Kaspersky lab ANTI-VIRUS 5.5 for Linux, ANTI-VIRUS 5.5 for FreeBSD, ANTI-VIRUS 5.5 for OpenBSD Mail Servers User Manual [de]

Download

KASPERSKY LAB

Kaspersky Anti-Virus® 5.5 for Linux, FreeBSD

and OpenBSD Mail Servers

HANDBUCH FÜR ADMINISTRATOREN

KASPERSKY ANTI-VIRUS® 5.5 FOR

LINUX, FREEBSD AND OPENBSD MAIL SERVERS

Handbuch für

Administratoren

http://www.kaspersky.com/de/

Redaktionsdatum: Juni 2005

Inhalt

KAPITEL 1. KASPERSKY ANTI-VIRUS® FOR LINUX, FREEBSD AND

OPENBSD MAIL SERVERS ....................................................................................... 5

1.1. Was ist neu in Version 5.5..................................................................................... 6

1.2. Hardware- und Softwarevoraussetzungen........................................................... 7

1.3. Lieferumfang.......................................................................................................... 8

1.4. Service für registrierte Benutzer............................................................................ 9

1.5. Textgestaltung .....................................................................................................10

KAPITEL 2. TYPISCHE EINSATZMÖGLICHKEITEN DES PRODUKTS.................. 12

2.1. Interne Architektur von Kaspersky Anti-Virus®................................................... 12

2.2. Arbeit auf einem Server mit Mailsystem............................................................. 14

2.3. Arbeit als sekundärer Filter ................................................................................. 16

2.4. Arbeit auf einem separaten Server..................................................................... 17

2.5. Filterung der Mail aus externen Mailboxen......................................................... 19

KAPITEL 3. INSTALLATION VON KASPERSKY ANTI-VIRUS®................................ 22

3.1. Installation der Anwendung auf einem Linux-Server .........................................22

3.2. Installation der Anwendung auf einem FreeBSD- oder OpenBSD-Server....... 23

3.3. Installationsprozess............................................................................................. 23

3.4. Konfiguration der Anwendung ............................................................................ 24

KAPITEL 4. KONFIGURATION NACH DER INSTALLATION.................................... 26

4.1. Standardeinstellungen des Produkts.................................................................. 26

4.2. Installation / Aktualisierung der Antiviren-Datenbanken..................................... 28

4.3. Konfiguration der gemeinsamen Arbeit mit Webmin ......................................... 29

4.4. Manuelle Integration des Produkts in Mailsysteme............................................ 29

4.4.1. Integration in das Mailsystem sendmail....................................................... 30

4.4.2. Integration in das Mailsystem qmail............................................................. 31

4.4.3. Integration in das Mailsystem Postfix........................................................... 32

4.4.4. Integration in das Mailsystem Exim ............................................................. 32

4.4.5. Konfiguration von Kaspersky Anti-Virus® zur Integration in das

Mailsystem ....................................................................................................33

3 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

KAPITEL 5. ARBEIT MIT KASPERSKY ANTI-VIRUS®............................................... 35

5.1. Aktualisierung der Antiviren-Datenbanken ......................................................... 35

5.1.1. Komponente zum Update der Antiviren-Datenbanken keepup2date ........ 36

5.1.2. Empfohlene Einstellungen der Komponente keepup2date ........................ 37

5.1.3. Planung von Updates der Antiviren-Datenbanken mit Hilfe von cron ........ 39

5.1.4. Einmalige Aktualisierung der Antiviren-Datenbanken................................. 39

5.1.5. Erstellen eines Netzwerkordners zum Speichern und Kopieren der

Antiviren-Datenbanken ................................................................................. 40

5.2. Antivirenschutz des Mailverkehrs des Servers .................................................. 41

5.2.1. Nur virusfreie und desinfizierte E-Mails sollen zugestellt werden............... 42

5.2.2. Infizierte E-Mails zustellen............................................................................ 44

5.2.3. Zustellung von Nachrichten, die ein kennwortgeschütztes Archive

enthalten........................................................................................................ 45

5.2.4. Zustellung von Nachrichten an Adressaten sperren ................................... 46

5.2.5. E-Mails zusätzlich nach dem Typ der Anlagen filtern ................................. 47

5.3. Antivirenschutz von Dateisystemen.................................................................... 50

5.3.1. Untersuchung von Dateien auf Befehl......................................................... 51

5.3.2. Tägliche Untersuchung eines Verzeichnisses nach Taskplan (cron)......... 52

5.3.3. Zusätzliche Optionen: Verwendung von Skriptdateien ............................... 52

5.3.3.1. Desinfektion infizierter Archiv-Objekte ..................................................52

5.3.3.2. Senden einer Benachrichtigung an den Administrator......................... 53

5.3.4. Verschieben von Objekten in ein separates Verzeichnis (Quarantäne)..... 54

5.3.5. Modus zum Erstellen von Sicherheitskopien............................................... 55

5.4. Verwaltung von Lizenzschlüsseln....................................................................... 56

5.4.1. Lizenzierungsmechanismus......................................................................... 57

5.4.2. Anzeige von Informationen über den Lizenzschlüssel................................ 58

5.4.3. Lizenzverlängerung ......................................................................................60

KAPITEL 6. ERWEITERTE EINSTELLUNGEN........................................................... 62

6.1. Konfiguration des Antivirenschutzes für den Mailverkehr.................................. 62

6.1.1. Erstellen von Benutzergruppen.................................................................... 64

6.1.2. Modus zur Untersuchung und Desinfektion von Nachrichten..................... 65

6.1.3. Aktionen für Mail-Nachrichten ...................................................................... 66

6.1.4. Benachrichtigung an Absender, Empfänger und Administratoren .............68

6.2. Konfiguration des Antivirenschutzes für Serverdateisysteme ........................... 70

6.2.1. Untersuchungsbereich ................................................................................. 70

6.2.2. Modus zur Untersuchung und Desinfektion von Dateien............................ 72

Inhalt 4

6.2.3. Aktionen für Dateien ..................................................................................... 72

6.2.4. Modus zum Erstellen von Sicherheitskopien............................................... 74

6.3. Optimierung der Arbeit von Kaspersky Anti-Virus.............................................. 74

6.3.1. Verwendung der iChecker™-Datenbank .................................................... 75

6.3.2. Begrenzung der Serverbelastung ................................................................ 75

6.4. Konfiguration der Arbeit des Prozesses aveserver............................................ 76

6.4.1. Neustart von aveserver ................................................................................ 77

6.4.2. Zwangsläufiges Beenden der Arbeit von aveserver ................................... 77

6.5. Lokalisierung des Formats für Datums- und Uhrzeitanzeige............................. 77

6.6. Parameter für die Protokollerstellung von Kaspersky Anti-Virus®..................... 78

6.6.1. Format von Meldungen über das Scannen ................................................. 80

6.6.2. Format von Meldungen, die auf der Konsole angezeigt werden................ 82

6.6.3. Antiviren-Statistik der Anwendung............................................................... 82

KAPITEL 7. DEINSTALLATION VON KASPERSKY ANTI-VIRUS®........................... 84

KAPITEL 8. TESTEN DER FUNKTIONALITÄT VON KASPERSKY ANTI-VIRUS.... 85

KAPITEL 9. HÄUFIGE FRAGEN ÜBER DIE ARBEIT MIT DEM PRODUKT............. 87

ANHANG A. SCHÄDLICHE PROGRAMME IN UNIX-UMGEBUNG.......................... 94

A.1. Viren .................................................................................................................... 94

A.2. Trojanische Programme .....................................................................................96

A.3. Netzwürmer......................................................................................................... 97

ANHANG B. KASPERSKY LAB LTD............................................................................ 99

B.1. Andere Produkte von Kaspersky Lab ..............................................................100

B.2. Kontaktinformationen........................................................................................ 104

ANHANG C. INDEX..................................................................................................... 105

ANHANG D. ENDBENUTZER-LIZENZVERTRAG FÜR KASPERSKY ANTI-

VIRUS ....................................................................................................................... 106

Kapitel 1. Kaspersky Anti-Virus®

for Linux, FreeBSD and OpenBSD Mail Servers

Kaspersky Anti-Virus® 5.5 for Linux, FreeBSD and OpenBSD Mail Servers (im Folgenden auch Kaspersky Anti-Virus Mail Servers genannt) dient der Antivirenbearbeitung des Mailverkehrs und der

Dateisysteme von Servern, die mit den Betriebssystemen Linux, FreeBSD oder OpenBSD arbeiten und eines der folgenden Mailprogramme verwenden: sendmail, postfix, qmail, exim.

Das Softwareprodukt erlaubt:

• Virus-Untersuchung aller gemounteten Dateisysteme, sowie von eingehenden und ausgehenden E-Mail-Nachrichten als Teil des SMTPVerkehrs eines Servers.

• Erkennen infizierter, verdächtiger, beschädigter und durch Kennwort geschützter Dateien, sowie von Dateien, durch deren Untersuchung ein Fehler auftrat.

• Ausführen der Antivirenbearbeitung (Desinfektion) infizierter Objekte von Dateisystemen und E-Mail-Nachrichten.

• Verschieben von infizierten, verdächtigen und beschädigten Objekten der Serverdateisysteme und dessen Mailverkehrs in ein Quarantäne- verzeichnis. Für den Mailverkehr können zusätzlich durch Kennwort geschützte Dateien sowie Dateien, bei deren Untersuchung ein Fehler auftritt, in die Quarantäne verschoben werden.

• Bearbeitung des Mailverkehrs in Übereinstimmung mit den Regeln, die für Absender-Empfängergruppen festgelegt wurden.

• Organisation der zusätzlichen Filterung des Mailverkehrs nach Namen und Typen der angehängten Dateien, und Anwendung separater Bearbeitungsregeln auf ausgefilterte Objekte.

• Benachrichtigung von Absender, Empfänger und Gruppenadministrator über eine Mail-Nachricht, die ein infiziertes, verdächtiges u.a. Objekt enthält.

• Aktualisierung der Antiviren-Datenbanken. Als Updatequelle für die Datenbanken dienen die Updateserver von Kaspersky Lab.

, Kaspersky Anti-Virus® for Unix

Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 6

Die Antiviren-Datenbanken werden während des Such- und Desinfektionsprozesses infizierter Dateien verwendet. Auf Basis der in den Datenbanken enthaltenen Einträge wird während der Untersuchung jede Datei auf das Vorhandensein von Viren analysiert: Der Code der Datei wird mit einem Code verglichen, der für einen bestimmten Virus charakteristisch ist. Wenn eine Datei infiziert ist, führt das Programm seine Desinfektion durch.

Es wird darauf hingewiesen, dass jeden Tag neue Viren auftauchen. Deshalb empfehlen wir, die Antiviren-Datenbanken täglich zu aktualisieren, um den aktuellen Status des Produkts zu gewährleisten.

• Konfiguration von Kaspersky Anti-Virus® über die Web-Oberfläche des Programms Webmin und über die Konfigurationsdatei des Produkts.

1.1. Was ist neu in Version 5.5

In der Version Kaspersky Anti-Virus 5.5 for Linux, FreeBSD and OpenBSD Mail Servers wurden im Vergleich zu Version 5.0 folgende Änderungen

vorgenommen:

• Neue Technologien zum Download der Antiviren-Datenbanken und Programmmodule der Anwendung wurden integriert, darunter auch die Integritätskontrolle der heruntergeladenen Datenbanken. Dadurch lassen sich Einsparungen im Netzwerkverkehr erreichen (die Parameter wurden der Komponente keepup2date hinzugefügt).

• Hinzugefügt wurde eine Option zum Erstellen eines Speichers für Sicherheitskopien (Backup), in dem Kopien verdächtiger oder infizierter Objekte vor der Desinfektion oder dem Löschen gespeichert werden können. Dadurch lässt sich der Verlust von Originaldaten verhindern, falls bei der Desinfektion unvorhersehbare Situationen eintreten.

• Um die Serverbelastung bei der Antivirenuntersuchung zu verringern, wurden die Technologie iChecker und die zweistufige Cache-Speicherung untersuchter Objekte integriert.

• Nun ist mit Hilfe des Programms Webmin die Anzeige einer Statistik über die Virenaktivität für einen bestimmten Zeitraum möglich. Außerdem können die Typen der Viren angezeigt werden, die bei der Antivirenuntersuchung gefunden wurden.

• Eine Option zur Begrenzung der Anzahl von gleichzeitig im Hintergrundmodus untersuchten Objekte wurde hinzugefügt. Dies erlaubt eine Optimierung der Serverbelastung.

7 Kaspersky Anti-Virus

• Eine Option zur Generierung einer Liste der erkennbaren Viren wurde hinzugefügt.

• Eine Option zur Auswahl des Protokolls (smtp oder Imtp) für die Funktion der Komponente smtpscanner wurde hinzugefügt.

• Bei der Verwendung des Protokolls smtp wurde eine Option zur Empfangsbestätigung für den Absender einer E-Mail-Nachricht realisiert.

• Hinzugefügt wurde eine Option, die es erlaubt, für jede Nachricht die Virennamen und den ID-Code der Nachricht in einer Protokolldatei über die Arbeit der Komponente smtpscanner zu speichern.

• Die Lizenzierungspolitik für die Anwendung wurde geändert. Es ist nicht mehr notwendig, eine Liste der lizenzierten Benutzer zu erstellen und zu aktualisieren. Diese Liste wird nun automatisch erstellt und gepflegt.

• Hinzugefügt wurde eine Option zur Auswahl des Typs der AntivirenDatenbanken (Standard-Datenbanken, erweiterte oder redundante Datenbanken). Dabei kann der Typ der zu verwendenden AntivirenDatenbanken für jede Komponente der Anwendung separat festgelegt werden.

• Zur Verwendung in Benachrichtigungen wurde ein neues Makro hinzugefügt, welches das Einfügen aller Header der Ausgangsnachricht erlaubt.

• Der Installations- und Deinstallationsprozess für die Anwendung wurde wesentlich vereinfacht. Während des Deinstallationsprozesses werden von der Anwendung die Konfigurationsdateien korrigiert und Informationen über die Anwendung werden daraus entfernt.

• Bei der Installation der Anwendung besteht nun die Möglichkeit zum Importieren der Einstellungen einer Vorgängerversion von Anti-Virus (Version 4.0 oder 5.0). Dadurch wird erlaubt, wesentlich schneller eine funktionsfähige Konfiguration zu erhalten.

• Die Anwendung erkennt bei der Installation, wenn Kaspersky Anti-Spam bereits installiert ist und integriert diesen. Bei der Deinstallation wird die vorhergehende Konfiguration wiederhergestellt.

for Linux, FreeBSD and OpenBSD Mail Servers

1.2. Hardware- und Softwarevoraussetzungen

Für die Arbeit von Kaspersky Anti-Virus® sind folgende Systemvoraussetzungen erforderlich:

Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 8

• Hardwarevoraussetzungen:

• Prozessor der Pentium-Klasse.

• Mindestens 32 MB Arbeitsspeicher.

• Mindestens 100 MB verfügbarer Festplattenspeicher.

• Softwarevoraussetzungen:

• Eines der folgenden Betriebssysteme:

! RedHat Linux (Version 9.0, Fedora Core 3, Enterprise

Linux Advanced Server 3), SuSE Linux (Version Enterprise Server 9.0 und Professional 9.2), Linux Mandrake Version 10.1 oder Debian GNU/Linux (Version 3.0 updated (r4)

! FreeBSD Version 4.10 und 5.3

! OpenBSD Version 3.6

• Eines der folgenden Mailsysteme: sendmail Version 8.x, qmail

Version 1.03, Postfix Version nicht unter snapshot_20000529, Exim Version 4.0.

• Utility which.

• Programm Webmin (www.webmin.com) – zur Remote-Admini-

stration von Kaspersky Anti-Virus®.

• Perl Version 5.0 und höher (www.perl.org) – zur Installation von

Kaspersky Anti-Virus® mit Hilfe von install.sh.

1.3. Lieferumfang

Das Softwareprodukt kann bei unseren Vertriebspartnern (als Hardcopy) oder in einem Online-Shop (z.B. www.kaspersky.com/de werden.

Wenn Sie das Produkt als Hardcopy erwerben, umfasst der Lieferumfang des Softwareprodukts folgende Komponenten:

• versiegelter Umschlag mit Installations-CD (oder Disketten), welche die Dateien des Softwareprodukts enthält.

• Handbuch für Administratoren.

• Lizenzschlüssel, im Lieferumfang der Distribution enthalten oder auf einer

speziellen Diskette gespeichert.

• Lizenzvertrag.

, Abschnitt E-Store) erworben

9 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Bitte lesen Sie vor dem Öffnen des versiegelten Umschlags mit der CD (oder mit den Disketten) sorgfältig den Lizenzvertrag.

Beim Erwerb des Produkts in einem Online-Shop kopieren Sie das Produkt von der Kaspersky-Lab-Internetseite. Die Distribution enthält neben dem eigentlichen Produkt auch das vorliegende Handbuch. Der Lizenzschlüssel ist entweder in der Distribution enthalten oder wird nach Eingang der Bezahlung per E-Mail zugesandt.

Der Lizenzvertrag ist eine rechtsgültige Vereinbarung zwischen Ihnen und Kaspersky Lab Ltd., in der festgelegt wird, zu welchen Bedingungen Sie das von Ihnen erworbene Softwareprodukt verwenden dürfen.

Bitte lesen Sie den Lizenzvertrag sorgfältig!

Wenn Sie den Bedingungen des Lizenzvertrags nicht zustimmen, können Sie die Packung mit Kaspersky Anti-Virus® an den Händler zurückgeben, bei dem Sie diese erworben haben, und der Kaufbetrag des Abonnements wird an Sie zurückerstattet. Voraussetzung dafür ist, dass der versiegelte Umschlag mit der Installations-CD nicht geöffnet wurde.

Durch das Öffnen der versiegelten Packung mit der Installations-CD oder die Installation des Programms auf einem Computer stimmen Sie allen Bedingungen des Lizenzvertrags zu.

1.4. Service für registrierte Benutzer

Kaspersky Lab Ltd. bietet seinen registrierten Kunden ein breites Spektrum an Serviceleistungen, die eine gesteigerte Effektivität von Kaspersky Anti-Virus ermöglichen.

Durch den Erwerb eines Abonnements werden Sie zum registrierten Programmbenutzer und können während der Gültigkeitsdauer Ihres Abonnements folgende Leistungen in Anspruch nehmen:

• Nutzung neuer Versionen des betreffenden Softwareprodukts;

• Beratung bei Fragen zu Installation, Konfiguration und Benutzung des

betreffenden Produkts (per Telefon und E-Mail);

• Nachrichten über das Erscheinen neuer Softwareprodukte von Kaspersky Lab und über das Auftauchen neuer Viren (Dieser Service gilt für Benutzer, die den Newsletter von Kaspersky Lab Ltd. abonniert haben).

Die Beratung erstreckt sich nicht auf Fragen über Funktion und Benutzung von Betriebssystemen und anderen Technologien.

Kaspersky Anti-Virus® for Linux, FreeBSD and OpenBSD Mail Servers 10

1.5. Textgestaltung

Bestimmte Textteile dieser Dokumentation sind in Abhängigkeit von ihrer Bedeutung durch unterschiedliche Formatierungselemente hervorgehoben. Die Textgestaltung wird in folgender Tabelle erläutert.

Formatierung Bedeutung

Fette Schrift

Hinweis.

Achtung

Um diese Aktion durchzuführen,

1. Schritt 1.

2. …

Aufgabe, Beispiel

Lösung

Name eines Bedienungselements – Funktion des Bedienungselements.

Namen von Menüs, Menüelementen, Dialogfenstern, Elementen von Dialogfenstern, usw.

Zusatzinformationen, Hinweise.

Sehr wichtige Informationen.

Beschreibung einer Folge von Schritten und möglichen Aktionen, die vom Benutzer durchgeführt werden.

Aufgabenstellung, Beispiel für die Realisierung der Optionen des Softwareprodukts.

Lösung der vorhergehenden Aufgabe.

Beschreibung des Konfigurationsbaums.

[Parameter] – Funktion des

Parameters.

Befehlszeilentext

Befehlszeilenparameter.

Text von Benutzereingaben in der Befehlszeile.

11 Kaspersky Anti-Virus

Formatierung Bedeutung

for Linux, FreeBSD and OpenBSD Mail Servers

Text von Meldungen

Text von Konfigurationsdateien, Informationsmeldungen des Programms.

Kapitel 2. Typische

Einsatzmöglichkeiten des Produkts

Abhängig von der Basisarchitektur des Mailservers bieten wir mehrere Bereitstellungsvarianten von Kaspersky Anti-Virus

• für einen Server mit Mailsystem: Diese Variante wird verwendet, wenn auf dem Server bereits eines der Mailsysteme sendmail, qmail, postfix oder exim installiert und konfiguriert ist (s. Pkt. 2.2 auf S. 14).

• für einen separaten Server als sekundärer Filter: Die Verwendung dieser Variante wird empfohlen, wenn der primäre Mailserver mit einem nicht unterstützten Betriebs- und Mailsystem arbeitet (s. Pkt. 2.4 auf S. 17).

• für einen Server mit Mailsystem als sekundärer Filter: Diese Organisationsvariante wird empfohlen, wenn auf dem Mailserver bereits ein Mailfilter installiert ist, z.B. Kaspersky Anti-Spam (s. Pkt. 2.3 auf S. 16).

• als Filter für externe Mailboxen: Diese Organisationsmethode eignet sich, wenn die Benutzer des Mailservers über Mailboxen auf externen Servern verfügen und der Antivirenschutz von heruntergeladenen Mail-Nachrichten erforderlich ist (s. Pkt. 2.5 auf S. 18).

In allen oben erwähnten Fällen kann Kaspersky Anti-Virus des Mailverkehrs auch das Scannen aller gemounteten Dateisysteme durchführen.

Vor der ausführlichen Beschreibung der oben genannten Einsatzmöglichkeiten betrachten wir mit dem Ziel der vollständigen Darstellung des Funktionsalgorithmus die interne Architektur von Kaspersky Anti-Virus®.

for Unix Mail Servers an:

neben der Filterung

2.1. Interne Architektur von Kaspersky Anti-Virus

Bei der Arbeit mit Kaspersky Anti-Virus® stellt das präzise Verständnis des Funktionsalgorithmus einen wichtigen Aspekt dar.

In diesem Abschnitt betrachten wir die interne Architektur des Produkts im Kontext der Untersuchung des Mailverkehrs. Der Prozess zum Scannen von

13 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Serverdateisystemen ist relativ unkompliziert und bedarf keiner getrennten Erklärung.

Es ist zu erwähnen, dass Kaspersky Anti-Virus

nur der Filterung der Mail auf Viren dient und keinen Mailagenten darstellt, der zum Empfang und Routing des Mailverkehrs fähig ist. Dafür wird ein auf dem Server installiertes Mailsystem verwendet, in das Anti-Virus nach der Installation integriert wird.

Am Beispiel des Mailsystems sendmail betrachten wir den Algorithmus der internen Arbeit von Kaspersky Anti-Virus

for Unix Mail Servers nach dessen

Integration in das Mailsystem genauer (s. Abb. 1).

Es wird daran erinnert, dass während des Integrationsprozesses von Anti-Virus in das Mailsystem sendmail die zusätzliche Konfigurationsdatei sendmail.cf.listen angelegt wird. Beim Start von sendmail unter Verwendung dieser Konfigurationsdatei nimmt das Mailsystem den Empfang des Servermailverkehrs vor und leitet diesen zur Bearbeitung an Kaspersky Anti-Virus® weiter. Beim Start mit der Originalkonfigurationsdatei (sendmail.cf) stellt es die MailNachrichten zu, die von Anti-Virus weitergeleitet wurden.

