Transportscanauftrag

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2009-05-13

Der Transportscanauftrag für Forefront Security für Exchange Server wird auf einem Exchange 2007-Server entweder mit installiertem Transporthub oder installierter Edgetransport-Funktion ausgeführt. Er kann in Echtzeit alle MIME- und UUENCODE-basierten E-Mail-Nachrichten, die über den Transportstapel eines Exchange-Standorts oder einer Exchange-Organisation ein- und ausgehen, sowie interne E-Mail scannen. Der Transportscanner untersucht Anlagen auf Viren und sucht im Nachrichtentext nach eingebetteten und HTML-Viren.

Bei der Installation werden vier Transportscanaufträge (Prozesse) für den Transportserver erstellt. Sie können zusätzliche Transportscanaufträge erstellen, indem Sie den Wert Zählung bei Transportvorgang unter Allgemeine Optionen in die Zahl der FSCTransportScanner-Prozesse ändern, die pro Transportserver ausgeführt werden sollen. Der Höchstwert ist 10.

Bei der Ausführung mehrerer Transportprozesse werden Dateien vom ersten Prozess gescannt, es sei denn, er ist ausgelastet. In diesem Fall wird die Datei an den zweiten Prozess übergeben. Wenn der zweite Prozess ausgelastet und ein dritter aktiviert ist, wird die Datei vom dritten Prozess gescannt. Wann immer dies möglich ist, werden die Dateien von Forefront Security für Exchange Server an den ersten verfügbaren Vorgang übergeben. Die Ausführung mehrerer Prozesse erhöht die Belastung des Servers beim Starten, wenn sie geladen werden und wenn sie für das Scannen einer Datei aufgerufen werden.

Konfigurieren Sie den Transportscanauftrag, um festzulegen, welche Kombinationen eingehender, ausgehender und interner E-Mails gescannt werden sollen. Wahlweise können Sie auch die Option Text für das Löschen und Kennzeichnungstext festlegen.

So konfigurieren Sie den Transportscanauftrag
  1. Wählen Sie im Bereich EINSTELLUNGEN des Navigationsbereichs den Eintrag Scan-Auftrag. Der Arbeitsbereich Einstellungen für Scan-Auftrag wird angezeigt.

  2. Wählen Sie im oberen Teil des Arbeitsbereichs Einstellungen für Scan-Auftrag (der eine Liste der konfigurierbaren Scanaufträge enthält) den Eintrag Transport-Scan-Auftrag.

  3. Wählen Sie im Abschnitt Transportnachrichten des Arbeitsbereichs eine Kombination von Eingehend, Ausgehend und Intern aus, die für das Scannen der Nachrichten gelten soll. Weitere Informationen finden Sie unter Informationen zu Nachrichtenwarteschlangen.

  4. Optional können Sie unter Text für das Löschen auch einen Text festlegen, der anstelle des Inhalts von Dateien angezeigt wird, die gelöscht wurden, weil sie als infiziert eingestuft worden waren. Der Standardtext für das Löschen informiert Sie darüber, dass eine infizierte Datei entfernt wurde. Dazu werden der Name der Datei und der Name des entdeckten Virus angegeben. Wenn Sie eine eigene Nachricht erstellen möchten, klicken Sie auf Text für das Löschen.

    HinweisHinweis:
    FSE enthält Schlüsselwörter, die Sie unter „Text für das Löschen“ verwenden können, um Informationen aus der Nachricht abzurufen, in der die Infektion aufgetreten ist. Weitere Informationen zu diesem Feature finden Sie unter Schlüsselwortersetzungsmakros.
  5. Wahlweise können Sie auch die Option Kennzeichnungstext festlegen. Mit diesem Text wird von Forefront Security für Exchange Server die Betreffzeile oder der MIME-Header von Nachrichten gekennzeichnet, die Filterkriterien erfüllen. So können sie später für die Weiterleitung in bestimmte Benutzerpostfächer oder für andere Zwecke von Forefront Server Security Administrator identifiziert werden. Die Aktion für einen Filter muss auf Identifizieren: Nachricht kennzeichnen festgelegt sein, damit die Kennzeichnung verwendet wird. Um den Text zu ändern, klicken Sie im Arbeitsbereich Einstellungen für Scan-Auftrag auf die Schaltfläche Kennzeichnungstext. Das Dialogfeld Kennzeichnungstext wird angezeigt. Es gibt zwei Felder, die jeweils einen Standardwert enthalten, der geändert werden kann. Der Kennzeichnungstext der Betreffzeile lautet standardmäßig VERDÄCHTIG:, und der Kennzeichnungstext des Nachrichtenheaders (der keine Leerzeichen enthalten kann) lautet standardmäßig Junk-Mail. Klicken Sie auf OK.

