Как настроить почтовый антивирус

Обновлено: 21.11.2024

Как настроить антивирусный модуль MailEnable.

Настройка MailEnable для фильтрации вирусов требует:

<р>1. Конфигурация используемой антивирусной программы, а также
2. Создание антивирусного фильтра в MailEnable

ДЕТАЛИ

Настройка антивирусной программы

<р>1. Установите выбранное антивирусное приложение на тот же сервер, на котором установлен MailEnable

<р>2. Убедитесь, что все резидентные или постоянные функции защиты антивирусного приложения отключены (или все каталоги MailEnable исключены из защиты программного обеспечения).

ПРИМЕЧАНИЕ. Запуск антивирусной защиты в режиме реального времени на сервере может вызвать проблемы, и у каждого резидентного агента антивирусной защиты могут быть свои проблемы. Если резидентный монитор/монитор реального времени включен, проблемы варьируются от появления пустых сообщений, когда MailEnable пытается доставить сообщение с вирусом, до возможного повреждения файлов конфигурации почтовой системы или самих сообщений.
Как правило, , рассмотрите следующее:
- Исключите MailEnable «Очереди» и «Конфигурационные» каталоги из резидентного/мониторинга в реальном времени.
- Отключите резидентный монитор/монитор реального времени, если исключение каталогов MailEnable невозможно в антивирусном приложении.

<р>3. Откройте программу администрирования MailEnable. Разверните ветку Серверы > Локальный хост > Фильтры, выберите значок MailEnable Message Filter, затем выберите элемент MailEnable Antivirus Filter в списке, который появляется на правой боковой панели.

<р>4. Выберите соответствующий пункт из списка доступных антивирусных приложений.

<р>5. Убедитесь, что выбран параметр «Включить» (или «Включить выбранный антивирус»). На сервере можно включить более одного антивирусного приложения, но это повлияет на количество сообщений, которые можно проверить за определенный период времени.

<р>6. Убедитесь, что указан правильный программный путь к антивирусному сканеру командной строки. Нажмите кнопку «Параметры», чтобы изменить это. Также убедитесь, что рабочий каталог существует. Этот каталог используется для распаковки сообщения при его проверке на наличие вирусов.

<р>8. Остановите службу MTA.

<р>9. Запустите службу MTA.

Убедитесь, что файлы описаний вирусов обновляются. Информацию о том, как это сделать, см. в документации по антивирусу.

Для запуска некоторых антивирусных приложений требуются права администратора. Программа ClamAV, включенная в MailEnable, этого не требует. Поскольку MTA работает под учетной записью LocalSystem, вам может потребоваться изменить ее на учетную запись с правами администратора. Откройте апплет панели управления службами. Для службы «MailEnable Mail Transfer Agent» измените учетную запись пользователя, под которой он работает, на учетную запись пользователя Windows с правами администратора (т. е. члена группы «Администраторы»).

<УЛ>
  • F-защита
  • Софос
  • Проверка на вирусы McAfee
  • Norton Antivirus Corporate Edition 7.6
  • Командная строка антивируса Panda
  • Грисофт АВГ
  • Важно отключить любое программное обеспечение для защиты от вирусов в режиме реального времени на сервере (поскольку оно будет мешать процессу сканирования). Дополнительную информацию об этом см. в руководствах по продуктам.

    Создание антивирусного фильтра

    Для включения антивирусной фильтрации необходимо создать фильтр в программе администрирования MailEnable, который определяет наличие в сообщении вируса и удаляет сообщение или помещает его в карантин, уведомляет отправителя и т. д.

    Антивирус Касперского позволяет проверять сообщения электронной почты на наличие опасных объектов с помощью Почтового Антивируса. Почтовый Антивирус запускается при старте операционной системы и постоянно находится в оперативной памяти компьютера, проверяя все почтовые сообщения, отправляемые или получаемые по протоколам POP3, SMTP, IMAP и NNTP, а также через зашифрованные соединения (SSL). ) по протоколам POP3, SMTP и IMAP.

    По умолчанию Почтовый Антивирус проверяет как входящие, так и исходящие сообщения. При необходимости вы можете включить проверку только входящих сообщений.

    Чтобы настроить Почтовый Антивирус:

    1. Откройте главное окно приложения.
    2. Нажмите кнопку в нижней части окна.

    Откроется окно настроек.

    В окне отобразятся настройки Почтового Антивируса.

    • Рекомендуется . При установке этого уровня безопасности Почтовый Антивирус проверяет входящие и исходящие сообщения и вложенные архивы, а также выполняет эвристический анализ с уровнем детализации проверки Средний.
    • Низкий . При выборе этого уровня безопасности Почтовый Антивирус проверяет только входящие сообщения, не проверяя вложенные архивы.
    • Высокий .При установке этого уровня безопасности Почтовый Антивирус проверяет входящие и исходящие сообщения и вложенные архивы, а также выполняет эвристический анализ с уровнем детализации Глубокая проверка.

    Если в сообщении электронной почты не обнаружено угроз или все зараженные объекты успешно вылечены, сообщение становится доступным для дальнейшего доступа. Если компоненту не удается вылечить зараженный объект, Почтовый Антивирус переименовывает или удаляет объект из сообщения и добавляет в тему сообщения уведомление о том, что сообщение обработано Антивирусом Касперского. Перед удалением объекта Антивирус Касперского создает его резервную копию и помещает копию на Карантин.

    Если Антивирус Касперского обнаружит пароль к архиву в тексте сообщения при проверке, он будет использован для проверки содержимого этого архива на наличие вредоносных программ. Пароль не сохраняется. Архив распаковывается перед сканированием. Если при распаковке архива происходит сбой приложения, вы можете вручную удалить распакованные файлы по следующему пути: %systemroot%\temp. Файлы имеют префикс PR.

    Kaspersky Internet Security позволяет проверять сообщения электронной почты на наличие опасных объектов с помощью Почтового Антивируса. Почтовый Антивирус запускается при старте операционной системы и постоянно находится в оперативной памяти компьютера, проверяя все почтовые сообщения, отправляемые или получаемые по протоколам POP3, SMTP, IMAP и NNTP, а также через зашифрованные соединения (SSL). ) по протоколам POP3, SMTP и IMAP.

    По умолчанию Почтовый Антивирус проверяет как входящие, так и исходящие сообщения. При необходимости вы можете включить проверку только входящих сообщений.

    Чтобы настроить Почтовый Антивирус:

    Откроется окно настроек.

    В окне отобразятся настройки Почтового Антивируса.

    • Рекомендуется . При установке этого уровня безопасности Почтовый Антивирус проверяет входящие и исходящие сообщения и вложенные архивы, а также выполняет эвристический анализ с уровнем детализации проверки Средний.
    • Низкий . При выборе этого уровня безопасности Почтовый Антивирус проверяет только входящие сообщения, не проверяя вложенные архивы.
    • Высокий . При установке этого уровня безопасности Почтовый Антивирус проверяет входящие и исходящие сообщения и вложенные архивы, а также выполняет эвристический анализ с уровнем детализации Глубокая проверка.

    Если в сообщении электронной почты не обнаружено угроз или все зараженные объекты успешно вылечены, сообщение становится доступным для дальнейшего доступа. Если компоненту не удается вылечить зараженный объект, Почтовый Антивирус переименовывает или удаляет объект из сообщения и добавляет в тему сообщения уведомление о том, что сообщение обработано Kaspersky Internet Security. Перед удалением объекта Kaspersky Internet Security создает его резервную копию и помещает копию на Карантин.

    При обновлении до более новой версии программы пользовательские настройки Почтового Антивируса не сохраняются. В новой версии программы будут использоваться настройки Почтового Антивируса по умолчанию.

    Если Kaspersky Internet Security обнаружит пароль к архиву в тексте сообщения при проверке, пароль будет использоваться для проверки содержимого этого архива на наличие вредоносных программ. Пароль не сохраняется. Архив распаковывается перед сканированием. Если при распаковке архива происходит сбой приложения, вы можете вручную удалить распакованные файлы по следующему пути: %systemroot%\temp. Файлы имеют префикс PR.

