computerwoche.de

Archiv

Fünf Marktführer für Exchange im Überblick

Antiviren-Software für den Mail-Server ist unverzichtbar

08.09.2000
Spätestens der Loverletter-Virus hat gezeigt, dass E-Mail das ideale Medium zur Verbreitung von schädlichen Programmen ist. Besonders betroffen waren bis dato Microsoft-Umgebungen. Michael Pietroforte* erläutert, worauf beim Einsatz von Antiviren-Software unter "Exchange" zu achten ist und vergleicht fünf führende Produkte.

Nach einer Studie der International Computer Security Association (ICSA) wurden 1999 bereits mehr als 50 Prozent der Computerviren über E-Mail-Anhänge in die Unternehmen eingeschleppt. Der E-Mail-Wurm "I love you" und seine Nachfolger dürften diese Zahl für 2000 noch einmal deutlich nach oben treiben. Auf mehrere Milliarden Dollar weltweit wird der dadurch entstandene Schaden geschätzt. Hauptangriffsziele sind Microsofts weit verbreitete E-Mail-Clients "Outlook" und "Outlook Express".

E-Mail-Viren stellen vor allem deshalb eine große Gefahr dar, weil sie sich um Größenordnungen schneller verbreiten als herkömmliche Computerviren. Oft vergehen nur Stunden zwischen dem erstmaligen Auftreten und einer weltweiten Seuchengefahr. Makroviren wie "I love you" verschicken sich nach ihrer Aktivierung selbständig an alle im Adressbuch befindlichen Kontakte. Der Empfänger erhält so eine E-Mail von einem ihm meist bekannten Absender, klickt nichts ahnend auf das Attachment und aktiviert damit erneut den Replikationsmechanismus.

Eine Antiviren-(AV-)Software auf den Client-PCs, die vielleicht alle paar Monate vom Anwender aktualisiert wird, bietet gegen solche Bedrohungen keinen ausreichenden Schutz. Netzbasierte Lösungen ermöglichen zwar eine schnellere und automatische Verteilung der aktuellen Virensignaturen auf alle Arbeitsplatzrechner, sind aber häufig aufwändig zu realisieren und zu unterhalten. Eine Absicherung gegen entsprechende Angriffe bietet sich daher schon auf der Server-Seite an. Anders als der Aufbau einer Infrastruktur zur Verteilung von AV-Programmen auf die Desktops ist die Installation auf dem Mail-Server in kurzer Zeit erledigt. Allerdings erhält man auch damit keinen umfassenden Schutz, weil dieser Ansatz nur gegen solche Erreger hilft, die sich über E-Mail ausbreiten. Ähnliches gilt für Lösungen, die den gesamten Internet-Verkehr am Gateway kontrollieren. Sie bieten keine Sicherheit vor schädlichem Code, der über Disketten ins Netz gelangt. Optimal ist eine Kombination aus unterschiedlichen Lösungen verschiedener Hersteller, da man auf diese Weise den Schutz mehrerer Viren-Scanner und Signaturen erhält.

Bei der Auswahl von AV-Software werden die Unterschiede bezüglich der Erkennungsleistung häufig überbewertet. Viele Tests in einschlägigen Fachzeitschriften erwecken den Eindruck, dass eine Trefferrate von 98,5 Prozent gegenüber 97,3 Prozent eines Konkurrenzprodukts bei einer relativ willkürlichen Auswahl von Testviren ein entscheidendes Kriterium sei. Etwas aussagekräftiger sind da die regelmäßig durchgeführten Tests von unabhängigen Organisationen, die sich auf dieses Metier spezialisiert haben.

Bei der Wahl eines AV-Programms für Exchange ist der schiere Umfang an Virenmustern eher zweitrangig. Entscheidend ist vielmehr, dass der Hersteller bei einem Outbreak, also wenn ein neuer Virus sich in Windeseile über das Internet verbreitet, schnell reagiert. Alle Anbieter der hier getesteten Produkte sichern in einem solchen Fall eine Aktualisierung ihrer Signaturen spätestens innerhalb eines Tages zu. Über einen Scheduler lassen sich diese dann automatisch aus dem Internet auf den Firmen-Server laden.

Der Realtime-Scan der AV-Software auf dem Exchange-Server gewährleistet, dass der Virus keinen Schaden anrichten kann. Alle eingehenden E-Mails werden sofort nach Ablage in einem Postfach oder öffentlichen Ordner auf Viren untersucht. Dies führt allerdings zu einer zusätzlichen und unter Umständen nicht unerheblichen Belastung des Servers. Da kann es dann schon mal vorkommen, dass ein Anwender auf ein Attachment klickt, bevor die AV-Software Gelegenheit zu einem Scan hatte. Mit dem "Service Pack 3" für Exchange hat Microsoft eine spezielle Antivirus-API eingeführt. AV-Programme haben nun Zugriff auf Attachments, bevor diese im Informationsspeicher des Exchange-Servers abgelegt werden. Auf diese Weise prüft der Scanner nur den Anhang und nicht die eigentliche Nachricht. Zudem reicht bei Mails, die an mehrere Postfächer adressiert wurden, eine einmalige Untersuchung. Diese Faktoren führen zu einer Lastreduzierung und geben zudem auch besonders reaktionsschnellen Anwendern keine Chance mehr, der AV-Software zuvor zu kommen.

Ärgerlich ist nur, dass die erste Version der AV-API fehlerhaft ist und der Postmaster deshalb um die Einspielung von Hotfixes nicht umhinkommt. Problematisch ist außerdem, dass die derzeit allerdings noch seltenen Viren, die sich in Form von Scripts in der Nachricht selbst einnisten, der AV-Software durch die Lappen gehen und die API keine Informationen über Empfänger und Sender liefert. Aus diesem Grund werden weder Sender noch Administrator im Falle eines Virenfunds informiert. Lediglich der Empfänger erfährt über die Maßnahmen des AV-Programms, weil dieses über die API eine Textdatei an die E-Mail anhängt.

"Anti-Virus für Microsoft Exchange" von F-Secure versucht möglichen Performanceproblemen auf interessante Weise beizukommen. Die Scan-Engine wird bei dieser Lösung auf einem separaten Server installiert. Nachteilig ist dabei der umständliche Installationsprozess. Das Produkt besteht aus mehreren Komponenten, wobei die einzelnen Installationsvorgänge nicht optimal aufeinander abgestimmt sind. Alle Einstellungen lassen sich getrennt für ein- und ausgehende beziehungsweise für öffentliche Ordner vornehmen. So kann man beispielsweise an "desinfizierte" E-Mails, die für die eigenen Mitarbeiter bestimmt sind, eine andere Nachricht anhängen als für externe Empfänger.

"Computer Associates Inoculate IT" lässt sich in die System-Management-Software Unicenter TNG von CA einbinden, wird aber auch als eigenständiges Produkt verkauft. Die Exchange-Komponente ist allerdings nicht ohne die Client-Lösung in Form der Workgroup- oder der Advanced-Edition erhältlich. Inoculate IT für Exchange beherrscht die üblichen Standardfunktionen. Lediglich bei der Prüfung komprimierter Attachments wird im Gegensatz zu den Konkurrenzprodukten nur eine Ebene entpackt. Viren, die sich in mehrfach komprimierten Dateien befinden, entgehen dem Programm.

Neu bei "Norton Antivirus für Microsoft Exchange" aus dem Hause Symantec ist der Quarantäne-Server, auf dem alle irreparabel infizierten Dateien abgelegt werden. Die Quarantäne-Konsole gibt einen Überblick über dort abgelegte Dateien und kann im Falle von Falschmeldungen von Symantec erhaltene Fixes testen. Grund für Fehlalarm ist meist die "Bloodhound"-Technologie, ein heuristisches Verfahren, das auf Basis typischer Virenmerkmale auch noch unbekannte Schadprogramme aufstöbern soll. Gibt es zu häufig Fehlalarm, lässt sich die Suche auf bekannte Viren beschränken. Der Administrator erledigt dies mit Hilfe eines Web-Browsers.

Network Associates hat mit "Groupshield" eine komplexe AV-Software mit zahlreichen Funktionen zu bieten. Besonders ausgefeilt ist die Outbreak-Funktion. Werden bestimmte einstellbare Grenzwerte bei Virenfunden überschritten, kann das Programm mit verschiedenen Aktionen reagieren. Zum Beispiel lassen sich Attachments komplett blockieren, oder der Exchange-Server wird automatisch heruntergefahren. Ebenfalls außergewöhnlich sind die zahlreichen Benachrichtigungsmethoden und die damit einhergehenden Konfigurationsmöglichkeiten. Verschlüsselte E-Mails stellen für jede AV-Software eine grundsätzliche Schwierigkeit dar. Groupshield versucht dem Problem zu begegnen, indem verschlüsselte E-Mails generell blockiert oder nur bestimmten Personen zugestanden werden. Sinnvoller ist es vermutlich, diese Option abzuschalten und stattdessen auf den Arbeitplatzrechnern einen Virenschutz zu installieren.

Trend Micro gilt als AV-Spezialist für den Enterprise-Bereich. Das zeigt sich auch bei "Scanmail". Schon bei der Installation bietet sich dem Anwender die Möglichkeit, das Programm gleich auf mehrere Server zu verteilen. Als Vorteil erweist sich, dass nach erfolgter Installation Exchange nicht neu gestartet werden muss. Die Konfiguration der Server erfolgt entweder über die übersichtliche Management-Konsole oder über einen Web-Browser.

Mit dem Realtime-Monitor kann man sich schnell über die zuletzt erfolgten Aktionen und die aktuelle Auslastung des Servers informieren. Die Server-Statuskonsole liefert ähnliche Informationen über alle Exchange-Server, auf denen Scanmail installiert wurde. Außerdem verfügt das Programm über zahlreiche Konfigurationsmöglichkeiten, ist aber sehr einfach zu installieren und zu bedienen. Scanmail ist damit wohl eine preiswerte und nützliche AV-Lösung für Microsoft Exchange.*Michael Pietroforte ist als freier Autor in München.