ESET Mail Security for Microsoft Exchange Server

ESET MAIL SECURITY
FÜR MICROSOFT EXCHANGE SERVER
Best Practices für ESET Mail Security für Exchange
Microsoft® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
ESET MAIL SECURITY
Copyright ©2015 von ESET, spol. s r. o.
ESET Mail Security wurde entwickelt von ESET, spol. s r. o.
Nähere Informationen finden Sie unter www.eset.de.
Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohne schriftliche Einwilligung des
Verfassers reproduziert, in einem Abrufsystem gespeichert oder in irgendeiner Form oder auf
irgendeine Weise weitergegeben werden, sei es elektronisch, mechanisch, durch Fotokopien,
Aufnehmen, Scannen oder auf andere Art.
ESET, spol. s r. o. behält sich das Recht vor, ohne vorherige Ankündigung an jedem der hier
beschriebenen Software-Produkte Änderungen vorzunehmen.
Weltweiter Support: www.eset.de/support
Versionsstand 3/4/2015
Inhalt
1. Einleitung
.......................................................4
2. Installationsvorbereitung
.......................................................5
3. Grundkonfiguration
.......................................................6
4. Erweiterte
.......................................................7
Konfiguration (optional):
4.1 Umgang
....................................................................................................7
mit Spam-E-Mails
4.2 Spam-Schutz-Feineinstellungen
....................................................................................................9
5. Weitere
.......................................................11
Informationen
5.1 Arbeitsweise
....................................................................................................11
des Virenscanner-Moduls für Exchange
5.2 Analyse
....................................................................................................11
des Spam-Logs
5.3 Einrichtung
....................................................................................................12
von EMSX auf einem Terminalserver
5.4 Regeln
....................................................................................................12
(spezielle Filterfunktionen)
5.5 FAQ
....................................................................................................13
5.6 Troubleshooting
....................................................................................................13
5.6.1
Diagnose aller eingehenden E-Mails des ESET
Transport-Agents
..............................................................................13
5.6.2
EMSX..............................................................................14
prüft eingehende E-Mails nicht auf Spam
5.6.3
Deinstallation / Upgrade auf neue Programmversion
schlägt
..............................................................................15
fehl
5.6.4
Deregistrierung der ESET Transport-Agent schlägt
während
..............................................................................15
Deinstallation / Upgrade fehl
5.6.5
Mails werden geblockt obwohl in EMSX kein
entsprechender
..............................................................................15
Logeintrag vorhanden ist
5.6.6
E-Mails werden laut AntiSpam-Log wegen DNSBL
geblockt
..............................................................................16
5.6.7
EMSX erhält keine Spam-Signaturen / Spamerkennung
nimmt
..............................................................................16
nach einiger Zeit ab
5.6.8
Vorgenommene Änderungen im Transport-Agent
Modul
..............................................................................16
werden nicht angewendet
5.6.9
Anzahl der Postfächer ist überschritten oder
abgelaufen
..............................................................................17
1. Einleitung
Dieses Dokument beschreibt die Installation und erklärt die grundlegenden Konfigurationen sowie Tipps und Tricks für
ESET Mail Security für Exchange Server. Es richtet sich in erste Linie an Benutzer, die bisher noch keine oder wenig
Erfahrungen mit ESET Mail Security für Exchange Server gesammelt haben.
Die folgenden Bezeichnungen werden in diesem Dokument verwendet:
4
EMSX
ESET Mail Security for Exchange
SCL
Spam Score Level (siehe Kapitel Spam-Schutz-Feineinstellungen
ERA
ESET Remote Administrator
9
)
2. Installationsvorbereitung
EMSX ist ein vollständiges Antivirenprogramm mit Echtzeitdateischutz und E-Mail-Prüfung. Eine separate Installation
von ESET File Security oder eines weiteren Antivirenprogramms ist nicht erforderlich. EMSX unterstützt Microsoft
Exchange Server ab Version 5.5.
Das Installationspaket für EMSX finden hier:
http://www.eset.com/de/download/business/detail/family/50/?installer=offline
Wenn Sie die Installationsdatei heruntergeladen haben, führen Sie diese aus und befolgen die Anweisungen des
Installationsassistenten. Dieser führt Sie durch die Installation.
5
3. Grundkonfiguration
Nachdem Sie EMSX erfolgreich installiert haben, starten Sie die Software, indem Sie auf das ESET-Symbol in der
Taskleiste klicken. ESET empfiehlt grundsätzlich die in diesem Abschnitt folgenden Einstellungen. Öffnen Sie zunächst
die erweiterten Einstellungen (Taste F5).
