Konfigurieren des Transportscans

 

Gilt für: Forefront Protection for Exchange

Letzte Änderung des Themas: 2010-05-10

Es gibt verschiedene Konfigurationseinstellungen, die Sie für den Transportscan anpassen können, um die Anforderungen der Umgebung zu erfüllen. Dazu gehört das Auswählen der Anzahl der Scanmodule, die für jeden Scan verwendet werden soll, das Festlegen der bei Erkennen von Malware zu ergreifenden Maßnahmen und die Angabe, ob verdächtige Dateien unter Quarantäne gestellt werden sollen.

So konfigurieren Sie den Transportscan
  1. Klicken Sie im Forefront Protection 2010 für Exchange Server Administrator Console auf Richtlinienverwaltung, und klicken Sie unter Antimalware auf Hub - Transport (wenn Sie einen Edge-Transport-Server verwenden, wird Edge - Transport anstelle von Hub - Transport angezeigt).

  2. Konfigurieren Sie im Bereich Antimalware - Hubtransport unter dem Abschnitt Allgemeine Einstellungen die folgenden Einstellungen:

    1. Antivirentransportscan aktivieren – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen, um den Transportantivirusscan zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig Aktiviert.

    2. Antispywaretransportscan aktivieren – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen, um den Transportantispywarescan zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig Aktiviert.

  3. Wählen Sie im Bereich Antimalware - Hubtransport unter dem Abschnitt Module und Leistung die Anzahl der Scanmodule aus, die für diesen Scan verwendet werden sollen. Weitere Informationen finden Sie unter Konfigurieren der Anzahl der für jeden Scan verwendeten Scanmodule.

  4. Konfigurieren Sie im Bereich Antimalware - Hubtransport unter dem Abschnitt Scanaktionen die folgenden Einstellungen:

    1. Aktion – Wählen Sie die Aktion aus, die bei Erkennen eines Virus oder von Spyware ausgeführt werden soll. Für Viruserkennungen können Sie Erkennung überspringen, Bereinigen (Standard) und Löschen auswählen. Für Spywareerkennungen können Sie Erkennung überspringen, Löschen (Standard) und Entfernen auswählen. Weitere Informationen finden Sie unter Konfigurieren der beim Erkennen von Malware auszuführenden Aktion.

    2. Quarantänedateien – Aktivieren oder deaktivieren Sie mithilfe der Dropdownliste (durch Auswählen von Ja bzw. von Nein) das Speichern von infizierten Dateien, die von den Dateiscanmodulen erkannt wurden. Die Quarantäne ist standardmäßig aktiviert. Durch das Aktivieren der Quarantäne werden gelöschte Anlagen und entfernte Nachrichten an einem Ort gespeichert, an dem sie wiederhergestellt werden können. Entfernte wurminfizierte Nachrichten können jedoch nicht wiederhergestellt werden. Weitere Informationen zur Quarantäne finden Sie unter Anzeigen und Verwalten von Quarantäne.

    3. Text für Malwarelöschung bearbeiten – Sie können Text für das Löschen angeben, mit dem der Inhalt einer infizierten Datei während eines Löschvorgangs ersetzt wird. Wenn Sie den Standardtext für Löschen beibehalten, werden Sie informiert, dass eine infizierte Datei entfernt wurde, und es wird angegeben, um welche Datei und welche Malware es sich gehandelt hat. Klicken Sie zum Ändern des standardmäßigen Texts für das Löschen auf Text für Malwarelöschung bearbeiten, nehmen Sie im Dialogfeld Text für Malwarelöschung bearbeiten Änderungen am Text für das Löschen vor, und klicken Sie anschließend auf Übernehmen und Schließen, um zum Bereich Antimalware - Hubtransport zurückzukehren.

      HinweisHinweis:
      FPE enthält Schlüsselwörter, die Sie unter "Text für das Löschen" verwenden können, um Informationen aus der Nachricht abzurufen, in der die Infektion aufgetreten ist. Klicken Sie zum Verwenden der Schlüsselwörter im Dialogfeld Text für Malwarelöschung bearbeiten mit der rechten Maustaste, wählen Sie Feld einfügen und anschließend das gewünschte Makro aus. Weitere Informationen zu dieser Funktion finden Sie unter Schlüsselwortersetzungsmakros.
  5. Klicken Sie auf Speichern.

Sie können die folgenden zusätzlichen Einstellungen unter dem Abschnitt Zusätzliche Optionen des Bereichs Antimalware - Hubtransport konfigurieren. Klicken Sie auf Speichern, nachdem Sie alle Änderungen an den Einstellungen vorgenommen haben.

  • Doc-Dateien als Container scannen – Konfiguriert den Transportscan so, dass Dateien gescannt werden, die strukturierten Speicher und das OLE-eingebettete Dateiformat (beispielsweise DOC, XLS, PPT oder SHS) als Containerdateien verwenden. Dadurch wird sichergestellt, dass eingebettete Dateien als potenzielle Träger von Malware gescannt werden. Diese Einstellung ist standardmäßig deaktiviert.

