Entwickler von Antiviren-Programmen verändern oft deren Verhalten ohne vorherige Warnung oder ohne ausreichende Testphasen auf nicht-Microsoft Produkten. Deswegen ist es ratsam, zurückhaltend und vorsichtig zu sein. Und man sollte von seinen jeweiligen Profilen unbedingt Backups anlegen.
Übersicht
1. Infektionen verhindern
2. Die Antiviren-Software davon abhalten, den Posteingang zu löschen
2.1 Antiviren-Programm Einstellungen
2.2 Thunderbird Einstellungen und Nutzen
3. Eine Posteingang aus der Quarantäne wiederherstellen
4. Andere mögliche Probleme
5. Kompatible Antiviren-Programme
5.1 Zu beachten
6. Sicherheits-Test Virus
1. Infektionen verhindern:
In diesem Artikel ist „Virus“ gleichbedeutend für jedes Schadprogramm, einschließlich Würmer, Trojaner und dergleichen.
Auch wenn von „Heuristik“ gesprochen wird, bieten die meisten Antiviren-Programme keinen Schutz gegen sich schnell verbreitende neue Infektionen mit Malware, bevor die Antiviren-Firmen in der Lage sind, angemessene Updates anzubieten. Um sich gegen neue e-Mail-Viren zu schützen, darf man e-Mail-Anhänge nur dann öffnen, wenn man dem Absender der Mail vertrauen kann und wenn der Absender einen Anhang angekündigt hat. Man sollte immer vorsichtig bei Nachrichten von Absendern sein, dessen Adressen verfälscht sind (die Nachricht scheint dann von einer bestimmten Quelle zu stammen, wurde aber tatsächlich von jemand ganz anders verschickt) oder bei Nachrichten, bei denen auf suspekte Weise auf einen Anhang aufmerksam gemacht wird (wie zum Beispiel: „Hi, hier ist die Datei, die ihr haben wolltet“). Beide Techniken werden häufig von den Entwicklern solcher Schadprogramme verwendet, um die User dazu zu bewegen, die Anhänge zu öffnen. Wenn also irgendein Zweifel über die Quelle oder die Glaubwürdigkeit einer Nachricht besteht, sollte man keine möglicherweise angehängte Datei öffnen, ehe man sich nicht mit dem Absender einmal in Verbindung gesetzt und die Richtigkeit überprüft hat.
Nicht überprüfen (aktivieren) „Ansicht → „Anhänge eingebunden anzeigen“
Solange eine e-Mail nicht für die Arbeit relevant oder in irgendeiner anderen Art wichtig ist, sollte man in Betracht ziehen, erst eine Weile zu warten, bevor man einen Anhang öffnet. Dadurch gibt man den Entwicklern der Antiviren-Programme die Möglichkeit, notwendige Updates bereit zu stellen. Man sollte auch sehr vorsichtig sein, wenn die e-Mail keine neue ist, sondern lediglich weitergeleitet wurde.
Das Öffnen von Anhängen ist das Hauptrisiko, sodass man auch darüber nachdenken sollte, die Funktion „Ansicht“ → „Nachrichteninhalt“ → „Reiner Text“ zu nutzen, um sich ausschließlich den Text einer Nachricht anzeigen zu lassen, wenn man verdächtige e-Mails lesen möchte. Das ist beispielsweise hilfreich, wenn man eine Nachricht aus dem Spam-Ordner lesen will, um zu überprüfen, ob es sich dabei wirklich um Spam handelt. Viren und Skripte sind darauf angewiesen, wie ein e-Mail-Programm eine Nachricht darstellt. Wenn man sich reinen Text anzeigen lässt, kann aber nichts dargestellt werden (solange man nicht auf einen Link in der Nachricht klickt oder den Anhang öffnet).
