Virenscanner

Ice schrieb:
@burntime

Also entweder kann ich nicht richtig lesen oder aber Clamav hat in dem von Dir verlinkten Bericht eher bewiesen, dass es durchaus mit kommerziellen Produkten mithalten kann.....

Was ich aber erstaunlich finde, ist, dass laut den gelinkten Berichten, Clamav auf jeden Fall "besser" abschneidet als f-prot! Genau das wurde hier aber auch aus Erfahrungen her widerlegt.

[...]
Ice

Also bei den durchschnittlichen Reaktionszeiten liegt F-Prot bei 8h 15min und ClamAV bei 60:05h (zum Vergleich: Kaspersky mit 2h35min und BitDefender mit 2h45min).

Wenn Du die drei Scanner parallel testest, dann wäre es interessant zu erfahren wie schnell die jeweiligen Hersteller auch auf den Bericht von False Positives reagieren.
 
Sicher kann auch ein kommerzieller Virenscanner auf dem Mailserver zum Einsatz kommen, man muss nur bedenken wie hoch die Kosten für einen solchen sind und wie hoch der Nutzen. Kosten-Nutzen-Analyse.

Und da ein Virenscanner nur ein Teil des Ganzen ist, kann imho auf teure
kommerzielle verzichtet werden.
Zu diesem Ganzen gehören auch black-list, DNSbl und RHSbls. Alleine damit wird schon viel gefiltert.

Desweiteren wird auf den Clients im Firmennetzwerk, so es denn Windows-Rechner sind, auch ein Virenscanner eingesetzt. Hier sollte ein andere verwendet werden als auf dem Mailserver um die Trefferwhrscheinlichkeit zu erhöhen. Findet der eine den einen Virus nicht, so ist es sehr wahrscheinlich das der andere zuschlägt.
Hier hat sich bei uns F-Prot bewährt. Kostenpunkt für 15 Lizenzen lagen bei 90 Euro.

Auch wenn ein Virenscanner mehr findet als der andere, oder die aktuellen schneller findet, so ist es immer noch eine Frage wie oft man ein update der Virensignaturen macht. Dies sollte sich auch im Rahmen halten da man den Server nicht unnötig belasten sollte durch minütlich suche nach neuen Virensignaturen.
Mein clamav und der in der Firma sucht alle 2 Stunden nach neuen Signaturen. Der F-Prot auf den Clients wird 2x am Tag automatisch mit neuen Signaturen, so denn vorhanden, versorgt, und ansonsten manuell wenn ich mal wieder eine mail von F-Prot bekomme.

Zum Ende, clamav ist ein freies Projekt, und sollte unterstützt werden, ich finde die Preise für mancher Anti-Virenherstellet etwas unverschämt.
 
asg schrieb:
Sicher kann auch ein kommerzieller Virenscanner auf dem Mailserver zum Einsatz kommen, man muss nur bedenken wie hoch die Kosten für einen solchen sind und wie hoch der Nutzen. Kosten-Nutzen-Analyse.

Und da ein Virenscanner nur ein Teil des Ganzen ist, kann imho auf teure
kommerzielle verzichtet werden.
Zu diesem Ganzen gehören auch black-list, DNSbl und RHSbls. Alleine damit wird schon viel gefiltert.

"Eine Kette ist nur so stark wie ihr schwächstes Glied."
Was willst Du denn auf die Blacklist setzen? Wenn der Virus von einem bekannten Absender kommt (Kunde, Bekannter oder Zulieferer), weil der auch beim VIrenschutz gepennt hat hilft Dir eine Blacklist nicht mehr. Schließlich gibt es kein Kriterium nach dem man filtern könnte.

asg schrieb:
Desweiteren wird auf den Clients im Firmennetzwerk, so es denn Windows-Rechner sind, auch ein Virenscanner eingesetzt. Hier sollte ein andere verwendet werden als auf dem Mailserver um die Trefferwahrscheinlichkeit zu erhöhen. Findet der eine den einen Virus nicht, so ist es sehr wahrscheinlich das der andere zuschlägt.
Hier hat sich bei uns F-Prot bewährt. Kostenpunkt für 15 Lizenzen lagen bei 90 Euro.

Richtig. Aber trotzdem sollte zumindest einer dann schnell mit den Updates sein.
Und bei Sicherheit zu sparen ist, meines Erachtens nach, ein eher zweifelhafter Ansatz.

asg schrieb:
Auch wenn ein Virenscanner mehr findet als der andere, oder die aktuellen schneller findet, so ist es immer noch eine Frage wie oft man ein update der Virensignaturen macht. Dies sollte sich auch im Rahmen halten da man den Server nicht unnötig belasten sollte durch minütlich suche nach neuen Virensignaturen.
Mein clamav und der in der Firma sucht alle 2 Stunden nach neuen Signaturen. Der F-Prot auf den Clients wird 2x am Tag automatisch mit neuen Signaturen, so denn vorhanden, versorgt, und ansonsten manuell wenn ich mal wieder eine mail von F-Prot bekomme.

Es hilft aber nichts alle 2h nach Updates zu suchen, wenn ClamAV im Schnitt 60h (2,5 Tage) benötigt.

asg schrieb:
Zum Ende, clamav ist ein freies Projekt, und sollte unterstützt werden, ich finde die Preise für mancher Anti-Virenherstellet etwas unverschämt.

Also wenn ich davon höre, welche Schäden Würmer und Viren anrichten sollen, dann muß ich sagen, daß die Lizenzen für einen Virenscanner im Vergleich echte Schnäppchen sind.

Daß ClamAV als freies Projekt Unterstützung verdient, da stimme ich voll und ganz zu.
 
Zuletzt bearbeitet:
burntime schrieb:
"Eine Kette ist nur so stark wie ihr schwächstes Glied."
Was willst Du denn auf die Blacklist setzen? Wenn der Virus von einem bekannten Absender kommt (Kunde, Bekannter oder Zulieferer), weil der auch beim VIrenschutz gepennt hat hilft Dir eine Blacklist nicht mehr. Schließlich gibt es kein Kriterium nach dem man filtern könnte.

Ich wusste das das kommt ;-). Stimmt auch sicher. Wobei ich als schwächstes Glied den Enduser sehe. Was die blacklists angeht, so filtern diese sicher nicht die Viren/Würmer von bekannten Absender aus, aber die von ubekannten die auf diesen Listen stehen. Das macht wiederum ein paar Prozentpunkte aus vom Ganzen.
Was den Enduser angeht, so habe ich diese bei uns im Geschäft sensibilisiert, und muss sagen das dies schneller ging als erwartet.
Sobald diese eine EXE, PIF oder sonstiges bekommen löschen sie diese Mail umgehend. Sind sie sich nicht sicher, kommt die mail also von einem Kunden oder sonstigen bekannten, so klingelt das Telefon bei mir. Hut ab vor den Benutzern.
Seit clamav zum Einsatz kommt, ist kein Virus mehr durchgekommen, auch bei mir zu Hause nicht. Davor war Sophos im Einsatz, Lizenz ausgelaufen, und irgendein Biest hat es geschafft durchzukommen. Aber, F-Prot ondeman Scanner hat zugeschlagen und das öffnen des Anhangs unterbunden als ich dies getestet hatte.
Was das Kriterium angeht nachdem man Filtern kann, so ist eines vorhanden. EXE, PIF und Konsorten nicht durchlassen. Ein reject an den Absender mit einer entsprechenden Meldung wird automatisch versandt. In Zeiten der eigene SMTP Engine von einigen Würmern ist dies aber auch obsolet, da der Absender gefälscht ist, so werden diese mails einfach verworfen. Wenn auf jeder mail mit Virus geantwortet wird, dann ist die Last im Internet noch höher als durch diese Viren/Wurm-Mails so oder so schon gegeben.

Richtig. Aber trotzdem sollte zumindest einer dann schnell mit den Updates sein.
Und bei Sicherheit zu sparen ist, meines Erachtens nach, ein eher zweifelhafter Ansatz.

An sicherheit sollte man nicht sparen, aber ich sehe kein Problem an meiner herangehensweise, bzw. am Einsatz von clamav.

Es hilft aber nichts alle 2h nach Updates zu suchen, wenn ClamAV im Schnitt 60h (2,5 Tage) benötigt.

Wann beginnen die angegeben 60 Stunden? Von daher ist es nicht schlecht alle 2 Stunden danach zu suchen.
Die logs von freshclam sprechen auch eine andere Sprache, da jeden Tag ein update der sigs zu sehen ist.
 
muss mal eine dumme frage dazwischen schmeissen.
ich habe auf meinem freebsd 5.2.1 server sendmail installiert und möchte das der die mails von f-prot checken lässt.
was für zeilen muss ich in die domäne.bsp.int.mc einfügen damit sendmail die mails zu f-prot schickt ?
und wo muss ich in f-prot welche änderungen vornehmen damit er die mails an sendmail korrekt zurückschickt ?
wäre um schnelle hilfe dankbar !!
mfG WaTeRjOe :)
 
muss es unbedingt f-prot sein?
nimm doch clamav, da gibts schon howtos im board :D

denn f-prot kann nicht vom stdin lesen:
Code:
BUGS
       We have received a request for the ability  to  scan  stdin.   This  is
       actually  rather difficult, as the engine design requires that the size
       of any scannable object is known before starting a scan.
 
hmmm habe sowohl sendmail als auch f-prot drauf, aber bin zu doof beide so ein zu stellen das sie miteinander arbeiten und mein englisch reicht net aus um die how-to´s zu übersetzen ...
ich hock schon den ganzen tag an dem kram und so langsam hab ich keine lust mehr.
hmmm gibt es denn niemanden der mir sagen kann wie beide konfigurieren muss das sie miteinander arbeiten ?
mein chef meint in der sendmail config datei müssen 2 zeilen hinzugefügt werden und in der amavis config 2 geändert.
aber welche soll ich versuchen raus zu finden aber kriege es nicht auf die reihe ;'(
 
Zurück
Oben