ESET MAIL SECURITY FÜR MICROSOFT EXCHANGE SERVER Best Practices für ESET Mail Security für Exchange Microsoft® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 ESET MAIL SECURITY Copyright ©2015 von ESET, spol. s r. o. ESET Mail Security wurde entwickelt von ESET, spol. s r. o. Nähere Informationen finden Sie unter www.eset.de. Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohne schriftliche Einwilligung des Verfassers reproduziert, in einem Abrufsystem gespeichert oder in irgendeiner Form oder auf irgendeine Weise weitergegeben werden, sei es elektronisch, mechanisch, durch Fotokopien, Aufnehmen, Scannen oder auf andere Art. ESET, spol. s r. o. behält sich das Recht vor, ohne vorherige Ankündigung an jedem der hier beschriebenen Software-Produkte Änderungen vorzunehmen. Weltweiter Support: www.eset.de/support Versionsstand 3/4/2015 Inhalt 1. Einleitung .......................................................4 2. Installationsvorbereitung .......................................................5 3. Grundkonfiguration .......................................................6 4. Erweiterte .......................................................7 Konfiguration (optional): 4.1 Umgang ....................................................................................................7 mit Spam-E-Mails 4.2 Spam-Schutz-Feineinstellungen ....................................................................................................9 5. Weitere .......................................................11 Informationen 5.1 Arbeitsweise ....................................................................................................11 des Virenscanner-Moduls für Exchange 5.2 Analyse ....................................................................................................11 des Spam-Logs 5.3 Einrichtung ....................................................................................................12 von EMSX auf einem Terminalserver 5.4 Regeln ....................................................................................................12 (spezielle Filterfunktionen) 5.5 FAQ ....................................................................................................13 5.6 Troubleshooting ....................................................................................................13 5.6.1 Diagnose aller eingehenden E-Mails des ESET Transport-Agents ..............................................................................13 5.6.2 EMSX..............................................................................14 prüft eingehende E-Mails nicht auf Spam 5.6.3 Deinstallation / Upgrade auf neue Programmversion schlägt ..............................................................................15 fehl 5.6.4 Deregistrierung der ESET Transport-Agent schlägt während ..............................................................................15 Deinstallation / Upgrade fehl 5.6.5 Mails werden geblockt obwohl in EMSX kein entsprechender ..............................................................................15 Logeintrag vorhanden ist 5.6.6 E-Mails werden laut AntiSpam-Log wegen DNSBL geblockt ..............................................................................16 5.6.7 EMSX erhält keine Spam-Signaturen / Spamerkennung nimmt ..............................................................................16 nach einiger Zeit ab 5.6.8 Vorgenommene Änderungen im Transport-Agent Modul ..............................................................................16 werden nicht angewendet 5.6.9 Anzahl der Postfächer ist überschritten oder abgelaufen ..............................................................................17 1. Einleitung Dieses Dokument beschreibt die Installation und erklärt die grundlegenden Konfigurationen sowie Tipps und Tricks für ESET Mail Security für Exchange Server. Es richtet sich in erste Linie an Benutzer, die bisher noch keine oder wenig Erfahrungen mit