Pegasus verbietet das Ausführen von Dateien mit bestimmten Endungen wie *.exe, *.vbs und einem Duzend anderer per Doppelklick. Das ist sicher ein nützliches Feature, da in Vergangenheit häufig E-Mail-Würmer diese Endungen hatten. Im Gegensatz zu Outlook wird bei Pegasus der Benutzer aber nicht völlig entmündigt. Die Dateianhänge sind für den Benutzer sichtbar. Ein Abspeichern und anschließendes Ausführen ist möglich.
Aber Viren kommen nicht immer als ausführbare Dateien mit der Endung *.exe daher:
Ein sehr nützliches Feature von Pegasus ist es, unabhängig von den Betriebseinstellungen, eigene Viewer für bestimmte Dateiendungen bzw. MIME-Typen festlegen zu können. Hierbei kann man Anwendungen auswählen, die als sicher gelten. Besonders bei den Office Documenten Word, Excel, Powerpoint sollte man von dieser Möglichkeit Gebrauch machen und stattdessen die Office-Viewer (Word Viewer 2003, Excel Viewer 2003 und PowerPoint Viewer 2003), die keine Makros kennen, installieren und als Viewer definieren:
Unter
- kann man die Word-, Excel-, und Powerpointviewer für die entsprechenden Dateiendungen sowie MIME-Typen eintragen.Falls man die Viewer nicht verwenden möchte, sollte man sichergehen, dass der Makroschutz bei MS-Word aktiviert ist und alle Sicherheitsupdates für MS-Office installiert sind, wenn man MS-Office Dokumente öffnet.
Deaktiviere unter
die Checkbox
Virenscanner können durchaus dazu beitragen, den Anwender beim rechtzeitigen erkennen von Malware zu unterstützen.
Wichtig ist jedoch, die Pegasus Mailordnerdateien vom Scan auszunehmen. Niemals dürfen die Mailordnerdateien vom Virenscanner beim schreiben gescannt, verschoben oder gar gelöscht werden, wenn der Scanner darin einen Virus entdeckt. Wenn sich ein Virus in einem Mailordner befindet, ist das kein Anlass zur Sorge. Man hat einfach ein Mail bekommen, in dem ein Virus enthalten ist. Solange man das Attachement nicht ausgeführt wird, kann der Virus nichts anstellen. Löscht jedoch der Virenscanner den Mailordner sind alle darin enthaltenen E-Mails verloren.
Bevor ein Attachment mit einem externen Programm wie z.B Word geöffnet wird (was nur auf ausdrücklichen Befehl des Anwenders geschieht), speichert Pegasus eine temporäre Datei mit der richtigen Endung im Verzeichnis C:\TEMP ab. An dieser Stelle kann und darf ein Virenwächter die Datei scannern und ein Öffnen des Attachments und Ausführen z.B. eines Makrovirus verhindern.
Mittels BCC, ist es möglich die Adressen der Empfänger der Kopien des Mails vor den Empfänger der in "TO-Header steht, zu verbergen. Ein Empfänger, an den eine BCC gerichtet ist, sieht jedoch auch alle anderen Empfänger der BCC. Das Verhalten, die BCC-Epfänger nicht voreinander zu verbergen, ist RFC-konform. Es lässt sich aber abstellen: Tools (de: Extras) Options (de: Einstellungen) Outgoing Mail Sending Mail
Allerdings gilt zu beachten, dass einige Mailserver die Empfängeradressen möglicher Weise wieder in die Header des Mails schreiben. BCC ist somit kein zuverlässiges Mittel, die E-Mail-Adressen der einzelnen BCC zu verstecken.
Ich empfehle eine Sicherung der gesamten Installation. Die wiederbeschaffbaren Dateien sind nicht so groß, dass sie bei einer Sicherung wesentlich ins Gewicht fallen. Helpy Pmail about Info gibt auskunft über die Pfade der zu Pegasus gehörenden Daten. Gehe sicher, dass alle diese Verzeichnisse und deren Unterverzeichnisse in deinem Backup vorhanden sind
Als Backupsoftware kann zum Beispiel tar oder NT-Backup zum Einsatz kommen. Bei XP-Home kann NT-Backup von der Installations-CD nachinstalliert werden: \VALUEADD\MSFT\ NTBACKUP\NTBACKUP.MSI
Der Preview Mode sollte eigentlich keine Gefahr darstellen, da der Inhalt des Mail von Pegasus nur dargestellt wird. Werder Anhänge, noch in HTML eingebettete Scrits werden beim Öffnen des E-Mails ausgeführt.