    Если антивирусная поддержка включена, вложения в сообщениях распаковываются и сканируются при прохождении через агент передачи почты. MTA перемещает почтовые сообщения внутри MailEnable. Когда MTA берет сообщение из очереди коннектора, он распаковывает его в временную директорию и использует командную строку, указанную в программе администрирования, для сканирования каждого распакованного файла. В большинстве случаев средства проверки на вирусы из командной строки имеют возможность автоматически удалять файлы. Если одно из проверенных вложений сообщения удаляется, антивирусный фильтр предполагает, что в нем есть вирус, и при восстановлении сообщения заменяет оскорбительное содержимое примечанием, указывающим, что оскорбительное содержимое было удалено. MailEnable также может проверять код возврата сканера командной строки, чтобы определить, заражен ли обрабатываемый элемент.

    Например, пример строки аргумента для сканера командной строки:

    "[АГЕНТ]" "[ИМЯ ФАЙЛА]" -remove -s -nb -nc

    Это можно увидеть, если открыть реестр и получить доступ к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Mail Enable\Mail Enable\Agents\MTA\Filters\[Краткое имя сканера вирусов].

    Обратите внимание, что маркеры [AGENT] и [FILENAME] в этом параметре реестра заменяются путем к сканеру командной строки аудио/видео и именем вложения (которое генерируется системой). Часть «-remove -s -nb -nc» этого значения реестра зависит от используемого приложения сканера.

    Убедиться, что приложение аудио/видео поддерживает автоматическое удаление, немного сложно. В результате есть настройки реестра, которые позволяют использовать сканеры с уровнем ошибки DOS или кодом выхода.

    «Коды выхода с учетом ошибок»: 0/1 — вкл./выкл.: используется для настройки того, указывают ли «Коды выхода» на ошибки или успехи

    Пример

    Пример файла импорта реестра представлен ниже:

    Это можно скопировать в Блокнот, сохранить как файл .reg и импортировать с помощью редактора реестра. После импорта в реестр параметры можно изменить на те, которые требуются антивирусному приложению командной строки.

    Выбор антивирусного приложения

    MailEnable Enterprise Edition содержит подключаемый модуль антивируса, который позволяет сканировать почтовые сообщения на наличие вирусов при их прохождении через агент передачи почты. Следующие обзоры помогают выбрать антивирусное приложение.

    F-защита

    Компания: Фриск Интернэшнл

    Софос

    Компания: Sophos

    Норман Антивирус

    Компания: Норман

    Название продукта: Norman Virus Control (NVC)

    Панда

    Компания: Panda Software

    Антивирус Symantec Norton

    Компания: Symantec

    Проверка на вирусы McAfee

    Рекомендации по настройке: база знаний MailEnable

    Грисофт АВГ

    Компания: Грисофт

    Защита в реальном времени

    Некоторые антивирусные агенты не могут исключать каталоги или типы файлов из своего средства защиты в реальном времени. Проблемы могут возникнуть, если средствам защиты от вирусов в режиме реального времени не запретить отслеживать и защищать важные каталоги MailEnable. В зависимости от того, для чего используется сервер, может быть лучше отключить средства защиты в реальном времени, потому что они резко препятствуют дисковому вводу-выводу. Можно запланировать сканирование, а не использовать средство защиты в реальном времени. В следующей таблице представлены текущие функции ведущих производителей антивирусов в отношении настройки защиты от вирусов в режиме реального времени/мониторинга операций ввода-вывода.

    Поставщик/продукт

    Поддержка

    Корпоративный выпуск Norton Antivirus

    Может исключать каталоги и типы файлов.

    Проверка McAfee на вирусы

    Может исключать каталоги и типы файлов.

    Можно исключить определенные папки.

    Нет возможности исключать каталоги или типы файлов.

    Может исключать каталоги и типы файлов.

    Нет возможности исключать каталоги или типы файлов.

    Примечание. Любые ошибки или упущения в приведенном выше описании являются непреднамеренными. Для получения точной и актуальной информации рекомендуется обращаться к руководству или веб-сайту соответствующего пакета антивирусного программного обеспечения. Хотя MailEnable предоставляет средства для интеграции антивирусного программного обеспечения, вам всегда следует проверять лицензионное соглашение, поставляемое с антивирусным программным обеспечением, чтобы определить любые лицензионные ограничения.

    15 лучших способов защиты электронной почты с помощью Security Gateway

    Несмотря на слухи о смерти электронной почты, ее использование продолжает расти. Согласно исследованию Radicati Group, ожидается, что трафик электронной почты вырастет до более чем 333,2 миллиарда электронных писем, отправляемых в день (с нынешних 306,4 миллиардов электронных писем). И пока предприятия продолжают использовать электронную почту, киберпреступники будут находить новые способы использовать бреши в системе безопасности, ошибки в программном обеспечении и базовую человеческую природу, чтобы вымогать миллионы долларов у своих жертв.

    В связи с повсеместным переходом от локальных почтовых серверов к облаку поставщики электронной почты, размещенные на хостинге, становятся все более популярной мишенью для киберпреступников. Фактически, отчеты показывают, что более 29% предприятий столкнулись со взломом своих учетных записей Office 365 за один месяц в прошлом году. Вот почему вам нужна дополнительная защита, предлагаемая шлюзом безопасности для серверов электронной почты, для защиты от угроз, связанных с электронной почтой.

    Вот наши 15 лучших рекомендаций по защите вашего бизнеса от угроз, связанных с электронной почтой, с помощью Security Gateway

    Шлюз безопасности был разработан таким образом, чтобы его было легко использовать, и он обеспечивает самую надежную защиту от спама, фишинга и утечки данных. И хотя большинство параметров безопасности по умолчанию настроены на оптимальную защиту, рекомендуется следовать этим рекомендациям для достижения наилучших результатов.

    Убедитесь, что пользователь действителен перед созданием учетной записи

    С каждым входящим сообщением, адресованным неизвестному локальному пользователю, шлюз безопасности должен быть в состоянии проверить, является ли учетная запись действительным локальным пользователем, отправив запрос в Office 365, Active Directory, MDaemon или другой источник данных перед созданием учетной записи и доставкой. сообщение. Мы рекомендуем использовать один из пяти источников проверки пользователей, найденных в Security Gateway, для проверки учетных записей.

    Варианты проверки пользователей для проверки пользователей путем запроса к Office 365, Active Directory, MDaemon или источнику данных LDAP

    Используйте аутентификацию SMTP для предотвращения несанкционированного доступа к учетной записи

    Чтобы предотвратить несанкционированный доступ к учетной записи, мы рекомендуем запрашивать аутентификацию SMTP, если только сообщение не передается с почтового сервера домена.

    Параметры аутентификации SMTP в шлюзе безопасности для серверов электронной почты

    Используйте надежные пароли

    Спамеры часто пытаются захватить учетную запись электронной почты, угадывая ее пароль. Поэтому всегда следует избегать паролей, которые легко угадать. Если шлюз безопасности настроен на автоматическое создание учетных записей путем запроса источника проверки пользователей, убедитесь, что ваш источник проверки пользователей настроен на требование надежных паролей. Пароли также можно назначать пользователям вручную через меню «Домены и пользователи».

    Включить динамическую проверку

    Включите динамическую проверку, чтобы заблокировать подключения, демонстрирующие подозрительную активность, например слишком много неудачных попыток аутентификации, слишком много подключений за заданный период времени, попытки оставить подключение открытым слишком долго или отправку слишком большому количеству недопустимых получателей. Динамическая проверка затрудняет подбор паролей злоумышленниками, обнаруживая вредоносную активность и блокируя соединения.

    Настройки динамического скрининга в Security Gateway для серверов электронной почты

    Включить обнаружение взлома аккаунта

    Если спамер угадывает пароль учетной записи, он может использовать эту учетную запись для рассылки спама. Чтобы ограничить возможность спамера злоупотреблять скомпрометированной учетной записью, включите обнаружение захвата учетной записи, а затем введите максимальное количество сообщений, которые можно отправить за заданный период времени. По достижении предела учетная запись отключается, и администратор получает уведомление.

    Предотвратите злоупотребление скомпрометированными учетными записями электронной почты с помощью функции обнаружения взлома учетных записей в Security Gateway для серверов электронной почты

    Включить хотя бы один почтовый сервер по умолчанию

    Когда приходит электронная почта для домена, которому не назначен собственный почтовый сервер, шлюз безопасности должен знать, куда отправлять эти сообщения. Мы рекомендуем добавить почтовый сервер по умолчанию для всех доменов Шлюза Безопасности, с которыми не были специально связаны доменные почтовые серверы.

    Шлюз безопасности – настройки почтового сервера по умолчанию

    Предотвращение несанкционированной пересылки почты

    Ретрансляция происходит, когда почта, которая не поступает ни в локальную учетную запись, ни из нее, отправляется через ваш сервер. Серверы, которые неправильно настроены для предотвращения ретрансляции, могут оказаться в черном списке. По умолчанию Шлюз Безопасности не разрешает ретрансляцию почты.