ESET Mail Security für Exchange Server gesammelt haben. Die folgenden Bezeichnungen werden in diesem Dokument verwendet: 4 EMSX ESET Mail Security for Exchange SCL Spam Score Level (siehe Kapitel Spam-Schutz-Feineinstellungen ERA ESET Remote Administrator 9 ) 2. Installationsvorbereitung EMSX ist ein vollständiges Antivirenprogramm mit Echtzeitdateischutz und E-Mail-Prüfung. Eine separate Installation von ESET File Security oder eines weiteren Antivirenprogramms ist nicht erforderlich. EMSX unterstützt Microsoft Exchange Server ab Version 5.5. Das Installationspaket für EMSX finden hier: http://www.eset.com/de/download/business/detail/family/50/?installer=offline Wenn Sie die Installationsdatei heruntergeladen haben, führen Sie diese aus und befolgen die Anweisungen des Installationsassistenten. Dieser führt Sie durch die Installation. 5 3. Grundkonfiguration Nachdem Sie EMSX erfolgreich installiert haben, starten Sie die Software, indem Sie auf das ESET-Symbol in der Taskleiste klicken. ESET empfiehlt grundsätzlich die in diesem Abschnitt folgenden Einstellungen. Öffnen Sie zunächst die erweiterten Einstellungen (Taste F5). Wählen Sie Server-Schutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent: Aktion für Spam-EMails und im Dropdownmenu Nachricht behalten. Diese Einstellung bewirkt, dass E-Mails, die als Spam erkannt werden, im Spam-Ordner des Nutzers abgelegt werden. Nehmen Sie diese Einstellung nicht vor, werden Spam-E-Mails direkt in das Quarantäne-Postfach umgeleitet. Der Nutzer hat so keine Möglichkeit, zu prüfen, ob es sich tatsächlich um Spam handelt. Belassen Sie unter Update den Update Server auf Automatisch auswählen und tragen die EAV-Nummer und das Passwort der Exchange Lizenz ein. Updates für ESMX sollten nicht über einen Update-Mirror geladen werden, da diese keine Aktualisierungen für die Spam-Erkennungsengine beinhalten. Unter Allgemein > Lizenzen fügen Sie bitte ausschließlich die MailSecurity.lic Lizenzdatei ein. Im Normalfall muss die Lizenzdatei nur erneuert werden, wenn die Lizenz verlängert oder vergrößert wird. Ohne die Lizenzdatei sind Ihre Postfächer nicht geschützt. Hinweis: Andere ERA-Lizenzdateien (ERA-MailSecurity.lic, ERA-Endpoint.lic), sind ausschließlich für den ESET Remote Administrator bestimmt. Unter Allgemein > Remote Administration geben Sie bei Serveradresse die IP oder den Hostnamen des ERA-Servers an. So können Sie EMSX genau wie die anderen ESET-Produkte in Ihrem Netzwerk zentral vom ERA aus bedienen und verwalten. Wurde ESMX via Push-Installation installiert, ist dieser Wert bereits gesetzt. Tipp: Um das Zeitintervall bei der Verbindung mit dem Server zu verkürzen, tragen Sie bei Intervall für Verbindungsaufnahme zum Server (min.) 2 oder 1 ein. 6 4. Erweiterte Konfiguration (optional): 4.1 Umgang mit Spam-E-Mails Nach Abschluss der Standardinstallation ist die Konfiguration des Spam-Filters üblicherweise der letzte notwendige Schritt. Öffnen Sie hierzu die erweiterten Einstellungen (Taste F5) und wählen Sie Server-Schutz > Spam Schutz > Microsoft Exchange Server > Transport-Agent. Dort gibt es drei Optionen - Nachricht behalten (empfohlen) Bei Wahl dieser Option werden Spam-E-Mails zugestellt, und werden im Normalfall in den Outlook-Ordner Junk-E-Mail einsortiert. Der Nutzer kann so manuell prüfen, ob es sich tatsächlich um Spam handelt. (Die Option Spam-Score in den Header geprüfter Nachrichten schreiben sollte aktiv bleiben.) - Nachricht in Quarantäne verschieben Mit dieser Option werden als Spam klassifizierte E-Mails in ein Quarantäne-Postfach oder einen Quarantäne-Ordner verschoben. Der Administrator hat dann die Aufgabe, die Spam-E-Mails zentral zu verwalten. Gehen Sie anschließend in die erweiterten Einstellungen (Taste F5) und tragen Sie unter Server-Schutz > Quarantäne für Nachrichten die E-Mail-Adresse von dem Postfach oder mailaktivierten öffentlichen Ordner ein, an welches die eingehenden Spam-E-Mails weitergeleitet werden sollen. Achtung: Wenn Sie hier keine E-Mail-Adresse eintragen, werden E-Mails unwiderruflich gelöscht. Nur der Absender wird über die Unzustellbarkeit informiert. Möchten Sie alternativ die Exchange-Quarantäne verwenden, können Sie in der Exchange-Verwaltungsshell mit Set-ContentFilterConfig -QuarantineMailbox [email protected] die Quarantäne in Exchange aktivieren und „Nachricht in Quarantäne des E-Mail-Servers verschieben“ auswählen. 