Configurando Proteção de Malware no Exchange Server 2013
Fernando Lugão Veltem
.png "Dn747215.060DE5057573180CEC6D227C6D3E2207(pt-br,TechNet.10).png")
Maio, 2014
Visão Geral
O Exchange Server 2013 inclui uma feature de proteção contra malwares, vírus e spywares. Este serviço esta integrado noMailbox Server role e uma vez habilitado todas as mensagens que passam na fila são escaneadas, não é feito o scan das mensagens quando elas estão na base de dados ou quando são acessadas pelos usuários na base.
Este serviço pode ser habilitado durante a instalação do Exchange ou pelo Exchange Management Shell apos a instalação.
A feature tem o objetivo de proteger as mensagens da organização e não o sistema operacional do servidor, por isso é recomendado a instalação do antivirus nos servidores. Para melhores práticas de proteção do sistema operacional dos servidores Exchange leia o artigo Anti-Virus Software in the Operating System on Exchange Servers.
O serviço se conecta a cada 60 minutos à internet pela porta 80/TCP para atualizar a assinatura de vírus e spyware no endereço http://forefrontdl.microsoft.com/server/scanengineupdate. Como alternativa este caminho pode ser alterado para outro servidor HTTP ou um compartilhamento UNC da rede.
Habilitando Filtro de Malware
A feature pode ser habilitada e desabilitada pelo *Exchange Management Shell, *para verificar as configurações do agente execute o cmdlet
Get-TransportAgent "Malware Agent"
.png "Dn747215.27A216701A18A7D0C2B242986265AC01(pt-br,TechNet.10).png")
Para desabilitar a função nos servidores de Mailbox execute o script.
<pasta de instalação do Exchange>\Scripts\Disable-Antimalwarescanning.ps1
.png "Dn747215.36D494D2A037703F685104F158400959(pt-br,TechNet.10).png")
Para aplicar as alterações reinicie o serviço Microsoft Exchange Transport Service
Restart-Service MSExchangeTransport
.png "Dn747215.2D2182EAF5EAFE38EAB7070FD0120C46(pt-br,TechNet.10).png")
Para habilitar o agente nos servidores execute o script.
<pasta de instalação do Exchange>\Scripts\Enable-Antimalwarescanning.ps1
.png "Dn747215.8BCE2EBC8A14008EB083C035A870BB62(pt-br,TechNet.10).png")
Configurando Filtro de Malware
As configurações do malware podem ser alteradas no Exchange Admin Center, na guia Protection em malware filter
.png "Dn747215.69E92A882F5E03B17030BEF6F2A13503(pt-br,TechNet.10).png")
Nas configurações da política padrão podemos configurar o agente
.png "Dn747215.6ECEF382673CFCFCB9209CF896E4FDD2(pt-br,TechNet.10).png")
Em settings configuramos qual o comportamento do agente quando um malware é detectado
- Delete the entire message: deleta toda a mensagem inclusive os arquivos anexos, este é a configuração padrão do agente
- Delete all attachments and use default alert text: deleta somente os arquivos anexados e substitui por uma mensagem alertando o usuário sobre o malware. A mensagem padrão do email é “Malware was detected in one or more attachments included with this email. All attachments have been deleted.”
- Delete all attachments and use custom alert texr: deleta os arquivos anexados e substitui por uma mensagem personalizada.
.png "Dn747215.70EE081083F5E212A2A0A4BB77309EC3(pt-br,TechNet.10).png")
Em Notifications é controlado como o agente notifica os administradores e usuários
- Notify internal senders: o agente notifica os usuários internos que um malware foi detectado e a mensagem descartada
- Notify external senders: o agente notifica os usuários externos que um malware foi detectado e a mensagem descartada
.png "Dn747215.DA024947EF712BEA13707D12ECD44B58(pt-br,TechNet.10).png")
Continuando a notificação temos a configuração para notificar os administradores. É possivel adicionar o email do administrador ou uma lista de distribuição
- Notify administrators about undelivered messages from internal senders: o agente notifica os administradores quando um malware é detectado e a mensagem descartada originada de um usuário interno
- Notify administrators about undelivered messages from external senders: o agente notifica os administradores quando um malware é detectado e a mensagem descartada originada de um usuário externo
.png "Dn747215.04127EA74A72EEFD34B5D748DA67787E(pt-br,TechNet.10).png")
Ainda é possivel personalizar a mensagem enviada para os administradores.
.png "Dn747215.86BC07A82836F11066556B8D811C99E2(pt-br,TechNet.10).png")
Testando o Agente
Para testar o agente utilizaremos uma assinatura de vírus EUROPEAN EXPERT GROUP FOR IT-SECURITY. O arquivo pode ser baixado do portal http://www.eicar.org/86-0-Intended-use.html ou crie um arquivo de texto e cole a string abaixo:
- X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Anexe o arquivo em um email e verifique se o agente detecta a assinatura de vírus
.png "Dn747215.83841C9AE0E42FE56C4373433352067A(pt-br,TechNet.10).png")
Configurando Bypass do Agente
É desejável quando estamos resolvendo problemas de transporte no Exchange garantir que o antivirus não esta causando problemas nas regras de transporte. Nestas situações é recomendado configurar um desvio nas regras de transporte para garantir que o agente não esta examinando as mensagens.
Para configurar um bypass das mensagens execute o cmdlet:
Set-MalwareFilteringServer <ServerIdentity> -BypassFiltering $true
.png "Dn747215.A892FB3CF8785ED2201B6FD950EB86FA(pt-br,TechNet.10).png")
Você pode melhorar este artigo? Acesse e contribua no Microsoft TechNet Wiki e contribua: https://social.technet.microsoft.com/wiki/pt-br/contents/articles/23832.configurando-protecao-de-malware-no-exchange-server-2013.aspx
Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com
twitter: @flugaoveltem