Exchange Server 中的反惡意代碼保護
Exchange Server 2016 中的反惡意代碼防護可協助對抗電子郵件訊息環境中的病毒和間諜軟體。 病毒會感染其他程式和資料,同時會擴散到整個電腦,找尋可攻擊的程式。 Spyware 會收集個人資訊 (例如登入資訊和個人資料) ,並將它傳回給其作者。
Exchange Server 中的反惡意代碼防護是在 Exchange 2013 中引進,並由名為惡意代碼代理程式的傳輸代理程式提供。 代理程式會在郵件經過信箱伺服器上之傳輸服務時,掃描電子郵件。 您可以使用下列方式設定惡意代碼篩選:
反惡意代碼原則:指定惡意代碼篩選的輸入和輸出掃描和通知選項。 有一個默認原則會套用至 Exchange 組織中的所有收件者,而且您可以建立以特定順序套用的其他原則。
反惡意代碼伺服器設定:指定錯誤和重試動作,以及惡意代碼篩選的引擎和定義更新設定。 惡意程式碼代理程式會使用 TCP 連接埠 80 (HTTP) 網際網路連線,以每小時檢查引擎和定義更新。
反惡意代碼文本:在伺服器上啟用或停用惡意代碼篩選,並手動下載引擎和定義更新。
如需惡意代碼篩選的相關程式,請參閱 Exchange Server 中反惡意代碼保護的程式。 如需 Exchange Server 中反垃圾郵件功能的詳細資訊,請參閱 Exchange Server 中的反垃圾郵件保護。
反惡意代碼原則
反惡意代碼原則可控制惡意代碼偵測的動作和通知選項。 反惡意代碼原則中的重要設定如下:
動作:指定當找到包含惡意代碼的訊息時該怎麼做。 選項如下:
刪除訊息 (這是預設值) 。
將所有附件取代為包含此預設文字的文字檔:
此電子郵件內含的一個或多個附件偵測出惡意程式碼。 已刪除所有的附件。
以包含您所指定預設文字的文字檔案取代所有附件。
通知:當反惡意代碼原則設定為刪除訊息時,您可以選擇是否要傳送通知訊息給寄件者。 您可以根據內部或外部寄件者傳送通知訊息。 預設通知訊息具有下列屬性:
來源:P ostmaster postmaster@ <defaultdomain>.com
主旨:未傳遞的郵件
郵件文字:此郵件是由郵件傳遞軟體自動建立。 不會將您的電子郵件訊息傳遞給預定的收件者,因為偵測到惡意程式碼。
您可以自訂內部和外部通知的郵件屬性。 您也可以指定其他收件者 (系統管理員) 接收來自內部或外部寄件者之無法傳遞訊息的通知。
收件者篩選:針對自定義反惡意代碼原則,您可以指定收件者條件和例外狀況,以判斷原則適用物件。 您可以將這些屬性用於條件及例外狀況:
- 依據收件者
- 依據公認的網域
- 依據群組成員資格
您只能使用一種條件或例外狀況,但條件或例外狀況中可以包含多個值。 相同條件或例外狀況的多個值使用 OR 邏輯 (例如,<recipient1> 或 <recipient2>)。 不同的條件或例外狀況則使用 AND 邏輯 (例如,<recipient1> 和 <群組 1 的成員>)。
優先順序:如果您建立多個自定義反惡意代碼原則,您可以指定套用這些原則的順序。
Exchange 系統管理中心與 Exchange 管理命令介面中的反惡意代碼原則
反惡意代碼原則的基本元素如下:
- 惡意代碼篩選原則:指定惡意代碼篩選的動作和通知選項。
- 惡意代碼篩選規則:指定原則套用至惡意代碼篩選原則) 的優先順序和收件者篩選 (。
當您在 Exchange 系統管理中心 (EAC) 中管理反惡意代碼原則時,這兩個元素之間的差異並不明顯:
- 當您在 EAC 中建立反惡意代碼原則時,實際上是同時針對兩者使用相同的名稱來建立惡意代碼篩選規則和相關聯的惡意代碼篩選原則。
- 當您在 EAC 中修改反惡意代碼原則時,與名稱、優先順序、啟用或停用以及收件者篩選器相關的設定會修改惡意代碼篩選規則。 其他設定 (動作和通知選項) 會修改相關聯的惡意程式碼篩選原則。
- 當您從 EAC 移除反惡意代碼原則時,會移除惡意代碼篩選規則和相關聯的惡意代碼篩選原則。
在 Exchange 管理命令介面中,惡意代碼篩選原則與惡意代碼篩選規則之間的差異很明顯。 您可以使用 *-MalwareFilterPolicy Cmdlet 來管理惡意代碼篩選原則,並使用 *-MalwareFilterRule Cmdlet 來管理惡意代碼篩選規則。
- 在 Exchange 管理命令介面中,您會先建立惡意代碼篩選原則,然後建立惡意代碼篩選規則,以識別套用規則的原則。
- 在 Exchange 管理命令介面中,您可以個別修改惡意代碼篩選原則和惡意程式碼篩選規則中的設定。
- 當您從 Exchange 管理命令介面移除惡意代碼篩選原則時,不會自動移除對應的惡意代碼篩選規則,反之亦然。
默認反惡意代碼原則
每個信箱伺服器都有名為 Default 的內建反惡意代碼原則,其具有下列屬性:
名為「預設」之惡意程式碼篩選原則,適用於 Exchange 組織中所有的收件者,即使沒有與原則相關聯的惡意程式碼篩選規則 (收件者篩選器)。
名為「預設」的原則具有不能修改的自訂優先順序 Lowest (一律最後才會套用的原則)。 您建立的任何自定義反惡意代碼原則,其優先順序一律高於名為 Default 的原則。
名為「預設」的原則是預設的原則 (IsDefault 屬性具有值
True),且您無法刪除預設原則。
反惡意代碼伺服器設定
您可以使用 Exchange 管理命令介面內的 Get-MalwareFilteringServer 和 Set-MalwareFilteringServer Cmdlet,檢視並設定更新、逾時,以及信箱伺服器上惡意程式碼代理程式的下載設定。 如需使用這些 Cmdlet 的程式,請參閱 使用 Exchange 管理命令介面略過信箱伺服器上的惡意代碼篩選 和 使用 Exchange 管理命令介面設定惡意代碼篩選以重新掃描 EOP 已掃描的郵件。
反惡意代碼腳本
Exchange 包含兩個 Exchange 管理命令介面腳本,可用來管理惡意代碼篩選:
Disable-Antimalwarescanning.ps1停用惡意代碼代理程式,以及信箱伺服器上的惡意代碼引擎和定義更新。Enable-Antimalwarescanning.ps1會啟用惡意代碼代理程式、啟用惡意代碼引擎和定義更新,以及在信箱伺服器上執行引擎和定義更新。Update-MalwareFilteringServer.ps1在信箱伺服器上手動執行惡意代碼引擎和定義更新。
如需使用這些腳本的詳細資訊,請參閱 使用 Exchange 管理命令介面在信箱伺服器上啟用或停用惡意代碼篩選 和 下載反惡意代碼引擎和定義更新。
Exchange Server 中的反惡意代碼防護選項
此清單描述 Exchange 的反惡意代碼選項:
內建的反惡意代碼防護:您可以使用 Exchange 中的內建反惡意代碼防護來協助您對抗惡意代碼。 您可以單獨使用它,也可以將它與其他反惡意代碼解決方案配對,以提供對惡意代碼的多層防禦。
Exchange Online Protection (EOP) :您可以支付 EOP 的訂閱費用,EOP 是 Microsoft 365 和 Office 365 中使用的反惡意代碼解決方案。 EOP 會與數個反惡意代碼引擎合作,以提供有效率、符合成本效益和多層式反惡意代碼保護。 使用 EOP 剖析內建反惡意代碼軟體保護的優點如下:
EOP 使用多個反惡意代碼引擎,而內建的反惡意代碼保護則使用單一引擎。
EOP 具有報告功能,包括惡意代碼統計數據。
EOP 提供訊息追蹤功能,以針對郵件流程問題進行自我疑難解答,包括惡意代碼偵測。
如需 EOP 的詳細資訊,請參閱 EOP 中的反惡意代碼保護。
第三方反惡意代碼保護:您可以購買第三方反惡意代碼程式。
Exchange 的反惡意代碼常見問題
本節回答有關 Exchange 中內建惡意代碼篩選和掃描的常見問題。
為什麼其他反惡意代碼服務所識別的惡意代碼會通過 Exchange 反惡意代碼篩選?
有兩個可能的原因:
- 最有可能的案例是訊息附件實際上不包含任何作用中的惡意代碼。 有些反惡意代碼引擎比其他引擎更積極,而且這些引擎可能會因為包含已截斷的惡意代碼承載而停止訊息,而實際上不會執行任何動作。
- 您收到的惡意代碼是反惡意代碼引擎中沒有模式檔案的新變體, (尚未) 。
我收到含有不熟悉附件的訊息。 我能否不理會這個附件?
我們強烈建議您不要開啟任何無法辨識的附件。 如果您想要我們調查附件,請將附件提交給我們,如下一個專案所述。
如何將已知惡意代碼、可疑檔案或誤判提交給 Microsoft?
儲存訊息複本,並將訊息上傳至 Microsoft 資訊安全情報 網站,以便進行檢查。
如果範例包含惡意代碼,我們會採取更正動作來防止偵測到病毒。 如果範例是乾淨的,我們會採取更正動作來防止檔案被偵測為惡意代碼。
哪裡可以取得惡意代碼篩選器已刪除的訊息?
您無法確定。 發現訊息包含使用中的惡意代碼,因此已刪除。
我可以使用郵件流程規則略過惡意代碼篩選嗎?
否,您無法使用郵件流程規則 (也稱為傳輸規則) 略過惡意代碼代理程式。 相反地,請在受密碼保護的 .zip 檔案中傳送附件, (惡意代碼篩選會略過密碼保護的 .zip 檔案) 。