跳至主要内容

反恶意软件

反恶意软件 模块通过检测受感染或可疑项目,并根据指定操作尝试清除或隔离威胁,从而保护Exchange邮件服务器免受各类恶意软件威胁(病毒、木马、间谍软件、Rootkit、广告软件等)。

反恶意软件扫描在两个层级执行:

policies_exchange_protection_antimalware_cp_48211_en.png

传输层扫描

Bitdefender终端安全工具 与邮件传输代理集成以扫描所有电子邮件流量。

默认情况下,传输层扫描处于启用状态。 Bitdefender终端安全工具 会对邮件流量进行过滤,并在邮件正文中添加文本,以便在需要时通知用户所采取的操作。

点击切换按钮以启用 反恶意软件过滤 .

要配置扫描后的通知文本,请点击 编辑注释 。在配置页面上,有以下选项可用:

  • 向扫描后的邮件添加页脚。 选中此复选框可在扫描邮件的底部添加一句话。要更改默认文本,请在下面的文本框中输入您的消息。

  • 替换文本。 对于附件已被删除或隔离的邮件,可以附加通知文件。要修改默认通知文本,请在相应的文本框中输入您的消息。

    policies_exchange_protection_antimalware_edit_notes_cp_48211_en.png

反恶意软件过滤依赖于规则。每封到达邮件服务器的邮件都会按照优先级顺序与反恶意软件过滤规则进行比对,直到匹配到一条规则为止。然后根据该规则指定的选项处理邮件。

管理过滤规则

您可以查看表中列出的所有现有规则,以及它们的优先级、状态和范围信息。规则按优先级排序,第一条规则具有最高优先级。

任何反恶意软件策略都有一个默认规则,一旦启用反恶意软件过滤,该规则就会生效。关于默认规则需要了解的事项:

  • 您无法复制、禁用或删除该规则。

  • 您只能修改扫描设置和操作。

  • 默认规则的优先级始终最低。

创建规则

您有两种创建过滤规则的方式:

  • 从默认设置开始,按照以下步骤操作:

    1. 点击 添加 表格上方的按钮以打开配置页面。

    2. 配置规则设置。有关选项的详细信息,请参阅 规则选项 .

    3. 点击 添加 该规则在表格中首先列出。

  • 通过以下步骤使用自定义规则的克隆作为模板:

    1. 从表格中选择所需规则。

    2. 点击表格上方的 克隆 按钮以打开配置页面。

    3. 根据需求调整规则选项。

    4. 点击 添加 ,该规则将在表格中优先显示。

编辑规则

编辑现有规则的方法:

  1. 点击规则名称打开配置窗口。

  2. 为需要修改的选项输入新值。

  3. 点击 保存 ,变更将在策略保存后生效。

设置规则优先级

更改规则优先级的步骤:

  1. 定位至待移动规则,点击 moreIcon.png 更多 菜单并选择 编辑优先级 .

  2. 使用箭头调整优先级顺序。

  3. 点击 exclusionsOKicon.png 确定 图标确认更改。

若要将某规则置顶,请点击对应规则的 moreIcon.png 更多 按钮并选择 移至顶部 .

删除规则

您可以一次性删除一个或多个自定义规则。操作步骤如下:

  1. 勾选待删除规则对应的复选框。

  2. 点击表格上方的 删除 按钮。规则一经删除将无法恢复。

若要删除单个规则,请点击对应 moreIcon.png 更多 菜单并选择 删除 .

规则选项

policies_exchange_protection_antimalware_rule_options_cp_48211_en.png

可配置选项如下:

  • 常规设置 在此部分必须设置规则名称(否则无法保存)。若需规则在策略保存后立即生效,请勾选 启用 复选框。

  • 规则范围 通过设置以下累加范围选项,可将规则限定仅适用于部分邮件:

    • 应用方向 选择规则适用的邮件传输方向。

    • 发件人 可设定规则适用于所有发件人或仅特定发件人。要缩小发件人范围,请点击 指定 按钮,从左表中选择所需群组。右表将显示已选群组。

    • 收件人 可设定规则适用于所有收件人或仅特定收件人。要缩小收件人范围,请点击 特定 按钮并从左侧表格中选择所需群组。您可以在右侧表格中查看已选群组。

      若任一收件人符合您的选择,则该规则生效。如需仅在所有收件人均属于所选群组时应用规则,请选择 匹配所有收件人 .

      注意

      位于 抄送 密送 字段的地址同样视为收件人。

      重要提示

      基于用户组的规则仅适用于集线传输和邮箱角色。

  • 选项 为符合规则的电子邮件配置扫描选项:

    • 扫描文件类型 使用此选项指定需扫描的文件类型。您可选择扫描所有文件(无论扩展名)、仅扫描应用程序文件、或扫描您认为危险的具体扩展名。扫描所有文件提供最佳防护,而仅扫描应用程序文件可加快扫描速度。

      注意

      应用程序文件比其他类型文件更易受恶意软件攻击。更多信息请参阅appendices.extensions.app。

      如需仅扫描特定扩展名的文件,您有两种选择:

      • 用户自定义扩展名 (需手动输入需扫描的扩展名)

      • 扫描除特定扩展名外的所有文件 (需手动输入跳过扫描的扩展名)

    • 附件/邮件正文最大尺寸(MB) 勾选此选项并在对应字段输入数值,以设置待扫描附件或邮件正文的最大允许尺寸。

    • 压缩包最大深度(层级) 勾选此选项并从对应字段选择最大压缩深度。深度值越低,性能越高但防护等级越低。

    • 扫描潜在有害程序(PUA) 勾选此选项可扫描可能未经用户同意安装的恶意或有害程序(如广告软件),这些程序可能改变软件行为并降低系统性能。

  • 操作。 您可以根据检测类型,为安全代理指定对文件自动采取的不同操作。

    检测类型将文件分为三类:

    • 受感染文件。 Bitdefender 通过多种先进机制(包括恶意软件特征码、机器学习及基于人工智能(AI)的技术)将文件判定为受感染。

    • 可疑文件。 这些文件经启发式分析和其他 Bitdefender 技术检测为可疑。此类技术具有高检测率,但用户需注意某些情况下可能出现误报(将清洁文件判定为可疑)。

    • 不可扫描文件。 这些文件无法被扫描。不可扫描文件包括但不限于受密码保护、加密或过度压缩的文件。

    每种检测类型均设有默认(主要)操作和备用操作(当主要操作失败时启用)。虽然不推荐,您仍可通过对应菜单修改这些操作。可选操作包括:

    • 修复。 将受感染文件移至隔离区,拒绝访问,并通过移除恶意代码并重建原始文件进行消毒。对于某些完全恶意的文件类型,消毒不可行。建议始终将此作为受感染文件的首选操作。可疑文件因无消毒程序支持而无法消毒。

    • 拒收/删除邮件。 在具有边缘传输角色的服务器上,检测到的邮件将以550 SMTP错误代码拒收。其他情况下邮件将被直接删除且无警告。建议避免使用此操作。

    • 删除文件。 直接删除有问题的附件且不发出警告。建议避免使用此操作。

    • 替换文件。 删除有问题的文件,并插入文本文件通知用户所执行的操作。

    • 将文件移至隔离区。 将检测到的文件移至隔离文件夹,并插入文本文件通知用户所执行的操作。隔离文件无法被执行或打开,从而消除感染风险。您可通过 隔离区 页面管理隔离文件。

      注意

      Exchange服务器的隔离功能需在安装安全代理的分区上预留额外硬盘空间。隔离区大小取决于存储项目的数量及体积。

    • 仅报告。 对检测到的文件不采取任何操作,仅将其记录在扫描日志中。默认情况下扫描任务会忽略可疑文件。您可修改默认操作以将可疑文件移至隔离区。

    • 默认情况下,当邮件匹配规则范围时,将仅按该规则处理,不再检查其他剩余规则。如需继续检查其他规则,请取消勾选此复选框 停止处理更多规则 .

创建和配置排除项

若希望特定邮件流量不被任何过滤规则检测,可定义扫描排除项。

创建排除项的步骤:

  1. 点击 添加 打开配置页面。

  2. 配置排除设置。选项详情请参阅 规则选项 .

  3. 点击 添加 ,排除项将加入列表。

Exchange存储扫描

Exchange Protection通过微软Exchange Web Services (EWS)实现邮箱和公共文件夹数据库扫描。可配置反病毒模块按指定计划定期对目标数据库执行按需扫描任务。

注意

  • 仅安装邮箱角色的Exchange Server支持按需扫描。

  • 按需扫描会增加资源消耗,根据扫描选项和对象数量,可能需较长时间完成。

policies_exchange_protection_antimalware_scan_tasks_cp_48211_en.png

按需扫描需使用Exchange管理员账户(服务账户)模拟用户身份,从用户邮箱和公共文件夹检索待扫描对象。建议为此创建专用账户。

Exchange管理员账户需满足以下要求:

  • 属于Organization Management组(Exchange 2016/2013/2010)

  • 属于Exchange Organization Administrators组(Exchange 2007)

  • 需关联邮箱。

启用按需扫描

  1. 扫描任务 区域点击 添加凭证 .

  2. 输入服务账户的用户名和密码。

  3. 若邮箱地址与用户名不同,还需提供该服务账户的邮箱地址。

  4. 输入Exchange Web Services (EWS) URL(当Exchange自动发现功能失效时必填)。

  5. 点击 添加 .

注意

  • 用户名必须包含域名,格式如 user@domain domain\user .

  • 若凭证信息变更,请务必在 控制中心 更新。

policies_exchange_protection_antimalware_add_credentials_cp_48211_en.png

管理扫描任务

扫描任务表格显示所有计划任务,并标注其目标与重复模式。

创建Exchange Store扫描任务的步骤:

  1. 扫描任务 区域,点击表格上方的 添加 按钮以打开设置界面。

  2. 按下文所述配置任务参数。

  3. 点击 添加 。任务将被加入列表,策略保存后立即生效。

点击任务名称可随时编辑任务。

要从列表中移除任务,请勾选后点击 删除 表格上方的按钮。

要编辑或删除任务,您也可以点击对应的 moreIcon.png 更多 按钮并选择相应选项。

扫描任务设置

任务包含一系列设置,具体说明如下:

  • 常规 为任务输入一个描述性名称。

    注意

    您可以在 Bitdefender终端安全工具 时间线中查看任务名称。

  • 计划程序 使用调度选项配置扫描计划。您可以设置扫描每隔几小时、几天或几周运行一次,从指定日期和时间开始。对于大型数据库,扫描任务可能需要较长时间,并可能影响服务器性能。在这种情况下,您可以配置任务在指定时间后停止。

    注意

    邮箱的反恶意软件任务是在安装有 Bitdefender终端安全工具 及Exchange安全模块的Exchange服务器上计划的。这意味着:

    • 任务计划程序是服务器本地的。

    • 所有计划的扫描时间均基于该服务器的时区进行解释。

    例如,如果您将邮箱扫描计划在凌晨03:00运行,它将按照服务器时间的凌晨03:00运行,无论邮箱所有者(最终用户)位于何处。

    Exchange服务器必须在线,任务才能按计划运行。如果错过计划时间,扫描将在下次重复时执行。

    policies_exchange_protection_antimalware_scan_tasks_options_cp_48211_en.png

  • 目标 选择要扫描的容器和对象。您可以选择扫描邮箱、公共文件夹或两者。除了电子邮件,您还可以选择扫描其他对象,如 联系人 , 任务 , 约会 邮件项目 。您还可以对要扫描的内容设置以下限制:

    • 仅未读消息

    • 仅含附件的项目

    • 仅指定时间间隔内收到的新项目

    例如,您可以选择仅扫描过去七天内从用户邮箱收到的电子邮件。

    点击切换按钮启用 排除项 .

    要创建例外,请按以下方式使用表头中的字段:

    1. 从菜单中选择存储库类型。

    2. 根据存储库类型,指定要排除的对象:

      存储库类型

      对象格式

      邮箱

      电子邮件地址

      公共文件夹

      从根目录开始的文件夹路径

      数据库

      数据库标识

      注意

      要获取数据库标识,请使用Exchange shell命令:

      Get-MailboxDatabase | fl name,identity

      每次只能输入一个项目。如果有多个同类型项目,则必须定义与项目数量相同的规则。

    3. 点击 添加 表格上方的按钮以保存排除项并将其添加到列表中。

    要从列表中删除例外规则,请点击对应的 删除 按钮。

  • 选项。 为符合规则的电子邮件配置扫描选项:

    • 扫描文件类型。 使用此选项可指定要扫描的文件类型。您可以选择扫描所有文件(无论其扩展名)、仅扫描应用程序文件,或扫描您认为危险的具体文件扩展名。扫描所有文件能提供最佳防护,而仅扫描应用程序则能加快扫描速度。

      注意

      应用程序文件比其他类型文件更易受恶意软件攻击。更多信息请参阅 应用程序文件类型 .

      若仅需扫描特定扩展名的文件,您有两种选择:

      • 用户自定义扩展名 (需手动输入待扫描的扩展名)。

      • 扫描除特定扩展名外的所有文件 (需手动输入跳过扫描的扩展名)。

    • 附件/邮件正文最大尺寸(MB)。 勾选此选项并在对应字段输入数值,可设置待扫描附件或邮件正文的最大允许尺寸。

    • 压缩包最大深度(层级)。 勾选此选项并从对应字段选择压缩包最大深度。深度值越低,性能越高但防护等级越低。

    • 扫描潜在有害程序(PUA)。 勾选此选项可扫描可能未经用户同意安装的恶意或有害程序(如广告软件),这类程序可能改变软件行为并降低系统性能。

  • 操作。 您可根据检测类型,指定安全代理对文件采取的不同自动操作。

    检测类型将文件分为三类:

    • 受感染文件。 Bitdefender 通过多种先进机制(包括恶意软件特征码、机器学习及人工智能技术)将文件判定为受感染。

    • 可疑文件。 这些文件经启发式分析及其他 Bitdefender 技术判定为可疑。此类技术检测率高,但用户需注意可能存在误报(将清洁文件判为可疑)。

    • 不可扫描文件。 这些文件无法被扫描。不可扫描的文件包括但不限于受密码保护、加密或过度压缩的文件。

    对于每种检测类型,您都有一个默认或主要操作,以及一个在主操作失败时的替代操作。虽然不推荐,但您可以从相应菜单更改这些操作。请选择要执行的操作:

    • 修复。 拒绝访问受感染对象并将其移至隔离区。随后尝试通过移除恶意代码及恶意软件创建的残留物来清除系统威胁。对于特定类型的恶意软件,由于检测到的文件完全为恶意性质,清除操作无法实现。建议始终将此作为处理受感染文件的首选操作。可疑文件无法被清除,因为不存在相应的清除程序。

    • 拒收/删除邮件。 邮件将被直接删除且不发出任何警告。建议避免使用此操作。

    • 删除文件。 直接删除存在问题的附件且不发出任何警告。建议避免使用此操作。

    • 替换文件。 删除存在问题的文件,并插入一个文本文件通知用户所执行的操作。

    • 将文件移至隔离区。 将检测到的文件移至隔离文件夹,并插入一个文本文件通知用户所执行的操作。隔离文件无法被执行或打开,因此感染风险随之消除。您可以通过 隔离区 页面管理隔离文件。

      注意

      请注意,Exchange服务器的隔离功能需要在安装安全代理的分区上额外占用硬盘空间。隔离区大小取决于存储邮件的数量及体积。

    • 仅报告。 不会对检测到的文件执行任何操作。这些文件仅会出现在扫描日志中。默认情况下扫描任务会忽略可疑文件。您可能需要更改默认操作以将可疑文件移至隔离区。

    • 默认情况下,当邮件符合规则范围时,将仅根据该规则进行处理,而不会检查其他剩余规则。若需继续检查其他规则,请取消勾选 若符合规则条件,则停止处理更多规则 .

本节内容 :