Verfahren zum Schutz vor Antischadsoftware in Exchange Server
Exchange Server enthält den Malware-Agent, der auf Postfachservern installiert ist. Weitere Informationen zum Filtern von Schadsoftware in Exchange finden Sie unter Schutz vor Antischadsoftware in Exchange Server.
In diesem Thema werden die folgenden Verfahren zum Verwalten der Filterung von Schadsoftware in Exchange beschrieben:
- Deaktivieren oder Aktivieren von Schadsoftwarefiltern auf einem Postfachserver
- Umgehen von Schadsoftwarefiltern auf einem Postfachserver
- Erstellen von Richtlinien für Antischadsoftware
- Anzeigen von Richtlinien für Antischadsoftware
- Ändern von Richtlinien für Antischadsoftware
- Aktivieren und Deaktivieren von Richtlinien für Antischadsoftware
- Festlegen der Priorität von Richtlinien für Antischadsoftware
- Entfernen von Richtlinien für Antischadsoftware
- Konfigurieren Sie die Schadsoftwarefilterung, um Nachrichten zu überprüfen, die bereits von Exchange Online Protection (EOP) gescannt wurden.
- Konfigurieren Sie eine Umgehung der Schadsoftwarefilterung für einen Empfänger oder eine Gruppe von Empfängern.
Was sollten Sie wissen, bevor Sie beginnen?
Am besten laden Sie das Antischadsoftware-Modul und Definitionsupdates manuell auf Ihren Exchange-Server herunter, bevor Sie ihn in die Produktionsumgebung verschieben. Weitere Informationen finden Sie unter Herunterladen von Antischadsoftware-Engines und Definitionsupdates.
Eine Richtlinie für Antischadsoftware besteht aus einer Schadsoftwarefilterrichtlinie und einer Schadsoftwarefilterregel. Jedes Element steuert unterschiedliche Einstellungen, die sich nicht überlappen. Der Unterschied zwischen diesen Elementen ist im EAC nicht sichtbar, aber er ist in der Exchange-Verwaltungsshell offensichtlich, da Sie verschiedene Cmdlets zum Verwalten der Einstellungen verwenden (*-MalwareFilterPolicy und *-MalwareFilterRule). Dieses Thema bezieht sich auf Antischadsoftwarerichtlinien für Prozeduren im EAC und Schadsoftwarefilterrichtlinien und Schadsoftwarefilterregeln für Prozeduren in der Exchange-Verwaltungsshell. Weitere Informationen finden Sie unter Schutz vor Schadsoftware in Exchange Server.
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie im Thema Antispam- und Antischadsoftwareberechtigungen im Eintrag "Antischadsoftware".
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.
Verwenden der Exchange-Verwaltungsshell zum Aktivieren oder Deaktivieren der Filterung von Schadsoftware auf Postfachservern
Durch das Deaktivieren von Schadsoftwarefiltern auf einem Postfachserver werden der Schadsoftware-Agent und die Schadsoftwaredefinition sowie Modulupdates deaktiviert.
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die Filterung von Schadsoftware auf dem lokalen Postfachserver zu deaktivieren:
& $env:ExchangeInstallPath\Scripts\Disable-AntimalwareScanning.ps1Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die Filterung von Schadsoftware auf dem lokalen Postfachserver zu aktivieren:
& $env:ExchangeInstallPath\Scripts\Enable-AntimalwareScanning.ps1Wenn der Befehl erfolgreich ausgeführt wurde, wird diese Nachricht angezeigt:
Anti-malware scanning is successfully <enabled or disabled>. Please restart MSExchangeTransport for the changes to take effect.Hinweis: Das Aktivierungsskript führt bei Bedarf auch Schadsoftwaremodul- und Definitionsupdates durch.
Starten Sie den Exchange-Transportdienst neu, indem Sie diesen Befehl ausführen, wodurch der Nachrichtenfluss auf dem Server vorübergehend unterbrochen wird:
Restart-Service MSExchangeTransportEs dauert bis zu 10 Minuten, bis die Änderung übernommen wird.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Um zu überprüfen, ob Sie die Filterung von Schadsoftware auf einem Postfachserver erfolgreich aktiviert oder deaktiviert haben, führen Sie diesen Befehl in der Exchange-Verwaltungsshell aus, und überprüfen Sie den Wert der Enabled-Eigenschaft :
Get-TransportAgent "Malware Agent"
Verwenden der Exchange-Verwaltungsshell zum Umgehen der Schadsoftwarefilterung auf Postfachservern
Wenn Sie die Filterung von Schadsoftware umgehen, können Sie die Schadsoftwarefilterung auf dem Server vorübergehend deaktivieren, ohne den E-Mail-Fluss zu unterbrechen (Sie müssen den Exchange-Transportdienst nicht neu starten).
Hinweis: Sie sollten Schadsoftwarefilter auf einem Postfachserver nur bei der Problembehandlung umgehen. Wenn Sie fertig sind, sollten Sie die Schadsoftwarefilterung wieder aktivieren.
Verwenden Sie zum Umgehen oder erneuten Aktivieren von Schadsoftwarefiltern auf einem Postfachserver die folgende Syntax:
Set-MalwareFilteringServer -Identity <ServerIdentity> -BypassFiltering <$true | $false>
In diesem Beispiel wird die Schadsoftwarefilterung auf einem Server namens Mailbox01 umgangen.
Set-MalwareFilteringServer -Identity Mailbox01 -BypassFiltering $true
In diesem Beispiel wird die Schadsoftwarefilterung auf demselben Server wieder aktiviert.
Set-MalwareFilteringServer -Identity Mailbox01 -BypassFiltering $false
Es dauert bis zu 10 Minuten, bis die Änderung übernommen wird.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilteringServer.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, und überprüfen Sie den Wert der BypassFiltering-Eigenschaft , um zu überprüfen, ob Sie die Schadsoftwarefilterung auf einem Postfachserver vorübergehend umgangen oder erneut aktiviert haben:
Get-MalwareFilteringServer | Format-List Name,BypassFiltering
Erstellen von Richtlinien für Antischadsoftware
Erstellen von Richtlinien für Antischadsoftware mit der Exchange-Verwaltungskonsole
Durch das Erstellen einer Richtlinie für Antischadsoftware in der Exchange-Verwaltungskonsole wird gleichzeitig eine Regel für den Schadsoftwarefilter und eine entsprechende Richtlinie für Antischadsoftwarefilter erstellt. Für beide wird dabei der gleiche Name verwendet.
Wechseln Sie im EAC zu Schutz>Schadsoftwarefilter, und klicken Sie dann auf Neu
.Konfigurieren Sie auf der seite Neue Antischadsoftwarerichtlinie , die geöffnet wird, die folgenden Einstellungen:
Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.
Antwort auf schadsoftwareerkennung: Wählen Sie eine der folgenden Optionen aus:
Löschen der gesamten Nachricht: Verhindert, dass die gesamte Nachricht an die vorgesehenen Empfänger übermittelt wird. Dies ist der Standardwert.
Alle Anlagen löschen und Standardwarnungstext verwenden: Ersetzt alle Nachrichtenanlagen (nicht nur die erkannten) durch eine Textdatei, die diesen Standardtext enthält:
„In mindestens einer Anlage zu dieser E-Mail wurde Schadsoftware erkannt. Alle Anhänge wurden gelöscht."
Alle Anlagen löschen und benutzerdefinierten Warnungstext verwenden: Ersetzt alle Nachrichtenanlagen (nicht nur die erkannten Anlagen) durch eine Textdatei, die benutzerdefinierten Text enthält, den Sie im Textfeld Benutzerdefinierte Warnung angeben.
Hinweis
Wenn Schadsoftware im Nachrichtentext einer eingehenden oder ausgehenden Nachricht erkannt wird, wird die gesamte Nachricht gelöscht, unabhängig von der Einstellung, die Sie für die Antwort zur Erkennung von Schadsoftware konfigurieren.
Benachrichtigung: Die Einstellungen in diesem Abschnitt steuern Benachrichtigungen, wenn die Nachricht durch das Filtern durch Schadsoftware gelöscht wird. Die Einstellungen gelten nicht für Nachrichten, bei denen alle Anlagen durch den Standard- oder benutzerdefinierten Warnungstext ersetzt werden.
Absenderbenachrichtigungen: Wählen Sie eine oder beide der folgenden Optionen aus:
Interne Absender benachrichtigen: Ein interner Absender befindet sich innerhalb der Exchange-Organisation.
Externe Absender benachrichtigen: Ein externer Absender befindet sich außerhalb der Exchange-Organisation.
Administratorbenachrichtigungen: Wählen Sie eine oder beide der folgenden Optionen aus:
Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigen: Wenn Sie diese Option auswählen, geben Sie eine Benachrichtigungs-E-Mail-Adresse in das Feld Administrator-E-Mail-Adresse ein.
Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen: Wenn Sie diese Option auswählen, geben Sie eine Benachrichtigungs-E-Mail-Adresse in das Feld Administrator-E-Mail-Adresse ein.
Benachrichtigungen anpassen: Diese Einstellungen ersetzen den Standardbenachrichtigungstext, der für Absender oder Administratoren verwendet wird. Weitere Informationen über die Standardwerte finden Sie unter Richtlinien für Antischadsoftware.
Benutzerdefinierten Benachrichtigungstext verwenden: Wenn Sie diese Option auswählen, müssen Sie die Felder Von Name und Von Adresse verwenden, um den Namen und die E-Mail-Adresse des Absenders anzugeben, die in der benutzerdefinierten Benachrichtigungsnachricht verwendet werden.
Nachrichten von internen Absendern: Wenn Sie ausgewählt haben, Absender oder Administratoren über nicht zustellbare Nachrichten von internen Absendern zu benachrichtigen, müssen Sie die Felder Betreff und Nachricht verwenden, um den Betreff und den Nachrichtentext der benutzerdefinierten Benachrichtigungsnachricht anzugeben.
Nachrichten von externen Absendern: Wenn Sie ausgewählt haben, Absender oder Administratoren über nicht zustellbare Nachrichten von externen Absendern zu benachrichtigen, müssen Sie die Felder Betreff und Nachricht verwenden, um den Betreff und den Nachrichtentext der benutzerdefinierten Benachrichtigungsnachricht anzugeben.
Angewendet auf: Die Einstellungen in diesem Abschnitt identifizieren die internen Empfänger, für die die Richtlinie gilt.
Wenn: Klicken Sie auf die Dropdownliste Auswählen, und wählen Sie bedingungen für die Regel aus:
Der Empfänger ist: Gibt ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte in der Exchange-Organisation an. Wählen Sie im daraufhin angezeigten Dialogfeld Mitglieder auswählen einen oder mehrere Empfänger aus der Liste aus, und klicken Sie dann auf ->hinzufügen. Im Feld Namen überprüfen können Sie Platzhalter für mehrere E-Mail-Adressen (z. B. *@fabrikam.com) verwenden. Klicken Sie nach Abschluss des Vorgangs auf OK.
Die Empfängerdomäne lautet: Gibt Empfänger in einer oder mehreren konfigurierten akzeptierten Domänen in der Exchange-Organisation an. Wählen Sie im angezeigten Dialogfeld eine oder mehrere Domänen aus, und klicken Sie dann auf ->hinzufügen. Klicken Sie nach Abschluss des Vorgangs auf OK.
Der Empfänger ist Mitglied von: Gibt eine oder mehrere Gruppen in der Exchange-Organisation an. Wählen Sie im daraufhin angezeigten Dialogfeld Mitglieder auswählen eine oder mehrere Gruppen aus der Liste aus, und klicken Sie dann auf ->hinzufügen. Klicken Sie nach Abschluss des Vorgangs auf OK.
Sie können Bedingungen nur einmal verwenden, aber Sie können mehrere Werte für die Bedingung angeben. Um weitere Bedingungen hinzuzufügen, klicken Sie auf Bedingung hinzufügen aus, und wählen Sie dann aus den verbleibenden Optionen eine Bedingung aus.
- Außer wenn: Klicken Sie zum Hinzufügen von Ausnahmen für die Regel auf Ausnahme hinzufügen, klicken Sie auf die Dropdownliste Auswählen, und konfigurieren Sie eine Ausnahme für die Regel. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen.
Klicken Sie nach Abschluss des Vorgangs auf Speichern.
Verwenden der Exchange-Verwaltungsshell zum Erstellen von Antischadsoftwarerichtlinien
Das Erstellen einer Richtlinie für Antischadsoftware in der Exchange-Verwaltungsshell ist ein zweistufiger Prozess:
Erstellen Sie die Filterrichtlinie für Schadsoftware.
Erstellen Sie die Regel für den Schadsoftwarefilter, die die Filterrichtlinie für Schadsoftware angibt, auf die die Regel angewendet wird.
Hinweise:
Sie können eine neue Schadsoftwarefilterregel erstellen und ihr eine vorhandene, nicht zugeordnete Schadsoftwarefilterrichtlinie zuweisen. Eine Schadsoftwarefilterregel kann nicht mehreren Schadsoftwarefilterrichtlinien zugeordnet werden.
Es gibt zwei Einstellungen, die Sie für neue Antischadsoftwarerichtlinien in der Exchange-Verwaltungsshell konfigurieren können, die erst nach dem Erstellen der Richtlinie im EAC verfügbar sind:
Erstellen Sie die neue Richtlinie als deaktiviert (im Cmdlet New-MalwareFilterPolicyaktiviert
$false).Legen Sie die Priorität der Richtlinie während der Erstellung (Prioritätsnummer<>) im Cmdlet New-MalwareFilterRule fest.
Schadsoftwarefilterrichtlinien, die Sie in der Exchange-Verwaltungsshell erstellen, werden erst im EAC angezeigt, wenn Sie die Schadsoftwarefilterrichtlinie einer Schadsoftwarefilterregel zuweisen.
Eine Einstellung, die in der Exchange-Verwaltungsshell verfügbar ist, die im EAC nicht verfügbar ist, ist die Möglichkeit, die Schadsoftwarefilterung für eingehende Nachrichten oder ausgehende Nachrichten mithilfe der Parameter BypassInboundMessages oder BypassOutboundMessages im Cmdlet New-MalwareFilterPolicy zu aktivieren oder zu deaktivieren.
Schritt 1: Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Schadsoftwarefilterrichtlinie
Verwenden Sie zum Erstellen einer Filterrichtlinie für Schadsoftware folgende Syntax:
New-MalwareFilterPolicy -Name "<PolicyName>" [-Action <DeleteMessage | DeleteAttachmentAndUseDefaultAlert | DeleteAttachmentAndUseCustomAlert>] [-AdminDisplayName "<OptionalComments>"] [-BypassInboundMessages <$true | $false>] [-BypassOutboundMessages <$true | $false>] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]
In diesem Beispiel wird eine neue Schadsoftwarefilterrichtlinie namens Contoso Malware Filter Policy mit den folgenden Einstellungen erstellt:
Blockieren von Nachrichten, die Schadsoftware enthalten (wir verwenden nicht den Action-Parameter , und der Standardwert ist
DeleteMessage).Benachrichtigen Sie den Absender der Nachricht nicht, wenn Schadsoftware in der Nachricht erkannt wird (wir verwenden nicht die Parameter EnableExternalSenderNotifications oder EnableInternalSenderNotifications , und der Standardwert für beide lautet
$false).Benachrichtigen Sie den Administrator admin@contoso.com , wenn Schadsoftware in einer Nachricht von einem internen Absender erkannt wird.
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterPolicy.
Schritt 2: Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Schadsoftwarefilterregel
Verwenden Sie zum Erstellen einer Filterregel für Schadsoftware folgende Syntax:
New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
In diesem Beispiel wird eine neue Schadsoftwarefilterregel namens Contoso Recipients mit den folgenden Einstellungen erstellt:
Die Filterrichtlinie für Schadsoftware namens Contoso Malware Filter Policy ist mit der Regel verknüpft.
Die Regel gilt für Empfänger in der Domäne contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterRule.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Führen Sie einen der folgenden Schritte aus, um die erfolgreiche Erstellung einer Richtlinie für Antischadsoftware zu überprüfen:
Wechseln Sie im EAC zu Schutz>Schadsoftwarefilter. Überprüfen Sie, ob die von Ihnen erstellte Regel in der Liste angezeigt wird. Klicken Sie auf
Um die Einstellungen der Regel zu überprüfen.Ersetzen Sie <in der Exchange-Verwaltungsshell PolicyName> durch den Namen der Schadsoftwarefilterrichtlinie, und führen Sie den folgenden Befehl aus, um die Eigenschaftswerte zu überprüfen:
Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List
Ersetzen Sie <in der Exchange-Verwaltungsshell RuleName> durch den Namen der Schadsoftwarefilterregel, und führen Sie den folgenden Befehl aus, um die Eigenschaftswerte zu überprüfen:
Get-MalwareFilterRule -Identity "<RuleName>" | Format-ListVerwenden Sie eine European Institute for Computer Antivirus Research (EICAR)-Testdatei, um zu überprüfen, ob der Schadsoftwarefilter ordnungsgemäß funktioniert:
Öffnen Sie den Editor, und fügen Sie diesen Text (und nur diesen Text) in eine leere Datei ein:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*Speichern Sie die Datei als EICAR.txt an einem Speicherort, den Sie auf einfache Weise finden und der nicht vom Antivirenprogramm Ihres Computers überprüft wird. Die Datei hat eine Größe von 68 Byte.
Erstellen Sie eine E-Mail-Nachricht, fügen Sie die EICAR.txt-Datei an die Nachricht an, und senden Sie die Nachricht an einen Empfänger in Ihrer Exchange-Organisation, der von der Schadsoftwarerichtlinie betroffen sein sollte.
Überprüfen Sie das Postfach des Empfängers, um sicherzustellen, dass die Schadsoftwarefilterung die Nachricht abgefangen hat: Die Nachricht wurde gelöscht, oder die Nachricht wurde mit der Benachrichtigungstextdatei als Ersatz für die Anlage übermittelt, und die Benachrichtigungsnachrichten wurden an den Absender und/oder an die Administratoren übermittelt.
Wenn Sie fertig sind, löschen Sie die EICAR.TXT-Datei, damit andere Benutzer nicht unnötigerweise alarmiert werden.
Anzeigen von Richtlinien für Antischadsoftware
Anzeigen von Richtlinien für Antischadsoftware mit der Exchange-Verwaltungskonsole
Wechseln Sie im EAC zu Schutz>Schadsoftwarefilter.
Wenn Sie eine Richtlinie auswählen, werden im Detailbereich Informationen zu der Richtlinie angezeigt. Um weitere Informationen zur Richtlinie anzuzeigen, klicken Sie auf
Der Eigenschaftswert Aktiviert, der Eigenschaftswert Priorität und die Einstellungen auf der Registerkarte Angewendet auf befinden sich in der Filterregel für Schadsoftware.
Die Einstellungen auf den Registerkarten Allgemein und Einstellungen sind in der Filterrichtlinie für Schadsoftware enthalten.
Verwenden der Exchange-Verwaltungsshell zum Anzeigen von Schadsoftwarefilterrichtlinien
Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterrichtlinien für Schadsoftware anzuzeigen:
Get-MalwareFilterPolicy
Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Filterrichtlinie für Schadsoftware zurückzugeben:
Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]
Dieses Beispiel gibt alle Eigenschaftswerte für die Filterrichtlinie für Schadsoftware namens „Executives“ zurück.
Get-MalwareFilterPolicy -Identity "Executives" | Format-List
In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Richtlinie zurückgegeben.
Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterPolicy.
Verwenden der Exchange-Verwaltungsshell zum Anzeigen von Schadsoftwarefilterregeln
Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterregeln für Schadsoftware anzuzeigen:
Get-MalwareFilterRule
Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Filterregel für Schadsoftware zurückzugeben:
Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
Dieses Beispiel gibt alle Eigenschaftswerte für die Filterregel für Schadsoftware namens „Executives“ zurück.
Get-MalwareFilterRule -Identity "Executives" | Format-List
In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Regel zurückgegeben.
Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterRule.
Ändern von Richtlinien für Antischadsoftware
Wenn Sie eine Schadsoftwarerichtlinie im EAC oder in der Exchange-Verwaltungsshell ändern, sind keine zusätzlichen Einstellungen verfügbar. Es sind die gleichen Einstellungen, die bei der Erstellung der Richtlinie verfügbar waren.
Ändern von Richtlinien für Antischadsoftware mit der Exchange-Verwaltungskonsole
Wechseln Sie im EAC zu Schutz>Schadsoftwarefilter.
Wählen Sie die Richtlinie aus, und klicken Sie dann auf
. Informationen zu den Einstellungen finden Sie im Abschnitt Verwenden des EAC zum Erstellen von Antischadsoftwarerichtlinien in diesem Thema.Hinweise:
Die Einstellungen werden nicht alle auf einer Seite, sondern aufgeteilt auf den Registerkarten Allgemein, Einstellungen und Angewendet auf angezeigt. Die Registerkarte Angewendet auf steht nicht für die Standardrichtlinie namens „Standard“ zur Verfügung.
Die Standardrichtlinie kann nicht umbenannt werden.
Ändern einer Schadsoftwarefilterrichtlinie mithilfe der Exchange-Verwaltungsshell
Verwenden Sie zum Ändern einer Filterrichtlinie für Schadsoftware folgende Syntax:
Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterPolicy.
Verwenden der Exchange-Verwaltungsshell zum Ändern einer Schadsoftwarefilterregel
Wenn Sie eine Schadsoftwarefilterregel in der Exchange-Verwaltungsshell ändern, können Sie die Regel nicht deaktivieren oder aktivieren (es gibt keinen Enabled-Parameter im Cmdlet Set-MalwareFilterRule ). Verwenden Sie stattdessen die Cmdlets Disable-MalwareFilterRule und Enable-MalwareFilterRule, wie weiter unten in diesem Thema beschrieben.
Verwenden Sie zum Ändern einer Filterregel für Schadsoftware folgende Syntax:
Set-MalwareFilterRule -Identity "<RuleName>" <Settings>
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterRule.
Aktivieren oder Deaktivieren von Richtlinien für Antischadsoftware
Standardmäßig sind Antischadsoftwarerichtlinien aktiviert, wenn Sie sie im EAC oder in der Exchange-Verwaltungsshell erstellen, aber Sie können die Exchange-Verwaltungsshell verwenden, um eine deaktivierte Schadsoftwarefilterregel zu erstellen (verwenden Sie das Cmdlet New-MalwareFilterRule und den Parameter Enabled mit dem Wert $false).
Aktivieren oder Deaktivieren von Richtlinien für Antischadsoftware mit der Exchange-Verwaltungskonsole
Wechseln Sie im EAC zu Schutz>Schadsoftwarefilter.
Wählen Sie die Richtlinie aus der Liste aus, und konfigurieren Sie dann eine der folgenden Einstellungen:
Richtlinie deaktivieren: Deaktivieren Sie das Kontrollkästchen in der Spalte Aktiviert .
Richtlinie aktivieren: Aktivieren Sie das Kontrollkästchen in der Spalte Aktiviert .
Verwenden der Exchange-Verwaltungsshell zum Aktivieren oder Deaktivieren von Schadsoftwarefilterregeln
Verwenden Sie diese Syntax, um eine Schadsoftwarefilterregel in der Exchange-Verwaltungsshell zu aktivieren oder zu deaktivieren:
<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"
In diesem Beispiel wird die Filterregel für Antischadsoftware namens „Marketing Department“ deaktiviert.
Disable-MalwareFilterRule -Identity "Marketing Department"
In diesem Beispiel wird dieselbe Regel aktiviert.
Enable-MalwareFilterRule -Identity "Marketing"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-MalwareFilterRule und Disable-MalwareFilterRule.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eines der folgenden Verfahren, um sich zu vergewissern, dass Sie eine Richtlinie für Antischadsoftware erfolgreich aktiviert oder deaktiviert haben:
Wechseln Sie im EAC zu Schutz>schadsoftwarefilter, und überprüfen Sie in der Liste der Antischadsoftwarerichtlinien den Status des Kontrollkästchens in der Spalte Aktiviert .
Führen Sie in der Exchange-Verwaltungsshell den folgenden Befehl aus, um die Liste der Regeln und deren State-Eigenschaftswerte anzuzeigen:
Get-MalwareFilterRule
Festlegen der Priorität von benutzerdefinierten Antischadsoftwarerichtlinien
Standardmäßig erhalten Richtlinien für Antischadsoftware eine Priorität, die auf der Reihenfolge ihrer Erstellung basiert (neuere Richtlinien haben eine niedrigere Priorität als ältere). Eine niedrigere Prioritätsnummer gibt eine höhere Priorität für die Richtlinie an, und Richtlinien werden in der Reihenfolge der Priorität verarbeitet (Richtlinien mit einer höheren Priorität werden vor Richtlinien mit einer niedrigeren Priorität verarbeitet). Zwei Richtlinien können nicht dieselbe Priorität haben.
Hinweise:
In der Exchange-Verwaltungskonsole können Sie die Priorität der Richtlinie für Antischadsoftware erst nach deren Erstellung ändern. In der Exchange-Verwaltungsshell können Sie die Standardpriorität überschreiben, wenn Sie die Schadsoftwarefilterregel erstellen (was sich auf die Priorität vorhandener Regeln auswirken kann).
Die Standardrichtlinie für Antischadsoftware namens „Standard“ hat den Prioritätswert „Niedrigster“. Dies kann nicht geändert werden.
Verwenden des EAC zum Festlegen der Priorität von benutzerdefinierten Antischadsoftwarerichtlinien
In der Exchange-Verwaltungskonsole werden Richtlinien für Antischadsoftware in der Reihenfolge verarbeitet, in der sie angezeigt werden (die erste Richtlinie hat den Priorität-Wert 0). Zum Ändern der Priorität einer Richtlinie verschieben Sie die Richtlinie in der Liste nach oben oder unten (Sie können den Priorität-Wert in der Exchange-Verwaltungskonsole nicht direkt ändern).
Wechseln Sie im EAC zu Schutz>Schadsoftwarefilter.
Wählen Sie eine Richtlinie aus, und klicken Sie dann auf Nach oben (
) oder Nach unten (
), um die Regel in der Liste nach oben oder unten zu verschieben.
Verwenden der Exchange-Verwaltungsshell zum Festlegen der Priorität benutzerdefinierter Schadsoftwarefilterregeln
Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.
Verwenden Sie die folgende Syntax, um die Priorität einer Schadsoftwarefilterregel in der Exchange-Verwaltungsshell festzulegen:
Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>
In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).
Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2
Hinweis: Verwenden Sie den Parameter Priority im Cmdlet New-MalwareFilterRule, um die Priorität einer neuen Regel bei ihrer Erstellung festzulegen.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eines der folgenden Verfahren, um sich zu vergewissern, dass Sie die Priorität einer Richtlinie für Antischadsoftware erfolgreich geändert haben:
Wechseln Sie im EAC zu Schutz>Schadsoftwarefilter, und überprüfen Sie den Prioritätswert der Richtlinien für Antischadsoftware in der Liste.
Führen Sie in der Exchange-Verwaltungsshell den folgenden Befehl aus, um die Liste der Regeln und ihre Priority-Eigenschaftswerte anzuzeigen:
Get-MalwareFilterRule
Entfernen von Richtlinien für Antischadsoftware
Hinweis: Die Standardrichtlinie für Antischadsoftware kann nicht entfernt werden.
Entfernen von Richtlinien für Antischadsoftware mit der Exchange-Verwaltungskonsole
Wenn Sie eine Richtlinie für Antischadsoftware mit der Exchange-Verwaltungskonsole entfernen, werden die Filterregel für Schadsoftware und die entsprechende Filterrichtlinie für Schadsoftware beide entfernt.
Wechseln Sie im EAC zu Schutz>Schadsoftwarefilter.
Wählen Sie die Richtlinie für Antischadsoftware aus, die Sie aus der Liste entfernen möchten, und klicken Sie dann auf Löschen (
Verwenden der Exchange-Verwaltungsshell zum Entfernen von Schadsoftwarefilterrichtlinien
Wenn Sie die Exchange-Verwaltungsshell verwenden, um eine Schadsoftwarefilterrichtlinie zu entfernen, wird die entsprechende Schadsoftwarefilterregel nicht entfernt.
Verwenden Sie diese Syntax, um eine Schadsoftwarefilterrichtlinie in der Exchange-Verwaltungsshell zu entfernen:
Remove-MalwareFilterPolicy -Identity "<PolicyName>"
In diesem Beispiel wird die Filterrichtlinie für Antischadsoftware namens „Marketing Department“ entfernt.
Remove-MalwareFilterPolicy -Identity "Marketing Department"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterPolicy.
Verwenden der Exchange-Verwaltungsshell zum Entfernen von Schadsoftwarefilterregeln
Wenn Sie die Exchange-Verwaltungsshell zum Entfernen einer Schadsoftwarefilterregel verwenden, wird die zugehörige Schadsoftwarefilterrichtlinie nicht entfernt.
Verwenden Sie diese Syntax, um eine Schadsoftwarefilterregel in der Exchange-Verwaltungsshell zu entfernen:
Remove-MalwareFilterRule -Identity "<RuleName>"
In diesem Beispiel wird die Filterregel für Antischadsoftware namens „Marketing Department“ entfernt:
Remove-MalwareFilterRule -Identity "Marketing Department"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterRule.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eines der folgenden Verfahren, um sich zu vergewissern, dass Sie eine Richtlinie für Antischadsoftware erfolgreich entfernt haben:
Wechseln Sie im Exchange-Verwaltungskonsole zu Schutz>schadsoftwarefilter, und vergewissern Sie sich, dass die entfernte Richtlinie nicht mehr in der Liste enthalten ist.
Führen Sie in der Exchange-Verwaltungsshell den folgenden Befehl aus, um sicherzustellen, dass die von Ihnen entfernte Schadsoftwarefilterrichtlinie nicht mehr aufgeführt ist:
Get-MalwareFilterPolicyFühren Sie in der Exchange-Verwaltungsshell den folgenden Befehl aus, um zu überprüfen, ob die entfernte Schadsoftwarefilterregel nicht mehr aufgeführt ist:
Get-MalwareFilterRule
Verwenden der Exchange-Verwaltungsshell zum Konfigurieren der Schadsoftwarefilterung zum erneuten Scannen von Nachrichten, die bereits von EOP gescannt wurden
Standardmäßig werden Nachrichten während der Übertragung, die von Exchange Online Protection (EOP) gescannt wurden, nicht erneut vom Schadsoftware-Agent in Exchange überprüft. Das erneute Überprüfen dieser Nachrichten kann jedoch zusätzlichen Schutz vor Schadsoftware bereitstellen.
Verwenden Sie diese Syntax in der Exchange-Verwaltungsshell, um die Überprüfung auf Schadsoftware in Nachrichten zu aktivieren oder zu deaktivieren, die bereits von EOP gescannt wurden:
Set-MalwareFilteringServer -Identity <ServerIdentity> -ForceRescan <$true | $false>
In diesem Beispiel wird die Überprüfung auf Schadsoftware in Nachrichten aktiviert, die bereits von EOP auf dem Postfachserver namens Mailbox01 überprüft wurden.
Set-MalwareFilteringServer -Identity Mailbox01 -ForceRescan $true
In diesem Beispiel wird die Überprüfung auf Schadsoftware in Nachrichten deaktiviert, die bereits von EOP auf demselben Server überprüft wurden.
Set-MalwareFilteringServer -Identity Mailbox01 -ForceRescan $false
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, und überprüfen Sie den Wert der ForceRescan-Eigenschaft , um zu überprüfen, ob Sie die Schadsoftwarefilterung für das erneute Scannen von Nachrichten konfiguriert haben, die bereits von EOP gescannt wurden:
Get-MalwareFilteringServer | Format-List Name, ForceRescan
Konfigurieren einer Umgehung der Schadsoftwarefilterung für einen Empfänger oder eine Gruppe von Empfängern
Damit ein bestimmter Empfänger oder eine gruppe von Empfängern E-Mails mit Anlagen empfangen kann, die andernfalls von der Standardmäßigen Antischadsoftwarerichtlinie erkannt und somit gelöscht würden, muss eine neue Antischadsoftwarerichtlinie erstellt werden, entweder mit EAC oder PowerShell. Diese Richtlinie sollte so festgelegt werden, dass E-Mails für alle Empfänger überprüft werden, und innerhalb dieser Richtlinie muss eine Ausschlussbedingung für den Empfänger oder die Gruppe festgelegt werden, die solche Inhalte empfangen soll.
Verwenden des EAC zum Erstellen der neuen Antischadsoftwarerichtlinie:
Dadurch wird eine Schadsoftwarerichtlinie erstellt, die den gesamten E-Mail-Datenverkehr mit Ausnahme von Nachrichten überprüft, die an den ausgenommenen Benutzer oder die ausgenommene Gruppe gesendet werden.
Verwenden der Exchange-Verwaltungsshell zum Erstellen einer Antischadsoftwarerichtlinie:
Verwenden Sie die Exchange-Verwaltungsshell, um eine Regel zum Filtern von Schadsoftware zu ändern.
Nach dem Erstellen der Antischadsoftwarerichtlinie und dem Festlegen des entsprechenden Ausschlusses muss eine neue Antischadsoftwarerichtlinie erstellt werden, damit die nicht gesendeten Nachrichten die Standardmäßige Antischadsoftwarerichtlinie umgehen, die immer die niedrigste Priorität hat. Diese Änderung kann mithilfe der Exchange-Verwaltungsshell erreicht werden, um den Wert des Parameters -BypassInboundMessages dieser Antischadsoftware-Filterregel auf True festzulegen. Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterPolicy.
Set-MalwareFilterPolicy -Identity "<PolicyName>" -BypassInboundMessages $true
Diese Methode erfordert keinen Dienstneustart und kann es Exchange-Administratoren und Sicherheitsteams ermöglichen, die Erkennung von Antischadsoftware für einen bestimmten Empfänger oder eine bestimmte Gruppe vorübergehend oder dauerhaft zu umgehen, sodass anderweitig unzustellbare Nachrichten an diese bestimmte Untergruppe übermittelt werden, ohne die Sicherheit der gesamten Exchange-Organisation zu beeinträchtigen und letztendlich die Sicherheit in ihren Systemen und für ihre Clients beizubehalten.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Get-MalwareFilterPolicy "<PolicyName>" | fl BypassInboundMessages