Der Funktionsalgorithmus lässt sich wie folgt beschreiben:

1. Der Mailverkehr wird vom Mailsystem sendmail (Konfigurationsdatei sendmail.cf.listen) nach SMTP-Protokoll empfangen. sendmail erstellt eine Warteschlange, in der die eingehende Mail gespeichert wird, und übergibt sie nach Protokoll LMTP zur Bearbeitung an die Komponente smtpscanner.

2. Die Komponente smtpscanner bearbeitet den Mailverkehr in Überein- stimmung mit den Einstellungen. Der Scan- und Desinfektionsprozess besitzt folgenden Ablauf:

• smtpscanner übergibt unter Verwendung des lokalen Sockets den Dateinamen der Mail-Nachricht an die Komponente aveserver.

• aveserver führt mit Hilfe der Antiviren-Datenbanken die Untersuchung und Desinfektion des Objekts durch.

• smtpscanner erhält von aveserver einen Rückgabewert, der den Dateistatus festlegt.

• Abhängig vom Status des Objekts führt smtpscanner auf Basis der Einstellungen der Konfigurationsdatei Aktionen damit durch.

3. Der bearbeitete Mailverkehr wird zusammen mit Benachrichtigungen über die Ergebnisse der Untersuchung und Desinfektion nach SMTPProtokoll an das Mailsystem sendmail (Konfigurationsdatei sendmail.cf) übergeben, das die Zustellung des Mailverkehrs an die lokalen Benutzer oder das Routing auf andere Mailserver vornimmt.

Typische Einsatzmöglichkeiten des Produkts 14

Abb. 1. Interne Architektur von Kaspersky Anti-Virus® for Unix Mail Servers

2.2. Arbeit auf einem Server mit Mailsystem

Im Folgenden wird bei der Beschreibung der Arbeit und Konfiguration von Kaspersky Anti-Virus® die Variante "Betrieb auf einem Server mit Mailsystem" beschrieben!

Installation und Betrieb von Kaspersky Anti-Virus Mailprogramm sind nur auf den unterstützten Betriebssystemen (Linux, FreeBSD oder OpenBSD) möglich.

Als Mailsystem können folgende Programme verwendet werden: sendmail, qmail, postfix oder exim.

auf einem Server mit

15 Kaspersky Anti-Virus

Diese Variante wird für Mailserver empfohlen, die unter durchschnittlicher Last arbeiten.

for Linux, FreeBSD and OpenBSD Mail Servers

Werfen wir einen ausführlichen Blick auf das Funktionsschema von Kaspersky Anti-Virus

mit einem der genannten Mailsysteme auf einem Server (s. Abb. 2). Die Reihenfolge der Arbeit ist für eingehende und ausgehende Mail identisch und umfasst folgende Etappen:

1. Der Mailverkehr geht entweder von anderen Servern oder aus dem lokalen Netzwerk nach SMTP-Protokoll ein.

2. Das Mailsystem empfängt den Mailverkehr und übergibt ihn zur Bearbeitung an Kaspersky Anti-Virus

3. Kaspersky Anti-Virus

bearbeitet den Mailverkehr entsprechend der

Einstellungen und leitet ihn zusammen mit einer zusätzlichen Auswahl von Benachrichtigungen an das Mailsystem zurück.

4. Das Mailsystem führt das Routing des Mailverkehrs auf einen externen Server oder in die Mailboxen des lokalen Netzwerks durch.

Abb. 2. Schema der Arbeit von Kaspersky Anti-Virus® auf einem Server mit Mailsystem

Von obigem Funktionsschema ausgehend, sind bei der Installation von Kaspersky Anti-Virus

folgende Einstellungen vorzunehmen (entweder während

des Installationsprozesses oder direkt danach):

• Festlegen des Ports des Mailservers, auf dem Kaspersky Anti-Virus arbeiten soll.

• Festlegen des Ports des Mailsystems, auf dem es nach der Filterung die Mail von Kaspersky Anti-Virus

empfängt.

Typische Einsatzmöglichkeiten des Produkts 16

2.3. Arbeit als sekundärer Filter

Kaspersky Anti-Virus® kann sowohl als primärer wie auch als sekundärer Filter verwendet werden. Wenn im Moment der Installation des Produkts auf Ihrem Mailserver bereits ein Mail-Filter installiert war, dann muss festgelegt werden, welcher Mail-Filter (Kaspersky Anti-Virus installierte) der primäre und welcher der sekundäre Filter sein soll. Als Auswahlkriterium dient die Art der Filterung.

Der primäre Filter (wir nennen ihn hier MX1) ist jener, der den Mailverkehr auf Basis der IP-Adresse des Absenders filtert. Ein solcher Filter wird als Primärfilter auf Port 25 des Servers installiert. Er empfängt die auf dem Server eingehende Mail, filtert sie und übergibt sie danach zur Bearbeitung an den sekundären Filter. Der sekundäre Filter (wir nennen ihn hier MX2) wird auf dem gleichen Host installiert wie der primäre, ihm werden aber eine andere IP-Adresse und ein anderer Port zugewiesen.

Ist auf Ihrem Server kein Filter installiert, der auf der Absender-IP-Adresse basiert, dann können Sie Kaspersky Anti-Virus Wenn bereits in IP-Filter auf dem Server installiert ist, installieren Sie Anti-Virus als sekundären Filter. Dieses Vorgehen ist dadurch begründet, dass nach der Untersuchung durch Kaspersky Anti-Virus IP-Adresse ausgeht. Folglich wäre eine IP-Filterung nach der Antivirenbearbeitung sinnlos.

oder der bereits auf dem Server

als primären Filter installieren.

der gesamte Mailverkehr von einer

Abb. 3. Schema der Arbeit von Kaspersky Anti-Virus® als sekundärer Filter auf einem

Server mit Mailsystem

Nehmen Sie folgende Einstellungen für den primären und sekundären Filter vor:

• Konfiguration des primären Filters (MX1):

• Name des Hosts, auf dem der Filter installiert ist:

mx1.yourhost.domain;

17 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

• IP-Adresse des Filters: alle verfügbaren;

• Nummer des Ports, auf dem der Filter arbeitet: 25;

• Name des Hosts zum Senden der Mail:

mx2.yourhost.domain:10026.

• Konfiguration des sekundären Filters (MX2):

• Name des Hosts, auf dem der Filter installiert ist:

mx2.yourhost.domain;

• IP-Adresse des Filters: 127.0.0.1;

• Nummer des Ports, auf dem der Filter arbeitet: 10026;

• Name des Hosts, von dem Mail empfangen wird:

mx1.yourhost.domain.

Die Namen der Hosts für Filter MX1 und MX2 müssen unterschiedlich sein, da der Server eine Nachricht nicht annimmt, wenn die Hosts im Dialog helo/ehlo identische Namen besitzen. MX2 muss für MX1 vertrauenswürdig sein und umgekehrt, andernfalls wird die Zustellung unmöglich sein.

2.4. Arbeit auf einem separaten Server

Kaspersky Anti-Virus® for Unix Mail Servers kann die Filterung und Antivirenbearbeitung des Mailverkehrs auch dann vornehmen, wenn Ihr Mailserver mit einem anderen Betriebssystem (z.B. Windows) arbeitet.

In diesem Fall wird Kaspersky Anti-Virus der mit dem Betriebssystem Linux, FreeBSD oder OpenBSD arbeitet.

Um Empfang des Mailverkehrs und Senden des Mailverkehrs an den WindowsMailserver zu gewährleisten, wird auf dem separaten Server neben Anti-Virus auch ein Mailsystem (sendmail, qmail, postfix oder exim) installiert und dessen Integration mit Kaspersky Anti-Virus

In diesem Fall gilt folgender Arbeitsablauf (s. Abb. 4):

• Der Mailverkehr geht auf dem Server ein, der mit einem Betriebssystem der Unix-Familie arbeitet.

• Das Mailsystem (z.B. qmail) sendet ihn nach Protokoll LMTP zur Bearbeitung an Kaspersky Anti-Virus

auf einem separaten Server installiert,

vorgenommen (s. Pkt. 4.4 auf S. 29).

Typische Einsatzmöglichkeiten des Produkts 18

• Die untersuchte Mail wird zusammen mit von Anti-Virus erstellten Benachrichtigungen an das Mailsystem zurückgegeben, das diese zur Zustellung oder weiterem Routing auf den Hauptmailserver weiterleitet.

Abb. 4. Schema der Arbeit von Kaspersky Anti-Virus®

auf einem separaten Server

Im obigen Schema ist der Server mit Kaspersky Anti-Virus® der Hauptserver, da er den Empfang des Mailverkehrs und dessen Weiterleitung vornimmt. Der Server mit MS Exchange ist der sekundäre Server und führt lediglich die Zustellung aus.

Wenn Ihr Mailserver vor der Installation von Kaspersky Anti-Virus von Briefen nach der Absender-IP-Adresse ausgeführt hat, dann muss der Server mit Kaspersky Anti-Virus

als sekundärer verwendet werden. Der Grund

die Filterung

besteht darin: Wenn der Server mit Anti-Virus als Hauptserver verwendet wird, gehen auf den sekundären Server (mit IP-Filterung) alle Mail-Nachrichten von einer IP-Adresse ein, was eine Filterung unmöglich macht.

Wenn innerhalb Ihres lokalen Netzwerks Mailserver vorhanden sind, dann müssen die MX-Einträge oder Parameter für die Weiterleitung auf den Hauptserver verweisen, nicht auf den sekundären Server.

• Konfiguration des primären Filters (MX1):

• Name des Hosts, auf dem der Filter installiert ist:

mx1.yourhost.domain;

• Name des Hosts zum Senden der Mail: mx2.yourhost.domain:25.

• Konfiguration des sekundären Filters (MX2):

• Name des Hosts, auf dem der Filter installiert ist:

mx2.yourhost.domain;

19 Kaspersky Anti-Virus

• Name des Hosts, von dem Mail empfangen wird: mx1.yourhost.domain.

for Linux, FreeBSD and OpenBSD Mail Servers

2.5. Filterung der Mail aus externen Mailboxen

Heutzutage sind externe Mailboxen auf Servern wie www.mail.ru, www.gmx.de, www.hotmail.com u.a. weit verbreitet.

Wie kann beim Herunterladen infizierter Mail-Nachrichten aus solchen Mailboxen eine Infektion verhindert werden? Tatsächlich wird solche Mail über das POP3Protokoll zugestellt, aber Kaspersky Anti-Virus SMTP-Protokoll.

Zur Gewährleistung des Antivirenschutzes von externer Mail sind folgende Maßnahmen erforderlich:

1. Schließen von Port 110. Den Benutzern wird einfacher Zugriff auf die externe Mail gegeben, und die Arbeit des Gateway wird mit Hilfe des Pakets fetchmail als Proxyserver für POP3 organisiert. Dieses Paket lädt Mail-Nachrichten von externen Servern herunter und sendet sie an den lokalen SMTP-Port weiter. Nach dem Eingang auf dem SMTP-Port werden sie von Kaspersky Anti-Virus

Für die Filterung der Mails von externen Mailboxen sind ein lokaler SMTP-Server und ein lokales Benutzerkonto auf dem Computer erforderlich, auf dem das Paket fetchmail installiert ist!

Die Konfiguration von fetchmail ist sehr einfach: Im Verzeichnis $HOME jedes Benutzers existiert die Datei .fetcmailrc, die mindestens folgende Zeilen enthält:

set postmaster "user"

set bouncemail

set no spambounce

set properties ""

poll mail.that.is.free.ru with proto POP3

user 'remote_user' there with password 'pass12345' is 'user' here

poll mail2.that.is.free.ru with proto POP3

user 'remote_user2' there with password 'pass123452' is 'user' here

untersucht nur Mailverkehr nach

bearbeitet.

Typische Einsatzmöglichkeiten des Produkts 20

wobei:

• user – Benutzername im lokalen Netzwerk;

• mail.that.is.free.ru und mail2.that.is.free.ru – Name der Hosts,

von denen Mail abgeholt werden soll;

• remote_user und remote_user2 – Benutzernamen auf den

Hosts mail.that.is.free.ru und mail2.that.is.free.ru;

• pass12345 und pass123452 – Kennwörter für die

Benutzernamen remote_user und remote_user2.

Mit diesen Einstellungen holt das Programm fetchmail von den Hosts mail.that.is.free.ru und mail2.that.is.free.ru Mail-Nachrichten ab und sendet sie für den Benutzer user an das lokale SMTP. Dabei bleiben die Felder der Mail-Nachricht (von, an usw.) unverändert. Von fetchmail wird lediglich ein zusätzlicher Header received hinzugefügt. Der Benutzer erhält die Briefe in der gleichen Form wie beim Empfang auf herkömmliche Weise.

2. Angabe des Befehls fetchamail im crontab des Benutzers zum Start z.B. alle 10-15 Minuten.

Zur Automatisierung des Konfigurationsprozesses des Programms fetchmail für andere Benutzer, die externe Mailboxen verwenden, werden folgende Daten benötigt:

• Name des externen Hosts, von dem fetchmail Mails abholen soll;

• Benutzername auf dem externen Host;

• Kennwort für den Benutzernamen.

Außerdem muss im Home-Verzeichnis jedes Benutzers die Datei .fetchmailrc mit folgendem Inhalt vorhanden sein:

set postmaster "user"

set bouncemail

set no spambounce

set properties ""

Folgende Skriptdatei dient dem Hinzufügen von Einträgen über Mailboxen:

#!/bin/bash

echo "poll $1 with proto POP3 " >>$HOME/.fetchmailrc

echo "user '$2' with password '$3' is '$4' here">>$HOME/.fetchmailrc

21 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Wenn diese Skriptdatei mit folgenden Parametern gestartet wird: pop.mail.ru, dan, secret, admin, dann werden Briefe für den Empfänger dan@mail.ru an die Adresse admin@your_host.your_domain weitergeleitet.

Kapitel 3. Installation von

Kaspersky Anti-Virus®

Wir empfehlen Ihnen, vor dem Beginn der Installation von Kaspersky Anti-Virus® for Unix Mail Servers Ihr System folgendermaßen vorzubereiten:

• Stellen Sie sicher, dass das System den Hardware- und Softwarevoraussetzungen für die Installation von Kaspersky Anti-Virus (s. Pkt. 1.2 auf S. 5). Sollten bestimmte Anwendungen nicht installiert sein, dann wird deren Installation empfohlen. Andernfalls ergeben sich Einschränkungen der Anwendungsfunktionalität.

• Anfertigen von Sicherheitskopien der Konfigurationsdateien des Mailsystems, das auf Ihrem Server installiert ist.

• Konfiguration der Internetverbindung.

• Beenden der Arbeit des Mailservers, in das die Integration von

Kaspersky Anti-Virus geplant ist.

• Anmeldung am System als Benutzer root.

Es wird empfohlen, die Installation des Produkts außerhalb der Arbeitszeiten oder dann durchzuführen, wenn der Mailverkehr möglichst gering ist!

entspricht

3.1. Installation der Anwendung auf einem Linux-Server

Kaspersky Anti-Virus wird in drei Installationsvarianten geliefert: rpm, deb oder tar.gz. Verwenden Sie diese abhängig von der Distribution des Betriebssystems.

Um die Installation von Kaspersky Anti-Virus aus dem rpm-Paket zu starten, geben Sie in der Befehlszeile ein:

rpm –i <Name_der_Distributionsdatei>

Um die Installation von Kaspersky Anti-Virus aus dem deb-Paket zu starten, geben Sie in der Befehlszeile ein:

23 Kaspersky Anti-Virus

dpkg –i <Name_der_Distributionsdatei>

Außerdem können Sie die für alle Linux-Betriebssysteme einheitliche Standarddistribution verwenden. Diese Variante kann benutzt werden, wenn die entsprechende Linux-Distribution von den Formaten rpm oder deb nicht unterstützt wird (z.B. Slackware) oder wenn der Administrator den integrierten Paket-Manager nicht verwendet.

Die universale Distribution von Kaspersky Anti-Virus wird als Archiv geliefert. Das Archiv enthält einen Verzeichnisbaum der Distributionsdateien und das Installationsskript install.sh, das die Installation vornimmt.

Um die Installation von Kaspersky Anti-Virus auf dem Server zu starten, sind folgende Aktionen erforderlich:

1. Kopieren des Distributionsarchivs in einen Ordner des Serverdateisystems und entpacken des Archivs.

for Linux, FreeBSD and OpenBSD Mail Servers

2. Starten des Installationsskripts:

install.sh.

3.2. Installation der Anwendung auf einem FreeBSD- oder OpenBSDServer

Für Server, die mit dem Betriebssystem FreeBSD oder OpenBSD arbeiten, wird die Distribution von Kaspersky Anti-Virus als pkg-Paket geliefert.

Um die Installation von Kaspersky Anti-Virus aus dem pkg-Paket zu starten, geben Sie in der Befehlszeile ein:

pkg_add <Paketname>

3.3. Installationsprozess

Aus bestimmten Gründen kann der Installationsprozess mit einem Fehlercode abgeschlossen werden. Vergewissern Sie sich in diesem Fall, ob Ihr Computer die Hardware- und Softwarevoraussetzungen (s. Pkt. 1.2 auf S. 7) erfüllt und ob die Anmeldung am System mit den Rechten des Benutzers root erfolgte.

Die Installation der Anwendung auf einem Server umfasst folgende Etappen:

1. Kopieren der Distributionsdateien auf den Server.

Installation von Kaspersky Anti-Virus 24

2. Installation des Lizenzschlüssels.

Wenn kein Lizenzschlüssel installiert ist, wird der Konfigurationsprozess nicht ausgeführt und die Arbeit mit der Anwendung ist nicht möglich. Sollte der Lizenzschlüssel vorübergehend nicht vorhanden sein (z.B. wenn die Anwendung über das Internet erworben wurde und der Lizenzschlüssel noch nicht per E-Mail eingetroffen ist), dann kann er nach dem Installationsprozess, direkt vor dem Beginn der Arbeit mit der Anwendung installiert werden.

3. Konfiguration der Komponente keepup2date.

4. Installation (Update) der Antiviren-Datenbanken.

Denken Sie daran, die Antiviren-Datenbanken zu installieren, bevor Sie mit der Verwendung der Anwendung beginnen. Die Suche und Desinfektion von Viren basiert auf den Einträgen der AntivirenDatenbanken, die eine Beschreibung aller momentan bekannten Viren und Methoden zur Desinfektion infizierter Objekte enthalten. Ohne Antiviren-Datenbanken sind Untersuchung und Bearbeitung von Dateien nicht möglich!

Beachten Sie, dass die automatische Konfiguration der Anwendung nicht ausgeführt wird, wenn die Antiviren-Datenbanken nicht installiert werden.

5. Installation des Moduls Webmin.

Das Modul zur entfernten Verwaltung zum Paket Webmin wird nur unter der Bedingung installiert, dass sich Webmin im standardmäßigen Ordner befindet. Nach der Installation des Moduls erfolgen entsprechende Empfehlungen zur Konfiguration der gemeinsamen Arbeit mit der Anwendung.

3.4. Konfiguration der Anwendung

Direkt nachdem das Kopieren der Distributionsdateien auf den Server abgeschlossen wurde, wird die Systemkonfiguration ausgeführt. Abhängig vom Paket-Manager wird die Konfigurationsetappe entweder automatisch gestartet oder (wenn der Paket-Manager die Verwendung interaktiver Skripts nicht zulässt, z.B. rpm) der Benutzer wird zu bestimmten zusätzlichen Aktionen aufgefordert. In diesem Fall erscheinen entsprechende Meldungen auf dem Bildschirm.

Der Prozess zur Konfiguration der Anwendung umfasst:

• Suche nach dem installierten Mailserver und Überprüfung seiner Version auf Übereinstimmung mit den Softwarevoraussetzungen.

• Suche und Anpassen der Konfigurationsdatei des Mailservers.

25 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Wen bei der Systemkonfiguration bestimmte Zusatzangaben notwendig sind (beispielsweise der Pfad der Konfigurationsdatei des Mailservers), dann werden entsprechende Anfragen auf der Serverkonsole angezeigt. Bei inkorrekten Antworten wird der Konfigurationsprozess abgebrochen.

Wenn alle oben beschriebenen Konfigurationsschritte erfolgreich abgeschlossen wurden, ist die Anwendung zur Arbeit bereit und es erfolgen keine zusätzlichen Meldungen. Die Konfigurationsdatei, die zum Lieferumfang der Anwendung gehört, enthält alle für den Beginn der Arbeit erforderlichen Parameter.

Vergessen Sie nicht, den Mailserver neu zu starten, bevor die Arbeit beginnt.

Kapitel 4. Konfiguration nach

der Installation

Während des Installationsprozesses erfolgt eine Analyse des Systems, auf dem Kaspersky Anti-Virus werden automatisch festgelegt. Für eine Reihe von Parametern der Konfigurationsdatei des Produkts wurden Standardwerte gewählt, welche die Arbeit mit Anti-Virus möglichst komfortabel gestalten (s. Pkt. 4.1 auf S. 26).

Es wird empfohlen, vor Beginn der Arbeit mit dem Produkt die AntivirenDatenbanken zu installieren oder zu aktualisieren, falls dies nicht bereits während der Installation erfolgte, und die Serverdateisysteme auf das Vorhandensein von Viren zu scannen!

Vor Beginn der Arbeit mit dem Produkt sind allerdings noch folgende Aktionen erforderlich:

• Integration von Kaspersky Anti-Virus Server installiert ist.

• Erstellen einer Liste der lizenzierten Benutzer, deren eingehende und ausgehende Mail auf Viren analysiert und desinfiziert wird.

Außerdem wird empfohlen, die gemeinsame Arbeit von Kaspersky Anti-Virus mit dem Paket Webmin zu konfigurieren.

In diesem Kapitel beschreiben wir, welche Einstellungen für Kaspersky Anti-

Virus

als Standard gelten, und erläutern die für die Arbeit mit dem Produkt erfor-

derliche Konfiguration.

In den folgenden Beispielen werden die für Linux-Distributionen gültigen Dateipfade verwendet.

installiert wird, und bestimmte Konfigurationsparameter

in das Mailsystem, das auf Ihrem

4.1. Standardeinstellungen des Produkts

Alle Funktionsparameter von Kaspersky Anti-Virus® for Unix Mail Servers sind in der Datei kav4mailservers.conf gespeichert. Dies ist die standardmäßig verwendete Konfigurationsdatei.

27 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Sie können eigene Konfigurationsdateien anlegen und diese sowohl beim Ausführen einer aktuellen Aufgabe wie auch als StandardKonfigurationsdatei verwenden.

Betrachten wir genauer, welche Parameter in dieser Datei als Standard gelten. Ausgehend von den Angaben dieses Abschnitts können Sie feststellen, ob zur optimalen Anpassung an die Anforderungen Ihres Unternehmens eine zusätzliche Konfiguration von Kaspersky Anti-Virus

erforderlich ist (s. Kapitel 6

auf S. 62).

ANTIVIRENSCHUTZ VON SERVERDATEISYSTEMEN

In der Grundeinstellung ist Kaspersky Anti-Virus

so konfiguriert, dass beim Start der entsprechenden Komponente (kavscanner) ohne zusätzliche Befehlszeilenparameter die Antivirenuntersuchung der Verzeichnisse und Dateisysteme des Servers erfolgt, wobei mit dem aktuellen Verzeichnis begonnen wird.

Beim Fund von infizierten, verdächtigen oder beschädigten Dateien werden entsprechende Meldungen auf der Konsole und in der Protokolldatei angezeigt.

Beachten Sie, dass IN DER GRUNDEINSTELLUNG DIE DESINFEKTION von gefundenen infizierten Dateien NICHT durchgeführt wird!

