© Pipop Boosarakumwadi, 123RF

Viren, Trojaner und andere Schädlinge kommen meist huckepack über E-Mails ins Unternehmen. Virenscanner durchleuchten eingehende Post daher auf Ungeziefer. Entsprechende Produkte sind allerdings nicht nur rar, sie unterscheiden sich auch deutlich in ihrer Leistung.

Linux gilt immer noch als recht sicheres Betriebssystem. Mit zunehmendem Einsatz auf Servern und in der Cloud steigt jedoch auch die Anzahl der Linux-Viren und Rootkits. Wichtiger ist: In Unternehmen werkelt häufig ein E-Mail-Server auf Linux-Basis, der die Nachrichten an Windows-Arbeitsplätze weiterreicht. Sicherheitsbewusste Administratoren durchleuchten daher die eintrudelnde Post mit einem Antivirenprogramm und desinfizieren sie bei Bedarf – und zwar sowohl von Linux-, als auch von Windows-Schädlingen.

Die meisten Hersteller von Antivirensoftware konzentrieren sich auf die Windows- und Smartphone-Welten. Linux-Versionen sind nur nach längerer Suche auf der Homepage zu finden, Antiviren-Anwendungen für Linux-Mailserver sind gar noch seltener. Gerade vier Lösungen konnten die Tester ausmachen: Avast Network Security [1], F-Prot Antivirus for Linux Mail Servers [2], Kaspersky Security for Linux Mail Server [3] sowie das von Cisco finanzierte Clam AV [4]. Während die ersten drei jeweils eine dreistellige Lizenzgebühr pro Jahr und System verschlingen, ist das Open-Source-Programm Clam AV kostenlos.

Der Knackpunkt an einer Antivirensoftware ist aber die Erkennungsleistung. Die Sicherheitsexperten von AV-Test [5] haben im August mehreren Linux-Scannern zahlreiche Schädlinge vorgesetzt und die Trefferquote geprüft. Die teilweise recht überraschenden Ergebnisse stellt das Abschnitt “Erkennungsdienstlich” für die vier AV-Programme vor.

Avast Network Security

Die tschechische Firma Avast [1] verkauft unter dem Namen Avast Network Security einen E-Mail-Filter zusammen mit dem hauseigenen On-Demand-Scanner. Der Filter scannt neben dem HTTP-Verkehr auch über POP3 oder IMAP empfangene E-Mails auf Viren (Abbildung 1). Dabei setzt er sich als Proxy zwischen den eigentlichen E-Mail-Server (Mail Transfer Agent, MTA) und das Clientprogramm des Empfängers. Damit analysiert der Filter auch den E-Mail-Verkehr über verschlüsselte Verbindungen: Ruft ein Nutzer seine E-Mails ab, baut sein Clientprogramm zunächst eine Verbindung mit dem Avast-Filter auf. Dieser verbindet sich dann wiederum verschlüsselt mit dem eigentlichen Mailserver.

Abbildung 1: Vorbildlich: Avast aktualisiert die Signaturen bereits bei der Installation des Programmpakets.

Die von dort übertragenen Daten wandern zunächst zum Avast-Filter, der sie mit dem Scanner auf Viren prüft, mit seinem eigenen Zertifikat signiert und dann an den Client weiterreicht (Certificate Resigning). Die Clients müssen folglich dem Zertifikat des Avast-Filters und nicht dem des E-Mail-Servers vertrauen. Zum Avast-Filter mitgelieferte Skripte stellen bei der Installation die entsprechenden Zertifikate aus, die der Administrator dann an die Clients verteilt. Ab der Linux-Kernelversion 3.8 untersucht der Avast-Filter auch IPv6-Verkehr.

Der On-Demand-Scanner aus demselben Haus firmiert unter dem Namen Avast Core Security. Er kommt in Form eines Kommandozeilen-Programms, das der Admin manuell aufruft oder über die Amavis-Schnittstelle in einen entsprechenden Mailserver integriert.

Die Avast Network Security unterstützt derzeit offiziell nur Centos 6 und Debian 7. Darüber hinaus soll die Software auch auf RHEL 6 und Ubuntu 12.04 funktionieren. Der On-Demand-Scanner Avast Core Security läuft zudem noch unter Suse Linux Enterprise Server 11 und Open Suse 13.1. In jedem Fall haben Käufer die Wahl zwischen einer 32- und einer 64-Bit-Version.