2. Die Antiviren-Software davon abhalten, den Posteingang zu löschen:
Thunderbird speichert alle Nachrichten, die man sieht, in einem einzelnen Posteingangs-Ordner in einer einzelnen Datei in den Profile-Ordnern, genannt „Posteingang“. Auch die anderen Mail-Ordner verwenden jeweils eine einzelne Datei, die nach ihrem jeweiligen Ordner benannt ist („Gesendet“, „Papierkorb“, „Entwürfe“ usw.). Manche Antiviren-Programme nehmen an, dass jede Nachricht als eine separate Datei gespeichert wird, sodass sie beim Finden eines Virus die gesamte Datei (also den gesamten Posteingang-Ordner) statt nur der einen infizierten Nachricht löschen. Dieses Problem liegt an einem Design-Fehler in bestimmten Antiviren-Programmen, nicht an Thunderbird. Der Fehler tritt auch bei Outlook Express, Eudora und anderen e-Mail-Programmen auf. Glücklicherweise gibt es Maßnahmen, die man nutzen kann, um den Fehler zu vermeiden.
Antiviren-Programm Einstellungen
– Man sollte eine Antiviren-Software verwenden, die auch mit Thunderbird kompatibel ist.
– Die Antiviren-Software kann so eingestellt werden, dass sie vorher nachfragt, was sie bei einem Fund tun soll oder zumindest so, dass sie infizierte Daten nur in Quarantäne versetzt, statt sie automatisch zu löschen oder zu „reparieren“.
– Viele Experten empfehlen das ausschalten von e-Mail-Scans bei Antiviren-Programmen, da solche Scans keinen zusätzlichen Schutz bieten und sie die e-Mail-Ordner öfter beschädigen oder zerstören als es Viren oder andere Schadprogramme tun. Außerdem verbrauchen diese Scans Prozessor-Leistung, verlangsamen das Senden und Empfangen von Mails und verursachen viele Probleme wie Zeitüberschreitungen und Änderungen in den Kontoeinstellungen. Um auf Nummer Sicher zu gehen reicht es, wenn die Antiviren-Software lediglich den gesamten Computer überwacht, also einen Echtzeit-Schutz bietet (was häufig auch als „Hintergrund-Schutz“ oder ähnliches bezeichnet wird) und dass diese Funktion auch eingeschaltet ist.
– Wenn man trotzdem das Antiviren-Programm die e-Mails scannen lassen möchte, empfiehlt es sich, die Scans nur auf eingehende Nachrichten zu beschränken, da viele Antiviren-Softwares Probleme damit haben, ausgehende Nachrichten zu überprüfen, besonders wenn sie SSL verwenden. Wenn die Empfänger der Nachrichten keinen aktualisierten Virenscanner haben mit einem Echtzeit-Schutz haben, dann müssen sie sich ohnehin über wichtigere Dinge Sorgen machen als darüber, ob ein Sender seine Nachrichten auf Viren überprüft.
– Die e-Mail-Anbieter scannen möglicherweise automatisch nach infizierten Nachrichten und „entfernen“ diese (besser gesagt, hindern sie daran, den Posteingang zu erreichen) oder bieten diesen Service für eine Gebühr an und benutzen dabei womöglich bessere Software als man selber kaufen könnte. Erfahrenere User, die die Risiken vollkommen verstehen, deaktivieren das Scannen von e-Mails durch ihre Antiviren-Programme und verlassen sich auf ihre e-Mail-Provider, um infizierte Nachrichten zu „löschen“. Die meisten User wissen allerdings nichts, was ihr e-Mail-Provider alles macht (zum Beispiel, ob er sowohl den Nachrichteninhalt als auch die Anhänge überprüft), weshalb es immer besser ist, falls man eingehende Nachrichten scannen möchte, sie manuell zu scannen.
Thunderbird Einstellungen und Nutzen
Um das Risiko zu minimieren, dass der Posteingang in Quarantäne verschoben oder gelöscht wird:
– Man muss regelmäßig die Ordner komprimieren. Andernfalls könnte ein Antiviren-Scanner noch infizierte Nachrichten aufspüren, die man eigentlich schon gelöscht hatte. Gelöschte Nachrichten werden lediglich als „gelöscht“ markiert und unsichtbar gemacht, aber nicht wirklich physisch gelöscht, bis der Ordner komprimiert wird.
