Bewährte Methoden für Forefront Security für Exchange Server – Abweichungseinstellung

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2008-02-04

Die Abweichungseinstellung steuert, wie viele Module benötigt werden, um Ihnen eine akzeptable Wahrscheinlichkeit zu bieten, dass Ihr System geschützt ist (unter Berücksichtigung, dass virtuelle Sicherheit und Systemleistung nicht genau zu vereinbaren sind). Je mehr Module Sie verwenden, desto größer ist die Wahrscheinlichkeit, dass alle Viren gefunden werden. Eine höhere Anzahl von Modulen wirkt sich jedoch auch stärker auf die Systemleistung aus. In Forefront Security für Exchange Server wird ein sehr effizienter Scanprozess im Arbeitsspeicher verwendet. Aber jedes zusätzliche Modul erhöht die Scandauer und die Ressourcennutzung.

Das eine Extrem ist also die Anzahl der verwendeten Module für eine maximale Sicherheit. Das andere Extrem ist die Anzahl der Module, die eine maximale Leistung ermöglichen. Wir empfehlen, dass Sie im allgemeinen alle verfügbaren Scanmodule verwenden.

Sie können je nach Bedarf unterschiedliche Abweichungseinstellungen auf verschiedenen Servern verwenden. So empfiehlt es sich unter Umständen, auf einem Gatewayserver nur ein Modul zu verwenden, um so eine optimale Leistung zu erreichen. Sie können dann mehrere Module auf Ihren anderen Servern verwenden, auf denen die Leistung nicht ganz so kritisch ist.

Sie sollten die gleichen Module und Abweichungseinstellungen auf allen Edgetransport- und Hubtransportservern verwenden (auch wenn ein Edgeserver von mehr Modulen und einer höheren Abweichungseinstellung profitieren kann, damit sichergestellt ist, dass alle Nachrichten von mehreren Modulen gescannt werden). So wird sichergestellt, dass eingehende, ausgehende und interne Mails im gleichen Maß gescannt werden (interne Mails werden auf dem Hub bei der Übertragung gescannt). Gleichzeitig vermeiden Sie unnötiges doppeltes Scannen.

HinweisHinweis:
Mit Max. Sicherheit wird der E-Mail-Fluss immer unterbrochen, wenn ein Scanmodul aktualisiert wird, da bei Max. Sicherheit jede Nachricht von jedem ausgewählten Modul gescannt werden muss. Für eine vollständige Scanmodulabdeckung werden die E-Mails in die Warteschlage aufgenommen, bis die Scanmodulaktualisierung abgeschlossen ist (meist weniger als 30 Sekunden). Sie können dies vermeiden, indem Sie Sicherheit bevorzugen auswählen. Dann werden das Scannen und der E-Mail-Fluss von allen anderen ausgewählten Modulen fortgesetzt, während ein Modul aktualisiert wird.

Sie sollten die Abweichungsebene auf Sicherheit bevorzugen festlegen. Der Transportscanauftrag stellt die erste Verteidigungslinie gegen unerwünschte und böswillige Nachrichten und Anlagen dar, deshalb sollte auf dieser Ebene die umfangreichste Prüfung erfolgen.

Sie sollten auf allen Servern eingehendes, ausgehendes und internes Scannen nutzen. Eine Nachricht, die zwischen verschiedenen Computern mit Exchange Server in unterschiedlichen Routinggruppen übermittelt wird, wird mithilfe von SMTP übertragen. Durch Scannen auf dieser Ebene können Sie deshalb den Ausbruch eines SMTP-Massenmail-Wurms erkennen und beenden.

Sie sollten mit Sicherheit bevorzugen beginnen, da Ihr wichtigste Anliegen die Sicherheit der E-Mail-Infrastruktur sein sollte. Mit dieser Einstellung wird das Scannen mit drei bis fünf Scanmodulen sichergestellt.

HinweisHinweis:
In Exchange 2007 ist die Standardeinstellung, E-Mails nicht zu scannen, die älter sind als der Wert für Grenzwert für Scanzugriff. Sie können daher geöffnet werden, ohne dass sie zuvor Scanmodule durchlaufen haben. Informationen zum Ändern dieses Verhaltens finden Sie im Abschnitt Bewährte Methoden für Forefront Security für Exchange Server – Überlegungen zur Bereitstellung.

Sie sollten für den manuellen Scanauftrag die gleiche Abweichungseinstellung auswählen wie für den Echtzeitscanauftrag.

 
Anzeigen: