Exchange Server 2013 – Malware Scanner & Anti Spam Agents #1

Exchange Server 2013 integriert neben den bereits bekannten Anti Spam Agents, nun auch einen Malware Scanner. Der Malware Scanner ist auf der Postfach Rolle aktiv und überprüft E-Mails, die auf diesem gesendet/empfangen werden. Einen Schutz für Daten die bereits in den Postfächern der User vorhanden sind, existiert nicht. Hier muss ein 3 Hersteller verwendet werden.

Exchange Server 2013 – Malware Scanner Installieren/deinstallieren

Während der Grundinstallation von Exchange Server 2013 wird die Option geboten, den Malware Scanner zu installieren. Standardmäßig ist diese Option aktiviert. Wenn der Malware Scanner installiert wurde, werden auch automatisch die Anti Spam Agents installiert.

Exchange Server 2013 – Malware Scanner installieren

Wer bei der Installation von Exchange Server 2013 den Malware Scanner deaktiviert hat, kann diesen auch noch nachträglich aktivieren.

Enable-AntimalwareScanning.ps1

Exchange Server 2013 – Malware Scanner deinstallieren

Wer bei der Installation von Exchange Server 2013 den Malware Scanner aktiviert hat, kann diesen auch noch nachträglich deaktivieren.

Disable-AntimalwareScanning.ps1

Exchange Server 2013 – Malware Scanner Konfigurieren

Die Konfiguration des Malware Scanner erfolgt webbasiert in der Exchange Administration Central. Nur das Aktivieren/Deaktivieren erfolgt über die Powershell. Sonderlich viel gibt es nicht zu konfigurieren, aber immerhin ein wenig.

Malware Scanner Optionen

  • Antwort zur Schafsoftwareerkennung: Gesamte Nachricht löschen, Alle Anlagen löschen
  • Benachrichtigungen: Interne Absender, Externe Absender
  • Benachrichtigungen: An Administratoren nicht zugestellte Nachrichten von internen/externen Absendern

Exchange Server 2013 – Malware Scanner – Automatische Updates

Damit der Malware Scanner Updates für die Anti Virus Pattern erhält, muss auf dem jeweiligen Postfachserver eine Internetverbindung vorhanden und Port 80 freigegeben sein. Die Aktualisierung der Pattern-Files wird einmal die Stunde durchgeführt.

Die Aktualisierung kann auch manuell durchgeführt werden. Theoretisch ist es hierdurch auch möglich die Pattern-Files von einem anderen Computer zu updaten.

& $env:ExchangeInstallPath\Scripts\Update-MalwareFilteringServer.ps1 -Identity $env:COMPUTERNAME

Exchange Server 2013 – E-Mails erneut scannen

Wenn beispielsweise ein gehosteter Dienst für die Prüfung der Nachrichten verwendet wird, kann eine erneute Prüfung durch den Malware Scanner konfiguriert werden. Hierdurch wird eine weitere Schutzebene hinzugefügt und erhöht die Erkennungsqualität.

Set-MalwareFilteringServer -ForceRescan $true

Exchange Server 2012 – Anti Spam Agents

Wenn bei der Exchange Server 2013 Installation der Malware Scanner aktiviert wurde, werden die Anti Spam Agents auch installier/aktiviert.

Welche Anti Spam Agents gibt es?

  • Inhaltsfilter-Agent
  • Der Inhaltsfilter-Agent prüft den Inhalt von E-Mails.

  • Sender ID-Agent
  • Der Sender ID-Agent prüft die IP und die „Purported Responsible Address“ des Absenders und kontrolliert diese Informationen auf Fälschungen.

  • Absenderfilter-Agent
  • Der Absenderfilter prüft den „MAIL FROM“ Eintrag mit einer konfigurierbaren Liste von Absendern oder Absenderdomänen und lässt diese zu oder weißt diese ab.

  • Empfängerfilter-Agent
  • Der Empfängerfilter prüft den „RCPT TO“ Eintrag mit einer konfigurierbaren Liste von Empfängern. Außerdem werden E-Mails die an Empfänger gehen, die nicht in der globalen Adressliste stehen, abgewiesen.

  • Protokollanalyse-Agent für die Absenderzuverlässigkeit
  • Der Protokollanalyse-Agent prüft die Absenderzuverlässigkeit. Es werden Daten wie IP des sendenden Servers eingelesen und die Absenderzuerverlässigkeit zu bestimmen.

Exchange Server 2013 – Anti Spam Agents installieren

Wenn bei der Exchange Installation nicht eh schon der Malware Scanner aktiviert wurde (dann wird die Installation der Anti Spam Agents automatisch durchgeführt), können die Anti Spam Agents mit folgendem Befehl später installiert werden.

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

Exchange Server 2013 – Anti Spam Agents – Interne SMTP-Server konfigurieren

Interne SMTP-Server sollten im Anti Spam Agent ausgeschlossen werden. Mindestens ein Server muss sogar angegeben werden, damit die Agents ausgeführt werden.

In diesem Beispielt wird der interne SMTP-Server mit der IP 80.50.80.50 hinzugefügt:

Set-TransportConfig -InternalSMTPServers @{Add="80.50.80.50"}

Mit folgendem Befehl kann die Konfiguration überprüft werden:

Get-TransportConfig | Format-List InternalSMTPServers

Exchange Server 2013 – Transportdienst restarten

Nachdem die Konfigurationen getätigt wurden, muss der Transportdienst neugestartet werden:

Restart-Service MSExchangeTransport

Exchange Server 2013 – Anti Spam Agents pro Postfach

Es ist auch möglich, die Anti Spam Agents für einzelne Postfächer zu konfigurieren, um einzelnen Benutzern, spezielle Konfigurationen zuzuweisen.

Set-Mailbox <MailboxIdentity> -AntispamBypassEnabled <$true | $false> -RequireSenderAuthenticationEnabled <$true | $false> -SCLDeleteEnabled <$true | $false | $null> -SCLDeleteThreshold <0-9 | $null> -SCLJunkEnabled <$true | $false | $null > -SCLJunkThreshold <0-9 | $null> -SCLQuarantineEnabled <$true | $false | $null > -SCLQuarantineThreshold <0-9 | $null> -SCLRejectEnabled <$true | $false | $null > -SCLRejectThreshold <0-9 | $null>

Exchange Server 2013 – Anti Spam Agents für ein Postfach deaktivieren

Wenn man beispielsweise ein Catch All Postfach oder ähnliches benutzt, bietet sich hier die Abschaltung der Anti Spam Agents an.

Set-Mailbox <MailboxIdentity> -AntispamBypassEnabled $true -SCLJunkEnabled $true -SCLJunkThreshold 4

Exchange Server 2013 – SCL-Schwellwerte

Durch SCL-Schwellwerte können Aktionen für bestimmte SCL-Bewertungen durchgeführt werden. Eine Kombination an unterschiedlichen Filtern und Agents bestimmt den entgültigen SCL-Wert eine E-Mail.

Weitere Informationen zur SCL-Konfiguration

Aktionen durch SCL-Bewertungen

  • SCL-Schwellenwert zum Löschen
  • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail gelöscht.

  • SCL-Zurückweisungsschwellenwert
  • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail zurückgewiesen.

  • SCL-Quarantäneschwellenwert
  • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail in die Quarantäne verschoben.

  • SCL-Schwellenwert des Junk-E-Mail-Ordner
  • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail in den Junk E-Maik Ordner verschoben.

Exchange Server 2013 – SCL für die ganze Organisation festlegen

Die SCL-Konfiguration ist essentiell wichtig für die Erkennung von Spam. Der SCLJunkThreshold in der OrganisationConfig bestimmt den SCL-Wert, der eine E-Mail in den Junk Ordner des jeweiligen Postfaches verschiebt.

Set-OrganizationConfig -SCLJunkThreshold <SCLWert>

1 Gedanke zu “Exchange Server 2013 – Malware Scanner & Anti Spam Agents #1”

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.