IT Solutions
> Zum Inhalt

Funktionsweise und Eigenschaften

Funktionsweise

Das Viren-Checking (bzw. Viren-Scanning) wurde Anfang 2001 auf den zentralen Mailservern der TU.it mit der ausdrücklichen Genehmigung und Aufforderung durch den Rektor in Betrieb genommen.
Diese Service ist fest in die Mailserver, nämlich

  • Mailbastion (tuvok, neelix) und
  • Incoming Mailrouter (mri1, mri2 und mri3),
  • Outgoing Mailrouter (mr.tuwien.ac.at)

integriert, wobei technisch als auch organisatorisch keine Ausnahmen vorgesehen sind, sodass die Virenerkennung stets für alle über diese Mailserver laufenden Nachrichten aktiv ist.

Kern der Systeme sind die Softwarekomponenten:

  • das Opensource-Paket AmaViS
  • der kommerzielle Virenscanner McAfee Virusscan von NAI
  • der Opensource Virenscanner ClamAV


Die Filterung passiert auf mehreren speziell Rechnern, den Virencheckern, die so die Mailserver entlasten und separat besser gewartet und ausgebaut werden können, ohne den regulären Betrieb zu stören.

Eigenschaften

  • Mailheadermarkierung: Die Mail wird im Aufbau (Attachments/Anhänge) nicht geändert oder gelöscht und bleibt auf jeden Fall lesbar. Lediglich im Mailheader wird eine Zeile eingefügt, die eine Virus-Check bestätigt:

    X-Virus-Scanned: by amavisd-milter (http://amavis.org/)

    Diese Markierung  bedeutet, dass die Mail den Virusfilter durchlaufen hat. Sie kann mehrfach vorkommen.

  • Virusblockierung: Eine virenbehaftete (Wurm, Virus, Phishing) Mail wird entweder verworfen, wobei eine Alarmierung per E-Mail an den Absender und/oder Empfänger erfolgt oder sie wird blockiert.
    Absender-Alarmierung, Empfänger-Alarmierung, Blockierung
  • Header-Syntax: Eine nicht RFC-konforme Mail (nicht kodierte 8-Bit-Zeichen im Mailheader, Headerzeilen länger als 999 Zeichen, etc.) wird entweder verworfen, wobei eine Alarmierung per E-Mail an den Absender und/oder Empfänger erfolgt oder sie wird blockiert.
    Absender-Alarmierung, Empfänger-Alarmierung, Blockierung
  • Signatur-Updates: Die Virusdatenbank/-Signaturen werden bis zu stündlich online vom jeweiligen Hersteller oder der Maintainer-Organisation des Virenscannerpakets aktualisiert.
    Bei NAI gibt es zwei Aktualisierungqualitäten:
    Mit der täglichen Aktualisierung werden auch nicht als kritisch oder sonderlich gefährlich betrachtete Viren erkannt, wobei die Signaturen-Datenbank nicht voll getestet ist.
    Durch ein wöchentliche Ausgabe (im kritischen Anlassfall auch in einem engeren Intervall), wird ein vollständig geteste Signaturen-Datenbank wirksam gemacht.
    Desweiteren wird auch nach kritischen Bedrohungen Ausschau gehalten und versucht, sofern vorhanden, etwaige Extra-Signaturen aufzunehmen (im 15-Minutentakt).
  • für den Fall von technischen Problemen bei der Viruserkennung (Netzwerkstörung, Viruschecking-Cluster nicht erreichbar) werden die Mails temporär abgewiesen: 451 4.7.1 Please try again later,
    was beim absendenden (TU-fremden) Mailserver in der Regel dazu führt, dass dieser versucht, in regelmäßigen Intervallen die Nachricht wieder an die TU zu transferieren. Durch das redundante Konzept (auf Server und Netzwerkebene), ist die Wahrscheinlichkeit groß, dass der jeweils andere Mailserver beim nächsten Versuch verwendet wird und die Mail dann passieren kann.
  • Individuelle Virenbehandlung bei verdächtigen Mails (blockieren, ignorieren oder doch durchlassen) sind nicht möglich.
    Lediglich die Zusendung der Alarmierung kann adressspezifisch für einen individuellen Empfänger unterdrückt werden (Melden an Hostmaster ).

Betroffene Emails

AbsenderEmpfängerbehandelt vonAktion
außerhalb TUNET

*@*.tuwien.ac.at

MailbastionBlockierung
überall

*@tuwien.ac.at

Incoming MailrouterBlockierung
überall

*@student.tuwien.ac.at

Incoming MailrouterBlockierung
überall

*@alumni.tuwien.ac.at

Incoming MailrouterBlockierung
TUNET

*

mr.tuwien.ac.at
ignorieren + Alarmierung
TUNET

*

mail.tuwien.ac.at
(mail.zserv.tuwien.ac.at)
(pop.tuwien.ac.at)
(email.tuwien.ac.at)

ignorieren + Alarmierung

Jene Inhalte bzw. Teile (Anhänge) von Mails, die mehr als 20-fach verschachtelte Archive aufweisen, sind von der Überprüfung ausgenommen.