ESET Mail Security for Microsoft Exchange Server

Transcription

ESET MAIL SECURITY
FÜR MICROSOFT EXCHANGE SERVER
Installations- und Benutzerhandbuch
Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
Klicken Sie hier, um die neueste Version dieses Dokuments herunterzuladen
ESET MAIL SECURITY
Copyright ©2014 ESET, spol. s r.o.
ESET Mail Security wurde entwickelt von ESET, spol. s r.o.
Nähere Informationen finden Sie unter www.eset.com.
Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohne
schriftliche Einwilligung des Verfassers reproduziert, in einem
Abrufsystem gespeichert oder in irgendeiner Form oder auf irgendeine
Weise weitergegeben werden, sei es elektronisch, mechanisch, durch
Fotokopien, Aufnehmen, Scannen oder auf andere Art.
ESET, spol. s r.o. behält sich das Recht vor, ohne vorherige Ankündigung
an jedem der hier beschriebenen Software-Produkte Änderungen
vorzunehmen.
Support: www.eset.com/support
Versionsstand 5/2/2014
Inhalt
1. Einführung
..................................................5
1.1
Was ändert
........................................................................5
sich mit Version 4.5?
1.2 Systemanforderungen
........................................................................5
1.3
Verwendete
........................................................................6
Prüfmethoden
1.3.1
1.3.2
Postfach-Prüfung
.........................................................................6
mit VSAPI
E-Mail-Prüfung
.........................................................................6
auf SMTP-Server
1.4 Schutzarten
........................................................................6
1.4.1
1.4.2
1.4.3
Virenschutz
.........................................................................6
Spam-Schutz
.........................................................................6
Anwendung
.........................................................................7
benutzerdefinierter Regeln
1.5 Benutzeroberfläche
........................................................................7
2. Installation
..................................................8
2.1
Standardinstallation
........................................................................8
2.2 Benutzerdefinierte
........................................................................9
Installation
2.3 Terminalserver
........................................................................11
2.4 Auf neuere
........................................................................12
Version aktualisieren
2.5 Exchange
........................................................................13
Server-Rollen – Edge und Hub
2.6 Rollen
........................................................................13
in Exchange Server 2013
2.7 Cluster-Installation
........................................................................13
2.8 Lizenz
........................................................................15
2.9 Konfiguration
........................................................................17
nach der Installation
3. ESET Mail Security – Schutz für Microsoft
Exchange
Server
..................................................19
3.1
Allgemeine
........................................................................19
Einstellungen
3.1.1
3.1.1.1
3.1.1.2
3.1.2
3.1.2.1
3.1.2.2
3.1.3
3.1.4
3.1.4.1
3.1.5
Microsoft
.........................................................................19
Exchange Server
VSAPI (Virus-Scanning Application Programming
Interface)
........................................................................19
Transport-Agent
........................................................................19
Regeln
.........................................................................21
Neue
........................................................................22
Regeln hinzufügen
Aktionen
........................................................................23
bei Anwendung einer Regel
Log-Dateien
.........................................................................24
Quarantäne
.........................................................................25
für Nachrichten
Hinzufügen
........................................................................26
einer neuen Quarantäne-Regel
Leistung
.........................................................................26
3.2 Einstellungen
........................................................................27
für Viren- und Spyware-Schutz
3.2.1
3.2.1.1
3.2.1.1.1
3.2.1.1.1.1
3.2.1.1.1.2
3.2.1.1.2
3.2.1.1.2.1
3.2.1.1.2.2
3.2.1.1.3
3.2.1.1.3.1
3.2.1.1.3.2
3.2.1.1.4
3.2.1.1.4.1
3.2.1.1.4.2
3.2.1.1.5
3.2.2
3.2.3
3.2.4
Microsoft
.........................................................................27
Exchange Server
Virus-Scanning Application Programming
Interface
........................................................................28
(VSAPI)
Microsoft
..........................................................................28
Exchange Server 5.5 (VSAPI 1.0)
Aktionen
.........................................................................28
Leistung
.........................................................................28
Microsoft
..........................................................................28
Exchange Server 2000 (VSAPI 2.0)
Aktionen
.........................................................................29
Leistung
.........................................................................29
Microsoft
..........................................................................30
Exchange Server 2003 (VSAPI 2.5)
Aktionen
.........................................................................30
Leistung
.........................................................................31
Microsoft
..........................................................................31
Exchange Server 2007/2010 (VSAPI 2.6)
Aktionen
.........................................................................32
Leistung
.........................................................................32
Transport-Agent
..........................................................................33
Aktionen
.........................................................................34
Warnungen
.........................................................................34
und Hinweise
Automatische
.........................................................................35
Ausschlüsse
3.3 Spam-Schutz
........................................................................36
3.3.1
3.3.1.1
3.3.1.2
Microsoft
.........................................................................37
Exchange Server
Transport-Agent
........................................................................37
POP3-Connector
........................................................................38
und Spam-Schutz
3.3.2
3.3.2.1
3.3.2.1.1
3.3.2.1.1.1
3.3.2.1.1.2
3.3.2.1.1.1
3.3.2.1.2
3.3.2.1.3
3.3.2.1.3.1
3.3.2.1.3.1
3.3.2.1.3.2
3.3.2.1.3.3
3.3.2.1.3.1
3.3.2.1.3.4
3.3.2.1.4
3.3.2.1.4.1
3.3.2.1.4.2
3.3.2.1.4.3
3.3.2.1.4.4
3.3.2.1.4.5
3.3.2.1.4.6
3.3.2.1.4.7
3.3.2.1.4.8
3.3.2.1.4.9
3.3.2.1.5
3.3.2.1.5.1
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.3
3.3.2.1.5.1
3.3.2.1.6
3.3.2.1.7
3.3.2.1.8
3.3.2.1.8.1
3.3.2.1.8.2
3.3.2.1.9
3.3.2.1.10
3.3.2.1.11
3.3.2.1.11.1
3.3.2.1.11.2
3.3.2.1.11.3
3.3.2.1.11.4
3.3.2.1.12
3.3.2.1.13
3.3.2.1.14
3.3.3
Spam-Schutz
.........................................................................39
Einstellungen
........................................................................39
für Spam-Schutz
Analyse
..........................................................................39
Proben
.........................................................................40
SpamCompiler
.........................................................................40
Liste
.........................................................................40
der Cachespeicherdateien
Trainingsmodus
..........................................................................40
Regeln
..........................................................................41
Regelgewichtung
.........................................................................42
Regelgewichtung
.........................................................................42
hinzufügen
Liste
.........................................................................42
heruntergeladener Regeldateien
Kategoriegewichtung
.........................................................................42
Kategoriegewichtung
.........................................................................42
hinzufügen
Liste
.........................................................................42
benutzerdefinierter Regeln
Filterung
..........................................................................43
Zugelassene
.........................................................................43
Absender
Blockierte
.........................................................................43
Absender
Zugelassene
.........................................................................43
IP-Adressen
Ignorierte
.........................................................................43
IP-Adressen
Blockierte
.........................................................................44
IP-Adressen
Zugelassene
.........................................................................44
Domänen
Ignorierte
.........................................................................44
Domänen
Blockierte
.........................................................................44
Domänen
Gespoofte
.........................................................................44
Absender
Überprüfung
..........................................................................44
RBL
.........................................................................44
(Realtime Blackhole List)
Liste
.........................................................................45
der RBL-Server
LBL
.........................................................................45
(Last Blackhole List)
Liste
.........................................................................45
der LBL-Server
Liste
.........................................................................45
übersprungener IP-Adressen
DNSBL
.........................................................................45
(DNS Block List)
Liste
.........................................................................45
der DNSBL-Server
DNS
..........................................................................46
Score
..........................................................................46
Spambait
..........................................................................46
Spambait-Adressen
.........................................................................47
Als.........................................................................47
nicht existierend betrachtete Adressen
Kommunikation
..........................................................................47
Leistung
..........................................................................47
Regionale
..........................................................................48
Einstellungen
Liste
.........................................................................48
der üblichen Sprachen
Liste
.........................................................................49
der üblichen Länder
Liste
.........................................................................53
der blockierten Länder
Liste
.........................................................................54
der blockierten Zeichensätze
Log-Dateien
..........................................................................54
Statistiken
..........................................................................54
Optionen
..........................................................................54
Warnungen
.........................................................................55
und Hinweise
3.4 Häufig
........................................................................55
gestellte Fragen (FAQ)
4. ESET..................................................59
Mail Security – Server-Schutz
4.1 Viren........................................................................59
und Spyware-Schutz
4.1.1
4.1.1.1
4.1.1.1.1
4.1.1.1.2
4.1.1.1.3
4.1.1.2
4.1.1.3
4.1.1.4
4.1.1.5
4.1.2
4.1.2.1
4.1.2.1.1
4.1.2.2
4.1.2.2.1
4.1.2.3
4.1.3
4.1.3.1
4.1.3.1.1
Echtzeit-Dateischutz
.........................................................................59
Prüfeinstellungen
........................................................................59
Zu
..........................................................................60
prüfende Datenträger
Prüfen
..........................................................................60
beim (ereignisgesteuerte Prüfung)
Erweiterte
..........................................................................60
Optionen für Prüfungen
Säuberungsstufen
........................................................................61
Wann sollten die Einstellungen für den
........................................................................61
geändert werden?
........................................................................62
prüfen
Vorgehensweise bei fehlerhaftem
........................................................................62
E-Mail-Client-Schutz
.........................................................................63
POP3-Prüfung
........................................................................63
Kompatibilität
..........................................................................64
Integration
........................................................................64
mit E-Mail-Programmen
E-Mail-Body
..........................................................................65
Prüfhinweise hinzufügen
Eingedrungene
........................................................................65
Schadsoftware entfernen
Web-Schutz
.........................................................................66
HTTP,
........................................................................66
HTTPS
Adressverwaltung
..........................................................................67
4.1.3.1.2
4.1.4
4.1.4.1
4.1.4.1.1
4.1.4.1.2
4.1.4.2
4.1.4.3
4.1.4.4
4.1.5
4.1.6
4.1.6.1
4.1.6.1.1
4.1.6.1.2
4.1.7
4.1.7.1
4.1.7.2
4.1.7.3
4.1.7.4
4.1.7.5
4.1.7.6
4.1.8
Aktiver
..........................................................................68
Modus
On-Demand-Prüfung
.........................................................................69
Prüfungstyp
........................................................................70
Standardprüfung
..........................................................................70
Prüfen
..........................................................................70
mit speziellen Einstellungen
Zu prüfende
........................................................................71
Objekte
Prüfprofile
........................................................................71
Kommandozeile
........................................................................72
Leistung
.........................................................................74
Prüfen
.........................................................................74
von Anwendungsprotokollen
SSL........................................................................74
Vertrauenswürdige
..........................................................................75
Zertifikate
Ausgeschlossene
..........................................................................75
Zertifikate
Einstellungen
.........................................................................75
für ThreatSense
Einstellungen
........................................................................76
für Objekte
Optionen
........................................................................76
Säubern
........................................................................78
Erweiterungen
........................................................................79
Grenzen
........................................................................79
Sonstige
........................................................................80
Eingedrungene
.........................................................................80
Schadsoftware wurde erkannt
4.7.4.4
4.7.4.5
4.7.4.6
4.7.5
4.7.5.1
Internetprotokoll
........................................................................118
Bootfähiges
........................................................................118
USB-Gerät
Brennen
........................................................................118
Die
.........................................................................118
Arbeit mit ESET SysRescue
Verwenden
........................................................................119
des ESET SysRescue-Mediums
4.8 Einstellungen
........................................................................119
für Benutzeroberfläche
4.8.1
Warnungen
.........................................................................121
und Hinweise
4.8.2
Deaktivieren der Benutzeroberfläche auf
Terminalserver
.........................................................................122
4.9 eShell
........................................................................122
4.9.1
Verwendung
.........................................................................123
4.9.2
Befehle
.........................................................................126
4.10 Einstellungen
........................................................................128
importieren/exportieren
4.11 ThreatSense.Net
........................................................................129
4.11.1
4.11.2
4.11.3
Verdächtige
.........................................................................130
Dateien
Statistik
.........................................................................131
Einreichen
.........................................................................132
4.12 Remoteverwaltung
........................................................................133
4.13 Lizenzen
........................................................................134
4.2 Aktualisieren
........................................................................81
des Programms
4.2.1
Einstellungen
.........................................................................83
für Updates
5. Glossar
..................................................135
4.2.1.1
Update-Profile
........................................................................84
5.1 Schadsoftwaretypen
........................................................................135
4.2.1.2
Erweiterte
........................................................................84
Einstellungen für Updates
4.2.1.2.1
Update-Modus
..........................................................................85
5.1.1
Viren
.........................................................................135
4.2.1.2.2 Proxyserver
..........................................................................86
5.1.2
Würmer
.........................................................................135
4.2.1.2.3 Herstellen
..........................................................................88
einer LAN-Verbindung
5.1.3
Trojaner
.........................................................................136
4.2.1.2.4 Erstellen von Kopien der Update-Dateien –
5.1.4
Rootkits
.........................................................................136
Update-Mirror
..........................................................................89
5.1.5
Adware
.........................................................................136
4.2.1.2.4.1 Aktualisieren
.........................................................................90
über Update-Mirror
5.1.6
Spyware
.........................................................................137
4.2.1.2.4.2 Fehlerbehebung bei Problemen mit Updates über
5.1.7
Potenziell
.........................................................................137
unsichere Anwendungen
Update-Mirror
.........................................................................91
5.1.8
Evtl.
.........................................................................137
unerwünschte Anwendungen
4.2.2
So.........................................................................91
erstellen Sie Update-Tasks
5.2 E-Mails
........................................................................138
4.3 Taskplaner
........................................................................92
5.2.1
Werbung
.........................................................................138
4.3.1
Verwendung
.........................................................................92
von Tasks
5.2.2
Falschmeldungen
.........................................................................138
(Hoaxes)
4.3.2
Erstellen
.........................................................................93
von Tasks
5.2.3
Phishing
.........................................................................139
5.2.4
Erkennen
.........................................................................139
von Spam-Mails
4.4 Quarantäne
........................................................................94
5.2.4.1
Regeln
........................................................................139
4.4.1
Quarantäne
.........................................................................94
für Dateien
5.2.4.2
Bayesscher
........................................................................140
Filter
4.4.2
Wiederherstellen
.........................................................................95
aus Quarantäne
5.2.4.3
Positivliste
........................................................................140
4.4.3
Einreichen
.........................................................................95
von Dateien aus der Quarantäne
5.2.4.4
Negativliste
........................................................................140
4.5 Log-Dateien
........................................................................96
5.2.4.5
Serverseitige
........................................................................140
Kontrolle
4.5.1
Log-Filter
.........................................................................100
4.5.2
In.........................................................................101
Log suchen
4.5.3
Log-Wartung
.........................................................................103
4.6 ESET
........................................................................104
SysInspector
4.6.1
4.6.1.1
4.6.2
4.6.2.1
4.6.2.2
4.6.2.2.1
4.6.2.3
4.6.3
4.6.4
4.6.4.1
4.6.4.2
4.6.4.3
4.6.5
4.6.6
Einführung
.........................................................................104
in ESET SysInspector
Starten
........................................................................104
von ESET SysInspector
Benutzeroberfläche
.........................................................................105
und Bedienung
Menüs
........................................................................105
und Bedienelemente
Navigation
........................................................................106
in ESET SysInspector
Tastaturbefehle
..........................................................................107
Vergleichsfunktion
........................................................................109
Kommandozeilenparameter
.........................................................................110
Dienste-Skript
.........................................................................110
Erstellen
........................................................................110
eines Dienste-Skripts
Aufbau
........................................................................111
des Dienste-Skripts
Ausführen
........................................................................113
von Dienste-Skripten
Häufige
.........................................................................113
Fragen (FAQ)
ESET
.........................................................................115
SysInspector als Teil von ESET Mail Security
4.7 ESET
........................................................................115
SysRescue
4.7.1
4.7.2
4.7.3
4.7.4
4.7.4.1
4.7.4.2
4.7.4.3
Minimalanforderungen
.........................................................................115
Erstellen
.........................................................................116
der Rettungs-CD
Zielauswahl
.........................................................................116
Einstellungen
.........................................................................116
Ordner
........................................................................117
ESET
........................................................................117
Antivirus
Erweiterte
........................................................................117
Einstellungen
1. Einführung
ESET Mail Security 4 für Microsoft Exchange Server ist eine integrierte Lösung, die Ihre Postfächer vor
Schadsoftware schützt, darunter mit Würmern oder Trojanern infizierte E-Mail-Anlagen, mit bösartigen Skripten
versehene Dokumente sowie Phishing-Mails und Spam. ESET Mail Security verfügt über drei Schutzarten:
Virenschutz, Spam-Schutz und die Anwendung benutzerdefinierter Regeln. ESET Mail Security erkennt
Schadsoftware auf dem E-Mail-Server, d. h. sie erreicht nicht den Posteingang des E-Mail-Empfängers.
ESET Mail Security unterstützt Microsoft Exchange Server ab Version 2000 und Microsoft Exchange Server in einer
Cluster-Umgebung. In neueren Versionen (ab Microsoft Exchange Server 2007) werden auch bestimmte Rollen
unterstützt (Postfach, Hub, Edge). Mithilfe von ESET Remote Administrator können Sie ESET Mail Security in
größeren Netzwerken zentral verwalten.
Neben dem Schutz von Microsoft Exchange Server bietet ESET Mail Security auch Möglichkeiten, den Server selbst
zu schützen (Hintergrundwächter, Web-Schutz, E-Mail-Client-Schutz und Spam-Schutz).
1.1 Was ändert sich mit Version 4.5?
Gegenüber ESET Mail Security Version 4.3 verfügt Version 4.5 über die folgenden Neuerungen und Verbesserungen:
Die Einstellungen für den Spam-Schutz sind nun über die grafische Benutzeroberfläche verfügbar, sodass
Administratoren bequem und einfach Änderungen vornehmen können.
Unterstützung für Microsoft Exchange Server 2013
Unterstützung für Microsoft Windows Server 2012 / 2012 R2
1.2 Systemanforderungen
Unterstützte Betriebssysteme:
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 (x86 und x64)
Microsoft Windows Server 2008 (x86 und x64)
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Small Business Server 2003 (x86)
Microsoft Windows Small Business Server 2003 R2 (x86)
Unterstützte Versionen von Microsoft Exchange Server:
Microsoft Exchange Server 2000 SP1, SP2, SP3
Microsoft Exchange Server 2003 SP1, SP2
Microsoft Exchange Server 2013
Die Hardware-Anforderungen sind abhängig von den verwendeten Versionen von Microsoft Exchange Server und
des Betriebssystems. Beachten Sie die weiteren Informationen zu Hardware-Anforderungen in der
Produktdokumentation zu Microsoft Exchange Server.
5
1.3 Verwendete Prüfmethoden
Für die Prüfung von E-Mails werden zwei unabhängige Methoden verwendet:
Postfach-Prüfung mit VSAPI 6
E-Mail-Prüfung auf SMTP-Server
6
1.3.1 Postfach-Prüfung mit VSAPI
Die Postfach-Prüfung wird vom Microsoft Exchange Server ausgelöst und gesteuert. E-Mails in der Datenbank von
Microsoft Exchange Server werden ständig geprüft. Je nach Ihren benutzerdefinierten Einstellungen und je
nachdem, welche Versionen von Microsoft Exchange Server und der VSAPI-Schnittstelle Sie verwenden, wird die
Prüfung in den folgenden Situationen ausgelöst:
Beim Zugriff des Benutzers auf seine E-Mails, z. B. in einem E-Mail-Programm (E-Mails werden immer mit der
neuesten Version der Signaturdatenbank geprüft)
Im Hintergrund, wenn Microsoft Exchange Server nicht ausgelastet ist
Proaktiv (abhängig vom internen Algorithmus von Microsoft Exchange Server)
Derzeit wird die VSAPI-Schnittstelle für den Virenschutz und den regelbasierten Schutz verwendet.
1.3.2 E-Mail-Prüfung auf SMTP-Server
Die Prüfung auf dem SMTP-Server wird mit einem speziellen Plug-In durchgeführt. Bei Microsoft Exchange Server
2000 und 2003 ist das entsprechende Plug-In (Ereignissenke) als Teil der Internetinformationsdienste (IIS) auf dem
SMTP-Server registriert. Bei Microsoft Exchange Server 2007/2010 ist das Plug-In als Transport-Agent in den Rollen
Edge oder Hub von Microsoft Exchange Server registriert.
Die Prüfung durch einen Transport-Agenten auf dem SMTP-Server bietet Viren- und Spam-Schutz sowie die
Möglichkeit, benutzerdefinierte Regeln zu erstellen. Im Gegensatz zur VSAPI-Prüfung findet die Prüfung auf dem
SMTP-Server statt, noch bevor die geprüften E-Mails das Postfach von Microsoft Exchange Server erreichen.
1.4 Schutzarten
Es gibt drei Schutzarten:
1.4.1 Virenschutz
Zu den grundlegenden Funktionen von ESET Mail Security gehört der Virenschutz. Virenschutzlösungen bieten
durch Überwachung der Daten-, E-Mail- und Internet-Kommunikation Schutz vor bösartigen Systemangriffen.
Wird eine Bedrohung durch Schadcode erkannt, kann das Virenschutz-Modul den Code unschädlich machen, indem
es die Ausführung des Codes blockiert und dann den Code entfernt bzw. die Datei löscht oder in die Quarantäne 94
verschiebt.
1.4.2 Spam-Schutz
Um E-Mail-Bedrohungen höchstwirksam erkennen zu können, arbeiten Spamschutzlösungen mit verschiedenen
Technologien (RBL, DNSBL, Fingerprint-Datenbanken, Reputations-Prüfung, Inhaltsanalyse, Bayesscher Filter,
Regeln, manuell geführte Whitelists/Blacklists usw.). Das Spamschutz-Modul berechnet die
Gesamtwahrscheinlichkeit, dass es sich bei der geprüften E-Mail um Spam handelt, und gibt sie in Prozent aus
(Wert zwischen 0 und 100).
Die Greylisting-Methode (standardmäßig deaktiviert) ist eine weitere Komponente des Spamschutzmoduls. Diese
Methode basiert auf der Spezifikation RFC 821, wonach aufgrund der prinzipiellen Unzuverlässigkeit des
Sendeprotokolls SMTP jeder MTA (Message Transfer Agent) nach einem temporären Fehler beim Versenden der EMail wiederholte Zustellversuche unternehmen sollte. Eine erhebliche Anzahl von Spam-E-Mails wird nur einmal
(durch spezielle Tools) an automatisch erstellte Empfängerlisten zugestellt. Wendet ein Server Greylisting an,
errechnet er einen Kontrollwert (Hashwert) aus der E-Mail-Adresse des Absenders, der E-Mail-Adresse des
Empfängers und der IP-Adresse des absendenden MTA. Findet der Server den aus diesen drei Komponenten
errechneten Kontrollwert nicht in seiner Datenbank auf, verweigert er die Annahme der E-Mail und meldet einen
temporären Fehler (z. B. 451). Ein rechtmäßiger Server unternimmt nach einer einstellbaren Zeitspanne einen
6
erneuten Zustellversuch. Beim zweiten Versuch wird der Kontrollwert aus den drei Komponenten in einer
Datenbank für geprüfte E-Mail-Adressen gespeichert, sodass ab dann E-Mails mit den entsprechenden Merkmalen
zugestellt werden können.
1.4.3 Anwendung benutzerdefinierter Regeln
Sowohl die VSAPI-Prüfung als auch die Prüfung mit einem Transport-Agenten bietet Schutz auf Basis
benutzerdefinierter Regeln. Mit der ESET Mail Security-Benutzeroberfläche können Sie individuelle Regeln erstellen
und auch kombinieren. Wenn eine Regel mehrere Bedingungen enthält, werden diese durch ein logisches UND
verknüpft. Dementsprechend wird die Regel nur ausgeführt, wenn alle Bedingungen erfüllt sind. Wenn mehrere
Regeln erstellt werden, wird ein logisches ODER verwendet, d. h., das Programm führt die erste Regel aus, deren
Bedingungen erfüllt sind.
Bei der Prüfung wird zuerst die Greylisting-Technik angewendet, sofern sie aktiviert ist. Anschließend werden die
folgenden Techniken angewendet: die Prüfung nach benutzerdefinierten Regeln, dann eine Virenprüfung und
schließlich eine Spam-Prüfung.
1.5 Benutzeroberfläche
Die intuitive Benutzeroberfläche von ESET Mail Security ist auf hohe Benutzerfreundlichkeit ausgelegt. Sie
ermöglicht dem Benutzer schnell und unkompliziert Zugang zu den Hauptfunktionen des Programms.
Zusätzlich zur allgemeinen Benutzeroberfläche gibt es den Menüpunkt Erweiterte Einstellungen, dessen Fenster
Sie an jeder Stelle im Programm mit der Taste F5 öffnen können.
Durch Drücken von F5 öffnet sich das Dialogfenster mit einer Liste der konfigurierbaren Programmfunktionen. Über
dieses Fenster können Sie persönliche Einstellungen vornehmen und Funktionen konfigurieren. Die Baumstruktur
zeigt zwei Bereiche: Server-Schutz und Computer-Schutz. Im Bereich Server-Schutz kann ESET Mail Security für
die Nutzung mit Microsoft Exchange konfiguriert werden. Der Bereich Computer-Schutz bietet
Konfigurationsoptionen für den Schutz des Servercomputers selbst.
7
2. Installation
Nach dem Kauf von ESET Mail Security können Sie das Installationsprogramm von der ESET-Website (www.eset.
com) als .msi-Dateipaket herunterladen.
Hinweis: Das Installationsprogramm muss unter dem integrierten Administratorkonto ausgeführt werden. Andere
Benutzer haben nicht die erforderlichen Zugriffsrechte (auch dann nicht, wenn sie der Gruppe „Administratoren“
angehören). Verwenden Sie also immer das integrierte Administratorkonto Administrator, da die Installation
ansonsten nicht abgeschlossen werden kann.
Zum Starten des Installationsprogramms gibt es zwei Möglichkeiten:
Sie können sich lokal mit dem Konto „Administrator“ anmelden und das Installationsprogramm dann einfach wie
gewohnt starten.
Wenn Sie mit einem anderen Konto angemeldet sind, öffnen Sie über den Befehl Ausführen als eine
Kommandozeilensitzung (cmd) unter der Identität des Benutzers „Administrator“. Geben Sie dann den Befehl
zum Ausführen des Installationsprogramms wie z. B. msiexec /i emsx_nt64_ENU.msi ein. Ersetzen Sie dabei
emsx_nt64_ENU.msi durch den Dateinamen des heruntergeladenen MSI-Installationspakets.
Starten Sie das Installationsprogramm. Der Installationsassistent unterstützt Sie bei der Installation. Es stehen
zwei Installationsmodi zur Verfügung, die unterschiedlich viele Einstellungsmöglichkeiten bieten:
1. Standardinstallation
2. Benutzerdefinierte Installation
HINWEIS: Wenn möglich, wird die Installation von ESET Mail Security auf einem neu installierten und
konfigurierten Betriebssystem dringend empfohlen. Wenn Sie die Installation jedoch auf einem bereits
vorhandenen System vornehmen müssen, ist am ratsamsten, die alte Version von ESET Mail Security zu
deinstallieren, den Server neu zu starten und danach die neue Version von ESET Mail Security zu installieren.
2.1 Standardinstallation
Verwenden Sie den Modus „Standardinstallation“, wenn Sie ESET Mail Security schnell, aber dafür nur mit den
grundlegendsten Konfigurationsmöglichkeiten installieren möchten. Die Standardinstallation wird empfohlen,
wenn Sie noch keine speziellen Anforderungen an die Konfiguration haben. Nach der Installation von ESET Mail
Security können Sie jederzeit die Programmoptionen und -einstellungen modifizieren. Im Benutzerhandbuch sind
diese Einstellungen und Funktionen ausführlich beschrieben. Die in der Standardinstallation vorgegebenen
Einstellungen bieten sehr gute Sicherheit in Verbindung mit hoher Benutzerfreundlichkeit und Systemleistung.
Wenn Sie den Installationsmodus ausgewählt und auf „Weiter“ geklickt haben, werden Sie aufgefordert, Ihre
Lizenzdaten (Benutzername und Passwort) einzugeben. Dies ist erforderlich, damit ein kontinuierlicher Schutz des
Systems gewährleistet werden kann, denn Ihre Lizenzdaten ermöglichen automatische Updates 81 der
Signaturdatenbank.
8
Geben Sie in den entsprechenden Feldern Ihren Benutzernamen und Ihr Passwort ein, die Sie beim Kauf oder bei der
Registrierung des Produkts erhalten haben. Stehen Ihnen die Lizenzdaten derzeit nicht zur Verfügung, können Sie
sie zu einem späteren Zeitpunkt direkt im Programm eingeben.
Fügen Sie im nächsten Schritt - Lizenzmanager - die Lizenzdatei hinzu, die Sie per E-Mail nach dem Kauf des
Produktes erhalten haben.
Als Nächstes folgt die Konfiguration des ThreatSense.Net-Frühwarnsystems. Über das ThreatSense.NetFrühwarnsystem erhält ESET unmittelbar und fortlaufend aktuelle Informationen zu neuer Schadsoftware, um
dem Benutzer umfassenden Schutz zu bieten. Das Frühwarnsystem übermittelt neue Bedrohungen an das ESETVirenlabor, wo die entsprechenden Dateien analysiert, bearbeitet und zur Signaturdatenbank hinzugefügt werden.
Die Option ThreatSense.Net-Frühwarnsystem aktivieren ist standardmäßig aktiviert. Klicken Sie auf Erweiterte
Einstellungen, um Einstellungen für das Einsenden verdächtiger Dateien festzulegen.
Im nächsten Schritt der Installation wird die Einstellung Prüfen auf „Evtl. unerwünschte Anwendungen“
konfiguriert. Bei eventuell unerwünschten Anwendungen handelt es sich um Programme, die zwar nicht unbedingt
Sicherheitsrisiken in sich bergen, jedoch negative Auswirkungen auf das Verhalten Ihres Computers haben können.
Weitere Informationen finden Sie im Kapitel Eventuell unerwünschte Anwendungen 137 .
Diese Anwendungen sind oft mit anderen Programmen gebündelt und daher während des Installationsvorgangs
schwer erkennbar. Obwohl bei solchen Anwendungen während der Installation gewöhnlich eine Benachrichtigung
angezeigt wird, können sie auch leicht ohne Ihre Zustimmung installiert werden.
Aktivieren Sie die Option Prüfen auf „Evtl. unerwünschte Anwendungen“ aktivieren, um die Prüfung dieser Art
von Anwendung durch ESET Mail Security zuzulassen. Wenn Sie diese Funktion nicht nutzen möchten, wählen Sie
die Option Prüfen auf „Evtl. unerwünschte Anwendungen“ deaktivieren.
Der letzte Schritt im Standard-Installationsmodus ist die Bestätigung der Installation. Klicken Sie dazu auf die
Schaltfläche Installieren.
2.2 Benutzerdefinierte Installation
Die benutzerdefinierte Installation eignet sich für Benutzer, die ESET Mail Security während der Installation
konfigurieren möchten.
Wenn Sie den Installationsmodus ausgewählt und auf Weiter geklickt haben, werden Sie dazu aufgefordert, einen
Speicherort für die Installation auszuwählen. Standardmäßig schlägt das Programm den Speicherort C:
\Programme\ESET\ESET Mail Security vor. Klicken Sie auf Durchsuchen, um diesen Speicherort zu ändern (nicht
empfohlen).
Geben Sie dann Ihren Benutzernamen und Ihr Passwort ein. Dieser Schritt ist derselbe wie bei der
Standardinstallation 8 .
Fügen Sie im nächsten Schritt - Lizenzmanager - die Lizenzdatei hinzu, die Sie per E-Mail nach dem Kauf des
Produktes erhalten haben.
9
Nachdem Sie Ihre Lizenzdaten eingegeben haben, klicken Sie auf Weiter, um zur Option Einstellungen für
Internetverbindung festlegen zu gelangen.
Wenn Sie einen Proxyserver verwenden, muss dieser richtig eingestellt sein, damit die Signaturdatenbank
ordnungsgemäß aktualisiert werden kann. Wenn der Proxyserver automatisch konfiguriert werden soll, aktivieren
Sie die Standardeinstellung Mir ist nicht bekannt, ob meine Internetverbindung einen Proxyserver verwendet.
Internet Explorer-Einstellungen verwenden (empfohlen) und klicken Sie auf Weiter. Wenn Sie keinen
Proxyserver verwenden, aktivieren Sie die Option Keinen Proxyserver verwenden.
Wenn Sie es vorziehen, die Daten des Proxyservers selbst einzutragen, können Sie den Proxyserver auch manuell
einrichten. Um die Einstellungen für Ihren Proxyserver zu konfigurieren, wählen Sie Ich nutze einen Proxyserver
und klicken Sie auf Weiter. Geben Sie unter Adresse die IP-Adresse oder URL des Proxyservers ein. Im Feld Port
können Sie den Port angeben, über den Verbindungen auf dem Proxyserver eingehen (standardmäßig 3128). Falls für
den Proxyserver Zugangsdaten zur Authentifizierung erforderlich sind, geben Sie einen gültigen Benutzernamen
und das Passwort ein. Die Einstellungen für den Proxyserver können auch aus Internet Explorer kopiert werden,
falls gewünscht. Sobald Sie die Daten des Proxyservers eingegeben haben, klicken Sie auf Übernehmen und
bestätigen Sie die Auswahl.
Klicken Sie auf Weiter, um zu der Option Einstellungen für automatische Updates bearbeiten zu gelangen. In
diesem Schritt der Installation können Sie festlegen, wie Ihr System mit automatischen Updates für
Programmkomponenten verfahren soll. Klicken Sie auf Ändern, um erweiterte Einstellungen vorzunehmen.
Wenn Sie nicht möchten, dass Programmkomponenten aktualisiert werden, wählen Sie Niemals ausführen.
Aktivieren Sie die Option Vor dem Herunterladen Benutzer fragen, so wird vor dem Herunterladen von
10
Programmkomponenten ein Bestätigungsfenster angezeigt. Um Programmkomponenten automatisch zu
aktualisieren, wählen Sie Immer ausführen.
HINWEIS: Nach der Aktualisierung von Programmkomponenten muss der Computer üblicherweise neu gestartet
werden. Wir empfehlen, die Option Kein Neustart zu aktivieren. Beim nächsten Neustart des Servers (egal, ob er
geplant 92 ist oder manuell bzw. anderweitig ausgeführt wird) treten die neuesten Updates dann in Kraft. Wenn
Sie daran erinnert werden wollen, Ihren Server nach jedem Update neu zu starten, können Sie die Option Benutzer
fragen wählen. Mit dieser Option können Sie den Server sofort neu starten oder den Neustart auf einen späteren
Zeitpunkt verschieben.
Im nächsten Installationsfenster haben Sie die Möglichkeit, die Einstellungen des Programms mit einem Passwort
zu schützen. Aktivieren Sie die Option Einstellungen mit Passwort schützen und geben Sie das gewählte
Passwort in die Felder Neues Passwort und Neues Passwort bestätigen ein.
Die nächsten beiden Installationsschritte - ThreatSense.Net-Frühwarnsystem und Prüfen auf „Evtl.
unerwünschte Anwendungen“ - sind identisch mit denen für die Standardinstallation 8 .
Klicken Sie im Fenster Bereit zur Installation auf Installieren, um die Installation abzuschließen.
2.3 Terminalserver
Wenn Sie ESET Mail Security auf einem Windows-Server installiert haben, der als Terminalserver eingerichtet ist,
empfehlen wir Ihnen, die grafische Benutzeroberfläche von ESET Mail Security zu deaktivieren, da diese sonst bei
jeder Anmeldung eines Benutzers gestartet wird. Nähere Informationen hierzu finden Sie im Abschnitt
Deaktivieren der Benutzeroberfläche auf Terminalserver 122 .
11
2.4 Auf neuere Version aktualisieren
Neuere Versionen von ESET Mail Security werden veröffentlicht, um Verbesserungen oder Patches bereitzustellen,
die nicht über automatische Updates der Programmmodule implementiert werden können. Zum Aufrüsten auf die
neueste Version von ESET Mail Security stehen zwei Methoden zur Verfügung:
1. Automatisches Upgrade durch ein Update für Programmkomponenten
Da Updates für Programmkomponenten an alle Benutzer des Programms ausgegeben werden und
Auswirkungen auf bestimmte Systemkonfigurationen haben können, werden sie erst nach einer langen
Testphase veröffentlicht. Auf diese Weise soll sichergestellt werden, dass die Aufrüstung in allen möglichen
Konfigurationen des Systems reibungslos verläuft.
2. Manuell, zum Beispiel, wenn Sie sofort nach der Veröffentlichung eines Upgrades auf die neuere Version
aufrüsten müssen, oder wenn Sie auf eine höhere Generation von ESET Mail Security aufrüsten (beispielsweise
von Version 4.2 oder 4.3 auf Version 4.5).
Eine manuelle Aufrüstung auf eine neuere Version kann entweder über die vorhandene Installation (die neueste
Version wird über die vorhandene Version installiert) oder über eine saubere Installation (die vorige Version wird
zuerst deinstalliert, bevor die neue Version installiert wird) ausgeführt werden.
So führen Sie eine manuelle Aufrüstung aus:
1. Über eine vorhandene Installation: Installieren Sie die neueste Version über die vorhandene Version von ESET Mail
Security, indem Sie die im Kapitel Installation 8 genannten Schritte befolgen. Alle vorhandenen Einstellungen
(auch die Einstellungen des Spam-Schutzes) werden während der Installation automatisch in die neue Version
übernommen.
2. Saubere Installation:
a) Exportieren Sie Ihre Konfiguration/Einstellungen in eine XML-Datei. Nutzen Sie hierzu die Funktion
Einstellungen importieren/exportieren 128 .
b) Öffnen Sie diese XML-Datei in einem dedizierten XML-Editor, der dieses Format unterstützt (z. B. WordPad
oder Nodepad++), und ändern Sie die „SECTION ID“-Nummer in der dritten Zeile zu „1000404“:
<SECTION ID="1000404">
c) Laden Sie das EMSX AntispamSettingsExport-Tool aus diesem Knowledgebase-Artikel herunter. Speichern
Sie EMSX_AntispamSettingsExport.exe auf dem Exchange Server, den Sie auf die neueste Version von ESET
Mail Security aufrüsten.
d) Führen Sie das EMSX_AntispamSettingsExport.exe -Tool aus. Das Tool erstellt die Datei cfg.xml mit den
Einstellungen des Spam-Schutzes Ihrer vorhandenen Installation von ESET Mail Security.
e) Laden Sie das MSI-Installationsprogramm für die neueste Version von ESET Mail Security herunter.
f) Kopieren Sie die vom EMSX AntispamSettingsExport-Tool erstellte Datei cfg.xml an den gleichen
Speicherort, an dem Sie auch die MSI-Installationsdatei für ESET Mail Security gespeichert haben (z. B.
emsx_nt64_ENU.msi).
g) Deinstallieren Sie die vorhandene Version von ESET Mail Security.
h) Führen Sie das MSI-Installationsprogramm für ESET Mail Security 4.5 aus. Die in die Datei cfg.xml
exportierten Einstellungen des Spam-Schutzes werden automatisch in die neue Version importiert.
i) Importieren Sie nach Abschluss der Installation die Konfiguration/Einstellungen aus der XML-Datei, die Sie
in den Schritten a) und b) gespeichert und geändert haben. Verwenden Sie hierzu die Funktion
Einstellungen importieren und exportieren 128 und einen XML-Editor. So können Sie die vorigen
Konfigurationseinstellungen in die neue Version von ESET Mail Security übernehmen.
Nach dem Ausführen der oben genannten Schritte ist die neue Version von ESET Mail Security mit Ihrer vorigen,
benutzerdefinierten Konfiguration auf Ihrem System installiert.
Weitere Informationen zum Aufrüstungsvorgang finden Sie in diesem Knowledgebase-Artikel.
HINWEIS: Beide Arten der manuellen Aufrüstung (über eine vorhandene Installation bzw. anhand einer sauberen
Installation) sind nur für eine Aufrüstung von ESET Mail Security Version 4.2 oder 4.3 auf ESET Mail Security Version
4.5 anwendbar.
12
2.5 Exchange Server-Rollen – Edge und Hub
Standardmäßig sind die Spamschutzfunktionen bei einem Edge-Transport-Server aktiviert und bei einem HubTransport-Server deaktiviert. In einer Exchange-Organisation mit einem Edge-Transport-Server ist dies die
gewünschte Konfiguration. Wir empfehlen, den Spam-Schutz von ESET Mail Security auf dem Edge-TransportServer so zu konfigurieren, dass die Nachrichten vor der Weiterleitung an die Exchange-Organisation gefiltert
werden.
Vorzugsweise sollte die Spamschutzprüfung auf dem Edge-Server ausgeführt werden, weil ESET Mail Security so
Spam-Nachrichten früher zurückweisen kann. Dies verhindert eine unnötige Last auf den Vermittlungsschichten.
Bei dieser Konfiguration werden eingehende Nachrichten von ESET Mail Security auf dem Edge-Transport-Server
gefiltert, sodass sie sicher an den Hub-Transport-Server übermittelt werden können, ohne dass eine weitere
Filterung erforderlich ist.
Wenn in Ihrer Organisation kein Edge-Transport-Server, sondern nur ein Hub-Transport-Server verwendet wird,
sollten Sie die Spamschutzfunktionen auf dem Hub-Transport-Server aktivieren, der die eingehenden Nachrichten
über SMTP aus dem Internet empfängt.
2.6 Rollen in Exchange Server 2013
Die Architektur von Exchange Server 2013 unterscheidet sich von anderen Versionen von Microsoft Exchange. In
Exchange 2013 gibt es nur zwei Serverrollen: Clientzugriffsserver und Postfachserver. Wenn Sie Microsoft Exchange
2013 mit ESET Mail Security schützen möchten, installieren Sie ESET Mail Security auf einem Microsoft Exchange
2013-Server mit Postfachserverrolle. Die Clientzugriffsserverrolle wird von ESET Mail Security nicht unterstützt.
Eine Ausnahme trifft bei der Installation von ESET Mail Security auf Windows SBS (Small Business Server) zu. Bei
Windows SBS werden alle Exchange-Rollen auf dem gleichen Server ausgeführt. ESET Mail Security wird daher
ordnungsgemäß ausgeführt und bietet alle Schutztypen, auch die in Bezug auf den E-Mail-Server.
Wenn Sie ESET Mail Security jedoch auf einem System installieren, auf dem nur die Clientzugriffsserverrolle
ausgeführt wird (dedizierter CAS-Server), funktionieren die wichtigsten Funktionen von ESET Mail Security nicht,
besonders die Funktionen in Bezug auf den E-Mail-Server. In diesem Fall funktionieren nur der Echtzeit-Dateischutz
und bestimmte Komponenten, die Bestandteil der Funktion Computerschutz 59 sind. Ein E-Mail-Server-Schutz ist
in diesem Fall nicht verfügbar. Aus diesem Grund sollte ESET Mail Security nicht auf einem Server mit
Clientzugriffsserverrolle installiert werden. Wie oben erläutert trifft dies nicht auf Windows SBS (Small Business
Server) zu.
HINWEIS: Aufgrund bestimmter technischer Einschränkungen in Microsoft Exchange 2013 unterstützt ESET Mail
Security nicht die Clientzugriffsserverrolle (CAS).
2.7 Cluster-Installation
Ein Cluster ist eine Gruppe von Servern, die zusammen einen einzigen Server bilden. Ein mit dem Cluster
verbundener Server heißt „Knoten“. Diese Art der Umgebung bietet hohe Verfügbarkeit und Zuverlässigkeit für die
bereitgestellten Dienste. Wenn einer der Knoten in einem Cluster ausfällt oder kein Zugriff mehr möglich ist,
übernimmt automatisch ein anderer Knoten im Cluster seine Aufgaben. ESET Mail Security unterstützt Microsoft
Exchange Server-Cluster in vollem Umfang. Für den ordnungsgemäßen Betrieb von ESET Mail Security, muss jeder
Knoten in einem Cluster gleich konfiguriert sein. Dies gelingt beispielsweise mit einer ESET Remote AdministratorPolicy (ERA-Policy). In den nachfolgenden Kapiteln wird beschrieben, wie ESET Mail Security mithilfe von ERA auf
Servern in einem Cluster installiert und konfiguriert wird.
Installation
In diesem Kapitel wird die Push-Installation beschrieben, die allerdings nicht die einzige Installationsmethode auf
dem Zielcomputer ist. Weitere Informationen zu zusätzlichen Installationsmethoden finden Sie im ESET Remote
Administrator-Benutzerhandbuch.
1. Laden Sie das msi-Installationspaket für ESET Mail Security von der ESET-Website auf den Computer herunter, auf
dem ERA installiert ist. Klicken Sie in ERA auf der Registerkarte > Remoteinstallation > Computer mit der rechten
Maustaste auf einen der aufgelisteten Computer und wählen Sie aus dem Kontextmenü Pakete verwalten.
Wählen Sie aus der Liste Typ die Option Paket mit ESET Security-Produkt und klicken Sie auf Hinzufügen. Suchen
13
Sie unter Quelle das heruntergeladene ESET Mail Security-Installationspaket und klicken Sie auf Erstellen.
2. Klicken Sie unter Konfiguration für dieses Paket bearbeiten/auswählen auf Bearbeiten und konfigurieren Sie
die Einstellungen von ESET Mail Security nach Ihren Bedürfnissen. ESET Mail Security-Einstellungsoptionen
befinden sich in den folgenden Bereichen: ESET Smart Security, ESET NOD32 Antivirus > E-Mail-Server-Schutz
und E-Mail-Server-Schutz für Microsoft Exchange Server. Sie können außerdem die Parameter anderer ESET Mail
Security-Module konfigurieren (Updates, Prüfen des Computers usw.). Es empfiehlt sich, die konfigurierten
Einstellungen in eine XML-Datei zu exportieren, die Sie später z. B. beim Erstellen eines Installationspakets oder
beim Anwenden eines Konfigurationstasks oder einer Policy verwenden können.
3. Klicken Sie auf Schließen. Wählen Sie im nächsten Dialogfenster (Möchten Sie die Pakete auf dem Server
speichern?) die Option Ja und geben Sie den Namen des Installationspakets ein. Das fertige Installationspaket (mit
Name und Konfiguration) wird auf dem Server gespeichert. Dieses Paket wird vorrangig für eine Push-Installation
verwendet, es kann aber auch als Standard-msi-Installationspaket gespeichert und für eine Direktinstallation auf
dem Server verwendet werden (Installationspaket-Editor > Speichern unter).
4. Das Installationspaket ist nun bereit und Sie können die Remoteinstallation auf den Cluster-Knoten starten.
Unter ERA > Remoteinstallation > Computer können Sie die Knoten auswählen, auf denen Sie ESET Mail Security
installieren möchten (Strg + Linksklick oder Umschalttaste + Linksklick). Klicken Sie mit der rechten Maustaste auf
einen der ausgewählten Computer und wählen Sie im Kontextmenü Push-Installation. Geben Sie mit den
Schaltflächen Festlegen/Für alle festlegen den Benutzernamen und das Passwort von einem Benutzer des
Zielcomputers an. Dieser Benutzer muss Administratorrechte besitzen. Klicken Sie auf Weiter, um das
Installationspaket auszuwählen. Klicken Sie auf Fertig stellen, um die Remoteinstallation zu starten. Das
Installationspaket mit ESET Mail Security und Ihrer benutzerdefinierten Konfiguration wird auf den ausgewählten
Zielcomputern/Knoten installiert. Bereits nach kurzer Zeit werden die Clients, auf denen nun ESET Mail Security
installiert ist, in der Registerkarte ERA > Clients angezeigt. Sie können die Clients jetzt zentral verwalten.
HINWEIS: Für einen reibungslosen Installationsprozess müssen sowohl die Zielcomputer als auch der ERA-Server
bestimmte Bedingungen erfüllen. Weitere Informationen finden Sie im ESET Remote AdministratorBenutzerhandbuch.
Konfiguration
Für den ordnungsgemäßen Betrieb von ESET Mail Security auf Knoten in einem Cluster muss jeder Knoten ständig
gleich konfiguriert sein. Mit einer Push-Installation wie oben beschrieben ist diese Bedingung erfüllt. Es besteht
allerdings die Möglichkeit, dass die Konfiguration versehentlich geändert wird und so Inkonsistenzen zwischen
ESET Mail Security-Produkten in einem Cluster entstehen. Dies können Sie vermeiden, indem Sie in ERA eine Policy
anwenden. Eine Policy ist fast identisch mit einem Standard-Konfigurationstask: Sie sendet die im
Konfigurationseditor angelegte Konfiguration an den bzw. die Clients. Eine Policy unterscheidet sich von einem
Konfigurationstask dahingehend, dass sie ständig auf dem Client angewendet wird. Bei einer Policy handelt es sich
also um eine Konfiguration, deren Durchsetzung regelmäßig auf dem Client bzw. einer Gruppe von Clients
erzwungen wird.
Unter ERA > Tools > Policy-Manager finden Sie eine Reihe von Optionen für die Verwendung einer Policy. Die
einfachste Möglichkeit ist die Anwendung der Übergeordneten Standardpolicy, die auch allgemein als
Standardpolicy für primäre Clients dient. Diese Art von Policy wird automatisch auf allen aktuell verbundenen
Clients verwendet (in diesem Fall auf allen ESET Mail Security-Produkten in einem Cluster). Sie können die Richtlinie
konfigurieren, indem Sie auf Bearbeiten klicken oder eine vorhandene Konfiguration aus einer xml-Datei
verwenden, sofern Sie diese bereits erstellt haben.
Die zweite Möglichkeit ist das Erstellen einer neuen Policy (Neue untergeordnete Policy hinzufügen), der Sie mit
der Option Clients hinzufügen alle ESET Mail Security-Produkte zuweisen können.
Mit dieser Konfiguration stellen Sie sicher, dass auf allen Clients dieselbe Policy mit denselben Einstellungen
verwendet wird. Wenn Sie die bestehenden Einstellungen eines ESET Mail Security-Servers in einem Cluster ändern
möchten, genügt es, die aktuelle Policy zu bearbeiten. Die Änderungen werden auf allen Clients, die dieser Policy
zugewiesen sind, übernommen.
HINWEIS: Weitere Informationen zu Policys finden Sie im ESET Remote Administrator-Benutzerhandbuch.
14
2.8 Lizenz
Ein wichtiger Schritt ist die Eingabe der Lizenzdatei für ESET Mail Security für Microsoft Exchange Server. Ohne sie
funktioniert der E-Mail-Schutz auf dem Microsoft Exchange Server nicht ordnungsgemäß. Wenn Sie die Datei nicht
während der Installation hinzufügen, können Sie dies später in den erweiterten Einstellungen unter Allgemein >
Lizenzen nachholen.
Mit ESET Mail Security können Sie mehrere Lizenzen gleichzeitig nutzen, indem Sie sie, wie im Folgenden
beschrieben, zusammenführen:
1) Mindestens zwei Lizenzen eines Kunden (d. h. Lizenzen unter demselben Kundennamen) werden
zusammengeführt; dementsprechend steigt die Zahl der zu prüfenden Postfächer. Im Lizenzmanager werden
weiterhin beide Lizenzen angezeigt.
2) Zwei oder mehr Lizenzen von verschiedenen Kunden werden zusammengeführt. Der Vorgang ist der derselbe wie
im (oben genannten) ersten Beispiel, allerdings muss mindestens eine der betreffenden Lizenzen ein bestimmtes
Attribut aufweisen. Dieses Attribut ist erforderlich, um die Lizenzen verschiedener Kunden zusammenzuführen.
Eine solche Lizenz kann Ihr zuständiger ESET-Vertriebspartner auf Anfrage für Sie erzeugen.
HINWEIS: Die Gültigkeitsdauer der neu erstellten Lizenz wird von dem nächsten Ablaufdatum der ursprünglichen
Lizenzen bestimmt.
ESET Mail Security für Microsoft Exchange Server (EMSX) vergleicht die Anzahl der Postfächer für das Active
Directory mit der Anzahl der Lizenzen. Das Active Directory jedes Microsoft-Exchange-Servers wird geprüft, um die
Gesamtzahl der Postfächer zu ermitteln. System-Postfächer, deaktivierte Postfächer und Aliasadressen werden
nicht gezählt. In einem Cluster werden Knoten, die als Cluster-Postfach dienen, nicht gezählt.
Unter Active Directory-Benutzer und -Computer auf dem Server können Sie sehen, über wie viele Postfächer Sie
verfügen, für die Exchange aktiviert ist. Klicken Sie mit der rechten Maustaste auf die Domäne und dann auf
Suchen. Wählen Sie aus der Liste Suchen die Benutzerdefinierte Suche und klicken Sie auf die Registerkarte
Erweitert. Fügen Sie die folgende LDAP-Anfrage (Lightweight Directory Access Protocol) ein und klicken Sie auf
Jetzt suchen:
(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(!
(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!
userAccountControl:1.2.840.113556.1.4.803:=2))
15
Wenn die Anzahl der Postfächer in Ihrem Active Directory die Anzahl Ihrer Lizenzen übersteigt, wird folgende
Meldung in der Log-Datei Ihres Microsoft Exchange Servers protokolliert: „Schutzstatus geändert. Grund: Anzahl
der Postfächer (Anzahl) übersteigt Anzahl der Postfachlizenzen (Anzahl).“ Ihr ESET Mail Security wird Sie außerdem
mit einer Änderung der Symbolfarbe des Schutzstatus auf Orange und einer Meldung informieren, dass der Schutz
nach 42 Tagen deaktiviert wird. Wenden Sie sich an Ihren Verkaufsberater, um zusätzliche Lizenzen zu erwerben,
wenn Sie diese Meldung erhalten.
Wenn die 42 Tage vergangen sind und Sie die geforderten Lizenzen für Ihre überzähligen Postfächer nicht erworben
haben, wechselt Ihr Schutzstatus auf Rot. Dies bedeutet, dass der Schutz Ihres Systems deaktiviert wurde.
Wenden Sie sich umgehend an Ihren Verkaufsberater, um zusätzliche Lizenzen zu erwerben, wenn Sie diese
Meldung erhalten.
16
2.9 Konfiguration nach der Installation
Nach der Installation des Produkts müssen mehrere Optionen konfiguriert werden.
Einstellungen für Spam-Schutz
In diesem Abschnitt werden die Einstellungen, Methoden und Techniken des Spam-Schutzes für Ihr Netzwerk
beschrieben. Lesen Sie die folgenden Schritte sorgfältig durch, bevor Sie die für Ihr Netzwerk passende Kombination
der Einstellungen wählen.
Spam-Verwaltung
Für wirksamen Spam-Schutz müssen Sie festlegen, wie mit als Spam markierten E-Mails verfahren werden soll.
Hierfür stehen drei Optionen zur Verfügung:
1. Spam löschen
Dank der angemessen strengen Kriterien, die eine Nachricht erfüllen muss, um von ESET Mail Security als Spam
eingestuft zu werden, sinkt die Wahrscheinlichkeit, dass rechtmäßige E-Mails gelöscht werden. Je eindeutiger Sie
die Spam-Schutz-Einstellungen festlegen, desto weniger wahrscheinlich ist es, dass rechtmäßige E-Mails
gelöscht werden. Zu den Vorteilen dieser Methode gehört, dass die Systemressourcen kaum belastet werden und
der Verwaltungsaufwand geringer ist. Nachteilig ist, dass eine gelöschte rechtmäßige E-Mail nicht lokal
wiederhergestellt werden kann.
2. Quarantäne
Mit dieser Option ist ausgeschlossen, dass rechtmäßige E-Mails gelöscht werden. Gelöschte E-Mails können
wiederhergestellt und den ursprünglichen Empfängern sofort zugesendet werden. Nachteilig ist, dass die
Systemressourcen stärker belastet werden und die Wartung der E-Mail-Quarantäne zusätzlich Zeit kostet. Es
gibt zwei Methoden der E-Mail-Quarantäne:
A. Die interne Quarantäne auf einem Exchange-Server (nur für Microsoft Exchange Server 2007/2010):
– Für die interne Server-Quarantäne muss das Feld Zentrale Quarantäne für Nachrichten im rechten Teil
des Fensters für die erweiterten Einstellungen (unter Server-Schutz > Quarantäne für Nachrichten) leer
sein. Außerdem muss die Option Nachricht in Quarantäne des E-Mail-Servers verschieben in der Liste
unten ausgewählt sein. Diese Methode funktioniert nur, wenn der Exchange-Servers über eine interne
Quarantäne verfügt. Standardmäßig ist die interne Quarantäne bei Microsoft Exchange Server deaktiviert.
Zum Aktivieren der Funktion müssen Sie folgenden Befehl in der Exchange-Verwaltungsshell eingeben:
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(geben Sie statt [email protected] das Postfach ein, das Microsoft Exchange Server als internes
Quarantäne-Postfach verwenden soll, z. B. [email protected]
B. Benutzerdefiniertes Quarantäne-Postfach:
– ESET Mail Security verschiebt alle neuen Spam-Mails in das Postfach, das Sie im Feld Zentrale
Quarantäne für Nachrichten festlegen.
Weitere Informationen zur Quarantäne und anderen Verwaltungsmethoden finden Sie im Kapitel
Quarantäne für Nachrichten 25 .
3. Spam weiterleiten
Spam-Mails werden an ihre Empfänger weitergeleitet. ESET Mail Security schreibt jedoch die SpamWahrscheinlichkeit (SCL) in die entsprechende MIME-Kopfzeile jeder Nachricht. Je nach Höhe des SCL-Wertes
führt der intelligente Nachrichtenfilter des Exchange-Servers die entsprechende Aktion aus.
Spam filtern
17
Greylisting
Die Greylisting-Methode schützt Benutzer folgendermaßen vor Spam: Der Transport-Agent sendet einen SMTPRückgabewert „vorübergehend abgelehnt“ (standardmäßig 451/4.7.1) für jede E-Mail von einem nicht erkannten
Absender. Ein rechtmäßiger Server unternimmt daraufhin einen erneuten Zustellversuch. Spam-Server senden
gewöhnlich kein zweites Mal, da sie Tausende von E-Mail-Adressen abarbeiten müssen und diese zeitraubende
Aktion daher unterlassen.
Beim Prüfen des Absenders berücksichtigt diese Technik die AntispamBypass-Einstellungen für das Postfach des
Empfängers sowie die Einstellungen für folgende Listen auf dem Exchange-Server: Freigegebene IP-Adressen,
Ignorierte IP-Adressen, Sichere Absender und IP-Adressen zulassen. Die Greylisting-Funktion muss sorgfältig
eingerichtet sein, anderenfalls können Störungen in der Ausführung (z. B. Verzögerungen beim Senden
rechtmäßiger Nachrichten) auftreten. Diese negativen Folgen des Greylistings treten immer seltener auf, je mehr
vertrauenswürdige Verbindungen in die interne Positivliste aufgenommen werden. Wenn Ihnen Greylisting
unbekannt ist oder die Nachteile dieser Methode nicht akzeptabel sind, sollten Sie sie in den erweiterten
Einstellungen deaktivieren (Spam-Schutz > Microsoft Exchange Server > Transport-Agent > Greylisting
aktivieren).
Falls Sie nur die Basisfunktionen des Produkts testen und auf die Konfiguration der erweiterten Funktion verzichten
möchten, empfiehlt es sich ebenfalls, Greylisting zu deaktivieren.
HINWEIS: Die Greylisting-Technik erhöht den Spam-Schutz, ohne die Spam-Erkennung des Spam-Schutz-Moduls
zu beeinflussen.
Einstellungen für Virenschutz
Quarantäne
Je nach dem gewählten Säuberungsmodus empfiehlt es sich, eine Aktion für infizierte (nicht gesäuberte)
Nachrichten zu konfigurieren. Dies geschieht in den erweiterten Einstellungen unter Server-Schutz > Viren- und
Spyware-Schutz > Microsoft Exchange Server > Transport-Agent.
Ist die Option aktiviert, mit der E-Mails in die Quarantäne verschoben werden, muss die Quarantäne unter ServerSchutz > Quarantäne für Nachrichten in den erweiterten Einstellungen konfiguriert werden.
Leistung
Wenn möglich, sollte die Anzahl der ThreatSense-Module unter erweiterte Einstellungen (F5) > Computer-Schutz >
Viren- und Spyware-Schutz > Leistung nach folgender Formel erhöht werden: Anzahl der ThreatSense-Prüfmodule =
(Anzahl der physischen Prozessoren x 2) + 1. Die Anzahl der Prüfungs-Threads und die Anzahl der ThreatSense-Prüfengines
sollten gleich sein. Unter Server-Schutz > Viren- und Spyware-Schutz > Microsoft Exchange Server > VSAPI >
Leistung können Sie die Anzahl der Prüfmodule festlegen. Beispiel:
Angenommen, Sie besitzen einen Server mit 4 physischen Prozessoren. Die beste Leistung erreichen Sie also nach
der oben genannten Formel mit 9 Prüfungs-Threads und 9 Prüfengines.
HINWEIS: Der zulässige Wert liegt zwischen 1 und 20, d. h. Sie können maximal 20 ThreatSense-Prüfmodule
verwenden. Die Änderung wird erst nach einem Neustart wirksam.
HINWEIS: Es wird empfohlen, die gleiche Anzahl Prüfungs-Threads und ThreatSense-Prüfmodule zu verwenden.
Die Leistung des Programms ändert sich nicht, wenn Sie mehr Prüfungs-Threads als Prüfmodule festlegen.
HINWEIS: Wenn Sie ESET Mail Security auf einem Windows-Server verwenden, der als Terminalserver eingerichtet
ist, und vermeiden möchten, dass die Benutzeroberfläche von ESET Mail Security bei jeder Anmeldung eines
Benutzers gestartet wird, folgen Sie den im Kapitel Deaktivieren der Benutzeroberfläche auf Terminalserver 122
beschriebenen Schritten.
18
3. ESET Mail Security – Schutz für Microsoft Exchange Server
ESET Mail Security bietet starken Schutz für Ihren Microsoft-Exchange-Server. Es gibt drei grundsätzliche
Schutzarten: den Virenschutz, den Spam-Schutz und die Anwendung benutzerdefinierter Regeln. ESET Mail
Security schützt Ihr System vor Schadsoftware, darunter mit Würmern oder Trojanern infizierte E-Mail-Anlagen,
mit bösartigen Skripten versehene Dokumente sowie Phishing-Mails und Spam. ESET Mail Security filtert die
Schadsoftware auf dem E-Mail-Server, also bevor die infizierte Nachricht im Posteingang des empfangenden EMail-Programms ankommt. In den folgenden Kapiteln werden die Optionen und Einstellungen beschrieben, mit
denen Sie den Schutz Ihres Exchange-Servers auf Ihre Bedürfnisse einstellen können.
3.1 Allgemeine Einstellungen
In diesem Abschnitt wird beschrieben, wie Sie Regeln, Log-Dateien, die Nachrichtenquarantäne und
Leistungsparameter verwalten können.
3.1.1 Microsoft Exchange Server
3.1.1.1 VSAPI (Virus-Scanning Application Programming Interface)
Microsoft Exchange Server verfügt über eine Technik, mit der Sie sicherstellen können, dass jeder Teil einer
Nachricht auf Schadsoftware in der aktuellen Signaturdatenbank geprüft wird. Wurde eine E-Mail bisher nicht
überprüft, so werden die entsprechenden Komponenten an das Prüfmodul gesendet, bevor die E-Mail für den Client
freigegeben wird. Jede unterstützte Version von Microsoft Exchange Server (2000/2003/2007/2010) verfügt über
eine andere VSAPI-Version.
Mit dem Kontrollkästchen können Sie den automatischen Start der VSAPI-Version aktivieren/deaktivieren, die Ihr
Exchange-Server verwendet.
3.1.1.2 Transport-Agent
In diesem Bereich können Sie den automatischen Start und die Ladepriorität des Transport-Agenten konfigurieren.
Ab Microsoft Exchange Server 2007 können Sie nur dann einen Transport-Agenten installieren, wenn der Server
eine dieser zwei Rollen übernimmt: Edge-Transport oder Hub-Transport.
HINWEIS: Für Microsoft Exchange Server 5.5 (VSAPI 1.0) ist der Transport-Agent nicht verfügbar.
19
Im Menü Agentenpriorität einrichten können Sie die Priorität für ESET Mail Security-Agenten festlegen. Der
Zahlenbereich der Agentenpriorität ist abhängig von der Microsoft Exchange Server-Version (je kleiner die Zahl,
desto höher die Priorität).
Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score in den Header geprüfter Nachrichten schreiben –
Die SCL ist ein normalisierter Wert, der einer E-Mail hinzugefügt wird und der die Wahrscheinlichkeit bezeichnet,
mit der diese E-Mail Spam ist (aufgrund der Eigenschaften des E-Mail-Headers, ihres Betreffs und Inhalts usw.). Der
Wert 0 bedeutet, dass die E-Mail höchstwahrscheinlich kein Spam ist; der Wert 9 dagegen bedeutet, dass es sich
sehr wahrscheinlich um Spam handelt. SCL-Werte können vom intelligenten Nachrichtenfilter (auch: InhaltsfilterAgent) von Microsoft Exchange Server weiterverarbeitet werden. Weitere Informationen finden Sie in der
Dokumentation zu Microsoft Exchange Server.
Option Beim Löschen von Nachrichten SMTP-Reject als Antwort senden:
Bleibt das Kontrollkästchen deaktiviert, sendet der Server die SMTP-Antwort „OK“ an den MTA (Mail Transfer
Agent) des Absenders. Diese hat das Format „250 2.5.0 – Requested mail action okay, completed“ (Angeforderte
E-Mail-Aktion OK, abgeschlossen). Anschließend wird die Nachricht ohne weitere Mitteilung verworfen.
Ist die Option aktiviert, wird ein SMTP-Reject zurück an den Absender-MTA gesendet. Sie können eine
Antwortmeldung in folgendem Format verfassen:
Primärer Antwortcode
250
Ergänzender Statuscode
2.5.0
Beschreibung
Angeforderte E-Mail-Aktion OK, abgeschlossen
451
4.5.1
Angeforderte Aktion abgebrochen: lokaler
Verarbeitungsfehler
550
5.5.0
Angeforderte Aktion unterlassen: Postfach nicht
verfügbar
Warnung: SMTP-Antworten mit falscher Syntax können zu Fehlern in der Ausführung der Programmkomponenten
und einer Beeinträchtigung ihrer Effizienz führen.
HINWEIS: Für die Konfiguration von SMTP-Rejects können Sie auch Systemvariablen verwenden.
20
3.1.2 Regeln
Über den Menübefehl Regeln können Sie als Administrator manuell Filterbedingungen für E-Mails definieren und
Aktionen damit verknüpfen. Eine Regel besteht aus einer Kombination von Bedingungen. Die einzelnen
Bedingungen werden mit einem logischen UND verknüpft; eine Regel wird also nur dann angewendet, wenn alle
darin enthaltenen Bedingungen erfüllt sind. Die Spalte Anzahl (neben jedem Regelnamen) zeigt an, wie oft die
Regel erfolgreich ausgeführt wurde.
Die Überprüfung der Nachrichten mit Anwendung der Regeln erfolgt durch den Transport-Agenten (TA) oder VSAPI.
Sind sowohl TA als auch VSAPI aktiviert und die E-Mail erfüllt die Regelbedingungen, kann sich der Regel-Zähler um
2 oder mehr erhöhen. Grund dafür ist, dass VSAPI die Regeln für alle E-Mail-Komponenten, die unabhängig
voneinander geprüft werden (Body, Anlage), einzeln anwendet. Darüber hinaus kommen die Regeln auch bei der
Hintergrundprüfung (z. B. regelmäßige Prüfung der Postfächer nach Update der Signaturdatenbank) zum Einsatz,
was den Regel-Zähler steigen lassen kann.
Hinzufügen... – Hinzufügen einer neuen Regel
Bearbeiten ... – Bearbeiten einer bestehenden Regel
Entfernen – Entfernen der ausgewählten Regel
Leeren – Zurücksetzen des Regel-Zählers (d. h. die Spalte „Treffer“)
Nach oben – Verschieben einer ausgewählten Regel nach oben in der Liste
Nach unten – Verschieben einer ausgewählten Regel nach unten in der Liste
Wenn Sie das Kontrollkästchen links neben dem Namen einer Regel deaktivieren, wird diese Regel deaktiviert. Mit
dem Setzen des Häkchens können Sie die Regel bei Bedarf wieder aktivieren.
HINWEIS: Bei der Konfiguration der Regeln können Sie auch Systemvariablen verwenden (z. B. %PATHEXT%).
HINWEIS: Wird eine neue Regel hinzugefügt oder eine bestehende Regel bearbeitet, beginnt automatisch eine
erneute E-Mail-Prüfung nach den neuen/geänderten Regeln.
21
3.1.2.1 Neue Regeln hinzufügen
Dieser Assistent unterstützt Sie beim Erstellen individueller Regeln mit kombinierten Bedingungen.
HINWEIS: Nicht alle Bedingungen werden bei der Prüfung durch den Transport-Agenten (TA) berücksichtigt.
Nach Zielpostfach – Es wird der Name eines Postfachs überprüft (VSAPI)
Nach Empfänger – Es wird der Empfänger einer Nachricht überprüft (VSAPI und TA)
Nach Absender – Es wird der Absender einer Nachricht überprüft (VSAPI und TA)
Nach Betreff – Es wird der Betreff einer Nachricht überprüft (VSAPI und TA)
Nach Nachrichtentext – Es wird der Nachrichtentext einer Nachricht überprüft (VSAPI)
Nach Dateiname der Anlage – Es werden nur Nachrichten mit einem bestimmten Dateinamen überprüft (VSAPI
bei Exchange 2000 und 2003, VSAPI + TA bei Exchange 2007 und 2010).
Nach Größe der Anlage – Es werden nur Nachrichten überprüft, deren Anhang eine bestimmte Größe
überschreitet (VSAPI bei Exchange 2000 und 2003, VSAPI + TA bei Exchange 2007 und 2010).
Nach Häufigkeit des Auftretens – Es wird überprüft, ob Objekte (Nachrichtentext oder Anlage) in einer
bestimmten Zeitspanne öfter als festgelegt eingehen (VSAPI). Dies ist besonders nützlich, wenn Sie ständig
Spam-Mails mit dem gleichen Text oder der gleichen Anlage erhalten.
Nach Anlagentyp – Es wird überprüft, ob die Nachricht eine Anlage eines bestimmten Dateityps enthält. (Der
tatsächliche Dateityp wird dabei unabhängig von der verwendeten Dateierweiterung erkannt.) (VSAPI)
Beim Definieren einer Bedingung der genannten Typen (außer Nach Größe der Anlage) wird standardmäßig auch
nach Wortbestandteilen gesucht (Option Nur ganze Wörter ist deaktiviert). Es wird nicht nach Groß- und
Kleinschreibung unterschieden (Option Groß-/Kleinschreibung berücksichtigen ist deaktiviert). Falls der Suchtext
nicht vollständig aus alphanumerischen Zeichen besteht, setzen Sie ihn in Klammern/Anführungszeichen. Sie
können auch mehrere Suchwörter mit den logischen Operatoren AND, OR und NOT verknüpfen.
HINWEIS: Welche Regeln verfügbar sind, hängt davon ab, welche Version von Microsoft Exchange Server installiert
ist.
HINWEIS: Microsoft Exchange Server 2000 (VSAPI 2.0) prüft nur den angezeigten Namen des Absenders/
Empfängers, nicht die E-Mail-Adresse. E-Mail-Adressen werden ab Microsoft Exchange Server 2003 (VSAPI 2.5)
geprüft.
Beispiel für Bedingungen
Nach Zielpostfach:
schmidt
Nach Absender:
[email protected]
Nach Empfänger:
„H. Schmidt“ oder „[email protected]“
Nach Betreff:
""
Nach Dateiname der
Anlage:
„.com“ OR „.exe“
22
Nach Nachrichtentext:
(„kostenlos“ OR „lotterie“) AND („gewinnen“ OR „kaufen“)
3.1.2.2 Aktionen bei Anwendung einer Regel
In diesem Bereich können Sie Aktionen für Nachrichten und/oder Anlagen wählen, die die Bedingungen der
entsprechenden Regeln erfüllen. Sie können „Keine Aktion“ wählen, die Nachricht so markieren, als ob sie eine
Bedrohung/Spam enthielte, oder die gesamte Nachricht löschen. Erfüllt eine Nachricht oder ihre Anlage die
Bedingungen einer Regel, wird sie standardmäßig nicht von den Viren- und Spam-Schutz-Modulen geprüft. Eine
Prüfung findet allerdings statt, wenn die entsprechenden Kontrollkästchen unten in der Liste aktiviert werden (die
ausgeführte Aktion hängt ab von den Einstellungen des Viren-/Spam-Schutzes).
Keine Aktion – Es wird keine Aktion mit der Nachricht ausgeführt
Aktion für nicht entfernte Bedrohung – Die Nachricht wird so markiert, als ob sie eine nicht entfernte
Bedrohung enthielte (unabhängig davon, ob dies tatsächlich der Fall ist).
Als Spam behandeln – Die Nachricht wird so markiert, als ob es sich um Spam handeln würde (unabhängig
davon, ob dies tatsächlich der Fall ist). Diese Option kann nur ausgeführt werden, wenn der Spamschutz 36
aktiviert ist und die Aktion auf der Ebene des Transport-Agenten ausgeführt wird. Andernfalls wird die Aktion
nicht ausgeführt.
Nachricht löschen – Die gesamte Nachricht mit allen Inhalten, die die Bedingungen erfüllen, wird gelöscht.
Diese Aktion funktioniert nur unter VSAPI 2.5 und höheren Versionen. (Unter VSAPI 2.0 und bei älteren Versionen
kann die Aktion nicht ausgeführt werden.)
Datei in Quarantäne verschieben – Anhänge, die die Regelkriterien erfüllen, werden in die Quarantäne von
ESET Mail Security verschoben. Dies ist nicht mit der E-Mail-Quarantäne zu verwechseln. (Weitere Informationen
zur E-Mail-Quarantäne finden Sie im Kapitel Nachrichtenquarantäne 25 .)
Datei zur Analyse einreichen – Verdächtige Anlagen werden ESET zur Analyse zugesendet
Ereignismeldung senden – An den Administrator wird eine Meldung gesendet (gemäß den Einstellungen unter
Tools > Warnungen und Hinweise)
In Log schreiben – Angaben zur angewendeten Regel werden in das Programm-Log geschrieben
Weitere Regeln auswerten – Mit der Auswertung weiterer Regeln kann der Benutzer verschiedene Sätze von
Bedingungen definieren und entsprechende Aktionen festlegen
Mit Viren- und Spyware-Schutz prüfen – Die Nachricht und ihre Anlagen werden auf Bedrohungen geprüft
Mit Spam-Schutz prüfen – Die Nachricht wird auf Spam geprüft
HINWEIS: Diese Option steht nur ab Microsoft Exchange Server 2000 mit aktiviertem Transport-Agenten zur
Verfügung.
Im letzten Schritt des Assistenten zum Erstellen einer neuen Regel geben Sie jeder Regel einen Namen. Sie können
auch einen Kommentar eintragen. Diese Informationen werden in der Log-Datei von Microsoft Exchange Server
gespeichert.
23
3.1.3 Log-Dateien
Mit den Einstellungen für Log-Dateien können Sie wählen, was in der Datei enthalten sein soll. Ein sehr detailliertes
Protokoll ist zwar informativer, kann aber die Serverleistung beeinträchtigen.
Wenn die Option Synchron ohne Cache schreiben aktiviert ist, werden alle Log-Einträge sofort in die Log-Datei
geschrieben und nicht gepuffert. Standardmäßig speichern auf einem Exchange-Server installierte ESET Mail
Security-Komponenten Meldungen in ihrem internen Cache und senden sie in regelmäßigen Abständen an die LogDatei der Anwendung, um die Systemleistung zu erhalten. In diesem Fall kann es jedoch dazu kommen, dass
Diagnosedaten nicht in der korrekten Reihenfolge im Log protokolliert werden. Es wird empfohlen, diese
Einstellung nicht zu aktivieren, es sei denn, es ist nötig für eine Diagnose. Im Menü Inhalt können Sie die Art der in
den Log-Dateien gespeicherten Informationen festlegen.
Regelanwendung in Log schreiben – Wenn diese Option aktiviert ist, protokolliert ESET Mail Security die
Namen der aktivierten Regeln in der Log-Datei.
Spam-Score in Log schreiben – Mit dieser Option werden Aktivitäten in Verbindung mit Spam im Spam-SchutzLog 96 protokolliert. Empfängt der Server eine Spam-Mail, werden alle damit verbundenen Informationen (z. B.
Uhrzeit/Datum, Absender, Empfänger, Betreff, Spam-Score, Grund und Aktion) in das Log geschrieben. Dies ist
hilfreich, um herauszufinden, welche Spam-Mails empfangen wurden und wann welche Aktion gestartet wurde.
Greylisting-Aktivität in Log schreiben – Aktivieren Sie diese Option, wenn Aktivitäten in Verbindung mit
Greylisting im Greylisting-Log 96 protokolliert werden sollen. Die Datei enthält Informationen wie Uhrzeit/
Datum, HELO-Domain, IP-Adresse, Absender, Empfänger, Aktion usw.
HINWEIS: Dies funktioniert nur, wenn Greylisting in den Optionen für den Transport-Agenten 37 aktiviert ist.
Siehe erweiterte Einstellungen (F5) > Server-Schutz > Spam-Schutz > Microsoft Exchange Server > TransportAgent.
Performance in Log schreiben – Mit dieser Option werden Informationen zum Intervall des ausgeführten Tasks,
der Größe des geprüften Objekts, die Übertragungsrate (kB/s) und der Leistungswert protokolliert.
Diagnoseinformationen in Log schreiben – Mit dieser Option werden Diagnosedaten für die Feineinstellung des
Programms protokolliert; sinnvoll hauptsächlich zur Fehlersuche und -behebung. Es wird nicht empfohlen, diese
Option zu aktivieren. Damit die Diagnosedaten, die diese Option bietet, angezeigt werden, müssen Sie unter
Tools > Log-Dateien die Einstellung Mindestinformation in Logs auf Diagnosedaten setzen.
24
3.1.4 Quarantäne für Nachrichten
Das Postfach Quarantäne für Nachrichten ist ein besonderes, vom Systemadministrator eingerichtetes Postfach
für potenziell infizierte Nachrichten und Spam. Nachrichten in dieser Quarantäne können später mit einer neueren
Signaturdatenbank untersucht oder gesäubert werden.
Es gibt zwei Arten der Nachrichtenquarantäne.
Zum einen kann die Quarantäne auf einem Exchange-Server verwendet werden (nur für Microsoft Exchange Server
2007/2010). Eine interne Funktion des Servers speichert dabei potenziell infizierte Nachrichten und Spam. Sie
können bei Bedarf außerdem ein separates Quarantäne-Postfach (oder mehrere) für bestimmte Empfänger
einrichten. So werden potenziell infizierte E-Mails, die ursprünglich an einen bestimmten Empfänger gerichtet
waren, an ein separates Quarantäne-Postfach und nicht an das interne Quarantäne-Postfach des Exchange-Servers
gesendet. Dies ist für eine gründlichere Verwaltung der potenziell infizierten Nachrichten und Spam-Mails sinnvoll.
Zum anderen steht Ihnen die Option Zentrale Quarantäne für Nachrichten zur Verfügung. Wenn Sie eine frühere
Version von Microsoft Exchange Server (5.5, 2000 oder 2003) nutzen, müssen Sie das Postfach für potenziell
infizierte Nachrichten nur unter Zentrale Quarantäne für Nachrichten angeben. Die interne Quarantäne des
Exchange-Servers wird dann nicht verwendet. Stattdessen übernimmt ein vom Systemadministrator festgelegtes
Postfach diese Aufgabe. Wie bei der ersten Option können Sie bei Bedarf ein separates Quarantäne-Postfach (oder
mehrere) für bestimmte Empfänger einrichten. So werden potenziell infizierte E-Mails in ein separates Postfach und
nicht in die zentrale Quarantäne für Nachrichten verschoben.
Zentrale Quarantäne für Nachrichten – Hier können Sie die Adresse der zentralen Nachrichtenquarantäne
angeben (z. B. [email protected]). Sie können aber auch die interne Quarantäne von Microsoft
Exchange Server 2007/2010 wählen, indem Sie das Feld leer lassen und aus der Liste im unteren Bereich
Nachricht in Quarantäne des E-Mail-Servers verschieben wählen (vorausgesetzt, die Exchange-Quarantäne
ist für Ihre Umgebung aktiviert). Die interne Exchange-Funktion verschiebt dann nach ihren Einstellungen EMails in die Quarantäne.
HINWEIS: Standardmäßig ist die interne Quarantäne bei Microsoft Exchange Server deaktiviert. Zum Aktivieren
der Funktion müssen Sie folgenden Befehl in der Exchange-Verwaltungsshell eingeben:
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(geben Sie statt [email protected] das Postfach ein, das Microsoft Exchange Server als internes QuarantänePostfach verwenden soll, z. B. [email protected]
25
Quarantäne nach Empfänger – Mit dieser Option können Sie Quarantäne-Postfächer für mehrere Empfänger
festlegen. Welche Quarantäneregeln verwendet werden, können Sie steuern, indem Sie das dazugehörige
Kontrollkästchen aktivieren bzw. deaktivieren.
Hinzufügen... – Sie können eine neue Quarantäneregel hinzufügen, indem Sie die E-Mail-Adresse des
gewünschten Empfängers sowie die E-Mail-Adresse der Quarantäne eingeben, an die die E-Mail
weitergeleitet werden soll
Bearbeiten... – Ausgewählte Quarantäneregel bearbeiten
Entfernen – Löschen einer ausgewählten Quarantäneregel
Zentrale Quarantäne bevorzugen – Falls aktiv, werden Nachrichten, die mehrere Quarantäneregeln
erfüllen (z. B. bei mehreren Empfängern, für die teilweise mehrere Quarantäneregeln definiert sind), an
die angegebene zentrale Quarantäne gesendet
Nachrichten, die an nicht existierende Quarantäne gerichtet sind (Wenn Sie keine zentrale
Nachrichtenquarantäne festgelegt haben, sind für potenziell infizierte Nachrichten und Spam folgende Aktionen
verfügbar:)
Keine Aktion – mit der Nachricht wird wie üblich verfahren, d. h. sie wird an den Empfänger geschickt (nicht
empfohlen)
Nachricht löschen – die Nachricht wird gelöscht, wenn keine zentrale Quarantäne eingerichtet ist und die
Nachricht an einen Empfänger gerichtet ist, für den keine Quarantäneregel festgelegt ist; d. h. alle potenziell
infizierten Nachrichten und Spam werden ohne Zwischenspeicherung automatisch gelöscht
Nachricht in Quarantäne des E-Mail-Servers verschieben – die Nachricht wird in die interne Quarantäne des
Exchange-Servers verschoben und dort gespeichert (nicht verfügbar für Microsoft Exchange Server 2003 und
frühere Versionen)
HINWEIS: Bei der Konfiguration der Einstellungen für die Nachrichtenquarantäne können Sie auch Systemvariablen
verwenden (z. B. %USERNAME%).
3.1.4.1 Hinzufügen einer neuen Quarantäne-Regel
Geben Sie die E-Mail-Adresse des Empfängers und der Quarantäne in die entsprechenden Felder ein.
Wenn Sie eine E-Mail an einen Empfänger löschen möchten, für den keine Quarantäne-Regel festgelegt ist, können
Sie die Option Nachricht löschen aus dem Dropdownmenü Nachrichten, die an nicht existierende Quarantäne
gerichtet sind auswählen.
3.1.5 Leistung
In diesem Abschnitt können Sie einen Ordner festlegen, in dem zur Steigerung der Systemleistung temporäre
Dateien gespeichert werden. Wird kein Ordner angegeben, erstellt ESET Mail Security temporäre Dateien im
temporären Ordner des Systems.
HINWEIS: Es wird empfohlen, den temporären Ordner und Microsoft Exchange Server nicht auf derselben
Festplatte zu speichern, um das Risiko für E/A- und Fragmentierungsprobleme zu verringern. Wählen Sie auf keinen
Fall ein Wechselmedium (Diskette, USB, DVD usw.) als Speicherort für den temporären Ordner aus.
HINWEIS: Bei der Konfiguration der Leistungseinstellungen können Sie auch Systemvariablen verwenden (z. B. %
SystemRoot%\TEMP).
26
3.2 Einstellungen für Viren- und Spyware-Schutz
Um den Viren- und Spyware-Schutz für E-Mail-Server zu aktivieren, wählen Sie die Option Viren- und SpywareSchutz für Server aktivieren. Beachten Sie, dass der Viren- und Spyware-Schutz nach jedem Neustart des
Dienstes/Computers automatisch aktiviert ist. Die Einstellungen für ThreatSense erreichen Sie über die
Schaltfläche Einstellungen.
Für den Viren- und Spyware-Schutz stehen ESET Mail Security für Microsoft Exchange Server zwei Prüfmethoden
zur Verfügung. Eine Methode prüft E-Mails mit VSAPI, die andere verwendet einen Transport-Agenten.
Der VSAPI
28
-Schutz prüft E-Mails direkt im Speicher des Exchange-Servers.
Der Transport-Agent 33 prüft dagegen die SMTP-Datenübertragung. Ist diese Prüfmethode aktiviert, werden alle
E-Mails und ihre Komponenten während der Übermittlung geprüft, d. h. noch bevor sie den Speicher des
Exchange-Servers erreichen oder per SMTP gesendet werden. Die Prüfung auf dem SMTP-Server wird mit einem
speziellen Plug-In durchgeführt. Bei Microsoft Exchange Server 2000 und 2003 ist das entsprechende Plug-In
(Ereignissenke) als Teil der Internetinformationsdienste (IIS) auf dem SMTP-Server registriert. Bei Microsoft
Exchange Server 2007/2010 ist das Plug-In als Transport-Agent in den Rollen „Edge“ oder „Hub “ des MicrosoftExchange-Servers registriert.
HINWEIS: Der Transport-Agent ist für alle Versionen von Microsoft Exchange Server ab 2000 verfügbar, für
Microsoft Exchange Server 5.5 dagegen nicht.
Der Viren- und Spyware-Schutz kann gleichzeitig mit VSAPI und Transport-Agent aktiviert sein (dies ist die
Standardeinstellung, die auch empfohlen ist). Sie können allerdings auch nur eine Prüfmethode aktivieren (VSAPI
oder Transport-Agent). Beide Methoden können unabhängig voneinander aktiviert oder deaktiviert werden. Für
maximalen Viren- und Spyware-Schutz sollten Sie beide Methoden verwenden. Deaktivieren Sie nicht beide
Prüfmethoden.
27
3.2.1.1 Virus-Scanning Application Programming Interface (VSAPI)
Microsoft Exchange Server verfügt über eine Technik, mit der Sie sicherstellen können, dass jeder Teil einer
Nachricht auf Schadsoftware in der aktuellen Signaturdatenbank geprüft wird. Wurde eine E-Mail bisher nicht
überprüft, so werden die entsprechenden Komponenten an das Prüfmodul gesendet, bevor die E-Mail für den Client
freigegeben wird. Jede unterstützte Version von Microsoft Exchange Server (5.5/2000/2003/2007/2010) verfügt
über eine andere VSAPI-Version.
3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0)
Diese Version von Microsoft Exchange Server enthält die VSAPI-Version 1.0.
Aktivieren Sie die Option Hintergrundprüfung, um alle Nachrichten im Hintergrund prüfen zu lassen. Microsoft
Exchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zu
diesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft Exchange
Server protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sie
eine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von Microsoft
Exchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-MailProgramm öffnen können.
Da eine Hintergrundprüfung das System belastet (nach jedem Update der Signaturdatenbank findet eine Prüfung
statt), sollten Prüfungen außerhalb der Arbeitszeiten stattfinden. Sie können die Hintergrundprüfung mit einem
speziellen Task starten. Wenn Sie einen Task für die Hintergrundprüfung erstellen, können Sie die Startzeit, Anzahl
der Wiederholungen und andere Parameter im Taskplaner festlegen. Nach dem Erstellen des Tasks erscheint dieser
in der Task-Liste. Wie bei allen anderen Tasks können Sie ihn über seine Parameter ändern, löschen oder
vorübergehend deaktivieren.
3.2.1.1.1.1 Aktionen
In diesem Bereich können Sie Aktionen festlegen, die ausgeführt werden sollen, wenn eine Nachricht und/oder eine
Anlage als infiziert bewertet werden.
Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschen
oder Keine Aktion für den infizierten Inhalt wählen. Diese Aktion wird nur ausgeführt, wenn die Nachricht nicht
automatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern 78 ).
Mit dem Feld Löschoptionen können Sie eine der beiden Option für die Löschmethode für Anlagen wählen:
Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte und
übermittelt dem Empfänger ihren Namen und Typ
Anlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch ein
Virenprotokoll oder eine Regelbeschreibung
Klicken Sie auf Erneut prüfen, um bereits geprüfte Nachrichten und Dateien erneut zu prüfen.
3.2.1.1.1.2 Leistung
Während einer Prüfung können Sie für Microsoft Exchange Server eine zeitliche Begrenzung für das Öffnen von EMail-Anlagen festlegen. Den Zeitraum, bis der Client erneut versucht, auf eine Datei zuzugreifen, die zuvor geprüft
wurde und damit nicht verfügbar war, können Sie im Feld Zeitbegrenzung für Antwort (ms) festlegen.
3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0)
Wenn Sie die Option Viren- und Spyware-Schutz mit VSAPI 2.0 aktivieren deaktivieren, wird das ESET Mail
Security-Plug-In für Exchange-Server nicht aus dem Exchange-Serverprozess entfernt. Vielmehr werden die E-Mails
dann lediglich weitergeleitet, ohne eine Virenprüfung vorzunehmen. Die E-Mails werden allerdings weiterhin auf
Spam 37 geprüft und auch die Regeln 21 werden angewendet.
Wenn die Option Proaktive Prüfung aktiviert ist, werden neue eingehende E-Mails in der Reihenfolge ihres
Eingangs geprüft. Wenn diese Option deaktiviert ist und ein Benutzer eine noch ungeprüfte E-Mail öffnet, wird
diese Nachricht vor den anderen E-Mails in der Warteschlange geprüft.
Mit der Option Hintergrundprüfung können Sie alle Nachrichten im Hintergrund prüfen lassen. Microsoft
28
Um E-Mails im Nur-Text-Format zu prüfen, wählen Sie die Option E-Mail-Inhalt prüfen (Format Nur-Text).
Wenn Sie die Option E-Mail-Inhalt prüfen (Format Rich-Text) aktivieren, werden RTF-Nachrichtentexte geprüft.
E-Mail-Texte im Format Rich-Text können Makroviren enthalten.
Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschen
oder Keine Aktion für den infizierten Inhalt wählen. Diese Aktion wird nur ausgeführt, wenn die Nachricht nicht
automatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern 78 ).
Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichten und die Löschmethode für
Anlagen festlegen.
Für die Löschmethode für Nachrichten haben Sie folgende Möglichkeiten:
Body der Nachricht löschen – Der Inhalt der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leere
E-Mail und nicht infizierte Anlagen
Body durch Angaben zur Aktion ersetzen – Der Body der infizierten Nachricht wird durch Informationen zu
ausgeführten Aktionen ersetzt
Für die Löschmethode für Anlagen haben Sie folgende Möglichkeiten:
In diesem Bereich können Sie die Anzahl der zur gleichen Zeit und unabhängig voneinander stattfindenden
Prüfungs-Threads festlegen. Auf Mehrprozessor-Computern kann eine höhere Anzahl an Threads die Prüfrate
erhöhen. Um die optimale Programmleistung zu erreichen, empfehlen wir Ihnen, die gleiche Anzahl an
ThreatSense-Prüfengines und Threads zu verwenden.
Mit der Option Zeitbegrenzung für Antwort (s) können Sie die maximale Länge einer Prüfung für einen Thread
festlegen. Wird die Prüfung innerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft Exchange
Server dem Client den Zugriff auf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriff
auf die Datei jederzeit möglich.
TIPP: Mit der folgenden Formel ermitteln Sie die Anzahl der Prüfungs-Threads, die für Microsoft Exchange Server
empfohlen werden: [Anzahl der physischen Prozessoren] x 2 + 1.
HINWEIS: Eine größere Anzahl an ThreatSense-Prüfengines als an Threads erhöht die Leistung nicht merklich.
29
3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5)
Die Option Nachrichtentransport prüfen aktiviert die Prüfung von E-Mails, die nicht auf dem lokalen MicrosoftExchange-Server gespeichert, sondern an andere E-Mail-Server weitergeleitet werden. Der Microsoft-ExchangeServer kann als Gateway-Server eingerichtet werden, der die E-Mails auf andere E-Mail-Server verteilt. Ist die
Option für die Prüfung des Nachrichtentransports aktiviert, prüft ESET Mail Security auch die weitergeleiteten EMails. Diese Option ist nur verfügbar, wenn der Transport-Agent deaktiviert ist.
HINWEIS: E-Mail-Inhalte im Format Nur-Text werden nicht mit VSAPI geprüft.
Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschen, die
Gesamte Nachricht löschen (inklusive infizierter Inhalte) oder Keine Aktion wählen. Diese Aktion wird nur
ausgeführt, wenn die Nachricht nicht automatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern
78 ).
Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichten und die Löschmethode für
Anlagen festlegen.
Für die Löschmethode für Nachrichten haben Sie folgende Möglichkeiten:
Body der Nachricht löschen – Der Body der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leere
Body durch Angaben zur Aktion ersetzen – Der Inhalt der infizierten Nachricht wird durch Informationen zu
Gesamte Nachricht löschen – Die gesamte Nachricht wird gelöscht, einschließlich der Anlagen; Sie können
festlegen, welche Aktion beim Löschen von Anlagen ausgeführt werden sollen
30
Mit der Option Zeitbegrenzung für Antwort (s) können Sie die maximale Länge einer Prüfung für einen Thread
festlegen. Wird die Prüfung innerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft Exchange
Server dem Client den Zugriff auf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriff
auf die Datei jederzeit möglich.
3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6)
Exchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-MailProgramm öffnen können. Sie können zwischen den Optionen Nur Nachrichten mit Dateianlage überprüfen und
Prüfstufe (filterbasiert nach Eingangszeit) wählen:
Alle Nachrichten
Nachrichten aus dem letzten Jahr
Nachrichten aus den letzten 6 Monaten
Nachrichten aus den letzten 3 Monaten
Nachrichten aus dem letzten Monat
Nachrichten aus der letzten Woche
31
HINWEIS: E-Mail-Inhalte im Format Nur-Text werden nicht mit VSAPI geprüft.
Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, ein Objekt löschen,
wenn der Inhalt der Nachricht infiziert ist, eine Gesamte Nachricht löschen oder Keine Aktion wählen. Diese
Aktion wird nur ausgeführt, wenn die Nachricht nicht automatisch gesäubert wurde (siehe ThreatSenseEinstellungen > Säubern 78 ).
Wie oben beschrieben, haben Sie für die Option Aktion, wenn Säubern nicht möglich ist folgende Möglichkeiten:
Keine Aktion – Der infizierte Inhalt der Nachricht bleibt unverändert
Blockieren –- Die Nachricht wird blockiert, bevor sie im Speicher von Microsoft Exchange Server eingeht
Objekt löschen – Der infizierte Inhalt der Nachricht wird gelöscht
Gesamte Nachricht löschen – Die gesamte Nachricht, und damit der infizierte Inhalt, wird gelöscht
Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichteninhalt und die Löschmethode für
Anlagen festlegen.
Für die Löschmethode für Nachrichteninhalt haben Sie folgende Möglichkeiten:
Body der Nachricht löschen – Der Inhalt der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leere
Body durch Angaben zur Aktion ersetzen – Der Inhalt der infizierten Nachricht wird durch Informationen zu
Gesamte Nachricht löschen – Die Anlage wird gelöscht
Wenn die Option VSAPI-Quarantäne verwenden aktiviert ist, werden infizierte Nachrichten in der Quarantäne
des E-Mail-Servers gespeichert. Beachten Sie, dass es sich dabei um die verwaltete VSAPI-Quarantäne des Servers
handelt (und nicht um die Quarantäne des Clients oder das Quarantäne-Postfach). Auf infizierte Nachrichten, die in
der E-Mail-Server-Quarantäne gespeichert werden, ist kein Zugriff möglich, bis sie mit der neuesten
Signaturdatenbank gesäubert werden.
32
3.2.1.1.5 Transport-Agent
In diesem Bereich können Sie den Viren- und Spyware-Schutz durch den Transport-Agenten aktivieren oder
deaktivieren. Ab Microsoft Exchange Server 2007 können Sie nur dann einen Transport-Agenten installieren, wenn
der Server eine dieser zwei Rollen übernimmt: Edge-Transport oder Hub-Transport.
Kann eine E-Mail nicht gesäubert werden, wird sie gemäß den Einstellungen für den Transport-Agenten verarbeitet.
Die E-Mail kann gelöscht, in die Quarantäne verschoben oder unverändert erhalten werden.
Wenn Sie die Option Viren- und Spyware-Schutz durch Transport-Agenten aktivieren deaktivieren, wird das
ESET Mail Security-Plug-In für Exchange-Server nicht aus dem Exchange-Serverprozess entfernt. Vielmehr werden
die E-Mails dann lediglich weitergeleitet, ohne eine Virenprüfung vorzunehmen. Die E-Mails werden allerdings
weiterhin auf Spam 37 geprüft und auch die Regeln 21 werden angewendet.
Aktivieren Sie Viren- und Spyware-Schutz durch Transport-Agenten aktivieren, um die Aktion, wenn Säubern
nicht möglich ist, festzulegen:
Nachricht behalten – Erhält eine infizierte E-Mail, die nicht entfernt werden konnte, unverändert
Nachricht in Quarantäne verschieben – Sendet eine infizierte E-Mail an das Quarantäne-Postfach
Nachricht löschen – Löscht eine infizierte E-Mail
Folgenden Spam-Score (%) in den Header von Nachrichten schreiben, die eine Bedrohung enthalten – Vergibt
einen festgelegten Spam-Score (d. h. die Wahrscheinlichkeit, dass es sich bei dieser E-Mail um Spam handelt) in
Prozent
Dies bedeutet, dass ein Spam-Score (ein festgelegter Wert in %) in die geprüfte E-Mail geschrieben wird, wenn eine
Bedrohung erkannt wurde. Da die meisten infizierten E-Mails über Botnetze versendet werden, müssen
Nachrichten, die auf diesem Wege verteilt werden, als Spam eingestuft werden. Damit dies ordnungsgemäß
funktioniert, muss die Option Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score in geprüfte
Nachrichten schreiben unter Server-Schutz > Microsoft Exchange Server > Transport-Agent 19 aktiviert sein.
Ist die Option Auch Nachrichten prüfen, die über authentifizierte oder interne Verbindungen eingehen
aktiviert, prüft ESET Mail Security auch E-Mails von authentifizierten Quellen oder lokalen Servern. Diese Art der
Prüfung ist optional, wird aber empfohlen, da durch sie der Schutz weiter erhöht wird.
33
3.2.2 Aktionen
In diesem Bereich können Sie die ID eines Prüf-Tasks und/oder Prüfergebnisse in den Header geprüfter E-Mails
schreiben lassen.
3.2.3 Warnungen und Hinweise
Mit ESET Mail Security können Sie einen Text an den ursprünglichen Betreff oder den Body infizierter Nachrichten
anhängen.
34
Zum Body geprüfter Nachrichten hinzufügen: bietet drei Optionen:
Nicht anhängen
Nur an infizierte Nachrichten anhängen
An alle geprüften Nachrichten anhängen (gilt nicht für interne Nachrichten)
Wenn Sie Zum Betreff infizierter Nachrichten hinzufügen aktivieren, hängt ESET Mail Security einen Prüfhinweis
an den E-Mail-Betreff an. Der Wert dieses Hinweises ist im Textfeld Text, der zur Betreffzeile infizierter
Nachrichten hinzugefügt wird hinterlegt (standardmäßig lautet er [Virus %VIRUSNAME%]). Die erwähnte
Bearbeitung kann das Filtern von infizierten E-Mails automatisieren, indem infizierte E-Mails mit einem
bestimmten Betreff in einem separaten Ordner abgelegt werden (falls Ihr E-Mail-Programm dies unterstützt).
HINWEIS: Im Hinweistext für den Betreff können Sie auch Systemvariablen verwenden.
3.2.4 Automatische Ausschlüsse
Die Entwickler von Server-Anwendungen und Betriebssystemen empfehlen für die meisten ihrer Produkte, kritische
Arbeitsdateien und -ordner vom Virenschutz auszuschließen. Prüfungen mit einer Virenschutz-Software können die
Serverleistung beeinträchtigen, zu Konflikten führen und sogar die Ausführung mancher Anwendungen auf dem
Server verhindern. Ausschlussfilter können beim Anwenden von Virenschutz-Software das Konfliktrisiko
minimieren und die Gesamtleistung des Servers steigern.
ESET Mail Security identifiziert Anwendungen und Betriebssystem-Dateien, die für den Server kritisch sind, und
übernimmt sie automatisch in die Liste Ausgeschlossene Elemente. Sobald diese Elemente der Liste hinzugefügt
wurden, kann über das entsprechende Kontrollkästchen der Serverprozess bzw. die Serveranwendung mit
folgendem Ergebnis aktiviert (Standard) und deaktiviert werden:
1) Bleibt eine Anwendung bzw. eine Betriebssystemdatei weiterhin ausgeschlossen, werden alle zugehörigen
kritischen Dateien und Ordner zur Liste der von der Prüfung ausgeschlossenen Elemente hinzugefügt (
Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente).
Bei jedem Neustart des Servers werden die Ausschlüsse automatisch überprüft und alle aus der Liste gelöschten
Ausschlüsse wiederhergestellt. Diese Einstellung wird empfohlen, wenn Sie sicherstellen wollen, dass die
empfohlenen automatischen Ausschlüsse immer angewendet werden.
2) Wenn der Benutzer den Ausschluss einer Anwendung bzw. eines Betriebssystems aufhebt, bleiben alle
zugehörigen kritischen Dateien und Ordner in der Liste der von der Prüfung ausgeschlossenen Elemente (
Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente).
Sie werden jedoch nicht bei jedem Neustart des Servers automatisch überprüft und in der Liste Ausgeschlossene
Elemente aktualisiert (siehe Punkt 1 oben). Wir empfehlen diese Einstellung fortgeschrittenen Benutzern, die
Standard-Ausschlüsse entfernen oder bearbeiten möchten. Wenn Sie Elemente aus der Ausschlussliste entfernen
möchten, ohne den Server neu zu starten, müssen Sie manuell vorgehen (Erweiterte Einstellungen >
Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente).
Benutzerdefinierte Ausschlüsse, die manuell eingetragen wurden (Erweiterte Einstellungen > Computer-Schutz >
Viren- und Spyware-Schutz > Ausgeschlossene Elemente), sind von den oben beschriebenen Einstellungen nicht
betroffen.
Die automatischen Ausschlüsse für Serveranwendungen bzw. Betriebssystemdateien werden nach MicrosoftEmpfehlungen ausgewählt. Weitere Informationen finden Sie hier:
http://support.microsoft.com/kb/822158
http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx
http://technet.microsoft.com/en-us/library/bb332342.aspx
35
3.3 Spam-Schutz
Im Bereich Spam-Schutz können Sie den Spam-Schutz für den installierten E-Mail-Server aktivieren/deaktivieren,
die Einstellungen des Spam-Schutzes konfigurieren und andere Schutzmaßnahmen ergreifen.
HINWEIS: Um zu gewährleisten, dass das Spamschutz-Modul den bestmöglichen Schutz bietet, muss die
Spamschutz-Datenbank regelmäßig aktualisiert werden. Um das ordnungsgemäße Ausführen der regelmäßigen
Updates der Spamschutz-Datenbank zu ermöglichen, müssen Sie sicherstellen, dass ESET Mail Security auf
bestimmte IP-Adressen und Ports zugreifen kann. In diesem KB-Artikel finden Sie weitere Informationen zu den IPAdressen und Ports, die hierzu in Ihrer Firewall aktiviert werden müssen.
HINWEIS: Mirrors 89 können nicht für die Updates der Spamschutz-Datenbank verwendet werden. Damit die
Updates der Spamschutz-Datenbank ordnungsgemäß ausgeführt werden können, muss ESET Mail Security auf die
im oben genannten KB-Artikel aufgeführten IP-Adressen zugreifen können. Ohne Zugriff auf diese IP-Adressen kann
das Spamschutz-Modul keine akkuraten Ergebnis liefern und bietet nicht den bestmöglichen Schutz.
36
3.3.1.1 Transport-Agent
In diesem Bereich können Sie über den Transport-Agenten die Einstellungen für den Spam-Schutz festlegen.
HINWEIS: Für Microsoft Exchange Server 5.5 ist der Transport-Agent nicht verfügbar.
Über Spam-Schutz durch Transport-Agenten aktivieren können Sie eine der folgenden Optionen als Aktion für
Spam-Mails festlegen:
Nachricht beibehalten – Erhält die Nachricht, auch wenn sie als Spam eingestuft ist
Nachricht in Quarantäne verschieben – Sendet eine als Spam eingestufte E-Mail an das Quarantäne-Postfach
Nachricht löschen – Löscht eine als Spam eingestufte E-Mail
Aktivieren Sie Spam-Score in den Header geprüfter Nachrichten schreiben, um im Header der E-Mail den SpamScore zu hinterlegen.
Über die Funktion Spam-Schutz mit Exchange Server-Positivlisten automatisch umgehen kann festgelegt
werden, dass ESET Mail Security bestimmte Exchange-Positivlisten verwendet. Wenn dies aktiviert wird, wird
Folgendes berücksichtigt:
Die IP-Adresse des sendenden Servers ist in der Liste zugelassener IP-Adressen des Exchange-Servers enthalten
Der Nachrichtenempfänger hat in seinem Postfach die Spamschutz-Umgehungsflagge gesetzt
Beim Nachrichtenempfänger ist die Absenderadresse in der Liste sicherer Absender enthalten (stellen Sie sicher,
dass die Synchronisierung der Liste sicherer Absender und die Aggregation der Liste in der Exchange ServerUmgebung konfiguriert ist)
Wenn einer der oben genannten Punkte auf eine eingehende Nachricht zutrifft, wird die Spamprüfung für diese
Nachricht übergangen. Die Nachricht wird also nicht auf Spam untersucht und an das Postfach des Empfängers
zugestellt.
Die Option Markierung der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen ist hilfreich, wenn
authentifizierte SMTP-Sitzungen zwischen den Exchange-Servern auftreten, die eine solche Markierung/Flagge
verwenden. Wenn Sie beispielsweise einen Edge- und einen Hub-Server einsetzen, muss der Datenverkehr zwischen
diesen beiden Servern nicht auf Spam überprüft werden. Die Option Markierung der SMTP-Sitzung zur
Umgehung des Spam-Schutzes zulassen ist standardmäßig aktiviert und wird angewendet, wenn für SMTPSitzungen auf dem Exchange-Server eine Flagge zur Umgehung des Spamschutzes gesetzt ist. Wenn Sie
Markierung der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen deaktivieren, prüft ESET Mail
37
Security die SMTP-Sitzung auf Spam, auch wenn auf dem Exchange Server die Flagge zur Umgehung gesetzt ist.
Mit der Option Greylisting aktivieren starten Sie eine Programmfunktion, die Benutzer folgendermaßen vor Spam
schützt: Der Transport-Agent sendet den SMTP-Rückgabewert „vorübergehend abgelehnt“ (standardmäßig
451/4.7.1) für jede E-Mail von einem nicht erkannten Absender. Ein rechtmäßiger Server wird nach kurzer Wartezeit
erneut versuchen, die E-Mail zu senden. Spam-Server unternehmen gewöhnlich keinen zweiten Zustellversuch, da
sie Tausende von E-Mail-Adressen abarbeiten müssen und diese zeitraubende Aktion daher unterlassen. Die
Greylisting-Technik erhöht den Spam-Schutz, ohne die Spam-Erkennung des Spam-Schutz-Moduls zu beeinflussen.
Beim Prüfen des Absenders berücksichtigt diese Technik die AntispamBypass-Einstellungen für das Postfach des
Empfängers sowie die Einstellungen für folgende Listen auf dem Exchange-Server: Freigegebene IP-Adressen,
Ignorierte IP-Adressen, Sichere Absender und IP-Adressen zulassen. Bei E-Mails von den gespeicherten IPAdressen/Absendern bzw. E-Mails, die an ein Postfach mit aktivierter AntispamBypass-Option gesendet werden,
findet kein Greylisting statt.
Im Feld SMTP-Antwort für zeitweise abgewiesene Verbindungen können Sie die Antwort an den SMTP-Server
für die vorübergehende Ablehnung einer E-Mail festlegen.
Beispiel für SMTP-Antwort:
Primärer Antwortcode
Ergänzender Statuscode
Beschreibung
451
4.7.1
Angeforderte Aktion abgebrochen: lokaler
Verarbeitungsfehler
Warnung: SMTP-Antworten mit falscher Syntax können zu einem fehlerhaften Verhalten des GreylistingSchutzmoduls führen. Möglicherweise werden dann Spam-Mails an Clients weitergeleitet bzw. E-Mails überhaupt
nicht zugestellt.
Zeitlimit für Abweisen des ersten Zustellversuchs (Min.) – Legt die Zeitspanne fest, in der die E-Mail, die beim
ersten Sendeversuch vorübergehend abgelehnt wurde, immer abgelehnt wird (gemessen ab der ersten Ablehnung).
Ist diese Zeitspanne vorüber, kann die E-Mail erfolgreich gesendet werden. Der Mindestwert beträgt 1 Minute.
Ablauf nicht verifizierter Verbindungen nach (Stunden) – Legt fest, wie lange die drei Hauptinformationen einer
E-Mail gespeichert werden. Ein rechtmäßiger Server muss die erwartete Nachricht vor dem Ablauf dieses Intervalls
erneut senden. Der Wert muss größer sein als der Wert für Zeitlimit für Abweisen des ersten Zustellversuchs.
Ablauf verifizierter Verbindungen nach (Tage) – Legt fest, wie viele Tage E-Mail-Informationen mindestens
gespeichert werden. Während dieser Zeit werden E-Mails von bestimmten Absendern ohne Zeitverzögerung
empfangen. Dieser Wert muss größer sein als der Wert für Ablauf nicht verifizierter Verbindungen.
HINWEIS: Für die Konfiguration des SMTP-Rejects können Sie auch Systemvariablen verwenden.
3.3.1.2 POP3-Connector und Spam-Schutz
Microsoft Windows Small Business Server (SBS)-Versionen enthalten einen POP3-Connector, mit dem der Server EMail-Nachrichten von externen POP3-Servern abrufen kann. Die Implementierung dieses „Standard“-POP3Connectors ist je nach SBS-Version unterschiedlich.
ESET Mail Security unterstützt den POP3-Connector von Microsoft SBS auf SBS 2008. Nachrichten, die über diesen
POP3-Connector heruntergeladen werden, werden auf Spam überprüft. Dies ist möglich, weil die Nachrichten über
SMTP zu Microsoft Exchange übertragen werden. Der Microsoft SBS-POP3-Connector unter SBS 2003 wird jedoch
von ESET Mail Security nicht unterstützt. Über diesen Connector übertragene Nachrichten werden daher nicht auf
Spam gepüft. Dies liegt daran, dass die Nachrichten die SMTP-Warteschlange umgehen.
Zusätzlich sind verschiedene POP3-Connectors von Drittanbietern verfügbar. Ob die über einen bestimmten POP3Connector abgerufenen Nachrichten auf Spam überprüft werden, hängt von der vom jeweiligen POP-Connector
verwendeten Methode zum Abrufen der Nachrichten ab. Beispielsweise überträgt GFI POP2Exchange die
Nachrichten über das PICKUP-Verzeichnis. Die Nachrichten werden daher nicht auf Spam geprüft. Ähnliche
Probleme können mit Produkten auftreten, die die Nachrichten über eine authentifizierte Sitzung übertragen
(beispielsweise IGetMail), oder wenn Exchange die Nachrichten als interne Nachrichten markiert, da in diesem Fall
der Spam-Schutz standardmäßig umgangen wird. Diese Einstellung kann in der Konfigurationsdatei geändert
werden. Exportieren Sie die Konfiguration in eine XML-Datei, ändern Sie den Wert der Einstellung
AgentASScanSecureZone zu "1" und importieren Sie die Konfiguration wieder zurück (Informationen zum Importieren
und Exportieren einer Konfigurationsdatei finden Sie im Kapitel Einstellungen importieren und exportieren 128 ).
38
Alternativ können Sie in der Baumstruktur der erweiterten Einstellungen (F5) die Option Markierung der SMTPSitzung zur Umgehung des Spam-Schutzes zulassen deaktivieren. Diese Option finden Sie unter Serverschutz >
Spam-Schutz > Microsoft Exchange Server > Transport-Agent. Wenn Sie diese Option deaktivieren, prüft ESET
Mail Security die SMTP-Sitzung auf Spam und ignoriert die Einstellung des Exchange-Servers zur Umgehung von
Spam.
3.3.2 Spam-Schutz
Hier können Sie die Parameter für den Spam-Schutzkonfigurieren. Klicken Sie dazu auf Einstellungen.... Ein
Fenster wird angezeigt, in dem Sie die Einstellungen für den Spamschutz festlegen können.
Nachrichten-Kategorisierung
Der Spam-Schutz von ESET Mail Security weist jeder geprüften E-Mail einen Spam-Score von 0 bis 100 zu. Indem Sie
die Grenzen des Spam-Score verändern, bestimmen Sie:
1) ob eine E-Mail als Spam oder kein Spam eingestuft wird. E-Mails, deren Spam-Score mindestens so hoch ist wie
die Einstellung Spam-Score, ab dem Nachricht als Spam gewertet wird , werden als Spam eingestuft. Ist dies
der Fall, werden die im Transport-Agenten 37 festgelegten Aktionen auf diese E-Mails angewendet.
2) ob eine E-Mail im Spam-Schutz-Log 96 protokolliert wird (Tools > Log-Dateien > Spam-Schutz). E-Mails, deren
Spam-Score mindestens so hoch ist wie die Einstellung Spam-Score, ab dem angenommen wird, dass eine
Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist, werden im Log protokolliert.
3) in welchen Bereich der Spam-Schutz-Statistik die fragliche E-Mail gehört (Schutzstatus > Statistik > E-MailServer - Spam-Schutz).
Als SPAM gewertete Nachrichten – Der Spam-Score der E-Mail entspricht mindestens dem unter Spam-Score, ab
dem Nachricht als Spam gewertet wird festgelegten Wert
Als vermutlich SPAM gewertete Nachrichten: – Der Spam-Score der E-Mail ist mindestens so hoch wie der unter
Spam-Score, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich
legitim ist festgelegte Wert
Als vermutlich KEIN Spam gewertete Nachrichten – Der Spam-Score der E-Mail ist niedriger als der unter SpamScore, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist
festgelegte Wert
Als KEIN SPAM gewertete Nachrichten – Der Spam-Score der E-Mail ist niedriger als der unter Spam-Score, ab
dem Nachricht als legitim gewertet wird festgelegte Wert
3.3.2.1 Einstellungen für Spam-Schutz
3.3.2.1.1 Analyse
In diesem Abschnitt können Sie konfigurieren, wie Nachrichten auf Spam überprüft und anschließend verarbeitet
werden.
Nachrichtenanlagen prüfen – Mit dieser Option legen Sie fest, ob das Spamschutz-Modul Anlagen prüft und bei
der Berechnung des Spam-Score berücksichtigt.
Beide MIME-Abschnitte verwenden – Das Spamschutz-Modul analysiert beide MIME-Abschnitte (Nur-Text und
HTML) der Nachricht. Wenn eine bessere Leistung erwünscht ist, kann die Analyse auf einen Abschnitt beschränkt
werden. Wenn die Option deaktiviert ist, wird nur ein Abschnitt analysiert.
Speichergröße für Score-Berechnung (in Byte): – Mit dieser Option können Sie festlegen, dass das SpamschutzModul beim Verarbeiten der Regeln nur einen bestimmten, in Byte festgelegten Teil des Speicherpuffers liest.
Speichergröße für Probenberechnung (in Byte): – Mit dieser Option wird das Spamschutz-Modul angewiesen,
beim Berechnen des Fingerabdrucks einer Nachricht nur die festgelegte Bytezahl zu lesen. Dies ist hilfreich, um
konsistente Fingerabdrücke zu erhalten.
LegitRepute-Cachespeicher verwenden – Aktiviert die Nutzung des LegitRepute-Cachespeichers, um besonders
bei Newslettern die Zahl falsch positiver Ergebnisse zu reduzieren.
Zu UNICODE konvertieren – Ermöglicht eine höhere Genauigkeit und einen höheren Durchsatz bei E-MailNachrichten in Unicode, besonders für Doppelbyte-Sprachen, indem die Nachricht in Einzelbyte-Inhalt konvertiert
39
wird.
Domänencachespeicher verwenden – Aktiviert die Nutzung eines Domänenreputations-Cache. Wenn die Option
aktiviert ist, werden die Domänen der Nachrichten extrahiert und mit einem Domänenreputations-Cachespeicher
verglichen.
3.3.2.1.1.1 Proben
Cachespeicher verwenden – Aktiviert die Nutzung des Fingerabruck-Cache (standardmäßig aktiviert).
MSF einschalten – Ermöglicht die Nutzung eines alternativen Fingerabdruck-Algorithmus (MSF). Nach der
Aktivierung können Sie folgende Grenzwerte festlegen:
Anzahl der Nachrichten für Bulk-Nachricht: – Hier können Sie festlegen, ab wie vielen ähnlichen Nachrichten
eine Nachricht als Bulk eingestuft wird.
Häufigkeit des Löschens des Cachespeichers: – Mit dieser Option können Sie eine interne Variable angeben, die
festlegt, wie oft der MSF-Cache geleert wird.
Empfindlichkeit für Probenübereinstimmung: – Diese Option legt den Übereinstimmungsprozentwert für zwei
Fingerabdrücke fest. Wenn der Übereinstimmungsprozentwert über diesem Grenzwert liegt, werden die
Nachrichten als identisch betrachtet.
Zahl der gespeicherten Proben: – Mit dieser Option legen Sie fest, wie viele MSF-Fingerabdrücke im Speicher
bewahrt werden. Je höher der Wert, desto mehr Speicherplatz wird verwendet und desto höher ist die
Genauigkeit.
3.3.2.1.1.2 SpamCompiler
SpamCompiler aktivieren – Beschleunigt das Verarbeiten von Regeln, erfordert jedoch etwas mehr Speicher.
Bevorzugte Version: – Legt fest, welche SpamCompiler-Version verwendet werden soll. Wenn der Wert
Automatisch ausgewählt wird, wählt das Spamschutz-Modul die am besten geeignete Version aus.
Cachespeicher verwenden – Wenn diese Option aktiviert ist, speichert SpamCompiler die kompilierten Daten auf
dem Datenträger, und nicht im Speicher, um die Speicherauslastung zu reduzieren.
Liste der Cachespeicherdateien: – Diese Option legt fest, welche Regeldateien auf dem Datenträger und nicht im
Speicher kompiliert werden.
Legen Sie Regeldatei-Indexes fest, die im Cachespeicher auf dem Datenträger gespeichert werden. Verwalten Sie
die Regeldatei-Indexes mit folgenden Funktionen:
Hinzufügen...
Bearbeiten...
Entfernen
HINWEIS: Als Zeichen sind nur Zahlen zugelassen.
3.3.2.1.2 Trainingsmodus
Trainingsmodus für Fingerabdruck-Score der Nachricht – Aktiviert das Training für den Fingerabdruck-Score.
Trainingswörter verwenden – Mit dieser Option wird gesteuert, ob der Bayessche Spamfilter verwendet wird.
Seine Verwendung erhöht die Genauigkeit, fordert jedoch mehr Speicherplatz und dauert etwas länger.
Wörter in Cachespeicher: – Diese Option legt die Zahl der Wort-Token zu einem beliebigen Zeitpunkt im
Cachespeicher fest. Je höher der Wert, desto mehr Speicherplatz wird verwendet und desto höher ist die
Genauigkeit. Um einen Wert einzugeben, aktivieren Sie zunächst die Option Trainingswörter verwenden.
Trainings-Datenbank nur lesen: – Mit dieser Option wird festgelegt, ob die Trainings-Datenbank für Wörter,
Regeln und Fingerabdrücke aktualisiert werden kann oder ob sie nach dem ersten Laden nur mit Lesezugriff
verwendet wird. Eine Trainings-Datenbank nur mit Lesezugriff ist schneller.
Empfindlichkeit für automatisches Training: – Legt einen Grenzwert für das automatische Training fest. Wenn
eine Nachricht einen Score erhält, der mindestens dem oberen Grenzwert entspricht, wird die Nachricht als Spam
eingestuft und zum Training aller mit dem Bayesschen Filter aktivierten Module (Regeln und/oder Wörter)
verwendet, nicht jedoch für Absender und Fingerdruck. Wenn eine Nachricht einen Score erhält, der höchstens
dem unteren Grenzwert entspricht, wird die Nachricht als „kein Spam“ eingestuft und zum Training aller mit dem
Bayesschen Filter aktivierten Module (Regeln und/oder Wörter) verwendet, nicht jedoch für Absender und
40
Fingerdruck. Aktivieren Sie zunächst die Option Trainings-Datenbank nur lesen:, um den unteren und oberen
Grenzwert einzugeben.
Mindestmenge Trainingsdaten: – Zu Beginn werden nur die Regelgewichtungen zum Berechnen des Spam-Score
verwendet. Sobald die Mindestmenge Trainingsdaten erreicht ist, ersetzen die Trainingsdaten für Regeln und
Wörter die Regelgewichtungen. Der standardmäßige Mindestwert ist 100. Dies bedeutet, dass zunächst ein
Training für 100 bekannte „kein Spam“-Nachrichten und 100 Spam-Nachrichten erfolgen muss, also insgesamt für
mindestens 200 Nachrichten, bevor die Trainingsdaten anstelle der Regelgewichtungen verwendet werden. Ein zu
geringer Wert kann aufgrund der unzureichenden Daten zu mangelnder Genauigkeit führen. Bei einem zu hohen
Wert werden die Trainingsdaten nicht optimal ausgenutzt. Bei einem Wert von „0“ werden die Regelgewichtungen
immer ignoriert.
Nur Trainingsdaten verwenden – Legt fest, ob die Trainingsdaten immer verwendet werden. Wenn diese Option
aktiviert ist, werden die Scores nur auf Grundlage der Trainingsdaten berechnet. Wenn diese Option deaktiviert ist,
werden sowohl Regeln als auch Trainingsdaten verwendet.
Anzahl geprüfter Nachrichten vor dem Schreiben auf den Datenträger: – Im Trainingsmodus verarbeitet das
Spamschutz-Modul eine konfigurierbare Menge Nachrichten, bevor Daten in die Trainings-Datenbank auf dem
Datenträger geschrieben werden. Mit dieser Option legen Sie fest, wie viele Nachrichten verarbeitet werden, bevor
Daten auf den Datenträger geschrieben werden. Für eine möglichst hohe Leistung sollte dieser Wert möglichst
groß sein. In außergewöhnlichen Fällen kann es vorkommen, dass das Programm unerwartet beendet wird, bevor
die Daten im Pufferspeicher auf den Datenträger geschrieben werden. In diesem Fall gehen die Trainingsdaten seit
dem letzten Schreiben auf den Datenträger verloren. Bei einem normalen Beenden wird der Pufferinhalt auf den
Datenträger geschrieben.
Länderdaten für Training verwenden – Legt fest, ob die Informationen zu den Ländern, durch die die Nachricht
geleitet wurde, beim Training und beim Berechnen des Score verwendet werden.
3.3.2.1.3 Regeln
Regeln verwenden – Diese Option legt fest, ob langsamere heuristische Regeln verwendet werden. Dies erhöht die
Genauigkeit, fordert jedoch mehr Speicherplatz und dauert etwas länger.
Regelsatzerweiterung verwenden – Aktiviert den erweiterten Regelsatz.
Zweite Regelsatzerweiterung verwenden – Aktiviert die zweite Erweiterung des Regelsatzes.
Regelgewichtung: – Mit dieser Option können Sie Gewichtungen einzelner Regeln umgehen.
Liste heruntergeladener Regeldateien: – Mit dieser Option wird festgelegt, welche Regeldateien
heruntergeladen werden..
Kategoriegewichtung: – Gibt Ihnen die Möglichkeit, die Gewichtungen der Kategorien in sc18 und in den Dateien
der benutzerdefinierten Regelliste anzupassen. Kategorie: Name der Kategorie. Derzeit auf die Werte SPAM, PHISH,
BOUNCE, ADULT, FRAUD, BLANK, FORWARD und REPLY beschränkt. Beachten Sie die Groß-/Kleinschreibung in
diesem Feld. Score: Eine beliebige Ganzzahl, BLOCK oder APPROVE. Die Gewichtung der Regeln, die mit der
entsprechenden Kategorie übereinstimmen, wird mit dem Skalierungsfaktor multipliziert, um die neue
Gewichtung zu erhalten.
Liste benutzerdefinierter Regeln: – Hier können Sie eine benutzerdefinierte Regelliste erstellen (für Wörter/
Phrase, die Spam, kein Spam, Phishing kennzeichnen). Dateien mit benutzerdefinierten Regeln enthalten Phrasen
im folgenden Format (getrennte Zeilen): Phrase, Typ, Wahrscheinlichkeit, Groß-/Kleinschreibungsempfindlichkeit.
Die Phrase kann beliebigen Text ohne Kommas enthalten. Kommas müssen aus der Phrase gelöscht werden. Der
Typ kann SPAM, PHISH, BOUNCE, ADULT oder FRAUD sein. Wenn für den Typ ein anderer Wert angegeben wird,
wird dies automatisch als SPAM betrachtet. Die Wahrscheinlichkeit kann ein Wert zwischen 1 und 100 sein. Wenn
der Typ SPAM ist, weist 100 auf eine hohe Spam-Wahrscheinlichkeit hin. Beim Typ PHISH weist 100 auf eine hohe
Phishing-Wahrscheinlichkeit hin. Beim Typ BOUNCE weist 100 darauf hin, dass die Phrase mit hoher
Wahrscheinlichkeit eine Unzustellbarkeitsnachricht ist. Eine höhere Wahrscheinlichkeit beeinflusst eher den
endgültigen Score. Der Wert 100 ist jedoch ein besonderer Fall. Beim Typ SPAM führt eine Wahrscheinlichkeit von
100 zu einem Score von 100. Dies gilt ebenso für die Typen PHISH und BOUNCE. Positivlisten haben Vorrang vor
Negativlisten (d. h. bei widersprüchlichen Angaben wird die Positivliste verwendet). Ein Wert von 1 für die Groß-/
Kleinschreibungsempfindlichkeit bedeutet, dass die Groß-/Kleinschreibung berücksichtigt wird; ein Wert von 0
bedeutet, dass die Groß-/Kleinschreibung ignoriert wird. Beispiele:
spamming ist lustig, SPAM, 100,0
Phishing ist phantastisch, PHISH, 90,1
Zurück an Absender, BOUNCE, 80, 0
41
Die erste Zeile bedeutet, dass alle Variationen von „spamming ist lustig“ als SPAM mit einer Wahrscheinlichkeit von
100 eingestuft werden. Die Groß-/Kleinschreibung der Phrase wird nicht beachtet. Die zweite Zeile bedeutet, dass
alle Variationen von „Phishing ist phantastisch“ als PHISH mit einer Wahrscheinlichkeit von 90 eingestuft werden.
Die Groß-/Kleinschreibung der Phrase wird berücksichtigt. Die dritte Zeile bedeutet, dass alle Variationen von
„Zurück an Absender“ als BOUNCE mit einer Wahrscheinlichkeit von 80 eingestuft werden. Die Groß-/
Kleinschreibung der Phrase wird nicht beachtet.
Ältere Regeln nach Update löschen – Standardmäßig löscht das Spamschutz-Modul ältere Regeln aus dem
Konfigurationsverzeichnis, wenn eine neuere Datei aus dem SpamCatcher-Netzwerk heruntergeladen wird.
Bestimmte Benutzer des Spamschutz-Moduls möchten jedoch unter Umständen die älteren Regeldateien
archivieren. Deaktivieren Sie hierzu diese Löschfunktion.
Benachrichtigung nach erfolgreichem Update der Regeln –
3.3.2.1.3.1 Regelgewichtung
Legen Sie Regeldatei-Indexe und deren Gewichtung fest. Klicken Sie auf Hinzufügen..., um eine Regelgewichtung
hinzuzufügen. Klicken Sie auf Bearbeiten..., um vorhandene Einträge zu ändern. Klicken Sie zum Löschen auf
Entfernen.
Geben Sie Werte für Index: und Gewichtung: an.
3.3.2.1.3.2 Liste heruntergeladener Regeldateien
Legen Sie Regeldatei-Indexe fest, die auf den Datenträger heruntergeladen werden sollen. Verwalten die
Regeldatei-Indexe über die Schaltflächen Hinzufügen, Bearbeiten und Entfernen.
3.3.2.1.3.3 Kategoriegewichtung
Legen Sie Regelkategorien und deren Gewichtung fest. Verwalten die Kategorien und Gewichtungen über die
Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen.
Wählen Sie zum Hinzufügen einer Kategoriegewichtung eine Kategorie aus der Liste aus. Folgende Kategorien
stehen zur Verfügung:
SPAM
Phishing
Unzustellbarkeitsbericht
Potenziell anstößiger Inhalt
Betrügerische Nachrichten
Leere Nachrichten
Weitergeleitete Nachrichten
Antwortnachrichten
Wählen Sie dann eine Aktion aus:
Zulassen
Blockieren
Gewichtung:
3.3.2.1.3.4 Liste benutzerdefinierter Regeln
Sie können benutzerdefinierte Regeln verwenden, die Formulierungen enthalten. Es handelt sich hierbei
grundsätzlich um TXT-Dateien. Weitere Details und Informationen zum Format der Formulierungen finden Sie im
Hilfethema Regeln 41 (Abschnitt Liste benutzerdefinierter Regeln).
Um Dateien mit benutzerdefinierten Regeln für die Nachrichtenanalyse zu verwenden, müssen Sie die Dateien am
folgenden Speicherort ablegen:
Bei Windows Server 2008 und höheren Version lautet der Pfad:
C:\ProgramData\ESET\ESET Mail Security\ServerAntispam
Bei Windows Server 2003 und älteren Version lautet der Pfad:
C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\ESET\ESET Mail Security\ServerAntispam
42
Klicken Sie zum Laden der Dateien auf die Schaltfläche ... (Durchsuchen), navigieren Sie zum oben genannten
Speicherort und wählen Sie die Textdatei aus (*.txt). Verwalten die Liste benutzerdefinierter Regeln über die
Schaltflächen Hinzufügen, Bearbeiten und Entfernen.
HINWEIS: Die TXT-Datei mit den benutzerdefinierten Regeln muss im Ordner ServerAntispam abgelegt sein;
andernfalls wird die Datei nicht geladen.
3.3.2.1.4 Filterung
In diesem Abschnitt können Sie zugelassene, blockierte und ignorierte Listen konfigurieren, indem Sie eine IPAdresse, einen IP-Adressenbereich, Domänennamen, E-Mail-Adressen usw. eingeben. Um Kriterien hinzuzufügen,
zu ändern oder zu entfernen, navigieren Sie zur gewünschten Liste und klicken Sie auf die entsprechende
Schaltfläche.
3.3.2.1.4.1 Zugelassene Absender
Die Positivliste kann E-Mail-Adressen oder Domänen enthalten. Adressen werden im Format „postfach@domäne“
und Domänen im Format „Domäne“ eingegeben.
HINWEIS: Leerzeichen am Anfang und am Ende werden ignoriert. Reguläre Ausdrücke werden nicht unterstützt.
Sternchen („*“) werden ebenfalls ignoriert.
3.3.2.1.4.2 Blockierte Absender
Die Negativliste kann E-Mail-Adressen oder Domänen enthalten. Adressen werden im Format „postfach@domäne“
und Domänen im Format „Domäne“ eingegeben.
HINWEIS: Leerzeichen am Anfang und am Ende werden ignoriert. Reguläre Ausdrücke werden nicht unterstützt.
Sternchen („*“) werden ebenfalls ignoriert.
3.3.2.1.4.3 Zugelassene IP-Adressen
Hier können Sie IP-Adressen eingeben, die immer zugelassen werden sollen. Zum Festlegen von Bereichen stehen
drei Möglichkeiten zur Verfügung:
a) Start- und End-IP-Adresse
b) IP-Adresse und Netzwerkmaske
c) IP-Adresse
Wenn die erste nicht ignorierte IP-Adresse im Header „Received:“ mit einer Adresse in dieser Liste übereinstimmt,
wird der Nachricht der Score-Wert 0 zugewiesen und es werden keine weiteren Prüfungen vorgenommen.
3.3.2.1.4.4 Ignorierte IP-Adressen
Hier können Sie IP-Adressen festlegen, die bei RBL-Prüfungen ignoriert werden sollen. Folgende Adressen werden
immer implizit ignoriert:
10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0
Zum Festlegen von Bereichen stehen drei Möglichkeiten zur Verfügung:
c) IP-Adresse
43
3.3.2.1.4.5 Blockierte IP-Adressen
Hier können Sie IP-Adressen eingeben, die immer blockiert werden sollen. Zum Festlegen von Bereichen stehen drei
Möglichkeiten zur Verfügung:
c) IP-Adresse
Wenn eine IP-Adresse im Feld „Empfangen:“ mit einer Adresse in dieser Liste übereinstimmt, wird der Nachricht der
Score-Wert 100 zugewiesen und es werden keine weiteren Prüfungen vorgenommen.
3.3.2.1.4.6 Zugelassene Domänen
Hier können Sie Domänen und IP-Adressen festlegen, die immer zugelassen werden sollen.
3.3.2.1.4.7 Ignorierte Domänen
Hier können Sie Domänen festlegen, die immer von DNSBL-Prüfungen ausgeschlossen und ignoriert werden sollen.
3.3.2.1.4.8 Blockierte Domänen
Hier können Sie Domänen und IP-Adressen festlegen, die immer blockiert werden sollen.
3.3.2.1.4.9 Gespoofte Absender
Ermöglicht das Blockieren von Spammern, die den Namen Ihrer und anderer Domänen spoofen. Spammer
verwenden beipielsweise häufig den Domänenname des Empfängers als Domänenname im Feld „Von:“ . Über diese
Liste können Sie festlegen, welche E-Mail-Server welche Domänennamen im Feld „Von:“ verwenden dürfen.
3.3.2.1.5 Überprüfung
Die Überprüfung ist eine Zusatzfunktion des Spamschutzes. Mit dieser Funktion können Nachrichten über externe
Server und anhand definierter Kriterien überprüft werden. Wählen Sie eine Liste aus der Baumstruktur aus, um die
Kriterien zu konfigurieren. Folgende Listen sind verfügbar:
RBL (Realtime Blackhole List)
LBL (Last Blackhole List)
DNSBL (DNS Blocklist)
3.3.2.1.5.1 RBL (Realtime Blackhole List)
RBL-Server: – Ermöglicht das Festlegen einer Liste mit Realtime Blackhole List (RBL)-Servern, die bei der
Nachrichtenanalyse abgefragt werden. Weitere Informationen hierzu finden Sie im Abschnitt über RBL in diesem
Dokument.
RBL-Überprüfungsempfindlichkeit: – Da RBL-Prüfungen eine Latenzzeit und eine Leistungsminderung mit sich
bringen können, kann mit dieser Option festgelegt werden, dass RBL-Prüfungen je nach dem vor der RBL-Prüfung
zugewiesenen Score ausgeführt werden. Wenn der Score über dem oberen Grenzwert liegt, werden nur die RBLServer abgefragt, die den Score unter den oberen Grenzwert senken können. Wenn der Score unter dem unteren
Grenzwert liegt, werden nur die RBL-Server abgefragt, die den Score über den unteren Grenzwert bringen können.
Wenn der Score zwischen dem unteren und dem oberen Grenzwert liegt, werden alle RBL-Server abgefragt.
Zeitlimit für die Ausführung der RBL-Anfrage (in Sekunden): – Ermöglicht das Festlegen eines Zeitlimits zum
Abschließen aller RBL-Abfragen. Nur die RBL-Antworten von den RBL-Servern, die rechtzeitig geantwortet haben,
werden verwendet. Wenn der Wert auf „0“ festgelegt ist, wird kein Zeitlimit erzwungen.
Höchstzahl über RBL überprüfter Adressen: – Mit dieser Option können Sie die Zahl der IP-Adressen begrenzen,
die auf dem RBL-Server abgerufen werden. Beachten Sie, dass die Gesamtzahl der RBL-Anfragen der Multiplikation
aus der Anzahl der IP-Adressen in den Headers „Empfangen:“ (bis zur Höchstzahl zu prüfender Adressen) mit der
Anzahl der in der RBL-Liste angegebenen RBL-Server entspricht. Wenn der Wert auf „0“ festgelet wird, wird eine
unbegrenzte Zahl Header geprüft. Beachten Sie, dass IP-Adressen, die mit einem Eintrag in der Liste ignorierter IPAdressen übereinstimmen, nicht für die Bestimmung der RBL-IP-Adresszahl berücksichtigt werden.
44
Verwalten Sie die Liste über die Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen.
Die Liste enthält drei Spalten:
Adresse
Antwort
Score
3.3.2.1.5.2 LBL (Last Blackhole List)
LBL-Server: – Die letzte IP-Adresse der Verbindung wird auf dem LBL-Server abgerufen. Sie können eine andere
DNS-Suche für die letzte eingehende IP-Adresse der Verbindung festlegen. Für die letzte eingehende IP-Adresse der
Verbindung wird statt der RBL-Liste die LBL-Liste abgefragt. Ansonsten werden die Optionen der RBL-Liste, wie
RBL-Grenzwert, auch auf die LBL-Liste angewendet.
Nicht mit LBL zu überprüfende IP-Adressen: – Wenn die letzte eingehende IP-Adresse der Verbindung mit einer
IP-Adresse in dieser Liste übereinstimmt, wird diese IP-Adresse auf dem bzw. den RBL-Server(n) abgerufen, nicht
dem (den) LBL-Server(n).
Adresse
Antwort
Score
Hier können Sie IP-Adressen festlegen, die nicht LBL überprüft werden. Verwalten Sie die Liste über die
Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen.
3.3.2.1.5.3 DNSBL (DNS Block List)
DNSBL-Server: – Liste der DNS Blocklist (DNSBL)-Server, die zur Abfrage von Domänen und IP-Adressen aus dem
Nachrichteninhalt verwendet werden sollen
DNSBL-Überprüfungsempfindlichkeit: – Wenn der Score über dem oberen Grenzwert liegt, werden nur die
DNSBL-Server abgefragt, die den Score unter den oberen Grenzwert senken können. Wenn der Score unter dem
unteren Grenzwert liegt, werden nur die DNSBL-Server abgefragt, die den Score über unteren Grenzwert bringen
können. Wenn der Score zwischen dem unteren und dem oberen Grenzwert liegt, werden alle DNSBL-Server
abgefragt.
Zeitlimit für die Ausführung der DNSBL-Anfrage (in Sekunden): – Ermöglicht das Festlegen eines Zeitlimits zum
Abschließen aller DNSBL-Abfragen.
Höchstzahl über DNSBL überprüfter Domänen: – Hier können Sie festlegen, wie viele Domänen und IP-Adressen
auf dem DNS Blocklist-Server abgerufen werden.
Adresse
Antwort
Score
45
3.3.2.1.6 DNS
Cachespeicher verwenden – Speichert DNS-Anfragen im internen Cache.
Zahl der gespeicherten DNS-Anfragen: – Beschränkt die Zahl der Einträge im internen DNS-Cache.
Cachespeicher auf Datenträger speichern – Wenn diese Option aktiviert ist, speichert der DNS-Cache die
Einträge beim Herunterfahren auf dem Datenträger und liest sie bei der Initialisierung vom Datenträger.
DNS-Serveradressen: – DNS-Server können nun explizit angegeben werden, um die Standardwerte zu übergehen.
Direkter DNS-Zugriff: – Wenn für diese Option der Wert „Ja“ festgelegt wird und kein DNS-Server angegeben ist,
erstellt das Spamschutz-Modul LiveFeed-Anfragen direkt an die LiveFeed-Server. Die Option wird ignoriert, wenn
ein DNS-Server festgelegt ist. Wenn direkte Abfragen effizienter sind als die standardmäßigen DNS-Server, sollte für
diese Option der Wert Ja festgelegt werden.
Dauer der DNS-Anfrage (in Sekunden): – Mit dieser Option kann eine minimale TTL für die Einträge im internen
DNS-Cache des Spamschutz-Moduls festgelegt werden. Der Wert wird in Sekunden angegeben. Bei DNSAntworten, deren TTL-Wert unter dem festgelegten Mindestwert liegt, verwendet der interne Cache des
Spamschutz-Moduls stattdessen den festgelegten TTL-Wert (und nicht den TTL-Wert der DNS-Antwort).
3.3.2.1.7 Score
Score-Verlauf aktivieren – Frühere Scores für wiederholte Absender werden können nachverfolgt werden.
Analyse beenden, wenn Grenzwert für Spam-Score erreicht ist – Mit dieser Option können Sie festlegen, dass
das Spamschutz-Modul die Analyse beendet, wenn ein bestimmter Score erreicht wurde. Dies kann die Anzahl der
ausgeführten Regeln bzw. Prüfungen reduzieren und somit die Leistung steigern.
Beschleunigte Analyse, bis Grenzwert-Score für saubere Nachricht erreicht ist – Mit dieser Option können Sie
das Spamschutz-Modul anweisen, langsame Regeln zu überspringen, wenn die Nachricht voraussichtlich kein
Spam ist.
Nachrichten-Kategorisierung
Score-Wert, ab dem eine Nachricht als Spam betrachtet wird: – Das Spamschutz-Modul weist geprüften
Nachrichten einen Wert zwischen 0 und 100 zu. Das Ändern der Randwerte beeinflusst die Zahl der als
„möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte können die Erkennungsergebnisse des
Spamschutz-Moduls beeinträchtigen.
Score-Wert, ab dem eine Nachricht als „möglicherweise Spam“ oder „möglicherweise sauber“ eingestuft
wird: – Das Spamschutz-Modul weist geprüften Nachrichten einen Wert zwischen 0 und 100 zu. Das Ändern der
Randwerte beeinflusst die Zahl der als „möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte können
die Erkennungsergebnisse des Spamschutz-Moduls beeinträchtigen.
Score-Wert, bis zu dem eine Nachricht als wirklich sauber betrachtet wird: – Das Spamschutz-Modul weist
geprüften Nachrichten einen Wert zwischen 0 und 100 zu. Das Ändern der Randwerte beeinflusst die Zahl der als
„möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte können die Erkennungsergebnisse des
Spamschutz-Moduls beeinträchtigen.
3.3.2.1.8 Spambait
Spam-Adressen: – Wenn die „RCPT TO:“- Adresse des SMTP-Umschlags mit einer E-Mail-Adresse in dieser Liste
übereinstimmt, zeichnet die Statistikdatei Tokens in der E-Mail-Nachricht auf, die darauf hinweisen, dass die
Nachricht an eine Spambait-Adresse gesendet wurde. Die Adressen müssen genau übereinstimmen. Groß- und
Kleinschreibung wird nicht beachtet; Platzhalter werden nicht unterstützt.
Als nicht existierend betrachtete Adressen: – Wenn die „RCPT TO:“- Adresse des SMTP-Umschlags mit einer EMail-Adresse in dieser Liste übereinstimmt, zeichnet die Statistikdatei Tokens in der E-Mail-Nachricht auf, die
darauf hinweisen, dass die Nachricht an eine nicht existierende Adresse gesendet wurde. Die Adressen müssen
genau übereinstimmen. Groß- und Kleinschreibung wird nicht beachtet; Platzhalter werden nicht unterstützt.
46
3.3.2.1.8.1 Spambait-Adressen
Sie können E-Mail-Adressen festlegen, die nur zum Empfang von Spam verwendet werden. Um eine solche E-MailAdresse hinzuzufügen, geben Sie sie in einem Standardformat ein und klicken Sie auf Hinzufügen. Klicken Sie auf
Bearbeiten..., um vorhandene E-Mail-Adressen zu ändern. Klicken Sie zum Löschen auf Entfernen.
3.3.2.1.8.2 Als nicht existierend betrachtete Adressen
Sie können E-Mail-Adressen festlegen, die nach außen als nicht existierend erscheinen. Um eine solche E-MailAdresse hinzuzufügen, geben Sie sie in einem Standardformat ein und klicken Sie auf Hinzufügen. Klicken Sie auf
Bearbeiten..., um vorhandene E-Mail-Adressen zu ändern. Klicken Sie zum Löschen auf Entfernen.
3.3.2.1.9 Kommunikation
Dauer einzelner SpamLabs-Anfragen (in Sekunden): – Mit dieser Option können Sie eine maximale Dauer für
einzelne Anfragen an die Spamschutz-SpamLabs festlegen. Der Wert wird in ganzen Sekunden angegeben. Mit dem
Wert „0“ wird die Funktion deaktiviert; es wird keine Zeitbegrenzung festgelegt.
v.4x-Protokoll verwenden: – Zur Ermittlung des Score über das ältere, langsamere v4.x-Protokoll mit den
Spamschutz-SpamLabs kommunizieren. Wenn Sie diese Option auf Automatisch festlegen, kann das SpamschutzModul als Fallback zu LiveFeed-Abfragen automatisch eine Prüfung über das Netzwerk ausführen.
Bereich für die v4.x-Protokollnutzung: – Da Netzwerke eine Latenzzeit und eine Leistungsminderung mit sich
bringen können, kann mit dieser Option festgelegt werden, dass Netzwerkprüfungen je nach Score ausgeführt
werden. Das Netzwerk wird nur abgefragt, wenn der Score zwischen den hier festgelegten oberen und unteren
Grenzwerten liegt.
LiveFeed-Serveradresse: – Legt fest, welcher Server für LiveFeed-Anfragen verwendet wird.
Dauer der LiveFeed-Anfrage (in Sekunden): – Mit dieser Option kann eine minimale TTL für die Einträge im
internen LiveFeed-Cache des Spamschutz-Moduls festgelegt werden. Der Wert wird in Sekunden angegeben. Bei
LiveFeed-Antworten, deren TTL-Wert unter dem festgelegten Mindestwert liegt, verwendet der interne Cache des
Spamschutz-Moduls stattdessen den festgelegten TTL-Wert (und nicht den TTL-Wert der LiveFeed-Antwort).
Proxyserver-Authentifizierungstyp: – Legt fest, welche Art HTTP-Proxyauthentifizierung verwendet werden soll.
3.3.2.1.10 Leistung
Maximale Größe des verwendeten Thread-Stapels: – Legt die maximale Thread-Stapelgröße fest. Wenn die
Thread-Stapelgröße auf 64 KB festgelegt ist, sollte diese Variable auf 100 oder einen kleineren Wert festgelegt
werden. Wenn die Thread-Stapelgröße auf mehr als 1 MB festgelegt ist, sollte diese Variable auf 10000 oder einen
kleineren Wert festgelegt werden. Wenn für diese Variable ein Wert unter 200 festgelegt wird, kann die
Genauigkeit um ein einige Prozentpunkte sinken.
Erforderlicher Durchsatz (Nachrichten/Sekunde): Mit dieser Option können Sie den gewünschten Durchsatz in
Messungen pro Minute festlegen. Das Spamschutz-Modul versucht, diesen Wert zu erreichen, indem es die
ausgeführten Regeln optimiert. Unter Umständen ist die Genauigkeit beeinträchtigt. Der Wert „0“ deaktiviert die
Option
Inkrementelle Dateien in einer Datei zusammenfügen – Standardmäßig führt das Spamschutz-Modul mehrere
inkrementelle Dateien und eine vollständige Datei in eine einzige, aktualisierte und vollständige Datei zusammen.
Dies sorgt für eine bessere Übersichtlichtkeit im Konfigurationsverzeichnis.
Nur inkrementelle Dateien herunterladen – Standardmäßig versucht das Spamschutz-Modul, die in Bezug auf
die Größe effizienteste Kombination aus vollständiger und inkrementeller Datei herunterzuladen. Wenn Sie diese
Option auf „Ja“ festlegen, lädt das Spamschutz-Modul nur inkrementelle Dateien herunter.
Maximale Größe inkrementeller Dateien: – Um die CPU-Auslastung beim Aktualisieren von Regeldateien etwas
zu senken, werden die Datenträger-Cachedateien (sc*.tmp) nicht bei jedem Mal aktualisiert. Stattdessen werden
sie neu generiert, wenn eine neuere „sc*.bin.full“-Datei vorhanden ist oder wenn die Summe der inkrementellen
Dateien (sc*.bin.incr) die Anzahl der Bytes übersteigt, die als maximale Größe der inkrementellen Dateien
angegeben wurde.
Speicherort für temporäre Dateien: – Dieser Parameter legt fest, wo das Spamschutz-Modul temporäre Dateien
erstellt.
47
3.3.2.1.11 Regionale Einstellungen
Liste der üblichen Sprachen: – Über diese Option können Sie die üblichen Sprachen für Ihre E-Mail-Nachrichten
festlegen. Es werden die zweistelligen Ländercodes gemäß ISO-639 verwendet.
Liste der üblichen Länder: – Hier können Sie die „üblichsten“ Länder festlegen. Nachrichten, die durch ein Land
geleitet werden, das nicht in dieser Liste enthalten ist, werden mit einem schlechteren Score versehen. Wenn diese
Option leer gelassen wird, erfolgt keine Herabstufung.
Liste der blockierten Länder: – Mit dieser Option können Sie Nachrichten bestimmter Länder blockieren. Wenn
eine IP-Adresse im Header „Empfangen“ mit einem hier aufgeführten Land übereinstimmt, wird die E-Mail als Spam
eingestuft. Die Ländercodes werden nicht auf die Absenderadressen angewendet. Beachten Sie, dass eine
Nachricht unter Umständen durch verschiedene Länder geleitet werden kann, bevor Sie den Empfänger erreicht.
Diese Option bietet nur eine Genauigkeit von 98 %. Das Blockieren nach Land kann zu falsch positiven Ergebnissen
führen.
Liste der blockierten Zeichensätze: – Mit dieser Option können Sie Nachrichten je nach verwendetem Zeichensatz
blockieren. Der Standardwert für den Spam-Score ist 100. Sie können den Wert jedoch für jeden blockierten
Zeichensatz separat anpassen. Beachten Sie, dass die Zuordnung von Sprachen zu Zeichensätzen nicht 100 %
akkurat ist. Das Blockieren nach Zeichensatz kann daher zu falsch positiven Ergebnissen führen.
3.3.2.1.11.1 Liste der üblichen Sprachen
Legen Sie die Sprachen fest, in denen Sie üblicherweise und bevorzugt Nachrichten empfangen. Um eine Sprache
hinzuzufügen, wählen Sie sie aus der Spalte Sprachencodes: aus und klicken Sie auf Hinzufügen. Die Sprache wird
nun in der Spalte Übliche Sprachen angezeigt. Um die Sprache aus der Spalte Übliche Sprachen zu entfernen,
wählen Sie den Code aus und klicken Sie auf Entfernen.
Andere Sprachen blockieren: – Mit dieser Option legen Sie fest, ob die Sprachen, die nicht in der Spalte „übliche
Sprachen“ enthalten sind, blockiert werden. Drei Optionen sind verfügbar:
Ja
Nein
Automatisch
Liste der Ländercodes (gemäß ISO 639):
Afrikaans
Amharisch
Arabisch
Belarussisch
Bulgarisch
Katalanisch
Tschechisch
Walisisch
Dänisch
Deutsch
Griechisch
Englisch
Esperanto
Spanisch
Estnisch
Baskisch
Persisch
Finnisch
Französisch
Friesisch
Irisch
Gälisch
Hebräisch
Hindi
Kroatisch
Ungarisch
Armenisch
48
af
am
ar
be
bg
ca
cs
cy
da
de
el
en
eo
es
et
eu
fa
fi
fr
fy
ga
gd
he
hi
hr
hu
hy
Indonesisch
Isländisch
Italienisch
Japanisch
Georgisch
Koreanisch
Latein
Litauisch
Lettisch
Marathi
Malaiisch
Nepali
Niederländisc
h
Norwegisch
Polnisch
Portugiesisch
Quechua
Rätoromanisc
h
Rumänisch
Russisch
Sanskrit
Schottisch
Slowakisch
Slowenisch
Albanisch
Serbisch
Schwedisch
Swahili
Tamil
Thai
Tagalog
Türkisch
Ukrainisch
Vietnamesisc
h
Jiddisch
Chinesisch
id
is
it
ja
ka
ko
la
lt
lv
mr
ms
ne
nl
no
pl
pt
qu
rm
ro
ru
sa
sco
sk
sl
sq
sr
sv
sw
ta
th
tl
tr
uk
vi
yi
zh
3.3.2.1.11.2 Liste der üblichen Länder
Legen Sie die Länder fest, aus denen Sie üblicherweise und bevorzugt Nachrichten empfangen. Um ein Land
hinzuzufügen, wählen Sie es aus der Spalte Ländercodes: aus und klicken Sie auf Hinzufügen. Das Land wird nun
in der Spalte Übliche Länder angezeigt. Um das Land aus der Spalte Übliche Länder zu entfernen, wählen Sie den
Code aus und klicken Sie auf Entfernen.
Liste der Ländercodes (gemäß ISO 3166):
AFGHANISTAN
ALAND
ALBANIEN
ALGERIEN
AMERIKANISCH-SAMOA
ANDORRA
ANGOLA
ANGUILLA
ANTARKTIKA
ANTIGUA UND BARBUDA
ARGENTINIEN
ARMENIEN
ARUBA
AUSTRALIEN
ÖSTERREICH
AF
AX
AL
DZ
AS
AD
AO
AI
AQ
AG
AR
AM
AW
AU
AT
49
ASERBAIDSCHAN
BAHAMAS
BAHRAIN
BANGLADESCH
BARBADOS
BELARUS
BELGIEN
BELIZE
BENIN
BERMUDA
BHUTAN
BOLIVIEN
BOSNIEN UND HERZEGOWINA
BOTSWANA
BOUVETINSEL
BRASILIEN
BRITISCHES TERRITORIUM IM INDISCHEN
OZEAN
BRUNEI DARUSSALAM
BULGARIEN
BURKINA FASO
BURUNDI
KAMBODSCHA
KAMERUN
KANADA
KAP VERDE
CAYMAN-INSELN
ZENTRALAFRIKANISCHE REPUBLIK
TSCHAD
CHILE
CHINA
WEIHNACHTSINSELN
KOKOSINSELN (KEELINGINSELN)
KOLUMBIEN
KOMOREN
KONGO
KONGO, DEMOKRATISCHE REPUBLIK
COOK-INSELN
COSTA RICA
ELFENBEINKÜSTE
KROATIEN
KUBA
ZYPERN
TSCHECHISCHE REPUBLIK
DÄNEMARK
DJIBOUTI
DOMINICA
DOMINIKANISCHE REPUBLIK
ECUADOR
ÄGYPTEN
EL SALVADOR
ÄQUATORIALGUINEA
ERITREA
ESTLAND
ÄTHIOPIEN
FALKLANDINSELN (MALWINEN)
FÄRÖER
FIDSCHI
FINNLAND
FRANKREICH
FRANZÖSISCH-GUYANA
FRANZÖSISCH-POLYNESIEN
50
AZ
BS
BH
BD
BB
BY
BE
BZ
BJ
BM
BT
BO
BA
BW
BV
BR
IO
BN
BG
BF
BI
KH
CM
CA
CV
KY
CF
TD
CL
CN
CX
CC
CO
KM
CG
CD
CK
CR
CI
HR
CU
CY
CZ
DK
DJ
DM
DO
EC
EG
SV
GQ
ER
EE
ET
FK
FO
FJ
FI
FR
GF
PF
FRANZÖSISCHE SÜDGEBIETE
GABUN
GAMBIA
GEORGIEN
DEUTSCHLAND
GHANA
GIBRALTAR
GRIECHENLAND
GRÖNLAND
GRENADA
GUADELOUPE
GUAM
GUATEMALA
GUINEA
GUINEA-BISSAU
GUYANA
HAITI
HEARD-INSEL UND MCDONALD-INSELN
VATIKAN
HONDURAS
HONGKONG
UNGARN
ISLAND
INDIEN
INDONESIEN
IRAN, ISLAMISCHE REPUBLIK
IRAK
IRLAND
ISRAEL
ITALIEN
JAMAIKA
JAPAN
JORDANIEN
KASACHSTAN
KENIA
KIRIBATI
KOREA, DEMOKRATISCHE VOLKSREPUBLIK
KOREA, REPULIK
KUWAIT
KIRGISTAN
LAOS, VOLKSREPUBLIK
LETTLAND
LIBANON
LESOTHO
LIBERIA
LYBIEN
LIECHTENSTEIN
LITAUEN
LUXEMBURG
MACAO
MAZEDONIEN, EHEMALIGE
JUGOSLAWISCHE REPUBLIK
MADAGASKAR
MALAWI
MALAYSIEN
MALEDIVEN
MALI
MALTA
MARSHALL-INSELN
MARTINIQUE
MAURITANIEN
MAURITIUS
TF
GA
GM
GE
DE
GH
GI
GR
GL
GD
GP
GU
GT
GN
GW
GY
HT
HM
VA
HN
HK
HU
IS
IN
ID
IR
IQ
IE
IL
IT
JM
JP
JO
KZ
KE
KI
KP
KR
KW
KG
LA
LV
LB
LS
LR
LY
LI
LT
LU
MO
MK
MG
MW
MY
MV
ML
MT
MH
MQ
MR
MU
51
MAYOTTE
MEXIKO
MIKRONESIEN, FÖRDERIERTE STAATEN
MOLDAWIEN, REPULIK
MONACO
MONGOLEI
MONTSERRAT
MAROKKO
MOSAMBIK
MYANMAR
NAMIBIA
NAURU
NEPAL
NIEDERLANDE
NIEDERLÄNDISCHE ANTILLEN
NEUKALEDONIEN
NEUSEELAND
NICARAGUA
NIGER
NIGERIA
NIUE
NORFOLKINSEL
NÖRDLICHE MARIANEN
NORWEGEN
OMAN
PAKISTAN
PALAU
PALÄSTINENSISCHES GEBIET, BESETZTES
PANAMA
PAPUA-NEUGUINEA
PARAGUAY
PERU
PHILIPPINEN
PITCAIRN
POLEN
PORTUGAL
PUERTO RICO
KATAR
RÉUNION
RUMÄNIEN
RUSSISCHE FÖDERATION
RUANDA
SAINT HELENA
SAINT KITTS UND NEVIS
SAINT LUCIA
SAINT PIERRE UND MIQUELON
ST. VINCENT UND DIE GRENADINEN
SAMOA
SAN MARINO
SAO TOME UND PRINCIPE
SAUDI-ARABIEN
SENEGAL
SERBIEN UND MONTENEGRO
SEYCHELLEN
SIERRA LEONE
SINGAPUR
SLOWAKEI
SLOWENIEN
SALOMON-INSELN
SOMALIA
SÜDAFRIKA
52
YT
MX
FM
MD
MC
MN
MS
MA
MZ
MM
NA
NR
NP
NL
AN
NC
NZ
NI
NE
NG
NU
NF
MP
NO
OM
PK
PW
PS
PA
PG
PY
PE
PH
PN
PL
PT
PR
QA
RE
RO
RU
RW
SH
KN
LC
PM
VC
WS
SM
ST
SA
SN
CS
SC
SL
SG
SK
SI
SB
SO
ZA
SÜDGEORGIEN UND SÜDLICHE
SANDWICH-INSELN
SPANIEN
SRI LANKA
SUDAN
SURINAME
SVALBARD UND JAN MAYEN
SWASILAND
SCHWEDEN
SCHWEIZ
SYRISCHE ARABISCHE REPUBLIK
TAIWAN, CHINESISCHE PROVINZ
TADSCHIKISTAN
TANSANIEN, VEREINIGTE REPUBLIK
THAILAND
TIMOR-LESTE
TOGO
TOKELAU
TONGA
TRINIDAD UND TOBAGO
TUNESIEN
TÜRKEI
TURKMENISTAN
TURKS- UND CAICOSINSELN
TUVALU
UGANDA
UKRAINE
VEREINIGTE ARABISCHE EMIRATE
VEREINIGTES KÖNIGREICH
GROSSBRITANNIEN UND NORDIRLAND
VEREINIGTE STAATEN VON AMERIKA
UNITED STATES MINOR OUTLYING
ISLANDS
URUGUAY
USBEKISTAN
VANUATU
VATIKANSTADT
VENEZUELA
VIETNAM
JUNGFERNINSELN, BRITISCHE
JUNGFERNINSELN, AMERIKANISCHE
WALLIS UND FUTUNA
WESTLICHE SAHARA
JEMEN
ZAIRE (KONGO, DEMOKRATISCHE
REPUBLIK)
SAMBIA
ZIMBABWE
GS
ES
LK
SD
SR
SJ
SZ
SE
CH
SY
TW
TJ
TZ
TH
TL
TG
TK
TO
TT
TN
TR
TM
TC
TV
UG
UA
AE
GB
US
UM
UY
UZ
VU
VA
VE
VN
VG
VI
WF
EH
YE
CD
ZM
ZW
3.3.2.1.11.3 Liste der blockierten Länder
Legen Sie Länder fest, die Sie sperren und aus denen Sie keine Nachrichten empfangen möchten. Um ein Land zur
Liste Blockierte Länder: hinzuzufügen, wählen Sie es aus der Spalte Ländercode: aus und klicken Sie auf
Hinzufügen. Um ein Land aus der Liste Blockierte Länder: zu entfernen, wählen Sie den Ländercode aus und
klicken Sie auf Entfernen.
Eine Liste der Ländercodes finden Sie im Abschnitt Liste der üblichen Länder
49
.
53
3.3.2.1.11.4 Liste der blockierten Zeichensätze
Legen Sie die Zeichensätze fest, die blockiert werden sollen. Nachrichten, die in einem der angegebenen
Zeichensätze erstellt wurden, werden nicht empfangen. Um einen Zeichensatz hinzuzufügen, wählen Sie ihn aus
der Spalte Zeichensätze: aus und klicken Sie auf Hinzufügen. Der ausgewählte Zeichensatz wird nun in der Spalte
Blockierte Zeichensätze: angezeigt. Um einen Zeichensatz aus der Liste Blockierte Zeichensätze: zu entfernen,
wählen Sie den Zeichensatz aus und klicken Sie auf Entfernen.
Wenn Sie einen Zeichensatz zur Liste der blockierten Zeichensätze hinzufügen, können Sie einen eigenen SpamScore für diesen bestimmten Zeichensatz festlegen. Der Standardwert ist 100. Sie können für jeden Zeichensatz
einen eigenen Wert festlegen.
3.3.2.1.12 Log-Dateien
Detailliertes Logging aktivieren – Aktiviert das Erstellen von Log-Dateien mit großem Informationsumfang.
Umleitung Ausgabedateien: – Leitet die Log-Ausgabedatei in das hier festgelegte Verzeichnis um. Klicken Sie auf
..., um nach dem Verzeichnis zu suchen, statt es manuell einzugeben.
3.3.2.1.13 Statistiken
Logs mit statistischen Daten erstellen – IP-Adressen, Domänen, URLs, verdächtige Wörter usw. werden im
Konfigurationsdateisystem in eine Log-Datei geschrieben. Diese Logs können automatisch auf die Analyseserver
des Spamschutz-Modul hochgeladen werden. Die Logs können zur Anzeige in das Nur-Text-Format konvertiert
werden.
Statistiken zur Analyse einreichen – Startet einen Thread, um Dateien mit statistischen Daten automatisch auf
die Analyseserver des Spamschutz-Moduls hochzuladen.
Adresse des Analyseservers: – URL, zu der die Dateien mit statistischen Daten hochgeladen werden.
3.3.2.1.14 Optionen
Automatische Konfiguration: – Legt Optionen auf Grundlage der vom Benutzer eingegebenen Angaben zu
System, Leistung und Ressourcenanforderungen fest.
Konfigurationsdatei erstellen – Erstellt die Datei antispam.cfg, die Konfigurationsdaten zum Spamschutz-Modul
enthält. Die Datei befindet sich unter C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server
2008) bzw. C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows
Server 2000 und 2003).
54
Jede von ESET Mail Security geprüfte E-Mail, die als Spam eingestuft wurde, kann mit einem Prüfhinweis im Betreff
gekennzeichnet werden. Standardmäßig ist dies der Hinweis [SPAM], es kann sich aber auch um einen
benutzerdefinierten Text handeln.
HINWEIS: Im Hinweistext für den Betreff können Sie auch Systemvariablen verwenden.
3.4 Häufig gestellte Fragen (FAQ)
F: Nach der Installation des Spam-Schutzes von EMSX kommen keine E-Mails mehr im Postfach an.
A: Dies ist normal, wenn Greylisting aktiviert ist. In den ersten Betriebsstunden kann sich das Weiterleiten der EMails an das Postfach um einige Stunden verzögern. Sollte dies länger der Fall sein, sollten Sie Greylisting
deaktivieren (oder rekonfigurieren).
F: Wird bei der Anlagen-Prüfung mit VSAPI auch der Nachrichtentext geprüft?
A: Ab Microsoft Exchange Server 2000 SP2 prüft VSAPI auch Nachrichtentexte.
F: Wieso werden E-Mails weiterhin geprüft, obwohl VSAPI deaktiviert wurde?
A: Änderungen an den VSAPI-Einstellungen werden asynchron vorgenommen; das bedeutet, die neue
Konfiguration von VSAPI tritt erst in Kraft, wenn Microsoft Exchange Server sie aufruft. Dies passiert in Abständen
von etwa einer Minute. Dies gilt auch für alle anderen VSAPI-Einstellungen.
F: Kann VSAPI die gesamte Nachricht entfernen, wenn eine Anlage infiziert ist?
A: Ja, VSAPI kann die gesamte Nachricht entfernen. Dazu muss allerdings die Option Gesamte Nachricht löschen
im Bereich Aktionen der VSAPI-Einstellungen aktiviert sein. Diese Option ist ab Microsoft Exchange Server 2003
verfügbar. Ältere Versionen von Microsoft Exchange Server unterstützen das Löschen ganzer Nachrichten nicht.
F: Prüft VSAPI auch ausgehende E-Mails auf Viren?
A: Ja, VSAPI prüft auch ausgehende E-Mails, es sei denn, Sie haben in Ihrem E-Mail-Programm einen anderen als
Ihren Exchange-Server als SMTP-Server angegeben. Diese Funktion ist ab Microsoft Exchange Server 2000 Service
55
Pack 3 verfügbar.
F: Kann über VSAPI jeder geprüften E-Mail ein Prüfhinweis hinzugefügt werden, wie es mit dem Transport-Agenten
möglich ist?
A: Microsoft Exchange Server unterstützt das Hinzufügen von Text zu VSAPI-geprüften E-Mails nicht.
F: Ich kann manchmal eine bestimmte E-Mail nicht mit Microsoft Outlook öffnen. Wieso?
A: Für die Option Aktion, wenn Säubern nicht möglich ist im Bereich Aktionen der VSAPI-Einstellungen ist
wahrscheinlich die Aktion Blockieren eingestellt oder Sie haben eine neue Regel mit dieser Aktion erstellt. Beide
Einstellungen markieren und blockieren infizierte Nachrichten und/oder Nachrichten, die die oben erwähnte Regel
erfüllen.
F: Was bedeutet die Option Zeitbegrenzung für Antwort im Bereich Performance?
A: Wenn Sie Microsoft Exchange Server 2000 SP2 oder später installiert haben, steht der Wert Zeitbegrenzung für
Antwort für die maximale Sekundenzahl, die für die VSAPI-Prüfung eines Threads notwendig ist. Wird die Prüfung
innerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft Exchange Server dem Client den Zugriff
auf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriff auf die Datei jederzeit möglich.
Bei Microsoft Exchange Server 5.5 SP3 oder SP4 ist der Wert in Millisekunden angegeben und steht für den
Zeitraum, bis das E-Mail-Programm erneut versucht, auf eine Datei zuzugreifen, die zuvor geprüft wurde und damit
nicht verfügbar war.
F: Wie lang darf die Liste der Dateitypen für eine Regel sein?
A: Die Liste der Dateinamens-Erweiterungen darf für eine Regel maximal 255 Zeichen umfassen.
F: Ich habe die Hintergrundprüfung mit VSAPI aktiviert. Bis jetzt wurden Nachrichten auf dem Exchange-Server
stets nach jedem Update der Signaturdatenbank geprüft. Nach dem letzten Update fand keine Prüfung statt. Wo
liegt das Problem?
A: Verschiedene Faktoren entscheiden darüber, ob alle E-Mails sofort geprüft werden oder erst, wenn der Benutzer
eine E-Mail öffnen möchte. Zu diesen Faktoren zählen die Server-Auslastung, die erforderliche Prozessorzeit für die
Prüfung aller E-Mails und die Anzahl der E-Mails. Bevor eine E-Mail den Posteingang des E-Mail-Programms
erreicht, wird sie jedoch in jedem Falle von Microsoft Exchange Server geprüft.
F: Weshalb erhöhte sich der Regel-Zähler nach dem Erhalt einer einzigen E-Mail um mehr als eins?
A:Die Überprüfung der Nachrichten mit Anwendung der Regeln erfolgt durch den Transport-Agenten (TA) oder
VSAPI. Sind sowohl TA als auch VSAPI aktiviert und die E-Mail erfüllt die Regelbedingungen, kann sich der RegelZähler um 2 oder mehr erhöhen. VSAPI wendet die Regeln für alle E-Mail-Komponenten, die unabhängig
voneinander geprüft werden (Body, Anlage), einzeln an. Darüber hinaus kommen die Regeln auch bei der
Hintergrundprüfung (z. B. regelmäßige Prüfung der Postfächer nach Update der Signaturdatenbank) zum Einsatz,
was den Regel-Zähler steigen lassen kann.
F: Ist ESET Mail Security 4 für Microsoft Exchange Server mit dem intelligenten Nachrichtenfilter (IMF) kompatibel?
A: Ja, ESET Mail Security 4 für Microsoft Exchange Server (EMSX) ist mit dem intelligenten Nachrichtenfilter (IMF)
kompatibel. Wird eine E-Mail als Spam eingestuft, wird folgendermaßen verfahren:
– Ist für den Spam-Schutz von ESET Mail Security die Option Nachricht löschen (oder Nachricht in
Quarantäne verschieben) aktiviert, ist diese Aktion der vom IMF des Exchange-Servers übergeordnet.
– Ist für den Spam-Schutz von ESET Mail Security Keine Aktion gewählt, treten die Einstellungen des IMF in
Kraft und die entsprechende Aktion wird ausgeführt (z. B. Löschen, Abweisen, Archivieren). Damit dies
ordnungsgemäß funktioniert, muss die Option Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score in
geprüfte Nachrichten schreiben (unter Server-Schutz > Microsoft Exchange Server > Transport-Agent)
aktiviert sein.
56
F: Wie muss ich ESET Mail Security einrichten, damit unerwünschte E-Mails in den benutzerdefinierten Spamordner
von Microsoft Outlook verschoben werden?
A: In den Standardeinstellungen von ESET Mail Security ist festgelegt, dass unerwünschte E-Mails im Ordner JunkE-Mail von Microsoft Outlook gespeichert werden. Um dies zu ermöglichen, deaktivieren Sie die Option SpamScore in den Header geprüfter E-Mails schreiben (unter F5 > Server-Schutz > Spam-Schutz > Microsoft
Exchange Server > Transport-Agent). Mit den folgenden Schritten können Sie unerwünschte Nachrichten in
einem anderen Ordner speichern:
1) In ESET Mail Security:
– Wechseln Sie zur Baumstruktur der erweiterten Einstellungen (F5).
– Navigieren Sie zu Serverschutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent.
– Wählen Sie im Dropdownmenü Aktion für Spam-Mails den Eintrag Nachricht behalten aus.
– Deaktivieren Sie das Kontrollkästchen Spam-Score in den Header geprüfter Nachrichten schreiben.
– Wechseln Sie zu Warnungen und Hinweise unter Spam-Schutz.
– Definieren Sie im Feld Text, der zur Betreffzeile von Spam-Mails hinzugefügt wird: einen Text, der zum
Betrefffeld unerwünschter Nachrichten hinzugefügt wird, beispielsweise „[SPAM]“.
2) In Microsoft Outlook:
– Erstellen Sie eine Regel, mit der E-Mails mit einem bestimmten Text („[SPAM]“) in der Betreffzeile in den
gewünschten Ordner verschoben werden.
Ausführlichere Anweisungen finden Sie in diesem Knowledgebase-Artikel.
F: In der Statistik des Spam-Schutzes sind viele Nachrichten als Nicht geprüft kategorisiert. Wieso lässt der SpamSchutz Nachrichten ungeprüft?
A: Die Kategorie Nicht geprüft besteht aus:
Allgemein:
Alle Nachrichten, die bei auf allen Sicherheitsebenen (E-Mail-Server, Transport-Agent) deaktiviertem SpamSchutz geprüft wurden.
Microsoft Exchange Server 2003:
Alle Nachrichten von einer IP-Adresse, die in der Globalen Annahmeliste des intelligenten Nachrichtenfilters
(IMF) enthalten ist
Nachrichten von authentifizierten Absendern
Microsoft Exchange Server 2007:
Alle intern versendeten Nachrichten (alle werden vom Spam-Schutz-Modul geprüft)
Nachrichten von authentifizierten Absendern
Nachrichten von Benutzern, deren Konto zur Umgehung des Spam-Schutzes konfiguriert wurde
Alle Nachrichten an ein Postfach, für das die Option AntispamBypass aktiviert ist.
Alle Nachrichten von Absendern auf der Liste Sichere Absender.
HINWEIS: E-Mail-Adressen, die in der Positivliste und den Einstellungen für den Spam-Schutz vermerkt sind,
gehören nicht zur Kategorie Nicht geprüft, da diese Liste nur Nachrichten enthält, die nie vom Spam-Schutz-Modul
verarbeitet wurden.
F: Wenn E-Mail-Programme POP3 zum Abholen der E-Mails verwenden (und so den Microsoft Exchange-Server
umgehen), sich die Postfächer aber auf diesem Exchange-Server befinden, werden diese E-Mails dann auch von
ESET Mail Security auf Viren und Spam geprüft?
A: Bei dieser Konfiguration prüft ESET Mail Security die E-Mails, die auf dem Exchange-Server gespeichert sind, nur
57
auf Viren (mit VSAPI). Es besteht kein Spam-Schutz, da dafür ein SMTP-Server notwendig ist.
F: Kann ich festlegen, ab welchem Spam-Score eine Nachricht als Spam eingestuft wird?
A: Ja, ab ESET Mail Security Version 4.3 können Sie diese Grenze festlegen (siehe Kapitel Spamschutz-Modul
39
).
F: Prüft der Spam-Schutz von ESET Mail Security auch E-Mails, die mit POP3-Connector heruntergeladen wurden?
A: ESET Mail Security unterstützt den Standard-POP3-Connector von Microsoft SBS auf SBS 2008. Nachrichten, die
über diesen POP3-Connector heruntergeladen werden, werden auf Spam überprüft. Der Standard-Microsoft SBSPOP3-Connector unter SBS 2003 wird jedoch nicht unterstützt. Es gibt auch POP3-Connectors von Drittanbietern.
Ob die über einen Drittanbieter-POP3-Connector abgerufenen Nachrichten auf Spam geprüft werden, hängt davon
ab, wie der POP3-Connector ausgelegt ist und wie Nachrichten über diesen POP3-Connector abgerufen werden.
Weitere Informationen hierzu finden Sie im Hilfethema POP3-Connector und Spam-Schutz 38 .
58
4. ESET Mail Security – Server-Schutz
Neben dem Schutz von Microsoft Exchange Server bietet ESET Mail Security auch Möglichkeiten, den Server selbst
zu schützen (Hintergrundwächter, Web-Schutz, E-Mail-Client-Schutz und Spam-Schutz).
4.1 Viren- und Spyware-Schutz
Virenschutzlösungen bieten durch Überwachung der Daten-, E-Mail- und Internet-Kommunikation Schutz vor
bösartigen Systemangriffen. Wird eine Bedrohung durch Schadcode erkannt, kann das Virenschutz-Modul den
Code unschädlich machen, indem es zunächst die Ausführung des Codes blockiert und dann den Code entfernt
bzw. die Datei löscht oder in die Quarantäne verschiebt.
4.1.1 Echtzeit-Dateischutz
Der Echtzeit-Dateischutz überwacht alle für den Virenschutz relevanten Systemereignisse. Alle Dateien werden
beim Öffnen, Erstellen oder Ausführen auf Ihrem Computer auf Schadcode geprüft. Der Echtzeit-Dateischutz wird
beim Systemstart gestartet.
4.1.1.1 Prüfeinstellungen
Der Echtzeit-Dateischutz prüft alle Datenträger, wobei die Prüfung von verschiedenen Ereignissen ausgelöst wird.
Durch die Verwendung der ThreatSense-Erkennungsmethoden (siehe Abschnitt Einstellungen für ThreatSense 75 )
kann der Echtzeit-Dateischutz für neu erstellte und vorhandene Dateien variieren. Neu erstellte Dateien können
einer noch gründlicheren Prüfung unterzogen werden.
Bereits geprüfte Dateien werden nicht erneut geprüft (sofern sie nicht geändert wurden), um die Systembelastung
durch den Echtzeit-Dateischutz möglichst gering zu halten. Nach einem Update der Signaturdatenbank werden die
Dateien sofort wieder geprüft. Mit der Smart-Optimierung legen Sie diese Prüfeinstellung fest. Ist diese Option
deaktiviert, werden alle Dateien bei jedem Zugriff geprüft. Um den Optionsmodus zu ändern, öffnen Sie das Fenster
mit den erweiterten Einstellungen und klicken auf Viren- und Spyware-Schutz > Echtzeit-Dateischutz. Klicken
Sie als Nächstes auf die Schaltfläche Einstellungen neben Einstellungen für ThreatSense, dann auf Sonstige und
aktivieren bzw. deaktivieren Sie die Option Smart-Optimierung aktivieren.
Der Echtzeit-Dateischutz wird standardmäßig beim Systemstart gestartet und fortlaufend ausgeführt. In
Ausnahmefällen (z. B. bei einem Konflikt mit einer anderen Echtzeitprüfung) kann die Ausführung des EchtzeitDateischutzes abgebrochen werden. Deaktivieren Sie dazu die Option Echtzeit-Dateischutz automatisch starten
.
59
4.1.1.1.1 Zu prüfende Datenträger
In der Standardeinstellung werden alle Datenträger auf mögliche Bedrohungen geprüft.
Lokale Laufwerke - Alle lokalen Laufwerke werden geprüft
Wechselmedien - Disketten, USB-Speichergeräte usw.
Netzlaufwerke - Alle zugeordneten Netzlaufwerke werden geprüft
Es wird empfohlen, diese Einstellungen nur in Ausnahmefällen zu ändern, z. B. wenn die Prüfung bestimmter
Datenträger die Datenübertragung deutlich verlangsamt.
4.1.1.1.2 Prüfen beim (ereignisgesteuerte Prüfung)
Standardmäßig werden alle Dateien beim Öffnen, Erstellen und Ausführen geprüft. Wir empfehlen Ihnen, die
Standardeinstellungen beizubehalten. So bietet der Echtzeit-Dateischutz auf Ihrem Computer maximale
Sicherheit.
Über die Option Diskettenzugriff können Sie den Bootsektor einer Diskette prüfen, wenn auf das entsprechende
Laufwerk zugegriffen wird. Über die Option Herunterfahren können Sie die Festplatten-Bootsektoren beim
Herunterfahren des Computers prüfen. Auch wenn Boot-Viren heutzutage selten sind, sollten Sie diese Optionen
dennoch aktivieren, da die Gefahr der Infektion durch einen Boot-Virus aus alternativen Quellen durchaus besteht.
4.1.1.1.3 Erweiterte Optionen für Prüfungen
Weitere Einstellungsoptionen sind unter Computer-Schutz > Viren- und Spyware-Schutz > Echtzeit-Dateischutz
> Erweiterte Einstellungen verfügbar.
Zusätzliche ThreatSense-Einstellungen für neu erstellte und geänderte Dateien - Das Infektionsrisiko für neu
erstellte oder geänderte Dateien ist vergleichsweise größer als für vorhandene Dateien. Daher prüft das Programm
solche Dateien mit zusätzlichen Parametern. Zusätzlich zu den Prüfmethoden auf Signaturbasis wird die Advanced
Heuristik verwendet, wodurch die Erkennungsrate deutlich steigt. Neben neu erstellten Dateien werden auch
selbstentpackende Archive (SFX) und laufzeitkomprimierte Dateien (intern komprimierte, ausführbare Dateien)
geprüft. In den Standardeinstellungen werden Archive unabhängig von ihrer eigentlichen Größe bis zur 10.
Verschachtelungstiefe geprüft. Deaktivieren Sie die Option „Standard-Archivprüfeinstellungen“, um die
Archivprüfeinstellungen zu ändern.
Zusätzliche ThreatSense.Net-Einstellungen für ausführbare Dateien - In den Standardeinstellungen wird bei der
60
Dateiausführung keine Advanced Heuristik verwendet. Unter Umständen kann es jedoch sinnvoll sein, diese
Option mit dem Kontrollkästchen Advanced Heuristics bei Dateiausführung zu aktivieren. Beachten Sie, dass die
Advanced Heuristik die Ausführung einiger Programme aufgrund erhöhter Systemanforderungen verlangsamen
kann.
4.1.1.2 Säuberungsstufen
Für den Echtzeit-Dateischutz stehen drei Säuberungsstufen zur Auswahl. Um eine Säuberungsstufe auszuwählen,
klicken Sie auf die Schaltfläche Einstellungen im Bereich Echtzeit-Dateischutz und dann auf Säubern.
Auf der ersten Stufe, Nicht säubern, wird für jede erkannte eingedrungene Schadsoftware eine Warnung
angezeigt, die eine Auswahl an Optionen bereitstellt. Sie müssen für jede eingedrungene Schadsoftware eine
eigene Aktion auswählen. Diese Stufe eignet sich für fortgeschrittene Benutzer, die wissen, wie sie im Falle
eingedrungener Schadsoftware vorgehen sollen.
Auf der Standard-Säuberungsstufe wird automatisch eine vordefinierte Aktion ausgewählt und ausgeführt, je
nach Typ der eingedrungenen Schadsoftware. Eine Nachricht am unteren rechten Bildschirmrand informiert über
die Erkennung und das Löschen infizierter Dateien. Eine automatische Aktion wird nicht ausgeführt, wenn sich
die infizierte Datei in einem Archiv befindet und dieses weitere nicht infizierte Dateien enthält. Gleiches gilt für
Objekte, für die keine vordefinierte Aktion angegeben wurde.
Die dritte Säuberungsstufe, Immer versuchen, automatisch zu entfernen, ist am „aggressivsten“; der
Schadcode aller infizierten Objekte wird entfernt. Da hierbei möglicherweise wichtige Dateien verloren gehen,
sollten Sie auf diesen Modus nur in besonderen Fällen zurückgreifen.
4.1.1.3 Wann sollten die Einstellungen für den Echtzeit-Dateischutz geändert werden?
Der Echtzeit-Dateischutz ist die wichtigste Komponente für ein sicheres System. Daher sollte gründlich geprüft
werden, ob eine Änderung der Einstellungen wirklich notwendig ist. Es wird empfohlen, seine Parameter nur in
einzelnen Fällen zu verändern. Dies kann beispielsweise erforderlich sein, wenn ein Konflikt mit einer bestimmten
Anwendung oder der Echtzeit-Prüfung eines anderen Virenschutzprogramms vorliegt.
Bei der Installation von ESET Mail Security werden alle Einstellungen optimal eingerichtet, um dem Benutzer die
größtmögliche Schutzstufe für das System zu bieten. Um die Standardeinstellungen wiederherzustellen, klicken Sie
auf die Schaltfläche Standard unten rechts im Fenster Echtzeit-Dateischutz (Erweiterte Einstellungen > Virenund Spyware-Schutz > Echtzeit-Dateischutz).
61
4.1.1.4 Echtzeit-Dateischutz prüfen
Um sicherzustellen, dass der Echtzeit-Dateischutz aktiv ist und Viren erkennt, verwenden Sie eine Testdatei von
eicar.com. Diese Testdatei ist harmlos und wird von allen Virenschutzprogrammen erkannt. Die Datei wurde von
der Firma EICAR (European Institute for Computer Antivirus Research) erstellt, um die Funktionalität von
Virenschutzprogrammen zu testen. Die Datei „eicar.com“ kann unter http://www.eicar.org/download/eicar.com
heruntergeladen werden.
HINWEIS: Bevor Sie eine Prüfung des Echtzeit-Dateischutzes durchführen, müssen Sie die Firewall deaktivieren. Bei
aktivierter Firewall wird die Datei erkannt, und die Testdateien können nicht heruntergeladen werden.
4.1.1.5 Vorgehensweise bei fehlerhaftem Echtzeit-Dateischutz
Im nächsten Kapitel werden mögliche Probleme mit dem Echtzeit-Dateischutz sowie Lösungsstrategien
beschrieben.
Echtzeit-Dateischutz ist deaktiviert
Der Echtzeit-Dateischutz wurde versehentlich von einem Benutzer deaktiviert und muss reaktiviert werden. Um
den Echtzeit-Dateischutz wieder zu aktivieren, klicken Sie im Hauptprogrammfenster auf Einstellungen > Virenund Spyware-Schutz > Echtzeit-Dateischutz aktivieren.
Wenn der Echtzeit-Dateischutz beim Systemstart nicht gestartet wird, ist wahrscheinlich die Option EchtzeitDateischutz automatisch starten deaktiviert. Zum Reaktivieren dieser Option klicken Sie in den erweiterten
Einstellungen (F5) auf Echtzeit-Dateischutz. Aktivieren Sie im Bereich Erweiterte Einstellungen am unteren Rand
des Fensters das Kontrollkästchen Echtzeit-Dateischutz automatisch starten.
Echtzeit-Dateischutz erkennt und entfernt keinen Schadcode
Stellen Sie sicher, dass keine anderen Virenschutzprogramme auf Ihrem Computer installiert sind. Zwei parallel
ausgeführte Schutzprogramme können miteinander in Konflikt geraten. Wir empfehlen Ihnen, alle anderen
Virenschutzprogramme zu deinstallieren.
Echtzeit-Dateischutz startet nicht
Wenn der Echtzeit-Dateischutz beim Systemstart nicht gestartet wird (und die Option Echtzeit-Dateischutz
automatisch starten aktiviert ist), kann das an Konflikten mit anderen Programmen liegen. Sollte dies der Fall
sein, wenden Sie sich an den ESET-Support.
62
4.1.2 E-Mail-Client-Schutz
Der E-Mail-Schutz dient der Überwachung eingehender E-Mails, die mit dem POP3-Protokoll übertragen werden.
Mithilfe der Plugin-Software für Microsoft Outlook stellt ESET Mail Security Kontrollfunktionen für die gesamte EMail-Kommunikation (POP3, MAPI, IMAP, HTTP) bereit.
Für die Prüfung eingehender Nachrichten verwendet das Programm alle erweiterten ThreatSense-Prüfmethoden.
Die Erkennung von Schadcode findet also noch vor dem Abgleich mit der Signaturdatenbank statt. Die Prüfung der
POP3-Kommunikation erfolgt unabhängig vom verwendeten E-Mail-Programm.
4.1.2.1 POP3-Prüfung
Das POP3-Protokoll ist das am häufigsten verwendete Protokoll zum Empfangen von E-Mails mit einem E-MailProgramm. ESET Mail Security bietet POP3-Protokoll-Schutzfunktionen unabhängig vom verwendeten E-MailProgramm.
Das Modul, das diese Kontrollfunktion bereitstellt, wird automatisch beim Systemstart initialisiert und ist dann im
Speicher aktiv. Um das Modul einsetzen zu können, muss es aktiviert sein. Die POP3-Prüfung wird automatisch
ausgeführt, und das E-Mail-Programm muss nicht neu konfiguriert werden. In der Standardeinstellung wird die
gesamte Kommunikation über Port 110 geprüft. Bei Bedarf können weitere Kommunikationsports hinzugefügt
werden. Portnummern müssen durch ein Komma voneinander getrennt sein.
Verschlüsselter Datenverkehr wird nicht geprüft.
Um den POP3/POP3S-Filter nutzen zu können, müssen Sie zuerst das Prüfen von Anwendungsprotokollen
aktivieren. Wenn die Optionen für POP3/POP3S grau dargestellt sind, klicken Sie im Bereich „Erweiterte
Einstellungen“ auf Computer-Schutz > Viren- und Spyware-Schutz > Prüfen von Anwendungsprotokollen und
aktivieren Sie die Option Prüfen von anwendungsspezifischen Protokollen aktivieren. Im Abschnitt Prüfen von
Anwendungsprotokollen finden Sie weitere Informationen zum Prüfen mit Filtern und zu deren Konfiguration.
63
4.1.2.1.1 Kompatibilität
Bei bestimmten E-Mail-Programmen können Probleme bei der POP3-Prüfung auftreten (wenn Sie z. B. eine
langsame Internetverbindung verwenden, kann es beim Prüfen zu Zeitüberschreitungen kommen). Sollte dies der
Fall sein, ändern Sie die Prüfeinstellungen. Wenn Sie die Prüfmethoden lockern, kann dies die Geschwindigkeit beim
Entfernen von Schadcode erhöhen. Um den Grad der POP3-Prüfung anzupassen, klicken Sie in den erweiterten
Einstellungen auf Viren- und Spyware-Schutz > Spyware-Schutz > E-Mail-Schutz > POP3, POP3S >
Kompatibilität.
Bei Aktivierung der Option Maximaler Funktionsumfang werden Infiltrationen aus infizierten Nachrichten
entfernt (wenn die Optionen Löschen oder Säubern aktiviert sind oder wenn die Säuberungsstufe Immer
versuchen, automatisch zu säubern bzw. Standard aktiviert ist) und Informationen über die Infiltration werden
vor dem ursprünglichen E-Mail-Betreff eingefügt.
Mittlere Kompatibilität ändert die Art und Weise, wie Nachrichten empfangen werden. Nachrichten werden
stückweise an das E-Mail-Programm gesendet. Nachdem der letzte Teil der Nachricht übertragen wurde, wird die
Nachricht auf Schadcode geprüft. Bei dieser Prüfmethode steigt das Infektionsrisiko. Die Säuberungsstufe und die
Behandlung von Prüfhinweisen (Warnhinweise, die an die Betreffzeile und den E-Mail-Body angehängt werden)
entsprechen den Einstellungen der Option „Maximaler Funktionsumfang“.
Bei der Stufe Maximaler Funktionsumfang wird der Benutzer mithilfe einer Warnung über den Empfang einer
infizierten Nachricht informiert. Es werden keine Informationen über infizierte Dateien an die Betreffzeile oder den
Body eingegangener Nachrichten angehängt, und eingedrungener Schadcode wird nicht automatisch entfernt; Sie
müssen infizierte Dateien in dem E-Mail-Programm löschen.
4.1.2.2 Integration mit E-Mail-Programmen
Die Integration von ESET Mail Security mit E-Mail-Programmen verbessert den aktiven Schutz gegen Schadcode in
E-Mail-Nachrichten. Wenn Ihr E-Mail-Programm dies unterstützt, kann die Integration in ESET Mail Security
aktiviert werden. Bei aktivierter Integration kontrolliert ESET Mail Security die Verbindungen zum E-MailProgramm, und die E-Mail-Kommunikation wird dadurch sicherer. Die Integrationseinstellungen finden Sie unter
Einstellungen > Erweiterte Einstellungen > Allgemein > Integration in E-Mail-Programme. Über die Option
„Integration in E-Mail-Programme“ können Sie die Integration mit unterstützten E-Mail-Programmen aktivieren. Zu
den derzeit unterstützten E-Mail-Programmen gehören Microsoft Outlook, Outlook Express, Windows Mail,
Windows Live Mail und Mozilla Thunderbird.
Wählen Sie die Option Prüfen neuer Elemente im Posteingang deaktivieren, falls Sie während der Arbeit mit
Ihrem E-Mail-Programm eine Systemverlangsamung bemerken. Dies kann auftreten, wenn Sie E-Mails vom Kerio
64
Outlook Connector Store herunterladen.
Sie aktivieren den E-Mail-Schutz auf folgendem Weg: Einstellungen > Erweiterte Einstellungen > Allgemein > EMail-Client-Schutz > Viren- und Spyware-Schutz für E-Mail-Client-Schutz aktivieren.
4.1.2.2.1 E-Mail-Body Prüfhinweise hinzufügen
Jede von ESET Mail Security geprüfte E-Mail kann durch Hinzufügen eines Prüfhinweises an den Betreff oder den EMail-Body markiert werden. Diese Funktion erhöht beim Empfänger die Glaubwürdigkeit von Nachrichten. Bei der
Erkennung von eingedrungener Schadsoftware stehen wertvolle Informationen zur Verfügung, um den
Bedrohungsgrad durch die Nachricht oder den Absender einzuschätzen.
Die Optionen für diese Funktion finden Sie unter Erweiterte Einstellungen > Viren- und Spyware-Schutz > EMail-Client-Schutz. Sie haben folgende Optionen: Prüfhinweis zu eingehenden/gelesenen E-Mails hinzufügen
und Prüfhinweis zu ausgehenden E-Mails hinzufügen. Außerdem können Sie entscheiden, ob Prüfhinweise allen
geprüften E-Mails, nur infizierten E-Mails oder gar keinen E-Mails hinzugefügt werden.
ESET Mail Security kann auch Hinweise an den ursprünglichen Betreff der infizierten E-Mails anhängen. Wählen Sie
dazu Prüfhinweis an den Betreff empfangener und gelesener infizierter E-Mails anhängen und Prüfhinweis an
den Betreff ausgehender infizierter E-Mails anhängen.
Der Inhalt der Hinweise kann im Feld Text, der zur Betreffzeile infizierter E-Mails hinzugefügt wird bearbeitet
werden. Die erwähnte Bearbeitung kann das Filtern von infizierten E-Mails automatisieren, indem infizierte E-Mails
mit einem bestimmten Betreff in einem separaten Ordner abgelegt werden (falls Ihr E-Mail-Programm dies
unterstützt).
4.1.2.3 Eingedrungene Schadsoftware entfernen
Bei Empfang einer infizierten E-Mail-Nachricht wird eine Warnung angezeigt. Die Warnung enthält den Namen des
Absenders, die E-Mail und den Namen der eingedrungenen Schadsoftware. Im unteren Bereich des Fensters können
Sie zwischen den Optionen Säubern, Löschen oder Übergehen für das erkannte Objekt auswählen. In fast allen
Fällen sollten Sie entweder Säubern oder Löschen wählen. Um die infizierte Datei in Ausnahmesituationen zu
empfangen, wählen Sie Übergehen.
Bei Aktivierung von Immer versuchen, automatisch zu säubern enthält das angezeigte Informationsfenster
keinerlei Auswahloptionen für das infizierte Objekt.
65
4.1.3 Web-Schutz
Internetzugang ist eine Standardfunktion von Computern. Leider ist diese technische Möglichkeit mittlerweile
auch der wichtigste Weg zur Verbreitung von Schadsoftware. Daher müssen Sie Art und Umfang Ihres WebSchutzes genau abwägen. Wir empfehlen dringend, dass die Option Viren- und Spyware-Schutz aktivieren zu
aktivieren. Dieses Kontrollkästchen erreichen Sie über Erweiterte Einstellungen (F5) > Viren- und SpywareSchutz > Web-Schutz.
4.1.3.1 HTTP, HTTPS
Der Web-Schutz besteht in der Überwachung der Kommunikation zwischen Webbrowsern und Remoteservern und
entspricht den Regeln für HTTP (Hypertext Transfer Protocol) und HTTPS (verschlüsselte Kommunikation). ESET
Mail Security ist standardmäßig für die Standards der gängigen Webbrowser konfiguriert. Dennoch können Sie die
Einstellungen für die HTTP-Prüfung unter Erweiterte Einstellungen (F5) > Viren- und Spyware-Schutz > WebSchutz > HTTP, HTTPS bearbeiten. Im Hauptfenster für die HTTP-Filterung können Sie die Option HTTP-Prüfung
aktivieren aus- bzw. abwählen. Außerdem können Sie die Portnummern für die HTTP-Kommunikation festlegen. In
der Standardeinstellung sind die Portnummern 80, 8080 und 3128 vorgegeben. Folgende Optionen stehen für die
HTTPS-Prüfung zur Verfügung:
HTTPS-Protokollprüfung nicht verwenden - Verschlüsselte Kommunikation wird nicht geprüft
HTTPS-Protokollprüfung für ausgewählte Ports durchführen - Die HTTPS-Prüfung wird nur für die im Bereich
Portnutzung HTTPS-Protokoll festgelegten Ports durchgeführt.
66
4.1.3.1.1 Adressverwaltung
In diesem Bereich können Sie festlegen, welche HTTP-Adressen blockiert, zugelassen oder von der Prüfung
ausgeschlossen werden sollen. Mit den Schaltflächen Hinzufügen, Bearbeiten, Entfernen und Exportieren
können Sie die Adresslisten verwalten. Auf Websites, die in der Liste der blockierten Adressen aufgeführt sind, ist
kein Zugriff möglich. Websites, die in der Liste der ausgeschlossenen Websites aufgeführt sind, werden vor dem
Zugriff nicht auf Schadcode überprüft. Durch Aktivierung der Option Nur Zugriff auf HTTP-Adressen aus der Liste
zulässiger Adressen erlauben können Sie nur auf Adressen in dieser Liste zugreifen, während alle anderen HTTPAdressen blockiert werden.
In allen Listen können Sie die Platzhalterzeichen * (Sternchen) und ? (Fragezeichen) verwenden. Das Sternchen
steht für eine beliebige Zeichenfolge, das Fragezeichen für ein einzelnes Zeichen. Gehen Sie in diesem
Zusammenhang bei der Liste der ausgeschlossenen Adressen mit Bedacht vor, da diese nur vertrauenswürdige und
sichere Adressen enthalten darf. Achten Sie daher gerade bei dieser Liste darauf, dass die Platzhalter * und ? korrekt
verwendet werden. Um eine Liste zu aktivieren, wählen Sie die Option Liste aktiv. Wenn Sie beim Zugriff auf eine
Adresse aus der aktuellen Liste benachrichtigt werden möchten, wählen Sie Benachrichtigung bei Verwendung
von Adresse aus Liste.
67
4.1.3.1.2 Aktiver Modus
Über die Webbrowser-Funktion von ESET Mail Security können Sie festlegen, ob es sich bei einer Anwendung um
einen Browser handelt oder nicht. Wird eine Anwendung als Browser eingestuft, wird der gesamte Datenverkehr
dieser Anwendung überwacht, und zwar unabhängig von den verwendeten Portnummern.
Die Webbrowser-Funktion ist eine Ergänzung der HTTP-Prüfung, da die HTTP-Prüfung nur für ausgewählte Ports
durchgeführt wird. Viele Internetdienste verwenden jedoch sich ändernde oder unbekannte Portnummern. Um
diesem Sachverhalt Rechnung zu tragen, kann mithilfe der Webbrowser-Funktion die gesamte Portkommunikation
unabhängig von den Verbindungsparametern überwacht werden.
Die Liste der als Webbrowser eingestuften Anwendungen kann direkt im Untermenü Webbrowser im
Menübereich HTTP, HTTPS eingesehen werden. Dieser Abschnitt enthält außerdem das Untermenü Aktiver
68
Modus, in dem der Prüfungsmodus für die Webbrowser festgelegt wird.
Die Funktion Aktiver Modus dient der Untersuchung der übertragenen Daten als Ganzes. Ist die Option nicht
aktiviert, wird die Kommunikation der Anwendungen nur Stück für Stück überwacht. Dies verringert die Effizienz
der Datenverifizierung, erhöht jedoch die Kompatibilität der aufgeführten Anwendungen. Verursacht das Verfahren
keine Probleme, sollten Sie den aktiven Modus aktivieren, indem Sie im Kontrollkästchen der gewünschten
Anwendung ein Häkchen setzen.
4.1.4 On-Demand-Prüfung
Wenn Sie den Verdacht haben, dass Ihr Computer infiziert ist (anormales Verhalten), führen Sie eine On-DemandPrüfung aus, um Ihren Computer auf eingedrungene Schadsoftware zu untersuchen. Aus Sicherheitsgründen ist es
dringend erforderlich, dass Sie Ihren Computer nicht nur bei Infektionsverdacht prüfen, sondern diese Prüfung in die
allgemeinen Sicherheitsroutinen integrieren. Durch regelmäßige Prüfungen kann eingedrungene Schadsoftware
erkannt werden, die vom Echtzeit-Dateischutz zum Zeitpunkt der Speicherung der Schadsoftware nicht erkannt
wurde. Dies kommt z. B. vor, wenn die Echtzeit-Prüfung zum Zeitpunkt der Infektion deaktiviert war oder die
Signaturdatenbank nicht auf dem neuesten Stand ist.
Sie sollten mindestens einmal im Monat eine On-Demand-Prüfung vornehmen. Sie können die Prüfung als Task
unter Tools > Taskplaner konfigurieren.
69
4.1.4.1 Prüfungstyp
Es gibt zwei verschiedene Arten der On-Demand-Prüfung. Bei der Standardprüfung wird das System schnell
überprüft, ohne dass Sie dafür weitere Prüfparameter konfigurieren müssen. Bei der Methode Prüfen mit
speziellen Einstellungen können Sie ein vordefiniertes Prüfprofil und die zu prüfenden Objekte auswählen.
4.1.4.1.1 Standardprüfung
Mit der Standardprüfung können Sie schnell den Computer prüfen und infizierte Dateien säubern, ohne eingreifen
zu müssen. Die Bedienung ist einfach, und es ist keine ausführliche Konfiguration erforderlich. Bei der
Standardprüfung werden alle Dateien auf allen Laufwerken geprüft, und erkannte eingedrungene Schadsoftware
wird automatisch entfernt. Als Säuberungsstufe wird automatisch der Standardwert festgelegt. Weitere
Informationen zu den Entfernungstypen finden Sie unter Entfernen 78 .
4.1.4.1.2 Prüfen mit speziellen Einstellungen
Über die Option „Prüfen mit speziellen Einstellungen“ können Sie Prüfparameter wie die zu prüfenden Objekte oder
Prüfmethoden angeben. Der Vorteil dieser Methode ist die Möglichkeit zur genauen Parameterkonfiguration.
Verschiedene Konfigurationen können in benutzerdefinierten Prüfprofilen gespeichert werden. Das ist sinnvoll,
wenn Prüfungen wiederholt mit denselben Parametern ausgeführt werden.
Mit der Option Computer prüfen > Prüfen mit speziellen Einstellungen können Sie Zu prüfende Objekte aus der
Liste oder in der Baumstruktur auswählen. Sie können ein zu prüfendes Objekt auch genauer bestimmen, indem Sie
den Pfad zu dem Ordner oder den Dateien eingeben, die geprüft werden sollen. Wenn Sie nur das System ohne
zusätzliche Säuberung prüfen möchten, wählen Sie die Option Nur prüfen, keine Aktion. Außerdem können Sie
zwischen drei Säuberungsstufen wählen. Klicken Sie dazu auf Einstellungen > Säubern.
70
4.1.4.2 Zu prüfende Objekte
In der Dropdown-Liste der zu prüfenden Objekte können Sie Dateien, Ordner und Medien (Laufwerke) auswählen,
die auf Viren geprüft werden sollen.
Nach Profileinstellungen - Zu prüfende Objekte entsprechen denen, die im Profil festgelegt sind
Wechselmedien - Geprüft werden Disketten, USB-Speichergeräte, CDs/DVDs
Lokale Laufwerke - Geprüft werden alle lokalen Laufwerke
Netzlaufwerke - Geprüft werden alle zugeordneten Netzlaufwerke
Keine Auswahl - Bricht die Zielauswahl ab
Sie können ein zu prüfendes Objekt auch genauer definieren, indem Sie den Pfad zu dem Ordner oder den Dateien
eingeben, die geprüft werden sollen. Wählen Sie die zu prüfenden Objekte aus der Baumstruktur aus, in der alle auf
dem Computer verfügbaren Ordner aufgelistet werden.
4.1.4.3 Prüfprofile
Ihre bevorzugten Einstellungen können für zukünftige Prüfungen gespeichert werden. Wir empfehlen Ihnen, für
jede regelmäßig durchgeführte Prüfung ein eigenes Profil zu erstellen (mit verschiedenen zu prüfenden Objekten,
Prüfmethoden und anderen Parametern).
Um ein neues Profil zu erstellen, öffnen sie das Fenster mit den erweiterten Einstellungen (F5) und klicken Sie auf
On-Demand-Prüfung > Profile. Im Fenster Konfigurationsprofile befindet sich eine Dropdown-Liste mit den
bestehenden Prüfprofilen und der Option zum Erstellen eines neuen Profils. Eine Beschreibung der einzelnen
Prüfeinstellungen finden Sie im Abschnitt Einstellungen für ThreatSense 75 . So können Sie ein Prüfprofil erstellen,
das auf Ihre Anforderungen zugeschnitten ist.
BEISPIEL: Nehmen wir an, Sie möchten Ihr eigenes Prüfprofil erstellen. Die Standardprüfung eignet sich in
gewissem Maße, aber Sie möchten nicht die laufzeitkomprimierten Dateien oder potenziell unsichere
Anwendungen prüfen. Außerdem möchten Sie die Option Immer versuchen, automatisch zu entfernen
anwenden. Klicken Sie im Fenster Konfigurationsprofile auf die Schaltfläche Hinzufügen. Geben Sie den Namen
des neuen Profils im entsprechenden Feld ein und wählen Sie aus der Dropdown-Liste Einstellungen kopieren von
Profil die Option Smart-Prüfung. Passen Sie anschließend die übrigen Parameter Ihren eigenen Erfordernissen an.
71
4.1.4.4 Kommandozeile
Das Virenschutz-Modul von ESET Mail Security kann über die Kommandozeile gestartet werden, entweder manuell
(mit dem Befehl „ecls“) oder über eine Batch-Datei („.bat“).
Folgende Parameter und Switches stehen zur Verfügung, um die manuelle Prüfung über die Kommandozeile
auszuführen:
Allgemeine Optionen:
- help
Hilfe anzeigen und beenden
- version
Versionsinformationen anzeigen und beenden
- base-dir = ORDNER
Module laden aus ORDNER
- quar-dir = ORDNER
Quarantäne-ORDNER
- aind
Aktivitätsanzeige anzeigen
Zu prüfende Objekte:
- files
Dateien prüfen (Standardeinstellung)
- no-files
Dateien nicht prüfen
- boots
Bootsektoren prüfen (Standardeinstellung)
- no-boots
Bootsektoren nicht prüfen
- arch
Archive prüfen (Standardeinstellung)
- no-arch
Archive nicht prüfen
- max-archive-level = LEVEL
Maximale Verschachtelungsstufe (LEVEL) bei Archiven
- scan-timeout = LIMIT
Archive maximal LIMIT Sekunden prüfen. Wenn die Dauer
der Prüfung den festgelegten Wert erreicht, wird die
Prüfung beendet und die Prüfung der nächsten Datei
beginnt.
- max-arch-size = ANZAHL
Nur die ersten ANZAHL Byte in Archiven prüfen
(Standardeinstellung: 0 = unbegrenzt)
- mail
E-Mail-Dateien prüfen
- no-mail
E-Mail-Dateien nicht prüfen
- sfx
Selbstentpackende Archive prüfen
- no-sfx
Selbstentpackende Archive nicht prüfen
- rtp
Laufzeitkomprimierte Dateien prüfen
- no-rtp
Laufzeitkomprimierte Dateien nicht prüfen
- exclude = ORDNER
ORDNER von der Prüfung ausschließen
- subdir
Unterordner prüfen (Standardeinstellung)
- no-subdir
Unterordner nicht prüfen
- max-subdir-level = LEVEL
Maximale Verschachtelungsstufe (LEVEL) bei
untergeordneten Verzeichnissen
(Standardeinstellung: 0 = unbegrenzt)
- symlink
Symbolischen Links folgen (Standardeinstellung)
- no-symlink
Symbolischen Links nicht folgen
- ext-remove = ERWEITERUNGEN
72
- ext-exclude = ERWEITERUNGEN
ERWEITERUNGEN (Trennzeichen Doppelpunkt) nicht
prüfen
Methoden:
- adware
Auf Adware/Spyware/Riskware prüfen
- no-adware
Nicht auf Adware/Spyware/Riskware prüfen
- unsafe
Auf potenziell unsichere Anwendungen prüfen
- no-unsafe
Nicht auf potenziell unsichere Anwendungen prüfen
- unwanted
Auf evtl. unerwünschte Anwendungen prüfen
- no-unwanted
Nicht auf potenziell unerwünschte Anwendungen prüfen
- pattern
Signaturdatenbank verwenden
- no-pattern
Signaturdatenbank nicht verwenden
- heur
Heuristik aktivieren
- no-heur
Heuristik deaktivieren
- adv-heur
Advanced Heuristik aktivieren
- no-adv-heur
Advanced Heuristik deaktivieren
Säubern:
- action = AKTION
AKTION für infizierte Objekte ausführen. Mögliche
Aktionen: none, clean, prompt (keine, Säubern,
Aufforderung anzeigen)
- quarantine
Infizierte Dateien in die Quarantäne kopieren (ergänzt
AKTION)
- no-quarantine
Infizierte Dateien nicht in die Quarantäne kopieren
Logs:
- log-file=DATEI
Ausgabe in DATEI protokollieren
- log-rewrite
Ausgabedatei überschreiben
(Standardeinstellung: Anhängen)
- log-all
Saubere Dateien auch in Log aufnehmen
- no-log-all
Saubere Dateien nicht in Log aufnehmen
(Standardeinstellung)
Mögliche Exitcodes der Prüfung:
0
- keine Bedrohungen gefunden
1
- Bedrohung gefunden, aber nicht entfernt
10
- es sind noch infizierte Dateien vorhanden
101
- Archivfehler
102
- Zugriffsfehler
103
- interner Fehler
HINWEIS: Exitcodes größer 100 bedeuten, dass die Datei nicht geprüft wurde und daher infiziert sein kann.
73
4.1.5 Leistung
In diesem Bereich können Sie die Anzahl der ThreatSense-Prüfengines festlegen, die für den Virenschutz eingesetzt
werden. Auf Mehrprozessor-Computern kann eine höhere Anzahl an ThreatSense-Prüfengines die Prüfrate
erhöhen. Der zulässige Wertebereich ist 1-20.
Wenn möglich, sollte die Anzahl der ThreatSense-Prüfengines unter erweiterte Einstellungen (F5) > ComputerSchutz > Viren- und Spyware-Schutz > Leistung nach folgender Formel erhöht werden: Anzahl der ThreatSensePrüfengines = (Anzahl der physischen Prozessoren x 2) + 1. Die Anzahl der Prüfungs-Threads und die Anzahl der ThreatSensePrüfengines sollten gleich sein. Unter Server-Schutz > Viren- und Spyware-Schutz > Microsoft Exchange Server >
VSAPI > Leistung können Sie die Anzahl der Prüfengines festlegen. Beispiel:
Angenommen, Sie besitzen einen Server mit 4 physischen Prozessoren. Die beste Leistung erreichen Sie also nach
der oben genannten Formel mit 9 Prüfungs-Threads und 9 Prüfengines.
HINWEIS: Es wird empfohlen, die gleiche Anzahl Prüfungs-Threads und ThreatSense-Prüfengines zu verwenden.
Die Leistung des Programms ändert sich nicht, wenn Sie mehr Prüfungs-Threads als Prüfengines festlegen.
HINWEIS: In diesem Bereich vorgenommene Änderungen werden erst nach einem Neustart übernommen.
4.1.6 Prüfen von Anwendungsprotokollen
Die ThreatSense-Prüfengine, in der alle erweiterten Prüfmethoden integriert sind, bietet Virenschutz für die
Anwendungsprotokolle POP3 und HTTP. Die Prüfung ist unabhängig vom eingesetzten E-Mail-Programm oder
Webbrowser. Für das Prüfen von Anwendungsprotokollen stehen folgende Optionen zur Verfügung
(vorausgesetzt, die Option Prüfen von anwendungsspezifischen Protokollen aktivieren ist aktiviert):
HTTP- und POP3-Ports - Begrenzt die Prüfung des Datenverkehrs auf bekannte HTTP- und POP3-Ports.
Als Webbrowser oder E-Mail-Programme eingestufte Anwendungen - Mit dem Aktivieren dieser Option wird
nur der Datenverkehr von Anwendungen geprüft, die als Webbrowser (Web-Schutz > HTTP, HTTPS > Webbrowser
) und E-Mail-Programme (E-Mail-Client-Schutz > POP3, POP3S > E-Mail-Clients) eingestuft sind.
Als Webbrowser oder E-Mail-Programme eingestufte Ports und Anwendungen - Sowohl Ports als auch
Webbrowser werden auf Schadsoftware geprüft.
HINWEIS: Ab Windows Vista Service Pack 1 und Windows Server 2008 wird zur Prüfung der Kommunikation eine
neue-Filtermethode verwendet. Daher steht das „Prüfen von Anwendungsprotokollen“ nicht zur Verfügung.
4.1.6.1 SSL
Mit ESET Mail Security können Sie Protokolle prüfen, die im SSL-Protokoll gekapselt sind. Für durch SSL geschützte
Kommunikation gibt es verschiedene Prüfmodi mit vertrauenswürdigen und unbekannten Zertifikaten sowie
Zertifikaten, die von der Prüfung SSL-geschützter Kommunikation ausgeschlossen sind.
SSL-Protokoll immer prüfen - Aktivieren Sie diese Option, um jegliche SSL-geschützte Kommunikation zu prüfen
(außer wenn Zertifikate verwendet werden, die von der Prüfung ausgeschlossen sind). Wird eine Verbindung mit
einem unbekannten, signierten Zertifikat erstellt, so wird sie ohne gesonderten Hinweis automatisch geprüft.
Wenn Sie auf einen Server mit einem nicht vertrauenswürdigen Zertifikat, das Sie zur Liste der vertrauenswürdigen
Zertifikate hinzugefügt und damit als vertrauenswürdig eingestuft haben, zugreifen, wird die Kommunikation
zugelassen und der Inhalt des Kommunikationskanals geprüft.
Nach nicht besuchten Websites fragen (es können Ausschlüsse festgelegt werden) - Wenn Sie auf eine durch
SSL geschützte Website (mit einem unbekannten Zertifikat) zugreifen, wird eine Aktionsauswahl angezeigt. In
diesem Modus können Sie eine Liste von SSL-Zertifikaten erstellen, die von der Prüfung ausgeschlossen sind.
SSL-Protokoll nicht prüfen - Ist diese Option aktiviert, prüft das Programm keine Kommunikation via SSL.
Wenn das Zertifikat nicht über den Speicher vertrauenswürdiger Stammzertifizierungsstellen geprüft werden kann
(Prüfen von Anwendungsprotokollen > SSL > Zertifikate):
Gültigkeit des Zertifikats erfragen - Fordert den Benutzer auf, eine Aktion auszuwählen.
Kommunikation blockieren, die das Zertifikat verwendet - Beendet die Verbindung zur Website, die das
Zertifikat verwendet.
74
Wird ein ungültiges oder beschädigtes Zertifikat verwendet (Prüfen von Anwendungsprotokollen > SSL >
Zertifikate):
Gültigkeit des Zertifikats erfragen - Fordert den Benutzer auf, eine Aktion auszuwählen.
Kommunikation blockieren, die das Zertifikat verwendet - Beendet die Verbindung zur Website, die das
Zertifikat verwendet.
4.1.6.1.1 Vertrauenswürdige Zertifikate
Neben dem integrierten Speicher vertrauenswürdiger Stammzertifizierungsstellen, in dem ESET Mail Security
vertrauenswürdige Zertifikate speichert, können diese außerdem in einer benutzerdefinierten Liste abgelegt
werden. Über Erweiterte Einstellungen (F5) > Prüfen von Anwendungsprotokollen > SSL > Zertifikate >
Vertrauenswürdige Zertifikate können Sie sich diese Liste anzeigen lassen.
4.1.6.1.2 Ausgeschlossene Zertifikate
Der Bereich „Ausgeschlossene Zertifikate“ enthält Zertifikate, die als sicher gelten. Das Programm prüft den Inhalt
verschlüsselter Verbindungen, die ein in dieser Liste enthaltenes Zertifikat verwenden, nicht auf Bedrohungen. Es
wird empfohlen, nur garantiert sichere Webzertifikate auszuschließen, sodass die Verbindungen mithilfe dieser
Zertifikate nicht geprüft werden müssen.
4.1.7 Einstellungen für ThreatSense
ThreatSense ist eine Technologie, die verschiedene Methoden zur Erkennung von Bedrohungen verwendet. Die
Technologie arbeitet proaktiv, d. h. sie schützt das System auch während der ersten Stunden eines neuen Angriffs.
Eingesetzt wird eine Kombination verschiedener Methoden (Code-Analyse, Code-Emulation, allgemeine
Signaturen, Virussignaturen), die zusammen die Systemsicherheit deutlich erhöhen. Die Prüfengine kann
verschiedene Datenströme gleichzeitig kontrollieren und so die Effizienz und Erkennungsrate steigern. Die
ThreatSense-Technologie entfernt auch erfolgreich Rootkits.
In den Einstellungen für ThreatSense können Sie verschiedene Prüfparameter festlegen:
Dateitypen und -erweiterungen, die geprüft werden sollen
Die Kombination verschiedener Erkennungsmethoden
Säuberungsstufen usw.
Um das Fenster für die Einstellungen zu öffnen, klicken Sie auf die Schaltfläche Einstellungen, die im Fenster aller
Module angezeigt wird, die ThreatSense verwenden (siehe unten). Je nach Anforderung sind eventuell verschiedene
Sicherheitseinstellungen erforderlich. Dies sollte bei den individuellen ThreatSense-Einstellungen für die folgenden
Schutzmodule berücksichtigt werden:
Echtzeit-Dateischutz 59
Prüfung Systemstartdateien
E-Mail-Schutz 63
Web-Schutz 66
On-Demand-Prüfung 69
Die ThreatSense-Parameter sind für jedes Modul optimal eingerichtet, und eine Veränderung der Einstellungen
kann den Systembetrieb deutlich beeinflussen. So kann zum Beispiel eine Änderung der Einstellungen für das
Prüfen laufzeitkomprimierter Dateien oder die Aktivierung der Advanced Heuristik im Echtzeit-Dateischutz dazu
führen, dass das System langsamer arbeitet (normalerweise werden mit diesen Methoden nur neu erstellte Dateien
geprüft). Es wird daher empfohlen, die Standard-Parameter für ThreatSense in allen Modulen unverändert
beizubehalten. Änderungen sollten nur im Modul „On-Demand-Prüfung“ vorgenommen werden.
75
4.1.7.1 Einstellungen für Objekte
Im Bereich Objekte können Sie festlegen, welche Dateien und Komponenten Ihres Computers auf Schadcode
geprüft werden sollen.
Arbeitsspeicher - Prüfung auf Bedrohungen für den Arbeitsspeicher des Systems.
Systembereiche (Boot, MBR) - Prüfung der Bootsektoren auf Viren im Master Boot Record.
Dateien - Prüfung der gängigen Dateitypen (Programm-, Bild-, Audio-, Video-, Datenbankdateien usw.).
E-Mail-Dateien - Prüfung spezieller Dateien, die E-Mail-Nachrichten enthalten.
Archive - Prüfung von komprimierten Archivdateien (.rar, .zip, .arj, .tar usw.).
Selbstentpackende Archive - Prüfung von Dateien in selbstentpackenden Archiven (üblicherweise mit der
Erweiterung EXE).
Laufzeitkomprimierte Dateien - Laufzeitkomprimierte Dateien werden (anders als Standard-Archivtypen) im
Arbeitsspeicher dekomprimiert, zusätzlich zu statisch laufzeitkomprimierten Dateien (UPX, yoda, ASPack, FGS
usw.).
HINWEIS: Ein blauer Punkt neben einem Parameter bedeutet, dass der Parameter an dieser Stelle eine andere
Einstellung als in anderen ThreatSense-basierten Modulen hat. Da Sie denselben Parameter für jedes Modul
unterschiedlich konfigurieren können, soll Sie dieser blaue Punkt auf die Unterschiede hinweisen. Ist kein blauer
Punkt zu sehen, so ist der Parameter in allen Modulen identisch konfiguriert.
4.1.7.2 Optionen
Im Bereich Optionen können Sie die Methoden festlegen, die während einer Prüfung des Systems auf
eingedrungene Schadsoftware angewendet werden sollen. Die folgenden Optionen stehen zur Verfügung:
Heuristik - Heuristische Methoden verwenden einen Algorithmus, der (bösartige) Aktivitäten von Programmen
analysiert. Mit ihrer Hilfe können bis dato unbekannte Schadprogramme oder Viren, die nicht in der Liste bekannter
Viren (Signaturdatenbank) aufgeführt waren, erkannt werden.
Advanced Heuristik - Als Advanced-Heuristik werden besondere heuristische Verfahren bezeichnet, die von ESET
entwickelt wurden, um Würmer und Trojaner zu erkennen, die in höheren Programmiersprachen geschrieben
wurden. Die Erkennungsfähigkeiten des Programms werden durch die Advanced Heuristik erheblich verbessert.
Evtl. unerwünschte Anwendungen - Bei eventuell unerwünschten Anwendungen handelt es sich um Programme,
die zwar nicht unbedingt Sicherheitsrisiken mit sich bringen, aber negative Auswirkungen auf Leistung und
Verhalten Ihres Computers haben können. Als Benutzer werden Sie normalerweise vor deren Installation zur
Bestätigung aufgefordert. Nach erfolgter Installation ändert sich das Systemverhalten (im Vergleich zum Stand vor
der Installation). Dazu zählen vor allem ungewollte Popup-Fenster, die Aktivierung und Ausführung versteckter
76
Prozesse, die erhöhte Inanspruchnahme von Systemressourcen, Änderungen in Suchergebnissen sowie die
Kommunikation von Anwendungen mit Remote-Servern.
Potenziell unsichere Anwendungen - Zur Kategorie der potenziell unsicheren Anwendungen zählen Programme,
die zwar erwünscht sind, jedoch potenziell gefährliche Funktionen bereitstellen. Da hierzu auch Programme für das
Fernsteuern von Computern gehören, ist diese Option standardmäßig deaktiviert.
Potenziell gefährliche Anhänge
Die Option „Potenziell gefährliche Anhänge“ bietet Schutz vor schädlichen Bedrohungen, die als E-Mail-Anhang
verbreitet werden, beispielsweise Ransomware-Trojaner. Eine solche Bedrohung kann beispielsweise eine
ausführbare Datei sein, die als herkömmliche Dokumentdatei (z. B. eine PDF-Datei) „getarnt“ ist. Wenn der
Benutzer die Datei öffnet, dringt die Bedrohung in das System ein. Dabei versucht die Bedrohung, die schädlichen
Ziele im System auszuführen.
77
4.1.7.3 Säubern
Die Einstellungen zum Entfernen von Schadcode legen fest, wie beim Entfernen vorgegangen werden soll. Es gibt
drei Arten der Schadcodeentfernung:
Nicht säubern - Der in infizierten Objekten erkannte Schadcode wird nicht automatisch entfernt. Eine Warnung
wird angezeigt, und Sie werden aufgefordert, eine Aktion auszuwählen.
Normales Säubern - Das Programm versucht, den Schadcode automatisch aus der Datei zu entfernen oder eine
infizierte Datei zu löschen. Wenn es nicht möglich ist, die angemessene Aktion automatisch zu bestimmen, wird
der Benutzer aufgefordert, eine Aktion auszuwählen. Diese Auswahl wird dem Benutzer auch dann angezeigt,
wenn eine vordefinierte Aktion nicht erfolgreich abgeschlossen werden konnte.
Immer versuchen, automatisch zu säubern - Das Programm entfernt den Schadcode aus infizierten Dateien oder
löscht diese Dateien (einschließlich Archive). Ausnahmen gelten nur für Systemdateien. Wenn es nicht möglich ist,
den Schadcode zu entfernen, werden Sie in der angezeigten Warnung aufgefordert, eine Aktion auszuwählen.
Warnung: Im Standardmodus „Normales Säubern“ wird das gesamte Archiv nur gelöscht, wenn es ausschließlich
infizierte Dateien enthält. Sind auch nicht infizierte Dateien vorhanden, wird die Archivdatei nicht gelöscht. Im
Modus „Immer versuchen, automatisch zu säubern“ wird die gesamte Archivdatei gelöscht, auch wenn sie nicht
infizierte Dateien enthält.
78
4.1.7.4 Erweiterungen
Die Erweiterung ist der Teil des Dateinamens nach dem Punkt. Die Erweiterung definiert den Typ und den Inhalt der
Datei. In diesem Abschnitt der ThreatSense-Einstellungen können Sie die Dateitypen festlegen, die geprüft werden
sollen.
In der Standardeinstellung werden alle Dateien unabhängig von ihrer Erweiterung geprüft. Jede Erweiterung kann
der Liste auszuschließender Dateien hinzugefügt werden. Ist die Option Alle Dateien prüfen deaktiviert, zeigt die
Liste alle aktuell geprüften Dateinamens-Erweiterungen an. Über die Schaltflächen Hinzufügen und Entfernen
können Sie festlegen, welche Erweiterungen geprüft werden sollen.
Um die Prüfung von Dateien ohne Erweiterung zuzulassen, aktivieren Sie die Option Dateien ohne Erweiterung
prüfen.
Der Ausschluss bestimmter Dateien ist dann sinnvoll, wenn die Prüfung bestimmter Dateitypen die Funktion eines
Programms beeinträchtigt, das diese Erweiterungen verwendet. So sollten Sie z. B. die Erweiterungen EDB, EML
und TMP ausschließen, wenn Sie Microsoft Exchange Server verwenden.
4.1.7.5 Grenzen
Im Bereich „Grenzen“ können Sie die Maximalgröße von Elementen und Stufen verschachtelter Archive festlegen,
die geprüft werden sollen:
Maximale Objektgröße: - Definiert die Maximalgröße der zu prüfenden Elemente. Der aktuelle Virenschutz prüft
dann nur die Elemente, deren Größe unter der angegebenen Maximalgröße liegt. Der Standardwert sollte nicht
geändert werden; für gewöhnlich besteht dazu auch kein Grund. Diese Option sollte nur von fortgeschrittenen
Benutzern geändert werden, die bestimmte Gründe dafür haben, größere Objekte von der Prüfung auszuschließen.
Maximale Prüfzeit pro Objekt (Sek.): - Definiert die maximale Dauer für die Prüfung eines Elements. Wenn hier ein
benutzerdefinierter Wert eingegeben wurde, beendet der Virenschutz die Prüfung eines Elements, sobald diese Zeit
abgelaufen ist, und zwar ungeachtet dessen, ob die Prüfung abgeschlossen ist oder nicht.
Verschachtelungstiefe bei Archiven: - Gibt die maximale Suchtiefe bei Archiven an. Der Standardwert 10 sollte
nicht geändert werden; unter normalen Umständen besteht dazu auch kein Grund. Wenn die Prüfung aufgrund der
Anzahl verschachtelter Archive vorzeitig beendet wird, bleibt das Archiv ungeprüft.
Maximalgröße von Dateien im Archiv: - Mithilfe dieser Option können Sie die maximale Dateigröße der in zu
prüfenden Archiven enthaltenen Dateien (im extrahierten Zustand) angeben. Wenn durch Überschreiten dieses
Werts die Prüfung vorzeitig beendet wird, bleibt das Archiv ungeprüft.
79
4.1.7.6 Sonstige
Alternative Datenströme (ADS) prüfen - Bei den von NTFS-Dateisystemen verwendeten alternativen
Datenströmen (ADS) handelt es sich um Datei- und Ordnerzuordnungen, die mit herkömmlichen Prüftechniken
nicht erkannt werden können. Eingedrungene Schadsoftware tarnt sich häufig als alternativer Datenstrom, um
nicht erkannt zu werden.
Hintergrundprüfungen mit geringer Priorität ausführen - Jede Prüfung nimmt eine bestimmte Menge von
Systemressourcen in Anspruch. Wenn Sie mit Anwendungen arbeiten, die die Systemressourcen stark
beanspruchen, können Sie eine Hintergrundprüfung mit geringer Priorität aktivieren, um Ressourcen für die
Anwendungen zu sparen.
Alle Objekte in Log aufnehmen - Wenn Sie diese Option aktivieren, werden alle geprüften Dateien in das Log
eingetragen, auch Dateien, bei denen keine Infektion erkannt wurde.
Smart-Optimierung aktivieren - Wählen Sie diese Option, damit bereits geprüfte Dateien nicht erneut geprüft
werden (sofern sie nicht geändert wurden). Nach einem Update der Signaturdatenbank werden die Dateien sofort
wieder geprüft.
Datum für „Geändert am“ beibehalten - Aktivieren Sie diese Option, um den Zeitpunkt des ursprünglichen Zugriffs
auf geprüfte Dateien beizubehalten (z. B. für die Verwendung mit Datensicherungssystemen), anstatt ihn zu
aktualisieren.
Bildlauf für Log - Mit dieser Option können Sie den Bildlauf für das Log aktivieren oder deaktivieren. Wenn der
Bildlauf aktiviert ist, werden die Informationen im Anzeigefenster nach oben verschoben.
Hinweis zum Abschluss der Prüfung in separatem Fenster anzeigen - Es wird ein separates Fenster mit den
Informationen über die Prüfergebnisse angezeigt.
4.1.8 Eingedrungene Schadsoftware wurde erkannt
Schadsoftware kann auf vielen Wegen in das System gelangen. Mögliche Eintrittsstellen sind Websites,
freigegebene Ordner, E-Mails oder Wechselmedien (USB-Sticks, externe Festplatten, CDs, DVDs, Disketten usw.).
Wenn Ihr Computer die Symptome einer Infektion mit Schadsoftware aufweist (Computer arbeitet langsamer als
gewöhnlich, hängt sich oft auf usw.), sollten Sie folgendermaßen vorgehen:
Öffnen Sie ESET Mail Security und klicken Sie auf „Computer prüfen“.
Klicken Sie auf Smart-Prüfung (weitere Informationen siehe Abschnitt Smart-Prüfung 70 ).
Nachdem die Prüfung abgeschlossen ist, überprüfen Sie im Log die Anzahl der geprüften, infizierten und
wiederhergestellten Dateien.
Wenn Sie nur einen Teil Ihrer Festplatte prüfen möchten, wählen Sie Prüfen mit speziellen Einstellungen und
anschließend die Bereiche, die auf Viren geprüft werden sollen.
Das folgende allgemeine Beispiel soll veranschaulichen, wie in ESET Mail Security mit Schadsoftware umgegangen
wird. Nehmen wir einmal an, der Echtzeit-Dateischutz verwendet die Standard-Säuberungsstufe und erkennt
eingedrungene Schadsoftware. Daraufhin wird der Versuch gestartet, den Schadcode aus der Datei zu entfernen
oder die Datei zu löschen. Ist für den Echtzeitschutz keine vordefinierte Aktion angegeben, müssen Sie in einem
Warnungsfenster zwischen verschiedenen Optionen wählen. In der Regel stehen die Optionen Säubern, Löschen
und Übergehen zur Auswahl. Es wird nicht empfohlen, die Option Übergehen zu wählen, da sonst die infizierten
Dateien nicht behandelt werden. Einzige Ausnahme: Sie sind sich sicher, dass die Datei harmlos ist und
versehentlich erkannt wurde.
Schadcode entfernen und löschen - Wenden Sie „Schadcode entfernen“ an, wenn eine Datei von einem Virus mit
Schadcode infiziert wurde. In einem solchen Fall sollten Sie zuerst versuchen, den Schadcode aus der infizierten
80
Datei zu entfernen und ihren Originalzustand wiederherzustellen. Wenn die Datei ausschließlich Schadcode
enthält, wird sie gelöscht.
Wenn eine infizierte Datei „gesperrt“ ist oder von einem Systemprozess verwendet wird, muss die Datei in der Regel
erst freigegeben werden (häufig ist dazu ein Systemneustart erforderlich), bevor sie gelöscht werden kann.
Dateien in Archiven löschen - Im Standardmodus der Aktion „Säubern“ wird das gesamte Archiv nur gelöscht,
wenn es ausschließlich infizierte Dateien enthält. Archive, die auch nicht infizierte Dateien enthalten, werden also
nicht gelöscht. Die Option „Immer versuchen, automatisch zu entfernen“ sollten Sie allerdings mit Bedacht
einsetzen, da in diesem Modus alle Archive gelöscht werden, die mindestens eine infizierte Datei enthalten, und
dies unabhängig vom Status der übrigen Archivdateien.
4.2 Aktualisieren des Programms
Für maximalen Schutz ist die regelmäßige Aktualisierung von ESET Mail Security die Grundvoraussetzung. Die
Updates halten das Programm fortlaufend auf dem neuesten Stand. Dies erfolgt durch Aktualisierung der
Signaturdatenbank sowie die Aktualisierung der Programmkomponenten.
Über den Punkt Update im Hauptmenü können Sie sich den aktuellen Update-Status anzeigen lassen. Sie sehen
hier Datum und Uhrzeit des letzten Updates und können feststellen, ob ein Update erforderlich ist. Die
Versionsnummer der Signaturdatenbank wird ebenfalls in diesem Fenster angezeigt. Diese Nummer ist ein aktiver
Link zur Website von ESET, auf der alle Signaturen aufgeführt werden, die bei dem entsprechenden Update
hinzugefügt wurden.
Außerdem finden Sie in diesem Fenster die Option Update der Signaturdatenbank, mit der der Update-Vorgang
manuell gestartet werden kann, und grundlegende Update-Einstellungen wie die Lizenzdaten (Benutzername und
Passwort), die den Zugriff auf die Update-Server von ESET erlauben.
Klicken Sie auf Produktaktivierung, um ein Registrierungsformular zu öffnen, mit dem Sie Ihr ESET SecurityProdukt aktivieren können. Sie erhalten eine E-Mail mit den Lizenzdaten (Benutzername und Passwort).
81
HINWEIS: Ihren Benutzernamen und das Passwort erhalten Sie von ESET nach dem Kauf von ESET Mail Security.
82
4.2.1 Einstellungen für Updates
In den Einstellungen für Updates finden Sie Informationen zum Abruf von Updates, z. B. die Liste der Update-Server
und die Lizenzdaten für diese Server. Standardmäßig ist das Dropdown-Menü Update-Server auf Automatisch
auswählen eingestellt. So werden Updates automatisch von dem ESET-Server heruntergeladen, der am wenigsten
belastet ist. Die Einstellungen für Updates finden Sie unter Update in den erweiterten Einstellungen (Taste F5).
Die Liste Update-Server zeigt eine Aufstellung der verfügbaren Update-Server. Um einen neuen Update-Server
hinzuzufügen, klicken Sie im Bereich Update-Einstellungen für ausgewähltes Profil auf Bearbeiten. Klicken Sie
anschließend auf Hinzufügen. Zur Anmeldung beim Update-Server verwenden Sie den Benutzernamen und das
Passwort, die beim Kauf erzeugt und Ihnen zugestellt wurden.
83
4.2.1.1 Update-Profile
Update-Profile können für verschiedene Update-Konfigurationen und -Tasks erstellt werden. Besonders sinnvoll ist
das Erstellen von Update-Profilen für mobile Benutzer, die auf regelmäßige Änderungen bei der Internetverbindung
mit entsprechenden Profilen reagieren können.
Die Liste Ausgewähltes Profil zeigt das aktuelle Profil an; standardmäßig ist dies Eigenes Profil. Zum Erstellen
eines neuen Profils klicken Sie auf Profile und dann auf Hinzufügen. Geben Sie anschließend den Namen des
Profils ein. Wenn Sie ein neues Profil erstellen, können Sie die Einstellungen eines bereits bestehenden Profils
kopieren, indem Sie die Option Einstellungen kopieren von Profil aus der Liste wählen.
Im Fenster mit den Profileinstellungen können Sie den Update-Server in einer Liste verfügbarer Server angeben oder
einen neuen Server hinzufügen. Das Dropdown-Menü Update-Server: zeigt die vorhandenen Update-Server. Um
einen neuen Update-Server hinzuzufügen, klicken Sie im Bereich Update-Einstellungen für ausgewähltes Profil
auf Bearbeiten. Klicken Sie anschließend auf Hinzufügen.
4.2.1.2 Erweiterte Einstellungen für Updates
Klicken Sie zum Anzeigen der erweiterten Einstellungen auf Einstellungen. Zu den erweiterten Einstellungen für
Updates zählen Konfigurationsoptionen für Update-Modus, HTTP-Proxy, LAN und Update-Mirror.
84
4.2.1.2.1 Update-Modus
Auf der Registerkarte Update-Modus finden Sie Optionen zum Aktualisieren der Programmkomponenten.
Im Abschnitt Updates für Programmkomponenten stehen drei Optionen zur Verfügung:
Niemals ausführen: Neue Updates für Programmkomponenten werden nicht heruntergeladen.
Immer ausführen: Neue Updates für Programmkomponenten werden automatisch heruntergeladen.
Vor dem Herunterladen Benutzer fragen: Dies ist die Standardeinstellung. Stehen Updates für
Programmkomponenten zur Verfügung, werden Sie aufgefordert, sie zu bestätigen oder abzulehnen.
Nach der Installation eines Updates für Programmkomponenten kann ein Neustart Ihres Computers erforderlich
werden, um die Funktionalität aller Module zu gewährleisten. Im Bereich Computerneustart, falls nach Upgrade
erforderlich können Sie eine der folgenden Optionen wählen:
Kein Neustart
Zur Bestätigung des Neustarts auffordern
Computer ohne Nachfrage automatisch neu starten
Die Standardeinstellung ist: Zur Bestätigung des Neustarts auffordern. Die Auswahl der geeigneten Option
hängt vom jeweiligen Computer ab, auf dem die Einstellungen ausgeführt werden. Beachten Sie die
unterschiedliche Funktion von Arbeitsplatzcomputern und Servern - das automatische Neustarten eines Servers
nach einem Update kann schwerwiegende Folgen haben.
85
4.2.1.2.2 Proxyserver
ESET Mail Security bietet Optionen für die Proxyserver-Einstellungen in zwei verschiedenen Bereichen der
erweiterten Einstellungen.
Die Einstellungen für den Proxyserver können zum einen unter Allgemein > Proxyserver konfiguriert werden.
Hiermit legen Sie die allgemeinen Proxyserver-Einstellungen für alle Funktionen von ESET Mail Security fest. Diese
Parameter werden von allen Modulen verwendet, die eine Verbindung zum Internet benötigen.
Um die Proxyserver-Einstellungen für diese Ebene festzulegen, aktivieren Sie das Kontrollkästchen Proxyserver
verwenden und geben im Feld Proxyserver die entsprechende Adresse zusammen mit dem Port des Proxyservers
ein.
Wenn der Proxyserver eine Authentifizierung benötigt, aktivieren Sie das Kontrollkästchen Proxyserver erfordert
Authentifizierung und geben in die entsprechenden Felder einen gültigen Benutzernamen und das Passwort ein.
Klicken Sie auf die Schaltfläche Proxyserver automatisch erkennen, wenn die Einstellungen des Proxyservers
automatisch erkannt und eingetragen werden sollen. Die in Internet Explorer festgelegten Einstellungen werden
kopiert.
HINWEIS: Diese Funktion ruft keine Anmeldedaten (Benutzername und Passwort) ab; Sie müssen diese
Informationen eingeben.
Die Proxyserver-Einstellungen können auch in den erweiterten Einstellungen für Updates festgelegt werden. Die
Einstellungen gelten dann für das entsprechende Update-Profil. Zu dessen Optionen für Proxyserver-Einstellungen
gelangen Sie über die Registerkarte HTTP-Proxy unter Erweiterte Einstellungen für Updates. Dort können Sie
eine von drei verschiedenen Optionen wählen:
In Systemsteuerung eingestellten Proxy verwenden
Keinen Proxyserver verwenden
Verbindung über Proxyserver (Verbindung wird durch Verbindungseigenschaften definiert)
Mit dem Aktivieren der Option In Systemsteuerung eingestellten Proxy verwenden wird die unter „Erweiterte
Einstellungen“ (Allgemein > Proxyserver) bereits festgelegte Proxyserver-Konfiguration übernommen (siehe
weiter oben in diesem Artikel).
86
Mit der Option Keinen Proxyserver verwenden legen Sie fest, dass kein Proxyserver für Updates von ESET Mail
Security genutzt wird.
Aktivieren Sie die Option Verbindung über Proxyserver, wenn Sie Updates von ESET Mail Security über einen
anderen als den in den allgemeinen Einstellungen (Allgemein > Proxyserver) festgelegten Proxyserver
herunterladen möchten. In diesem Fall sind an dieser Stelle Einstellungen erforderlich: Proxyserver-Adresse, Port
sowie Benutzername und Passwort, falls erforderlich.
Diese Option sollte auch verwendet werden, wenn in den allgemeinen Einstellungen kein Proxyserver festgelegt
wurde, aber das Update-Modul von ESET Mail Security die Verbindung über einen Proxyserver aufbaut.
Die Standardeinstellung für den Proxyserver ist: In Systemsteuerung eingestellten Proxy verwenden.
87
4.2.1.2.3 Herstellen einer LAN-Verbindung
Beim Aktualisieren von einem lokalen Server mit einem Betriebssystem auf Windows NT-Basis ist standardmäßig
eine Authentifizierung für jede Netzwerkverbindung erforderlich. In den meisten Fällen besitzt ein lokales
Systemkonto keine ausreichenden Berechtigungen für den Zugriff auf den Mirror-Ordner (der Kopien der UpdateDateien enthält). Geben Sie in diesem Fall den Benutzernamen und das Passwort in den Update-Einstellungen ein,
oder geben Sie ein Konto an, über das das Programm auf den Update-Mirror zugreifen kann.
Zum Konfigurieren eines solchen Kontos klicken Sie auf die Registerkarte LAN. Der Bereich Verbindung mit dem
LAN herstellen enthält die Optionen Systemkonto (Standard), Aktueller Benutzer und Folgender Benutzer.
Wählen Sie Systemkonto (Standard), um das Systemkonto für die Authentifizierung zu verwenden.
Normalerweise findet keine Authentifizierung statt, wenn in den Haupteinstellungen für Updates keine
Anmeldedaten angegeben sind.
Wenn sich das Programm mit dem Konto des aktuell angemeldeten Benutzers anmelden soll, wählen Sie Aktueller
Benutzer. Nachteil dieser Lösung ist, dass das Programm keine Verbindung zum Update-Server herstellen kann,
wenn kein Benutzer angemeldet ist.
Wählen Sie Folgender Benutzer, wenn das Programm ein spezielles Benutzerkonto für die Authentifizierung
verwenden soll.
Warnung: Wenn eine der Optionen Aktueller Benutzer oder Folgender Benutzer aktiviert ist, kann ein Fehler beim
Wechsel der Identität zum gewünschten Benutzer auftreten. Aus diesem Grund wird empfohlen, die LANAnmeldedaten in den Haupteinstellungen für Updates einzugeben. In diesen Update-Einstellungen geben Sie die
Anmeldedaten wie folgt ein: Domänenname\Benutzer (bei einer Arbeitsgruppe geben Sie
Arbeitsgruppenname\Name ein) und das Passwort. Bei Aktualisierung von der HTTP-Version des lokalen Servers ist
keine Authentifizierung erforderlich.
88
4.2.1.2.4 Erstellen von Kopien der Update-Dateien – Update-Mirror
ESET Mail Security bietet Ihnen die Möglichkeit, Kopien der Update-Dateien zu erstellen. Diese können Sie dann zur
Aktualisierung anderer Arbeitsplatzrechner im Netzwerk verwenden. Das Aktualisieren der Client-Computer von
einem Update-Mirror optimiert die Lastenverteilung im Netzwerk und entlastet Internetverbindungen.
Die Konfigurationsoptionen für einen Update-Mirror auf einem lokalen Server befinden sich im Bereich Erweiterte
Einstellungen für Updates (um diesen zu erreichen, müssen Sie einen gültigen Lizenzschlüssel im Lizenzmanager
hinzufügen; dieser ist in den erweiterten Einstellungen von ESET Mail Security zu finden). Drücken Sie F5, um auf
die erweiterten Einstellungen zuzugreifen, und klicken Sie auf Update. Dort klicken Sie auf die Schaltfläche
Einstellungen neben Erweiterte Einstellungen für Updates und wählen die Registerkarte Update-Mirror.
Zur Konfiguration des Update-Mirrors aktivieren Sie als Erstes die Option „Update-Mirror aktivieren“. Durch
Aktivieren dieser Option stehen weitere Konfigurationsoptionen für Update-Mirrors zur Verfügung, die
beispielsweise die Art des Zugriffs auf Update-Dateien und den Pfad zu den Kopien der Update-Dateien betreffen.
Die Vorgehensweisen zur Aktivierung des Update-Mirror werden im Abschnitt Aktualisieren über Update-Mirror 90
ausführlich beschrieben. In diesem Abschnitt reicht es zu wissen, dass es zwei Grundvarianten des Zugriffs auf
einen Update-Mirror gibt: Der Ordner mit den Update-Dateien kann eine Netzwerkfreigabe sein, oder es wird ein
HTTP-Server als Update-Mirror verwendet.
Der für die Update-Dateien vorgesehene Ordner wird im Bereich Ordner zum Speichern der Update-Dateien
festgelegt. Klicken Sie auf Ordner, um den gewünschten Ordner auf dem lokalen Computer oder eine
Netzwerkfreigabe auszuwählen. Wenn für den angegebenen Ordner eine Authentifizierung erforderlich ist, müssen
die Anmeldedaten in die Felder Benutzername und Passwort eingetragen werden. Der Benutzername muss im
Format Domäne/Benutzer oder Arbeitsgruppe/Benutzer eingegeben werden. Denken Sie daran, auch die
entsprechenden Passwörter einzugeben.
Bei der Konfiguration des Update-Mirrors kann auch die Sprachversion der herunterzuladenden Update-Kopien
festgelegt werden. Zum Auswählen der Sprache wählen Sie Dateien - Verfügbare Versionen.
HINWEIS: Die Spam-Schutz-Datenbank kann nicht über den Update-Mirror aktualisiert werden. Hier
weitere Informationen zu Updates der Spam-Schutz-Datenbank.
36
finden Sie
89
4.2.1.2.4.1 Aktualisieren über Update-Mirror
Es gibt zwei Grundvarianten der Konfiguration eines Update-Mirrors: Der Ordner mit den Update-Dateien kann
eine Netzwerkfreigabe sein, oder es wird ein HTTP-Server als Update-Mirror verwendet.
Zugriff auf den Update-Mirror über internen HTTP-Server
Diese Variante wird automatisch verwendet, da es sich um die Standardeinstellung des Programms handelt. Um
Zugriff auf den Update-Mirror über den HTTP-Server zu ermöglichen, wechseln Sie zu Erweiterte Einstellungen für
Updates (Registerkarte Update-Mirror) und wählen Sie Update-Mirror aktivieren.
Im Bereich Erweiterte Einstellungen der Registerkarte Update-Mirror können Sie den Server-Port angeben, auf
dem der HTTP-Server Anfragen empfängt, und den Typ der Authentifizierung festlegen, die vom HTTP-Server
verwendet wird. Standardmäßig ist der Port 2221 eingestellt. Unter Authentifizierung wird die
Authentifizierungsmethode für den Zugriff auf die Update-Dateien festgelegt. Die folgenden Optionen stehen zur
Verfügung: KEINE, Basis und NTLM. Wählen Sie Basis für Base64-Verschlüsselung und einfache Authentifizierung
mit Benutzername und Passwort. Bei Auswahl von NTLM wird eine sichere Verschlüsselungsmethode verwendet.
Zur Authentifizierung wird der auf dem Computer erstellte Benutzer verwendet, der die Update-Dateien
freigegeben hat. Die Standardeinstellung ist KEINE, so dass für den Zugriff auf die Update-Dateien keine
Authentifizierung erforderlich ist.
Warnung: Wenn Sie den Zugriff auf die Update-Dateien über einen HTTP-Server zulassen möchten, muss sich der
Ordner mit den Kopien der Update-Dateien auf demselben Computer befinden wie die Instanz von ESET Mail
Security, mit der dieser Ordner erstellt wird.
Nach Abschluss der Konfiguration des Update-Mirrors geben Sie auf den einzelnen Computern jeweils http://IPAdresse_Ihres_Servers:2221 als Update-Server ein. Gehen Sie dazu wie folgt vor:
Öffnen Sie die Erweiterten Einstellungen von ESET Mail Security und klicken Sie auf Update.
Klicken Sie rechts neben der Dropdown-Liste Update-Server auf Bearbeiten und fügen Sie einen neuen Server in
folgendem Format hinzu: http://IP-Adresse_Ihres_Servers:2221.
Wählen Sie den hinzugefügten Server aus der Liste der Update-Server aus.
Zugriff auf den Update-Mirror über Systemfreigaben
Zunächst muss ein freigegebener Ordner auf einem lokalen Laufwerk oder Netzlaufwerk erstellt werden. Beim
Erstellen des Ordners für den Update-Mirror ist Folgendes zu beachten: Der Benutzer, der Dateien im Ordner
speichert, benötigt Schreibzugriff, während die Benutzer, die ESET Mail Security über diesen Ordner aktualisieren,
eine Leseberechtigung benötigen.
Konfigurieren Sie als Nächstes den Zugriff auf den Update-Mirror im Bereich Erweiterte Einstellungen für Updates
(Registerkarte Update-Mirror), indem Sie die Option Dateien über integrierten HTTP-Server bereitstellen
deaktivieren. Diese Option ist in der Standardeinstellung des Programms aktiviert.
Wenn der freigegebene Ordner sich auf einem anderen Computer im Netzwerk befindet, ist für den Zugriff auf den
90
anderen Computer eine Authentifizierung erforderlich. Um die Anmeldedaten anzugeben, öffnen Sie (mit F5) die
erweiterten Einstellungen von ESET Mail Security und klicken Sie auf den Bereich Update. Klicken Sie erst auf die
Schaltfläche Einstellungen und öffnen Sie dann die Registerkarte LAN. Diese Einstellung entspricht der Einstellung
für Updates, wie im Kapitel Herstellen einer LAN-Verbindung 88 beschrieben.
Nach Abschluss der Konfiguration des Update-Mirrors geben Sie auf den einzelnen Computern jeweils \\UNC\PFAD
als Update-Server ein. Mit den folgenden Schritten schließen Sie diesen Vorgang ab:
Öffnen Sie die erweiterten Einstellungen von ESET Mail Security und klicken Sie auf Update
Klicken Sie auf Bearbeiten neben dem Update-Server und geben Sie einen neuen Server in folgendem Format ein:
\\UNC\PFAD
Wählen Sie den hinzugefügten Server aus der Liste der Update-Server aus.
HINWEIS: Um eine fehlerfreie Funktion zu gewährleisten, muss der Pfad zum Ordner mit den Kopien der UpdateDateien als UNC-Pfad angegeben werden. Updates über zugeordnete Netzlaufwerke können möglicherweise nicht
ausgeführt werden.
4.2.1.2.4.2 Fehlerbehebung bei Problemen mit Updates über Update-Mirror
Die meisten Probleme bei Updates von einem Update-Mirror haben eine oder mehrere der folgenden Ursachen:
falsche Einstellungen für den Mirror-Ordner, falsche Anmeldedaten für den Mirror-Ordner, falsche Konfiguration
auf lokalen Computern, die versuchen, Update-Dateien vom Update-Mirror herunterzuladen, oder eine
Kombination der angegebenen Gründe. Hier erhalten Sie einen Überblick über die am häufigsten auftretenden
Probleme bei Updates von einem Update-Mirror:
ESET Mail Security meldet einen Fehler bei der Verbindung mit dem Mirror-Server - Wahrscheinlich wird dieser
Fehler durch falsche Angaben zum Update-Server (Netzwerkpfad zum Mirror-Ordner) verursacht, von dem die
lokalen Computer Updates herunterladen. Um den Ordner zu überprüfen, klicken Sie auf das Windows-Menü Start
> Ausführen, geben den Ordnernamen ein und klicken auf OK. Daraufhin sollte der Inhalt des Ordners angezeigt
werden.
ESET Mail Security verlangt einen Benutzernamen und Passwort - Es wurden wahrscheinlich falsche
Anmeldedaten (Benutzername und Passwort) im Bereich „Update“ angegeben. Benutzername und Passwort
werden für den Zugriff auf den Update-Server verwendet, über den das Programm aktualisiert wird. Vergewissern
Sie sich, dass die Anmeldedaten korrekt und im richtigen Format eingegeben sind. Verwenden Sie das Format
Domäne/Benutzername bzw. Arbeitsgruppe/Benutzername und die entsprechenden Passwörter. Auch wenn der Zugriff
auf den Mirror-Server für die Gruppe „Jeder“ gestattet wurde, sollten Sie bedenken, dass deshalb nicht jedem
beliebigen Benutzer der Zugriff gewährt wird. „Jeder“ umfasst keine nicht autorisierten Benutzer, sondern bedeutet,
dass alle Benutzer der Domäne auf den Ordner zugreifen können. Daher müssen, auch wenn die Gruppe „Jeder“ auf
den Ordner zugreifen kann, in den Update-Einstellungen ein Domänen-Benutzername und -Passwort eingegeben
werden.
ESET Mail Security meldet einen Fehler bei der Verbindung mit dem Mirror-Server - Der für den Zugriff auf die
HTTP-Version des Update-Mirrors angegebene Port ist blockiert.
4.2.2 So erstellen Sie Update-Tasks
Mit der Option Signaturdatenbank aktualisieren können Updates manuell ausgeführt werden. Klicken Sie dazu
im Hauptmenü auf „Update“ und wählen Sie im daraufhin angezeigten Dialogfenster die entsprechende Option aus.
Darüber hinaus können Sie Updates auch als geplante Tasks einrichten. Um einen Task zu konfigurieren, klicken Sie
auf Tools > Taskplaner. Standardmäßig sind in ESET Mail Security folgende Tasks aktiviert:
Automatische Updates in festen Zeitabständen
Automatische Updates beim Herstellen von DFÜ-Verbindungen
Automatische Updates beim Anmelden des Benutzers
Jeder Update-Task kann bei Bedarf angepasst werden. Neben den standardmäßig ausgeführten Update-Tasks
können zusätzliche Update-Tasks mit benutzerdefinierten Einstellungen erstellt werden. Weitere Informationen
zum Erstellen und Konfigurieren von Update-Tasks finden Sie im Abschnitt Taskplaner 92 .
91
4.3 Taskplaner
Der Taskplaner steht zur Verfügung, wenn Sie die Einstellungen von ESET Mail Security im erweiterten Modus
anzeigen. Um ihn zu öffnen, klicken Sie im Hauptmenü von ESET Mail Security unter Tools auf Taskplaner. Der
Taskplaner umfasst eine Liste aller geplanten Tasks sowie deren Konfigurationseigenschaften, inklusive des
vordefinierten Datums, der Uhrzeit und des verwendeten Prüfprofils.
Standardmäßig werden im Taskplaner die folgenden Tasks angezeigt:
Automatische Updates in festen Zeitabständen
Automatische Updates beim Herstellen von DFÜ-Verbindungen
Automatische Updates beim Anmelden des Benutzers
Prüfung Systemstartdateien (nach Anmeldung des Benutzers)
Prüfung Systemstartdateien (nach Update der Signaturdatenbank)
Um die Konfiguration eines vorhandenen Standardtasks oder eines benutzerdefinierten Tasks zu ändern, klicken Sie
mit der rechten Maustaste auf den Task und dann auf Bearbeiten, oder wählen Sie den Task aus, den Sie ändern
möchten, und klicken Sie auf Bearbeiten.
4.3.1 Verwendung von Tasks
Der Taskplaner verwaltet und startet Tasks mit vordefinierter Konfiguration und voreingestellten Eigenschaften.
Konfiguration und Eigenschaften enthalten Informationen wie Datum und Uhrzeit und bestimmte Profile, die bei
Ausführung des Tasks verwendet werden.
92
4.3.2 Erstellen von Tasks
Zum Erstellen eines Tasks im Taskplaner klicken Sie auf Hinzufügen oder klicken mit der rechten Maustaste und
wählen dann im Kontextmenü die Option Hinzufügen. Es gibt fünf Arten von Tasks:
Start externer Anwendung
Prüfung Systemstartdateien
Snapshot des Computerstatus erstellen
On-Demand-Prüfung
Update
Da Update-Tasks zu den meistverwendeten Tasks gehören, wird im Folgenden das Hinzufügen eines neuen
Update-Tasks beschrieben.
Wählen Sie Update aus der Liste der Tasks. Klicken Sie auf Weiter und geben Sie den Namen des Tasks in das Feld
Taskname ein. Wählen Sie das gewünschte Ausführungsintervall. Die folgenden Optionen stehen zur Verfügung:
Einmalig, Wiederholt, Täglich, Wöchentlich und Bei Ereignis. Je nach ausgewähltem Intervall werden Ihnen
verschiedene Update-Parameter angezeigt. Im nächsten Schritt können Sie eine Aktion festlegen für den Fall, dass
der Task zur geplanten Zeit nicht ausgeführt oder abgeschlossen werden kann. Folgende Optionen stehen zur
Verfügung:
Nächste Ausführung genau nach Planung
Ausführung zum nächstmöglichen Zeitpunkt
Sofort ausführen, wenn Intervall seit letzter Ausführung überschritten (das Intervall kann über das
entsprechende Feld festgelegt werden)
Anschließend wird ein Fenster mit der Zusammenfassung des aktuellen Tasks angezeigt. Die Option Task mit
speziellen Einstellungen ausführen sollte automatisch aktiviert sein. Klicken Sie auf Fertig stellen.
Es wird ein Dialogfenster angezeigt, in dem Sie Profile für den Task auswählen können. Hier können Sie ein primäres
und ein alternatives Profil festlegen. Letzteres wird verwendet, falls der Task unter Verwendung des primären
Profils nicht abgeschlossen werden kann. Bestätigen Sie Ihre Angaben, indem Sie im Fenster Update-Profile auf OK
klicken. Der neue geplante Task wird der Liste der aktuellen Tasks hinzugefügt.
93
4.4 Quarantäne
Die Hauptaufgabe der Quarantäne ist die sichere Speicherung infizierter Dateien. Dateien sollten in die Quarantäne
verschoben werden, wenn sie nicht gesäubert werden können, wenn es nicht sicher oder ratsam ist, sie zu löschen,
oder wenn sie von ESET Mail Security fälschlicherweise erkannt worden sind.
Sie können beliebige Dateien gezielt in die Quarantäne verschieben. Geschehen sollte dies bei Dateien, die sich
verdächtig verhalten, bei der Virenprüfung jedoch nicht erkannt werden. Dateien aus der Quarantäne können zur
Analyse an ESET eingereicht werden.
Die Dateien im Quarantäneordner können in einer Tabelle angezeigt werden, die Datum und Uhrzeit der
Quarantäne, den Pfad zum ursprünglichen Speicherort der infizierten Datei, ihre Größe in Byte, einen Grund (
Hinzugefügt durch Benutzer...) und die Anzahl der Bedrohungen (z. B. bei Archiven, in denen an mehreren Stellen
Infiltrationen erkannt wurde) enthält.
4.4.1 Quarantäne für Dateien
ESET Mail Security kopiert gelöschte Dateien automatisch in den Quarantäneordner (sofern diese Option nicht im
Warnfenster deaktiviert wurde). Auf Wunsch können Sie beliebige verdächtige Dateien manuell in die Quarantäne
verschieben, indem Sie auf Quarantäne klicken. In diesem Fall wird die Originaldatei nicht von ihrem
ursprünglichen Speicherort entfernt. Alternativ kann auch das Kontextmenü zu diesem Zweck verwendet werden:
Klicken Sie mit der rechten Maustaste in das Fenster Quarantäne, und wählen Sie Hinzufügen.
94
4.4.2 Wiederherstellen aus Quarantäne
Dateien aus der Quarantäne können an ihrem ursprünglichen Speicherort wiederhergestellt werden. Verwenden
Sie dazu die Funktion Wiederherstellen, die Sie nach einem Rechtsklick auf die entsprechende Datei im Fenster
„Quarantäne“ im Kontextmenü auswählen können. Das Kontextmenü enthält außerdem die Option
Wiederherstellen nach, mit der Dateien an einem anderen als ihrem ursprünglichen Speicherort wiederhergestellt
werden können.
HINWEIS: Wenn versehentlich eine harmlose Datei in Quarantäne versetzt wurde, schließen Sie die Datei nach der
Wiederherstellung von der Prüfung aus und senden Sie sie an den ESET-Support.
4.4.3 Einreichen von Dateien aus der Quarantäne
Wenn Sie eine verdächtige, nicht vom Programm erkannte Datei in Quarantäne versetzt haben oder wenn eine
Datei fälschlich als infiziert eingestuft wurde (etwa durch die heuristische Analyse des Codes) und infolgedessen in
den Quarantäneordner verschoben wurde, senden Sie die Datei zur Analyse an ESET. Um eine Datei zu senden, die
in der Quarantäne gespeichert ist, klicken Sie mit der rechten Maustaste darauf und wählen im angezeigten
Kontextmenü die Option Datei zur Analyse einreichen.
95
4.5 Log-Dateien
In den Logs werden Informationen über wichtige Ereignisse gespeichert: erkannte eingedrungene Schadsoftware,
Logs der On-Demand-Prüfung und der Hintergrundwächter sowie Systeminformationen.
Die Logs für den Spam-Schutz und das Greylisting (bei „andere Logs“ unter Tools > Log-Dateien) enthalten genaue
Informationen über geprüfte Nachrichten und Aktionen, die auf diese Nachrichten angewendet wurden. Logs
können sehr hilfreich sein, wenn man herausfinden will, wieso E-Mails nicht beim Empfänger angekommen sind,
Nachrichten als Spam eingestuft wurden usw.
96
Spam-Schutz
Verzeichnis aller Nachrichten, die von ESET Mail Security als Spam oder wahrscheinlich Spam eingestuft werden.
Beschreibung der Spalten:
Zeit – Zeitpunkt der Eintragserstellung im Spam-Schutz-Log
Absender – Adresse des Absenders
Empfänger – Adresse des Empfängers
Betreff – Betreff der Nachricht
Score – Spam-Score der Nachricht (von 0 bis 100)
Grund – gibt an, weshalb die Nachricht als Spam eingestuft wurde. Der angezeigte Grund hat den größten Einfluss.
Mit einem Doppelklick auf den Eintrag können Sie sich weitere Gründe anzeigen lassen. Es wird ein Fenster (Grund)
angezeigt, in welchem die anderen Gründe in absteigender Reihenfolge nach Einfluss sortiert sind.
Spam-Verdacht der URL
URLs in Nachrichten sind oft ein Hinweis auf Spam.
HTML-Formatierung (Schrift, Farben
usw.)
Die Formatierung der HTML-Elemente einer Nachricht ist
charakteristisch für Spam-Mails (Schriftart, -größe und -farbe usw.).
Spam-Tricks: Verschleierung
Der für Spam-Mails typische Wortlaut wird mithilfe weiterer Zeichen
verzerrt. Ein typisches Beispiel ist das Wort „Viagra“, das häufig „V1agra“
geschrieben wird, um dem Spam-Schutz zu entgehen.
HTML-Spam mit Grafik
Auch mit Spam-Mails in der Form von Bildern wird oft versucht, SpamSchutz-Techniken zu umgehen. Diese Bilder enthalten oft Links zu
Websites.
URL-Format: Domain von HostingDienstleister
Die URL enthält die Domain eines Hosting-Dienstleisters.
Charakteristische Spam-Begriffe...
Die Nachricht enthält für Spam-Mails typische Wörter.
E-Mail-Header nicht konsistent
Die Informationen im Header wurden verändert, um einen anderen als
den ursprünglichen Absender zu suggerieren.
Virus
Die Nachricht enthält eine verdächtige Anlage.
97
Phishing
Die Nachricht enthält für Phishing-Mails typischen Text.
Kopien
Die Nachricht enthält Text, der typisch ist für Spam-Mails, in denen
Nachbildungen von Gegenständen angeboten werden.
Generischer Spam-Indikator
Die Nachricht enthält Wörter/Zeichen, die typisch sind für Spam-Mails,
z. B. „Lieber Freund“, „Sie haben gewonnen“, „!!!“.
Ham-Indikator/kein Spam
Die Funktion dieses Merkmals steht im Gegensatz zu der der anderen
Merkmale. Es wird nach Anzeichen für rechtmäßige E-Mails gesucht.
Werden sie gefunden, verringert sich der Spam-Score.
Unspezifischer Spam-Indikator
Die Nachricht enthält andere Spam-Elemente, z. B. Base64-Kodierung.
Benutzerdefinierte SpamErkennungsbegriffe
Andere typische Spam-Formulierungen.
URL steht auf Negativliste
Die URL in der Nachricht ist in einer Negativliste verzeichnet.
IP %s steht auf RBL
Die IP-Adresse ... ist in einer Real-Time Blackhole List (RBL) verzeichnet.
URL %s steht auf DNSBL
Die IP-Adresse ... ist in einer DNS-basierten Blackhole List (DNSBL)
verzeichnet.
URL %s steht auf RBL, oder der Server Die URL ... ist in einer Real-Time Blackhole List (RBL) verzeichnet bzw.
ist nicht zum E-Mail-Versand
der Server hat nicht die für den E-Mail-Versand erforderlichen Rechte. Die
berechtigt
Adressen, über die eine E-Mail auf ihrem Weg zum Empfänger geleitet
wurden, werden einer RBL-Prüfung unterzogen. Für die letzte dieser
Adressen wird geprüft, ob sie Verbindungen zu öffentlichen E-MailServern aufbauen darf. Werden keine gültigen
Verbindungsberechtigungen festgestellt, ist die Adresse in der LBL-Liste
eingetragen. Als Spam eingestufte Nachrichten erhalten deswegen den
folgenden Text im Feld Grund: „Server ist nicht zum E-Mail-Versand
berechtigt“.
Aktion – Aktion, die auf die Nachricht angewendet wurde. Mögliche Aktionen:
Behalten
Auf diese Nachricht wurde keine Aktion angewendet.
In Quarantäne verschoben
Die Nachricht wurde in die Quarantäne verschoben.
Gesäubert und in Quarantäne Der Virus wurde aus der Nachricht entfernt und diese in die Quarantäne
verschoben
verschoben.
Abgewiesen
Die Nachricht wurde abgewiesen und dem Absender ein SMTP-Reject
Antwort geschickt.
Gelöscht
Die Nachricht wurde gelöscht, indem sie ohne Benachrichtigung verworfen
wurde („Silent Drop“).
19
als
19
Empfangen – Zeitpunkt des Eingangs der Nachricht am Server.
HINWEIS: Werden E-Mails über einen E-Mail-Server empfangen, sind die Einträge in Zeit und Empfangen praktisch
identisch.
98
Greylisting
In diesem Log sind alle Nachrichten verzeichnet, die mit der Greylisting-Methode geprüft wurden.
Beschreibung der Spalten:
Zeit – Zeitpunkt der Eintragserstellung im Spam-Schutz-Log
HELO-Domain – Domain-Name des sendenden Servers, anhand dessen er vom empfangenden Server erkannt wird
IP-Adresse – Die IP-Adresse des Absenders
Absender – Adresse des Absenders
Empfänger – Adresse des Empfängers
Aktion – Kann folgende Statusmeldungen enthalten:
Abgewiesen
Die eingehende Nachricht wurde abgewiesen, nachdem eine einfache GreylistingPrüfung erfolgte (erster Zustellversuch)
Abgewiesen (noch nicht
verifiziert)
Die eingehende Nachricht wurde vom sendenden Server erneut gesendet, doch die
Zeitbegrenzung für das Abweisen der Verbindung wurde unterschritten (Zeitlimit
für Abweisen des ersten Zustellversuchs).
Verifiziert
Der sendende Server hat mehrmalige erneute Zustellversuche unternommen, das
Zeitlimit für Abweisen des ersten Zustellversuchs ist verstrichen und die
Nachricht wurde erfolgreich verifiziert und zugestellt. Siehe auch Kapitel
Transport-Agent 37 .
Verbleibende Zeit – Die Restzeit für die Erfüllung des Zeitlimits für Abweisen des ersten Zustellversuchs
Erkannte Bedrohungen
Das Bedrohungs-Log enthält detaillierte Informationen über eingedrungene Schadsoftware, die von den ESET Mail
Security-Modulen entdeckt wurde. Zu den Informationen gehören die Zeit der Erkennung, der Name der Prüfung,
der Objekttyp und -name, der Name der eingedrungenen Schadsoftware, der Speicherort, die ausgeführten
Aktionen und der Name des Benutzers, der zur Zeit der Entdeckung der eingedrungenen Schadsoftware
angemeldet war. Zum Kopieren oder Löschen einer oder mehrerer Zeilen aus dem Log (oder zum Löschen des
gesamten Logs) können Sie das Kontextmenü verwenden (Rechtsklick auf das gewünschte Element).
99
Ereignisse
Das Ereignis-Log enthält Informationen über Ereignisse und im Programm aufgetretene Fehler. Die hier
aufgeführten Informationen sind oftmals hilfreich, um ein im Programm aufgetretenes Problem zu beheben.
On-Demand-Prüfung
Im Prüf-Log werden die Ergebnisse von manuellen oder geplanten Prüfungen aufgezeichnet. Jede Zeile entspricht
der Überprüfung eines einzelnen Computers. Folgende Informationen werden aufgeführt: Datum und Uhrzeit der
Prüfung, Gesamtzahl der überprüften, infizierten und gesäuberten Dateien und der aktuelle Prüfstatus.
Doppelklicken Sie unter Logs der manuellen Prüfung auf ein Log, um den Inhalt in einem eigenen Fenster
anzuzeigen.
Verwenden Sie das Kontextmenü (indem Sie mit der rechten Maustaste darauf klicken) zum Kopieren eines oder
mehrerer markierter Einträge (dies gilt für alle Arten von Logs).
4.5.1 Log-Filter
Mit dem Log-Filter können Sie Log-Dateien durchsuchen; dies ist besonders praktisch, wenn die Anzahl der Einträge
unüberschaubar groß und damit die Suche nach bestimmten Informationen schwierig ist.
Wenn Sie die Log-Filter-Funktion verwenden, können Sie die Suche eingrenzen, indem Sie im Textfeld Nach das
Gesuchte eintragen, die Suchstellen unter Zu durchsuchende Spalten festlegen sowie Eintragstypen und einen
Zeitraum für die gesuchten Einträge angeben. Die Angabe von bestimmten Suchkriterien hat zur Folge, dass nur
Einträge, die diesen Kriterien entsprechen, im Hauptfenster Log-Dateien angezeigt werden, von wo der Benutzer
schnell und unkompliziert auf sie zugreifen kann.
Um den Log-Filter zu öffnen, klicken Sie auf die Schaltfläche Filter in Tools > Log-Dateien oder verwenden Sie die
Tastenkombination Strg + Umschalttaste + F.
HINWEIS: Für die Suche nach einem bestimmten Eintrag können Sie ebenfalls die Funktion In Log suchen 101
nutzen; ebenso lässt diese sich auch mit dem Log-Filter kombinieren.
Die Angabe bestimmter Filteroptionen hat zur Folge, dass nur Einträge, die diesen Angaben entsprechen, im LogDateien-Hauptfenster angezeigt werden. Auf diese Weise werden die Einträge gefiltert bzw. eingegrenzt und Sie
finden leichter, was Sie suchen. Je präziser Sie die Filteroptionen definieren, desto geringer wird die Anzahl der
gefundenen Einträge.
Nach: - Geben Sie eine Zeichenfolge ein (ein Wort oder einen Teil eines Wortes). Es werden nur Einträge angezeigt,
die diese Zeichenfolge enthalten. Alle anderen Einträge werden zugunsten besserer Erkennbarkeit nicht angezeigt.
100
Zu durchsuchende Spalten: - Wählen Sie die Spalten, die der Filter berücksichtigen soll. Sie können mehr als eine
Spalte für das Filtern markieren. Standardmäßig sind alle Spalten markiert:
Zeit
Modul
Ereignis
Benutzer
Eintragstypen: - Ermöglicht es Ihnen, die Art der anzuzeigenden Einträge anzugeben. Sie können einen
bestimmten Eintragstyp, mehrere gleichzeitig oder alle Eintragstypen anzeigen lassen (letztere ist die
Standardeinstellung).
Diagnose
Informationen
Warnung
Fehler
Kritisch
Zeitraum: - Verwenden Sie diese Option, wenn Sie Einträge nach dem Zeitraum ihrer Protokollierung filtern
möchten. Folgende Möglichkeiten stehen zur Auswahl:
Gesamtes Log (Standardeinstellung) - Filtert nicht nach Zeitraum, sondern zeigt das gesamte Log an
Gestern
Letzte Woche
Letzter Monat
Intervall - Wählen Sie diese Option, um die Einträge, die während eines bestimmten Zeitraums (Datum und
Uhrzeit) protokolliert wurden, anzuzeigen.
Neben den oben genannten Einstellungen haben Sie noch folgende Optionen:
Nur ganze Wörter - Zeigt nur Einträge an, in denen eine im Nach-Textfeld eingegebene Zeichenfolge als
vollständiges Wort aufgefunden wird.
Groß-/Kleinschreibung beachten - Zeigt nur Einträge, in denen eine im Nach-Textfeld eingegebene Zeichenfolge
mit gleicher Groß- und Kleinschreibung aufgefunden wird.
Smart-Filter aktivieren - Verwenden Sie diese Option, um ESET Mail Security mit eigenen Methoden filtern zu
lassen.
Wenn Sie die Filteroptionen nach Ihren Wünschen konfiguriert haben, klicken Sie auf OK, um den Filter
anzuwenden. Das Hauptfenster Log-Dateien zeigt dann nur Einträge an, die den Filterkriterien entsprechen.
4.5.2 In Log suchen
Neben dem Log-Filter 100 gibt es noch die Suchfunktion in Log-Dateien, die aber auch unabhängig vom Log-Filter
verwendet werden kann. Diese Funktion ist sinnvoll, wenn Sie nach bestimmten Log-Einträgen suchen. Wie der
Log-Filter hilft auch sie Ihnen beim Auffinden von Informationen, besonders bei einer unüberschaubaren Anzahl
von Einträgen.
Wenn Sie die Funktion „In Log suchen“ verwenden, können Sie im Textfeld Nach das Gesuchte eintragen, die
Suchstellen unter Zu durchsuchende Spalten eingrenzen sowie Eintragstypen und einen Zeitraum für die
gesuchten Einträge angeben. Die Angabe bestimmter Suchoptionen hat zur Folge, dass nur Einträge, die diesen
Angaben entsprechen, im Log-Dateien-Hauptfenster durchsucht werden.
Um in Log-Dateien zu suchen, öffnen Sie das Dialogfenster In Log suchen mit der Tastenkombination Strg + f.
HINWEIS: Die Funktion „In Log suchen“ können Sie auch in Verbindung mit dem Log-Filter 100 nutzen. Begrenzen Sie
mithilfe des Log-Filters die Anzahl der Einträge, bevor Sie die Suche innerhalb der herausgefilterten Einträge
starten.
101
Nach: - Geben Sie eine Zeichenfolge ein (ein Wort oder einen Teil eines Wortes). Es werden nur Einträge angezeigt,
die diese Zeichenfolge enthalten. Alle anderen Einträge werden nicht angezeigt.
Zu durchsuchende Spalten: - Wählen Sie die Spalten, die bei der Suche berücksichtigt werden sollen. Sie können
mehr als eine Spalte für die Suche markieren. Standardmäßig sind alle Spalten markiert:
Zeit
Modul
Ereignis
Benutzer
Eintragstypen: - Ermöglicht es Ihnen, die Art der zu suchenden Einträge anzugeben. Sie können nach einem
bestimmten, mehreren oder allen Eintragstypen suchen (letztere ist die Standardeinstellung).
Diagnose
Informationen
Warnung
Fehler
Kritisch
Zeitraum: - Verwenden Sie diese Option, wenn Sie Einträge aus einem bestimmten Zeitraum suchen möchten.
Folgende Möglichkeiten stehen zur Auswahl:
Gesamtes Log (Standardeinstellung) - Begrenzt die Suche nicht auf einen Zeitraum, sondern durchsucht das
gesamte Log
Gestern
Letzte Woche
Letzter Monat
Intervall - Wählen Sie diese Option, um die Einträge, die während eines bestimmten Zeitraums (Datum und
Uhrzeit) protokolliert wurden, zu suchen.
Neben den oben genannten Einstellungen haben Sie noch folgende Optionen:
Nur ganze Wörter - Sucht nur nach Einträgen, die eine im Nach-Textfeld eingegebene Zeichenfolge als
vollständiges Wort enthalten.
Groß-/Kleinschreibung beachten - Sucht nur nach Einträgen, die eine im Nach-Textfeld eingegebene Zeichenfolge
mit gleicher Groß- und Kleinschreibung enthalten.
Rückwärts suchen - Sucht von der aktuellen Position aus rückwärts.
Wenn Sie die Suchoptionen konfiguriert haben, klicken Sie auf Suchen, um die Suche zu starten. Die Suche wird
gestoppt, sobald der erste Eintrag gefunden wurde, der den Suchkriterien entspricht. Klicken Sie auf Suchen, um
die Suche fortzusetzen. Von der aktuellen und damit hervorgehobenen Position aus werden die Log-Dateien von
Anfang bis Ende durchsucht.
102
4.5.3 Log-Wartung
Die Log-Konfiguration für ESET Mail Security können Sie aus dem Hauptprogrammfenster aufrufen. Klicken Sie auf
Einstellungen > Erweiterte Einstellungen > Tools > Log-Dateien. Für Log-Dateien können die folgenden
Einstellungen vorgenommen werden:
Log-Einträge automatisch löschen: Log-Einträge, die länger als die angegebene Anzahl von Tagen gespeichert
sind, werden automatisch gelöscht.
Log-Dateien automatisch optimieren: Log-Dateien werden automatisch defragmentiert, wenn der festgelegte
Prozentsatz an nicht verwendeten Einträgen überschritten wird.
Mindestinformation in Logs: Hier können Sie festlegen, welche Informationen in den Logs enthalten sein sollen.
Verfügbare Optionen:
- Diagnosedaten - Alle Meldungen höherer Stufen und alle sonstigen Informationen, die für das Beheben von
Fehlern wichtig sein können, werden protokolliert
- Informationen - Meldungen wie erfolgreiche Updates und alle Meldungen höherer Stufen werden protokolliert
- Warnungen - Kritische Fehler und Warnungen werden protokolliert
- Fehler - Nur Fehler wie zum Beispiel „Fehler beim Herunterladen einer Datei“ und kritische Fehler werden
protokolliert
- Kritische Warnungen - Nur kritische Warnungen (z. B. bei einem Fehler beim Start des Virenschutz-Moduls)
werden protokolliert
103
4.6 ESET SysInspector
4.6.1 Einführung in ESET SysInspector
ESET SysInspector ist eine Anwendung, die den Computer gründlich durchsucht und die gesammelten Daten
ausführlich anzeigt. etwa zu installierten Treibern und Anwendungen, Netzwerkverbindungen oder wichtigen
Registrierungseinträgen. Diese Angaben helfen Ihnen bei der Problemdiagnose, wenn sich ein System nicht wie
erwartet verhält - ob dies nun an einer Inkompatibilität (Software/Hardware) oder an einer Malware-Infektion
liegt.
Sie können auf zwei Arten auf ESET SysInspector zugreifen: über die in ESET Security-Lösungen integrierte Version
oder indem Sie die eigenständige Version (SysInspector.exe) kostenlos von der ESET-Website herunterladen. Die
Funktionen und Steuerelemente beider Programmversionen sind identisch. Die Versionen unterscheiden sich nur in
der Ausgabe der Informationen. Sowohl mit der eigenständigen als auch der integrierten Version können
Snapshots des Systems in einer XML-Datei ausgegeben und auf einem Datenträger gespeichert werden. Mit der
integrierten Version ist es jedoch auch möglich, die System-Snapshots direkt unter Tools > ESET SysInspector zu
speichern (außer ESET Remote Administrator). Weitere Informationen finden Sie im Abschnitt ESET SysInspector
als Teil von ESET Mail Security 115 .
Bitte gedulden Sie sich ein wenig, während ESET SysInspector Ihren Computer prüft. Je nach aktueller HardwareKonfiguration, Betriebssystem und Anzahl der installierten Anwendungen kann die Prüfung zwischen 10 Sekunden
und einigen Minuten dauern.
4.6.1.1 Starten von ESET SysInspector
Zum Starten von ESET SysInspector führen Sie einfach die von der ESET-Website heruntergeladene Programmdatei
SysInspector.exe aus. Wenn bereits eine ESET Security-Lösung installiert ist, können Sie ESET SysInspector direkt aus
dem Startmenü starten (Programme > ESET > ESET Mail Security).
Bitte haben Sie einen Augenblick Geduld, während die Anwendung Ihr System untersucht. Je nach der Art der
Hardwarekonfiguration und den zu erfassenden Daten kann dies einige Minuten dauern.
104
4.6.2 Benutzeroberfläche und Bedienung
Zur besseren Übersicht ist das Hauptfenster in vier größere Bereiche unterteilt: die Steuerelemente des Programms
oben, das Navigationsfenster links, das Beschreibungsfenster mittig rechts und das Detailfenster unten rechts im
Hauptfenster. Im Bereich „Log-Status“ werden die grundlegenden Parameter eines Logs aufgeführt:
Filterverwendung, Filtertyp, ob das Log Ergebnis eines Vergleichs ist usw.
4.6.2.1 Menüs und Bedienelemente
Dieser Abschnitt beschreibt die Menüs und sonstigen Bedienelemente in ESET SysInspector.
Datei
Über das Menü Datei können Sie die aktuellen Systeminformationen zur späteren Untersuchung speichern oder ein
zuvor gespeichertes Log wieder öffnen. Falls ein Log weitergegeben werden soll, sollten Sie es über die Funktion
Zum Senden geeignet erstellen. Sicherheitsrelevante Daten (Name und Berechtigungen des aktuellen Benutzers,
Computername, Domänenname, Umgebungsvariablen usw.) werden dann nicht in das Log aufgenommen.
HINWEIS: Gespeicherte ESET SysInspector-Logs können Sie schnell wieder öffnen, indem Sie sie einfach auf das
Hauptfenster ziehen und dort ablegen.
Verzeichnisbaum
Hiermit können Sie alle Knoten erweitern oder schließen sowie die ausgewählten Bereiche in ein Dienste-Skript
exportieren.
Liste
Dieses Menü enthält Funktionen zur einfacheren Navigation im Programm sowie eine Reihe von Zusatzfunktionen,
etwa für die Online-Informationssuche.
Hilfe
Über dieses Menü finden Sie Informationen zur Anwendung und ihren Funktionen.
105
Eigenschaften
Dieses Menü beeinflusst die Informationen, die im Hauptfenster dargestellt werden und vereinfacht somit ihre
Verwendung. Im Modus „Einfach“ haben Sie Zugang zu Informationen, die Hilfestellung bei gewöhnlichen
Problemen im System liefern. Im Modus „Mittel“ sehen Sie weniger häufig benötigte Informationen. Im Modus
„Vollständig“ zeigt ESET SysInspector alle verfügbaren Informationen an, sodass Sie auch sehr spezielle Probleme
beheben können.
Filterung der Elemente
Mit der Filterfunktion können Sie schnell verdächtige Dateien oder Registrierungseinträge auf Ihrem System finden.
Durch Verschieben des Schiebereglers legen Sie fest, ab welcher Risikostufe Objekte angezeigt werden. Befindet
sich der Schieberegler ganz links (Risikostufe 1), werden alle Einträge angezeigt. Steht der Schieberegler hingegen
weiter rechts, werden alle Objekte unterhalb der eingestellten Risikostufe ausgeblendet, sodass Sie nur die Objekte
ab einer bestimmten Risikostufe sehen. Steht der Schieberegler ganz rechts, zeigt das Programm nur die als
schädlich bekannten Einträge an.
Alle Objekte der Risikostufen 6 bis 9 stellen unter Umständen ein Sicherheitsrisiko dar. Falls solche Objekte auf
Ihrem System gefunden werden und Sie keine ESET Security-Lösung einsetzen, empfiehlt sich eine Überprüfung
Ihres Systems mit dem kostenlosen ESET Online Scanner.
HINWEIS: Um schnell herauszufinden, welche Risikostufe ein bestimmtes Objekt hat, vergleichen Sie einfach seine
Farbe mit den Farben auf dem Schieberegler für die Risikostufe.
Suchen
Mit der Suche können Sie ein bestimmtes Objekt schnell über seinen Namen (oder einen Teil des Namens) finden.
Die Suchergebnisse werden im Beschreibungsfenster angezeigt.
Zurück/Vor
Über die Schaltflächen mit den Pfeilen nach links und rechts können Sie zwischen den bisherigen Anzeigeinhalten
des Beschreibungsbereichs wechseln. Anstatt auf „Vor“ und „Zurück“ zu klicken, können Sie auch die Leertaste bzw.
Rücktaste (Backspace) verwenden.
Statusbereich
Hier sehen Sie, welcher Knoten im Navigationsbereich gerade ausgewählt ist.
Wichtig: Rot hervorgehobene Objekte sind unbekannt und werden daher als potenziell gefährlich markiert. Dies
bedeutet jedoch nicht automatisch, dass Sie die Datei gefahrlos löschen können. Vergewissern Sie sich vor dem
Löschen auf jeden Fall, dass die Datei tatsächlich überflüssig ist bzw. dass von ihr eine Gefahr ausgeht.
4.6.2.2 Navigation in ESET SysInspector
In ESET SysInspector gliedern sich die unterschiedlichen Systeminformationen in eine Reihe von Hauptabschnitten,
die so genannten „Knoten“. Falls zusätzliche Informationen verfügbar sind, erreichen Sie diese, indem Sie einen
Knoten um seine Unterknoten erweitern. Um einen Knoten zu öffnen oder zu reduzieren, doppelklicken Sie auf den
Namen des Knotens, oder klicken Sie alternativ auf bzw. neben dem Namen. Soweit vorhanden, werden im
Beschreibungsbereich Detailinhalte zum gerade im Navigationsbereich ausgewählten Knoten angezeigt. Diese
Einträge im Beschreibungsbereich können Sie dann wiederum auswählen, um (soweit vorhanden) im Detailbereich
weitere Detailinformationen dazu anzuzeigen.
Im Folgenden sind die Hauptknoten im Navigationsbereich sowie die dazugehörigen Informationen im
Beschreibungs- und Detailbereich beschrieben.
Ausgeführte Prozesse
Dieser Knoten enthält Informationen zu den Anwendungen und Prozessen, die zum Zeitpunkt der Log-Erstellung
ausgeführt wurden. Das Beschreibungsfenster zeigt weitere Details zu jedem Prozess, etwa die verwendeten
dynamischen Bibliotheken samt Speicherort, den Namen des Programmherstellers und die Risikostufe der Dateien.
Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationen
wie z. B. die Größe oder der Hashwert der betreffenden Datei.
HINWEIS: Ein Betriebssystem enthält verschiedene durchgängig laufende Kernelkomponenten, die grundlegende
und wichtige Funktionen für andere Benutzeranwendungen bereitstellen. In bestimmten Fällen wird für solche
106
Prozesse in ESET SysInspector ein Dateipfad angezeigt, der mit \??\ beginnt. Diese Symbole stellen eine vor dem
Start liegende Optimierung für derartige Prozesse dar. Sie sind für das System ungefährlich.
Netzwerkverbindungen
Wenn Sie im Navigationsbereich ein Protokoll (TCP oder UDP) auswählen, erscheint im Beschreibungsbereich eine
Liste der Prozesse und Anwendungen, die über das betreffende Protokoll im Netzwerk kommunizieren, samt der
jeweiligen Remoteadresse. Außerdem können Sie hier die IP-Adressen der DNS-Server überprüfen.
Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationen
wie z. B. die Größe oder der Hashwert der betreffenden Datei.
Wichtige Einträge in der Registrierung
Hier finden Sie eine Liste ausgewählter Registrierungseinträge, die oft im Zusammenhang mit Systemproblemen
stehen. Dies betrifft beispielsweise die Registrierungseinträge für Autostart-Programme, Browser-Hilfsobjekte
(BHO) usw.
Im Beschreibungsbereich werden die mit dem jeweiligen Registrierungseintrag verbundenen Dateien angezeigt.
Das Detailfenster zeigt ggf. zusätzliche Informationen an.
Dienste
Bei diesem Knoten enthält der Beschreibungsbereich eine Liste der Dateien, die als Windows-Dienste registriert
sind. Das Detailfenster informiert über spezifische Details und darüber, auf welche Art ein Dienst gestartet wird.
Treiber
Dieser Knoten enthält eine Liste der im System installierten Treiber.
Kritische Dateien
Unter diesem Knoten können Sie sich im Beschreibungsbereich den Inhalt wichtiger Konfigurationsdateien von
Microsoft Windows anzeigen lassen.
System-Taskplaner
Hier finden Sie eine Liste der Tasks, die vom Windows-Taskplaner zu einer bestimmten Zeit oder in einem
bestimmten Intervall ausgeführt werden.
Systeminformationen
Hier finden Sie ausführliche Informationen zu Hardware und Software, den gesetzten Umgebungsvariablen, den
Benutzerberechtigungen und dem System-Ereignislog.
Dateidetails
Dieser Knoten enthält eine Liste der wichtigen Systemdateien sowie der Dateien im Ordner „Programme“.
Zusätzliche Informationen speziell für diese Dateien werden im Beschreibungs- und Detailfenster angezeigt.
Über
Informationen zur Version von ESET SysInspector sowie eine Liste der Programmmodule
4.6.2.2.1 Tastaturbefehle
Für die Arbeit mit ESET SysInspector stehen Ihnen die folgenden Tastaturbefehle zur Verfügung:
Datei
Strg+O
Strg+S
Vorhandenes Log öffnen
Erstelltes Log speichern
Erstellen
Strg+G
Strg+H
Standard-Snapshot des Computerstatus erstellen
Snapshot des Computerstatus erstellen, in dem unter Umständen auch sicherheitsrelevante
Informationen protokolliert werden
107
Filterung
1, O
2
3
4, U
5
6
7, B
8
9
+
Strg+9
Strg+0
Risikostufe „In Ordnung“ - Objekte mit Risikostufe 1-9 anzeigen
Risikostufe „Unbekannt“ - Objekte mit Risikostufe 4-9 anzeigen
Risikostufe „Risikoreich“ - Objekte mit Risikostufe 7-9 anzeigen
Risikostufe „Risikoreich“ - Objekte mit Risikostufe 8-9 anzeigen
Risikostufe „Risikoreich“ - Objekte mit Risikostufe 9 anzeigen
Risikostufe vermindern
Risikostufe erhöhen
Filtermodus: Objekte ab der jeweiligen Risikostufe anzeigen
Filtermodus: Nur Objekte mit der jeweiligen Risikostufe anzeigen
Anzeigen
Strg+5
Strg+6
Strg+7
Strg+3
Strg+2
Strg+1
Rücktaste
Leertaste
Strg+W
Strg+Q
Anzeige nach Hersteller - alle Hersteller
Anzeige nach Hersteller - nur Microsoft
Anzeige nach Hersteller - alle anderen Hersteller
Einstellung „Eigenschaften“ auf „Vollständig“ setzen
Einstellung „Eigenschaften“ auf „Mittel“ setzen
Einstellung „Eigenschaften“ auf „Einfach“ setzen
Einen Schritt zurück
Einen Schritt weiter
Knoten erweitern (ausklappen)
Knoten verkleinern (einklappen)
Diverse Befehle
Strg+T
Strg+P
Ctrl+A
Strg+C
Strg+X
Strg+B
Strg+L
Strg+R
Strg+Z
Strg+F
Strg+D
Strg+E
Zur ursprünglichen Position eines in den Suchergebnissen ausgewählten Elements springen
Grundlegende Angaben zu einem Element anzeigen
Vollständige Angaben zu einem Element anzeigen
Daten/Baumpfad des aktuellen Elements kopieren
Elemente ausschneiden
Im Internet nach Informationen zur ausgewählten Datei suchen
Speicherordner der ausgewählten Datei öffnen
Betreffenden Eintrag im Registrierungseditor öffnen
Dateipfad kopieren (wenn sich das Element auf eine Datei bezieht)
Zum Suchfeld wechseln
Suchergebnisse schließen
Dienste-Skript ausführen
Vergleich
Strg+Alt+O
Strg+Alt+R
Strg+Alt+1
Strg+Alt+2
Strg+Alt+3
Strg+Alt+4
Strg+Alt+5
Strg+Alt+C
Strg+Alt+N
Strg+Alt+P
Ursprüngliches Log/Vergleichs-Log öffnen
Vergleich schließen
Alle Elemente anzeigen
Nur hinzugefügte Elemente anzeigen (Elemente, die nur im aktuellen Log vorhanden sind)
Nur gelöschte Elemente anzeigen (Elemente, die nur im ursprünglichen Log vorhanden sind)
Nur ersetzte Elemente (inkl. Dateien) anzeigen
Nur Unterschiede zwischen den Logs anzeigen
Vergleich anzeigen
Aktuelles Log anzeigen
Ursprüngliches Log öffnen
Allgemein
F1
Hilfe anzeigen
Alt+F4
Programm beenden
Alt+Umschalt+F Programm ohne Rückfrage beenden
4
Strg+I
Log-Statistik anzeigen
108
4.6.2.3 Vergleichsfunktion
Mit der „Vergleichen“-Funktion ist es möglich, zwei bestehende Log-Dateien miteinander zu vergleichen. Als
Ergebnis werden die Unterschiede zurückgegeben, also die Einträge, die nicht in beiden Logs enthalten sind. Diese
Funktion ist geeignet, um Änderungen am System zu erkennen, und hilft, die Aktivitäten von Schadcode zu
entdecken.
Nach dem Start erzeugt die Anwendung ein neues Log, das in einem neuen Fenster angezeigt wird. Um das Log zu
speichern, klicken Sie auf Datei > Log-Datei speichern. Gespeicherte Log-Dateien können Sie später wieder öffnen,
um sie einzusehen. Ein bestehendes Log öffnen Sie über Datei > Log-Datei öffnen. Im Hauptfenster von ESET
SysInspector wird immer nur jeweils ein Log angezeigt.
Die Vergleichsfunktion hat den Vorteil, dass Sie sich eine aktive und eine gespeicherte Log-Datei anzeigen lassen
können. Hierzu klicken Sie auf Datei > Logs vergleichen und wählen dann Datei auswählen. Das ausgewählte Log
wird nun mit dem aktiven (im Programmfenster angezeigten) Log verglichen. Das Vergleichs-Log führt lediglich
Unterschiede zwischen diesen beiden Logs auf.
HINWEIS: Wenn Sie nach dem Vergleich zweier Logs auf Datei > Log-Datei speichern klicken und das Ergebnis als
ZIP-Datei speichern, werden beide Log-Dateien gespeichert. Wenn Sie die so entstandene Datei später öffnen,
werden die enthaltenen Logs automatisch verglichen.
Neben den einzelnen Einträgen sehen Sie in ESET SysInspector Symbole, die angeben, um was für eine Art von
Unterschied es sich handelt.
Einträge, die mit einem markiert sind, sind nur im aktuellen Log vorhanden, nicht jedoch im geöffneten
Vergleichs-Log. Einträge, die mit einem markiert sind, waren nur zur Erstellungszeit des Vergleichs-Logs
vorhanden, sind es jedoch nicht mehr im aktuellen Log.
Die einzelnen Symbole haben die folgende Bedeutung:
Neuer Wert, nicht im vorherigen Log enthalten
Betreffender Zweig der Baumstruktur enthält neue Werte
Gelöschter Wert, nur im vorherigen Log enthalten
Betreffender Zweig der Baumstruktur enthält gelöschte Werte
Wert/Datei wurde geändert
Betreffender Zweig der Baumstruktur enthält geänderte Werte/Dateien
Risiko ist gesunken (war im vorherigen Log höher)
Risiko ist gestiegen (war im vorherigen Log niedriger)
Die Bedeutung aller Symbole sowie die Namen der verglichenen Logs werden auch in der Legende links unten im
Programmfenster angezeigt.
Sie können jedes Vergleichs-Log in einer Datei speichern und später wieder öffnen.
Beispiel
Erstellen und speichern Sie ein Log, das die ursprünglichen Informationen über das System enthält, als vorher.xml.
Nachdem Sie Änderungen am System vorgenommen haben, öffnen Sie ESET SysInspector und erstellen Sie ein
neues Log. Speichern Sie dieses unter dem Namen neu.xml.
Um die Unterschiede zwischen diesen beiden Logs zu sehen, klicken Sie auf Datei > Logs vergleichen. Das
Programm erstellt so ein Vergleichs-Log, das die Unterschiede zwischen den beiden Logs zeigt.
Dasselbe Ergebnis erzielen Sie bei einem Aufruf über die Befehlszeile mit den folgenden Parametern:
SysInspector.exe neu.xml vorher.xml
109
4.6.3 Kommandozeilenparameter
Mit ESET SysInspector können Sie auch von der Kommandozeile aus Berichte erzeugen. Hierzu stehen die folgenden
Parameter zur Verfügung:
/gen
/privacy
/zip
/silent
/help, /?
Ergebnis-Log direkt aus der Kommandozeile erzeugen, keine grafische Oberfläche anzeigen
Keine sicherheitsrelevanten Informationen ins Log aufnehmen
Ergebnis-Log direkt in einer komprimierten Datei auf dem Datenträger speichern
Keine Fortschrittsleiste während der Erstellung des Logs anzeigen
Hilfe zu den Kommandozeilenparametern anzeigen
Beispiele
Bestimmtes Log direkt in den Browser laden: SysInspector.exe "c:\clientlog.xml"
Log im aktuellen Ordner speichern: SysInspector.exe /gen
Log in einem bestimmten Ordner speichern: SysInspector.exe /gen="c:\ordner\"
Log in einer bestimmten Datei speichern: SysInspector.exe /gen="c:\ordner\meinlog.xml"
Log ohne sicherheitsrelevante Daten direkt in einer komprimierten Datei speichern: SysInspector.exe /gen="c:
\meinlog.zip" /privacy /zip
Zwei Logs vergleichen: SysInspector.exe "log_neu.xml" "log_alt.xml"
HINWEIS: Datei- und Ordnernamen mit Leerzeichen sollten in Hochkommata gesetzt werden.
4.6.4 Dienste-Skript
Ein Dienste-Skript ist ein Hilfsmittel für Benutzer von ESET SysInspector zur einfachen Entfernung unerwünschter
Objekte aus dem System.
Über ein Dienste-Skript können Sie das gesamte ESET SysInspector-Log oder ausgewählte Teile davon exportieren.
Nach dem Export können Sie unerwünschte Objekte zum Löschen markieren. Anschließend können Sie das so
bearbeitete Log ausführen, um die markierten Objekte zu löschen.
Dienste-Skripte sind für erfahrene Benutzer gedacht, die sich gut mit der Diagnose und Behebung von
Systemproblemen auskennen. Unqualifizierte Änderungen können das Betriebssystem beschädigen.
Beispiel
Wenn Sie vermuten, dass Ihr Computer mit einem Virus infiziert ist, den Ihr Antivirusprogramm nicht erkennt,
gehen Sie wie folgt vor:
Führen Sie ESET SysInspector aus, um einen neuen System-Snapshot zu erstellen.
Wählen Sie das erste Objekt im Navigationsbereich auf der linken Seite aus, halten Sie die Strg-Taste gedrückt
und klicken Sie auf das letzte Objekt im Navigationsbereich, um den gesamten Inhalt zu markieren.
Klicken Sie mit der rechten Maustaste auf die ausgewählten Objekte und wählen Sie die Option Ausgewählte
Bereiche in das Dienste-Skript exportieren aus dem Kontextmenü.
Die ausgewählten Objekte werden in ein neues Log exportiert.
Sie kommen nun zum wichtigsten Schritt des gesamten Vorgangs: Öffnen Sie das neue Log und ändern Sie das
Zeichen „-“ vor allen Objekten, die gelöscht werden sollen, auf „+“. Stellen Sie sicher, dass Sie keine wichtige
Betriebssystem-Dateien oder -Objekte markieren.
Öffnen Sie ESET SysInspector, klicken Sie auf Datei > Dienste-Skript ausführen und geben Sie den Pfad zu Ihrem
Skript ein.
Klicken Sie auf OK, um das Skript auszuführen.
4.6.4.1 Erstellen eines Dienste-Skripts
Um ein Skript zu erstellen, klicken Sie im ESET SysInspector-Hauptfenster mit der rechten Maustaste auf ein
beliebiges Element im Navigationsbereich auf der linken Seite des Fensters. Wählen Sie im Kontextmenü dann
entweder Alle Bereiche in das Dienste-Skript exportieren oder Ausgewählte Bereiche in das Dienste-Skript
exportieren.
HINWEIS: Wenn Sie gerade zwei Logs miteinander vergleichen, ist kein Export in ein Dienste-Skript möglich.
110
4.6.4.2 Aufbau des Dienste-Skripts
In der ersten Zeile des Skriptheaders finden Sie Angaben zur Engine-Version (ev), zur Version der
Benutzeroberfläche (gv) sowie zur Log-Version (lv). Über diese Angaben können Sie mögliche Änderungen an der
XML-Datei verfolgen, über die das Skript erzeugt wird, und dadurch Inkonsistenzen bei der Ausführung vermeiden.
An diesem Teil des Skripts sollten keine Änderungen vorgenommen werden.
Der Rest der Datei gliedert sich in mehrere Abschnitte, deren Einträge Sie bearbeiten können, um festzulegen,
welche davon bei der Ausführung verarbeitet werden sollen. Um einen Eintrag für die Verarbeitung zu markieren,
ersetzen Sie das davor stehende Zeichen „-“ durch ein „+“. Die einzelnen Skriptabschnitte sind jeweils durch eine
Leerzeile voneinander getrennt. Jeder Abschnitt hat eine Nummer und eine Überschrift.
01) Running processes (Ausgeführte Prozesse)
Dieser Abschnitt enthält eine Liste mit allen Prozessen, die auf dem System ausgeführt werden. Für jeden Prozess
ist der UNC-Pfad gefolgt vom CRC16-Hashwert in Sternchen (*) aufgeführt.
Beispiel:
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
In diesem Beispiel wurde der Prozess module32.exe ausgewählt, indem er mit dem Zeichen „+“ markiert wurde.
Beim Ausführen des Skripts wird dieser Prozess beendet.
02) Loaded modules (Geladene Module)
Dieser Abschnitt enthält eine Liste der momentan verwendeten Systemmodule.
Beispiel:
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
In diesem Beispiel wurde das Modul khbekhb.dll mit einem „+“ markiert. Beim Ausführen des Skripts werden alle
Prozesse, die dieses Modul verwenden, ermittelt und anschließend beendet.
03) TCP connections (TCP-Verbindungen)
Dieser Abschnitt enthält Informationen zu den aktiven TCP-Verbindungen.
Beispiel:
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]
Beim Ausführen des Skripts wird der Eigentümer des Sockets der markierten TCP-Verbindungen ermittelt.
Anschließend wird der Socket beendet, wodurch Systemressourcen wieder frei werden.
04) UDP endpoints (UDP-Endpunkte)
Dieser Abschnitt enthält Informationen zu den aktiven UDP-Endpunkten.
Beispiel:
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
Beim Ausführen des Skripts wird der Eigentümer des Sockets der markierten UDP-Verbindungen ermittelt.
Anschließend wird der Socket beendet.
111
05) DNS server entries (DNS-Servereinträge)
Dieser Abschnitt enthält Angaben zur aktuellen DNS-Serverkonfiguration.
Beispiel:
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Beim Ausführen des Skripts werden die markierten DNS-Servereinträge entfernt.
06) Important registry entries (Wichtige Registrierungseinträge)
Dieser Abschnitt enthält Informationen zu wichtigen Registrierungseinträgen.
Beispiel:
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
Beim Ausführen des Skripts werden die markierten Einträge gelöscht, auf eine Länge von 0 Byte abgeschnitten oder
auf die Standardwerte zurückgesetzt. Was davon im Einzelfall geschieht, hängt von der Art des Eintrags und dem
Wert des Schlüssels ab.
07) Services (Dienste)
Dieser Abschnitt enthält eine Liste der auf dem System registrierten Dienste.
Beispiel:
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup:
Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup:
Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup:
Manual
[...]
Beim Ausführen des Skripts werden die markierten Dienste samt davon abhängiger Dienste beendet und
deinstalliert.
08) Drivers (Treiber)
Dieser Abschnitt enthält eine Liste der installierten Treiber.
Beispiel:
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32
\drivers\adihdaud.sys, state: Running, startup: Manual
[...]
Beim Ausführen des Skripts wird die Ausführung der ausgewählten Treiber beendet. Beachten Sie bitte, dass dies
bei einigen Treibern nicht möglich ist.
09) Critical files (Kritische Dateien)
Dieser Abschnitt enthält Angaben zu Dateien, die für eine korrekte Funktion des Betriebssystems wesentlich sind.
112
Beispiel:
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
Die ausgewählten Objekte werden entweder gelöscht oder auf ihren ursprünglichen Wert zurückgesetzt.
4.6.4.3 Ausführen von Dienste-Skripten
Markieren Sie die gewünschten Elemente, speichern und schließen Sie das Skript. Führen Sie das fertige Skript dann
direkt aus dem ESET SysInspector-Hauptfenster aus, indem Sie im Menü „Datei“ auf Dienste-Skript ausführen
klicken. Beim Öffnen eines Skripts wird die folgende Bestätigungsabfrage angezeigt: Möchten Sie das DiensteSkript „%Skriptname%“ wirklich ausführen? Nachdem Sie diese Abfrage bestätigt haben, erscheint unter
Umständen eine weitere Warnmeldung, dass das auszuführende Dienste-Skript nicht signiert wurde. Klicken Sie
auf Starten, um das Skript auszuführen.
Ein Dialogfenster mit der Bestätigung über die erfolgreiche Ausführung des Skripts wird angezeigt.
Wenn das Skript nur teilweise verarbeitet werden konnte, wird ein Dialogfenster mit der folgenden Meldung
angezeigt: Das Dienste-Skript wurde teilweise ausgeführt. Möchten Sie den Fehlerbericht anzeigen? Wählen
Sie Ja, um einen ausführlichen Fehlerbericht mit Informationen zu den nicht ausgeführten Aktionen anzuzeigen.
Wenn das Skript nicht erkannt wurde, wird ein Dialogfenster mit der folgenden Meldung angezeigt: Das
ausgewählte Dienste-Skript trägt keine Signatur. Wenn Sie unbekannte Skripts und Skripte ohne Signatur
ausführen, können die Daten Ihres Computers beschädigt werden. Möchten Sie das Skript und die Aktionen
wirklich ausführen? Eine solche Meldung kann durch Inkonsistenzen im Skript verursacht werden (beschädigter
Header, beschädigte Abschnittsüberschrift, fehlende Leerzeile zwischen Bereichen usw.). Sie können dann
entweder die Skriptdatei öffnen und die Fehler beheben oder ein neues Dienste-Skript erstellen.
4.6.5 Häufige Fragen (FAQ)
Muss ESET SysInspector mit Administratorrechten ausgeführt werden?
ESET SysInspector muss zwar nicht unbedingt mit Administratorrechten ausgeführt werden, einige Informationen
können jedoch nur über ein Administratorkonto erfasst werden. Bei einer Ausführung unter einer niedrigeren
Berechtigungsstufe (Standardbenutzer, eingeschränkter Benutzer) werden daher weniger Informationen zur
Systemumgebung erfasst.
Erstellt ESET SysInspector eine Log-Datei?
ESET SysInspector kann eine Log-Datei mit der Konfiguration Ihres Computers erstellen. Um diese zu speichern,
wählen Sie Datei > Log-Datei speichern aus dem Hauptmenü. Die Logs werden im XML-Format gespeichert.
Standardmäßig erfolgt dies im Verzeichnis %USERPROFILE%\Eigene Dateien\ und unter einem Namen nach dem
Muster „SysInspector-%COMPUTERNAME%-JJMMTT-HHMM.XML“. Falls Sie es vorziehen, können Sie Speicherort
und -namen vor dem Speichern ändern.
Wie zeige ich eine ESET SysInspector-Log-Datei an?
Um eine von ESET SysInspector erstellte Log-Datei anzuzeigen, starten Sie das Programm und klicken im
Hauptmenü auf Datei > Log öffnen. Sie können Log-Dateien auch auf ESET SysInspector ziehen und dort ablegen.
Wenn Sie häufig Log-Dateien aus ESET SysInspector anzeigen müssen, empfiehlt es sich, auf dem Desktop eine
Verknüpfung zur Datei SYSINSPECTOR.EXE anzulegen. So können Sie Log-Dateien einfach auf dieses Symbol
ziehen, um sie zu öffnen. Aus Sicherheitsgründen ist es unter Windows Vista und Windows 7 ggf. nicht möglich,
Dateien per Drag and Drop zwischen Fenstern mit unterschiedlichen Sicherheitsberechtigungen zu verschieben.
113
Ist eine Spezifikation für das Format der Log-Dateien verfügbar? Wie steht es um ein Software Development
Kit (SDK)?
Da sich das Programm noch in der Entwicklung befindet, gibt es momentan weder eine Dokumentation für das
Dateiformat noch ein SDK. Je nach Kundennachfrage wird sich dies nach der offiziellen Veröffentlichung des
Programms eventuell ändern.
Wie bewertet ESET SysInspector das Risiko, das von einem bestimmten Objekt ausgeht?
Um Objekten wie Dateien, Prozessen, Registrierungsschlüsseln usw. eine Risikostufe zuzuordnen, verwendet ESET
SysInspector in der Regel einen Satz heuristischer Regeln, mit denen die Merkmale des Objekts untersucht werden,
um anschließend nach entsprechender Gewichtung das Potenzial für schädliche Aktivitäten abzuschätzen.
Basierend auf dieser Heuristik wird Objekten dann eine Risikostufe zugewiesen, von 1 - In Ordnung (grün) bis 9 Risikoreich(rot). Die Farbe der Abschnitte im Navigationsbereich im linken Teil des Programmfensters richtet sich
nach der höchsten Risikostufe, die ein darin enthaltenes Objekt hat.
Bedeutet eine Risikostufe von „6 - Unbekannt (rot)“, dass ein Objekt gefährlich ist?
Die Einschätzung von ESET SysInspector legt nicht endgültig fest, ob eine Gefahr von einem Objekt ausgeht. Diese
Entscheidung muss ein Sicherheitsexperte treffen. ESET SysInspector kann hierbei helfen, indem es dem Experten
schnell zeigt, welche Objekte eventuell gründlicher untersucht werden müssen.
Warum stellt ESET SysInspector beim Start eine Verbindung ins Internet her?
Wie viele Anwendungen ist auch ESET SysInspector mit einem digitalen Zertifikat signiert, mit dem überprüft
werden kann, dass die Software tatsächlich von ESET stammt und nicht verändert wurde. Hierzu baut das
Betriebssystem eine Verbindung zu einer Zertifizierungsstelle auf, um die Identität des Softwareherstellers zu
überprüfen. Dies ist ein normaler Vorgang für alle digital signierten Programme unter Microsoft Windows.
Was ist Anti-Stealth-Technologie?
Die Anti-Stealth-Technologie ermöglicht eine effektive Erkennung von Rootkits.
Wenn ein System von Schadcode angegriffen wird, der sich wie ein Rootkit verhält, ist der Benutzer dem Risiko von
Datenverlust oder -diebstahl ausgesetzt. Ohne spezielle Tools ist es quasi unmöglich, solche Rootkits zu erkennen.
Warum ist bei Dateien manchmal Microsoft als Unterzeichner angegeben, wenn gleichzeitig aber ein anderer
Firmenname angezeigt wird?
Beim Versuch, die digitale Signatur einer ausführbaren Datei zu ermitteln, überprüft ESET SysInspector zuerst, ob in
der Datei eine eingebettete Signatur vorhanden ist. Wenn ja, wird die Datei anhand dieser Informationen
überprüft. Falls die Datei keine digitale Signatur enthält, sucht ESI nach einer zugehörigen CAT-Datei
(Sicherheitskatalog - %systemroot%\system32\catroot), die Informationen über die Datei enthält. Falls eine
entsprechende CAT-Datei existiert, wird deren digitale Signatur beim Überprüfungsprozess für die ausführbare
Datei übernommen.
Aus diesem Grund sind einige Dateien mit „Signatur MS“ markiert, obwohl unter „Firmenname“ ein anderer Eintrag
vorhanden ist.
Beispiel:
Windows 2000 enthält die Anwendung „HyperTerminal“ in C:\Programme\Windows NT. Die Haupt-Programmdatei
dieser Anwendung ist nicht digital signiert. ESET SysInspector weist jedoch Microsoft als Unterzeichner aus. Dies
liegt daran, dass in C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat ein Verweis auf C:
\Programme\Windows NT\hypertrm.exe (die Haupt-Programmdatei von HyperTerminal) vorhanden ist und sp4.cat
wiederum durch Microsoft digital signiert wurde.
114
4.6.6 ESET SysInspector als Teil von ESET Mail Security
Um den ESET SysInspector-Bereich in ESET Mail Security zu öffnen, klicken Sie auf Tools > ESET SysInspector. Das
Verwaltungssystem im ESET SysInspector-Fenster ähnelt dem von Prüfungslogs oder geplanten Tasks. Alle
Vorgänge mit Systemsnapshots - Erstellen, Anzeigen, Vergleichen, Entfernen und Exportieren - sind mit einem oder
zwei Klicks zugänglich.
Das ESET SysInspector-Fenster enthält Basisinformationen zum erstellten Snapshot wie z. B. Erstellungszeitpunkt,
kurzer Kommentar, Name des Benutzers, der den Snapshot erstellt hat, sowie den Status des Snapshots.
Zum Vergleichen, Erstellen oder Löschen von Snapshots verwenden Sie die entsprechenden Schaltflächen unter der
Snapshot-Liste im ESET SysInspector-Fenster. Dieselben Optionen stehen auch über das Kontextmenü zur
Verfügung. Um den ausgewählten Systemsnapshot anzuzeigen, verwenden Sie den Befehl Anzeigen im
Kontextmenü. Um den ausgewählten Snapshot in eine Datei zu exportieren, klicken Sie mit der rechten Maustaste
darauf und wählen Exportieren.
Die einzelnen Befehle sind nachstehend noch einmal ausführlicher beschrieben:
Vergleichen - Hiermit können Sie zwei vorhandene Logs vergleichen. Diese Funktion eignet sich dafür, alle
Unterschiede zwischen dem aktuellen und einem älteren Log zu ermitteln. Um sie zu nutzen, müssen Sie zwei
Snapshots zum Vergleich auswählen.
Erstellen... - Erstellen eines neuen Snapshots. Hierzu müssen Sie zunächst einen kurzen Kommentar zum
Snapshot eingeben. Der Erstellungsfortschritt wird in der Spalte Status angezeigt. Fertige Snapshots haben den
Status Erstellt.
Löschen/Alle löschen - Entfernt Einträge aus der Liste.
Exportieren... - Speichert den ausgewählten Eintrag als XML-Datei (wahlweise auch komprimiert als ZIP-Datei).
4.7 ESET SysRescue
ESET SysRescue ist ein Utility, mit dem Sie einen bootfähigen Datenträger mit einer ESET Security-Lösung erstellen
können. Dabei kann es sich um ESET NOD32 Antivirus, ESET Smart Security oder auch eines der Serverprodukte
handeln. Der große Vorteil von ESET SysRescue ist, dass die ESET Security-Lösung damit unabhängig vom
Betriebssystem auf dem jeweiligen Rechner ausgeführt werden kann und direkten Zugriff auf die Festplatte sowie
das gesamte Dateisystem hat. Auf diese Weise lassen sich auch Infektionen entfernen, bei denen dies
normalerweise (bei laufendem Betriebssystem usw.) nicht möglich wäre.
4.7.1 Minimalanforderungen
ESET SysRescue verwendet das Microsoft Windows Preinstallation Environment (Windows PE) Version 2.x, das
wiederum auf Windows Vista basiert.
Windows PE ist Teil des kostenlosen Windows Automated Installation Kit (Windows AIK) und des Windows
Assessment and Deployment Kit (Windows ADK). Vor dem Erstellen eines ESET SysRescue-Mediums muss daher
das Windows AIK oder das Windows ADK installiert werden (Download unter <%http://go.eset.eu/AIK%> bzw. <%
http://go.eset.eu/ADK%>). Das zu installierende Kit hängt vom verwendeten Betriebssystem ab. Da die 32-BitVersion von Windows PE unterstützt wird, muss beim Erstellen von ESET SysRescue auf 64-Bit-Systemen ein 32-BitInstallationspaket der ESET Security-Lösung verwendet werden. ESET SysRescue unterstützt das Windows AIK 1.1
und höher sowie das Windows ADK.
HINWEIS: Da das Windows AIK über 1 GB und das Windows ADK etwa 1,3 GB groß ist, ist für einen reibungslosen
Download eine schnelle Internetverbindung erforderlich.
ESET SysRescue ist in ESET Security-Lösungen ab Version 4.0 verfügbar.
ESET SysRescue unterstützt die folgenden Betriebssysteme:
Windows Server 2003 Service Pack 1 mit KB926044
Windows Server 2003 Service Pack 2
Windows Server 2008
Windows Server 2012
Das Windows AIK unterstützt:
115
Windows Server 2003
Windows Server 2008
Das Windows ADK unterstützt:
Windows Server 2012
4.7.2 Erstellen der Rettungs-CD
Klicken Sie auf Start > Programme > ESET > ESET Mail Security > ESET SysRescue, um den ESET SysRescueAssistenten zu starten.
Zuerst prüft der Assistent, ob das Windows AIK bzw. ADK und ein geeignetes Gerät für die Erstellung des
Bootmediums verfügbar sind. Wenn das Windows AIK bzw. ADK auf Ihrem Computer nicht installiert (oder
beschädigt oder nicht korrekt installiert) ist, bietet Ihnen der Assistent die Möglichkeit, es zu installieren oder den
Pfad zu Ihrem Windows AIK-Ordner (<%http://go.eset.eu/AIK%>) bzw. Windows ADK-Ordner (<%http://go.eset.
eu/ADK%>) anzugeben.
HINWEIS: Da das Windows AIK über 1 GB und das Windows ADK etwa 1,3 GB groß ist, ist für einen reibungslosen
Download eine schnelle Internetverbindung erforderlich.
Im nächsten Schritt 116 wählen Sie das Zielmedium für ESET SysRescue aus.
4.7.3 Zielauswahl
Neben CD/DVD/USB können Sie ESET SysRescue auch in einer ISO-Datei speichern. Später können Sie dann das
ISO-Abbild auf CD/DVD brennen oder es anderweitig verwenden (z. B. in einer virtuellen Umgebung wie VMware
oder VirtualBox).
Von einem USB-Medium kann eventuell nicht auf allen Computern gebootet werden. Manche BIOS-Versionen
melden Probleme mit der Kommunikation zwischen BIOS und Bootmanager (z. B. bei Windows Vista). In diesen
Fällen wird der Bootvorgang mit der folgenden Fehlermeldung abgebrochen:
file : \boot\bcd
status : 0xc000000e
info : an error occurred while attemping to read the boot configuration data
Wenn diese Fehlermeldung angezeigt wird, wählen Sie als Zielmedium CD anstelle von USB.
4.7.4 Einstellungen
Vor der Erstellung der ESET SysRescue-CD werden beim letzten Schritt im ESET SysRescue-Installationsassistenten
einige Kompilierungsparameter angezeigt. Diese können Sie über die Schaltfläche Ändern bearbeiten. Es stehen die
folgenden Optionen zur Verfügung:
Ordner 117
ESET Antivirus 117
Erweitert 117
Internetprotokoll 118
Bootfähiges USB-Gerät 118 (wenn als Ziel ein USB-Gerät ausgewählt wurde)
Brennen 118 (wenn als Ziel ein CD/DVD-Laufwerk ausgewählt wurde)
Die Schaltfläche Erstellen ist inaktiv, wenn kein MSI-Installationspaket angegeben wurde oder wenn keine ESET
Security-Lösung auf dem Computer installiert ist. Um ein Installationspaket auszuwählen, klicken Sie auf Ändern
und wählen dann die Registerkarte ESET Antivirus. Beachten Sie bitte außerdem, dass die Schaltfläche Erstellen
nur dann aktiv ist, wenn Sie einen Benutzernamen und ein Passwort eingeben (Ändern > ESET Antivirus).
116
4.7.4.1 Ordner
Temporärer Ordner ist das Arbeitsverzeichnis für die bei der Kompilierung eines ESET SysRescue-Mediums
erforderlichen Dateien.
ISO-Ordner ist der Ordner, in dem die fertige ISO-Datei nach Abschluss der Kompilierung gespeichert wird.
In der Liste auf dieser Registerkarte werden alle lokalen Laufwerke und zugeordneten Netzlaufwerke mit dem
jeweils verfügbaren freien Speicherplatz angezeigt. Falls einer der hier angegebenen Ordner auf einem Laufwerk
mit zu wenig freiem Speicherplatz liegt, sollten Sie ein anderes Laufwerk mit mehr freiem Speicherplatz auswählen.
Anderenfalls bricht die Kompilierung möglicherweise vorzeitig ab.
Externe Anwendungen - Hiermit können Sie zusätzliche Programme festlegen, die nach dem Starten von einem
ESET SysRescue-Medium ausgeführt oder installiert werden.
Externe Anwendungen einschließen - Mit dieser Option können Sie externe Programme zur ESET SysRescueKompilation hinzufügen.
Ausgewählter Ordner - Ordner, in dem sich die Programme befinden, die zur ESET SysRescue-CD hinzugefügt
werden sollen
4.7.4.2 ESET Antivirus
Beim Erstellen der ESET SysRescue-CD können Sie zwei Quellen für die vom Compiler zu verwendenden ESETDateien wählen.
ESS/EAV-Ordner - Es werden die bereits vorhandenen Dateien aus dem Ordner verwendet, in dem die ESET
Security-Lösung auf dem Computer installiert ist.
MSI-Datei - Es werden die im MSI-Installationspaket enthaltenen Dateien verwendet.
Danach können Sie den Speicherort der (.nup-)Dateien ändern. Normalerweise sollte die Standardoption ESS/EAVOrdner/MSI-Datei eingestellt sein. In Ausnahmefällen kann ein benutzerdefinierter Update-Ordner ausgewählt
werden, z. B. um eine ältere oder neuere Version der Signaturdatenbank zu verwenden.
Sie können eine der beiden folgenden Quellen für Benutzername und Passwort verwenden:
ESS/EAV-Installation - Benutzername und Passwort werden der vorhandenen Installation der ESET SecurityLösung entnommen.
Von Benutzer - Es werden der Benutzername und das Passwort verwendet, die Sie in den dazugehörigen Feldern
eingeben.
HINWEIS: Die ESET Security-Lösung auf der ESET SysRescue-CD wird entweder über das Internet oder über die
ESET Security-Lösung aktualisiert, die auf dem Computer installiert ist, auf dem die ESET SysRescue-CD ausgeführt
wird.
4.7.4.3 Erweiterte Einstellungen
Auf der Registerkarte Erweitert können Sie die ESET SysRescue-CD für die Größe des Arbeitsspeichers auf Ihrem
Computer optimieren. Wählen Sie 576 MB oder mehr, um den Inhalt der CD in den Arbeitsspeicher (RAM) zu
übertragen. Wenn Sie weniger als 576 MB auswählen, wird permanent auf die Recovery-CD zugegriffen, während
WinPE läuft.
Im Bereich Externe Treiber können Sie Treiber für Ihre Hardware (z. B. Netzwerkadapter) hinzufügen. Da WinPE
auf Windows Vista SP1 basiert, ist eine breite Hardwareunterstützung gegeben. In manchen Fällen kann es jedoch
vorkommen, dass Hardware nicht erkannt wird. In diesem Fall müssen Sie den Treiber von Hand hinzufügen. Um
den Treiber in ESET SysRescue zu integrieren, gibt es zwei Möglichkeiten: manuell (über die Schaltfläche
Hinzufügen) oder automatisch (Schaltfläche Autom. Suche). Bei der manuellen Methode müssen Sie den Pfad zur
passenden .inf-Datei auswählen (die dazugehörige *.sys-Datei muss ebenfalls in diesem Ordner liegen). Bei der
automatischen Methode wird der Treiber automatisch im Betriebssystem des aktuellen Computers gesucht. Diese
Methode sollten Sie nur verwenden, wenn Sie ESET SysRescue später auf einem Computer mit derselben Hardware
(z. B. Netzwerkadapter) wie dem Computer nutzen, auf dem Sie die ESET SysRescue-CD erstellt haben. Bei der
Erstellung der ESET SysRescue-CD wird der Treiber integriert, sodass Sie ihn später nicht mehr suchen müssen.
117
4.7.4.4 Internetprotokoll
In diesem Bereich können Sie grundlegende Netzwerkinformationen konfigurieren und vordefinierte Verbindungen
für ESET SysRescue einrichten.
Wählen Sie Automatische private IP-Adresse, um die IP-Adresse automatisch vom DHCP-Server (Dynamic Host
Configuration Protocol) abzurufen.
Alternativ kann bei dieser Netzwerkverbindung auch eine manuell eingegebene IP-Adresse (statische IP-Adresse)
verwendet werden. Wählen Sie Benutzerdefiniert zur Konfiguration der entsprechenden IP-Einstellungen. Wenn
Sie diese Option aktivieren, müssen Sie eine IP-Adresse eingeben, bei LAN- und Breitband-Internetverbindungen
zusätzlich eine Subnetzmaske. Geben Sie bei Bevorzugter DNS-Server und Alternativer DNS-Server die IPAdressen des primären und sekundären DNS-Servers ein.
4.7.4.5 Bootfähiges USB-Gerät
Falls Sie ein USB-Gerät als Zielmedium ausgewählt haben, können Sie eines der verfügbaren USB-Medien auf der
Registerkarte Bootfähiges USB-Gerät auswählen (falls mehrere USB-Geräte vorhanden sind).
Wählen Sie das entsprechende Ziel-Gerät aus, auf dem ESET SysRescue installiert werden soll.
Warnung: Das ausgewählte USB-Gerät wird beim Erstellen von ESET SysRescue formatiert. Alle vorher auf dem
Gerät gespeicherten Daten gehen dabei verloren.
Wenn Sie die Option Schnellformatierung wählen, werden alle Dateien von der Partition entfernt, das Laufwerk
wird aber nicht auf beschädigte Sektoren geprüft. Verwenden Sie diese Option nur, wenn Ihr USB-Gerät schon
einmal formatiert wurde und Sie sicher sind, dass es nicht beschädigt ist.
4.7.4.6 Brennen
Wenn Sie CD/DVD als Zielmedium ausgewählt haben, können Sie weitere Parameter für das Brennen auf der
Registerkarte Brennen festlegen.
ISO-Datei löschen - Aktivieren Sie diese Option, um die temporäre ISO-Datei nach dem Erstellen der ESET
SysRescue-CD zu löschen.
Löschen aktiviert - Sie können zwischen schnellem Löschen und vollständigem Löschen auswählen.
Brennerlaufwerk - Wählen Sie das Laufwerk zum Brennen aus.
Warnung: Dies ist die Standardoption. Falls Sie eine wiederbeschreibbare CD/DVD verwenden, werden alle zuvor
darauf gespeicherten Daten gelöscht.
Der Bereich „Medium“ enthält Informationen über das aktuell in Ihrem CD/DVD-Laufwerk eingelegte Medium.
Schreibgeschwindigkeit - Wählen Sie die gewünschte Geschwindigkeit in der Liste aus. Berücksichtigen Sie dabei
die Fähigkeiten Ihres Brenners und den Typ des CD-/DVD-Rohlings.
4.7.5 Die Arbeit mit ESET SysRescue
Damit die Rettungs-CD (bzw. -DVD/USB-Gerät) wie erwartet funktioniert, müssen Sie Ihren Computer vom ESET
SysRescue-Bootmedium starten. Die Bootreihenfolge können Sie ggf. im BIOS entsprechend abändern. Alternativ
können Sie während des Computerstarts auch das Bootmenü aufrufen. Hierzu wird abhängig von Ihrer
Motherboard-/BIOS-Variante üblicherweise eine der Tasten F9-F12 verwendet.
Nach dem Hochfahren über das Bootmedium wird die ESET Security-Lösung gestartet. Da ESET SysRescue nur in
bestimmten Situationen verwendet wird, sind manche Schutzmodule und Programmfunktionen nicht erforderlich,
die normalerweise fester Bestandteil der ESET Security-Lösung sind. Die Liste wird auf Computer prüfen, Update
und einige Bereiche in Einstellungen begrenzt. Die Aktualisierung der Signaturdatenbank ist die wichtigste
Funktion von ESET SysRescue. Wir empfehlen Ihnen, das Programm vor dem Start einer Prüfung des Computers zu
aktualisieren.
118
4.7.5.1 Verwenden des ESET SysRescue-Mediums
Nehmen wir einmal an, dass Computer im Netzwerk mit einem Virus infiziert wurden, der ausführbare Dateien (.
exe) manipuliert. Die ESET Security-Lösung ist in der Lage, alle infizierten Dateien zu säubern, ausgenommen die
Datei explorer.exe, die selbst im abgesicherten Modus nicht gesäubert werden kann. Dies liegt daran, dass explorer.
exe als einer der grundlegenden Windows-Prozesse auch im abgesicherten Modus gestartet wird. Die ESET SecurityLösung kann bei dieser Datei keine Aktion ausführen, sodass sie infiziert bleibt.
In einer solchen Situation können Sie ESET SysRescue verwenden, um das Problem zu lösen. ESET SysRescue
benötigt keine Komponenten des Host-Betriebssystems. Deshalb kann es alle Dateien der Festplatte verarbeiten
(bereinigen, löschen).
4.8 Einstellungen für Benutzeroberfläche
Über die Konfigurationsoptionen für die Benutzeroberfläche von ESET Mail Security können Sie die
Arbeitsumgebung an Ihre Anforderungen anpassen. Sie erreichen diese Optionen unter Benutzeroberfläche in den
erweiterten Einstellungen von ESET Mail Security.
Im Bereich Elemente der Benutzeroberfläche haben Sie die Option, zum Erweiterten Modus zu wechseln. Hier
werden erweiterte Einstellungen und zusätzliche Steuerelemente für ESET Mail Security angezeigt.
Die Option Grafische Benutzeroberfläche sollte deaktiviert werden, wenn durch die grafischen Elemente die
Leistung Ihres Computers beeinträchtigt wird oder andere Probleme auftreten. Die grafische Oberfläche sollte
ebenso für sehbehinderte Personen deaktiviert werden, da Konflikte mit Spezialanwendungen zum Vorlesen von
Text auf dem Bildschirm auftreten können.
Wenn Sie die Anzeige des Startbilds von ESET Mail Security deaktivieren möchten, deaktivieren Sie das
Kontrollkästchen Startbild anzeigen.
Oben im Hauptprogrammfenster von ESET Mail Security befindet sich ein Standardmenü, das über die Option
Standardmenü verwenden aktiviert oder deaktiviert werden kann.
Wenn die Option QuickInfo anzeigen aktiviert ist, wird eine kurze Beschreibung angezeigt, wenn der Mauszeiger
sich auf einer Option befindet. Durch Aktivieren der Option Aktives Steuerelement auswählen wird jedes Element
hervorgehoben, das sich gerade im aktiven Bereich des Mauszeigers befindet. Mit einem Klick wird das
hervorgehobene Element aktiviert.
Um die Geschwindigkeit von Animationen zu erhöhen oder zu senken, aktivieren Sie die Option Animierte
Steuerelemente verwenden und ziehen Sie den Schieberegler für die Geschwindigkeit nach links oder rechts.
Um bei der Ausführung verschiedener Vorgänge animierte Symbole anzuzeigen, aktivieren Sie die Option
Animierte Symbole für Fortschrittsanzeige verwenden. Wenn das Programm bei wichtigen Ereignissen einen
Warnton ausgeben soll, aktivieren Sie die Option Hinweistöne wiedergeben.
119
Zu den Funktionen der Benutzeroberfläche zählt auch die Option, die Einstellungen von ESET Mail Security mit
einem Passwort zu schützen. Sie befindet sich im Untermenü Einstellungen schützen im Bereich
Benutzeroberfläche. Maßgeblich für einen wirksamen Schutz Ihres Systems sind die korrekten Einstellungen des
Programms. Bei unzulässigen Änderungen können wichtige Daten verloren gehen. Klicken Sie auf Passwort
festlegen, um ein Passwort für den Schutz der Einstellungen anzugeben.
120
Unter Einstellungen für Warnungen und Hinweise im Bereich Benutzeroberfläche können Sie festlegen, wie
ESET Mail Security mit Bedrohungswarnungen und Systemmeldungen umgehen soll.
Die erste Option ist Warnungen anzeigen. Bei Deaktivieren dieser Option werden keine Warnmeldungen mehr
angezeigt. Diese Einstellung eignet sich nur in einigen speziellen Situationen. Für die meisten Benutzer empfiehlt es
sich, die Standardeinstellung (aktiviert) beizubehalten.
Wenn Popup-Fenster nach einer bestimmten Zeit automatisch geschlossen werden sollen, aktivieren Sie die
Option Fenster mit Hinweisen schließen nach (Sek.). Die Hinweise werden nach Ablauf der festgelegten Zeit
automatisch geschlossen, sofern sie nicht bereits vom Benutzer geschlossen wurden.
Hinweise auf dem Desktop und Sprechblasen dienen ausschließlich zu Informationszwecken; Eingaben des
Benutzer sind weder möglich noch erforderlich. Sie werden im Infobereich der Taskleiste rechts unten auf dem
Bildschirm angezeigt. Zum Aktivieren der Anzeige von Desktophinweisen aktivieren Sie die Option Hinweise auf
dem Desktop anzeigen. Weitere Optionen, wie Anzeigedauer und Transparenz, lassen sich einstellen, indem Sie
auf Hinweise konfigurieren klicken.
Um eine Vorschau des Verhaltens von Hinweisen zu erhalten, klicken Sie auf Vorschau. Die Anzeigedauer von
Sprechblasen lässt sich über die Option Sprechblasen in der Taskleiste anzeigen (Sek.) einstellen.
Klicken Sie auf Erweiterte Einstellungen, um zu zusätzlichen Einstellungen für Warnungen und Hinweise zu
gelangen, darunter z. B. die Option Nur Hinweise anzeigen, die ein Eingreifen des Benutzers erfordern. Hiermit
können Sie die Anzeige von Meldungen, die keine Benutzerinteraktion erfordern, aktivieren bzw. deaktivieren.
Wählen Sie Hinweise, die ein Eingreifen des Benutzers erfordern, nur anzeigen, wenn Anwendungen im
Vollbildmodus laufen, um alle Hinweise zu unterdrücken, die kein Eingreifen erfordern. Aus der Liste
Mindestinformationen anzuzeigender Ereignisse können Sie den niedrigsten Schweregrad der anzuzeigenden
Warnungen und Hinweise wählen.
Der letzte Eintrag in diesem Bereich gibt Ihnen die Möglichkeit, die Ausgabe für Meldungen in einer
Mehrbenutzerumgebung zu konfigurieren. Im Feld Auf Mehrbenutzersystemen Meldungen auf Bildschirm
folgenden Benutzers ausgeben: können Sie festlegen, welcher Benutzer wichtige Hinweise von ESET Mail Security
erhalten soll. Gewöhnlich sind dies System- oder Netzwerkadministratoren. Besonders sinnvoll ist diese Option bei
Terminalservern, vorausgesetzt alle Systemmeldungen werden an den Administrator gesendet.
121
4.8.2 Deaktivieren der Benutzeroberfläche auf Terminalserver
In diesem Kapitel wird beschrieben, wie Sie die grafische Benutzeroberfläche von ESET Mail Security für
Benutzersitzungen deaktivieren können, wenn das Produkt auf einem Windows-Terminalserver läuft.
Die Benutzeroberfläche von ESET Mail Security wird bei jeder Anmeldung eines Remote-Benutzers auf dem
Terminalserver gestartet. Für gewöhnlich ist dies auf Terminalservern nicht erwünscht. Führen Sie die folgenden
Schritte aus, um die Benutzeroberfläche für Terminaldienste-Sitzungen zu deaktivieren:
1. Führen Sie regedit.exe aus
2. Öffnen Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Klicken Sie mit der rechten Maustaste auf egui und wählen Sie Ändern.
4. Fügen Sie den Parameter /terminal zum bestehenden String hinzu
Beispiel für den korrekten Wert von egui:
„C:\Programme\ESET\ESET Mail Security\egui.exe“ /hide /waitservice /terminal
Wenn Sie diese Einstellung zurücksetzen und damit den automatischen Start der ESET Mail SecurityBenutzeroberfläche aktivieren möchten, entfernen Sie den /terminal -Parameter. Wiederholen Sie die Schritte 1 bis
3, um den Registrierungswert von egui wiederherzustellen.
4.9 eShell
eShell (Abkürzung für ESET Shell) ist eine Kommandozeilen-Schnittstelle für ESET Mail Security. Es handelt sich
dabei um eine Alternative zur grafischen Benutzeroberfläche (GUI). Über eShell haben Sie Zugriff auf alle
Funktionen und Optionen, die Ihnen sonst über die Benutzeroberfläche zur Verfügung stehen. Mit eShell können
Sie ohne die GUI das gesamte Programm konfigurieren und verwalten.
Neben der Bereitstellung aller Funktionen und Optionen, die über die Benutzeroberfläche steuerbar sind, bietet die
Kommandozeile auch die Möglichkeit, Prozesse durch Skripte zu automatisieren. Mit ihnen können Sie das
Programm konfigurieren, Änderungen vornehmen und Aktionen ausführen. Des Weiteren ist eShell für jene
Benutzer attraktiv, die die Kommandozeile generell der Benutzeroberfläche vorziehen.
HINWEIS: Ein separates Handbuch für eShell können Sie hier herunterladen. Es enthält eine Liste aller verfügbaren
Befehle mit der jeweiligen Syntax und einer Beschreibung.
In diesem Abschnitt wird erklärt, wie und wofür Sie eShell verwenden können. Außerdem werden alle Befehle samt
einer Beschreibung aufgelistet, wann sie verwendet werden und was sie bewirken.
eShell kann in den folgenden beiden Modi ausgeführt werden:
Interaktiver Modus: Dieser Modus eignet sich, wenn Sie umfassend mit eShell arbeiten möchten (also nicht nur
einen einzelnen Befehl ausführen), z. B. zum Ändern der Konfiguration oder Anzeigen von Log-Dateien. Der
interaktive Modus bietet sich auch an, wenn Sie noch nicht mit allen Befehlen vertraut sind. Der interaktive
Modus erleichtert die Navigation durch eShell. In diesem Modus werden auch die im jeweiligen Kontext
verfügbaren Befehle angezeigt.
Einzelner Befehl/Batch-Modus: Verwenden Sie diesen Modus, wenn Sie nur einen Befehl ausführen müssen, ohne
dabei den interaktiven Modus von eShell zu verwenden. Geben Sie hierzu in der Windows-Eingabeaufforderung
eshell mit den entsprechenden Parametern ein. Beispiel:
eshell set av document status enabled
HINWEIS: Um eShell-Befehle über die Windows-Eingabeaufforderung einzugeben oder Batch-Dateien
auszuführen, muss diese Funktion aktiviert sein. (Der Befehl set general access batch always muss im interaktiven
Modus ausgeführt werden.) Weitere Informationen zum Befehl „set batch“ finden Sie hier 126 .
Den interaktiven eShell-Modus können Sie auf zwei Arten aktivieren:
Über das Windows-Startmenü: Start > Alle Programme > ESET > ESET File Security > ESET Shell
Über die Windows-Eingabeaufforderung: Geben Sie eshell ein und drücken Sie die Eingabetaste.
Wenn Sie eShell zum ersten Mal im interaktiven Modus ausführen, wird ein Willkommensbildschirm angezeigt.
122
Darin werden Ihnen ein paar einfache Beispiele für die Verwendung von eShell sowie Informationen zu Syntax,
Präfixen, Befehlspfaden, Abkürzungen, Aliasnamen usw. angezeigt. Es handelt sich also um eine kurze Einführung
in eShell.
HINWEIS: Wenn Sie diesen Bildschirm später erneut aufrufen möchten, geben Sie den Befehl guide ein.
HINWEIS: Bei der Befehlseingabe müssen Sie nicht auf Groß- und Kleinschreibung achten. Der Befehl wird
unabhängig davon ausgeführt, ob Sie Groß- oder Kleinbuchstaben verwenden.
4.9.1 Verwendung
Syntax
Die Befehle funktionieren nur dann ordnungsgemäß, wenn sie mit der richtigen Syntax eingegeben werden. Sie
können aus einem Präfix, einem Kontext, Argumenten, Optionen usw. bestehen. Allgemein wird in eShell folgende
Syntax verwendet:
[<Präfix>] [<Befehlspfad>] <Befehl> [<Argumente>]
Beispiel (aktiviert den Dokumentenschutz):
SET AV DOCUMENT STATUS ENABLED
SET - Ein Präfix
AV DOCUMENT - Pfad zu einem bestimmten Befehl, also der Kontext des Befehls
STATUS - Der eigentliche Befehl
ENABLED - Ein Argument für den Befehl
Wenn Sie HELP oder ? zusammen mit einem Befehl eingeben, wird die Syntax dieses bestimmten Befehls angezeigt.
Zum Beispiel wird mit CLEANLEVEL HELP die Syntax des Befehls CLEANLEVEL angezeigt:
SYNTAX:
[get] | restore cleanlevel
set cleanlevel none | normal | strict
Beachten Sie, dass [get] in eckigen Klammern steht. Dies bedeutet, dass das Präfix get das Standardpräfix für den
Befehl cleanlevel ist. Wird also dem Befehl cleanlevel kein bestimmtes Präfix zugewiesen, wird das Standardpräfix
verwendet (in diesem Fall get cleanlevel). Wenn Sie das Präfix weglassen, sparen Sie Zeit beim Eingeben von
Befehlen. Üblicherweise ist get das Standardpräfix der meisten Befehle. Dennoch sollten Sie das Standardpräfix des
jeweiligen Befehls kennen und sich sicher sein, dass Sie ihn so ausführen möchten.
Präfix/Vorgang
Ein Präfix stellt einen Vorgang dar. Das Präfix GET zeigt die Konfiguration einer bestimmten ESET Mail SecurityFunktion oder den Status an (z. B. zeigt GET AV STATUS den aktuellen Schutzstatus an). Das Präfix SET konfiguriert die
Funktion bzw. ändert ihren Status (SET AV STATUS ENABLED aktiviert den Schutz).
123
Die nachfolgend genannten Präfixe stehen in eShell zur Verfügung. Je nach Befehl werden bestimmte Präfixe
unterstützt.
GET - Aktuelle Einstellung/Status zurückgeben
SET - Wert/Status festlegen
SELECT - Element auswählen
ADD - Element hinzufügen
REMOVE - Element entfernen
CLEAR - Alle Elemente/Dateien entfernen
START - Aktion starten
STOP - Aktion beenden
PAUSE - Aktion anhalten
RESUME - Aktion fortsetzen
RESTORE - Standardeinstellungen/-objekt/-datei wiederherstellen
SEND - Objekt/Datei senden
IMPORT - Aus Datei importieren
EXPORT - In Datei exportieren
Präfixe wie GET und SET werden für viele, aber nicht alle Befehle verwendet. Der Befehl EXIT erfordert zum Beispiel
kein Präfix.
Befehlspfad/Kontext
Befehle sind in einen Kontext in Form einer Baumstruktur eingebettet. Die höchste Ebene bildet der Kontext „root“.
Beim Start von eShell befinden Sie sich also auf der Root-Ebene.
eShell>
Hier können Sie entweder einen Befehl ausführen oder den Kontextnamen eingeben, um auf die entsprechende
Ebene zu gelangen. Wenn Sie zum Beispiel den Kontext TOOLS eingeben, werden alle dort verfügbaren Befehle und
untergeordneten Kontexte aufgelistet.
Gelbe Elemente stellen ausführbare Befehle und graue Elemente stellen auswählbare untergordnete Kontexte dar.
Ein untergeordneter Kontext enthält weitere Befehle.
Wenn Sie auf eine höhere Ebene zurückkehren möchten, geben Sie .. (zwei Punke) ein. Nehmen wir beispielsweise
an, Sie befinden sich hier:
eShell av options>
Geben Sie .. ein und Sie gelangen auf die nächsthöhere Ebene, nämlich:
eShell av>
Wenn Sie dagegen von eShell av options> wieder die zwei Ebenen zur Root-Ebene hochgehen möchten, geben Sie
.. .. (zwei Punkte, Leerzeichen, zwei Punkte) ein. So gelangen Sie zwei Ebenen höher (in diesem Fall zur RootEbene). Diese Vorgehensweise ist auf jeder Ebene der Kontexthierarchie möglich. Die entsprechende Anzahl an ..
bringt Sie auf die gewünschte Ebene.
124
Der Pfad ist relativ zum aktuellen Kontext. Geben Sie den Pfad nicht ein, wenn der Befehl im aktuellen Kontext
aufgerufen wird. Um zum Beispiel GET AV STATUS auszuführen, geben Sie ein:
GET AV STATUS - wenn Sie sich im Root-Kontext befinden (Kommandozeile zeigt an: eShell>)
GET STATUS - wenn Sie sich im Kontext AV befinden (Kommandozeile zeigt an: eShell av>)
.. GET STATUS - wenn Sie sich im Kontext AV OPTIONS befinden (Kommandozeile zeigt an: eShell av options>)
Argument
Ein Argument ist eine Aktion, die für einen bestimmten Befehl ausgeführt wird. Der Befehl CLEANLEVEL
beispielsweise kann mit folgenden Argumenten verwendet werden:
none - Schadcode nicht entfernen
normal - Normales Säubern
strict - Immer versuchen, automatisch zu entfernen
Weitere Beispiele sind die Argumente ENABLED oder DISABLED zur Aktivierung/Deaktivierung einer bestimmten
Option oder Funktion.
Kurzformen
In eShell können Sie Kontexte, Befehle und Argumente abkürzen (falls es sich bei dem Argument um einen Switch
oder eine alternative Option handelt). Die Abkürzung eines Präfixes oder eines Arguments in Form eines konkreten
Wertes (z. B. Nummer, Name oder Pfad) ist nicht möglich.
Beispiele für die Kurzform:
set status enabled
=> set stat en
add av exclusions C:\Pfad\Datei.erw => add av exc C:\Pfad\Datei.erw
Wenn zwei Befehle oder Kontexte gleich beginnen (z. B. ABOUT und AV) und Sie A als verkürzte Befehlsform wählen,
kann eShell nicht bestimmen, welchen der beiden Befehle Sie ausführen möchten. Es werden dann eine
Fehlermeldung und eine Liste der verfügbaren Befehle mit dem Anfangsbuchstaben A angezeigt:
eShell>a
Der folgende Befehl ist nicht eindeutig: a
In diesem Kontext sind die folgenden Befehle verfügbar:
ABOUT - Informationen über das Programm anzeigen
AV - Zum Kontext av wechseln
Das Hinzufügen von mindestens einem Buchstaben (z. B. AB anstelle von A) hat zur Folge, dass eShell den Befehl
ABOUT ausführt, da die Abkürzung nun eindeutig ist.
HINWEIS: Um die korrekte Ausführung des Befehls sicherzustellen, wird empfohlen, Befehle, Argumente usw.
nicht abzukürzen, sondern vollständig anzugeben. Auf diese Weise erfolgt die Ausführung wie von Ihnen
gewünscht und unerwünschte Fehler werden vermieden. Dies betrifft vor allem Batch-Dateien und Skripte.
Aliasnamen
Ein Alias ist ein alternativer Name, um einen Befehl auszuführen (vorausgesetzt, dass diesem Befehl ein Alias
zugewiesen wurde). Dies sind die Standard-Aliasnamen:
(global) help - ?
(global) close - exit
(global) quit - exit
(global) bye - exit
warnlog - tools log events
virlog - tools log detections
Mit „(global)“ wird angezeigt, dass der Befehl kontextunabhängig verwendet werden kann. Einem Befehl können
mehrere Aliasnamen zugewiesen werden. So hat der Befehl EXIT z. B. die Aliasnamen CLOSE, QUIT und BYE. Wenn Sie
eShell beenden möchten, können Sie den Befehl EXIT oder einen seiner Aliasnamen verwenden. Das Alias VIRLOG
bezieht sich auf den Befehl DETECTIONS im Kontext TOOLS LOG . Mit diesem Alias ist der Befehl im Kontext ROOT
verfügbar und so leichter erreichbar (Sie müssen nicht erst in die Kontexte TOOLS und dann LOG wechseln, sondern
starten den Befehl direkt in ROOT).
Mit eShell können Sie eigene Aliasnamen festlegen.
Geschützte Befehle
Einige Befehle sind passwortgeschützt und können nur nach der Eingabe eines Passworts ausgeführt werden.
125
Benutzungshinweise
Beim Ausführen des Befehls GUIDE wird ein Bildschirm mit Benutzungshinweisen für eShell angezeigt. Dieser Befehl
wird im Kontext ROOT aufgerufen (eShell>).
Hilfe
Wird der Befehl HELP ohne Zusätze verwendet, werden alle im aktuellen Kontext verfügbaren Befehle samt Präfixen
sowie die Unterkontexte angezeigt. Ebenso wird jeder Befehl/Unterkontext kurz beschrieben. Wenn Sie HELP in
Verbindung mit einem bestimmten Befehl als Argument verwenden (z. B. CLEANLEVEL HELP), werden die
Informationen zu diesem Befehl angezeigt. Dabei handelt es sich um SYNTAX, VORGÄNGE, ARGUMENTE und
ALIASNAMEN des Befehls sowie eine kurze Beschreibung jeder Information.
Befehlsverlauf
eShell speichert einen Verlauf der bereits ausgeführten Befehle. Gespeichert werden aber nur die Befehle der
aktuellen interaktiven eShell-Sitzung. Wenn Sie eShell beenden, wird der Befehlsverlauf gelöscht. Mit den
Pfeiltasten „Auf“ und „Ab“ können Sie durch den Verlauf blättern. Wenn Sie den gesuchten Befehl gefunden haben,
können Sie ihn erneut ausführen oder ändern, ohne den gesamten Befehl erneut eingeben zu müssen.
CLS/Bildschirm löschen
Der Befehl CLS wird verwendet, um den Bildschirm zu löschen. Der Befehl funktioniert genauso wie über die
Windows-Eingabeaufforderung oder ähnliche Kommandozeilenprogramme.
EXIT/CLOSE/QUIT/BYE
Zum Schließen oder Beenden von eShell stehen Ihnen diese vier Befehle zur Verfügung (EXIT, CLOSE, QUIT oder BYE).
4.9.2 Befehle
In diesem Abschnitt werden einige grundlegende eShell-Befehle mit einer Beschreibung aufgelistet. Eine
vollständige Liste der verfügbaren Befehle finden Sie im eShell-Handbuch, das Sie hierherunterladen können.
Befehle im Kontext ROOT:
ABOUT
Zeigt Programminformationen an. Die Liste umfasst den Namen des installierten Produkts, die Versionsnummer,
installierte Komponenten (und die jeweilige Versionsnummer) sowie grundlegende Informationen zum Server und
dem Betriebssystem, auf dem ESET Mail Security ausgeführt wird.
KONTEXTPFAD:
root
BATCH
Startet den Batch-Modus von eShell. Dieser Modus eignet sich für die Nutzung aus Batch-Dateien/Skripten. Geben
Sie START BATCH als ersten Befehl in die Batch-Datei oder das Skript ein, um den Batch-Modus zu aktivieren. Wenn
dieser Modus aktiv ist, werden Sie nicht zu Eingaben aufgefordert (z. B. der eines Passworts) und fehlende
Argumente werden durch Standardargumente ersetzt. Auf diese Weise wird die Ausführung der Batch-Datei nicht
plötzlich gestoppt, weil eShell den Benutzer zu einer Eingabe auffordert. Stattdessen wird die Batch-Datei ohne
Unterbrechung ausgeführt (es sei denn, ein Fehler tritt auf oder die Befehle in der Batch-Datei sind nicht korrekt).
KONTEXTPFAD:
root
SYNTAX:
[start] batch
VORGÄNGE:
start - eShell im Batch-Modus starten
KONTEXTPFAD:
root
126
BEISPIELE:
start batch - Startet den Batch-Modus von eShell
GUIDE
Zeigt den Willkommensbildschirm an.
KONTEXTPFAD:
root
PASSWORD
Wenn Sie passwortgeschützte Befehle ausführen möchten, werden Sie aus Sicherheitsgründen in der Regel
aufgefordert, ein Passwort einzugeben. Dies betrifft Befehle, die zum Beispiel die Deaktivierung des Virenschutzes
zur Folge haben oder die Funktion von ESET Mail Security beeinflussen könnten. Jedes Mal, wenn ein solcher Befehl
ausgeführt werden soll, muss das Passwort eingegeben werden. Um das Passwort nicht jedes Mal selbst eingeben
zu müssen, können Sie es festlegen. eShell ruft das Passwort dann automatisch ab, wenn ein passwortgeschützter
Befehl ausgeführt werden soll. Auf diese Weise müssen Sie das Passwort nicht jedes Mal eigenhändig eingeben.
HINWEIS: Das festgelegte Passwort gilt nur für die aktuelle eShell-Sitzung im interaktiven Modus. Wenn Sie eShell
beenden, wird das festgelegte Passwort gelöscht. Für die nächste Ausführung von eShell müssen Sie das Passwort
erneut festlegen.
Das festgelegte Passwort ist auch bei der Ausführung von Batch-Dateien/Skripten von Nutzen. Hier ein Beispiel für
eine solche Batch-Datei:
eshell start batch "&" set password plain <IhrPasswort> "&" set status disabled
Dieser verkettete Befehl startet den Batch-Modus, legt das Passwort fest und deaktiviert den Schutz.
KONTEXTPFAD:
root
SYNTAX:
[get] | restore password
set password [plain <Passwort>]
VORGÄNGE:
get - Passwort anzeigen
set - Passwort festlegen oder löschen
restore - Passwort löschen
ARGUMENTE:
plain - Passwort als Parameter eingeben
password - Passwort
BEISPIELE:
set password plain <IhrPasswort> - Passwort für passwortgeschützte Befehle festlegen
restore password - Passwort löschen
BEISPIELE:
get password - Mit diesem Befehl können Sie überprüfen, ob ein Passwort konfiguriert wurde. Es werden nur
„*“ (Sternchen) angezeigt, nicht das eigentliche Passwort. Werden keine Sternchen angezeigt, so wurde auch kein
Passwort festgelegt.
set password plain <IhrPasswort> - Festgelegtes Passwort speichern
restore password - Festgelegtes Passwort löschen
STATUS
127
Zeigt den aktuellen Schutzstatus von ESET Mail Security (wie auf der Benutzeroberfläche) an.
KONTEXTPFAD:
root
SYNTAX:
[get] | restore status
set status disabled | enabled
VORGÄNGE:
get - Status des Virenschutzes anzeigen
set - Virenschutz deaktivieren/aktivieren
restore - Standardeinstellungen wiederherstellen
ARGUMENTE:
disabled - Virenschutz deaktivieren
enabled - Virenschutz aktivieren
BEISPIELE:
get status - Aktuellen Schutzstatus anzeigen
set status disabled - Schutz deaktivieren
restore status - Standard-Schutzeinstellung wiederherstellen (aktiviert)
VIRLOG
Alias für den Befehl DETECTIONS . Er eignet sich, wenn Sie sich Informationen zu erkannter eingedrungener
Schadsoftware anzeigen lassen wollen.
WARNLOG
Alias für den Befehl EVENTS . Er eignet sich, wenn Sie sich Informationen zu verschiedenen Ereignissen anzeigen
lassen wollen.
4.10 Einstellungen importieren/exportieren
Um Einstellungen von ESET Mail Security zu importieren oder zu exportieren, klicken Sie auf Einstellungen und
dann auf Einstellungen importieren/exportieren.
Für die Funktionen Import und Export wird das XML-Dateiformat verwendet. Diese Funktionen sind nützlich, wenn
Sie die aktuelle Konfiguration von ESET Mail Security für eine spätere Verwendung sichern möchten. Die
Exportfunktion bietet sich auch für Benutzer an, die ihre bevorzugte Konfiguration von ESET Mail Security auf
mehreren Systemen verwenden möchten. Um die gewünschten Einstellungen zu übernehmen, wird einfach eine
XML-Datei importiert.
128
4.11 ThreatSense.Net
Dank des ThreatSense.Net-Frühwarnsystems erhält ESET unmittelbar und fortlaufend aktuelle Informationen zu
neuer Schadsoftware. Das ThreatSense.Net-Frühwarnsystem funktioniert in zwei Richtungen, hat jedoch nur
einen Zweck: die Verbesserung des Schutzes, den wir Ihnen bieten können. Die beste Möglichkeit, neue
Bedrohungen zu erkennen, sobald sie in Erscheinung treten, besteht darin, so viele Kunden wie möglich zu
„verknüpfen“ und als Virenscouts einzusetzen. Als Benutzer haben Sie zwei Möglichkeiten:
1. Sie entscheiden sich, das ThreatSense.Net-Frühwarnsystem nicht zu aktivieren. Es steht Ihnen der volle
Funktionsumfang der Software zur Verfügung, und Sie erhalten auch in diesem Fall den besten Schutz, den wir
Ihnen bieten können.
2. Sie können das ThreatSense.Net-Frühwarnsystem so konfigurieren, dass Informationen über neue Bedrohungen
und Fundstellen von gefährlichem Code übermittelt werden. Die Informationen bleiben anonym. Verdächtige
Dateien können zur detaillierten Analyse an ESET gesendet werden. Durch die Untersuchung dieser Bedrohungen
kann ESET die Fähigkeit seiner Software zur Erkennung von Schadsoftware aktualisieren und verbessern.
Das ThreatSense.Net-Frühwarnsystem sammelt Daten über neue Bedrohungen, die auf Ihrem Computer erkannt
wurden. Dazu können auch Proben oder Kopien der Datei gehören, in der eine Bedrohung aufgetreten ist, der Pfad
zu dieser Datei, der Dateiname, Datum und Uhrzeit, der Prozess, über den die Bedrohung auf Ihrem Computer in
Erscheinung getreten ist, und Informationen zum Betriebssystem des Computers.
Obgleich es möglich ist, dass ESET auf diese Weise gelegentlich einige Informationen über Sie oder Ihren Computer
erhält (z. B. Benutzernamen in Pfadangaben), werden diese Daten für KEINEN anderen Zweck als zur Verbesserung
der unmittelbaren Reaktion auf Bedrohungen verwendet.
In der Standardeinstellung von ESET Mail Security müssen Sie das Einreichen verdächtiger Dateien zur genauen
Analyse an ESET bestätigen. Dateien mit bestimmten Erweiterungen (z. B. .doc oder .xls) sind immer von der
Übermittlung ausgeschlossen. Sie können andere Dateierweiterungen hinzufügen, wenn es bestimmte Dateitypen
gibt, die Sie oder Ihr Unternehmen nicht übermitteln möchten.
Die Einstellungen für ThreatSense.Net befinden sich in den erweiterten Einstellungen unter Tools > ThreatSense.
Net. Wählen Sie die Option ThreatSense-Frühwarnsystem aktivieren und klicken Sie dann auf Erweiterte
Einstellungen.
129
4.11.1 Verdächtige Dateien
In der Registerkarte Verdächtige Dateien können Sie konfigurieren, wie zu analysierende Dateien an ESET
gesendet werden.
Wenn Sie eine verdächtige Datei finden, können Sie sie zur Analyse an unser Virenlabor einreichen. Sollte dabei
schädlicher Code zu Tage treten, wird dieser beim nächsten Update der Signaturdatenbank berücksichtigt.
Das Einreichen von Dateien kann automatisch erfolgen. Wenn Sie dies nicht wünschen und stattdessen wissen
möchten, welche Dateien eingereicht werden, aktivieren Sie die Option Vor dem Einreichen fragen, die Sie zu
einer Bestätigung des Vorgangs auffordert.
Wenn keine Dateien gesendet werden sollen, wählen Sie die Option Nicht einreichen. Die Übermittlung
statistischer Daten wird separat konfiguriert und daher durch diese Einstellung nicht beeinflusst (siehe Abschnitt
Statistik 131 ).
Wann einreichen - Standardmäßig ist Baldmöglichst für das Einreichen verdächtiger Dateien an ESET festgelegt.
Diese Einstellung wird empfohlen, wenn eine dauerhafte Internetverbindung besteht und die verdächtigen Dateien
ohne Verzögerung übermittelt werden können. Aktiveren Sie die Option Beim nächsten Update, um verdächtige
Dateien bei der nächsten Aktualisierung an ThreatSense.Net zu übertragen.
Ausschlussfilter - Über diese Option können Sie bestimmte Dateien oder Ordner vom Senden ausschließen. Hier
können Dateien eingetragen werden, die eventuell vertrauliche Informationen enthalten, wie zum Beispiel
Textdokumente oder Tabellen. Einige typische Dateitypen sind bereits in der Standardeinstellung in die Liste
eingetragen (.doc usw.). Sie können der Ausschlussliste weitere Dateien hinzufügen.
E-Mail-Adresse - Sie können mit den verdächtigen Dateien eine E-Mail [optional] für Rückfragen angeben, wenn
zur Analyse weitere Informationen erforderlich sind. Beachten Sie, dass Sie nur dann eine Antwort von ESET
erhalten, wenn weitere Informationen von Ihnen benötigt werden.
130
4.11.2 Statistik
Das ThreatSense.Net-Frühwarnsystem sammelt anonyme Daten über neue Bedrohungen, die auf Ihrem Computer
erkannt wurden. Erfasst werden der Name der Bedrohung, Datum und Uhrzeit der Erkennung, die
Versionsnummer des ESET Security-Produkts sowie Versionsdaten und die Regionaleinstellung des
Betriebssystems. Statistikpakete werden normalerweise einmal oder zweimal täglich an ESET übermittelt.
Beispiel für ein typisches Statistikpaket:
#
#
#
#
#
#
#
#
#
utc_time=2005-04-14 07:21:28
country="Slovakia"
language="ENGLISH"
osver=5.1.2600 NT
engine=5417
components=2.50.2
moduleid=0x4e4f4d41
filesize=28368
filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1
Wann einreichen - Sie können festlegen, wann die statistischen Daten übermittelt werden sollen. Wenn Sie die
Option Baldmöglichst auswählen, werden die statistischen Daten direkt nach ihrer Erstellung gesendet. Diese
Einstellung eignet sich, wenn eine dauerhafte Internetverbindung besteht. Bei der Option Beim nächsten Update
werden die statistischen Daten gespeichert und beim nächsten Update gesammelt gesendet.
131
4.11.3 Einreichen
Hier legen Sie fest, wie verdächtige Dateien und statistische Daten an ESET gesendet werden. Wählen Sie Über
Remote Administrator Server oder direkt an ESET, wenn die Dateien und Daten auf allen verfügbaren
Übertragungswegen übermittelt werden sollen. Mit der Option Über Remote Administrator werden Dateien und
Statistiken an den Remote Administration Server gesendet, der sie zur Analyse an ESET weiterleitet. Bei Auswahl
der Option Direkt an ESET werden alle verdächtigen Dateien und statistischen Daten direkt aus dem Programm an
ESET gesendet.
Wenn Dateien vorhanden sind, die noch gesendet werden müssen, ist die Schaltfläche Jetzt einreichen aktiviert.
Klicken Sie auf diese Schaltfläche, um die Dateien und statistischen Daten direkt zu senden.
Wählen Sie die Option Erstellen von Logs aktivieren, um eine Log-Datei zu erstellen, in der alle Informationen
über das Senden von Dateien und statistischen Daten protokolliert werden.
132
4.12 Remoteverwaltung
Mit dem ESET Remote Administrator (ERA) können Sie die Sicherheitseinstellungen von Clients verwalten und sich
einen Überblick über die allgemeine Sicherheit innerhalb eines Netzwerks verschaffen. Besonders sinnvoll erweist
sich dies bei größeren Netzwerken. ERA bietet nicht nur ein höheres Maß an Sicherheit, sondern ermöglicht auch
die benutzerfreundliche Verwaltung von ESET Mail Security auf Clientcomputern.
Die Einstellungsoptionen zur Remoteverwaltung sind im Hauptprogrammfenster von ESET Mail Security zu finden.
Klicken Sie auf Einstellungen > Erweiterte Einstellungen > Allgemein > Remoteverwaltung.
Aktivieren Sie die Option Remote Administrator Server verwenden, um die Remoteverwaltung zu aktivieren.
Danach können Sie auf die im Folgenden beschriebenen weiteren Optionen zugreifen:
Intervall für Verbindungsaufnahme zum Server (Min.): Hiermit können Sie bestimmen, wie oft ESET Mail
Security eine Verbindung zum ERA Server herstellt. Bei der Einstellung 0 werden alle 5 Sekunden Daten gesendet.
Serveradresse: Die Netzwerkadresse des Servers, auf dem ERA Server installiert ist.
Anschluss: Dieses Feld enthält einen vordefinierten Port für die Verbindung mit dem Server. Es wird empfohlen,
den voreingestellten Port 2222 zu verwenden.
Remote Administrator Server erfordert Authentifizierung: Falls erforderlich können Sie hier das Passwort für
den Zugriff auf den ERA Server eingeben.
Klicken Sie auf OK, um die Änderungen zu bestätigen und die Einstellungen zu übernehmen. ESET Mail Security
verwendet diese Einstellungen für die Verbindung mit dem ERA Server.
133
4.13 Lizenzen
Im Bereich Lizenzen können Sie die Lizenzschlüssel für ESET Mail Security und andere ESET-Produkte, wie ESET Mail
Security usw., verwalten. Mit dem Kauf des Produktes erhalten Sie neben Ihren Lizenzdaten (Benutzername und
Passwort) auch diese Lizenzschlüssel. Klicken Sie auf die entsprechenden Schaltflächen, um Lizenzen hinzuzufügen
bzw. zu entfernen. Der Lizenzmanager findet sich in den erweiterten Einstellungen unter Allgemein > Lizenzen.
Beim Lizenzschlüssel handelt es sich um eine Textdatei mit Informationen zum erworbenen Produkt: Eigentümer,
Anzahl der Lizenzen und Ablaufdatum.
Im Fenster „Lizenzmanager“ kann der Inhalt eines Lizenzschlüssels geladen und angezeigt werden. Durch Klicken
auf Hinzufügen werden die in der Datei enthaltenen Informationen im Lizenzmanager angezeigt. Um
Lizenzdateien aus der Liste zu löschen, klicken Sie auf Entfernen.
Wenn ein Lizenzschlüssel abgelaufen ist und Sie die Lizenz verlängern möchten, klicken Sie auf Bestellen. Sie
werden dann an unseren Online-Shop weitergeleitet.
134
5. Glossar
5.1 Schadsoftwaretypen
Bei Schadsoftware handelt es sich um bösartige Software, die versucht, in einen Computer einzudringen und/oder
auf einem Computer Schaden anzurichten.
5.1.1 Viren
Bei einem Computervirus handelt es sich um eingedrungene Schadsoftware, die Dateien auf Ihrem Computer
beschädigt. Ihren Namen haben sie nicht umsonst mit den Viren aus der Biologie gemein. Schließlich verwenden sie
ähnliche Techniken, um sich vom einen zum anderen Computer auszubreiten.
Computerviren greifen hauptsächlich ausführbare Dateien und Dokumente an. Um sich zu vermehren, hängt sich
ein Virus mit seinem „Körper“ an das Ende einer Zieldatei. Und so funktioniert ein Computervirus: Durch Ausführung
der infizierten Datei wird der Virus aktiviert (noch bevor die eigentliche Anwendung gestartet wird) und führt seine
vordefinierte Aufgabe aus. Erst dann wird die eigentliche Anwendung gestartet. Ein Virus kann einen Computer
also nur dann infizieren, wenn der Benutzer selbst (versehentlich oder absichtlich) das bösartige Programm
ausführt oder öffnet.
Computerviren unterscheiden sich nach Art und Schweregrad der durch sie verursachten Schäden. Einige von ihnen
sind aufgrund ihrer Fähigkeit, Dateien von der Festplatte gezielt zu löschen, äußerst gefährlich. Andererseits gibt es
aber auch Viren, die keinen Schaden verursachen. Ihr einziger Zweck besteht darin, den Benutzer zu verärgern und
die technischen Fähigkeiten ihrer Urheber unter Beweis zu stellen.
Viren werden (im Vergleich zu Trojanern oder Spyware) immer seltener, da sie keinen kommerziellen Nutzen für
ihre Urheber haben. Außerdem wird der Begriff „Virus“ oft fälschlicherweise für alle Arten von Schadsoftware
verwendet. Heute setzt sich mehr und mehr der neue, treffendere Ausdruck „Malware“ (engl. bösartige Software)
durch.
Wenn Ihr Computer mit einem Virus infiziert wurde, ist es notwendig, den Originalzustand der infizierten Dateien
wiederherzustellen - das heißt, den Schadcode mithilfe eines Virenschutzprogrammes daraus zu entfernen.
Beispiele für Viren sind: OneHalf, Tenga und Yankee Doodle.
5.1.2 Würmer
Bei einem Computerwurm handelt es sich um ein Programm, das Schadcode enthält, der Hostcomputer angreift
und sich über Netzwerke verbreitet. Der grundlegende Unterschied zwischen Viren und Würmern besteht darin,
dass Würmer in der Lage sind, sich selbstständig zu vermehren und zu verbreiten. Sie sind unabhängig von
Hostdateien (oder Bootsektoren). Würmer verbreiten sich über die E-Mail-Adressen in Ihrer Kontaktliste oder
nutzen Sicherheitslücken von Anwendungen in Netzwerken.
Daher sind Würmer wesentlich funktionsfähiger als Computerviren. Aufgrund der enormen Ausdehnung des
Internets können sich Würmer innerhalb weniger Stunden und sogar Minuten über den gesamten Globus
verbreiten. Da sich Würmer unabhängig und rasant vermehren können, sind sie gefährlicher als andere Arten von
Schadsoftware.
Ein innerhalb eines Systems aktivierter Wurm kann eine Reihe von Unannehmlichkeiten verursachen: Er kann
Dateien löschen, die Systemleistung beeinträchtigen oder Programme deaktivieren. Aufgrund ihrer Beschaffenheit
können Würmer als Transportmedium für andere Arten von Schadcode fungieren.
Wurde Ihr Computer mit einem Wurm infiziert, empfiehlt es sich, alle betroffenen Dateien zu löschen, da sie
höchstwahrscheinlich Schadcode enthalten.
Zu den bekanntesten Würmern zählen: Lovsan/Blaster, Stration/Warezov, Bagle und Netsky.
135
5.1.3 Trojaner
Trojaner galten früher als eine Klasse von Schadprogrammen, die sich als nützliche Anwendungen tarnen, um den
Benutzer zur Ausführung zu verleiten. Dies gilt jedoch nur für die Trojaner von damals. Heutzutage müssen sich
Trojaner nicht mehr tarnen. Ihr einzige Absicht besteht darin, sich möglichst leicht Zugang zu einem System zu
verschaffen, um dort den gewünschten Schaden anzurichten. Der Ausdruck „Trojaner“ ist zu einem sehr
allgemeinen Begriff geworden, der jegliche Form von Schadsoftware beschreibt, die nicht einer bestimmten
Kategorie zugeordnet werden kann.
Aus diesem Grund wird die Kategorie „Trojaner“ oft in mehrere Gruppen unterteilt.
Downloader - ein bösartiges Programm zum Herunterladen von Schadsoftware aus dem Internet
Dropper - Trojaner, der auf angegriffenen Computern weitere Malware „absetzt“ („droppt“)
Backdoor - Anwendung, die Angreifern Zugriff auf ein System verschafft, um es zu kontrollieren
Keylogger - Programm, das die Tastenanschläge eines Benutzers aufzeichnet und die Informationen an Angreifer
sendet
Dialer - Dialer sind Programme, die Verbindungen zu teuren Einwahlnummern herstellen. Dass eine neue
Verbindung erstellt wurde, ist für den Benutzer nahezu unmöglich festzustellen. Dialer sind nur eine Gefahr für
Benutzer von Einwahlmodems. Diese werden allerdings nur noch selten eingesetzt.
Trojaner sind in der Regel ausführbare Dateien mit der Erweiterung EXE. Wenn auf Ihrem Computer eine Datei als
Trojaner identifiziert wird, sollte diese gelöscht werden, da sie mit hoher Wahrscheinlichkeit Schadcode enthält.
Zu den bekanntesten Trojanern zählen: NetBus, Trojandownloader, Small.ZL, Slapper
5.1.4 Rootkits
Rootkits sind bösartige Programme, die Hackern unbegrenzten und verdeckten Zugriff auf ein System verschaffen.
Nach dem Zugriff auf ein System (in der Regel unter Ausnutzung einer Sicherheitslücke) greifen Rootkits auf
Funktionen des Betriebssystems zurück, um nicht von der Virenschutz-Software erkannt zu werden: Prozesse,
Dateien und Windows-Registrierungsdaten werden versteckt. Aus diesem Grund ist es nahezu unmöglich, Rootkits
mithilfe der üblichen Prüfmethoden zu erkennen.
Rootkits können auf zwei verschiedenen Ebenen entdeckt werden:
1) Beim Zugriff auf ein System. Die Rootkits haben das System noch nicht befallen, sind also inaktiv. Die meisten
Virenschutzsysteme können Rootkits auf dieser Ebene entfernen (vorausgesetzt, dass solche Dateien auch als
infizierte Dateien erkannt werden).
2) Wenn die Rootkits sich vor den regulären Prüfmethoden verstecken. Benutzer von ESET Mail Security haben den
Vorteil der Anti-Stealth-Technologie, die auch aktive Rootkits erkennen und entfernen kann.
5.1.5 Adware
Adware ist eine Abkürzung für durch Werbung (engl. Advertising) unterstützte Software. In diese Kategorie fallen
Programme, in denen Werbung angezeigt wird. Adware-Anwendungen öffnen häufig in Webbrowsern neue PopupFenster mit Werbung oder ändern die Startseite des Browsers. Adware gehört oftmals zu Freeware-Programmen,
damit deren Entwickler auf diesem Weg die Entwicklungskosten ihrer (gewöhnlich nützlichen) Anwendungen
decken können.
Adware selbst ist nicht gefährlich - allerdings werden die Benutzer mit Werbung belästigt. Bedenklich ist Adware,
insofern sie auch dazu dienen kann, Daten zu sammeln (wie es bei Spyware der Fall ist).
Wenn Sie sich dafür entscheiden, ein Freeware-Produkt zu verwenden, sollten Sie bei der Installation besonders
aufmerksam sein. Die meisten Installationsprogramme benachrichtigen Sie über die Installation eines zusätzlichen
Adware-Programms. In vielen Fällen ist es möglich, diesen Teil der Installation abzubrechen und das Programm
ohne Adware zu installieren.
In einigen Fällen lassen sich Programme jedoch nicht ohne die Adware installieren, oder nur mit eingeschränktem
Funktionsumfang. Das bedeutet, dass Adware häufig ganz „legal“ auf das System zugreift, da sich die Benutzer
damit einverstanden erklärt haben. In diesem Fall gilt: Vorsicht ist besser als Nachsicht. Wird auf Ihrem Computer
ein Adware-Programm entdeckt, sollten Sie die Datei löschen, da sie mit hoher Wahrscheinlichkeit Schadcode
136
enthält.
5.1.6 Spyware
Der Begriff „Spyware“ fasst alle Anwendungen zusammen, die vertrauliche Informationen ohne das Einverständnis/
Wissen des Benutzers versenden. Diese Programme verwenden Überwachungsfunktionen, um verschiedene
statistische Daten zu versenden, z. B. eine Liste der besuchten Websites, E-Mail-Adressen aus dem Adressbuch des
Benutzers oder eine Auflistung von Tastatureingaben.
Die Entwickler von Spyware geben vor, auf diesem Weg die Interessen und Bedürfnisse der Benutzer erkunden zu
wollen. Ziel sei es, gezieltere Werbeangebote zu entwickeln. Das Problem dabei ist, dass nicht wirklich zwischen
nützlichen und bösartigen Anwendungen unterschieden werden kann. Niemand kann sicher sein, dass die
gesammelten Informationen nicht missbraucht werden. Die von Spyware gesammelten Daten enthalten
möglicherweise Sicherheitscodes, PINs, Kontonummern usw. Spyware wird oft im Paket mit kostenlosen
Versionen eines Programms angeboten, um so Einkünfte zu erzielen oder einen Anreiz für den Erwerb der
kommerziellen Version zu schaffen. Oft werden die Benutzer bei der Programminstallation darüber informiert, dass
Spyware eingesetzt wird, um sie damit zu einem Upgrade auf die kommerzielle, Spyware-freie Version zu bewegen.
Beispiele für bekannte Freeware-Produkte, die zusammen mit Spyware ausgeliefert werden, sind ClientAnwendungen für P2P-Netzwerke. Programme wie Spyfalcon oder Spy Sheriff gehören zur einer besonderen
Kategorie von Spyware: Getarnt als Spyware-Schutzprogramme üben sie selbst Spyware-Funktionen aus.
Wenn auf Ihrem Computer eine Datei als Spyware identifiziert wird, sollte diese gelöscht werden, da sie mit hoher
Wahrscheinlichkeit Schadcode enthält.
5.1.7 Potenziell unsichere Anwendungen
Es gibt zahlreiche seriöse Programme, die die Verwaltung miteinander vernetzter Computer vereinfachen sollen.
Wenn sie aber in die falschen Hände geraten, kann mit ihnen Schaden angerichtet werden. Mit ESET Mail Security
können solche Bedrohungen erkannt werden.
Zur Kategorie der „potenziell unsicheren Anwendungen“ zählen Programme, die zwar erwünscht sind, jedoch
potenziell gefährliche Funktionen bereitstellen. Dazu zählen beispielsweise Programme für das Fernsteuern von
Computern (Remotedesktopverbindung), Programme zum Entschlüsseln von Passwörtern und Keylogger 136
(Programme, die aufzeichnen, welche Tasten vom Benutzer gedrückt werden).
Sollten Sie feststellen, dass auf Ihrem Computer eine potenziell unsichere Anwendung vorhanden ist (die Sie nicht
selbst installiert haben), wenden Sie sich an Ihren Netzwerkadministrator oder entfernen die Anwendung.
5.1.8 Evtl. unerwünschte Anwendungen
Eventuell unerwünschte Anwendungen sind nicht unbedingt und absichtlich schädlich, sie können aber die
Leistung Ihres Computers negativ beeinflussen. Als Benutzer werden Sie normalerweise vor deren Installation zur
Bestätigung aufgefordert. Nach erfolgter Installation ändert sich das Systemverhalten (im Vergleich zum Stand vor
der Installation). Die gravierendsten Veränderungen sind:
neue Fenster werden angezeigt
versteckte Prozesse werden gestartet
Prozessor und Speicher werden stärker belastet als zuvor
Suchergebnisse ändern sich
die Anwendung kommuniziert mit Servern im Internet
137
5.2 E-Mails
Die E-Mail („elektronische Post“) ist ein modernes Kommunikationsmittel mit vielen Vorteilen. Dank ihrer
Flexibilität, Schnelligkeit und Direktheit spielte die E-Mail bei der Verbreitung des Internets in den frühen 1990er
Jahren eine entscheidende Rolle.
Doch aufgrund der Anonymität, die E-Mails und das Internet bieten, wird diese Kommunikationsform auch häufig
für illegale Aktivitäten wie das Versenden von Spam-Mails genutzt. Als „Spam“ gelten z. B. unerwünschte
Werbeangebote, Hoaxes (Falschmeldungen) und E-Mails, mit denen Schadsoftware verbreitet werden soll. Die
Belästigung und Gefährdung durch Spam wird zusätzlich dadurch gefördert, dass E-Mails praktisch kostenlos
versendet werden können und den Verfassern von Spam-Mails verschiedenste Tools und Quellen zur Verfügung
stehen, um an neue E-Mail-Adressen zu gelangen Die große Anzahl und Vielfalt, in der Spam-Mails auftreten,
erschwert die Kontrolle. Je länger Sie eine E-Mail-Adresse verwenden, desto wahrscheinlicher ist es, dass diese in
einer Spam-Datenbank erfasst wird. Einige Tipps zur Vorbeugung:
Veröffentlichen Sie Ihre E-Mail-Adresse, soweit möglich, nicht im Internet
Geben Sie Ihre E-Mail-Adresse nur an vertrauenswürdige Personen weiter
Benutzen Sie, wenn möglich, keine üblichen Aliasnamen - bei komplizierten Aliasnamen ist die
Wahrscheinlichkeit der Verfolgung niedriger
Antworten Sie nicht auf Spam-Mails, die sich in Ihrem Posteingang befinden
Seien Sie vorsichtig, wenn Sie Internetformulare ausfüllen - achten Sie insbesondere auf Optionen wie „Ja, ich
möchte per E-Mail informiert werden“.
Verwenden Sie separate E-Mail-Adressen - z. B. eine für Ihre Arbeit, eine für die Kommunikation mit Freunden
usw.
Ändern Sie Ihre E-Mail-Adresse von Zeit zu Zeit
Verwenden Sie eine Spamschutz-Lösung
5.2.1 Werbung
Werbung im Internet ist eine der am schnellsten wachsenden Formen von Werbung. Die wesentlichen Vorteile für
das Marketing liegen im geringen finanziellen Aufwand und dem hohen Grad von Direktheit. Davon abgesehen
erreichen E-Mails die Empfänger fast ohne Zeitverzögerung. In vielen Unternehmen werden E-Mail-Marketingtools
für eine effektive Kommunikation mit aktuellen und zukünftigen Kunden verwendet.
Da Sie Interesse an kommerziellen Informationen zu bestimmten Produkten haben könnten, handelt es sich dabei
um rechtmäßige Werbung. Doch vielfach werden unerwünschte Massen-E-Mails mit Werbung versendet. In
solchen Fällen ist die Grenze der E-Mail-Werbung überschritten, und diese E-Mails gelten als Spam.
Die Masse der unerwünschten E-Mails hat sich zu einem Problem entwickelt, ohne dass ein Nachlassen abzusehen
ist. Die Verfasser unerwünschter E-Mails versuchen häufig, Spam-E-Mails wie rechtmäßige Nachrichten aussehen
zu lassen.
5.2.2 Falschmeldungen (Hoaxes)
Ein Hoax ist eine Spam-Nachricht, die über das Internet verbreitet wird. Hoaxes werden im Allgemeinen per E-Mail
oder über Kommunikationstools wie ICQ oder Skype versendet. Der Inhalt der Nachricht ist meist ein Scherz oder
eine Falschmeldung.
Oft werden dabei Falschmeldungen zu angeblichen Computerviren verbreitet. Der Empfänger soll verunsichert
werden, indem ihm mitgeteilt wird, dass sich auf seinem Computer ein „nicht identifizierbarer Virus“ befindet, der
Dateien zerstört, Passwörter abruft oder andere schädliche Vorgänge verursacht.
Es kommt vor, dass ein Hoax den Empfänger auffordert, die Nachricht an seine Kontakte weiterzuleiten, wodurch
er sich verbreitet. Es gibt verschiedenste Arten von Hoaxes - Mobiltelefon-Hoaxes, Hilferufe, Angebote zu
Geldüberweisungen aus dem Ausland usw. Häufig ist es nicht möglich, die tatsächliche Absicht des Autors zu
durchschauen.
Wenn Sie eine Nachricht lesen, in der Sie aufgefordert werden, diese an alle Ihre Kontakte weiterzuleiten, so
138
handelt es sich möglicherweise um einen Hoax. Es gibt viele Internetseiten, auf denen Sie prüfen können, ob eine EMail rechtmäßig ist oder nicht. Bevor Sie eine fragliche Nachricht weiterleiten, versuchen Sie über eine
Internetsuche abzuklären, ob es sich um einen Hoax handelt.
5.2.3 Phishing
Der Begriff „Phishing“ bezeichnet eine kriminelle Vorgehensweise, die sich Techniken des Social Engineering
(Manipulation von Benutzern zur Erlangung vertraulicher Informationen) zunutze macht. Das Ziel von Phishing ist
es, an vertrauliche Daten wie Kontonummern, PIN-Codes usw. heranzukommen.
Der Zugriff auf vertrauliche Informationen wird oft durch das Versenden von E-Mails erreicht, die von einer
scheinbar vertrauenswürdigen Person bzw. von einem scheinbar seriösen Unternehmen (z. B. Finanzinstitution,
Versicherungsunternehm) stammen. Eine solche E-Mail kann sehr echt aussehen. Grafiken und Inhalte wurden
möglicherweise sogar von der Quelle entwendet, die nachgeahmt werden soll. Sie werden unter einem Vorwand
(Datenprüfung, finanzielle Transaktionen usw.) aufgefordert, persönliche Daten einzugeben, wie Ihre
Bankverbindung, Benutzernamen und Passwörter. Alle diese Daten, werden Sie denn übermittelt, können mühelos
gestohlen oder missbraucht werden.
Banken, Versicherungen und andere rechtmäßige Unternehmen fragen nie in einer E-Mail nach Benutzername und
Passwort.
5.2.4 Erkennen von Spam-Mails
Es gibt verschiedene Anzeichen, die darauf hindeuten, dass es sich bei einer fraglichen E-Mail in Ihrem Postfach um
Spam handelt. Wenn eines oder mehrere der folgenden Kriterien zutreffen, handelt es sich höchstwahrscheinlich
um eine Spam-Nachricht:
Die Adresse des Absenders steht nicht in Ihrer Kontaktliste
Ihnen wird ein größerer Geldbetrag in Aussicht gestellt, Sie sollen jedoch zunächst eine kleinere Summe zahlen
Sie werden unter einem Vorwand (Datenprüfung, finanzielle Transaktionen usw.) aufgefordert, persönliche
Daten einzugeben, wie Ihre Bankverbindung, Benutzernamen und Passwörter
Die Nachricht ist in einer anderen Sprache verfasst
Sie werden aufgefordert, ein Produkt zu erwerben, das Sie nicht bestellt haben. Falls Sie das Produkt dennoch
kaufen möchten, prüfen Sie, ob der Absender ein vertrauenswürdiger Anbieter ist (fragen Sie beim Hersteller
nach)
Einige Wörter sind falsch geschrieben, um den Spamfilter zu umgehen, z. B. „Vaigra“ statt „Viagra“ usw.
5.2.4.1 Regeln
Im Kontext von Spam-Schutz-Lösungen und E-Mail-Programmen dienen Regeln der Steuerung von E-MailFunktionen. Regeln setzen sich aus zwei logischen Teilen zusammen:
1) einer Bedingung (z. B. einer eingehenden Nachricht von einer bestimmten Adresse)
2) einer Aktion (z. B. das Löschen der Nachricht bzw. das Verschieben der Nachricht in einen angegebenen Ordner).
Je nach Virenschutzlösung gibt es unterschiedlich viele Regeln und Kombinationsmöglichkeiten. Die Regeln dienen
als Maßnahme gegen Spam (unerwünschte E-Mail-Nachrichten). Typische Beispiele sind:
1. Bedingung: Eine eingehende E-Mail-Nachricht enthält einige der Wörter, die häufig in Spam-Nachrichten
vorkommen 2. Aktion: Nachricht löschen
1. Bedingung: Eine eingehende E-Mail-Nachricht enthält einen Anhang mit der Erweiterung EXE 2. Aktion:
Anhang löschen und Nachricht dem Postfach zustellen
1. Bedingung: Der Absender einer eingehenden Nachricht ist Ihr Arbeitgeber 2. Aktion: Nachricht in den Ordner
„Arbeit“ verschieben
Wir empfehlen Ihnen, in Spam-Schutz-Programmen verschiedene Regeln miteinander zu kombinieren, um die
Verwaltung zu vereinfachen und den Spam-Schutz noch effektiver zu gestalten.
139
5.2.4.2 Bayesscher Filter
Die bayessche Filtermethode ist eine effektive Form der E-Mail-Filterung, die von fast allen Spam-Schutz-Produkten
verwendet wird. Ein solcher Filter kann unerwünschte E-Mails mit hohem Genauigkeitsgrad erkennen und für jeden
Benutzer separat konfiguriert werden.
Bayessche Filter funktionieren nach folgendem Prinzip: In der ersten Phase findet ein Lernprozess statt. Der
Benutzer kennzeichnet manuell eine ausreichende Anzahl von E-Mails als rechtmäßig oder als Spam (gewöhnlich
200/200). Der Filter analysiert beide Kategorien und lernt so zum Beispiel, dass in Spam-E-Mails häufig die Wörter
„Rolex“ oder „Viagra“ auftreten, während rechtmäßige E-Mails von Familienmitgliedern oder von Adressen in der
Kontaktliste des Benutzers gesendet werden. Sofern eine ausreichende Anzahl von Nachrichten verarbeitet wurde,
kann der bayessche Filter jede E-Mail mit einem bestimmten „Spam-Index“ versehen und so festlegen, ob sie als
Spam gilt oder nicht
Der größte Vorteil dieses Filters liegt in seiner Flexibilität. Ist ein Benutzer etwa Biologe, erhalten alle eingehenden
E-Mails in Bezug auf Biologie oder verwandte Forschungsfelder im Allgemeinen einen geringeren
Wahrscheinlichkeitsindex. Wenn eine E-Mail Wörter enthält, durch die sie normalerweise als unerwünscht
klassifiziert würde, der Absender jedoch zu den Kontakten des Benutzers gehört, wird sie als rechtmäßig
eingestuft, da sich bei Absendern aus der eigenen Kontaktliste die Gesamtwahrscheinlichkeit für Spam verringert.
5.2.4.3 Positivliste
Im Allgemeinen handelt es sich bei einer Positivliste (auch „Whitelist“) um eine Liste von Objekten oder Personen,
die akzeptiert werden oder denen eine Berechtigung eingeräumt worden ist. Der Begriff „E-Mail-Positivliste“
bezeichnet eine Liste von Kontakten, von denen der Nutzer Nachrichten erhalten möchte. Solche Positivlisten
beruhen auf Stichwörtern, nach denen E-Mail-Adressen, Domain-Namen oder IP-Adressen durchsucht werden.
Ist bei einer Positivliste der „Exklusiv-Modus“ aktiviert, werden Nachrichten von jeder anderen Adresse, Domain
oder IP-Adresse zurückgewiesen. Ist dieser Modus jedoch nicht aktiviert, werden solche Nachrichten nicht etwa
gelöscht, sondern auf andere Art und Weise geprüft.
Eine Positivliste beruht somit auf dem entgegengesetzten Prinzip einer Negativliste 140 („Blacklist“). Im Vergleich zu
Negativlisten sind Positivlisten relativ pflegeleicht. Es wird empfohlen, sowohl eine Positiv- als auch eine
Negativliste zu verwenden, damit Spam effektiver gefiltert werden kann.
5.2.4.4 Negativliste
Eine Negativliste bezeichnet im Allgemeinen eine Liste unerwünschter oder verbotener Personen oder Dinge. In der
virtuellen Welt handelt es sich um eine Technik, die das Annehmen von E-Mail-Nachrichten aller Absender erlaubt,
die nicht in einer solchen Liste stehen.
Es gibt zwei Arten von Negativlisten: Solche, die vom Benutzer in seinem Spam-Schutz-Programm eingerichtet
wurden, und professionelle, von spezialisierten Institutionen erstellte und regelmäßig aktualisierte Negativlisten,
die im Internet verfügbar sind.
Das Verwenden von Negativlisten ist eine wesentliche Technik zur erfolgreichen Spam-Filterung, allerdings sind
Negativlisten schwierig zu pflegen, da täglich neue Einträge anfallen. Für effektiven Spam-Schutz empfehlen wir
Ihnen, sowohl eine Positivliste 140 als auch eine Negativliste zu führen.
5.2.4.5 Serverseitige Kontrolle
Die serverseitige Kontrolle ist eine Technik zur Erkennung von massenweise versendeten Spam-E-Mails auf Basis
der Anzahl empfangener Nachrichten und der Reaktionen von Benutzern. Jede E-Mail-Nachricht hinterlässt einen
eindeutigen digitalen Footprint („Fußabdruck“), der sich nach dem Inhalt der Nachricht richtet. Diese eindeutige IDNummer lässt keine Rückschlüsse über den Inhalt zu. Zwei identische Nachrichten besitzen denselben Footprint,
verschiedene E-Mails auch verschiedene Footprints.
Wenn eine E-Mail als Spam eingestuft wird, wird der Footprint dieser E-Mail an den Server gesendet. Wenn der
Server weitere identische Footprints empfängt (die einer bestimmten Spam-E-Mail entsprechen), wird dieser
Footprint in einer Datenbank gespeichert. Beim Prüfen eingehender E-Mails sendet das Programm die Footprints
der E-Mails an den Server. Der Server gibt Informationen darüber zurück, welche Footprints E-Mails entsprechen,
die von Benutzern bereits als Spam eingestuft worden sind.
140

ESET Mail Security for Microsoft Exchange Server

Transcription

Similar documents

Sicherheit im Internet Themen

Interpretation der Gas-in-Öl-Analysen von Leistungstransformatoren

Full Text

Paragon II

ESET Mail Security for Microsoft Exchange Server

Messtechnik Broschüre

Wortspezifische Lesetrainingseffekte bei gleichzeitig

GWDG Nachrichten 9 / 2003

url snooper

Technologien für eine interoperable und automatisierte Vernetzung

Benutzerhandbuch

ÜB Hilfsmittel - Service für HU-Angehörige - Hu

Daniel Ostkamp Referat: IRC-Server unter Linux - WinFuture

Handbuch