    HinweisHinweis:
    Dieselbe Kennzeichnung wird für alle Filter verwendet, die dem Transportscanauftrag zugeordnet sind.
  6. Klicken Sie auf Speichern, um Ihre Scanauftragskonfiguration zu speichern.

Es gibt verschiedene Einstellungen, die Sie für den Transportscanauftrag anpassen können. Dazu gehören die Auswahl der zu verwendenden Scanmodule, die Abweichungseinstellung, die auszuführende Aktion, die Festlegung, ob und wie Sie benachrichtigt werden möchten sowie die Möglichkeit, Dateien unter Quarantäne zu stellen.

So konfigurieren Sie Antiviruseinstellungen
  1. Klicken Sie im Bereich EINSTELLUNGEN des Navigationsbereichs auf das Symbol Antivirus. Der Arbeitsbereich Antiviruseinstellungen wird angezeigt.

  2. Wählen Sie in der Liste im oberen Bereich die Option Transport-Scan-Auftrag aus. Die aktuellen Einstellungen werden im unteren Abschnitt des Arbeitsbereichs angezeigt.

  3. Wählen Sie die Scanmodule aus der Liste der verfügbaren Scanmodule von Fremdanbietern im Bereich Dateiscanner aus. Wenn das Scannen deaktiviert werden soll, ohne dass sich dies auf die Möglichkeit auswirkt, Dateien und Schlüsselwörter zu filtern, entfernen Sie die Markierung des Kontrollkästchens Virenscan im Arbeitsbereich Auftrag ausführen des Bereichs BETRIEB des Navigationsbereichs für den Transport-Scan-Auftrag.

  4. Wählen Sie die Abweichung aus, um zu steuern, wie viele Module verwendet werden sollen, um Ihr System mit annehmbarer Wahrscheinlichkeit zu schützen. Weitere Informationen finden Sie unter Mehrere Scanmodule.

  5. Wählen Sie die Aktion aus, die Forefront Security für Exchange Server ausführen soll, wenn ein Virus entdeckt wird: Zur Aktionsauswahl gehören:

     

    Überspringen: nur erkennen

    Es wird kein Versuch des Bereinigens oder Löschens unternommen. Viren werden berichtet, die Dateien bleiben jedoch infiziert. Wurde jedoch Beschädigte komprimierte Dateien löschen, Beschädigte Uuencode-Dateien löschen oder Verschlüsselte komprimierte Dateien löschen unter Allgemeine Optionen ausgewählt, wird das Element bei Übereinstimmung mit einer dieser Bedingungen gelöscht.

    Bereinigen: Anhang reparieren

    Es wird versucht, den Virus zu bereinigen. Bei Erfolg wird die infizierte Anlage oder der Nachrichtentext durch die bereinigte Version ersetzt. Wenn ein Bereinigen nicht möglich ist, wird die Anlage oder der Nachrichtentext durch den Text für das Löschen ersetzt.

    Löschen: Infektion entfernen

    Die Anlage wird ohne den Versuch der Bereinigung gelöscht. Die erkannte Anlage wird aus der Nachricht entfernt und durch den Text für das Löschen ersetzt.

  6. Aktivieren Sie die E-Mail-Benachrichtigung, indem Sie Benachrichtigungen senden wählen. Diese Einstellung hat keinen Einfluss auf die Berichterstellung im Vorfallprotokoll. Darüber hinaus müssen Sie die Benachrichtigungen konfigurieren (siehe E-Mail-Benachrichtigungen). Benachrichtigungen sind standardmäßig deaktiviert.

  7. Legen Sie mithilfe der Option Quarantänedateien fest, ob Anhänge, die von den Dateiscanmodulen als infiziert eingestuft wurden, unter Quarantäne gestellt werden sollen. Die Quarantäne ist standardmäßig aktiviert. Wenn die Quarantäne aktiviert ist, werden gelöschte Anlagen und entfernte Nachrichten gespeichert, sodass sie wiederhergestellt werden können. Entfernte wurminfizierte Nachrichten können jedoch nicht wiederhergestellt werden.

  8. Klicken Sie auf Speichern, um die Antiviruseinstellungen zu speichern.

Wählen Sie im Arbeitsbereich Einstellungen für Scan-Auftrag die Option Transport-Scan-Auftrag aus. Die Änderungen, die im unteren Abschnitt des Arbeitsbereichs Einstellungen für Scan-Auftrag angezeigt werden, betreffen den aktuell in der Auftragsliste ausgewählten Scanauftrag. Jede Änderung an der Konfiguration bewirkt, dass die Schaltflächen Speichern und Abbrechen aktiviert werden. Wenn Sie einen Scanauftrag ändern und danach zu einem anderen Scanauftrag oder einem anderen Menüeintragssymbol wechseln, ohne die Änderung vorher zu speichern, werden Sie zum Speichern der neuen Konfigurationseinstellungen aufgefordert.