– Wenn ein Antiviren-Programm nicht einzelne Nachrichten in Quarantäne verschieben kann, kann man Thunderbird so umstellen, dass jede einzelne Nachricht als separate Datei heruntergeladen und anschließend dem Posteingang hinzugefügt wird. Auf diese Methode sollte man allerdings nur zurückgreifen, wenn es unbedingt notwendig ist, da sie die Performance verlangsamt und bekannt dafür ist, als Nebeneffekt Bugs zu erzeugen.
Um den Verlust von e-Mails zu verringern, falls der Posteingang mal in Quarantäne verschoben oder gelöscht wird:
– Der Posteingang sollte immer relativ leer bleiben, indem man die meisten älteren Nachrichten in anderen Ordnern speichert. Auf diese Weise werden weniger e-Mails beeinflusst, wenn die Antiviren-Software den Posteingang löscht/beschädigt.
– Wenn man ein POP-Konto verwendet, kann man Thunderbird so einstellen, dass es die e-Mails für eine kurze Zeit (wenigstens ein paar Tage) auf dem Server belässt, statt sie sofort nach dem Herunterladen zu löschen. Dadurch hat man die Möglichkeit, diese Nachrichten wieder zu downloaden, falls die Antiviren-Software den Posteingang beschädigt. Um die Nachrichten für eine bestimmte Anzahl an Tagen auf dem Server zu speichern, geht man wie folgt vor:
– In Thunderbird „Einstellungen“ → „Konten-Einstellungen → (Kontoname) Server-Einstellungen“ → einen Harken beim Menüpunkt „Nachrichten auf dem Server belassen“ und anschließend eine Nummer von Tagen wählen.
– In Mozilla Suite: (in Mozilla Mail) „Bearbeiten“ → „Einstellungen“ → „Nachrichten und Newsgruppen Einstellungen“ → „(Kontoname) Server Einstellungen“ → ein Häckchen bei „Nachrichten auf dem Server belassen“ setzen und eine Nummer von Tagen einstellen.
Zur Absicherung sollte man regelmäßige Backups von den Thunderbird e-Mail-Ordnern und anderen Profil-Daten machen.
Eine Posteingang aus der Quarantäne wiederherstellen:
1) Als erstes stellt man die „Auto-Schutz“ Funktion der Antiviren-Software aus oder deaktiviert die Software für die Dauer komplett.
2) Dann legt man ein Backup der Profil-Ordner an.
3) Als nächstes macht man eine Kopie seines Posteingangs (wenn man das nicht macht, wird im nächsten Schritt der aktuelle Posteingang mit der älteren Version aus der Quarantäne überschrieben.) Dazu klickt man mit der rechten Maustaste auf das Konto, um einen neuen Ordner mit dem Namen „Alter Posteingang“ zu erstellen und kopiert dann alles aus dem aktuellen Posteingang (Tastenkombination: STRG + A, STRG + C)
4) Nun holt man den Posteingang (oder andere betroffene e-Mail-Daten) aus der Quarantäne.
5) In Thunderbird löscht man als nächstes die infizierte Nachricht.
6) Anschließend leert man den Papierkorb des betreffenden Kontos.
7) Dann komprimiert man die Ordner des betreffenden Kontos.
8) Jetzt kann man die Antiviren-Software wieder aktivieren.
9) Abschließend vergewissert man sich, dass alle e-Mails wieder vorhanden sind.
Andere mögliche Probleme
– Wenn man leere Nachrichten erhält, kann das eine Nebeneffekt vom Antiviren-Programm sein, welches jede Nachricht auf seine Sicherheit überprüft. Wenn „Ansicht“ → „Nachrichten-Quelltext“ bestätigt, dass die Nachrichten nicht leer sind, kann man versuchen, diese Funktion auszustellen. Zum Beispiel würde das bei AVG so funktionieren: „E-Mail Scanner“ → „Konfigurieren“ → die Funktion „Eingehende und ausgehende Nachrichten zertifizieren“ deaktivieren und zum Schluss das System neu starten.
– Antiviren-Programme können zu Verlangsamungen oder schlechter Performance führen. Wenn man eine schlechte Performance in Thunderbird feststellt, sollte man überprüfen, ob sich mit ausgeschaltetem Virenscanner eine Besserung einstellt.
– Eine schlechte Performance kann auch durch das Aktivieren zu vieler optionaler Funktionen bei einem Antiviren-Programm auftreten. Zum Beispiel kann eine Person eine schlechte Performance haben, weil er bei Avast!sieben „Schilde“ aktiviert hatte. Das Problem kann gelöst werden, indem das „Verhaltensschield“ deaktiviert wird, welches auffällige Verhalten meldet, indem es die Verhalten von Programmen analysiert.
Kompatible Antiviren-Programme:
Avast!, AVG, NOD32 und Kaspersky scheinen sichere Programme zu sein, wogegen die Einzelhandels-Version von Symantec eher riskant zu sein scheint, wenn man einigen Kommentaren aus Foren der letzten Jahre glauben darf. Symantecs Nortion Antivirus unterstützt nicht IMAP und sein POP3-Scanner verlegt nach mehreren Berichten regelmäßig den Posteingang in Quarantäne. Keine Einigkeit scheint dagegen bei CA, F-Prot, McAfee, Panda und ähnliche Virenscanner zu bestehen, obwohl für gewöhnlich die Version eines Antiviren-Programms für Firmen besser kompatibel ist als die Einzelhandels-Version. Die kostenlose Version von Avast! scheint die Erwartungen der meisten User zu treffen. Aber eigentlich kann jedes Antiviren-Programm mit einem Echtzeit-Schutz (einschließlich Norton) bedenkenlos verwendet werden, wenn man die Scan-Funktion für e-Mails deaktiviert.
Wir hatten früher eine lange Liste an kompatiblen und problematischen Antiviren-Programmen, die allerdings entfernt wurde, da es zu mühselig ist, so eine Liste immer auf dem neusten Stand zu halten. Das Mozilla Wiki hat eine Liste von kompatiblen und problematischen Antiviren-Programmen, aber auch da besteht das Problem, dass die Liste nicht immer ganz aktuell ist. Welche Version von Thunderbird man verwendet scheint übrigens keinen Einfluss darauf zu haben, welche Antiviren-Programme eine gute Wahl sind.
Zu beachten:
– Das Update von Avast! Zu 10.3.223 verhindert das Versenden von HTML-Nachrichten mit Thunderbird. Man erhält dann eine Fehlermeldung, dass das Programm nicht in der Lage ist, nsemail.html einzufügen, wenn es versucht, die Nachricht zu senden. Ein Lösung zu diesem Problem besteht darin, Avast! so zu konfigurieren, dass es diese Datei ausschließt.
– McAfee scheint eine Menge Probleme mit Thunderbird zu verursachen.
– AVG hat seine Entwicklung eines „AVG Plugin für Mozilla Thunderbird“ eingestellt und empfiehlt stattdessen, den „Persönlichen E-Mail-Scanner“ zu installieren. AVG ist nicht das einzige Entwickler-Studio, welches Probleme mit den häufigen Veröffentlichungs-Zyklen von Thunderbird hat. Wenn ein Händler keine Version anbieten kann, die die aktuellste Version von Thunderbird unterstützt, kann man schauen, ob man eine allgemeinere Lösung für weniger populäre e-Mail-Programme nutzen kann, statt nach einem Plugin speziell für Thunderbird zu suchen.
– In manchen Fällen fügt das Thunderbird Add-On (wie beispielsweise die ESET Smart Security Erweiterung) nur eine Menüleiste hinzu, um Spam zu melden und wenn man das Add-On nicht installiert, scannt es die Nachrichten nach Viren ab. Das ESET Add-On wird nicht von neueren Thunderbird-Versionen unterstützt.
Sicherheits-Test Virus
Viele Antiviren-Programme (diejenigen, die EICAR konform sind) können getestet werden, um einige minimale Stufen der Sicherheit zu gewährleisten, indem man eine Antiviren-Testdatei vom Europäischen Institut für Computer Antivirus Forschung (EICAR) verwendet.