Trabalho de verificação de transporte

 

Aplica-se a: Forefront Security for Exchange Server

Tópico modificado por último: 2009-05-13

O trabalho de verificação de transporte do Forefront Security para Exchange Server é executado em um servidor Exchange 2007 em que esteja instalada uma função Transporte de Hub ou Transporte de Borda. Ele pode verificar, em tempo real, todas as mensagens de email MIME e UUENCODE, de entrada ou de saída, por meio da pilha de transporte de um local ou organização Exchange, como também todos os emails internos. O scanner de transporte verifica vírus em anexos e vírus incorporados e de HTML no corpo da mensagem.

Durante a instalação, quatro Trabalhos de Verificação de Transporte (processos) são criados para o servidor de transporte. Você pode criar trabalhos de verificação de transporte adicionais alterando o valor de Contagem de Processo de Transporte, em Opções Gerais, para o número de FSCTransportScanners a serem executados em cada servidor de transporte. O máximo é 10.

Durante a execução de vários processos de transporte, os arquivos são verificados pelo primeiro processo, exceto se ele estiver ocupado. Neste caso, o arquivo será entregue ao segundo processo. Se o segundo processo estiver ocupado e um terceiro estiver habilitado, o arquivo será verificado por este terceiro processo. Sempre que possível, o Forefront Security para Exchange Server entrega os arquivos ao primeiro processo, se ele estiver disponível. O recurso de vários processos aumenta a carga do servidor na inicialização quando os processos estão sendo carregados e sempre que eles são acionados para a verificação de um arquivo.

Configure o trabalho de verificação de transporte para especificar qual combinação de emails recebidos, enviados e internos deverá ser verificada. Uma alternativa é especificar Texto de Exclusão e Texto de Marca.

Para configurar o trabalho de verificação de transporte
  1. Na seção CONFIGURAÇÕES do Painel de Navegação, selecione Trabalho de Verificação. O painel de trabalho Configurações do Trabalho de Verificação é exibido.

  2. Na parte superior do painel de trabalho Configurações de Trabalho de Verificação (que contém uma lista de trabalhos de verificação configuráveis), selecione Trabalho de Verificação de Transporte.

  3. Na seção Mensagens de Transporte do painel de trabalho, selecione a combinação a ser verificada de mensagens de Entrada, Saída e Internas. Para obter mais informações, consulte Sobre filas de mensagens.

  4. Você também pode especificar o Texto de Exclusão, que é usado para substituir o conteúdo de um arquivo infectado durante uma operação de exclusão. O texto de exclusão padrão informa que um arquivo infectado foi removido, o nome desse arquivo e o vírus encontrado. Para criar sua própria mensagem personalizada, clique em Texto de Exclusão.

    ObservaçãoObservação:
    O FSE fornece palavras-chave que podem ser usadas no campo de texto de exclusão para obter as informações da mensagem na qual a infecção foi encontrada. Para obter mais informações sobre esse recurso, consulte Macros de substituição de palavra-chave.
  5. Você também pode especificar Texto de Marca. Esse texto é usado pelo Forefront Security para Exchange Server para "marcar" a linha de assunto ou o cabeçalho MIME de mensagens correspondentes aos critérios de filtro, de modo que, posteriormente, elas possam ser identificadas para o roteamento para caixas de entrada de usuários específicos ou para outras finalidades detectadas pelo Forefront Server Security Administrator. A ação do filtro deve ser definida como Identificar: Mensagem de Marca para que a marca possa ser usada. Para modificar o texto, clique no botão Texto de Marca no painel de trabalho Configurações de Trabalho de Verificação. A caixa de diálogo Texto de Marca é exibida. Existem dois campos, cada um deles contendo um padrão que pode ser alterado. O padrão do texto de marca de linha de assunto é SUSPEITO: e o padrão do texto de marca de cabeçalho de mensagem (que não pode conter espaços) é Lixo-Eletrônico. Clique em OK.

    ObservaçãoObservação:
    A mesma marca é usada em todos os filtros associados ao Trabalho de Verificação de Transporte.
  6. Clique em Salvar para salvar a configuração do seu trabalho de verificação.

Existem várias configurações que você poderá ajustar para o Trabalho de Verificação de Transporte. Elas incluem seleção do scanner de arquivo, ajuste, ação, notificações e quarentena.

Para definir configurações do antivírus
  1. Na seção CONFIGURAÇÕES do Painel de Navegação, clique no ícone Antivírus. O painel Configurações de Antivírus é exibido.

  2. Na lista do painel superior, selecione Trabalho de Verificação de Transporte. As configurações atuais do arquivo são exibidas na metade inferior do painel de trabalho.

  3. Escolha os mecanismos de verificação de arquivos na lista de scanners de terceiros disponíveis da seção Scanners de Arquivos. Para desabilitar a verificação de vírus, mas preservar a capacidade de executar a Filtragem de Arquivos e a Filtragem de Palavra-chave, desmarque a caixa de seleção Verificação de Vírus no painel de trabalho Executar Trabalho da seção OPERAR do Painel de Navegação referente ao Trabalho de Verificação de Transporte.

  4. Selecione o Ajuste para controlar o número de mecanismos usados para dar a você uma probabilidade aceitável de que o seu sistema esteja protegido. Para obter mais informações, consulte Vários mecanismos de verificação.

  5. Escolha a Ação que deseja que o Forefront Security para Exchange Server execute quando um vírus for detectado. As opções são:

     

    Ignorar: Detectar Somente

    Não faz nenhuma tentativa de limpeza ou exclusão. Os vírus são relatados, mas os arquivos permanecem infectados. Entretanto, se a opção Excluir Arquivos Corrompidos Compactados, Excluir Arquivos Corrompidos Uuencode ou Excluir Arquivos Criptografados Compactados estiver selecionada em Opções Gerais, qualquer correspondência a uma dessas condições excluirá o item.

    Limpar: reparar anexo

    Tenta limpar o vírus. Em caso de êxito, o anexo ou corpo de mensagem infectado é substituído por uma versão limpa. Se não for possível limpá-lo, o anexo ou o corpo de mensagem será substituído pelo Texto de Exclusão.

    Excluir: remover infecção

    Exclui o anexo sem tentar limpá-lo. O anexo detectado é removido da mensagem e o Texto de Exclusão é inserido em seu lugar.

  6. Habilite as notificações por email selecionando Enviar Notificações. Essa configuração não afeta o log de Incidentes. Além disso, configure também as notificações (consulte Notificações por email). As notificações estão desabilitadas por padrão.

  7. Habilite ou desabilite o salvamento de anexos infectados detectados pelos mecanismos de verificação de arquivos marcando ou desmarcando Arquivos em quarentena. A quarentena fica habilitada por padrão. A habilitação do recurso de quarentena armazena os anexos excluídos e as mensagens limpadas, permitindo que você os recupere. Entretanto, não é possível recuperar as mensagens de worm eliminadas.

  8. Clique em Salvar para salvar as configurações do antivírus.

Selecione Trabalho de Verificação de Transporte no painel de trabalho Configurações de Trabalho de Verificação. As alterações feitas na parte inferior do painel de trabalho Configurações de Trabalho de Verificação se aplicam ao trabalho de verificação atualmente selecionado na lista de trabalhos. Qualquer alteração feita à configuração ativa os botões Salvar e Cancelar. Se você alterar um trabalho de verificação e tentar passar para outro trabalho de verificação ou ícone do painel sem salvá-lo, receberá um aviso solicitando que as alterações sejam salvas.

Para controlar o Trabalho de Verificação de Transporte, clique em OPERAR no Painel de Navegação e clique no ícone Executar Trabalho. O painel de trabalho Executar Trabalho é exibido.

Selecione o Trabalho de Verificação de Transporte na lista localizada na parte superior do painel de trabalho Executar Trabalho. A parte inferior do painel de trabalho Executar Trabalho mostra o status e os resultados do trabalho de verificação atualmente selecionado.

Com o Trabalho de Verificação de Transporte selecionado, os botões Habilitar e Ignorar controlam a operação do trabalho.

O Trabalho de Verificação de Transporte pode verificar vírus, realizar filtragens de arquivos ou de palavra-chave ou fazer uma combinação dessas tarefas. Use as caixas de seleção Verificação de Vírus, Filtragem de Arquivos e Filtragem de Palavra-chave para fazer as seleções apropriadas. Qualquer alteração feita a essas configurações tem efeito imediato, mesmo que o trabalho esteja sendo executado no momento.

A parte inferior do painel de trabalho Executar Trabalho exibe as infecções ou os resultados de filtros encontrados pelo Trabalho de Verificação de Transporte. O FSCController armazena esses resultados em disco, no arquivo de log de vírus. Os resultados não dependem de o Forefront Server Security Administrator estar aberto. O arquivo de log de vírus poderá ser limpo quando não for mais necessário, usando o botão Limpar Log. Isso não afeta o log de incidentes.

Um subconjunto de resultados também pode ser excluído por meio da seleção de entradas na coluna Pasta (use o mouse ou a BARRA DE ESPAÇOS do teclado em combinação com as teclas SHIFT ou CTRL. Quando o subconjunto desejado estiver selecionado, pressione a tecla DELETE para removê-lo do arquivo de log de vírus.

ObservaçãoObservação:
Se um número grande de entradas for selecionado, a duração do processo de exclusão poderá ser longa. Neste caso, uma caixa de mensagem será exibida, solicitando que o usuário confirme a exclusão.

Use o botão Exportar para salvar os resultados em texto formatado ou em texto delimitado.

Caso o trabalho de verificação de transporte tenha uma duração maior que a quantidade de tempo especificada para a verificação de uma mensagem (o padrão é 5 minutos ou 300.000 milissegundos), o processo será finalizado e o Forefront Security para Exchange Server tentará reiniciar o serviço. Se tiver êxito, a verificação de transporte será reiniciada e uma notificação será enviada ao administrador, informando que o trabalho de verificação de transporte parou e foi recuperado.

Quando o novo processo de verificação de transporte é iniciado, a mensagem que provocou sua finalização é reprocessada de acordo com a ação definida para a opção Ação de Tempo Limite de Verificação de Transporte, em Opções Gerais. Por exemplo, se ela estiver definida como Excluir, o Forefront Security para Exchange Server excluirá o arquivo, substituirá seu conteúdo pelo Texto de Exclusão para o Trabalho de Verificação de Transporte, registrará as informações e colocará em quarentena e arquivará o arquivo. (Para obter mais informações sobre a configuração Opções Gerais, consulte Forefront Server Security Administrator.)

Se não for possível reiniciar o processo, uma notificação será enviada ao administrador, informando que o trabalho de verificação de transporte foi interrompido. Neste caso, a verificação de transporte não funcionará e a transmissão de emails não será verificada.

Se os problemas com o tempo limite persistirem, tente aumentar o tempo especificado no valor do Registro TransportTimeout. Como esse é um valor oculto do Registro, você deve criar um novo valor DWORD do Registro denominado TransportTimeout, definir a Base como Decimal e digitar o tempo, em milissegundos, na caixa Dados de valor. Recicle os serviços Exchange e Forefront Security para Exchange Server para que a alteração entre em vigor. Para obter mais informações sobre valores do Registro, consulte Chaves de Registro.

O Forefront Security para Exchange Server oferece flexibilidade na escolha de quais filas de mensagens serão verificadas com o Trabalho de Verificação de Transporte: entrada, saída ou interna. Você pode configurar o Forefront Security para Exchange Server para verificar somente uma fila ou todas as três. No painel de trabalho Configurações de Trabalho de Verificação há três caixas de seleção para fazer essa escolha de fila.

A caixa de seleção Entrada no painel de trabalho Configurações de Trabalho de Verificação, se marcada, configurará o Forefront Security para Exchange Server para verificar todas as mensagens de email que entrarem no Transporte de Borda ou no Transporte de Hub. As mensagens serão designadas como de entrada se forem originadas ou transmitidas por um servidor externo. Se os servidores do Exchange desse local ou organização não estiverem executando o Forefront Security para Exchange Server, esta será uma maneira efetiva de protegê-los contra mensagens de email infectadas que vêm pela Internet.

A caixa de seleção Saída no painel de trabalho Configurações do Trabalho de Verificação, se marcada, configurará o Forefront Security para Exchange Server para verificar todas as mensagens de email de saída do local ou organização do Exchange via Transporte de Borda ou Transporte de Hub. As mensagens serão designadas como de saída se pelo menos um destinatário tiver um endereço externo.

A caixa de seleção Interna no painel de trabalho Configurações do Trabalho de Verificação, se marcada, configurará o Forefront Security para Exchange Server para verificar todos os emails que estejam sendo roteados de um local dentro do seu domínio para outro local dentro do mesmo domínio. As mensagens serão designadas como internas se forem originadas dentro do seu domínio e todos os destinatários estiverem localizados nesse mesmo domínio.

Arquivos compactados excessivamente aninhados podem reduzir o desempenho do Forefront Security para Exchange Server e do servidor Exchange. O aninhamento múltiplo também é conhecido como ataque de negação de serviço de produtos antivírus. Para minimizar o possível impacto sobre o desempenho do servidor e se proteger contra ataques de negação de serviço, a chave do Registro MaxNestedCompressedFile do Forefront Security para Exchange Server é definida, por padrão, como cinco (5). Esta configuração permite que o Forefront Security para Exchange Server verifique a existência de vírus em cinco anexos compactados aninhados. Anexos com mais de cinco aninhamentos são marcados para exclusão.

Essa configuração pode ser alterada, caso seja necessário para os seus ambientes, no painel de trabalho Opções Gerais. Para obter mais informações, consulte Forefront Server Security Administrator.

Por padrão, o Forefront Security para Exchange Server está configurado para verificar a presença de vírus em todos os anexos. Entretanto, para executar verificações o mais rápida e eficientemente possível, o Forefront Security para Exchange Server pode ser configurado para verificar somente os anexos mais prováveis de conter vírus. Para isso, o aplicativo determina primeiramente o tipo de arquivo e, em seguida, se esse tipo de arquivo pode ser infectado com vírus. Para determinar o tipo de arquivo, o programa analisa o cabeçalho, e não a extensão do arquivo. Esse é um método muito mais seguro, pois as extensões de arquivo podem ser facilmente falsificadas. Essa verificação melhora o desempenho do Forefront Security para Exchange Server, pois garante que nenhum anexo de arquivo possivelmente infectado seja encaminhado sem ser verificado. Se você quiser que o Forefront Security para Exchange Server ignore a verificação de tipos de arquivos que não costumam transportar vírus, defina a chave do Registro ScanAllAttachments para 0. (ScanAllAttachments é uma chave "silenciosa", ou seja, se não estiver presente, seu valor assume o padrão de 1.)

 
Mostrar: