Firmenlink

ESET

 

Thunderbird: Virenschutz ja oder nein?

Mozilla Thunderbird bietet eine Option, Virenscannern das Scannen der Mails zu erlauben. Das kann eine gute Idee sein, aber auch eine sehr schlechte - oder eine nutzlose.

von Gaby Salvisberg 25.09.2014

Falls Ihnen der nachfolgende Text zu lang erscheint, lesen Sie das Fazit. Vielleicht wollen Sie sich dem Text dann trotzdem widmen. 

Ausgangslage

Antivirensoftware kann nicht nur einzelne schädliche Dateien scannen, sondern kann auch den Datenverkehr auf bestimmten Netzwerk-Ports überwachen. Wenn etwa Thunderbird über die typischen für Mails vorgesehenen Ports die Post abholt, könnte man darin via Einstellungen/Sicherheit/Anti-Virus den Zugang für die Antivirensoftware erlauben. Die würde dann verseuchte Mails abfangen, bevor diese im Posteinang landen.

Eigentlich eine nette Idee, nur funktioniert das üblicherweise nicht bei verschlüsseltem Verkehr. Und der Virenscanner kann in Sachen Mailverkehr auch sonst ganz schön viel Ärger machen. Hier die wichtigsten Problempunkte.

Problem 1 «Nutzlosigkeit»: Virenscan während des Mail-Downloads nützt nichts, weil der Mailverkehr heute meistens verschlüsselt transportiert wird. Und glauben Sie uns: Bloss wegen des Virenscanners auf Verschlüsselung zu verzichten, ist auch keine Option. Das wäre fast, wie wenn Sie Ihre Haustüre entfernten, weil der Wind ja eh durch den Briefkastenschlitz zieht.

Problem 2 «Inbox in Gefahr»: Sie holen also Ihre Mails weiterhin verschlüsselt ab. Das ist gut. Sobald die Mails in Ihrem Thunderbird-Posteingang angekommen sind, sind sie (meistens) wieder unverschlüsselt (ausgenommen PGP/GPG-Mails, die aber noch selten sind). Die Inbox ist bei Thunderbird (wie auch bei Outlook) nicht etwa ein physischer Ordner mit ganz vielen kleinen Maildateien, sondern eine grosse Datenbankdatei. Der Virenscanner wird jetzt also keine einzelnen Mails scannen, sondern die ganze Inbox-Datei. Und was macht er mit dieser, wenn er darin einen Schädling findet? Genau: Wenn es blöd läuft, steckt er gleich die ganze Inbox-Datei (mit allen empfangenen Mails) in die Quarantäne. Wenn es noch blöder kommt, löscht er die Inbox sofort komplett. Solches geschieht zwar nur, wenn dem Virenscanner ungeschickte Einstellungen verpasst wurden. Aber es passiert.

Diesem Problem können Sie auf zwei Ebenen begegnen: Entweder stellen Sie Ihren Virenscanner so ein, dass er niemals etwas automatisch löscht oder in die Quarantäne steckt. Das alleine ist aber im Ernstfall der arbeitsintensivere Ansatz. Kombinieren Sie es mit der zweiten Massnahme: Legen Sie Ihre Mailordner als Ausnahmen fest, damit der Virenscanner sich ohnehin nicht daran zu schaffen machen darf.

Wir wissen nicht, welches Antivirenprogramm Sie nutzen. Schauen Sie also in dessen Hilfe nach oder durchforsten Sie dessen Menüs. 

Nichts löschen: Im einen Fall halten Sie Ausschau nach etwas wie sinngemäss «Verhalten bei Virenfund». Hier stellen Sie sowohl für den On-Demand-Scan als auch beim Virenwächter alles auf «Nachfragen». Das ist ohnehin sinnvoll, auch in Bezug auf mögliche Fehlalarme. Beim Virenfund in Ihrer Inbox bedeutet das aber, dass Sie nicht einfach auf «Löschen» klicken dürfen, sonst ist Ihre Inbox weg. Stattdessen prüfen Sie, in welcher Datei der Virenscanner den Schädling findet. Ist es die Inbox-Datei, dann müssen Sie die virenhaltige Mail ausfindig machen. Ihr Virenscanner könnte aber im Moment den Zugriff drauf versperren. Sie müssten also folgendes tun: Den Virenscanner vorübergehend deaktivieren bzw. seinen Virenwächter pausieren, dann die virenhaltige Mail löschen, nun den Papierkorb des Mailprogramms leeren und - wichtig! - zum Schluss die Mailordner komprimieren: Thunderbird-Menü/Datei/Alle Ordner des Kontos komprimieren. Erst durchs Komprimieren werden gelöschte Mails tatsächlich entfernt.

Ausnahme festlegen: Machen Sie sich auf die Suche nach etwas wie «Einstellungen» und «Ausnahmen festlegen». Hier tragen Sie die Ordner ein, die Ihre Maildaten enthalten. Welche das sind, finden Sie anhand von diesem oder jenem Artikel heraus. Sie werden in einem Ordner wie «C:\Users\IhrName\AppData\Roaming\Thunderbird\Profiles\xxxxxx.default\» fündig. Hier gibts weitere Unterordner. Je nachdem, ob Sie die Mails per POP3 oder IMAP abholen und ob Sie diese allenfalls noch automatisch in lokale Ordner einsortieren, liegt die frisch abgeholte Post woanders: Pro Mailkonto ein Unterordner unter «ImapMail» im Falle von IMAP, oder in «Mail» im Falle von POP3. Die Ordner, die Ihre Mails enthalten, tragen Sie in Ihrem Antivirenprogramm als Ausnahmen ein, dann haben Sie Ruhe. Sie sollten aber nach wie vor Mails mit mutmasslich infizierten Anhängen nach oben erwähntem Vorgehen löschen.

Im Prinzip sind Sie dann sogar nach wie vor geschützt. Eine virenhaltige Mail an sich ist nämlich ungefährlich. Sie wird erst gefährlich, wenn Sie den virenhaltigen Anhang öffnen. Und spätestens dann sollte ein brauchbares Antivirenprogramm sowieso aus anderen Gründen zuschlagen. Noch besser wäre es natürlich, Sie könnten Virenmails von selbst erkennen und das Öffnen der Beilagen vermeiden. Öffnen Sie einfach keine Attachments, die Sie nicht erwartet haben. Falls Sie den Absender persönlich kennen, fragen Sie zurück, worum es sich handelt. Im Zweifelsfall speichern Sie den Anhang via Rechtsklick und «Speichern unter», ohne ihn zu öffnen. Sobald die Datei z.B. auf dem Desktop ankommt, kann Ihr Virenscanner sich wieder darum kümmern. Sie können die Datei auch bei Virustotal prüfen lassen.

Problem 3 «Performanceschwäche»: Wenn der Virenscanner den Empfang oder den Versand von E-Mails verzögert, passiert es häufig, dass der Vorgang abbricht. Und wenn Sie nach ein paar Tagen Abwesenheit sehr viele Mails aufs mal abholen müssen, werden Sie merken, dass der Virenscanner den Vorgang sehr in die Länge ziehen kann. Mit den Tipps unter «Problem 2» sind solche Probleme aber sowieso Geschichte.

Problem 4 «Beim Versand scannen»: Die Mails zu scannen, während Sie sie verschicken, ist nicht sehr sinnvoll. Eine infizierte Beilage sollte schon lange vorher gefunden werden. Wenn der Virenscanner sie vorher nicht entdeckt hat, dann wird er sie auch beim Versand nicht finden. Ausserdem führt der Virenscan beim Versand sehr häufig zu Verbindungsabbrüchen zwischen Mailprogramm und Mailserver. Resultat: eine Fehlermeldung. Meist folgt darauf eine fruchtlose Suche nach der Ursache, bis Sie merken, dass der Virenscanner schuld ist.

Problem 5 «Signatur: 'Mail virenfrei!'»: Einige Virenscanner bieten an, in jede versandte Mail eine Signatur einzufügen wie etwa «Mail wurde mittels XY gescannt und ist virenfrei». Solche Signaturen sind unsinnig, weil jeder Schädling beim automatischen Mailversand eine gleichlautende Signatur einfügen könnte. Es gab tatsächlich welche, die das getan haben. Schalten Sie solche irreführenden Funktionen besser ab.

Fazit

Die verschiedenen Probleme zwischen Virenscanner und Mailprogramm zeigen, dass es ein vernünftiges Mittelmass zwischen Schutz und Benutzbarkeit braucht. Eine hunderprozentige Sicherheit gibt es ohnehin nicht. Sinnvoll wäre es, wenn Sie Ihre Backup-Software anweisen würden, jedes Mal die Maildatenbanken zu sichern, bevor Sie Ihre neuen Mails abholen. Ausserdem möchten wir darauf hinweisen, dass nicht alle Antivirenprogramme gleich gut oder schlecht mit Maildatenbanken umgehen. Vielleicht hat Ihres ja clevere Funktionen, die einen Datenverlust vermeiden können, ohne dass Schädlinge in Ihrer Inbox landen.

Der Idealfall wäre sowieso, wenn Sie gar nicht in die Lage kämen, virenhaltige Mails herunterzuladen. Vielleicht sortiert Ihr E-Mail-Provider diese schon aus. Loggen Sie sich ins Web-Interface Ihres Mailanbieters ein und durchsuchen Sie die Einstellungen nach Sicherheitsoptionen. Falls eine Virenschutzoption vorhanden ist, aktivieren Sie diese unbedingt.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.