Funktionsweise der Untersuchung von .pst-Dateien

[SecITler]

Hallo zusammen, bei uns ist die Frage aufgekommen, ob beim Scannen von PST-Dateien auf Dateiebene auch die in den Mails beigefügten Anhänge berücksichtigt werden, bzw. was genau passiert, wenn hier eine schädliche Datei gefunden wird? Werden infizierte Anhänge hier lediglich aus der PST-Datei von Kaspersky entfernt, werden ganze Mails gelöscht oder läuft die Desinfektion/Löschung komplett anders ab? Ich hoffe, ich konnte die Frage einigermaßen verständlich formulieren. Vielen Dank im Voraus.

[Schulte]

Hallo SecITler, willkommen im neuen Forum. Könntest Du uns bitte noch das eingesetzte KL-Produkt nennen? Du hast im Heimanwenderbereich gepostet. Bei KAV/KIS/KTS ist die Untersuchung der Maildateien per Voreinstellung deaktiviert und das hat auch seinen Grund. Eine Untersuchung der .pst-Dateien ist zwar möglich und es werden auch Anhänge untersucht, eine Desinfektion sollte aber dringend vermieden werden. Die Wahrscheinlichkeit, dass danach die .pst-Datei unleserlich ist, ist einfach zu hoch. Falls Du ein Businessprodukt benutzt, gilt vieleicht eine andere Empfehlung. Dann würde ich Dein Thema in den deutschen B"B-Bereich verschieben.

[SecITler]

Hallo, danke schon einmal für die Antwort. Bei dem Produkt handelt es sich um Kaspersky Endpoint Security 11.0.1.90 für Windows. Das Ganze sollte somit eig. in den Businessbereich. War leider mein Fehler.

[alexcad]

.... bei uns ist die Frage aufgekommen, ob beim Scannen von PST-Dateien auf Dateiebene auch die in den Mails beigefügten Anhänge berücksichtigt werden, bzw. was genau passiert, wenn hier eine schädliche Datei gefunden wird? Werden infizierte Anhänge hier lediglich aus der PST-Datei von Kaspersky entfernt, werden ganze Mails gelöscht oder läuft die Desinfektion/Löschung komplett anders ab?

Hallo SecITler, first of all: ich würde dir ein Upgrade auf die Version KES11.1 empfehlen, siehe: https://community.kaspersky.com/b2b-deutschsprachiges-benutzer-forum-65/infos-zu-kes-kaspersky-endpoint-security-windows-192 und https://support.kaspersky.com/de/kes11#downloads Dann zu deiner Frage: Das Modul "Schutz vor E-Mail-Bedrohungen" scannt auf Netzwerkebene nach Schadcode. Am effektivsten ist das, wenn Outlook mit dem Kaspersky Plugin Verwendung findet. Der Echtzeitschutz "Schutz vor bedrohlichen Dateien" schlägt an, sobald ein infizierter Anhang gespeichert oder geöffnet wird - auch wenn das direkt aus der Mail geschieht, da der Mail-Client die Datei dazu in einen temporären Ordner im Benutzerprofil zwischen speichert. Hier wird dann der Zugriff auf die infizierte Datei blockiert und diese wird je nach Einstellung desinfiziert oder gelöscht. Bei geplanten Scan-Aufgaben lässt sich der E-Mail-Postfachspeicher zum Untersuchungsbereich hinzufügen ... ... allerdings löscht Kaspersky keine Objekte aus Datenbanken, also auch nicht aus dem Postfachspeicher. Dieser Umstand trifft auch auf das Eingangs erwähnte Modul "Schutz vor E-Mail-Bedrohungen" zu. Wie im Screenshot zu sehen ist, wird der Postfachspeicher mit Standardeinstellungen nicht gescannt und ich würde auch nicht dazu raten, siehe Unten. Infizierte Objekte werden gemeldet, der Virenzähler geht nach oben und die Infos stehen im Security Center unter "Erweitert" - "Datenverwaltung" - "Backup" (Quarantäne gibt es in der KES11 nicht mehr), sowie natürlich in den lokalen Berichten/Speichern. Sowohl im KSC, als auch lokal lässt sich das Löschen/Desinfizieren/Wiederherstellen der Objekte anstoßen: Objekte, die in einem Postfachspeicher gefunden wurden lassen sich dabei an den eckigen Klammern erkennen. Grüße Alex

[Anguel]

... allerdings löscht Kaspersky keine Objekte aus Datenbanken, also auch nicht aus dem Postfachspeicher.

Auch wenn mit alexcad an dieser Stelle wahrscheinlich widersprechen wird, bin ich der festen Überzeugung, dass Kaspersky mit aktivem Outlook-Addin sehr wohl infizierte Dateien auch vom E-Mail-Server entfernt. Siehe auch die ausführliche Diskussion im alten Forum: https://forum.kaspersky.com/index.php?/topic/409065-outlook-anti-virus-addin-l%C3%A4uft-nicht/&do=findComment&comment=2857599 Grüße Anguel

[alexcad]

... Auch wenn mir alexcad an dieser Stelle wahrscheinlich widersprechen wird...

Wird er nicht :slight_smile: leider ist es ja so, dass Kaspersky das Verhalten ganz gern mal ändert ohne das zu kommunizieren oder/und dokumentieren. Am besten kann man das an den Einstellungen in der Richtlinie sehen, die dies bzgl. noch einen alten Stand wiederspiegeln. Ärgerlich ist in diesem Zusammenhang, dass die Anwendung sich nicht immer so verhält, wie die Formulierungen in der Richtlinie es suggerieren. Grüße Alex