Klicken Sie zum Steuern des Transportscanauftrags im Navigationsbereich auf BETRIEB und dann auf das Symbol Auftrag ausführen. Der Arbeitsbereich Auftrag ausführen wird angezeigt.

Wählen Sie in der Liste im oberen Teil des Arbeitsbereichs Auftrag ausführen die Option Transport-Scan-Auftrag. Der untere Abschnitt des Arbeitsbereichs Auftrag ausführen zeigt den Status und die Ergebnisse des aktuell ausgewählten Scanauftrags an.

Wenn die Option Transport-Scan-Auftrag ausgewählt wurde, können Sie mit den Schaltflächen Aktivieren und Umgehung festlegen, ob der Auftrag ausgeführt werden soll.

Transportscanaufträge können nach Viren suchen, eine Dateifilterung oder eine Schlüsselwortfilterung vornehmen oder eine Kombination aus diesen drei Aufgaben ausführen. Legen Sie mithilfe der Kontrollkästchen neben Virenscan, Filtern nach Dateien und Filtern nach Schlüsselwörtern die gewünschte(n) Aufgabe(n) fest. Alle Änderungen an diesen Einstellungen werden umgehend ausgeführt, selbst wenn der Auftrag aktuell ausgeführt wird.

Im unteren Teil des Arbeitsbereichs „Auftrag ausführen“ werden die Infektionen bzw. die gefilterten Ergebnisse angezeigt, die vom Transportscanauftrag gefunden wurden. Diese Ergebnisse werden auf dem Datenträger in der Virusprotokolldatei von FSCController gespeichert und sind nicht davon abhängig, dass Forefront Server Security Administrator geöffnet bleibt. Die Virusprotokolldatei kann, wenn sie nicht länger benötigt wird, durch Betätigen der Schaltfläche Protokoll löschen gelöscht werden. Dies hat keine Auswirkung auf das Vorfallprotokoll.

Eine Teilmenge der Ergebnisse kann auch durch Auswahl der Einträge in der Spalte Ordner mithilfe der Maus oder der LEERTASTE in Verbindung mit der UMSCHALT- oder STRG-TASTE gelöscht werden. Wenn die gewünschte Teilmenge ausgewählt ist, wird diese durch Drücken der ENTF-TASTE aus der Virusprotokolldatei entfernt.

HinweisHinweis:
Wenn eine große Anzahl an Einträgen ausgewählt wird, kann der Löschvorgang sehr lange dauern. In diesem Fall wird ein Nachrichtenfeld angezeigt, um den Benutzer zur Bestätigung des Löschvorgangs aufzufordern.

Verwenden Sie die Schaltfläche Exportieren, um die Ergebnisse als formatierten Text oder durch Trennzeichen getrenntes Textformat zu speichern.

Falls der Transportscanauftrag mehr als die angegebene Zeit für das Scannen einer Nachricht in Anspruch nimmt (Standard sind 5 Minuten oder 300.000 Millisekunden), wird der Vorgang beendet und Forefront Security für Exchange Server versucht, den Dienst neu zu starten. Bei Erfolg wird der Transportscan wieder aufgenommen, und eine Benachrichtigung wird an den Administrator gesendet, die angibt, dass der Transportscanauftrag beendet und wiederhergestellt wurde.

Wenn der neue Transportscanvorgang startet, wird die Nachricht, die den Vorgang zuvor abgebrochen hat, neu verarbeitet, gemäß der Aktion, die in Aktion bei Zeitüberschreitung bei Transport-Scan unter Allgemeine Optionen festgelegt ist. Wenn diese Einstellung z. B. auf Löschen festgelegt ist, wird die Datei in Forefront Security für Exchange Server gelöscht. Zudem werden die Inhalte durch den Text für das Löschen für den Transportscanauftrag ersetzt, die Informationen protokolliert sowie die Datei unter Quarantäne gestellt und archiviert. (Weitere Informationen zu Allgemeine Optionen finden Sie unter Forefront Server Security Administrator (FSSAClient).)

Wenn der Vorgang nicht neu gestartet werden kann, wird eine Benachrichtigung an den Administrator gesendet, die angibt, dass der Transportscanauftrag beendet wurde. In diesem Fall funktioniert der Transportscan nicht, und der E-Mail-Fluss wird nicht gescannt.

Wenn Sie weiterhin Zeitüberschreitungsprobleme haben, können Sie versuchen, die Zeit, die im Registrierungswert TransportTimeout angegeben ist, zu erhöhen. Da es sich hierbei um einen ausgeblendeten Registrierungswert handelt, müssen Sie einen neuen DWORD-Registrierungswert mit dem Namen TransportTimeout erstellen, den Basiswert auf Dezimal festlegen und den Zeitraum in Millisekunden in das Feld Wert eingeben. Starten Sie die Exchange- und Forefront Security für Exchange Server-Dienste neu, damit diese Änderung wirksam wird. Weitere Informationen zu den Registrierungswerten finden Sie unter Registrierungsschlüssel.

Mit Forefront Security für Exchange Server ist Flexibilität möglich bei der Auswahl, welche Nachrichtenwarteschlangen mit dem Transportscanauftrag gescannt werden sollen: eingehend, ausgehend oder intern. Sie können Forefront Security für Exchange Server für das Scannen einer Warteschlange oder aller drei konfigurieren. Der Arbeitsbereich Einstellungen für Scan-Auftrag enthält drei Kontrollkästchen für die Auswahl von Warteschlangen.

Durch die Aktivierung des Kontrollkästchens Eingehend im Arbeitsbereich Einstellungen für Scan-Auftrag wird Forefront Security für Exchange Server für das Scannen aller E-Mail-Nachrichten konfiguriert, die in den Edge- oder Hubtransport eingehen. Nachrichten werden als eingehend bestimmt, wenn die Nachricht von einem externen Server stammt oder über diesen weitergeleitet wurde. Wenn die Exchange-Server innerhalb dieser Site oder Organisation nicht Forefront Security für Exchange Server ausführen, ist dies eine wirksame Methode, sie vor infizierten E-Mail-Nachrichten aus dem Internet zu schützen.

Durch die Aktivierung des Kontrollkästchens Ausgehend im Arbeitsbereich Einstellungen für Scan-Auftrag wird Forefront Security für Exchange Server für das Scannen aller ausgehenden E-Mail-Nachrichten konfiguriert, die Ihre Exchange-Site oder Exchange-Organisation über den Edge- oder Hubtransport verlassen. Nachrichten werden als ausgehend bestimmt, wenn mindestens ein Empfänger eine externe Adresse hat.

Durch die Aktivierung des Kontrollkästchens Intern im Arbeitsbereich Einstellungen für Scan-Auftrag wird Forefront Security für Exchange Server für das Scannen aller E-Mail-Nachrichten konfiguriert, die von einem Standort innerhalb Ihrer Domäne an einen anderen Standort innerhalb Ihrer Domäne weitergeleitet werden. Nachrichten werden als intern bestimmt, wenn sie aus Ihrer Domäne stammen und sich alle Empfänger innerhalb Ihrer Domäne befinden.

Mehrfach geschachtelte, komprimierte Dateien können die Leistung von Forefront Security für Exchange Server und des Exchange-Servers verlangsamen. Mehrfache Schachtelung ist außerdem ein bekannter Denial-of-Service-Angriff gegen Antivirenprodukte. Der Forefront Security für Exchange Server-Registrierungsschlüssel MaxNestedCompressedFile ist standardmäßig auf 5 festgelegt, um die mögliche Auswirkung auf die Serverleistung zu minimieren und gegen Denial-of-Service-Angriffe zu schützen. Die Einstellung ermöglicht Forefront Security für Exchange Server, fünf geschachtelte, komprimierte Anlagen nach Viren zu scannen. Anlagen mit mehr als fünf Schachtelungen werden fürs Löschen markiert.

Sie können diese Einstellung nach Bedarf für Ihre Umgebungen im Arbeitsbereich Allgemeine Optionen ändern. Weitere Informationen finden Sie unter Forefront Server Security Administrator (FSSAClient).

Standardmäßig ist Forefront Security für Exchange Server für das Scannen aller Anlagen nach Viren konfiguriert. Forefront Security für Exchange Server kann jedoch so konfiguriert werden, dass nur Dateianlagen gescannt werden, die eine höhere Wahrscheinlichkeit für einen Virenbefall aufweisen, um Scans so schnell und effizient wie möglich auszuführen. Dies geschieht zunächst durch Bestimmen des Dateityps und durch Bestimmen, ob dieser Dateityp mit einem Virus infiziert sein könnte. Die Bestimmung des Dateityps geschieht durch Überprüfen des Dateivorspanns und nicht der Dateierweiterung. Diese Methode ist deutlich sicherer, da Dateierweiterungen problemlos manipuliert werden können. Durch diese Überprüfung wird die Leistung von Forefront Security für Exchange Server erhöht und gleichzeitig sichergestellt, dass keine potenziell infizierten Dateianlagen durchgehen, ohne gescannt zu werden. Wenn in Forefront Security für Exchange Server das Scannen von Dateitypen umgangen werden soll, die in der Regel keine Viren enthalten können, setzen Sie den Registrierungsschlüssel ScanAllAttachments auf 0. (Bei ScanAllAttachments handelt es sich um einen "ausgeblendeten" Schlüssel. Dies bedeutet, dass der Standardwert 1 verwendet wird, wenn der Schlüssel nicht vorhanden ist.)

 
Anzeigen: