiden Adressen. Sobald in einer durchsuchten Gruppe die
Adressenkombination "Absender-Empfänger" gefunden wird, werden auf die
Nachricht jene Bearbeitungsregeln angewandt, die durch die Parameter dieser
Gruppe definiert sind.
®
Kaspersky Anti-Virus
Parametern der Konfigurationsdatei kav4mailservers.conf aus. Die
Datei kann lokal geändert werden.
Das Vorhandensein einer Zeile mit der Adresse der Nachricht in einer
Gruppe wird entsprechend POSIX regex überprüft.
In der Grundeinstellung enthält die Konfigurationsdatei die Gruppe
[smtpscan.group:default], in der die Bearbeitungsregeln für Mail-Nachrichten
definiert werden. Da die Gruppe ursprünglich keine Absender- und Empfängernamen enthält, werden die in dieser Gruppe definierten Regeln auf alle Nachrichten angewandt. Sie können die Parameter der Gruppe default ändern und
neue Gruppen anlegen.
führt die Antiviren-Filterung entsprechend den
63 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Wenn Sie andere Gruppen in die Konfigurationsdatei eingetragen haben (s.
Pkt. 6.1.1 auf S. 64), dann gilt folgende Bearbeitungsreihenfolge für MailNachrichten:
1. Das Programm überprüft das Vorhandensein der Adressen einer
Nachricht in den Gruppen, die vom Administrator angelegt wurden.
Wenn die Adressen der Nachricht zu einer bestimmten Benutzeradressenliste gehören, dann werden auf die Nachricht die Bearbeitungsregeln angewandt, die durch die Parameter dieser Gruppe
definiert sind.
Wenn die Absender- und Empfängeradressen einer zu
bearbeitenden Nachricht zum Adressenintervall mehrerer
Gruppen gehören, verwendet das Programm die Parameter
der ersten Gruppe.
2. Wenn die Adressen zu keiner der vom Administrator angelegten
Adressengruppe gehören, dann werden auf die Nachricht die Programmaktionen angewandt, die in der Gruppe default definiert sind.
®
Die Reihenfolge der Aktionen von Kaspersky Anti-Virus
bei der Bearbeitung
einer empfangenen Mail-Nachricht wird auf Abb. 5 grafisch dargestellt.
Erweiterte Einstellungen 64
Abb. 5. Bearbeitung einer E-Mail-Nachricht
6.1.1. Erstellen von Benutzergruppen
In der Grundeinstellung enthält die Konfigurationsdatei von Kaspersky Anti-
®
die Gruppe [smtpscan.group:default], die alle Absender-Empfänger des
Virus
Servers enthält. Für sie gelten folgende Regeln zur Bearbeitung von MailNachrichten:
• Untersuchung aller Mail-Nachrichten.
• Desinfektion von gefundenen infizierten Briefen.
• Zustellung von ausschließlich virusfreien und desinfizierten Mail-
Nachrichten an die Adressaten.
• Briefe, deren Desinfektion erfolglos war, sowie verdächtige, beschädigte,
durch Kennwort geschützte Briefe und Mail-Nachrichten, durch deren
Untersuchung ein Fehler auftrat, nur an den Administrator zustellen.
• Benachrichtigung von Absendern, Empfängern und Gruppenadministrator
über infizierte, desinfizierte, verdächtige, beschädigte, durch Kennwort
65 Kaspersky Anti-Virus
geschützte Briefe und Mail-Nachrichten, durch deren Untersuchung ein
Fehler auftrat.
Wenn Sie wünschen, dass Kaspersky Anti-Virus
Empfänger Mail-Nachrichten nach separaten Regeln bearbeitet, dann ist das
Erstellen von Gruppen erforderlich.
Um eine neue Benutzeradressengruppe zu erstellen,
1. Erstellen Sie in der Konfigurationsdatei den Abschnitt
[smtpscan.group:Name_der_Gruppe].
2. Definieren Sie die Adressen (Adressmasken) von Absendern und
Empfängern der Gruppe, indem Sie diese durch Komma getrennt
als Werte der Parameter Senders und Recipients angeben.
Benutzen Sie bei der Eingabe von Masken den Standard
POSIX regex. Verwenden Sie zur Aufzählung von Adressen
ein Komma.
Wenn Sie keinen Wert für den Parameter RecipientsSenders festlegen, wird er definiert als
In Kaspersky Anti-Virus Version 5.5 wurde der Konfigurationsdatei die
Gruppe kavadministrators hinzugefügt. Während des
Installationsprozesses der Anwendung werden dieser Gruppe
automatisch alle E-Mail-Adressen der Administratoren hinzugefügt, die im
Ordner /var/qmail/alias/postmaster enthalten sind.
Wenn sich die Adresse eines Administrators ändert (Parameter
AdminAddress der Gruppe [smtpscan.group:default] oder einer
anderen Gruppe), muss diese Adresse (sowie alle anderen Adressen, für
welche die neue Adresse des Administrators als alias gilt) zur Liste des
Parameters Recipients der Gruppe [smtpscan.group:kavadministrators] hinzugefügt werden.
Dies ist wichtig, wenn infizierte E-Mail-Nachrichten an den Administrator
weitergeleitet werden.
®
for Linux, FreeBSD and OpenBSD Mail Servers
®
für unterschiedliche Absender-
ODER
.*@.*
6.1.2. Modus zur Untersuchung und
Desinfektion von Nachrichten
Damit die Antivirenuntersuchung des Mailverkehrs einer konkreten AbsenderEmpfängergruppe durchgeführt wird, muss der Serveradministrator den entsprechenden Modus in den Parametern der Gruppe aktivieren.
Erweiterte Einstellungen 66
Definieren Sie dazu in der Konfigurationsdatei kav4mailservers.conf für die Grup-
pe den Parameter Check=yes.
Ist der Untersuchungsmodus aktiviert, dann werden alle Mail-Nachrichten, die
hinsichtlich des Kriteriums Absender-Empfänger zu dieser Gruppe gehören, von
Kaspersky Anti-Virus
®
auf das Vorhandensein von Viren untersucht. Allerdings
werden gefundene infizierte Mail-Nachrichten nicht desinfiziert.
Um den DESINFEKTIONSMODUS für infizierte Briefe ZU AKTIVIEREN, muss in
der Gruppe mindestens ein Parameter für desinfizierte Objekte (Cured) festgelegt werden. Geben Sie in der Gruppe neben anderen Parametern z.B. an:
[smtpscan.group:account]
Check=yes
CuredRecipientNotify=yes
Dies entspricht folgenden Regeln:
• Untersuchung aller Mail-Nachrichten für die Absender-Empfänger der
Gruppe account auf das Vorhandensein von Viren;
• Desinfektion von gefundenen infizierten Objekten;
• Benachrichtigung an Empfängern über desinfizierte Objekte.
6.1.3. Aktionen für Mail-Nachrichten
Für die Aktionen, die mit Mail-Nachrichtenobjekte durchgeführt werden, sind zwei
Faktoren bestimmend:
• Objektstatus, den das Objekt nach der Untersuchung erhält (s. Pkt. 6.2.2
auf S. 72);
• Aktion, die für einen konkreten Objektstatus in der Konfigurationsdatei
festgelegt ist.
Der Status eines Objekts wird diesem direkt nach der Virus-Untersuchung vom
Prozess aveserver zugewiesen. Die Aktion, die nach der Untersuchung mit dem
Objekt durchgeführt werden soll, wird vom Serveradministrator festgelegt.
Kaspersky Anti-Virus
richtenobjekte festzulegen, die an Empfänger und Gruppenadministrator zugestellt werden. Für die Absender von Mail-Nachrichten
kann NUR eine Benachrichtigung festgelegt werden.
Für Mail-Nachrichtenobjekte kann eine der folgenden Aktionen festgelegt
werden:
• Remove – Löschen des Objekts aus der Mail-Nachricht.
®
erlaubt es, die Aktionen für Mail-Nach-
67 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
• Unchanged – Objekt nicht ändern. In diesem Fall wird das Objekt nicht
der Desinfektion unterzogen und in ursprünglicher Form zugestellt.
• Cured – Nur das desinfizierte Objekt zustellen (nur für Objekte des Typs
Cured).
Sie können einheitliche Aktionen für alle Objekttypen festlegen oder jedem Typ
eine Aktion zuordnen.
Um einheitliche Aktionen für alle Objekttypen festzulegen,
Legen Sie die entsprechenden Werte für die Parameter AdminAction
und ReсipientAction fest. Diese Parameter bestimmen die Aktionen für
alle Objekttypen. Zum Beispiel:
AdminAction=unchanged
RecipientAction=remove
Alle Mail-Nachrichten der Gruppe werden in unveränderter Form an den
Administrator zugestellt, jedoch aus Mail-Nachrichten für den
Empfänger gelöscht.
Wenn Sie für jeden Objekttyp eine individuelle Aktion festlegen wollen,
legen Sie die entsprechenden Werte für die Parameter
<Objekttyp>AdminAction und <Objekttyp>RecipientAction fest.
Beispiel:
AdminAction=unchanged
RecipientAction=remove
CuredRecipientAction=cured
In diesem Fall werden alle Mail-Nachrichten unabhängig vom Objekttyp
in unveränderter Form an den Administrator zugestellt. Der Empfänger
erhält aber nur desinfizierte Briefe. Alle übrigen Objekttypen werden aus
Mail-Nachrichten für den Empfänger gelöscht.
Zusätzlich zu den oben genannten Aktionen für Objekte ist das Blockieren des Objekts im Quarantäneverzeichnis vorgesehen.
Um Mail-Nachrichtenobjekte in das Quarantäneverzeichnis zu
verschieben,
Legen Sie in der Konfigurationsdatei der Gruppe folgende Parameter
fest:
Erweiterte Einstellungen 68
QuarantinePath=/var/db/Quarantine
Quarantine=yes
SuspiciousQuarantine=yes
CorruptedQuarantine=yes
ErrorQuarantine=yes
6.1.4. Benachrichtigung an Absender,
Empfänger und Administratoren
Kaspersky Anti-Virus® erlaubt die Konfiguration von Benachrichtigungen (Modus
zu deren Versenden, Parameter für das Erstellen und Text) an die Absender von
Mail-Nachrichten, deren Empfänger und Gruppenadministratoren über Objekte
mit jedem möglichen Status (verdächtig, infiziert, desinfiziert, beschädigt usw.).
Das Senden von Benachrichtigungen wird durch folgende Konfigurationsparameter festgelegt:
• RecipientNotify – Versenden einer Benachrichtigung an den Empfänger
einer Mail-Nachricht;
• SenderNotify – Versenden einer Benachrichtigung an den Absender
einer Mail-Nachricht;
• AdminNotify – Versenden einer Benachrichtigung an den Gruppen-
administrator.
Diese Parameter definieren das Senden von Benachrichtigungen für Objekte mit
beliebigem Status. Wenn Sie das Senden von Benachrichtigungen für Objekte
mit einem konkreten Status festlegen wollen, dann aktivieren Sie folgende Modi:
• <Objektstatus>RecipientNotify;
• <Objektstatus>SenderNotify;
• <Objektstatus>AdminNotify.
In diesem Fall wird eine Benachrichtigung an den Adressaten nur beim Fund
eines Objekts mit dem festgelegten Status gesandt.
Durch die Angabe folgender Parameter in der Gruppe:
werden z.B. Benachrichtigungen an den Administrator und Absender für Objekte
mit beliebigem Status gesendet. Der Empfänger erhält nur Benachrichtigungen
über Objekte mit dem Status infiziert, desinfiziert und beschädigt.
Für das Senden von Benachrichtigungen ist außerdem die Angabe der Adresse
erforderlich, von der diese abgeschickt werden (Parameter NotifyFromAddress
Abschnitt [smtpscan.general]).
®
In der Grundeinstellung benachrichtigt Kaspersky Anti-Virus
über Objekte mit
beliebigem Status. Alle Benachrichtigungen enthalten einen universalen Text,
der auf der im Lieferumfang des Produkts enthaltenen Vorlage
/etc/kav/5.0/template_notify_main beruht.
Wenn Sie den Benachrichtigungstext ändern möchten, können Sie:
• den Text der im Lieferumfang des Produkts enthaltenen Vorlage ändern.
• eine neue Vorlagendatei erstellen und den vollständigen Pfad der Datei
als Wert des Parameters Template im Abschnitt [smtpscan.notify]
angeben.
Im Text der Vorlage können Sie folgende Makros verwenden, die vom Programm
auf Basis der Antworten des Prozesses aveserver automatisch durch die entsprechenden Werte ersetzt werden:
®
%VERSION% – Version von Kaspersky Anti-Virus
.
%SENDER% – Mail-Adresse des Absenders der Nachricht.
%RECIPIENT% – Liste aller Empfänger der Nachricht, durch
Zeilenumbruch getrennt.
%MSGID% – ID-Nummer des Briefs.
%VIRUSNAME% – Textbeschreibung des Problems. Sie können diesen
Text in jede beliebige Sprache übersetzen. Geben Sie dazu die
entsprechenden Zeilen für das Objekt jedes Status im Abschnitt
[locale] ein.
%SUBJECT% – Text, der in die Betreffzeile der ursprünglichen E-Mail-
Nachricht eingefügt werden soll.
%DATETIME% – Datum und Uhrzeit der Bearbeitung der Mail-
Nachricht. Das Format von Datum und Uhrzeit kann ebenfalls
geändert werden.
%HEADERS% – Alle Header des ursprünglichen Briefs zum
Benachrichtigungstext hinzufügen.
%ACTION% – Beschreibung der Aktionen, die mit angehängten
Objekten des Briefs vorgenommen wurden. Dieses Makro kann in
allen Vorlagen verwendet werden, außer in Benachrichtigungen für
den Nachrichtenabsender. Folgende Aktionen sind möglich:
Erweiterte Einstellungen 70
attachement not modified– Die Anlage wurde nicht
verändert.
attachement cured – Die Anlage war infiziert und wurde
erfolgreich desinfiziert.
attachment removed – Die Anlage wurde gelöscht.
attachments cured and removed – Die Anlagen waren
infiziert. Ein Teil der Anlagen wurde desinfiziert und dem
Adressaten zugestellt, ein Teil wurde gelöscht.
Solche Makros können auch beim Erstellen der Betreffzeile eines Briefs
verwendet werden.
Die Parameter für das Erstellen von Benachrichtigungen (MIME-Typ, Betreff
des Briefs, Codierung usw.) befinden sich im Abschnitt [smtpscan.notify] der
Konfigurationsdatei.
6.2. Konfiguration des Antiviren-
schutzes für
Serverdateisysteme
Die Gesamtauswahl der Parameter für den Antivirenschutz der Serverdateisysteme lassen sich nach ihren Funktionen in folgende Gruppen unterteilen:
• Scanbereich (s. Pkt. 6.2.1 auf S. 70).
• Modus zur Untersuchung und Desinfektion von Dateien (s. Pkt. 6.2.2 auf
S. 72).
• Aktionen für Dateien (s. Pkt. 6.2.3 auf S. 72).
• Parameter für das Erstellen des Protokolls über die Arbeitsergebnisse (s.
Pkt. 6.5 auf S. 77).
Betrachten wir die Einstellungen jeder einzelnen Gruppe.
6.2.1. Untersuchungsbereich
Der Scanbereich lässt sich bedingt in zwei Teile gliedern:
• Scanpfad – Liste der Verzeichnisse und Dateien, in denen die Virussuche
durchgeführt wird.
• Scanobjekte – Typen der Dateien, die auf das Vorhandensein von Viren
gescannt werden (Archive, Mail-Nachrichten usw.).
71 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
In der Grundeinstellung werden alle Objekte der verfügbaren Dateisysteme
untersucht, wobei mit dem aktuellen Verzeichnis begonnen wird.
Zur Untersuchung aller Dateisysteme des Servers ist es erforderlich, in
das Stammverzeichnis zu wechseln oder in der Befehlszeile den
Untersuchungsbereich / anzugeben.
Der Scanpfad kann durch folgende Methoden geändert werden:
• Durch Leerzeichen getrennte Angabe der Verzeichnisse und Dateien mit
absoluten oder relativen (im Bezug auf das aktuelle Verzeichnis) Pfaden
direkt in der Befehlszeile beim Start der Komponente.
• Angabe des Scanpfads in einer Textdatei und Festlegen der Verwendung
dieser Datei in der Befehlszeile durch den Parameter
-@ <Dateiname>.
Jedes Objekt in dieser Datei wird in einer separaten Zeile und mit
absoluter Pfadangabe angegeben.
Werden in der Befehlszeile sowohl der Scanpfad als auch eine
Textdatei mit einer Liste von Untersuchungsobjekten angegeben,
dann wird der in der Datei angegebene Bereich untersucht. Der
in der Befehlszeile angegebene Pfad wird ignoriert.
• Einschränkung der Pfade, die standardmäßig festgelegt sind (alle,
beginnend mit dem aktuellen Verzeichnis) oder in der Befehlszeile
aufgezählt werden, indem in der Konfigurationsdatei kav4mailservers.conf
Masken für Dateien und Verzeichnisse angegeben werden, die aus dem
Scanbereich ausgeschlossen werden sollen (Abschnitt
[scanner.options], Parameter ExcludeMask und ExcludeDirs).
• Deaktivieren der rekursiven Untersuchung von Verzeichnissen (Abschnitt
[scanner.options], Parameter Recursion oder Befehlszeilenparameter
–r).
• Erstellen einer alternativen Konfigurationsdatei und Festlegen der
Verwendung dieser Datei durch den Befehlszeilenparameter
–с
<Dateiname> beim Start der Komponente.
Die standardmäßigen Scanobjekte werden ebenfalls in der Konfigurationsdatei
kav4mailservers.conf (Abschnitt [scanner.options]) festgelegt und können auf
folgende Weise geändert werden:
• durch Befehlszeilenparameter beim Start der Komponente;
• durch Verwendung einer alternativen Konfigurationsdatei.
Erweiterte Einstellungen 72
6.2.2. Modus zur Untersuchung und
Desinfektion von Dateien
Die Option zur Dateidesinfektion ist sehr wichtig, da von ihr abhängt, ob die
Desinfektion von infizierten Dateien, die bei der Untersuchung gefunden werden,
erfolgt.
In der Grundeinstellung ist diese Option deaktiviert. Das bedeutet, es erfolgt nur
die Untersuchung von Dateien und die Benachrichtigung über den Fund von
Viren und anderen verdächtigen oder beschädigten Dateien durch Ausgabe von
Meldungen auf der Konsole und im Protokoll (s. Pkt. 6.5 auf S. 77).
Als Ergebnis der Virus-Untersuchung erhält eine Datei einen der folgenden
Status:
• Clean – Es wurden keine Viren in der Datei gefunden.
• Infected – Datei ist infiziert.
• Warning – Code der Datei besitzt Ähnlichkeit mit dem Code eines
bekannten Virus.
• Suspicion – Code der Datei besitzt Ähnlichkeit mit dem Code eines
unbekannten Virus.
• Corrupted – Datei ist beschädigt.
• Protected – Datei ist durch Kennwort geschützt.
Ist der Desinfektionsmodus aktiviert (Abschnitt [scanner.options], Parameter
Cure=yes), dann werden nur Dateien mit dem Status Infected der
Antivirenbearbeitung unterzogen. Als Ergebnis der Desinfektion erhält die Datei
einen der folgenden Status:
• Cured – Datei wurde erfolgreich desinfiziert.
• CureFailed – Datei konnte nicht desinfiziert werden. Eine Datei mit
diesem Status wird nach den Regeln bearbeitet, die für infizierte Dateien
festgelegt wurden.
6.2.3. Aktionen für Dateien
Abhängig vom Status einer Datei (s. Pkt. 6.2.2 auf S. 72) können bestimmte
Aktionen auf diese angewandt werden. In der Grundeinstellung erfolgt nur die
Benachrichtigung über den Fund von Dateien mit einem bestimmten Status,
wozu die Ausgabe von Meldungen auf der Konsole und im Protokoll dient.
73 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Allerdings kann für Dateien mit den Status Infected, Suspiсious, Warning und
Corrupted die Ausführung einer Reihe von Aktionen festgelegt werden:
• Verschieben in ein bestimmtes Verzeichnis – Verschieben von Dateien
mit einem konkreten Status in ein bestimmtes Verzeichnis; möglich ist
einfaches und rekursives Verschieben.
• Löschender Datei aus dem Dateisystem.
• Ausführen eines bestimmten Befehls – Bearbeitung von Dateien durch
Unix-Standardbefehlen, Skriptdateien usw.
Für die Dateitypen Protected und Cured erfolgt lediglich eine
Meldung, die auf der Konsole und im Protokoll angezeigt wird.
Es ist anzumerken, dass Kaspersky Anti-Virus
®
zwischen gewöhnlichen
Objekten (Dateien) und zusammengesetzten (die aus mehreren Objekten
bestehen, z.B. Archive) unterscheidet. Auch die Aktionen, die mit solchen
Objekten durchgeführt werden, unterscheiden sich; in der Konfigurationsdatei
werden sie in unterschiedlichen Abschnitten festgelegt. Für gewöhnliche Objekte
im Abschnitt [scanner.object], für zusammengesetzte Objekte im Abschnitt
[scanner.container].
Aktionen für selbstextrahierende Archive sind nicht eindeutig: Ist das
Archiv selbst infiziert, wird es als gewöhnliches Objekt betrachtet, ist
aber ein Objekt innerhalb des Archivs infiziert, als zusammengesetztes.
Dementsprechend werden in solchen Fällen auch die Aktionen für
Archive durch die Parameter unterschiedlicher Abschnitte der
Konfigurationsdatei bestimmt!
Zur Auswahl der Aktion für bestimmte Dateien dienen folgende Methoden:
• Angabe der Aktionen in der Konfigurationsdatei kav4mailservers.conf,
wenn sie als Standardaktionen verwendet werden sollen (Abschnitte
[scanner.object] und [scanner.container]).
• Angabe der Aktionen in einer alternativen Konfigurationsdatei und
Verwendung der Datei beim Start der Komponente.
• Angabe der Aktionen für die laufende Session durch Befehlszeilenparameter beim Start der Komponente kavscanner.
Die Syntax der Aktionen ist für gewöhnliche Objekte und für zusammengesetzte
Objekte identisch (Abschnitte [scanner.object] und [scanner.container]).
Erweiterte Einstellungen 74
6.2.4. Modus zum Erstellen von
Sicherheitskopien
Im Folgenden wird am Beispiel einer konkreten Aufgabe die Konfiguration des
Backup-Modus beschrieben.
Aufgabe
die in der Datei /tmp/download.lst genannt werden, und Desinfektion
von infizierten Objekten. Bei erfolgloser Desinfektion werden infizierten
Objekte mit vollständiger Pfadangabe in den Ordner /tmp/infected,
verdächtige nach /tmp/suspicious, Warnungen nach /tmp/warning
verschoben.
Lösung
1. Erstellen Sie die alternative Konfigurationsdatei scan_sample.conf
2. Vergewissern Sie sich, dass der Modus zur Desinfektion von infizierten
Objekten aktiviert ist (Cure=yes im Abschnitt [scanner.options]).
3. Legen Sie Regeln für die Bearbeitung von infizierten Objekten fest.
Geben Sie dazu in den Abschnitten [scanner.object] und
[scanner.container] der Konfigurationsdatei scan_sample.conf
folgende Parameter an:
4. Geben Sie in der Befehlszeile ein:
: Virusuntersuchung aller Objekte in den Ordnern und Dateien,
: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:
Zur Verringerung der Serverbelastung bietet Kaspersky Anti-Virus eine effektive
Optimierungsmethode für seine Arbeit. Im Folgenden wird diese genauer
betrachtet.
75 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
6.3.1. Verwendung der iChecker™Datenbank
Die Anwendung verwendet eine Reihe von Technologien, die es erlauben, die
Antivirenuntersuchung einer Datei nicht bei jedem Zugriff auf die Datei
durchzuführen, sondern möglichst auf eine Vergleichsoperation mit bereits
darüber existierenden Daten zu beschränken. Der Algorithmus zur Untersuchung
eines Objekts (einer Datei) auf Viren lässt sich folgendermaßen beschreiben:
Bei der ersten Untersuchung
darüber (Name, Kontrollsumme) in der Datenbank iChecker gespeichert.
Das ist eine Datenbank, die Informationen über untersuchte virusfreie
Dateien bestimmter Formate enthält. Diese Datenbank enthält
Informationen über Objekte, die mit der Komponente kavscanner
untersucht wurden.
Bei jedem folgenden Zugriff
zuerst in der Datenbank iChecker. Als Suchkriterium dient der Dateiname.
Wird eine solche Datei in der iChecker-Datenbank gefunden, dann
werden die Informationen über die Datei mit den in der Datenbank vorhandenen verglichen. Unter der Voraussetzung der vollständigen Identität
des aktuellen Objektzustands und seiner Beschreibung in der Datenbank
gilt die Datei als unverändert und wird nicht auf das Vorhandensein von
Viren untersucht.
Wenn keine Informationen über die angeforderte Datei gefunden werden, wird
eine vollständige Antivirenuntersuchung der Datei durchgeführt.
einer beliebigen Datei werden Informationen
eines Benutzers auf die Datei erfolgt die Suche
6.3.2. Begrenzung der Serverbelastung
Die Untersuchung von Serverdateisystemen kann bei einem großen Datenvolumen viel Zeit beanspruchen, wobei die Serverbelastung wesentlich wächst.
Gleichzeitig muss der Server aber auch aktuelle Aufgaben ausführen, weshalb
ein Mechanismus wünschenswert ist, welcher die Antivirenuntersuchung des
Servers bei Überschreitung einer bestimmten Lastgrenze anhält.
Servers bei Überschreitung einer bestimmten Lastgrenze anhält.
Kaspersky Anti-Virus verfügt über einen solchen Mechanismus. In Version 5.5
der Anwendung wurde der Konfigurationsdatei der Parameter MaxLoadAvg im
Abschnitt [scanner.options] hinzugefügt. Wenn der Parameter festgelegt
wurde, überprüft kavscanner vor der Untersuchung jeder neuen Datei den
aktuellen Wert der Serverbelastung (load average) und hält bei Überschreitung
des in der Konfigurationsdatei angegebenen Werts die Arbeit von kavscanner
Erweiterte Einstellungen 76
an, bis der Wert des Parameters load average auf den entsprechenden Wert
sinkt.
6.4. Konfiguration der Arbeit des
Prozesses aveserver
Wie oben erwähnt, findet die Antivirenbearbeitung des Mailverkehrs durch die
Zusammenarbeit von zwei Komponenten statt, der Prozesse aveserver und
smtpscanner.
aveserver wird beim Start des Betriebssystems gestartet.
Die Herstellung der Verbindung mit aveserver erfolgt direkt beim Zugriff von
smtpscanner auf diesen Prozess.
Eine Reihe von Parametern für die Arbeit des Prozesses können in der
Konfigurationsdatei kav4mailservers.conf (Abschnitt [aveserver.options]):
• Detach From Terminal – Trennen des Prozesses vom Terminal sofort
nach dem Start. Das Aktivieren dieses Modus ist erforderlich, da das
Laden des Systems nicht fortgesetzt wird, bevor der Prozess nicht
getrennt wurde. In der Grundeinstellung ist dieser Modus aktiviert (Wert
yes). Dieser Modus sollte nur dann deaktiviert werden (Wert no), wenn
der Prozess mit Programmen des Typs svc verwaltet wird.
• Startup Mode – Wechsel des Prozesses vom Dialogmodus in den
Hintergrundmodus unter der Bedingung, dass
DetachFromTerminal=yes. Der Wert fast legt fest, dass der Daemon
sofort nach dem Laden der Konfigurationsdatei zum Hintergrundmodus
übergeht und den Code 0 zurückgibt. Der Wert normal
der Wechsel des Prozesses zum Hintergrundmodus erst stattfindet,
nachdem die Antiviren-Datenbanken und Lizenzschlüssel in den
Arbeitsspeicher geladen wurden.
bedeutet, dass
Im Modus fast ist die visuelle Geschwindigkeit beim Start des
Prozesses höher. Allerdings besteht die Möglichkeit, dass der
Daemon aufgrund eines fatalen Fehlers nicht gestartet wird
und dabei keinerlei Meldung auf der Konsole erscheint!
• Local Socket Permission – oktale Berechtigung, mit der ein Socket
angelegt wird. In der Grundeinstellung Local Socket Permission=0666.
77 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
6.4.1. Neustart von
Der automatische Neustart des Prozesses aveserver erfolgt sofort nach der
Aktualisierung der Antiviren-Datenbanken, unter der Bedingung, dass die
entsprechende Option in der Konfiguration aktiviert wurde
(ReloadApplication=yes).
Der Neustart wird durch den Befehl kill –HUP <PID des Prozesses>
durchgeführt. Dadurch erhält der Prozess das Signal SIGHUP. Bei diesem
Signal lädt der übergeordnete Prozess erneut die Konfigurationsdatei,
Lizenzschlüssel und Datenbanken oder beendet die Arbeit mit einer
entsprechenden Meldung im Protokoll, wenn der Pfad einer Datei nicht korrekt
angegeben wurde. Alle offenen Verbindungen der Kopien des Prozesses mit
Client-Programmen bleiben bis zu deren Schließen aktiv.
Ein solcher Neustart des Prozesses aveserver ist auch dann erforderlich, wenn
z.B. die Konfigurationsdatei geändert oder ein neuer Lizenzschlüssel installiert
wurde.
aveserver
6.4.2. Zwangsläufiges Beenden der Arbeit
von
Ist das zwangsläufige Beenden der Arbeit des Prozesses aveserver erforderlich,
dann verwenden Sie den Befehl kill < PID des Prozesses>. Der Befehl kill
sendet das Signal SIGTERM an den Prozess, durch den die Arbeit von
aveserver beendet wird und alle von ihm erzeugten Kopien geschlossen werden.
aveserver
Es wird ausdrücklich empfohlen, den Befehl kill –9 nicht zum Beenden
der Arbeit mit dem Prozess aveserver zu verwenden. Durch das
Ausführen dieses Befehls wird zwar die Arbeit des Prozesses beendet,
jedoch bleibt im System eine Reihe von temporären und Arbeitsdateien
erhalten, die nur manuell gelöscht werden können. Beim
Vorhandensein solcher Dateien halten bestimmte Anwendungen (z.B.
Webmin) den Prozess für gestartet.
6.5. Lokalisierung des Formats für
Datums- und Uhrzeitanzeige
Während der Arbeit mit Kaspersky Anti-Virus® wird für jede Komponente ein
Protokoll erstellt. Außerdem werden unterschiedliche Benachrichtigungen für
Erweiterte Einstellungen 78
Benutzer und Administratoren generiert. Solche Informationen werden immer
von einer Datums- und Uhrzeitangabe begleitet.
®
In der Grundeinstellung verwendet Kaspersky Anti-Virus
die Formate, die dem Standard strftime entsprechen:
%H:%M:%S – angezeigtes Format der Uhrzeit;
%d/%m/%y – angezeigtes Format des Datums;
Der Administrator kann das Format für Datum und Uhrzeit ändern. Die
Lokalisierung der Formate wird im Abschnitt [locale] der Konfigurationsdatei
kav4mailservers.conf vorgenommen. Sie können folgende Formate festlegen:
%I:%M:%S %P – zur Anzeige der Uhrzeit im Zwölfstunden-Format
(Parameter TimeFormat).;
%y/%m/%d und %m/%d/%y – zur Anzeige des Datums (Parameter
DateFormat).
für Datum und Uhrzeit
6.6. Parameter für die
Protokollerstellung von
Kaspersky Anti-Virus
Die Arbeitsergebnisse aller Komponenten von Kaspersky Anti-Virus® werden in
einem Protokoll aufgezeichnet. Das Protokoll wird in einer Datei gespeichert.
Die Ergebnisse der Antivirenbearbeitung der Serverdateisysteme werden auch auf der Konsole angezeigt. In der Grundeinstellung sind die
Informationen, die im Report aufgezeichnet und auf dem Bildschirm
angezeigt werden, identisch. Wenn Sie wollen, dass auf der Konsole
andere Informationen angezeigt werden als in der Reportdatei, ist eine
Reihe von Zusatzeinstellungen erforderlich (Details s. Pkt. 6.6.2 auf
S. 82).
Der Umfang der angezeigten Informationen kann durch Änderung der
Protokollgenauigkeit beeinflusst werden.
Die Protokollgenauigkeit wird durch eine Ziffer angegeben, welche die
Genauigkeit der Informationen über die Arbeit der Komponenten im Protokoll
festlegt. Jedes Folgeniveau umfasst die Informationen des vorhergehenden und
bestimmte Zusatzinformationen.
In der folgenden Tabelle werden alle verfügbaren Niveaus der Protokollgenauigkeit aufgezählt.
®
79 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Niveau
Name des
Niveaus
Kritische
Fehler
Bedeutung
Nur Informationen über kritische Fehler (Fehler,
die zum Beenden der Arbeit des Programms
führen, weil bestimmte Aktionen nicht ausgeführt
werden können). Beispiel: Eine Komponente ist
infiziert, oder bei der Untersuchung bzw. beim
Laden von Datenbanken und Lizenzschlüsseln
trat ein Fehler auf.
1 Errors Informationen über sonstige Fehler, einschließ-
lich Fehlern, die nicht zum Beenden der Arbeit
von Komponenten führten; z.B.: Informationen
über einen Fehler beim Scannen einer Datei.
2 Warning Informationen über Fehler, die zum Beenden der
Arbeit des Produkts führen können (z.B.
Informationen über unzureichenden Platz auf
einem Laufwerk).
3 Info, Notice Wichtige Meldungen mit informativem Charakter;
z.B.: Informationen darüber, ob eine Komponente gestartet wurde, Pfad der Konfigurationsdatei, Scanbereich, Informationen über die
Antiviren-Datenbanken und über Lizenzschlüssel, Ergebnisstatistik.
4 Activity Meldungen über das Scannen von Dateien
entsprechend dem Niveau der
Protokollgenauigkeit (s. Pkt. 6.6.1 auf S. 80).
10 Debug Alle Meldungen die das Erkennen, Lokalisieren
und Korrigieren von Programmfehlern
(Debuggen) betreffen; z.B.: Inhalt der Konfigurationsdatei.
Informationen über kritische Fehler bei der Arbeit einer Komponente werden
unabhängig vom gewählten Genauigkeitsniveau angezeigt. Das optimale Niveau
für die Arbeit der Komponente ist Niveau 4, das auch als Standard gilt.
Das generelle Format für die Anzeige von Informationen für alle genannten
Genauigkeitsniveaus besitzt folgendes Aussehen:
[Datum Uhrzeit Protokollierungsniveau] STRING
wobei:
Erweiterte Einstellungen 80
[Datum Uhrzeit Protokollierungsniveau] – Parameter, der
vom System erstellt wird und Datum und Uhrzeit (im Format, das
der Administrator gewählt hat) sowie das Niveau der
Protokollgenauigkeit (den ersten Buchstaben, der dem Namen des
Genauigkeitsniveaus entspricht) enthält.
Das Format der Datums- und Uhrzeitanzeige kann im
Abschnitt [locale] der Konfigurationsdatei
kav4mailservers.conf geändert werden.
STRING – Protokollzeile; besitzt abhängig von der Meldungsart
unterschiedliches Format. Folgende Meldungsarten sind
vorgesehen:
• Meldungen über das Scannen (s. Pkt. 6.6.1 auf S. 80).
• Sonstige Meldungen (über den Start einer Komponente, über das Laden
der Antiviren-Datenbanken, Rückgabewerte usw.).
• Meldungen, die auf der Konsole angezeigt werden (s. Pkt. 6.6.2 auf
S. 82).
Betrachten wir die Meldungsarten und das ihnen entsprechende Format
ausführlicher.
6.6.1. Format von Meldungen über das
Scannen
Meldungen über die Untersuchung werden nur für die Komponenten
kavscanner und aveserver generiert.
Das Format des Protokolls über das Scannen jeder Datei ist davon abhängig, zu
welchem Objekttyp (gewöhnliches oder Archiv-Objekt) die Datei zählt.
Für ein gewöhnliches Objekt besitzen die Meldungen über das Scannen
folgendes Format:
Datei war infiziert und wurde erfolgreich
desinfiziert.
Desinfektionsmodus)
INFECTED Datei ist von einem oder mehreren Viren infiziert;
Desinfektionsmodus wurde nicht aktiviert.
CUREFAILED
(nur bei aktiviertem
Desinfektionsmodus)
Datei ist von einem oder mehreren Viren infiziert;
Desinfektionsmodus wurde aktiviert, aber
Desinfektion der Datei ist nicht möglich.
WARNING Code der Datei besitzt Ähnlichkeit mit dem Code
eines bekannten Virus.
SUSPICIOUS Datei ist verdächtig auf Infektion durch einen
unbekannten Virus.
ERROR Datei kann nicht untersucht werden, weil ein Fehler
aufgetreten ist (z.B. als Ergebnis der Bearbeitung
eines beschädigten Archivs).
Erweiterte Einstellungen 82
Ereignis/Ergebnis Bedeutung
PROTECTED Datei kann nicht untersucht werden, weil sie
verschlüsselt ist.
CORRUPTED Datei ist beschädigt.
6.6.2. Format von Meldungen, die auf der
Konsole angezeigt werden
Die Anzeige von Meldungen auf der Konsole betrifft die Komponenten
kavscanner und keepup2date!
Die Anzeige von Informationen der Komponente kavscanner auf der Konsole
wird durch das Vorhandensein oder Fehlen des Befehlszeilenparameters –q
beim Start der Komponente reguliert. Wenn der Parameter angegeben wird,
werden keine Informationen auf der Konsole angezeigt. Die Anzeige von
Meldungen über die Arbeit der Komponente keepup2date auf der Konsole wird
durch den Parameter KeepSilent=no in der Konfigurationsdatei festgelegt.
In der Grundeinstellung entsprechen Format und Umfang der auf dem Bildschirm
angezeigten Informationen vollständig den in der Reportdatei aufgezeichneten
Daten.
Für die Komponente kavscanner kann die Auswahl von auf der Konsole angezeigten Informationen geändert werden. Dazu ist es erforderlich, den Abschnitt
[display] in die Konfigurationsdatei (kav4mailservers.conf oder alternative Datei)
aufzunehmen.
Hier kann die Bildschirmanzeige von Informationen über das Scannen von
Objekten innerhalb eines Archivs (ShowContainerResultOnly), über virusfreie
Dateien (ShowOK) und über die aktuellen Arbeitsergebnisse der Komponente
(ShowProgress) eingestellt werden.
Die Genauigkeit des Untersuchungsprotokolls wird bei Vorhandensein des
Abschnitts [scanner.display] durch den Parameter –x<Option> aus der
Befehlszeile reguliert.
6.6.3. Antiviren-Statistik der Anwendung
In Kaspersky Anti-Virus Version 5.5 sind das Erstellen und die Anzeige einer
Statistik über die Virenaktivität für einen bestimmten Zeitraum möglich. Auf diese
83 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Funktionalität kann über das Web-Interface des Programms Webmin zugegriffen
werden.
Um das automatische Erstellen der Antiviren-Statistik zu konfigurieren,
• Legen Sie in der Konfigurationsdatei der Anwendung im Abschnitt
екции [smtpscan.report] für den Parameter AVStatistics folgenden
Wert fest:
• Lesen Sie die aktualisierten statistischen Daten mit Hilfe des
Programms Webmin erst nach dem Start des oben genannten Skripts.
Wenn das Programm Webmin nicht am standardmäßigen Ort installiert
ist, dann ändert sich auch der Pfad
/usr/libexec/webmin/kavms5.5/parse_avstat.pl!
Erweiterte Einstellungen 84
Kapitel 7. Deinstallation von
Kaspersky Anti-Virus®
Für die Deinstallation von Kaspersky Anti-Virus sind erforderlich:
• Vorhandensein der Rechte eines privilegierten Benutzers (root). Wenn
Sie im Moment der Deinstallation nicht über diese Rechte verfügen, ist
die Anmeldung am System als Benutzer root erforderlich.
• Vorhandensein der Protokolldatei über den Installationsprozess.
• Vollständige Übereinstimmung von Namen und Größen der installierten
Dateien von Kaspersky Anti-Virus mit den Angaben in der InstallationsProtokolldatei.
• Beenden des Prozesses aveserver.
• Beenden des Maildiensts.
Abhängig vom verwendeten Paket-Manager erfolgt der Start der
Deinstallationsprozedur auf unterschiedliche Weise. Betrachten wir die
möglichen Varianten genauer.
Wenn Sie bei der Installation das rpm-Paket für Kaspersky Anti-Virus
verwendet haben, geben Sie zum Start der Deinstallation in der
Befehlszeile ein:
rpm -e <Paketname>
Wenn Sie bei der Installation das deb-Paket für Kaspersky Anti-Virus
verwendet haben, geben Sie zum Start der Deinstallation in der
Befehlszeile ein:
dpkg -r <Paketname>
Wenn Sie bei der Installation das pkg-Paket für Kaspersky AntiVirus verwendet haben, geben Sie zum Start der Deinstallation in
der Befehlszeile ein:
pkg-delete <Paketname>
Die Deinstallationsprozedur wird automatisch ausgeführt. Wenn die
Deinstallation der Anwendung erfolgreich abgeschlossen wird, erfolgen keine
weiteren Meldungen.
85 Kaspersky Anti-Virus
®
for Linux, FreeBSD and OpenBSD Mail Servers
Kapitel 8. Testen der
Funktionalität von
Kaspersky Anti-Virus
Wir empfehlen, nach der Installation und Konfiguration von Kaspersky Anti-Virus
mittels eines "Test-Virus" und dessen Modifikationen zu überprüfen, ob die
Anwendung richtig funktioniert.
Der "Test-Virus" wurde von der Organisation (The European Institute
for Computer Antivirus Research) speziell zum Testen von Antivirenprodukten
entworfen.
Der "Test-Virus" IST KEIN VIRUS und enthält keinen Programmcode, der Ihrem
Computer schaden könnte. Die meisten Antivirenprodukte der meisten Hersteller
identifizieren diese Datei jedoch als Virus.
Verwenden Sie niemals einen echten Virus, um die Funktionsfähigkeit
eines Antivirenprodukts zu testen!
Sie können den "Test-Virus" von der offiziellen Webseite der Organisation
EICAR unter http://www.eicar.org/anti_virus_test_file.htm
keine Internetverbindung besteht, können Sie selbst einen "Test-Virus"
herstellen. Geben Sie dazu in einen beliebigen Texteditor folgende Zeichenkette
ein und speichern Sie die Datei als eicar.com:
Die Datei, die Sie von der EICAR-Webseite heruntergeladen oder wie oben
beschrieben hergestellt haben, enthält den Körper des standardmäßigen "TestVirus". Das Antivirenprogramm entdeckt diese Datei, markiert sie als Infiziert
und irreparabel, und wendet die vom Administrator für diesen Objekttyp
festgelegte Aktion darauf an.
Um die Reaktion des Antivirenprogramms auf den Fund anderer Objekttypen zu
testen, verändern Sie den Inhalt des standardmäßigen "Test-Virus", indem Sie
eines der Präfixe aus der unten folgenden Tabelle hinzufügen.
downloaden. Falls
Erweiterte Einstellungen 86
Tabelle. Modifikationen des
"Test-Virus"
Präfix Objekttyp
Kein Präfix,
standardmäßiger
"Test-Virus"
CORR–
SUSP–
WARN–
ERRO–
CURE–
DELE– Objekt wird automatisch gelöscht.
In der ersten Spalte der Tabelle sind die Präfixe aufgeführt, die am Anfang der
Zeichenkette des standardmäßigen "Test-Virus" angefügt werden können (zum
Beispiel: CORR–X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H*). Die zweite Spalte der Tabelle enthält die Typen
von Objekten, die nach dem Hinzufügen der Präfixe von einem Antivirenprogramm identifiziert werden. Die Aktionen für jeden Objekttyp sind durch die vom
Administrator angepassten Einstellungen des Antivirenprogramms festgelegt.
Infiziert. Objekt kann nicht desinfiziert werden.
Unbekannt.
Verdächtig (unbekannter Viruscode).
Verdächtig (veränderter Code eines bekannten Virus).
Nicht untersucht wegen Fehler.
Desinfiziert. Objekt kann desinfiziert werden, wobei der
Text des "Virus"-Körpers in CURED geändert wird.
Kapitel 9. Häufige Fragen über
die Arbeit mit dem Produkt
In diesem Kapitel beantworten wir ausführlich die von Benutzern häufig
gestellten Fragen über Installation, Konfiguration und Funktion von Kaspersky
Anti-Virus.
Frage: Kann Kaspersky Anti-Virus gleichzeitig mit Antivirenprodukten
anderer Hersteller verwendet werden?
Um Konflikte zu vermeiden, empfehlen wir, die Antivirenprodukte
anderer Hersteller vor der Installation von Kaspersky Anti-Virus zu
entfernen.
Frage
: Kaspersky Anti-Virus untersucht eine Datei nicht wiederholt.
Warum?
Tatsächlich untersucht Kaspersky Anti-Virus Dateien nicht erneut, die
sich seit der letzten Untersuchung nicht verändert haben.
Dies wird durch die Verwendung der neuen Technologien iChecker und
iStreams ermöglicht. Dabei wird eine Datenbanken mit Kontrollsummen
von Objekten verwendet.
Frage: Warum ruft Kaspersky Anti-Virus eine gewisse Senkung der
Leistungsfähigkeit des Computers hervor und führt zu bemerkbarer
Prozessorbelastung?
Das Erkennen von Viren ist eine rechnerische (mathematische)
Aufgabe, die mit Strukturanalyse, Berechnung von Kontrollsummen und
mathematischer Datenumformung zusammenhängt. Deshalb ist die
Hauptressource, die bei der Arbeit von Anti-Virus verbraucht wird, die
Prozessorzeit. Dabei erhöht jeder neue Virus, der den AntivirenDatenbanken hinzugefügt wird, die Gesamtzeit der Untersuchung.
Andere Antivirenprogramme verkürzen die Untersuchungszeit, indem
schwierig zu erkennende oder (in geografischer Hinsicht) seltene Viren,
sowie kompliziert zu analysierende Dateiformate (z.B. pdf) nicht in die
Antiviren-Datenbanken aufgenommen werden. Im Unterschied dazu ist
sich Kaspersky Lab sicher, dass die Aufgabe eines Antivirenprogramms
darin besteht, den Benutzern reale Antivirensicherheit zu garantieren.
Kaspersky Anti-Virus erlaubt erfahrenen Benutzern, die
Antivirenuntersuchung zu beschleunigen, indem bestimmte Dateitypen
von der Antivirenuntersuchung ausgeschlossen werden.
Häufige Fragen 88
Kaspersky Anti-Virus erkennt über 700 Formate von archivierten und
komprimierten Dateien. Für die Antivirensicherheit ist das sehr wichtig,
weil jedes der erkennbaren Formate einen ausführbaren schädlichen
Code enthalten kann. Trotzdem arbeitet die neue Version des Produkts
im Vergleich zur vorhergehenden schneller, obwohl sich die
Gesamtzahl der von Kaspersky Anti-Virus erkennbaren Viren täglich
erhöht (ungefähr 30 neue Viren pro Tag) und die Anzahl der
unterstützten Formate ständig steigt. Das wird durch die Verwendung
neuer unikaler Technologien wie iChecker™ und iStreams™ erreicht,
die von Kaspersky Lab entwickelt wurden.
: Wozu wird der Lizenzschlüssel benötigt? Funktioniert mein Anti-
Frage
Virus ohne Lizenzschlüssel?
Kaspersky Anti-Virus funktioniert nicht ohne Lizenzschlüssel.
Wenn Sie sich noch nicht zum Erwerb von Kaspersky Anti-Virus
entschlossen haben, können wir Ihnen einen Probeschlüssel
(Evaluierungsschlüssel) anbieten, der für zwei Wochen oder einen
Monat gültig ist. Nach Ablauf der Gültigkeitsdauer wird der Schlüssel
gesperrt.
: Was passiert, wenn die Lizenz zur Produktnutzung abläuft?
Frage
Bei Ablauf der Gültigkeitsdauer der Lizenz für die Nutzung von
Kaspersky Anti-Virus setzt das Produkt seine Arbeit fort, aber die
Verwendung neuer Antiviren-Datenbanken ist nicht mehr möglich. AntiVirus wird weiterhin die Desinfektion infizierter Objekte durchführen,
dabei jedoch die alten Antiviren-Datenbanken benutzen.
Sollte diese Situation eintreten, dann informieren Sie Ihren
Systemadministrator oder wenden Sie sich zur Lizenzverlängerung an
die Firma, bei der Kaspersky Anti-Virus erworben wurde, oder direkt an
Kaspersky Lab Ltd.
: Mein Anti-Virus funktioniert nicht.
Frage
Wie soll ich vorgehen?
Überprüfen Sie zuerst, ob in der vorliegenden Dokumentation,
insbesondere im vorliegenden Kapitel, oder auf unserer Internetseite
(Dienste # Technischer Support) eine Lösungsmethode für Ihr
Problem enthalten ist.
Außerdem empfehlen wir Ihnen, sich an die Firma zu wenden, bei der
Sie Kaspersky Anti-Virus erworben haben, oder einen Brief an den
Technischen Supportservice (support@kaspersky.com
) zu schreiben.
Um sicherzustellen, dass Ihre Frage möglichst schnell bearbeitet wird:
1. Geben Sie in der Betreffzeile Ihrer Nachricht das Betriebssystem
Ihres Computers, den Namen des von Ihnen verwendeten
89 Kaspersky Anti-Virus for Unix Mail Servers
Kaspersky-Lab-Produkts und das Problem an. Zum Beispiel:
Linux, Webmin, kein Zugriff auf die Einstellungen der Liste
lizenzierter Benutzer.
2. Schreiben Sie Ihre Nachricht im Text-Format (plain text).
3. Geben Sie am Beginn der Nachricht die genaue Version des
Betriebssystems, der Distribution von Kaspersky Anti-Virus und die
Nummer Ihrer Lizenz an.
4. Beschreiben Sie das Problem möglichst kurz, aber verständlich.
Denken Sie daran, dass der Support-Service vor der Lektüre Ihres
Briefs noch nichts von Ihrem Problem weiß und Ihnen nur helfen
kann, nachdem das Problem vollständig verstanden und nachvollzogen wurde.
5. Senden Sie folgende Daten an den Technischen Support-Service,
nachdem Sie diese in ein Archiv gepackt haben:
• alle Konfigurationsdateien Ihres Mailagenten (MTA)
• Dateien des Ordners /etc/kav/
• Protokolldatei des Mailsystems
• Protokolldatei der Anti-Virus-Komponente, z.B.
/var/log/aveserver.log
• Informationen, die durch den Befehl ps –ax auf der Konsole
erscheinen.
• Lizenzschlüssel.
6. Machen Sie im Brief unbedingt Angaben über das Vorhandensein
folgender Elemente:
• SCSI- Controller
• sehr alter oder sehr neuer Prozessor, mehrere Prozessoren
• Arbeitsspeicher mit weniger als 64 MB oder über 2 GB
7. Geben Sie das Volumen des täglichen Traffics und eventuelle
Belastungsspitzen an.
Frage
: Warum sind die täglichen Updates erforderlich?
Bis vor einigen Jahren wurden Viren auf Disketten weitergegeben und
für den Schutz eines Computers genügte es, ein Antivirenprogramm zu
installieren und ab und zu die Antiviren-Datenbanken zu aktualisieren.
Doch die letzten Virenepidemien breiteten sich innerhalb weniger
Stunden weltweit aus und ein installierter Anti-Virus mit alten
Häufige Fragen 90
Datenbanken ist gegenüber einer neuen Gefahr machtlos. Um solchen
neuen Viren nicht zum Opfer zu fallen, müssen die AntivirenDatenbanken täglich aktualisiert werden.
Kaspersky Lab beschleunigt jedes Jahr die Frequenz für das Update
der Antiviren-Datenbanken. Momentan werden sie alle drei Stunden
aktualisiert.
Eine Zusatzfunktion ist die Aufgabe zum Update der Programmmodule
von Anti-Virus, in denen erkannte Sicherheitslücken korrigiert oder neue
Funktionen zur Verfügung gestellt werden.
Frage
: Was hat sich im Update-Dienst seit Version 5.0 geändert?
Kaspersky Labs Produktlinie wurde ab Version 5.0 mit einem neuen
Update-Dienst ausgestattet. Die Neuentwicklung beruht auf den
Anregungen von Anwendern und auf Marketingüberlegungen. Daneben
stellte sich die Aufgabe, die Technologie der gesamten Updateprozedur
zu optimieren, die mit Vorbereitung der Datenbanken bei Kaspersky Lab
beginnt und mit dem Update der Benutzerdateien endet.
Vorteile des neuen Update-Diensts:
• Vervollständigung des Datei-Downloads bei
Verbindungsunterbrechung. Bereits heruntergeladene Updates
müssen nach dem Wiederaufbau der Verbindung nicht mehr
wiederholt geladen werden.
• Halbierung der Größe des kumulativen Updates. Ein
kumulatives Update enthält die gesamte Antiviren-Datenbank,
weshalb die Größe des Kumulativums jene eines gewöhnlichen
Updates wesentlich übersteigt. Im neuen Update-Dienst kommt
eine spezielle Technologie zum Einsatz, die es erlaubt, die
bereits vorhandenen Antiviren-Datenbanken für das kumulative
Update zu verwenden.
• Beschleunigter Download aus dem Internet. Kaspersky Anti-
Virus wählt den Kaspersky-Lab-Updateserver, der in Ihrer Nähe
liegt. Außerdem wird die Belastung der Server entsprechend
ihrer Leistungsfähigkeit bestimmt, d.h. es wird kein überlasteter
Server für den Download verwendet, wenn gleichzeitig ein
anderer Server freie Ressourcen besitzt.
• Verwendung von "schwarzen Listen" für die Schlüssel. Dadurch
können Benutzer, die keine Lizenz für die Nutzung von
Kaspersky Anti-Virus besitzen, vom Update ausgeschlossen
werden. Damit wird vermieden, dass lizenzierte Benutzer unter
überlasteten Updateservern zu leiden haben.
91 Kaspersky Anti-Virus for Unix Mail Servers
• Für korporative Produkte wurde eine Option zum Erstellen
eines lokalen Updateservers realisiert. Diese Funktion ist für
Unternehmen erforderlich, in denen in einem lokalen Netzwerk
Computer zusammengefasst sind, die durch Kaspersky-LabAnwendungen geschützt werden. In diesem Fall kann ein
beliebiger Computer die Funktion des Updateservers
übernehmen, der die Updates aus dem Internet empfängt,
diese in einem lokalen Ordner ablegt und den anderen
Netzwerkcomputern Zugriff darauf gewährt.
: Kann ein Angreifer die Antiviren-Datenbanken verändern?
Frage
Alle Antiviren-Datenbanken besitzen eine unikale Signatur, die beim
Zugriff auf die Datenbanken von Kaspersky Anti-Virus überprüft wird.
Stimmt die Signatur nicht mit der von Kaspersky Lab vergebenen
überein und das Datum einer Datenbank liegt nach dem Tag der
Lizenzgültigkeit für die Produktbenutzung, dann wird Kaspersky AntiVirus diese Datenbanken nicht verwenden.
: Funktioniert Kaspersky Anti-Virus für Unix auf meiner Distribution
Frage
des Betriebssystems Linux?
Kaspersky Anti-Virus für Unix Version 5.5 wurde auf Distributionen von
RedHat, Debian und SuSE getestet und die Distributionen von
Kaspersky Anti-Virus wurden speziell für diese erstellt.
Zu den Versionen der unterstützten Betriebssysteme s. Pkt. 1.2 auf
S. 5.
Wenn Ihre Distribution vollständig mit einer unterstützten
Distribution kompatibel ist (ASPLinux ist beispielsweise
kompatibel mit Red Hat Linux), dann ist das Auftreten von
Problemen mit kritischem Charakter sehr unwahrscheinlich.
Auf Distributionen, die nicht in der Liste der von Kaspersky Lab
unterstützten Distributionen enthalten sind, ist die fehlerhafte Arbeit der
Anwendung möglich. Dies steht vor allem mit Besonderheiten des
Betriebssystems in Verbindung. Die Distribution Ihres Systems kann
beispielsweise eine andere Bibliotheksversion verwenden oder der Pfad
der Skripte zur Systeminitialisierung kann vom Standard abweichen. In
diesem Fall kann Ihnen der Technische Support-Service von Kaspersky
Lab keine Hilfe anbieten.
Frage: Wie wird ein Archiv des Typs .tgz oder .tar.gz entpackt?
Häufige Fragen 92
Archive des Typs .tgz oder .tar.gz werden durch folgenden Befehl
entpackt:
tar zxvf <Archivname>
Zu Details siehe manual pages zum Programm tar.
: Alles funktionierte tadellos, bis ich Kaspersky Anti-Virus for Unix
Frage
Mail Servers installierte und ihn in das Mailsystem Postfix integrierte.
Danach wurden E-Mail-Nachrichten nicht mehr zugestellt und in maillog
wurde folgender Fehler aufgezeichnet:
Sep 23 15:17:03 server postfix/lmtp[1678]:
8238C38987: to=<user@server.org
<mailto:user@server.org>>, relay=none, delay=1,
status=bounced (localhost: host not found)
Was soll ich vorgehen?
Dieses Problem kann in folgenden Fällen auftreten:
• In Ihrem DNS fehlt der Bereich localhost, der für RFC 2606
erforderlich ist. Konfigurieren Sie Ihr DNS so, wie es in RFC
empfohlen wird. Ausführliche Informationen finden Sie auf
• In der Datei /etc/hosts ist localhost nicht definiert. Geben Sie
den standardmäßigen localhost=127.0.0.1 als localhost an.
: Kann Kaspersky Anti-Virus durch Network Control Centre for
Frage
Windows kontrolliert werden?
Die Verwendung von Network Control Centre for Windows ist bei der
Arbeit mit Kaspersky Anti-Virus for Unix Mail Servers nicht möglich. In
dieser Version der Anwendung ist die Möglichkeit der entfernten
Konfiguration mit Hilfe eines speziellen Moduls zu dem Paket Webmin
vorgesehen.
: Wie können die auf der Konsole angezeigten Meldungen des
Frage
Programms in einer Datei gespeichert werden?
Um die Informationen, die während der Arbeit von Kaspersky Anti-Virus
auf der Konsole angezeigt werden, zu speichern, müssen entweder
entsprechende Einstellungen in der Konfigurationsdatei vorgenommen
werden oder folgende Eingabe in der Befehlszeile erfolgen:
$ some_app > ./text_file 2>&1
wobei:
93 Kaspersky Anti-Virus for Unix Mail Servers
some_app – Anwendung, deren standardmäßige Ein- und
Ausgabemeldungen über Fehler bei der Arbeit Sie in einer Datei
speichern möchten.
text_file – vollständiger Pfad der Datei, in welcher die Informationen
gespeichert werden sollen.
Beispiel:
$keepup2date > ./updater.log 2>&1
In diesem Fall werden in der Datei updater.log des aktuellen
Ordners die ausgegebenen Standardmeldungen über Fehler
der Komponente keepup2date aufgezeichnet.
Anhang A. Schädliche
Programme in UnixUmgebung
In der Umgebung von Unix-Systemen sind Viren in wesentlich geringerem
Umfang verbreitet als beispielsweise in der Umgebung von Windows. Die
Gründe dafür liegen in Besonderheiten der jeweiligen Plattform. Die größte
Verbreitung besitzen Trojaner und Netzwürmer.
Die Ausbreitung schädlicher Programme vollzieht sich über Netzwerke, wobei
auch "Löcher" in der Software ausgenutzt werden. Betrachten wir die Arten
schädlicher Programms für Unix und die Infektionsmethoden näher.
A.1. Viren
Ein Virus ist ein Programm (eine bestimmte Auswahl eines ausführbaren Codes
und/oder Befehlen), das fähig ist, Kopien von sich selbst anzufertigen (die nicht
unbedingt vollständig mit dem Original übereinstimmen) und diese ohne Wissen
des Benutzers in unterschiedliche Objekte und/oder Ressourcen von
Computersystemen, Netzwerken usw. einzufügen. Dabei behalten die Kopien die
Fähigkeit zur weiteren Ausbreitung.
Bei der Untersuchung der Fundorte von Viren ergibt sich, dass Viren in UnixSystemen in der Regel Dateiviren sind, die ihren Code in ausführbare Dateien
schreiben oder Zwillingsdateien erstellen.
Nach Unterschieden hinsichtlich der Funktionsalgorithmen lassen sich unterscheiden:
• residenter Virus – Ein Virus, der bei der Infektion seinen residenten Teil
im Arbeitsspeicher hinterlässt. Der residente Teil fängt danach Aufrufe
des Betriebssystems an infizierbare Objekte ab und dringt in diese ein.
Residente Viren befinden sich im Arbeitsspeicher und gelten bis zum
Ausschalten des Computers oder zum Neustart des Betriebssystems als
aktiv.
• nicht residenter Virus – Ein Virus, der den Arbeitsspeicher des Computers
nicht infiziert und eine zeitlich begrenzte Aktivität besitzt. Bestimmte Viren
hinterlassen im Arbeitsspeicher residente Programme von geringem
Umfang, die keine Viren verbreiten.
Viren, die Unix-Systeme infizieren können, sind in der Regel ungefährlich, da
sich ihre Wirkung auf die Verringerung des freien Festplattenspeichers, Graphik-,
95 Kaspersky Anti-Virus for Unix Mail Servers
Laut- und andere Effekte beschränkt. Bestimmte Viren sind völlig harmlos, weil
sie mit Ausnahme der Verringerung des freien Festplattenspeichers auf Grund
ihrer Ausbreitung keinerlei Einfluss auf die Arbeit des Computers haben.
Im Folgenden einige Beispiele der Viren für Unix-Systeme:
ELF_SNOOPY – Ein Virus, der ausführbare Unix-Dateien infiziert.
Funktionsalgorithmus des Virus: Er sucht auf der Workstation alle
ausführbaren Dateien, benennt diese in Dateien mit der
Erweiterung .X23 um und verschiebt sie in das erstellte Verzeichnis
/E. Danach kopiert der Virus seinen Code in die Originaldateien
und ändert deren Attribute in 777. Parallel dazu wird in der
Hauptkennwortliste auf der infizierten Workstation der Benutzer
snoopy mit den Rechten 777 angelegt.
Linux.Bliss – Eine Gruppe nicht residenter Viren, die ausführbare Linux-
Dateien infizieren. Diese Viren sind in GNU C geschrieben und besitzen
das Format ELF.
Funktionsalgorithmus des Virus: Beim Start sucht der Virus auf der
Workstation ausführbare Dateien und infiziert diese, indem er den
Dateiinhalt nach unten verschiebt, seinen Code auf den freien Platz
schreibt und am Dateiende eine Identifikationszeile hinzufügt. Die
Aktion des Virus wird durch die Benutzerrechte beschränkt, mit
denen er ausgeführt wird (es sind nur Dateien betroffen, auf die
Zugriff besteht). Besitzt der Benutzer Systemprivilegien, dann kann
sich der Virus auf den gesamten Computer ausbreiten.
Linux.Diesel – Ungefährlicher nicht residenter Linux-Virus, der ausführbare
Linux-Dateien infiziert.
Funktionsalgorithmus des Virus: Nach dem Start liest der Virus seinen
binären Code aus der Trägerdatei, sucht ausführbare LinuxDateien in Systemunterverzeichnissen und schreibt seinen Code in
die Mitte des Codes jeder Datei, wodurch die Größe des mittleren
Segments erhöht wird.
Linux.Siilov – Ungefährlicher Linux-Virus, der ausführbare Dateien infiziert.
Er besitzt das Format ELF.
Funktionsalgorithmus des Virus: Er verwendet zwei Methoden zur
Infektion von Dateien: eine residente und eine nicht residente.
Residente Methode: Der Virus verbleibt im Arbeitsspeicher und
infiziert im Hintergrundmodus Dateien. Nicht residente Methode:
Der Virus sucht auf der Festplatte nach ausführbaren Dateien und
infiziert diese.
Linux.Winter – Harmloser nicht residenter Linux-Virus. Er besitzt eine sehr
geringe Größe von nur 341 Byte.
Funktionsalgorithmus des Virus: Beim Start übernimmt der Virus die
Kontrolle, sucht im aktuellen Verzeichnis ELF-Dateien (ausführbare
Linux-Dateien) und infiziert diese.
Anhang A 96
A.2. Trojanische Programme
Ein Trojanisches Programm ist ein Programm, das Aktionen ausführt, die vom
Benutzer nicht sanktioniert wurden. Ein Trojaner installiert sich beim Start im
System und überwacht dann das System, wobei der Benutzer keinerlei
Meldungen über die Aktionen des Trojaners im System erhält. Der Computer
kann dann im Remote-Modus kontrolliert werden.
Die Ausbreitung von Trojanischen Programmen erfolgt über Netzwerke.
Ein prägnanter Vertreter für die Familie der Trojanischen Programme für UnixSysteme ist TROJ_IRCKILL – Dieser Trojaner besteht aus einer Auswahl von
Programmwerkzeugen zur Trennung von Benutzern von IRC-Kanälen. Die
Auswahl umfasst vier Dienstprogramme für einen Angriff: FLOOD (flood –
Überschwemmung), MCB (Multiple Collide BOTs), SUMO BOTs und FLASH –
ein besonderer Typ der "Überschwemmung" zur Verwendung in einer UNIXUmgebung.
Angriffe des Typs FLASH werden zur direkten Trennung des Modems
verwendet. Dabei werden ping-Befehle mit "fehlerhaften" Daten, die in einer
bestimmten Reihenfolge angegeben werden, an eine bestimmte IP-Adresse
gesendet. Das Benutzermodem wird diese Daten als Befehl zum Trennen
interpretieren und das Internet verlassen. Allerdings kann diese Angriffsart nicht
für alle Modemtypen verwendet werden.
Der Angriff MCB erfolgt über IRC-Kanäle. In einem Moment, in dem IRC-Server
keine gegenseitige Synchronisation vornehmen können (net split), verdoppelt
das Trojanische Programm den Benutzernamen (nickname). Nachdem die
Synchronisation zwischen den IRC-Servern wiederhergestellt wurde, wird der
betreffende Name fehlerhaft und der Benutzer wird vom IRC-Kanal getrennt.
Der Angriff FLOOD BOTS/SUMO BOTS wird ebenfalls in einem IRC-Netzwerk
verwendet, indem zahlreiche Benutzer mit zufällig gewählten Namen (nickname)
"geboren" werden. Mit Hilfe dieses Angriffs wird ein IRC-Kanal oder ein
Benutzer, der während eines Chats Nachrichten sendet oder empfängt, solange
"überflutet", bis die Benutzermaschine eine bestimmte Höchstgrenze für
weiterzuleitende Daten erreicht. Danach wird dieser Benutzer ebenfalls vom
IRC-Kanal getrennt.
