Anti virus and antispam software at user level

Hi, d.manibal, and welcome to the User BB!

Astaro Mail Security should provide what you need for Anti-Spam.

We recommend three layers for AV: perimeter (Astaro), server and client.  Astaro uses ClamAV (Open Source) and Avira (just this latter when you select Single-Scan).  Use different packages for your servers and clients.

Cheers - Bob

Thank you for the reply but what should I use for server and client individual protection.

Should I also use Avira and ClamAV?

Denis Manibal

Hi Denis
For added security you should always use another brand of AV for your server/desktop than used on Astaro.

I'm no fan of a'v on servers....ever.  Also if you follow my basics on not getting infected you can reduce or eliminate the need for desktop a/v as well.  YMMV however.  Since ms security essentials is free for 10 computers in a business that's where i start for desktop a/v.

I'm no fan of a'v on servers....ever.  Also if you follow my basics on not getting infected you can reduce or eliminate the need for desktop a/v as well.  YMMV however. 

Hi William

Nice short basic guide to make a enviroment more secure. However I disagree with your No AV on servers or clients theory. I have seen too much issues in the past years and cleaned too many infected networks or computers during my system engineer time.

The Basic idea of any filters on your perimeter as Web and Mail filters from Astaro are the right way to stop as much unwanted content BEFORE it reaches the clients. Any malware accidentally executed on a client is a potential threat, which sometimes can infect your computer - even if a malware was detected (trojan droppers for example)

BUT: In the most enviroments the attack surface can't be stripped down on client / server side as good security practice would require. Or no SMB company does it - this is usually a domain of the bigger companies.

Most Clients are still able to stick and use USB sticks, CD's or even legacy floppy disks (anyone still such in use ?[:D] )

You also have mobile devices as Laptops, which are high risk devices to get an infection outside of your network, where maybe no gateway is protecting you from threats. You even don't have to surf "bad" sites - there also was since the beginning of the WWW always compromised "normal" websites out there, where you can get nifty little new friends for your OS, which nicely will backup your passwords or other personal stuff to your new, unknown friend sitting in russia or china (for example), or using your IT devices as zombie...[;)]

Or simply think back starting from Code RED's, Nimda's, CIH, Klez, Blaster, Conficker viruses and worms. Simply connecting your device into the "wrong" network was sufficient to have a funny time...

Also servers get infected, if they publish services to the internet, or simply get infected by a internal client. Same with internal mailservers. Astaro filters bad stuff incoming from internet. But if your sales comes back from his tour with a new friend on his laptop, which will spread himself to the whole internal addressbook, ASG will never see the mails - they're handled on your mailserver...

Also the webfilter. I still expect still a huge number of customers, which are NOT using the HTTPS scanning feature due little overhead as deploying CA certificates to clients, creating exceptions etc. Any of these customers is theoretically prone to infection via encrypted webtraffic (HTTPS) if they allow webmailers, or simply by accident accessing a infected website via HTTPS.

So in my eyes - independently of how good your security solution on your perimeter is, or your client permissions got stripped down to minimum - no AV scanners on internal servers / clients is a absolute no go.

We can disagree here..[[:)]]  it all depends on the security profile of the network.  If you allow such things as usb and whatnot you need something..but free works just as well if not better than the high priced stuff.  Honestly I've cleaned more infections off "protected" machines than unprotected machines.  why?  Because a/v gives folks a false sense of security. All of my clients DO run desktop a/v.  Most use free desktop a/v.  Only because they have told me they require usb and other foreign connections that go around the gateway.  However All of my other practices are followed.  The result?  no usb or other infections.  they do not run ie..or for the one die hard who does it's run in the highest security settings.  Everyone else uses chrome.  I am flexible.  I wouldn't have any clients if i wasn't.  However those basics WILL prevent infections...how you choose to apply them for you and your clients networks is up to you.

Why do you need a/v on your file servers?  if you aren't surfing on them it is not an issue.  anything that gets on them isn't going to be executable if you aren't surfing on the server most times.  things like the lnk vulnerability and many more wouldn't have been stopped by a/v so why waste the ram/cpu and most importantly disk i/o cycles on that?

If you are running mail services or something a/v on the server is NOT where it goes.  There has to be something in front of said machine...let it handle the full load of malware/spam security..let the e-mail do e-mail.  

I don't follow the normal conventions most times..but i ahve nearly 20 years of doing things my way...and they work.  Many of today's security thoughts are based on theater and not real world.  As i noted on my website if you "read between the lines" not getting infected is really 80% behavior and 20% technical.  The biggest problem is user behavior..and yes that includes admins.  I am in no way saying the threats aren't real..but they are more easily manageable than it is portrayed to be.  

One more case in point.  the client protected by the phenom untangle machine....i'm not using any of the paid modules.  The UT software has some serious initial limitations that require extensive tuning.  However I spent my time retraining their online behavior.  Other than spam management and the rare virus(e-mail borne virii is really hardly a threat..spam with links to malware infested sites is the real threat now)mail....even though they are on XP and running IE they don't have infections.  It is not the UTM it is because the owner has set a strongly enforced policy of behavior within his firm.  The UTM gives him daily reports of the users activities and after one person was reprimanded they simply only surf to business critical sites.  This client prefers avg network a/v(not the overarching and ineffective total security suite package) because most of his clients come into the office and hand him usb keys. Once we can get everyone transferred to their new secure transfer portal i can route https through the utm and begin to phase out the use of usb drives to zero..[[:)]]

I absolutely agree, that training and awareness raising of the user is a major factor for security. I personally also didn't use anymore ie since version 4

Sent from my iPad using Astaro.org (finally got One)

unfortunately for my clients some of their vendor sites still only work with ie..[:(]

i absolutely agree with you, that training and awareness raising of users is a major factor in security. I also didn't use anymore ie since aeons if possible. I personally also prefer ff or chrome.

Same with the free AV software, which is usually abolutely sufficient in a halfway protected network. AFAIK  most of the commercial ones are usually only free for home / non commercial use.

However - the AV stuff is to protect the company from the unexpected. Independent of training and awareness there is usually at least one guy sitting in every company without healthy common sense. This is as sure as in nearly every company with >20people without active URL filter always at least one guy regularly visits www.youp***.com ;o) That's one of the remaining risks (not danger) where this AV stuff on clients/servers makes me personally sleeping little better.

Sent from my iPad using Astaro.org (finally got One)

if the content filter on the utm doesn't catch something like that it needs to go away or hte manufacturer seriously needs to be notified.  Luckily I've never had astaro miss stuff like that.  The only thing better than Astaro is dansguardian..which is MUCH more powerful and flexible and actually detects content inside of pages..not mainly relying on blacklists.  I wish Astaro would go back to squid...then integrate DG and some other things that I've worked with extensively..i think i have a feature request coming..[:)]