Fehler Email Empfang

    Hallo liebe The Bat Mitstreiter

    Seit einigen Tagen habe ich in meiner Firma das Problem, das einige Emails nicht mehr gespeichert werden können. Soweit ich es in der Log-Datei sehe, seit dem 01.02.2004. Folgende Meldung erscheint in der Log-Datei:

    07.02.2004, 00:10:59: FETCH - Nachricht erhalten von xxxxxxx@t-online.de, Größe: 32357 Bytes, Betreff: "Server Report"!
    07.02.2004, 00:10:59: FETCH - Konnte Nachricht nicht speichern (Dateiname - C:\DOKUME~1\hogatex\LOKALE~1\Temp\bat5.tmp)
    07.02.2004, 00:10:59: FETCH - Verbindung beendet - 1 Nachricht(en) empfangen

    Das ist jetzt mal nur von einer Datei. Wenn dann aber mehrere Dateien sind wird es immer verrückter. Denn alle nachfolgenden Emails die abgeholt werden sollen, bleiben dann auf dem Server hängen.
    Ich habe es bis jetzt dann so gelöst, das ich einmal am Tag mit dem Postfach Inspektor auf den Server gegangen bin und habe dann die Emails die nicht gespeichert werden können gelöscht. Nur das wahre ist das nicht. Denn so kommen den ganzen Tag über keine Emails und in der Nacht werde ich von den Emails "überfallen".
    Ich habe auch schon in den Filtereinstellungen für die einzelnen Konten geschaut. Aber da ist eingestellt, das alle erst einmal abgeholt werden müssen und dann erst gelöscht. Im Moment fällt mir zu dieser Sache nichts weiter ein.
    Ich benutze The Bat in der Version 1.62r im Netzwerkbetrieb, Betriebssystem Windows2000 SP4.

    Hat vielleicht jemand von Euch eine Idee was da falsch laufen könnte?

    Es grüßt ganz nett aus dem schönen Land an der blauen Müritz
    neko

    Ich könnte mir vorstellen, daß es sich um einen Wummail handelt, und diese (wie alle eingehenden eMails) als bat?????.tmp zwischengespeichert werden soll. Da Du aber ein AntiVirus-Programm laufen haben dürftest, blockiert dieses das Speichern und der Empfang läuft schief.

    Welches AntiVirus-Programm verwendest Du? Sieh' mal in dessen Logdatai nach, ob dort diese Datei auftaucht!

    Unter Kaspersky 4.5 kann man dank der genauen Konfigurationsmöglichkeit, einfach folgende Dateien von der Monitor-Überwachung ausnehmen:

    bat?.tmp
    bat??.tmp
    bat???.tmp
    bat????.tmp
    bat?????.tmp

    Melde Dich!!
    Hendrik

    Hallo Hendrik

    Na das geht ja echt fix hier mit Antworten. Danke.

    Ich benutze den Virenscanner Mcafee Enterprice 7.0. Und Du hast recht, in der Log-Datei von dem Programm habe ich folgendes gefunden:

    07.02.2004 00:10:59 Gelöscht (Säuberung fehlgeschlagen, da die Datei nicht gesäubert werden kann) PC2\Hogatex C:\Dokumente und Einstellungen\hogatex\Lokale Einstellungen\Temp\bat5.tmp\BAT5.TMP W32/Mydoom.a@MM

    Ich habe dank Deiner Hilfe mal die auszuschließenden Dateien beim Zugriff Lesen/Schreiben auch für "bat*.tmp" gesetzt. Ich werde das heute mal so laufen lassen und in der Nachtschicht wieder schauen was gescannt wurde oder auch nicht.
    Nur habe ich da jetzt folgende Frage. The Bat speichert beim Abholen der Emails diese erst einmal als "bat*.tmp" ab. Wenn diese jetzt nicht mehr geprüft wird, kann doch diese Email dann mit dem Virus sich auf dem System fest setzen. Somit habe ich dann eine Email mit Virus...*murx Oder habe ich da jetzt einen Denkfehler?

    Auf alle Fälle schon mal Danke für deinen Tip. Werde dann heute in der Nacht sehen ob alles klappt.

    Ich wünsche ein nettes Virenfreies Wochenende :D

    Es grüßt ganz herzlich aus dem schönen Land an der blauen Müritz
    neko

    Wenn MacAfee in eMail/MIME Dateien scannt, dann pass aber nachher auf, daß Dir der Affe nicht schnell die gesamte Inbox löscht, sobald der Wurm da drin sein sollte... ichnutze selber nicht Mcafee, kann also nicht sagen, ob diese MÖglichkeit da so besteht.

    edit: wenn Du statt bat*.tmp die 5 von mir geposteten bat???.tmp nähmest, dann hättest Du weniger unnötige Dateien von der überwachung ausgeschlossen *ich paranoid bin*

    edit2: ist nicht mein Tag heute... Deine Frage erst jetzt gesehen...: Es ist absolut nicht schlimm, wenn Du einen Wurm in Deiner Inbox hast. Im allgemeinen sind Würmer als exe, pif, bat, scr Datei und Du kannst die aus TheBat! heraus sowieso nicht starten. (siehe Optionen -> Einstelungen -> Warnungen -> "Verhindert wird das Öffnen..." ich habe da

    Code
    *.EXE,*.COM,*.BAT,*.CMD,*.VBS,*.PL,*.BAS,*.JS,*.JAVA,*.REG,*.SHS,*.PIF,*.SCR,*.DLL,*.SSH,*.CHM,*.HLP,*.*.,*.LNK,*.{*,*.hta,*.{*}


    drin stehen)

    Beim Mydoom kann es ein, daß er in einem ZIP ist, das Du öffnen könntest, und dann daraus den Wurm starten. Dann würde aber Dein AntiVirus anschlagen, und immernoch nichts passiert sein. Aber wenn man ein Minimum an Verstand hat, würde man sowas ohnehin nicht machen.

    Selbstärtig, wie man es von Outlock kennt, kann in TheBat! nichts bösartiges aktiviert werden. Es braucht immer den Klickfinger des Users dazu. Du musst also einfach die Würmer in den Papierkorb verfrachten (oder beim Klick auf "Löschen" die Umschlalt/Großbuchstabentaste festhalten -> dann kommt's nicht in den Papierkorb.

    Erschrick aber nicht, wenn Du irgendwann mal Dein ganzen PC mit dem AV scannen solltest: solange Du die Inbox nicht komprimiert hast, ist der Wurm darinnoch existent, was keine Gefäht darstellt.

    Einmal editiert, zuletzt von Hendrik (7. Februar 2004 um 07:52)

    Hallo Hendrik

    Habe Deinen Hinweis übernommen und die auszuschliessenden Dateien so geändert wie Du es angegeben hast. Ist mir in der Firma doch sicherer.
    Aber eine Frage beschäftigt mich nun doch wieder. Du schreibst: "Wenn MacAfee in eMail/MIME Dateien scannt, dann pass aber nachher auf, daß Dir der Affe nicht schnell die gesamte Inbox löscht, sobald der Wurm da drin sein sollte." Wie sollte das denn durch diese Option möglich sein? McAfee unterstützt dieses und ich habe es auch so eingestellt.

    Ich danke Dir für Deine Geduld und Hilfe.

    Es grüßt ganz herzlich aus dem schönen Land an der blauen Müritz
    neko

    Ich kann Dir leider keine genauen ANgaben zu McAfee machen. Ich habe das noch nie näher als in einer Schachtel im Supermarkt gesehen.

    Bei Kaspersky ist es allerdings so, daß man im Monitor/Hintergrundwächter das Überwachen von Archiven aktivieren kann. Auch von eMails und eMail-Datenbänken, wie sie in TheBat zum Ablegen der gesamten eMails verwendet werden. Bei Kaspersky ist es auch möglich, solche Archive (d.h. allgemein große Dateien, die viele einzelne kleine enthalten, also nicht nur ZIP, RAR oder CAB, sondern auch eMAils als EML/MSG oder eben die Inbox-Datenbank MESSAGES.TBB) ganz zu löschen, wenn sie etwas infiziertes enthalten.

    Das scheint bei McAfee ja auch möglich zu sein, wie es aus dem von Dir geposteten Logeintrag hervor geht:

    "07.02.2004 00:10:59 Gelöscht"

    Offenbar sogar ohne erst noch nachzufragen.

    Das Überwachen solcher Email-Datenbanken ist aber sicherheitstechnisch unnötig und belastet nur unnütz den Prozessor, da ja alle eMails entpackt werden müssen, wenn Du auf die Inbox zugeifen willst. Bei mir in Kaspersky habe ich all diese Formate nicht überwacht.

    Automatisches Löschen ist prinzipiell nicht anzuraten, da ruckzuck was weg sein kann, was Du vielleicht noch gebraucht hättest.

    Vielleicht kannst Du einfach in die Liste, wo Du schon die bat???.tmp usw.eingetragen hast noch MESSAGES.TBB dazuschreiben? Dann werden die gesamten TheBat!-Ordner nichtmehr überwacht, was sich sicher auch in der Geschwindigkeit wiederspiegeln dürfte.

    Die Sicherheit ist dadurch nicht beeinträchtigt, da ja ein Wurm erst auf die Platte geschrieben werden müsste, bevor er ausgefüht werden kann. Und das verhintert ja in jedem Fall der Wächter... :)

    Gruß Hendrik

    PS: Freut mich, daß ich Dir helfen konnte...

    Hallo Hendrik

    So Dank Deiner Erklärung bin ich nun wieder schlauer geworden :D

    Habe jetzt die Einstellungen in McAfee überprüft und korrigiert, so wie Du es angegeben hast. Zusätzlich habe ich noch einen Filter unter "Selektive Übertragung" angelegt. Dieser löscht jetzt gleich alle Emails mit den Kennungen von dem Virus. Ich muss das so machen. Denn da in meiner Firma auch Auszubildende an den Rechnern arbeiten, kann ich nicht garantieren, das doch mal so eine Mail geöffnet wird und sonst was damit gemacht wird. Diese dürfen also in der Fledermaus gar nicht erst auftauchen. Ein Testlauf hat funktioniert. Nun warte ich auf den nächsten Virus und ändere einfach den Filter.

    Danke noch einmal für Deine Hilfe. Ich hätte sonst ewig gesucht.

    Es grüßt ganz herzlich aus dem schönen Land an der blauen Müritz
    neko