  • Endgültig löschen, wenn Nachrichtentext gelöscht wurde – Konfiguriert, ob vollständige Nachrichten entfernt werden sollen, wenn der Nachrichtentext vom Transportscanner gelöscht wird. Diese Einstellung ist standardmäßig deaktiviert.

    Einige Nachrichten enthalten Malware im Textkörper der Nachrichtendatei. Wenn der Nachrichtentext vollständig oder teilweise gelöscht wird, um Malware zu entfernen, wird der gelöschte Teil des Nachrichtentexts durch den Text für das Löschen ersetzt. Wenn E-Mail-Benutzer keine bereinigten Nachrichten mit einem derartigem Text erhalten sollen, können Sie Nachrichten entfernen, in denen der Nachrichtentext vollständig oder teilweise gelöscht wurde und die keine Anlagen enthalten. Beispiel: Falls eine Nachricht sowohl HTML- als auch Nur-Text enthält und der HTML-Text gelöscht wird, wird die gesamte Nachricht entfernt.

  • Die Leistung optimieren, indem Nachrichten, die bereits auf Viren gescannt wurden, nicht erneut gescannt werden – Hiermit wird FPE so konfiguriert, dass das Scannen von Nachrichten, die zuvor von einer beliebigen Instanz von FPE in einer beliebigen Konfiguration gescannt wurden, übersprungen wird. Dies gilt für Nachrichten, die auf Transportservern empfangen werden, die bereits von FPE auf einem anderen Transportserver innerhalb der Exchange-Organisation gescannt wurden. Diese Einstellung ist standardmäßig aktiviert.

  • Malwarebenachrichtigungen unterdrücken – Unterdrückt die Benachrichtigungen Virus gefunden, Spyware gefunden und Wurm gefunden auch, wenn diese Benachrichtigungen aktiviert sind. Diese Einstellung ist standardmäßig deaktiviert.

  • Ungültige MIME-Headeraktion – Hiermit wird konfiguriert, welche Aktion auszuführen ist, wenn bei einem Scan ein ungültiger MIME-Header gefunden wird. Ungültige MIME-Header sind Nachrichten, bei denen eine der folgenden Eigenschaften nicht gültig ist: Content-Disposition, Content-Type-Header und Multiple Content-Transfer-Encoding. Sie können Entfernen oder Ignorieren auswählen. Der Standardwert ist Entfernen.

    Nachrichten, in denen ungültige MIME-Header gefunden wurden, werden standardmäßig unter Quarantäne gestellt, falls als Aktion Entfernen festgelegt wurde. Wenn Sie keine entfernten Nachrichten unter Quarantäne stellen möchten, geben Sie den folgenden Windows PowerShell-Befehl ein, um die Quarantäne für die folgenden Elemente zu deaktivieren:

    Set-FseTransportScan -IllegalMIMEHeaderQuarantine $false

  • Transportsenderinformationen – Konfiguriert, welche Absenderinformationen für den Transportscan verwendet werden sollen. Wählen Sie eine der folgenden Optionen aus:

    • MIME-Header verwenden – Die Absenderadresse im MIME FROM-Header wird für den Transportscan verwendet. Wenn auch ein MIME-Absender vorhanden ist, handelt es sich hierbei um die verwendeten Headerinformationen. Dies ist der Standardwert.

    • Absenderadresse aus SMTP-Protokoll verwenden – Die Absenderadresse MAIL FROM aus dem SMTP-Protokoll wird für den Transportscan verwendet. Die Adresse in diesem Feld wird überall dort verwendet, wo die Absenderadresse verwendet wird.

  • Anzahl der Vorgänge – Konfiguriert die Anzahl der Prozesse, die pro Transportserver ausgeführt werden sollen. Der Standardwert ist 4 (maximaler Wert 10).

    Bei Ausführung mehrerer Transportprozesse wird die Datei im ersten Prozess gescannt, sofern der Prozess nicht ausgelastet ist. In diesem Fall wird die Datei zum Scannen an den zweiten Prozess übergeben. Wenn der zweite Prozess ausgelastet und ein dritter aktiviert ist, wird die Datei im dritten Prozess gescannt. Dateien werden von FPE an den ersten Prozess übergeben, sofern dieser verfügbar ist.

    Die Ausführung mehrerer Prozesse erhöht die Belastung des Servers beim Starten. Dies gilt, wenn die Prozesse geladen werden und wenn sie zum Scannen einer Datei aufgerufen werden. In der Regel ist die Standardanzahl der Prozesse ausreichend, sofern es sich nicht um Umgebungen mit hohen Volumen handelt. Da durch das Erhöhen der Anzahl von Prozessen zusätzliche Serverressourcen belegt werden, wird empfohlen, sie einzeln zu vergrößern und die Leistung schrittweise zu bewerten.

    Wichtig Wichtig:
    Beenden und starten Sie anschließend den Microsoft Exchange-Transportdienst, damit die Änderungen an dieser Einstellung wirksam werden. Verwenden Sie nicht die Neustartfunktion.
  • Scantimeout (Sekunden) – Konfiguriert die Dauer in Sekunden, mit der eine Datei im Rahmen eines Transportscans bis zur Zeitüberschreitung gescannt wird. Der Standardwert beträgt 300 Sekunden.

    Falls beim Transportscan die angegebene Zeit für das Scannen einer Nachricht überschritten wird, wird der Prozess beendet, und der Dienst wird von FPE neu gestartet. Bei erfolgreichem Verlauf wird der Transportscan fortgesetzt, und eine Benachrichtigung wird an den Administrator gesendet, in der angegeben wird, dass der Transportscan beendet und wiederhergestellt wurde.

    Beim Starten des neuen Transportscanvorgangs wird die Nachricht, durch die der Abbruch verursacht wurde, erneut gemäß der Einstellung Aktion bei Scanzeitüberschreitung verarbeitet. Wenn diese Einstellung z. B. auf Löschen festgelegt ist, wird die Datei von FPE gelöscht. Anschließend wird der Inhalt durch den Text für das Löschen für den Transportscan ersetzt, ein Vorfall vom Typ "ExceededTransportTimeout" protokolliert und die Datei unter Quarantäne gestellt und archiviert.

    Wenn der Vorgang nicht neu gestartet werden kann, wird eine Benachrichtigung an den Administrator gesendet, die angibt, dass der Transportscan beendet wurde. In diesem Fall funktioniert der Transportscan nicht, und der E-Mail-Fluss wird nicht gescannt.

    Wichtig Wichtig:
    Beenden und starten Sie anschließend den Microsoft Exchange-Transportdienst, damit die Änderungen an dieser Einstellung wirksam werden. Verwenden Sie nicht die Neustartfunktion.
  • Aktion bei Scantimeout – Konfiguriert, welche Aktion auszuführen ist, wenn für den Transportscan beim Scannen einer Datei eine Zeitüberschreitung eintritt. Die Optionen umfassen:

    • Ignorieren – Die Datei wird weitergeleitet, ohne gescannt zu werden.

    • Erkennung überspringen – Gibt im Vorfall- und im Programmprotokoll an, dass die Scanzeit von der Datei überschritten und sie ohne Scannvorgang übergeben wurde.

    • Löschen – Das Ereignis wird gemeldet, und der Dateiinhalt wird durch den Text für das Löschen ersetzt. Der Standardwert ist Löschen.

    Hinweis Hinweis:
    Wenn Aktion bei Scanzeitüberschreitung auf Erkennung überspringen oder Löschen festgelegt und die Quarantäne aktiviert ist, wird eine Kopie der Datei in der Datenbank gespeichert.
  • Maximale Containerscanzeit (Sekunden) – Konfiguriert die Dauer in Sekunden, mit der eine komprimierte Anlage gescannt wird, bevor ein Vorfall vom Typ "ScanTimeExceeded" gemeldet wird. Diese Option soll Denial-of-Service aufgrund von Zip-of-Death-Angriffen verhindern. Der Standardwert beträgt 120 Sekunden.

Sie können FPE so konfigurieren, dass der Transportscan aller E-Mails umgangen wird. Wenn Sie FPE für die Umgehung des Transportscans konfigurieren, wird im Transportscanauftrag kein Malwarescan bzw. keine Filterung ausgeführt.

Wichtig Wichtig:
Die Umgehung des Transportscans sollte nur zur Problembehandlung und unter der Anleitung eines Mitarbeiters des Kundenservice und -supports (CSS) verwendet werden. Wenn die Einstellung aktiviert ist (standardmäßig deaktiviert), bietet der Transportscan keinen Schutz vor Malware, und nicht gescannte Malware kann in die Organisation gelangen oder sie verlassen.
So umgehen Sie Transportscans
  1. Klicken Sie im Forefront Protection 2010 für Exchange Server Administrator Console auf Richtlinieneinstellungen, und klicken Sie unter Globale Einstellungen auf Scanoptionen.

  2. Aktivieren Sie im Bereich Globale Einstellungen - Scanoptionen unter dem Abschnitt Scanziele - Transport das Kontrollkästchen Scanumgehung aktivieren.

  3. Klicken Sie auf Speichern.

Wichtig Wichtig:
Wenn Sie nach der Problembehandlung den Malwareschutz wiederherstellen möchten, müssen die Scanvorgänge durch Deaktivieren der Umgehung wiederhergestellt werden. Deaktivieren Sie dazu das Kontrollkästchen Scanumgehung aktivieren, und klicken Sie anschließend auf Speichern.
 
Anzeigen: