• Anlagen vom Dokumententyp (Content-Type) application/* und audio/* (der Stern steht für alle Subtypen wie z.B. octet-stream, pdf, msword bzw. wave, x-wav, mp3) in Mails, die
• über SMTP hereinkommen und wieder über SMTP herausgehen - dies schließt insbesondere die ausgehende Mail von PC's in die Welt ein - oder die über SMTP hereinkommen und in den Message Store zugestellt werden; in diesem liegen die Mailboxen der Mehrheit unserer Benutzerinnen und Benutzer, die ihre Mail z.B. von einem PC aus über POP-3 oder IMAP lesen. Benutzerinnen und Benutzer, die eine konventionelle Mailbox im Unix-Format haben wollten, erhalten die Mail weiter ungeprüft. Seit 26.1.2002 haben wir auch über SMTP hereinkommende Mails einbezogen, die per besonderem Programm (procmail oder rcvstore bei persönlicher Zustellung oder das Majordomo-Programm resend bei Majordomo-Listen) zugestellt werden.

Der neue Virus MyParty (seit Ende Januar 2002) kommt nicht als nach den MIME-Konventionen verpackter Body-Part, sondern im Mail-Text mit der Uuencode-Kodierung und wird bei der uns installierten Technik nicht erkannt. Aber Mail-Programme wie Outlook Express können auch so verpackte Viren zum Ausführen anbieten.

Anlagen, in denen der Virus-Checker fündig geworden ist, ersetzen wir durch einen zweisprachigen Text (deutsch/englisch) mit dem entsprechenden Hinweis auf den entfernten Virus. Die entfernten Daten hinterlegen wir für einige Tage auf dem Server, u.a. für den Fall eines Fehlalarms.

Alle anderen Anlagen - und der Mail-Header - werden unverändert weitergereicht.

Wenn Sie in einer solchen Mail Absenderangaben vermissen, liegt es nicht daran, dass wir diese entfernt hätten, sondern daran, dass ein Virus von einem infizierten PC sich selbst in einer Mail ohne Ansender verpackt weitergeschickt hat. Dies gilt z.B. für den Hybris-B/C-Virus. Die einzig verlässliche Information zur Herkunft finden Sie in einer Ansicht mit allen Header-(Kopf-)Zeilen in der Zeile: Received: by neptun ... from ... (... [...]) In der eckigen Klammer steht die - temporäre oder dauerhafte - IP-Adresse des PC's.

Die Sicherheit für Anwender von Microsoft-Betriebsystemen und -Mail-Programmen, die von unserem Server ihre E-Mail lesen, steigt durch den vorgeschalteten Viren-Check auf unserem Mail-Server. Dennoch würden wir niemals behaupten, die Sicherheit vor Viren über E-Mail sei vollkommen. Es kann immer wieder neue Viren geben, zu denen die Firma Sophos noch kein Update geliefert hat oder wir ein solches noch nicht installiert haben, neue Viren könnten in andere Dokumenttypen verpackt auftreten, die wir ungefiltert durchlassen, auch ein Viren-Check-Programm könnte einen Fehler enthalten.

Deshalb möchten wir Ihnen raten, für von Ihnen verwendete Microsoft-Produkte weiter aktuelle Sicherheits-Patches einzuspielen, die z.B. verhindern, dass ausführbare Anlagen - erkannt an Dateiendungen wie .exe, .com, .pif - automatisch geöffnet, also ausgeführt werden. Und beim manuellen Öffnen von Anlagen sollten Sie weiter Vorsicht walten lassen (siehe oben).

Von nix kütt nix, und auch ein Server-seitiger Viren-Check hat seinen Preis. In unserem Fall ist dieser noch recht gering, weil wir die Prüfung auf dem vorhandenen Server innerhalb der dort installierten Mail-Software (Sun Internet Mail Server - SIMS 4.0) vornehmen können. In der NT-Welt soll es ja wohl üblich sein, für eine solche Aufgabe wieder einen neuen Server zu installieren und zu pflegen, über den der SMTP-Traffic zum eigentlichen Mail-Server durchgeroutet wird.

Das konnten wir uns - wie gesagt - sparen, weil die SIMS-Software nutzbare Schnittstellen für diesen Zweck enthält, die konfiguriert werden mussten und - in ungefähr zwei für diesen Zweck freigeschaufelten Arbeitstagen - mithilfe von 70 Zeilen eigenem Perl-Code mit der Sophos-Installation verbunden werden konnten. Die ersten Einsatzerfahrungen - an einem Tag bei ca. 35.000 Mails etwa 4.500 Anlagen überprüft und 110 Viren gefangen - zeigen zwar, dass die Prozessorlast deutlich steigt, aber bei unserem jetzigen Server-Ausbau mit vier Prozessoren immer noch ausreichende Reserven bleiben.

Insofern ist die obige rhetorische Frage im Moment mit nein zu beantworten: Ein neues Prozessor-Board mit zwei weiteren Prozessoren müssen wir noch nicht bei der Firma Sun ordern.