Защита от вредоносных программ в Exchange Server

  • Статья

Защита от вредоносных программ в Exchange Server 2016 г. помогает бороться с вирусами и шпионским ПО в среде обмена сообщениями электронной почты. Вирусы заражают другие программы и данные, а также распространяются по компьютеру в поисках программ, которые можно заразить. Программы-шпионы собирают персональные данные (например, данные для входа) и отправляют их своему автору.

Защита от вредоносных программ в Exchange Server была введена в Exchange 2013 и предоставляется агентом транспорта с именем Вредоносный агент. Агент сканирует сообщения, когда они проходят через транспортную службу на сервере почтовых ящиков. Фильтрация вредоносных программ настраивается с помощью:

  • Политики защиты от вредоносных программ. Укажите входящие и исходящие параметры сканирования и уведомлений для фильтрации вредоносных программ. Существует политика по умолчанию, которая применяется ко всем получателям в организации Exchange, и вы можете создать дополнительные политики, которые применяются в определенном порядке.

  • Параметры сервера защиты от вредоносных программ. Укажите ошибки и действия повтора, а также параметры обновления обработчика и определения для фильтрации вредоносных программ. Агент защиты от вредоносных программ каждый час получает доступ к Интернету через TCP-порт 80 (HTTP), чтобы проверить наличие обновлений подсистемы и определений.

  • Сценарии защиты от вредоносных программ. Включите или отключите фильтрацию вредоносных программ на сервере, а также вручную скачивание обновлений подсистемы и определений.

Процедуры, связанные с фильтрацией вредоносных программ, см. в разделе Процедуры защиты от вредоносных программ в Exchange Server. Дополнительные сведения о функциях защиты от нежелательной Exchange Server см. в разделе Защита от нежелательной Exchange Server.

Политики защиты от вредоносных программ

Политики защиты от вредоносных программ управляют параметрами действий и уведомлений при обнаружении вредоносных программ. Ниже перечислены важные параметры политик защиты от вредоносных программ.

  • Действие. Указывает, что следует делать, если сообщение содержит вредоносные программы. Доступны следующие варианты:

    • Удалите сообщение (это значение по умолчанию).

    • Замените все вложения текстовым файлом, содержащим этот текст по умолчанию:

      "В одном или нескольких вложениях этого сообщения электронной почты обнаружены вредоносные программы. Все вложения удалены".

    • Заменить все вложения на текстовый файл с указанным вами текстом.

  • Уведомления. Если политика защиты от вредоносных программ настроена для удаления сообщений, вы можете выбрать, следует ли отправлять уведомление отправителю. Отправка уведомлений может зависеть от того, является ли отправитель внутренним или внешним. По умолчанию сообщение с уведомлением обладает следующими свойствами:

    • С: Postmaster postmaster@ <defaultdomain.com>

    • Тема: невозможно доставить сообщение

    • Текст сообщения: Это сообщение автоматически создано программой доставки почты. Ваше электронное сообщение не было доставлено получателям, так как в нем обнаружены вредоносные программы".

    Вы можете настраивать свойства сообщений для внутренних и внешних уведомлений. Вы также можете указывать дополнительных получателей (администраторов), которые будут получать уведомления о недоставленных сообщениях от внутренних или внешних отправителей.

  • Фильтры получателей. Для пользовательских политик защиты от вредоносных программ можно указать условия и исключения получателей, которые определяют, к кому применяется политика. Для условий и исключений можно использовать следующие свойства:

    • по получателю;

    • по обслуживаемому домену;

    • по членству в группе.

    Условие или исключение можно использовать только один раз, но оно может содержать несколько значений. Указать несколько значений в одном условии или исключении можно с помощью оператора OR (например, <получатель1> or <получатель2>). Между разными условиями и исключениями используется оператор AND (например, <получатель1> and <участник группы 1>).

  • Приоритет. При создании нескольких настраиваемых политик защиты от вредоносных программ можно указать порядок их применения.

Сравнение политик защиты от вредоносных программ в Центре администрирования Exchange и командной консоли Exchange

Ниже перечислены основные элементы политики защиты от вредоносных программ.

  • Политика фильтрации вредоносных программ. Указывает параметры действий и уведомлений для фильтрации вредоносных программ.

  • Правило фильтрации вредоносных программ: указывает приоритет и фильтры получателей (к которым применяется политика) для политики фильтрации вредоносных программ.

Разница между этими двумя элементами не так заметна, если вы управляете политиками защиты от вредоносных программ с помощью Центра администрирования Exchange:

  • Создавая политику защиты от вредоносных программ в Центре администрирования Exchange, на самом деле вы одновременно создаете правило фильтрации для защиты от вредоносных программ и связанную с ним политику с одинаковыми именами.

  • При изменении политики защиты от вредоносных программ в EAC параметры, связанные с именем, приоритетом, включенным или отключенным фильтром и фильтрами получателей, изменяют правило фильтрации вредоносных программ. Другие настройки (параметры действий и уведомлений) меняют соответствующую политику фильтрации для защиты от вредоносных программ.

  • При удалении политики защиты от вредоносных программ с помощью Центра администрирования Exchange удаляются правило и соответствующая политика фильтрации для защиты от вредоносных программ.

В командной консоли Exchange разница между политиками и правилами фильтрации для защиты от вредоносных программ очевидна. Вы управляете политиками фильтрации вредоносных программ с помощью командлетов *-MalwareFilterPolicy , а правила фильтрации вредоносных программ — с помощью командлетов *-MalwareFilterRule .

  • В командной консоли Exchange сначала создается политика, а затем — правило фильтрации для защиты от вредоносных программ, указывающее политику, к которой оно применяется.

  • В командной консоли Exchange параметры политики и правила фильтрации для защиты от вредоносных программ настраиваются отдельно.

  • При удалении политики фильтрации для защиты от вредоносных программ с помощью командной консоли Exchange соответствующее правило не удаляется автоматически, и наоборот.

Стандартная политика защиты от вредоносных программ

На каждом сервере почтовых ящиков есть встроенная политика защиты от вредоносных программ под названием "По умолчанию" с указанными ниже свойствами.

  • Политика фильтрации для защиты от вредоносных программ с именем "По умолчанию" применяется ко всем получателям в организации Exchange, даже если с ней не связано ни одного правила фильтрации для защиты от вредоносных программ (фильтрации получателей).

  • Для политики с именем "По умолчанию" задано специальное значение приоритета Самый низкий, которое невозможно изменить (эта политика всегда применяется последней). Все настраиваемые политики защиты от вредоносных программ, которые вы создаете, всегда имеют более высокий приоритет, чем политика с именем Default.

  • Политика с именем "По умолчанию" является стандартной (для свойства IsDefault задано значение True), и удалить стандартную политику невозможно.

Параметры сервера защиты от вредоносных программ

С помощью командлетов Get-MalwareFilteringServer и Set-MalwareFilteringServer в командной консоли Exchange можно просматривать и настраивать параметры обновления, времени ожидания и скачивания для агента защиты от вредоносных программ на сервере почтовых ящиков. Процедуры с использованием этих командлетов представлены в статьях Обход фильтрации вредоносных программ на серверах почтовых ящиков с помощью командной консоли Exchange и Настройка фильтрации вредоносных программ для сканирования сообщений, уже отсканированных службой EOP, с помощью командной консоли Exchange.

Скрипты для защиты от вредоносных программ

Exchange включает два скрипта Командная консоль Exchange, с помощью которых можно управлять фильтрацией для защиты от вредоносных программ.

  • Скрипт Disable-Antimalwarescanning.ps1 отключает агента защиты от вредоносных программ, а также обновление определений и модуля защиты от вредоносных программ на сервере почтовых ящиков.

  • Скрипт Enable-Antimalwarescanning.ps1 включает агента защиты от вредоносных программ, обновление определений и модуля защиты от вредоносных программ, а также запускает обновление модуля и определений на сервере почтовых ящиков.

  • Update-MalwareFilteringServer.ps1 вручную запускает модуль вредоносных программ и обновления определений на сервере почтовых ящиков.

Дополнительные сведения об использовании этих скриптов см . в статьях Включение или отключение фильтрации вредоносных программ на серверах почтовых ящиков с помощью командной консоли Exchange и скачивание обновлений антивредоносного ПО и определений.

Параметры защиты от вредоносных программ в Exchange Server

В приведенном ниже списке перечислены варианты защиты от вредоносных программ для Exchange.

  • Встроенная защита от вредоносных программ. Вы можете использовать встроенную защиту от вредоносных программ в Exchange для борьбы с вредоносными программами. Ее можно использовать как саму по себе, так и в сочетании с другими решениями защиты от вредоносных программ, чтобы обеспечить многоуровневую защиту от вредоносных программ.

  • Exchange Online Protection (EOP): вы можете заплатить за подписку на EOP, которая является решением для защиты от вредоносных программ, которое используется в Microsoft 365 и Office 365. Служба EOP использует несколько модулей для защиты от вредоносных программ, обеспечивая эффективную, экономную и многоуровневую защиту от вредоносных программ. Ниже перечислены преимущества сочетания встроенного средства защиты от вредоносных программ со службой EOP.

    • EOP использует несколько модулей защиты от вредоносных программ, в то время как встроенная защита от вредоносных программ использует один механизм.

    • Служба EOP включает возможности создания отчетов, в том числе статистики по вредоносным программам.

    • Служба EOP включает функцию трассировки сообщений для самостоятельного устранения проблем с потоком обработки почты, в том числе обнаружения вредоносных программ.

      Дополнительные сведения о EOP см. в разделе Защита от вредоносных программ в EOP.

  • Защита от вредоносных программ сторонних производителей. Вы можете приобрести стороннюю антивредоносную программу.

Защита Exchange от вредоносных программ: вопросы и ответы

В этом разделе представлены ответы на часто задаваемые вопросы о встроенных функциях фильтрации и сканирования в Exchange для защиты от вредоносных программ.

Почему вредоносные программы, обнаруженные другими антивредоносными службами, прошли фильтрацию антивредоносных программ Exchange?

Это могло произойти по одной из двух причин.

  • Наиболее вероятным сценарием является вложение сообщения, которое на самом деле не содержит активного вредоносного кода. Некоторые модули защиты от вредоносных программ более агрессивны, чем другие, и эти подсистемы могут останавливать сообщения просто потому, что они содержат усеченные полезные данные вредоносных программ, которые на самом деле ничего не делают.

  • Вы получили новый вариант вредоносной программы, для которой наш модуль для защиты от вредоносных программ еще не выпустил файл шаблона.

Мне пришло сообщение с незнакомым вложением. Это вредоносная программа или вложение можно проигнорировать?

Настоятельно рекомендуем не открывать вложения, назначение которых вам неясно. Если вы хотите, чтобы мы изучили вложение, отправьте его нам, как описано в следующем разделе.

Разделы справки отправлять в корпорацию Майкрософт известные вредоносные программы, подозрительные файлы или ложные срабатывания?

Сохраните копию сообщения и отправьте сообщение на веб-сайт портал для обнаружения угроз (Microsoft), чтобы мы могли изучить его.

Если образец содержит вредоносную программу, мы примем меры, чтобы вирус не мог обойти защиту. Если же образец не опасен, мы примем соответствующие меры, чтобы этот файл больше не определялся как вредоносный.

Где можно просмотреть сообщения, удаленные фильтром защиты от вредоносных программ?

Это невозможно. Сообщения, в которых обнаружен активный вредоносный код, удаляются.

Можно ли обходить фильтрацию для защиты от вредоносных программ с помощью правил потока обработки почты?

Нет, нельзя использовать правила потока обработки почты (также известные как правила транспорта) для обхода агента вредоносных программ. Вместо этого отправьте вложение в защищенном паролем .zip файле (защищенный паролем файл .zip файлы обходятся с помощью фильтрации вредоносных программ).