7 - Nachricht löschen. (nicht empfohlen) Wenn Sie diese Option wählen, werden als Spam-E-Mail klassifizierte E-Mails sofort gelöscht und weder dem Empfänger noch einem Administrator zur Prüfung vorgelegt. Trotz der sehr guten Quote, mit der Spam-E-Mails erkannt werden (99,9%), kann es zu Fehlerkennungen kommen. Aus diesem Grund wird davon abgeraten, diese Option zu wählen. Die Option Greylisting trägt dazu bei, ein hohes Spam-Aufkommen weiter zu reduzieren. Durch Greylisting werden alle eingehenden E-Mails zunächst abgelehnt. Der Provider wird mittels SMTP-Reject “451 4.7.1 Please try again later“ dazu aufgefordert, die E-Mail später noch einmal zuzustellen. Vorteil Die meisten Spam-Versender unternehmen keinen zweiten Zustellversuch. Die SpamE-Mails kommen so gar nicht erst bei dem Empfänger an. Nachteil Falsch konfigurierte Mail-Server beim Provider/ Mail-Relays und lokale POPKonnektoren könnten den Wert „451 4.7.1“ falsch auswerten und die E-Mail verwerfen. Mit Hilfe von drei Schwellenwerten lässt sich das Verhalten genau anpassen. - Der erste Wert (Zeitlimit für Abweisen des ersten Zustellversuchs (Min.) Standardwert 10) gibt an, ab wann (in Minuten) ein nächster Zustellversuch zugelassen wird. Dieser Wert ist auch die Mindestverzögerung, mit der E-Mails beim Empfänger eintreffen. - Der zweite Wert (Ablauf nicht verifizierter Verbindungen nach (Stunden) Standardwert 6) gibt an, wie lange (in Stunden) ein absendender Server Zeit hat, einen nächsten Zustellversuch zu unternehmen. - Der dritte Wert (Ablauf verifizierter Verbindungen nach (Tagen) Standardwert 36) gibt an, wie viele Tage ein verifizierter Server in der Liste der verifizierter Server verbleibt, ohne eine erneute E-Mail zu senden. Nach Ablauf dieser Zeit, muss der absendende Server die Greylisting-Prüfung erneut durchlaufen. 8 4.2 Spam-Schutz-Feineinstellungen In diesem Abschnitt stellen wir einige speziellere Einstellungsmöglichkeiten des Spam-Schutzes vor. In den erweiterten Einstellungen (Taste F5) gehen Sie zu Server-Schutz > Spam-Schutz > Spam-Schutz-Engine > Einstellungen Die Abbildung zeigt auf der linken Seite die gesetzten Werte im Konfigurationseditor des ERA. Auf der rechten Seite sehen Sie die Werte direkt in den erweiterten Einstellungen von ESMX. Im Folgenden werden einige Einstellungen im Detail erklärt: 1. Whitelist Filterung > Zugelassene Absender: Hier können Mailadressen und Domains (z.B. „eset.de“) angegeben werden, Platzhalter wie „*“ sind nicht erlaubt. Mehrere Adressen können nacheinander (durch Kommas getrennt) eingetragen werden. 2. Blacklist Filterung > Gesperrte Absender: Hier können E-Mailadressen und Domains (z.B. „eset.de“) angegeben werden, Platzhalter wie „*“ sind nicht erlaubt. Mehrere Adressen können nacheinander (durch Kommas getrennt) eingetragen werden. 3. Whitelist für IP-Adressen Filterung > Zugelassene IP-Adressen: Tragen Sie hier Ihre Druck- und Faxserver ein, wenn diese Geräte auch EMails versenden. Diese E-Mails erhalten dann einen sehr kleinen SCL. Tipp: Möchten Sie bestimmte Mailserver vom Greylisting ausgrenzen, können Sie deren IP-Adresse hier eintragen (nur IP Adresse ist möglich). 4. Ignorierte IP-Adressen Filterung > Ignorierte IP-Adressen: E-Mails von diesen IP-Adressen werden nicht geprüft und erhalten somit auch keinen SCL. Dies kann sinnvoll sein, um Ressourcen zu sparen. 5. Blacklist für IP-Adressen Filterung > Gesperrte IP-Adressen: E-Mails von diesen Adressen erhalten einen sehr hohen SCL. Tragen Sie hier Adressen ein, von denen Spam verschickt wird oder die Sie als fingierte Absenderadressen einstufen. 6. Whitelist für Domains/IPs im Body Filterung > Zugelassene Domäne: Wenn diese Domains/IP-Adressen im Textkörper einer E-Mail vorkommen, erhalten diese E-Mails einen geringen SCL. 9 Beispiel: Sie versenden Angebote (inkl. Ihrer Domain in der Signatur) an verschiedene Kunden und wollen sicherstellen, dass deren Antworten nicht geblockt werden. 7. Blacklist für Domains/IPs im Body Filterung > Gesperrte Domänen: Wenn diese Domains/IP-Adressen im Textkörper einer E-Mail vorkommen, erhalten diese E-Mails einen hohen SCL. Beispiel: Sie bekommen Spam-E-Mails von verschiedenen Adressen, die aber immer im Text auf die gleiche Webseite verweisen. 8. DNSBL Bei DNSBL handelt es sich um die DN S-based Blackhole List. Die in einer E-Mail enthaltenen Domains werden mit der Blackhole List abgeglichen und bei einem Treffer mit dem angegebenen SCL 99 (Standardwert) versehen. Der Wert Maximale Anzahl der über DNSBL verifizierten IP-Adressen (Standardwert 4) ist der Grenzwert, ab dem keine weiteren verlinkten Domains geprüft werden. 9. Score Jede E-Mail erhält durch den Spamfilter von EMSX einen SCL (Spam Score Level) zwischen 0 und 99 (im Header als X-ESET-AS: SCORE=64 SCL gekennzeichnet). Als Spam klassifizierte E-Mails können in den Junk-Mail Ordner des Nutzers, in ein Quarantäne-Postfach verschoben oder gelöscht werden. Folgende Standardwerte sind unter Nachrichten-Kategorisierung in EMSX gesetzt: o Spam-Grenzwert: 90 E-Mails die diesen (oder einen höheren) Wert erhalten, werden als Spam klassifiziert und im Spam-Log rot angezeigt. E-Mails mit einem SCL unter 90 werden von EMSX als gutartig eingestuft. Je niedriger Sie diesen Wert ansetzen, desto mehr E-Mails werden als Spam eingestuft. o Grenzwert für Zweifelsfälle: 50 E-Mails, die einen Wert zwischen 50 und 90 erhalten, sind wahrscheinlich Spam. Diese Einstufung hat keinen Einfluss auf die Behandlung solcher E-Mails. o Grenzwert für legitime Nachrichten: 10 E-Mails, die einen Wert zwischen 10 und 50 erhalten, sind wahrscheinlich kein Spam. Diese E-Mails werden nicht im Spam-Log angezeigt. E-Mails deren Wert kleiner als 10 ist, werden als unbedenklich eingestuft. 10.Regionaleinstellungen Hier können Sie festlegen, welche Sprachen in Ihrem E-Mail-Verkehr üblicherweise nicht verwendet werden. Wenn Sie z.B. viele Spam-E-Mails mit chinesischem Zeichensatz erhalten, aber keine Firmenkontakte in China haben, können sie den chinesischen Zeichensatz oder dieses Land blockieren. 11.Methoden (Templates) Hier können Sie leicht angepasste Werte für EMSX aus vorbereiteten Templates auswählen, wie z.B. die Optimierung bei zu hoher CPU-Auslastung. Tipp: Bevor Sie die beschriebenen Werte ändern, schauen Sie immer zunächst unter Tools à Log-Dateien à SpamSchutz nach, wie bestimmte E-Mails bewertet wurden und aus welchen Grund dies geschah. Befindet sich eine E-Mail fälschlicherweise in Outlook im Junk-E-Mail Ordner, hat im Log aber einen schwarzen Eintrag (SCL < 90), so liegt die Ursache vermutlich nicht an EMSX sondern am eingebauten Spam-Filter von Exchange. Achtung: Denken Sie immer daran, nach Änderungen in den erweiterten Einstellungen (Taste F5) unter ServerSchutz > Spam-Schutz > Spam-Schutz-Engine auf Einstellungen für Spam-Schutz neu laden zu klicken, damit die geänderten Einstellungen auch umgehend angewendet werden. Achtung: Positiv-, Negativ- und Ausnahmelisten, die im Hauptfenster von EMSX unter Einstellungen > Spam-Schutz oder in einer ESET Endpoint Security gepflegt werden, haben keinen Einfluss auf die EMSX Exchange Spam Filterung. 10 5. Weitere Informationen 5.1 Arbeitsweise des Virenscanner-Moduls für Exchange EMSX prüft eingehende E-Mails, die per SMTP über den Transport-Agent zugestellt werden, auf Viren und Spam. Über die VSAPI (Virus Scanning Application Programming Interface) kann EMSX auch direkt in der Datenbank auf Viren (jedoch nicht auf Spam) prüfen. Damit ist es auch möglich, nachträglich Viren in E-Mails zu identifizieren, die zum Zeitpunkt des Empfangs noch nicht erkannt wurden. Achtung: Ab Exchange 2013 gibt es keine VSAPI mehr von Microsoft. Es können daher nur eingehende E-Mails durch den Transport-Agent geprüft werden. Achtung: Sollten Sie POP3-Konnektoren oder andere Plug-Ins verwenden, welche die E-Mails am Transport-Agent vorbei direkt in den Exchange Store leiten, kann EMSX diese E-Mails nicht auf Spam prüfen. 5.2 Analyse des Spam-Logs Im Spam-Log von ESMX (Standardeinstellung) wird jede E-Mail gelistet, die einen SCL von mindestens 50 erhalten hat. Das Log können Sie im Hauptfenster unter Tools > Log-Dateien > Spam-Schutz (Dropdownbox) einsehen. Als Spam klassifizierte E-Mails werden rot dargestellt. Zu jeder E-Mail können Sie sich per Doppelklick Details anzeigen lassen. Die Bestimmung des SCL basiert auf mehreren Bewertungsverfahren, welche sich ebenfalls per Doppelklick anzeigen lassen. Hier haben u.a. der Grad der Verschleierung (z.B. fingierte Absender) und der DNSBL (Absender ist auf einer Blackhole List) Einfluss. (Wenn Sie den DNSBL-Wert z.B. von 4 auf 8 setzen, steigt die Wahrscheinlichkeit, dass eine weitere E-Mail dieser Art als Spam klassifiziert wird, da nun mehr Domains in der E-Mail in die Überprüfung einbezogen werden.) Es gibt keine generelle Vorgehensweise bei der Spam-Behandlung. Diese ist abhängig von der jeweiligen Domain und dem eingehenden Spam-Aufkommen. 11 Beispiel: Der folgende Auszug eines E-Mail-Headers zeigt die von ESMX vorgenommene Bewertung einer typischen EMail: X-ESETResult: clean, is OK Es wurde kein Virus gefunden. X-ESETId: 564648239644FFAD050011 Die E-Mail wurde von EMSX analysiert. X-ESET-AS: SCORE=64 Die E-Mail hat den SCL 64 erhalten. 5.3 Einrichtung von EMSX auf einem Terminalserver In der Standardeinstellung werden HTTP- und POP3-Streams von EMSX nicht geprüft. Da aber auf einem Terminalserver meistens die HTTP-Prüfung erwünscht ist, aktivieren Sie diese wie folgt: Öffnen Sie die erweiterten Einstellungen (Taste F5), wählen Sie Computer-Schutz > Viren- und Spyware-Schutz > Prüfen von Anwendungsprotokollen und aktivieren Sie dort die Punkte Prüfen von anwendungsspezifischen Protokollen aktivieren und Prüfen von anwendungsspezifischen Protokollen automatisch starten. Hinweis für 2008 Server: Bitte installieren Sie unbedingt den Microsoft Hotfix „KB 2664888“, um einen Fehler in der „Windows Filtering Platform“ zu beheben, auf die wir aufsetzen. Grundsätzlich empfehlen wir, die Antispamfunktion des E-Mail-Client-Schutzes, welche über das Outlook-Addin bereitgestellt wird, zu deaktivieren. Wenn Sie auf dem Windows Server mit EMSX die Microsoft Terminalserver Funktion aktiviert haben und dort im Outlook POP3 Postfächer betreiben, sollten Sie die POP3-Prüfung aktiv lassen. In allen anderen Fällen empfehlen wir, die POP3-Prüfung zu deaktivieren, um eine unnötige Prüfung zu vermeiden. Öffnen Sie dazu die erweiterten Einstellungen (Taste F5) und wählen Sie Computer-Schutz > Viren- und SpywareSchutz > E-Mail-Client-Schutz > E-Mail-Clients. Deaktivieren Sie dort die folgenden Punkte: - Eingehende E-Mails - Ausgehende E-Mails - E-Mails, die zum Lesen geöffnet werden Die sekundäre Spam-Prüfung durch das Outlook-AddIn sollte ebenfalls ausgeschaltet werden. Wählen Sie hierzu in den erweiterten Eigenschaften (Taste F5) den Punkt Computer-Schutz > Spam-Schutz und deaktivieren Sie SpamSchutz aktivieren. Außerdem deaktivieren Sie unter Computer-Schutz > Spam-Schutz > E-Mail-Client-Schutz die folgenden Punkte: - Viren- und Spyware-Schutz für E-Mail-Schutz aktivieren - E-Mail-Spam-Schutz automatisch starten. 5.4 Regeln (spezielle Filterfunktionen) Wenn Sie E-Mails nach bestimmten Kriterien filtern möchten und Black- bzw. Whitelisting nicht ausreichen, können Sie weitere Regeln verwenden. Diese Regeln ermöglichen die Auswahl spezieller Kriterien und lassen sich in den erweiterten Einstellungen (Taste F5) unter Server-Schutz > Microsoft Exchange-Server > Regeln erstellen. Beispiel: Ein Fax-to-Mail-Verteiler versendet E-Mails mit Betreff „[Fax]“, die nie als Spam erkannt werden sollen. Um diese Anforderung umzusetzen, gehen Sie wie folgt vor: Sie erstellen eine Regel, indem Sie auf Hinzufügen klicken, dann Nach Betreff auswählen und anschließend auf Weiter klicken. Geben Sie zunächst den Absender der E-Mails an (Absenderadresse des Faxes) und klicken Sie wieder auf Weiter. Geben Sie im nächsten Schritt die Bedingung ein, mit welcher der Betreff geprüft werden soll (hier: „[Fax]“) und klicken Sie wiederum auf Weiter. Im nächsten Schritt wählen Sie Keine Aktion, aktivieren aber Mit Viren- und Spyware-Schutz prüfen. Somit wird eine Fax-to-Mail Nachricht nicht als Spam klassifiziert, aber trotzdem auf Viren geprüft. 12 5.5 FAQ Ist der E-Mail-Client-Schutz für Viren- und Spam-Schutz erforderlich? Die Optionen E-Mail-Client-Schutz unter Einstellungen sind nur notwendig, wenn Sie im Exchange z.B. einen Terminalserver aufgesetzt haben, da nur in diesem Fall Outlook lokal verwendet wird (siehe dazu Kapitel Einrichtung von EMSX auf einem Terminalserver 12 ). Die Optionen im Hauptfenster von EMSX unter Einstellungen > Spam-Schutz > E-Mail-Schutz betreffen nur das Outlook-AddIn auf dem Server und haben keinen Einfluss auf die Exchange-Filter. Lassen sich E-Mail-Adressen vom Endpoint aus der globalen White- bzw. Blacklist hinzufügen? Nein, Sie können E-Mail-Adressen nur direkt in EMSX (oder per Policy mit Hilfe des ERA) in die global gültigen Listen eintragen. Einstellungen, die für das gesamte Netzwerk gelten sollen, können nur zentral vom Administrator vorgenommen werden. Werden ausgehende E-Mails ebenfalls geprüft? Nein, ausgehenden E-Mails werden nicht geprüft, da der Transport-Agent nur den eingehenden SMTP-Traffic prüfen kann. Was ist der Unterschied zwischen gesperrten Absender-Adressen und gesperrten Domänen? Unter Zugelassene Absender und Gesperrte Absender können Sie sowohl Absender-Adressen als auch Domains in Form einer White- bzw. Blacklist pflegen. E-Mails von diesen Absendern werden dann entsprechend klassifiziert. Zugelassene Domänen und Gesperrte Domänen hingegen filtern nach einer Domain die im Nachrichtentext auftritt. Versenden Sie z.B. ein größeres Mailing und erwarten, dass Nutzer auf diese E-Mails antworten, tragen Sie Ihre Domain, die in der Signatur auftaucht mit ein. Die Antwortmail wird so nicht als Spam erkannt. Die Konfiguration hierfür nehmen Sie in den erweiterten Einstellungen (Taste F5) unter Server-Schutz > SpamSchutz > Spam-Schutz-Engine > Einstellungen > Filterung vor. 5.6 Troubleshooting 5.6.1 Diagnose aller eingehenden E-Mails des ESET Transport-Agents Falls Sie unsicher sind, inwiefern EMSX Einfluss auf Ihren E-Mail-Empfang hat oder Sie den Eindruck haben, dass die Prüfung oder Klassifizierung fehlerhaft ist, können Sie wie folgt eine erweiterte Analyse vornehmen: Zunächst ist es sinnvoll, sämtliche E-Mails zu protokollieren, indem Sie den SCL, ab dem eine Mail in das Log aufgenommen wird, von 50 auf 1 setzen. Öffnen Sie dazu die erweiterten Einstellungen (Taste F5), wählen Sie ServerSchutz > Spam-Schutz > Spam-Schutz-Engine und klicken sie dort auf Einstellungen. Setzen Sie anschließend den Punkt Score > Score-Wert ab dem eine Nachricht als "wahrscheinlich SPAM" oder „wahrscheinlich sauber“ eingestuft wird auf 1. (Standardmäßig werden im Spam-Log (Tools > Log-Dateien à Spam-Schutz) nur E-Mails protokolliert, die einen SCL von 50 oder höher besitzen.) Anschließend werden im Spam-Log alle eingegangen E-Mails angezeigt und Sie können eine genaue Analyse vornehmen (siehe dazu auch Kapitel Analyse des Spam-Logs 11 ). Um zu kontrollieren, ob EMSX E-Mails auf Spam und Viren prüft, können Sie in der Exchange PowerShell mit GetTransportAgent sicherstellen, dass die beiden Einträge ESET Filteragent und ESET Filteragent für Virenschutz an erster Stelle mit Enabled True eingetragen sind. 13 5.6.2 EMSX prüft eingehende E-Mails nicht auf Spam Sie können die Funktionalität des Spam-Filters von ESMX wie folgt überprüfen: - Suchen Sie im E-Mail-Header nach der Zeichenfolge „X-ESET-AS: SCORE=?? ” (?? Steht hier für den SCL zwischen 0-99). - Im Hauptfenster von EMSX finden Sie unter Schutzstatus > Statistiken > Dropdown: E-Mail-Server Spam-Schutz eine Statistik zu allen geprüften E-Mails. Einige POP3-Connectoren sind nicht zu EMSX kompatibel. Sollten Sie also E-Mails nur via POP3-Connector abrufen, kann nicht sichergestellt werden, dass die E-Mails auch durch den Transport-Agent geprüft werden, da ein POP3Connector den Transport-Agent umgehen kann und die E-Mails direkt in die Exchange-Datenbank ablegt. (In diesem Fall wird von ESET kein Support angeboten.) Sind Sie auf einen POP3-Connector angewiesen, können Sie mit folgenden Konfigurationsschritten versuchen, die Funktionalität wiederherzustellen (ESET empfiehlt jedoch immer, die Mailzustellung per MX-Record ausführen zu lassen): 1. Öffnen Sie die erweiterten Einstellungen (Taste F5) und entfernen Sie den Haken bei Server-Schutz > SpamSchutz > Microsoft Exchange Server > Transport-Agent > Spam-Schutz mit Exchange Server-Positivlisten automatisch umgehen. Setzen Sie außerdem den Haken bei Server-Schutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent > Markieren der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen. 2. In einer exportierten Exchange Konfigurations-XML-Datei (Hauptfenster > Einstellungen > Einstellungen importieren/exportieren) gehen Sie zu der Zeichenkette NODE NAME="AgentASScanSecureZone" VALUE="1" TYPE="DWORD" /> und setzen den Wert von 0 auf 1. Importieren Sie die Konfiguration (XML-Datei) anschließend wieder. Alternativ fügen Sie folgende Zeilen in eine neue XML-Datei ein, um diese Konfiguration dann per ERA oder direkt in EMSX zu importieren. <?xml version="1.0" encoding="utf-8"?> <ESET> <SECTION ID="1000404"> <SETTINGS> <PLUGINS> <PLUGIN ID="1004101"> <PROFILES> <NODE NAME="@My profile" TYPE="SUBNODE"> <NODE NAME="AgentASScanSecureZone" VALUE="1" TYPE="DWORD" /> </NODE> </PROFILES> </PLUGIN> </PLUGINS> </SETTINGS> </SECTION> </ESET> Dies hat zur Folge, dass auch Absender aus vertrauenswürdigen Zonen geprüft werden. 14 5.6.3 Deinstallation / Upgrade auf neue Programmversion schlägt fehl Sollten ein Upgrade oder die Standarddeinstallation per Startmenü fehlschlagen, können Sie aus der Knowledgebase von ESET den manuellen Uninstaller herunterladen: http://kb.eset.de/esetkb/index?page=content&id=SOLN2289 Wir empfehlen, den Exchange-Server im abgesicherten Modus zu starten und dann den Uninstaller auszuführen. Sollte dies nicht möglich sein, entfernen Sie den Selbstschutz von ESMX unter Server-Schutz > Viren- und SpywareSchutz in den erweiterten Einstellungen (Taste F5). Nach Neustart des Servers führen Sie den ESET-Uninstaller in der Eingabeaufforderung (cmd) mit Administratorrechten mit dem Parameter /nosafemode aus. Lässt sich der Selbstschutz nicht deaktivieren, ist ein Start im abgesicherten/DSRM Modus notwendig. Um sicher zu gehen, dass alle problematischen Dateien entfernt wurden, führen Sie den Uninstaller so oft erneut aus, bis die Meldung " N o supported AV Products installed!" erscheint. 5.6.4 Deregistrierung der ESET Transport-Agent schlägt während Deinstallation / Upgrade fehl Wenn Exchange die Deregistrierung der Transport-Agent von ESET nicht ausgeführt hat und der „Microsoft Exchange Transport“ Dienst sich nicht starten lässt, müssen diese manuell entfernt werden. Lesen Sie hierzu folgenden Eintrag in unserer KB: http://kb.eset.de/esetkb/index?page=content&id=SOLN3026 Geben Sie in der Exchange Shell folgende Kommandos ein: - Uninstall-TransportAgent "ESET Filteragent" - Uninstall-TransportAgent "ESET Filteragent für Virenschutz" Bestätigen Sie anschließend die Kontrollabfrage. Alternativ öffnen Sie folgende Datei: „ C:\Program Files\Microsoft\Exchange Server\% Versionsnummer des Exchange% \TransportRoles\Shared\agents.config“ Entfernen Sie in dieser Datei die Zeilen die mit '<agent name="ESET Filteragent"' beginnen: <agent name="ESET Filteragent" baseType="Microsoft.Exchange.Data.Transport.Smtp.SmtpReceiveAgent" classFactory="XmonAgent.XmonSmtpAgentFactory" assemblyPath="C:\Program Files\ESET\ESET Mail Security \XmonAgent.dll" enabled="true" /> <agent name="ESET Filteragent für Virenschutz" baseType="Microsoft.Exchange.Data.Transport.Routing.RoutingAgent" classFactory="XmonAgent.XmonAgentFactory" assemblyPath="C:\Program Files\ESET\ESET Mail Security \XmonAgent.dll" enabled="true" /> 5.6.5 Mails werden geblockt obwohl in EMSX kein entsprechender Logeintrag vorhanden ist Sofern der SCL für wahrscheinlich Spam testweise auf 1 gesetzt wurde (siehe Kapitel Diagnose aller eingehenden E-Mails des ESET Transport-Agents 13 ) und trotzdem E-Mails geblockt/gelöscht werden und keine Einträge im Log (in EMSX unter Tools > Log-Dateien) erscheinen, liegt dies vermutlich an der globalen integrierten Prüfung von Exchange. Exchange kann E-Mails in der Organisation ab einem SCL von 5 (abhängig von der Exchange-Version) als Spam bewerten. Um diesen Wert auf das Maximum (9) zu erhöhen und Fehlbewertungen zu reduzieren, geben Sie in der Exchange-Verwaltungsshell folgenden Befehl ein: - Set-OrganizationConfig -SCLJunkThreshold 9 Um den bestehenden SCL zu überprüfen, geben Sie folgenden Befehl ein: - Get-OrganizationConfig | Format-List SCLJunkThreshold (Siehe auch: http://technet.microsoft.com/de-de/library/bb123559.aspx) Deaktivieren Sie die Inhaltsfilterung des Servers durch folgende Eingabe in der Exchange- Verwaltungsshell: - Set-ContentFilterConfig -Enabled $false 15 Eine Überprüfung des aktuellen Status können Sie mit folgendem Befehl vornehmen: - Get-ContentFilterConfig | Format-List Enabled Um Fehlerkennungen seitens Exchange auszuschließen, können sie alle integrierten Spam-Filter von Exchange deaktivieren. Normalerweise sind die Spam-Filter in der Exchange-Verwaltungskonsole unter Organistionskonfiguration > Hub-Transport > Antispam zu finden. 5.6.6 E-Mails werden laut AntiSpam-Log wegen DNSBL geblockt ESET verwendet zur Spam-Analyse u.a. Dienstleistungen von Mailshell. Sie können unter http://www50.mailshell.com/ live_feed/livefeed_lookup.php überprüfen, ob die betroffene Domain von Mailshell geblockt wird und ggf. die Fehlerkennung auf dieser Seite melden. Tipp: Um zu überprüfen, ob eine Domain oder IP-Adresse auf einem DNSBL-Server gelistet ist, besuchen Sie z.B. die folgende Website: http://multirbl.valli.org/lookup/ 5.6.7 EMSX erhält keine Spam-Signaturen / Spamerkennung nimmt nach einiger Zeit ab Stellen Sie sicher, dass im Hauptfenster von EMSX im Bereich Update die EAV-Nummer und das Passwort zu Ihrer EMSX-Lizenz eingetragen sind und der Update-Server auf Automatisch gestellt ist. Mit der EAV-Nummer aus einer Endpoint Lizenz oder mit Updates von einem ERA-Mirror werden nur Virensignaturen, jedoch keine Spam-Signaturen bereitgestellt. Parallel zu den Virensignaturen erhält EMSX auch die neuesten Spam-Schutz-Regeln. Sie müssen also ESMX nicht weiter pflegen, durch Mailshell erhalten Sie immer die neuesten Spam-Informationen automatisch. 5.6.8 Vorgenommene Änderungen im Transport-Agent Modul werden nicht angewendet Vorgenommene Änderungen müssen immer übernommen werden. Öffnen Sie dazu die erweiterten Einstellungen (Taste F5) unter klicken Sie unter Server-Schutz > Spam-Schutz > Spam-Schutz-Engine auf Einstellungen für Spam-Schutz neu laden. 16 5.6.9 Anzahl der Postfächer ist überschritten oder abgelaufen In unserer Knowledgebase unter http://kb.eset.de/esetkb/index?page=content&id=SOLN2425 können Sie einen Counter herunterladen, der Ihnen die Anzahl der Postfächer und damit die benötigte Lizenzgröße Ihrer EMSX berechnet und anzeigt. Es ist nicht möglich, einzelne Postfächer auszugrenzen. Sollte die Lizenz längere Zeit abgelaufen oder überschritten sein und Sie haben die Verlängerung über die Lizenzdatei „MailSecurity.lic“ installiert, müssen Sie den Transport-Agent wieder in den erweiterten Einstellungen der EMSX aktivieren. Bei einer Verlängerung wird im Normalfall nur die Datei „MailSecurity.lic“ erneuert und die EAV-Nummer und das Passwort bleiben unverändert. 17
© Copyright 2024