Der SpIDer Mail E-Mail-Wächter gehört standardgemäß zum Umfang der zu installierenden Komponenten, läuft permanent im Hauptspeicher und wird beim Starten des Betriebsystems automatisch ausgeführt.
Wenn der Antivirus unter Lizenz für das Programmpaket "Antivirus+Antispam" (und entsprechender Schlüsseldatei) funktioniert, so kann die Spam-Prüfung von E-Mails auch vom E-Mail-Wächter mit Hilfe von Dr.Web Antispam ausgeführt werden.
Die Standardeinstellungen von SpIDer Mail sind für die Anfänger optimal und sorgen für das maximale Sicherheitsniveau bei einer minimalen Einmischung seitens Benutzers. Dabei werden jedoch einige Möglichkeiten der Mail-Programme blockiert (z.B.: der Versand einer E-Mail an mehrere Adressen kann als Massenversand eingestuft werden, oder eingehende Spam-Mail wird nicht erkannt). Einige Informationen (aus dem nicht infizierten Teil des Textes) können den automatisch gelöschten Mails nicht mehr entnommen werden. Die erfahrenen Benutzer können die Parameter der E-Mail-Prüfung verändern sowie die Einstellungen für die Reaktion des SpIDer Mail E-Mail-Wächters auf verschiedene Ereignisse verändern.
E-mails bearbeiten
Standardgemäß werden sämtliche Zugriffe auf Mail-Server, die auf den für Protokolle standardmäßigen Ports durch beliebige Mail-Programme auf Ihrem Computer ausgeführt werden, vom SpIDer Mail E-Mail-Wächter automatisch abgefangen. Die Standardports sind:
◆für das POP3-Protokoll - Port 110;
◆für das SMTP-Protokoll - Port 25;
◆für das IMAP4-Protokoll - Port 143;
◆für das NNTP-Protokoll - Port 119.
In manchen Fällen ist das automatische Abfangen von POP3-, SMTP-, IMAP4- und NNTP-Verbindungen nicht möglich. In diesem Fall können Sie das Abfangen der Verbindungen per Hand einstellen.
Der SpIDer Mail E-Mail-Wächter empfängt alle eingehenden E-Mails anstatt des E-Mail-Clients und prüft sie auf Viren mit maximaler Detailuntersuchung. Werden keine Viren oder verdächtige Objekte gefunden, so wird die E-mail dem E-Mail-Client in einer "transparenten" Form übermittelt, als ob sie direkt vom Server kam. Auf ähnliche Weise werden die ausgehenden E-Mails vor ihrer Absendung an Server geprüft.
|
Die Spam-Prüfung von E-Mails ist nur zugänglich, wenn Dr.Web Agent unter Lizenz "Antivirus+Antispam" betrieben wird. |
Die Technologie des Antispamfilters von Dr.Web basiert auf mehreren Tausenden von Regeln, die in einige Gruppen eingeteilt werden können:
◆Heuristische Analyse – äußerst komplizierte, hochintelligente Technologie der empirischen Auswertung aller E-Mail-Teile: des Headers, des E-Mails-Körpers, des Anhangs.
◆Filterung der Gegenwirkung – basiert auf Erkennung von Tricks, die von Spamern zum Überspringen der Antispamfilter benutzt werden.
◆Analyse aufgrund von HTML-Signaturen – die Nachrichten, die den HTML-Kode enthalten, werden mit den Mustern der HTML-Signaturen aus der Antispambibliothek verglichen.
◆Semantische Analyse – Wörter und Ausdrücke in einer Nachricht werden mit den für Spam typischen Wörtern und idiomatischen Wendungen mit Hilfe eines speziellen Wörterbuches verglichen. Der Analyse werden sowohl sichtbare als auch visuell durch spezielle technische Tricks versteckte Wörter, Ausdrücke und Symbole unterzogen.
◆Anti-Scam-Technologie – zu den Scamming- und Pharming-Nachrichten zählen die sogenannten nigerianischen E-Mails, Nachrichten über Geldgwinn durch Lotterien, im Kasino, gefälschte Nachrichten von Banken. Für deren Filterung wird ein spezielles Modul angewendet.
◆Filterung technischer Spam-Mails – die sogenannten Bounce-Nachrichten entstehen als Reaktion auf Viren oder als Äußerung von Virusaktivität. Das spezielle Antispam-Modul behandelt solche Nachrichten als unerwünschte.
SpIDer Mail Reaktionen
Die Reaktion des SpIDer Mail E-Mail-Wächters bei Entdeckung von infizierten und verdächtigen eingehenden E-Mails sowie von E-Mails, die keine Prüfung bestanden haben (z.B. E-Mails mit übermäßig komplizierter Struktur), ist standardmäßig wie folgt:
◆aus den infizierten E-Mails werden schädliche Informationen entfernt (diese Aktion wird Desinfizieren einer E-Mail genannt), dann werden sie wie üblich zugestellt;
◆E-Mails mit verdächtigen Objekten werden als einzelne Dateien in die Quarantäne verschoben, dem Mail-Programm wird eine Benachrichtigung darüber zugesandt (diese Aktion wird Verschieben einer E-Mail genannt);
◆nicht infizierte E-Mails und E-Mails, die keine Prüfung bestanden haben, werden ohne Änderungen weitergegeben (übersprungen);
◆alle gelöschten und verschobenen E-Mails werden auch auf dem POP3- oder IMAP4-Server gelöscht.
Infizierte oder verdächtige ausgehende E-Mails werden an Server nicht weitergeleitet. Der Benutzer wird über das fehlgeschlagene Absenden informiert (in der Regel, wird die E-Mail dabei vom Mail-Programm gespeichert).
Beim Vorhandensein eines unbekannten Virus auf dem Computer, welcher sich über E-Mail verbreitet, kann der SpIDer Mail E-Mail-Wächter die typischen Merkmale des "Virenverhaltens" (Massenversand) erkennen. Standardmäßig ist diese Option aktiv.
Mit dem SpIDer Mail E-Mail-Wächter können die eingehenden E-Mails mittels Dr.Web Antispam auf Spam geprüft werden. Standardmäßig ist diese Option aktiv.
E-Mails mit anderen Mitteln prüfen
Der SpIDer Guard E-Mail-Wächter sowie Dr.Web Scanner kann ebenfalls Viren in den E-Mail-Postfächern mancher Formate entdecken, der SpIDer Mail E-Mail-Wächter hat jedoch im Gegensatz dazu einige Vorteile:
◆weitaus nicht alle Formate von E-Mail-Postfächern der populären Mail-Programme werden vom SpIDer Guard Wächter und Dr.Web Scanner unterstüzt; mit SpIDer Mail E-Mail-Wächter landen infizierte E-Mails erst gar nicht in dem Postfach;
◆standardmäßig prüft SpIDer Guard die E-Mail-Postfächer nicht; bei Aktivierung dieser Option wird die Leistungsfähigkeit des Systems wesentlich reduziert;
◆Dr.Web Scanner prüft die E-Mail-Postfächer nur auf Anfrage des Benutzers oder gemäß dem Terminplan und nicht im Moment des E-Mail-Empfangs, dabei ist diese Aktion arbeits- und zeitaufwändig.
Somit entdeckt der SpIDer Mail E-Mail-Wächter unter Standardeinstellungen sämtlicher Dr.Web Enterprise Security Suite Komponenten als erster Viren und verdächtige Objekte, die sich über E-Mails verbreiten, und blockiert ihren Zugriff auf den Computer. Seine Funktion ist extrem ressourcensparend. Die Verwendung sonstiger Komponenten wird für die Prüfung der E-Mails nicht benötigt.
Wächter einstellen
Die Einstellungen des SpIDer Mail Wächters unterscheiden sich je nach installierter Version. Es sind zwei Versionen des SpIDer Mail Wächters vorhanden:
Vor Installation wird die Version des Betriebssystems automatisch bestimmt und entsprechende Version des SpIDer Mail Wächters installiert (s. Punkt Systemanforderungen).
Gegebenenfalls (z.B. falls hinsichtlich der Prozessorbelastung kritische Aufgabe im Echtzeitmodus auszuführen ist) können Sie den Wächter temporär abschalten.