Configurando Proteção de Malware no Exchange Server 2013
Fernando Lugão Veltem
Maio, 2014
Visão Geral
O Exchange Server 2013 inclui uma feature de proteção contra malwares, vírus e spywares. Este serviço esta integrado noMailbox Server role e uma vez habilitado todas as mensagens que passam na fila são escaneadas, não é feito o scan das mensagens quando elas estão na base de dados ou quando são acessadas pelos usuários na base.
Este serviço pode ser habilitado durante a instalação do Exchange ou pelo Exchange Management Shell apos a instalação.
A feature tem o objetivo de proteger as mensagens da organização e não o sistema operacional do servidor, por isso é recomendado a instalação do antivirus nos servidores. Para melhores práticas de proteção do sistema operacional dos servidores Exchange leia o artigo Anti-Virus Software in the Operating System on Exchange Servers.
O serviço se conecta a cada 60 minutos à internet pela porta 80/TCP para atualizar a assinatura de vírus e spyware no endereço http://forefrontdl.microsoft.com/server/scanengineupdate. Como alternativa este caminho pode ser alterado para outro servidor HTTP ou um compartilhamento UNC da rede.
Habilitando Filtro de Malware
A feature pode ser habilitada e desabilitada pelo *Exchange Management Shell, *para verificar as configurações do agente execute o cmdlet
Get-TransportAgent "Malware Agent"
Para desabilitar a função nos servidores de Mailbox execute o script.
<pasta de instalação do Exchange>\Scripts\Disable-Antimalwarescanning.ps1
Para aplicar as alterações reinicie o serviço Microsoft Exchange Transport Service
Restart-Service MSExchangeTransport
Para habilitar o agente nos servidores execute o script.
<pasta de instalação do Exchange>\Scripts\Enable-Antimalwarescanning.ps1
Configurando Filtro de Malware
As configurações do malware podem ser alteradas no Exchange Admin Center, na guia Protection em malware filter
Nas configurações da política padrão podemos configurar o agente
Em settings configuramos qual o comportamento do agente quando um malware é detectado
- Delete the entire message: deleta toda a mensagem inclusive os arquivos anexos, este é a configuração padrão do agente
- Delete all attachments and use default alert text: deleta somente os arquivos anexados e substitui por uma mensagem alertando o usuário sobre o malware. A mensagem padrão do email é “Malware was detected in one or more attachments included with this email. All attachments have been deleted.”
- Delete all attachments and use custom alert texr: deleta os arquivos anexados e substitui por uma mensagem personalizada.
Em Notifications é controlado como o agente notifica os administradores e usuários
- Notify internal senders: o agente notifica os usuários internos que um malware foi detectado e a mensagem descartada
- Notify external senders: o agente notifica os usuários externos que um malware foi detectado e a mensagem descartada
Continuando a notificação temos a configuração para notificar os administradores. É possivel adicionar o email do administrador ou uma lista de distribuição
- Notify administrators about undelivered messages from internal senders: o agente notifica os administradores quando um malware é detectado e a mensagem descartada originada de um usuário interno
- Notify administrators about undelivered messages from external senders: o agente notifica os administradores quando um malware é detectado e a mensagem descartada originada de um usuário externo
Ainda é possivel personalizar a mensagem enviada para os administradores.
Testando o Agente
Para testar o agente utilizaremos uma assinatura de vírus EUROPEAN EXPERT GROUP FOR IT-SECURITY. O arquivo pode ser baixado do portal http://www.eicar.org/86-0-Intended-use.html ou crie um arquivo de texto e cole a string abaixo:
- X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Anexe o arquivo em um email e verifique se o agente detecta a assinatura de vírus
Configurando Bypass do Agente
É desejável quando estamos resolvendo problemas de transporte no Exchange garantir que o antivirus não esta causando problemas nas regras de transporte. Nestas situações é recomendado configurar um desvio nas regras de transporte para garantir que o agente não esta examinando as mensagens.
Para configurar um bypass das mensagens execute o cmdlet:
Set-MalwareFilteringServer <ServerIdentity> -BypassFiltering $true
Você pode melhorar este artigo? Acesse e contribua no Microsoft TechNet Wiki e contribua: https://social.technet.microsoft.com/wiki/pt-br/contents/articles/23832.configurando-protecao-de-malware-no-exchange-server-2013.aspx
Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com
twitter: @flugaoveltem