Wählen Sie Server-Schutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent: Aktion für Spam-EMails und im Dropdownmenu Nachricht behalten. Diese Einstellung bewirkt, dass E-Mails, die als Spam erkannt
werden, im Spam-Ordner des Nutzers abgelegt werden. Nehmen Sie diese Einstellung nicht vor, werden Spam-E-Mails
direkt in das Quarantäne-Postfach umgeleitet. Der Nutzer hat so keine Möglichkeit, zu prüfen, ob es sich tatsächlich um
Spam handelt.
Belassen Sie unter Update den Update Server auf Automatisch auswählen und tragen die EAV-Nummer und das
Passwort der Exchange Lizenz ein. Updates für ESMX sollten nicht über einen Update-Mirror geladen werden, da diese
keine Aktualisierungen für die Spam-Erkennungsengine beinhalten.
Unter Allgemein > Lizenzen fügen Sie bitte ausschließlich die MailSecurity.lic Lizenzdatei ein. Im Normalfall muss die
Lizenzdatei nur erneuert werden, wenn die Lizenz verlängert oder vergrößert wird. Ohne die Lizenzdatei sind Ihre
Postfächer nicht geschützt.
Hinweis: Andere ERA-Lizenzdateien (ERA-MailSecurity.lic, ERA-Endpoint.lic), sind ausschließlich für den ESET Remote
Administrator bestimmt.
Unter Allgemein > Remote Administration geben Sie bei Serveradresse die IP oder den Hostnamen des ERA-Servers
an. So können Sie EMSX genau wie die anderen ESET-Produkte in Ihrem Netzwerk zentral vom ERA aus bedienen und
verwalten. Wurde ESMX via Push-Installation installiert, ist dieser Wert bereits gesetzt.
Tipp: Um das Zeitintervall bei der Verbindung mit dem Server zu verkürzen, tragen Sie bei Intervall für
Verbindungsaufnahme zum Server (min.) 2 oder 1 ein.
6
4. Erweiterte Konfiguration (optional):
4.1 Umgang mit Spam-E-Mails
Nach Abschluss der Standardinstallation ist die Konfiguration des Spam-Filters üblicherweise der letzte notwendige
Schritt. Öffnen Sie hierzu die erweiterten Einstellungen (Taste F5) und wählen Sie Server-Schutz > Spam Schutz >
Microsoft Exchange Server > Transport-Agent. Dort gibt es drei Optionen
- Nachricht behalten (empfohlen)
Bei Wahl dieser Option werden Spam-E-Mails zugestellt, und werden im Normalfall in den Outlook-Ordner Junk-E-Mail
einsortiert. Der Nutzer kann so manuell prüfen, ob es sich tatsächlich um Spam handelt. (Die Option Spam-Score in den
Header geprüfter Nachrichten schreiben sollte aktiv bleiben.)
- Nachricht in Quarantäne verschieben
Mit dieser Option werden als Spam klassifizierte E-Mails in ein Quarantäne-Postfach oder einen Quarantäne-Ordner
verschoben. Der Administrator hat dann die Aufgabe, die Spam-E-Mails zentral zu verwalten.
Gehen Sie anschließend in die erweiterten Einstellungen (Taste F5) und tragen Sie unter Server-Schutz >
Quarantäne für Nachrichten die E-Mail-Adresse von dem Postfach oder mailaktivierten öffentlichen Ordner ein, an
welches die eingehenden Spam-E-Mails weitergeleitet werden sollen.
Achtung: Wenn Sie hier keine E-Mail-Adresse eintragen, werden E-Mails unwiderruflich gelöscht. Nur der Absender
wird über die Unzustellbarkeit informiert. Möchten Sie alternativ die Exchange-Quarantäne verwenden, können Sie in
der Exchange-Verwaltungsshell mit
Set-ContentFilterConfig -QuarantineMailbox [email protected]
die Quarantäne in Exchange aktivieren und „Nachricht in Quarantäne des E-Mail-Servers verschieben“ auswählen.
7
- Nachricht löschen. (nicht empfohlen)
Wenn Sie diese Option wählen, werden als Spam-E-Mail klassifizierte E-Mails sofort gelöscht und weder dem
Empfänger noch einem Administrator zur Prüfung vorgelegt. Trotz der sehr guten Quote, mit der Spam-E-Mails
erkannt werden (99,9%), kann es zu Fehlerkennungen kommen. Aus diesem Grund wird davon abgeraten, diese
Option zu wählen.
Die Option Greylisting trägt dazu bei, ein hohes Spam-Aufkommen weiter zu reduzieren. Durch Greylisting werden alle
eingehenden E-Mails zunächst abgelehnt. Der Provider wird mittels SMTP-Reject “451 4.7.1 Please try again later“ dazu
aufgefordert, die E-Mail später noch einmal zuzustellen.
Vorteil
Die meisten Spam-Versender unternehmen keinen zweiten Zustellversuch. Die SpamE-Mails kommen so gar nicht erst bei dem Empfänger an.
Nachteil
Falsch konfigurierte Mail-Server beim Provider/ Mail-Relays und lokale POPKonnektoren könnten den Wert „451 4.7.1“ falsch auswerten und die E-Mail verwerfen.
Mit Hilfe von drei Schwellenwerten lässt sich das Verhalten genau anpassen.
- Der erste Wert (Zeitlimit für Abweisen des ersten Zustellversuchs (Min.) Standardwert 10) gibt an, ab wann (in
Minuten) ein nächster Zustellversuch zugelassen wird. Dieser Wert ist auch die Mindestverzögerung, mit der E-Mails
beim Empfänger eintreffen.
- Der zweite Wert (Ablauf nicht verifizierter Verbindungen nach (Stunden) Standardwert 6) gibt an, wie lange (in
Stunden) ein absendender Server Zeit hat, einen nächsten Zustellversuch zu unternehmen.
- Der dritte Wert (Ablauf verifizierter Verbindungen nach (Tagen) Standardwert 36) gibt an, wie viele Tage ein
verifizierter Server in der Liste der verifizierter Server verbleibt, ohne eine erneute E-Mail zu senden. Nach Ablauf
dieser Zeit, muss der absendende Server die Greylisting-Prüfung erneut durchlaufen.
8
4.2 Spam-Schutz-Feineinstellungen
In diesem Abschnitt stellen wir einige speziellere Einstellungsmöglichkeiten des Spam-Schutzes vor. In den erweiterten
Einstellungen (Taste F5) gehen Sie zu Server-Schutz > Spam-Schutz > Spam-Schutz-Engine > Einstellungen
Die Abbildung zeigt auf der linken Seite die gesetzten Werte im Konfigurationseditor des ERA. Auf der rechten Seite
sehen Sie die Werte direkt in den erweiterten Einstellungen von ESMX. Im Folgenden werden einige Einstellungen im
Detail erklärt:
1. Whitelist
Filterung > Zugelassene Absender: Hier können Mailadressen und Domains (z.B. „eset.de“) angegeben
werden, Platzhalter wie „*“ sind nicht erlaubt. Mehrere Adressen können nacheinander (durch Kommas
getrennt) eingetragen werden.
2. Blacklist
Filterung > Gesperrte Absender: Hier können E-Mailadressen und Domains (z.B. „eset.de“) angegeben werden,
Platzhalter wie „*“ sind nicht erlaubt. Mehrere Adressen können nacheinander (durch Kommas getrennt)
eingetragen werden.
3. Whitelist für IP-Adressen
Filterung > Zugelassene IP-Adressen: Tragen Sie hier Ihre Druck- und Faxserver ein, wenn diese Geräte auch EMails versenden. Diese E-Mails erhalten dann einen sehr kleinen SCL.
Tipp: Möchten Sie bestimmte Mailserver vom Greylisting ausgrenzen, können Sie deren IP-Adresse hier
eintragen (nur IP Adresse ist möglich).
4. Ignorierte IP-Adressen
Filterung > Ignorierte IP-Adressen: E-Mails von diesen IP-Adressen werden nicht geprüft und erhalten somit
auch keinen SCL. Dies kann sinnvoll sein, um Ressourcen zu sparen.
5. Blacklist für IP-Adressen
Filterung > Gesperrte IP-Adressen: E-Mails von diesen Adressen erhalten einen sehr hohen SCL. Tragen Sie hier
Adressen ein, von denen Spam verschickt wird oder die Sie als fingierte Absenderadressen einstufen.
6. Whitelist für Domains/IPs im Body
Filterung > Zugelassene Domäne: Wenn diese Domains/IP-Adressen im Textkörper einer E-Mail vorkommen,
erhalten diese E-Mails einen geringen SCL.
9
Beispiel: Sie versenden Angebote (inkl. Ihrer Domain in der Signatur) an verschiedene Kunden und wollen
sicherstellen, dass deren Antworten nicht geblockt werden.
7. Blacklist für Domains/IPs im Body
Filterung > Gesperrte Domänen: Wenn diese Domains/IP-Adressen im Textkörper einer E-Mail vorkommen,
erhalten diese E-Mails einen hohen SCL.
Beispiel: Sie bekommen Spam-E-Mails von verschiedenen Adressen, die aber immer im Text auf die gleiche
Webseite verweisen.
8. DNSBL
Bei DNSBL handelt es sich um die DN S-based Blackhole List. Die in einer E-Mail enthaltenen Domains werden mit
der Blackhole List abgeglichen und bei einem Treffer mit dem angegebenen SCL 99 (Standardwert) versehen.
Der Wert Maximale Anzahl der über DNSBL verifizierten IP-Adressen (Standardwert 4) ist der Grenzwert, ab
dem keine weiteren verlinkten Domains geprüft werden.
9. Score
Jede E-Mail erhält durch den Spamfilter von EMSX einen SCL (Spam Score Level) zwischen 0 und 99 (im Header
als X-ESET-AS: SCORE=64 SCL gekennzeichnet). Als Spam klassifizierte E-Mails können in den Junk-Mail Ordner
des Nutzers, in ein Quarantäne-Postfach verschoben oder gelöscht werden. Folgende Standardwerte sind
unter Nachrichten-Kategorisierung in EMSX gesetzt:
o Spam-Grenzwert: 90 E-Mails die diesen (oder einen höheren) Wert erhalten, werden als Spam klassifiziert
und im Spam-Log rot angezeigt. E-Mails mit einem SCL unter 90 werden von EMSX als gutartig eingestuft.
Je niedriger Sie diesen Wert ansetzen, desto mehr E-Mails werden als Spam eingestuft.
o Grenzwert für Zweifelsfälle: 50 E-Mails, die einen Wert zwischen 50 und 90 erhalten, sind wahrscheinlich
Spam. Diese Einstufung hat keinen Einfluss auf die Behandlung solcher E-Mails.
o Grenzwert für legitime Nachrichten: 10 E-Mails, die einen Wert zwischen 10 und 50 erhalten, sind
wahrscheinlich kein Spam. Diese E-Mails werden nicht im Spam-Log angezeigt. E-Mails deren Wert kleiner
als 10 ist, werden als unbedenklich eingestuft.
10.Regionaleinstellungen
Hier können Sie festlegen, welche Sprachen in Ihrem E-Mail-Verkehr üblicherweise nicht verwendet werden.
Wenn Sie z.B. viele Spam-E-Mails mit chinesischem Zeichensatz erhalten, aber keine Firmenkontakte in China
haben, können sie den chinesischen Zeichensatz oder dieses Land blockieren.
11.Methoden (Templates)
Hier können Sie leicht angepasste Werte für EMSX aus vorbereiteten Templates auswählen, wie z.B. die
Optimierung bei zu hoher CPU-Auslastung.
Tipp: Bevor Sie die beschriebenen Werte ändern, schauen Sie immer zunächst unter Tools à Log-Dateien à SpamSchutz nach, wie bestimmte E-Mails bewertet wurden und aus welchen Grund dies geschah. Befindet sich eine E-Mail
fälschlicherweise in Outlook im Junk-E-Mail Ordner, hat im Log aber einen schwarzen Eintrag (SCL < 90), so liegt die
Ursache vermutlich nicht an EMSX sondern am eingebauten Spam-Filter von Exchange.
Achtung: Denken Sie immer daran, nach Änderungen in den erweiterten Einstellungen (Taste F5) unter ServerSchutz > Spam-Schutz > Spam-Schutz-Engine auf Einstellungen für Spam-Schutz neu laden zu klicken, damit die
geänderten Einstellungen auch umgehend angewendet werden.
Achtung: Positiv-, Negativ- und Ausnahmelisten, die im Hauptfenster von EMSX unter Einstellungen > Spam-Schutz
oder in einer ESET Endpoint Security gepflegt werden, haben keinen Einfluss auf die EMSX Exchange Spam Filterung.
10
5. Weitere Informationen
5.1 Arbeitsweise des Virenscanner-Moduls für Exchange
EMSX prüft eingehende E-Mails, die per SMTP über den Transport-Agent zugestellt werden, auf Viren und Spam. Über
die VSAPI (Virus Scanning Application Programming Interface) kann EMSX auch direkt in der Datenbank auf Viren
(jedoch nicht auf Spam) prüfen. Damit ist es auch möglich, nachträglich Viren in E-Mails zu identifizieren, die zum
Zeitpunkt des Empfangs noch nicht erkannt wurden.
Achtung: Ab Exchange 2013 gibt es keine VSAPI mehr von Microsoft. Es können daher nur eingehende E-Mails durch
den Transport-Agent geprüft werden.
Achtung: Sollten Sie POP3-Konnektoren oder andere Plug-Ins verwenden, welche die E-Mails am Transport-Agent
vorbei direkt in den Exchange Store leiten, kann EMSX diese E-Mails nicht auf Spam prüfen.
5.2 Analyse des Spam-Logs
Im Spam-Log von ESMX (Standardeinstellung) wird jede E-Mail gelistet, die einen SCL von mindestens 50 erhalten hat.
Das Log können Sie im Hauptfenster unter Tools > Log-Dateien > Spam-Schutz (Dropdownbox) einsehen. Als Spam
klassifizierte E-Mails werden rot dargestellt. Zu jeder E-Mail können Sie sich per Doppelklick Details anzeigen lassen. Die
Bestimmung des SCL basiert auf mehreren Bewertungsverfahren, welche sich ebenfalls per Doppelklick anzeigen
lassen. Hier haben u.a. der Grad der Verschleierung (z.B. fingierte Absender) und der DNSBL (Absender ist auf einer
Blackhole List) Einfluss. (Wenn Sie den DNSBL-Wert z.B. von 4 auf 8 setzen, steigt die Wahrscheinlichkeit, dass eine
weitere E-Mail dieser Art als Spam klassifiziert wird, da nun mehr Domains in der E-Mail in die Überprüfung einbezogen
werden.)