Root kit – Ein Programmpaket, das von Hackern verwendet wird, um rootZugang auf einen Remote-Computer zu erhalten. Es benutzt die Unix-Standardprogramme ps und ls. Die einzige effektive Methode zur Wiederherstellung nach
einem Angriff, der mit Hilfe von Root kit erfolgte, ist die Wiederherstellung
wichtiger Daten von einer Sicherheitskopie (Es wird empfohlen regelmäßig
Sicherheitskopien anzufertigen), das vollständige Säubern der Festplatte und die
Neuinstallation des Systems.
97 Kaspersky Anti-Virus for Unix Mail Servers
A.3. Netzwürmer
Die zu dieser Kategorie zählenden schädlichen Programme schreiben sich nicht
in ausführbare Objekte ein, sondern kopieren sich in Netzwerkressourcen. Ihre
Bezeichnung erhielt diese Kategorie eben auf Grund der für Würmer typischen
Fähigkeit, durch Netzwerke und andere Informationskanäle zu "kriechen".
Sie dringen aus einem Computernetz in den Speicher eines Computers ein,
ermitteln Netzadressen anderer Computer und versenden ihre Kopien an diese
Adressen.
Manche Vertreter dieser Klasse legen Arbeitsdateien auf Systemlaufwerken an,
funktionieren aber völlig ohne Zugriff auf die Computerressourcen (mit
Ausnahme des Arbeitsspeichers).
Worm.Linux.Ramen – Der erste bekannte Wurm, der die Systeme von RedHat
Linux infiziert. Er infiziert Remote-Linux-Systeme (RedHat Linux) mit Hilfe
eines Pufferüberlaufproblems. Dieses "Loch" in der Software ermöglicht es,
ausführbaren Code an einen Remote-Computer zu senden und diesen dort
ohne Eingreifen des Administrators (Benutzers) auszuführen.
Ausbreitungsquelle: über Netzwerke in Form des Archivs tgz.
Funktionsalgorithmus: Unter Ausnutzung eines Pufferüberlaufproblems
sendet der Wurm ein kleines Stück seines Codes an Remote-Computer.
Beim Start der Hauptkomponente des Wurms (Datei start.sh) werden
nacheinander die übrigen Komponenten aufgerufen. Diese ermitteln die
Adressen von anzugreifenden Systemen und senden an diese mit Hilfe
des "Pufferüberlauf"-Angriffs den "Lademechanismus" des Wurms, der
anschließend die restlichen Teile des Wurms nachlädt und den
Hauptcode des Wurms startet. Die Startseite des Webservers wird
ersetzt durch eine HTML-Datei mit dem Text: "RameN Crew – Hackers
looooooooooooove noodles". Schließlich sendet der Wurm eine E-MailNachricht an zwei Adressen, startet das System neu und beginnt erneut
das Internet zu scannen.
Außerdem fügt der Wurm zur Systeminitialisierungsdatei
/etc/rc.d/rc.sysinit den Befehl zum Start seiner Hauptdatei hinzu.
Dadurch wird der Wurm bei jedem folgenden Start des infizierten
Systems gestartet.
Worm.Linux.Lion – Ein Internet-Wurm, der Linux-Server angreift. Zum
Eindringen in einen Computer verwendet der Wurm eine Sicherheitslücke im
Service BIND DNS.
Funktionsalgorithmus: Der Wurm scannt das Internet auf der Suche nach
Systemen, die eine Sicherheitslücke beim root-Zugriff aufweisen. Beim
Fund eines solchen Systems infiziert der Wurm dieses, sammelt
Informationen darüber (IP-Adresse, Logins, Kennwörter) in einer Datei
Anhang A 98
mit dem Namen mail.log und sendet die Datei anschließend an die EMail-Adresse 1i0nsniffer@china.com.
Außerdem unternimmt der Wurm Versuche zur Verbindung über das
Internet mit der Seite www.51.net (Die Domäne 51.net ist in China registriert) und lädt von dort die Datei crew.tgz. Dieses Archiv entpackt sich
auf der infizierten Maschine und installiert Prozeduren, bei deren Ausführung der inzwischen erneut infizierte Computer ebenfalls beginnt, die
Ressourcen des Internets auf der Suche nach zukünftigen Opfern zu
scannen.
mIRC.Acoragil und mIRC.Simpsalapim – Die ersten bekannten mIRC-Würmer.
Ihre Namen erhielten sie nach den Codewörtern, die von den Würmern verwendet werden: Ist im Text, der über einen Kanal an einen beliebigen
Benutzer übertragen wird, die Zeile Acoragil enthalten, dann werden alle
Benutzer, die mit dem Wurm mIRC.Acoragil infiziert sind, automatisch von
dem Kanal getrennt. Entsprechend funktioniert auch der Wurm
mIRC.Simpsalapim – er reagiert auf die Zeile Simpsalapim.
Ausbreitungsquelle: über Netzwerke. Mit mIRC-Befehlen versenden die
Würmer ihren Code in der Datei SCRIPT.INI an jeden neuen Benutzer,
der sich mit dem Kanal verbindet.
Funktionsalgorithmus: Die Würmer aktivieren eine Trojanischen Bestandteil.
mIRC.Simpsalapim enthält einen Code zum Abfangen eines IRCKanals: Ist der Inhaber des mIRC-Kanals infiziert, dann übernimmt ein
Angreifer mit Hilfe des Codeworts ananas die Kontrolle des Kanals.
mIRC.Acoragil versendet mit Hilfe von Codewörtern DOS-, Windowsoder UNIX-Systemdateien. Bestimmte Codewörter wurden so gewählt,
dass sie die Aufmerksamkeit der Opfer nicht wecken. z.B. hi oder the.
Eine Modifikation dieses Wurms schickt die UNIX-Kennwortdatei an
einen Angreifer.
Worm.Linux.Adm – Ein Internet-Wurm, der Linux-Systeme angreift. Der Wurm
sendet ein kleines Stück seines Codes an Remote-Computer, führt diesen
dort aus, lädt seinen Hauptcode nach und führt diesen aus.
Ausbreitungsquelle: über Netzwerke. Er verbreitet seine Kopien (infiziert
Remote-Linux-Systeme) mit Hilfe einer "Lücke" im Sicherheitssystem von Linux
(die sogenannte "Pufferüberlauf"-Lücke). Diese Lücke ermöglicht es, einen
ausführbaren Code auf einen Remote-Computer zu senden und ihn dort ohne
Eingreifen des Administrators (Benutzers) auszuführen.
Anhang B. KASPERSKY LAB
LTD.
Die Firma Kaspersky Lab Ltd. wurde 1997 gegründet. Heute sind wir das
bekannteste Unternehmen für Datenschutz-Software in Russland und bieten
eine breite Palette an Programmen zum Schutz vor Viren, unerwünschten EMails (Spam) und Hackerangriffen.
Kaspersky Lab ist ein international operierender Konzern. Unser Firmensitz
befindet sich in Russland, regionale Vertretungen bestehen in Großbritannien,
Frankreich, Deutschland, Japan, den Benelux-Staaten, China, Polen, Rumänien
und den USA (Kalifornien). In Frankreich wurde jüngst ein neues
Subunternehmen eröffnet – das Europäische Zentrum für Antivirenforschung.
Unser Partnernetzwerk vereint weltweit mehr als 500 Firmen.
Kaspersky Lab heute – das sind mehr als 250 hoch qualifizierte Fachleute, von
denen neun den Titel eines MBA sowie fünfzehn einen Doktortitel besitzen und
zwei Mitglieder der international angesehenen Computer Anti-virus Researcher's
Organization (CARO) sind.
Das wertvollste Potenzial des Unternehmens sind einmaliges Know-how und
Erfahrung, gesammelt durch unsere Mitarbeiter im Laufe von vierzehn Jahren
ständigen Kampfes mit Computerviren. Durch ständige Analyse der Entwicklung
im Bereich Computerviren sind wir in der Lage, neue Tendenzen für gefährliche
Programme vorherzusehen und den Anwendern frühzeitig zuverlässige
Lösungen zum Schutz vor neuen Attacken anzubieten. Dieser Vorteil ist die
Basis für den Erfolg der Programme und Services von Kaspersky Lab. Wir sind
unserer Konkurrenz stets einen Schritt voraus und garantieren maximale
Sicherheit zum Wohle unserer Klientel.
In jahrelangen Bemühungen ist es uns gelungen, die Marktführerschaft in der
Entwicklung von Virenschutzprogrammen zu erobern. Viele moderne Standards
für Virenschutzprogramme wurden erstmals von Kaspersky Lab entwickelt.
Unser führendes Produkt, Kaspersky Anti-Virus
Schutz für alle Objekte, die Virenattacken ausgesetzt sind: ComputerArbeitsplätze, Dateiserver, Mail Exchanger, Firewalls und Handheld-Computer.
Die bequeme Handhabung erlaubt einen größtenteils automatisierten
Virenschutz in den Firmennetzwerken der Anwender. Viele westliche
Softwarehersteller verwenden in ihren Programmen die Quellcodes von
Kaspersky Anti-Virus®, darunter: Nokia ICG (USA), F-Secure (Finnland), Aladdin
(Israel), Sybari (USA), G Data (Deutschland), Deerfield (USA), Alt-N (USA),
Microworld (Indien), BorderWare (Kanada).
Wir bieten eine breite Palette an Zusatzdienstleistungen an, die ein
reibungsloses Funktionieren und die problemlose Anpassung unserer Produkte
®
, garantiert zuverlässigen
Loading...
+ hidden pages
You need points to download manuals.
1 point = 1 manual.
You can buy points or you can get point for every manual you upload.