Für die genannten Distributionen stellt Avast seine Software in entsprechenden Repositories bereit. Verzichten müssen Käufer auf universelle Binärpakete. Preise nennt Avast nicht, sondern erstellt nur Angebote auf Nachfrage. Immerhin lässt sich nach einer Registrierung eine Testversion ausprobieren, die nach 30 Tagen den Dienst einstellt. Das vergleichbare Produkt für Windows, die Avast Email Server Security, beginnt bei 225 Euro pro Jahr und Server.

Der eigentliche Scanner steckt im Paket »avast« , der Avast-Filter im separaten Paket »avast-proxy« . Beide Pakete bringen passende Sys-V-Initskripte mit. Der Virenscanner selbst besteht aus dem Daemon »avast« , der die eigentliche Prüfung übernimmt, und dem steuernden Kommandozeilentool »scan« . Der Daemon erhält seine Steuerbefehle über einen Unix-Socket, wozu er wiederum entsprechende Rechte benötigt. Der Virenscanner untersucht auch Archive, wobei Avast die unterstützten Formate nicht dokumentiert.

Admins leiten den Netzwerkverkehr durch den Avast-Filter. Die dazu notwendigen IPtables-Regeln listet die gerade mal 17-seitige Anleitung [6] auf. Diese Technical Documentation besitzt den Charakter einer Referenz, enthält aber alle wesentlichen Informationen. Hinzu kommen noch einmal Manpages mit den gleichen Angaben. Die Avast-Programme übergeben ihre Statusmeldungen an das Syslog. Die Signaturen aktualisiert ein entsprechendes Skript, einen passenden Cronjob richten die Pakete automatisch bei ihrer Installation ein. Die Virendefinitionen kann ein Unternehmen zudem auf einem eigenen Spiegelserver ablegen.

Clam AV

Zu den bekanntesten Antiviren-Programmen zählt das quelloffene und von Cisco unterstützte Clam AV [4]. Im Gegensatz zur Konkurrenz steht es unter der GPL und liegt daher auch in den Repositories von Ubuntu, Open Suse und anderer großer Distributionen.

Clam AV bringt ein Milter-Interface mit, das primär für eine Integration in Sendmail sorgen soll. Die Antivirensoftware bietet aber auch einen On-Demand-Scanner in Form eines Kommandozeilen-Programms (Abbildung 2). Zusätzlich existiert ein Clam-AV-Daemon, der im Hintergrund über einen Unix- oder TCP-Socket Scanaufträge annimmt. Diese Dienste nutzt auch der Milter-Filter, der es erlaubt, eine Whitelist anzulegen: Alle in ihr notierten Absenderadressen lässt der Filter ohne Virenscan durch. Dabei ist der Einsatz regulärer Ausdrücke erlaubt.

Abbildung 2: Der On-Demand-Scanner von Clam AV liefert am Ende eine kleine Statistik über den Scanprozess.

Auf Wunsch ergänzt der Filter einen Eintrag im E-Mail-Header, der das Ergebnis des Scanvorgangs festhält. Entdeckt der Filter eine infizierte Nachricht, kann er ein beliebiges externes Programm starten, dem der Filter ein paar Metadaten übergibt. Die Entwickler warnen jedoch davor, dass dies die Verarbeitung massiv ausbremsen könne.

Die Clam-AV-Komponenten laufen unter dem Useraccount »clamav« , der wiederum der Gruppe »clamav« angehören muss. Über ein API lässt sich Clam AV zudem in eigene Programme einbinden. Die eigentlichen Erkennungsroutinen laufen in einem eingebauten Bytecode-Interpreter ab. So steuern Virenexperten schnell eigene Erkennungsroutinen bei und bauen diese ein.

Clam AV erkennt viele Dateiformate und findet etwa ganz gezielt Makroviren in MS-Office-Dokumenten und Malware in Postfächern. Zudem analysiert Clam AV selbst dann Elf-Binärprogramme, wenn die Entwickler ihren Code absichtlich mit Tools wie Sue oder Y0da Cryptor verschleiern. Auch öffnet Clam AV exotische Windows-Archivformate, etwa Cabinet, CHM, Binhex und Installshield.

Die Signaturen aktualisiert das separate Tool »freshclam« . Es lässt sich auch als Daemon starten und erneuert dann selbstständig im Hintergrund mehrfach am Tag die Signaturen (Abbildung 3). Die Frequenz gibt der Anwender in einer Konfigurationsdatei vor.

Abbildung 3: Clam AV brauchte fast eine halbe Stunde, um die Signaturen zu aktualisieren.

Die Online-Dokumentation [7] besteht im Wesentlichen aus einer Installations- und Upgrade-Anleitung, einigen Howtos sowie FAQs. Zusätzlich stellen die Entwickler ein Clam-AV-Manual als PDF-Datei [8] bereit, das auf 49 Seiten die Bedienung erklärt.

F-Prot Antivirus for Linux Mail Servers

Das mittlerweile zum Cyren-Konzern [9] gehörende F-Prot Antivirus [2] kostet für ein bis zehn User pro Jahr 130 Euro. Bildungseinrichtungen und gemeinnützige Organisationen erhalten auf Anfrage einen Rabatt. Wie der Konkurrenten Avast besteht F-Prot Antivirus for Linux Mail Servers aus einem Paket mit mehreren Anwendungen. Dazu zählen der F-Prot Antivirus On-Demand-Scanner, ein On-Access-Scanner, ein Updateprogramm für die Signaturen und ein spezieller E-Mail-Scanner. Letzterer lässt sich über Plugins in “alle populären E-Mail-Server” integrieren. Bereit stehen dabei ein Milter-Interface für Sendmail und Postfix sowie ein Plugin für Qmail.

F-Prot Antivirus for Linux Mail Servers läuft laut Hersteller “auf den meisten Linux-Distributionen einschließlich Suse, Red Hat und Debian”. Voraussetzungen sind lediglich die Glibc ab Version 2.2.5 und ein Perl-Interpreter ab Version 5.8. Hinzu kommen einige Perl-Module, allen voran »MIME::Base64« und »MIME::QuotedPrint« .

Anders als die Konkurrenz soll der Scanner auf Systemen mit den Prozessorarchitekturen x86, Sun Sparc und IBM Risc (RS/6000) laufen. Auf den Downloadseiten [10] wartete bei Redaktionsschluss aber nur eine x86-Fassung für 64-Bit-Systeme. Die neueste Version 6.2.3 stammt vom 9. Januar 2013, die mitgelieferte Dokumentation sogar noch aus dem Jahr 2012. Sie besteht aus einer Readme-Datei, Manpages und ein paar HTML-Seiten, die als Referenz dienen.

F-Prot Antivirus steckt in einem kompakten Tar.gz-Archiv. Der Administrator installiert die Antivirensoftware über ein mitgeliefertes Perl-Skript. Der Hersteller legt Sys-V-Initskripte für die Distributionen Debian, Mandriva, Red Hat, Slackware und Suse sowie für BSD und Sun OS bei.

Kern des F-Prot Antivirus für Mailserver ist der Mailscanner »scan-mail.pl« . Technisch besteht er aus Perl-Skripten, die auf dem Anomy Sanitizer [11] aufbauen. Der hilft dem Mailscanner dabei, eine Multipart-Mime-Nachricht zu dekodieren und auf Viren zu überprüfen. Stößt der Scanner auf einen Virus, entfernt er ihn und tackert den gesäuberten Anhang wieder an die Mail.

Kann der Scanner der Schadsoftware nicht den Garaus machen, löscht er den Anhang und weist den Empfänger mit einer Textnachricht darauf hin. In jedem Fall erhält der Empfänger den Anhang nur, wenn der Administrator das Dateiformat erlaubt hat. Die durchlaufenden oder entfernten Anhänge speichert F-Prot auf Wunsch als Backup. Den Header von geprüften E-Mails erweitert F-Prot um einen eigenen Eintrag. Auf diese Weise können nachgelagerte Firewalls ungeprüfte Nachrichten abweisen.

Das komplette Verfahren funktioniert nur, wenn ein MTA die eingehenden E-Mails »scan-mail.pl« zuführt. Das Installationsskript richtet Sendmail, Procmail und Qmail automatisch passend ein (Abbildung 4). Je nach MTA gibt sich »scan-mail.pl« als Milter- oder Postfix-Plugin aus. Darüber hinaus arbeitet das Tool als SMTP-Proxy oder nimmt zu scannende Daten über Stdin an. In der zuletzt genannten Betriebsart lässt es sich zum Beispiel mit Procmail nutzen. Wer in die Konfiguration manuell eingreifen möchte oder muss, findet in der beiliegenden HTML-Dokumentation entsprechende Hinweise.

Abbildung 4: Das Installationsskript von F-Prot lädt die Signaturen herunter, erstellt einen Cronjob und bindet den Scanner in Qmail, Postfix und Sendmail ein.

Zu dem Paket F-Prot Antivirus for Linux Mail Servers gehört auch der Preloadable Library Call Wrapper »fp.so« . Er fängt auf Wunsch alle Aufrufe der Systemfunktion »open()« ab, führt dann einen Virenscan für die entsprechende Datei durch und ruft erst dann die »open()« -Funktion in der »libc()« auf. Sollte in der Datei ein Virus liegen, blockt »fp.so« den Zugriff. Ebenfalls Teil des F-Prot Antivirus ist der Filesystem-Monitor »fpmon« , der Verzeichnisse überwacht und die Dateien darin automatisch einem Virenscan unterzieht.

Zusätzlich zum On-Demand-Scanner »fpscan« (Abbildung 5) existiert schließlich noch der Daemon »fpscand« . Dieser läuft im Hintergrund und nimmt über einen Unix-Port Scanaufträge entgegen. Der Virenscanner berücksichtigt auch Archive und komprimierte (Programm-)Dateien, die dabei im Einzelnen unterstützten Formate verrät der Hersteller allerdings nicht.

Abbildung 5: Auch der On-Demand-Scanner von F-Prot fasst seine Ergebnisse in einer Statistik zusammen.

Die Signaturen aktualisiert das Programm »fpupdate« . Damit dies regelmäßig geschieht, richtet das Installationsskript einen entsprechenden Cronjob ein. Ein eigener Mirror für Signaturen lässt sich nicht aufsetzen, die erzeugten Logs der Tools landen im Systemlog.

Kaspersky Security for Linux Mail Server

Die Webseite von Kaspersky [3] bewirbt die Antivirensoftware mit einer geringen “Anzahl von Fehlalarmen” und zahlreichen Buzzwörtern. Zum Preis der Lizenz pro Server gibt es dagegen nur die Auskunft, er sei abhängig von Anzahl und Art der Lizenz.

Anders als die Konkurrenz erkennt und blockiert Kaspersky Security for Linux Mail Server auch Spam- und Phishing-E-Mails. Als Grundlagen dienen zum einen von Kaspersky bereitgestellte Antispam-Signaturen, zum anderen befragt die Software bekannte Blacklisten im Internet (DNSBL- und Surbl-Server). Als Spam erkannte E-Mails blockt das Tool und verschiebt sie in die Quarantäne. Das Scan-Ergebnis schreibt es in Form eines Status in die Betreffzeile der E-Mail. Infizierte Dateien versucht das Tool zu desinfizieren. Ein On-Demand-Scanner ist ebenfalls an Bord.

Kaspersky bietet Lizenznehmern die Teilnahme an der eigenen Cloud an, dem Kaspersky Security Network (KSN, Abbildung 6). Alle angeschlossenen Teilnehmer senden regelmäßig Statistiken in die Cloud. Diese bereitet die Daten auf und erstellt für die Nachrichten und Dateien eine Reputation.

Abbildung 6: Wer die Funktionen des Kaspersky-Netzwerks nutzen möchte, muss zahlreiche Daten in die Cloud übertragen. Persönliche Daten sammelt Kaspersky aber nach eigenen Angaben nicht.

Auf dieser Basis möchte Kaspersky vor allem Spamwellen frühzeitig und effektiv erkennen. Die an die Cloud angeschlossenen Systeme können dann diese Informationen wiederum nutzen, um Spam noch effizienter zu blocken sowie Fehlalarme (False Positives) zu reduzieren. Kaspersky versichert, dass die Cloud keine persönlichen Daten sammelt, verarbeitet und speichert. Die Teilnahme am KSN ist zudem optional, sie lässt sich jederzeit widerrufen beziehungsweise neu aktivieren.

Administratoren dürfen Filter anlegen und so etwa bestimmte Dateiformate in E-Mails komplett verbieten oder umgekehrt sogar gezielt Anhänge von einem Virenscan ausnehmen. So legen sie unter anderem fest, was mit Dateien passiert, die das Produkt nicht desinfizieren kann. Die Filter legen sie zudem abhängig von Benutzergruppen und Empfängern an. Beispielsweise ließe sich ein verdächtiger E-Mail-Anhang grundsätzlich entfernen, sofern er für einen Administrator bestimmt ist.

Des Weiteren kann der Admin Black- und Whitelists für nicht vertrauenswürdige respektive bekannte Quellen erstellen. Die Software unterstützt dabei IPv6 und reguläre Ausdrücke. Die Mitarbeiter eines Unternehmens dürfen eigene Black- und Whitelists anlegen. Zudem kann der Admin ihnen den Zugriff auf die in Quarantäne verschobene Schadsoftware gestatten. Dazu muss er in der Software entsprechende Benutzerkonten anlegen. Alternativ erfolgt eine Zugriffskontrolle über Open LDAP und Active Directory. Die in diesen Verzeichnisdiensten hinterlegten Einträge lassen sich zudem als Basis für die Filter verwenden.

Kaspersky Security for Linux Mail Server integriert sich laut Eigenwerbung in alle “gängigen Linux-basierten Mail Transfer Agents (MTAs)”. Offiziell unterstützt Kaspersky jedoch nur die üblichen Verdächtigen Postfix, Sendmail, Qmail und Exim. Andere MTAs binden Admins über die Amavis-Schnittstelle an.

Komponenten

Kaspersky installiert sämtliche Komponenten nach »/opt/kaspersky« . Das Startskript »klmsdb« fährt im Hintergrund eine eigene PostgreSQL-Datenbank (»Klms-postgres« ) hoch. Der Scanner »klms« läuft ebenfalls als Daemon (»Klms-watchdog« ) und lauscht an einem TCP-Port oder Unix-Socket. Wer das komplette Antivirensystem über die Kommandozeile verwalten möchte, greift zu dem Tool »klms-control« , der On-Demand-Scanner für die Konsole heißt »kavscanner« .

Ausgemusterte oder als potenziell gefährlich eingestufte Nachrichten landen verschlüsselt in einem Backupspeicher, der standardmäßig 1 GByte an Daten aufnimmt. Ist der Speicherplatz aufgebraucht, löscht Kaspersky Security for Linux Mail Server automatisch die ältesten Nachrichten. Welche Nachrichten wann im Backupspeicher landen, regeln wiederum entsprechende Filter. Der Administrator kann Nachrichten aus dem Backupspeicher über »klms-control« nachträglich löschen, sichern oder zustellen lassen.

Das Kaspersky-Programm protokolliert seine Aktionen und Fehler im Syslog. Treten Fehler auf, können Administratoren ergänzend einen ausführlichen, so genannten Protokollierungsbericht anfordern. Daneben erzeugt das Tool auf Wunsch PDF-Reports und sendet dem Administrator regelmäßig eine Statistik zu (Abbildung 7).

Abbildung 7: Kaspersky generiert auf Wunsch ausführliche Statistiken über den Scanvorgang.

Auf Wunsch benachrichtigt Kaspersky Security den Admin bei bestimmten Ereignissen, unter anderem Fehlern beim Virenscan oder veralteten Signaturen. Bei gefundener Malware oder ausgefilterten E-Mails benachrichtigt das Tool bei Bedarf den Absender, den Empfänger und den Admin. Meldungen und statistische Daten liefert die Software via Simple Network Management Protocol (SNMP) an entsprechende Monitoringsoftware.

Administratoren verwalten Kasperskys Security-Sool auf der Kommandozeile oder über eine Weboberfläche, die auch Statusinformationen über aussortierte Malware liefert. Zudem bietet es ein Security Center an, über das ein Admin mehrere Mailserver verwaltet.

Updates für die Virensignaturen und Spaminformationen ruft der Administrator per Hand ab oder spielt sie automatisiert ein. Standardmäßig sucht Kasperskys Security-Lösung alle fünf Minuten nach Updates. Die Cloud liefert Aktualisierungen über einen Push-Dienst aus – wenn nötig sogar im Minutentakt, sodass die Software nicht ständig von sich aus nach Aktualisierungen fahnden muss. Die in Quarantäne verschobenen E-Mails überprüft das Werkzeug noch einmal, wenn die Cloud neue Informationen über Spam liefert. Admins dürfen die Signaturen auch auf einem eigenen Spiegelserver vorhalten.

Kasperskys Mailserver-Software steht als fertiges Paket im RPM- und Deb-Format bereit. Die deutsche Übersetzung, die Webkonsole und ein Plugin für das Security Center kommen in separaten Paketen. Kaspersky unterstützt RHEL 6.6 Server und RHEL 7, Centos 6.6, SLES 11 SP3, Ubuntu Server 12.04 und 14.04 sowie Debian 6.0.10 und 7.7. Die Software gibt es nur als 32-Bit-Version, die Weboberfläche verlangt zudem Apache 2.2 oder 2.4.

Nach der Installation der Pakete muss der Admin noch ein Installationsskript aufrufen, das unter anderem den Zugang zum KSN einrichtet und die Konfiguration von Postfix, Sendmail, Qmail oder Exim anpasst (Abbildung 8). In den Bootprozess bindet er die Antivirenlösung über beiliegende Sys-V-Initskripte ein.

Abbildung 8: Bei Kaspersky muss der Administrator noch explizit ein Installationsskript aufrufen, das unter anderem die Datenbank, das Verzeichnis für Backups und den Port für den Scanner abfragt.

Die eigentlichen E-Mails verarbeitet die Komponente »Klms-watchdog« . Die wiederum besteht aus mehreren Modulen, die jeweils eine ganz bestimmte Aufgabe erledigen. So prüft etwa die AV-Engine die Nachrichten auf Viren, während die AS-Engine sie auf Spam abklopft. Ebenfalls Teil des »Klms-watchdog« ist ein Updatemodul, das unter anderem die Virensignaturen auf den aktuellen Stand bringt. Einstellungen, Berichte und weitere Metadaten merkt sich die Datenbank »Klms-postgres« .

Die von Kaspersky Security for Linux Mail Server verarbeiteten Nachrichten erhalten mehrere Einträge im Header der Nachricht. Damit sind sie zum einen als solche erkennbar. Zum anderen verrät der Header, mit welcher Wahrscheinlichkeit es sich um Spam handelt und welche Aktionen die Antivirensoftware umgesetzt hat.

Administratoren erhalten zudem ein 197 Seiten starkes Administrationshandbuch [12], das die Installation, Konfiguration und Verwaltung ausführlich erläutert. Die deutsche Übersetzung sollten die Autoren dringend sprachlich überarbeiten und vor allem einer Grammatikprüfung unterziehen. Darüber hinaus betreibt Kaspersky auf seiner Website [3] eine Wissensdatenbank mit Antworten auf häufige Fragen sowie ein Forum.

Erkennungsdienstlich

AV-Test untersuchte noch mehr Lösungen als die hier erwähnten, eine komplette Übersicht bietet unsere Schwesterzeitschrift “Linux User” auf [13]. Die Signaturdateien stammten bei allen Virenscannern im Test vom 22. Juli 2015.

Die Erkennungsraten von Clam AV in der Version 0.98.7/20547 sind erschreckend desaströs: Von der vorgesetzten Windows-Malware erkannte der Virenscanner gerade einmal 15,33 Prozent. Bei Linux-Schädlingen schlug sich das Antivirenprogramm etwas besser mit einer Erkennungsrate von 66,11 Prozent – was jedoch immer noch weit hinter der Konkurrenz liegt. Probleme hatte Clam AV vor allem mit in Rar- und Gzip-Archiven verpackter Malware.

AV-Test hat die Avast File Server Security in der Version 1.2.1 untersucht. Da dieses Paket den gleichen Virenscanner wie die Avast Network Security nutzt, lassen sich die Resultate im Prinzip übertragen. Windows-Malware erkannte der Scanner zu 99,73 Prozent und sogar restlos alle ihm vorgeworfenen Viren, Würmer und Bots. Bei Linux-Malware fiel das Ergebnis schlechter aus, blieb aber auf hohem Niveau: Der Avast-Scanner erkannte 98,33 Prozent der Viren. Probleme bereiteten ihm vor allem in Gzip- und Rar-Archive verpackte Schadsoftware. Hier sank die Trefferquote auf 81,52 beziehungsweise 88,49 Prozent.

Im AV-Test trat der On-Demand-Scannner F-Prot Antivirus for Linux in der Version 6.2.39 an, der auch die Basis von F-Prot Antivirus for Linux Mail Servers bildet. Die Ergebnisse waren ähnlich schlecht wie die des Konkurrenten Clam AV: Von den vorgesetzten Windows-Schädlingen erkannte F-Prot nur 22,07 Prozent. Besonders schlecht war die Erkennung von Backdoors (14,21 Prozent) und Bots (22,62 Prozent). Konkurrent Avast zeigt, dass es auch besser geht: Er identifizierte 99,75 Prozent aller ihm vorgesetzten Backdoors und alle Bots.

Auf Linux-Malware losgelassen fällt F-Prot sogar noch hinter den Clam-AV-Scanner zurück: Gerade mal 22,97 Prozent aller getesteten Linux-Schädlinge hat Cyrens Scanner entdeckt. Aber es gibt auch kleine Ausreißer: So erkannte er in Archive verpackte Linux-Schädlinge deutlich besser als Clam AV. Bei Rar-Archiven konnte F-Prot 67,34 Prozent der Malware aufstöbern, Clam AV nur 10,74 Prozent. Verseuchte Elf-Dateien erkannte F-Prot aber nur zu 12,20 Prozent, Malware in vom Standard abweichenden Elf-Dateien sogar nur zu 1,67 Prozent.

Der Kaspersky Security for Linux Mail Server schlug sich in der Version 8.0.3.265 im AV-Test ähnlich gut wie der kommerzielle Kollege von Avast. Windows-Malware erkannte er zu 99,78 Prozent, Linux-Schädlinge zu 98,77 Prozent. Probleme hatte der Kaspersky-Scanner vor allem mit Rar-Archiven: Darin versteckte Malware deckte er nur zu 74,82 Prozent auf – Konkurrent Avast kann das wesentlich besser.

Ebenfalls verbesserungswürdig ist die Identifizierung von Potentially Unwanted Applications (PUA). Zwar handelt es sich dabei nicht um Viren, die in diese Kategorie fallenden Anwendungen sind aber in Unternehmen durchweg unerwünscht – etwa Fernwartungssoftware oder Hackertools. Während Avast rund 85 Prozent der von AV-Test als PUA eingestuften Programme als solche erkannte, meldete sich Kaspersky nur bei 50 Prozent. Eine gute Nachricht gab es dann doch für alle vier untersuchten Scanner: Keiner lieferte laut AV-Test einen Fehlalarm (False Positive).

Wertung

Die Beliebtheit von Clam AV steht in keinem Verhältnis zur miserablen Erkennungsleistung (Abbildung 9). Unter der gleichen Insuffizienz leidet F-Prot, für das Cyren seine Kunden zudem jährlich zur Kasse bittet. Die Entwicklung von F-Prot für Linux stagniert zudem seit 2013. Das ist bedauerlich, liegen dem Paket doch interessante Tools bei, etwa der Preloadable Library Call Wrapper.

Abbildung 9: Die Erkennungsraten der von AV-Test untersuchten Antivirenlösungen fallen erstaunlich unterschiedlich aus.

Avast Network Security begeistert mit einer durchweg guten, wenn auch gerade bei Linux-Schädlingen noch zu verbessernden Erkennungsleistung. Die Käufer der Software erhalten neben dem Scanner auch einen kompletten Netzwerkfilter, der sich allerdings noch vor den MTA setzt und somit für den Blick in verschlüsselte Verbindungen einige Tricks anwenden muss.

Kasperskys Mailserver-Software bietet eine gute Erkennungsrate und viele Funktionen sowie interessante Filteroptionen, lässt sich dafür aber auch etwas komplizierter einrichten und warten.