ANTIVIRENSCHUTZ DES SERVERMAILVERKEHRS

Der Antivirenschutz des Mailverkehrs ist vor der Integration von Kaspersky Anti-Virus erörtern hier die nach der Integration für die Funktion des

in das Mailsystem NICHT MÖGLICH. Wir

Produkts als Standard gültigen Einstellungen.

Der Abschnitt [smtpscan.group:default] der Konfigurationsdatei kav4mailservers.conf definiert das Vorhandensein der Gruppe default, die für alle zu schützenden Benutzer des Mailservers gilt. In dieser Gruppe werden folgende Regeln für die Antivirenuntersuchung und bearbeitung des Mailverkehrs festgelegt:

• Untersuchung von eingehenden und ausgehenden Mail-

Nachrichten.

• Beim Fund von infizierten Mail-Nachrichten erfolgt deren

Desinfektion.

• Desinfizierte Mail-Nachrichten werden den Adressaten und dem Gruppenadministrator (postmaster@localhost) zugestellt, wobei sie zusätzliche Benachrichtigungen darüber enthalten, dass die Nachrichten durch Viren infiziert waren und erfolgreich

Konfiguration nach der Installation 28

desinfiziert wurden. Entsprechende Benachrichtigungen werden auch an die Absender der Nachrichten gesandt.

• Wenn die Desinfektion einer Nachricht unmöglich ist, wird diese gelöscht und an Absender, Gruppenadministrator und Empfänger wird eine entsprechende Benachrichtigung geschickt.

Alle Benachrichtigungen, welche die Untersuchung von Mail-Nachrichten, deren Desinfektion und sonstige die Mail betreffende Aktionen (Löschen, Verschieben nach Quarantäne usw.) betreffen, werden in der Grundeinstellung von der Adresse MAILER-DAEMON@localhost abgesandt.

• Wenn während der Antivirenanalyse des Mailverkehrs

verdächtige, beschädigte oder durch Kennwort geschützte Dateien, sowie Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat, gefunden werden, dann werden diese gelöscht. An Absender, Gruppenadministrator und Empfänger werden entsprechende Benachrichtigungen geschickt.

• Alle Aktionen des Programms werden in einer Protokolldatei

aufgezeichnet.

Beachten Sie, dass der Prozess aveserver gestartet sein muss, damit die Antivirenuntersuchung des Mailverkehrs von der Anwendung durchgeführt werden kann. Wenn der Prozess nicht gestartet wurde, wird die gesamte eingehende Mail in der Warteschlange zur Untersuchung und Bearbeitung gespeichert. Informationen darüber werden in der Log-Datei der Anwendung aufgezeichnet. Details über die Arbeit des Prozesses aveserver s. Pkt. 6.3 auf S. 74.

4.2. Installation / Aktualisierung der Antiviren-Datenbanken

Wir empfehlen, unmittelbar nach der Installation des Produkts auf dem Server die Antiviren-Datenbanken zu installieren/aktualisieren.

Starten Sie dazu die Komponente keepup2date. Geben Sie in der Befehlszeile ein:

/Pfad/von/keepup2date

Die Antiviren-Datenbanken werden von den Updateservern von Kaspersky Lab kopiert und in einem speziellen Verzeichnis gespeichert, das in der Konfigurationsdatei festgelegt ist.

29 Kaspersky Anti-Virus

Wir empfehlen Ihnen, die Antiviren-Datenbanken TÄGLICH zu aktualisieren, weil jeden Tag neue Viren auftauchen und die Gewährleistung der Aktualität des Produkts erforderlich ist. Zu Details über die Varianten zur Organisation von Updates s. Pkt. 5.1.1 - 5.1.4 auf S. 35 - 39.

for Linux, FreeBSD and OpenBSD Mail Servers

4.3. Konfiguration der gemeinsamen Arbeit mit Webmin

Wird die Remote-Administration von Kaspersky Anti-Virus® beabsichtigt, dann ist die Konfiguration der Zusammenarbeit mit dem Paket Webmin zu empfehlen.

Mit den Werkzeugen von Webmin kann beispielsweise die Kontrolle der Zugriffsrechte auf das Programm und die Organisation des Systems der Benutzerkennwörter vorgenommen werden (Details über die Konfiguration des Programms Webmin s. Dokumentation des betreffenden Produkts).

In der Grundeinstellung werden alle Einstellungen, die mit Hilfe des Programms Webmin vorgenommen wurden, in der Datei kav4mailservers.conf gespeichert, die als Standard verwendet wird.

Wenn Sie mit Hilfe des Programms Webmin eine alternative Konfigurationsdatei anlegen wollen:

• Die Daten aus der bereits vorhandenen Konfigurationsdatei in eine neue Datei kopieren, die unter einem anderen Namen gespeichert werden muss. Danach können die erforderlichen Änderungen der neuen (alternativen) Konfigurationsdatei entsprechend Ihrer Aufgaben erfolgen.

• Geben Sie den Namen der alternativen Konfigurationsdatei auf der Registerkarte Configuration im Eingabefeld des Parameters Full path to KAV config an.

4.4. Manuelle Integration des Produkts in Mailsysteme

Der unten beschriebene Prozess ist aktuell, wenn die Integration bei der Installation nicht automatisch ausgeführt wurde (wenn das Skript setup.sh NICHT VERWENDET WURDE).

Der manuelle Integrationsprozess umfasst drei Etappen:

Konfiguration nach der Installation 30

1. Ändern der Konfiguration des Mailsystems für die gemeinsame Arbeit mit Anti-Virus.

2. Eintragen von Änderungen, welche die Arbeit mit dem Mailsystem betreffen, in der Konfiguration von Kaspersky Anti-Virus

3. Start des Mailsystems mit der neuen Konfiguration.

Die Benutzerkonten, die für Start und Arbeit des Mailsystems verwendet werden, müssen über die Berechtigung zum Lesen der Konfigurationsdateien des entsprechenden Mailsystems verfügen.

Betrachten wir die manuelle Integration von Kaspersky Anti-Virus

mit den

Mailsystemen genauer.

4.4.1. Integration in das Mailsystem sendmail

Um Kaspersky Anti-Virus

in das Mailsystem sendmail zu integrieren,

1. Korrigieren Sie Regel 98 in der bei der Installation erstellten Datei sendmail.cf.listen auf folgende Weise:

SParseLocal=98

R$* $#smtpscanner[Tabulatorsymbol]$@ $1 $: $1

2. Geben Sie in dieser Datei die Beschreibung von smtpscanner an.

Msmtpscan, P=/opt/kav/bin/smtpscanner, F=PCXmnz9, S=EnvFromSMTP, R=EnvToSMTP, E=\r\n, L=2040,

T=SMTP,

A=smtpscanner

3. Konfigurieren Sie Kaspersky Anti-Virus

auf die erforderliche Weise

(s. Pkt. 4.4.5 auf S. 33).

4. Fügen Sie den Start-up-Skripts für Prozesse der zwei folgenden Prozesse hinzu:

/usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen

/usr/sbin/sendmail –q10m –C /etc/mail/sendmail.cf

Wenn Sie das Mailsystem sendmail Version 8.12 oder höher in der Konfiguration submit.cf verwenden, fügen Sie den Start-up-Skripts die drei folgenden Prozesse hinzu:

31 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

/usr/sbin/sendmail –bd –q10m –C /etc/mail/sendmail.cf.listen

/usr/sbin/sendmail -q10m

-C /etc/mail/sendmail.cf

/usr/sbin/sendmail –q10m –C /etc/mail/submit.cf

4.4.2. Integration in das Mailsystem qmail

Bei der Integration in das Mailsystem qmail wird das Programm qmail-queue durch die Komponente smtpscanner von Kaspersky Anti-Virus

ersetzt. Um Nachrichten zu versenden und in die Warteschlange einzuordnen, ruft smtpscanner das Originalprogramm qmail-queue auf.

Um Kaspersky Anti-Virus

in das Mailsystem qmail zu integrieren,

1. Benennen Sie im Ordner /var/qmail/bin/ die Datei qmail-queue in

qmail-que um.

2. Kopieren Sie die Datei qmail-queue aus dem Verzeichnis

/opt/kav/bin/smtpscanner/ in das Verzeichnis /var/qmail/bin oder

erstellen Sie eine symbolische Verknüpfung mit dieser Datei.

3. Legen Sie folgende Zugriffsrechte für die Dateien qmail-queue und qmail-que fest:

16 -rws—x—x 1 qmailq qmail 12688 Mar 24 13:56 qmail-que 316 –rwx—x—x 1 qmailq qmail 315612 Apr 14 11:29 qmail-queue

4. Konfigurieren Sie Kaspersky Anti-Virus® auf die erforderliche Weise (s. Pkt. 4.4.5 auf S. 33).

5. Starten Sie das Mailsystem neu.

Wenn im Mailsystem Qmail die Utility softlimit verwendet wird, muss darin die Größe des verfügbaren Speichers erhöht werden (oder die Größenbeschränkung deaktiviert werden). Andernfalls kann es bei der Untersuchung voluminöser E-Mail-Nachrichten zu Schwierigkeiten kommen.

Konfiguration nach der Installation 32

4.4.3. Integration in das Mailsystem Postfix

Um Kaspersky Anti-Virus

1. Überprüfen Sie die Versionsnummer Ihres Postfix-Mailsystems. Die Version muss neuer sein als andernfalls eine neue Version von der Web-Seite des Programms

Postfix herunter (www.postfix.org

2. Fügen Sie der Konfigurationsdatei main.cf des Mailsystem Postfix folgende Zeile hinzu:

content_filter = lmtp:localhost:10025

3. Fügen Sie der Konfigurationsdatei master.cf des Mailsystem

Postfix folgende Zeilen hinzu:

localhost:10025 inet n n n 10 spawn user=filter

argv=/opt/kav/bin/smtpscanner

localhost:10026 inet n - n -

in das Mailsystem Postfix zu integrieren,

snapshot_20000529. Laden Sie

10 smtpd -o content_filter= -o

myhostname=localhost

4. Legen Sie den Benutzer filter filter auf und legen Sie ein Home-Verzeichnis für ihn an

mkdir /var/spool/filter

groupadd filter

useradd filter –s /bin/false –d /var/spool/filter –g filter

chown filter.filter /var/spool/filter

5. Konfigurieren Sie Kaspersky Anti-Virus® auf die erforderliche Weise (s. Pkt. 4.4.5 auf S. 33).

6. Starten Sie das Mailsystem neu.

an, nehmen Sie ihn in die Gruppe

4.4.4. Integration in das Mailsystem Exim

Um Kaspersky Anti-Virus

1. Kopieren Sie die Konfigurationsdatei (z.B. exim.conf) in die Datei exim.conf.listen.

2. Korrigieren Sie die Datei exim.conf:

in das Mailsystem Exim zu integrieren,

33 Kaspersky Anti-Virus

• Fügen Sie dem Abschnitt TRANSPORT CONFIGURATION folgende Zeilen hinzu:

kav_lmtp_transport: driver = lmtp command = /opt/kav/bin/smtpscanner

• Legen Sie im Abschnitt ROUTERS CONFIGURATION die Parameter für die lokale Mailzustellung fest:

localuser: driver=accept transport=kav_lmtp_transport

Geben Sie die Parameter für die Remote-Mailzustellung an:

lookuphost: driver=dnslookup transport=kav_lmtp_transport

3. Konfigurieren Sie Kaspersky Anti-Virus Weise (s. Pkt. 4.4.5 auf S. 33).

4. Fügen Sie den Start-up-Skripts für Prozesse die zwei folgenden Prozesse hinzu:

exim -q10m -bd –C /etc/exim/exim.conf.listen exim -q10m –C /etc/exim/exim.conf

Wenn Sie die Komponente smtpscanner von einem anderen Benutzerkonto aus starten wollen, kompilieren Sie das Mailsystem Exim mit den definierten Variablen EXIM_GID und EXIM_UID (Details s. Dokumentation des Mailsystems Exim).

for Linux, FreeBSD and OpenBSD Mail Servers

auf die erforderliche

4.4.5. Konfiguration von Kaspersky AntiVirus

zur Integration in das

Mailsystem

Ein wesentlicher Bestandteil der Integration von Kaspersky Anti-Virus® in das Mailsystem besteht in der Konfiguration des Antivirenprogramms.

Die Konfiguration kann direkt in der Konfigurationsdatei des Programms oder im Remote-Modus mit Hilfe des Pakets Webmin erfolgen.

Um Kaspersky Anti-Virus konfigurieren:

Nehmen Sie in der Konfigurationsdatei von Kaspersky Anti-Virus folgende Einstellungen vor:

für die Arbeit mit dem Mailsystem zu

Konfiguration nach der Installation 34

• Geben Sie die Adresse an, von der aus Benachrichtigungen

versandt werden:

NotifyFromAddress=admin@yourhostname.ru

• Legen Sie im Abschnitt [smtpscan.general] einen ID für das

Mailsystem fest. Der ID des Mailsystems hat folgende Struktur:

Protokoll:Host:Port

, wobei:

Protokoll – Name des Protokolls, nach dem der Mailtransfer

erfolgt (

smtp oder lmtp);

Host – Name oder IP-Adresse des Hosts, von dem aus die Mail

versandt wird, oder Name des Mailprogramms;

Wählen Sie das Protokoll aus (LMTP oder SMTP).

Der Name des Mailprogramms wird in runden Klammern angegeben und kann beliebige Parameter enthalten.

Port – Portnummer (Standardwert: Port 25).

Die Zeile kann z.B. folgendes Aussehen besitzen:

smtp:localhost.tu:1100 oder lmtp:(local.mail –l)

Für sendmail

Für qmail:

Für postfix:

Für exim

ForwardMailer=smtp:(/usr/sbin/sendmail –bs –C /etc/mail/sendmail.cf

ForwardMailer=qmail:(/var/qmail/bin/qmailque)

ForwardMailer=smtp:localhost:10026

ForwardMailer=smtp:(exim –bs

-C/etc/exim/exim.conf)

)

• Geben Sie für die Benutzergruppe im Abschnitt

[smtpscan.group:default] der Konfigurationsdatei an:

AdminAddress=admin@yourhostname.ru

AdminNotify=yes

• Legen Sie im Abschnitt [smtpscan.limits] die maximale

Wartezeit (in Sekunden) für eine Antwort des Prozesses aveserver zum Ausführen einer Operation fest. Zum Beispiel:

MaxCheckTime=60

Kapitel 5. Arbeit mit Kaspersky

Anti-Virus®

Mit Kaspersky Anti-Virus® können Sie den vollständigen Antivirenschutz Ihres Servers organisieren: von einer einzelnen Datei, die auf dem Server gespeichert ist, bis zum eingehenden und ausgehenden Mailverkehr, einschließlich der Mails von externen Mailboxen.

Die Funktionalität des Produkts unterstützt den Administrator bei unterschiedlichen Aufgaben. Alle mit Hilfe von Kaspersky Anti-Virus Aufgaben können in drei Gruppen unterteilt werden:

1. Aktualisierung der Antiviren-Datenbanken, die zur Suche von Viren und Desinfektion infizierter Objekte verwendet werden.

2. Antivirenschutz des Servermailverkehrs.

3. Antivirenschutz der Serverdateisysteme.

Jede Gruppe umfasst konkrete Aufgaben, die eine bestimmte Funktionalität des Produkts realisieren. In diesem Kapitel betrachten wir die aktuellsten Aufgaben. Im Rahmen eines konkreten Unternehmens kann der Administrator diese kombinieren und komplexer gestalten.

Wo dies möglich ist, werden Konfiguration und Start einer Aufgabe sowohl lokal aus der Befehlszeile als auch im Remote-Modus über das Programm Webmin beschrieben.

realisierbaren

In allen unten angeführten Aufgaben wird davon ausgegangen, dass der Administrator die nach der Installation erforderliche Konfiguration vorgenommen hat (s. Kapitel 4 auf S. 26).

Vor dem Start von Aufgaben, die mit der Antivirenuntersuchung von Mail verbunden sind, ist der Start des Prozesses aveserver erforderlich, falls dieser nicht beim Start des Betriebssystems geladen wurde.

5.1. Aktualisierung der AntivirenDatenbanken

Ein obligatorischer Faktor des umfassenden Antivirenschutzes ist die Aktualisierung der Antiviren-Datenbanken. Als Quelle für die Updates der Antiviren-Datenbanken, die von Kaspersky Anti-Virus® während des Such- und

Arbeit mit Kaspersky Anti-Virus 36

Desinfektionsprozesses infizierter Dateien verwendet werden, dienen die Updateserver von Kaspersky Lab. Zum Beispiel:

http://downloads1.kaspersky-labs.com/updates/ http://downloads2.kaspersky-labs.com/updates/ ftp://downloads1.kaspersky-labs.com/updates/

Eine Liste der Adressen, von denen die Updates kopiert werden können, befindet sich in der Datei updcfg.xml, die zum Lieferumfang der Anwendung gehört. Diese Liste wird in bestimmten Zeitabständen automatisch aktualisiert.

Es ist unzulässig, die Datei updcfg.xml selbständig zu ändern!

Bei der Aktualisierung greift die Komponente keepup2date auf diese Liste zu, wählt eine Adresse und versucht, die Antiviren-Datenbanken vom Server herunterzuladen. Wenn die Aktualisierung von der gewählten Adresse erfolglos ist, wendet sich das Programm an die folgende Adresse und versucht erneut, die Datenbanken zu aktualisieren. Nach dem erfolgreichen Update erfolgt standardmäßig der automatische Neustart der Anwendung (Parameter PostUpdateCmd des Abschnitts [updater.options]).

Alle Einstellungen der Komponente keepup2date befinden sich in den Optionen [updater.*] der Konfigurationsdatei kav4mailservers.conf.

Wenn die Struktur Ihres lokalen Netzwerks eine gewisse Komplexität aufweist, wird empfohlen, die Updates von den Updateservern herunterzuladen, in einem bestimmten Netzwerkordner zu speichern und für die lokalen Computer den Download der Datenbanken aus diesem Ordner festzulegen.

und andere.

Es wird nachdrücklich empfohlen, die Antiviren-Datenbanken stündlich zu aktualisieren.

Die Aktualisierung lässt sich mit Hilfe des Programms cron nach Zeitplan (s. Pkt. 5.1.1 auf S. 36) organisieren oder wird auf Befehl des Administrators aus der Befehlszeile ausgeführt (s. Pkt. 5.1.4 auf S. 39).

5.1.1. Komponente zum Update der

Antiviren-Datenbanken

Beachten Sie, dass die Komponente zum Update der AntivirenDatenbanken keepup2date eine Neuentwicklung ist, welche die Komponente kavupdater ersetzt!

keepup2date

37 Kaspersky Anti-Virus

In Version 5.5 von Kaspersky Anti-Virus wurde die Komponente zum Update

der Antiviren-Datenbanken ersetzt. In der neuen Komponente wurde eine Reihe bereits vorhandener Funktionen optimiert und neue Optionen wurden hinzugefügt:

• Option zur automatischen Auswahl des geographisch nächsten Updateservers, basierend auf der in der Konfigurationsdatei angegebenen Region.

• Download und Installation inkrementeller Updates beim Erscheinen eines kumulativen Updates. Dadurch können Netzwerkressourcen eingespart werden.

• Wenn die Verbindung während des Kopierens der Antiviren-Datenbanken getrennt wird oder nach dem Wiederherstellen der Verbindung der Updateserver gewechselt wird, lädt die Komponente automatisch den verbleibenden Teil der Antiviren-Datenbanken herunter und beginnt den Download nicht von vorne.

• Erneutes Laden der Antiviren-Datenbanken sofort nach dem erfolgreichen Update.

• Unterstützung der Option für die Rückkehr zu der vorigen Version der Antiviren-Datenbanken (rollbacks);

• Für die Arbeit der neuen Komponente ist das Programm wget nicht erforderlich;

• Zur Durchführung von lokalen Updates aus einem Netzwerkordner können Ordner dienen, die sich auf einem Samba-Server oder auf einem Computer mit dem Betriebssystem Microsoft Windows befinden.

for Linux, FreeBSD and OpenBSD Mail Servers

5.1.2.

Verbunden mit den Änderungen der Update-Komponente werden einige Optionen der Konfigurationsdatei, die für die Komponente kavupdater spezifisch waren, nicht mehr verwendet. Es wird empfohlen, alle genannten Optionen manuell aus der Konfigurationsdatei zu entfernen. Sollten die darin enthaltenen Daten von Bedeutung sein (z.B. Adresse des Proxyservers), dann müssen diese Werte in die neuen Abschnitte der Komponente übertragen werden.

Empfohlene Einstellungen der

Komponente

Folgende Optionen werden nicht mehr verwendet und sind aus der Konfigurationsdatei der Anwendung im Abschnitt [updater.options] zu löschen:

keepup2date

Arbeit mit Kaspersky Anti-Virus 38

RandomServerOrder – Diese Option wurde aufgrund des veränderten

Vorgehens zur Serverauswahl ausgeschlossen.

ReloadApplication – Diese Option wurde durch eine umfassendere Option

ersetzt (Ausführung des Skripts PostUpdateCmd

ExtraWgetOptions – Das externe Programm wget wird nicht mehr

verwendet.

ShowExternalCmdOutput – Externe Befehle werden nicht mehr ausgeführt.

Außerdem wird die Option UpdateServersFile im Abschnitt [path] nicht mehr verwendet, weil die Liste der Server nun dynamisch aktualisiert wird.

Das Update der Antiviren-Datenbanken kann auf unterschiedliche Weise erfolgen:

Um das Update der Antiviren-Datenbanken von einem der KasperskyLab-Updateserver zu konfigurieren, deren Adressen in der Liste der Komponente keepup2date enthalten sind:

Geben Sie für den Parameter UseUpdateServerUrl im Abschnitt [updater.options] den Wert No an.

Um das Update der Antiviren-Datenbanken von einer benutzerdefinierten Adresse zu konfigurieren, bei Fehlschlag aber den Updateprozess abzubrechen:

Geben Sie für die Parameter UseUpdateServerUrl und UseUpdateServerUrlOnly im Abschnitt [updater.options] den Wert Yes an. Außerdem muss der Parameter UpdateServerUrl die Adresse

des Updateservers enthalten.

Um das Update der Antiviren-Datenbanken von einer benutzerdefinierten Adresse zu konfigurieren, bei Fehlschlag aber die Datenbanken von einer Adresse zu aktualisieren, die in der Updateserver-Liste der Komponente enthalten ist:

Geben Sie für den Parameter UseUpdateServerUrl im Abschnitt [updater.options] den Wert Yes an, und für den Parameter UseUpdateServerUrlOnly den Wert No. Außerdem muss der Parameter UpdateServerUrl die Adresse des Updateservers enthalten.

39 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

5.1.3. Planung von Updates der AntivirenDatenbanken mit Hilfe von cron

Sie können die regelmäßige automatische Aktualisierung der Antiviren-Datenbanken mit Hilfe des Programms cron planen.

Aufgabe: Festlegen der automatischen Aktualisierung der AntivirenDatenbanken im Drei-Stunden-Takt. Festlegen der zufälligen Auswahl des Updateservers. Aktivieren des Modus für den automatischen Neustart des Prozesses aveserver sofort nach der Aktualisierung der Datenbanken. Im Systemprotokoll sollen nur Fehler beim Update aufgezeichnet werden. In einem allgemeinen Protokoll werden alle Taskstarts aufgezeichnet. Auf der Konsole werden keine Informationen angezeigt.

Lösung

1. Legen Sie in der Konfigurationsdatei der Anwendung die

2. Ändern Sie die Datei, welche die Regeln für die Arbeit des

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

entsprechenden Parameterwerte fest:

[updater.options]

KeepSilent=yes

[updater.report]

Append=yes

ReportLevel=1

Prozesses cron (

0 * 3/3 * * * /opt/kav/5.5/kav4mailservers /bin/keepup2date

crontab –e) festlegt. Geben Sie folgende Zeile ein:

5.1.4. Einmalige Aktualisierung der Antiviren-Datenbanken

Die Aktualisierung der Antiviren-Datenbanken kann jederzeit aus der Befehlszeile gestartet werden.

Aufgabe: Start der Aktualisierung der Antiviren-Datenbanken, Speichern der Arbeitsergebnisse in der Datei /tmp/updatesreport.log.

Lösung

: Geben Sie zur Lösung dieser Aufgabe in der Befehlszeile ein:

Arbeit mit Kaspersky Anti-Virus 40

keepup2date –l /tmp/updatesreport.log

Ist es erforderlich, die Antiviren-Datenbanken auf mehreren Computern zu aktualisieren, dann bietet sich an, anstelle des mehrmaligen Downloads der Datenbanken aus dem Internet, die Datenbanken einmal von den Updateservern herunterzuladen, sie in einem bestimmten Verzeichnis zu speichern und die Datenbanken danach aus diesem Verzeichnis zu aktualisieren.

Aufgabe: Organisation der Aktualisierung der Antiviren-Datenbanken aus dem Netzwerkverzeichnis Verzeichnis nicht verfügbar oder leer ist, Aktualisierung von den

Kaspersky-Lab-Servern. Die Arbeitsergebnisse werden in einer Protokolldatei aufgezeichnet.

Lösung

1. Legen Sie in der Konfigurationsdatei der Anwendung die

2. Geben Sie in der Befehlszeile ein:

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

entsprechenden Parameterwerte fest:

[updater.options]

UpdateServerUrl=/home/bases

UseUpdateServerUrl=yes

UseUpdateServerUrlOnly=no (oder verwenden Sie den Parameter –g /home/bases)

keepup2date –l /tmp/report.txt

/home/bases, und wenn dieses

5.1.5. Erstellen eines Netzwerkordners zum Speichern und Kopieren der Antiviren-Datenbanken

Da die als Quelle für Updates der Antiviren-Datenbanken dienenden KasperskyLab-Seiten eine komplexe Struktur aufweisen, muss bei der Konfiguration des Updates der lokalen Computer Ihres Netzwerks aus einem bestimmten Netzwerkordner eine analoge Dateistruktur erstellt werden

Aufgabe Datenbanken auf die lokalen Computer des Netzwerks kopiert werden.

Lösung

: Erstellen eines Netzwerkordners, aus dem die Antiviren-

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

41 Kaspersky Anti-Virus

1. Erstellen Sie einen lokalen Ordner.

2. Starten Sie die Komponente keepup2date auf folgende Weise:

keepup2date –u rdir

wobei rdir – vollständiger Pfad des erstellten Ordners.

3. Erlauben für die die lokalen Computer den Netzwerkzugriff auf diesen Ordner.

for Linux, FreeBSD and OpenBSD Mail Servers

Aufgabe einen Proxyserver.

Lösung

: Konfiguration des Updates der Antiviren-Datenbanken über

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Geben Sie im Abschnitt [updater.options] der Konfigurationsdatei

für den Parameter UseProxy den Wert Yes an.

Vergewissern Sie sich, dass der Parameter ProxyAddress im Abschnitt des Proxyservers enthält. Die Adresse muss folgendes Format besitzen: http://username:password@ip_address:port. Dabei gelten die Werte ip_address und port als obligatorisch, username und password sind nur erforderlich, wenn die Autorisierung auf dem Proxyserver erforderlich ist.

oder:

[updater.options] der Konfigurationsdatei die Adresse

1. Geben Sie im Abschnitt [updater.options] der Konfigurationsdatei

für den Parameter UseProxy den Wert Yes an.

2. Legen Sie die Umgebungsvariable http_proxy im Format http://username:password@ip_address:port fest. Beachten Sie, dass die Variable nur dann berücksichtigt wird, wenn der Parameter UseProxy im Abschnitt [updater.options] fehlt oder den Wert Yes besitzt.

5.2. Antivirenschutz des Mailverkehrs des Servers

Die Antivirenfilterung des Mailverkehrs (eingehender und ausgehender Traffic, sowie Transit) ist die Hauptaufgabe von Kaspersky Anti-Virus und wird mit Hilfe der Komponente smtpscanner realisiert.

Arbeit mit Kaspersky Anti-Virus 42

Mit Hilfe von smtpscanner können Sie den Schutz Ihrer Benutzer vor infizierten Briefen gewährleisten und die Zustellung von virusfreien und desinfizierten Nachrichten mit Benachrichtigungen über die Untersuchungsergebnisse jedes Briefes organisieren.

Die Realisierung der sekundären Filterung nach den Typen angehängter Dateien erlaubt es, die Serverbelastung während der Antivirenbearbeitung des Mailverkehrs zu verringern. Und dies ist nur ein Teil der Funktionalität des Produkts. Weitere Möglichkeiten von Kaspersky Anti-Virus benen Aufgaben zum Schutz des Mailverkehrs gezeigt.

Alle Parameter der Komponente smtpscanner befinden sich in den Optionen [smtpscan.*] der Konfigurationsdatei kav4mailservers.conf.

Im Folgenden betrachten wir typische Aufgaben, die den Antivirenschutz des Mailverkehrs realisieren.

Beachten Sie, dass der Prozess aveserver gestartet sein muss, damit die Antivirenuntersuchung des Mailverkehrs von der Anwendung durchgeführt werden kann!

werden in den unten beschrie-

5.2.1. Nur virusfreie und desinfizierte E-

Mails sollen zugestellt werden

Diese Art der Konfiguration von Kaspersky Anti-Virus® wird verwendet, wenn keine Unterteilung der Benutzer in Absender-Empfängergruppen vorgesehen ist. Von Nutzen ist dies z.B., wenn die Zustellung von ausschließlich virusfreien und desinfizierten Mail-Nachrichten an alle Adressaten des Servers konfiguriert werden soll.

43 Kaspersky Anti-Virus

Aufgabe:

• Untersuchung des gesamten Mailverkehrs auf das Vorhandensein von Viren und Desinfektion aller infizierten MailNachrichten;

• Löschen von infizierten Mail-Nachrichten, die nicht desinfiziert werden konnten;

• Zustellung von desinfizierten Nachrichten an die Adressaten;

• Benachrichtigung von Absendern, Empfängern und Admini-

stratoren über desinfizierte, gelöschte, verdächtige und beschädigte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unveränderter Form angehängt;

• Aufzeichnung der Arbeitsergebnisse in der Datei /tmp/report.log.

Lösung

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Legen Sie für die Gruppe [smtpscan.group:default] folgende

Konfigurationsparameter fest:

[smtpscan.group:default]

Check=yes

AdminAddress=admin@localhost.ru

AdminNotify=yes

AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes

RecipientAttachReport=yes

RecipientAction=remove

CuredRecipientNotify=yes

CuredRecipientAttachReport=yes

CuredRecipientAction=cured

Die Parameter Sender*, Recipient* und Admin* bestimmen die Bearbeitungsregeln für alle Objekttypen außer Clean. Jede Regel, die für ein konkretes Objekt festgelegt wird, besitzt höhere Priorität. Im vorliegenden Beispiel werden alle Objekttypen aus der Mail eines Empfängers entfernt (RecipientAction=remove), außer dem Objekt Cured (CuredRecipientAction=cured).

for Linux, FreeBSD and OpenBSD Mail Servers

Arbeit mit Kaspersky Anti-Virus 44

2. Konfigurieren Sie den Protokolleintrag über die Arbeitsergebnisse der Komponente in der Datei /tmp/report.log:

[smtpscan.report]

ReportOk=yes

ReportFileName=/tmp/report.log

ReportFilePermission=0660

5.2.2. Infizierte E-Mails zustellen

In bestimmten Situationen kann die Zustellung beliebiger Nachrichten, einschließlich infizierter, an eine ausgewählte Empfängergruppe erforderlich sein.

Aufgabe

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Legen Sie für die Gruppe [smtpscan.group:default] folgende

• Untersuchung des gesamten Mailverkehrs auf das Vorhandensein von Viren;

• Desinfektion aller infizierten Nachrichten für alle Empfänger, außer jenen der Gruppe urgent;

• Verschieben von Mail-Nachrichten, die nicht desinfiziert werden konnten, sowie von verdächtigen und beschädigten Briefen in das Quarantäneverzeichnis für alle Empfänger, außer jenen der Gruppe urgent;

• Benachrichtigung von Absendern, Empfängern und Administratoren über gesperrte, desinfizierte, gelöschte, verdächtige und beschädigte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unveränderter Form angehängt;

• Zustellung aller Briefe, einschließlich infizierter, an die Benutzer der Gruppe urgent zusammen mit einem obligatorischen Hinweis auf die Möglichkeit einer Virusinfektion.

Konfigurationsparameter fest:

[smtpscan.group:default]

Check=yes

QuarantinePath=/var/db/Quarantine

45 Kaspersky Anti-Virus

Quarantine=yes

InfectedQuarantine=yes

SuspiciousQuarantine=yes

CorruptedQuarantine=yes

ErrorQuarantine=yes

ProtectedQuarantine=yes

AdminAddress=admin@localhost.ru

AdminNotify=yes

AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes

RecipientAttachReport=yes

RecipientAction=remove

CuredRecipientNotify=yes

CuredRecipientAttachReport=yes

CuredRecipientAction=cured

2. Konfigurieren Sie die Parameter der Gruppe

[smtpscan.group:urgent] folgendermaßen:

[smtpscan.group:urgent]

Check=yes

Quarantine=no

AdminAddress=admin@localhost.ru

AdminNotify=yes

AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes

RecipientAttachReport=yes RecipientAction=unchanged

for Linux, FreeBSD and OpenBSD Mail Servers

5.2.3. Zustellung von Nachrichten, die ein kennwortgeschütztes Archive enthalten

Es kommt häufig vor, dass eine E-Mail-Nachricht ein durch Kennwort geschütztes Archiv enthält. Kaspersky Anti-Virus desinfiziert infizierte Dateien, die in Archive verpackt sind (Details s. Pkt. 5.3.3.1 auf S. 52). Deshalb stellt die

Arbeit mit Kaspersky Anti-Virus 46

Anwendung standardmäßig Briefe zu, die ein kennwortgeschütztes Archiv enthalten, ohne sie zu untersuchen. Dabei wird ein Brief erstellt, der darüber informiert, dass dieses Archiv nicht untersucht wurde. Die Benachrichtigung wird an den Nachrichtenempfänger und an den Administrator geschickt.

Um die Funktion zur Benachrichtigung über die Zustellung eines nicht untersuchten Archivs zu deaktivieren:

• Wählen Sie im Abschnitt [smtpscan.group:default] der

Konfigurationsdatei der Anwendung für den Parameter ProtectedRecipientAttachReport den Wert no. Dadurch wird die Zustellung der Benachrichtigung an den Empfänger deaktiviert.

• Wählen Sie im Abschnitt [smtpscan.group:default] der

Konfigurationsdatei der Anwendung für den Parameter ProtectedAdminNotify den Wert no. Dadurch wird die Zustellung der Benachrichtigung an den Gruppenadministrator deaktiviert.

5.2.4. Zustellung von Nachrichten an Adressaten sperren

Gewöhnlich besteht für den Administrator die Notwendigkeit, den Empfang bestimmter Nachrichten für Empfänger zu blockieren.

Betrachten wir folgendes Beispiel: Eine Mail-Nachricht ist virusverdächtig, enthält aber wichtige Daten, die unbedingt gespeichert werden müssen. Bei der Desinfektion könnten die Daten verloren gehen. In dieser Situation ist es besser, die Mail-Nachricht zu isolieren und z.B. zur Untersuchung durch Spezialisten an Kaspersky Lab zu senden.

Aufgabe

• Untersuchung des gesamten Mailverkehrs auf das Vorhan-

densein von Viren und Desinfektion aller infizierten MailNachrichten;

• Blockieren der Zustellung von infizierten, verdächtigen,

beschädigten und durch Kennwort geschützten Mail-Nachrichten, sowie Nachrichten, durch deren Untersuchung ein Fehler auftrat;

• Zustellung von ausschließlich desinfizierten Nachrichten an die

Adressaten;

47 Kaspersky Anti-Virus

• Benachrichtigung von Absendern, Empfängern und Admini-

stratoren über blockierte, desinfizierte, gelöschte, verdächtige und beschädigte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden die infizierten Objekte in unveränderter Form angehängt.

Lösung

Nehmen Sie in der Konfigurationsdatei kav4mailservers.conf folgende Einstellungen vor:

[smtpscan.group:default]

Check=yes

QuarantinePath=/var/db/Quarantine

Quarantine=yes

InfectedQuarantine=yes

SuspiciousQuarantine=yes

CorruptedQuarantine=yes

ErrorQuarantine=yes

ProtectedQuarantine=yes

AdminAddress=admin@localhost.ru

AdminNotify=yes

AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes

RecipientAttachReport=yes

RecipientAction=remove

CuredRecipientNotify=yes

CuredRecipientAttachReport=yes

CuredRecipientAction=cured

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

for Linux, FreeBSD and OpenBSD Mail Servers

5.2.5. E-Mails zusätzlich nach dem Typ der Anlagen filtern

Häufig enthalten Mail-Nachrichten Dateien, die mit hoher Wahrscheinlichkeit einen Virus (z.B. eine exe-Datei) enthalten. Zur Verhinderung einer Infektion empfehlen wir, die Filterung des Mailverkehrs nach Name und/oder Typ solcher

Arbeit mit Kaspersky Anti-Virus 48

Objekte zu organisieren und sie zur weiteren Bearbeitung in einem separaten Verzeichnis zu blockieren.

Es existieren auch solche Objekte, die nicht infiziert sein können. Zur Verringerung der Serverbelastung bei der Antivirenbearbeitung von MailNachrichten empfehlen wir, die Typen und/oder Namen solcher angehängter Dateien vorher zu bestimmen und sie bei der Mailuntersuchung auszufiltern.

Aufgabe

• für Benutzergruppe users:

! Untersuchung von Mail-Nachrichten der Gruppe auf

das Vorhandensein von Viren;

! Filterung der Mail nach angehängten exe-Dateien;

Blockieren der ausgefilterten Nachrichten in einem Quarantäneverzeichnis;

! Desinfektion von infizierten Mail-Nachrichten; wenn

der Desinfektionsversuch eines Objekts erfolglos war, dann soll es aus dem Brief an den Empfänger entfernt werden, jedoch in unveränderter Form an den Gruppenadministrator zugestellt werden;

! Benachrichtigung über blockierte Objekte nur an den

Gruppenadministrator und die Empfänger;

! Benachrichtigung von Absendern, Empfängern und

Administrator über gelöschte, infizierte, beschädigte und durch Kennwort geschützte Objekte, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat.

• für alle übrigen Empfänger:

! Untersuchung des gesamten Mailverkehrs des

Servers auf das Vorhandensein von Viren und Desinfektion aller infizierten Mail-Nachrichten;

! Blockieren von infizierten Objekten, deren

Desinfektion erfolglos war, sowie von verdächtigen, beschädigten Briefen, und Objekten, durch deren Untersuchung ein Fehler auftrat, in einem Quarantäneverzeichnis;

! Zustellung von desinfizierten Nachrichten an die

Adressaten;

49 Kaspersky Anti-Virus

! Zustellung von durch Kennwort geschützten Dateien

mit einem Hinweis über die Möglichkeit einer Virusinfektion;

! Benachrichtigung von Absendern, Empfängern und

Administrator über gelöschte, infizierte, beschädigte, blockierte Mail-Nachrichten, sowie über Objekte, durch deren Untersuchung ein Fehler auftrat. An Benachrichtigungen für den Administrator werden alle Objekttypen in unveränderter Form angehängt.

Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Passen Sie die Konfiguration für die Gruppe

[smtpscan.group:users] folgendermaßen an:

[smtpscan.group:users]

Check=yes

QuarantinePath=/var/db/Quarantine

Quarantine=yes

AdminAddress=admin@localhost.ru

AdminNotify=yes

AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes

RecipientAttachReport=yes

RecipientAction=remove

FilterName=*.exe$

FilteredQuarantine=yes

FilteredRecipientNotify=yes

CuredRecipientNotify=yes

CuredRecipientAttachReport=yes

CuredRecipientAction=cured

ProtectedRecipientNotify=yes

ProtectedRecipientAction=unchanged

ProtectedRecipientAttachReport=no

ProtectedSenderNotify=no

ProtectedAdminNotify=no

2. Passen Sie die Konfiguration für die Gruppe

[smtpscan.group:default] folgendermaßen an:

for Linux, FreeBSD and OpenBSD Mail Servers

Arbeit mit Kaspersky Anti-Virus 50

Check=yes

QuarantinePath=/var/db/Quarantine

Quarantine=yes

InfectedQuarantine=yes

SuspiciousQuarantine=yes

CorruptedQuarantine=yes

ErrorQuarantine=yes

AdminAddress=admin2@localhost.ru

AdminNotify=yes

AdminAction=unchanged

SenderNotify=yes

RecipientNotify=yes

RecipientAttachReport=no

RecipientAction=remove

ProtectedRecipientNotify=yes

ProtectedRecipientAttachReport=yes

ProtectedRecipientAction=unchanged

CuredRecipientNotify=yes

CuredRecipientAttachReport=yes

CuredRecipientAction=cured

Details zum Erstellen einer Liste der Benutzergruppen s. Pkt. 6.1.1 auf S. 64

5.3. Antivirenschutz von

Dateisystemen

Der Antivirenschutz der Dateisysteme eines Servers erfolgt mit Hilfe der Komponente kavscanner, die Serverdateien auf das Vorhandensein von Viren untersucht und entsprechend den Funktionsparametern die Bearbeitung infizierter und verdächtiger Objekte vornimmt. Die Bearbeitung der Objekte kann entweder rein informativen Charakter besitzen (Anzeige von Informationen im Protokoll und auf der Serverkonsole, Benachrichtigung des Administrators) oder auch zur Veränderung des Objekts führen (Desinfektion, Verschieben in ein Quarantäneverzeichnis, Löschen).

Alle Parameter der Komponente kavscanner befinden sich in den Optionen [scanner.*] der Konfigurationsdatei kav4mailservers.conf.

51 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Die Untersuchung des Dateisystems Ihres Servers kann einmalig aus der Befehlszeile ausgeführt werden oder nach Taskplan mit Hilfe des Standarddienstprogramms cron. Sie können entweder die Untersuchung aller Dateisysteme des Servers oder eines bestimmten Verzeichnisses festlegen.

Im Folgenden betrachten wir typische Aufgaben für den Antivirenschutz eines Serverdateisystems.

Der Prozess einer Virusuntersuchung des gesamten Servers ist eine Prozedur mit relativ hohem Ressourcenbedarf. Es ist zu beachten, dass sich bei ihrem Start die Funktionsgeschwindigkeit verlangsamt. Deshalb wird empfohlen, parallel keine anderen Prozesse zu starten. Zur Vermeidung solcher Probleme wird empfohlen, einzelne Verzeichnisse zu untersuchen.

5.3.1. Untersuchung von Dateien auf Befehl

Eine der Aufgaben, die mit Kaspersky Anti-Virus® gelöst werden können, ist die Virus-Untersuchung und Desinfektion der Dateien eines bestimmten Serververzeichnisses.

Aufgabe mit automatischer Desinfektion aller infizierten Objekte. Alle Objekte, deren Desinfektion nicht möglich ist, sollen gelöscht werden.

: Start der rekursiven Untersuchung des Verzeichnisses /tmp

Die Arbeitsergebnisse der Komponente (Startdatum, Informationen über alle Dateien außer virusfreien Objekten, mit Detailinfos) sollen nur in der Protokolldatei kavscanner-aktuelles_Datum-pid.log erscheinen, die im gleichen Verzeichnis gespeichert wird.

Lösung: Geben Sie zur Lösung dieser Aufgabe in der Befehlszeile ein:

#./kavscanner -rlq

-о kavscanner-`date +%F`.log -i3 -ePASBME –j3 -mCn /tmp

Wenn bei der Untersuchung ein infiziertes Objekt in einem Archiv gefunden wird, dann wird das gesamte Archiv gelöscht!

Arbeit mit Kaspersky Anti-Virus 52

5.3.2. Tägliche Untersuchung eines Verzeichnisses nach Taskplan (cron)

In den Betriebssystemen der Unix-Familie wird der zeitgesteuerte Start von Programmen, wozu auch die Tasks von Kaspersky Anti-Virus des Dienstprogramms cron durchgeführt.

Aufgabe: Jeden Tag um 0 Uhr 00 Minuten soll die Virus-Untersuchung des Verzeichnisses /home gestartet werden. Dabei sollen die ScanParameter verwendet werden, die in der Konfigurationsdatei /etc/kav/scanhome.conf festgelegt sind.

Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Erstellen Sie die Konfigurationsdatei /etc/kav/kavscaner.cron und geben Sie dort alle erforderlichen Untersuchungsparameter an.

2. Ändern Sie die Datei, welche die Regeln für die Arbeit des Prozesses cron (

0 0 * * * /path/to/kavscanner -c /etc/kav/kavscaner.cron /home

crontab –e) festlegt, folgendermaßen:

zählen, mit Hilfe

5.3.3. Zusätzliche Optionen: Verwendung von Skriptdateien

Kaspersky Anti-Virus® bietet die Möglichkeit zur zusätzlichen Bearbeitung von Objekten, die der Antiviren-Analyse unterzogen wurden. Hierzu werden unterschiedliche Unix-Standardbefehle sowie Skriptdateien verwendet. Mit Hilfe solcher Werkzeuge können erfahrene Administratoren die Aktionen für Objekte mit unterschiedlichem Status selbständig festlegen und so die Funktionalität von Kaspersky Anti-Virus

erweitern.

5.3.3.1. Desinfektion infizierter Archiv-Objekte

Zur Untersuchung von Archiven müssen die entsprechenden Programme zur Arbeit mit den Archiven installiert sein!

53 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Kaspersky Anti-Virus® führt keine Desinfektion infizierter Dateien durch, die in Archive gepackt sind, findet aber in diesen enthaltene verdächtige und infizierte Objekte. Allerdings kann die Desinfektion durch eine zusätzliche Skriptdatei realisiert werden. In der vorliegenden Dokumentation wird ein Beispiel für die Desinfektion von Archiven des Typs tar, rar, tgz und zip mit Hilfe der Skriptdatei vox.sh besprochen. Dieses Skript gehört zum Lieferumfang von Kaspersky AntiVirus®.

Aufgabe Typen tar und zip, und Desinfektionsversuch aller in Archiven gefundenen infizierten Objekte mit Hilfe des Skripts vox.sh. Als

: Untersuchung aller auf dem Server vorhandenen Archive der

Konfigurationsdatei soll /etc/kav/kavscanner.conf.in verwendet werden, in der vorher die Verwendung der Skriptdatei für die Archivdesinfektion festgelegt wird. Verwendung des Heuristischen Code-Analyzers. Aufzeichnung einer Liste aller infizierten Objekte mit vollständigem Pfad in der Datei /tmp/infected_archive.lst. Arbeitsprotokoll der Komponente in der Datei /tmp/logfile.log.

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

Lösung

1. Erstellen Sie die alternative Datei kavscanner.conf.in.

2. Legen Sie als Bearbeitungsregeln für infizierte Objekte im Abschnitt

[container] dieser Datei folgende Zeile fest:

OnInfected=exec /opt/kav/5.5/kav4mailservers./contrib/vox.sh %FULLPATH%/%FILENAME%

3. Geben Sie in der Befehlszeile ein:

# kavscanner –c kavscanner.conf.in –ePASE –qR –o /tmp/logfile.log –j3 –pi /tmp/infected_archive.lst /

5.3.3.2. Senden einer Benachrichtigung an den

Administrator

Durch die Verwendung von Unix-Standardwerkzeugen können Sie mit Kaspersky Anti-Virus

eine Benachrichtigung an den Serveradministrator konfigurieren, die über den Fund von infizierten, verdächtigen und beschädigten Dateien in den gemounteten Dateisystemen informiert.

