Partilhar via

Proteção antimalware no Exchange Server

  • Artigo

A proteção antimalware no Exchange Server 2016 ajuda a combater vírus e spyware no seu ambiente de mensagens de e-mail. Os vírus infectam outros programas e dados e se espalham por todo o computador em busca de programas para infectar. O Spyware recolhe informações pessoais (por exemplo, informações de início de sessão e dados pessoais) e envia-as de volta para o autor.

A proteção antimalware no Exchange Server foi introduzida no Exchange 2013 e é fornecida pelo Agente de transporte denominado Agente de Software Maligno. O agente examina as mensagens conforme elas viajam pelo serviço de Transporte em um servidor de Caixa de Correio. Pode configurar a filtragem de software maligno com:

  • Políticas antimalware: especifique as opções de análise e notificação de entrada e saída para filtragem de software maligno. Existe uma política predefinida que se aplica a todos os destinatários na organização do Exchange e pode criar políticas adicionais que são aplicadas por uma ordem específica.

  • Definições do servidor antimalware: especifique as ações de erro e repetição e as definições de atualização do motor e da definição para filtragem de software maligno. O agente de Malware usa o acesso à Internet na porta TCP 80 (HTTP) para verificar atualizações de mecanismo e definição a cada hora.

  • Scripts antimalware: ative ou desative a filtragem de software maligno no servidor e transfira manualmente o motor e as atualizações de definições.

Para obter procedimentos relacionados com a filtragem de software maligno, veja Procedimentos para proteção antimalware no Exchange Server. Para obter mais informações sobre as funcionalidades antispam no Exchange Server, veja Proteção antisspam no Exchange Server.

Políticas antimalware

As políticas antimalware controlam as ações e as opções de notificação para deteções de software maligno. As definições importantes nas políticas antimalware são:

  • Ação: especifica o que fazer quando uma mensagem é encontrada para conter software maligno. As opções são:

    • Elimine a mensagem (este é o valor predefinido).

    • Substitua todos os anexos por um ficheiro de texto que contenha este texto predefinido:

      Foi detetado software maligno num ou mais anexos incluídos neste e-mail. Todos os anexos foram eliminados.

    • Substitua todos os anexos por um arquivo de texto que contenha o texto personalizado que você especificar.

  • Notificações: quando uma política antimalware é configurada para eliminar mensagens, pode optar por enviar uma mensagem de notificação ao remetente. Você pode enviar mensagens de notificação com base no remetente interno ou externo. A mensagem de notificação predefinida tem as seguintes propriedades:

    • De: Postmaster postmaster@ <defaultdomain>.com

    • Assunto: não é possível entregar a mensagem

    • Texto da mensagem: esta mensagem foi criada automaticamente pelo software de entrega de email. Sua mensagem de email não foi entregue aos destinatários pretendidos porque um malware foi detectado.

    Você pode personalizar as propriedades da mensagem para notificações internas e externas. Também pode especificar destinatários adicionais (administradores) para receber notificações de mensagens não entregues de remetentes internos ou externos.

  • Filtros de destinatários: para políticas antimalware personalizadas, pode especificar as condições e exceções do destinatário que determinam a quem a política se aplica. Você pode usar essas propriedades para condições e exceções:

    • Por destinatário
    • Por domínio aceito
    • Por afiliação ao grupo

    Você só pode usar uma condição ou exceção uma vez, mas a condição ou exceção pode conter vários valores. Vários valores com a mesma condição ou exceção usam a lógica OU (por exemplo, <destinatário1> ou <destinatário2>). Para diferentes condições ou exceções, use a lógica E (por exemplo, <destinatário1> e <membro do grupo 1>).

  • Prioridade: se criar várias políticas antimalware personalizadas, pode especificar a ordem em que são aplicadas.

Políticas antimalware no centro de administração do Exchange vs. Shell de Gestão do Exchange

Os elementos básicos de uma política antimalware são:

  • A política de filtro de software maligno: especifica as opções de ação e notificação para filtragem de software maligno.
  • A regra de filtro de software maligno: especifica a prioridade e os filtros de destinatário (a quem a política se aplica) para uma política de filtro de software maligno.

A diferença entre estes dois elementos não é óbvia quando gere políticas antimalware no Centro de administração do Exchange (EAC):

  • Quando cria uma política antimalware no EAC, está, na verdade, a criar uma regra de filtro de software maligno e a política de filtro de software maligno associada ao mesmo tempo que utiliza o mesmo nome para ambos.
  • Quando modifica uma política antimalware no EAC, as definições relacionadas com o nome, a prioridade, ativadas ou desativadas e os filtros de destinatário modificam a regra de filtro de software maligno. Outras configurações (ações e opções de notificação) modificam a política de filtro de malware associada.
  • Quando remove uma política antimalware do EAC, a regra de filtro de software maligno e a política de filtro de software maligno associada são removidas.

Na Shell de Gestão do Exchange, a diferença entre as políticas de filtro de software maligno e as regras de filtro de software maligno é evidente. Pode gerir políticas de filtro de software maligno com os cmdlets *-MalwareFilterPolicy e gerir regras de filtro de software maligno com os cmdlets *-MalwareFilterRule .

  • Na Shell de Gestão do Exchange, crie primeiro a política de filtro de software maligno e, em seguida, crie a regra de filtro de software maligno que identifica a política a que a regra se aplica.
  • Na Shell de Gestão do Exchange, pode modificar as definições na política de filtro de software maligno e a regra de filtro de software maligno separadamente.
  • Quando remove uma política de filtro de software maligno da Shell de Gestão do Exchange, a regra de filtro de software maligno correspondente não é removida automaticamente e vice-versa.

Política antimalware predefinida

Cada servidor de Caixa de Correio tem uma política antimalware incorporada denominada Predefinição que tem estas propriedades:

  • A política de filtro de malware chamada Default é aplicada a todos os destinatários na organização do Exchange, mesmo que não haja nenhuma regra de filtro de malware (filtros de destinatário) associada à política.

  • A política denominada Padrão tem o valor de prioridade personalizado Menor, que não pode ser modificado (a política é sempre aplicada por último). Todas as políticas antimalware personalizadas que criar têm sempre uma prioridade superior à política denominada Predefinição.

  • A política denominada Padrão é a política padrão (a propriedade IsDefault tem o valor True), e não é possível excluir a política padrão.

Definições do servidor antimalware

Você pode usar os cmdlets Get-MalwareFilteringServer e Set-MalwareFilteringServer no Shell de Gerenciamento do Exchange para exibir e definir as configurações de atualização, tempo limite e download do agente de Malware no servidor de Caixa de Correio. Para obter os procedimentos que utilizam estes cmdlets, consulte Utilizar a Shell de Gestão do Exchange para ignorar a filtragem de software maligno nos servidores da Caixa de Correio e Utilizar a Shell de Gestão do Exchange para configurar a filtragem de software maligno para reanálise de mensagens que já foram analisadas pela EOP.

Scripts antimalware

O Exchange inclui dois scripts da Shell de Gestão do Exchange que pode utilizar para gerir a filtragem de software maligno:

  • Disable-Antimalwarescanning.ps1 desativa o agente Malware e o motor de software maligno e as atualizações de definições no servidor da Caixa de Correio.

  • Enable-Antimalwarescanning.ps1 ativa o agente Software Maligno, ativa o motor de software maligno e atualizações de definições e executa atualizações de motor e definições no servidor da Caixa de Correio.

  • Update-MalwareFilteringServer.ps1 executa manualmente o motor de software maligno e atualizações de definições no servidor da Caixa de Correio.

Para obter mais informações sobre como utilizar estes scripts, consulte Utilizar a Shell de Gestão do Exchange para ativar ou desativar a filtragem de software maligno nos servidores da Caixa de Correio e Transferir atualizações de definições e motor antimalware.

Opções de proteção antimalware no Exchange Server

Esta lista descreve as opções antimalware do Exchange:

  • Proteção antimalware incorporada: pode utilizar a proteção antimalware incorporada no Exchange para o ajudar a combater software maligno. Pode utilizá-lo por si só ou pode emparelhá-lo com outras soluções antimalware para fornecer uma defesa em camadas contra software maligno.

  • Proteção do Exchange Online (EOP): pode pagar uma subscrição da EOP, que é a solução antimalware utilizada no Microsoft 365 e no Office 365. A EOP utiliza parcerias com vários motores antimalware para fornecer proteção antimalware eficiente, económica e de várias camadas. As vantagens de analisar a proteção antimalware incorporada com a EOP são:

    • A EOP utiliza vários motores antimalware, enquanto a proteção antimalware incorporada utiliza um único motor.

    • A EOP tem capacidades de relatórios, incluindo estatísticas de software maligno.

    • A EOP fornece a funcionalidade de rastreio de mensagens para resolução automática de problemas de fluxo de correio, incluindo deteções de software maligno.

      Para obter mais informações sobre a EOP, veja Proteção antimalware na EOP.

  • Proteção antimalware de terceiros: pode comprar um programa antimalware de terceiros.

FAQ sobre Antimalware para o Exchange

Esta secção responde às perguntas mais frequentes sobre a filtragem e análise de software maligno incorporados no Exchange.

Porque é que o software maligno identificado por outros serviços antimalware ultrapassou a filtragem antimalware do Exchange?

Existem duas razões prováveis:

  • O cenário mais provável é que o anexo da mensagem não contenha código malicioso ativo. Alguns motores antimalware são mais agressivos do que outros e estes motores podem parar as mensagens simplesmente porque contêm payloads truncados de software maligno que não fazem nada.
  • O software maligno que recebeu é uma nova variante sem um ficheiro de padrão no motor antimalware (ainda).

Recebi uma mensagem com um anexo desconhecido. Isso é malware ou eu posso desconsiderar esse anexo?

Recomendamos vivamente que não abra anexos que não reconheça. Se quiser que investiguemos o anexo, submeta-o para nós, conforme descrito no item seguinte.

Como posso submeter software maligno conhecido, ficheiros suspeitos ou falsos positivos à Microsoft?

Guarde uma cópia da mensagem e carregue a mensagem para o site de Informações de Segurança da Microsoft para que possamos examiná-la.

Se o exemplo contiver software maligno, tomaremos medidas corretivas para impedir que o vírus não seja detetado. Se o exemplo estiver limpo, tomaremos medidas corretivas para impedir que o ficheiro seja detetado como software maligno.

Onde posso obter as mensagens que o filtro de software maligno eliminou?

Não é possível. As mensagens foram encontradas com código malicioso ativo, pelo que foram eliminadas.

Posso utilizar regras de fluxo de correio para ignorar a filtragem de software maligno?

Não, não pode utilizar regras de fluxo de correio (também conhecidas como regras de transporte) para ignorar o agente Malware. Em vez disso, envie o anexo num ficheiro de .zip protegido por palavra-passe (a filtragem de software maligno ignora ficheiros .zip protegidos por palavra-passe).