Schutz vor Antischadsoftware in Exchange Server

Der Schutz vor Antischadsoftware in Exchange Server 2016 hilft bei der Bekämpfung von Viren und Spyware in Ihrer E-Mail-Messaging-Umgebung. Viren infizieren Programme und Daten und breiten sich auf dem ganzen Computer aus. Als Spyware wird Schadsoftware bezeichnet, die persönliche Informationen (wie etwa Anmelde- und persönliche Daten) auf Ihrem Computer erfasst und an den Urheber der Spyware zurücksendet.

Der Antischadsoftwareschutz in Exchange Server wurde in Exchange 2013 eingeführt und wird vom Transport-Agent namens Schadsoftware-Agent bereitgestellt. Der Agent scannt Nachrichten bei der Übermittlung an einen Postfachserver über den Transportdienst. Die Schadsoftwarefilterung wird folgendermaßen konfiguriert:

  • Antischadsoftwarerichtlinien: Geben Sie Optionen für eingehende und ausgehende Überprüfungen und Benachrichtigungen für die Filterung von Schadsoftware an. Es gibt eine Standardrichtlinie, die für alle Empfänger in der Exchange-Organisation gilt, und Sie können zusätzliche Richtlinien erstellen, die in einer bestimmten Reihenfolge angewendet werden.

  • Einstellungen des Antischadsoftwareservers: Geben Sie die Fehler- und Wiederholungsaktionen sowie die Einstellungen für Engine- und Definitionsupdates für die Filterung von Schadsoftware an. Der Antischadsoftware-Agent verwendet Internetzugriff auf TCP-Port 80 (HTTP), um stündlich nach Definitionsupdates zu suchen.

  • Antischadsoftwareskripts: Aktivieren oder deaktivieren Sie die Filterung von Schadsoftware auf dem Server, und laden Sie Engine- und Definitionsupdates manuell herunter.

Informationen zu Verfahren im Zusammenhang mit der Filterung von Schadsoftware finden Sie unter Verfahren für den Schutz vor Antischadsoftware in Exchange Server. Weitere Informationen zu den Antispamfeatures in Exchange Server finden Sie unter Antispamschutz in Exchange Server.

Richtlinien für Antischadsoftware

Richtlinien für Antischadsoftware steuern die Aktionen und Benachrichtigungsoptionen für Schadsoftwareerkennungen. Die wichtigen Einstellungen in Richtlinien für Antischadsoftware sind:

  • Aktion: Gibt an, was zu tun ist, wenn eine Nachricht Schadsoftware enthält. Mögliche Optionen:

    • Löschen der Nachricht (dies ist der Standardwert).

    • Ersetzen Sie alle Anlagen durch eine Textdatei, die diesen Standardtext enthält:

      „In mindestens einer Anlage zu dieser E-Mail wurde Schadsoftware erkannt. Alle Anhänge wurden gelöscht."

    • Ersetzen Sie alle Anlagen durch eine Textdatei, die den von Ihnen angegebenen, benutzerdefinierten Text enthält:

  • Benachrichtigungen: Wenn eine Richtlinie für Antischadsoftware zum Löschen von Nachrichten konfiguriert ist, können Sie auswählen, ob eine Benachrichtigung an den Absender gesendet werden soll. Sie können Benachrichtigungen basierend darauf senden, ob der Absender intern oder extern ist. Eine Standardbenachrichtigung weist die folgenden Eigenschaften auf:

    • Von: Postmaster postmaster@ <defaultdomain.com>

    • Betreff: Unzustellbare Nachricht

    • Nachrichtentext: Diese Nachricht wurde automatisch von der E-Mail-Zustellungssoftware erstellt. Ihre E-Mail wurde nicht an die gewünschten Empfänger übermittelt, da Schadsoftware erkannt wurde."

    Sie können die Nachrichteneigenschaften für interne und externe Benachrichtigungen anpassen. Sie können auch weitere Empfänger (Administratoren) angeben, die Benachrichtigungen für nicht zustellbare Nachrichten von internen oder externen Absendern erhalten.

  • Empfängerfilter: Für benutzerdefinierte Antischadsoftwarerichtlinien können Sie Empfängerbedingungen und Ausnahmen angeben, die bestimmen, für wen die Richtlinie gilt. Sie können die folgenden Eigenschaften für Bedingungen und Ausnahmen verwenden:

    • Nach Empfänger

    • Nach akzeptierter Domäne

    • Nach Gruppenmitgliedschaft

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, die Bedingung oder Ausnahme kann aber mehrere Werte enthalten. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

  • Priorität: Wenn Sie mehrere benutzerdefinierte Antischadsoftwarerichtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden.

Richtlinien für Antischadsoftware in der Exchange-Verwaltungskonsole im Vergleich zu Exchange-Verwaltungsshell

Die grundlegenden Elemente für eine Richtlinie für Antischadsoftware sind:

  • Die Schadsoftwarefilterrichtlinie: Gibt die Aktions- und Benachrichtigungsoptionen für die Schadsoftwarefilterung an.

  • Die Schadsoftwarefilterregel: Gibt die Prioritäts- und Empfängerfilter (für die die Richtlinie gilt) für eine Schadsoftwarefilterrichtlinie an.

Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Richtlinien für Antischadsoftware in der Exchange-Verwaltungskonsole (EAC) verwalten:

  • Wenn Sie eine Richtlinie für Antischadsoftware in der Exchange-Verwaltungskonsole erstellen, erstellen Sie tatsächlich eine Regel für den Schadsoftwarefilter und die entsprechende Richtlinie für Antischadsoftware gleichzeitig und verwenden dabei den gleichen Namen für beides.

  • Wenn Sie eine Richtlinie für Antischadsoftware in der Exchange-Verwaltungskonsole ändern, ändern die Einstellungen im Zusammenhang mit Name, Priorität, aktiviert oder deaktiviert und Empfängerfilter die Regel für den Schadsoftwarefilter. Andere Einstellungen (Aktionen und Benachrichtigungsoptionen) ändern die zugeordnete Richtlinie für Antischadsoftware.

  • Wenn Sie eine Richtlinie für Antischadsoftware aus der Exchange-Verwaltungskonsole entfernen, werden die Regel für den Schadsoftwarefilter und die entsprechende Richtlinie für den Schadsoftwarefilter entfernt.

In der Exchange-Verwaltungsshell ist der Unterschied zwischen Richtlinien und Regeln für den Schadsoftwarefilter deutlich erkennbar. Sie verwalten Schadsoftwarefilterrichtlinien mithilfe der Cmdlets *-MalwareFilterPolicy , und Sie verwalten Schadsoftwarefilterregeln mithilfe der Cmdlets *-MalwareFilterRule .

  • In der Exchange-Verwaltungsshell erstellen Sie zuerst die Richtlinie für den Schadsoftwarefilter und dann die Regel für den Schadsoftwarefilter, die die Richtlinie identifiziert, auf die die Regel angewendet wird.

  • In der Exchange-Verwaltungsshell ändern Sie die Einstellungen in der Richtlinie für den Schadsoftwarefilter und in der Regel für den Schadsoftwarefilter separat.

  • Wenn Sie eine Richtlinie für den Schadsoftwarefilter aus der Exchange-Verwaltungsshell entfernen, wird die entsprechende Regel für den Schadsoftwarefilter nicht entfernt und umgekehrt.

Standardrichtlinie für Antischadsoftware

Jeder Postfachserver verfügt über eine integrierte Richtlinie für Antischadsoftware mit dem Namen „Default", die die folgenden Eigenschaften aufweist:

  • Die Richtlinie für den Schadsoftwarefilter namens „Standard" wird auf alle Empfänger in der Exchange-Organisation angewendet, obwohl der Richtlinie keine Regel für den Schadsoftwarefilter (Empfängerfilter) zugeordnet ist.

  • Die Richtlinie namens „Standard" weist den benutzerdefinierten Prioritätswert „Niedrigster" auf, der nicht geändert werden kann (die Richtlinie wird immer als letztes angewendet). Alle benutzerdefinierten Richtlinien für Antischadsoftware, die Sie erstellen, haben immer Vorrang vor der Richtlinie „Standard".

  • Die Richtlinie namens „Standard“ ist die Standardrichtlinie (die IsDefault-Eigenschaft hat den Wert True), und die Standardrichtlinie kann nicht gelöscht werden.

Antischadsoftware-Servereinstellungen

Sie können die Cmdlets Get-MalwareFilteringServer und Set-MalwareFilteringServer in der Exchange-Verwaltungsshell verwenden, um das Update, die Zeitüberschreitung sowie Downloadeinstellungen für den Antischadsoftware-Agent auf dem Postfachserver anzuzeigen und zu konfigurieren. Verfahren, in denen diese Cmdlets verwendet werden, finden Sie unter Umgehen von Schadsoftwarefiltern auf einem Postfachserver mithilfe von Exchange-Verwaltungsshell und Konfigurieren von Schadsoftwarefilterung mit Exchange-Verwaltungsshell für die Überprüfung von Nachrichten, die bereits von (EOP) überprüft wurden.

Schadsoftwareskripts

Exchange umfasst zwei Exchange-Verwaltungsshell-Skripts, die Sie zum Verwalten der Schadsoftwarefilterung verwenden können:

  • Disable-Antimalwarescanning.ps1 deaktiviert den Antischadsoftware-Agent sowie Updates für das Antischadsoftwaremodul und Definitionen auf dem Postfachserver.

  • Enable-Antimalwarescanning.ps1 aktiviert den Antischadsoftware-Agent und Updates für das Antischadsoftwaremodul und Definitionen und führt Modul- und Definitionsupdates auf dem Postfachserver aus.

  • Update-MalwareFilteringServer.ps1 führt manuell Schadsoftwaremodul- und -definitionsupdates auf dem Postfachserver aus.

Weitere Informationen zur Verwendung dieser Skripts finden Sie unter Verwenden der Exchange-Verwaltungsshell zum Aktivieren oder Deaktivieren der Filterung von Schadsoftware auf Postfachservern und Herunterladen von Antischadsoftware-Engine und Definitionsupdates.

Optionen zum Schutz vor Antischadsoftware in Exchange Server

In der folgenden Liste werden die Optionen zum Schutz vor Schadsoftware für Exchange beschrieben:

  • Integrierter Antischadsoftwareschutz: Sie können den integrierten Antischadsoftwareschutz in Exchange verwenden, um Schadsoftware zu bekämpfen. Sie können den Schutz allein verwenden oder mit anderen Antischadsoftwarelösungen kombinieren, um eine mehrschichtige Verteidigung gegen Schadsoftware bereitzustellen.

  • Exchange Online Protection (EOP): Sie können für ein Abonnement für EOP bezahlen. Dabei handelt es sich um die Antischadsoftwarelösung, die in Microsoft 365 und Office 365 verwendet wird. EOP nutzt Partnerschaften mit mehreren Antischadsoftwaremodulen, um einen effizienten, kostengünstigen und mehrschichtigen Schutz vor Schadsoftware bereitzustellen. Die Kombination des integrierten Antischadsoftwareschutzes mit EOP hat folgende Vorteile:

    • EOP verwendet mehrere Antischadsoftware-Engines, während der integrierte Antischadsoftwareschutz eine einzelne Engine verwendet.

    • EOP verfügt über Berichtsfunktionen, die auch Schadsoftwarestatistiken einbeziehen.

    • EOP stellt ein Feature zur Nachrichtenverfolgung für die eigenständige Behandlung von Problemen mit dem Nachrichtenfluss bereit, das auch Schadsoftwareerkennungen einbezieht.

      Weitere Informationen zu EOP finden Sie unter Schutz vor Schadsoftware in EOP.

  • Schutz vor Antischadsoftware von Drittanbietern: Sie können ein Antischadsoftwareprogramm eines Drittanbieters kaufen.

Häufig gestellte Fragen zum Schutz vor Schadsoftware für Exchange

In diesem Abschnitt werden die häufig gestellten Fragen zur integrierten Schadsoftwarefilterung und -überprüfung in Exchange beantwortet.

Wie konnte Schadsoftware, die von anderen Antischadsoftwarediensten identifiziert wurde, die Antischadsoftwarefilterung von Exchange überwinden?

Es gibt zwei mögliche Ursachen:

  • Das wahrscheinlichste Szenario ist, dass die Nachrichtenanlage keinen aktiven schädlichen Code enthält. Einige Antischadsoftware-Engines sind aggressiver als andere, und diese Engines können Nachrichten beenden, nur weil sie abgeschnittene Malware-Nutzlasten enthalten, die eigentlich nichts tun.

  • Die Schadsoftware, die Sie erhalten haben, ist eine neue Variante, und unser Antischadsoftwaremodul hat (noch) keine Musterdatei dafür freigegeben.

Ich habe eine E-Mail mit einer Anlage erhalten, die mir nicht bekannt ist. Handelt es sich hierbei um Schadsoftware oder kann ich die Anlage ignorieren?

Wir empfehlen dringend, dass Sie keine Anlagen öffnen, die Sie nicht kennen. Wenn Sie möchten, dass wir die Anlage untersuchen, übermitteln Sie sie uns, wie im nächsten Abschnitt beschrieben.

Wie kann ich bekannte Schadsoftware, verdächtige Dateien oder falsche positive Ergebnisse an Microsoft übermitteln?

Speichern Sie eine Kopie der Nachricht, und laden Sie die Nachricht auf die Microsoft Security Intelligence Website hoch, damit wir sie untersuchen können.

Wenn die Stichprobe Schadsoftware enthält, ergreifen wir die entsprechenden Maßnahmen, um sicherzustellen, dass der Virus erkannt wird. Wenn die Stichprobe sauber ist, werden wir die entsprechenden Maßnahmen ergreifen, um sicherzustellen, dass die Datei als Schadsoftware erkannt wird.

Wo kann ich die Nachrichten abrufen, die vom Schadsoftwarefilter gelöscht wurden?

Sie können die Nachrichten nicht abrufen. Es wurde festgestellt, dass die Nachrichten aktiven bösartigen Code enthalten, daher wurden sie gelöscht.

Kann ich die Schadsoftwarefilterung mithilfe von Nachrichtenflussregeln umgehen?

Nein, Sie können Nachrichtenflussregeln (auch bezeichnet als Transportregeln) nicht verwenden, um den Antischadsoftware-Agent zu umgehen. Senden Sie die Anlage stattdessen in einer kennwortgeschützten ZIP-Datei (kennwortgeschützte ZIP-Dateien werden von der Schadsoftwarefilterung umgangen).