Exchange Server 中的反恶意软件保护

  • 项目

Exchange Server 2016 中的反恶意软件保护有助于在电子邮件环境中对抗病毒和间谍软件。 “病毒”会感染其他程序与数据,且会在整个计算机中寻找程序进行感染。 间谍软件 收集个人信息 (例如登录信息和个人数据) ,并将其发送回作者。

Exchange Server 中的反恶意软件保护是在 Exchange 2013 中引入的,由名为 Malware Agent 的传输代理提供。 代理在邮件通过邮箱服务器上的传输服务时扫描邮件。 使用以下方式配置恶意软件筛选:

  • 反恶意软件策略:指定入站和出站扫描以及恶意软件筛选的通知选项。 有一个默认策略适用于 Exchange 组织中的所有收件人,你可以创建按特定顺序应用的其他策略。

  • 反恶意软件服务器设置:指定错误和重试操作,以及用于恶意软件筛选的引擎和定义更新设置。 恶意软件代理使用 TCP 端口 80 上的 Internet 访问 (HTTP) 每小时检查引擎和定义更新。

  • 反恶意软件脚本:在服务器上启用或禁用恶意软件筛选,并手动下载引擎和定义更新。

有关与恶意软件筛选相关的过程,请参阅 Exchange Server 中的反恶意软件保护过程。 有关 Exchange Server 中的反垃圾邮件功能的详细信息,请参阅 Exchange Server 中的反垃圾邮件保护

反恶意软件策略

反恶意软件策略控制恶意软件检测的操作和通知选项。 反恶意软件策略中的重要设置包括:

  • 操作:指定在发现邮件包含恶意软件时要执行的操作。 选项包括:

    • 删除消息, (这是默认值) 。

    • 将所有附件替换为包含以下默认文本的文本文件:

      在此电子邮件附带的一个或多个附件中检测到恶意软件。 所有附件都已被删除。

    • 将所有附件替换为包含指定自定义文本的文本文件。

  • 通知:当反恶意软件策略配置为删除邮件时,可以选择是否向发件人发送通知消息。 可以根据发件人在内部还是外部来发送通知消息。 默认通知消息具有以下属性:

    • 发件人:Postmaster postmaster@ <defaultdomain.com>

    • 主题:无法送达的邮件

    • 邮件文本:本邮件由邮件传送软件自动创建。 由于检测到恶意软件,电子邮件未传递到目标收件人。

    可以自定义内部和外部通知的邮件属性。 还可以指定其他收件人 (管理员) 接收来自内部或外部发件人的无法送达邮件的通知。

  • 收件人筛选器:对于自定义反恶意软件策略,可以指定收件人条件和例外,以确定策略适用于谁。 可以将以下属性用作条件和例外:

    • 按收件人

    • 按接受的域

    • 按组成员身份

    条件或例外只能使用一次,但条件或例外可以包含多个值。 同一个条件或例外的多个值使用“或”逻辑(例如,<recipient1><recipient2>)。 不同的条件或例外使用“且”逻辑(例如,<recipient1><组成员 1>)。

  • 优先级:如果创建多个自定义反恶意软件策略,可以指定它们的应用顺序。

Exchange 管理中心与 Exchange 命令行管理程序中的反恶意软件策略

反恶意软件策略的基本元素包括:

  • 恶意软件筛选策略:指定恶意软件筛选的操作和通知选项。

  • 恶意软件筛选器规则:指定优先级和收件人筛选器 (策略应用于恶意软件筛选器策略) 的人员。

在 Exchange 管理中心 (EAC) 管理反恶意软件策略时,这两个元素之间的差异并不明显:

  • 在 EAC 中创建反恶意软件策略时,实际上是同时创建恶意软件筛选器规则和关联的恶意软件筛选器策略,并且两者都使用相同的名称。

  • 在 EAC 中修改反恶意软件策略时,与名称、优先级、启用或禁用和收件人筛选器相关的设置将修改恶意软件筛选器规则。 其他设置(操作和通知选项)会修改关联的恶意软件筛选器策略。

  • 从 EAC 中删除反恶意软件策略时,将删除恶意软件筛选器规则和关联的恶意软件筛选器策略。

在 Exchange 命令行管理程序中,恶意软件筛选器策略和恶意软件筛选器规则之间的差异是显而易见的。 使用 *-MalwareFilterPolicy cmdlet 管理恶意软件筛选策略,并使用 *-MalwareFilterRule cmdlet 管理恶意软件筛选规则。

  • 在 Exchange 命令行管理程序中,首先创建恶意软件筛选器策略,然后创建恶意软件筛选器规则,用于标识该规则适用的策略。

  • 在 Exchange 命令行管理程序中,可以分别修改恶意软件筛选器策略和恶意软件筛选器规则中的设置。

  • 从 Exchange 命令行管理程序中删除恶意软件筛选器策略时,不会自动删除相应的恶意软件筛选器规则,反之亦然。

默认反恶意软件策略

每个邮箱服务器都有一个名为 Default 的内置反恶意软件策略,该策略具有以下属性:

  • 名为 Default 的恶意软件筛选器策略会应用于 Exchange 组织中的所有收件人,即使没有与该策略关联的恶意软件筛选器规则(收件人筛选器)。

  • 名为“默认”的策略有无法修改的自定义优先级值“最低”(表示此策略始终最后应用)。 创建的任何自定义反恶意软件策略的优先级始终高于名为 Default 的策略。

  • 名为“默认”的策略是默认策略(IsDefault 属性的值为 True),你无法删除默认策略。

反恶意软件服务器设置

可以在 Exchange 命令行管理程序中使用 Get-MalwareFilteringServerSet-MalwareFilteringServer cmdlet 查看和配置邮箱服务器上的恶意软件代理的更新、超时和下载设置。 有关使用这些 cmdlet 的过程,请参阅 使用 Exchange 命令行管理程序绕过邮箱服务器上的恶意软件筛选 和使用 Exchange 命令行管理程序配置恶意软件筛选以重新扫描已由 EOP 扫描的邮件

反恶意软件脚本

Exchange 包括两个 Exchange 命令行管理程序脚本,可用于管理恶意软件筛选:

  • Disable-Antimalwarescanning.ps1 在邮箱服务器上禁用恶意软件代理以及恶意软件引擎和定义更新。

  • Enable-Antimalwarescanning.ps1 启用恶意软件代理,启用恶意软件引擎和定义更新,并在邮箱服务器上运行引擎和定义更新。

  • Update-MalwareFilteringServer.ps1 在邮箱服务器上手动运行恶意软件引擎和定义更新。

有关使用这些脚本的详细信息,请参阅 使用 Exchange 命令行管理程序在邮箱服务器上启用或禁用恶意软件筛选下载反恶意软件引擎和定义更新

Exchange Server 中的反恶意软件保护选项

此列表介绍了 Exchange 的反恶意软件选项:

  • 内置反恶意软件保护:可以使用 Exchange 中的内置反恶意软件保护来帮助对抗恶意软件。 可以单独使用它,也可以将其与其他反恶意软件解决方案配对,以提供针对恶意软件的分层防御。

  • Exchange Online Protection (EOP) :你可以为 EOP 订阅付费,EOP 是 Microsoft 365 和 Office 365 中使用的反恶意软件解决方案。 EOP 利用与多个反恶意软件引擎的合作关系,提供高效、经济高效的多层反恶意软件保护。 使用 EOP 分析内置反恶意软件保护的优点是:

    • EOP 使用多个反恶意软件引擎,而内置的反恶意软件保护使用单个引擎。

    • EOP 具有报告功能,包括恶意软件统计信息。

    • EOP 提供邮件跟踪功能,用于自行排查邮件流问题,包括恶意软件检测。

      有关 EOP 的详细信息,请参阅 EOP 中的反恶意软件保护

  • 第三方反恶意软件保护:可以购买第三方反恶意软件程序。

Exchange 的反恶意软件常见问题解答

本部分解答有关 Exchange 中内置恶意软件筛选和扫描的常见问题。

为什么其他反恶意软件服务识别的恶意软件通过 Exchange 反恶意软件筛选?

有两个可能的原因:

  • 最可能的情况是邮件附件实际上不包含任何活动的恶意代码。 某些反恶意软件引擎比其他反恶意软件引擎更具攻击性,并且这些引擎可能会仅因为其包含截断的恶意软件有效负载而停止消息,这些有效负载实际上不会执行任何操作。

  • 你收到的恶意软件是一个新的变体,我们的反恶意软件引擎尚未发布它的模式文件 (尚未) 。

我收到了一封带有不熟悉附件的邮件。 或可以忽略此附件吗?

强烈建议不要打开任何无法识别的附件。 如果希望我们调查附件,请将其提交给我们,如下一项所述。

如何实现向 Microsoft 提交已知恶意软件、可疑文件或误报?

保存邮件的副本,并将邮件上传到Microsoft 安全智能网站,以便我们可以对其进行检查。

如果示例包含恶意软件,我们将采取纠正措施,以防止病毒未被检测到。 如果示例是干净的,我们将采取纠正措施,以防止将文件检测为恶意软件。

在哪里可以获取恶意软件筛选器删除的邮件?

不可能。 发现这些消息包含活动的恶意代码,因此它们被删除。

是否可以使用邮件流规则绕过恶意软件筛选?

否,不能使用邮件流规则 (也称为传输规则) 绕过恶意软件代理。 相反,请在受密码保护的.zip文件中发送附件 (受密码保护的文件,.zip恶意软件筛选) 绕过文件。