Andererseits können Programmfehler wie Buffer-Overflows und Heap-Overflows bewirken, dass über geschickt gestaltete E-Mais Code zur Ausführung gelangt. Für die aktuelle Version von Pegasus Mail sind derzeit keine solchen Exploits, mit denen man Code bei bloßen Lesen eines E-Mails zur Ausführung bringen kann bekannt. Wichtig ist auch hier, stets eine aktuelle Version von Pegasus zu verwenden, und sich Regelmäßig beispielsweise auf Heise Security und der Herstellerwebsite des Programms (www.pmail.com) über Sicherheitslücken zu informieren.Allerdings werden dort, soweit ich das beurteilen kann, nur Sicherheitsprobleme aufgelistet, für die Exploits existieren. Buffer Overflows, die vielleicht ebenfalls exploitbar sein könnten, scheinen oft nur als fixed some chrashes
in den Change-Logs auf.
Wer die automatische Mailvorschau abschalten will – ich persönlich finde sie unpraktisch – klickt einfach den Button List
. Nun hat man ein Fenster für den New-Mail-Folder (Strg+L) ohne Mailvorschau und ein weiteres für die Ordnerverwalteung (Strg+W).
Das alleinige Abschalten des Preview Modes kann jedoch niemals ein ausreichender Schutz gegen E-Mail-Würmer sein. Erstens kann der Buffer-Overflow schon beim Herunterladen des Mails oder beim parsen der Header, beim Durchlaufen des Filters auftreten. Zweitens kann der Absender von E-Mails gefälscht sein, sodass man einen E-Mail-Wurm nicht zuverlässig vor dem Öffnen des Mails erkennen kann. Auf ein ständiges altuell halten der E-Mail-Software sollte daher niemals verzichtet werden.
HTML-E-Mails haben einen schlechten Ruf, was die Sicherheit anbelangt. Verantwortlich dafür waren vor allem E-Mail-Programme (Outlook, Outlook Express, Eudora, Incredimail), die den Internet Explorer (bzw. die mshtml.dll) zur Darstellung von HTML herangezogen haben. Der Internet Explorer fiel regelmäßig durch Schwachstellen und Sicherheitslücken auf. AktiveX Elemente und in HTML eingebettete Skripts wurden bei diesen Programmen ausgeführt. Die E-Mail-Würmer Nimbda und BadTrans nutzten den so genannten Iframe Bug um automatisch ausgeführt zu werden.
Eine weitere Gefahrenquelle in HTML-Mails sind Webbugs (von engl. Bug die Wanze), mit deren Hilfe der Absender feststellen kann ob der Empfänger das E-Mail offnet.
Bei Pegasus erfolgt die Darstellung von HTML unabhängig vom Internet Explorer mithilfe einer eigenen Rendering-Engine namens BearHTML. Es werden keine aktiven Inhalte ausgeführt. Um die Privatsphäre des Benutzers vor Web-Bugs zu schützen, werden Bilder, Stylesheets oder Skriptdateien nicht aus dem Internet nachgeladen.
Eine weitere mögliche Gefahrenquelle sind Buffer-Overflows. So ließen sich alte Versionen von Pegasus durch ein zu langes font attribut in einem li-Tag zum Absturz bringen. Der früher oft instabile HTML-Renderer ter.dll wurde duch Bear-html ersetzt, das wesentlich stabiler läuft. Dennoch sollte man darauf auchten aktuelle Versionen von Pegasus bzw. bear.html zu benutzen, um HTML-Mails ohne Risiko darstellen zu können.
Pegasus Mail and Viruses
informiert über Sicherheitslücken in Pegasus bis Oktober 2000.
Der Wikipedia-Artikel Computerwurm stellt eine ganz gute Beschreibung auch von E-Maiwürmern im allgemeinen dar.
Unter www.heisec.de findet man tagseatuelle Information über Sicherheitsrelevante Fehler in Programmen, neue Viren und Würmer. Ausführlicher sind die Malwarebeschreibungen bei www.percomp.de Scannen lassen kann man verdächtige Dateien bei Jottis Malwarescan. Beim Hoax-Info Service der TU-Berlin, kann man sich über Scherze und Kettenmails informieren.
Mehr Information zum Thema Computersicherheit findet man auf www.linkblock.de. Dies ist eine Linksammlung zum Thema Computersicherheit. Schwerpunkt dieser Linksammlung liegt auf Websites die Personal Firewalls und Virenscannern kritisch gegenüber stehen.
Die FAQ E-Mail-Header lesen und verstehen
gibt Informationen darüber, wie man den Richtigen Absender eines E-Mails herausfinden kann und welche Absender Angaben ohne große Mühe gefälscht werden können.