清除蠕蟲感染的郵件

 

適用於: Forefront Protection for Exchange

主題上次修改日期: 2010-09-22

Forefront Protection 2010 for Exchange Server (FPE) 可讓您設定傳輸、即時及排程掃描工作,來清除受蠕蟲感染的郵件。 「蠕蟲」是惡意程式碼的子類別,會在電腦之間散播。 與病毒不同的是,它不需要宿主程式,即可在電腦間自我複製。 蠕蟲清除是一種強大的功能,可在攻擊對網路造成危害之前加以抑制 (FPE 不支援隨選掃描工作的蠕蟲郵件清除)。

FPE 會使用定期更新的蠕蟲清單 (稱為 WormPrge.dat) 來識別受蠕蟲感染的郵件,該蠕蟲清單是由 Microsoft 維護,更新方式與惡意程式碼防護掃描引擎相同。 WormPrge.dat 檔案通常包含由目前的掃描引擎所報告的蠕蟲名稱 (請注意,每個掃描引擎可能會以不同方式來報告蠕蟲名稱)。

Microsoft 找到新的蠕蟲威脅時,就會更新蠕蟲清單,並提供新的更新讓使用者下載。 您可以排程更新或以手動方式執行更新。 如需執行更新的詳細資訊,請參閱設定引擎和定義更新

注意事項注意:
蠕蟲清單中的定義與惡意程式碼防護掃描引擎使用的定義有所不同。 蠕蟲清單包含一般蠕蟲名稱項目。 如果日後有蠕蟲屬於曾經偵測到的蠕蟲家族,這些項目便可提供更多的防護。 例如,如果偵測到名為 "Win32/abcdef.A@mm" 的新蠕蟲,FPE 就會更新蠕蟲清單,將 "*abcdef*" 等一般項目納入。 這個項目可涵蓋相同蠕蟲的任何新變種,例如 Win32/abcdef.M@mm。 由於蠕蟲清單包含一般蠕蟲名稱項目,因此不需要像惡意程式碼防護掃描引擎那樣經常更新。

蠕蟲清除預設為啟用。 您可以使用 Windows PowerShell 命令 -EnableWormPurge,停用特定掃描工作的蠕蟲清除。 啟用蠕蟲清除時 (-EnableWormPurge 設定成 $true),如果偵測到蠕蟲病毒,FPE 會在蠕蟲清單中尋找其名稱。 如果在蠕蟲清單中找到該名稱,就會清除該項目,否則會採取一般病毒動作。 停用蠕蟲清除時 (-EnableWormPurge 設定成 $false),會採取一般病毒動作,不論該名稱是否出現在蠕蟲清單中。

注意事項注意:
即使您啟用隔離,也無法隔離由掃描工作清除的蠕蟲病毒 (郵件及附件)。 這個限制是要防止資料庫收到相同郵件的眾多複本。
存取 Forefront 管理命令介面
  • 按一下 [開始],依序指向 [所有程式]、[Microsoft Forefront Server Protection],然後按一下 [Forefront 管理命令介面]。

若要停用傳輸掃描工作的蠕蟲清除,請輸入下列 Windows PowerShell 命令:

Set-FseTransportScan -EnableWormPurge $false

若要停用即時掃描工作的蠕蟲清除,請輸入下列 Windows PowerShell 命令:

Set-FseRealtimeScan -EnableWormPurge $false

若要停用排程掃描工作的蠕蟲清除,請輸入下列 Windows PowerShell 命令:

Set-FseScheduledScan -EnableWormPurge $false

注意事項注意:
若要重新啟用特定掃描工作的蠕蟲清除,請在上述適用的命令中以 $true 取代 $false。

為了防止新的蠕蟲威脅在掃描引擎完成更新之前就散播開來,您可以將蠕蟲產生之郵件的附件名稱,新增為檔案篩選清單中的項目。 請務必將清單的 [動作] 設定為 [清除]。 如需檔案篩選的詳細資訊,請參閱建立檔案篩選清單

注意事項注意:
選取 [清除] 動作時,系統會刪除整份郵件,且您無法復原該郵件。 除非您要在發行引擎或定義更新之前先清除蠕蟲郵件,否則不建議您選取此動作。

和隔離非蠕蟲郵件不同的是,即使您選取隔離檔案,系統也只會隔離觸發篩選的附件,並刪除郵件本文及任何其他附件。 針對蠕蟲郵件進行檔案篩選時,這樣的設定不會造成任何問題,因為郵件本文並無價值,而且應該不會包含任何其他附件。

系統管理員可以建立自訂蠕蟲清除清單 (CustPrge.dat),以指定 Wormprge.dat 檔案尚未包含的其他名稱,或是建立清單以清除確定受到感染的所有郵件。 如此便可依據 Microsoft 蠕蟲清除清單 (WormPrge.dat) 和自訂蠕蟲清除清單 (CustPrge.dat) 共同檢查感染的郵件和檔案。

建立自訂蠕蟲清除清單
  1. 在 \Engines\x86\Wormlist folder 中,建立名為 CustomList 的新資料夾。 如需您的作業系統上預設 Engines 資料夾的位置,請參閱預設資料夾

  2. CustomList 資料夾中,建立名為 CustPrge.dat 的檔案。

  3. 使用文字編輯器,將您想要清除的病毒名稱輸入 CustPrge.dat,然後儲存檔案。 每個名稱都必須自成一行,後面加上歸位字元。 您可以從引擎更新通知或引擎廠商網站中,取得這些名稱。 輸入時可以包含星號 (*) 萬用字元。

    注意事項注意:
    如果不同的引擎以不同的名稱來稱呼相同的病毒,請在 CustPrge.dat 檔案中包含所有的名稱,以獲得完全的防護。
  4. 如果您要清除所有受感染的郵件,請輸入只由一個星號 (*) 組成的單行文字,後面加上歸位字元。 針對您要清除所有病毒的每個掃描工作類型 (傳輸、即時和排程),將病毒 [動作] 設定為 [刪除]。

  5. 重新啟動 Microsoft Exchange Transport 與 Microsoft Exchange Information Store 服務。

 
顯示: