9.1 反恶意软件保护
Microsoft Exchange Server 2013 反恶意软件保护功能可帮助在电子邮件环境中抵御恶意软件。“恶意软件”包括病毒和间谍软件。“病毒”会感染其他程序与数据,且会在整个计算机中寻找程序进行感染。间谍软件指收集您的个人信息(如登录信息和个人数据),并将其发送给作者的恶意软件。
在MBX上,配置反恶意软件保护
CD “C:\ProgramFiles\Microsoft\Exchange Server\V15\Scripts”
.\Enable-AntimalwareScanning.ps1 (禁用使用Disable-Antimalwarescanning.ps1)
测试环境没接网络,使用Ctrl+C 中断
Restart-Service MSExchangeTransport
若要临时绕过恶意软件筛选,请运行以下命令:
Set-MalwareFilteringServer <ServerIdentity> -BypassFiltering $true
若要还原恶意软件筛选,请运行以下命令:
Set-MalwareFilteringServer <ServerIdentity> -BypassFiltering $false
策略位置:
问:在何处进行恶意软件扫描?
答:在通过邮箱服务器收发的邮件上执行恶意软件扫描。不会对通过邮箱访问的邮件进行恶意软件扫描,因为该邮件可能已经过扫描。如果从邮箱重新发送邮件,则将对其进行重新扫描。
问:下载引擎与定义更新需要 Internet 访问吗?
答:为了下载更新,必须能访问 Internet 并且在 TCP 端口 80 (HTTP) 上建立连接。我们强烈建议您在将策略投入实际使用之前,在您的 Exchange 服务器上手动下载反恶意软件引擎和定义更新。
问:恶意软件定义更新频率如何?
答:每个服务每小时会检查一次是否有新的恶意软件定义。
将内置恶意软件扫描功能与 FOPE 云托管的电子邮件筛选服务(或该服务的下个版本 Exchange Online Protection (EOP))配对的优势是什么?
A. 有几个优势:
该服务使用多个防恶意软件引擎,而内置防恶意软件保护功能使用单个引擎。
该服务已报告包括恶意软件统计数据在内的功能。
该服务提供邮件跟踪功能,可自行对包括恶意软件检测在内的邮件流动问题进行故障排除。
问:此恶意软件为何可以通过筛选器?
答:您可能收到恶意软件有两种可能的原因。
首先,也是更有可能的情况,是收到的附件未包含任何活动的恶意代码。这些情况下,计算机上运行的一些反恶意软件引擎可能更加激进,且可能会通过截断负载来停止邮件。
第二种原因是您收到的恶意软件为新的变体,我们的反恶意软件引擎还未能发布部署该服务的模式文件。
问:我应该如何提交通过筛选器进入 Microsoft 的恶意软件呢?
答:如果您收到的恶意软件为通过筛选器的病毒,请保存携带病毒的电子邮件副本,转到恶意软件保护中心并使用该页的详细说明提交样本。在提交文件时,在“产品”下拉列表中选择“其他”,选择“我认为该文件包含恶意软件”选项,然后在“注释”字段指定 Exchange Server 2013。在我们收到样本后,我们将进行调查,并且如果确定样本包含恶意软件,我们将采取修正措施以防止不能检测出病毒。
问:如何提交我认为被误检为恶意软件的文件?
答:与提交恶意软件相似,转至恶意软件保护中心,并使用该页面上的详细说明提交样本。在提交文件时,在“产品”下拉列表中选择“其他”,选择“我认为该文件不应检测为恶意软件”选项,然后在“注释”字段指定 Exchange Server 2013。在我们收到样本后,我们将进行调查,并且如果确定样本干净,我们将采取修正措施以防止将文件检测为恶意软件。
问:我收到了一封电子邮件,但我对其附件不熟悉。这是恶意软件吗?或可以忽略此附件吗?
答:我们强烈建议您不要打开任何您不可识别的附件。如果您希望我们调查附件,可转至恶意软件保护中心,并如之前所述将可能的恶意软件提交给我们。
问:我在哪里可以找到被恶意软件筛选器删除的邮件?
答:这些邮件包含活动的恶意代码,所以我们不允许访问这些邮件。它们将被删除。
问:因为恶意软件筛选器的错误筛选,所以我不能收到某特定的附件。那么我能否允许该附件通过 Exchange 传输规则呢?
答:不可以。不能利用传输规则绕过恶意软件筛选器。如果您想要该附件绕过恶意软件筛选器,可将此附件打包为密码保护的 .zip 文件,并发送至目标收件人。恶意软件筛选将绕过任何密码保护文件。
问:可以关闭该产品内置的反恶意软件保护功能吗?
答:通过禁用或绕过反恶意软件扫描中的以下步骤,可永久禁用或临时绕过内置反恶意软件扫描。
转自:
https://technet.microsoft.com/zh-CN/library/jj150547(v=exchg.150).aspx