Es gibt keine generelle Vorgehensweise bei der Spam-Behandlung. Diese ist abhängig von der jeweiligen Domain und
dem eingehenden Spam-Aufkommen.
11
Beispiel: Der folgende Auszug eines E-Mail-Headers zeigt die von ESMX vorgenommene Bewertung einer typischen EMail:
X-ESETResult: clean, is OK
Es wurde kein Virus gefunden.
X-ESETId: 564648239644FFAD050011
Die E-Mail wurde von EMSX analysiert.
X-ESET-AS: SCORE=64
Die E-Mail hat den SCL 64 erhalten.
5.3 Einrichtung von EMSX auf einem Terminalserver
In der Standardeinstellung werden HTTP- und POP3-Streams von EMSX nicht geprüft. Da aber auf einem
Terminalserver meistens die HTTP-Prüfung erwünscht ist, aktivieren Sie diese wie folgt: Öffnen Sie die erweiterten
Einstellungen (Taste F5), wählen Sie Computer-Schutz > Viren- und Spyware-Schutz > Prüfen von
Anwendungsprotokollen und aktivieren Sie dort die Punkte Prüfen von anwendungsspezifischen Protokollen
aktivieren und Prüfen von anwendungsspezifischen Protokollen automatisch starten.
Hinweis für 2008 Server: Bitte installieren Sie unbedingt den Microsoft Hotfix „KB 2664888“, um einen Fehler in der
„Windows Filtering Platform“ zu beheben, auf die wir aufsetzen.
Grundsätzlich empfehlen wir, die Antispamfunktion des E-Mail-Client-Schutzes, welche über das Outlook-Addin
bereitgestellt wird, zu deaktivieren.
Wenn Sie auf dem Windows Server mit EMSX die Microsoft Terminalserver Funktion aktiviert haben und dort im
Outlook POP3 Postfächer betreiben, sollten Sie die POP3-Prüfung aktiv lassen. In allen anderen Fällen empfehlen wir,
die POP3-Prüfung zu deaktivieren, um eine unnötige Prüfung zu vermeiden.
Öffnen Sie dazu die erweiterten Einstellungen (Taste F5) und wählen Sie Computer-Schutz > Viren- und SpywareSchutz > E-Mail-Client-Schutz > E-Mail-Clients. Deaktivieren Sie dort die folgenden Punkte:
- Eingehende E-Mails
- Ausgehende E-Mails
- E-Mails, die zum Lesen geöffnet werden
Die sekundäre Spam-Prüfung durch das Outlook-AddIn sollte ebenfalls ausgeschaltet werden. Wählen Sie hierzu in
den erweiterten Eigenschaften (Taste F5) den Punkt Computer-Schutz > Spam-Schutz und deaktivieren Sie SpamSchutz aktivieren. Außerdem deaktivieren Sie unter Computer-Schutz > Spam-Schutz > E-Mail-Client-Schutz die
folgenden Punkte:
- Viren- und Spyware-Schutz für E-Mail-Schutz aktivieren
- E-Mail-Spam-Schutz automatisch starten.
5.4 Regeln (spezielle Filterfunktionen)
Wenn Sie E-Mails nach bestimmten Kriterien filtern möchten und Black- bzw. Whitelisting nicht ausreichen, können Sie
weitere Regeln verwenden. Diese Regeln ermöglichen die Auswahl spezieller Kriterien und lassen sich in den
erweiterten Einstellungen (Taste F5) unter Server-Schutz > Microsoft Exchange-Server > Regeln erstellen.
Beispiel: Ein Fax-to-Mail-Verteiler versendet E-Mails mit Betreff „[Fax]“, die nie als Spam erkannt werden sollen. Um
diese Anforderung umzusetzen, gehen Sie wie folgt vor:
Sie erstellen eine Regel, indem Sie auf Hinzufügen klicken, dann Nach Betreff auswählen und anschließend auf Weiter
klicken. Geben Sie zunächst den Absender der E-Mails an (Absenderadresse des Faxes) und klicken Sie wieder auf
Weiter. Geben Sie im nächsten Schritt die Bedingung ein, mit welcher der Betreff geprüft werden soll (hier: „[Fax]“) und
klicken Sie wiederum auf Weiter. Im nächsten Schritt wählen Sie Keine Aktion, aktivieren aber Mit Viren- und
Spyware-Schutz prüfen. Somit wird eine Fax-to-Mail Nachricht nicht als Spam klassifiziert, aber trotzdem auf Viren
geprüft.
12
5.5 FAQ
Ist der E-Mail-Client-Schutz für Viren- und Spam-Schutz erforderlich?
Die Optionen E-Mail-Client-Schutz unter Einstellungen sind nur notwendig, wenn Sie im Exchange z.B. einen
Terminalserver aufgesetzt haben, da nur in diesem Fall Outlook lokal verwendet wird (siehe dazu Kapitel Einrichtung
von EMSX auf einem Terminalserver 12 ).
Die Optionen im Hauptfenster von EMSX unter Einstellungen > Spam-Schutz > E-Mail-Schutz betreffen nur das
Outlook-AddIn auf dem Server und haben keinen Einfluss auf die Exchange-Filter.
Lassen sich E-Mail-Adressen vom Endpoint aus der globalen White- bzw. Blacklist hinzufügen?
Nein, Sie können E-Mail-Adressen nur direkt in EMSX (oder per Policy mit Hilfe des ERA) in die global gültigen Listen
eintragen. Einstellungen, die für das gesamte Netzwerk gelten sollen, können nur zentral vom Administrator
vorgenommen werden.
Werden ausgehende E-Mails ebenfalls geprüft?
Nein, ausgehenden E-Mails werden nicht geprüft, da der Transport-Agent nur den eingehenden SMTP-Traffic prüfen
kann.
Was ist der Unterschied zwischen gesperrten Absender-Adressen und gesperrten Domänen?
Unter Zugelassene Absender und Gesperrte Absender können Sie sowohl Absender-Adressen als auch Domains in
Form einer White- bzw. Blacklist pflegen. E-Mails von diesen Absendern werden dann entsprechend klassifiziert.
Zugelassene Domänen und Gesperrte Domänen hingegen filtern nach einer Domain die im Nachrichtentext auftritt.
Versenden Sie z.B. ein größeres Mailing und erwarten, dass Nutzer auf diese E-Mails antworten, tragen Sie Ihre
Domain, die in der Signatur auftaucht mit ein. Die Antwortmail wird so nicht als Spam erkannt.
Die Konfiguration hierfür nehmen Sie in den erweiterten Einstellungen (Taste F5) unter Server-Schutz > SpamSchutz > Spam-Schutz-Engine > Einstellungen > Filterung vor.
5.6 Troubleshooting
5.6.1 Diagnose aller eingehenden E-Mails des ESET Transport-Agents
Falls Sie unsicher sind, inwiefern EMSX Einfluss auf Ihren E-Mail-Empfang hat oder Sie den Eindruck haben, dass die
Prüfung oder Klassifizierung fehlerhaft ist, können Sie wie folgt eine erweiterte Analyse vornehmen:
Zunächst ist es sinnvoll, sämtliche E-Mails zu protokollieren, indem Sie den SCL, ab dem eine Mail in das Log
aufgenommen wird, von 50 auf 1 setzen. Öffnen Sie dazu die erweiterten Einstellungen (Taste F5), wählen Sie ServerSchutz > Spam-Schutz > Spam-Schutz-Engine und klicken sie dort auf Einstellungen. Setzen Sie anschließend den
Punkt Score > Score-Wert ab dem eine Nachricht als "wahrscheinlich SPAM" oder „wahrscheinlich sauber“
eingestuft wird auf 1. (Standardmäßig werden im Spam-Log (Tools > Log-Dateien à Spam-Schutz) nur E-Mails
protokolliert, die einen SCL von 50 oder höher besitzen.) Anschließend werden im Spam-Log alle eingegangen E-Mails
angezeigt und Sie können eine genaue Analyse vornehmen (siehe dazu auch Kapitel Analyse des Spam-Logs 11 ).
Um zu kontrollieren, ob EMSX E-Mails auf Spam und Viren prüft, können Sie in der Exchange PowerShell mit GetTransportAgent sicherstellen, dass die beiden Einträge ESET Filteragent und ESET Filteragent für Virenschutz an
erster Stelle mit Enabled True eingetragen sind.
13
5.6.2 EMSX prüft eingehende E-Mails nicht auf Spam
Sie können die Funktionalität des Spam-Filters von ESMX wie folgt überprüfen:
- Suchen Sie im E-Mail-Header nach der Zeichenfolge „X-ESET-AS: SCORE=?? ” (?? Steht hier für den SCL zwischen 0-99).
- Im Hauptfenster von EMSX finden Sie unter Schutzstatus > Statistiken > Dropdown: E-Mail-Server Spam-Schutz
eine Statistik zu allen geprüften E-Mails.
Einige POP3-Connectoren sind nicht zu EMSX kompatibel. Sollten Sie also E-Mails nur via POP3-Connector abrufen,
kann nicht sichergestellt werden, dass die E-Mails auch durch den Transport-Agent geprüft werden, da ein POP3Connector den Transport-Agent umgehen kann und die E-Mails direkt in die Exchange-Datenbank ablegt. (In diesem
Fall wird von ESET kein Support angeboten.)
Sind Sie auf einen POP3-Connector angewiesen, können Sie mit folgenden Konfigurationsschritten versuchen, die
Funktionalität wiederherzustellen (ESET empfiehlt jedoch immer, die Mailzustellung per MX-Record ausführen zu
lassen):
1. Öffnen Sie die erweiterten Einstellungen (Taste F5) und entfernen Sie den Haken bei Server-Schutz > SpamSchutz > Microsoft Exchange Server > Transport-Agent > Spam-Schutz mit Exchange Server-Positivlisten
automatisch umgehen. Setzen Sie außerdem den Haken bei Server-Schutz > Spam-Schutz > Microsoft Exchange
Server > Transport-Agent > Markieren der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen.
2. In einer exportierten Exchange Konfigurations-XML-Datei (Hauptfenster > Einstellungen > Einstellungen
importieren/exportieren) gehen Sie zu der Zeichenkette
NODE NAME="AgentASScanSecureZone" VALUE="1" TYPE="DWORD" />
und setzen den Wert von 0 auf 1. Importieren Sie die Konfiguration (XML-Datei) anschließend wieder.
Alternativ fügen Sie folgende Zeilen in eine neue XML-Datei ein, um diese Konfiguration dann per ERA oder direkt in
EMSX zu importieren.
<?xml version="1.0" encoding="utf-8"?>
<ESET>
<SECTION ID="1000404">
<SETTINGS>
<PLUGINS>
<PLUGIN ID="1004101">
<PROFILES>
<NODE NAME="@My profile" TYPE="SUBNODE">
<NODE NAME="AgentASScanSecureZone" VALUE="1" TYPE="DWORD" />
</NODE>
</PROFILES>
</PLUGIN>
</PLUGINS>
</SETTINGS>
</SECTION>
</ESET>
Dies hat zur Folge, dass auch Absender aus vertrauenswürdigen Zonen geprüft werden.
14
5.6.3 Deinstallation / Upgrade auf neue Programmversion schlägt fehl
Sollten ein Upgrade oder die Standarddeinstallation per Startmenü fehlschlagen, können Sie aus der Knowledgebase
von ESET den manuellen Uninstaller herunterladen:
http://kb.eset.de/esetkb/index?page=content&id=SOLN2289
Wir empfehlen, den Exchange-Server im abgesicherten Modus zu starten und dann den Uninstaller auszuführen.
Sollte dies nicht möglich sein, entfernen Sie den Selbstschutz von ESMX unter Server-Schutz > Viren- und SpywareSchutz in den erweiterten Einstellungen (Taste F5). Nach Neustart des Servers führen Sie den ESET-Uninstaller in der
Eingabeaufforderung (cmd) mit Administratorrechten mit dem Parameter /nosafemode aus. Lässt sich der
Selbstschutz nicht deaktivieren, ist ein Start im abgesicherten/DSRM Modus notwendig. Um sicher zu gehen, dass alle
problematischen Dateien entfernt wurden, führen Sie den Uninstaller so oft erneut aus, bis die Meldung " N o supported
AV Products installed!" erscheint.
5.6.4 Deregistrierung der ESET Transport-Agent schlägt während Deinstallation / Upgrade fehl
Wenn Exchange die Deregistrierung der Transport-Agent von ESET nicht ausgeführt hat und der „Microsoft Exchange
Transport“ Dienst sich nicht starten lässt, müssen diese manuell entfernt werden. Lesen Sie hierzu folgenden Eintrag in
unserer KB: http://kb.eset.de/esetkb/index?page=content&id=SOLN3026
Geben Sie in der Exchange Shell folgende Kommandos ein:
- Uninstall-TransportAgent "ESET Filteragent"
- Uninstall-TransportAgent "ESET Filteragent für Virenschutz"
Bestätigen Sie anschließend die Kontrollabfrage.
Alternativ öffnen Sie folgende Datei:
„ C:\Program Files\Microsoft\Exchange Server\% Versionsnummer des Exchange% \TransportRoles\Shared\agents.config“
Entfernen Sie in dieser Datei die Zeilen die mit '<agent name="ESET Filteragent"' beginnen:
<agent name="ESET Filteragent" baseType="Microsoft.Exchange.Data.Transport.Smtp.SmtpReceiveAgent"
classFactory="XmonAgent.XmonSmtpAgentFactory" assemblyPath="C:\Program Files\ESET\ESET Mail Security
\XmonAgent.dll" enabled="true" />
<agent name="ESET Filteragent für Virenschutz"
baseType="Microsoft.Exchange.Data.Transport.Routing.RoutingAgent"
classFactory="XmonAgent.XmonAgentFactory" assemblyPath="C:\Program Files\ESET\ESET Mail Security
\XmonAgent.dll" enabled="true" />
5.6.5 Mails werden geblockt obwohl in EMSX kein entsprechender Logeintrag vorhanden ist
Sofern der SCL für wahrscheinlich Spam testweise auf 1 gesetzt wurde (siehe Kapitel Diagnose aller eingehenden E-Mails
des ESET Transport-Agents 13 ) und trotzdem E-Mails geblockt/gelöscht werden und keine Einträge im Log (in EMSX
unter Tools > Log-Dateien) erscheinen, liegt dies vermutlich an der globalen integrierten Prüfung von Exchange.
Exchange kann E-Mails in der Organisation ab einem SCL von 5 (abhängig von der Exchange-Version) als Spam
bewerten. Um diesen Wert auf das Maximum (9) zu erhöhen und Fehlbewertungen zu reduzieren, geben Sie in der
Exchange-Verwaltungsshell folgenden Befehl ein:
- Set-OrganizationConfig -SCLJunkThreshold 9
Um den bestehenden SCL zu überprüfen, geben Sie folgenden Befehl ein:
- Get-OrganizationConfig | Format-List SCLJunkThreshold
(Siehe auch: http://technet.microsoft.com/de-de/library/bb123559.aspx)
Deaktivieren Sie die Inhaltsfilterung des Servers durch folgende Eingabe in der Exchange- Verwaltungsshell:
- Set-ContentFilterConfig -Enabled $false
15
Eine Überprüfung des aktuellen Status können Sie mit folgendem Befehl vornehmen:
- Get-ContentFilterConfig | Format-List Enabled
Um Fehlerkennungen seitens Exchange auszuschließen, können sie alle integrierten Spam-Filter von Exchange
deaktivieren. Normalerweise sind die Spam-Filter in der Exchange-Verwaltungskonsole unter
Organistionskonfiguration > Hub-Transport > Antispam zu finden.
5.6.6 E-Mails werden laut AntiSpam-Log wegen DNSBL geblockt
ESET verwendet zur Spam-Analyse u.a. Dienstleistungen von Mailshell. Sie können unter http://www50.mailshell.com/
live_feed/livefeed_lookup.php überprüfen, ob die betroffene Domain von Mailshell geblockt wird und ggf. die
Fehlerkennung auf dieser Seite melden.
Tipp: Um zu überprüfen, ob eine Domain oder IP-Adresse auf einem DNSBL-Server gelistet ist, besuchen Sie z.B. die
folgende Website: http://multirbl.valli.org/lookup/
5.6.7 EMSX erhält keine Spam-Signaturen / Spamerkennung nimmt nach einiger Zeit ab
Stellen Sie sicher, dass im Hauptfenster von EMSX im Bereich Update die EAV-Nummer und das Passwort zu Ihrer
EMSX-Lizenz eingetragen sind und der Update-Server auf Automatisch gestellt ist. Mit der EAV-Nummer aus einer
Endpoint Lizenz oder mit Updates von einem ERA-Mirror werden nur Virensignaturen, jedoch keine Spam-Signaturen
bereitgestellt.
Parallel zu den Virensignaturen erhält EMSX auch die neuesten Spam-Schutz-Regeln. Sie müssen also ESMX nicht
weiter pflegen, durch Mailshell erhalten Sie immer die neuesten Spam-Informationen automatisch.
5.6.8 Vorgenommene Änderungen im Transport-Agent Modul werden nicht angewendet
Vorgenommene Änderungen müssen immer übernommen werden. Öffnen Sie dazu die erweiterten Einstellungen
(Taste F5) unter klicken Sie unter Server-Schutz > Spam-Schutz > Spam-Schutz-Engine auf Einstellungen für
Spam-Schutz neu laden.
16
5.6.9 Anzahl der Postfächer ist überschritten oder abgelaufen
In unserer Knowledgebase unter http://kb.eset.de/esetkb/index?page=content&id=SOLN2425 können Sie einen
Counter herunterladen, der Ihnen die Anzahl der Postfächer und damit die benötigte Lizenzgröße Ihrer EMSX
berechnet und anzeigt. Es ist nicht möglich, einzelne Postfächer auszugrenzen. Sollte die Lizenz längere Zeit abgelaufen
oder überschritten sein und Sie haben die Verlängerung über die Lizenzdatei „MailSecurity.lic“ installiert, müssen Sie den
Transport-Agent wieder in den erweiterten Einstellungen der EMSX aktivieren. Bei einer Verlängerung wird im
Normalfall nur die Datei „MailSecurity.lic“ erneuert und die EAV-Nummer und das Passwort bleiben unverändert.
17