Protección contra malware en Exchange Server

La protección contra malware en Exchange Server 2016 ayuda a combatir virus y spyware en el entorno de mensajería de correo electrónico. Los virus infectan otros programas y datos, y se propagan en todo el equipo en busca de programas que infectar. Spyware recopila información personal (por ejemplo, información de inicio de sesión y datos personales) y la envía de vuelta a su autor.

La protección antimalware en Exchange Server se introdujo en Exchange 2013 y la proporciona el agente de transporte denominado Agente de malware. El agente examina los mensajes a medida que pasan por el servicio de transporte en un servidor de buzones de correo. El filtrado de malware se configura mediante:

  • Directivas antimalware: especifique opciones de examen y notificación entrantes y salientes para el filtrado de malware. Hay una directiva predeterminada que se aplica a todos los destinatarios de la organización de Exchange y puede crear directivas adicionales que se apliquen en un orden específico.

  • Configuración del servidor antimalware: especifique las acciones de error y reintento, y la configuración de actualización del motor y la definición para el filtrado de malware. El agente de malware usa el acceso a Internet en el puerto TCP 80 (HTTP) para comprobar cada hora si hay actualizaciones de motor y de definición.

  • Scripts antimalware: habilite o deshabilite el filtrado de malware en el servidor y descargue manualmente las actualizaciones de motor y definición.

Para ver los procedimientos relacionados con el filtrado de malware, consulte Procedimientos para la protección antimalware en Exchange Server. Para obtener más información sobre las características de antispam en Exchange Server, vea Protección contra antispam en Exchange Server.

Directivas antimalware

Las directivas antimalware controlan las acciones y las opciones de notificación para las detecciones de malware. La configuración importante de las directivas antimalware es la siguiente:

  • Acción: especifica qué hacer cuando se detecta que un mensaje contiene malware. Las opciones son:

    • Elimine el mensaje (este es el valor predeterminado).

    • Reemplace todos los datos adjuntos por un archivo de texto que contenga este texto predeterminado:

      Se detectó malware en uno o varios datos adjuntos incluidos en este correo electrónico. Se han eliminado todos los datos adjuntos.

    • Reemplazar todos los datos adjuntos por un archivo de texto que contenga el texto personalizado que se especifique.

  • Notificaciones: cuando se configura una directiva antimalware para eliminar mensajes, puede elegir si desea enviar un mensaje de notificación al remitente. Se pueden enviar mensajes de notificación en función de si el remitente es interno o externo. El mensaje de notificación predeterminado tiene estas propiedades:

    • Desde: Postmaster postmaster@ <defaultdomain.com>

    • Asunto: mensaje no apto para entrega

    • Texto del mensaje: este mensaje ha sido creado por un software de entrega de correos de forma automática. El mensaje de correo electrónico no se entregó a los destinatarios previstos porque se detectó malware.

    Puede personalizar las propiedades del mensaje para las notificaciones internas y externas. También puede especificar destinatarios adicionales (administradores) para recibir notificaciones de mensajes no entregados de remitentes internos o externos.

  • Filtros de destinatarios: en el caso de las directivas antimalware personalizadas, puede especificar las condiciones de destinatario y las excepciones que determinan a quién se aplica la directiva. Puede usar estas propiedades para condiciones y excepciones:

    • Por destinatario

    • Por dominio aceptado

    • Por pertenencia a grupos

    Solo puede usar una condición o excepción una vez, pero la condición o excepción puede contener varios valores. Varios valores de la misma condición o excepción usan la lógica OR (por ejemplo, <recipient1> or <recipient2>). Diversas condiciones o excepciones usan la lógica AND (por ejemplo, <recipient1> and <miembro del grupo 1>).

  • Prioridad: si crea varias directivas antimalware personalizadas, puede especificar el orden en que se aplican.

Directivas antimalware en el Centro de administración de Exchange frente al Shell de administración de Exchange

Los elementos básicos de una directiva antimalware son:

  • La directiva de filtro de malware: especifica las opciones de acción y notificación para el filtrado de malware.

  • Regla de filtro de malware: especifica la prioridad y los filtros de destinatario (a los que se aplica la directiva) para una directiva de filtro de malware.

La diferencia entre estos dos elementos no es obvia al administrar las directivas antimalware en el Centro de administración de Exchange (EAC):

  • Al crear una directiva antimalware en el EAC, en realidad está creando una regla de filtro de malware y la directiva de filtro de malware asociada al mismo tiempo con el mismo nombre para ambos.

  • Al modificar una directiva antimalware en el EAC, la configuración relacionada con el nombre, la prioridad, habilitada o deshabilitada y los filtros de destinatario modifican la regla de filtro de malware. Otras opciones (acciones y opciones de notificación) modifican la directiva de filtro de malware asociada.

  • Al quitar una directiva antimalware del EAC, se quitan la regla de filtro de malware y la directiva de filtro de malware asociada.

En el Shell de administración de Exchange, la diferencia entre las directivas de filtro de malware y las reglas de filtro de malware es evidente. Las directivas de filtro de malware se administran mediante los cmdlets *-MalwareFilterPolicy y se administran las reglas de filtro de malware mediante los cmdlets *-MalwareFilterRule .

  • En el Shell de administración de Exchange, primero se crea la directiva de filtro de malware y, a continuación, se crea la regla de filtro de malware que identifica la directiva a la que se aplica la regla.

  • En el Shell de administración de Exchange, modifica la configuración de la directiva de filtro de malware y la regla de filtro de malware por separado.

  • Al quitar una directiva de filtro de malware del Shell de administración de Exchange, la regla de filtro de malware correspondiente no se quita automáticamente y viceversa.

Directiva antimalware predeterminada

Cada servidor de buzones de correo tiene una directiva antimalware integrada denominada Default que tiene estas propiedades:

  • La directiva de filtro de malware denominada "Valor predeterminado" se aplica a todos los destinatarios de la organización de Exchange, aunque no haya ninguna regla de filtro de malware (filtros de destinatarios) asociada a la directiva.

  • La directiva denominada Predeterminada tiene un valor de prioridad personalizado Inferior que no se puede modificar (la directiva siempre se aplica en último lugar). Las directivas antimalware personalizadas que cree siempre tienen una prioridad mayor que la directiva denominada Default.

  • La directiva denominada Predeterminada es la directiva predeterminada (la propiedad IsDefault tiene el valor True), y no puede eliminar la directiva predeterminada.

Configuración del servidor antimalware

Puede usar los cmdlets Get-MalwareFilteringServer y Set-MalwareFilteringServer en el Shell de administración de Exchange para ver y configurar las opciones de configuración de actualizaciones, tiempo de espera y descarga del agente de malware en el servidor de buzones. Para ver los procedimientos que usan estos cmdlets, consulte Uso del Shell de administración de Exchange para omitir el filtrado de malware en los servidores de buzones de correo y Uso del Shell de administración de Exchange para configurar el filtrado de malware para volver a examinar los mensajes que ya ha examinado EOP.

Scripts antimalware

Exchange incluye dos scripts del Shell de administración de Exchange que puede usar para administrar el filtrado de malware:

  • Disable-Antimalwarescanning.ps1 deshabilita el agente de malware y las actualizaciones del motor y la definición de malware en el servidor de buzones de correo.

  • Enable-Antimalwarescanning.ps1 habilita el agente de malware, habilita el motor de malware y las actualizaciones de definiciones, y ejecuta las actualizaciones de motor y definición en el servidor de buzones de correo.

  • Update-MalwareFilteringServer.ps1 ejecuta manualmente el motor de malware y las actualizaciones de definiciones en el servidor de buzones de correo.

Para obtener más información sobre el uso de estos scripts, consulte Uso del Shell de administración de Exchange para habilitar o deshabilitar el filtrado de malware en los servidores de buzones de correo y Descarga de actualizaciones de definiciones y motor de antimalware.

Opciones de protección antimalware en Exchange Server

En esta lista se describen las opciones de antimalware para Exchange:

  • Protección antimalware integrada: puede usar la protección antimalware integrada en Exchange para ayudarle a combatir el malware. Puede usarlo por sí mismo o emparejarlo con otras soluciones antimalware para proporcionar una defensa por capas contra malware.

  • Exchange Online Protection (EOP): puede pagar por una suscripción a EOP, que es la solución antimalware que se usa en Microsoft 365 y Office 365. EOP aprovecha las asociaciones con varios motores antimalware para proporcionar protección antimalware eficaz, rentable y multicapa. Las ventajas de analizar la protección antimalware integrada con EOP son:

    • EOP usa varios motores antimalware, mientras que la protección antimalware integrada usa un único motor.

    • EOP tiene funcionalidades de generación de informes, incluidas las estadísticas de malware.

    • EOP proporciona la característica de seguimiento de mensajes para solucionar automáticamente problemas de flujo de correo, incluidas las detecciones de malware.

      Para obtener más información sobre EOP, consulte Protección contra malware en EOP.

  • Protección antimalware de terceros: puede comprar un programa antimalware de terceros.

Preguntas más frecuentes sobre Antimalware para Exchange

Esta sección responde a las preguntas más frecuentes sobre el filtrado y el examen de malware integrados en Exchange.

¿Por qué el malware identificado por otros servicios antimalware ha superado el filtrado antimalware de Exchange?

Hay dos razones probables:

  • El escenario más probable es que los datos adjuntos del mensaje no contengan realmente ningún código malintencionado activo. Algunos motores antimalware son más agresivos que otros, y estos motores podrían detener los mensajes simplemente porque contienen cargas de malware truncadas que realmente no hacen nada.

  • El malware que ha recibido es una nueva variante y nuestro motor antimalware no ha publicado un archivo de patrón para él (todavía).

He recibido un mensaje con datos adjuntos desconocidos. ¿Es malware o puedo hacer caso omiso del archivo adjunto?

Se recomienda encarecidamente que no abra datos adjuntos que no reconozca. Si desea que investiguemos los datos adjuntos, envíenoslo como se describe en el siguiente elemento.

Cómo enviar malware conocido, archivos sospechosos o falsos positivos a Microsoft?

Guarde una copia del mensaje y cargue el mensaje en el sitio web de Inteligencia de seguridad de Microsoft para que podamos examinarlo.

Si el ejemplo contiene malware, tomaremos medidas correctivas para evitar que el virus pase desapercibido. Si el ejemplo está limpio, tomaremos medidas correctivas para evitar que el archivo se detecte como malware.

¿Dónde puedo obtener los mensajes eliminados por el filtro de malware?

No se puede. Se encontró que los mensajes contenían código malintencionado activo, por lo que se eliminaron.

¿Puedo usar reglas de flujo de correo para omitir el filtrado de malware?

No, no puede usar reglas de flujo de correo (también conocidas como reglas de transporte) para omitir el agente de Malware. En su lugar, envíe los datos adjuntos en un archivo de .zip protegido con contraseña (los archivos .zip protegidos con contraseña se omiten mediante el filtrado de malware).