傳輸掃描工作

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2009-05-13

Forefront Security for Exchange Server 傳輸掃描工作可在安裝了 Hub Transport 或 Edge Transport role 的 Exchange 2007 伺服器上執行。 此工作能即時掃描從 Exchange 站台或組織之傳輸堆疊而輸入或輸出的所有 MIME 與 UUENCODE 為基礎的電子郵件,以及所有的內部郵件。 傳輸掃描程式會掃描附件中是否有病毒,以及掃描郵件本文中是否有內嵌式及 HTML 病毒。

在安裝過程中,系統會為傳輸伺服器建立四個傳輸掃描工作 (處理程序)。 您可以將 [一般選項] 設定的 [傳輸處理程序計數] 值變更為每台傳輸伺服器要執行的 FSCTransportScanners 數目,藉以建立其他傳輸掃描工作。 其上限為 10。

執行多個傳輸處理程序時,第一個處理程序會掃描檔案 (如果它很忙碌,則會將檔案傳給第二個處理程序)。 如果第二個處理程序很忙碌且已啟用第三個處理程序,則會由第三個處理程序來掃描檔案。 當第一個處理程序可用時,Forefront Security for Exchange Server 會盡可能將檔案傳給第一個處理程序。 在啟動伺服器時載入多個處理程序,或是呼叫多個處理程序來掃描檔案,都會增加伺服器的負載。

設定傳輸掃描工作以指定要掃描的輸入、輸出和內部郵件組合。 您可以選擇指定 [刪除文字] 和 [標記文字]。

設定傳輸掃描工作
  1. 在快速導覽的 [設定] 區段中,選取 [掃描工作]。 隨即出現 [掃描工作設定] 工作窗格。

  2. 在 [掃描工作設定] 工作窗格的上層部分 (包含可設定的掃描工作清單),選取 [傳輸掃描工作]。

  3. 在工作窗格的 [傳輸郵件] 區段中,選取要掃描的 [輸入]、[輸出] 和 [內部] 郵件組合。 如需相關資訊,請參閱關於郵件佇列

  4. 您可以選擇指定 [刪除文字],以便在刪除作業期間取代受感染檔案的內容。 預設的刪除文字會通知您已移除受感染的檔案,並列出檔案名稱和發現的病毒名稱。 若要建立您自訂的訊息,請按一下 [刪除文字]。

    注意事項注意:
    FSE 會提供可在 [刪除文字] 欄位中使用的關鍵字,以從受感染的郵件中取得相關資訊。 如需有關這項功能的詳細資訊,請參閱關鍵字替代巨集
  5. 您可以選擇指定 [標記文字]。 Forefront Security for Exchange Server 會使用此文字來「標記」符合篩選準則的郵件主旨列或 MIME 標頭,然後系統就可以識別這些郵件,以便將它們路由傳送至特定使用者收件匣,或用於 Forefront Server Security Administrator 所識別的其他用途。 篩選的動作必須設定為 [識別: 標記郵件],才能使用標記。 若要修改文字,請按一下 [掃描工作設定] 工作窗格上的 [標記文字] 按鈕。 隨即出現 [標記文字] 對話方塊。 其中包含兩個欄位,而且每個欄位都具有可變更的預設值。 主旨列標記文字預設為 [可疑:],而郵件標頭標記文字 (不得包含任何空格) 預設為 [垃圾郵件]。 請按一下 [確定]。

    注意事項注意:
    與傳輸掃描工作相關的所有篩選都會使用相同的標記。
  6. 按一下 [儲存] 儲存掃描工作組態。

您可以針對傳輸掃描工作調整各種設定, 包含檔案掃描程式選項、偏差、動作、通知和隔離。

設定防毒設定
  1. 在快速導覽的 [設定] 區段中,按一下 [防毒] 圖示。 隨即出現 [防毒設定] 工作窗格。

  2. 在上方窗格的清單中,選取 [傳輸掃描工作]。 工作窗格下半部會顯示檔案目前的設定。

  3. 從 [檔案掃描程式] 區段中可用的協力廠商掃描程式清單中,選擇檔案掃描引擎。 若要在停用病毒掃描的同時保留執行 [檔案篩選] 和 [關鍵字篩選] 的功能,請在快速導覽的 [作業] 區段中,為 [傳輸掃描工作] 清除 [執行工作] 工作窗格的 [病毒掃描] 核取方塊。

  4. 選取 [偏差] 以控制至少需要多少個引擎,才足以保護您的系統。 如需相關資訊,請參閱多重掃描引擎

  5. 選擇在偵測到病毒時要 Forefront Security for Exchange Server 執行的 [動作]。 動作選項如下:

     

    略過: 僅進行偵測

    不嘗試清理或刪除。 將會報告發現病毒,但該檔案仍維持在受感染的狀態。 不過,如果在 [一般選項] 選取 [刪除損毀的壓縮檔案]、[刪除損毀的 Uuencode 檔案] 或 [刪除加密的壓縮檔案],則只要找到符合上述任一條件的項目,便會予以刪除。

    清理: 修復附件

    嘗試清除病毒。 若順利清除,將以清理的版本取代受感染的附件或郵件本文。 若無法清除,則會以 [刪除文字] 取代附件或郵件本文。

    刪除: 移除感染

    不先嘗試清理病毒便刪除附件。 系統會從郵件中移除偵測到的附件,並在原處插入 [刪除文字]。

  6. 選取 [傳送通知] 來啟用電子郵件通知。 這個設定不會影響報告事件記錄。 此外,您也必須設定通知 (請參閱電子郵件通知)。 根據預設,系統會停用通知。

  7. 選取或清除 [隔離檔案],藉以啟用或停用儲存檔案掃描引擎所偵測到的受感染附件。 隔離預設為啟用。 啟用隔離會儲存刪除的附件及清除的郵件,讓您能夠加以復原。 不過,無法復原已清除蠕蟲的郵件。

  8. 按一下 [儲存] 儲存您的防毒設定。

在 [掃描工作設定] 工作窗格中選取 [傳輸掃描工作]。 對 [掃描工作設定] 工作窗格下半部所進行的變更會套用至目前已在工作清單中選取的掃描工作。 對組態進行任何變更都會啟用 [儲存] 和 [取消] 按鈕。 如果您變更掃描工作,並嘗試移到另一個掃描工作或快速導覽圖示而不儲存,系統便會提示您儲存變更。

若要控制傳輸掃描工作,請按一下快速導覽中的 [作業],然後按一下 [執行工作] 圖示。 隨即出現 [執行工作] 工作窗格。

在 [執行工作] 工作窗格頂端的清單中,選取 [傳輸掃描工作]。 [執行工作] 工作窗格的下半部會顯示目前選取之掃描工作的狀態和結果。

選取 [傳輸掃描工作] 時,[啟用] 和 [略過] 按鈕可控制工作的作業。

傳輸掃描工作可以掃描病毒、執行檔案篩選或關鍵字篩選,或是這三項工作的組合。 您可以使用 [病毒掃描]、[檔案篩選] 及 [關鍵字篩選] 核取方塊來選取適當的項目。 即使該工作目前正在執行中,對這些設定所做的任何變更都會立即生效。

[執行工作] 工作窗格的下半部會顯示傳輸掃描工作所發現的感染或篩選結果。 FSCController 會將這些結果儲存到磁碟中的病毒記錄檔,即使 Forefront Server Security 管理員未開啟也不受影響。 您可以使用 [清除記錄檔] 按鈕來清除不再需要的病毒記錄檔。 這個動作不會影響事件記錄。

您也可以在 [資料夾] 欄中選取項目 (使用滑鼠或空格鍵與 SHIFTCTRL 鍵的組合),以刪除結果的子集。 選取所要的子集之後,按下 DELETE 鍵就會從病毒記錄檔中移除子集。

注意事項注意:
如果選取大量項目,刪除程序可能會花費較長的時間。 在此情況下,會出現一個訊息方塊,要求使用者確認是否要刪除。

可使用 [匯出] 按鈕以格式化文字或分隔符號文字格式來儲存結果。

當傳輸掃描工作掃描郵件所耗費時間超過指定時間 (預設為 5 分鐘或 300,000 毫秒) 時,處理程序便會被終止,而 Forefront Security for Exchange Server 會嘗試重新啟動服務。 若重新啟動服務成功的話,傳輸掃描便會繼續,並傳送有關傳輸掃描工作已停止並已復原的通知給系統管理員。

新的傳輸掃描處理程序啟動時,系統會依據 [一般選項] 設定 [傳輸掃描逾時動作] 中所設定的動作,重新處理導致作業終止的郵件。 例如,如果動作是設定為 [刪除],Forefront Security for Exchange Server 就會刪除檔案、以傳輸掃描工作的刪除文字取代原內容、記錄資訊,並隔離和封存檔案 (如需有關 [一般選項] 的詳細資訊,請參閱 Forefront Server Security 管理員)。

若無法重新啟動處理程序,則會傳送有關傳輸掃描工作已停止的通知給系統管理員。 在此狀況下,傳輸掃描將無法運作,也不會掃描郵件資料流。

如果持續發生逾時問題,可嘗試增加 TransportTimeout 登錄值中所指定的時間。 由於這是隱藏的登錄值,所以您必須建立新的 DWORD 登錄值 (名為 TransportTimeout)、將 [底數] 設定為 [十進位],並在 [數值資料] 方塊中輸入時間 (以毫秒為單位)。 若要讓此變更生效,請回收 Exchange 及 Forefront Security for Exchange Server 服務。 如需有關登錄值的詳細資訊,請參閱登錄機碼

對於要以傳輸掃描工作掃描哪些郵件佇列,Forefront Security for Exchange Server 提供了選擇彈性: 輸入、輸出或內部。 您可以設定 Forefront Security for Exchange Server 僅掃描一個佇列或是所有的佇列。 在 [掃描工作設定] 工作窗格中,有三個佇列的核取方塊可供選取。

選取 [掃描工作設定] 工作窗格中的 [輸入] 核取方塊,即可設定 Forefront Security for Exchange Server 掃描所有進入「邊際傳輸」或「集線傳輸」的電子郵件。 來自外部伺服器或經由外部伺服器轉送的郵件,都視為輸入郵件。 如果站台或組織內的 Exchange 伺服器未執行 Forefront Security for Exchange Server,此項目便是保護伺服器免受網際網路電子郵件感染的有效方法。

選取 [掃描工作設定] 工作窗格中的 [輸出] 核取方塊,即可設定 Forefront Security for Exchange Server 掃描所有透過「邊際傳輸」或「集線傳輸」離開 Exchange 站台或 Exchange 組織的外寄電子郵件。 至少有一個收件者具有外部地址的郵件,便視為輸出郵件。

選取 [掃描工作設定] 工作窗格中的 [內部] 核取方塊,即可設定 Forefront Security for Exchange Server 掃描所有從您網域內某個位置,傳送至您網域內其他位置的郵件。 郵件若來自您的網域內部,且所有收件者均位於您的網域內部,便視為內部郵件。

巢狀過多的壓縮檔案會減慢 Forefront Security for Exchange Server 與 Exchange 伺服器的效能。 多重巢狀是已知用來對抗防毒產品的阻斷服務攻擊。 為了將對伺服器效能的潛在影響減至最低,同時拒絕服務攻擊,因此 Forefront Security for Exchange Server 登錄機碼 MaxNestedCompressedFile 預設值為 5。 此設定能讓 Forefront Security for Exchange Server 搜尋最深為五個巢狀的壓縮附件,以掃描其中的病毒。 超過五個巢狀的附件則標示為刪除。

您可視環境需求,在 [一般選項] 工作窗格中變更此設定。 如需相關資訊,請參閱 Forefront Server Security 管理員

根據預設,Forefront Security for Exchange Server 已設為掃描所有附件是否含有病毒。 不過,為了要盡可能快速且有效率地執行掃描,您可以將 Forefront Security for Exchange Server 設定為只掃描比較可能包含病毒的檔案附件。 其做法是先判斷檔案類型,再判斷該檔案類型是否會遭到病毒感染。 一般應該查看檔案標頭來判斷該檔案的類型,而不是查看副檔名。 因為副檔名很容易造假,所以這種方法比較安全。 此項檢查可以提升 Forefront Security for Exchange Server 的效能,同時可確保系統一定會掃描可能受感染的檔案附件。 如果您想要讓 Forefront Security for Exchange Server 略過掃描鮮少人知道可用來夾帶病毒的檔案類型,請將登錄機碼 ScanAllAttachments 設定為 0 (ScanAllAttachments 是「隱藏」機碼。也就是說,若不存在,其值預設為 1)。

 
顯示: