![[Tabelle mit Testergebnissen]](images/01-06-66-1.jpg)
Testergebnisse als druckbare Tabelle (JPG)
AV-Test.de (www.av-test.de) ist ein Projekt der Arbeitsgruppe Wirtschaftsinformatik am Institut für Technische und Betriebliche Informationssysteme der Otto-von-Guericke-Universität Magdeburg in Zusammenarbeit mit der GEGA IT-Solutions GbR. In einer simulierten Internetumgebung wurde die Anti-Viren-(AV-)Software mit den 223 meistverbreiteten Viren (laut Wildlist, www.wildlist.org) in jeweils zwei infizierten Dateien konfrontiert. Datei für Datei wurde als Mailanhang von einem Linux-Rechner an einen Domino- oder Exchange-Server geschickt und die Nachrichten per Outlook oder Notes-Client von einem PC abgeholt. Die vollständigen Testergebnisse sind auf den Internetseiten von AV-Test.de abrufbar (Tests 2001-06/07/09) und für KES-Abonnenten in einer aufbereiteten Version mit der Onlinefassung dieses Artikels verfügbar.
Alle Produkte für die Notes-Plattform ließen sich nur bei heruntergefahrenem Domino-Server installieren. Die Lösungen von Panda, Symantec und NAI verlangten dabei einen Neustart des Rechners. Nach der Installation musste man bei verschiedenen Produkten die Datenbanken zur Oberfläche von Hand hinzufügen. Panda verzichtet jedoch auf eine Integration und stellt eine eigene Oberfläche zur Verfügung.
Die Virenerkennung der Produkte war mit über 98,5 % erwartungsgemäß hoch. Lediglich Command Antivirus erkannte weniger: nur 429 der 446 getesteten Dateien (ca. 96,2 %). Nach Aussage des Herstellers ist jedoch mittlerweile eine aktualisierte Version mit neuer Scan-Engine erhältlich.
Da bei der Übermittlung vieler Dateien per E-Mail häufig Packprogramme wie ZIP oder ARJ zum Einsatz kommen, hat AV-Test.de die wichtigsten Windows- und Unix-Formate überprüft. Das Ergebnis ist sehr differenziert: Während die Scanner "normale" Archivformate recht gut unterstützen, sieht es bei den Unix-Formaten wie GZip oder BZ2 sowie selbstextrahierenden Windows-Archiven schlechter aus. Die Ergebnisse bei den laufzeitkomprimierten Programmen sind bedenklich, da bekannte Backdoor-Programme auf diese Art und Weise einfach an einem Virenscanner vorbeizuschleusen sind.
Nach der Installation ist es empfehlenswert, einen Blick auf die Grundkonfiguration zu werfen. Beim Produkt von Sophos musste man den Wächter erst noch manuell einschalten. Im Testfeld gab es zudem vier Kandidaten, deren Wächter standardmäßig nur Dateien mit bestimmten Erweiterungen durchsuchten. Gerade der verbreitete Sircam-Wurm zeigt jedoch, dass auch Dateitypen, die bislang selten von Viren befallen wurden, ebenfalls gefährlich sind (LNK- und PIF-Dateien).
Wie mit infizierten E-Mail-Anhängen umzugehen ist, bestimmt die Unternehmensstrategie. Gerade in großen Umgebungen wird eine Desinfektion aus rechtlichen und Performance-Gründen meist gar nicht erst versucht. Da bei eingehender Post der Anhang unter Umständen wichtig sein könnte, sollte dieser zur Sicherheit in Quarantäne genommen werden. Ist jedoch eine ausgehende Mail infiziert, so sollte der Empfänger dies besser nicht zu sehen bekommen; eine Benachrichtigung nur an den Absender ist hier sinnvoll. Keine der getesteten Lösungen ermöglichte jedoch eine unterschiedliche Behandlung ein- und ausgehender Mail.
Bei der Entscheidung für eine Anti-Viren-Lösung am Mailserver sollten auch die Updatemöglichkeiten der Software eine Rolle spielen: Nirgendwo sonst sind zeitnahe und schnelle Updates wichtiger als an der Hauptangriffsstelle im Netzwerk. Daher ist es notwendig, dass die Updates nicht nur schnell beim Hersteller bereitstehen, sondern im Ernstfall auch lokal vorliegen. Beim Melissa-Ausbruch im Jahre 1999 waren die Webserver der AV-Hersteller in den ersten Stunden völlig überlastet. Als 2001 der Nimda-Wurm zuschlug, war die Situation keineswegs entspannter. Eine Möglichkeit, solchen Engpässen vorzubeugen, ist der Einsatz von inkrementellen oder Emergency-Updates. Diese sind kleiner, denn es werden nur die Änderungen übertragen. Bis auf Command Software unterstützen alle Anbieter diese Vorgehensweise.
Für viele Administratoren ist neben einer grafischen Aufbereitung der Virenfunde oder einer leicht überschaubaren Statistik auch das Vorhandensein einer aussagekräftigen Reportdatei wichtig. In dieser Hinsicht müssen sich Domino-Nutzer mit dem Export der Datenbanken begnügen. Dieser scheinbare Nachteil kann sich aber in einen erheblichen Vorteil umkehren, da die Meldungen in einer Datenbank ja schließlich strukturiert vorliegen.
Die Lösungen für Domino/Notes hinterließen bis auf Command Antivirus einen guten Eindruck. Dieser Hersteller hat seit Testende jedoch einige Veränderungen am Produkt vorgenommen, sodass die Ergebnisse nicht unbedingt den aktuellen Stand widerspiegeln.