Arbeit mit Kaspersky Anti-Virus 54

Aufgabe: Konfiguration einer Benachrichtigung des Administrators beim Fund infizierter Dateien und Archive in den Dateisystemen des Servers bei jeder Untersuchung des Servers, die entsprechend den Parametern der Konfigurationsdatei kav4mailservers.conf ausgeführt wird.

Lösung

Geben Sie in der Konfigurationsdatei kav4mailservers.conf die Bearbeitungsregeln für gewöhnliche Objekte und Archiv-Objekte an:

[scanner.object]

OnInfected=exec echo %FULLPATH%/%FILENAME% is infected by %VIRUSNAME% |

mail -s kavscanner admin@localhost.ru

[scanner.container]

OnInfected=exec echo archive %FULLPATH%/%FILENAME% is infected, viruses list is in the attached file %LIST% | mail -s kavscanner -a %LIST% admin@localhost.ru

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

5.3.4. Verschieben von Objekten in ein

separates Verzeichnis (Quarantäne)

Sie können die Arbeit von Kaspersky Anti-Virus® so organisieren, dass alle infizierten Objekte des Serverdateisystems in ein separates Verzeichnis verschoben werden.

Diese Möglichkeit kann z.B. verwendet werden, wenn während der Antivirenuntersuchung eines Verzeichnisses eine infizierte Datei gefunden wurde, die wichtige Daten enthält. Bei der Desinfektion könnten die Daten teilweise verloren gehen. In dieser Situation ist es ratsam, das infizierte Objekt in einem separaten Verzeichnis zu isolieren, um es z.B. später zur Untersuchung an Kaspersky Lab zu schicken. Möglicherweise gelingt den Experten die Reparatur der Datei und die darin enthaltenen Daten können vollständig erhalten bleiben.

Wenn das Verzeichnis für isolierte Objekte in der Struktur des Serverdateisystems gespeichert werden soll, empfehlen wir, es für folgende Untersuchungen aus dem Scanbereich auszuschließen, indem sein vollständiger Pfad als Wert des Parameters ExcludeDir der Konfigurationsdatei angegeben wird.

55 Kaspersky Anti-Virus

Aufgabe: Untersuchung aller Objekte, die in der Datei /tmp/download.lst aufgezählt werden, auf das Vorhandensein von Viren und Verschieben von gefundenen infizierten Objekten mit vollständigem Pfad in das Verzeichnis /tmp/infected. Verwendung des Heuristischen Code-Analyzers; Rekursion deaktivieren. Informationen über infizierte, verdächtige und beschädigte Objekte werden in einer Protokolldatei aufgezeichnet.

Lösung: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

1. Geben Sie als Aktion für infizierte Objekte in den Abschnitten

[scanner.object] und [scanner.container] der Konfigurationsdatei folgende Zeile an:

OnInfected=movePath /tmp/infected

2. Deaktivieren Sie den Desinfektionsmodus (Cure=no), falls dieser

aktiviert war.

3. Geben Sie in der Befehlszeile ein:

#kavscanner –@/tmp/download.lst –ePASBME –rq –i0 -o /tmp/report.log –j3 –mCn

Dieser Task lässt sich auch komplexer gestalten, indem die Forderung aufgestellt wird, den Zugriff auf Dateien des Verzeichnisses /tmp/infected auf Lesen und Schreiben zu beschränken. Dies kann mit Hilfe von Unix-Standardwerkzeugen (Befehl chmod) erreicht werden. Zur Lösung der Aufgabe sind folgende Änderungen erforderlich:

Geben Sie in den Abschnitten [scanner.object] und [scanner.container] der Konfigurationsdatei /etc/kav/kavscanner.conf als Bearbeitungsregeln für infizierte Objekte folgende Zeile an:

OnInfected=exec mv %FULLPATH%/%FILENAME% /tmp/infected/%FILENAME%; chmod –x /tmp/infected/%FILENAME%

for Linux, FreeBSD and OpenBSD Mail Servers

5.3.5. Modus zum Erstellen von

Sicherheitskopien

Wenn bei der Untersuchung infizierte Dateien gefunden werden und als Aktion für infizierte Objekte das Löschen aus dem Dateisystem festgelegt wurde, besteht das Risiko des Verlusts wichtiger Daten. Um dies zu vermeiden, bietet Kaspersky Anti-Virus die Möglichkeit, Dateien in den Backup-Speicher zu kopieren.

Arbeit mit Kaspersky Anti-Virus 56

Vor der Desinfektion oder dem Löschen eines Objekts wird im Backup-Speicher (Abschnitt [scanner.path], Parameter BackupPath) automatisch eine Kopie angelegt. Die Sicherheitskopie bleibt auch dann erhalten (und bei Bedarf kann die ursprüngliche Datei wiederhergestellt werden), wenn das Objekt bei der Desinfektion beschädigt werden sollte. Das Objekt wird mit vollständigem Pfad in Backup gespeichert. Bei wiederholtem Speichern im Backup-Speicher wird die ältere Kopie eines Objekts automatisch durch die neuere ersetzt.

Bitte beachten Sie: Der Modus zum Anlegen von Sicherheitskopien im BackupSpeicher ist nicht standardmäßig aktiviert und der Ordner, in dem die Sicherheitskopien gespeichert werden sollen, ist nicht festgelegt. Um diese Option zu nutzen, muss dieser Pfad angegeben werden.

Wenn ein Objekt aus dem Dateisystem gelöscht wird, bleibt die Kopie im Backup-Speicher solange erhalten, bis sie vom Administrator gelöscht wird.

5.4. Verwaltung von

Lizenzschlüsseln

Der Lizenzschlüssel verleiht Ihnen das Recht zur Nutzung des Produkts und enthält alle erforderlichen Informationen, die mit der von Ihnen erworbenen Lizenz verbunden sind. Dazu zählen: Typ der Lizenz, Ende der Gültigkeitsdauer der Lizenz, Anzahl der geschützten Benutzer oder Volumen des lizenzierten Traffic (abhängig vom Typ der Lizenz), Händlerinformationen, usw.

Neben dem Recht zur Nutzung des Produkts während der Gültigkeitsdauer der Lizenz stehen Ihnen folgende Möglichkeiten zur Verfügung:

• Technische Unterstützung (rund um die Uhr);

• tägliches Update der Antiviren-Datenbanken;

• Produktaktualisierung (Patch);

• Download neuer Produktversionen (Upgrade);

• frühzeitige Benachrichtigung über neue Viren.

Bei Ablauf der Gültigkeitsdauer der Lizenz verlieren Sie automatisch das Recht auf die oben genannten Leistungen. Kaspersky Anti-Virus Antivirenbearbeitung der Serverdateisysteme und des Mailverkehrs durchführen, dabei aber nur die Antiviren-Datenbanken verwenden, die am Datum des Ablaufs der Lizenzgültigkeit aktuell waren. Der Serveradministrator erhält eine Benachrichtigung über den Ablauf der Lizenzgültigkeit. Die automatische Updatefunktion für die Antiviren-Datenbanken steht nicht mehr zur Verfügung.

wird weiterhin die

57 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Aus diesem Grund ist es sehr wichtig, regelmäßig die im Lizenzschlüssel angegebenen Informationen zu überprüfen und das Ablaufdatum der Lizenzgültigkeit zu verfolgen.

5.4.1. Lizenzierungsmechanismus

Kaspersky Anti-Virus Version 5.5 besitzt eine neue Technologie zur Lizenzierung. Beim Installationsvorgang der Anwendung auf dem Server wird der Administrator aufgefordert, eine Liste der Domänen anzulegen, deren Mail untersucht werden soll. Die Lizenzierung kann erfolgen:

• entweder nach dem Volumen des untersuchten Traffics

• nach der Anzahl der geschützten Benutzer.

Im ersten Fall gilt als lizenzierter Traffic das Gesamtvolumen der von der Anwendung empfangenen Nachrichten, die mit Hilfe des Antivirenkerns untersucht wurden und den Status Clean erhielten (d.h. keinen Virus enthielten).

Im zweiten Fall gilt jeder Absender und/oder Empfänger einer Nachricht, die von der Anwendung untersucht und bearbeitet wurde und nicht infiziert war, als lizenzierter Benutzer.

Vierzehn Tage bevor die Gültigkeitsfrist der Lizenz abläuft, wird automatisch eine entsprechende Benachrichtigung an den Administrator erstellt. Diese Meldung erfolgt einmal täglich sowie bei jedem erneuten Start der Anwendung.

Durch einen analogen Mechanismus erfolgt auch eine Benachrichtigung, wenn die Gültigkeitsdauer der Lizenz endet und das lizenzierte Trafficvolumen erschöpft ist.

Wenn das Trafficvolumen den lizenzierten Umfang um über 10 Prozent übersteigt, erhält der Administrator jedes Mal eine entsprechende Benachrichtigung, wenn eine Nachricht mit einem anderen Status als Clean gefunden wird.

Zur korrekten Konfiguration des Lizenzierungsmechanismus ist es erforderlich:

den Parameter LicenseDomain Abschnitt [smtpscan.license] festzulegen. Dieser Parameter bestimmt die Maske der Domänen (unter Verwendung des Standards POSIX regexp), deren Benutzer als lizenzierte Benutzer gelten. Als Argument dieses Parameters müssen alle E-Mail-Domänen angegeben werden, die von Kaspersky Anti-Virus geschützt werden sollen. Die Domänen müssen im Format POSIX regexp angegeben werden und werden in separaten Zeilen durch Komma getrennt aufgezählt.

Arbeit mit Kaspersky Anti-Virus 58

Beachten Sie, dass das Symbol "." im Format POSIX regexp eine eigene Bedeutung besitzt. Es muss deshalb von dem Zeichen "\" begleitet werden.

5.4.2. Anzeige von Informationen über den

Lizenzschlüssel

Sie können Informationen über die installierten Lizenzschlüssel in den Arbeitsprotokollen der Komponenten kavscanner, keepup2date und aveserver kontrollieren. Beim Start jeder dieser Komponenten werden Informationen über die Schlüssel geladen.

Daneben ist in Kaspersky Anti-Virus licensemanager vorgesehen, die es ermöglicht, nicht nur ausführliche Informationen über die Schlüssel, sondern auch bestimmte analytische Daten zu erhalten.

Wenn Sie Kaspersky Anti-Virus

mit dem Lizenztyp NACH VOLUMEN DES

MAILVERKEHRS erworben haben, erlaubt Ihnen die Komponente licensemanager, zu überprüfen, welches Trafficvolumen bereits verbraucht

wurde und welches Volumen (in MB) des lizenzierten Mailverkehrs im Moment noch verbleibt.

Außerdem können Sie Informationen über das Volumen des innerhalb eines Tages (nach Stunden) bearbeiteten Traffic erhalten und auf diese Weise Zeiten mit hoher Belastung ermitteln. Diese Informationen können z.B. dann nützlich sein, wenn Probleme mit dem Produkt auftreten und Sie den Service für Technische Unterstützung in Anspruch nehmen möchten.

Beim Erwerb von Kaspersky Anti-Virus BENUTZERANZAHL können Sie die Gesamtzahl der lizenzierten Benutzer ermitteln, die der erworbenen Lizenz entspricht.

Alle oben genannten Informationen können auf der Serverkonsole angezeigt werden oder im Remote-Modus mit Hilfe des Programms Webmin von jedem Computer Ihres Netzwerks gelesen werden.

eine spezielle Komponente

mit dem Lizenztyp NACH

Um Informationen über alle installierten Lizenzschlüssel anzuzeigen,

geben Sie in der Befehlszeile ein:

licensemanager –s

Auf der Serverkonsole werden folgende Informationen angezeigt:

Kaspersky license manager Version 5.5

59 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

License file 0003D3EA.key, serial 0038-0004190003D3EA, "Kaspersky Anti-Virus for Unix Mail Servers", expires 04-07-2003 in 28 days

License file 0003E3E8.key, serial 011E-0004130003E3E8, "Kaspersky Anti-Virus for Unix Mail Servers (licence per e-mail address)", expires 25-01-2004 in 234 days

Um Informationen über eine bestimmte Lizenzdatei anzuzeigen,

Geben Sie in der Befehlszeile z.B. folgende Zeile ein:

licensemanager –k 0003D3EA.key

Auf der Konsole werden folgende Informationen angezeigt:

Kaspersky license manager Version 5.5

Serial 0038-000419-0003D3EA, "Kaspersky Anti-Virus for Unix Mail Servers", expires 04-07-2003 in 28 days

Um Informationen über den lizenzierten Mailverkehr oder die Anzahl der geschützten Benutzer zu erhalten,

Geben Sie in der Befehlszeile ein:

licensemanager –i

Auf der Serverkonsole werden folgende Informationen angezeigt:

• für den Lizenztyp NACH BENUTZERANZAHL:

Kaspersky license manager for Linux. Version

5.5.0/RELEASE #68

Portions Copyright (C) Lan Crypto

License users units: 5

Users units used: 0

Users units left: 5

• für den Lizenztyp NACH VOLUMEN DES MAILVERKEHRS:

Kaspersky license manager Version 5.5

Arbeit mit Kaspersky Anti-Virus 60

Daily traffic statistic(Bytes):

0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0

License traffic units: 10 (MB)

Traffic units used: 0 (MB)

Traffic units left: 10 (MB)

Für Kaspersky Anti-Virus

mit dem Lizenztyp NACH BENUTZERANZAHL besteht die zusätzliche Möglichkeit, während der Arbeit mit dem Programm jederzeit zu überprüfen, ob ein bestimmter Benutzer geschützt ist, d.h. ob eingehende und ausgehende Mail-Nachrichten des Benutzers der Antivirenbearbeitung unterzogen werden.

Diese Option kann z.B. dann benutzt werden, wenn sich die erworbene Lizenz auf eine große Benutzerzahl erstreckt und vor der Aufnahme eines bestimmten Benutzers in die Liste der lizenzierten Benutzer kontrolliert werden muss, ob dieser bereits in die Lizenzliste aufgenommen wurde.

5.4.3. Lizenzverlängerung

Die Verlängerung der Lizenz für die Benutzung von Kaspersky Anti-Virus® verleiht Ihnen das Recht auf die Wiederherstellung der vollen Funktionalität des Produkts, einschließlich der Aktualisierung der Antiviren-Datenbanken. Außerdem werden die Zusatzleistungen, die in Pkt. 5.3.3 auf S. 52 genannt sind, erneuert.

Um die Lizenz für die Benutzung von Kaspersky Anti-Virus Mail Servers zu verlängern:

for Unix

Setzen Sie sich mit der Firma in Verbindung, bei der Sie das Produkt gekauft haben, und erwerben Sie eine Lizenzverlängerung für die Nutzung von Kaspersky Anti-Virus

oder:

Verlängern Sie die Lizenz direkt bei Kaspersky Lab, indem Sie an die Verkaufsabteilung (sales@kaspersky.com

) schreiben oder auf unserer

Internetseite (www.kaspersky.com/de) im Abschnitt Erneuern Sie Ihre Lizenz das entsprechende Formular ausfüllen. Nach Eingang der Bezahlung wird Ihnen der Lizenzschlüssel per E-Mail an die Adresse zugeschickt, die im Bestellformular angegeben wurde.

Nach dem Erwerb ist die Installation des neuen Lizenzschlüssels erforderlich. Kopieren Sie dazu den Schlüssel in das Verzeichnis, in dem die Schlüssel gespeichert sind (Parameter LicensePath in der Konfigurationsdatei), und starten Sie den Server neu.

61 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Es wird empfohlen, anschließend die Antiviren-Datenbanken zu aktualisieren (s. Pkt. 5.1 auf S. 35).

Kapitel 6. Erweiterte

Einstellungen

In diesem Kapitel behandeln wir die zusätzlichen Funktionalitätseinstellungen von Kaspersky Anti-Virus (s. Kapitel 4 auf S. 26), ohne die das Produkt nicht funktionsfähig ist, erfolgen die Zusatzeinstellungen nach Ermessen des Administrators. Sie dienen der Erweiterung der Funktionalität des Produkts und dessen Anpassung an die Verwendungsbedingungen im Rahmen eines konkreten Unternehmens.

. Im Unterschied zu den obligatorischen Einstellungen

6.1. Konfiguration des

Antivirenschutzes für den Mailverkehr

Beim Scannen des Mailverkehrs auf das Vorhandensein von Viren gelten als Hauptkriterium für die Auswahl der Bearbeitungsregeln jeder Mail-Nachricht die Absender- und Empfängeradressen und die Parameter der entsprechenden Gruppe. Deshalb ist es die Zuordnung von Adressen zu den erforderlichen Gruppen sehr wichtig.

Die Zugehörigkeit einer Mail-Nachricht zu einer konkreten Gruppe wird dadurch bestimmt, dass sowohl Absenderadresse als auch Empfängeradresse in dieser Gruppe vorhanden sind. Das Programm durchsucht die Adressenliste der Gruppe nach beiden Adressen. Sobald in einer durchsuchten Gruppe die Adressenkombination "Absender-Empfänger" gefunden wird, werden auf die Nachricht jene Bearbeitungsregeln angewandt, die durch die Parameter dieser Gruppe definiert sind.

Kaspersky Anti-Virus Parametern der Konfigurationsdatei kav4mailservers.conf aus. Die Datei kann lokal geändert werden. Das Vorhandensein einer Zeile mit der Adresse der Nachricht in einer Gruppe wird entsprechend POSIX regex überprüft.

In der Grundeinstellung enthält die Konfigurationsdatei die Gruppe [smtpscan.group:default], in der die Bearbeitungsregeln für Mail-Nachrichten definiert werden. Da die Gruppe ursprünglich keine Absender- und Empfängernamen enthält, werden die in dieser Gruppe definierten Regeln auf alle Nachrichten angewandt. Sie können die Parameter der Gruppe default ändern und neue Gruppen anlegen.

führt die Antiviren-Filterung entsprechend den

63 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Wenn Sie andere Gruppen in die Konfigurationsdatei eingetragen haben (s. Pkt. 6.1.1 auf S. 64), dann gilt folgende Bearbeitungsreihenfolge für MailNachrichten:

1. Das Programm überprüft das Vorhandensein der Adressen einer Nachricht in den Gruppen, die vom Administrator angelegt wurden. Wenn die Adressen der Nachricht zu einer bestimmten Benutzeradressenliste gehören, dann werden auf die Nachricht die Bearbeitungsregeln angewandt, die durch die Parameter dieser Gruppe definiert sind.

Wenn die Absender- und Empfängeradressen einer zu bearbeitenden Nachricht zum Adressenintervall mehrerer Gruppen gehören, verwendet das Programm die Parameter der ersten Gruppe.

2. Wenn die Adressen zu keiner der vom Administrator angelegten Adressengruppe gehören, dann werden auf die Nachricht die Programmaktionen angewandt, die in der Gruppe default definiert sind.

Die Reihenfolge der Aktionen von Kaspersky Anti-Virus

bei der Bearbeitung

einer empfangenen Mail-Nachricht wird auf Abb. 5 grafisch dargestellt.

Erweiterte Einstellungen 64

Abb. 5. Bearbeitung einer E-Mail-Nachricht

6.1.1. Erstellen von Benutzergruppen

In der Grundeinstellung enthält die Konfigurationsdatei von Kaspersky Anti-

die Gruppe [smtpscan.group:default], die alle Absender-Empfänger des

Virus Servers enthält. Für sie gelten folgende Regeln zur Bearbeitung von MailNachrichten:

• Untersuchung aller Mail-Nachrichten.

• Desinfektion von gefundenen infizierten Briefen.

• Zustellung von ausschließlich virusfreien und desinfizierten Mail-

Nachrichten an die Adressaten.

• Briefe, deren Desinfektion erfolglos war, sowie verdächtige, beschädigte, durch Kennwort geschützte Briefe und Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat, nur an den Administrator zustellen.

• Benachrichtigung von Absendern, Empfängern und Gruppenadministrator über infizierte, desinfizierte, verdächtige, beschädigte, durch Kennwort

65 Kaspersky Anti-Virus

geschützte Briefe und Mail-Nachrichten, durch deren Untersuchung ein Fehler auftrat.

Wenn Sie wünschen, dass Kaspersky Anti-Virus Empfänger Mail-Nachrichten nach separaten Regeln bearbeitet, dann ist das Erstellen von Gruppen erforderlich.

Um eine neue Benutzeradressengruppe zu erstellen,

1. Erstellen Sie in der Konfigurationsdatei den Abschnitt

[smtpscan.group:Name_der_Gruppe].

2. Definieren Sie die Adressen (Adressmasken) von Absendern und Empfängern der Gruppe, indem Sie diese durch Komma getrennt als Werte der Parameter Senders und Recipients angeben.

Benutzen Sie bei der Eingabe von Masken den Standard POSIX regex. Verwenden Sie zur Aufzählung von Adressen ein Komma.

Wenn Sie keinen Wert für den Parameter Recipients Senders festlegen, wird er definiert als

In Kaspersky Anti-Virus Version 5.5 wurde der Konfigurationsdatei die Gruppe kavadministrators hinzugefügt. Während des Installationsprozesses der Anwendung werden dieser Gruppe automatisch alle E-Mail-Adressen der Administratoren hinzugefügt, die im Ordner /var/qmail/alias/postmaster enthalten sind.

Wenn sich die Adresse eines Administrators ändert (Parameter AdminAddress der Gruppe [smtpscan.group:default] oder einer anderen Gruppe), muss diese Adresse (sowie alle anderen Adressen, für welche die neue Adresse des Administrators als alias gilt) zur Liste des Parameters Recipients der Gruppe [smtpscan.group:kavadministrators] hinzugefügt werden.

Dies ist wichtig, wenn infizierte E-Mail-Nachrichten an den Administrator weitergeleitet werden.

for Linux, FreeBSD and OpenBSD Mail Servers

für unterschiedliche Absender-

ODER

.*@.*

6.1.2. Modus zur Untersuchung und Desinfektion von Nachrichten

Damit die Antivirenuntersuchung des Mailverkehrs einer konkreten AbsenderEmpfängergruppe durchgeführt wird, muss der Serveradministrator den entsprechenden Modus in den Parametern der Gruppe aktivieren.

Erweiterte Einstellungen 66

Definieren Sie dazu in der Konfigurationsdatei kav4mailservers.conf für die Grup- pe den Parameter Check=yes.

Ist der Untersuchungsmodus aktiviert, dann werden alle Mail-Nachrichten, die hinsichtlich des Kriteriums Absender-Empfänger zu dieser Gruppe gehören, von Kaspersky Anti-Virus

auf das Vorhandensein von Viren untersucht. Allerdings

werden gefundene infizierte Mail-Nachrichten nicht desinfiziert.

Um den DESINFEKTIONSMODUS für infizierte Briefe ZU AKTIVIEREN, muss in der Gruppe mindestens ein Parameter für desinfizierte Objekte (Cured) festgelegt werden. Geben Sie in der Gruppe neben anderen Parametern z.B. an:

[smtpscan.group:account]

Check=yes

CuredRecipientNotify=yes

Dies entspricht folgenden Regeln:

• Untersuchung aller Mail-Nachrichten für die Absender-Empfänger der

Gruppe account auf das Vorhandensein von Viren;

• Desinfektion von gefundenen infizierten Objekten;

• Benachrichtigung an Empfängern über desinfizierte Objekte.

6.1.3. Aktionen für Mail-Nachrichten

Für die Aktionen, die mit Mail-Nachrichtenobjekte durchgeführt werden, sind zwei Faktoren bestimmend:

• Objektstatus, den das Objekt nach der Untersuchung erhält (s. Pkt. 6.2.2 auf S. 72);

• Aktion, die für einen konkreten Objektstatus in der Konfigurationsdatei festgelegt ist.

Der Status eines Objekts wird diesem direkt nach der Virus-Untersuchung vom Prozess aveserver zugewiesen. Die Aktion, die nach der Untersuchung mit dem Objekt durchgeführt werden soll, wird vom Serveradministrator festgelegt.

Kaspersky Anti-Virus richtenobjekte festzulegen, die an Empfänger und Gruppenadministrator zugestellt werden. Für die Absender von Mail-Nachrichten kann NUR eine Benachrichtigung festgelegt werden.

Für Mail-Nachrichtenobjekte kann eine der folgenden Aktionen festgelegt werden:

• Remove – Löschen des Objekts aus der Mail-Nachricht.

erlaubt es, die Aktionen für Mail-Nach-

67 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

• Unchanged – Objekt nicht ändern. In diesem Fall wird das Objekt nicht der Desinfektion unterzogen und in ursprünglicher Form zugestellt.

• Cured – Nur das desinfizierte Objekt zustellen (nur für Objekte des Typs Cured).

Sie können einheitliche Aktionen für alle Objekttypen festlegen oder jedem Typ eine Aktion zuordnen.

Um einheitliche Aktionen für alle Objekttypen festzulegen,

Legen Sie die entsprechenden Werte für die Parameter AdminAction und ReсipientAction fest. Diese Parameter bestimmen die Aktionen für alle Objekttypen. Zum Beispiel:

AdminAction=unchanged

RecipientAction=remove

Alle Mail-Nachrichten der Gruppe werden in unveränderter Form an den Administrator zugestellt, jedoch aus Mail-Nachrichten für den Empfänger gelöscht.

Wenn Sie für jeden Objekttyp eine individuelle Aktion festlegen wollen,

legen Sie die entsprechenden Werte für die Parameter <Objekttyp>AdminAction und <Objekttyp>RecipientAction fest.

Beispiel:

AdminAction=unchanged

RecipientAction=remove

CuredRecipientAction=cured

In diesem Fall werden alle Mail-Nachrichten unabhängig vom Objekttyp in unveränderter Form an den Administrator zugestellt. Der Empfänger erhält aber nur desinfizierte Briefe. Alle übrigen Objekttypen werden aus Mail-Nachrichten für den Empfänger gelöscht.

Zusätzlich zu den oben genannten Aktionen für Objekte ist das Blockieren des Objekts im Quarantäneverzeichnis vorgesehen.

Um Mail-Nachrichtenobjekte in das Quarantäneverzeichnis zu verschieben,

Legen Sie in der Konfigurationsdatei der Gruppe folgende Parameter fest:

Erweiterte Einstellungen 68

QuarantinePath=/var/db/Quarantine

Quarantine=yes

SuspiciousQuarantine=yes

CorruptedQuarantine=yes

ErrorQuarantine=yes

6.1.4. Benachrichtigung an Absender, Empfänger und Administratoren

Kaspersky Anti-Virus® erlaubt die Konfiguration von Benachrichtigungen (Modus zu deren Versenden, Parameter für das Erstellen und Text) an die Absender von Mail-Nachrichten, deren Empfänger und Gruppenadministratoren über Objekte mit jedem möglichen Status (verdächtig, infiziert, desinfiziert, beschädigt usw.). Das Senden von Benachrichtigungen wird durch folgende Konfigurationsparameter festgelegt:

• RecipientNotify – Versenden einer Benachrichtigung an den Empfänger

einer Mail-Nachricht;

• SenderNotify – Versenden einer Benachrichtigung an den Absender

einer Mail-Nachricht;

• AdminNotify – Versenden einer Benachrichtigung an den Gruppen-

administrator.

Diese Parameter definieren das Senden von Benachrichtigungen für Objekte mit beliebigem Status. Wenn Sie das Senden von Benachrichtigungen für Objekte mit einem konkreten Status festlegen wollen, dann aktivieren Sie folgende Modi:

• <Objektstatus>RecipientNotify;

• <Objektstatus>SenderNotify;

• <Objektstatus>AdminNotify.

In diesem Fall wird eine Benachrichtigung an den Adressaten nur beim Fund eines Objekts mit dem festgelegten Status gesandt.

Durch die Angabe folgender Parameter in der Gruppe:

InfectedRecipientNotify=yes CuredRecipientNotify=yes CorruptedRecipientNotify=yes SenderNotify=yes

AdminNotify=yes

69 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

werden z.B. Benachrichtigungen an den Administrator und Absender für Objekte mit beliebigem Status gesendet. Der Empfänger erhält nur Benachrichtigungen über Objekte mit dem Status infiziert, desinfiziert und beschädigt.

Für das Senden von Benachrichtigungen ist außerdem die Angabe der Adresse erforderlich, von der diese abgeschickt werden (Parameter NotifyFromAddress Abschnitt [smtpscan.general]).

In der Grundeinstellung benachrichtigt Kaspersky Anti-Virus

über Objekte mit

beliebigem Status. Alle Benachrichtigungen enthalten einen universalen Text, der auf der im Lieferumfang des Produkts enthaltenen Vorlage /etc/kav/5.0/template_notify_main beruht.

Wenn Sie den Benachrichtigungstext ändern möchten, können Sie:

• den Text der im Lieferumfang des Produkts enthaltenen Vorlage ändern.

• eine neue Vorlagendatei erstellen und den vollständigen Pfad der Datei

als Wert des Parameters Template im Abschnitt [smtpscan.notify] angeben.

Im Text der Vorlage können Sie folgende Makros verwenden, die vom Programm auf Basis der Antworten des Prozesses aveserver automatisch durch die entsprechenden Werte ersetzt werden:

%VERSION% – Version von Kaspersky Anti-Virus

%SENDER% – Mail-Adresse des Absenders der Nachricht. %RECIPIENT% – Liste aller Empfänger der Nachricht, durch

Zeilenumbruch getrennt.

%MSGID% – ID-Nummer des Briefs. %VIRUSNAME% – Textbeschreibung des Problems. Sie können diesen

Text in jede beliebige Sprache übersetzen. Geben Sie dazu die entsprechenden Zeilen für das Objekt jedes Status im Abschnitt [locale] ein.

%SUBJECT% – Text, der in die Betreffzeile der ursprünglichen E-Mail-

Nachricht eingefügt werden soll.

%DATETIME% – Datum und Uhrzeit der Bearbeitung der Mail-

Nachricht. Das Format von Datum und Uhrzeit kann ebenfalls geändert werden.

%HEADERS% – Alle Header des ursprünglichen Briefs zum

Benachrichtigungstext hinzufügen.

%ACTION% – Beschreibung der Aktionen, die mit angehängten

Objekten des Briefs vorgenommen wurden. Dieses Makro kann in allen Vorlagen verwendet werden, außer in Benachrichtigungen für den Nachrichtenabsender. Folgende Aktionen sind möglich:

Erweiterte Einstellungen 70

attachement not modified – Die Anlage wurde nicht

verändert.

attachement cured – Die Anlage war infiziert und wurde erfolgreich desinfiziert.

attachment removed – Die Anlage wurde gelöscht. attachments cured and removed – Die Anlagen waren

infiziert. Ein Teil der Anlagen wurde desinfiziert und dem Adressaten zugestellt, ein Teil wurde gelöscht.

Solche Makros können auch beim Erstellen der Betreffzeile eines Briefs verwendet werden.

Die Parameter für das Erstellen von Benachrichtigungen (MIME-Typ, Betreff des Briefs, Codierung usw.) befinden sich im Abschnitt [smtpscan.notify] der Konfigurationsdatei.

6.2. Konfiguration des Antiviren-

schutzes für Serverdateisysteme

Die Gesamtauswahl der Parameter für den Antivirenschutz der Serverdateisysteme lassen sich nach ihren Funktionen in folgende Gruppen unterteilen:

• Scanbereich (s. Pkt. 6.2.1 auf S. 70).

• Modus zur Untersuchung und Desinfektion von Dateien (s. Pkt. 6.2.2 auf

S. 72).

• Aktionen für Dateien (s. Pkt. 6.2.3 auf S. 72).

• Parameter für das Erstellen des Protokolls über die Arbeitsergebnisse (s.

Pkt. 6.5 auf S. 77).

Betrachten wir die Einstellungen jeder einzelnen Gruppe.

6.2.1. Untersuchungsbereich

Der Scanbereich lässt sich bedingt in zwei Teile gliedern:

• Scanpfad – Liste der Verzeichnisse und Dateien, in denen die Virussuche durchgeführt wird.

• Scanobjekte – Typen der Dateien, die auf das Vorhandensein von Viren gescannt werden (Archive, Mail-Nachrichten usw.).

71 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

In der Grundeinstellung werden alle Objekte der verfügbaren Dateisysteme untersucht, wobei mit dem aktuellen Verzeichnis begonnen wird.

Zur Untersuchung aller Dateisysteme des Servers ist es erforderlich, in das Stammverzeichnis zu wechseln oder in der Befehlszeile den Untersuchungsbereich / anzugeben.

Der Scanpfad kann durch folgende Methoden geändert werden:

• Durch Leerzeichen getrennte Angabe der Verzeichnisse und Dateien mit absoluten oder relativen (im Bezug auf das aktuelle Verzeichnis) Pfaden direkt in der Befehlszeile beim Start der Komponente.

• Angabe des Scanpfads in einer Textdatei und Festlegen der Verwendung dieser Datei in der Befehlszeile durch den Parameter

-@ <Dateiname>.

Jedes Objekt in dieser Datei wird in einer separaten Zeile und mit absoluter Pfadangabe angegeben.

Werden in der Befehlszeile sowohl der Scanpfad als auch eine Textdatei mit einer Liste von Untersuchungsobjekten angegeben, dann wird der in der Datei angegebene Bereich untersucht. Der in der Befehlszeile angegebene Pfad wird ignoriert.

• Einschränkung der Pfade, die standardmäßig festgelegt sind (alle, beginnend mit dem aktuellen Verzeichnis) oder in der Befehlszeile aufgezählt werden, indem in der Konfigurationsdatei kav4mailservers.conf Masken für Dateien und Verzeichnisse angegeben werden, die aus dem Scanbereich ausgeschlossen werden sollen (Abschnitt [scanner.options], Parameter ExcludeMask und ExcludeDirs).

• Deaktivieren der rekursiven Untersuchung von Verzeichnissen (Abschnitt

[scanner.options], Parameter Recursion oder Befehlszeilenparameter –r).

• Erstellen einer alternativen Konfigurationsdatei und Festlegen der Verwendung dieser Datei durch den Befehlszeilenparameter

–с

<Dateiname> beim Start der Komponente.

Die standardmäßigen Scanobjekte werden ebenfalls in der Konfigurationsdatei kav4mailservers.conf (Abschnitt [scanner.options]) festgelegt und können auf folgende Weise geändert werden:

• durch Befehlszeilenparameter beim Start der Komponente;

• durch Verwendung einer alternativen Konfigurationsdatei.

Erweiterte Einstellungen 72

6.2.2. Modus zur Untersuchung und Desinfektion von Dateien

Die Option zur Dateidesinfektion ist sehr wichtig, da von ihr abhängt, ob die Desinfektion von infizierten Dateien, die bei der Untersuchung gefunden werden, erfolgt.

In der Grundeinstellung ist diese Option deaktiviert. Das bedeutet, es erfolgt nur die Untersuchung von Dateien und die Benachrichtigung über den Fund von Viren und anderen verdächtigen oder beschädigten Dateien durch Ausgabe von Meldungen auf der Konsole und im Protokoll (s. Pkt. 6.5 auf S. 77).

Als Ergebnis der Virus-Untersuchung erhält eine Datei einen der folgenden Status:

• Clean – Es wurden keine Viren in der Datei gefunden.

• Infected – Datei ist infiziert.

• Warning – Code der Datei besitzt Ähnlichkeit mit dem Code eines

bekannten Virus.

• Suspicion – Code der Datei besitzt Ähnlichkeit mit dem Code eines

unbekannten Virus.

• Corrupted – Datei ist beschädigt.

• Protected – Datei ist durch Kennwort geschützt.

Ist der Desinfektionsmodus aktiviert (Abschnitt [scanner.options], Parameter Cure=yes), dann werden nur Dateien mit dem Status Infected der

Antivirenbearbeitung unterzogen. Als Ergebnis der Desinfektion erhält die Datei einen der folgenden Status:

• Cured – Datei wurde erfolgreich desinfiziert.

• CureFailed – Datei konnte nicht desinfiziert werden. Eine Datei mit

diesem Status wird nach den Regeln bearbeitet, die für infizierte Dateien festgelegt wurden.

6.2.3. Aktionen für Dateien

Abhängig vom Status einer Datei (s. Pkt. 6.2.2 auf S. 72) können bestimmte Aktionen auf diese angewandt werden. In der Grundeinstellung erfolgt nur die Benachrichtigung über den Fund von Dateien mit einem bestimmten Status, wozu die Ausgabe von Meldungen auf der Konsole und im Protokoll dient.

73 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Allerdings kann für Dateien mit den Status Infected, Suspiсious, Warning und Corrupted die Ausführung einer Reihe von Aktionen festgelegt werden:

• Verschieben in ein bestimmtes Verzeichnis – Verschieben von Dateien mit einem konkreten Status in ein bestimmtes Verzeichnis; möglich ist einfaches und rekursives Verschieben.

• Löschen der Datei aus dem Dateisystem.

• Ausführen eines bestimmten Befehls – Bearbeitung von Dateien durch

Unix-Standardbefehlen, Skriptdateien usw.

Für die Dateitypen Protected und Cured erfolgt lediglich eine Meldung, die auf der Konsole und im Protokoll angezeigt wird.

Es ist anzumerken, dass Kaspersky Anti-Virus

zwischen gewöhnlichen Objekten (Dateien) und zusammengesetzten (die aus mehreren Objekten bestehen, z.B. Archive) unterscheidet. Auch die Aktionen, die mit solchen Objekten durchgeführt werden, unterscheiden sich; in der Konfigurationsdatei werden sie in unterschiedlichen Abschnitten festgelegt. Für gewöhnliche Objekte im Abschnitt [scanner.object], für zusammengesetzte Objekte im Abschnitt [scanner.container].

Aktionen für selbstextrahierende Archive sind nicht eindeutig: Ist das Archiv selbst infiziert, wird es als gewöhnliches Objekt betrachtet, ist aber ein Objekt innerhalb des Archivs infiziert, als zusammengesetztes. Dementsprechend werden in solchen Fällen auch die Aktionen für Archive durch die Parameter unterschiedlicher Abschnitte der Konfigurationsdatei bestimmt!

Zur Auswahl der Aktion für bestimmte Dateien dienen folgende Methoden:

• Angabe der Aktionen in der Konfigurationsdatei kav4mailservers.conf, wenn sie als Standardaktionen verwendet werden sollen (Abschnitte [scanner.object] und [scanner.container]).

• Angabe der Aktionen in einer alternativen Konfigurationsdatei und Verwendung der Datei beim Start der Komponente.

• Angabe der Aktionen für die laufende Session durch Befehlszeilenparameter beim Start der Komponente kavscanner.

Die Syntax der Aktionen ist für gewöhnliche Objekte und für zusammengesetzte Objekte identisch (Abschnitte [scanner.object] und [scanner.container]).

Erweiterte Einstellungen 74

6.2.4. Modus zum Erstellen von Sicherheitskopien

Im Folgenden wird am Beispiel einer konkreten Aufgabe die Konfiguration des Backup-Modus beschrieben.

Aufgabe die in der Datei /tmp/download.lst genannt werden, und Desinfektion von infizierten Objekten. Bei erfolgloser Desinfektion werden infizierten Objekte mit vollständiger Pfadangabe in den Ordner /tmp/infected, verdächtige nach /tmp/suspicious, Warnungen nach /tmp/warning verschoben.

Lösung

1. Erstellen Sie die alternative Konfigurationsdatei scan_sample.conf

2. Vergewissern Sie sich, dass der Modus zur Desinfektion von infizierten

Objekten aktiviert ist (Cure=yes im Abschnitt [scanner.options]).

3. Legen Sie Regeln für die Bearbeitung von infizierten Objekten fest.

Geben Sie dazu in den Abschnitten [scanner.object] und [scanner.container] der Konfigurationsdatei scan_sample.conf folgende Parameter an:

4. Geben Sie in der Befehlszeile ein:

: Virusuntersuchung aller Objekte in den Ordnern und Dateien,

: Gehen Sie zur Lösung dieser Aufgabe folgendermaßen vor:

OnInfected=MovePath /tmp/infected

OnSuspicion=MovePath /tmp/suspicious

OnWarning=MovePath /tmp/warning

# kavscanner -@/tmp/downloads.lst -c sample_scan.conf

6.3. Optimierung der Arbeit von

Kaspersky Anti-Virus

Zur Verringerung der Serverbelastung bietet Kaspersky Anti-Virus eine effektive Optimierungsmethode für seine Arbeit. Im Folgenden wird diese genauer betrachtet.

75 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

6.3.1. Verwendung der iChecker™Datenbank

Die Anwendung verwendet eine Reihe von Technologien, die es erlauben, die Antivirenuntersuchung einer Datei nicht bei jedem Zugriff auf die Datei durchzuführen, sondern möglichst auf eine Vergleichsoperation mit bereits darüber existierenden Daten zu beschränken. Der Algorithmus zur Untersuchung eines Objekts (einer Datei) auf Viren lässt sich folgendermaßen beschreiben:

Bei der ersten Untersuchung

darüber (Name, Kontrollsumme) in der Datenbank iChecker gespeichert. Das ist eine Datenbank, die Informationen über untersuchte virusfreie Dateien bestimmter Formate enthält. Diese Datenbank enthält Informationen über Objekte, die mit der Komponente kavscanner untersucht wurden.

Bei jedem folgenden Zugriff

zuerst in der Datenbank iChecker. Als Suchkriterium dient der Dateiname. Wird eine solche Datei in der iChecker-Datenbank gefunden, dann werden die Informationen über die Datei mit den in der Datenbank vorhandenen verglichen. Unter der Voraussetzung der vollständigen Identität des aktuellen Objektzustands und seiner Beschreibung in der Datenbank gilt die Datei als unverändert und wird nicht auf das Vorhandensein von Viren untersucht.

Wenn keine Informationen über die angeforderte Datei gefunden werden, wird eine vollständige Antivirenuntersuchung der Datei durchgeführt.

einer beliebigen Datei werden Informationen

eines Benutzers auf die Datei erfolgt die Suche

6.3.2. Begrenzung der Serverbelastung

Die Untersuchung von Serverdateisystemen kann bei einem großen Datenvolumen viel Zeit beanspruchen, wobei die Serverbelastung wesentlich wächst. Gleichzeitig muss der Server aber auch aktuelle Aufgaben ausführen, weshalb ein Mechanismus wünschenswert ist, welcher die Antivirenuntersuchung des Servers bei Überschreitung einer bestimmten Lastgrenze anhält.

Servers bei Überschreitung einer bestimmten Lastgrenze anhält.

Kaspersky Anti-Virus verfügt über einen solchen Mechanismus. In Version 5.5 der Anwendung wurde der Konfigurationsdatei der Parameter MaxLoadAvg im Abschnitt [scanner.options] hinzugefügt. Wenn der Parameter festgelegt wurde, überprüft kavscanner vor der Untersuchung jeder neuen Datei den aktuellen Wert der Serverbelastung (load average) und hält bei Überschreitung des in der Konfigurationsdatei angegebenen Werts die Arbeit von kavscanner

Erweiterte Einstellungen 76

an, bis der Wert des Parameters load average auf den entsprechenden Wert sinkt.

6.4. Konfiguration der Arbeit des

Prozesses aveserver

Wie oben erwähnt, findet die Antivirenbearbeitung des Mailverkehrs durch die Zusammenarbeit von zwei Komponenten statt, der Prozesse aveserver und

smtpscanner.

aveserver wird beim Start des Betriebssystems gestartet.

Die Herstellung der Verbindung mit aveserver erfolgt direkt beim Zugriff von smtpscanner auf diesen Prozess.

Eine Reihe von Parametern für die Arbeit des Prozesses können in der Konfigurationsdatei kav4mailservers.conf (Abschnitt [aveserver.options]):

• Detach From Terminal – Trennen des Prozesses vom Terminal sofort

nach dem Start. Das Aktivieren dieses Modus ist erforderlich, da das Laden des Systems nicht fortgesetzt wird, bevor der Prozess nicht getrennt wurde. In der Grundeinstellung ist dieser Modus aktiviert (Wert

yes). Dieser Modus sollte nur dann deaktiviert werden (Wert no), wenn

der Prozess mit Programmen des Typs svc verwaltet wird.

• Startup Mode – Wechsel des Prozesses vom Dialogmodus in den

Hintergrundmodus unter der Bedingung, dass DetachFromTerminal=yes. Der Wert fast legt fest, dass der Daemon sofort nach dem Laden der Konfigurationsdatei zum Hintergrundmodus übergeht und den Code 0 zurückgibt. Der Wert normal der Wechsel des Prozesses zum Hintergrundmodus erst stattfindet, nachdem die Antiviren-Datenbanken und Lizenzschlüssel in den Arbeitsspeicher geladen wurden.

bedeutet, dass

Im Modus fast ist die visuelle Geschwindigkeit beim Start des Prozesses höher. Allerdings besteht die Möglichkeit, dass der Daemon aufgrund eines fatalen Fehlers nicht gestartet wird und dabei keinerlei Meldung auf der Konsole erscheint!

• Local Socket Permission – oktale Berechtigung, mit der ein Socket angelegt wird. In der Grundeinstellung Local Socket Permission=0666.

77 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

6.4.1. Neustart von

Der automatische Neustart des Prozesses aveserver erfolgt sofort nach der Aktualisierung der Antiviren-Datenbanken, unter der Bedingung, dass die entsprechende Option in der Konfiguration aktiviert wurde (ReloadApplication=yes).

Der Neustart wird durch den Befehl kill –HUP <PID des Prozesses> durchgeführt. Dadurch erhält der Prozess das Signal SIGHUP. Bei diesem Signal lädt der übergeordnete Prozess erneut die Konfigurationsdatei, Lizenzschlüssel und Datenbanken oder beendet die Arbeit mit einer entsprechenden Meldung im Protokoll, wenn der Pfad einer Datei nicht korrekt angegeben wurde. Alle offenen Verbindungen der Kopien des Prozesses mit Client-Programmen bleiben bis zu deren Schließen aktiv.

Ein solcher Neustart des Prozesses aveserver ist auch dann erforderlich, wenn z.B. die Konfigurationsdatei geändert oder ein neuer Lizenzschlüssel installiert wurde.

aveserver

6.4.2. Zwangsläufiges Beenden der Arbeit von

Ist das zwangsläufige Beenden der Arbeit des Prozesses aveserver erforderlich, dann verwenden Sie den Befehl kill < PID des Prozesses>. Der Befehl kill sendet das Signal SIGTERM an den Prozess, durch den die Arbeit von aveserver beendet wird und alle von ihm erzeugten Kopien geschlossen werden.

aveserver

Es wird ausdrücklich empfohlen, den Befehl kill –9 nicht zum Beenden der Arbeit mit dem Prozess aveserver zu verwenden. Durch das Ausführen dieses Befehls wird zwar die Arbeit des Prozesses beendet, jedoch bleibt im System eine Reihe von temporären und Arbeitsdateien erhalten, die nur manuell gelöscht werden können. Beim Vorhandensein solcher Dateien halten bestimmte Anwendungen (z.B. Webmin) den Prozess für gestartet.

6.5. Lokalisierung des Formats für

Datums- und Uhrzeitanzeige

Während der Arbeit mit Kaspersky Anti-Virus® wird für jede Komponente ein Protokoll erstellt. Außerdem werden unterschiedliche Benachrichtigungen für

Erweiterte Einstellungen 78

Benutzer und Administratoren generiert. Solche Informationen werden immer von einer Datums- und Uhrzeitangabe begleitet.

In der Grundeinstellung verwendet Kaspersky Anti-Virus die Formate, die dem Standard strftime entsprechen:

%H:%M:%S – angezeigtes Format der Uhrzeit; %d/%m/%y – angezeigtes Format des Datums;

Der Administrator kann das Format für Datum und Uhrzeit ändern. Die Lokalisierung der Formate wird im Abschnitt [locale] der Konfigurationsdatei kav4mailservers.conf vorgenommen. Sie können folgende Formate festlegen:

%I:%M:%S %P – zur Anzeige der Uhrzeit im Zwölfstunden-Format

(Parameter TimeFormat).;

%y/%m/%d und %m/%d/%y – zur Anzeige des Datums (Parameter

DateFormat).

für Datum und Uhrzeit

6.6. Parameter für die

Protokollerstellung von Kaspersky Anti-Virus

Die Arbeitsergebnisse aller Komponenten von Kaspersky Anti-Virus® werden in einem Protokoll aufgezeichnet. Das Protokoll wird in einer Datei gespeichert.

Die Ergebnisse der Antivirenbearbeitung der Serverdateisysteme werden auch auf der Konsole angezeigt. In der Grundeinstellung sind die Informationen, die im Report aufgezeichnet und auf dem Bildschirm angezeigt werden, identisch. Wenn Sie wollen, dass auf der Konsole andere Informationen angezeigt werden als in der Reportdatei, ist eine Reihe von Zusatzeinstellungen erforderlich (Details s. Pkt. 6.6.2 auf S. 82).

Der Umfang der angezeigten Informationen kann durch Änderung der Protokollgenauigkeit beeinflusst werden.

Die Protokollgenauigkeit wird durch eine Ziffer angegeben, welche die Genauigkeit der Informationen über die Arbeit der Komponenten im Protokoll festlegt. Jedes Folgeniveau umfasst die Informationen des vorhergehenden und bestimmte Zusatzinformationen.

In der folgenden Tabelle werden alle verfügbaren Niveaus der Protokollgenauigkeit aufgezählt.

79 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Niveau

Name des Niveaus

Kritische Fehler

Bedeutung

Nur Informationen über kritische Fehler (Fehler, die zum Beenden der Arbeit des Programms führen, weil bestimmte Aktionen nicht ausgeführt werden können). Beispiel: Eine Komponente ist infiziert, oder bei der Untersuchung bzw. beim Laden von Datenbanken und Lizenzschlüsseln trat ein Fehler auf.

1 Errors Informationen über sonstige Fehler, einschließ-

lich Fehlern, die nicht zum Beenden der Arbeit von Komponenten führten; z.B.: Informationen über einen Fehler beim Scannen einer Datei.

2 Warning Informationen über Fehler, die zum Beenden der

Arbeit des Produkts führen können (z.B. Informationen über unzureichenden Platz auf einem Laufwerk).

3 Info, Notice Wichtige Meldungen mit informativem Charakter;

z.B.: Informationen darüber, ob eine Komponente gestartet wurde, Pfad der Konfigurationsdatei, Scanbereich, Informationen über die Antiviren-Datenbanken und über Lizenzschlüssel, Ergebnisstatistik.

4 Activity Meldungen über das Scannen von Dateien

entsprechend dem Niveau der Protokollgenauigkeit (s. Pkt. 6.6.1 auf S. 80).

10 Debug Alle Meldungen die das Erkennen, Lokalisieren

und Korrigieren von Programmfehlern (Debuggen) betreffen; z.B.: Inhalt der Konfigurationsdatei.

Informationen über kritische Fehler bei der Arbeit einer Komponente werden unabhängig vom gewählten Genauigkeitsniveau angezeigt. Das optimale Niveau für die Arbeit der Komponente ist Niveau 4, das auch als Standard gilt.

Das generelle Format für die Anzeige von Informationen für alle genannten Genauigkeitsniveaus besitzt folgendes Aussehen:

[Datum Uhrzeit Protokollierungsniveau] STRING

wobei:

Erweiterte Einstellungen 80

[Datum Uhrzeit Protokollierungsniveau] – Parameter, der

vom System erstellt wird und Datum und Uhrzeit (im Format, das der Administrator gewählt hat) sowie das Niveau der Protokollgenauigkeit (den ersten Buchstaben, der dem Namen des Genauigkeitsniveaus entspricht) enthält.

Das Format der Datums- und Uhrzeitanzeige kann im Abschnitt [locale] der Konfigurationsdatei kav4mailservers.conf geändert werden.

STRING – Protokollzeile; besitzt abhängig von der Meldungsart

unterschiedliches Format. Folgende Meldungsarten sind vorgesehen:

• Meldungen über das Scannen (s. Pkt. 6.6.1 auf S. 80).

• Sonstige Meldungen (über den Start einer Komponente, über das Laden

der Antiviren-Datenbanken, Rückgabewerte usw.).

• Meldungen, die auf der Konsole angezeigt werden (s. Pkt. 6.6.2 auf S. 82).

Betrachten wir die Meldungsarten und das ihnen entsprechende Format ausführlicher.

6.6.1. Format von Meldungen über das Scannen

Meldungen über die Untersuchung werden nur für die Komponenten kavscanner und aveserver generiert.

Das Format des Protokolls über das Scannen jeder Datei ist davon abhängig, zu welchem Objekttyp (gewöhnliches oder Archiv-Objekt) die Datei zählt.

Für ein gewöhnliches Objekt besitzen die Meldungen über das Scannen folgendes Format:

• Erweitertes Meldungsformat (ShowObjectResultOnly=no):

"Dateiname" Ergebnis [Virusname]

• Kurzes Meldungsformat (ShowObjectResultOnly=yes):

"Dateiname" Ergebnis

wobei:

81 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Virusname – Name des Virus für die Ereignisse CURED, INFECTED,

CUREFAILED, WARNING, SUSPICIOUS. Für andere Ereignisse bleibt dieses Feld leer.

Ergebnis – Status, den die Datei als Ergebnis der Untersuchung und

Desinfektion erhält. Die vollständige Liste der möglichen Ergebnisse befindet sich in der unten folgenden Tabelle.

Auch für Meldungen über zusammengesetzte Objekte (Archive) stehen ein erweitertes und ein kurzes Format für Meldungen über das Scannen zur Verfügung:

• Erweitertes Meldungsformat (ShowContainerResultOnly=no):

"Archivname"

"Dateiname" Ergebnis [Virusname]

• Kurzes Meldungsformat (ShowContainerResultOnly=yes):

"Dateiname" Ergebnis

Ereignis/Ergebnis Bedeutung

OK Datei ist virusfrei.

CURED (nur bei aktiviertem

Datei war infiziert und wurde erfolgreich desinfiziert.

Desinfektionsmodus)

INFECTED Datei ist von einem oder mehreren Viren infiziert;

Desinfektionsmodus wurde nicht aktiviert.

CUREFAILED (nur bei aktiviertem Desinfektionsmodus)

Datei ist von einem oder mehreren Viren infiziert; Desinfektionsmodus wurde aktiviert, aber Desinfektion der Datei ist nicht möglich.

WARNING Code der Datei besitzt Ähnlichkeit mit dem Code

eines bekannten Virus.

SUSPICIOUS Datei ist verdächtig auf Infektion durch einen

unbekannten Virus.

ERROR Datei kann nicht untersucht werden, weil ein Fehler

aufgetreten ist (z.B. als Ergebnis der Bearbeitung eines beschädigten Archivs).

Erweiterte Einstellungen 82

Ereignis/Ergebnis Bedeutung

PROTECTED Datei kann nicht untersucht werden, weil sie

verschlüsselt ist.

CORRUPTED Datei ist beschädigt.

6.6.2. Format von Meldungen, die auf der Konsole angezeigt werden

Die Anzeige von Meldungen auf der Konsole betrifft die Komponenten kavscanner und keepup2date!

Die Anzeige von Informationen der Komponente kavscanner auf der Konsole wird durch das Vorhandensein oder Fehlen des Befehlszeilenparameters –q beim Start der Komponente reguliert. Wenn der Parameter angegeben wird, werden keine Informationen auf der Konsole angezeigt. Die Anzeige von Meldungen über die Arbeit der Komponente keepup2date auf der Konsole wird durch den Parameter KeepSilent=no in der Konfigurationsdatei festgelegt.

In der Grundeinstellung entsprechen Format und Umfang der auf dem Bildschirm angezeigten Informationen vollständig den in der Reportdatei aufgezeichneten Daten.

Für die Komponente kavscanner kann die Auswahl von auf der Konsole angezeigten Informationen geändert werden. Dazu ist es erforderlich, den Abschnitt [display] in die Konfigurationsdatei (kav4mailservers.conf oder alternative Datei) aufzunehmen.

Hier kann die Bildschirmanzeige von Informationen über das Scannen von Objekten innerhalb eines Archivs (ShowContainerResultOnly), über virusfreie Dateien (ShowOK) und über die aktuellen Arbeitsergebnisse der Komponente (ShowProgress) eingestellt werden.

Die Genauigkeit des Untersuchungsprotokolls wird bei Vorhandensein des Abschnitts [scanner.display] durch den Parameter –x<Option> aus der Befehlszeile reguliert.

6.6.3. Antiviren-Statistik der Anwendung

In Kaspersky Anti-Virus Version 5.5 sind das Erstellen und die Anzeige einer Statistik über die Virenaktivität für einen bestimmten Zeitraum möglich. Auf diese

83 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Funktionalität kann über das Web-Interface des Programms Webmin zugegriffen werden.

Um das automatische Erstellen der Antiviren-Statistik zu konfigurieren,

• Legen Sie in der Konfigurationsdatei der Anwendung im Abschnitt

екции [smtpscan.report] für den Parameter AVStatistics folgenden Wert fest:

AVStatistics= /var/log/kav/5.5/kav4mailservers/smtpscanner.stat

• Starten Sie das Skript, das Informationen für die Statistik aus der

Protokolldatei sammelt, in den gewünschten Zeitabständen. Geben Sie dazu in der Befehlszeile ein:

perl /usr/libexec/webmin/kavms5.5/parse_avstat.pl \

-sd=/var/db/kav/5.5/kav4mailservers/proc_avstat\

/var/log/kav/5.5/kav4mailservers/smtpscanner.stat

• Lesen Sie die aktualisierten statistischen Daten mit Hilfe des

Programms Webmin erst nach dem Start des oben genannten Skripts.

Wenn das Programm Webmin nicht am standardmäßigen Ort installiert ist, dann ändert sich auch der Pfad /usr/libexec/webmin/kavms5.5/parse_avstat.pl!

Erweiterte Einstellungen 84

Kapitel 7. Deinstallation von

Kaspersky Anti-Virus®

Für die Deinstallation von Kaspersky Anti-Virus sind erforderlich:

• Vorhandensein der Rechte eines privilegierten Benutzers (root). Wenn

Sie im Moment der Deinstallation nicht über diese Rechte verfügen, ist die Anmeldung am System als Benutzer root erforderlich.

• Vorhandensein der Protokolldatei über den Installationsprozess.

• Vollständige Übereinstimmung von Namen und Größen der installierten

Dateien von Kaspersky Anti-Virus mit den Angaben in der InstallationsProtokolldatei.

• Beenden des Prozesses aveserver.

• Beenden des Maildiensts.

Abhängig vom verwendeten Paket-Manager erfolgt der Start der Deinstallationsprozedur auf unterschiedliche Weise. Betrachten wir die möglichen Varianten genauer.

Wenn Sie bei der Installation das rpm-Paket für Kaspersky Anti-Virus verwendet haben, geben Sie zum Start der Deinstallation in der Befehlszeile ein:

rpm -e <Paketname>

Wenn Sie bei der Installation das deb-Paket für Kaspersky Anti-Virus verwendet haben, geben Sie zum Start der Deinstallation in der Befehlszeile ein:

dpkg -r <Paketname>

Wenn Sie bei der Installation das pkg-Paket für Kaspersky AntiVirus verwendet haben, geben Sie zum Start der Deinstallation in der Befehlszeile ein:

pkg-delete <Paketname>

Die Deinstallationsprozedur wird automatisch ausgeführt. Wenn die Deinstallation der Anwendung erfolgreich abgeschlossen wird, erfolgen keine weiteren Meldungen.

85 Kaspersky Anti-Virus

for Linux, FreeBSD and OpenBSD Mail Servers

Kapitel 8. Testen der

Funktionalität von Kaspersky Anti-Virus

Wir empfehlen, nach der Installation und Konfiguration von Kaspersky Anti-Virus mittels eines "Test-Virus" und dessen Modifikationen zu überprüfen, ob die Anwendung richtig funktioniert.

Der "Test-Virus" wurde von der Organisation (The European Institute for Computer Antivirus Research) speziell zum Testen von Antivirenprodukten entworfen.

Der "Test-Virus" IST KEIN VIRUS und enthält keinen Programmcode, der Ihrem Computer schaden könnte. Die meisten Antivirenprodukte der meisten Hersteller identifizieren diese Datei jedoch als Virus.

Verwenden Sie niemals einen echten Virus, um die Funktionsfähigkeit eines Antivirenprodukts zu testen!

Sie können den "Test-Virus" von der offiziellen Webseite der Organisation EICAR unter http://www.eicar.org/anti_virus_test_file.htm keine Internetverbindung besteht, können Sie selbst einen "Test-Virus" herstellen. Geben Sie dazu in einen beliebigen Texteditor folgende Zeichenkette ein und speichern Sie die Datei als eicar.com:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H*

Die Datei, die Sie von der EICAR-Webseite heruntergeladen oder wie oben beschrieben hergestellt haben, enthält den Körper des standardmäßigen "TestVirus". Das Antivirenprogramm entdeckt diese Datei, markiert sie als Infiziert und irreparabel, und wendet die vom Administrator für diesen Objekttyp festgelegte Aktion darauf an.

Um die Reaktion des Antivirenprogramms auf den Fund anderer Objekttypen zu testen, verändern Sie den Inhalt des standardmäßigen "Test-Virus", indem Sie eines der Präfixe aus der unten folgenden Tabelle hinzufügen.

downloaden. Falls

Erweiterte Einstellungen 86

Tabelle. Modifikationen des

"Test-Virus"

Präfix Objekttyp

Kein Präfix, standardmäßiger "Test-Virus"

CORR–

SUSP–

WARN–

ERRO–

CURE–

DELE– Objekt wird automatisch gelöscht.

In der ersten Spalte der Tabelle sind die Präfixe aufgeführt, die am Anfang der Zeichenkette des standardmäßigen "Test-Virus" angefügt werden können (zum Beispiel: CORR–X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H*). Die zweite Spalte der Tabelle enthält die Typen von Objekten, die nach dem Hinzufügen der Präfixe von einem Antivirenprogramm identifiziert werden. Die Aktionen für jeden Objekttyp sind durch die vom Administrator angepassten Einstellungen des Antivirenprogramms festgelegt.

Infiziert. Objekt kann nicht desinfiziert werden.

Unbekannt.

Verdächtig (unbekannter Viruscode).

Verdächtig (veränderter Code eines bekannten Virus).

Nicht untersucht wegen Fehler.

Desinfiziert. Objekt kann desinfiziert werden, wobei der

Text des "Virus"-Körpers in CURED geändert wird.

Kapitel 9. Häufige Fragen über

die Arbeit mit dem Produkt

In diesem Kapitel beantworten wir ausführlich die von Benutzern häufig gestellten Fragen über Installation, Konfiguration und Funktion von Kaspersky Anti-Virus.

Frage: Kann Kaspersky Anti-Virus gleichzeitig mit Antivirenprodukten anderer Hersteller verwendet werden?

Um Konflikte zu vermeiden, empfehlen wir, die Antivirenprodukte anderer Hersteller vor der Installation von Kaspersky Anti-Virus zu entfernen.

Frage

: Kaspersky Anti-Virus untersucht eine Datei nicht wiederholt.

Warum?

Tatsächlich untersucht Kaspersky Anti-Virus Dateien nicht erneut, die sich seit der letzten Untersuchung nicht verändert haben.

Dies wird durch die Verwendung der neuen Technologien iChecker und iStreams ermöglicht. Dabei wird eine Datenbanken mit Kontrollsummen von Objekten verwendet.

Frage: Warum ruft Kaspersky Anti-Virus eine gewisse Senkung der Leistungsfähigkeit des Computers hervor und führt zu bemerkbarer Prozessorbelastung?

Das Erkennen von Viren ist eine rechnerische (mathematische) Aufgabe, die mit Strukturanalyse, Berechnung von Kontrollsummen und mathematischer Datenumformung zusammenhängt. Deshalb ist die Hauptressource, die bei der Arbeit von Anti-Virus verbraucht wird, die Prozessorzeit. Dabei erhöht jeder neue Virus, der den AntivirenDatenbanken hinzugefügt wird, die Gesamtzeit der Untersuchung.

Andere Antivirenprogramme verkürzen die Untersuchungszeit, indem schwierig zu erkennende oder (in geografischer Hinsicht) seltene Viren, sowie kompliziert zu analysierende Dateiformate (z.B. pdf) nicht in die Antiviren-Datenbanken aufgenommen werden. Im Unterschied dazu ist sich Kaspersky Lab sicher, dass die Aufgabe eines Antivirenprogramms darin besteht, den Benutzern reale Antivirensicherheit zu garantieren.

Kaspersky Anti-Virus erlaubt erfahrenen Benutzern, die Antivirenuntersuchung zu beschleunigen, indem bestimmte Dateitypen von der Antivirenuntersuchung ausgeschlossen werden.

Häufige Fragen 88

Kaspersky Anti-Virus erkennt über 700 Formate von archivierten und komprimierten Dateien. Für die Antivirensicherheit ist das sehr wichtig, weil jedes der erkennbaren Formate einen ausführbaren schädlichen Code enthalten kann. Trotzdem arbeitet die neue Version des Produkts im Vergleich zur vorhergehenden schneller, obwohl sich die Gesamtzahl der von Kaspersky Anti-Virus erkennbaren Viren täglich erhöht (ungefähr 30 neue Viren pro Tag) und die Anzahl der unterstützten Formate ständig steigt. Das wird durch die Verwendung neuer unikaler Technologien wie iChecker™ und iStreams™ erreicht, die von Kaspersky Lab entwickelt wurden.

: Wozu wird der Lizenzschlüssel benötigt? Funktioniert mein Anti-

Frage Virus ohne Lizenzschlüssel?

Kaspersky Anti-Virus funktioniert nicht ohne Lizenzschlüssel.

Wenn Sie sich noch nicht zum Erwerb von Kaspersky Anti-Virus entschlossen haben, können wir Ihnen einen Probeschlüssel (Evaluierungsschlüssel) anbieten, der für zwei Wochen oder einen Monat gültig ist. Nach Ablauf der Gültigkeitsdauer wird der Schlüssel gesperrt.

: Was passiert, wenn die Lizenz zur Produktnutzung abläuft?

Frage

Bei Ablauf der Gültigkeitsdauer der Lizenz für die Nutzung von Kaspersky Anti-Virus setzt das Produkt seine Arbeit fort, aber die Verwendung neuer Antiviren-Datenbanken ist nicht mehr möglich. AntiVirus wird weiterhin die Desinfektion infizierter Objekte durchführen, dabei jedoch die alten Antiviren-Datenbanken benutzen.

Sollte diese Situation eintreten, dann informieren Sie Ihren Systemadministrator oder wenden Sie sich zur Lizenzverlängerung an die Firma, bei der Kaspersky Anti-Virus erworben wurde, oder direkt an Kaspersky Lab Ltd.

: Mein Anti-Virus funktioniert nicht.

Frage

Wie soll ich vorgehen?

Überprüfen Sie zuerst, ob in der vorliegenden Dokumentation, insbesondere im vorliegenden Kapitel, oder auf unserer Internetseite (Dienste # Technischer Support) eine Lösungsmethode für Ihr Problem enthalten ist. Außerdem empfehlen wir Ihnen, sich an die Firma zu wenden, bei der Sie Kaspersky Anti-Virus erworben haben, oder einen Brief an den Technischen Supportservice (support@kaspersky.com

) zu schreiben.

Um sicherzustellen, dass Ihre Frage möglichst schnell bearbeitet wird:

1. Geben Sie in der Betreffzeile Ihrer Nachricht das Betriebssystem Ihres Computers, den Namen des von Ihnen verwendeten

89 Kaspersky Anti-Virus for Unix Mail Servers

Kaspersky-Lab-Produkts und das Problem an. Zum Beispiel:

Linux, Webmin, kein Zugriff auf die Einstellungen der Liste

lizenzierter Benutzer.

2. Schreiben Sie Ihre Nachricht im Text-Format (plain text).

3. Geben Sie am Beginn der Nachricht die genaue Version des Betriebssystems, der Distribution von Kaspersky Anti-Virus und die Nummer Ihrer Lizenz an.

4. Beschreiben Sie das Problem möglichst kurz, aber verständlich. Denken Sie daran, dass der Support-Service vor der Lektüre Ihres Briefs noch nichts von Ihrem Problem weiß und Ihnen nur helfen kann, nachdem das Problem vollständig verstanden und nachvollzogen wurde.

5. Senden Sie folgende Daten an den Technischen Support-Service, nachdem Sie diese in ein Archiv gepackt haben:

• alle Konfigurationsdateien Ihres Mailagenten (MTA)

• Dateien des Ordners /etc/kav/

• Protokolldatei des Mailsystems

• Protokolldatei der Anti-Virus-Komponente, z.B.

/var/log/aveserver.log

• Informationen, die durch den Befehl ps –ax auf der Konsole

erscheinen.

• Lizenzschlüssel.

6. Machen Sie im Brief unbedingt Angaben über das Vorhandensein folgender Elemente:

• SCSI- Controller

• sehr alter oder sehr neuer Prozessor, mehrere Prozessoren

• Arbeitsspeicher mit weniger als 64 MB oder über 2 GB

7. Geben Sie das Volumen des täglichen Traffics und eventuelle Belastungsspitzen an.

Frage

: Warum sind die täglichen Updates erforderlich?

Bis vor einigen Jahren wurden Viren auf Disketten weitergegeben und für den Schutz eines Computers genügte es, ein Antivirenprogramm zu installieren und ab und zu die Antiviren-Datenbanken zu aktualisieren. Doch die letzten Virenepidemien breiteten sich innerhalb weniger Stunden weltweit aus und ein installierter Anti-Virus mit alten

Häufige Fragen 90

Datenbanken ist gegenüber einer neuen Gefahr machtlos. Um solchen neuen Viren nicht zum Opfer zu fallen, müssen die AntivirenDatenbanken täglich aktualisiert werden.

Kaspersky Lab beschleunigt jedes Jahr die Frequenz für das Update der Antiviren-Datenbanken. Momentan werden sie alle drei Stunden aktualisiert.

Eine Zusatzfunktion ist die Aufgabe zum Update der Programmmodule von Anti-Virus, in denen erkannte Sicherheitslücken korrigiert oder neue Funktionen zur Verfügung gestellt werden.

Frage

: Was hat sich im Update-Dienst seit Version 5.0 geändert?

Kaspersky Labs Produktlinie wurde ab Version 5.0 mit einem neuen Update-Dienst ausgestattet. Die Neuentwicklung beruht auf den Anregungen von Anwendern und auf Marketingüberlegungen. Daneben stellte sich die Aufgabe, die Technologie der gesamten Updateprozedur zu optimieren, die mit Vorbereitung der Datenbanken bei Kaspersky Lab beginnt und mit dem Update der Benutzerdateien endet.

Vorteile des neuen Update-Diensts:

• Vervollständigung des Datei-Downloads bei

Verbindungsunterbrechung. Bereits heruntergeladene Updates

müssen nach dem Wiederaufbau der Verbindung nicht mehr wiederholt geladen werden.

• Halbierung der Größe des kumulativen Updates. Ein kumulatives Update enthält die gesamte Antiviren-Datenbank, weshalb die Größe des Kumulativums jene eines gewöhnlichen Updates wesentlich übersteigt. Im neuen Update-Dienst kommt eine spezielle Technologie zum Einsatz, die es erlaubt, die bereits vorhandenen Antiviren-Datenbanken für das kumulative Update zu verwenden.

• Beschleunigter Download aus dem Internet. Kaspersky Anti- Virus wählt den Kaspersky-Lab-Updateserver, der in Ihrer Nähe liegt. Außerdem wird die Belastung der Server entsprechend ihrer Leistungsfähigkeit bestimmt, d.h. es wird kein überlasteter Server für den Download verwendet, wenn gleichzeitig ein anderer Server freie Ressourcen besitzt.

• Verwendung von "schwarzen Listen" für die Schlüssel. Dadurch können Benutzer, die keine Lizenz für die Nutzung von Kaspersky Anti-Virus besitzen, vom Update ausgeschlossen werden. Damit wird vermieden, dass lizenzierte Benutzer unter überlasteten Updateservern zu leiden haben.

91 Kaspersky Anti-Virus for Unix Mail Servers

• Für korporative Produkte wurde eine Option zum Erstellen eines lokalen Updateservers realisiert. Diese Funktion ist für

Unternehmen erforderlich, in denen in einem lokalen Netzwerk Computer zusammengefasst sind, die durch Kaspersky-LabAnwendungen geschützt werden. In diesem Fall kann ein beliebiger Computer die Funktion des Updateservers übernehmen, der die Updates aus dem Internet empfängt, diese in einem lokalen Ordner ablegt und den anderen Netzwerkcomputern Zugriff darauf gewährt.

: Kann ein Angreifer die Antiviren-Datenbanken verändern?

Frage

Alle Antiviren-Datenbanken besitzen eine unikale Signatur, die beim Zugriff auf die Datenbanken von Kaspersky Anti-Virus überprüft wird. Stimmt die Signatur nicht mit der von Kaspersky Lab vergebenen überein und das Datum einer Datenbank liegt nach dem Tag der Lizenzgültigkeit für die Produktbenutzung, dann wird Kaspersky AntiVirus diese Datenbanken nicht verwenden.

: Funktioniert Kaspersky Anti-Virus für Unix auf meiner Distribution

Frage des Betriebssystems Linux?

Kaspersky Anti-Virus für Unix Version 5.5 wurde auf Distributionen von RedHat, Debian und SuSE getestet und die Distributionen von Kaspersky Anti-Virus wurden speziell für diese erstellt.

Zu den Versionen der unterstützten Betriebssysteme s. Pkt. 1.2 auf S. 5.

Wenn Ihre Distribution vollständig mit einer unterstützten Distribution kompatibel ist (ASPLinux ist beispielsweise kompatibel mit Red Hat Linux), dann ist das Auftreten von Problemen mit kritischem Charakter sehr unwahrscheinlich.

Auf Distributionen, die nicht in der Liste der von Kaspersky Lab unterstützten Distributionen enthalten sind, ist die fehlerhafte Arbeit der Anwendung möglich. Dies steht vor allem mit Besonderheiten des Betriebssystems in Verbindung. Die Distribution Ihres Systems kann beispielsweise eine andere Bibliotheksversion verwenden oder der Pfad der Skripte zur Systeminitialisierung kann vom Standard abweichen. In diesem Fall kann Ihnen der Technische Support-Service von Kaspersky Lab keine Hilfe anbieten.

Frage: Wie wird ein Archiv des Typs .tgz oder .tar.gz entpackt?

Häufige Fragen 92

Archive des Typs .tgz oder .tar.gz werden durch folgenden Befehl entpackt:

tar zxvf <Archivname>

Zu Details siehe manual pages zum Programm tar.

: Alles funktionierte tadellos, bis ich Kaspersky Anti-Virus for Unix

Frage Mail Servers installierte und ihn in das Mailsystem Postfix integrierte. Danach wurden E-Mail-Nachrichten nicht mehr zugestellt und in maillog wurde folgender Fehler aufgezeichnet:

Sep 23 15:17:03 server postfix/lmtp[1678]: 8238C38987: to=<user@server.org <mailto:user@server.org>>, relay=none, delay=1, status=bounced (localhost: host not found)

Was soll ich vorgehen?

Dieses Problem kann in folgenden Fällen auftreten:

• In Ihrem DNS fehlt der Bereich localhost, der für RFC 2606 erforderlich ist. Konfigurieren Sie Ihr DNS so, wie es in RFC empfohlen wird. Ausführliche Informationen finden Sie auf

http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2606.html

• In der Datei /etc/hosts ist localhost nicht definiert. Geben Sie den standardmäßigen localhost=127.0.0.1 als localhost an.

: Kann Kaspersky Anti-Virus durch Network Control Centre for

Frage Windows kontrolliert werden?

Die Verwendung von Network Control Centre for Windows ist bei der Arbeit mit Kaspersky Anti-Virus for Unix Mail Servers nicht möglich. In dieser Version der Anwendung ist die Möglichkeit der entfernten Konfiguration mit Hilfe eines speziellen Moduls zu dem Paket Webmin vorgesehen.

: Wie können die auf der Konsole angezeigten Meldungen des

Frage Programms in einer Datei gespeichert werden?

Um die Informationen, die während der Arbeit von Kaspersky Anti-Virus auf der Konsole angezeigt werden, zu speichern, müssen entweder entsprechende Einstellungen in der Konfigurationsdatei vorgenommen werden oder folgende Eingabe in der Befehlszeile erfolgen:

$ some_app > ./text_file 2>&1

wobei:

93 Kaspersky Anti-Virus for Unix Mail Servers

some_app – Anwendung, deren standardmäßige Ein- und

Ausgabemeldungen über Fehler bei der Arbeit Sie in einer Datei speichern möchten.

text_file – vollständiger Pfad der Datei, in welcher die Informationen

gespeichert werden sollen.

Beispiel:

$keepup2date > ./updater.log 2>&1

In diesem Fall werden in der Datei updater.log des aktuellen Ordners die ausgegebenen Standardmeldungen über Fehler der Komponente keepup2date aufgezeichnet.

Anhang A. Schädliche

Programme in UnixUmgebung

In der Umgebung von Unix-Systemen sind Viren in wesentlich geringerem Umfang verbreitet als beispielsweise in der Umgebung von Windows. Die Gründe dafür liegen in Besonderheiten der jeweiligen Plattform. Die größte Verbreitung besitzen Trojaner und Netzwürmer.

Die Ausbreitung schädlicher Programme vollzieht sich über Netzwerke, wobei auch "Löcher" in der Software ausgenutzt werden. Betrachten wir die Arten schädlicher Programms für Unix und die Infektionsmethoden näher.

A.1. Viren

Ein Virus ist ein Programm (eine bestimmte Auswahl eines ausführbaren Codes und/oder Befehlen), das fähig ist, Kopien von sich selbst anzufertigen (die nicht unbedingt vollständig mit dem Original übereinstimmen) und diese ohne Wissen des Benutzers in unterschiedliche Objekte und/oder Ressourcen von Computersystemen, Netzwerken usw. einzufügen. Dabei behalten die Kopien die Fähigkeit zur weiteren Ausbreitung.

Bei der Untersuchung der Fundorte von Viren ergibt sich, dass Viren in UnixSystemen in der Regel Dateiviren sind, die ihren Code in ausführbare Dateien schreiben oder Zwillingsdateien erstellen.

Nach Unterschieden hinsichtlich der Funktionsalgorithmen lassen sich unterscheiden:

• residenter Virus – Ein Virus, der bei der Infektion seinen residenten Teil im Arbeitsspeicher hinterlässt. Der residente Teil fängt danach Aufrufe des Betriebssystems an infizierbare Objekte ab und dringt in diese ein. Residente Viren befinden sich im Arbeitsspeicher und gelten bis zum Ausschalten des Computers oder zum Neustart des Betriebssystems als aktiv.

• nicht residenter Virus – Ein Virus, der den Arbeitsspeicher des Computers nicht infiziert und eine zeitlich begrenzte Aktivität besitzt. Bestimmte Viren hinterlassen im Arbeitsspeicher residente Programme von geringem Umfang, die keine Viren verbreiten.

Viren, die Unix-Systeme infizieren können, sind in der Regel ungefährlich, da sich ihre Wirkung auf die Verringerung des freien Festplattenspeichers, Graphik-,

95 Kaspersky Anti-Virus for Unix Mail Servers

Laut- und andere Effekte beschränkt. Bestimmte Viren sind völlig harmlos, weil sie mit Ausnahme der Verringerung des freien Festplattenspeichers auf Grund ihrer Ausbreitung keinerlei Einfluss auf die Arbeit des Computers haben.

Im Folgenden einige Beispiele der Viren für Unix-Systeme:

ELF_SNOOPY – Ein Virus, der ausführbare Unix-Dateien infiziert.

Funktionsalgorithmus des Virus: Er sucht auf der Workstation alle

ausführbaren Dateien, benennt diese in Dateien mit der Erweiterung .X23 um und verschiebt sie in das erstellte Verzeichnis /E. Danach kopiert der Virus seinen Code in die Originaldateien und ändert deren Attribute in 777. Parallel dazu wird in der Hauptkennwortliste auf der infizierten Workstation der Benutzer

snoopy mit den Rechten 777 angelegt.

Linux.Bliss – Eine Gruppe nicht residenter Viren, die ausführbare Linux-

Dateien infizieren. Diese Viren sind in GNU C geschrieben und besitzen das Format ELF.

Funktionsalgorithmus des Virus: Beim Start sucht der Virus auf der

Workstation ausführbare Dateien und infiziert diese, indem er den Dateiinhalt nach unten verschiebt, seinen Code auf den freien Platz schreibt und am Dateiende eine Identifikationszeile hinzufügt. Die Aktion des Virus wird durch die Benutzerrechte beschränkt, mit denen er ausgeführt wird (es sind nur Dateien betroffen, auf die Zugriff besteht). Besitzt der Benutzer Systemprivilegien, dann kann sich der Virus auf den gesamten Computer ausbreiten.

Linux.Diesel – Ungefährlicher nicht residenter Linux-Virus, der ausführbare

Linux-Dateien infiziert. Funktionsalgorithmus des Virus: Nach dem Start liest der Virus seinen

binären Code aus der Trägerdatei, sucht ausführbare LinuxDateien in Systemunterverzeichnissen und schreibt seinen Code in die Mitte des Codes jeder Datei, wodurch die Größe des mittleren Segments erhöht wird.

Linux.Siilov – Ungefährlicher Linux-Virus, der ausführbare Dateien infiziert.

Er besitzt das Format ELF. Funktionsalgorithmus des Virus: Er verwendet zwei Methoden zur

Infektion von Dateien: eine residente und eine nicht residente. Residente Methode: Der Virus verbleibt im Arbeitsspeicher und infiziert im Hintergrundmodus Dateien. Nicht residente Methode: Der Virus sucht auf der Festplatte nach ausführbaren Dateien und infiziert diese.

Linux.Winter – Harmloser nicht residenter Linux-Virus. Er besitzt eine sehr

geringe Größe von nur 341 Byte. Funktionsalgorithmus des Virus: Beim Start übernimmt der Virus die

Kontrolle, sucht im aktuellen Verzeichnis ELF-Dateien (ausführbare Linux-Dateien) und infiziert diese.

Anhang A 96

A.2. Trojanische Programme

Ein Trojanisches Programm ist ein Programm, das Aktionen ausführt, die vom Benutzer nicht sanktioniert wurden. Ein Trojaner installiert sich beim Start im System und überwacht dann das System, wobei der Benutzer keinerlei Meldungen über die Aktionen des Trojaners im System erhält. Der Computer kann dann im Remote-Modus kontrolliert werden.

Die Ausbreitung von Trojanischen Programmen erfolgt über Netzwerke.

Ein prägnanter Vertreter für die Familie der Trojanischen Programme für UnixSysteme ist TROJ_IRCKILL – Dieser Trojaner besteht aus einer Auswahl von Programmwerkzeugen zur Trennung von Benutzern von IRC-Kanälen. Die Auswahl umfasst vier Dienstprogramme für einen Angriff: FLOOD (flood – Überschwemmung), MCB (Multiple Collide BOTs), SUMO BOTs und FLASH – ein besonderer Typ der "Überschwemmung" zur Verwendung in einer UNIXUmgebung.

Angriffe des Typs FLASH werden zur direkten Trennung des Modems verwendet. Dabei werden ping-Befehle mit "fehlerhaften" Daten, die in einer bestimmten Reihenfolge angegeben werden, an eine bestimmte IP-Adresse gesendet. Das Benutzermodem wird diese Daten als Befehl zum Trennen interpretieren und das Internet verlassen. Allerdings kann diese Angriffsart nicht für alle Modemtypen verwendet werden.

Der Angriff MCB erfolgt über IRC-Kanäle. In einem Moment, in dem IRC-Server keine gegenseitige Synchronisation vornehmen können (net split), verdoppelt das Trojanische Programm den Benutzernamen (nickname). Nachdem die Synchronisation zwischen den IRC-Servern wiederhergestellt wurde, wird der betreffende Name fehlerhaft und der Benutzer wird vom IRC-Kanal getrennt.

Der Angriff FLOOD BOTS/SUMO BOTS wird ebenfalls in einem IRC-Netzwerk verwendet, indem zahlreiche Benutzer mit zufällig gewählten Namen (nickname) "geboren" werden. Mit Hilfe dieses Angriffs wird ein IRC-Kanal oder ein Benutzer, der während eines Chats Nachrichten sendet oder empfängt, solange "überflutet", bis die Benutzermaschine eine bestimmte Höchstgrenze für weiterzuleitende Daten erreicht. Danach wird dieser Benutzer ebenfalls vom IRC-Kanal getrennt.

Root kit – Ein Programmpaket, das von Hackern verwendet wird, um rootZugang auf einen Remote-Computer zu erhalten. Es benutzt die Unix-Standardprogramme ps und ls. Die einzige effektive Methode zur Wiederherstellung nach einem Angriff, der mit Hilfe von Root kit erfolgte, ist die Wiederherstellung wichtiger Daten von einer Sicherheitskopie (Es wird empfohlen regelmäßig Sicherheitskopien anzufertigen), das vollständige Säubern der Festplatte und die Neuinstallation des Systems.

97 Kaspersky Anti-Virus for Unix Mail Servers

A.3. Netzwürmer

Die zu dieser Kategorie zählenden schädlichen Programme schreiben sich nicht in ausführbare Objekte ein, sondern kopieren sich in Netzwerkressourcen. Ihre Bezeichnung erhielt diese Kategorie eben auf Grund der für Würmer typischen Fähigkeit, durch Netzwerke und andere Informationskanäle zu "kriechen".

Sie dringen aus einem Computernetz in den Speicher eines Computers ein, ermitteln Netzadressen anderer Computer und versenden ihre Kopien an diese Adressen.

Manche Vertreter dieser Klasse legen Arbeitsdateien auf Systemlaufwerken an, funktionieren aber völlig ohne Zugriff auf die Computerressourcen (mit Ausnahme des Arbeitsspeichers).

Worm.Linux.Ramen – Der erste bekannte Wurm, der die Systeme von RedHat

Linux infiziert. Er infiziert Remote-Linux-Systeme (RedHat Linux) mit Hilfe eines Pufferüberlaufproblems. Dieses "Loch" in der Software ermöglicht es, ausführbaren Code an einen Remote-Computer zu senden und diesen dort ohne Eingreifen des Administrators (Benutzers) auszuführen.

Ausbreitungsquelle: über Netzwerke in Form des Archivs tgz. Funktionsalgorithmus: Unter Ausnutzung eines Pufferüberlaufproblems

sendet der Wurm ein kleines Stück seines Codes an Remote-Computer. Beim Start der Hauptkomponente des Wurms (Datei start.sh) werden nacheinander die übrigen Komponenten aufgerufen. Diese ermitteln die Adressen von anzugreifenden Systemen und senden an diese mit Hilfe des "Pufferüberlauf"-Angriffs den "Lademechanismus" des Wurms, der anschließend die restlichen Teile des Wurms nachlädt und den Hauptcode des Wurms startet. Die Startseite des Webservers wird ersetzt durch eine HTML-Datei mit dem Text: "RameN Crew – Hackers looooooooooooove noodles". Schließlich sendet der Wurm eine E-MailNachricht an zwei Adressen, startet das System neu und beginnt erneut das Internet zu scannen. Außerdem fügt der Wurm zur Systeminitialisierungsdatei /etc/rc.d/rc.sysinit den Befehl zum Start seiner Hauptdatei hinzu. Dadurch wird der Wurm bei jedem folgenden Start des infizierten Systems gestartet.

Worm.Linux.Lion – Ein Internet-Wurm, der Linux-Server angreift. Zum

Eindringen in einen Computer verwendet der Wurm eine Sicherheitslücke im Service BIND DNS.

Funktionsalgorithmus: Der Wurm scannt das Internet auf der Suche nach

Systemen, die eine Sicherheitslücke beim root-Zugriff aufweisen. Beim Fund eines solchen Systems infiziert der Wurm dieses, sammelt Informationen darüber (IP-Adresse, Logins, Kennwörter) in einer Datei

Anhang A 98

mit dem Namen mail.log und sendet die Datei anschließend an die EMail-Adresse 1i0nsniffer@china.com.

Außerdem unternimmt der Wurm Versuche zur Verbindung über das Internet mit der Seite www.51.net (Die Domäne 51.net ist in China registriert) und lädt von dort die Datei crew.tgz. Dieses Archiv entpackt sich auf der infizierten Maschine und installiert Prozeduren, bei deren Ausführung der inzwischen erneut infizierte Computer ebenfalls beginnt, die Ressourcen des Internets auf der Suche nach zukünftigen Opfern zu scannen.

mIRC.Acoragil und mIRC.Simpsalapim – Die ersten bekannten mIRC-Würmer.

Ihre Namen erhielten sie nach den Codewörtern, die von den Würmern verwendet werden: Ist im Text, der über einen Kanal an einen beliebigen Benutzer übertragen wird, die Zeile Acoragil enthalten, dann werden alle Benutzer, die mit dem Wurm mIRC.Acoragil infiziert sind, automatisch von dem Kanal getrennt. Entsprechend funktioniert auch der Wurm mIRC.Simpsalapim – er reagiert auf die Zeile Simpsalapim.

Ausbreitungsquelle: über Netzwerke. Mit mIRC-Befehlen versenden die

Würmer ihren Code in der Datei SCRIPT.INI an jeden neuen Benutzer, der sich mit dem Kanal verbindet.

Funktionsalgorithmus: Die Würmer aktivieren eine Trojanischen Bestandteil.

mIRC.Simpsalapim enthält einen Code zum Abfangen eines IRCKanals: Ist der Inhaber des mIRC-Kanals infiziert, dann übernimmt ein Angreifer mit Hilfe des Codeworts ananas die Kontrolle des Kanals.

mIRC.Acoragil versendet mit Hilfe von Codewörtern DOS-, Windowsoder UNIX-Systemdateien. Bestimmte Codewörter wurden so gewählt, dass sie die Aufmerksamkeit der Opfer nicht wecken. z.B. hi oder the. Eine Modifikation dieses Wurms schickt die UNIX-Kennwortdatei an einen Angreifer.

Worm.Linux.Adm – Ein Internet-Wurm, der Linux-Systeme angreift. Der Wurm

sendet ein kleines Stück seines Codes an Remote-Computer, führt diesen dort aus, lädt seinen Hauptcode nach und führt diesen aus.

Ausbreitungsquelle: über Netzwerke. Er verbreitet seine Kopien (infiziert Remote-Linux-Systeme) mit Hilfe einer "Lücke" im Sicherheitssystem von Linux (die sogenannte "Pufferüberlauf"-Lücke). Diese Lücke ermöglicht es, einen ausführbaren Code auf einen Remote-Computer zu senden und ihn dort ohne Eingreifen des Administrators (Benutzers) auszuführen.

Anhang B. KASPERSKY LAB

LTD.

Die Firma Kaspersky Lab Ltd. wurde 1997 gegründet. Heute sind wir das

bekannteste Unternehmen für Datenschutz-Software in Russland und bieten eine breite Palette an Programmen zum Schutz vor Viren, unerwünschten EMails (Spam) und Hackerangriffen.

Kaspersky Lab ist ein international operierender Konzern. Unser Firmensitz befindet sich in Russland, regionale Vertretungen bestehen in Großbritannien, Frankreich, Deutschland, Japan, den Benelux-Staaten, China, Polen, Rumänien und den USA (Kalifornien). In Frankreich wurde jüngst ein neues Subunternehmen eröffnet – das Europäische Zentrum für Antivirenforschung. Unser Partnernetzwerk vereint weltweit mehr als 500 Firmen.

Kaspersky Lab heute – das sind mehr als 250 hoch qualifizierte Fachleute, von denen neun den Titel eines MBA sowie fünfzehn einen Doktortitel besitzen und zwei Mitglieder der international angesehenen Computer Anti-virus Researcher's Organization (CARO) sind.

Das wertvollste Potenzial des Unternehmens sind einmaliges Know-how und Erfahrung, gesammelt durch unsere Mitarbeiter im Laufe von vierzehn Jahren ständigen Kampfes mit Computerviren. Durch ständige Analyse der Entwicklung im Bereich Computerviren sind wir in der Lage, neue Tendenzen für gefährliche Programme vorherzusehen und den Anwendern frühzeitig zuverlässige Lösungen zum Schutz vor neuen Attacken anzubieten. Dieser Vorteil ist die Basis für den Erfolg der Programme und Services von Kaspersky Lab. Wir sind unserer Konkurrenz stets einen Schritt voraus und garantieren maximale Sicherheit zum Wohle unserer Klientel.

In jahrelangen Bemühungen ist es uns gelungen, die Marktführerschaft in der Entwicklung von Virenschutzprogrammen zu erobern. Viele moderne Standards für Virenschutzprogramme wurden erstmals von Kaspersky Lab entwickelt. Unser führendes Produkt, Kaspersky Anti-Virus Schutz für alle Objekte, die Virenattacken ausgesetzt sind: ComputerArbeitsplätze, Dateiserver, Mail Exchanger, Firewalls und Handheld-Computer. Die bequeme Handhabung erlaubt einen größtenteils automatisierten Virenschutz in den Firmennetzwerken der Anwender. Viele westliche Softwarehersteller verwenden in ihren Programmen die Quellcodes von Kaspersky Anti-Virus®, darunter: Nokia ICG (USA), F-Secure (Finnland), Aladdin (Israel), Sybari (USA), G Data (Deutschland), Deerfield (USA), Alt-N (USA), Microworld (Indien), BorderWare (Kanada).

Wir bieten eine breite Palette an Zusatzdienstleistungen an, die ein reibungsloses Funktionieren und die problemlose Anpassung unserer Produkte

, garantiert zuverlässigen

Kaspersky lab ANTI-VIRUS 5.5 for Linux, ANTI-VIRUS 5.5 for FreeBSD, ANTI-VIRUS 5.5 for OpenBSD Mail Servers User Manual [de]

Specifications and Main Features

Frequently Asked Questions

User Manual