AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Eine EXE sollte immer gepackt verschickt werden, um beim Adressaten und den dazwischenliegenden Admins gar nicht erst den Verdacht aufkommen zu lassen, man führe Böses im Schilde.

Ein DAX-Konzern verlangt sogar, das der Name der ZIP Datei das Wort ***** enthalten muss. Dieses Zauberwort ist nur wenigen bekannt und so hält man sich anonym gezippte und damit unerwünschte EXEn vom Hals.

Es sollte beim Adressaten einiges an bewusster Arbeit nötig sein, um die EXE bei sich zu speichern und auszuführen. Nur so lassen sich einigermaßen zuverlässig die Ich-klick-Dich-TrojanerVirenbefälle vermeiden. Denn der Anwender ist leider zu blöd.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Hat beim Krypto-Trojaner ja gut geholfen...

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Zum Beispiel weil Outlook direkt angehangene Executables direkt ausfiltert (das mehr oder minder völlig zu recht) - und zwar ohne den Nutzer darüber zu benachrichtigen*. Oder auch weil man direkt angehangene Executables schnell mal versehentlich gestartet hat, was Schadsoftware noch schneller auf die Kiste bringen kann.

* Ja, ich weiß, dass Outlook kein Mailprogramm sondern eine Krankheit ist, aber das ändert nichts daran, dass man nicht immer weiß, ob der Empfänger diesen Müll verwendet.

Das ist richtig, aber das ist ein etwas anderes Problem. Denn es ist ein Unterschied, ob ich ein Executable erwarte oder nicht. Wenn ich keines erwarte, dann schaue ich mir an, von wem das Ding kommt und frage notfalls nach, ob der Anhang bewusst/absichtlich verschickt wurde. Dass sich so viele Leute per Mail irgendeinen Mist einfangen, liegt aber an ganz anderen Gründen, die sich auch nicht durch technische Maßnahmen beheben lassen sondern nur durch soziale Interaktion, d.h. den Leuten beizubringen, wie eMail zu verwenden ist und welche Fehler man vermeiden sollte.

MfG Dalai

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Das ist einfach ein Bewertungssystem für die Benutzer.
Wenn du einen Virus prüfen lässt und genau weisst, dass es sich um einen Virus handelt, dann klickst du nach dem Hochladen auf den Teufel :twisted:.
Falls du deine eigene Delphi-Exe hochgeladen hast, dann klickst du auf den Engel :angel:.
(wobei du natürlich sicher sein solltest, dass dein Entwicklungsrechner nicht virenverseucht ist und deine Exe nach dem Linken von einem Virus befallen wurde)
Da die meisten Benutzer sich kooperativ verhalten und keine mutwillig falschen Bewertungen abgeben, ist eine höhere Anzahl von Teufeln ein starker Hinweis, dass es ein Virus ist (obwohl vielleicht keiner der Virenscanner den Virus kennt).

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Einspruch. Großes Problem an der Krypto-Geschichte war, dass die Datei aussah, wie ein Dokument und die Nutzer es eben öffnen wollten (worauf es aber ausgeführt wurde). Öffnen ist etwas anderes als Ausführen. Die Geschichte wäre weit harmloser ausgegangen, wenn:

1. Im Dateibrowser auf den ersten Blick ersichtlich wäre, ob es sich um Daten oder Executable handelt.
2. Vom Dateibrowser besser zwischen Öffnen und Ausführen unterschieden würde.

Doch, das könnte man besser machen. Von vielen anderen Dateibrowsern wird es besser gemacht. Natürlich steckt auch Psychologie dahinter, aber nicht einzig und allein. Ob ich direkt im Mailprogramm schon drauf reinfalle oder erst nach dem Entpacken im Dateibrowser, ist letztlich egal.
Ich glaube, ich sagte in einem anderen Thread, ich wäre auf eine solche Mail nicht reingefallen. Und da bin ich mir auch zu 95% sicher, einfach weil ich den oben genannten Punkten nicht erlegen bin. Konqueror führt eine Datei nicht per Doppelklick aus (Öffnen schon, aber nicht Ausführen!), und in Konqueror sehen Executables auch anders aus.

Aber es ist nunmal total Wayne, ob die Datei zuvor in einem Archiv lag oder nicht :shock: ¹

Und wenn ich mir jetzt einen Client schreibe, der automatisch alle Archive rauswirft, darf die dann auch keiner mehr verschicken? Wenn der Empfänger keine haben will - sein Problem, ich bin meinem Part nachgekommen, ich habe die Daten verschickt, der Fehler liegt dann nicht auf der Absenderseite. Für die Empfängerseite kann ich nichts für.

Nicht dass ich jemals Binaries verschicken würde. Ich würde eine tar.gz mit dem Quellcode verschicken, damit kann man schließlich viel mehr anfangen. Aber das sei jedem selbst überlassen. Das Internet ist allübergreifend über alle Betriebssysteme, Mailclients und Dateibrowser, da ist es unsinnig, Konventionen an einzelne davon anzulehnen - denn es sind eben immer nur einzelne, eine Allround-Lösung, die überall perfekt ist, gibt es sowieso nicht - also einfach halten, keinen großen Aufwand betreiben, und sich nicht zu sehr auf ein Empfängersystem fixieren - es lohnt sich einfach nicht.





¹) bzw. in der UNIX-Welt ist es um einiges sicherer, es als Direktanhang zu haben, als es zu extrahieren. Denn beim Extrahieren wird das +x-Flag ggf. automatisch gesetzt, bei einer direkt angehängten Executable muss ich es erst selbst setzen. Und das heißt dann ja schon, dass ich es Ausführen will, Lesen kann ich sie ja auch ohne :lol:

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Auf welche "Sicherheitsmaßnahme" beziehst Du deinen (berechtigten) Einwand?

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment
 

Also bei mir steht das dann dran. Und davon abgesehen lässt sich das natürlich auch einstellen.

Allerdings würde ich selbst das für mich ohnehin nicht umstellen, da eine direkt verschickte Exe zu 99% ohnehin ein Virus ist. Deshalb habe ich das im Gegenteil auf meinem Server explizit eingestellt, weil es dort nicht standardmäßig so war.

Welche auch nur annähernd gleichwertigen Alternativen würdest du denn empfehlen?
(Ja, die GUI der 2013er Version ist in der Preview dermaßen kontrastarm, das gefällt mir auch nicht...)

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Also ich versteh hier so ein paar Aspekte nicht.

In meinem Fall geht es um eine geschäftliche Email. Der Empfänger hat quasi den Inhalt mehr oder weniger bestellt.
(vielleicht sogar bezahlt ;) )

Es macht doch null Unterschied, auf welchem Weg ich das Ding nun zum "Empfänger" bekomme, weder technisch, noch welches Produkt ich dafür einsetzte (abgesehen von den mehr oder weniger intransparenten Automatismen, die mich bei einigen Produkten schützen bzw. unterstützen wollen).

Es gibt erstmal nur 2 Möglichkeiten:
Entweder meine Datei ist sauber (wovon ich normalerweise ausgehe) oder sie ist verseucht.
Der letzte Fall ist der interessante. Ich bin nämlich selbst unbemerkt ein Virenopfer geworden.

Eine weitere Möglichkeit ist eben ein Fehlalarm eines AV Systems, darum ging es mir hier. Und vor allem, wie man das verifizieren kann.

Bei mir läuft ein serverbasiertes System das Emails, Dateisystem und Internetzugriffe prüft, plus FF plugin, das script ausführung unterbindet. Das System wird automatisch aktualsiert, warnt bei mangelnder Aktualität, kostest Geld usw. . Eben wie das heute so ist.
Ich wähne mich also erstmal auf der sicheren Seite. Ja ich weiß, es könnte uns auch der Himmel auf den Kopf fallen.

Warum soll nicht das verschickt werden, worum es auch wirklich geht? Gezippt war es tatsächlich, um Bandbreite zu sparen. Sourcen statt EXE würde ich in dem Fall auch nicht verschicken, das entspricht nicht dem vorliegenden Geschäftsmodell. Die Sache mit der Signatur wäre da auch noch mal interessant. Kann ich einen Virus "ungestört" verschicken, wenn ich die Email nur schön signiere?

Also es geht mir nicht darum Aufwand zu treiben, damit ein Alarm abgewürgt wird, sondern es geht lediglich darum, mit geringst möglichem Aufwand, einen (Fehl)alarm zu verifizieren.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Wurde doch genannt: Bei Virustotal checken und wenn dort es nur bei 1-2 System vorkommt bei dem Kunden bei dem es vorkommt darauf hinweisen und wenn du weißt wer der Dienstleister ist diesen auf diesen Falsepositive hinweisen und um Korrektur bitten.

Ich würde gar keine Exes verschicken und die fertigen Versionen auf dem Server bereit stellen und dem Kunden einen Link geben. Evtl. auch ein Supportbereich einrichten in dem der Kunde seine Exes abholen kann. Wenn man keinen Webspace in der art zur verfügung hat (ist ja bei dir vermutlich nicht der Fall) nimmt man Dienste wie SendThisFile in Anspruch.

Die Wahrscheinlichkeit eines False-Positive ist geringer. Viele (alle/einige?) Virenhersteller lassen das Vorhandensein positiv in die Bewertung dre Exe einfließen. Generell wird man damit keine 100% Erfolg haben da es ja schon signierte Viren/Trojaner gab.

AW: 1 und 1 verhindert email Annahme mit Delphi EXE attachment (erledigt)
 

Genau, ich habe ja auch geschrieben, was dabei rauskam und den Thread als erledigt gekennzeichnet.

Mich wundert es nur, was teilweise für Empfehlungen gekommen sind. So jetzt auch von Dir. Was ändert es am Problem, wenn der Kunde es bei mir downloaden kann und seine AV dann trotzdem Alarm macht?
Und wieso keine Exe verschicken? Ich fahr ja auch nicht mit dem Taxi, wenn ich ein eigenes Auto hab.
Wenn es mein Job wäre, den ganzen Tag Programme zu deployen, würde ich es vermutlich anders machen. Aber so eine pauschale, unbegründete Warnung finde ich sinnlos.