Die Installation unter Microsofts Groupware-Lösung in der Version 5.5 mit SP4 gestaltete sich einfacher als unter Notes, da die Installationsroutinen die Exchange-Dienste selbstständig stoppen und neu starten können. Trotzdem haben die Produkte von NAI, CA und Panda einen Neustart des Rechners verlangt.
Probleme zeigten sich bei der Frage nach der zu verwendenden Schnittstelle, mit der die AV-Software auf die ein- und ausgehenden E-Mails zugreifen kann. Hierfür gibt es drei Möglichkeiten: MAPI, ESEAPI und VSAPI. Die MAPI-basierten Lösungen kennzeichnet, dass sie bei hoher Last nicht jede Nachricht untersuchen können, wenn viele Mails auf einmal eintreffen. Einige Dateien gelangen auf diese Weise ohne jede Prüfung zum Anwender. Als einziges der getesteten Produkte kennt Panda nur diese Variante und ist daher nicht zu empfehlen.
Der Zugriff via ESEAPI ermöglicht es hingegen, E-Mails zu blockieren bis sie untersucht worden sind. Da die ESEAPI jedoch ursprünglich für Backup-Zwecke gedacht war, bietet Microsoft kaum Dokumentation an. Die Nutzung dieser Schnittstelle erfordert daher erheblichen Reverse-Engineering-Aufwand bei der Scanner-Entwicklung. Im Test nutzten die Lösungen von Sybari und Trend Micro ESEAPI.
Die dritte Möglichkeit zum E-Mail-Virencheck ermöglicht die VSAPI, eine Schnittstelle, die Microsoft zu genau diesem Zweck mit Servicepack 3 (SP3) eingeführt hat. Sie läuft aber erst nach Einspielen des Hotfix 3 zu SP3 oder mit SP4 stabil. Antiviren-Programme haben damit zwar Zugriff auf die Anhänge jeder Mail. Der Nachrichtentext (body) sowie Absender- und Empfänger-Infos sind aber nicht verfügbar, weswegen auch diese Schnittstelle nicht uneingeschränkt zu empfehlen ist.
Die Ergebnisse in den Bereichen Virenerkennung, Unterstützung von Archivformaten und Grundeinstellung nach der Installation sind ähnlich wie unter Domino. Negative Ausreißer waren InoculateIT mit 432 von 446 gefundenen Viren und einer komplett fehlenden Archivformat-Unterstützung. Auch Antigen erwies sich bei letzterem als ungenügend: es unterstützt lediglich ZIP. InoculateIT konnte im Test keine Mehrfachinfektionen erkennen und untersuchte lediglich den ersten Anhang einer Mail.
Insgesamt fällt auf, dass kein einziges Produkt in seine Logdatei Informationen zum Programm, dem letzten Update oder den benutzten Einstellungen aufnimmt. InoculateIT verzichtet sogar vollständig auf eine Reportdatei. Das CA-Produkt InoculateIT stammte zum Testzeitpunkt größtenteils noch aus dem Jahre 1999 und ist mittlerweile durch die Nachfolgeversion 6 ersetzt worden.
Mit Erscheinen der 2000er Version von Exchange und SP1 führte Microsoft die Version 2 der VSAPI ein (auch AVAPI 2.0 genannt). Damit ist es möglich, beim Scan auch auf die Absender- und Empfängeradresse sowie den Mail-Body zuzugreifen. Obwohl Exchange 2000 mit ServicePack 1 zum Testzeitpunkt recht neu war, konnte der überwiegende Teil der Hersteller bereits Produkte vorweisen, die auf die VSAPI 2.0 aufsetzen.
Sybari stellt sein Produkt Antigen wahlweise mit ESEAPI oder VSAPI zur Verfügung. Welche Schnittstelle benutzt werden soll, muss während der Installation ausgewählt werden. Ein späterer Umstieg ist mit einem Befehl auf der Kommandozeile auch später noch möglich.
Diese Testreihe lief später als die Exchange 5 und Domino-Tests, sodass die Produkte mit einer anderen Virensammlung konfrontiert wurden. Es galt 410 der häufigsten Wildlist-Viren zu finden. Das schlechteste Ergebnis lieferte Panda Antivirus mit acht nicht gefundenen Dateiviren – jedoch immer noch knapp über 98 % Erkennungsrate.
Der Testumfang war zudem um einige Punkte erweitert worden. Beispielsweise wurde geprüft, ob die Programme eingebettete OLE-Objekte mit Infektionen erkennen. Das Ergebnis war durchwachsen: Lediglich die Produkte InoculateIT und ScanMail konnten alle Testdateien richtig identifizieren. Im Gegensatz zu den Exchange-5.5-Scannern musste man nur noch nach der Installation von InoculateIT den Rechner neu booten. InoculateIT zeigte im Test zudem sporadische Aussetzer bei der Erkennung, sodass hier keine verlässlichen Ergebnisse vorliegen.
Testergebnisse als druckbare Tabelle (JPG)
![[Tabelle mit Testergebnissen]](images/01-06-66-2over.jpg)
Testergebnisse online als InfoZoom-Dokument (Start
im Übersichtsmodus)
![[Tabelle mit Testergebnissen]](images/01-06-66-2compr.jpg)
Testergebnisse online als InfoZoom-Dokument (Start
in Tabellenart)
Marc Schneider ist Mitarbeiter im Test-Team der
GEGA IT-Solutions/Uni Magedeburg (![[externer Link]](../../images/link.gif)
www.AV-Test.de).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2001, Seite 66
