Beiträge von Arno

mala: Zunächst empfehle ich, mit administrator-Rechten (!) zu prüfen, ob die automatische Ablage für den genannten Ausgangsordner noch korrekt eingetragen ist.
Dazu bitte rechte Maustaste auf diese Ordner und Eigenschaften wählen.
Unter Dienste sollte der Haken Beo "automatische Ablage aktivieren" gesetzt sein und eine Jahresunterteilung gewählt sein.
(Die Monatsablage ist recht kontraproduktiv). Einträge verschieben nach 3 Monaten ist ein recht guter Wert.
Die automatische Bereinigung sollte ausgeschaltet sein, sonst werden Einträge möglicherweise gelöscht, bevor sie in die Ablage geschoben werden können.
Bei Optionen / Ablageordrner sollte entweder der Haken gesetzt sein oder ein dunkles Viereck anzeigen, das die Eigenschaft des übergeordneten Archivs maßgeblich sind.
Die Ablage erfolgt natürlich nur, wenn Einträge im Ausgangsordner älter als drei Monate sind.

Pascal: Öfter mal was Neues. Danke für den Hinweis.
Ich werde zukünftig weniger Support-Fragen beantworten und statt dessen auf das David InterCom verweisen.

Rechtlich kann es wohl - strenggenommen - darauf hinaus laufen, dass der Mitarbeiter den Betrag selber zahlen muss, wenn er nicht ausdrücklich befugt war, für den Betrieb kostenpflichtige Bestellungen vorzunehmen. Eine Ausnahme dürfte gelten, wenn dem Administrator eine Pflichtverletzung nachgewiesen wird.

Ist der Site-ID eine gültige Lastschrift-Adresse oder eine Kreditkarte für die Bezahlung dieses Features hinterlegt?

@apfelkönig:
Der Empfang von eMails läuft normalerweise ber den Grabbing Server Dienst.
In den Datenstrom dieses Dienstes kann der Virenschutz eines Drittherstellers nicht eingreifen.
Deshalb ist eine Virenfilterung über den integrierten Doorkeeper Dienst empfehlenswert.

Nach erfolgter Ablage in einen David-Ordner kann der Virenschutz eines Fremdherstellers sehr wohl aktiv werden und das David Filesystem durchsuchen.
In seltenen Fallen wird er dann sogar fündig: Wenn zum Zeitpunkt der Datenübermittlung für den Doorkeeper keine passende Signatur bereit stand.

Es gibt auch Wege, den eingehenden Datenstrom zu filtern, bevor er den David-Server erreicht. Das benötigt aber eine aufwendige Doppel-Konfiguration für jedes Postfach.

Grundlagenwissen:

David basiert auf einem FILESYSTEM, nicht auf einer Datenbank.
Alles was in David abläuft - außer der Indizierung - hat nichts mit einer Datenbank zu tun.
Folglich wird es auch keinen Erfolg haben, Funktionsfehler eines Chat in einer Datenbank zu suchen.

Die Instanz David der SQL-Datenbank enthält nur Informationen, unter welchem Pfad ein Eintrag wie das Suchwort "EDV" zu finden ist.

Wenn ein Locky-Virus richtig zuschlägt, dann gibt es keinen Wiederherstellungspunkt mehr, um den PC darauf zurück zu setzen.

Das einzige was dauerhaft hilft ist, die Platte des PC zu formatieren und ein Image von einer externen Festplatte wiederherstellen, die zum Zeitpunkt des Angriffs nicht mit dem Rechner oder dem Netzwerk verbunden war.

"Zahlen" wäre übrigens die falsche Entscheidung, so die Mitteilung des BSI.
Nicht nur, weil dadurch unnötig Gelder in die Kassen der Angreifer gespült würden.

Zur Antwort von stylistics:
In den letzten Jahren habe ich im laufenden Betrieb der Kundenserver oft Arbeitsspeicher-Belegungen der David SQL Serverinstanz von deutlich mehr als 1,6 GB gesehen. Mir war nicht bekannt, dass dafür eine Installation der Vollversion eines SQL-Servers notwendig war. Aber ich werde zukünftig mal darauf achten.

SQL-Server 2014 mit David ist noch "Experimentalbereich", zumal Acronis als Sicherungs-Software damit immer noch Probleme hat. Möglich dass die in der neuesten Version von Acronis Backup behoben sind. Aber der Download ist erst seit ein paar Tagen online, und ich hatte noch keine Zeit zu Tests.

@Teelicht:
Das Software-Produkt heißt David, nicht Tobit.
Der Unterschied lieget im Preis:
David ist ab ~ 70,- € zu haben.
Tobit.Software schätze ich auf einen Kaufpreis jenseits der 10 Millionen Euro Grenze.

Rechner herunterfahren oder zumindest die David-Dienste stoppen.
Image-backup der David Partition erstellen und auf einer neuen, eventuell zusätzlichen Festplatte wiederherstellen.
Notfalls geht auch copy & paste.

Jedwede Bastelei, um Daten zu komprimieren und "vielleicht" überflüssiges zu löschen hilft nur vorübergehend.
Falls der Brötchengeber kein Geld für eine neue Festplatte hat dann bitte rasch den Arbeitgeber wechseln. Den der jetzige wird bald keine Gehälter mehr zahlen können.

Falls er ausreichend Geld besitzt, dann für die David-Partition bitte eine Server-geeignete SSD-Platte einsetzen (24/7 ready, Controller für hohen Schreibdurchsatz). Da Kommunikationssysteme wie David viele Schreib- und Löschvorgänge ausführen wäre eine einfache Notebook-SSD nach ganz kurzer Zeit hinüber.

Wenn der Brötchengeber sowie so einen Serverwechsel plant dann für die David-Partition bitte ein Gerät mit einer der neuen SSDs wählen, die direkt mit dem PICe-Bus kommunizieren, ohne den Umweg über SATA-6 zu nehmen. Auch die gibt es schon recht preiswert für Serveranwendungen. Der Durchsatz um den Faktor vier höher gegenüber einer herkömmlichen Server-SSD wie INTEL 3100 u.ä.
Bei einem Filesystem wie David ist der dadurch erreichbare Performance-Zuwachs atemberaubend. Die SQL-Suche profitiert hingegen eher von Arbeitsspeichergröße und LAN-Durchsatz: 16GB sind heute schon untere Grenze, ab 32 GB wird's einigermaßen munter.

Nicht vergessen die alte David-Partition vorm Starten der Dienste im Betriebssystem zu deaktivieren.

Ich kann mir das gerne mal per Fernwartung ansehen. Aber vor Freitag geht das nicht - der Terminkalender ist morgen voll.
IP-Telefon mit David-Anrufbeantwortern: 02131-1515360.

[Blockierte Grafik: http://www.antons.de/public/faxprotokoll.jpg]

Wie das Faxprotokoll zeigt gab es mitten im Sendevorgang einen Abbruch. Genau zu diesem Zeitpunkt wurde die Nutzung des Internet-Zugangs bewusst stark erhöht. In der Folge stellte die hier als Gateway zwischen All-IP und ISDN verwendete BE.IP plus von bintec-elmeg der Remote CAPI einer RT1202 nicht mehr genug DSL-Bandbreite zur Verfügung. Ursache KANN sein, dass nach Einrichtung des Gateway-Modus und der VoIP Clients auf der BE.IP noch keine Priorisierung der Datenpakete für die Faxkommunikation erfolgt ist.

Es ist also etwas Aufwand in der Router-Konfiguration nötig, um Fax-Signale via ALL-IP zu übertragen.

Stand: 07.3.2016
Dipl.-Ing. Arnold Antons VDI

Diese Methode, den Zielstring mit einem #-Zeichen abzuschließen funktioniert bei Telefax-Sendungen gut. Seit letzten Freitag läuft All-IP bei mir, so dass ich die nötigen Tests vornehmen kann. Die Tests mache ich momentan als Vorbereitung der Umstellung eines Telekom Geschäftskunden, der wöchentlich ~ 5000 Telefaxe per ISDN via David verschickt.

Bis jetzt lauft das FAX über Telekom Deutschland LANIP-Voice/Data sehr zufriedenstellend. Egal ob mit oder ohne abschließendem #-Zeichen

Nun kommt das ABER:

Wenn Telefon-Adressen via david active sync auch auf Smartphones wie iPhone mit aktuellem IOS genutzt werden sollen, dann darf das #-Zeichen NICHT als "Vollständig"-Signal hinter die Telefon-Nummern gesetzt werden. Das IOS Betriebssystem kann dieses Zeichen nicht korrekt der vorgesehenen Funktion zuordnen. Es geht daher in einen Fehlerstatus und bricht den Anruf ab.

Nein, das war kein Aprilscherz.
Das Auflegen wurde bei dreiadrigen Analog-Systemen zwar auf durch Drücken der #-Taste signalisiert. Die Taste hieß daher Erd-Taste.
Aber wir befassen uns heute mit IP-Telefonie. Und da löst das Drücken der #-Taste andere Vorgänge aus.

Infos dazu finden sich übrigens in der Online-Hilfe zu aktuellen bintec-elmeg Routern wie BE.IP plus in der Rubrik VoIP-Einstellungen:

• Wahlpause
  
  Geben Sie die maximale Verzögerungszeit ein bis das System die eingegebene Telefonnummer als vollständig wertet und der SIP-Wählvorgang (Senden der SIP INVITE Message) startet. Diese Zeitspanne wird mit jedem Tastendruck zurückgesetzt. Mögliche Werte sind 0 bis 15. Der Standardwert ist 5.
  

  Wenn Sie die Rufnummer mit # abschließen, wird sofort gewählt.

Es ist eine Schulungsaufzeichnung aus dem Archiv der Telekom vom April 2015, die wahrscheinlich einige Fax-Probleme verstehen und lösen hilft. In dem Video sagt der Vortragende sinngemäß folgende Sätze:

"Es wird gelegentlich von Verbindungsproblemen zwischen All-IP und herkömmlichen ISDN-Anschlüssen berichtet. Um das zu verstehen müssen wir folgendes wissen: Bei Anruf aus dem ISDN-Netz muss erst das Gateway zum IP-Netz überwunden werden. Dass kann eine kleine Verzögerung bewirken. Umgekehrt, vom IP-Netz zum ISDN-Netz, gibt es diese Gateway so nicht. Aber dafür kann es vorkommen, dass ein Quittungssignal erwartet wird. Kommt das nicht, dann wird das Gespräch erst nach einer Pause von 20 Sekunden im ISDN-Netz vermittelt. Um diese Pause zu vermeiden genügt es, nach Wahl der Rufnummer zusätzlich die Doppelkreuz-Taste zu drücken."

Die Doppelkreuz-Taste ist die # Taste. Es gibt sie rechts unten im Ziffernblock auf praktisch jedem Festnetz-Telefon. Ich kann das Ergebnis hier noch nicht prüfen, weil mein Büro erst in der ersten März-Woche auf All-IP umgestellt wird. Aber es könnte tatsächlich helfen, einfach in den David Adressdaten für die Fax-Empfänger ein # hinter die Rufnummer zu setzen.
BITTE AUSPROBIEREN UND DAS ERGEBNIS HIER VERÖFFENTLICHEN.

Hallo matthiasr,

herzlich willkommen als neuer Beitragsschreiber hier im Forum.
Seien Sie bitte so nett, sich kurz etwas vorzustellen.

Dann ist die Kommunikation nicht so anonym, und wir können eher davon ausgehen,
dass interessant aussehende Tipps nicht auf Schadcode-hinterlegte Webseiten und entsprechende Links führen.
Entsprechende Versuche dieser Art gab es leider in den letzten Monaten schon mal.
Daher ist bei Einträger neuer Mitglieder schon etwas Vorsicht geboten.

NoHopeNoFear: Stimmt, Graylisting müsste beim Provider aktiviert werden, wenn eMails per GrabbingServer abgeholt werden.

Der MIS Spamschutz von David sortiert die Spams mit Virenanhang momentan erstaunlich zuverlässig aus.
Beim Virenschutz sieht's nicht so erfreulich aus: Weder die Wochened-Prüfung von David Doorkeeper noch Norman Endpoint Protection schlagen bei der Sammlung im Spamorder an, solange die Anhänge nicht geöffnet werden. Genau den Check bereite ich gerade auf einem abgeschotteten Notebook vor, auf das ich eine komplette StronBox-Sicherung in ein aktuelles David Basic kopiert habe. Brauche meinswegen etwas Zeit für die Kunden, deswegen bin ich mit den Tests noch nicht weiter gekommen.

Vorsichtshalber bin ich zu Kunden rausgefahren, für die ich die Administration von Server und Netzwerk mache. Bei jedem mal eine vollständige Acronis-Sicherung des Servers auf eine externe USB3-Platte ausgeführt und dann die Platte wieder von Server und LAN getrennt. Nur wenn die Kunden ein Bandlaufwerk gehabt hätten mit funktionierender Sicherung hätte ich mir diesen Aufwand gespart.

Einstellung der Firewall oder des Spamschutz dahingehend, dass jede eingehende eMail mit einem .doc, .docm, .pdf.exe, .doc.doc und jede .exe sofort kommentarlos gelöscht wird, kann viel Arbeit ersparen.

Zunächst bitte ausschließen, dass es sich um gespoofte Absender-Adressen handelt.
Dazu bitte im betroffenen David-Client unter Optionen / Einstellungen / Ansicht / Eintragsliste der haken setzen bei "eMail-Adresse vollständig anzeigen."

Zur Zeit laufen Virensendungen rund, bei denen gültige eMail-Adressen als Absender verwendet werden.
Die Gültigkeit wurde von dem Absendern wahrscheinlich durch beantwortete Testnachrichten an einen Empfänger wie hilfe@david-forum.de geprüft.
Sobald die Nachricht vom unbedarften Empfänger verifiziert wurde ist sie an die Viren-Versender verkaufbar.
Jede verifizierte Adresse ist da etwa ein bis drei Euro wert.

Diese verifizierten Adressen landen dann auf den Virenmails als Absender.
Im einfachen Fall läuft das nur als optisches Replacement der angezeigten Adresse.
Aber ich verzeichne hier auch Honeypot-Reaktionen, wo die Versender sich mehr Mühe gemacht haben.
Da sind der Return-path, die envelope-from und die x-envelope-To korrekt vom Virenversender eingetragen worden.

Ich empfehle, die eMail-Adressen nicht mehr auf Briefbögen und Webseiten anzugeben und die Zeichen vor @domainname öfters zu wechseln.
Auf Webseiten muss aus Sicherheitsgründen ein Kontaktformular auf einer gesicherten WeBseite genügen. Aber dem spricht der aktuelle Stand der Rechtsprechung entgegen.
Das Telemediengesetz [ ] erzwingt die Angabe einer in Klarschrift lesbaren eMail-Adresse auf geschäftlichen Webseiten.
Das Telemediengesetz war nicht zuletzt auch zum Schutz der Verbraucher so ersonnen. Der Ist-Status erweist sich aber in der aktuellen Situation als Bumerang.

Es bewahrheitet sich heute, was Dr. Hans-Georg Maaßen als Präsident des Bundesamt für Verfassungsschutz bei einem Vortrag in Neuss über Aspekte der Datensicherheit vor Vertretern der hiesigen Wirtschaft sagte:
"Glauben Sie ja nicht, dass alles was Sie im Internet als kostenlos angeboten bekommen, auch wirklich kostenlos ist. Denn Sie zahlen mit Ihren Daten!"

Zitat aus Heise Security:
"Ist man Opfer eines Verschlüsselungs-Trojaners geworden, sollte man der Lösegeldforderung nicht nachgehen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Stattdessen soll man ein Foto von dem digitalen Erpresserbrief machen und bei der Kripo Anzeige erstatten. Es ist ratsam, eine Kopie der verschlüsselten Daten aufzuheben, für den Fall, dass ein Weg bekannt wird, die Verschlüsselung zu knacken. So konnte heise Security kürzlich mit dem Tool TeslaDecoder eine Festplatte retten, die der verbreitete Krypto-Trojaner TeslaCrypt2 chiffriert hatte."
und weiter:

Oft lässt sich gerade mit den von David aufgezeichnete Wegen einer empfangenen eMail (rechte Maustaste / Erweitert/ Eigenschaften / SMTP-Header) verwertbares Beweismaterial sammeln.

Die Verschlüsselungsviren haben Mitte Februar die gesamte EDV und damit auch die Diagnose- und Behandlungssysteme mehrerer Krankenhauses lahm gelegt. Zum Beispiel traf es das Neusser Lukas-Klinikum. Da waren Patientendaten wie Blutgruppe und Allergien waren nicht zugänglich, viele Operationen konnten nicht erfolgen, digitale Röntgenbilder gab es nicht, und die Notfall-Beatmung lief teils nur noch manuell. Trotz rund-um-die Uhr Schicht-Arbeit der IT-Mitarbeiter hat es mehrere Tage gedauert, um alle vorrangig wichtigen Systeme wieder in Betrieb zu nehmen.

Doch kommen wir zurück zu den einnehmenden Wesen, die Locky und ähnliches in Umlauf bringen.
Nota bene: Wenn das Tracing einer Zahlung Sinn machen soll, dann muss es entweder sehr rasch nach dem Virusbefall oder in Ruhe vorher mit einem fachlich kompetenten Mitarbeiter der Polizei oder des Verfassungsschutz vereinbart werden. Es ist recht aussichtsreich, dem Weg der Zahlung via Western Union nachzugehen. Denn da muss am Ziel der Geldzustellung eine Person existieren, die das Bargeld in Empfang nimmt. Eine Zahlung via Bitcoin wäre Verschwendung. Im Strudel des drohenden Zusammenbruchs ist mir die Wahrscheinlichkeit für zu hoch, dass die Betreiber die Zahlung selbst einsacken.

@ Wulff:
Die Reputation der Seite sureshotsoftware.com ist absolut unzureichend.
Es gibt auf der Webseite kein Impressum, keinen Ansprechpartner und keinen Betriebssitz.

Besser für die eigenen Nerven und die der gestressten Kunden ist ein Restore einer virenfreien Datensicherung.

Der Beitrag von Serpantor könnte ein Versuch sein, die Seite zu puschen, um gerade Trojaner zu verbreiten.
Denn sein heutiger Beitrag zu sureshotsoftware.com ist der erste und bisher einzige von diesem anonymen Forumsneuling.

Empfehlung aus der Praxis:
Bei tatsächlichem Befall eines Rechners oder Netzwerks mit einem Erpresservirus den Herstellersupport des eingesetzten Virenschutzprogramms kontaktieren. Aufgrund der bestehenden internationalen Kontakte haben die ausreichend Möglichkeiten, Entschlüsselungstools mit Quellen ausreichender Reputation zu nennen.