Open Source im professionellen Einsatz
Linux-Magazin 11/2015
© Pipop Boosarakumwadi, 123RF

© Pipop Boosarakumwadi, 123RF

Antivirensoftware für Mailserver im Vergleich

Durchgangskontrolle

Viren, Trojaner und andere Schädlinge kommen meist huckepack über E-Mails ins Unternehmen. Virenscanner durchleuchten eingehende Post daher auf Ungeziefer. Entsprechende Produkte sind allerdings nicht nur rar, sie unterscheiden sich auch deutlich in ihrer Leistung.

1118

Linux gilt immer noch als recht sicheres Betriebssystem. Mit zunehmendem Einsatz auf Servern und in der Cloud steigt jedoch auch die Anzahl der Linux-Viren und Rootkits. Wichtiger ist: In Unternehmen werkelt häufig ein E-Mail-Server auf Linux-Basis, der die Nachrichten an Windows-Arbeitsplätze weiterreicht. Sicherheitsbewusste Administratoren durchleuchten daher die eintrudelnde Post mit einem Antivirenprogramm und desinfizieren sie bei Bedarf – und zwar sowohl von Linux-, als auch von Windows-Schädlingen.

Die meisten Hersteller von Antivirensoftware konzentrieren sich auf die Windows- und Smartphone-Welten. Linux-Versionen sind nur nach längerer Suche auf der Homepage zu finden, Antiviren-Anwendungen für Linux-Mailserver sind gar noch seltener. Gerade vier Lösungen konnten die Tester ausmachen: Avast Network Security [1], F-Prot Antivirus for Linux Mail Servers [2], Kaspersky Security for Linux Mail Server [3] sowie das von Cisco finanzierte Clam AV [4]. Während die ersten drei jeweils eine dreistellige Lizenzgebühr pro Jahr und System verschlingen, ist das Open-Source-Programm Clam AV kostenlos.

On-Demand oder On-Access?

Muss der Admin einen Virenscanner manuell starten, handelt es sich um einen On-Demand-Scanner. Ein solcher lässt sich zwar zeitgesteuert per Cronjob anwerfen, in der Regel untersucht er aber nur bereits auf der Festplatte vorhandene Dateien.

Demgegenüber läuft ein On-Access-Scanner dauerhaft im Hintergrund und scannt nicht nur alle Dateien, sondern idealerweise auch den Netzwerkverkehr.

Der Knackpunkt an einer Antivirensoftware ist aber die Erkennungsleistung. Die Sicherheitsexperten von AV-Test [5] haben im August mehreren Linux-Scannern zahlreiche Schädlinge vorgesetzt und die Trefferquote geprüft. Die teilweise recht überraschenden Ergebnisse stellt das Abschnitt "Erkennungsdienstlich" für die vier AV-Programme vor.

Avast Network Security

Die tschechische Firma Avast [1] verkauft unter dem Namen Avast Network Security einen E-Mail-Filter zusammen mit dem hauseigenen On-Demand-Scanner. Der Filter scannt neben dem HTTP-Verkehr auch über POP3 oder IMAP empfangene E-Mails auf Viren (Abbildung 1). Dabei setzt er sich als Proxy zwischen den eigentlichen E-Mail-Server (Mail Transfer Agent, MTA) und das Clientprogramm des Empfängers. Damit analysiert der Filter auch den E-Mail-Verkehr über verschlüsselte Verbindungen: Ruft ein Nutzer seine E-Mails ab, baut sein Clientprogramm zunächst eine Verbindung mit dem Avast-Filter auf. Dieser verbindet sich dann wiederum verschlüsselt mit dem eigentlichen Mailserver.

Abbildung 1: Vorbildlich: Avast aktualisiert die Signaturen bereits bei der Installation des Programmpakets.

Die von dort übertragenen Daten wandern zunächst zum Avast-Filter, der sie mit dem Scanner auf Viren prüft, mit seinem eigenen Zertifikat signiert und dann an den Client weiterreicht (Certificate Resigning). Die Clients müssen folglich dem Zertifikat des Avast-Filters und nicht dem des E-Mail-Servers vertrauen. Zum Avast-Filter mitgelieferte Skripte stellen bei der Installation die entsprechenden Zertifikate aus, die der Administrator dann an die Clients verteilt. Ab der Linux-Kernelversion 3.8 untersucht der Avast-Filter auch IPv6-Verkehr.

Der On-Demand-Scanner aus demselben Haus firmiert unter dem Namen Avast Core Security. Er kommt in Form eines Kommandozeilen-Programms, das der Admin manuell aufruft oder über die Amavis-Schnittstelle in einen entsprechenden Mailserver integriert.

Die Avast Network Security unterstützt derzeit offiziell nur Centos 6 und Debian 7. Darüber hinaus soll die Software auch auf RHEL 6 und Ubuntu 12.04 funktionieren. Der On-Demand-Scanner Avast Core Security läuft zudem noch unter Suse Linux Enterprise Server 11 und Open Suse 13.1. In jedem Fall haben Käufer die Wahl zwischen einer 32- und einer 64-Bit-Version.

Für die genannten Distributionen stellt Avast seine Software in entsprechenden Repositories bereit. Verzichten müssen Käufer auf universelle Binärpakete. Preise nennt Avast nicht, sondern erstellt nur Angebote auf Nachfrage. Immerhin lässt sich nach einer Registrierung eine Testversion ausprobieren, die nach 30 Tagen den Dienst einstellt. Das vergleichbare Produkt für Windows, die Avast Email Server Security, beginnt bei 225 Euro pro Jahr und Server.

Der eigentliche Scanner steckt im Paket »avast« , der Avast-Filter im separaten Paket »avast-proxy« . Beide Pakete bringen passende Sys-V-Initskripte mit. Der Virenscanner selbst besteht aus dem Daemon »avast« , der die eigentliche Prüfung übernimmt, und dem steuernden Kommandozeilentool »scan« . Der Daemon erhält seine Steuerbefehle über einen Unix-Socket, wozu er wiederum entsprechende Rechte benötigt. Der Virenscanner untersucht auch Archive, wobei Avast die unterstützten Formate nicht dokumentiert.

Admins leiten den Netzwerkverkehr durch den Avast-Filter. Die dazu notwendigen IPtables-Regeln listet die gerade mal 17-seitige Anleitung [6] auf. Diese Technical Documentation besitzt den Charakter einer Referenz, enthält aber alle wesentlichen Informationen. Hinzu kommen noch einmal Manpages mit den gleichen Angaben. Die Avast-Programme übergeben ihre Statusmeldungen an das Syslog. Die Signaturen aktualisiert ein entsprechendes Skript, einen passenden Cronjob richten die Pakete automatisch bei ihrer Installation ein. Die Virendefinitionen kann ein Unternehmen zudem auf einem eigenen Spiegelserver ablegen.

Clam AV

Zu den bekanntesten Antiviren-Programmen zählt das quelloffene und von Cisco unterstützte Clam AV [4]. Im Gegensatz zur Konkurrenz steht es unter der GPL und liegt daher auch in den Repositories von Ubuntu, Open Suse und anderer großer Distributionen.

Clam AV bringt ein Milter-Interface mit, das primär für eine Integration in Sendmail sorgen soll. Die Antivirensoftware bietet aber auch einen On-Demand-Scanner in Form eines Kommandozeilen-Programms (Abbildung 2). Zusätzlich existiert ein Clam-AV-Daemon, der im Hintergrund über einen Unix- oder TCP-Socket Scanaufträge annimmt. Diese Dienste nutzt auch der Milter-Filter, der es erlaubt, eine Whitelist anzulegen: Alle in ihr notierten Absenderadressen lässt der Filter ohne Virenscan durch. Dabei ist der Einsatz regulärer Ausdrücke erlaubt.

Abbildung 2: Der On-Demand-Scanner von Clam AV liefert am Ende eine kleine Statistik über den Scanprozess.

Auf Wunsch ergänzt der Filter einen Eintrag im E-Mail-Header, der das Ergebnis des Scanvorgangs festhält. Entdeckt der Filter eine infizierte Nachricht, kann er ein beliebiges externes Programm starten, dem der Filter ein paar Metadaten übergibt. Die Entwickler warnen jedoch davor, dass dies die Verarbeitung massiv ausbremsen könne.

Die Clam-AV-Komponenten laufen unter dem Useraccount »clamav« , der wiederum der Gruppe »clamav« angehören muss. Über ein API lässt sich Clam AV zudem in eigene Programme einbinden. Die eigentlichen Erkennungsroutinen laufen in einem eingebauten Bytecode-Interpreter ab. So steuern Virenexperten schnell eigene Erkennungsroutinen bei und bauen diese ein.

Clam AV erkennt viele Dateiformate und findet etwa ganz gezielt Makroviren in MS-Office-Dokumenten und Malware in Postfächern. Zudem analysiert Clam AV selbst dann Elf-Binärprogramme, wenn die Entwickler ihren Code absichtlich mit Tools wie Sue oder Y0da Cryptor verschleiern. Auch öffnet Clam AV exotische Windows-Archivformate, etwa Cabinet, CHM, Binhex und Installshield.

Die Signaturen aktualisiert das separate Tool »freshclam« . Es lässt sich auch als Daemon starten und erneuert dann selbstständig im Hintergrund mehrfach am Tag die Signaturen (Abbildung 3). Die Frequenz gibt der Anwender in einer Konfigurationsdatei vor.

Abbildung 3: Clam AV brauchte fast eine halbe Stunde, um die Signaturen zu aktualisieren.

Die Online-Dokumentation [7] besteht im Wesentlichen aus einer Installations- und Upgrade-Anleitung, einigen Howtos sowie FAQs. Zusätzlich stellen die Entwickler ein Clam-AV-Manual als PDF-Datei [8] bereit, das auf 49 Seiten die Bedienung erklärt.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 8 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Grippe-Schleuse

    E-Mails auf Viren zu prüfen ist üblicherweise Sache des SMTP-Gateway oder eines Servers direkt dahinter. Magazin-Autor Charly verfrachtet heute den Schutz aber ans andere Ende, nämlich an die Verbindungen der Clients zu ihrem SMTP- und POP-Server.

  • Bitparade

    Von Viren infizierte Windows-Rechner wiederzubeleben gehört zum Adminalltag. Unterstützung bieten die Linux-Live-Distributionen von Kaspersky, F-Secure und Avira. Das ebenfalls getestete Trinity-Rettungssystem von Open-Source-Entwicklern brachte das Windows-System dagegen erst richtig in Gefahr.

  • ClamAV 0.97 RC mit Windows-Support

    Der nun veröffentlichte Release Candidate des freien Viren- und Malware-Scanners ClamAV bringt laut den Entwicklern "kompletten Windows-Support" mit.

  • Antivirus Live-CD mit aktualisiertem Unterbau und Scanner

    Wie ihr Name bereits andeutet, ist die Antivirus Live CD ein kleines Live-System, das den Virenscanner ClamAV mitbringt und mit diesem ein System auf Schadsoftware untersucht. Die neue Version betreibt Produktpflege.

  • Mobile Security

    Für kleine Firmen erscheint ein BYOD-rundum-Management illusorisch. Mobile-Security-Software von der Stange überwacht Software-Installationen und begrenzt den Schaden bei Diebstahl oder Verlust.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.