Proteção antimalware no Exchange Server

A proteção antimalware no Exchange Server 2016 ajuda a combater vírus e spyware em seu ambiente de mensagens de email. Os vírus infectam outros programas e dados e se espalham por todo o computador em busca de programas para infectar. O Spyware coleta informações pessoais (por exemplo, informações de entrada e dados pessoais) e envia-as de volta ao autor.

A proteção antimalware no Exchange Server foi introduzida no Exchange 2013 e é fornecida pelo agente de transporte chamado Malware Agent. O agente examina as mensagens conforme elas viajam pelo serviço de Transporte em um servidor de Caixa de Correio. Você configura a filtragem de malware usando:

  • Políticas antimalware: especifique opções de verificação e notificação de entrada e saída para filtragem de malware. Há uma política padrão que se aplica a todos os destinatários na organização do Exchange e você pode criar políticas adicionais que são aplicadas em uma ordem específica.

  • Configurações do servidor antimalware: especifique as ações de erro e repetição e as configurações de atualização de mecanismo e definição para filtragem de malware. O agente de Malware usa o acesso à Internet na porta TCP 80 (HTTP) para verificar atualizações de mecanismo e definição a cada hora.

  • Scripts antimalware: habilitar ou desabilitar a filtragem de malware no servidor e baixar manualmente atualizações de mecanismo e definição.

Para procedimentos relacionados à filtragem de malware, consulte Procedimentos para proteção antimalware em Exchange Server. Para obter mais informações sobre os recursos antispam no Exchange Server, consulte Proteção antispam em Exchange Server.

Políticas antimalware

As políticas antimalware controlam as ações e as opções de notificação para detecções de malware. As configurações importantes em políticas antimalware são:

  • Ação: especifica o que fazer quando uma mensagem é encontrada para conter malware. As opções são:

    • Exclua a mensagem (esse é o valor padrão).

    • Substitua todos os anexos por um arquivo de texto que contém este texto padrão:

      O malware foi detectado em um ou mais anexos incluídos com este email. Todos os anexos foram excluídos.

    • Substitua todos os anexos por um arquivo de texto que contenha o texto personalizado que você especificar.

  • Notificações: quando uma política antimalware é configurada para excluir mensagens, você pode escolher se deve enviar uma mensagem de notificação ao remetente. Você pode enviar mensagens de notificação com base no remetente interno ou externo. A mensagem de notificação padrão tem estas propriedades:

    • De: Postmaster postmaster@ <defaultdomain.com>

    • Assunto: não é possível entregar a mensagem

    • Texto da mensagem: esta mensagem foi criada automaticamente pelo software de entrega de email. Sua mensagem de email não foi entregue aos destinatários pretendidos porque o malware foi detectado.

    Você pode personalizar as propriedades da mensagem para notificações internas e externas. Você também pode especificar destinatários adicionais (administradores) para receber notificações de mensagens não entregues de remetentes internos ou externos.

  • Filtros de destinatário: para políticas antimalware personalizadas, você pode especificar condições de destinatário e exceções que determinam a quem a política se aplica. Você pode usar essas propriedades para condições e exceções:

    • Por destinatário

    • Por domínio aceito

    • Por afiliação ao grupo

    Você só pode usar uma condição ou exceção uma vez, mas a condição ou exceção pode conter vários valores. Vários valores com a mesma condição ou exceção usam a lógica OU (por exemplo, <destinatário1> ou <destinatário2>). Para diferentes condições ou exceções, use a lógica E (por exemplo, <destinatário1> e <membro do grupo 1>).

  • Prioridade: se você criar várias políticas antimalware personalizadas, poderá especificar a ordem em que elas são aplicadas.

Políticas antimalware no centro de administração do Exchange versus o Shell de Gerenciamento do Exchange

Os elementos básicos de uma política antimalware são:

  • A política de filtro de malware: especifica as opções de ação e notificação para filtragem de malware.

  • A regra do filtro de malware: especifica a prioridade e os filtros de destinatário (a quem a política se aplica) para uma política de filtro de malware.

A diferença entre esses dois elementos não é óbvia quando você gerencia policiais antimalware no Centro de Administração do Exchange (EAC):

  • Quando você cria uma política antimalware no EAC, você está realmente criando uma regra de filtro de malware e a política de filtro de malware associada ao mesmo tempo usando o mesmo nome para ambos.

  • Quando você modifica uma política antimalware no EAC, as configurações relacionadas ao nome, prioridade, habilitado ou desabilitado e filtros de destinatário modificam a regra do filtro de malware. Outras configurações (ações e opções de notificação) modificam a política de filtro de malware associada.

  • Quando você remove uma política antimalware do EAC, a regra de filtro de malware e a política de filtro de malware associada são removidas.

No Shell de Gerenciamento do Exchange, a diferença entre políticas de filtro de malware e regras de filtro de malware é aparente. Você gerencia políticas de filtro de malware usando os cmdlets *-MalwareFilterPolicy e gerencia regras de filtro de malware usando os cmdlets *-MalwareFilterRule .

  • No Shell de Gerenciamento do Exchange, você cria a política de filtro de malware primeiro e, em seguida, cria a regra de filtro de malware que identifica a política à qual a regra se aplica.

  • No Shell de Gerenciamento do Exchange, você modifica as configurações na política de filtro de malware e a regra de filtro de malware separadamente.

  • Quando você remove uma política de filtro de malware do Shell de Gerenciamento do Exchange, a regra de filtro de malware correspondente não é removida automaticamente e vice-versa.

Política antimalware padrão

Cada servidor de caixa de correio tem uma política de antimalware interna chamada Default que tem essas propriedades:

  • A política de filtro de malware chamada Default é aplicada a todos os destinatários na organização do Exchange, mesmo que não haja nenhuma regra de filtro de malware (filtros de destinatário) associada à política.

  • A política denominada Padrão tem o valor de prioridade personalizado Menor, que não pode ser modificado (a política é sempre aplicada por último). Todas as políticas antimalware personalizadas que você cria sempre têm uma prioridade maior do que a política chamada Default.

  • A política denominada Padrão é a política padrão (a propriedade IsDefault tem o valor True), e não é possível excluir a política padrão.

Configurações do servidor antimalware

Você pode usar os cmdlets Get-MalwareFilteringServer e Set-MalwareFilteringServer no Shell de Gerenciamento do Exchange para exibir e definir as configurações de atualização, tempo limite e download do agente de Malware no servidor de Caixa de Correio. Para procedimentos que usam esses cmdlets, consulte Usar o Shell de Gerenciamento do Exchange para ignorar a filtragem de malware em servidores de caixa de correio e usar o Shell de Gerenciamento do Exchange para configurar a filtragem de malware para rescan mensagens que já foram examinadas pelo EOP.

Scripts antimalware

O Exchange inclui dois scripts do Shell de Gerenciamento do Exchange que você pode usar para gerenciar a filtragem de malware:

  • Disable-Antimalwarescanning.ps1 desabilita o agente malware, o mecanismo de malware e as atualizações de definição no servidor da caixa de correio.

  • Enable-Antimalwarescanning.ps1 habilita o agente malware, habilita o mecanismo de malware e atualizações de definição e executa atualizações de mecanismo e definição no servidor da caixa de correio.

  • Update-MalwareFilteringServer.ps1 executa manualmente o mecanismo de malware e as atualizações de definição no servidor da caixa de correio.

Para obter mais informações sobre como usar esses scripts, consulte Usar o Shell de Gerenciamento do Exchange para habilitar ou desabilitar a filtragem de malware em servidores de caixa de correio e Baixar atualizações de definição e mecanismo antimalware.

Opções de proteção antimalware no Exchange Server

Esta lista descreve as opções antimalware do Exchange:

  • Proteção antimalware interna: você pode usar a proteção antimalware interna no Exchange para ajudá-lo a combater o malware. Você pode usá-lo por si só ou emparelhá-lo com outras soluções antimalware para fornecer uma defesa em camadas contra malware.

  • Proteção do Exchange Online (EOP): você pode pagar por uma assinatura do EOP, que é a solução antimalware usada no Microsoft 365 e Office 365. O EOP aproveita parcerias com vários mecanismos antimalware para fornecer proteção antimalware eficiente, econômica e de várias camadas. As vantagens de analisar a proteção antimalware interna com o EOP são:

    • O EOP usa vários mecanismos antimalware, enquanto a proteção antimalware interna usa um único mecanismo.

    • O EOP tem recursos de relatório, incluindo estatísticas de malware.

    • O EOP fornece o recurso de rastreamento de mensagens para problemas de fluxo de email auto-solucionadores de problemas, incluindo detecções de malware.

      Para obter mais informações sobre o EOP, consulte Proteção anti-malware no EOP.

  • Proteção antimalware de terceiros: você pode comprar um programa antimalware de terceiros.

Perguntas frequentes sobre antimalware para Exchange

Esta seção responde às perguntas frequentes sobre filtragem e verificação de malware internas no Exchange.

Por que o malware identificado por outros serviços antimalware passou pela filtragem antimalware do Exchange?

Há duas razões prováveis:

  • O cenário mais provável é que o anexo da mensagem não contenha nenhum código mal-intencionado ativo. Alguns mecanismos antimalware são mais agressivos do que outros, e esses mecanismos podem parar as mensagens simplesmente porque contêm cargas de malware truncadas que não fazem nada.

  • O malware que você recebeu é uma nova variante, e nosso mecanismo antimalware ainda não lançou um arquivo padrão para ele (ainda).

Recebi uma mensagem com um anexo desconhecido. Isso é malware ou eu posso desconsiderar esse anexo?

Recomendamos que você não abra nenhum anexo que não reconheça. Se você quiser que investiguemos o anexo, envie-o para nós, conforme descrito no próximo item.

Como fazer enviar malware conhecido, arquivos suspeitos ou falsos positivos para a Microsoft?

Salve uma cópia da mensagem e carregue a mensagem no site Inteligência de Segurança da Microsoft para que possamos examiná-la.

Se o exemplo contiver malware, tomaremos medidas corretivas para evitar que o vírus não seja detectado. se o exemplo estiver limpo, tomaremos medidas corretivas para impedir que o arquivo seja detectado como malware.

Onde posso obter as mensagens que foram excluídas pelo filtro de malware?

Não é possível. As mensagens foram encontradas para conter código mal-intencionado ativo, portanto, foram excluídas.

Posso usar regras de fluxo de email para ignorar a filtragem de malware?

Não, você não pode usar regras de fluxo de email (também conhecidas como regras de transporte) para ignorar o agente de Malware. Em vez disso, envie o anexo em um arquivo de .zip protegido por senha (arquivos protegidos por senha .zip arquivos são ignorados pela filtragem de malware).