    Настройки управления ретрансляцией в шлюзе безопасности для серверов электронной почты

    Защитите свой домен с помощью IP-экранирования

    Защита IP-адресов – это функция безопасности, которая учитывает сеансы SMTP, якобы принадлежащие кому-либо из одного из перечисленных доменов, только если они исходят с IP-адреса, связанного с этим доменом.

    Лучший способ защиты исходящей электронной почты – аутентификация по протоколу SMTP. Однако для предприятий, которым необходимо отправлять электронную почту с принтера или другого устройства, не поддерживающего аутентификацию, можно использовать IP-экранирование, чтобы исключить определенные IP-адреса или диапазоны из необходимости аутентификации. Сообщения из аутентифицированных сеансов могут быть освобождены от требований IP Shielding.

    Защита от спуфинга электронной почты с помощью IP-экранирования в шлюзе безопасности для серверов электронной почты

    Включите SSL для обеспечения конфиденциальности данных

    Настройки Secure Sockets Layer (SSL) в шлюзе безопасности для серверов электронной почты

    Включить защиту от обратного рассеяния

    Большинство спам-сообщений содержат поддельный обратный путь. Это часто приводит к тому, что пользователи получают тысячи уведомлений о статусе доставки, автоответчики и другие сообщения в ответ на сообщения, которые пользователь никогда не отправлял. Это известно как обратное рассеяние. Для борьбы с обратным рассеянием функция защиты от обратного рассеяния в Security Gateway может помочь гарантировать, что на ваши домены будут доставляться только законные уведомления о статусе доставки и автоответчики.

    Настройки защиты от обратного рассеяния в шлюзе безопасности для серверов электронной почты

    Не вносить в белый список локальные адреса электронной почты

    Во многих случаях может потребоваться внести в белый список локальные IP-адреса или имена хостов. Однако мы не рекомендуем вносить в белый список локальные адреса электронной почты. Если локальный адрес добавлен в белый список, сообщения, отправленные на этот адрес, могут обойти многие ваши настройки безопасности и подвергнуть ваш сервер риску попадания в черный список.

    Защитите свою почтовую инфраструктуру от вирусов и спама

    Шлюз безопасности сканирует всю входящую и исходящую почту с помощью антивирусных ядер Cyren и ClamAV. Он также включает в себя Cyren Outbreak Protection, технологию защиты от спама и вирусов в режиме реального времени, способную автоматически защитить вашу инфраструктуру электронной почты в течение нескольких минут после эпидемии.

    Настройки антивируса в шлюзе безопасности для серверов электронной почты.

    Предотвращение утечки данных

    Security Gateway включает более 70 правил предотвращения утечки данных, помогающих предотвратить несанкционированную передачу конфиденциальной информации, такой как личные идентификационные номера, номера кредитных карт и другие типы конфиденциальных данных. Эти правила можно настроить для отправки сообщений, содержащих конфиденциальный контент, в административный карантин для дальнейшего просмотра, перенаправления сообщения на указанный адрес или шифрования сообщения.

    Мы рекомендуем включить соответствующие правила предотвращения утечки данных в соответствии с потребностями вашего бизнеса или отрасли.

    Предотвращение утечки данных в шлюзе безопасности для серверов электронной почты

    Включить проверку местоположения

    Блокируйте электронную почту из неавторизованных стран с помощью проверки местоположения в Security Gateway для электронной почты

    Включить обнаружение макросов в документах Microsoft Office

    Киберпреступники часто используют макросы во вложениях электронной почты для распространения вредоносных программ. В Security Gateway 6.5 и более поздних версиях настройки сканирования на вирусы включают возможность обнаружения макросов в документах Microsoft Office и пометки их как зараженных. Шлюз Безопасности может отклонить эти сообщения или поместить их в карантин для административного рассмотрения.

    Автор Брэд Вайро

    Брэд работал на технических и маркетинговых должностях в MDaemon Technologies, где он является менеджером по контент-маркетингу. Брэд сочетает техническую и творческую информацию, создавая простые для понимания видеоролики и материалы для обучения потенциальных клиентов и клиентов.

    Читайте также: