ESET Mail Security for Microsoft Exchange Server
Transcription
ESET Mail Security for Microsoft Exchange Server
ESET MAIL SECURITY FÜR MICROSOFT EXCHANGE SERVER Installations- und Benutzerhandbuch Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 Klicken Sie hier, um die neueste Version dieses Dokuments herunterzuladen ESET MAIL SECURITY Copyright ©2014 ESET, spol. s r.o. ESET Mail Security wurde entwickelt von ESET, spol. s r.o. Nähere Informationen finden Sie unter www.eset.com. Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohne schriftliche Einwilligung des Verfassers reproduziert, in einem Abrufsystem gespeichert oder in irgendeiner Form oder auf irgendeine Weise weitergegeben werden, sei es elektronisch, mechanisch, durch Fotokopien, Aufnehmen, Scannen oder auf andere Art. ESET, spol. s r.o. behält sich das Recht vor, ohne vorherige Ankündigung an jedem der hier beschriebenen Software-Produkte Änderungen vorzunehmen. Support: www.eset.com/support Versionsstand 5/2/2014 Inhalt 1. Einführung ..................................................5 1.1 Was ändert ........................................................................5 sich mit Version 4.5? 1.2 Systemanforderungen ........................................................................5 1.3 Verwendete ........................................................................6 Prüfmethoden 1.3.1 1.3.2 Postfach-Prüfung .........................................................................6 mit VSAPI E-Mail-Prüfung .........................................................................6 auf SMTP-Server 1.4 Schutzarten ........................................................................6 1.4.1 1.4.2 1.4.3 Virenschutz .........................................................................6 Spam-Schutz .........................................................................6 Anwendung .........................................................................7 benutzerdefinierter Regeln 1.5 Benutzeroberfläche ........................................................................7 2. Installation ..................................................8 2.1 Standardinstallation ........................................................................8 2.2 Benutzerdefinierte ........................................................................9 Installation 2.3 Terminalserver ........................................................................11 2.4 Auf neuere ........................................................................12 Version aktualisieren 2.5 Exchange ........................................................................13 Server-Rollen – Edge und Hub 2.6 Rollen ........................................................................13 in Exchange Server 2013 2.7 Cluster-Installation ........................................................................13 2.8 Lizenz ........................................................................15 2.9 Konfiguration ........................................................................17 nach der Installation 3. ESET Mail Security – Schutz für Microsoft Exchange Server ..................................................19 3.1 Allgemeine ........................................................................19 Einstellungen 3.1.1 3.1.1.1 3.1.1.2 3.1.2 3.1.2.1 3.1.2.2 3.1.3 3.1.4 3.1.4.1 3.1.5 Microsoft .........................................................................19 Exchange Server VSAPI (Virus-Scanning Application Programming Interface) ........................................................................19 Transport-Agent ........................................................................19 Regeln .........................................................................21 Neue ........................................................................22 Regeln hinzufügen Aktionen ........................................................................23 bei Anwendung einer Regel Log-Dateien .........................................................................24 Quarantäne .........................................................................25 für Nachrichten Hinzufügen ........................................................................26 einer neuen Quarantäne-Regel Leistung .........................................................................26 3.2 Einstellungen ........................................................................27 für Viren- und Spyware-Schutz 3.2.1 3.2.1.1 3.2.1.1.1 3.2.1.1.1.1 3.2.1.1.1.2 3.2.1.1.2 3.2.1.1.2.1 3.2.1.1.2.2 3.2.1.1.3 3.2.1.1.3.1 3.2.1.1.3.2 3.2.1.1.4 3.2.1.1.4.1 3.2.1.1.4.2 3.2.1.1.5 3.2.2 3.2.3 3.2.4 Microsoft .........................................................................27 Exchange Server Virus-Scanning Application Programming Interface ........................................................................28 (VSAPI) Microsoft ..........................................................................28 Exchange Server 5.5 (VSAPI 1.0) Aktionen .........................................................................28 Leistung .........................................................................28 Microsoft ..........................................................................28 Exchange Server 2000 (VSAPI 2.0) Aktionen .........................................................................29 Leistung .........................................................................29 Microsoft ..........................................................................30 Exchange Server 2003 (VSAPI 2.5) Aktionen .........................................................................30 Leistung .........................................................................31 Microsoft ..........................................................................31 Exchange Server 2007/2010 (VSAPI 2.6) Aktionen .........................................................................32 Leistung .........................................................................32 Transport-Agent ..........................................................................33 Aktionen .........................................................................34 Warnungen .........................................................................34 und Hinweise Automatische .........................................................................35 Ausschlüsse 3.3 Spam-Schutz ........................................................................36 3.3.1 3.3.1.1 3.3.1.2 Microsoft .........................................................................37 Exchange Server Transport-Agent ........................................................................37 POP3-Connector ........................................................................38 und Spam-Schutz 3.3.2 3.3.2.1 3.3.2.1.1 3.3.2.1.1.1 3.3.2.1.1.2 3.3.2.1.1.1 3.3.2.1.2 3.3.2.1.3 3.3.2.1.3.1 3.3.2.1.3.1 3.3.2.1.3.2 3.3.2.1.3.3 3.3.2.1.3.1 3.3.2.1.3.4 3.3.2.1.4 3.3.2.1.4.1 3.3.2.1.4.2 3.3.2.1.4.3 3.3.2.1.4.4 3.3.2.1.4.5 3.3.2.1.4.6 3.3.2.1.4.7 3.3.2.1.4.8 3.3.2.1.4.9 3.3.2.1.5 3.3.2.1.5.1 3.3.2.1.5.1 3.3.2.1.5.2 3.3.2.1.5.1 3.3.2.1.5.2 3.3.2.1.5.3 3.3.2.1.5.1 3.3.2.1.6 3.3.2.1.7 3.3.2.1.8 3.3.2.1.8.1 3.3.2.1.8.2 3.3.2.1.9 3.3.2.1.10 3.3.2.1.11 3.3.2.1.11.1 3.3.2.1.11.2 3.3.2.1.11.3 3.3.2.1.11.4 3.3.2.1.12 3.3.2.1.13 3.3.2.1.14 3.3.3 Spam-Schutz .........................................................................39 Einstellungen ........................................................................39 für Spam-Schutz Analyse ..........................................................................39 Proben .........................................................................40 SpamCompiler .........................................................................40 Liste .........................................................................40 der Cachespeicherdateien Trainingsmodus ..........................................................................40 Regeln ..........................................................................41 Regelgewichtung .........................................................................42 Regelgewichtung .........................................................................42 hinzufügen Liste .........................................................................42 heruntergeladener Regeldateien Kategoriegewichtung .........................................................................42 Kategoriegewichtung .........................................................................42 hinzufügen Liste .........................................................................42 benutzerdefinierter Regeln Filterung ..........................................................................43 Zugelassene .........................................................................43 Absender Blockierte .........................................................................43 Absender Zugelassene .........................................................................43 IP-Adressen Ignorierte .........................................................................43 IP-Adressen Blockierte .........................................................................44 IP-Adressen Zugelassene .........................................................................44 Domänen Ignorierte .........................................................................44 Domänen Blockierte .........................................................................44 Domänen Gespoofte .........................................................................44 Absender Überprüfung ..........................................................................44 RBL .........................................................................44 (Realtime Blackhole List) Liste .........................................................................45 der RBL-Server LBL .........................................................................45 (Last Blackhole List) Liste .........................................................................45 der LBL-Server Liste .........................................................................45 übersprungener IP-Adressen DNSBL .........................................................................45 (DNS Block List) Liste .........................................................................45 der DNSBL-Server DNS ..........................................................................46 Score ..........................................................................46 Spambait ..........................................................................46 Spambait-Adressen .........................................................................47 Als.........................................................................47 nicht existierend betrachtete Adressen Kommunikation ..........................................................................47 Leistung ..........................................................................47 Regionale ..........................................................................48 Einstellungen Liste .........................................................................48 der üblichen Sprachen Liste .........................................................................49 der üblichen Länder Liste .........................................................................53 der blockierten Länder Liste .........................................................................54 der blockierten Zeichensätze Log-Dateien ..........................................................................54 Statistiken ..........................................................................54 Optionen ..........................................................................54 Warnungen .........................................................................55 und Hinweise 3.4 Häufig ........................................................................55 gestellte Fragen (FAQ) 4. ESET..................................................59 Mail Security – Server-Schutz 4.1 Viren........................................................................59 und Spyware-Schutz 4.1.1 4.1.1.1 4.1.1.1.1 4.1.1.1.2 4.1.1.1.3 4.1.1.2 4.1.1.3 4.1.1.4 4.1.1.5 4.1.2 4.1.2.1 4.1.2.1.1 4.1.2.2 4.1.2.2.1 4.1.2.3 4.1.3 4.1.3.1 4.1.3.1.1 Echtzeit-Dateischutz .........................................................................59 Prüfeinstellungen ........................................................................59 Zu ..........................................................................60 prüfende Datenträger Prüfen ..........................................................................60 beim (ereignisgesteuerte Prüfung) Erweiterte ..........................................................................60 Optionen für Prüfungen Säuberungsstufen ........................................................................61 Wann sollten die Einstellungen für den Echtzeit-Dateischutz ........................................................................61 geändert werden? Echtzeit-Dateischutz ........................................................................62 prüfen Vorgehensweise bei fehlerhaftem Echtzeit-Dateischutz ........................................................................62 E-Mail-Client-Schutz .........................................................................63 POP3-Prüfung ........................................................................63 Kompatibilität ..........................................................................64 Integration ........................................................................64 mit E-Mail-Programmen E-Mail-Body ..........................................................................65 Prüfhinweise hinzufügen Eingedrungene ........................................................................65 Schadsoftware entfernen Web-Schutz .........................................................................66 HTTP, ........................................................................66 HTTPS Adressverwaltung ..........................................................................67 4.1.3.1.2 4.1.4 4.1.4.1 4.1.4.1.1 4.1.4.1.2 4.1.4.2 4.1.4.3 4.1.4.4 4.1.5 4.1.6 4.1.6.1 4.1.6.1.1 4.1.6.1.2 4.1.7 4.1.7.1 4.1.7.2 4.1.7.3 4.1.7.4 4.1.7.5 4.1.7.6 4.1.8 Aktiver ..........................................................................68 Modus On-Demand-Prüfung .........................................................................69 Prüfungstyp ........................................................................70 Standardprüfung ..........................................................................70 Prüfen ..........................................................................70 mit speziellen Einstellungen Zu prüfende ........................................................................71 Objekte Prüfprofile ........................................................................71 Kommandozeile ........................................................................72 Leistung .........................................................................74 Prüfen .........................................................................74 von Anwendungsprotokollen SSL........................................................................74 Vertrauenswürdige ..........................................................................75 Zertifikate Ausgeschlossene ..........................................................................75 Zertifikate Einstellungen .........................................................................75 für ThreatSense Einstellungen ........................................................................76 für Objekte Optionen ........................................................................76 Säubern ........................................................................78 Erweiterungen ........................................................................79 Grenzen ........................................................................79 Sonstige ........................................................................80 Eingedrungene .........................................................................80 Schadsoftware wurde erkannt 4.7.4.4 4.7.4.5 4.7.4.6 4.7.5 4.7.5.1 Internetprotokoll ........................................................................118 Bootfähiges ........................................................................118 USB-Gerät Brennen ........................................................................118 Die .........................................................................118 Arbeit mit ESET SysRescue Verwenden ........................................................................119 des ESET SysRescue-Mediums 4.8 Einstellungen ........................................................................119 für Benutzeroberfläche 4.8.1 Warnungen .........................................................................121 und Hinweise 4.8.2 Deaktivieren der Benutzeroberfläche auf Terminalserver .........................................................................122 4.9 eShell ........................................................................122 4.9.1 Verwendung .........................................................................123 4.9.2 Befehle .........................................................................126 4.10 Einstellungen ........................................................................128 importieren/exportieren 4.11 ThreatSense.Net ........................................................................129 4.11.1 4.11.2 4.11.3 Verdächtige .........................................................................130 Dateien Statistik .........................................................................131 Einreichen .........................................................................132 4.12 Remoteverwaltung ........................................................................133 4.13 Lizenzen ........................................................................134 4.2 Aktualisieren ........................................................................81 des Programms 4.2.1 Einstellungen .........................................................................83 für Updates 5. Glossar ..................................................135 4.2.1.1 Update-Profile ........................................................................84 5.1 Schadsoftwaretypen ........................................................................135 4.2.1.2 Erweiterte ........................................................................84 Einstellungen für Updates 4.2.1.2.1 Update-Modus ..........................................................................85 5.1.1 Viren .........................................................................135 4.2.1.2.2 Proxyserver ..........................................................................86 5.1.2 Würmer .........................................................................135 4.2.1.2.3 Herstellen ..........................................................................88 einer LAN-Verbindung 5.1.3 Trojaner .........................................................................136 4.2.1.2.4 Erstellen von Kopien der Update-Dateien – 5.1.4 Rootkits .........................................................................136 Update-Mirror ..........................................................................89 5.1.5 Adware .........................................................................136 4.2.1.2.4.1 Aktualisieren .........................................................................90 über Update-Mirror 5.1.6 Spyware .........................................................................137 4.2.1.2.4.2 Fehlerbehebung bei Problemen mit Updates über 5.1.7 Potenziell .........................................................................137 unsichere Anwendungen Update-Mirror .........................................................................91 5.1.8 Evtl. .........................................................................137 unerwünschte Anwendungen 4.2.2 So.........................................................................91 erstellen Sie Update-Tasks 5.2 E-Mails ........................................................................138 4.3 Taskplaner ........................................................................92 5.2.1 Werbung .........................................................................138 4.3.1 Verwendung .........................................................................92 von Tasks 5.2.2 Falschmeldungen .........................................................................138 (Hoaxes) 4.3.2 Erstellen .........................................................................93 von Tasks 5.2.3 Phishing .........................................................................139 5.2.4 Erkennen .........................................................................139 von Spam-Mails 4.4 Quarantäne ........................................................................94 5.2.4.1 Regeln ........................................................................139 4.4.1 Quarantäne .........................................................................94 für Dateien 5.2.4.2 Bayesscher ........................................................................140 Filter 4.4.2 Wiederherstellen .........................................................................95 aus Quarantäne 5.2.4.3 Positivliste ........................................................................140 4.4.3 Einreichen .........................................................................95 von Dateien aus der Quarantäne 5.2.4.4 Negativliste ........................................................................140 4.5 Log-Dateien ........................................................................96 5.2.4.5 Serverseitige ........................................................................140 Kontrolle 4.5.1 Log-Filter .........................................................................100 4.5.2 In.........................................................................101 Log suchen 4.5.3 Log-Wartung .........................................................................103 4.6 ESET ........................................................................104 SysInspector 4.6.1 4.6.1.1 4.6.2 4.6.2.1 4.6.2.2 4.6.2.2.1 4.6.2.3 4.6.3 4.6.4 4.6.4.1 4.6.4.2 4.6.4.3 4.6.5 4.6.6 Einführung .........................................................................104 in ESET SysInspector Starten ........................................................................104 von ESET SysInspector Benutzeroberfläche .........................................................................105 und Bedienung Menüs ........................................................................105 und Bedienelemente Navigation ........................................................................106 in ESET SysInspector Tastaturbefehle ..........................................................................107 Vergleichsfunktion ........................................................................109 Kommandozeilenparameter .........................................................................110 Dienste-Skript .........................................................................110 Erstellen ........................................................................110 eines Dienste-Skripts Aufbau ........................................................................111 des Dienste-Skripts Ausführen ........................................................................113 von Dienste-Skripten Häufige .........................................................................113 Fragen (FAQ) ESET .........................................................................115 SysInspector als Teil von ESET Mail Security 4.7 ESET ........................................................................115 SysRescue 4.7.1 4.7.2 4.7.3 4.7.4 4.7.4.1 4.7.4.2 4.7.4.3 Minimalanforderungen .........................................................................115 Erstellen .........................................................................116 der Rettungs-CD Zielauswahl .........................................................................116 Einstellungen .........................................................................116 Ordner ........................................................................117 ESET ........................................................................117 Antivirus Erweiterte ........................................................................117 Einstellungen 1. Einführung ESET Mail Security 4 für Microsoft Exchange Server ist eine integrierte Lösung, die Ihre Postfächer vor Schadsoftware schützt, darunter mit Würmern oder Trojanern infizierte E-Mail-Anlagen, mit bösartigen Skripten versehene Dokumente sowie Phishing-Mails und Spam. ESET Mail Security verfügt über drei Schutzarten: Virenschutz, Spam-Schutz und die Anwendung benutzerdefinierter Regeln. ESET Mail Security erkennt Schadsoftware auf dem E-Mail-Server, d. h. sie erreicht nicht den Posteingang des E-Mail-Empfängers. ESET Mail Security unterstützt Microsoft Exchange Server ab Version 2000 und Microsoft Exchange Server in einer Cluster-Umgebung. In neueren Versionen (ab Microsoft Exchange Server 2007) werden auch bestimmte Rollen unterstützt (Postfach, Hub, Edge). Mithilfe von ESET Remote Administrator können Sie ESET Mail Security in größeren Netzwerken zentral verwalten. Neben dem Schutz von Microsoft Exchange Server bietet ESET Mail Security auch Möglichkeiten, den Server selbst zu schützen (Hintergrundwächter, Web-Schutz, E-Mail-Client-Schutz und Spam-Schutz). 1.1 Was ändert sich mit Version 4.5? Gegenüber ESET Mail Security Version 4.3 verfügt Version 4.5 über die folgenden Neuerungen und Verbesserungen: Die Einstellungen für den Spam-Schutz sind nun über die grafische Benutzeroberfläche verfügbar, sodass Administratoren bequem und einfach Änderungen vornehmen können. Unterstützung für Microsoft Exchange Server 2013 Unterstützung für Microsoft Windows Server 2012 / 2012 R2 1.2 Systemanforderungen Unterstützte Betriebssysteme: Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 und x64) Microsoft Windows Server 2008 (x86 und x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) Unterstützte Versionen von Microsoft Exchange Server: Microsoft Exchange Server 2000 SP1, SP2, SP3 Microsoft Exchange Server 2003 SP1, SP2 Microsoft Exchange Server 2007 SP1, SP2, SP3 Microsoft Exchange Server 2010 SP1, SP2, SP3 Microsoft Exchange Server 2013 Die Hardware-Anforderungen sind abhängig von den verwendeten Versionen von Microsoft Exchange Server und des Betriebssystems. Beachten Sie die weiteren Informationen zu Hardware-Anforderungen in der Produktdokumentation zu Microsoft Exchange Server. 5 1.3 Verwendete Prüfmethoden Für die Prüfung von E-Mails werden zwei unabhängige Methoden verwendet: Postfach-Prüfung mit VSAPI 6 E-Mail-Prüfung auf SMTP-Server 6 1.3.1 Postfach-Prüfung mit VSAPI Die Postfach-Prüfung wird vom Microsoft Exchange Server ausgelöst und gesteuert. E-Mails in der Datenbank von Microsoft Exchange Server werden ständig geprüft. Je nach Ihren benutzerdefinierten Einstellungen und je nachdem, welche Versionen von Microsoft Exchange Server und der VSAPI-Schnittstelle Sie verwenden, wird die Prüfung in den folgenden Situationen ausgelöst: Beim Zugriff des Benutzers auf seine E-Mails, z. B. in einem E-Mail-Programm (E-Mails werden immer mit der neuesten Version der Signaturdatenbank geprüft) Im Hintergrund, wenn Microsoft Exchange Server nicht ausgelastet ist Proaktiv (abhängig vom internen Algorithmus von Microsoft Exchange Server) Derzeit wird die VSAPI-Schnittstelle für den Virenschutz und den regelbasierten Schutz verwendet. 1.3.2 E-Mail-Prüfung auf SMTP-Server Die Prüfung auf dem SMTP-Server wird mit einem speziellen Plug-In durchgeführt. Bei Microsoft Exchange Server 2000 und 2003 ist das entsprechende Plug-In (Ereignissenke) als Teil der Internetinformationsdienste (IIS) auf dem SMTP-Server registriert. Bei Microsoft Exchange Server 2007/2010 ist das Plug-In als Transport-Agent in den Rollen Edge oder Hub von Microsoft Exchange Server registriert. Die Prüfung durch einen Transport-Agenten auf dem SMTP-Server bietet Viren- und Spam-Schutz sowie die Möglichkeit, benutzerdefinierte Regeln zu erstellen. Im Gegensatz zur VSAPI-Prüfung findet die Prüfung auf dem SMTP-Server statt, noch bevor die geprüften E-Mails das Postfach von Microsoft Exchange Server erreichen. 1.4 Schutzarten Es gibt drei Schutzarten: 1.4.1 Virenschutz Zu den grundlegenden Funktionen von ESET Mail Security gehört der Virenschutz. Virenschutzlösungen bieten durch Überwachung der Daten-, E-Mail- und Internet-Kommunikation Schutz vor bösartigen Systemangriffen. Wird eine Bedrohung durch Schadcode erkannt, kann das Virenschutz-Modul den Code unschädlich machen, indem es die Ausführung des Codes blockiert und dann den Code entfernt bzw. die Datei löscht oder in die Quarantäne 94 verschiebt. 1.4.2 Spam-Schutz Um E-Mail-Bedrohungen höchstwirksam erkennen zu können, arbeiten Spamschutzlösungen mit verschiedenen Technologien (RBL, DNSBL, Fingerprint-Datenbanken, Reputations-Prüfung, Inhaltsanalyse, Bayesscher Filter, Regeln, manuell geführte Whitelists/Blacklists usw.). Das Spamschutz-Modul berechnet die Gesamtwahrscheinlichkeit, dass es sich bei der geprüften E-Mail um Spam handelt, und gibt sie in Prozent aus (Wert zwischen 0 und 100). Die Greylisting-Methode (standardmäßig deaktiviert) ist eine weitere Komponente des Spamschutzmoduls. Diese Methode basiert auf der Spezifikation RFC 821, wonach aufgrund der prinzipiellen Unzuverlässigkeit des Sendeprotokolls SMTP jeder MTA (Message Transfer Agent) nach einem temporären Fehler beim Versenden der EMail wiederholte Zustellversuche unternehmen sollte. Eine erhebliche Anzahl von Spam-E-Mails wird nur einmal (durch spezielle Tools) an automatisch erstellte Empfängerlisten zugestellt. Wendet ein Server Greylisting an, errechnet er einen Kontrollwert (Hashwert) aus der E-Mail-Adresse des Absenders, der E-Mail-Adresse des Empfängers und der IP-Adresse des absendenden MTA. Findet der Server den aus diesen drei Komponenten errechneten Kontrollwert nicht in seiner Datenbank auf, verweigert er die Annahme der E-Mail und meldet einen temporären Fehler (z. B. 451). Ein rechtmäßiger Server unternimmt nach einer einstellbaren Zeitspanne einen 6 erneuten Zustellversuch. Beim zweiten Versuch wird der Kontrollwert aus den drei Komponenten in einer Datenbank für geprüfte E-Mail-Adressen gespeichert, sodass ab dann E-Mails mit den entsprechenden Merkmalen zugestellt werden können. 1.4.3 Anwendung benutzerdefinierter Regeln Sowohl die VSAPI-Prüfung als auch die Prüfung mit einem Transport-Agenten bietet Schutz auf Basis benutzerdefinierter Regeln. Mit der ESET Mail Security-Benutzeroberfläche können Sie individuelle Regeln erstellen und auch kombinieren. Wenn eine Regel mehrere Bedingungen enthält, werden diese durch ein logisches UND verknüpft. Dementsprechend wird die Regel nur ausgeführt, wenn alle Bedingungen erfüllt sind. Wenn mehrere Regeln erstellt werden, wird ein logisches ODER verwendet, d. h., das Programm führt die erste Regel aus, deren Bedingungen erfüllt sind. Bei der Prüfung wird zuerst die Greylisting-Technik angewendet, sofern sie aktiviert ist. Anschließend werden die folgenden Techniken angewendet: die Prüfung nach benutzerdefinierten Regeln, dann eine Virenprüfung und schließlich eine Spam-Prüfung. 1.5 Benutzeroberfläche Die intuitive Benutzeroberfläche von ESET Mail Security ist auf hohe Benutzerfreundlichkeit ausgelegt. Sie ermöglicht dem Benutzer schnell und unkompliziert Zugang zu den Hauptfunktionen des Programms. Zusätzlich zur allgemeinen Benutzeroberfläche gibt es den Menüpunkt Erweiterte Einstellungen, dessen Fenster Sie an jeder Stelle im Programm mit der Taste F5 öffnen können. Durch Drücken von F5 öffnet sich das Dialogfenster mit einer Liste der konfigurierbaren Programmfunktionen. Über dieses Fenster können Sie persönliche Einstellungen vornehmen und Funktionen konfigurieren. Die Baumstruktur zeigt zwei Bereiche: Server-Schutz und Computer-Schutz. Im Bereich Server-Schutz kann ESET Mail Security für die Nutzung mit Microsoft Exchange konfiguriert werden. Der Bereich Computer-Schutz bietet Konfigurationsoptionen für den Schutz des Servercomputers selbst. 7 2. Installation Nach dem Kauf von ESET Mail Security können Sie das Installationsprogramm von der ESET-Website (www.eset. com) als .msi-Dateipaket herunterladen. Hinweis: Das Installationsprogramm muss unter dem integrierten Administratorkonto ausgeführt werden. Andere Benutzer haben nicht die erforderlichen Zugriffsrechte (auch dann nicht, wenn sie der Gruppe „Administratoren“ angehören). Verwenden Sie also immer das integrierte Administratorkonto Administrator, da die Installation ansonsten nicht abgeschlossen werden kann. Zum Starten des Installationsprogramms gibt es zwei Möglichkeiten: Sie können sich lokal mit dem Konto „Administrator“ anmelden und das Installationsprogramm dann einfach wie gewohnt starten. Wenn Sie mit einem anderen Konto angemeldet sind, öffnen Sie über den Befehl Ausführen als eine Kommandozeilensitzung (cmd) unter der Identität des Benutzers „Administrator“. Geben Sie dann den Befehl zum Ausführen des Installationsprogramms wie z. B. msiexec /i emsx_nt64_ENU.msi ein. Ersetzen Sie dabei emsx_nt64_ENU.msi durch den Dateinamen des heruntergeladenen MSI-Installationspakets. Starten Sie das Installationsprogramm. Der Installationsassistent unterstützt Sie bei der Installation. Es stehen zwei Installationsmodi zur Verfügung, die unterschiedlich viele Einstellungsmöglichkeiten bieten: 1. Standardinstallation 2. Benutzerdefinierte Installation HINWEIS: Wenn möglich, wird die Installation von ESET Mail Security auf einem neu installierten und konfigurierten Betriebssystem dringend empfohlen. Wenn Sie die Installation jedoch auf einem bereits vorhandenen System vornehmen müssen, ist am ratsamsten, die alte Version von ESET Mail Security zu deinstallieren, den Server neu zu starten und danach die neue Version von ESET Mail Security zu installieren. 2.1 Standardinstallation Verwenden Sie den Modus „Standardinstallation“, wenn Sie ESET Mail Security schnell, aber dafür nur mit den grundlegendsten Konfigurationsmöglichkeiten installieren möchten. Die Standardinstallation wird empfohlen, wenn Sie noch keine speziellen Anforderungen an die Konfiguration haben. Nach der Installation von ESET Mail Security können Sie jederzeit die Programmoptionen und -einstellungen modifizieren. Im Benutzerhandbuch sind diese Einstellungen und Funktionen ausführlich beschrieben. Die in der Standardinstallation vorgegebenen Einstellungen bieten sehr gute Sicherheit in Verbindung mit hoher Benutzerfreundlichkeit und Systemleistung. Wenn Sie den Installationsmodus ausgewählt und auf „Weiter“ geklickt haben, werden Sie aufgefordert, Ihre Lizenzdaten (Benutzername und Passwort) einzugeben. Dies ist erforderlich, damit ein kontinuierlicher Schutz des Systems gewährleistet werden kann, denn Ihre Lizenzdaten ermöglichen automatische Updates 81 der Signaturdatenbank. 8 Geben Sie in den entsprechenden Feldern Ihren Benutzernamen und Ihr Passwort ein, die Sie beim Kauf oder bei der Registrierung des Produkts erhalten haben. Stehen Ihnen die Lizenzdaten derzeit nicht zur Verfügung, können Sie sie zu einem späteren Zeitpunkt direkt im Programm eingeben. Fügen Sie im nächsten Schritt - Lizenzmanager - die Lizenzdatei hinzu, die Sie per E-Mail nach dem Kauf des Produktes erhalten haben. Als Nächstes folgt die Konfiguration des ThreatSense.Net-Frühwarnsystems. Über das ThreatSense.NetFrühwarnsystem erhält ESET unmittelbar und fortlaufend aktuelle Informationen zu neuer Schadsoftware, um dem Benutzer umfassenden Schutz zu bieten. Das Frühwarnsystem übermittelt neue Bedrohungen an das ESETVirenlabor, wo die entsprechenden Dateien analysiert, bearbeitet und zur Signaturdatenbank hinzugefügt werden. Die Option ThreatSense.Net-Frühwarnsystem aktivieren ist standardmäßig aktiviert. Klicken Sie auf Erweiterte Einstellungen, um Einstellungen für das Einsenden verdächtiger Dateien festzulegen. Im nächsten Schritt der Installation wird die Einstellung Prüfen auf „Evtl. unerwünschte Anwendungen“ konfiguriert. Bei eventuell unerwünschten Anwendungen handelt es sich um Programme, die zwar nicht unbedingt Sicherheitsrisiken in sich bergen, jedoch negative Auswirkungen auf das Verhalten Ihres Computers haben können. Weitere Informationen finden Sie im Kapitel Eventuell unerwünschte Anwendungen 137 . Diese Anwendungen sind oft mit anderen Programmen gebündelt und daher während des Installationsvorgangs schwer erkennbar. Obwohl bei solchen Anwendungen während der Installation gewöhnlich eine Benachrichtigung angezeigt wird, können sie auch leicht ohne Ihre Zustimmung installiert werden. Aktivieren Sie die Option Prüfen auf „Evtl. unerwünschte Anwendungen“ aktivieren, um die Prüfung dieser Art von Anwendung durch ESET Mail Security zuzulassen. Wenn Sie diese Funktion nicht nutzen möchten, wählen Sie die Option Prüfen auf „Evtl. unerwünschte Anwendungen“ deaktivieren. Der letzte Schritt im Standard-Installationsmodus ist die Bestätigung der Installation. Klicken Sie dazu auf die Schaltfläche Installieren. 2.2 Benutzerdefinierte Installation Die benutzerdefinierte Installation eignet sich für Benutzer, die ESET Mail Security während der Installation konfigurieren möchten. Wenn Sie den Installationsmodus ausgewählt und auf Weiter geklickt haben, werden Sie dazu aufgefordert, einen Speicherort für die Installation auszuwählen. Standardmäßig schlägt das Programm den Speicherort C: \Programme\ESET\ESET Mail Security vor. Klicken Sie auf Durchsuchen, um diesen Speicherort zu ändern (nicht empfohlen). Geben Sie dann Ihren Benutzernamen und Ihr Passwort ein. Dieser Schritt ist derselbe wie bei der Standardinstallation 8 . Fügen Sie im nächsten Schritt - Lizenzmanager - die Lizenzdatei hinzu, die Sie per E-Mail nach dem Kauf des Produktes erhalten haben. 9 Nachdem Sie Ihre Lizenzdaten eingegeben haben, klicken Sie auf Weiter, um zur Option Einstellungen für Internetverbindung festlegen zu gelangen. Wenn Sie einen Proxyserver verwenden, muss dieser richtig eingestellt sein, damit die Signaturdatenbank ordnungsgemäß aktualisiert werden kann. Wenn der Proxyserver automatisch konfiguriert werden soll, aktivieren Sie die Standardeinstellung Mir ist nicht bekannt, ob meine Internetverbindung einen Proxyserver verwendet. Internet Explorer-Einstellungen verwenden (empfohlen) und klicken Sie auf Weiter. Wenn Sie keinen Proxyserver verwenden, aktivieren Sie die Option Keinen Proxyserver verwenden. Wenn Sie es vorziehen, die Daten des Proxyservers selbst einzutragen, können Sie den Proxyserver auch manuell einrichten. Um die Einstellungen für Ihren Proxyserver zu konfigurieren, wählen Sie Ich nutze einen Proxyserver und klicken Sie auf Weiter. Geben Sie unter Adresse die IP-Adresse oder URL des Proxyservers ein. Im Feld Port können Sie den Port angeben, über den Verbindungen auf dem Proxyserver eingehen (standardmäßig 3128). Falls für den Proxyserver Zugangsdaten zur Authentifizierung erforderlich sind, geben Sie einen gültigen Benutzernamen und das Passwort ein. Die Einstellungen für den Proxyserver können auch aus Internet Explorer kopiert werden, falls gewünscht. Sobald Sie die Daten des Proxyservers eingegeben haben, klicken Sie auf Übernehmen und bestätigen Sie die Auswahl. Klicken Sie auf Weiter, um zu der Option Einstellungen für automatische Updates bearbeiten zu gelangen. In diesem Schritt der Installation können Sie festlegen, wie Ihr System mit automatischen Updates für Programmkomponenten verfahren soll. Klicken Sie auf Ändern, um erweiterte Einstellungen vorzunehmen. Wenn Sie nicht möchten, dass Programmkomponenten aktualisiert werden, wählen Sie Niemals ausführen. Aktivieren Sie die Option Vor dem Herunterladen Benutzer fragen, so wird vor dem Herunterladen von 10 Programmkomponenten ein Bestätigungsfenster angezeigt. Um Programmkomponenten automatisch zu aktualisieren, wählen Sie Immer ausführen. HINWEIS: Nach der Aktualisierung von Programmkomponenten muss der Computer üblicherweise neu gestartet werden. Wir empfehlen, die Option Kein Neustart zu aktivieren. Beim nächsten Neustart des Servers (egal, ob er geplant 92 ist oder manuell bzw. anderweitig ausgeführt wird) treten die neuesten Updates dann in Kraft. Wenn Sie daran erinnert werden wollen, Ihren Server nach jedem Update neu zu starten, können Sie die Option Benutzer fragen wählen. Mit dieser Option können Sie den Server sofort neu starten oder den Neustart auf einen späteren Zeitpunkt verschieben. Im nächsten Installationsfenster haben Sie die Möglichkeit, die Einstellungen des Programms mit einem Passwort zu schützen. Aktivieren Sie die Option Einstellungen mit Passwort schützen und geben Sie das gewählte Passwort in die Felder Neues Passwort und Neues Passwort bestätigen ein. Die nächsten beiden Installationsschritte - ThreatSense.Net-Frühwarnsystem und Prüfen auf „Evtl. unerwünschte Anwendungen“ - sind identisch mit denen für die Standardinstallation 8 . Klicken Sie im Fenster Bereit zur Installation auf Installieren, um die Installation abzuschließen. 2.3 Terminalserver Wenn Sie ESET Mail Security auf einem Windows-Server installiert haben, der als Terminalserver eingerichtet ist, empfehlen wir Ihnen, die grafische Benutzeroberfläche von ESET Mail Security zu deaktivieren, da diese sonst bei jeder Anmeldung eines Benutzers gestartet wird. Nähere Informationen hierzu finden Sie im Abschnitt Deaktivieren der Benutzeroberfläche auf Terminalserver 122 . 11 2.4 Auf neuere Version aktualisieren Neuere Versionen von ESET Mail Security werden veröffentlicht, um Verbesserungen oder Patches bereitzustellen, die nicht über automatische Updates der Programmmodule implementiert werden können. Zum Aufrüsten auf die neueste Version von ESET Mail Security stehen zwei Methoden zur Verfügung: 1. Automatisches Upgrade durch ein Update für Programmkomponenten Da Updates für Programmkomponenten an alle Benutzer des Programms ausgegeben werden und Auswirkungen auf bestimmte Systemkonfigurationen haben können, werden sie erst nach einer langen Testphase veröffentlicht. Auf diese Weise soll sichergestellt werden, dass die Aufrüstung in allen möglichen Konfigurationen des Systems reibungslos verläuft. 2. Manuell, zum Beispiel, wenn Sie sofort nach der Veröffentlichung eines Upgrades auf die neuere Version aufrüsten müssen, oder wenn Sie auf eine höhere Generation von ESET Mail Security aufrüsten (beispielsweise von Version 4.2 oder 4.3 auf Version 4.5). Eine manuelle Aufrüstung auf eine neuere Version kann entweder über die vorhandene Installation (die neueste Version wird über die vorhandene Version installiert) oder über eine saubere Installation (die vorige Version wird zuerst deinstalliert, bevor die neue Version installiert wird) ausgeführt werden. So führen Sie eine manuelle Aufrüstung aus: 1. Über eine vorhandene Installation: Installieren Sie die neueste Version über die vorhandene Version von ESET Mail Security, indem Sie die im Kapitel Installation 8 genannten Schritte befolgen. Alle vorhandenen Einstellungen (auch die Einstellungen des Spam-Schutzes) werden während der Installation automatisch in die neue Version übernommen. 2. Saubere Installation: a) Exportieren Sie Ihre Konfiguration/Einstellungen in eine XML-Datei. Nutzen Sie hierzu die Funktion Einstellungen importieren/exportieren 128 . b) Öffnen Sie diese XML-Datei in einem dedizierten XML-Editor, der dieses Format unterstützt (z. B. WordPad oder Nodepad++), und ändern Sie die „SECTION ID“-Nummer in der dritten Zeile zu „1000404“: <SECTION ID="1000404"> c) Laden Sie das EMSX AntispamSettingsExport-Tool aus diesem Knowledgebase-Artikel herunter. Speichern Sie EMSX_AntispamSettingsExport.exe auf dem Exchange Server, den Sie auf die neueste Version von ESET Mail Security aufrüsten. d) Führen Sie das EMSX_AntispamSettingsExport.exe -Tool aus. Das Tool erstellt die Datei cfg.xml mit den Einstellungen des Spam-Schutzes Ihrer vorhandenen Installation von ESET Mail Security. e) Laden Sie das MSI-Installationsprogramm für die neueste Version von ESET Mail Security herunter. f) Kopieren Sie die vom EMSX AntispamSettingsExport-Tool erstellte Datei cfg.xml an den gleichen Speicherort, an dem Sie auch die MSI-Installationsdatei für ESET Mail Security gespeichert haben (z. B. emsx_nt64_ENU.msi). g) Deinstallieren Sie die vorhandene Version von ESET Mail Security. h) Führen Sie das MSI-Installationsprogramm für ESET Mail Security 4.5 aus. Die in die Datei cfg.xml exportierten Einstellungen des Spam-Schutzes werden automatisch in die neue Version importiert. i) Importieren Sie nach Abschluss der Installation die Konfiguration/Einstellungen aus der XML-Datei, die Sie in den Schritten a) und b) gespeichert und geändert haben. Verwenden Sie hierzu die Funktion Einstellungen importieren und exportieren 128 und einen XML-Editor. So können Sie die vorigen Konfigurationseinstellungen in die neue Version von ESET Mail Security übernehmen. Nach dem Ausführen der oben genannten Schritte ist die neue Version von ESET Mail Security mit Ihrer vorigen, benutzerdefinierten Konfiguration auf Ihrem System installiert. Weitere Informationen zum Aufrüstungsvorgang finden Sie in diesem Knowledgebase-Artikel. HINWEIS: Beide Arten der manuellen Aufrüstung (über eine vorhandene Installation bzw. anhand einer sauberen Installation) sind nur für eine Aufrüstung von ESET Mail Security Version 4.2 oder 4.3 auf ESET Mail Security Version 4.5 anwendbar. 12 2.5 Exchange Server-Rollen – Edge und Hub Standardmäßig sind die Spamschutzfunktionen bei einem Edge-Transport-Server aktiviert und bei einem HubTransport-Server deaktiviert. In einer Exchange-Organisation mit einem Edge-Transport-Server ist dies die gewünschte Konfiguration. Wir empfehlen, den Spam-Schutz von ESET Mail Security auf dem Edge-TransportServer so zu konfigurieren, dass die Nachrichten vor der Weiterleitung an die Exchange-Organisation gefiltert werden. Vorzugsweise sollte die Spamschutzprüfung auf dem Edge-Server ausgeführt werden, weil ESET Mail Security so Spam-Nachrichten früher zurückweisen kann. Dies verhindert eine unnötige Last auf den Vermittlungsschichten. Bei dieser Konfiguration werden eingehende Nachrichten von ESET Mail Security auf dem Edge-Transport-Server gefiltert, sodass sie sicher an den Hub-Transport-Server übermittelt werden können, ohne dass eine weitere Filterung erforderlich ist. Wenn in Ihrer Organisation kein Edge-Transport-Server, sondern nur ein Hub-Transport-Server verwendet wird, sollten Sie die Spamschutzfunktionen auf dem Hub-Transport-Server aktivieren, der die eingehenden Nachrichten über SMTP aus dem Internet empfängt. 2.6 Rollen in Exchange Server 2013 Die Architektur von Exchange Server 2013 unterscheidet sich von anderen Versionen von Microsoft Exchange. In Exchange 2013 gibt es nur zwei Serverrollen: Clientzugriffsserver und Postfachserver. Wenn Sie Microsoft Exchange 2013 mit ESET Mail Security schützen möchten, installieren Sie ESET Mail Security auf einem Microsoft Exchange 2013-Server mit Postfachserverrolle. Die Clientzugriffsserverrolle wird von ESET Mail Security nicht unterstützt. Eine Ausnahme trifft bei der Installation von ESET Mail Security auf Windows SBS (Small Business Server) zu. Bei Windows SBS werden alle Exchange-Rollen auf dem gleichen Server ausgeführt. ESET Mail Security wird daher ordnungsgemäß ausgeführt und bietet alle Schutztypen, auch die in Bezug auf den E-Mail-Server. Wenn Sie ESET Mail Security jedoch auf einem System installieren, auf dem nur die Clientzugriffsserverrolle ausgeführt wird (dedizierter CAS-Server), funktionieren die wichtigsten Funktionen von ESET Mail Security nicht, besonders die Funktionen in Bezug auf den E-Mail-Server. In diesem Fall funktionieren nur der Echtzeit-Dateischutz und bestimmte Komponenten, die Bestandteil der Funktion Computerschutz 59 sind. Ein E-Mail-Server-Schutz ist in diesem Fall nicht verfügbar. Aus diesem Grund sollte ESET Mail Security nicht auf einem Server mit Clientzugriffsserverrolle installiert werden. Wie oben erläutert trifft dies nicht auf Windows SBS (Small Business Server) zu. HINWEIS: Aufgrund bestimmter technischer Einschränkungen in Microsoft Exchange 2013 unterstützt ESET Mail Security nicht die Clientzugriffsserverrolle (CAS). 2.7 Cluster-Installation Ein Cluster ist eine Gruppe von Servern, die zusammen einen einzigen Server bilden. Ein mit dem Cluster verbundener Server heißt „Knoten“. Diese Art der Umgebung bietet hohe Verfügbarkeit und Zuverlässigkeit für die bereitgestellten Dienste. Wenn einer der Knoten in einem Cluster ausfällt oder kein Zugriff mehr möglich ist, übernimmt automatisch ein anderer Knoten im Cluster seine Aufgaben. ESET Mail Security unterstützt Microsoft Exchange Server-Cluster in vollem Umfang. Für den ordnungsgemäßen Betrieb von ESET Mail Security, muss jeder Knoten in einem Cluster gleich konfiguriert sein. Dies gelingt beispielsweise mit einer ESET Remote AdministratorPolicy (ERA-Policy). In den nachfolgenden Kapiteln wird beschrieben, wie ESET Mail Security mithilfe von ERA auf Servern in einem Cluster installiert und konfiguriert wird. Installation In diesem Kapitel wird die Push-Installation beschrieben, die allerdings nicht die einzige Installationsmethode auf dem Zielcomputer ist. Weitere Informationen zu zusätzlichen Installationsmethoden finden Sie im ESET Remote Administrator-Benutzerhandbuch. 1. Laden Sie das msi-Installationspaket für ESET Mail Security von der ESET-Website auf den Computer herunter, auf dem ERA installiert ist. Klicken Sie in ERA auf der Registerkarte > Remoteinstallation > Computer mit der rechten Maustaste auf einen der aufgelisteten Computer und wählen Sie aus dem Kontextmenü Pakete verwalten. Wählen Sie aus der Liste Typ die Option Paket mit ESET Security-Produkt und klicken Sie auf Hinzufügen. Suchen 13 Sie unter Quelle das heruntergeladene ESET Mail Security-Installationspaket und klicken Sie auf Erstellen. 2. Klicken Sie unter Konfiguration für dieses Paket bearbeiten/auswählen auf Bearbeiten und konfigurieren Sie die Einstellungen von ESET Mail Security nach Ihren Bedürfnissen. ESET Mail Security-Einstellungsoptionen befinden sich in den folgenden Bereichen: ESET Smart Security, ESET NOD32 Antivirus > E-Mail-Server-Schutz und E-Mail-Server-Schutz für Microsoft Exchange Server. Sie können außerdem die Parameter anderer ESET Mail Security-Module konfigurieren (Updates, Prüfen des Computers usw.). Es empfiehlt sich, die konfigurierten Einstellungen in eine XML-Datei zu exportieren, die Sie später z. B. beim Erstellen eines Installationspakets oder beim Anwenden eines Konfigurationstasks oder einer Policy verwenden können. 3. Klicken Sie auf Schließen. Wählen Sie im nächsten Dialogfenster (Möchten Sie die Pakete auf dem Server speichern?) die Option Ja und geben Sie den Namen des Installationspakets ein. Das fertige Installationspaket (mit Name und Konfiguration) wird auf dem Server gespeichert. Dieses Paket wird vorrangig für eine Push-Installation verwendet, es kann aber auch als Standard-msi-Installationspaket gespeichert und für eine Direktinstallation auf dem Server verwendet werden (Installationspaket-Editor > Speichern unter). 4. Das Installationspaket ist nun bereit und Sie können die Remoteinstallation auf den Cluster-Knoten starten. Unter ERA > Remoteinstallation > Computer können Sie die Knoten auswählen, auf denen Sie ESET Mail Security installieren möchten (Strg + Linksklick oder Umschalttaste + Linksklick). Klicken Sie mit der rechten Maustaste auf einen der ausgewählten Computer und wählen Sie im Kontextmenü Push-Installation. Geben Sie mit den Schaltflächen Festlegen/Für alle festlegen den Benutzernamen und das Passwort von einem Benutzer des Zielcomputers an. Dieser Benutzer muss Administratorrechte besitzen. Klicken Sie auf Weiter, um das Installationspaket auszuwählen. Klicken Sie auf Fertig stellen, um die Remoteinstallation zu starten. Das Installationspaket mit ESET Mail Security und Ihrer benutzerdefinierten Konfiguration wird auf den ausgewählten Zielcomputern/Knoten installiert. Bereits nach kurzer Zeit werden die Clients, auf denen nun ESET Mail Security installiert ist, in der Registerkarte ERA > Clients angezeigt. Sie können die Clients jetzt zentral verwalten. HINWEIS: Für einen reibungslosen Installationsprozess müssen sowohl die Zielcomputer als auch der ERA-Server bestimmte Bedingungen erfüllen. Weitere Informationen finden Sie im ESET Remote AdministratorBenutzerhandbuch. Konfiguration Für den ordnungsgemäßen Betrieb von ESET Mail Security auf Knoten in einem Cluster muss jeder Knoten ständig gleich konfiguriert sein. Mit einer Push-Installation wie oben beschrieben ist diese Bedingung erfüllt. Es besteht allerdings die Möglichkeit, dass die Konfiguration versehentlich geändert wird und so Inkonsistenzen zwischen ESET Mail Security-Produkten in einem Cluster entstehen. Dies können Sie vermeiden, indem Sie in ERA eine Policy anwenden. Eine Policy ist fast identisch mit einem Standard-Konfigurationstask: Sie sendet die im Konfigurationseditor angelegte Konfiguration an den bzw. die Clients. Eine Policy unterscheidet sich von einem Konfigurationstask dahingehend, dass sie ständig auf dem Client angewendet wird. Bei einer Policy handelt es sich also um eine Konfiguration, deren Durchsetzung regelmäßig auf dem Client bzw. einer Gruppe von Clients erzwungen wird. Unter ERA > Tools > Policy-Manager finden Sie eine Reihe von Optionen für die Verwendung einer Policy. Die einfachste Möglichkeit ist die Anwendung der Übergeordneten Standardpolicy, die auch allgemein als Standardpolicy für primäre Clients dient. Diese Art von Policy wird automatisch auf allen aktuell verbundenen Clients verwendet (in diesem Fall auf allen ESET Mail Security-Produkten in einem Cluster). Sie können die Richtlinie konfigurieren, indem Sie auf Bearbeiten klicken oder eine vorhandene Konfiguration aus einer xml-Datei verwenden, sofern Sie diese bereits erstellt haben. Die zweite Möglichkeit ist das Erstellen einer neuen Policy (Neue untergeordnete Policy hinzufügen), der Sie mit der Option Clients hinzufügen alle ESET Mail Security-Produkte zuweisen können. Mit dieser Konfiguration stellen Sie sicher, dass auf allen Clients dieselbe Policy mit denselben Einstellungen verwendet wird. Wenn Sie die bestehenden Einstellungen eines ESET Mail Security-Servers in einem Cluster ändern möchten, genügt es, die aktuelle Policy zu bearbeiten. Die Änderungen werden auf allen Clients, die dieser Policy zugewiesen sind, übernommen. HINWEIS: Weitere Informationen zu Policys finden Sie im ESET Remote Administrator-Benutzerhandbuch. 14 2.8 Lizenz Ein wichtiger Schritt ist die Eingabe der Lizenzdatei für ESET Mail Security für Microsoft Exchange Server. Ohne sie funktioniert der E-Mail-Schutz auf dem Microsoft Exchange Server nicht ordnungsgemäß. Wenn Sie die Datei nicht während der Installation hinzufügen, können Sie dies später in den erweiterten Einstellungen unter Allgemein > Lizenzen nachholen. Mit ESET Mail Security können Sie mehrere Lizenzen gleichzeitig nutzen, indem Sie sie, wie im Folgenden beschrieben, zusammenführen: 1) Mindestens zwei Lizenzen eines Kunden (d. h. Lizenzen unter demselben Kundennamen) werden zusammengeführt; dementsprechend steigt die Zahl der zu prüfenden Postfächer. Im Lizenzmanager werden weiterhin beide Lizenzen angezeigt. 2) Zwei oder mehr Lizenzen von verschiedenen Kunden werden zusammengeführt. Der Vorgang ist der derselbe wie im (oben genannten) ersten Beispiel, allerdings muss mindestens eine der betreffenden Lizenzen ein bestimmtes Attribut aufweisen. Dieses Attribut ist erforderlich, um die Lizenzen verschiedener Kunden zusammenzuführen. Eine solche Lizenz kann Ihr zuständiger ESET-Vertriebspartner auf Anfrage für Sie erzeugen. HINWEIS: Die Gültigkeitsdauer der neu erstellten Lizenz wird von dem nächsten Ablaufdatum der ursprünglichen Lizenzen bestimmt. ESET Mail Security für Microsoft Exchange Server (EMSX) vergleicht die Anzahl der Postfächer für das Active Directory mit der Anzahl der Lizenzen. Das Active Directory jedes Microsoft-Exchange-Servers wird geprüft, um die Gesamtzahl der Postfächer zu ermitteln. System-Postfächer, deaktivierte Postfächer und Aliasadressen werden nicht gezählt. In einem Cluster werden Knoten, die als Cluster-Postfach dienen, nicht gezählt. Unter Active Directory-Benutzer und -Computer auf dem Server können Sie sehen, über wie viele Postfächer Sie verfügen, für die Exchange aktiviert ist. Klicken Sie mit der rechten Maustaste auf die Domäne und dann auf Suchen. Wählen Sie aus der Liste Suchen die Benutzerdefinierte Suche und klicken Sie auf die Registerkarte Erweitert. Fügen Sie die folgende LDAP-Anfrage (Lightweight Directory Access Protocol) ein und klicken Sie auf Jetzt suchen: (&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(! (name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(! userAccountControl:1.2.840.113556.1.4.803:=2)) 15 Wenn die Anzahl der Postfächer in Ihrem Active Directory die Anzahl Ihrer Lizenzen übersteigt, wird folgende Meldung in der Log-Datei Ihres Microsoft Exchange Servers protokolliert: „Schutzstatus geändert. Grund: Anzahl der Postfächer (Anzahl) übersteigt Anzahl der Postfachlizenzen (Anzahl).“ Ihr ESET Mail Security wird Sie außerdem mit einer Änderung der Symbolfarbe des Schutzstatus auf Orange und einer Meldung informieren, dass der Schutz nach 42 Tagen deaktiviert wird. Wenden Sie sich an Ihren Verkaufsberater, um zusätzliche Lizenzen zu erwerben, wenn Sie diese Meldung erhalten. Wenn die 42 Tage vergangen sind und Sie die geforderten Lizenzen für Ihre überzähligen Postfächer nicht erworben haben, wechselt Ihr Schutzstatus auf Rot. Dies bedeutet, dass der Schutz Ihres Systems deaktiviert wurde. Wenden Sie sich umgehend an Ihren Verkaufsberater, um zusätzliche Lizenzen zu erwerben, wenn Sie diese Meldung erhalten. 16 2.9 Konfiguration nach der Installation Nach der Installation des Produkts müssen mehrere Optionen konfiguriert werden. Einstellungen für Spam-Schutz In diesem Abschnitt werden die Einstellungen, Methoden und Techniken des Spam-Schutzes für Ihr Netzwerk beschrieben. Lesen Sie die folgenden Schritte sorgfältig durch, bevor Sie die für Ihr Netzwerk passende Kombination der Einstellungen wählen. Spam-Verwaltung Für wirksamen Spam-Schutz müssen Sie festlegen, wie mit als Spam markierten E-Mails verfahren werden soll. Hierfür stehen drei Optionen zur Verfügung: 1. Spam löschen Dank der angemessen strengen Kriterien, die eine Nachricht erfüllen muss, um von ESET Mail Security als Spam eingestuft zu werden, sinkt die Wahrscheinlichkeit, dass rechtmäßige E-Mails gelöscht werden. Je eindeutiger Sie die Spam-Schutz-Einstellungen festlegen, desto weniger wahrscheinlich ist es, dass rechtmäßige E-Mails gelöscht werden. Zu den Vorteilen dieser Methode gehört, dass die Systemressourcen kaum belastet werden und der Verwaltungsaufwand geringer ist. Nachteilig ist, dass eine gelöschte rechtmäßige E-Mail nicht lokal wiederhergestellt werden kann. 2. Quarantäne Mit dieser Option ist ausgeschlossen, dass rechtmäßige E-Mails gelöscht werden. Gelöschte E-Mails können wiederhergestellt und den ursprünglichen Empfängern sofort zugesendet werden. Nachteilig ist, dass die Systemressourcen stärker belastet werden und die Wartung der E-Mail-Quarantäne zusätzlich Zeit kostet. Es gibt zwei Methoden der E-Mail-Quarantäne: A. Die interne Quarantäne auf einem Exchange-Server (nur für Microsoft Exchange Server 2007/2010): – Für die interne Server-Quarantäne muss das Feld Zentrale Quarantäne für Nachrichten im rechten Teil des Fensters für die erweiterten Einstellungen (unter Server-Schutz > Quarantäne für Nachrichten) leer sein. Außerdem muss die Option Nachricht in Quarantäne des E-Mail-Servers verschieben in der Liste unten ausgewählt sein. Diese Methode funktioniert nur, wenn der Exchange-Servers über eine interne Quarantäne verfügt. Standardmäßig ist die interne Quarantäne bei Microsoft Exchange Server deaktiviert. Zum Aktivieren der Funktion müssen Sie folgenden Befehl in der Exchange-Verwaltungsshell eingeben: Set-ContentFilterConfig -QuarantineMailbox name@domain.com (geben Sie statt name@domain.com das Postfach ein, das Microsoft Exchange Server als internes Quarantäne-Postfach verwenden soll, z. B. exchangequarantine@company.com B. Benutzerdefiniertes Quarantäne-Postfach: – ESET Mail Security verschiebt alle neuen Spam-Mails in das Postfach, das Sie im Feld Zentrale Quarantäne für Nachrichten festlegen. Weitere Informationen zur Quarantäne und anderen Verwaltungsmethoden finden Sie im Kapitel Quarantäne für Nachrichten 25 . 3. Spam weiterleiten Spam-Mails werden an ihre Empfänger weitergeleitet. ESET Mail Security schreibt jedoch die SpamWahrscheinlichkeit (SCL) in die entsprechende MIME-Kopfzeile jeder Nachricht. Je nach Höhe des SCL-Wertes führt der intelligente Nachrichtenfilter des Exchange-Servers die entsprechende Aktion aus. Spam filtern 17 Greylisting Die Greylisting-Methode schützt Benutzer folgendermaßen vor Spam: Der Transport-Agent sendet einen SMTPRückgabewert „vorübergehend abgelehnt“ (standardmäßig 451/4.7.1) für jede E-Mail von einem nicht erkannten Absender. Ein rechtmäßiger Server unternimmt daraufhin einen erneuten Zustellversuch. Spam-Server senden gewöhnlich kein zweites Mal, da sie Tausende von E-Mail-Adressen abarbeiten müssen und diese zeitraubende Aktion daher unterlassen. Beim Prüfen des Absenders berücksichtigt diese Technik die AntispamBypass-Einstellungen für das Postfach des Empfängers sowie die Einstellungen für folgende Listen auf dem Exchange-Server: Freigegebene IP-Adressen, Ignorierte IP-Adressen, Sichere Absender und IP-Adressen zulassen. Die Greylisting-Funktion muss sorgfältig eingerichtet sein, anderenfalls können Störungen in der Ausführung (z. B. Verzögerungen beim Senden rechtmäßiger Nachrichten) auftreten. Diese negativen Folgen des Greylistings treten immer seltener auf, je mehr vertrauenswürdige Verbindungen in die interne Positivliste aufgenommen werden. Wenn Ihnen Greylisting unbekannt ist oder die Nachteile dieser Methode nicht akzeptabel sind, sollten Sie sie in den erweiterten Einstellungen deaktivieren (Spam-Schutz > Microsoft Exchange Server > Transport-Agent > Greylisting aktivieren). Falls Sie nur die Basisfunktionen des Produkts testen und auf die Konfiguration der erweiterten Funktion verzichten möchten, empfiehlt es sich ebenfalls, Greylisting zu deaktivieren. HINWEIS: Die Greylisting-Technik erhöht den Spam-Schutz, ohne die Spam-Erkennung des Spam-Schutz-Moduls zu beeinflussen. Einstellungen für Virenschutz Quarantäne Je nach dem gewählten Säuberungsmodus empfiehlt es sich, eine Aktion für infizierte (nicht gesäuberte) Nachrichten zu konfigurieren. Dies geschieht in den erweiterten Einstellungen unter Server-Schutz > Viren- und Spyware-Schutz > Microsoft Exchange Server > Transport-Agent. Ist die Option aktiviert, mit der E-Mails in die Quarantäne verschoben werden, muss die Quarantäne unter ServerSchutz > Quarantäne für Nachrichten in den erweiterten Einstellungen konfiguriert werden. Leistung Wenn möglich, sollte die Anzahl der ThreatSense-Module unter erweiterte Einstellungen (F5) > Computer-Schutz > Viren- und Spyware-Schutz > Leistung nach folgender Formel erhöht werden: Anzahl der ThreatSense-Prüfmodule = (Anzahl der physischen Prozessoren x 2) + 1. Die Anzahl der Prüfungs-Threads und die Anzahl der ThreatSense-Prüfengines sollten gleich sein. Unter Server-Schutz > Viren- und Spyware-Schutz > Microsoft Exchange Server > VSAPI > Leistung können Sie die Anzahl der Prüfmodule festlegen. Beispiel: Angenommen, Sie besitzen einen Server mit 4 physischen Prozessoren. Die beste Leistung erreichen Sie also nach der oben genannten Formel mit 9 Prüfungs-Threads und 9 Prüfengines. HINWEIS: Der zulässige Wert liegt zwischen 1 und 20, d. h. Sie können maximal 20 ThreatSense-Prüfmodule verwenden. Die Änderung wird erst nach einem Neustart wirksam. HINWEIS: Es wird empfohlen, die gleiche Anzahl Prüfungs-Threads und ThreatSense-Prüfmodule zu verwenden. Die Leistung des Programms ändert sich nicht, wenn Sie mehr Prüfungs-Threads als Prüfmodule festlegen. HINWEIS: Wenn Sie ESET Mail Security auf einem Windows-Server verwenden, der als Terminalserver eingerichtet ist, und vermeiden möchten, dass die Benutzeroberfläche von ESET Mail Security bei jeder Anmeldung eines Benutzers gestartet wird, folgen Sie den im Kapitel Deaktivieren der Benutzeroberfläche auf Terminalserver 122 beschriebenen Schritten. 18 3. ESET Mail Security – Schutz für Microsoft Exchange Server ESET Mail Security bietet starken Schutz für Ihren Microsoft-Exchange-Server. Es gibt drei grundsätzliche Schutzarten: den Virenschutz, den Spam-Schutz und die Anwendung benutzerdefinierter Regeln. ESET Mail Security schützt Ihr System vor Schadsoftware, darunter mit Würmern oder Trojanern infizierte E-Mail-Anlagen, mit bösartigen Skripten versehene Dokumente sowie Phishing-Mails und Spam. ESET Mail Security filtert die Schadsoftware auf dem E-Mail-Server, also bevor die infizierte Nachricht im Posteingang des empfangenden EMail-Programms ankommt. In den folgenden Kapiteln werden die Optionen und Einstellungen beschrieben, mit denen Sie den Schutz Ihres Exchange-Servers auf Ihre Bedürfnisse einstellen können. 3.1 Allgemeine Einstellungen In diesem Abschnitt wird beschrieben, wie Sie Regeln, Log-Dateien, die Nachrichtenquarantäne und Leistungsparameter verwalten können. 3.1.1 Microsoft Exchange Server 3.1.1.1 VSAPI (Virus-Scanning Application Programming Interface) Microsoft Exchange Server verfügt über eine Technik, mit der Sie sicherstellen können, dass jeder Teil einer Nachricht auf Schadsoftware in der aktuellen Signaturdatenbank geprüft wird. Wurde eine E-Mail bisher nicht überprüft, so werden die entsprechenden Komponenten an das Prüfmodul gesendet, bevor die E-Mail für den Client freigegeben wird. Jede unterstützte Version von Microsoft Exchange Server (2000/2003/2007/2010) verfügt über eine andere VSAPI-Version. Mit dem Kontrollkästchen können Sie den automatischen Start der VSAPI-Version aktivieren/deaktivieren, die Ihr Exchange-Server verwendet. 3.1.1.2 Transport-Agent In diesem Bereich können Sie den automatischen Start und die Ladepriorität des Transport-Agenten konfigurieren. Ab Microsoft Exchange Server 2007 können Sie nur dann einen Transport-Agenten installieren, wenn der Server eine dieser zwei Rollen übernimmt: Edge-Transport oder Hub-Transport. HINWEIS: Für Microsoft Exchange Server 5.5 (VSAPI 1.0) ist der Transport-Agent nicht verfügbar. 19 Im Menü Agentenpriorität einrichten können Sie die Priorität für ESET Mail Security-Agenten festlegen. Der Zahlenbereich der Agentenpriorität ist abhängig von der Microsoft Exchange Server-Version (je kleiner die Zahl, desto höher die Priorität). Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score in den Header geprüfter Nachrichten schreiben – Die SCL ist ein normalisierter Wert, der einer E-Mail hinzugefügt wird und der die Wahrscheinlichkeit bezeichnet, mit der diese E-Mail Spam ist (aufgrund der Eigenschaften des E-Mail-Headers, ihres Betreffs und Inhalts usw.). Der Wert 0 bedeutet, dass die E-Mail höchstwahrscheinlich kein Spam ist; der Wert 9 dagegen bedeutet, dass es sich sehr wahrscheinlich um Spam handelt. SCL-Werte können vom intelligenten Nachrichtenfilter (auch: InhaltsfilterAgent) von Microsoft Exchange Server weiterverarbeitet werden. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Exchange Server. Option Beim Löschen von Nachrichten SMTP-Reject als Antwort senden: Bleibt das Kontrollkästchen deaktiviert, sendet der Server die SMTP-Antwort „OK“ an den MTA (Mail Transfer Agent) des Absenders. Diese hat das Format „250 2.5.0 – Requested mail action okay, completed“ (Angeforderte E-Mail-Aktion OK, abgeschlossen). Anschließend wird die Nachricht ohne weitere Mitteilung verworfen. Ist die Option aktiviert, wird ein SMTP-Reject zurück an den Absender-MTA gesendet. Sie können eine Antwortmeldung in folgendem Format verfassen: Primärer Antwortcode 250 Ergänzender Statuscode 2.5.0 Beschreibung Angeforderte E-Mail-Aktion OK, abgeschlossen 451 4.5.1 Angeforderte Aktion abgebrochen: lokaler Verarbeitungsfehler 550 5.5.0 Angeforderte Aktion unterlassen: Postfach nicht verfügbar Warnung: SMTP-Antworten mit falscher Syntax können zu Fehlern in der Ausführung der Programmkomponenten und einer Beeinträchtigung ihrer Effizienz führen. HINWEIS: Für die Konfiguration von SMTP-Rejects können Sie auch Systemvariablen verwenden. 20 3.1.2 Regeln Über den Menübefehl Regeln können Sie als Administrator manuell Filterbedingungen für E-Mails definieren und Aktionen damit verknüpfen. Eine Regel besteht aus einer Kombination von Bedingungen. Die einzelnen Bedingungen werden mit einem logischen UND verknüpft; eine Regel wird also nur dann angewendet, wenn alle darin enthaltenen Bedingungen erfüllt sind. Die Spalte Anzahl (neben jedem Regelnamen) zeigt an, wie oft die Regel erfolgreich ausgeführt wurde. Die Überprüfung der Nachrichten mit Anwendung der Regeln erfolgt durch den Transport-Agenten (TA) oder VSAPI. Sind sowohl TA als auch VSAPI aktiviert und die E-Mail erfüllt die Regelbedingungen, kann sich der Regel-Zähler um 2 oder mehr erhöhen. Grund dafür ist, dass VSAPI die Regeln für alle E-Mail-Komponenten, die unabhängig voneinander geprüft werden (Body, Anlage), einzeln anwendet. Darüber hinaus kommen die Regeln auch bei der Hintergrundprüfung (z. B. regelmäßige Prüfung der Postfächer nach Update der Signaturdatenbank) zum Einsatz, was den Regel-Zähler steigen lassen kann. Hinzufügen... – Hinzufügen einer neuen Regel Bearbeiten ... – Bearbeiten einer bestehenden Regel Entfernen – Entfernen der ausgewählten Regel Leeren – Zurücksetzen des Regel-Zählers (d. h. die Spalte „Treffer“) Nach oben – Verschieben einer ausgewählten Regel nach oben in der Liste Nach unten – Verschieben einer ausgewählten Regel nach unten in der Liste Wenn Sie das Kontrollkästchen links neben dem Namen einer Regel deaktivieren, wird diese Regel deaktiviert. Mit dem Setzen des Häkchens können Sie die Regel bei Bedarf wieder aktivieren. HINWEIS: Bei der Konfiguration der Regeln können Sie auch Systemvariablen verwenden (z. B. %PATHEXT%). HINWEIS: Wird eine neue Regel hinzugefügt oder eine bestehende Regel bearbeitet, beginnt automatisch eine erneute E-Mail-Prüfung nach den neuen/geänderten Regeln. 21 3.1.2.1 Neue Regeln hinzufügen Dieser Assistent unterstützt Sie beim Erstellen individueller Regeln mit kombinierten Bedingungen. HINWEIS: Nicht alle Bedingungen werden bei der Prüfung durch den Transport-Agenten (TA) berücksichtigt. Nach Zielpostfach – Es wird der Name eines Postfachs überprüft (VSAPI) Nach Empfänger – Es wird der Empfänger einer Nachricht überprüft (VSAPI und TA) Nach Absender – Es wird der Absender einer Nachricht überprüft (VSAPI und TA) Nach Betreff – Es wird der Betreff einer Nachricht überprüft (VSAPI und TA) Nach Nachrichtentext – Es wird der Nachrichtentext einer Nachricht überprüft (VSAPI) Nach Dateiname der Anlage – Es werden nur Nachrichten mit einem bestimmten Dateinamen überprüft (VSAPI bei Exchange 2000 und 2003, VSAPI + TA bei Exchange 2007 und 2010). Nach Größe der Anlage – Es werden nur Nachrichten überprüft, deren Anhang eine bestimmte Größe überschreitet (VSAPI bei Exchange 2000 und 2003, VSAPI + TA bei Exchange 2007 und 2010). Nach Häufigkeit des Auftretens – Es wird überprüft, ob Objekte (Nachrichtentext oder Anlage) in einer bestimmten Zeitspanne öfter als festgelegt eingehen (VSAPI). Dies ist besonders nützlich, wenn Sie ständig Spam-Mails mit dem gleichen Text oder der gleichen Anlage erhalten. Nach Anlagentyp – Es wird überprüft, ob die Nachricht eine Anlage eines bestimmten Dateityps enthält. (Der tatsächliche Dateityp wird dabei unabhängig von der verwendeten Dateierweiterung erkannt.) (VSAPI) Beim Definieren einer Bedingung der genannten Typen (außer Nach Größe der Anlage) wird standardmäßig auch nach Wortbestandteilen gesucht (Option Nur ganze Wörter ist deaktiviert). Es wird nicht nach Groß- und Kleinschreibung unterschieden (Option Groß-/Kleinschreibung berücksichtigen ist deaktiviert). Falls der Suchtext nicht vollständig aus alphanumerischen Zeichen besteht, setzen Sie ihn in Klammern/Anführungszeichen. Sie können auch mehrere Suchwörter mit den logischen Operatoren AND, OR und NOT verknüpfen. HINWEIS: Welche Regeln verfügbar sind, hängt davon ab, welche Version von Microsoft Exchange Server installiert ist. HINWEIS: Microsoft Exchange Server 2000 (VSAPI 2.0) prüft nur den angezeigten Namen des Absenders/ Empfängers, nicht die E-Mail-Adresse. E-Mail-Adressen werden ab Microsoft Exchange Server 2003 (VSAPI 2.5) geprüft. Beispiel für Bedingungen Nach Zielpostfach: schmidt Nach Absender: schmidt@email.de Nach Empfänger: „H. Schmidt“ oder „schmidt@email.de“ Nach Betreff: "" Nach Dateiname der Anlage: „.com“ OR „.exe“ 22 Nach Nachrichtentext: („kostenlos“ OR „lotterie“) AND („gewinnen“ OR „kaufen“) 3.1.2.2 Aktionen bei Anwendung einer Regel In diesem Bereich können Sie Aktionen für Nachrichten und/oder Anlagen wählen, die die Bedingungen der entsprechenden Regeln erfüllen. Sie können „Keine Aktion“ wählen, die Nachricht so markieren, als ob sie eine Bedrohung/Spam enthielte, oder die gesamte Nachricht löschen. Erfüllt eine Nachricht oder ihre Anlage die Bedingungen einer Regel, wird sie standardmäßig nicht von den Viren- und Spam-Schutz-Modulen geprüft. Eine Prüfung findet allerdings statt, wenn die entsprechenden Kontrollkästchen unten in der Liste aktiviert werden (die ausgeführte Aktion hängt ab von den Einstellungen des Viren-/Spam-Schutzes). Keine Aktion – Es wird keine Aktion mit der Nachricht ausgeführt Aktion für nicht entfernte Bedrohung – Die Nachricht wird so markiert, als ob sie eine nicht entfernte Bedrohung enthielte (unabhängig davon, ob dies tatsächlich der Fall ist). Als Spam behandeln – Die Nachricht wird so markiert, als ob es sich um Spam handeln würde (unabhängig davon, ob dies tatsächlich der Fall ist). Diese Option kann nur ausgeführt werden, wenn der Spamschutz 36 aktiviert ist und die Aktion auf der Ebene des Transport-Agenten ausgeführt wird. Andernfalls wird die Aktion nicht ausgeführt. Nachricht löschen – Die gesamte Nachricht mit allen Inhalten, die die Bedingungen erfüllen, wird gelöscht. Diese Aktion funktioniert nur unter VSAPI 2.5 und höheren Versionen. (Unter VSAPI 2.0 und bei älteren Versionen kann die Aktion nicht ausgeführt werden.) Datei in Quarantäne verschieben – Anhänge, die die Regelkriterien erfüllen, werden in die Quarantäne von ESET Mail Security verschoben. Dies ist nicht mit der E-Mail-Quarantäne zu verwechseln. (Weitere Informationen zur E-Mail-Quarantäne finden Sie im Kapitel Nachrichtenquarantäne 25 .) Datei zur Analyse einreichen – Verdächtige Anlagen werden ESET zur Analyse zugesendet Ereignismeldung senden – An den Administrator wird eine Meldung gesendet (gemäß den Einstellungen unter Tools > Warnungen und Hinweise) In Log schreiben – Angaben zur angewendeten Regel werden in das Programm-Log geschrieben Weitere Regeln auswerten – Mit der Auswertung weiterer Regeln kann der Benutzer verschiedene Sätze von Bedingungen definieren und entsprechende Aktionen festlegen Mit Viren- und Spyware-Schutz prüfen – Die Nachricht und ihre Anlagen werden auf Bedrohungen geprüft Mit Spam-Schutz prüfen – Die Nachricht wird auf Spam geprüft HINWEIS: Diese Option steht nur ab Microsoft Exchange Server 2000 mit aktiviertem Transport-Agenten zur Verfügung. Im letzten Schritt des Assistenten zum Erstellen einer neuen Regel geben Sie jeder Regel einen Namen. Sie können auch einen Kommentar eintragen. Diese Informationen werden in der Log-Datei von Microsoft Exchange Server gespeichert. 23 3.1.3 Log-Dateien Mit den Einstellungen für Log-Dateien können Sie wählen, was in der Datei enthalten sein soll. Ein sehr detailliertes Protokoll ist zwar informativer, kann aber die Serverleistung beeinträchtigen. Wenn die Option Synchron ohne Cache schreiben aktiviert ist, werden alle Log-Einträge sofort in die Log-Datei geschrieben und nicht gepuffert. Standardmäßig speichern auf einem Exchange-Server installierte ESET Mail Security-Komponenten Meldungen in ihrem internen Cache und senden sie in regelmäßigen Abständen an die LogDatei der Anwendung, um die Systemleistung zu erhalten. In diesem Fall kann es jedoch dazu kommen, dass Diagnosedaten nicht in der korrekten Reihenfolge im Log protokolliert werden. Es wird empfohlen, diese Einstellung nicht zu aktivieren, es sei denn, es ist nötig für eine Diagnose. Im Menü Inhalt können Sie die Art der in den Log-Dateien gespeicherten Informationen festlegen. Regelanwendung in Log schreiben – Wenn diese Option aktiviert ist, protokolliert ESET Mail Security die Namen der aktivierten Regeln in der Log-Datei. Spam-Score in Log schreiben – Mit dieser Option werden Aktivitäten in Verbindung mit Spam im Spam-SchutzLog 96 protokolliert. Empfängt der Server eine Spam-Mail, werden alle damit verbundenen Informationen (z. B. Uhrzeit/Datum, Absender, Empfänger, Betreff, Spam-Score, Grund und Aktion) in das Log geschrieben. Dies ist hilfreich, um herauszufinden, welche Spam-Mails empfangen wurden und wann welche Aktion gestartet wurde. Greylisting-Aktivität in Log schreiben – Aktivieren Sie diese Option, wenn Aktivitäten in Verbindung mit Greylisting im Greylisting-Log 96 protokolliert werden sollen. Die Datei enthält Informationen wie Uhrzeit/ Datum, HELO-Domain, IP-Adresse, Absender, Empfänger, Aktion usw. HINWEIS: Dies funktioniert nur, wenn Greylisting in den Optionen für den Transport-Agenten 37 aktiviert ist. Siehe erweiterte Einstellungen (F5) > Server-Schutz > Spam-Schutz > Microsoft Exchange Server > TransportAgent. Performance in Log schreiben – Mit dieser Option werden Informationen zum Intervall des ausgeführten Tasks, der Größe des geprüften Objekts, die Übertragungsrate (kB/s) und der Leistungswert protokolliert. Diagnoseinformationen in Log schreiben – Mit dieser Option werden Diagnosedaten für die Feineinstellung des Programms protokolliert; sinnvoll hauptsächlich zur Fehlersuche und -behebung. Es wird nicht empfohlen, diese Option zu aktivieren. Damit die Diagnosedaten, die diese Option bietet, angezeigt werden, müssen Sie unter Tools > Log-Dateien die Einstellung Mindestinformation in Logs auf Diagnosedaten setzen. 24 3.1.4 Quarantäne für Nachrichten Das Postfach Quarantäne für Nachrichten ist ein besonderes, vom Systemadministrator eingerichtetes Postfach für potenziell infizierte Nachrichten und Spam. Nachrichten in dieser Quarantäne können später mit einer neueren Signaturdatenbank untersucht oder gesäubert werden. Es gibt zwei Arten der Nachrichtenquarantäne. Zum einen kann die Quarantäne auf einem Exchange-Server verwendet werden (nur für Microsoft Exchange Server 2007/2010). Eine interne Funktion des Servers speichert dabei potenziell infizierte Nachrichten und Spam. Sie können bei Bedarf außerdem ein separates Quarantäne-Postfach (oder mehrere) für bestimmte Empfänger einrichten. So werden potenziell infizierte E-Mails, die ursprünglich an einen bestimmten Empfänger gerichtet waren, an ein separates Quarantäne-Postfach und nicht an das interne Quarantäne-Postfach des Exchange-Servers gesendet. Dies ist für eine gründlichere Verwaltung der potenziell infizierten Nachrichten und Spam-Mails sinnvoll. Zum anderen steht Ihnen die Option Zentrale Quarantäne für Nachrichten zur Verfügung. Wenn Sie eine frühere Version von Microsoft Exchange Server (5.5, 2000 oder 2003) nutzen, müssen Sie das Postfach für potenziell infizierte Nachrichten nur unter Zentrale Quarantäne für Nachrichten angeben. Die interne Quarantäne des Exchange-Servers wird dann nicht verwendet. Stattdessen übernimmt ein vom Systemadministrator festgelegtes Postfach diese Aufgabe. Wie bei der ersten Option können Sie bei Bedarf ein separates Quarantäne-Postfach (oder mehrere) für bestimmte Empfänger einrichten. So werden potenziell infizierte E-Mails in ein separates Postfach und nicht in die zentrale Quarantäne für Nachrichten verschoben. Zentrale Quarantäne für Nachrichten – Hier können Sie die Adresse der zentralen Nachrichtenquarantäne angeben (z. B. main_quarantine@company.com). Sie können aber auch die interne Quarantäne von Microsoft Exchange Server 2007/2010 wählen, indem Sie das Feld leer lassen und aus der Liste im unteren Bereich Nachricht in Quarantäne des E-Mail-Servers verschieben wählen (vorausgesetzt, die Exchange-Quarantäne ist für Ihre Umgebung aktiviert). Die interne Exchange-Funktion verschiebt dann nach ihren Einstellungen EMails in die Quarantäne. HINWEIS: Standardmäßig ist die interne Quarantäne bei Microsoft Exchange Server deaktiviert. Zum Aktivieren der Funktion müssen Sie folgenden Befehl in der Exchange-Verwaltungsshell eingeben: Set-ContentFilterConfig -QuarantineMailbox name@domain.com (geben Sie statt name@domain.com das Postfach ein, das Microsoft Exchange Server als internes QuarantänePostfach verwenden soll, z. B. exchangequarantine@company.com 25 Quarantäne nach Empfänger – Mit dieser Option können Sie Quarantäne-Postfächer für mehrere Empfänger festlegen. Welche Quarantäneregeln verwendet werden, können Sie steuern, indem Sie das dazugehörige Kontrollkästchen aktivieren bzw. deaktivieren. Hinzufügen... – Sie können eine neue Quarantäneregel hinzufügen, indem Sie die E-Mail-Adresse des gewünschten Empfängers sowie die E-Mail-Adresse der Quarantäne eingeben, an die die E-Mail weitergeleitet werden soll Bearbeiten... – Ausgewählte Quarantäneregel bearbeiten Entfernen – Löschen einer ausgewählten Quarantäneregel Zentrale Quarantäne bevorzugen – Falls aktiv, werden Nachrichten, die mehrere Quarantäneregeln erfüllen (z. B. bei mehreren Empfängern, für die teilweise mehrere Quarantäneregeln definiert sind), an die angegebene zentrale Quarantäne gesendet Nachrichten, die an nicht existierende Quarantäne gerichtet sind (Wenn Sie keine zentrale Nachrichtenquarantäne festgelegt haben, sind für potenziell infizierte Nachrichten und Spam folgende Aktionen verfügbar:) Keine Aktion – mit der Nachricht wird wie üblich verfahren, d. h. sie wird an den Empfänger geschickt (nicht empfohlen) Nachricht löschen – die Nachricht wird gelöscht, wenn keine zentrale Quarantäne eingerichtet ist und die Nachricht an einen Empfänger gerichtet ist, für den keine Quarantäneregel festgelegt ist; d. h. alle potenziell infizierten Nachrichten und Spam werden ohne Zwischenspeicherung automatisch gelöscht Nachricht in Quarantäne des E-Mail-Servers verschieben – die Nachricht wird in die interne Quarantäne des Exchange-Servers verschoben und dort gespeichert (nicht verfügbar für Microsoft Exchange Server 2003 und frühere Versionen) HINWEIS: Bei der Konfiguration der Einstellungen für die Nachrichtenquarantäne können Sie auch Systemvariablen verwenden (z. B. %USERNAME%). 3.1.4.1 Hinzufügen einer neuen Quarantäne-Regel Geben Sie die E-Mail-Adresse des Empfängers und der Quarantäne in die entsprechenden Felder ein. Wenn Sie eine E-Mail an einen Empfänger löschen möchten, für den keine Quarantäne-Regel festgelegt ist, können Sie die Option Nachricht löschen aus dem Dropdownmenü Nachrichten, die an nicht existierende Quarantäne gerichtet sind auswählen. 3.1.5 Leistung In diesem Abschnitt können Sie einen Ordner festlegen, in dem zur Steigerung der Systemleistung temporäre Dateien gespeichert werden. Wird kein Ordner angegeben, erstellt ESET Mail Security temporäre Dateien im temporären Ordner des Systems. HINWEIS: Es wird empfohlen, den temporären Ordner und Microsoft Exchange Server nicht auf derselben Festplatte zu speichern, um das Risiko für E/A- und Fragmentierungsprobleme zu verringern. Wählen Sie auf keinen Fall ein Wechselmedium (Diskette, USB, DVD usw.) als Speicherort für den temporären Ordner aus. HINWEIS: Bei der Konfiguration der Leistungseinstellungen können Sie auch Systemvariablen verwenden (z. B. % SystemRoot%\TEMP). 26 3.2 Einstellungen für Viren- und Spyware-Schutz Um den Viren- und Spyware-Schutz für E-Mail-Server zu aktivieren, wählen Sie die Option Viren- und SpywareSchutz für Server aktivieren. Beachten Sie, dass der Viren- und Spyware-Schutz nach jedem Neustart des Dienstes/Computers automatisch aktiviert ist. Die Einstellungen für ThreatSense erreichen Sie über die Schaltfläche Einstellungen. 3.2.1 Microsoft Exchange Server Für den Viren- und Spyware-Schutz stehen ESET Mail Security für Microsoft Exchange Server zwei Prüfmethoden zur Verfügung. Eine Methode prüft E-Mails mit VSAPI, die andere verwendet einen Transport-Agenten. Der VSAPI 28 -Schutz prüft E-Mails direkt im Speicher des Exchange-Servers. Der Transport-Agent 33 prüft dagegen die SMTP-Datenübertragung. Ist diese Prüfmethode aktiviert, werden alle E-Mails und ihre Komponenten während der Übermittlung geprüft, d. h. noch bevor sie den Speicher des Exchange-Servers erreichen oder per SMTP gesendet werden. Die Prüfung auf dem SMTP-Server wird mit einem speziellen Plug-In durchgeführt. Bei Microsoft Exchange Server 2000 und 2003 ist das entsprechende Plug-In (Ereignissenke) als Teil der Internetinformationsdienste (IIS) auf dem SMTP-Server registriert. Bei Microsoft Exchange Server 2007/2010 ist das Plug-In als Transport-Agent in den Rollen „Edge“ oder „Hub “ des MicrosoftExchange-Servers registriert. HINWEIS: Der Transport-Agent ist für alle Versionen von Microsoft Exchange Server ab 2000 verfügbar, für Microsoft Exchange Server 5.5 dagegen nicht. Der Viren- und Spyware-Schutz kann gleichzeitig mit VSAPI und Transport-Agent aktiviert sein (dies ist die Standardeinstellung, die auch empfohlen ist). Sie können allerdings auch nur eine Prüfmethode aktivieren (VSAPI oder Transport-Agent). Beide Methoden können unabhängig voneinander aktiviert oder deaktiviert werden. Für maximalen Viren- und Spyware-Schutz sollten Sie beide Methoden verwenden. Deaktivieren Sie nicht beide Prüfmethoden. 27 3.2.1.1 Virus-Scanning Application Programming Interface (VSAPI) Microsoft Exchange Server verfügt über eine Technik, mit der Sie sicherstellen können, dass jeder Teil einer Nachricht auf Schadsoftware in der aktuellen Signaturdatenbank geprüft wird. Wurde eine E-Mail bisher nicht überprüft, so werden die entsprechenden Komponenten an das Prüfmodul gesendet, bevor die E-Mail für den Client freigegeben wird. Jede unterstützte Version von Microsoft Exchange Server (5.5/2000/2003/2007/2010) verfügt über eine andere VSAPI-Version. 3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0) Diese Version von Microsoft Exchange Server enthält die VSAPI-Version 1.0. Aktivieren Sie die Option Hintergrundprüfung, um alle Nachrichten im Hintergrund prüfen zu lassen. Microsoft Exchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zu diesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft Exchange Server protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sie eine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von Microsoft Exchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-MailProgramm öffnen können. Da eine Hintergrundprüfung das System belastet (nach jedem Update der Signaturdatenbank findet eine Prüfung statt), sollten Prüfungen außerhalb der Arbeitszeiten stattfinden. Sie können die Hintergrundprüfung mit einem speziellen Task starten. Wenn Sie einen Task für die Hintergrundprüfung erstellen, können Sie die Startzeit, Anzahl der Wiederholungen und andere Parameter im Taskplaner festlegen. Nach dem Erstellen des Tasks erscheint dieser in der Task-Liste. Wie bei allen anderen Tasks können Sie ihn über seine Parameter ändern, löschen oder vorübergehend deaktivieren. 3.2.1.1.1.1 Aktionen In diesem Bereich können Sie Aktionen festlegen, die ausgeführt werden sollen, wenn eine Nachricht und/oder eine Anlage als infiziert bewertet werden. Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschen oder Keine Aktion für den infizierten Inhalt wählen. Diese Aktion wird nur ausgeführt, wenn die Nachricht nicht automatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern 78 ). Mit dem Feld Löschoptionen können Sie eine der beiden Option für die Löschmethode für Anlagen wählen: Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte und übermittelt dem Empfänger ihren Namen und Typ Anlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch ein Virenprotokoll oder eine Regelbeschreibung Klicken Sie auf Erneut prüfen, um bereits geprüfte Nachrichten und Dateien erneut zu prüfen. 3.2.1.1.1.2 Leistung Während einer Prüfung können Sie für Microsoft Exchange Server eine zeitliche Begrenzung für das Öffnen von EMail-Anlagen festlegen. Den Zeitraum, bis der Client erneut versucht, auf eine Datei zuzugreifen, die zuvor geprüft wurde und damit nicht verfügbar war, können Sie im Feld Zeitbegrenzung für Antwort (ms) festlegen. 3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0) Diese Version von Microsoft Exchange Server enthält die VSAPI-Version 2.0. Wenn Sie die Option Viren- und Spyware-Schutz mit VSAPI 2.0 aktivieren deaktivieren, wird das ESET Mail Security-Plug-In für Exchange-Server nicht aus dem Exchange-Serverprozess entfernt. Vielmehr werden die E-Mails dann lediglich weitergeleitet, ohne eine Virenprüfung vorzunehmen. Die E-Mails werden allerdings weiterhin auf Spam 37 geprüft und auch die Regeln 21 werden angewendet. Wenn die Option Proaktive Prüfung aktiviert ist, werden neue eingehende E-Mails in der Reihenfolge ihres Eingangs geprüft. Wenn diese Option deaktiviert ist und ein Benutzer eine noch ungeprüfte E-Mail öffnet, wird diese Nachricht vor den anderen E-Mails in der Warteschlange geprüft. Mit der Option Hintergrundprüfung können Sie alle Nachrichten im Hintergrund prüfen lassen. Microsoft 28 Exchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zu diesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft Exchange Server protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sie eine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von Microsoft Exchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-MailProgramm öffnen können. Da eine Hintergrundprüfung das System belastet (nach jedem Update der Signaturdatenbank findet eine Prüfung statt), sollten Prüfungen außerhalb der Arbeitszeiten stattfinden. Sie können die Hintergrundprüfung mit einem speziellen Task starten. Wenn Sie einen Task für die Hintergrundprüfung erstellen, können Sie die Startzeit, Anzahl der Wiederholungen und andere Parameter im Taskplaner festlegen. Nach dem Erstellen des Tasks erscheint dieser in der Task-Liste. Wie bei allen anderen Tasks können Sie ihn über seine Parameter ändern, löschen oder vorübergehend deaktivieren. Um E-Mails im Nur-Text-Format zu prüfen, wählen Sie die Option E-Mail-Inhalt prüfen (Format Nur-Text). Wenn Sie die Option E-Mail-Inhalt prüfen (Format Rich-Text) aktivieren, werden RTF-Nachrichtentexte geprüft. E-Mail-Texte im Format Rich-Text können Makroviren enthalten. 3.2.1.1.2.1 Aktionen In diesem Bereich können Sie Aktionen festlegen, die ausgeführt werden sollen, wenn eine Nachricht und/oder eine Anlage als infiziert bewertet werden. Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschen oder Keine Aktion für den infizierten Inhalt wählen. Diese Aktion wird nur ausgeführt, wenn die Nachricht nicht automatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern 78 ). Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichten und die Löschmethode für Anlagen festlegen. Für die Löschmethode für Nachrichten haben Sie folgende Möglichkeiten: Body der Nachricht löschen – Der Inhalt der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leere E-Mail und nicht infizierte Anlagen Body durch Angaben zur Aktion ersetzen – Der Body der infizierten Nachricht wird durch Informationen zu ausgeführten Aktionen ersetzt Für die Löschmethode für Anlagen haben Sie folgende Möglichkeiten: Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte und übermittelt dem Empfänger ihren Namen und Typ Anlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch ein Virenprotokoll oder eine Regelbeschreibung Klicken Sie auf Erneut prüfen, um bereits geprüfte Nachrichten und Dateien erneut zu prüfen. 3.2.1.1.2.2 Leistung In diesem Bereich können Sie die Anzahl der zur gleichen Zeit und unabhängig voneinander stattfindenden Prüfungs-Threads festlegen. Auf Mehrprozessor-Computern kann eine höhere Anzahl an Threads die Prüfrate erhöhen. Um die optimale Programmleistung zu erreichen, empfehlen wir Ihnen, die gleiche Anzahl an ThreatSense-Prüfengines und Threads zu verwenden. Mit der Option Zeitbegrenzung für Antwort (s) können Sie die maximale Länge einer Prüfung für einen Thread festlegen. Wird die Prüfung innerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft Exchange Server dem Client den Zugriff auf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriff auf die Datei jederzeit möglich. TIPP: Mit der folgenden Formel ermitteln Sie die Anzahl der Prüfungs-Threads, die für Microsoft Exchange Server empfohlen werden: [Anzahl der physischen Prozessoren] x 2 + 1. HINWEIS: Eine größere Anzahl an ThreatSense-Prüfengines als an Threads erhöht die Leistung nicht merklich. 29 3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5) Diese Version von Microsoft Exchange Server enthält die VSAPI-Version 2.5. Wenn Sie die Option Viren- und Spyware-Schutz mit VSAPI 2.5 aktivieren deaktivieren, wird das ESET Mail Security-Plug-In für Exchange-Server nicht aus dem Exchange-Serverprozess entfernt. Vielmehr werden die E-Mails dann lediglich weitergeleitet, ohne eine Virenprüfung vorzunehmen. Die E-Mails werden allerdings weiterhin auf Spam 37 geprüft und auch die Regeln 21 werden angewendet. Wenn die Option Proaktive Prüfung aktiviert ist, werden neue eingehende E-Mails in der Reihenfolge ihres Eingangs geprüft. Wenn diese Option deaktiviert ist und ein Benutzer eine noch ungeprüfte E-Mail öffnet, wird diese Nachricht vor den anderen E-Mails in der Warteschlange geprüft. Mit der Option Hintergrundprüfung können Sie alle Nachrichten im Hintergrund prüfen lassen. Microsoft Exchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zu diesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft Exchange Server protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sie eine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von Microsoft Exchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-MailProgramm öffnen können. Da eine Hintergrundprüfung das System belastet (nach jedem Update der Signaturdatenbank findet eine Prüfung statt), sollten Prüfungen außerhalb der Arbeitszeiten stattfinden. Sie können die Hintergrundprüfung mit einem speziellen Task starten. Wenn Sie einen Task für die Hintergrundprüfung erstellen, können Sie die Startzeit, Anzahl der Wiederholungen und andere Parameter im Taskplaner festlegen. Nach dem Erstellen des Tasks erscheint dieser in der Task-Liste. Wie bei allen anderen Tasks können Sie ihn über seine Parameter ändern, löschen oder vorübergehend deaktivieren. Wenn Sie die Option E-Mail-Inhalt prüfen (Format Rich-Text) aktivieren, werden RTF-Nachrichtentexte geprüft. E-Mail-Texte im Format Rich-Text können Makroviren enthalten. Die Option Nachrichtentransport prüfen aktiviert die Prüfung von E-Mails, die nicht auf dem lokalen MicrosoftExchange-Server gespeichert, sondern an andere E-Mail-Server weitergeleitet werden. Der Microsoft-ExchangeServer kann als Gateway-Server eingerichtet werden, der die E-Mails auf andere E-Mail-Server verteilt. Ist die Option für die Prüfung des Nachrichtentransports aktiviert, prüft ESET Mail Security auch die weitergeleiteten EMails. Diese Option ist nur verfügbar, wenn der Transport-Agent deaktiviert ist. HINWEIS: E-Mail-Inhalte im Format Nur-Text werden nicht mit VSAPI geprüft. 3.2.1.1.3.1 Aktionen In diesem Bereich können Sie Aktionen festlegen, die ausgeführt werden sollen, wenn eine Nachricht und/oder eine Anlage als infiziert bewertet werden. Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, das Objekt löschen, die Gesamte Nachricht löschen (inklusive infizierter Inhalte) oder Keine Aktion wählen. Diese Aktion wird nur ausgeführt, wenn die Nachricht nicht automatisch gesäubert wurde (siehe ThreatSense-Einstellungen > Säubern 78 ). Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichten und die Löschmethode für Anlagen festlegen. Für die Löschmethode für Nachrichten haben Sie folgende Möglichkeiten: Body der Nachricht löschen – Der Body der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leere E-Mail und nicht infizierte Anlagen Body durch Angaben zur Aktion ersetzen – Der Inhalt der infizierten Nachricht wird durch Informationen zu ausgeführten Aktionen ersetzt Gesamte Nachricht löschen – Die gesamte Nachricht wird gelöscht, einschließlich der Anlagen; Sie können festlegen, welche Aktion beim Löschen von Anlagen ausgeführt werden sollen 30 Für die Löschmethode für Anlagen haben Sie folgende Möglichkeiten: Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte und übermittelt dem Empfänger ihren Namen und Typ Anlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch ein Virenprotokoll oder eine Regelbeschreibung Gesamte Nachricht löschen – Die gesamte Nachricht wird gelöscht, einschließlich der Anlagen; Sie können festlegen, welche Aktion beim Löschen von Anlagen ausgeführt werden sollen Klicken Sie auf Erneut prüfen, um bereits geprüfte Nachrichten und Dateien erneut zu prüfen. 3.2.1.1.3.2 Leistung In diesem Bereich können Sie die Anzahl der zur gleichen Zeit und unabhängig voneinander stattfindenden Prüfungs-Threads festlegen. Auf Mehrprozessor-Computern kann eine höhere Anzahl an Threads die Prüfrate erhöhen. Um die optimale Programmleistung zu erreichen, empfehlen wir Ihnen, die gleiche Anzahl an ThreatSense-Prüfengines und Threads zu verwenden. Mit der Option Zeitbegrenzung für Antwort (s) können Sie die maximale Länge einer Prüfung für einen Thread festlegen. Wird die Prüfung innerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft Exchange Server dem Client den Zugriff auf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriff auf die Datei jederzeit möglich. TIPP: Mit der folgenden Formel ermitteln Sie die Anzahl der Prüfungs-Threads, die für Microsoft Exchange Server empfohlen werden: [Anzahl der physischen Prozessoren] x 2 + 1. HINWEIS: Eine größere Anzahl an ThreatSense-Prüfengines als an Threads erhöht die Leistung nicht merklich. 3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) Diese Version von Microsoft Exchange Server enthält die VSAPI-Version 2.6. Wenn Sie die Option Viren- und Spyware-Schutz mit VSAPI 2.6 aktivieren deaktivieren, wird das ESET Mail Security-Plug-In für Exchange-Server nicht aus dem Exchange-Serverprozess entfernt. Vielmehr werden die E-Mails dann lediglich weitergeleitet, ohne eine Virenprüfung vorzunehmen. Die E-Mails werden allerdings weiterhin auf Spam 37 geprüft und auch die Regeln 21 werden angewendet. Wenn die Option Proaktive Prüfung aktiviert ist, werden neue eingehende E-Mails in der Reihenfolge ihres Eingangs geprüft. Wenn diese Option deaktiviert ist und ein Benutzer eine noch ungeprüfte E-Mail öffnet, wird diese Nachricht vor den anderen E-Mails in der Warteschlange geprüft. Mit der Option Hintergrundprüfung können Sie alle Nachrichten im Hintergrund prüfen lassen. Microsoft Exchange Server entscheidet anhand verschiedener Faktoren, ob eine Hintergrundprüfung durchgeführt wird. Zu diesen Faktoren zählen die aktuelle Systemauslastung, die Anzahl der aktiven Benutzer usw. Microsoft Exchange Server protokolliert, welche E-Mails geprüft wurden und welche Signaturdatenbank verwendet wurde. Wenn Sie eine E-Mail öffnen, die noch nicht mit der aktuellen Signaturdatenbank geprüft wurde, wird sie von Microsoft Exchange Server an ESET Mail Security gesendet. Es findet eine Prüfung statt, bevor Sie die E-Mail in Ihrem E-MailProgramm öffnen können. Sie können zwischen den Optionen Nur Nachrichten mit Dateianlage überprüfen und Prüfstufe (filterbasiert nach Eingangszeit) wählen: Alle Nachrichten Nachrichten aus dem letzten Jahr Nachrichten aus den letzten 6 Monaten Nachrichten aus den letzten 3 Monaten Nachrichten aus dem letzten Monat Nachrichten aus der letzten Woche Da eine Hintergrundprüfung das System belastet (nach jedem Update der Signaturdatenbank findet eine Prüfung statt), sollten Prüfungen außerhalb der Arbeitszeiten stattfinden. Sie können die Hintergrundprüfung mit einem speziellen Task starten. Wenn Sie einen Task für die Hintergrundprüfung erstellen, können Sie die Startzeit, Anzahl der Wiederholungen und andere Parameter im Taskplaner festlegen. Nach dem Erstellen des Tasks erscheint dieser in der Task-Liste. Wie bei allen anderen Tasks können Sie ihn über seine Parameter ändern, löschen oder vorübergehend deaktivieren. 31 Wenn Sie die Option E-Mail-Inhalt prüfen (Format Rich-Text) aktivieren, werden RTF-Nachrichtentexte geprüft. E-Mail-Texte im Format Rich-Text können Makroviren enthalten. HINWEIS: E-Mail-Inhalte im Format Nur-Text werden nicht mit VSAPI geprüft. 3.2.1.1.4.1 Aktionen In diesem Bereich können Sie Aktionen festlegen, die ausgeführt werden sollen, wenn eine Nachricht und/oder eine Anlage als infiziert bewertet werden. Im Feld Aktion, wenn Säubern nicht möglich ist können Sie infizierte Inhalte Blockieren, ein Objekt löschen, wenn der Inhalt der Nachricht infiziert ist, eine Gesamte Nachricht löschen oder Keine Aktion wählen. Diese Aktion wird nur ausgeführt, wenn die Nachricht nicht automatisch gesäubert wurde (siehe ThreatSenseEinstellungen > Säubern 78 ). Wie oben beschrieben, haben Sie für die Option Aktion, wenn Säubern nicht möglich ist folgende Möglichkeiten: Keine Aktion – Der infizierte Inhalt der Nachricht bleibt unverändert Blockieren –- Die Nachricht wird blockiert, bevor sie im Speicher von Microsoft Exchange Server eingeht Objekt löschen – Der infizierte Inhalt der Nachricht wird gelöscht Gesamte Nachricht löschen – Die gesamte Nachricht, und damit der infizierte Inhalt, wird gelöscht Mit der Option Löschoptionen können Sie die Löschmethode für Nachrichteninhalt und die Löschmethode für Anlagen festlegen. Für die Löschmethode für Nachrichteninhalt haben Sie folgende Möglichkeiten: Body der Nachricht löschen – Der Inhalt der infizierten Nachricht wird gelöscht; der Empfänger erhält eine leere E-Mail und nicht infizierte Anlagen Body durch Angaben zur Aktion ersetzen – Der Inhalt der infizierten Nachricht wird durch Informationen zu ausgeführten Aktionen ersetzt Gesamte Nachricht löschen – Die gesamte Nachricht wird gelöscht, einschließlich der Anlagen; Sie können festlegen, welche Aktion beim Löschen von Anlagen ausgeführt werden sollen Für die Löschmethode für Anlagen haben Sie folgende Möglichkeiten: Datei auf 0 Byte reduzieren – ESET Mail Security reduziert die Anlage auf eine Dateigröße von 0 Byte und übermittelt dem Empfänger ihren Namen und Typ Anlage durch Angaben zur Aktion ersetzen – ESET Mail Security ersetzt die infizierte Datei durch ein Virenprotokoll oder eine Regelbeschreibung Gesamte Nachricht löschen – Die Anlage wird gelöscht Wenn die Option VSAPI-Quarantäne verwenden aktiviert ist, werden infizierte Nachrichten in der Quarantäne des E-Mail-Servers gespeichert. Beachten Sie, dass es sich dabei um die verwaltete VSAPI-Quarantäne des Servers handelt (und nicht um die Quarantäne des Clients oder das Quarantäne-Postfach). Auf infizierte Nachrichten, die in der E-Mail-Server-Quarantäne gespeichert werden, ist kein Zugriff möglich, bis sie mit der neuesten Signaturdatenbank gesäubert werden. Klicken Sie auf Erneut prüfen, um bereits geprüfte Nachrichten und Dateien erneut zu prüfen. 3.2.1.1.4.2 Leistung In diesem Bereich können Sie die Anzahl der zur gleichen Zeit und unabhängig voneinander stattfindenden Prüfungs-Threads festlegen. Auf Mehrprozessor-Computern kann eine höhere Anzahl an Threads die Prüfrate erhöhen. Um die optimale Programmleistung zu erreichen, empfehlen wir Ihnen, die gleiche Anzahl an ThreatSense-Prüfengines und Threads zu verwenden. TIPP: Mit der folgenden Formel ermitteln Sie die Anzahl der Prüfungs-Threads, die für Microsoft Exchange Server empfohlen werden: [Anzahl der physischen Prozessoren] x 2 + 1. HINWEIS: Eine größere Anzahl an ThreatSense-Prüfengines als an Threads erhöht die Leistung nicht merklich. 32 3.2.1.1.5 Transport-Agent In diesem Bereich können Sie den Viren- und Spyware-Schutz durch den Transport-Agenten aktivieren oder deaktivieren. Ab Microsoft Exchange Server 2007 können Sie nur dann einen Transport-Agenten installieren, wenn der Server eine dieser zwei Rollen übernimmt: Edge-Transport oder Hub-Transport. Kann eine E-Mail nicht gesäubert werden, wird sie gemäß den Einstellungen für den Transport-Agenten verarbeitet. Die E-Mail kann gelöscht, in die Quarantäne verschoben oder unverändert erhalten werden. Wenn Sie die Option Viren- und Spyware-Schutz durch Transport-Agenten aktivieren deaktivieren, wird das ESET Mail Security-Plug-In für Exchange-Server nicht aus dem Exchange-Serverprozess entfernt. Vielmehr werden die E-Mails dann lediglich weitergeleitet, ohne eine Virenprüfung vorzunehmen. Die E-Mails werden allerdings weiterhin auf Spam 37 geprüft und auch die Regeln 21 werden angewendet. Aktivieren Sie Viren- und Spyware-Schutz durch Transport-Agenten aktivieren, um die Aktion, wenn Säubern nicht möglich ist, festzulegen: Nachricht behalten – Erhält eine infizierte E-Mail, die nicht entfernt werden konnte, unverändert Nachricht in Quarantäne verschieben – Sendet eine infizierte E-Mail an das Quarantäne-Postfach Nachricht löschen – Löscht eine infizierte E-Mail Folgenden Spam-Score (%) in den Header von Nachrichten schreiben, die eine Bedrohung enthalten – Vergibt einen festgelegten Spam-Score (d. h. die Wahrscheinlichkeit, dass es sich bei dieser E-Mail um Spam handelt) in Prozent Dies bedeutet, dass ein Spam-Score (ein festgelegter Wert in %) in die geprüfte E-Mail geschrieben wird, wenn eine Bedrohung erkannt wurde. Da die meisten infizierten E-Mails über Botnetze versendet werden, müssen Nachrichten, die auf diesem Wege verteilt werden, als Spam eingestuft werden. Damit dies ordnungsgemäß funktioniert, muss die Option Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score in geprüfte Nachrichten schreiben unter Server-Schutz > Microsoft Exchange Server > Transport-Agent 19 aktiviert sein. Ist die Option Auch Nachrichten prüfen, die über authentifizierte oder interne Verbindungen eingehen aktiviert, prüft ESET Mail Security auch E-Mails von authentifizierten Quellen oder lokalen Servern. Diese Art der Prüfung ist optional, wird aber empfohlen, da durch sie der Schutz weiter erhöht wird. 33 3.2.2 Aktionen In diesem Bereich können Sie die ID eines Prüf-Tasks und/oder Prüfergebnisse in den Header geprüfter E-Mails schreiben lassen. 3.2.3 Warnungen und Hinweise Mit ESET Mail Security können Sie einen Text an den ursprünglichen Betreff oder den Body infizierter Nachrichten anhängen. 34 Zum Body geprüfter Nachrichten hinzufügen: bietet drei Optionen: Nicht anhängen Nur an infizierte Nachrichten anhängen An alle geprüften Nachrichten anhängen (gilt nicht für interne Nachrichten) Wenn Sie Zum Betreff infizierter Nachrichten hinzufügen aktivieren, hängt ESET Mail Security einen Prüfhinweis an den E-Mail-Betreff an. Der Wert dieses Hinweises ist im Textfeld Text, der zur Betreffzeile infizierter Nachrichten hinzugefügt wird hinterlegt (standardmäßig lautet er [Virus %VIRUSNAME%]). Die erwähnte Bearbeitung kann das Filtern von infizierten E-Mails automatisieren, indem infizierte E-Mails mit einem bestimmten Betreff in einem separaten Ordner abgelegt werden (falls Ihr E-Mail-Programm dies unterstützt). HINWEIS: Im Hinweistext für den Betreff können Sie auch Systemvariablen verwenden. 3.2.4 Automatische Ausschlüsse Die Entwickler von Server-Anwendungen und Betriebssystemen empfehlen für die meisten ihrer Produkte, kritische Arbeitsdateien und -ordner vom Virenschutz auszuschließen. Prüfungen mit einer Virenschutz-Software können die Serverleistung beeinträchtigen, zu Konflikten führen und sogar die Ausführung mancher Anwendungen auf dem Server verhindern. Ausschlussfilter können beim Anwenden von Virenschutz-Software das Konfliktrisiko minimieren und die Gesamtleistung des Servers steigern. ESET Mail Security identifiziert Anwendungen und Betriebssystem-Dateien, die für den Server kritisch sind, und übernimmt sie automatisch in die Liste Ausgeschlossene Elemente. Sobald diese Elemente der Liste hinzugefügt wurden, kann über das entsprechende Kontrollkästchen der Serverprozess bzw. die Serveranwendung mit folgendem Ergebnis aktiviert (Standard) und deaktiviert werden: 1) Bleibt eine Anwendung bzw. eine Betriebssystemdatei weiterhin ausgeschlossen, werden alle zugehörigen kritischen Dateien und Ordner zur Liste der von der Prüfung ausgeschlossenen Elemente hinzugefügt ( Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente). Bei jedem Neustart des Servers werden die Ausschlüsse automatisch überprüft und alle aus der Liste gelöschten Ausschlüsse wiederhergestellt. Diese Einstellung wird empfohlen, wenn Sie sicherstellen wollen, dass die empfohlenen automatischen Ausschlüsse immer angewendet werden. 2) Wenn der Benutzer den Ausschluss einer Anwendung bzw. eines Betriebssystems aufhebt, bleiben alle zugehörigen kritischen Dateien und Ordner in der Liste der von der Prüfung ausgeschlossenen Elemente ( Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente). Sie werden jedoch nicht bei jedem Neustart des Servers automatisch überprüft und in der Liste Ausgeschlossene Elemente aktualisiert (siehe Punkt 1 oben). Wir empfehlen diese Einstellung fortgeschrittenen Benutzern, die Standard-Ausschlüsse entfernen oder bearbeiten möchten. Wenn Sie Elemente aus der Ausschlussliste entfernen möchten, ohne den Server neu zu starten, müssen Sie manuell vorgehen (Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente). Benutzerdefinierte Ausschlüsse, die manuell eingetragen wurden (Erweiterte Einstellungen > Computer-Schutz > Viren- und Spyware-Schutz > Ausgeschlossene Elemente), sind von den oben beschriebenen Einstellungen nicht betroffen. Die automatischen Ausschlüsse für Serveranwendungen bzw. Betriebssystemdateien werden nach MicrosoftEmpfehlungen ausgewählt. Weitere Informationen finden Sie hier: http://support.microsoft.com/kb/822158 http://support.microsoft.com/kb/245822 http://support.microsoft.com/kb/823166 http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx http://technet.microsoft.com/en-us/library/bb332342.aspx 35 3.3 Spam-Schutz Im Bereich Spam-Schutz können Sie den Spam-Schutz für den installierten E-Mail-Server aktivieren/deaktivieren, die Einstellungen des Spam-Schutzes konfigurieren und andere Schutzmaßnahmen ergreifen. HINWEIS: Um zu gewährleisten, dass das Spamschutz-Modul den bestmöglichen Schutz bietet, muss die Spamschutz-Datenbank regelmäßig aktualisiert werden. Um das ordnungsgemäße Ausführen der regelmäßigen Updates der Spamschutz-Datenbank zu ermöglichen, müssen Sie sicherstellen, dass ESET Mail Security auf bestimmte IP-Adressen und Ports zugreifen kann. In diesem KB-Artikel finden Sie weitere Informationen zu den IPAdressen und Ports, die hierzu in Ihrer Firewall aktiviert werden müssen. HINWEIS: Mirrors 89 können nicht für die Updates der Spamschutz-Datenbank verwendet werden. Damit die Updates der Spamschutz-Datenbank ordnungsgemäß ausgeführt werden können, muss ESET Mail Security auf die im oben genannten KB-Artikel aufgeführten IP-Adressen zugreifen können. Ohne Zugriff auf diese IP-Adressen kann das Spamschutz-Modul keine akkuraten Ergebnis liefern und bietet nicht den bestmöglichen Schutz. 36 3.3.1 Microsoft Exchange Server 3.3.1.1 Transport-Agent In diesem Bereich können Sie über den Transport-Agenten die Einstellungen für den Spam-Schutz festlegen. HINWEIS: Für Microsoft Exchange Server 5.5 ist der Transport-Agent nicht verfügbar. Über Spam-Schutz durch Transport-Agenten aktivieren können Sie eine der folgenden Optionen als Aktion für Spam-Mails festlegen: Nachricht beibehalten – Erhält die Nachricht, auch wenn sie als Spam eingestuft ist Nachricht in Quarantäne verschieben – Sendet eine als Spam eingestufte E-Mail an das Quarantäne-Postfach Nachricht löschen – Löscht eine als Spam eingestufte E-Mail Aktivieren Sie Spam-Score in den Header geprüfter Nachrichten schreiben, um im Header der E-Mail den SpamScore zu hinterlegen. Über die Funktion Spam-Schutz mit Exchange Server-Positivlisten automatisch umgehen kann festgelegt werden, dass ESET Mail Security bestimmte Exchange-Positivlisten verwendet. Wenn dies aktiviert wird, wird Folgendes berücksichtigt: Die IP-Adresse des sendenden Servers ist in der Liste zugelassener IP-Adressen des Exchange-Servers enthalten Der Nachrichtenempfänger hat in seinem Postfach die Spamschutz-Umgehungsflagge gesetzt Beim Nachrichtenempfänger ist die Absenderadresse in der Liste sicherer Absender enthalten (stellen Sie sicher, dass die Synchronisierung der Liste sicherer Absender und die Aggregation der Liste in der Exchange ServerUmgebung konfiguriert ist) Wenn einer der oben genannten Punkte auf eine eingehende Nachricht zutrifft, wird die Spamprüfung für diese Nachricht übergangen. Die Nachricht wird also nicht auf Spam untersucht und an das Postfach des Empfängers zugestellt. Die Option Markierung der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen ist hilfreich, wenn authentifizierte SMTP-Sitzungen zwischen den Exchange-Servern auftreten, die eine solche Markierung/Flagge verwenden. Wenn Sie beispielsweise einen Edge- und einen Hub-Server einsetzen, muss der Datenverkehr zwischen diesen beiden Servern nicht auf Spam überprüft werden. Die Option Markierung der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen ist standardmäßig aktiviert und wird angewendet, wenn für SMTPSitzungen auf dem Exchange-Server eine Flagge zur Umgehung des Spamschutzes gesetzt ist. Wenn Sie Markierung der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen deaktivieren, prüft ESET Mail 37 Security die SMTP-Sitzung auf Spam, auch wenn auf dem Exchange Server die Flagge zur Umgehung gesetzt ist. Mit der Option Greylisting aktivieren starten Sie eine Programmfunktion, die Benutzer folgendermaßen vor Spam schützt: Der Transport-Agent sendet den SMTP-Rückgabewert „vorübergehend abgelehnt“ (standardmäßig 451/4.7.1) für jede E-Mail von einem nicht erkannten Absender. Ein rechtmäßiger Server wird nach kurzer Wartezeit erneut versuchen, die E-Mail zu senden. Spam-Server unternehmen gewöhnlich keinen zweiten Zustellversuch, da sie Tausende von E-Mail-Adressen abarbeiten müssen und diese zeitraubende Aktion daher unterlassen. Die Greylisting-Technik erhöht den Spam-Schutz, ohne die Spam-Erkennung des Spam-Schutz-Moduls zu beeinflussen. Beim Prüfen des Absenders berücksichtigt diese Technik die AntispamBypass-Einstellungen für das Postfach des Empfängers sowie die Einstellungen für folgende Listen auf dem Exchange-Server: Freigegebene IP-Adressen, Ignorierte IP-Adressen, Sichere Absender und IP-Adressen zulassen. Bei E-Mails von den gespeicherten IPAdressen/Absendern bzw. E-Mails, die an ein Postfach mit aktivierter AntispamBypass-Option gesendet werden, findet kein Greylisting statt. Im Feld SMTP-Antwort für zeitweise abgewiesene Verbindungen können Sie die Antwort an den SMTP-Server für die vorübergehende Ablehnung einer E-Mail festlegen. Beispiel für SMTP-Antwort: Primärer Antwortcode Ergänzender Statuscode Beschreibung 451 4.7.1 Angeforderte Aktion abgebrochen: lokaler Verarbeitungsfehler Warnung: SMTP-Antworten mit falscher Syntax können zu einem fehlerhaften Verhalten des GreylistingSchutzmoduls führen. Möglicherweise werden dann Spam-Mails an Clients weitergeleitet bzw. E-Mails überhaupt nicht zugestellt. Zeitlimit für Abweisen des ersten Zustellversuchs (Min.) – Legt die Zeitspanne fest, in der die E-Mail, die beim ersten Sendeversuch vorübergehend abgelehnt wurde, immer abgelehnt wird (gemessen ab der ersten Ablehnung). Ist diese Zeitspanne vorüber, kann die E-Mail erfolgreich gesendet werden. Der Mindestwert beträgt 1 Minute. Ablauf nicht verifizierter Verbindungen nach (Stunden) – Legt fest, wie lange die drei Hauptinformationen einer E-Mail gespeichert werden. Ein rechtmäßiger Server muss die erwartete Nachricht vor dem Ablauf dieses Intervalls erneut senden. Der Wert muss größer sein als der Wert für Zeitlimit für Abweisen des ersten Zustellversuchs. Ablauf verifizierter Verbindungen nach (Tage) – Legt fest, wie viele Tage E-Mail-Informationen mindestens gespeichert werden. Während dieser Zeit werden E-Mails von bestimmten Absendern ohne Zeitverzögerung empfangen. Dieser Wert muss größer sein als der Wert für Ablauf nicht verifizierter Verbindungen. HINWEIS: Für die Konfiguration des SMTP-Rejects können Sie auch Systemvariablen verwenden. 3.3.1.2 POP3-Connector und Spam-Schutz Microsoft Windows Small Business Server (SBS)-Versionen enthalten einen POP3-Connector, mit dem der Server EMail-Nachrichten von externen POP3-Servern abrufen kann. Die Implementierung dieses „Standard“-POP3Connectors ist je nach SBS-Version unterschiedlich. ESET Mail Security unterstützt den POP3-Connector von Microsoft SBS auf SBS 2008. Nachrichten, die über diesen POP3-Connector heruntergeladen werden, werden auf Spam überprüft. Dies ist möglich, weil die Nachrichten über SMTP zu Microsoft Exchange übertragen werden. Der Microsoft SBS-POP3-Connector unter SBS 2003 wird jedoch von ESET Mail Security nicht unterstützt. Über diesen Connector übertragene Nachrichten werden daher nicht auf Spam gepüft. Dies liegt daran, dass die Nachrichten die SMTP-Warteschlange umgehen. Zusätzlich sind verschiedene POP3-Connectors von Drittanbietern verfügbar. Ob die über einen bestimmten POP3Connector abgerufenen Nachrichten auf Spam überprüft werden, hängt von der vom jeweiligen POP-Connector verwendeten Methode zum Abrufen der Nachrichten ab. Beispielsweise überträgt GFI POP2Exchange die Nachrichten über das PICKUP-Verzeichnis. Die Nachrichten werden daher nicht auf Spam geprüft. Ähnliche Probleme können mit Produkten auftreten, die die Nachrichten über eine authentifizierte Sitzung übertragen (beispielsweise IGetMail), oder wenn Exchange die Nachrichten als interne Nachrichten markiert, da in diesem Fall der Spam-Schutz standardmäßig umgangen wird. Diese Einstellung kann in der Konfigurationsdatei geändert werden. Exportieren Sie die Konfiguration in eine XML-Datei, ändern Sie den Wert der Einstellung AgentASScanSecureZone zu "1" und importieren Sie die Konfiguration wieder zurück (Informationen zum Importieren und Exportieren einer Konfigurationsdatei finden Sie im Kapitel Einstellungen importieren und exportieren 128 ). 38 Alternativ können Sie in der Baumstruktur der erweiterten Einstellungen (F5) die Option Markierung der SMTPSitzung zur Umgehung des Spam-Schutzes zulassen deaktivieren. Diese Option finden Sie unter Serverschutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent. Wenn Sie diese Option deaktivieren, prüft ESET Mail Security die SMTP-Sitzung auf Spam und ignoriert die Einstellung des Exchange-Servers zur Umgehung von Spam. 3.3.2 Spam-Schutz Hier können Sie die Parameter für den Spam-Schutzkonfigurieren. Klicken Sie dazu auf Einstellungen.... Ein Fenster wird angezeigt, in dem Sie die Einstellungen für den Spamschutz festlegen können. Nachrichten-Kategorisierung Der Spam-Schutz von ESET Mail Security weist jeder geprüften E-Mail einen Spam-Score von 0 bis 100 zu. Indem Sie die Grenzen des Spam-Score verändern, bestimmen Sie: 1) ob eine E-Mail als Spam oder kein Spam eingestuft wird. E-Mails, deren Spam-Score mindestens so hoch ist wie die Einstellung Spam-Score, ab dem Nachricht als Spam gewertet wird , werden als Spam eingestuft. Ist dies der Fall, werden die im Transport-Agenten 37 festgelegten Aktionen auf diese E-Mails angewendet. 2) ob eine E-Mail im Spam-Schutz-Log 96 protokolliert wird (Tools > Log-Dateien > Spam-Schutz). E-Mails, deren Spam-Score mindestens so hoch ist wie die Einstellung Spam-Score, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist, werden im Log protokolliert. 3) in welchen Bereich der Spam-Schutz-Statistik die fragliche E-Mail gehört (Schutzstatus > Statistik > E-MailServer - Spam-Schutz). Als SPAM gewertete Nachrichten – Der Spam-Score der E-Mail entspricht mindestens dem unter Spam-Score, ab dem Nachricht als Spam gewertet wird festgelegten Wert Als vermutlich SPAM gewertete Nachrichten: – Der Spam-Score der E-Mail ist mindestens so hoch wie der unter Spam-Score, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist festgelegte Wert Als vermutlich KEIN Spam gewertete Nachrichten – Der Spam-Score der E-Mail ist niedriger als der unter SpamScore, ab dem angenommen wird, dass eine Nachricht wahrscheinlich Spam bzw. wahrscheinlich legitim ist festgelegte Wert Als KEIN SPAM gewertete Nachrichten – Der Spam-Score der E-Mail ist niedriger als der unter Spam-Score, ab dem Nachricht als legitim gewertet wird festgelegte Wert 3.3.2.1 Einstellungen für Spam-Schutz 3.3.2.1.1 Analyse In diesem Abschnitt können Sie konfigurieren, wie Nachrichten auf Spam überprüft und anschließend verarbeitet werden. Nachrichtenanlagen prüfen – Mit dieser Option legen Sie fest, ob das Spamschutz-Modul Anlagen prüft und bei der Berechnung des Spam-Score berücksichtigt. Beide MIME-Abschnitte verwenden – Das Spamschutz-Modul analysiert beide MIME-Abschnitte (Nur-Text und HTML) der Nachricht. Wenn eine bessere Leistung erwünscht ist, kann die Analyse auf einen Abschnitt beschränkt werden. Wenn die Option deaktiviert ist, wird nur ein Abschnitt analysiert. Speichergröße für Score-Berechnung (in Byte): – Mit dieser Option können Sie festlegen, dass das SpamschutzModul beim Verarbeiten der Regeln nur einen bestimmten, in Byte festgelegten Teil des Speicherpuffers liest. Speichergröße für Probenberechnung (in Byte): – Mit dieser Option wird das Spamschutz-Modul angewiesen, beim Berechnen des Fingerabdrucks einer Nachricht nur die festgelegte Bytezahl zu lesen. Dies ist hilfreich, um konsistente Fingerabdrücke zu erhalten. LegitRepute-Cachespeicher verwenden – Aktiviert die Nutzung des LegitRepute-Cachespeichers, um besonders bei Newslettern die Zahl falsch positiver Ergebnisse zu reduzieren. Zu UNICODE konvertieren – Ermöglicht eine höhere Genauigkeit und einen höheren Durchsatz bei E-MailNachrichten in Unicode, besonders für Doppelbyte-Sprachen, indem die Nachricht in Einzelbyte-Inhalt konvertiert 39 wird. Domänencachespeicher verwenden – Aktiviert die Nutzung eines Domänenreputations-Cache. Wenn die Option aktiviert ist, werden die Domänen der Nachrichten extrahiert und mit einem Domänenreputations-Cachespeicher verglichen. 3.3.2.1.1.1 Proben Cachespeicher verwenden – Aktiviert die Nutzung des Fingerabruck-Cache (standardmäßig aktiviert). MSF einschalten – Ermöglicht die Nutzung eines alternativen Fingerabdruck-Algorithmus (MSF). Nach der Aktivierung können Sie folgende Grenzwerte festlegen: Anzahl der Nachrichten für Bulk-Nachricht: – Hier können Sie festlegen, ab wie vielen ähnlichen Nachrichten eine Nachricht als Bulk eingestuft wird. Häufigkeit des Löschens des Cachespeichers: – Mit dieser Option können Sie eine interne Variable angeben, die festlegt, wie oft der MSF-Cache geleert wird. Empfindlichkeit für Probenübereinstimmung: – Diese Option legt den Übereinstimmungsprozentwert für zwei Fingerabdrücke fest. Wenn der Übereinstimmungsprozentwert über diesem Grenzwert liegt, werden die Nachrichten als identisch betrachtet. Zahl der gespeicherten Proben: – Mit dieser Option legen Sie fest, wie viele MSF-Fingerabdrücke im Speicher bewahrt werden. Je höher der Wert, desto mehr Speicherplatz wird verwendet und desto höher ist die Genauigkeit. 3.3.2.1.1.2 SpamCompiler SpamCompiler aktivieren – Beschleunigt das Verarbeiten von Regeln, erfordert jedoch etwas mehr Speicher. Bevorzugte Version: – Legt fest, welche SpamCompiler-Version verwendet werden soll. Wenn der Wert Automatisch ausgewählt wird, wählt das Spamschutz-Modul die am besten geeignete Version aus. Cachespeicher verwenden – Wenn diese Option aktiviert ist, speichert SpamCompiler die kompilierten Daten auf dem Datenträger, und nicht im Speicher, um die Speicherauslastung zu reduzieren. Liste der Cachespeicherdateien: – Diese Option legt fest, welche Regeldateien auf dem Datenträger und nicht im Speicher kompiliert werden. Legen Sie Regeldatei-Indexes fest, die im Cachespeicher auf dem Datenträger gespeichert werden. Verwalten Sie die Regeldatei-Indexes mit folgenden Funktionen: Hinzufügen... Bearbeiten... Entfernen HINWEIS: Als Zeichen sind nur Zahlen zugelassen. 3.3.2.1.2 Trainingsmodus Trainingsmodus für Fingerabdruck-Score der Nachricht – Aktiviert das Training für den Fingerabdruck-Score. Trainingswörter verwenden – Mit dieser Option wird gesteuert, ob der Bayessche Spamfilter verwendet wird. Seine Verwendung erhöht die Genauigkeit, fordert jedoch mehr Speicherplatz und dauert etwas länger. Wörter in Cachespeicher: – Diese Option legt die Zahl der Wort-Token zu einem beliebigen Zeitpunkt im Cachespeicher fest. Je höher der Wert, desto mehr Speicherplatz wird verwendet und desto höher ist die Genauigkeit. Um einen Wert einzugeben, aktivieren Sie zunächst die Option Trainingswörter verwenden. Trainings-Datenbank nur lesen: – Mit dieser Option wird festgelegt, ob die Trainings-Datenbank für Wörter, Regeln und Fingerabdrücke aktualisiert werden kann oder ob sie nach dem ersten Laden nur mit Lesezugriff verwendet wird. Eine Trainings-Datenbank nur mit Lesezugriff ist schneller. Empfindlichkeit für automatisches Training: – Legt einen Grenzwert für das automatische Training fest. Wenn eine Nachricht einen Score erhält, der mindestens dem oberen Grenzwert entspricht, wird die Nachricht als Spam eingestuft und zum Training aller mit dem Bayesschen Filter aktivierten Module (Regeln und/oder Wörter) verwendet, nicht jedoch für Absender und Fingerdruck. Wenn eine Nachricht einen Score erhält, der höchstens dem unteren Grenzwert entspricht, wird die Nachricht als „kein Spam“ eingestuft und zum Training aller mit dem Bayesschen Filter aktivierten Module (Regeln und/oder Wörter) verwendet, nicht jedoch für Absender und 40 Fingerdruck. Aktivieren Sie zunächst die Option Trainings-Datenbank nur lesen:, um den unteren und oberen Grenzwert einzugeben. Mindestmenge Trainingsdaten: – Zu Beginn werden nur die Regelgewichtungen zum Berechnen des Spam-Score verwendet. Sobald die Mindestmenge Trainingsdaten erreicht ist, ersetzen die Trainingsdaten für Regeln und Wörter die Regelgewichtungen. Der standardmäßige Mindestwert ist 100. Dies bedeutet, dass zunächst ein Training für 100 bekannte „kein Spam“-Nachrichten und 100 Spam-Nachrichten erfolgen muss, also insgesamt für mindestens 200 Nachrichten, bevor die Trainingsdaten anstelle der Regelgewichtungen verwendet werden. Ein zu geringer Wert kann aufgrund der unzureichenden Daten zu mangelnder Genauigkeit führen. Bei einem zu hohen Wert werden die Trainingsdaten nicht optimal ausgenutzt. Bei einem Wert von „0“ werden die Regelgewichtungen immer ignoriert. Nur Trainingsdaten verwenden – Legt fest, ob die Trainingsdaten immer verwendet werden. Wenn diese Option aktiviert ist, werden die Scores nur auf Grundlage der Trainingsdaten berechnet. Wenn diese Option deaktiviert ist, werden sowohl Regeln als auch Trainingsdaten verwendet. Anzahl geprüfter Nachrichten vor dem Schreiben auf den Datenträger: – Im Trainingsmodus verarbeitet das Spamschutz-Modul eine konfigurierbare Menge Nachrichten, bevor Daten in die Trainings-Datenbank auf dem Datenträger geschrieben werden. Mit dieser Option legen Sie fest, wie viele Nachrichten verarbeitet werden, bevor Daten auf den Datenträger geschrieben werden. Für eine möglichst hohe Leistung sollte dieser Wert möglichst groß sein. In außergewöhnlichen Fällen kann es vorkommen, dass das Programm unerwartet beendet wird, bevor die Daten im Pufferspeicher auf den Datenträger geschrieben werden. In diesem Fall gehen die Trainingsdaten seit dem letzten Schreiben auf den Datenträger verloren. Bei einem normalen Beenden wird der Pufferinhalt auf den Datenträger geschrieben. Länderdaten für Training verwenden – Legt fest, ob die Informationen zu den Ländern, durch die die Nachricht geleitet wurde, beim Training und beim Berechnen des Score verwendet werden. 3.3.2.1.3 Regeln Regeln verwenden – Diese Option legt fest, ob langsamere heuristische Regeln verwendet werden. Dies erhöht die Genauigkeit, fordert jedoch mehr Speicherplatz und dauert etwas länger. Regelsatzerweiterung verwenden – Aktiviert den erweiterten Regelsatz. Zweite Regelsatzerweiterung verwenden – Aktiviert die zweite Erweiterung des Regelsatzes. Regelgewichtung: – Mit dieser Option können Sie Gewichtungen einzelner Regeln umgehen. Liste heruntergeladener Regeldateien: – Mit dieser Option wird festgelegt, welche Regeldateien heruntergeladen werden.. Kategoriegewichtung: – Gibt Ihnen die Möglichkeit, die Gewichtungen der Kategorien in sc18 und in den Dateien der benutzerdefinierten Regelliste anzupassen. Kategorie: Name der Kategorie. Derzeit auf die Werte SPAM, PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD und REPLY beschränkt. Beachten Sie die Groß-/Kleinschreibung in diesem Feld. Score: Eine beliebige Ganzzahl, BLOCK oder APPROVE. Die Gewichtung der Regeln, die mit der entsprechenden Kategorie übereinstimmen, wird mit dem Skalierungsfaktor multipliziert, um die neue Gewichtung zu erhalten. Liste benutzerdefinierter Regeln: – Hier können Sie eine benutzerdefinierte Regelliste erstellen (für Wörter/ Phrase, die Spam, kein Spam, Phishing kennzeichnen). Dateien mit benutzerdefinierten Regeln enthalten Phrasen im folgenden Format (getrennte Zeilen): Phrase, Typ, Wahrscheinlichkeit, Groß-/Kleinschreibungsempfindlichkeit. Die Phrase kann beliebigen Text ohne Kommas enthalten. Kommas müssen aus der Phrase gelöscht werden. Der Typ kann SPAM, PHISH, BOUNCE, ADULT oder FRAUD sein. Wenn für den Typ ein anderer Wert angegeben wird, wird dies automatisch als SPAM betrachtet. Die Wahrscheinlichkeit kann ein Wert zwischen 1 und 100 sein. Wenn der Typ SPAM ist, weist 100 auf eine hohe Spam-Wahrscheinlichkeit hin. Beim Typ PHISH weist 100 auf eine hohe Phishing-Wahrscheinlichkeit hin. Beim Typ BOUNCE weist 100 darauf hin, dass die Phrase mit hoher Wahrscheinlichkeit eine Unzustellbarkeitsnachricht ist. Eine höhere Wahrscheinlichkeit beeinflusst eher den endgültigen Score. Der Wert 100 ist jedoch ein besonderer Fall. Beim Typ SPAM führt eine Wahrscheinlichkeit von 100 zu einem Score von 100. Dies gilt ebenso für die Typen PHISH und BOUNCE. Positivlisten haben Vorrang vor Negativlisten (d. h. bei widersprüchlichen Angaben wird die Positivliste verwendet). Ein Wert von 1 für die Groß-/ Kleinschreibungsempfindlichkeit bedeutet, dass die Groß-/Kleinschreibung berücksichtigt wird; ein Wert von 0 bedeutet, dass die Groß-/Kleinschreibung ignoriert wird. Beispiele: spamming ist lustig, SPAM, 100,0 Phishing ist phantastisch, PHISH, 90,1 Zurück an Absender, BOUNCE, 80, 0 41 Die erste Zeile bedeutet, dass alle Variationen von „spamming ist lustig“ als SPAM mit einer Wahrscheinlichkeit von 100 eingestuft werden. Die Groß-/Kleinschreibung der Phrase wird nicht beachtet. Die zweite Zeile bedeutet, dass alle Variationen von „Phishing ist phantastisch“ als PHISH mit einer Wahrscheinlichkeit von 90 eingestuft werden. Die Groß-/Kleinschreibung der Phrase wird berücksichtigt. Die dritte Zeile bedeutet, dass alle Variationen von „Zurück an Absender“ als BOUNCE mit einer Wahrscheinlichkeit von 80 eingestuft werden. Die Groß-/ Kleinschreibung der Phrase wird nicht beachtet. Ältere Regeln nach Update löschen – Standardmäßig löscht das Spamschutz-Modul ältere Regeln aus dem Konfigurationsverzeichnis, wenn eine neuere Datei aus dem SpamCatcher-Netzwerk heruntergeladen wird. Bestimmte Benutzer des Spamschutz-Moduls möchten jedoch unter Umständen die älteren Regeldateien archivieren. Deaktivieren Sie hierzu diese Löschfunktion. Benachrichtigung nach erfolgreichem Update der Regeln – 3.3.2.1.3.1 Regelgewichtung Legen Sie Regeldatei-Indexe und deren Gewichtung fest. Klicken Sie auf Hinzufügen..., um eine Regelgewichtung hinzuzufügen. Klicken Sie auf Bearbeiten..., um vorhandene Einträge zu ändern. Klicken Sie zum Löschen auf Entfernen. Geben Sie Werte für Index: und Gewichtung: an. 3.3.2.1.3.2 Liste heruntergeladener Regeldateien Legen Sie Regeldatei-Indexe fest, die auf den Datenträger heruntergeladen werden sollen. Verwalten die Regeldatei-Indexe über die Schaltflächen Hinzufügen, Bearbeiten und Entfernen. 3.3.2.1.3.3 Kategoriegewichtung Legen Sie Regelkategorien und deren Gewichtung fest. Verwalten die Kategorien und Gewichtungen über die Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen. Wählen Sie zum Hinzufügen einer Kategoriegewichtung eine Kategorie aus der Liste aus. Folgende Kategorien stehen zur Verfügung: SPAM Phishing Unzustellbarkeitsbericht Potenziell anstößiger Inhalt Betrügerische Nachrichten Leere Nachrichten Weitergeleitete Nachrichten Antwortnachrichten Wählen Sie dann eine Aktion aus: Zulassen Blockieren Gewichtung: 3.3.2.1.3.4 Liste benutzerdefinierter Regeln Sie können benutzerdefinierte Regeln verwenden, die Formulierungen enthalten. Es handelt sich hierbei grundsätzlich um TXT-Dateien. Weitere Details und Informationen zum Format der Formulierungen finden Sie im Hilfethema Regeln 41 (Abschnitt Liste benutzerdefinierter Regeln). Um Dateien mit benutzerdefinierten Regeln für die Nachrichtenanalyse zu verwenden, müssen Sie die Dateien am folgenden Speicherort ablegen: Bei Windows Server 2008 und höheren Version lautet der Pfad: C:\ProgramData\ESET\ESET Mail Security\ServerAntispam Bei Windows Server 2003 und älteren Version lautet der Pfad: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\ESET\ESET Mail Security\ServerAntispam 42 Klicken Sie zum Laden der Dateien auf die Schaltfläche ... (Durchsuchen), navigieren Sie zum oben genannten Speicherort und wählen Sie die Textdatei aus (*.txt). Verwalten die Liste benutzerdefinierter Regeln über die Schaltflächen Hinzufügen, Bearbeiten und Entfernen. HINWEIS: Die TXT-Datei mit den benutzerdefinierten Regeln muss im Ordner ServerAntispam abgelegt sein; andernfalls wird die Datei nicht geladen. 3.3.2.1.4 Filterung In diesem Abschnitt können Sie zugelassene, blockierte und ignorierte Listen konfigurieren, indem Sie eine IPAdresse, einen IP-Adressenbereich, Domänennamen, E-Mail-Adressen usw. eingeben. Um Kriterien hinzuzufügen, zu ändern oder zu entfernen, navigieren Sie zur gewünschten Liste und klicken Sie auf die entsprechende Schaltfläche. 3.3.2.1.4.1 Zugelassene Absender Die Positivliste kann E-Mail-Adressen oder Domänen enthalten. Adressen werden im Format „postfach@domäne“ und Domänen im Format „Domäne“ eingegeben. HINWEIS: Leerzeichen am Anfang und am Ende werden ignoriert. Reguläre Ausdrücke werden nicht unterstützt. Sternchen („*“) werden ebenfalls ignoriert. 3.3.2.1.4.2 Blockierte Absender Die Negativliste kann E-Mail-Adressen oder Domänen enthalten. Adressen werden im Format „postfach@domäne“ und Domänen im Format „Domäne“ eingegeben. HINWEIS: Leerzeichen am Anfang und am Ende werden ignoriert. Reguläre Ausdrücke werden nicht unterstützt. Sternchen („*“) werden ebenfalls ignoriert. 3.3.2.1.4.3 Zugelassene IP-Adressen Hier können Sie IP-Adressen eingeben, die immer zugelassen werden sollen. Zum Festlegen von Bereichen stehen drei Möglichkeiten zur Verfügung: a) Start- und End-IP-Adresse b) IP-Adresse und Netzwerkmaske c) IP-Adresse Wenn die erste nicht ignorierte IP-Adresse im Header „Received:“ mit einer Adresse in dieser Liste übereinstimmt, wird der Nachricht der Score-Wert 0 zugewiesen und es werden keine weiteren Prüfungen vorgenommen. 3.3.2.1.4.4 Ignorierte IP-Adressen Hier können Sie IP-Adressen festlegen, die bei RBL-Prüfungen ignoriert werden sollen. Folgende Adressen werden immer implizit ignoriert: 10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0 Zum Festlegen von Bereichen stehen drei Möglichkeiten zur Verfügung: a) Start- und End-IP-Adresse b) IP-Adresse und Netzwerkmaske c) IP-Adresse 43 3.3.2.1.4.5 Blockierte IP-Adressen Hier können Sie IP-Adressen eingeben, die immer blockiert werden sollen. Zum Festlegen von Bereichen stehen drei Möglichkeiten zur Verfügung: a) Start- und End-IP-Adresse b) IP-Adresse und Netzwerkmaske c) IP-Adresse Wenn eine IP-Adresse im Feld „Empfangen:“ mit einer Adresse in dieser Liste übereinstimmt, wird der Nachricht der Score-Wert 100 zugewiesen und es werden keine weiteren Prüfungen vorgenommen. 3.3.2.1.4.6 Zugelassene Domänen Hier können Sie Domänen und IP-Adressen festlegen, die immer zugelassen werden sollen. 3.3.2.1.4.7 Ignorierte Domänen Hier können Sie Domänen festlegen, die immer von DNSBL-Prüfungen ausgeschlossen und ignoriert werden sollen. 3.3.2.1.4.8 Blockierte Domänen Hier können Sie Domänen und IP-Adressen festlegen, die immer blockiert werden sollen. 3.3.2.1.4.9 Gespoofte Absender Ermöglicht das Blockieren von Spammern, die den Namen Ihrer und anderer Domänen spoofen. Spammer verwenden beipielsweise häufig den Domänenname des Empfängers als Domänenname im Feld „Von:“ . Über diese Liste können Sie festlegen, welche E-Mail-Server welche Domänennamen im Feld „Von:“ verwenden dürfen. 3.3.2.1.5 Überprüfung Die Überprüfung ist eine Zusatzfunktion des Spamschutzes. Mit dieser Funktion können Nachrichten über externe Server und anhand definierter Kriterien überprüft werden. Wählen Sie eine Liste aus der Baumstruktur aus, um die Kriterien zu konfigurieren. Folgende Listen sind verfügbar: RBL (Realtime Blackhole List) LBL (Last Blackhole List) DNSBL (DNS Blocklist) 3.3.2.1.5.1 RBL (Realtime Blackhole List) RBL-Server: – Ermöglicht das Festlegen einer Liste mit Realtime Blackhole List (RBL)-Servern, die bei der Nachrichtenanalyse abgefragt werden. Weitere Informationen hierzu finden Sie im Abschnitt über RBL in diesem Dokument. RBL-Überprüfungsempfindlichkeit: – Da RBL-Prüfungen eine Latenzzeit und eine Leistungsminderung mit sich bringen können, kann mit dieser Option festgelegt werden, dass RBL-Prüfungen je nach dem vor der RBL-Prüfung zugewiesenen Score ausgeführt werden. Wenn der Score über dem oberen Grenzwert liegt, werden nur die RBLServer abgefragt, die den Score unter den oberen Grenzwert senken können. Wenn der Score unter dem unteren Grenzwert liegt, werden nur die RBL-Server abgefragt, die den Score über den unteren Grenzwert bringen können. Wenn der Score zwischen dem unteren und dem oberen Grenzwert liegt, werden alle RBL-Server abgefragt. Zeitlimit für die Ausführung der RBL-Anfrage (in Sekunden): – Ermöglicht das Festlegen eines Zeitlimits zum Abschließen aller RBL-Abfragen. Nur die RBL-Antworten von den RBL-Servern, die rechtzeitig geantwortet haben, werden verwendet. Wenn der Wert auf „0“ festgelegt ist, wird kein Zeitlimit erzwungen. Höchstzahl über RBL überprüfter Adressen: – Mit dieser Option können Sie die Zahl der IP-Adressen begrenzen, die auf dem RBL-Server abgerufen werden. Beachten Sie, dass die Gesamtzahl der RBL-Anfragen der Multiplikation aus der Anzahl der IP-Adressen in den Headers „Empfangen:“ (bis zur Höchstzahl zu prüfender Adressen) mit der Anzahl der in der RBL-Liste angegebenen RBL-Server entspricht. Wenn der Wert auf „0“ festgelet wird, wird eine unbegrenzte Zahl Header geprüft. Beachten Sie, dass IP-Adressen, die mit einem Eintrag in der Liste ignorierter IPAdressen übereinstimmen, nicht für die Bestimmung der RBL-IP-Adresszahl berücksichtigt werden. 44 Verwalten Sie die Liste über die Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen. Die Liste enthält drei Spalten: Adresse Antwort Score 3.3.2.1.5.2 LBL (Last Blackhole List) LBL-Server: – Die letzte IP-Adresse der Verbindung wird auf dem LBL-Server abgerufen. Sie können eine andere DNS-Suche für die letzte eingehende IP-Adresse der Verbindung festlegen. Für die letzte eingehende IP-Adresse der Verbindung wird statt der RBL-Liste die LBL-Liste abgefragt. Ansonsten werden die Optionen der RBL-Liste, wie RBL-Grenzwert, auch auf die LBL-Liste angewendet. Nicht mit LBL zu überprüfende IP-Adressen: – Wenn die letzte eingehende IP-Adresse der Verbindung mit einer IP-Adresse in dieser Liste übereinstimmt, wird diese IP-Adresse auf dem bzw. den RBL-Server(n) abgerufen, nicht dem (den) LBL-Server(n). Verwalten Sie die Liste über die Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen. Die Liste enthält drei Spalten: Adresse Antwort Score Hier können Sie IP-Adressen festlegen, die nicht LBL überprüft werden. Verwalten Sie die Liste über die Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen. 3.3.2.1.5.3 DNSBL (DNS Block List) DNSBL-Server: – Liste der DNS Blocklist (DNSBL)-Server, die zur Abfrage von Domänen und IP-Adressen aus dem Nachrichteninhalt verwendet werden sollen DNSBL-Überprüfungsempfindlichkeit: – Wenn der Score über dem oberen Grenzwert liegt, werden nur die DNSBL-Server abgefragt, die den Score unter den oberen Grenzwert senken können. Wenn der Score unter dem unteren Grenzwert liegt, werden nur die DNSBL-Server abgefragt, die den Score über unteren Grenzwert bringen können. Wenn der Score zwischen dem unteren und dem oberen Grenzwert liegt, werden alle DNSBL-Server abgefragt. Zeitlimit für die Ausführung der DNSBL-Anfrage (in Sekunden): – Ermöglicht das Festlegen eines Zeitlimits zum Abschließen aller DNSBL-Abfragen. Höchstzahl über DNSBL überprüfter Domänen: – Hier können Sie festlegen, wie viele Domänen und IP-Adressen auf dem DNS Blocklist-Server abgerufen werden. Verwalten Sie die Liste über die Schaltflächen Hinzufügen..., Bearbeiten... und Entfernen. Die Liste enthält drei Spalten: Adresse Antwort Score 45 3.3.2.1.6 DNS Cachespeicher verwenden – Speichert DNS-Anfragen im internen Cache. Zahl der gespeicherten DNS-Anfragen: – Beschränkt die Zahl der Einträge im internen DNS-Cache. Cachespeicher auf Datenträger speichern – Wenn diese Option aktiviert ist, speichert der DNS-Cache die Einträge beim Herunterfahren auf dem Datenträger und liest sie bei der Initialisierung vom Datenträger. DNS-Serveradressen: – DNS-Server können nun explizit angegeben werden, um die Standardwerte zu übergehen. Direkter DNS-Zugriff: – Wenn für diese Option der Wert „Ja“ festgelegt wird und kein DNS-Server angegeben ist, erstellt das Spamschutz-Modul LiveFeed-Anfragen direkt an die LiveFeed-Server. Die Option wird ignoriert, wenn ein DNS-Server festgelegt ist. Wenn direkte Abfragen effizienter sind als die standardmäßigen DNS-Server, sollte für diese Option der Wert Ja festgelegt werden. Dauer der DNS-Anfrage (in Sekunden): – Mit dieser Option kann eine minimale TTL für die Einträge im internen DNS-Cache des Spamschutz-Moduls festgelegt werden. Der Wert wird in Sekunden angegeben. Bei DNSAntworten, deren TTL-Wert unter dem festgelegten Mindestwert liegt, verwendet der interne Cache des Spamschutz-Moduls stattdessen den festgelegten TTL-Wert (und nicht den TTL-Wert der DNS-Antwort). 3.3.2.1.7 Score Score-Verlauf aktivieren – Frühere Scores für wiederholte Absender werden können nachverfolgt werden. Analyse beenden, wenn Grenzwert für Spam-Score erreicht ist – Mit dieser Option können Sie festlegen, dass das Spamschutz-Modul die Analyse beendet, wenn ein bestimmter Score erreicht wurde. Dies kann die Anzahl der ausgeführten Regeln bzw. Prüfungen reduzieren und somit die Leistung steigern. Beschleunigte Analyse, bis Grenzwert-Score für saubere Nachricht erreicht ist – Mit dieser Option können Sie das Spamschutz-Modul anweisen, langsame Regeln zu überspringen, wenn die Nachricht voraussichtlich kein Spam ist. Nachrichten-Kategorisierung Score-Wert, ab dem eine Nachricht als Spam betrachtet wird: – Das Spamschutz-Modul weist geprüften Nachrichten einen Wert zwischen 0 und 100 zu. Das Ändern der Randwerte beeinflusst die Zahl der als „möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte können die Erkennungsergebnisse des Spamschutz-Moduls beeinträchtigen. Score-Wert, ab dem eine Nachricht als „möglicherweise Spam“ oder „möglicherweise sauber“ eingestuft wird: – Das Spamschutz-Modul weist geprüften Nachrichten einen Wert zwischen 0 und 100 zu. Das Ändern der Randwerte beeinflusst die Zahl der als „möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte können die Erkennungsergebnisse des Spamschutz-Moduls beeinträchtigen. Score-Wert, bis zu dem eine Nachricht als wirklich sauber betrachtet wird: – Das Spamschutz-Modul weist geprüften Nachrichten einen Wert zwischen 0 und 100 zu. Das Ändern der Randwerte beeinflusst die Zahl der als „möglicherweise Spam“ eingestuften Nachrichten. Falsche Werte können die Erkennungsergebnisse des Spamschutz-Moduls beeinträchtigen. 3.3.2.1.8 Spambait Spam-Adressen: – Wenn die „RCPT TO:“- Adresse des SMTP-Umschlags mit einer E-Mail-Adresse in dieser Liste übereinstimmt, zeichnet die Statistikdatei Tokens in der E-Mail-Nachricht auf, die darauf hinweisen, dass die Nachricht an eine Spambait-Adresse gesendet wurde. Die Adressen müssen genau übereinstimmen. Groß- und Kleinschreibung wird nicht beachtet; Platzhalter werden nicht unterstützt. Als nicht existierend betrachtete Adressen: – Wenn die „RCPT TO:“- Adresse des SMTP-Umschlags mit einer EMail-Adresse in dieser Liste übereinstimmt, zeichnet die Statistikdatei Tokens in der E-Mail-Nachricht auf, die darauf hinweisen, dass die Nachricht an eine nicht existierende Adresse gesendet wurde. Die Adressen müssen genau übereinstimmen. Groß- und Kleinschreibung wird nicht beachtet; Platzhalter werden nicht unterstützt. 46 3.3.2.1.8.1 Spambait-Adressen Sie können E-Mail-Adressen festlegen, die nur zum Empfang von Spam verwendet werden. Um eine solche E-MailAdresse hinzuzufügen, geben Sie sie in einem Standardformat ein und klicken Sie auf Hinzufügen. Klicken Sie auf Bearbeiten..., um vorhandene E-Mail-Adressen zu ändern. Klicken Sie zum Löschen auf Entfernen. 3.3.2.1.8.2 Als nicht existierend betrachtete Adressen Sie können E-Mail-Adressen festlegen, die nach außen als nicht existierend erscheinen. Um eine solche E-MailAdresse hinzuzufügen, geben Sie sie in einem Standardformat ein und klicken Sie auf Hinzufügen. Klicken Sie auf Bearbeiten..., um vorhandene E-Mail-Adressen zu ändern. Klicken Sie zum Löschen auf Entfernen. 3.3.2.1.9 Kommunikation Dauer einzelner SpamLabs-Anfragen (in Sekunden): – Mit dieser Option können Sie eine maximale Dauer für einzelne Anfragen an die Spamschutz-SpamLabs festlegen. Der Wert wird in ganzen Sekunden angegeben. Mit dem Wert „0“ wird die Funktion deaktiviert; es wird keine Zeitbegrenzung festgelegt. v.4x-Protokoll verwenden: – Zur Ermittlung des Score über das ältere, langsamere v4.x-Protokoll mit den Spamschutz-SpamLabs kommunizieren. Wenn Sie diese Option auf Automatisch festlegen, kann das SpamschutzModul als Fallback zu LiveFeed-Abfragen automatisch eine Prüfung über das Netzwerk ausführen. Bereich für die v4.x-Protokollnutzung: – Da Netzwerke eine Latenzzeit und eine Leistungsminderung mit sich bringen können, kann mit dieser Option festgelegt werden, dass Netzwerkprüfungen je nach Score ausgeführt werden. Das Netzwerk wird nur abgefragt, wenn der Score zwischen den hier festgelegten oberen und unteren Grenzwerten liegt. LiveFeed-Serveradresse: – Legt fest, welcher Server für LiveFeed-Anfragen verwendet wird. Dauer der LiveFeed-Anfrage (in Sekunden): – Mit dieser Option kann eine minimale TTL für die Einträge im internen LiveFeed-Cache des Spamschutz-Moduls festgelegt werden. Der Wert wird in Sekunden angegeben. Bei LiveFeed-Antworten, deren TTL-Wert unter dem festgelegten Mindestwert liegt, verwendet der interne Cache des Spamschutz-Moduls stattdessen den festgelegten TTL-Wert (und nicht den TTL-Wert der LiveFeed-Antwort). Proxyserver-Authentifizierungstyp: – Legt fest, welche Art HTTP-Proxyauthentifizierung verwendet werden soll. 3.3.2.1.10 Leistung Maximale Größe des verwendeten Thread-Stapels: – Legt die maximale Thread-Stapelgröße fest. Wenn die Thread-Stapelgröße auf 64 KB festgelegt ist, sollte diese Variable auf 100 oder einen kleineren Wert festgelegt werden. Wenn die Thread-Stapelgröße auf mehr als 1 MB festgelegt ist, sollte diese Variable auf 10000 oder einen kleineren Wert festgelegt werden. Wenn für diese Variable ein Wert unter 200 festgelegt wird, kann die Genauigkeit um ein einige Prozentpunkte sinken. Erforderlicher Durchsatz (Nachrichten/Sekunde): Mit dieser Option können Sie den gewünschten Durchsatz in Messungen pro Minute festlegen. Das Spamschutz-Modul versucht, diesen Wert zu erreichen, indem es die ausgeführten Regeln optimiert. Unter Umständen ist die Genauigkeit beeinträchtigt. Der Wert „0“ deaktiviert die Option Inkrementelle Dateien in einer Datei zusammenfügen – Standardmäßig führt das Spamschutz-Modul mehrere inkrementelle Dateien und eine vollständige Datei in eine einzige, aktualisierte und vollständige Datei zusammen. Dies sorgt für eine bessere Übersichtlichtkeit im Konfigurationsverzeichnis. Nur inkrementelle Dateien herunterladen – Standardmäßig versucht das Spamschutz-Modul, die in Bezug auf die Größe effizienteste Kombination aus vollständiger und inkrementeller Datei herunterzuladen. Wenn Sie diese Option auf „Ja“ festlegen, lädt das Spamschutz-Modul nur inkrementelle Dateien herunter. Maximale Größe inkrementeller Dateien: – Um die CPU-Auslastung beim Aktualisieren von Regeldateien etwas zu senken, werden die Datenträger-Cachedateien (sc*.tmp) nicht bei jedem Mal aktualisiert. Stattdessen werden sie neu generiert, wenn eine neuere „sc*.bin.full“-Datei vorhanden ist oder wenn die Summe der inkrementellen Dateien (sc*.bin.incr) die Anzahl der Bytes übersteigt, die als maximale Größe der inkrementellen Dateien angegeben wurde. Speicherort für temporäre Dateien: – Dieser Parameter legt fest, wo das Spamschutz-Modul temporäre Dateien erstellt. 47 3.3.2.1.11 Regionale Einstellungen Liste der üblichen Sprachen: – Über diese Option können Sie die üblichen Sprachen für Ihre E-Mail-Nachrichten festlegen. Es werden die zweistelligen Ländercodes gemäß ISO-639 verwendet. Liste der üblichen Länder: – Hier können Sie die „üblichsten“ Länder festlegen. Nachrichten, die durch ein Land geleitet werden, das nicht in dieser Liste enthalten ist, werden mit einem schlechteren Score versehen. Wenn diese Option leer gelassen wird, erfolgt keine Herabstufung. Liste der blockierten Länder: – Mit dieser Option können Sie Nachrichten bestimmter Länder blockieren. Wenn eine IP-Adresse im Header „Empfangen“ mit einem hier aufgeführten Land übereinstimmt, wird die E-Mail als Spam eingestuft. Die Ländercodes werden nicht auf die Absenderadressen angewendet. Beachten Sie, dass eine Nachricht unter Umständen durch verschiedene Länder geleitet werden kann, bevor Sie den Empfänger erreicht. Diese Option bietet nur eine Genauigkeit von 98 %. Das Blockieren nach Land kann zu falsch positiven Ergebnissen führen. Liste der blockierten Zeichensätze: – Mit dieser Option können Sie Nachrichten je nach verwendetem Zeichensatz blockieren. Der Standardwert für den Spam-Score ist 100. Sie können den Wert jedoch für jeden blockierten Zeichensatz separat anpassen. Beachten Sie, dass die Zuordnung von Sprachen zu Zeichensätzen nicht 100 % akkurat ist. Das Blockieren nach Zeichensatz kann daher zu falsch positiven Ergebnissen führen. 3.3.2.1.11.1 Liste der üblichen Sprachen Legen Sie die Sprachen fest, in denen Sie üblicherweise und bevorzugt Nachrichten empfangen. Um eine Sprache hinzuzufügen, wählen Sie sie aus der Spalte Sprachencodes: aus und klicken Sie auf Hinzufügen. Die Sprache wird nun in der Spalte Übliche Sprachen angezeigt. Um die Sprache aus der Spalte Übliche Sprachen zu entfernen, wählen Sie den Code aus und klicken Sie auf Entfernen. Andere Sprachen blockieren: – Mit dieser Option legen Sie fest, ob die Sprachen, die nicht in der Spalte „übliche Sprachen“ enthalten sind, blockiert werden. Drei Optionen sind verfügbar: Ja Nein Automatisch Liste der Ländercodes (gemäß ISO 639): Afrikaans Amharisch Arabisch Belarussisch Bulgarisch Katalanisch Tschechisch Walisisch Dänisch Deutsch Griechisch Englisch Esperanto Spanisch Estnisch Baskisch Persisch Finnisch Französisch Friesisch Irisch Gälisch Hebräisch Hindi Kroatisch Ungarisch Armenisch 48 af am ar be bg ca cs cy da de el en eo es et eu fa fi fr fy ga gd he hi hr hu hy Indonesisch Isländisch Italienisch Japanisch Georgisch Koreanisch Latein Litauisch Lettisch Marathi Malaiisch Nepali Niederländisc h Norwegisch Polnisch Portugiesisch Quechua Rätoromanisc h Rumänisch Russisch Sanskrit Schottisch Slowakisch Slowenisch Albanisch Serbisch Schwedisch Swahili Tamil Thai Tagalog Türkisch Ukrainisch Vietnamesisc h Jiddisch Chinesisch id is it ja ka ko la lt lv mr ms ne nl no pl pt qu rm ro ru sa sco sk sl sq sr sv sw ta th tl tr uk vi yi zh 3.3.2.1.11.2 Liste der üblichen Länder Legen Sie die Länder fest, aus denen Sie üblicherweise und bevorzugt Nachrichten empfangen. Um ein Land hinzuzufügen, wählen Sie es aus der Spalte Ländercodes: aus und klicken Sie auf Hinzufügen. Das Land wird nun in der Spalte Übliche Länder angezeigt. Um das Land aus der Spalte Übliche Länder zu entfernen, wählen Sie den Code aus und klicken Sie auf Entfernen. Liste der Ländercodes (gemäß ISO 3166): AFGHANISTAN ALAND ALBANIEN ALGERIEN AMERIKANISCH-SAMOA ANDORRA ANGOLA ANGUILLA ANTARKTIKA ANTIGUA UND BARBUDA ARGENTINIEN ARMENIEN ARUBA AUSTRALIEN ÖSTERREICH AF AX AL DZ AS AD AO AI AQ AG AR AM AW AU AT 49 ASERBAIDSCHAN BAHAMAS BAHRAIN BANGLADESCH BARBADOS BELARUS BELGIEN BELIZE BENIN BERMUDA BHUTAN BOLIVIEN BOSNIEN UND HERZEGOWINA BOTSWANA BOUVETINSEL BRASILIEN BRITISCHES TERRITORIUM IM INDISCHEN OZEAN BRUNEI DARUSSALAM BULGARIEN BURKINA FASO BURUNDI KAMBODSCHA KAMERUN KANADA KAP VERDE CAYMAN-INSELN ZENTRALAFRIKANISCHE REPUBLIK TSCHAD CHILE CHINA WEIHNACHTSINSELN KOKOSINSELN (KEELINGINSELN) KOLUMBIEN KOMOREN KONGO KONGO, DEMOKRATISCHE REPUBLIK COOK-INSELN COSTA RICA ELFENBEINKÜSTE KROATIEN KUBA ZYPERN TSCHECHISCHE REPUBLIK DÄNEMARK DJIBOUTI DOMINICA DOMINIKANISCHE REPUBLIK ECUADOR ÄGYPTEN EL SALVADOR ÄQUATORIALGUINEA ERITREA ESTLAND ÄTHIOPIEN FALKLANDINSELN (MALWINEN) FÄRÖER FIDSCHI FINNLAND FRANKREICH FRANZÖSISCH-GUYANA FRANZÖSISCH-POLYNESIEN 50 AZ BS BH BD BB BY BE BZ BJ BM BT BO BA BW BV BR IO BN BG BF BI KH CM CA CV KY CF TD CL CN CX CC CO KM CG CD CK CR CI HR CU CY CZ DK DJ DM DO EC EG SV GQ ER EE ET FK FO FJ FI FR GF PF FRANZÖSISCHE SÜDGEBIETE GABUN GAMBIA GEORGIEN DEUTSCHLAND GHANA GIBRALTAR GRIECHENLAND GRÖNLAND GRENADA GUADELOUPE GUAM GUATEMALA GUINEA GUINEA-BISSAU GUYANA HAITI HEARD-INSEL UND MCDONALD-INSELN VATIKAN HONDURAS HONGKONG UNGARN ISLAND INDIEN INDONESIEN IRAN, ISLAMISCHE REPUBLIK IRAK IRLAND ISRAEL ITALIEN JAMAIKA JAPAN JORDANIEN KASACHSTAN KENIA KIRIBATI KOREA, DEMOKRATISCHE VOLKSREPUBLIK KOREA, REPULIK KUWAIT KIRGISTAN LAOS, VOLKSREPUBLIK LETTLAND LIBANON LESOTHO LIBERIA LYBIEN LIECHTENSTEIN LITAUEN LUXEMBURG MACAO MAZEDONIEN, EHEMALIGE JUGOSLAWISCHE REPUBLIK MADAGASKAR MALAWI MALAYSIEN MALEDIVEN MALI MALTA MARSHALL-INSELN MARTINIQUE MAURITANIEN MAURITIUS TF GA GM GE DE GH GI GR GL GD GP GU GT GN GW GY HT HM VA HN HK HU IS IN ID IR IQ IE IL IT JM JP JO KZ KE KI KP KR KW KG LA LV LB LS LR LY LI LT LU MO MK MG MW MY MV ML MT MH MQ MR MU 51 MAYOTTE MEXIKO MIKRONESIEN, FÖRDERIERTE STAATEN MOLDAWIEN, REPULIK MONACO MONGOLEI MONTSERRAT MAROKKO MOSAMBIK MYANMAR NAMIBIA NAURU NEPAL NIEDERLANDE NIEDERLÄNDISCHE ANTILLEN NEUKALEDONIEN NEUSEELAND NICARAGUA NIGER NIGERIA NIUE NORFOLKINSEL NÖRDLICHE MARIANEN NORWEGEN OMAN PAKISTAN PALAU PALÄSTINENSISCHES GEBIET, BESETZTES PANAMA PAPUA-NEUGUINEA PARAGUAY PERU PHILIPPINEN PITCAIRN POLEN PORTUGAL PUERTO RICO KATAR RÉUNION RUMÄNIEN RUSSISCHE FÖDERATION RUANDA SAINT HELENA SAINT KITTS UND NEVIS SAINT LUCIA SAINT PIERRE UND MIQUELON ST. VINCENT UND DIE GRENADINEN SAMOA SAN MARINO SAO TOME UND PRINCIPE SAUDI-ARABIEN SENEGAL SERBIEN UND MONTENEGRO SEYCHELLEN SIERRA LEONE SINGAPUR SLOWAKEI SLOWENIEN SALOMON-INSELN SOMALIA SÜDAFRIKA 52 YT MX FM MD MC MN MS MA MZ MM NA NR NP NL AN NC NZ NI NE NG NU NF MP NO OM PK PW PS PA PG PY PE PH PN PL PT PR QA RE RO RU RW SH KN LC PM VC WS SM ST SA SN CS SC SL SG SK SI SB SO ZA SÜDGEORGIEN UND SÜDLICHE SANDWICH-INSELN SPANIEN SRI LANKA SUDAN SURINAME SVALBARD UND JAN MAYEN SWASILAND SCHWEDEN SCHWEIZ SYRISCHE ARABISCHE REPUBLIK TAIWAN, CHINESISCHE PROVINZ TADSCHIKISTAN TANSANIEN, VEREINIGTE REPUBLIK THAILAND TIMOR-LESTE TOGO TOKELAU TONGA TRINIDAD UND TOBAGO TUNESIEN TÜRKEI TURKMENISTAN TURKS- UND CAICOSINSELN TUVALU UGANDA UKRAINE VEREINIGTE ARABISCHE EMIRATE VEREINIGTES KÖNIGREICH GROSSBRITANNIEN UND NORDIRLAND VEREINIGTE STAATEN VON AMERIKA UNITED STATES MINOR OUTLYING ISLANDS URUGUAY USBEKISTAN VANUATU VATIKANSTADT VENEZUELA VIETNAM JUNGFERNINSELN, BRITISCHE JUNGFERNINSELN, AMERIKANISCHE WALLIS UND FUTUNA WESTLICHE SAHARA JEMEN ZAIRE (KONGO, DEMOKRATISCHE REPUBLIK) SAMBIA ZIMBABWE GS ES LK SD SR SJ SZ SE CH SY TW TJ TZ TH TL TG TK TO TT TN TR TM TC TV UG UA AE GB US UM UY UZ VU VA VE VN VG VI WF EH YE CD ZM ZW 3.3.2.1.11.3 Liste der blockierten Länder Legen Sie Länder fest, die Sie sperren und aus denen Sie keine Nachrichten empfangen möchten. Um ein Land zur Liste Blockierte Länder: hinzuzufügen, wählen Sie es aus der Spalte Ländercode: aus und klicken Sie auf Hinzufügen. Um ein Land aus der Liste Blockierte Länder: zu entfernen, wählen Sie den Ländercode aus und klicken Sie auf Entfernen. Eine Liste der Ländercodes finden Sie im Abschnitt Liste der üblichen Länder 49 . 53 3.3.2.1.11.4 Liste der blockierten Zeichensätze Legen Sie die Zeichensätze fest, die blockiert werden sollen. Nachrichten, die in einem der angegebenen Zeichensätze erstellt wurden, werden nicht empfangen. Um einen Zeichensatz hinzuzufügen, wählen Sie ihn aus der Spalte Zeichensätze: aus und klicken Sie auf Hinzufügen. Der ausgewählte Zeichensatz wird nun in der Spalte Blockierte Zeichensätze: angezeigt. Um einen Zeichensatz aus der Liste Blockierte Zeichensätze: zu entfernen, wählen Sie den Zeichensatz aus und klicken Sie auf Entfernen. Wenn Sie einen Zeichensatz zur Liste der blockierten Zeichensätze hinzufügen, können Sie einen eigenen SpamScore für diesen bestimmten Zeichensatz festlegen. Der Standardwert ist 100. Sie können für jeden Zeichensatz einen eigenen Wert festlegen. 3.3.2.1.12 Log-Dateien Detailliertes Logging aktivieren – Aktiviert das Erstellen von Log-Dateien mit großem Informationsumfang. Umleitung Ausgabedateien: – Leitet die Log-Ausgabedatei in das hier festgelegte Verzeichnis um. Klicken Sie auf ..., um nach dem Verzeichnis zu suchen, statt es manuell einzugeben. 3.3.2.1.13 Statistiken Logs mit statistischen Daten erstellen – IP-Adressen, Domänen, URLs, verdächtige Wörter usw. werden im Konfigurationsdateisystem in eine Log-Datei geschrieben. Diese Logs können automatisch auf die Analyseserver des Spamschutz-Modul hochgeladen werden. Die Logs können zur Anzeige in das Nur-Text-Format konvertiert werden. Statistiken zur Analyse einreichen – Startet einen Thread, um Dateien mit statistischen Daten automatisch auf die Analyseserver des Spamschutz-Moduls hochzuladen. Adresse des Analyseservers: – URL, zu der die Dateien mit statistischen Daten hochgeladen werden. 3.3.2.1.14 Optionen Automatische Konfiguration: – Legt Optionen auf Grundlage der vom Benutzer eingegebenen Angaben zu System, Leistung und Ressourcenanforderungen fest. Konfigurationsdatei erstellen – Erstellt die Datei antispam.cfg, die Konfigurationsdaten zum Spamschutz-Modul enthält. Die Datei befindet sich unter C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server 2008) bzw. C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows Server 2000 und 2003). 54 3.3.3 Warnungen und Hinweise Jede von ESET Mail Security geprüfte E-Mail, die als Spam eingestuft wurde, kann mit einem Prüfhinweis im Betreff gekennzeichnet werden. Standardmäßig ist dies der Hinweis [SPAM], es kann sich aber auch um einen benutzerdefinierten Text handeln. HINWEIS: Im Hinweistext für den Betreff können Sie auch Systemvariablen verwenden. 3.4 Häufig gestellte Fragen (FAQ) F: Nach der Installation des Spam-Schutzes von EMSX kommen keine E-Mails mehr im Postfach an. A: Dies ist normal, wenn Greylisting aktiviert ist. In den ersten Betriebsstunden kann sich das Weiterleiten der EMails an das Postfach um einige Stunden verzögern. Sollte dies länger der Fall sein, sollten Sie Greylisting deaktivieren (oder rekonfigurieren). F: Wird bei der Anlagen-Prüfung mit VSAPI auch der Nachrichtentext geprüft? A: Ab Microsoft Exchange Server 2000 SP2 prüft VSAPI auch Nachrichtentexte. F: Wieso werden E-Mails weiterhin geprüft, obwohl VSAPI deaktiviert wurde? A: Änderungen an den VSAPI-Einstellungen werden asynchron vorgenommen; das bedeutet, die neue Konfiguration von VSAPI tritt erst in Kraft, wenn Microsoft Exchange Server sie aufruft. Dies passiert in Abständen von etwa einer Minute. Dies gilt auch für alle anderen VSAPI-Einstellungen. F: Kann VSAPI die gesamte Nachricht entfernen, wenn eine Anlage infiziert ist? A: Ja, VSAPI kann die gesamte Nachricht entfernen. Dazu muss allerdings die Option Gesamte Nachricht löschen im Bereich Aktionen der VSAPI-Einstellungen aktiviert sein. Diese Option ist ab Microsoft Exchange Server 2003 verfügbar. Ältere Versionen von Microsoft Exchange Server unterstützen das Löschen ganzer Nachrichten nicht. F: Prüft VSAPI auch ausgehende E-Mails auf Viren? A: Ja, VSAPI prüft auch ausgehende E-Mails, es sei denn, Sie haben in Ihrem E-Mail-Programm einen anderen als Ihren Exchange-Server als SMTP-Server angegeben. Diese Funktion ist ab Microsoft Exchange Server 2000 Service 55 Pack 3 verfügbar. F: Kann über VSAPI jeder geprüften E-Mail ein Prüfhinweis hinzugefügt werden, wie es mit dem Transport-Agenten möglich ist? A: Microsoft Exchange Server unterstützt das Hinzufügen von Text zu VSAPI-geprüften E-Mails nicht. F: Ich kann manchmal eine bestimmte E-Mail nicht mit Microsoft Outlook öffnen. Wieso? A: Für die Option Aktion, wenn Säubern nicht möglich ist im Bereich Aktionen der VSAPI-Einstellungen ist wahrscheinlich die Aktion Blockieren eingestellt oder Sie haben eine neue Regel mit dieser Aktion erstellt. Beide Einstellungen markieren und blockieren infizierte Nachrichten und/oder Nachrichten, die die oben erwähnte Regel erfüllen. F: Was bedeutet die Option Zeitbegrenzung für Antwort im Bereich Performance? A: Wenn Sie Microsoft Exchange Server 2000 SP2 oder später installiert haben, steht der Wert Zeitbegrenzung für Antwort für die maximale Sekundenzahl, die für die VSAPI-Prüfung eines Threads notwendig ist. Wird die Prüfung innerhalb der festgelegten Zeit nicht abgeschlossen, verweigert Microsoft Exchange Server dem Client den Zugriff auf die E-Mail. Die Prüfung wird nicht unterbrochen; nach ihrem Ende ist der Zugriff auf die Datei jederzeit möglich. Bei Microsoft Exchange Server 5.5 SP3 oder SP4 ist der Wert in Millisekunden angegeben und steht für den Zeitraum, bis das E-Mail-Programm erneut versucht, auf eine Datei zuzugreifen, die zuvor geprüft wurde und damit nicht verfügbar war. F: Wie lang darf die Liste der Dateitypen für eine Regel sein? A: Die Liste der Dateinamens-Erweiterungen darf für eine Regel maximal 255 Zeichen umfassen. F: Ich habe die Hintergrundprüfung mit VSAPI aktiviert. Bis jetzt wurden Nachrichten auf dem Exchange-Server stets nach jedem Update der Signaturdatenbank geprüft. Nach dem letzten Update fand keine Prüfung statt. Wo liegt das Problem? A: Verschiedene Faktoren entscheiden darüber, ob alle E-Mails sofort geprüft werden oder erst, wenn der Benutzer eine E-Mail öffnen möchte. Zu diesen Faktoren zählen die Server-Auslastung, die erforderliche Prozessorzeit für die Prüfung aller E-Mails und die Anzahl der E-Mails. Bevor eine E-Mail den Posteingang des E-Mail-Programms erreicht, wird sie jedoch in jedem Falle von Microsoft Exchange Server geprüft. F: Weshalb erhöhte sich der Regel-Zähler nach dem Erhalt einer einzigen E-Mail um mehr als eins? A:Die Überprüfung der Nachrichten mit Anwendung der Regeln erfolgt durch den Transport-Agenten (TA) oder VSAPI. Sind sowohl TA als auch VSAPI aktiviert und die E-Mail erfüllt die Regelbedingungen, kann sich der RegelZähler um 2 oder mehr erhöhen. VSAPI wendet die Regeln für alle E-Mail-Komponenten, die unabhängig voneinander geprüft werden (Body, Anlage), einzeln an. Darüber hinaus kommen die Regeln auch bei der Hintergrundprüfung (z. B. regelmäßige Prüfung der Postfächer nach Update der Signaturdatenbank) zum Einsatz, was den Regel-Zähler steigen lassen kann. F: Ist ESET Mail Security 4 für Microsoft Exchange Server mit dem intelligenten Nachrichtenfilter (IMF) kompatibel? A: Ja, ESET Mail Security 4 für Microsoft Exchange Server (EMSX) ist mit dem intelligenten Nachrichtenfilter (IMF) kompatibel. Wird eine E-Mail als Spam eingestuft, wird folgendermaßen verfahren: – Ist für den Spam-Schutz von ESET Mail Security die Option Nachricht löschen (oder Nachricht in Quarantäne verschieben) aktiviert, ist diese Aktion der vom IMF des Exchange-Servers übergeordnet. – Ist für den Spam-Schutz von ESET Mail Security Keine Aktion gewählt, treten die Einstellungen des IMF in Kraft und die entsprechende Aktion wird ausgeführt (z. B. Löschen, Abweisen, Archivieren). Damit dies ordnungsgemäß funktioniert, muss die Option Spam-Wahrscheinlichkeit (SCL) auf Basis von Spam-Score in geprüfte Nachrichten schreiben (unter Server-Schutz > Microsoft Exchange Server > Transport-Agent) aktiviert sein. 56 F: Wie muss ich ESET Mail Security einrichten, damit unerwünschte E-Mails in den benutzerdefinierten Spamordner von Microsoft Outlook verschoben werden? A: In den Standardeinstellungen von ESET Mail Security ist festgelegt, dass unerwünschte E-Mails im Ordner JunkE-Mail von Microsoft Outlook gespeichert werden. Um dies zu ermöglichen, deaktivieren Sie die Option SpamScore in den Header geprüfter E-Mails schreiben (unter F5 > Server-Schutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent). Mit den folgenden Schritten können Sie unerwünschte Nachrichten in einem anderen Ordner speichern: 1) In ESET Mail Security: – Wechseln Sie zur Baumstruktur der erweiterten Einstellungen (F5). – Navigieren Sie zu Serverschutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent. – Wählen Sie im Dropdownmenü Aktion für Spam-Mails den Eintrag Nachricht behalten aus. – Deaktivieren Sie das Kontrollkästchen Spam-Score in den Header geprüfter Nachrichten schreiben. – Wechseln Sie zu Warnungen und Hinweise unter Spam-Schutz. – Definieren Sie im Feld Text, der zur Betreffzeile von Spam-Mails hinzugefügt wird: einen Text, der zum Betrefffeld unerwünschter Nachrichten hinzugefügt wird, beispielsweise „[SPAM]“. 2) In Microsoft Outlook: – Erstellen Sie eine Regel, mit der E-Mails mit einem bestimmten Text („[SPAM]“) in der Betreffzeile in den gewünschten Ordner verschoben werden. Ausführlichere Anweisungen finden Sie in diesem Knowledgebase-Artikel. F: In der Statistik des Spam-Schutzes sind viele Nachrichten als Nicht geprüft kategorisiert. Wieso lässt der SpamSchutz Nachrichten ungeprüft? A: Die Kategorie Nicht geprüft besteht aus: Allgemein: Alle Nachrichten, die bei auf allen Sicherheitsebenen (E-Mail-Server, Transport-Agent) deaktiviertem SpamSchutz geprüft wurden. Microsoft Exchange Server 2003: Alle Nachrichten von einer IP-Adresse, die in der Globalen Annahmeliste des intelligenten Nachrichtenfilters (IMF) enthalten ist Nachrichten von authentifizierten Absendern Microsoft Exchange Server 2007: Alle intern versendeten Nachrichten (alle werden vom Spam-Schutz-Modul geprüft) Nachrichten von authentifizierten Absendern Nachrichten von Benutzern, deren Konto zur Umgehung des Spam-Schutzes konfiguriert wurde Alle Nachrichten an ein Postfach, für das die Option AntispamBypass aktiviert ist. Alle Nachrichten von Absendern auf der Liste Sichere Absender. HINWEIS: E-Mail-Adressen, die in der Positivliste und den Einstellungen für den Spam-Schutz vermerkt sind, gehören nicht zur Kategorie Nicht geprüft, da diese Liste nur Nachrichten enthält, die nie vom Spam-Schutz-Modul verarbeitet wurden. F: Wenn E-Mail-Programme POP3 zum Abholen der E-Mails verwenden (und so den Microsoft Exchange-Server umgehen), sich die Postfächer aber auf diesem Exchange-Server befinden, werden diese E-Mails dann auch von ESET Mail Security auf Viren und Spam geprüft? A: Bei dieser Konfiguration prüft ESET Mail Security die E-Mails, die auf dem Exchange-Server gespeichert sind, nur 57 auf Viren (mit VSAPI). Es besteht kein Spam-Schutz, da dafür ein SMTP-Server notwendig ist. F: Kann ich festlegen, ab welchem Spam-Score eine Nachricht als Spam eingestuft wird? A: Ja, ab ESET Mail Security Version 4.3 können Sie diese Grenze festlegen (siehe Kapitel Spamschutz-Modul 39 ). F: Prüft der Spam-Schutz von ESET Mail Security auch E-Mails, die mit POP3-Connector heruntergeladen wurden? A: ESET Mail Security unterstützt den Standard-POP3-Connector von Microsoft SBS auf SBS 2008. Nachrichten, die über diesen POP3-Connector heruntergeladen werden, werden auf Spam überprüft. Der Standard-Microsoft SBSPOP3-Connector unter SBS 2003 wird jedoch nicht unterstützt. Es gibt auch POP3-Connectors von Drittanbietern. Ob die über einen Drittanbieter-POP3-Connector abgerufenen Nachrichten auf Spam geprüft werden, hängt davon ab, wie der POP3-Connector ausgelegt ist und wie Nachrichten über diesen POP3-Connector abgerufen werden. Weitere Informationen hierzu finden Sie im Hilfethema POP3-Connector und Spam-Schutz 38 . 58 4. ESET Mail Security – Server-Schutz Neben dem Schutz von Microsoft Exchange Server bietet ESET Mail Security auch Möglichkeiten, den Server selbst zu schützen (Hintergrundwächter, Web-Schutz, E-Mail-Client-Schutz und Spam-Schutz). 4.1 Viren- und Spyware-Schutz Virenschutzlösungen bieten durch Überwachung der Daten-, E-Mail- und Internet-Kommunikation Schutz vor bösartigen Systemangriffen. Wird eine Bedrohung durch Schadcode erkannt, kann das Virenschutz-Modul den Code unschädlich machen, indem es zunächst die Ausführung des Codes blockiert und dann den Code entfernt bzw. die Datei löscht oder in die Quarantäne verschiebt. 4.1.1 Echtzeit-Dateischutz Der Echtzeit-Dateischutz überwacht alle für den Virenschutz relevanten Systemereignisse. Alle Dateien werden beim Öffnen, Erstellen oder Ausführen auf Ihrem Computer auf Schadcode geprüft. Der Echtzeit-Dateischutz wird beim Systemstart gestartet. 4.1.1.1 Prüfeinstellungen Der Echtzeit-Dateischutz prüft alle Datenträger, wobei die Prüfung von verschiedenen Ereignissen ausgelöst wird. Durch die Verwendung der ThreatSense-Erkennungsmethoden (siehe Abschnitt Einstellungen für ThreatSense 75 ) kann der Echtzeit-Dateischutz für neu erstellte und vorhandene Dateien variieren. Neu erstellte Dateien können einer noch gründlicheren Prüfung unterzogen werden. Bereits geprüfte Dateien werden nicht erneut geprüft (sofern sie nicht geändert wurden), um die Systembelastung durch den Echtzeit-Dateischutz möglichst gering zu halten. Nach einem Update der Signaturdatenbank werden die Dateien sofort wieder geprüft. Mit der Smart-Optimierung legen Sie diese Prüfeinstellung fest. Ist diese Option deaktiviert, werden alle Dateien bei jedem Zugriff geprüft. Um den Optionsmodus zu ändern, öffnen Sie das Fenster mit den erweiterten Einstellungen und klicken auf Viren- und Spyware-Schutz > Echtzeit-Dateischutz. Klicken Sie als Nächstes auf die Schaltfläche Einstellungen neben Einstellungen für ThreatSense, dann auf Sonstige und aktivieren bzw. deaktivieren Sie die Option Smart-Optimierung aktivieren. Der Echtzeit-Dateischutz wird standardmäßig beim Systemstart gestartet und fortlaufend ausgeführt. In Ausnahmefällen (z. B. bei einem Konflikt mit einer anderen Echtzeitprüfung) kann die Ausführung des EchtzeitDateischutzes abgebrochen werden. Deaktivieren Sie dazu die Option Echtzeit-Dateischutz automatisch starten . 59 4.1.1.1.1 Zu prüfende Datenträger In der Standardeinstellung werden alle Datenträger auf mögliche Bedrohungen geprüft. Lokale Laufwerke - Alle lokalen Laufwerke werden geprüft Wechselmedien - Disketten, USB-Speichergeräte usw. Netzlaufwerke - Alle zugeordneten Netzlaufwerke werden geprüft Es wird empfohlen, diese Einstellungen nur in Ausnahmefällen zu ändern, z. B. wenn die Prüfung bestimmter Datenträger die Datenübertragung deutlich verlangsamt. 4.1.1.1.2 Prüfen beim (ereignisgesteuerte Prüfung) Standardmäßig werden alle Dateien beim Öffnen, Erstellen und Ausführen geprüft. Wir empfehlen Ihnen, die Standardeinstellungen beizubehalten. So bietet der Echtzeit-Dateischutz auf Ihrem Computer maximale Sicherheit. Über die Option Diskettenzugriff können Sie den Bootsektor einer Diskette prüfen, wenn auf das entsprechende Laufwerk zugegriffen wird. Über die Option Herunterfahren können Sie die Festplatten-Bootsektoren beim Herunterfahren des Computers prüfen. Auch wenn Boot-Viren heutzutage selten sind, sollten Sie diese Optionen dennoch aktivieren, da die Gefahr der Infektion durch einen Boot-Virus aus alternativen Quellen durchaus besteht. 4.1.1.1.3 Erweiterte Optionen für Prüfungen Weitere Einstellungsoptionen sind unter Computer-Schutz > Viren- und Spyware-Schutz > Echtzeit-Dateischutz > Erweiterte Einstellungen verfügbar. Zusätzliche ThreatSense-Einstellungen für neu erstellte und geänderte Dateien - Das Infektionsrisiko für neu erstellte oder geänderte Dateien ist vergleichsweise größer als für vorhandene Dateien. Daher prüft das Programm solche Dateien mit zusätzlichen Parametern. Zusätzlich zu den Prüfmethoden auf Signaturbasis wird die Advanced Heuristik verwendet, wodurch die Erkennungsrate deutlich steigt. Neben neu erstellten Dateien werden auch selbstentpackende Archive (SFX) und laufzeitkomprimierte Dateien (intern komprimierte, ausführbare Dateien) geprüft. In den Standardeinstellungen werden Archive unabhängig von ihrer eigentlichen Größe bis zur 10. Verschachtelungstiefe geprüft. Deaktivieren Sie die Option „Standard-Archivprüfeinstellungen“, um die Archivprüfeinstellungen zu ändern. Zusätzliche ThreatSense.Net-Einstellungen für ausführbare Dateien - In den Standardeinstellungen wird bei der 60 Dateiausführung keine Advanced Heuristik verwendet. Unter Umständen kann es jedoch sinnvoll sein, diese Option mit dem Kontrollkästchen Advanced Heuristics bei Dateiausführung zu aktivieren. Beachten Sie, dass die Advanced Heuristik die Ausführung einiger Programme aufgrund erhöhter Systemanforderungen verlangsamen kann. 4.1.1.2 Säuberungsstufen Für den Echtzeit-Dateischutz stehen drei Säuberungsstufen zur Auswahl. Um eine Säuberungsstufe auszuwählen, klicken Sie auf die Schaltfläche Einstellungen im Bereich Echtzeit-Dateischutz und dann auf Säubern. Auf der ersten Stufe, Nicht säubern, wird für jede erkannte eingedrungene Schadsoftware eine Warnung angezeigt, die eine Auswahl an Optionen bereitstellt. Sie müssen für jede eingedrungene Schadsoftware eine eigene Aktion auswählen. Diese Stufe eignet sich für fortgeschrittene Benutzer, die wissen, wie sie im Falle eingedrungener Schadsoftware vorgehen sollen. Auf der Standard-Säuberungsstufe wird automatisch eine vordefinierte Aktion ausgewählt und ausgeführt, je nach Typ der eingedrungenen Schadsoftware. Eine Nachricht am unteren rechten Bildschirmrand informiert über die Erkennung und das Löschen infizierter Dateien. Eine automatische Aktion wird nicht ausgeführt, wenn sich die infizierte Datei in einem Archiv befindet und dieses weitere nicht infizierte Dateien enthält. Gleiches gilt für Objekte, für die keine vordefinierte Aktion angegeben wurde. Die dritte Säuberungsstufe, Immer versuchen, automatisch zu entfernen, ist am „aggressivsten“; der Schadcode aller infizierten Objekte wird entfernt. Da hierbei möglicherweise wichtige Dateien verloren gehen, sollten Sie auf diesen Modus nur in besonderen Fällen zurückgreifen. 4.1.1.3 Wann sollten die Einstellungen für den Echtzeit-Dateischutz geändert werden? Der Echtzeit-Dateischutz ist die wichtigste Komponente für ein sicheres System. Daher sollte gründlich geprüft werden, ob eine Änderung der Einstellungen wirklich notwendig ist. Es wird empfohlen, seine Parameter nur in einzelnen Fällen zu verändern. Dies kann beispielsweise erforderlich sein, wenn ein Konflikt mit einer bestimmten Anwendung oder der Echtzeit-Prüfung eines anderen Virenschutzprogramms vorliegt. Bei der Installation von ESET Mail Security werden alle Einstellungen optimal eingerichtet, um dem Benutzer die größtmögliche Schutzstufe für das System zu bieten. Um die Standardeinstellungen wiederherzustellen, klicken Sie auf die Schaltfläche Standard unten rechts im Fenster Echtzeit-Dateischutz (Erweiterte Einstellungen > Virenund Spyware-Schutz > Echtzeit-Dateischutz). 61 4.1.1.4 Echtzeit-Dateischutz prüfen Um sicherzustellen, dass der Echtzeit-Dateischutz aktiv ist und Viren erkennt, verwenden Sie eine Testdatei von eicar.com. Diese Testdatei ist harmlos und wird von allen Virenschutzprogrammen erkannt. Die Datei wurde von der Firma EICAR (European Institute for Computer Antivirus Research) erstellt, um die Funktionalität von Virenschutzprogrammen zu testen. Die Datei „eicar.com“ kann unter http://www.eicar.org/download/eicar.com heruntergeladen werden. HINWEIS: Bevor Sie eine Prüfung des Echtzeit-Dateischutzes durchführen, müssen Sie die Firewall deaktivieren. Bei aktivierter Firewall wird die Datei erkannt, und die Testdateien können nicht heruntergeladen werden. 4.1.1.5 Vorgehensweise bei fehlerhaftem Echtzeit-Dateischutz Im nächsten Kapitel werden mögliche Probleme mit dem Echtzeit-Dateischutz sowie Lösungsstrategien beschrieben. Echtzeit-Dateischutz ist deaktiviert Der Echtzeit-Dateischutz wurde versehentlich von einem Benutzer deaktiviert und muss reaktiviert werden. Um den Echtzeit-Dateischutz wieder zu aktivieren, klicken Sie im Hauptprogrammfenster auf Einstellungen > Virenund Spyware-Schutz > Echtzeit-Dateischutz aktivieren. Wenn der Echtzeit-Dateischutz beim Systemstart nicht gestartet wird, ist wahrscheinlich die Option EchtzeitDateischutz automatisch starten deaktiviert. Zum Reaktivieren dieser Option klicken Sie in den erweiterten Einstellungen (F5) auf Echtzeit-Dateischutz. Aktivieren Sie im Bereich Erweiterte Einstellungen am unteren Rand des Fensters das Kontrollkästchen Echtzeit-Dateischutz automatisch starten. Echtzeit-Dateischutz erkennt und entfernt keinen Schadcode Stellen Sie sicher, dass keine anderen Virenschutzprogramme auf Ihrem Computer installiert sind. Zwei parallel ausgeführte Schutzprogramme können miteinander in Konflikt geraten. Wir empfehlen Ihnen, alle anderen Virenschutzprogramme zu deinstallieren. Echtzeit-Dateischutz startet nicht Wenn der Echtzeit-Dateischutz beim Systemstart nicht gestartet wird (und die Option Echtzeit-Dateischutz automatisch starten aktiviert ist), kann das an Konflikten mit anderen Programmen liegen. Sollte dies der Fall sein, wenden Sie sich an den ESET-Support. 62 4.1.2 E-Mail-Client-Schutz Der E-Mail-Schutz dient der Überwachung eingehender E-Mails, die mit dem POP3-Protokoll übertragen werden. Mithilfe der Plugin-Software für Microsoft Outlook stellt ESET Mail Security Kontrollfunktionen für die gesamte EMail-Kommunikation (POP3, MAPI, IMAP, HTTP) bereit. Für die Prüfung eingehender Nachrichten verwendet das Programm alle erweiterten ThreatSense-Prüfmethoden. Die Erkennung von Schadcode findet also noch vor dem Abgleich mit der Signaturdatenbank statt. Die Prüfung der POP3-Kommunikation erfolgt unabhängig vom verwendeten E-Mail-Programm. 4.1.2.1 POP3-Prüfung Das POP3-Protokoll ist das am häufigsten verwendete Protokoll zum Empfangen von E-Mails mit einem E-MailProgramm. ESET Mail Security bietet POP3-Protokoll-Schutzfunktionen unabhängig vom verwendeten E-MailProgramm. Das Modul, das diese Kontrollfunktion bereitstellt, wird automatisch beim Systemstart initialisiert und ist dann im Speicher aktiv. Um das Modul einsetzen zu können, muss es aktiviert sein. Die POP3-Prüfung wird automatisch ausgeführt, und das E-Mail-Programm muss nicht neu konfiguriert werden. In der Standardeinstellung wird die gesamte Kommunikation über Port 110 geprüft. Bei Bedarf können weitere Kommunikationsports hinzugefügt werden. Portnummern müssen durch ein Komma voneinander getrennt sein. Verschlüsselter Datenverkehr wird nicht geprüft. Um den POP3/POP3S-Filter nutzen zu können, müssen Sie zuerst das Prüfen von Anwendungsprotokollen aktivieren. Wenn die Optionen für POP3/POP3S grau dargestellt sind, klicken Sie im Bereich „Erweiterte Einstellungen“ auf Computer-Schutz > Viren- und Spyware-Schutz > Prüfen von Anwendungsprotokollen und aktivieren Sie die Option Prüfen von anwendungsspezifischen Protokollen aktivieren. Im Abschnitt Prüfen von Anwendungsprotokollen finden Sie weitere Informationen zum Prüfen mit Filtern und zu deren Konfiguration. 63 4.1.2.1.1 Kompatibilität Bei bestimmten E-Mail-Programmen können Probleme bei der POP3-Prüfung auftreten (wenn Sie z. B. eine langsame Internetverbindung verwenden, kann es beim Prüfen zu Zeitüberschreitungen kommen). Sollte dies der Fall sein, ändern Sie die Prüfeinstellungen. Wenn Sie die Prüfmethoden lockern, kann dies die Geschwindigkeit beim Entfernen von Schadcode erhöhen. Um den Grad der POP3-Prüfung anzupassen, klicken Sie in den erweiterten Einstellungen auf Viren- und Spyware-Schutz > Spyware-Schutz > E-Mail-Schutz > POP3, POP3S > Kompatibilität. Bei Aktivierung der Option Maximaler Funktionsumfang werden Infiltrationen aus infizierten Nachrichten entfernt (wenn die Optionen Löschen oder Säubern aktiviert sind oder wenn die Säuberungsstufe Immer versuchen, automatisch zu säubern bzw. Standard aktiviert ist) und Informationen über die Infiltration werden vor dem ursprünglichen E-Mail-Betreff eingefügt. Mittlere Kompatibilität ändert die Art und Weise, wie Nachrichten empfangen werden. Nachrichten werden stückweise an das E-Mail-Programm gesendet. Nachdem der letzte Teil der Nachricht übertragen wurde, wird die Nachricht auf Schadcode geprüft. Bei dieser Prüfmethode steigt das Infektionsrisiko. Die Säuberungsstufe und die Behandlung von Prüfhinweisen (Warnhinweise, die an die Betreffzeile und den E-Mail-Body angehängt werden) entsprechen den Einstellungen der Option „Maximaler Funktionsumfang“. Bei der Stufe Maximaler Funktionsumfang wird der Benutzer mithilfe einer Warnung über den Empfang einer infizierten Nachricht informiert. Es werden keine Informationen über infizierte Dateien an die Betreffzeile oder den Body eingegangener Nachrichten angehängt, und eingedrungener Schadcode wird nicht automatisch entfernt; Sie müssen infizierte Dateien in dem E-Mail-Programm löschen. 4.1.2.2 Integration mit E-Mail-Programmen Die Integration von ESET Mail Security mit E-Mail-Programmen verbessert den aktiven Schutz gegen Schadcode in E-Mail-Nachrichten. Wenn Ihr E-Mail-Programm dies unterstützt, kann die Integration in ESET Mail Security aktiviert werden. Bei aktivierter Integration kontrolliert ESET Mail Security die Verbindungen zum E-MailProgramm, und die E-Mail-Kommunikation wird dadurch sicherer. Die Integrationseinstellungen finden Sie unter Einstellungen > Erweiterte Einstellungen > Allgemein > Integration in E-Mail-Programme. Über die Option „Integration in E-Mail-Programme“ können Sie die Integration mit unterstützten E-Mail-Programmen aktivieren. Zu den derzeit unterstützten E-Mail-Programmen gehören Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail und Mozilla Thunderbird. Wählen Sie die Option Prüfen neuer Elemente im Posteingang deaktivieren, falls Sie während der Arbeit mit Ihrem E-Mail-Programm eine Systemverlangsamung bemerken. Dies kann auftreten, wenn Sie E-Mails vom Kerio 64 Outlook Connector Store herunterladen. Sie aktivieren den E-Mail-Schutz auf folgendem Weg: Einstellungen > Erweiterte Einstellungen > Allgemein > EMail-Client-Schutz > Viren- und Spyware-Schutz für E-Mail-Client-Schutz aktivieren. 4.1.2.2.1 E-Mail-Body Prüfhinweise hinzufügen Jede von ESET Mail Security geprüfte E-Mail kann durch Hinzufügen eines Prüfhinweises an den Betreff oder den EMail-Body markiert werden. Diese Funktion erhöht beim Empfänger die Glaubwürdigkeit von Nachrichten. Bei der Erkennung von eingedrungener Schadsoftware stehen wertvolle Informationen zur Verfügung, um den Bedrohungsgrad durch die Nachricht oder den Absender einzuschätzen. Die Optionen für diese Funktion finden Sie unter Erweiterte Einstellungen > Viren- und Spyware-Schutz > EMail-Client-Schutz. Sie haben folgende Optionen: Prüfhinweis zu eingehenden/gelesenen E-Mails hinzufügen und Prüfhinweis zu ausgehenden E-Mails hinzufügen. Außerdem können Sie entscheiden, ob Prüfhinweise allen geprüften E-Mails, nur infizierten E-Mails oder gar keinen E-Mails hinzugefügt werden. ESET Mail Security kann auch Hinweise an den ursprünglichen Betreff der infizierten E-Mails anhängen. Wählen Sie dazu Prüfhinweis an den Betreff empfangener und gelesener infizierter E-Mails anhängen und Prüfhinweis an den Betreff ausgehender infizierter E-Mails anhängen. Der Inhalt der Hinweise kann im Feld Text, der zur Betreffzeile infizierter E-Mails hinzugefügt wird bearbeitet werden. Die erwähnte Bearbeitung kann das Filtern von infizierten E-Mails automatisieren, indem infizierte E-Mails mit einem bestimmten Betreff in einem separaten Ordner abgelegt werden (falls Ihr E-Mail-Programm dies unterstützt). 4.1.2.3 Eingedrungene Schadsoftware entfernen Bei Empfang einer infizierten E-Mail-Nachricht wird eine Warnung angezeigt. Die Warnung enthält den Namen des Absenders, die E-Mail und den Namen der eingedrungenen Schadsoftware. Im unteren Bereich des Fensters können Sie zwischen den Optionen Säubern, Löschen oder Übergehen für das erkannte Objekt auswählen. In fast allen Fällen sollten Sie entweder Säubern oder Löschen wählen. Um die infizierte Datei in Ausnahmesituationen zu empfangen, wählen Sie Übergehen. Bei Aktivierung von Immer versuchen, automatisch zu säubern enthält das angezeigte Informationsfenster keinerlei Auswahloptionen für das infizierte Objekt. 65 4.1.3 Web-Schutz Internetzugang ist eine Standardfunktion von Computern. Leider ist diese technische Möglichkeit mittlerweile auch der wichtigste Weg zur Verbreitung von Schadsoftware. Daher müssen Sie Art und Umfang Ihres WebSchutzes genau abwägen. Wir empfehlen dringend, dass die Option Viren- und Spyware-Schutz aktivieren zu aktivieren. Dieses Kontrollkästchen erreichen Sie über Erweiterte Einstellungen (F5) > Viren- und SpywareSchutz > Web-Schutz. 4.1.3.1 HTTP, HTTPS Der Web-Schutz besteht in der Überwachung der Kommunikation zwischen Webbrowsern und Remoteservern und entspricht den Regeln für HTTP (Hypertext Transfer Protocol) und HTTPS (verschlüsselte Kommunikation). ESET Mail Security ist standardmäßig für die Standards der gängigen Webbrowser konfiguriert. Dennoch können Sie die Einstellungen für die HTTP-Prüfung unter Erweiterte Einstellungen (F5) > Viren- und Spyware-Schutz > WebSchutz > HTTP, HTTPS bearbeiten. Im Hauptfenster für die HTTP-Filterung können Sie die Option HTTP-Prüfung aktivieren aus- bzw. abwählen. Außerdem können Sie die Portnummern für die HTTP-Kommunikation festlegen. In der Standardeinstellung sind die Portnummern 80, 8080 und 3128 vorgegeben. Folgende Optionen stehen für die HTTPS-Prüfung zur Verfügung: HTTPS-Protokollprüfung nicht verwenden - Verschlüsselte Kommunikation wird nicht geprüft HTTPS-Protokollprüfung für ausgewählte Ports durchführen - Die HTTPS-Prüfung wird nur für die im Bereich Portnutzung HTTPS-Protokoll festgelegten Ports durchgeführt. 66 4.1.3.1.1 Adressverwaltung In diesem Bereich können Sie festlegen, welche HTTP-Adressen blockiert, zugelassen oder von der Prüfung ausgeschlossen werden sollen. Mit den Schaltflächen Hinzufügen, Bearbeiten, Entfernen und Exportieren können Sie die Adresslisten verwalten. Auf Websites, die in der Liste der blockierten Adressen aufgeführt sind, ist kein Zugriff möglich. Websites, die in der Liste der ausgeschlossenen Websites aufgeführt sind, werden vor dem Zugriff nicht auf Schadcode überprüft. Durch Aktivierung der Option Nur Zugriff auf HTTP-Adressen aus der Liste zulässiger Adressen erlauben können Sie nur auf Adressen in dieser Liste zugreifen, während alle anderen HTTPAdressen blockiert werden. In allen Listen können Sie die Platzhalterzeichen * (Sternchen) und ? (Fragezeichen) verwenden. Das Sternchen steht für eine beliebige Zeichenfolge, das Fragezeichen für ein einzelnes Zeichen. Gehen Sie in diesem Zusammenhang bei der Liste der ausgeschlossenen Adressen mit Bedacht vor, da diese nur vertrauenswürdige und sichere Adressen enthalten darf. Achten Sie daher gerade bei dieser Liste darauf, dass die Platzhalter * und ? korrekt verwendet werden. Um eine Liste zu aktivieren, wählen Sie die Option Liste aktiv. Wenn Sie beim Zugriff auf eine Adresse aus der aktuellen Liste benachrichtigt werden möchten, wählen Sie Benachrichtigung bei Verwendung von Adresse aus Liste. 67 4.1.3.1.2 Aktiver Modus Über die Webbrowser-Funktion von ESET Mail Security können Sie festlegen, ob es sich bei einer Anwendung um einen Browser handelt oder nicht. Wird eine Anwendung als Browser eingestuft, wird der gesamte Datenverkehr dieser Anwendung überwacht, und zwar unabhängig von den verwendeten Portnummern. Die Webbrowser-Funktion ist eine Ergänzung der HTTP-Prüfung, da die HTTP-Prüfung nur für ausgewählte Ports durchgeführt wird. Viele Internetdienste verwenden jedoch sich ändernde oder unbekannte Portnummern. Um diesem Sachverhalt Rechnung zu tragen, kann mithilfe der Webbrowser-Funktion die gesamte Portkommunikation unabhängig von den Verbindungsparametern überwacht werden. Die Liste der als Webbrowser eingestuften Anwendungen kann direkt im Untermenü Webbrowser im Menübereich HTTP, HTTPS eingesehen werden. Dieser Abschnitt enthält außerdem das Untermenü Aktiver 68 Modus, in dem der Prüfungsmodus für die Webbrowser festgelegt wird. Die Funktion Aktiver Modus dient der Untersuchung der übertragenen Daten als Ganzes. Ist die Option nicht aktiviert, wird die Kommunikation der Anwendungen nur Stück für Stück überwacht. Dies verringert die Effizienz der Datenverifizierung, erhöht jedoch die Kompatibilität der aufgeführten Anwendungen. Verursacht das Verfahren keine Probleme, sollten Sie den aktiven Modus aktivieren, indem Sie im Kontrollkästchen der gewünschten Anwendung ein Häkchen setzen. 4.1.4 On-Demand-Prüfung Wenn Sie den Verdacht haben, dass Ihr Computer infiziert ist (anormales Verhalten), führen Sie eine On-DemandPrüfung aus, um Ihren Computer auf eingedrungene Schadsoftware zu untersuchen. Aus Sicherheitsgründen ist es dringend erforderlich, dass Sie Ihren Computer nicht nur bei Infektionsverdacht prüfen, sondern diese Prüfung in die allgemeinen Sicherheitsroutinen integrieren. Durch regelmäßige Prüfungen kann eingedrungene Schadsoftware erkannt werden, die vom Echtzeit-Dateischutz zum Zeitpunkt der Speicherung der Schadsoftware nicht erkannt wurde. Dies kommt z. B. vor, wenn die Echtzeit-Prüfung zum Zeitpunkt der Infektion deaktiviert war oder die Signaturdatenbank nicht auf dem neuesten Stand ist. Sie sollten mindestens einmal im Monat eine On-Demand-Prüfung vornehmen. Sie können die Prüfung als Task unter Tools > Taskplaner konfigurieren. 69 4.1.4.1 Prüfungstyp Es gibt zwei verschiedene Arten der On-Demand-Prüfung. Bei der Standardprüfung wird das System schnell überprüft, ohne dass Sie dafür weitere Prüfparameter konfigurieren müssen. Bei der Methode Prüfen mit speziellen Einstellungen können Sie ein vordefiniertes Prüfprofil und die zu prüfenden Objekte auswählen. 4.1.4.1.1 Standardprüfung Mit der Standardprüfung können Sie schnell den Computer prüfen und infizierte Dateien säubern, ohne eingreifen zu müssen. Die Bedienung ist einfach, und es ist keine ausführliche Konfiguration erforderlich. Bei der Standardprüfung werden alle Dateien auf allen Laufwerken geprüft, und erkannte eingedrungene Schadsoftware wird automatisch entfernt. Als Säuberungsstufe wird automatisch der Standardwert festgelegt. Weitere Informationen zu den Entfernungstypen finden Sie unter Entfernen 78 . 4.1.4.1.2 Prüfen mit speziellen Einstellungen Über die Option „Prüfen mit speziellen Einstellungen“ können Sie Prüfparameter wie die zu prüfenden Objekte oder Prüfmethoden angeben. Der Vorteil dieser Methode ist die Möglichkeit zur genauen Parameterkonfiguration. Verschiedene Konfigurationen können in benutzerdefinierten Prüfprofilen gespeichert werden. Das ist sinnvoll, wenn Prüfungen wiederholt mit denselben Parametern ausgeführt werden. Mit der Option Computer prüfen > Prüfen mit speziellen Einstellungen können Sie Zu prüfende Objekte aus der Liste oder in der Baumstruktur auswählen. Sie können ein zu prüfendes Objekt auch genauer bestimmen, indem Sie den Pfad zu dem Ordner oder den Dateien eingeben, die geprüft werden sollen. Wenn Sie nur das System ohne zusätzliche Säuberung prüfen möchten, wählen Sie die Option Nur prüfen, keine Aktion. Außerdem können Sie zwischen drei Säuberungsstufen wählen. Klicken Sie dazu auf Einstellungen > Säubern. 70 4.1.4.2 Zu prüfende Objekte In der Dropdown-Liste der zu prüfenden Objekte können Sie Dateien, Ordner und Medien (Laufwerke) auswählen, die auf Viren geprüft werden sollen. Nach Profileinstellungen - Zu prüfende Objekte entsprechen denen, die im Profil festgelegt sind Wechselmedien - Geprüft werden Disketten, USB-Speichergeräte, CDs/DVDs Lokale Laufwerke - Geprüft werden alle lokalen Laufwerke Netzlaufwerke - Geprüft werden alle zugeordneten Netzlaufwerke Keine Auswahl - Bricht die Zielauswahl ab Sie können ein zu prüfendes Objekt auch genauer definieren, indem Sie den Pfad zu dem Ordner oder den Dateien eingeben, die geprüft werden sollen. Wählen Sie die zu prüfenden Objekte aus der Baumstruktur aus, in der alle auf dem Computer verfügbaren Ordner aufgelistet werden. 4.1.4.3 Prüfprofile Ihre bevorzugten Einstellungen können für zukünftige Prüfungen gespeichert werden. Wir empfehlen Ihnen, für jede regelmäßig durchgeführte Prüfung ein eigenes Profil zu erstellen (mit verschiedenen zu prüfenden Objekten, Prüfmethoden und anderen Parametern). Um ein neues Profil zu erstellen, öffnen sie das Fenster mit den erweiterten Einstellungen (F5) und klicken Sie auf On-Demand-Prüfung > Profile. Im Fenster Konfigurationsprofile befindet sich eine Dropdown-Liste mit den bestehenden Prüfprofilen und der Option zum Erstellen eines neuen Profils. Eine Beschreibung der einzelnen Prüfeinstellungen finden Sie im Abschnitt Einstellungen für ThreatSense 75 . So können Sie ein Prüfprofil erstellen, das auf Ihre Anforderungen zugeschnitten ist. BEISPIEL: Nehmen wir an, Sie möchten Ihr eigenes Prüfprofil erstellen. Die Standardprüfung eignet sich in gewissem Maße, aber Sie möchten nicht die laufzeitkomprimierten Dateien oder potenziell unsichere Anwendungen prüfen. Außerdem möchten Sie die Option Immer versuchen, automatisch zu entfernen anwenden. Klicken Sie im Fenster Konfigurationsprofile auf die Schaltfläche Hinzufügen. Geben Sie den Namen des neuen Profils im entsprechenden Feld ein und wählen Sie aus der Dropdown-Liste Einstellungen kopieren von Profil die Option Smart-Prüfung. Passen Sie anschließend die übrigen Parameter Ihren eigenen Erfordernissen an. 71 4.1.4.4 Kommandozeile Das Virenschutz-Modul von ESET Mail Security kann über die Kommandozeile gestartet werden, entweder manuell (mit dem Befehl „ecls“) oder über eine Batch-Datei („.bat“). Folgende Parameter und Switches stehen zur Verfügung, um die manuelle Prüfung über die Kommandozeile auszuführen: Allgemeine Optionen: - help Hilfe anzeigen und beenden - version Versionsinformationen anzeigen und beenden - base-dir = ORDNER Module laden aus ORDNER - quar-dir = ORDNER Quarantäne-ORDNER - aind Aktivitätsanzeige anzeigen Zu prüfende Objekte: - files Dateien prüfen (Standardeinstellung) - no-files Dateien nicht prüfen - boots Bootsektoren prüfen (Standardeinstellung) - no-boots Bootsektoren nicht prüfen - arch Archive prüfen (Standardeinstellung) - no-arch Archive nicht prüfen - max-archive-level = LEVEL Maximale Verschachtelungsstufe (LEVEL) bei Archiven - scan-timeout = LIMIT Archive maximal LIMIT Sekunden prüfen. Wenn die Dauer der Prüfung den festgelegten Wert erreicht, wird die Prüfung beendet und die Prüfung der nächsten Datei beginnt. - max-arch-size = ANZAHL Nur die ersten ANZAHL Byte in Archiven prüfen (Standardeinstellung: 0 = unbegrenzt) - mail E-Mail-Dateien prüfen - no-mail E-Mail-Dateien nicht prüfen - sfx Selbstentpackende Archive prüfen - no-sfx Selbstentpackende Archive nicht prüfen - rtp Laufzeitkomprimierte Dateien prüfen - no-rtp Laufzeitkomprimierte Dateien nicht prüfen - exclude = ORDNER ORDNER von der Prüfung ausschließen - subdir Unterordner prüfen (Standardeinstellung) - no-subdir Unterordner nicht prüfen - max-subdir-level = LEVEL Maximale Verschachtelungsstufe (LEVEL) bei untergeordneten Verzeichnissen (Standardeinstellung: 0 = unbegrenzt) - symlink Symbolischen Links folgen (Standardeinstellung) - no-symlink Symbolischen Links nicht folgen - ext-remove = ERWEITERUNGEN 72 - ext-exclude = ERWEITERUNGEN ERWEITERUNGEN (Trennzeichen Doppelpunkt) nicht prüfen Methoden: - adware Auf Adware/Spyware/Riskware prüfen - no-adware Nicht auf Adware/Spyware/Riskware prüfen - unsafe Auf potenziell unsichere Anwendungen prüfen - no-unsafe Nicht auf potenziell unsichere Anwendungen prüfen - unwanted Auf evtl. unerwünschte Anwendungen prüfen - no-unwanted Nicht auf potenziell unerwünschte Anwendungen prüfen - pattern Signaturdatenbank verwenden - no-pattern Signaturdatenbank nicht verwenden - heur Heuristik aktivieren - no-heur Heuristik deaktivieren - adv-heur Advanced Heuristik aktivieren - no-adv-heur Advanced Heuristik deaktivieren Säubern: - action = AKTION AKTION für infizierte Objekte ausführen. Mögliche Aktionen: none, clean, prompt (keine, Säubern, Aufforderung anzeigen) - quarantine Infizierte Dateien in die Quarantäne kopieren (ergänzt AKTION) - no-quarantine Infizierte Dateien nicht in die Quarantäne kopieren Logs: - log-file=DATEI Ausgabe in DATEI protokollieren - log-rewrite Ausgabedatei überschreiben (Standardeinstellung: Anhängen) - log-all Saubere Dateien auch in Log aufnehmen - no-log-all Saubere Dateien nicht in Log aufnehmen (Standardeinstellung) Mögliche Exitcodes der Prüfung: 0 - keine Bedrohungen gefunden 1 - Bedrohung gefunden, aber nicht entfernt 10 - es sind noch infizierte Dateien vorhanden 101 - Archivfehler 102 - Zugriffsfehler 103 - interner Fehler HINWEIS: Exitcodes größer 100 bedeuten, dass die Datei nicht geprüft wurde und daher infiziert sein kann. 73 4.1.5 Leistung In diesem Bereich können Sie die Anzahl der ThreatSense-Prüfengines festlegen, die für den Virenschutz eingesetzt werden. Auf Mehrprozessor-Computern kann eine höhere Anzahl an ThreatSense-Prüfengines die Prüfrate erhöhen. Der zulässige Wertebereich ist 1-20. Wenn möglich, sollte die Anzahl der ThreatSense-Prüfengines unter erweiterte Einstellungen (F5) > ComputerSchutz > Viren- und Spyware-Schutz > Leistung nach folgender Formel erhöht werden: Anzahl der ThreatSensePrüfengines = (Anzahl der physischen Prozessoren x 2) + 1. Die Anzahl der Prüfungs-Threads und die Anzahl der ThreatSensePrüfengines sollten gleich sein. Unter Server-Schutz > Viren- und Spyware-Schutz > Microsoft Exchange Server > VSAPI > Leistung können Sie die Anzahl der Prüfengines festlegen. Beispiel: Angenommen, Sie besitzen einen Server mit 4 physischen Prozessoren. Die beste Leistung erreichen Sie also nach der oben genannten Formel mit 9 Prüfungs-Threads und 9 Prüfengines. HINWEIS: Es wird empfohlen, die gleiche Anzahl Prüfungs-Threads und ThreatSense-Prüfengines zu verwenden. Die Leistung des Programms ändert sich nicht, wenn Sie mehr Prüfungs-Threads als Prüfengines festlegen. HINWEIS: In diesem Bereich vorgenommene Änderungen werden erst nach einem Neustart übernommen. 4.1.6 Prüfen von Anwendungsprotokollen Die ThreatSense-Prüfengine, in der alle erweiterten Prüfmethoden integriert sind, bietet Virenschutz für die Anwendungsprotokolle POP3 und HTTP. Die Prüfung ist unabhängig vom eingesetzten E-Mail-Programm oder Webbrowser. Für das Prüfen von Anwendungsprotokollen stehen folgende Optionen zur Verfügung (vorausgesetzt, die Option Prüfen von anwendungsspezifischen Protokollen aktivieren ist aktiviert): HTTP- und POP3-Ports - Begrenzt die Prüfung des Datenverkehrs auf bekannte HTTP- und POP3-Ports. Als Webbrowser oder E-Mail-Programme eingestufte Anwendungen - Mit dem Aktivieren dieser Option wird nur der Datenverkehr von Anwendungen geprüft, die als Webbrowser (Web-Schutz > HTTP, HTTPS > Webbrowser ) und E-Mail-Programme (E-Mail-Client-Schutz > POP3, POP3S > E-Mail-Clients) eingestuft sind. Als Webbrowser oder E-Mail-Programme eingestufte Ports und Anwendungen - Sowohl Ports als auch Webbrowser werden auf Schadsoftware geprüft. HINWEIS: Ab Windows Vista Service Pack 1 und Windows Server 2008 wird zur Prüfung der Kommunikation eine neue-Filtermethode verwendet. Daher steht das „Prüfen von Anwendungsprotokollen“ nicht zur Verfügung. 4.1.6.1 SSL Mit ESET Mail Security können Sie Protokolle prüfen, die im SSL-Protokoll gekapselt sind. Für durch SSL geschützte Kommunikation gibt es verschiedene Prüfmodi mit vertrauenswürdigen und unbekannten Zertifikaten sowie Zertifikaten, die von der Prüfung SSL-geschützter Kommunikation ausgeschlossen sind. SSL-Protokoll immer prüfen - Aktivieren Sie diese Option, um jegliche SSL-geschützte Kommunikation zu prüfen (außer wenn Zertifikate verwendet werden, die von der Prüfung ausgeschlossen sind). Wird eine Verbindung mit einem unbekannten, signierten Zertifikat erstellt, so wird sie ohne gesonderten Hinweis automatisch geprüft. Wenn Sie auf einen Server mit einem nicht vertrauenswürdigen Zertifikat, das Sie zur Liste der vertrauenswürdigen Zertifikate hinzugefügt und damit als vertrauenswürdig eingestuft haben, zugreifen, wird die Kommunikation zugelassen und der Inhalt des Kommunikationskanals geprüft. Nach nicht besuchten Websites fragen (es können Ausschlüsse festgelegt werden) - Wenn Sie auf eine durch SSL geschützte Website (mit einem unbekannten Zertifikat) zugreifen, wird eine Aktionsauswahl angezeigt. In diesem Modus können Sie eine Liste von SSL-Zertifikaten erstellen, die von der Prüfung ausgeschlossen sind. SSL-Protokoll nicht prüfen - Ist diese Option aktiviert, prüft das Programm keine Kommunikation via SSL. Wenn das Zertifikat nicht über den Speicher vertrauenswürdiger Stammzertifizierungsstellen geprüft werden kann (Prüfen von Anwendungsprotokollen > SSL > Zertifikate): Gültigkeit des Zertifikats erfragen - Fordert den Benutzer auf, eine Aktion auszuwählen. Kommunikation blockieren, die das Zertifikat verwendet - Beendet die Verbindung zur Website, die das Zertifikat verwendet. 74 Wird ein ungültiges oder beschädigtes Zertifikat verwendet (Prüfen von Anwendungsprotokollen > SSL > Zertifikate): Gültigkeit des Zertifikats erfragen - Fordert den Benutzer auf, eine Aktion auszuwählen. Kommunikation blockieren, die das Zertifikat verwendet - Beendet die Verbindung zur Website, die das Zertifikat verwendet. 4.1.6.1.1 Vertrauenswürdige Zertifikate Neben dem integrierten Speicher vertrauenswürdiger Stammzertifizierungsstellen, in dem ESET Mail Security vertrauenswürdige Zertifikate speichert, können diese außerdem in einer benutzerdefinierten Liste abgelegt werden. Über Erweiterte Einstellungen (F5) > Prüfen von Anwendungsprotokollen > SSL > Zertifikate > Vertrauenswürdige Zertifikate können Sie sich diese Liste anzeigen lassen. 4.1.6.1.2 Ausgeschlossene Zertifikate Der Bereich „Ausgeschlossene Zertifikate“ enthält Zertifikate, die als sicher gelten. Das Programm prüft den Inhalt verschlüsselter Verbindungen, die ein in dieser Liste enthaltenes Zertifikat verwenden, nicht auf Bedrohungen. Es wird empfohlen, nur garantiert sichere Webzertifikate auszuschließen, sodass die Verbindungen mithilfe dieser Zertifikate nicht geprüft werden müssen. 4.1.7 Einstellungen für ThreatSense ThreatSense ist eine Technologie, die verschiedene Methoden zur Erkennung von Bedrohungen verwendet. Die Technologie arbeitet proaktiv, d. h. sie schützt das System auch während der ersten Stunden eines neuen Angriffs. Eingesetzt wird eine Kombination verschiedener Methoden (Code-Analyse, Code-Emulation, allgemeine Signaturen, Virussignaturen), die zusammen die Systemsicherheit deutlich erhöhen. Die Prüfengine kann verschiedene Datenströme gleichzeitig kontrollieren und so die Effizienz und Erkennungsrate steigern. Die ThreatSense-Technologie entfernt auch erfolgreich Rootkits. In den Einstellungen für ThreatSense können Sie verschiedene Prüfparameter festlegen: Dateitypen und -erweiterungen, die geprüft werden sollen Die Kombination verschiedener Erkennungsmethoden Säuberungsstufen usw. Um das Fenster für die Einstellungen zu öffnen, klicken Sie auf die Schaltfläche Einstellungen, die im Fenster aller Module angezeigt wird, die ThreatSense verwenden (siehe unten). Je nach Anforderung sind eventuell verschiedene Sicherheitseinstellungen erforderlich. Dies sollte bei den individuellen ThreatSense-Einstellungen für die folgenden Schutzmodule berücksichtigt werden: Echtzeit-Dateischutz 59 Prüfung Systemstartdateien E-Mail-Schutz 63 Web-Schutz 66 On-Demand-Prüfung 69 Die ThreatSense-Parameter sind für jedes Modul optimal eingerichtet, und eine Veränderung der Einstellungen kann den Systembetrieb deutlich beeinflussen. So kann zum Beispiel eine Änderung der Einstellungen für das Prüfen laufzeitkomprimierter Dateien oder die Aktivierung der Advanced Heuristik im Echtzeit-Dateischutz dazu führen, dass das System langsamer arbeitet (normalerweise werden mit diesen Methoden nur neu erstellte Dateien geprüft). Es wird daher empfohlen, die Standard-Parameter für ThreatSense in allen Modulen unverändert beizubehalten. Änderungen sollten nur im Modul „On-Demand-Prüfung“ vorgenommen werden. 75 4.1.7.1 Einstellungen für Objekte Im Bereich Objekte können Sie festlegen, welche Dateien und Komponenten Ihres Computers auf Schadcode geprüft werden sollen. Arbeitsspeicher - Prüfung auf Bedrohungen für den Arbeitsspeicher des Systems. Systembereiche (Boot, MBR) - Prüfung der Bootsektoren auf Viren im Master Boot Record. Dateien - Prüfung der gängigen Dateitypen (Programm-, Bild-, Audio-, Video-, Datenbankdateien usw.). E-Mail-Dateien - Prüfung spezieller Dateien, die E-Mail-Nachrichten enthalten. Archive - Prüfung von komprimierten Archivdateien (.rar, .zip, .arj, .tar usw.). Selbstentpackende Archive - Prüfung von Dateien in selbstentpackenden Archiven (üblicherweise mit der Erweiterung EXE). Laufzeitkomprimierte Dateien - Laufzeitkomprimierte Dateien werden (anders als Standard-Archivtypen) im Arbeitsspeicher dekomprimiert, zusätzlich zu statisch laufzeitkomprimierten Dateien (UPX, yoda, ASPack, FGS usw.). HINWEIS: Ein blauer Punkt neben einem Parameter bedeutet, dass der Parameter an dieser Stelle eine andere Einstellung als in anderen ThreatSense-basierten Modulen hat. Da Sie denselben Parameter für jedes Modul unterschiedlich konfigurieren können, soll Sie dieser blaue Punkt auf die Unterschiede hinweisen. Ist kein blauer Punkt zu sehen, so ist der Parameter in allen Modulen identisch konfiguriert. 4.1.7.2 Optionen Im Bereich Optionen können Sie die Methoden festlegen, die während einer Prüfung des Systems auf eingedrungene Schadsoftware angewendet werden sollen. Die folgenden Optionen stehen zur Verfügung: Heuristik - Heuristische Methoden verwenden einen Algorithmus, der (bösartige) Aktivitäten von Programmen analysiert. Mit ihrer Hilfe können bis dato unbekannte Schadprogramme oder Viren, die nicht in der Liste bekannter Viren (Signaturdatenbank) aufgeführt waren, erkannt werden. Advanced Heuristik - Als Advanced-Heuristik werden besondere heuristische Verfahren bezeichnet, die von ESET entwickelt wurden, um Würmer und Trojaner zu erkennen, die in höheren Programmiersprachen geschrieben wurden. Die Erkennungsfähigkeiten des Programms werden durch die Advanced Heuristik erheblich verbessert. Evtl. unerwünschte Anwendungen - Bei eventuell unerwünschten Anwendungen handelt es sich um Programme, die zwar nicht unbedingt Sicherheitsrisiken mit sich bringen, aber negative Auswirkungen auf Leistung und Verhalten Ihres Computers haben können. Als Benutzer werden Sie normalerweise vor deren Installation zur Bestätigung aufgefordert. Nach erfolgter Installation ändert sich das Systemverhalten (im Vergleich zum Stand vor der Installation). Dazu zählen vor allem ungewollte Popup-Fenster, die Aktivierung und Ausführung versteckter 76 Prozesse, die erhöhte Inanspruchnahme von Systemressourcen, Änderungen in Suchergebnissen sowie die Kommunikation von Anwendungen mit Remote-Servern. Potenziell unsichere Anwendungen - Zur Kategorie der potenziell unsicheren Anwendungen zählen Programme, die zwar erwünscht sind, jedoch potenziell gefährliche Funktionen bereitstellen. Da hierzu auch Programme für das Fernsteuern von Computern gehören, ist diese Option standardmäßig deaktiviert. Potenziell gefährliche Anhänge Die Option „Potenziell gefährliche Anhänge“ bietet Schutz vor schädlichen Bedrohungen, die als E-Mail-Anhang verbreitet werden, beispielsweise Ransomware-Trojaner. Eine solche Bedrohung kann beispielsweise eine ausführbare Datei sein, die als herkömmliche Dokumentdatei (z. B. eine PDF-Datei) „getarnt“ ist. Wenn der Benutzer die Datei öffnet, dringt die Bedrohung in das System ein. Dabei versucht die Bedrohung, die schädlichen Ziele im System auszuführen. HINWEIS: Ein blauer Punkt neben einem Parameter bedeutet, dass der Parameter an dieser Stelle eine andere Einstellung als in anderen ThreatSense-basierten Modulen hat. Da Sie denselben Parameter für jedes Modul unterschiedlich konfigurieren können, soll Sie dieser blaue Punkt auf die Unterschiede hinweisen. Ist kein blauer Punkt zu sehen, so ist der Parameter in allen Modulen identisch konfiguriert. 77 4.1.7.3 Säubern Die Einstellungen zum Entfernen von Schadcode legen fest, wie beim Entfernen vorgegangen werden soll. Es gibt drei Arten der Schadcodeentfernung: Nicht säubern - Der in infizierten Objekten erkannte Schadcode wird nicht automatisch entfernt. Eine Warnung wird angezeigt, und Sie werden aufgefordert, eine Aktion auszuwählen. Normales Säubern - Das Programm versucht, den Schadcode automatisch aus der Datei zu entfernen oder eine infizierte Datei zu löschen. Wenn es nicht möglich ist, die angemessene Aktion automatisch zu bestimmen, wird der Benutzer aufgefordert, eine Aktion auszuwählen. Diese Auswahl wird dem Benutzer auch dann angezeigt, wenn eine vordefinierte Aktion nicht erfolgreich abgeschlossen werden konnte. Immer versuchen, automatisch zu säubern - Das Programm entfernt den Schadcode aus infizierten Dateien oder löscht diese Dateien (einschließlich Archive). Ausnahmen gelten nur für Systemdateien. Wenn es nicht möglich ist, den Schadcode zu entfernen, werden Sie in der angezeigten Warnung aufgefordert, eine Aktion auszuwählen. Warnung: Im Standardmodus „Normales Säubern“ wird das gesamte Archiv nur gelöscht, wenn es ausschließlich infizierte Dateien enthält. Sind auch nicht infizierte Dateien vorhanden, wird die Archivdatei nicht gelöscht. Im Modus „Immer versuchen, automatisch zu säubern“ wird die gesamte Archivdatei gelöscht, auch wenn sie nicht infizierte Dateien enthält. HINWEIS: Ein blauer Punkt neben einem Parameter bedeutet, dass der Parameter an dieser Stelle eine andere Einstellung als in anderen ThreatSense-basierten Modulen hat. Da Sie denselben Parameter für jedes Modul unterschiedlich konfigurieren können, soll Sie dieser blaue Punkt auf die Unterschiede hinweisen. Ist kein blauer Punkt zu sehen, so ist der Parameter in allen Modulen identisch konfiguriert. 78 4.1.7.4 Erweiterungen Die Erweiterung ist der Teil des Dateinamens nach dem Punkt. Die Erweiterung definiert den Typ und den Inhalt der Datei. In diesem Abschnitt der ThreatSense-Einstellungen können Sie die Dateitypen festlegen, die geprüft werden sollen. In der Standardeinstellung werden alle Dateien unabhängig von ihrer Erweiterung geprüft. Jede Erweiterung kann der Liste auszuschließender Dateien hinzugefügt werden. Ist die Option Alle Dateien prüfen deaktiviert, zeigt die Liste alle aktuell geprüften Dateinamens-Erweiterungen an. Über die Schaltflächen Hinzufügen und Entfernen können Sie festlegen, welche Erweiterungen geprüft werden sollen. Um die Prüfung von Dateien ohne Erweiterung zuzulassen, aktivieren Sie die Option Dateien ohne Erweiterung prüfen. Der Ausschluss bestimmter Dateien ist dann sinnvoll, wenn die Prüfung bestimmter Dateitypen die Funktion eines Programms beeinträchtigt, das diese Erweiterungen verwendet. So sollten Sie z. B. die Erweiterungen EDB, EML und TMP ausschließen, wenn Sie Microsoft Exchange Server verwenden. HINWEIS: Ein blauer Punkt neben einem Parameter bedeutet, dass der Parameter an dieser Stelle eine andere Einstellung als in anderen ThreatSense-basierten Modulen hat. Da Sie denselben Parameter für jedes Modul unterschiedlich konfigurieren können, soll Sie dieser blaue Punkt auf die Unterschiede hinweisen. Ist kein blauer Punkt zu sehen, so ist der Parameter in allen Modulen identisch konfiguriert. 4.1.7.5 Grenzen Im Bereich „Grenzen“ können Sie die Maximalgröße von Elementen und Stufen verschachtelter Archive festlegen, die geprüft werden sollen: Maximale Objektgröße: - Definiert die Maximalgröße der zu prüfenden Elemente. Der aktuelle Virenschutz prüft dann nur die Elemente, deren Größe unter der angegebenen Maximalgröße liegt. Der Standardwert sollte nicht geändert werden; für gewöhnlich besteht dazu auch kein Grund. Diese Option sollte nur von fortgeschrittenen Benutzern geändert werden, die bestimmte Gründe dafür haben, größere Objekte von der Prüfung auszuschließen. Maximale Prüfzeit pro Objekt (Sek.): - Definiert die maximale Dauer für die Prüfung eines Elements. Wenn hier ein benutzerdefinierter Wert eingegeben wurde, beendet der Virenschutz die Prüfung eines Elements, sobald diese Zeit abgelaufen ist, und zwar ungeachtet dessen, ob die Prüfung abgeschlossen ist oder nicht. Verschachtelungstiefe bei Archiven: - Gibt die maximale Suchtiefe bei Archiven an. Der Standardwert 10 sollte nicht geändert werden; unter normalen Umständen besteht dazu auch kein Grund. Wenn die Prüfung aufgrund der Anzahl verschachtelter Archive vorzeitig beendet wird, bleibt das Archiv ungeprüft. Maximalgröße von Dateien im Archiv: - Mithilfe dieser Option können Sie die maximale Dateigröße der in zu prüfenden Archiven enthaltenen Dateien (im extrahierten Zustand) angeben. Wenn durch Überschreiten dieses Werts die Prüfung vorzeitig beendet wird, bleibt das Archiv ungeprüft. 79 HINWEIS: Ein blauer Punkt neben einem Parameter bedeutet, dass der Parameter an dieser Stelle eine andere Einstellung als in anderen ThreatSense-basierten Modulen hat. Da Sie denselben Parameter für jedes Modul unterschiedlich konfigurieren können, soll Sie dieser blaue Punkt auf die Unterschiede hinweisen. Ist kein blauer Punkt zu sehen, so ist der Parameter in allen Modulen identisch konfiguriert. 4.1.7.6 Sonstige Alternative Datenströme (ADS) prüfen - Bei den von NTFS-Dateisystemen verwendeten alternativen Datenströmen (ADS) handelt es sich um Datei- und Ordnerzuordnungen, die mit herkömmlichen Prüftechniken nicht erkannt werden können. Eingedrungene Schadsoftware tarnt sich häufig als alternativer Datenstrom, um nicht erkannt zu werden. Hintergrundprüfungen mit geringer Priorität ausführen - Jede Prüfung nimmt eine bestimmte Menge von Systemressourcen in Anspruch. Wenn Sie mit Anwendungen arbeiten, die die Systemressourcen stark beanspruchen, können Sie eine Hintergrundprüfung mit geringer Priorität aktivieren, um Ressourcen für die Anwendungen zu sparen. Alle Objekte in Log aufnehmen - Wenn Sie diese Option aktivieren, werden alle geprüften Dateien in das Log eingetragen, auch Dateien, bei denen keine Infektion erkannt wurde. Smart-Optimierung aktivieren - Wählen Sie diese Option, damit bereits geprüfte Dateien nicht erneut geprüft werden (sofern sie nicht geändert wurden). Nach einem Update der Signaturdatenbank werden die Dateien sofort wieder geprüft. Datum für „Geändert am“ beibehalten - Aktivieren Sie diese Option, um den Zeitpunkt des ursprünglichen Zugriffs auf geprüfte Dateien beizubehalten (z. B. für die Verwendung mit Datensicherungssystemen), anstatt ihn zu aktualisieren. Bildlauf für Log - Mit dieser Option können Sie den Bildlauf für das Log aktivieren oder deaktivieren. Wenn der Bildlauf aktiviert ist, werden die Informationen im Anzeigefenster nach oben verschoben. Hinweis zum Abschluss der Prüfung in separatem Fenster anzeigen - Es wird ein separates Fenster mit den Informationen über die Prüfergebnisse angezeigt. HINWEIS: Ein blauer Punkt neben einem Parameter bedeutet, dass der Parameter an dieser Stelle eine andere Einstellung als in anderen ThreatSense-basierten Modulen hat. Da Sie denselben Parameter für jedes Modul unterschiedlich konfigurieren können, soll Sie dieser blaue Punkt auf die Unterschiede hinweisen. Ist kein blauer Punkt zu sehen, so ist der Parameter in allen Modulen identisch konfiguriert. 4.1.8 Eingedrungene Schadsoftware wurde erkannt Schadsoftware kann auf vielen Wegen in das System gelangen. Mögliche Eintrittsstellen sind Websites, freigegebene Ordner, E-Mails oder Wechselmedien (USB-Sticks, externe Festplatten, CDs, DVDs, Disketten usw.). Wenn Ihr Computer die Symptome einer Infektion mit Schadsoftware aufweist (Computer arbeitet langsamer als gewöhnlich, hängt sich oft auf usw.), sollten Sie folgendermaßen vorgehen: Öffnen Sie ESET Mail Security und klicken Sie auf „Computer prüfen“. Klicken Sie auf Smart-Prüfung (weitere Informationen siehe Abschnitt Smart-Prüfung 70 ). Nachdem die Prüfung abgeschlossen ist, überprüfen Sie im Log die Anzahl der geprüften, infizierten und wiederhergestellten Dateien. Wenn Sie nur einen Teil Ihrer Festplatte prüfen möchten, wählen Sie Prüfen mit speziellen Einstellungen und anschließend die Bereiche, die auf Viren geprüft werden sollen. Das folgende allgemeine Beispiel soll veranschaulichen, wie in ESET Mail Security mit Schadsoftware umgegangen wird. Nehmen wir einmal an, der Echtzeit-Dateischutz verwendet die Standard-Säuberungsstufe und erkennt eingedrungene Schadsoftware. Daraufhin wird der Versuch gestartet, den Schadcode aus der Datei zu entfernen oder die Datei zu löschen. Ist für den Echtzeitschutz keine vordefinierte Aktion angegeben, müssen Sie in einem Warnungsfenster zwischen verschiedenen Optionen wählen. In der Regel stehen die Optionen Säubern, Löschen und Übergehen zur Auswahl. Es wird nicht empfohlen, die Option Übergehen zu wählen, da sonst die infizierten Dateien nicht behandelt werden. Einzige Ausnahme: Sie sind sich sicher, dass die Datei harmlos ist und versehentlich erkannt wurde. Schadcode entfernen und löschen - Wenden Sie „Schadcode entfernen“ an, wenn eine Datei von einem Virus mit Schadcode infiziert wurde. In einem solchen Fall sollten Sie zuerst versuchen, den Schadcode aus der infizierten 80 Datei zu entfernen und ihren Originalzustand wiederherzustellen. Wenn die Datei ausschließlich Schadcode enthält, wird sie gelöscht. Wenn eine infizierte Datei „gesperrt“ ist oder von einem Systemprozess verwendet wird, muss die Datei in der Regel erst freigegeben werden (häufig ist dazu ein Systemneustart erforderlich), bevor sie gelöscht werden kann. Dateien in Archiven löschen - Im Standardmodus der Aktion „Säubern“ wird das gesamte Archiv nur gelöscht, wenn es ausschließlich infizierte Dateien enthält. Archive, die auch nicht infizierte Dateien enthalten, werden also nicht gelöscht. Die Option „Immer versuchen, automatisch zu entfernen“ sollten Sie allerdings mit Bedacht einsetzen, da in diesem Modus alle Archive gelöscht werden, die mindestens eine infizierte Datei enthalten, und dies unabhängig vom Status der übrigen Archivdateien. 4.2 Aktualisieren des Programms Für maximalen Schutz ist die regelmäßige Aktualisierung von ESET Mail Security die Grundvoraussetzung. Die Updates halten das Programm fortlaufend auf dem neuesten Stand. Dies erfolgt durch Aktualisierung der Signaturdatenbank sowie die Aktualisierung der Programmkomponenten. Über den Punkt Update im Hauptmenü können Sie sich den aktuellen Update-Status anzeigen lassen. Sie sehen hier Datum und Uhrzeit des letzten Updates und können feststellen, ob ein Update erforderlich ist. Die Versionsnummer der Signaturdatenbank wird ebenfalls in diesem Fenster angezeigt. Diese Nummer ist ein aktiver Link zur Website von ESET, auf der alle Signaturen aufgeführt werden, die bei dem entsprechenden Update hinzugefügt wurden. Außerdem finden Sie in diesem Fenster die Option Update der Signaturdatenbank, mit der der Update-Vorgang manuell gestartet werden kann, und grundlegende Update-Einstellungen wie die Lizenzdaten (Benutzername und Passwort), die den Zugriff auf die Update-Server von ESET erlauben. Klicken Sie auf Produktaktivierung, um ein Registrierungsformular zu öffnen, mit dem Sie Ihr ESET SecurityProdukt aktivieren können. Sie erhalten eine E-Mail mit den Lizenzdaten (Benutzername und Passwort). 81 HINWEIS: Ihren Benutzernamen und das Passwort erhalten Sie von ESET nach dem Kauf von ESET Mail Security. 82 4.2.1 Einstellungen für Updates In den Einstellungen für Updates finden Sie Informationen zum Abruf von Updates, z. B. die Liste der Update-Server und die Lizenzdaten für diese Server. Standardmäßig ist das Dropdown-Menü Update-Server auf Automatisch auswählen eingestellt. So werden Updates automatisch von dem ESET-Server heruntergeladen, der am wenigsten belastet ist. Die Einstellungen für Updates finden Sie unter Update in den erweiterten Einstellungen (Taste F5). Die Liste Update-Server zeigt eine Aufstellung der verfügbaren Update-Server. Um einen neuen Update-Server hinzuzufügen, klicken Sie im Bereich Update-Einstellungen für ausgewähltes Profil auf Bearbeiten. Klicken Sie anschließend auf Hinzufügen. Zur Anmeldung beim Update-Server verwenden Sie den Benutzernamen und das Passwort, die beim Kauf erzeugt und Ihnen zugestellt wurden. 83 4.2.1.1 Update-Profile Update-Profile können für verschiedene Update-Konfigurationen und -Tasks erstellt werden. Besonders sinnvoll ist das Erstellen von Update-Profilen für mobile Benutzer, die auf regelmäßige Änderungen bei der Internetverbindung mit entsprechenden Profilen reagieren können. Die Liste Ausgewähltes Profil zeigt das aktuelle Profil an; standardmäßig ist dies Eigenes Profil. Zum Erstellen eines neuen Profils klicken Sie auf Profile und dann auf Hinzufügen. Geben Sie anschließend den Namen des Profils ein. Wenn Sie ein neues Profil erstellen, können Sie die Einstellungen eines bereits bestehenden Profils kopieren, indem Sie die Option Einstellungen kopieren von Profil aus der Liste wählen. Im Fenster mit den Profileinstellungen können Sie den Update-Server in einer Liste verfügbarer Server angeben oder einen neuen Server hinzufügen. Das Dropdown-Menü Update-Server: zeigt die vorhandenen Update-Server. Um einen neuen Update-Server hinzuzufügen, klicken Sie im Bereich Update-Einstellungen für ausgewähltes Profil auf Bearbeiten. Klicken Sie anschließend auf Hinzufügen. 4.2.1.2 Erweiterte Einstellungen für Updates Klicken Sie zum Anzeigen der erweiterten Einstellungen auf Einstellungen. Zu den erweiterten Einstellungen für Updates zählen Konfigurationsoptionen für Update-Modus, HTTP-Proxy, LAN und Update-Mirror. 84 4.2.1.2.1 Update-Modus Auf der Registerkarte Update-Modus finden Sie Optionen zum Aktualisieren der Programmkomponenten. Im Abschnitt Updates für Programmkomponenten stehen drei Optionen zur Verfügung: Niemals ausführen: Neue Updates für Programmkomponenten werden nicht heruntergeladen. Immer ausführen: Neue Updates für Programmkomponenten werden automatisch heruntergeladen. Vor dem Herunterladen Benutzer fragen: Dies ist die Standardeinstellung. Stehen Updates für Programmkomponenten zur Verfügung, werden Sie aufgefordert, sie zu bestätigen oder abzulehnen. Nach der Installation eines Updates für Programmkomponenten kann ein Neustart Ihres Computers erforderlich werden, um die Funktionalität aller Module zu gewährleisten. Im Bereich Computerneustart, falls nach Upgrade erforderlich können Sie eine der folgenden Optionen wählen: Kein Neustart Zur Bestätigung des Neustarts auffordern Computer ohne Nachfrage automatisch neu starten Die Standardeinstellung ist: Zur Bestätigung des Neustarts auffordern. Die Auswahl der geeigneten Option hängt vom jeweiligen Computer ab, auf dem die Einstellungen ausgeführt werden. Beachten Sie die unterschiedliche Funktion von Arbeitsplatzcomputern und Servern - das automatische Neustarten eines Servers nach einem Update kann schwerwiegende Folgen haben. 85 4.2.1.2.2 Proxyserver ESET Mail Security bietet Optionen für die Proxyserver-Einstellungen in zwei verschiedenen Bereichen der erweiterten Einstellungen. Die Einstellungen für den Proxyserver können zum einen unter Allgemein > Proxyserver konfiguriert werden. Hiermit legen Sie die allgemeinen Proxyserver-Einstellungen für alle Funktionen von ESET Mail Security fest. Diese Parameter werden von allen Modulen verwendet, die eine Verbindung zum Internet benötigen. Um die Proxyserver-Einstellungen für diese Ebene festzulegen, aktivieren Sie das Kontrollkästchen Proxyserver verwenden und geben im Feld Proxyserver die entsprechende Adresse zusammen mit dem Port des Proxyservers ein. Wenn der Proxyserver eine Authentifizierung benötigt, aktivieren Sie das Kontrollkästchen Proxyserver erfordert Authentifizierung und geben in die entsprechenden Felder einen gültigen Benutzernamen und das Passwort ein. Klicken Sie auf die Schaltfläche Proxyserver automatisch erkennen, wenn die Einstellungen des Proxyservers automatisch erkannt und eingetragen werden sollen. Die in Internet Explorer festgelegten Einstellungen werden kopiert. HINWEIS: Diese Funktion ruft keine Anmeldedaten (Benutzername und Passwort) ab; Sie müssen diese Informationen eingeben. Die Proxyserver-Einstellungen können auch in den erweiterten Einstellungen für Updates festgelegt werden. Die Einstellungen gelten dann für das entsprechende Update-Profil. Zu dessen Optionen für Proxyserver-Einstellungen gelangen Sie über die Registerkarte HTTP-Proxy unter Erweiterte Einstellungen für Updates. Dort können Sie eine von drei verschiedenen Optionen wählen: In Systemsteuerung eingestellten Proxy verwenden Keinen Proxyserver verwenden Verbindung über Proxyserver (Verbindung wird durch Verbindungseigenschaften definiert) Mit dem Aktivieren der Option In Systemsteuerung eingestellten Proxy verwenden wird die unter „Erweiterte Einstellungen“ (Allgemein > Proxyserver) bereits festgelegte Proxyserver-Konfiguration übernommen (siehe weiter oben in diesem Artikel). 86 Mit der Option Keinen Proxyserver verwenden legen Sie fest, dass kein Proxyserver für Updates von ESET Mail Security genutzt wird. Aktivieren Sie die Option Verbindung über Proxyserver, wenn Sie Updates von ESET Mail Security über einen anderen als den in den allgemeinen Einstellungen (Allgemein > Proxyserver) festgelegten Proxyserver herunterladen möchten. In diesem Fall sind an dieser Stelle Einstellungen erforderlich: Proxyserver-Adresse, Port sowie Benutzername und Passwort, falls erforderlich. Diese Option sollte auch verwendet werden, wenn in den allgemeinen Einstellungen kein Proxyserver festgelegt wurde, aber das Update-Modul von ESET Mail Security die Verbindung über einen Proxyserver aufbaut. Die Standardeinstellung für den Proxyserver ist: In Systemsteuerung eingestellten Proxy verwenden. 87 4.2.1.2.3 Herstellen einer LAN-Verbindung Beim Aktualisieren von einem lokalen Server mit einem Betriebssystem auf Windows NT-Basis ist standardmäßig eine Authentifizierung für jede Netzwerkverbindung erforderlich. In den meisten Fällen besitzt ein lokales Systemkonto keine ausreichenden Berechtigungen für den Zugriff auf den Mirror-Ordner (der Kopien der UpdateDateien enthält). Geben Sie in diesem Fall den Benutzernamen und das Passwort in den Update-Einstellungen ein, oder geben Sie ein Konto an, über das das Programm auf den Update-Mirror zugreifen kann. Zum Konfigurieren eines solchen Kontos klicken Sie auf die Registerkarte LAN. Der Bereich Verbindung mit dem LAN herstellen enthält die Optionen Systemkonto (Standard), Aktueller Benutzer und Folgender Benutzer. Wählen Sie Systemkonto (Standard), um das Systemkonto für die Authentifizierung zu verwenden. Normalerweise findet keine Authentifizierung statt, wenn in den Haupteinstellungen für Updates keine Anmeldedaten angegeben sind. Wenn sich das Programm mit dem Konto des aktuell angemeldeten Benutzers anmelden soll, wählen Sie Aktueller Benutzer. Nachteil dieser Lösung ist, dass das Programm keine Verbindung zum Update-Server herstellen kann, wenn kein Benutzer angemeldet ist. Wählen Sie Folgender Benutzer, wenn das Programm ein spezielles Benutzerkonto für die Authentifizierung verwenden soll. Warnung: Wenn eine der Optionen Aktueller Benutzer oder Folgender Benutzer aktiviert ist, kann ein Fehler beim Wechsel der Identität zum gewünschten Benutzer auftreten. Aus diesem Grund wird empfohlen, die LANAnmeldedaten in den Haupteinstellungen für Updates einzugeben. In diesen Update-Einstellungen geben Sie die Anmeldedaten wie folgt ein: Domänenname\Benutzer (bei einer Arbeitsgruppe geben Sie Arbeitsgruppenname\Name ein) und das Passwort. Bei Aktualisierung von der HTTP-Version des lokalen Servers ist keine Authentifizierung erforderlich. 88 4.2.1.2.4 Erstellen von Kopien der Update-Dateien – Update-Mirror ESET Mail Security bietet Ihnen die Möglichkeit, Kopien der Update-Dateien zu erstellen. Diese können Sie dann zur Aktualisierung anderer Arbeitsplatzrechner im Netzwerk verwenden. Das Aktualisieren der Client-Computer von einem Update-Mirror optimiert die Lastenverteilung im Netzwerk und entlastet Internetverbindungen. Die Konfigurationsoptionen für einen Update-Mirror auf einem lokalen Server befinden sich im Bereich Erweiterte Einstellungen für Updates (um diesen zu erreichen, müssen Sie einen gültigen Lizenzschlüssel im Lizenzmanager hinzufügen; dieser ist in den erweiterten Einstellungen von ESET Mail Security zu finden). Drücken Sie F5, um auf die erweiterten Einstellungen zuzugreifen, und klicken Sie auf Update. Dort klicken Sie auf die Schaltfläche Einstellungen neben Erweiterte Einstellungen für Updates und wählen die Registerkarte Update-Mirror. Zur Konfiguration des Update-Mirrors aktivieren Sie als Erstes die Option „Update-Mirror aktivieren“. Durch Aktivieren dieser Option stehen weitere Konfigurationsoptionen für Update-Mirrors zur Verfügung, die beispielsweise die Art des Zugriffs auf Update-Dateien und den Pfad zu den Kopien der Update-Dateien betreffen. Die Vorgehensweisen zur Aktivierung des Update-Mirror werden im Abschnitt Aktualisieren über Update-Mirror 90 ausführlich beschrieben. In diesem Abschnitt reicht es zu wissen, dass es zwei Grundvarianten des Zugriffs auf einen Update-Mirror gibt: Der Ordner mit den Update-Dateien kann eine Netzwerkfreigabe sein, oder es wird ein HTTP-Server als Update-Mirror verwendet. Der für die Update-Dateien vorgesehene Ordner wird im Bereich Ordner zum Speichern der Update-Dateien festgelegt. Klicken Sie auf Ordner, um den gewünschten Ordner auf dem lokalen Computer oder eine Netzwerkfreigabe auszuwählen. Wenn für den angegebenen Ordner eine Authentifizierung erforderlich ist, müssen die Anmeldedaten in die Felder Benutzername und Passwort eingetragen werden. Der Benutzername muss im Format Domäne/Benutzer oder Arbeitsgruppe/Benutzer eingegeben werden. Denken Sie daran, auch die entsprechenden Passwörter einzugeben. Bei der Konfiguration des Update-Mirrors kann auch die Sprachversion der herunterzuladenden Update-Kopien festgelegt werden. Zum Auswählen der Sprache wählen Sie Dateien - Verfügbare Versionen. HINWEIS: Die Spam-Schutz-Datenbank kann nicht über den Update-Mirror aktualisiert werden. Hier weitere Informationen zu Updates der Spam-Schutz-Datenbank. 36 finden Sie 89 4.2.1.2.4.1 Aktualisieren über Update-Mirror Es gibt zwei Grundvarianten der Konfiguration eines Update-Mirrors: Der Ordner mit den Update-Dateien kann eine Netzwerkfreigabe sein, oder es wird ein HTTP-Server als Update-Mirror verwendet. Zugriff auf den Update-Mirror über internen HTTP-Server Diese Variante wird automatisch verwendet, da es sich um die Standardeinstellung des Programms handelt. Um Zugriff auf den Update-Mirror über den HTTP-Server zu ermöglichen, wechseln Sie zu Erweiterte Einstellungen für Updates (Registerkarte Update-Mirror) und wählen Sie Update-Mirror aktivieren. Im Bereich Erweiterte Einstellungen der Registerkarte Update-Mirror können Sie den Server-Port angeben, auf dem der HTTP-Server Anfragen empfängt, und den Typ der Authentifizierung festlegen, die vom HTTP-Server verwendet wird. Standardmäßig ist der Port 2221 eingestellt. Unter Authentifizierung wird die Authentifizierungsmethode für den Zugriff auf die Update-Dateien festgelegt. Die folgenden Optionen stehen zur Verfügung: KEINE, Basis und NTLM. Wählen Sie Basis für Base64-Verschlüsselung und einfache Authentifizierung mit Benutzername und Passwort. Bei Auswahl von NTLM wird eine sichere Verschlüsselungsmethode verwendet. Zur Authentifizierung wird der auf dem Computer erstellte Benutzer verwendet, der die Update-Dateien freigegeben hat. Die Standardeinstellung ist KEINE, so dass für den Zugriff auf die Update-Dateien keine Authentifizierung erforderlich ist. Warnung: Wenn Sie den Zugriff auf die Update-Dateien über einen HTTP-Server zulassen möchten, muss sich der Ordner mit den Kopien der Update-Dateien auf demselben Computer befinden wie die Instanz von ESET Mail Security, mit der dieser Ordner erstellt wird. Nach Abschluss der Konfiguration des Update-Mirrors geben Sie auf den einzelnen Computern jeweils http://IPAdresse_Ihres_Servers:2221 als Update-Server ein. Gehen Sie dazu wie folgt vor: Öffnen Sie die Erweiterten Einstellungen von ESET Mail Security und klicken Sie auf Update. Klicken Sie rechts neben der Dropdown-Liste Update-Server auf Bearbeiten und fügen Sie einen neuen Server in folgendem Format hinzu: http://IP-Adresse_Ihres_Servers:2221. Wählen Sie den hinzugefügten Server aus der Liste der Update-Server aus. Zugriff auf den Update-Mirror über Systemfreigaben Zunächst muss ein freigegebener Ordner auf einem lokalen Laufwerk oder Netzlaufwerk erstellt werden. Beim Erstellen des Ordners für den Update-Mirror ist Folgendes zu beachten: Der Benutzer, der Dateien im Ordner speichert, benötigt Schreibzugriff, während die Benutzer, die ESET Mail Security über diesen Ordner aktualisieren, eine Leseberechtigung benötigen. Konfigurieren Sie als Nächstes den Zugriff auf den Update-Mirror im Bereich Erweiterte Einstellungen für Updates (Registerkarte Update-Mirror), indem Sie die Option Dateien über integrierten HTTP-Server bereitstellen deaktivieren. Diese Option ist in der Standardeinstellung des Programms aktiviert. Wenn der freigegebene Ordner sich auf einem anderen Computer im Netzwerk befindet, ist für den Zugriff auf den 90 anderen Computer eine Authentifizierung erforderlich. Um die Anmeldedaten anzugeben, öffnen Sie (mit F5) die erweiterten Einstellungen von ESET Mail Security und klicken Sie auf den Bereich Update. Klicken Sie erst auf die Schaltfläche Einstellungen und öffnen Sie dann die Registerkarte LAN. Diese Einstellung entspricht der Einstellung für Updates, wie im Kapitel Herstellen einer LAN-Verbindung 88 beschrieben. Nach Abschluss der Konfiguration des Update-Mirrors geben Sie auf den einzelnen Computern jeweils \\UNC\PFAD als Update-Server ein. Mit den folgenden Schritten schließen Sie diesen Vorgang ab: Öffnen Sie die erweiterten Einstellungen von ESET Mail Security und klicken Sie auf Update Klicken Sie auf Bearbeiten neben dem Update-Server und geben Sie einen neuen Server in folgendem Format ein: \\UNC\PFAD Wählen Sie den hinzugefügten Server aus der Liste der Update-Server aus. HINWEIS: Um eine fehlerfreie Funktion zu gewährleisten, muss der Pfad zum Ordner mit den Kopien der UpdateDateien als UNC-Pfad angegeben werden. Updates über zugeordnete Netzlaufwerke können möglicherweise nicht ausgeführt werden. 4.2.1.2.4.2 Fehlerbehebung bei Problemen mit Updates über Update-Mirror Die meisten Probleme bei Updates von einem Update-Mirror haben eine oder mehrere der folgenden Ursachen: falsche Einstellungen für den Mirror-Ordner, falsche Anmeldedaten für den Mirror-Ordner, falsche Konfiguration auf lokalen Computern, die versuchen, Update-Dateien vom Update-Mirror herunterzuladen, oder eine Kombination der angegebenen Gründe. Hier erhalten Sie einen Überblick über die am häufigsten auftretenden Probleme bei Updates von einem Update-Mirror: ESET Mail Security meldet einen Fehler bei der Verbindung mit dem Mirror-Server - Wahrscheinlich wird dieser Fehler durch falsche Angaben zum Update-Server (Netzwerkpfad zum Mirror-Ordner) verursacht, von dem die lokalen Computer Updates herunterladen. Um den Ordner zu überprüfen, klicken Sie auf das Windows-Menü Start > Ausführen, geben den Ordnernamen ein und klicken auf OK. Daraufhin sollte der Inhalt des Ordners angezeigt werden. ESET Mail Security verlangt einen Benutzernamen und Passwort - Es wurden wahrscheinlich falsche Anmeldedaten (Benutzername und Passwort) im Bereich „Update“ angegeben. Benutzername und Passwort werden für den Zugriff auf den Update-Server verwendet, über den das Programm aktualisiert wird. Vergewissern Sie sich, dass die Anmeldedaten korrekt und im richtigen Format eingegeben sind. Verwenden Sie das Format Domäne/Benutzername bzw. Arbeitsgruppe/Benutzername und die entsprechenden Passwörter. Auch wenn der Zugriff auf den Mirror-Server für die Gruppe „Jeder“ gestattet wurde, sollten Sie bedenken, dass deshalb nicht jedem beliebigen Benutzer der Zugriff gewährt wird. „Jeder“ umfasst keine nicht autorisierten Benutzer, sondern bedeutet, dass alle Benutzer der Domäne auf den Ordner zugreifen können. Daher müssen, auch wenn die Gruppe „Jeder“ auf den Ordner zugreifen kann, in den Update-Einstellungen ein Domänen-Benutzername und -Passwort eingegeben werden. ESET Mail Security meldet einen Fehler bei der Verbindung mit dem Mirror-Server - Der für den Zugriff auf die HTTP-Version des Update-Mirrors angegebene Port ist blockiert. 4.2.2 So erstellen Sie Update-Tasks Mit der Option Signaturdatenbank aktualisieren können Updates manuell ausgeführt werden. Klicken Sie dazu im Hauptmenü auf „Update“ und wählen Sie im daraufhin angezeigten Dialogfenster die entsprechende Option aus. Darüber hinaus können Sie Updates auch als geplante Tasks einrichten. Um einen Task zu konfigurieren, klicken Sie auf Tools > Taskplaner. Standardmäßig sind in ESET Mail Security folgende Tasks aktiviert: Automatische Updates in festen Zeitabständen Automatische Updates beim Herstellen von DFÜ-Verbindungen Automatische Updates beim Anmelden des Benutzers Jeder Update-Task kann bei Bedarf angepasst werden. Neben den standardmäßig ausgeführten Update-Tasks können zusätzliche Update-Tasks mit benutzerdefinierten Einstellungen erstellt werden. Weitere Informationen zum Erstellen und Konfigurieren von Update-Tasks finden Sie im Abschnitt Taskplaner 92 . 91 4.3 Taskplaner Der Taskplaner steht zur Verfügung, wenn Sie die Einstellungen von ESET Mail Security im erweiterten Modus anzeigen. Um ihn zu öffnen, klicken Sie im Hauptmenü von ESET Mail Security unter Tools auf Taskplaner. Der Taskplaner umfasst eine Liste aller geplanten Tasks sowie deren Konfigurationseigenschaften, inklusive des vordefinierten Datums, der Uhrzeit und des verwendeten Prüfprofils. Standardmäßig werden im Taskplaner die folgenden Tasks angezeigt: Automatische Updates in festen Zeitabständen Automatische Updates beim Herstellen von DFÜ-Verbindungen Automatische Updates beim Anmelden des Benutzers Prüfung Systemstartdateien (nach Anmeldung des Benutzers) Prüfung Systemstartdateien (nach Update der Signaturdatenbank) Um die Konfiguration eines vorhandenen Standardtasks oder eines benutzerdefinierten Tasks zu ändern, klicken Sie mit der rechten Maustaste auf den Task und dann auf Bearbeiten, oder wählen Sie den Task aus, den Sie ändern möchten, und klicken Sie auf Bearbeiten. 4.3.1 Verwendung von Tasks Der Taskplaner verwaltet und startet Tasks mit vordefinierter Konfiguration und voreingestellten Eigenschaften. Konfiguration und Eigenschaften enthalten Informationen wie Datum und Uhrzeit und bestimmte Profile, die bei Ausführung des Tasks verwendet werden. 92 4.3.2 Erstellen von Tasks Zum Erstellen eines Tasks im Taskplaner klicken Sie auf Hinzufügen oder klicken mit der rechten Maustaste und wählen dann im Kontextmenü die Option Hinzufügen. Es gibt fünf Arten von Tasks: Start externer Anwendung Prüfung Systemstartdateien Snapshot des Computerstatus erstellen On-Demand-Prüfung Update Da Update-Tasks zu den meistverwendeten Tasks gehören, wird im Folgenden das Hinzufügen eines neuen Update-Tasks beschrieben. Wählen Sie Update aus der Liste der Tasks. Klicken Sie auf Weiter und geben Sie den Namen des Tasks in das Feld Taskname ein. Wählen Sie das gewünschte Ausführungsintervall. Die folgenden Optionen stehen zur Verfügung: Einmalig, Wiederholt, Täglich, Wöchentlich und Bei Ereignis. Je nach ausgewähltem Intervall werden Ihnen verschiedene Update-Parameter angezeigt. Im nächsten Schritt können Sie eine Aktion festlegen für den Fall, dass der Task zur geplanten Zeit nicht ausgeführt oder abgeschlossen werden kann. Folgende Optionen stehen zur Verfügung: Nächste Ausführung genau nach Planung Ausführung zum nächstmöglichen Zeitpunkt Sofort ausführen, wenn Intervall seit letzter Ausführung überschritten (das Intervall kann über das entsprechende Feld festgelegt werden) Anschließend wird ein Fenster mit der Zusammenfassung des aktuellen Tasks angezeigt. Die Option Task mit speziellen Einstellungen ausführen sollte automatisch aktiviert sein. Klicken Sie auf Fertig stellen. Es wird ein Dialogfenster angezeigt, in dem Sie Profile für den Task auswählen können. Hier können Sie ein primäres und ein alternatives Profil festlegen. Letzteres wird verwendet, falls der Task unter Verwendung des primären Profils nicht abgeschlossen werden kann. Bestätigen Sie Ihre Angaben, indem Sie im Fenster Update-Profile auf OK klicken. Der neue geplante Task wird der Liste der aktuellen Tasks hinzugefügt. 93 4.4 Quarantäne Die Hauptaufgabe der Quarantäne ist die sichere Speicherung infizierter Dateien. Dateien sollten in die Quarantäne verschoben werden, wenn sie nicht gesäubert werden können, wenn es nicht sicher oder ratsam ist, sie zu löschen, oder wenn sie von ESET Mail Security fälschlicherweise erkannt worden sind. Sie können beliebige Dateien gezielt in die Quarantäne verschieben. Geschehen sollte dies bei Dateien, die sich verdächtig verhalten, bei der Virenprüfung jedoch nicht erkannt werden. Dateien aus der Quarantäne können zur Analyse an ESET eingereicht werden. Die Dateien im Quarantäneordner können in einer Tabelle angezeigt werden, die Datum und Uhrzeit der Quarantäne, den Pfad zum ursprünglichen Speicherort der infizierten Datei, ihre Größe in Byte, einen Grund ( Hinzugefügt durch Benutzer...) und die Anzahl der Bedrohungen (z. B. bei Archiven, in denen an mehreren Stellen Infiltrationen erkannt wurde) enthält. 4.4.1 Quarantäne für Dateien ESET Mail Security kopiert gelöschte Dateien automatisch in den Quarantäneordner (sofern diese Option nicht im Warnfenster deaktiviert wurde). Auf Wunsch können Sie beliebige verdächtige Dateien manuell in die Quarantäne verschieben, indem Sie auf Quarantäne klicken. In diesem Fall wird die Originaldatei nicht von ihrem ursprünglichen Speicherort entfernt. Alternativ kann auch das Kontextmenü zu diesem Zweck verwendet werden: Klicken Sie mit der rechten Maustaste in das Fenster Quarantäne, und wählen Sie Hinzufügen. 94 4.4.2 Wiederherstellen aus Quarantäne Dateien aus der Quarantäne können an ihrem ursprünglichen Speicherort wiederhergestellt werden. Verwenden Sie dazu die Funktion Wiederherstellen, die Sie nach einem Rechtsklick auf die entsprechende Datei im Fenster „Quarantäne“ im Kontextmenü auswählen können. Das Kontextmenü enthält außerdem die Option Wiederherstellen nach, mit der Dateien an einem anderen als ihrem ursprünglichen Speicherort wiederhergestellt werden können. HINWEIS: Wenn versehentlich eine harmlose Datei in Quarantäne versetzt wurde, schließen Sie die Datei nach der Wiederherstellung von der Prüfung aus und senden Sie sie an den ESET-Support. 4.4.3 Einreichen von Dateien aus der Quarantäne Wenn Sie eine verdächtige, nicht vom Programm erkannte Datei in Quarantäne versetzt haben oder wenn eine Datei fälschlich als infiziert eingestuft wurde (etwa durch die heuristische Analyse des Codes) und infolgedessen in den Quarantäneordner verschoben wurde, senden Sie die Datei zur Analyse an ESET. Um eine Datei zu senden, die in der Quarantäne gespeichert ist, klicken Sie mit der rechten Maustaste darauf und wählen im angezeigten Kontextmenü die Option Datei zur Analyse einreichen. 95 4.5 Log-Dateien In den Logs werden Informationen über wichtige Ereignisse gespeichert: erkannte eingedrungene Schadsoftware, Logs der On-Demand-Prüfung und der Hintergrundwächter sowie Systeminformationen. Die Logs für den Spam-Schutz und das Greylisting (bei „andere Logs“ unter Tools > Log-Dateien) enthalten genaue Informationen über geprüfte Nachrichten und Aktionen, die auf diese Nachrichten angewendet wurden. Logs können sehr hilfreich sein, wenn man herausfinden will, wieso E-Mails nicht beim Empfänger angekommen sind, Nachrichten als Spam eingestuft wurden usw. 96 Spam-Schutz Verzeichnis aller Nachrichten, die von ESET Mail Security als Spam oder wahrscheinlich Spam eingestuft werden. Beschreibung der Spalten: Zeit – Zeitpunkt der Eintragserstellung im Spam-Schutz-Log Absender – Adresse des Absenders Empfänger – Adresse des Empfängers Betreff – Betreff der Nachricht Score – Spam-Score der Nachricht (von 0 bis 100) Grund – gibt an, weshalb die Nachricht als Spam eingestuft wurde. Der angezeigte Grund hat den größten Einfluss. Mit einem Doppelklick auf den Eintrag können Sie sich weitere Gründe anzeigen lassen. Es wird ein Fenster (Grund) angezeigt, in welchem die anderen Gründe in absteigender Reihenfolge nach Einfluss sortiert sind. Spam-Verdacht der URL URLs in Nachrichten sind oft ein Hinweis auf Spam. HTML-Formatierung (Schrift, Farben usw.) Die Formatierung der HTML-Elemente einer Nachricht ist charakteristisch für Spam-Mails (Schriftart, -größe und -farbe usw.). Spam-Tricks: Verschleierung Der für Spam-Mails typische Wortlaut wird mithilfe weiterer Zeichen verzerrt. Ein typisches Beispiel ist das Wort „Viagra“, das häufig „V1agra“ geschrieben wird, um dem Spam-Schutz zu entgehen. HTML-Spam mit Grafik Auch mit Spam-Mails in der Form von Bildern wird oft versucht, SpamSchutz-Techniken zu umgehen. Diese Bilder enthalten oft Links zu Websites. URL-Format: Domain von HostingDienstleister Die URL enthält die Domain eines Hosting-Dienstleisters. Charakteristische Spam-Begriffe... Die Nachricht enthält für Spam-Mails typische Wörter. E-Mail-Header nicht konsistent Die Informationen im Header wurden verändert, um einen anderen als den ursprünglichen Absender zu suggerieren. Virus Die Nachricht enthält eine verdächtige Anlage. 97 Phishing Die Nachricht enthält für Phishing-Mails typischen Text. Kopien Die Nachricht enthält Text, der typisch ist für Spam-Mails, in denen Nachbildungen von Gegenständen angeboten werden. Generischer Spam-Indikator Die Nachricht enthält Wörter/Zeichen, die typisch sind für Spam-Mails, z. B. „Lieber Freund“, „Sie haben gewonnen“, „!!!“. Ham-Indikator/kein Spam Die Funktion dieses Merkmals steht im Gegensatz zu der der anderen Merkmale. Es wird nach Anzeichen für rechtmäßige E-Mails gesucht. Werden sie gefunden, verringert sich der Spam-Score. Unspezifischer Spam-Indikator Die Nachricht enthält andere Spam-Elemente, z. B. Base64-Kodierung. Benutzerdefinierte SpamErkennungsbegriffe Andere typische Spam-Formulierungen. URL steht auf Negativliste Die URL in der Nachricht ist in einer Negativliste verzeichnet. IP %s steht auf RBL Die IP-Adresse ... ist in einer Real-Time Blackhole List (RBL) verzeichnet. URL %s steht auf DNSBL Die IP-Adresse ... ist in einer DNS-basierten Blackhole List (DNSBL) verzeichnet. URL %s steht auf RBL, oder der Server Die URL ... ist in einer Real-Time Blackhole List (RBL) verzeichnet bzw. ist nicht zum E-Mail-Versand der Server hat nicht die für den E-Mail-Versand erforderlichen Rechte. Die berechtigt Adressen, über die eine E-Mail auf ihrem Weg zum Empfänger geleitet wurden, werden einer RBL-Prüfung unterzogen. Für die letzte dieser Adressen wird geprüft, ob sie Verbindungen zu öffentlichen E-MailServern aufbauen darf. Werden keine gültigen Verbindungsberechtigungen festgestellt, ist die Adresse in der LBL-Liste eingetragen. Als Spam eingestufte Nachrichten erhalten deswegen den folgenden Text im Feld Grund: „Server ist nicht zum E-Mail-Versand berechtigt“. Aktion – Aktion, die auf die Nachricht angewendet wurde. Mögliche Aktionen: Behalten Auf diese Nachricht wurde keine Aktion angewendet. In Quarantäne verschoben Die Nachricht wurde in die Quarantäne verschoben. Gesäubert und in Quarantäne Der Virus wurde aus der Nachricht entfernt und diese in die Quarantäne verschoben verschoben. Abgewiesen Die Nachricht wurde abgewiesen und dem Absender ein SMTP-Reject Antwort geschickt. Gelöscht Die Nachricht wurde gelöscht, indem sie ohne Benachrichtigung verworfen wurde („Silent Drop“). 19 als 19 Empfangen – Zeitpunkt des Eingangs der Nachricht am Server. HINWEIS: Werden E-Mails über einen E-Mail-Server empfangen, sind die Einträge in Zeit und Empfangen praktisch identisch. 98 Greylisting In diesem Log sind alle Nachrichten verzeichnet, die mit der Greylisting-Methode geprüft wurden. Beschreibung der Spalten: Zeit – Zeitpunkt der Eintragserstellung im Spam-Schutz-Log HELO-Domain – Domain-Name des sendenden Servers, anhand dessen er vom empfangenden Server erkannt wird IP-Adresse – Die IP-Adresse des Absenders Absender – Adresse des Absenders Empfänger – Adresse des Empfängers Aktion – Kann folgende Statusmeldungen enthalten: Abgewiesen Die eingehende Nachricht wurde abgewiesen, nachdem eine einfache GreylistingPrüfung erfolgte (erster Zustellversuch) Abgewiesen (noch nicht verifiziert) Die eingehende Nachricht wurde vom sendenden Server erneut gesendet, doch die Zeitbegrenzung für das Abweisen der Verbindung wurde unterschritten (Zeitlimit für Abweisen des ersten Zustellversuchs). Verifiziert Der sendende Server hat mehrmalige erneute Zustellversuche unternommen, das Zeitlimit für Abweisen des ersten Zustellversuchs ist verstrichen und die Nachricht wurde erfolgreich verifiziert und zugestellt. Siehe auch Kapitel Transport-Agent 37 . Verbleibende Zeit – Die Restzeit für die Erfüllung des Zeitlimits für Abweisen des ersten Zustellversuchs Erkannte Bedrohungen Das Bedrohungs-Log enthält detaillierte Informationen über eingedrungene Schadsoftware, die von den ESET Mail Security-Modulen entdeckt wurde. Zu den Informationen gehören die Zeit der Erkennung, der Name der Prüfung, der Objekttyp und -name, der Name der eingedrungenen Schadsoftware, der Speicherort, die ausgeführten Aktionen und der Name des Benutzers, der zur Zeit der Entdeckung der eingedrungenen Schadsoftware angemeldet war. Zum Kopieren oder Löschen einer oder mehrerer Zeilen aus dem Log (oder zum Löschen des gesamten Logs) können Sie das Kontextmenü verwenden (Rechtsklick auf das gewünschte Element). 99 Ereignisse Das Ereignis-Log enthält Informationen über Ereignisse und im Programm aufgetretene Fehler. Die hier aufgeführten Informationen sind oftmals hilfreich, um ein im Programm aufgetretenes Problem zu beheben. On-Demand-Prüfung Im Prüf-Log werden die Ergebnisse von manuellen oder geplanten Prüfungen aufgezeichnet. Jede Zeile entspricht der Überprüfung eines einzelnen Computers. Folgende Informationen werden aufgeführt: Datum und Uhrzeit der Prüfung, Gesamtzahl der überprüften, infizierten und gesäuberten Dateien und der aktuelle Prüfstatus. Doppelklicken Sie unter Logs der manuellen Prüfung auf ein Log, um den Inhalt in einem eigenen Fenster anzuzeigen. Verwenden Sie das Kontextmenü (indem Sie mit der rechten Maustaste darauf klicken) zum Kopieren eines oder mehrerer markierter Einträge (dies gilt für alle Arten von Logs). 4.5.1 Log-Filter Mit dem Log-Filter können Sie Log-Dateien durchsuchen; dies ist besonders praktisch, wenn die Anzahl der Einträge unüberschaubar groß und damit die Suche nach bestimmten Informationen schwierig ist. Wenn Sie die Log-Filter-Funktion verwenden, können Sie die Suche eingrenzen, indem Sie im Textfeld Nach das Gesuchte eintragen, die Suchstellen unter Zu durchsuchende Spalten festlegen sowie Eintragstypen und einen Zeitraum für die gesuchten Einträge angeben. Die Angabe von bestimmten Suchkriterien hat zur Folge, dass nur Einträge, die diesen Kriterien entsprechen, im Hauptfenster Log-Dateien angezeigt werden, von wo der Benutzer schnell und unkompliziert auf sie zugreifen kann. Um den Log-Filter zu öffnen, klicken Sie auf die Schaltfläche Filter in Tools > Log-Dateien oder verwenden Sie die Tastenkombination Strg + Umschalttaste + F. HINWEIS: Für die Suche nach einem bestimmten Eintrag können Sie ebenfalls die Funktion In Log suchen 101 nutzen; ebenso lässt diese sich auch mit dem Log-Filter kombinieren. Die Angabe bestimmter Filteroptionen hat zur Folge, dass nur Einträge, die diesen Angaben entsprechen, im LogDateien-Hauptfenster angezeigt werden. Auf diese Weise werden die Einträge gefiltert bzw. eingegrenzt und Sie finden leichter, was Sie suchen. Je präziser Sie die Filteroptionen definieren, desto geringer wird die Anzahl der gefundenen Einträge. Nach: - Geben Sie eine Zeichenfolge ein (ein Wort oder einen Teil eines Wortes). Es werden nur Einträge angezeigt, die diese Zeichenfolge enthalten. Alle anderen Einträge werden zugunsten besserer Erkennbarkeit nicht angezeigt. 100 Zu durchsuchende Spalten: - Wählen Sie die Spalten, die der Filter berücksichtigen soll. Sie können mehr als eine Spalte für das Filtern markieren. Standardmäßig sind alle Spalten markiert: Zeit Modul Ereignis Benutzer Eintragstypen: - Ermöglicht es Ihnen, die Art der anzuzeigenden Einträge anzugeben. Sie können einen bestimmten Eintragstyp, mehrere gleichzeitig oder alle Eintragstypen anzeigen lassen (letztere ist die Standardeinstellung). Diagnose Informationen Warnung Fehler Kritisch Zeitraum: - Verwenden Sie diese Option, wenn Sie Einträge nach dem Zeitraum ihrer Protokollierung filtern möchten. Folgende Möglichkeiten stehen zur Auswahl: Gesamtes Log (Standardeinstellung) - Filtert nicht nach Zeitraum, sondern zeigt das gesamte Log an Gestern Letzte Woche Letzter Monat Intervall - Wählen Sie diese Option, um die Einträge, die während eines bestimmten Zeitraums (Datum und Uhrzeit) protokolliert wurden, anzuzeigen. Neben den oben genannten Einstellungen haben Sie noch folgende Optionen: Nur ganze Wörter - Zeigt nur Einträge an, in denen eine im Nach-Textfeld eingegebene Zeichenfolge als vollständiges Wort aufgefunden wird. Groß-/Kleinschreibung beachten - Zeigt nur Einträge, in denen eine im Nach-Textfeld eingegebene Zeichenfolge mit gleicher Groß- und Kleinschreibung aufgefunden wird. Smart-Filter aktivieren - Verwenden Sie diese Option, um ESET Mail Security mit eigenen Methoden filtern zu lassen. Wenn Sie die Filteroptionen nach Ihren Wünschen konfiguriert haben, klicken Sie auf OK, um den Filter anzuwenden. Das Hauptfenster Log-Dateien zeigt dann nur Einträge an, die den Filterkriterien entsprechen. 4.5.2 In Log suchen Neben dem Log-Filter 100 gibt es noch die Suchfunktion in Log-Dateien, die aber auch unabhängig vom Log-Filter verwendet werden kann. Diese Funktion ist sinnvoll, wenn Sie nach bestimmten Log-Einträgen suchen. Wie der Log-Filter hilft auch sie Ihnen beim Auffinden von Informationen, besonders bei einer unüberschaubaren Anzahl von Einträgen. Wenn Sie die Funktion „In Log suchen“ verwenden, können Sie im Textfeld Nach das Gesuchte eintragen, die Suchstellen unter Zu durchsuchende Spalten eingrenzen sowie Eintragstypen und einen Zeitraum für die gesuchten Einträge angeben. Die Angabe bestimmter Suchoptionen hat zur Folge, dass nur Einträge, die diesen Angaben entsprechen, im Log-Dateien-Hauptfenster durchsucht werden. Um in Log-Dateien zu suchen, öffnen Sie das Dialogfenster In Log suchen mit der Tastenkombination Strg + f. HINWEIS: Die Funktion „In Log suchen“ können Sie auch in Verbindung mit dem Log-Filter 100 nutzen. Begrenzen Sie mithilfe des Log-Filters die Anzahl der Einträge, bevor Sie die Suche innerhalb der herausgefilterten Einträge starten. 101 Nach: - Geben Sie eine Zeichenfolge ein (ein Wort oder einen Teil eines Wortes). Es werden nur Einträge angezeigt, die diese Zeichenfolge enthalten. Alle anderen Einträge werden nicht angezeigt. Zu durchsuchende Spalten: - Wählen Sie die Spalten, die bei der Suche berücksichtigt werden sollen. Sie können mehr als eine Spalte für die Suche markieren. Standardmäßig sind alle Spalten markiert: Zeit Modul Ereignis Benutzer Eintragstypen: - Ermöglicht es Ihnen, die Art der zu suchenden Einträge anzugeben. Sie können nach einem bestimmten, mehreren oder allen Eintragstypen suchen (letztere ist die Standardeinstellung). Diagnose Informationen Warnung Fehler Kritisch Zeitraum: - Verwenden Sie diese Option, wenn Sie Einträge aus einem bestimmten Zeitraum suchen möchten. Folgende Möglichkeiten stehen zur Auswahl: Gesamtes Log (Standardeinstellung) - Begrenzt die Suche nicht auf einen Zeitraum, sondern durchsucht das gesamte Log Gestern Letzte Woche Letzter Monat Intervall - Wählen Sie diese Option, um die Einträge, die während eines bestimmten Zeitraums (Datum und Uhrzeit) protokolliert wurden, zu suchen. Neben den oben genannten Einstellungen haben Sie noch folgende Optionen: Nur ganze Wörter - Sucht nur nach Einträgen, die eine im Nach-Textfeld eingegebene Zeichenfolge als vollständiges Wort enthalten. Groß-/Kleinschreibung beachten - Sucht nur nach Einträgen, die eine im Nach-Textfeld eingegebene Zeichenfolge mit gleicher Groß- und Kleinschreibung enthalten. Rückwärts suchen - Sucht von der aktuellen Position aus rückwärts. Wenn Sie die Suchoptionen konfiguriert haben, klicken Sie auf Suchen, um die Suche zu starten. Die Suche wird gestoppt, sobald der erste Eintrag gefunden wurde, der den Suchkriterien entspricht. Klicken Sie auf Suchen, um die Suche fortzusetzen. Von der aktuellen und damit hervorgehobenen Position aus werden die Log-Dateien von Anfang bis Ende durchsucht. 102 4.5.3 Log-Wartung Die Log-Konfiguration für ESET Mail Security können Sie aus dem Hauptprogrammfenster aufrufen. Klicken Sie auf Einstellungen > Erweiterte Einstellungen > Tools > Log-Dateien. Für Log-Dateien können die folgenden Einstellungen vorgenommen werden: Log-Einträge automatisch löschen: Log-Einträge, die länger als die angegebene Anzahl von Tagen gespeichert sind, werden automatisch gelöscht. Log-Dateien automatisch optimieren: Log-Dateien werden automatisch defragmentiert, wenn der festgelegte Prozentsatz an nicht verwendeten Einträgen überschritten wird. Mindestinformation in Logs: Hier können Sie festlegen, welche Informationen in den Logs enthalten sein sollen. Verfügbare Optionen: - Diagnosedaten - Alle Meldungen höherer Stufen und alle sonstigen Informationen, die für das Beheben von Fehlern wichtig sein können, werden protokolliert - Informationen - Meldungen wie erfolgreiche Updates und alle Meldungen höherer Stufen werden protokolliert - Warnungen - Kritische Fehler und Warnungen werden protokolliert - Fehler - Nur Fehler wie zum Beispiel „Fehler beim Herunterladen einer Datei“ und kritische Fehler werden protokolliert - Kritische Warnungen - Nur kritische Warnungen (z. B. bei einem Fehler beim Start des Virenschutz-Moduls) werden protokolliert 103 4.6 ESET SysInspector 4.6.1 Einführung in ESET SysInspector ESET SysInspector ist eine Anwendung, die den Computer gründlich durchsucht und die gesammelten Daten ausführlich anzeigt. etwa zu installierten Treibern und Anwendungen, Netzwerkverbindungen oder wichtigen Registrierungseinträgen. Diese Angaben helfen Ihnen bei der Problemdiagnose, wenn sich ein System nicht wie erwartet verhält - ob dies nun an einer Inkompatibilität (Software/Hardware) oder an einer Malware-Infektion liegt. Sie können auf zwei Arten auf ESET SysInspector zugreifen: über die in ESET Security-Lösungen integrierte Version oder indem Sie die eigenständige Version (SysInspector.exe) kostenlos von der ESET-Website herunterladen. Die Funktionen und Steuerelemente beider Programmversionen sind identisch. Die Versionen unterscheiden sich nur in der Ausgabe der Informationen. Sowohl mit der eigenständigen als auch der integrierten Version können Snapshots des Systems in einer XML-Datei ausgegeben und auf einem Datenträger gespeichert werden. Mit der integrierten Version ist es jedoch auch möglich, die System-Snapshots direkt unter Tools > ESET SysInspector zu speichern (außer ESET Remote Administrator). Weitere Informationen finden Sie im Abschnitt ESET SysInspector als Teil von ESET Mail Security 115 . Bitte gedulden Sie sich ein wenig, während ESET SysInspector Ihren Computer prüft. Je nach aktueller HardwareKonfiguration, Betriebssystem und Anzahl der installierten Anwendungen kann die Prüfung zwischen 10 Sekunden und einigen Minuten dauern. 4.6.1.1 Starten von ESET SysInspector Zum Starten von ESET SysInspector führen Sie einfach die von der ESET-Website heruntergeladene Programmdatei SysInspector.exe aus. Wenn bereits eine ESET Security-Lösung installiert ist, können Sie ESET SysInspector direkt aus dem Startmenü starten (Programme > ESET > ESET Mail Security). Bitte haben Sie einen Augenblick Geduld, während die Anwendung Ihr System untersucht. Je nach der Art der Hardwarekonfiguration und den zu erfassenden Daten kann dies einige Minuten dauern. 104 4.6.2 Benutzeroberfläche und Bedienung Zur besseren Übersicht ist das Hauptfenster in vier größere Bereiche unterteilt: die Steuerelemente des Programms oben, das Navigationsfenster links, das Beschreibungsfenster mittig rechts und das Detailfenster unten rechts im Hauptfenster. Im Bereich „Log-Status“ werden die grundlegenden Parameter eines Logs aufgeführt: Filterverwendung, Filtertyp, ob das Log Ergebnis eines Vergleichs ist usw. 4.6.2.1 Menüs und Bedienelemente Dieser Abschnitt beschreibt die Menüs und sonstigen Bedienelemente in ESET SysInspector. Datei Über das Menü Datei können Sie die aktuellen Systeminformationen zur späteren Untersuchung speichern oder ein zuvor gespeichertes Log wieder öffnen. Falls ein Log weitergegeben werden soll, sollten Sie es über die Funktion Zum Senden geeignet erstellen. Sicherheitsrelevante Daten (Name und Berechtigungen des aktuellen Benutzers, Computername, Domänenname, Umgebungsvariablen usw.) werden dann nicht in das Log aufgenommen. HINWEIS: Gespeicherte ESET SysInspector-Logs können Sie schnell wieder öffnen, indem Sie sie einfach auf das Hauptfenster ziehen und dort ablegen. Verzeichnisbaum Hiermit können Sie alle Knoten erweitern oder schließen sowie die ausgewählten Bereiche in ein Dienste-Skript exportieren. Liste Dieses Menü enthält Funktionen zur einfacheren Navigation im Programm sowie eine Reihe von Zusatzfunktionen, etwa für die Online-Informationssuche. Hilfe Über dieses Menü finden Sie Informationen zur Anwendung und ihren Funktionen. 105 Eigenschaften Dieses Menü beeinflusst die Informationen, die im Hauptfenster dargestellt werden und vereinfacht somit ihre Verwendung. Im Modus „Einfach“ haben Sie Zugang zu Informationen, die Hilfestellung bei gewöhnlichen Problemen im System liefern. Im Modus „Mittel“ sehen Sie weniger häufig benötigte Informationen. Im Modus „Vollständig“ zeigt ESET SysInspector alle verfügbaren Informationen an, sodass Sie auch sehr spezielle Probleme beheben können. Filterung der Elemente Mit der Filterfunktion können Sie schnell verdächtige Dateien oder Registrierungseinträge auf Ihrem System finden. Durch Verschieben des Schiebereglers legen Sie fest, ab welcher Risikostufe Objekte angezeigt werden. Befindet sich der Schieberegler ganz links (Risikostufe 1), werden alle Einträge angezeigt. Steht der Schieberegler hingegen weiter rechts, werden alle Objekte unterhalb der eingestellten Risikostufe ausgeblendet, sodass Sie nur die Objekte ab einer bestimmten Risikostufe sehen. Steht der Schieberegler ganz rechts, zeigt das Programm nur die als schädlich bekannten Einträge an. Alle Objekte der Risikostufen 6 bis 9 stellen unter Umständen ein Sicherheitsrisiko dar. Falls solche Objekte auf Ihrem System gefunden werden und Sie keine ESET Security-Lösung einsetzen, empfiehlt sich eine Überprüfung Ihres Systems mit dem kostenlosen ESET Online Scanner. HINWEIS: Um schnell herauszufinden, welche Risikostufe ein bestimmtes Objekt hat, vergleichen Sie einfach seine Farbe mit den Farben auf dem Schieberegler für die Risikostufe. Suchen Mit der Suche können Sie ein bestimmtes Objekt schnell über seinen Namen (oder einen Teil des Namens) finden. Die Suchergebnisse werden im Beschreibungsfenster angezeigt. Zurück/Vor Über die Schaltflächen mit den Pfeilen nach links und rechts können Sie zwischen den bisherigen Anzeigeinhalten des Beschreibungsbereichs wechseln. Anstatt auf „Vor“ und „Zurück“ zu klicken, können Sie auch die Leertaste bzw. Rücktaste (Backspace) verwenden. Statusbereich Hier sehen Sie, welcher Knoten im Navigationsbereich gerade ausgewählt ist. Wichtig: Rot hervorgehobene Objekte sind unbekannt und werden daher als potenziell gefährlich markiert. Dies bedeutet jedoch nicht automatisch, dass Sie die Datei gefahrlos löschen können. Vergewissern Sie sich vor dem Löschen auf jeden Fall, dass die Datei tatsächlich überflüssig ist bzw. dass von ihr eine Gefahr ausgeht. 4.6.2.2 Navigation in ESET SysInspector In ESET SysInspector gliedern sich die unterschiedlichen Systeminformationen in eine Reihe von Hauptabschnitten, die so genannten „Knoten“. Falls zusätzliche Informationen verfügbar sind, erreichen Sie diese, indem Sie einen Knoten um seine Unterknoten erweitern. Um einen Knoten zu öffnen oder zu reduzieren, doppelklicken Sie auf den Namen des Knotens, oder klicken Sie alternativ auf bzw. neben dem Namen. Soweit vorhanden, werden im Beschreibungsbereich Detailinhalte zum gerade im Navigationsbereich ausgewählten Knoten angezeigt. Diese Einträge im Beschreibungsbereich können Sie dann wiederum auswählen, um (soweit vorhanden) im Detailbereich weitere Detailinformationen dazu anzuzeigen. Im Folgenden sind die Hauptknoten im Navigationsbereich sowie die dazugehörigen Informationen im Beschreibungs- und Detailbereich beschrieben. Ausgeführte Prozesse Dieser Knoten enthält Informationen zu den Anwendungen und Prozessen, die zum Zeitpunkt der Log-Erstellung ausgeführt wurden. Das Beschreibungsfenster zeigt weitere Details zu jedem Prozess, etwa die verwendeten dynamischen Bibliotheken samt Speicherort, den Namen des Programmherstellers und die Risikostufe der Dateien. Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationen wie z. B. die Größe oder der Hashwert der betreffenden Datei. HINWEIS: Ein Betriebssystem enthält verschiedene durchgängig laufende Kernelkomponenten, die grundlegende und wichtige Funktionen für andere Benutzeranwendungen bereitstellen. In bestimmten Fällen wird für solche 106 Prozesse in ESET SysInspector ein Dateipfad angezeigt, der mit \??\ beginnt. Diese Symbole stellen eine vor dem Start liegende Optimierung für derartige Prozesse dar. Sie sind für das System ungefährlich. Netzwerkverbindungen Wenn Sie im Navigationsbereich ein Protokoll (TCP oder UDP) auswählen, erscheint im Beschreibungsbereich eine Liste der Prozesse und Anwendungen, die über das betreffende Protokoll im Netzwerk kommunizieren, samt der jeweiligen Remoteadresse. Außerdem können Sie hier die IP-Adressen der DNS-Server überprüfen. Wenn Sie einen Eintrag im Beschreibungsfenster auswählen, erscheinen im Detailfenster weitere Informationen wie z. B. die Größe oder der Hashwert der betreffenden Datei. Wichtige Einträge in der Registrierung Hier finden Sie eine Liste ausgewählter Registrierungseinträge, die oft im Zusammenhang mit Systemproblemen stehen. Dies betrifft beispielsweise die Registrierungseinträge für Autostart-Programme, Browser-Hilfsobjekte (BHO) usw. Im Beschreibungsbereich werden die mit dem jeweiligen Registrierungseintrag verbundenen Dateien angezeigt. Das Detailfenster zeigt ggf. zusätzliche Informationen an. Dienste Bei diesem Knoten enthält der Beschreibungsbereich eine Liste der Dateien, die als Windows-Dienste registriert sind. Das Detailfenster informiert über spezifische Details und darüber, auf welche Art ein Dienst gestartet wird. Treiber Dieser Knoten enthält eine Liste der im System installierten Treiber. Kritische Dateien Unter diesem Knoten können Sie sich im Beschreibungsbereich den Inhalt wichtiger Konfigurationsdateien von Microsoft Windows anzeigen lassen. System-Taskplaner Hier finden Sie eine Liste der Tasks, die vom Windows-Taskplaner zu einer bestimmten Zeit oder in einem bestimmten Intervall ausgeführt werden. Systeminformationen Hier finden Sie ausführliche Informationen zu Hardware und Software, den gesetzten Umgebungsvariablen, den Benutzerberechtigungen und dem System-Ereignislog. Dateidetails Dieser Knoten enthält eine Liste der wichtigen Systemdateien sowie der Dateien im Ordner „Programme“. Zusätzliche Informationen speziell für diese Dateien werden im Beschreibungs- und Detailfenster angezeigt. Über Informationen zur Version von ESET SysInspector sowie eine Liste der Programmmodule 4.6.2.2.1 Tastaturbefehle Für die Arbeit mit ESET SysInspector stehen Ihnen die folgenden Tastaturbefehle zur Verfügung: Datei Strg+O Strg+S Vorhandenes Log öffnen Erstelltes Log speichern Erstellen Strg+G Strg+H Standard-Snapshot des Computerstatus erstellen Snapshot des Computerstatus erstellen, in dem unter Umständen auch sicherheitsrelevante Informationen protokolliert werden 107 Filterung 1, O 2 3 4, U 5 6 7, B 8 9 + Strg+9 Strg+0 Risikostufe „In Ordnung“ - Objekte mit Risikostufe 1-9 anzeigen Risikostufe „In Ordnung“ - Objekte mit Risikostufe 2-9 anzeigen Risikostufe „In Ordnung“ - Objekte mit Risikostufe 3-9 anzeigen Risikostufe „Unbekannt“ - Objekte mit Risikostufe 4-9 anzeigen Risikostufe „Unbekannt“ - Objekte mit Risikostufe 5-9 anzeigen Risikostufe „Unbekannt“ - Objekte mit Risikostufe 6-9 anzeigen Risikostufe „Risikoreich“ - Objekte mit Risikostufe 7-9 anzeigen Risikostufe „Risikoreich“ - Objekte mit Risikostufe 8-9 anzeigen Risikostufe „Risikoreich“ - Objekte mit Risikostufe 9 anzeigen Risikostufe vermindern Risikostufe erhöhen Filtermodus: Objekte ab der jeweiligen Risikostufe anzeigen Filtermodus: Nur Objekte mit der jeweiligen Risikostufe anzeigen Anzeigen Strg+5 Strg+6 Strg+7 Strg+3 Strg+2 Strg+1 Rücktaste Leertaste Strg+W Strg+Q Anzeige nach Hersteller - alle Hersteller Anzeige nach Hersteller - nur Microsoft Anzeige nach Hersteller - alle anderen Hersteller Einstellung „Eigenschaften“ auf „Vollständig“ setzen Einstellung „Eigenschaften“ auf „Mittel“ setzen Einstellung „Eigenschaften“ auf „Einfach“ setzen Einen Schritt zurück Einen Schritt weiter Knoten erweitern (ausklappen) Knoten verkleinern (einklappen) Diverse Befehle Strg+T Strg+P Ctrl+A Strg+C Strg+X Strg+B Strg+L Strg+R Strg+Z Strg+F Strg+D Strg+E Zur ursprünglichen Position eines in den Suchergebnissen ausgewählten Elements springen Grundlegende Angaben zu einem Element anzeigen Vollständige Angaben zu einem Element anzeigen Daten/Baumpfad des aktuellen Elements kopieren Elemente ausschneiden Im Internet nach Informationen zur ausgewählten Datei suchen Speicherordner der ausgewählten Datei öffnen Betreffenden Eintrag im Registrierungseditor öffnen Dateipfad kopieren (wenn sich das Element auf eine Datei bezieht) Zum Suchfeld wechseln Suchergebnisse schließen Dienste-Skript ausführen Vergleich Strg+Alt+O Strg+Alt+R Strg+Alt+1 Strg+Alt+2 Strg+Alt+3 Strg+Alt+4 Strg+Alt+5 Strg+Alt+C Strg+Alt+N Strg+Alt+P Ursprüngliches Log/Vergleichs-Log öffnen Vergleich schließen Alle Elemente anzeigen Nur hinzugefügte Elemente anzeigen (Elemente, die nur im aktuellen Log vorhanden sind) Nur gelöschte Elemente anzeigen (Elemente, die nur im ursprünglichen Log vorhanden sind) Nur ersetzte Elemente (inkl. Dateien) anzeigen Nur Unterschiede zwischen den Logs anzeigen Vergleich anzeigen Aktuelles Log anzeigen Ursprüngliches Log öffnen Allgemein F1 Hilfe anzeigen Alt+F4 Programm beenden Alt+Umschalt+F Programm ohne Rückfrage beenden 4 Strg+I Log-Statistik anzeigen 108 4.6.2.3 Vergleichsfunktion Mit der „Vergleichen“-Funktion ist es möglich, zwei bestehende Log-Dateien miteinander zu vergleichen. Als Ergebnis werden die Unterschiede zurückgegeben, also die Einträge, die nicht in beiden Logs enthalten sind. Diese Funktion ist geeignet, um Änderungen am System zu erkennen, und hilft, die Aktivitäten von Schadcode zu entdecken. Nach dem Start erzeugt die Anwendung ein neues Log, das in einem neuen Fenster angezeigt wird. Um das Log zu speichern, klicken Sie auf Datei > Log-Datei speichern. Gespeicherte Log-Dateien können Sie später wieder öffnen, um sie einzusehen. Ein bestehendes Log öffnen Sie über Datei > Log-Datei öffnen. Im Hauptfenster von ESET SysInspector wird immer nur jeweils ein Log angezeigt. Die Vergleichsfunktion hat den Vorteil, dass Sie sich eine aktive und eine gespeicherte Log-Datei anzeigen lassen können. Hierzu klicken Sie auf Datei > Logs vergleichen und wählen dann Datei auswählen. Das ausgewählte Log wird nun mit dem aktiven (im Programmfenster angezeigten) Log verglichen. Das Vergleichs-Log führt lediglich Unterschiede zwischen diesen beiden Logs auf. HINWEIS: Wenn Sie nach dem Vergleich zweier Logs auf Datei > Log-Datei speichern klicken und das Ergebnis als ZIP-Datei speichern, werden beide Log-Dateien gespeichert. Wenn Sie die so entstandene Datei später öffnen, werden die enthaltenen Logs automatisch verglichen. Neben den einzelnen Einträgen sehen Sie in ESET SysInspector Symbole, die angeben, um was für eine Art von Unterschied es sich handelt. Einträge, die mit einem markiert sind, sind nur im aktuellen Log vorhanden, nicht jedoch im geöffneten Vergleichs-Log. Einträge, die mit einem markiert sind, waren nur zur Erstellungszeit des Vergleichs-Logs vorhanden, sind es jedoch nicht mehr im aktuellen Log. Die einzelnen Symbole haben die folgende Bedeutung: Neuer Wert, nicht im vorherigen Log enthalten Betreffender Zweig der Baumstruktur enthält neue Werte Gelöschter Wert, nur im vorherigen Log enthalten Betreffender Zweig der Baumstruktur enthält gelöschte Werte Wert/Datei wurde geändert Betreffender Zweig der Baumstruktur enthält geänderte Werte/Dateien Risiko ist gesunken (war im vorherigen Log höher) Risiko ist gestiegen (war im vorherigen Log niedriger) Die Bedeutung aller Symbole sowie die Namen der verglichenen Logs werden auch in der Legende links unten im Programmfenster angezeigt. Sie können jedes Vergleichs-Log in einer Datei speichern und später wieder öffnen. Beispiel Erstellen und speichern Sie ein Log, das die ursprünglichen Informationen über das System enthält, als vorher.xml. Nachdem Sie Änderungen am System vorgenommen haben, öffnen Sie ESET SysInspector und erstellen Sie ein neues Log. Speichern Sie dieses unter dem Namen neu.xml. Um die Unterschiede zwischen diesen beiden Logs zu sehen, klicken Sie auf Datei > Logs vergleichen. Das Programm erstellt so ein Vergleichs-Log, das die Unterschiede zwischen den beiden Logs zeigt. Dasselbe Ergebnis erzielen Sie bei einem Aufruf über die Befehlszeile mit den folgenden Parametern: SysInspector.exe neu.xml vorher.xml 109 4.6.3 Kommandozeilenparameter Mit ESET SysInspector können Sie auch von der Kommandozeile aus Berichte erzeugen. Hierzu stehen die folgenden Parameter zur Verfügung: /gen /privacy /zip /silent /help, /? Ergebnis-Log direkt aus der Kommandozeile erzeugen, keine grafische Oberfläche anzeigen Keine sicherheitsrelevanten Informationen ins Log aufnehmen Ergebnis-Log direkt in einer komprimierten Datei auf dem Datenträger speichern Keine Fortschrittsleiste während der Erstellung des Logs anzeigen Hilfe zu den Kommandozeilenparametern anzeigen Beispiele Bestimmtes Log direkt in den Browser laden: SysInspector.exe "c:\clientlog.xml" Log im aktuellen Ordner speichern: SysInspector.exe /gen Log in einem bestimmten Ordner speichern: SysInspector.exe /gen="c:\ordner\" Log in einer bestimmten Datei speichern: SysInspector.exe /gen="c:\ordner\meinlog.xml" Log ohne sicherheitsrelevante Daten direkt in einer komprimierten Datei speichern: SysInspector.exe /gen="c: \meinlog.zip" /privacy /zip Zwei Logs vergleichen: SysInspector.exe "log_neu.xml" "log_alt.xml" HINWEIS: Datei- und Ordnernamen mit Leerzeichen sollten in Hochkommata gesetzt werden. 4.6.4 Dienste-Skript Ein Dienste-Skript ist ein Hilfsmittel für Benutzer von ESET SysInspector zur einfachen Entfernung unerwünschter Objekte aus dem System. Über ein Dienste-Skript können Sie das gesamte ESET SysInspector-Log oder ausgewählte Teile davon exportieren. Nach dem Export können Sie unerwünschte Objekte zum Löschen markieren. Anschließend können Sie das so bearbeitete Log ausführen, um die markierten Objekte zu löschen. Dienste-Skripte sind für erfahrene Benutzer gedacht, die sich gut mit der Diagnose und Behebung von Systemproblemen auskennen. Unqualifizierte Änderungen können das Betriebssystem beschädigen. Beispiel Wenn Sie vermuten, dass Ihr Computer mit einem Virus infiziert ist, den Ihr Antivirusprogramm nicht erkennt, gehen Sie wie folgt vor: Führen Sie ESET SysInspector aus, um einen neuen System-Snapshot zu erstellen. Wählen Sie das erste Objekt im Navigationsbereich auf der linken Seite aus, halten Sie die Strg-Taste gedrückt und klicken Sie auf das letzte Objekt im Navigationsbereich, um den gesamten Inhalt zu markieren. Klicken Sie mit der rechten Maustaste auf die ausgewählten Objekte und wählen Sie die Option Ausgewählte Bereiche in das Dienste-Skript exportieren aus dem Kontextmenü. Die ausgewählten Objekte werden in ein neues Log exportiert. Sie kommen nun zum wichtigsten Schritt des gesamten Vorgangs: Öffnen Sie das neue Log und ändern Sie das Zeichen „-“ vor allen Objekten, die gelöscht werden sollen, auf „+“. Stellen Sie sicher, dass Sie keine wichtige Betriebssystem-Dateien oder -Objekte markieren. Öffnen Sie ESET SysInspector, klicken Sie auf Datei > Dienste-Skript ausführen und geben Sie den Pfad zu Ihrem Skript ein. Klicken Sie auf OK, um das Skript auszuführen. 4.6.4.1 Erstellen eines Dienste-Skripts Um ein Skript zu erstellen, klicken Sie im ESET SysInspector-Hauptfenster mit der rechten Maustaste auf ein beliebiges Element im Navigationsbereich auf der linken Seite des Fensters. Wählen Sie im Kontextmenü dann entweder Alle Bereiche in das Dienste-Skript exportieren oder Ausgewählte Bereiche in das Dienste-Skript exportieren. HINWEIS: Wenn Sie gerade zwei Logs miteinander vergleichen, ist kein Export in ein Dienste-Skript möglich. 110 4.6.4.2 Aufbau des Dienste-Skripts In der ersten Zeile des Skriptheaders finden Sie Angaben zur Engine-Version (ev), zur Version der Benutzeroberfläche (gv) sowie zur Log-Version (lv). Über diese Angaben können Sie mögliche Änderungen an der XML-Datei verfolgen, über die das Skript erzeugt wird, und dadurch Inkonsistenzen bei der Ausführung vermeiden. An diesem Teil des Skripts sollten keine Änderungen vorgenommen werden. Der Rest der Datei gliedert sich in mehrere Abschnitte, deren Einträge Sie bearbeiten können, um festzulegen, welche davon bei der Ausführung verarbeitet werden sollen. Um einen Eintrag für die Verarbeitung zu markieren, ersetzen Sie das davor stehende Zeichen „-“ durch ein „+“. Die einzelnen Skriptabschnitte sind jeweils durch eine Leerzeile voneinander getrennt. Jeder Abschnitt hat eine Nummer und eine Überschrift. 01) Running processes (Ausgeführte Prozesse) Dieser Abschnitt enthält eine Liste mit allen Prozessen, die auf dem System ausgeführt werden. Für jeden Prozess ist der UNC-Pfad gefolgt vom CRC16-Hashwert in Sternchen (*) aufgeführt. Beispiel: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] In diesem Beispiel wurde der Prozess module32.exe ausgewählt, indem er mit dem Zeichen „+“ markiert wurde. Beim Ausführen des Skripts wird dieser Prozess beendet. 02) Loaded modules (Geladene Module) Dieser Abschnitt enthält eine Liste der momentan verwendeten Systemmodule. Beispiel: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] In diesem Beispiel wurde das Modul khbekhb.dll mit einem „+“ markiert. Beim Ausführen des Skripts werden alle Prozesse, die dieses Modul verwenden, ermittelt und anschließend beendet. 03) TCP connections (TCP-Verbindungen) Dieser Abschnitt enthält Informationen zu den aktiven TCP-Verbindungen. Beispiel: 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Beim Ausführen des Skripts wird der Eigentümer des Sockets der markierten TCP-Verbindungen ermittelt. Anschließend wird der Socket beendet, wodurch Systemressourcen wieder frei werden. 04) UDP endpoints (UDP-Endpunkte) Dieser Abschnitt enthält Informationen zu den aktiven UDP-Endpunkten. Beispiel: 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...] Beim Ausführen des Skripts wird der Eigentümer des Sockets der markierten UDP-Verbindungen ermittelt. Anschließend wird der Socket beendet. 111 05) DNS server entries (DNS-Servereinträge) Dieser Abschnitt enthält Angaben zur aktuellen DNS-Serverkonfiguration. Beispiel: 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...] Beim Ausführen des Skripts werden die markierten DNS-Servereinträge entfernt. 06) Important registry entries (Wichtige Registrierungseinträge) Dieser Abschnitt enthält Informationen zu wichtigen Registrierungseinträgen. Beispiel: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...] Beim Ausführen des Skripts werden die markierten Einträge gelöscht, auf eine Länge von 0 Byte abgeschnitten oder auf die Standardwerte zurückgesetzt. Was davon im Einzelfall geschieht, hängt von der Art des Eintrags und dem Wert des Schlüssels ab. 07) Services (Dienste) Dieser Abschnitt enthält eine Liste der auf dem System registrierten Dienste. Beispiel: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Beim Ausführen des Skripts werden die markierten Dienste samt davon abhängiger Dienste beendet und deinstalliert. 08) Drivers (Treiber) Dieser Abschnitt enthält eine Liste der installierten Treiber. Beispiel: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Beim Ausführen des Skripts wird die Ausführung der ausgewählten Treiber beendet. Beachten Sie bitte, dass dies bei einigen Treibern nicht möglich ist. 09) Critical files (Kritische Dateien) Dieser Abschnitt enthält Angaben zu Dateien, die für eine korrekte Funktion des Betriebssystems wesentlich sind. 112 Beispiel: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...] Die ausgewählten Objekte werden entweder gelöscht oder auf ihren ursprünglichen Wert zurückgesetzt. 4.6.4.3 Ausführen von Dienste-Skripten Markieren Sie die gewünschten Elemente, speichern und schließen Sie das Skript. Führen Sie das fertige Skript dann direkt aus dem ESET SysInspector-Hauptfenster aus, indem Sie im Menü „Datei“ auf Dienste-Skript ausführen klicken. Beim Öffnen eines Skripts wird die folgende Bestätigungsabfrage angezeigt: Möchten Sie das DiensteSkript „%Skriptname%“ wirklich ausführen? Nachdem Sie diese Abfrage bestätigt haben, erscheint unter Umständen eine weitere Warnmeldung, dass das auszuführende Dienste-Skript nicht signiert wurde. Klicken Sie auf Starten, um das Skript auszuführen. Ein Dialogfenster mit der Bestätigung über die erfolgreiche Ausführung des Skripts wird angezeigt. Wenn das Skript nur teilweise verarbeitet werden konnte, wird ein Dialogfenster mit der folgenden Meldung angezeigt: Das Dienste-Skript wurde teilweise ausgeführt. Möchten Sie den Fehlerbericht anzeigen? Wählen Sie Ja, um einen ausführlichen Fehlerbericht mit Informationen zu den nicht ausgeführten Aktionen anzuzeigen. Wenn das Skript nicht erkannt wurde, wird ein Dialogfenster mit der folgenden Meldung angezeigt: Das ausgewählte Dienste-Skript trägt keine Signatur. Wenn Sie unbekannte Skripts und Skripte ohne Signatur ausführen, können die Daten Ihres Computers beschädigt werden. Möchten Sie das Skript und die Aktionen wirklich ausführen? Eine solche Meldung kann durch Inkonsistenzen im Skript verursacht werden (beschädigter Header, beschädigte Abschnittsüberschrift, fehlende Leerzeile zwischen Bereichen usw.). Sie können dann entweder die Skriptdatei öffnen und die Fehler beheben oder ein neues Dienste-Skript erstellen. 4.6.5 Häufige Fragen (FAQ) Muss ESET SysInspector mit Administratorrechten ausgeführt werden? ESET SysInspector muss zwar nicht unbedingt mit Administratorrechten ausgeführt werden, einige Informationen können jedoch nur über ein Administratorkonto erfasst werden. Bei einer Ausführung unter einer niedrigeren Berechtigungsstufe (Standardbenutzer, eingeschränkter Benutzer) werden daher weniger Informationen zur Systemumgebung erfasst. Erstellt ESET SysInspector eine Log-Datei? ESET SysInspector kann eine Log-Datei mit der Konfiguration Ihres Computers erstellen. Um diese zu speichern, wählen Sie Datei > Log-Datei speichern aus dem Hauptmenü. Die Logs werden im XML-Format gespeichert. Standardmäßig erfolgt dies im Verzeichnis %USERPROFILE%\Eigene Dateien\ und unter einem Namen nach dem Muster „SysInspector-%COMPUTERNAME%-JJMMTT-HHMM.XML“. Falls Sie es vorziehen, können Sie Speicherort und -namen vor dem Speichern ändern. Wie zeige ich eine ESET SysInspector-Log-Datei an? Um eine von ESET SysInspector erstellte Log-Datei anzuzeigen, starten Sie das Programm und klicken im Hauptmenü auf Datei > Log öffnen. Sie können Log-Dateien auch auf ESET SysInspector ziehen und dort ablegen. Wenn Sie häufig Log-Dateien aus ESET SysInspector anzeigen müssen, empfiehlt es sich, auf dem Desktop eine Verknüpfung zur Datei SYSINSPECTOR.EXE anzulegen. So können Sie Log-Dateien einfach auf dieses Symbol ziehen, um sie zu öffnen. Aus Sicherheitsgründen ist es unter Windows Vista und Windows 7 ggf. nicht möglich, Dateien per Drag and Drop zwischen Fenstern mit unterschiedlichen Sicherheitsberechtigungen zu verschieben. 113 Ist eine Spezifikation für das Format der Log-Dateien verfügbar? Wie steht es um ein Software Development Kit (SDK)? Da sich das Programm noch in der Entwicklung befindet, gibt es momentan weder eine Dokumentation für das Dateiformat noch ein SDK. Je nach Kundennachfrage wird sich dies nach der offiziellen Veröffentlichung des Programms eventuell ändern. Wie bewertet ESET SysInspector das Risiko, das von einem bestimmten Objekt ausgeht? Um Objekten wie Dateien, Prozessen, Registrierungsschlüsseln usw. eine Risikostufe zuzuordnen, verwendet ESET SysInspector in der Regel einen Satz heuristischer Regeln, mit denen die Merkmale des Objekts untersucht werden, um anschließend nach entsprechender Gewichtung das Potenzial für schädliche Aktivitäten abzuschätzen. Basierend auf dieser Heuristik wird Objekten dann eine Risikostufe zugewiesen, von 1 - In Ordnung (grün) bis 9 Risikoreich(rot). Die Farbe der Abschnitte im Navigationsbereich im linken Teil des Programmfensters richtet sich nach der höchsten Risikostufe, die ein darin enthaltenes Objekt hat. Bedeutet eine Risikostufe von „6 - Unbekannt (rot)“, dass ein Objekt gefährlich ist? Die Einschätzung von ESET SysInspector legt nicht endgültig fest, ob eine Gefahr von einem Objekt ausgeht. Diese Entscheidung muss ein Sicherheitsexperte treffen. ESET SysInspector kann hierbei helfen, indem es dem Experten schnell zeigt, welche Objekte eventuell gründlicher untersucht werden müssen. Warum stellt ESET SysInspector beim Start eine Verbindung ins Internet her? Wie viele Anwendungen ist auch ESET SysInspector mit einem digitalen Zertifikat signiert, mit dem überprüft werden kann, dass die Software tatsächlich von ESET stammt und nicht verändert wurde. Hierzu baut das Betriebssystem eine Verbindung zu einer Zertifizierungsstelle auf, um die Identität des Softwareherstellers zu überprüfen. Dies ist ein normaler Vorgang für alle digital signierten Programme unter Microsoft Windows. Was ist Anti-Stealth-Technologie? Die Anti-Stealth-Technologie ermöglicht eine effektive Erkennung von Rootkits. Wenn ein System von Schadcode angegriffen wird, der sich wie ein Rootkit verhält, ist der Benutzer dem Risiko von Datenverlust oder -diebstahl ausgesetzt. Ohne spezielle Tools ist es quasi unmöglich, solche Rootkits zu erkennen. Warum ist bei Dateien manchmal Microsoft als Unterzeichner angegeben, wenn gleichzeitig aber ein anderer Firmenname angezeigt wird? Beim Versuch, die digitale Signatur einer ausführbaren Datei zu ermitteln, überprüft ESET SysInspector zuerst, ob in der Datei eine eingebettete Signatur vorhanden ist. Wenn ja, wird die Datei anhand dieser Informationen überprüft. Falls die Datei keine digitale Signatur enthält, sucht ESI nach einer zugehörigen CAT-Datei (Sicherheitskatalog - %systemroot%\system32\catroot), die Informationen über die Datei enthält. Falls eine entsprechende CAT-Datei existiert, wird deren digitale Signatur beim Überprüfungsprozess für die ausführbare Datei übernommen. Aus diesem Grund sind einige Dateien mit „Signatur MS“ markiert, obwohl unter „Firmenname“ ein anderer Eintrag vorhanden ist. Beispiel: Windows 2000 enthält die Anwendung „HyperTerminal“ in C:\Programme\Windows NT. Die Haupt-Programmdatei dieser Anwendung ist nicht digital signiert. ESET SysInspector weist jedoch Microsoft als Unterzeichner aus. Dies liegt daran, dass in C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat ein Verweis auf C: \Programme\Windows NT\hypertrm.exe (die Haupt-Programmdatei von HyperTerminal) vorhanden ist und sp4.cat wiederum durch Microsoft digital signiert wurde. 114 4.6.6 ESET SysInspector als Teil von ESET Mail Security Um den ESET SysInspector-Bereich in ESET Mail Security zu öffnen, klicken Sie auf Tools > ESET SysInspector. Das Verwaltungssystem im ESET SysInspector-Fenster ähnelt dem von Prüfungslogs oder geplanten Tasks. Alle Vorgänge mit Systemsnapshots - Erstellen, Anzeigen, Vergleichen, Entfernen und Exportieren - sind mit einem oder zwei Klicks zugänglich. Das ESET SysInspector-Fenster enthält Basisinformationen zum erstellten Snapshot wie z. B. Erstellungszeitpunkt, kurzer Kommentar, Name des Benutzers, der den Snapshot erstellt hat, sowie den Status des Snapshots. Zum Vergleichen, Erstellen oder Löschen von Snapshots verwenden Sie die entsprechenden Schaltflächen unter der Snapshot-Liste im ESET SysInspector-Fenster. Dieselben Optionen stehen auch über das Kontextmenü zur Verfügung. Um den ausgewählten Systemsnapshot anzuzeigen, verwenden Sie den Befehl Anzeigen im Kontextmenü. Um den ausgewählten Snapshot in eine Datei zu exportieren, klicken Sie mit der rechten Maustaste darauf und wählen Exportieren. Die einzelnen Befehle sind nachstehend noch einmal ausführlicher beschrieben: Vergleichen - Hiermit können Sie zwei vorhandene Logs vergleichen. Diese Funktion eignet sich dafür, alle Unterschiede zwischen dem aktuellen und einem älteren Log zu ermitteln. Um sie zu nutzen, müssen Sie zwei Snapshots zum Vergleich auswählen. Erstellen... - Erstellen eines neuen Snapshots. Hierzu müssen Sie zunächst einen kurzen Kommentar zum Snapshot eingeben. Der Erstellungsfortschritt wird in der Spalte Status angezeigt. Fertige Snapshots haben den Status Erstellt. Löschen/Alle löschen - Entfernt Einträge aus der Liste. Exportieren... - Speichert den ausgewählten Eintrag als XML-Datei (wahlweise auch komprimiert als ZIP-Datei). 4.7 ESET SysRescue ESET SysRescue ist ein Utility, mit dem Sie einen bootfähigen Datenträger mit einer ESET Security-Lösung erstellen können. Dabei kann es sich um ESET NOD32 Antivirus, ESET Smart Security oder auch eines der Serverprodukte handeln. Der große Vorteil von ESET SysRescue ist, dass die ESET Security-Lösung damit unabhängig vom Betriebssystem auf dem jeweiligen Rechner ausgeführt werden kann und direkten Zugriff auf die Festplatte sowie das gesamte Dateisystem hat. Auf diese Weise lassen sich auch Infektionen entfernen, bei denen dies normalerweise (bei laufendem Betriebssystem usw.) nicht möglich wäre. 4.7.1 Minimalanforderungen ESET SysRescue verwendet das Microsoft Windows Preinstallation Environment (Windows PE) Version 2.x, das wiederum auf Windows Vista basiert. Windows PE ist Teil des kostenlosen Windows Automated Installation Kit (Windows AIK) und des Windows Assessment and Deployment Kit (Windows ADK). Vor dem Erstellen eines ESET SysRescue-Mediums muss daher das Windows AIK oder das Windows ADK installiert werden (Download unter <%http://go.eset.eu/AIK%> bzw. <% http://go.eset.eu/ADK%>). Das zu installierende Kit hängt vom verwendeten Betriebssystem ab. Da die 32-BitVersion von Windows PE unterstützt wird, muss beim Erstellen von ESET SysRescue auf 64-Bit-Systemen ein 32-BitInstallationspaket der ESET Security-Lösung verwendet werden. ESET SysRescue unterstützt das Windows AIK 1.1 und höher sowie das Windows ADK. HINWEIS: Da das Windows AIK über 1 GB und das Windows ADK etwa 1,3 GB groß ist, ist für einen reibungslosen Download eine schnelle Internetverbindung erforderlich. ESET SysRescue ist in ESET Security-Lösungen ab Version 4.0 verfügbar. ESET SysRescue unterstützt die folgenden Betriebssysteme: Windows Server 2003 Service Pack 1 mit KB926044 Windows Server 2003 Service Pack 2 Windows Server 2008 Windows Server 2012 Das Windows AIK unterstützt: 115 Windows Server 2003 Windows Server 2008 Das Windows ADK unterstützt: Windows Server 2012 4.7.2 Erstellen der Rettungs-CD Klicken Sie auf Start > Programme > ESET > ESET Mail Security > ESET SysRescue, um den ESET SysRescueAssistenten zu starten. Zuerst prüft der Assistent, ob das Windows AIK bzw. ADK und ein geeignetes Gerät für die Erstellung des Bootmediums verfügbar sind. Wenn das Windows AIK bzw. ADK auf Ihrem Computer nicht installiert (oder beschädigt oder nicht korrekt installiert) ist, bietet Ihnen der Assistent die Möglichkeit, es zu installieren oder den Pfad zu Ihrem Windows AIK-Ordner (<%http://go.eset.eu/AIK%>) bzw. Windows ADK-Ordner (<%http://go.eset. eu/ADK%>) anzugeben. HINWEIS: Da das Windows AIK über 1 GB und das Windows ADK etwa 1,3 GB groß ist, ist für einen reibungslosen Download eine schnelle Internetverbindung erforderlich. Im nächsten Schritt 116 wählen Sie das Zielmedium für ESET SysRescue aus. 4.7.3 Zielauswahl Neben CD/DVD/USB können Sie ESET SysRescue auch in einer ISO-Datei speichern. Später können Sie dann das ISO-Abbild auf CD/DVD brennen oder es anderweitig verwenden (z. B. in einer virtuellen Umgebung wie VMware oder VirtualBox). Von einem USB-Medium kann eventuell nicht auf allen Computern gebootet werden. Manche BIOS-Versionen melden Probleme mit der Kommunikation zwischen BIOS und Bootmanager (z. B. bei Windows Vista). In diesen Fällen wird der Bootvorgang mit der folgenden Fehlermeldung abgebrochen: file : \boot\bcd status : 0xc000000e info : an error occurred while attemping to read the boot configuration data Wenn diese Fehlermeldung angezeigt wird, wählen Sie als Zielmedium CD anstelle von USB. 4.7.4 Einstellungen Vor der Erstellung der ESET SysRescue-CD werden beim letzten Schritt im ESET SysRescue-Installationsassistenten einige Kompilierungsparameter angezeigt. Diese können Sie über die Schaltfläche Ändern bearbeiten. Es stehen die folgenden Optionen zur Verfügung: Ordner 117 ESET Antivirus 117 Erweitert 117 Internetprotokoll 118 Bootfähiges USB-Gerät 118 (wenn als Ziel ein USB-Gerät ausgewählt wurde) Brennen 118 (wenn als Ziel ein CD/DVD-Laufwerk ausgewählt wurde) Die Schaltfläche Erstellen ist inaktiv, wenn kein MSI-Installationspaket angegeben wurde oder wenn keine ESET Security-Lösung auf dem Computer installiert ist. Um ein Installationspaket auszuwählen, klicken Sie auf Ändern und wählen dann die Registerkarte ESET Antivirus. Beachten Sie bitte außerdem, dass die Schaltfläche Erstellen nur dann aktiv ist, wenn Sie einen Benutzernamen und ein Passwort eingeben (Ändern > ESET Antivirus). 116 4.7.4.1 Ordner Temporärer Ordner ist das Arbeitsverzeichnis für die bei der Kompilierung eines ESET SysRescue-Mediums erforderlichen Dateien. ISO-Ordner ist der Ordner, in dem die fertige ISO-Datei nach Abschluss der Kompilierung gespeichert wird. In der Liste auf dieser Registerkarte werden alle lokalen Laufwerke und zugeordneten Netzlaufwerke mit dem jeweils verfügbaren freien Speicherplatz angezeigt. Falls einer der hier angegebenen Ordner auf einem Laufwerk mit zu wenig freiem Speicherplatz liegt, sollten Sie ein anderes Laufwerk mit mehr freiem Speicherplatz auswählen. Anderenfalls bricht die Kompilierung möglicherweise vorzeitig ab. Externe Anwendungen - Hiermit können Sie zusätzliche Programme festlegen, die nach dem Starten von einem ESET SysRescue-Medium ausgeführt oder installiert werden. Externe Anwendungen einschließen - Mit dieser Option können Sie externe Programme zur ESET SysRescueKompilation hinzufügen. Ausgewählter Ordner - Ordner, in dem sich die Programme befinden, die zur ESET SysRescue-CD hinzugefügt werden sollen 4.7.4.2 ESET Antivirus Beim Erstellen der ESET SysRescue-CD können Sie zwei Quellen für die vom Compiler zu verwendenden ESETDateien wählen. ESS/EAV-Ordner - Es werden die bereits vorhandenen Dateien aus dem Ordner verwendet, in dem die ESET Security-Lösung auf dem Computer installiert ist. MSI-Datei - Es werden die im MSI-Installationspaket enthaltenen Dateien verwendet. Danach können Sie den Speicherort der (.nup-)Dateien ändern. Normalerweise sollte die Standardoption ESS/EAVOrdner/MSI-Datei eingestellt sein. In Ausnahmefällen kann ein benutzerdefinierter Update-Ordner ausgewählt werden, z. B. um eine ältere oder neuere Version der Signaturdatenbank zu verwenden. Sie können eine der beiden folgenden Quellen für Benutzername und Passwort verwenden: ESS/EAV-Installation - Benutzername und Passwort werden der vorhandenen Installation der ESET SecurityLösung entnommen. Von Benutzer - Es werden der Benutzername und das Passwort verwendet, die Sie in den dazugehörigen Feldern eingeben. HINWEIS: Die ESET Security-Lösung auf der ESET SysRescue-CD wird entweder über das Internet oder über die ESET Security-Lösung aktualisiert, die auf dem Computer installiert ist, auf dem die ESET SysRescue-CD ausgeführt wird. 4.7.4.3 Erweiterte Einstellungen Auf der Registerkarte Erweitert können Sie die ESET SysRescue-CD für die Größe des Arbeitsspeichers auf Ihrem Computer optimieren. Wählen Sie 576 MB oder mehr, um den Inhalt der CD in den Arbeitsspeicher (RAM) zu übertragen. Wenn Sie weniger als 576 MB auswählen, wird permanent auf die Recovery-CD zugegriffen, während WinPE läuft. Im Bereich Externe Treiber können Sie Treiber für Ihre Hardware (z. B. Netzwerkadapter) hinzufügen. Da WinPE auf Windows Vista SP1 basiert, ist eine breite Hardwareunterstützung gegeben. In manchen Fällen kann es jedoch vorkommen, dass Hardware nicht erkannt wird. In diesem Fall müssen Sie den Treiber von Hand hinzufügen. Um den Treiber in ESET SysRescue zu integrieren, gibt es zwei Möglichkeiten: manuell (über die Schaltfläche Hinzufügen) oder automatisch (Schaltfläche Autom. Suche). Bei der manuellen Methode müssen Sie den Pfad zur passenden .inf-Datei auswählen (die dazugehörige *.sys-Datei muss ebenfalls in diesem Ordner liegen). Bei der automatischen Methode wird der Treiber automatisch im Betriebssystem des aktuellen Computers gesucht. Diese Methode sollten Sie nur verwenden, wenn Sie ESET SysRescue später auf einem Computer mit derselben Hardware (z. B. Netzwerkadapter) wie dem Computer nutzen, auf dem Sie die ESET SysRescue-CD erstellt haben. Bei der Erstellung der ESET SysRescue-CD wird der Treiber integriert, sodass Sie ihn später nicht mehr suchen müssen. 117 4.7.4.4 Internetprotokoll In diesem Bereich können Sie grundlegende Netzwerkinformationen konfigurieren und vordefinierte Verbindungen für ESET SysRescue einrichten. Wählen Sie Automatische private IP-Adresse, um die IP-Adresse automatisch vom DHCP-Server (Dynamic Host Configuration Protocol) abzurufen. Alternativ kann bei dieser Netzwerkverbindung auch eine manuell eingegebene IP-Adresse (statische IP-Adresse) verwendet werden. Wählen Sie Benutzerdefiniert zur Konfiguration der entsprechenden IP-Einstellungen. Wenn Sie diese Option aktivieren, müssen Sie eine IP-Adresse eingeben, bei LAN- und Breitband-Internetverbindungen zusätzlich eine Subnetzmaske. Geben Sie bei Bevorzugter DNS-Server und Alternativer DNS-Server die IPAdressen des primären und sekundären DNS-Servers ein. 4.7.4.5 Bootfähiges USB-Gerät Falls Sie ein USB-Gerät als Zielmedium ausgewählt haben, können Sie eines der verfügbaren USB-Medien auf der Registerkarte Bootfähiges USB-Gerät auswählen (falls mehrere USB-Geräte vorhanden sind). Wählen Sie das entsprechende Ziel-Gerät aus, auf dem ESET SysRescue installiert werden soll. Warnung: Das ausgewählte USB-Gerät wird beim Erstellen von ESET SysRescue formatiert. Alle vorher auf dem Gerät gespeicherten Daten gehen dabei verloren. Wenn Sie die Option Schnellformatierung wählen, werden alle Dateien von der Partition entfernt, das Laufwerk wird aber nicht auf beschädigte Sektoren geprüft. Verwenden Sie diese Option nur, wenn Ihr USB-Gerät schon einmal formatiert wurde und Sie sicher sind, dass es nicht beschädigt ist. 4.7.4.6 Brennen Wenn Sie CD/DVD als Zielmedium ausgewählt haben, können Sie weitere Parameter für das Brennen auf der Registerkarte Brennen festlegen. ISO-Datei löschen - Aktivieren Sie diese Option, um die temporäre ISO-Datei nach dem Erstellen der ESET SysRescue-CD zu löschen. Löschen aktiviert - Sie können zwischen schnellem Löschen und vollständigem Löschen auswählen. Brennerlaufwerk - Wählen Sie das Laufwerk zum Brennen aus. Warnung: Dies ist die Standardoption. Falls Sie eine wiederbeschreibbare CD/DVD verwenden, werden alle zuvor darauf gespeicherten Daten gelöscht. Der Bereich „Medium“ enthält Informationen über das aktuell in Ihrem CD/DVD-Laufwerk eingelegte Medium. Schreibgeschwindigkeit - Wählen Sie die gewünschte Geschwindigkeit in der Liste aus. Berücksichtigen Sie dabei die Fähigkeiten Ihres Brenners und den Typ des CD-/DVD-Rohlings. 4.7.5 Die Arbeit mit ESET SysRescue Damit die Rettungs-CD (bzw. -DVD/USB-Gerät) wie erwartet funktioniert, müssen Sie Ihren Computer vom ESET SysRescue-Bootmedium starten. Die Bootreihenfolge können Sie ggf. im BIOS entsprechend abändern. Alternativ können Sie während des Computerstarts auch das Bootmenü aufrufen. Hierzu wird abhängig von Ihrer Motherboard-/BIOS-Variante üblicherweise eine der Tasten F9-F12 verwendet. Nach dem Hochfahren über das Bootmedium wird die ESET Security-Lösung gestartet. Da ESET SysRescue nur in bestimmten Situationen verwendet wird, sind manche Schutzmodule und Programmfunktionen nicht erforderlich, die normalerweise fester Bestandteil der ESET Security-Lösung sind. Die Liste wird auf Computer prüfen, Update und einige Bereiche in Einstellungen begrenzt. Die Aktualisierung der Signaturdatenbank ist die wichtigste Funktion von ESET SysRescue. Wir empfehlen Ihnen, das Programm vor dem Start einer Prüfung des Computers zu aktualisieren. 118 4.7.5.1 Verwenden des ESET SysRescue-Mediums Nehmen wir einmal an, dass Computer im Netzwerk mit einem Virus infiziert wurden, der ausführbare Dateien (. exe) manipuliert. Die ESET Security-Lösung ist in der Lage, alle infizierten Dateien zu säubern, ausgenommen die Datei explorer.exe, die selbst im abgesicherten Modus nicht gesäubert werden kann. Dies liegt daran, dass explorer. exe als einer der grundlegenden Windows-Prozesse auch im abgesicherten Modus gestartet wird. Die ESET SecurityLösung kann bei dieser Datei keine Aktion ausführen, sodass sie infiziert bleibt. In einer solchen Situation können Sie ESET SysRescue verwenden, um das Problem zu lösen. ESET SysRescue benötigt keine Komponenten des Host-Betriebssystems. Deshalb kann es alle Dateien der Festplatte verarbeiten (bereinigen, löschen). 4.8 Einstellungen für Benutzeroberfläche Über die Konfigurationsoptionen für die Benutzeroberfläche von ESET Mail Security können Sie die Arbeitsumgebung an Ihre Anforderungen anpassen. Sie erreichen diese Optionen unter Benutzeroberfläche in den erweiterten Einstellungen von ESET Mail Security. Im Bereich Elemente der Benutzeroberfläche haben Sie die Option, zum Erweiterten Modus zu wechseln. Hier werden erweiterte Einstellungen und zusätzliche Steuerelemente für ESET Mail Security angezeigt. Die Option Grafische Benutzeroberfläche sollte deaktiviert werden, wenn durch die grafischen Elemente die Leistung Ihres Computers beeinträchtigt wird oder andere Probleme auftreten. Die grafische Oberfläche sollte ebenso für sehbehinderte Personen deaktiviert werden, da Konflikte mit Spezialanwendungen zum Vorlesen von Text auf dem Bildschirm auftreten können. Wenn Sie die Anzeige des Startbilds von ESET Mail Security deaktivieren möchten, deaktivieren Sie das Kontrollkästchen Startbild anzeigen. Oben im Hauptprogrammfenster von ESET Mail Security befindet sich ein Standardmenü, das über die Option Standardmenü verwenden aktiviert oder deaktiviert werden kann. Wenn die Option QuickInfo anzeigen aktiviert ist, wird eine kurze Beschreibung angezeigt, wenn der Mauszeiger sich auf einer Option befindet. Durch Aktivieren der Option Aktives Steuerelement auswählen wird jedes Element hervorgehoben, das sich gerade im aktiven Bereich des Mauszeigers befindet. Mit einem Klick wird das hervorgehobene Element aktiviert. Um die Geschwindigkeit von Animationen zu erhöhen oder zu senken, aktivieren Sie die Option Animierte Steuerelemente verwenden und ziehen Sie den Schieberegler für die Geschwindigkeit nach links oder rechts. Um bei der Ausführung verschiedener Vorgänge animierte Symbole anzuzeigen, aktivieren Sie die Option Animierte Symbole für Fortschrittsanzeige verwenden. Wenn das Programm bei wichtigen Ereignissen einen Warnton ausgeben soll, aktivieren Sie die Option Hinweistöne wiedergeben. 119 Zu den Funktionen der Benutzeroberfläche zählt auch die Option, die Einstellungen von ESET Mail Security mit einem Passwort zu schützen. Sie befindet sich im Untermenü Einstellungen schützen im Bereich Benutzeroberfläche. Maßgeblich für einen wirksamen Schutz Ihres Systems sind die korrekten Einstellungen des Programms. Bei unzulässigen Änderungen können wichtige Daten verloren gehen. Klicken Sie auf Passwort festlegen, um ein Passwort für den Schutz der Einstellungen anzugeben. 120 4.8.1 Warnungen und Hinweise Unter Einstellungen für Warnungen und Hinweise im Bereich Benutzeroberfläche können Sie festlegen, wie ESET Mail Security mit Bedrohungswarnungen und Systemmeldungen umgehen soll. Die erste Option ist Warnungen anzeigen. Bei Deaktivieren dieser Option werden keine Warnmeldungen mehr angezeigt. Diese Einstellung eignet sich nur in einigen speziellen Situationen. Für die meisten Benutzer empfiehlt es sich, die Standardeinstellung (aktiviert) beizubehalten. Wenn Popup-Fenster nach einer bestimmten Zeit automatisch geschlossen werden sollen, aktivieren Sie die Option Fenster mit Hinweisen schließen nach (Sek.). Die Hinweise werden nach Ablauf der festgelegten Zeit automatisch geschlossen, sofern sie nicht bereits vom Benutzer geschlossen wurden. Hinweise auf dem Desktop und Sprechblasen dienen ausschließlich zu Informationszwecken; Eingaben des Benutzer sind weder möglich noch erforderlich. Sie werden im Infobereich der Taskleiste rechts unten auf dem Bildschirm angezeigt. Zum Aktivieren der Anzeige von Desktophinweisen aktivieren Sie die Option Hinweise auf dem Desktop anzeigen. Weitere Optionen, wie Anzeigedauer und Transparenz, lassen sich einstellen, indem Sie auf Hinweise konfigurieren klicken. Um eine Vorschau des Verhaltens von Hinweisen zu erhalten, klicken Sie auf Vorschau. Die Anzeigedauer von Sprechblasen lässt sich über die Option Sprechblasen in der Taskleiste anzeigen (Sek.) einstellen. Klicken Sie auf Erweiterte Einstellungen, um zu zusätzlichen Einstellungen für Warnungen und Hinweise zu gelangen, darunter z. B. die Option Nur Hinweise anzeigen, die ein Eingreifen des Benutzers erfordern. Hiermit können Sie die Anzeige von Meldungen, die keine Benutzerinteraktion erfordern, aktivieren bzw. deaktivieren. Wählen Sie Hinweise, die ein Eingreifen des Benutzers erfordern, nur anzeigen, wenn Anwendungen im Vollbildmodus laufen, um alle Hinweise zu unterdrücken, die kein Eingreifen erfordern. Aus der Liste Mindestinformationen anzuzeigender Ereignisse können Sie den niedrigsten Schweregrad der anzuzeigenden Warnungen und Hinweise wählen. Der letzte Eintrag in diesem Bereich gibt Ihnen die Möglichkeit, die Ausgabe für Meldungen in einer Mehrbenutzerumgebung zu konfigurieren. Im Feld Auf Mehrbenutzersystemen Meldungen auf Bildschirm folgenden Benutzers ausgeben: können Sie festlegen, welcher Benutzer wichtige Hinweise von ESET Mail Security erhalten soll. Gewöhnlich sind dies System- oder Netzwerkadministratoren. Besonders sinnvoll ist diese Option bei Terminalservern, vorausgesetzt alle Systemmeldungen werden an den Administrator gesendet. 121 4.8.2 Deaktivieren der Benutzeroberfläche auf Terminalserver In diesem Kapitel wird beschrieben, wie Sie die grafische Benutzeroberfläche von ESET Mail Security für Benutzersitzungen deaktivieren können, wenn das Produkt auf einem Windows-Terminalserver läuft. Die Benutzeroberfläche von ESET Mail Security wird bei jeder Anmeldung eines Remote-Benutzers auf dem Terminalserver gestartet. Für gewöhnlich ist dies auf Terminalservern nicht erwünscht. Führen Sie die folgenden Schritte aus, um die Benutzeroberfläche für Terminaldienste-Sitzungen zu deaktivieren: 1. Führen Sie regedit.exe aus 2. Öffnen Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Klicken Sie mit der rechten Maustaste auf egui und wählen Sie Ändern. 4. Fügen Sie den Parameter /terminal zum bestehenden String hinzu Beispiel für den korrekten Wert von egui: „C:\Programme\ESET\ESET Mail Security\egui.exe“ /hide /waitservice /terminal Wenn Sie diese Einstellung zurücksetzen und damit den automatischen Start der ESET Mail SecurityBenutzeroberfläche aktivieren möchten, entfernen Sie den /terminal -Parameter. Wiederholen Sie die Schritte 1 bis 3, um den Registrierungswert von egui wiederherzustellen. 4.9 eShell eShell (Abkürzung für ESET Shell) ist eine Kommandozeilen-Schnittstelle für ESET Mail Security. Es handelt sich dabei um eine Alternative zur grafischen Benutzeroberfläche (GUI). Über eShell haben Sie Zugriff auf alle Funktionen und Optionen, die Ihnen sonst über die Benutzeroberfläche zur Verfügung stehen. Mit eShell können Sie ohne die GUI das gesamte Programm konfigurieren und verwalten. Neben der Bereitstellung aller Funktionen und Optionen, die über die Benutzeroberfläche steuerbar sind, bietet die Kommandozeile auch die Möglichkeit, Prozesse durch Skripte zu automatisieren. Mit ihnen können Sie das Programm konfigurieren, Änderungen vornehmen und Aktionen ausführen. Des Weiteren ist eShell für jene Benutzer attraktiv, die die Kommandozeile generell der Benutzeroberfläche vorziehen. HINWEIS: Ein separates Handbuch für eShell können Sie hier herunterladen. Es enthält eine Liste aller verfügbaren Befehle mit der jeweiligen Syntax und einer Beschreibung. In diesem Abschnitt wird erklärt, wie und wofür Sie eShell verwenden können. Außerdem werden alle Befehle samt einer Beschreibung aufgelistet, wann sie verwendet werden und was sie bewirken. eShell kann in den folgenden beiden Modi ausgeführt werden: Interaktiver Modus: Dieser Modus eignet sich, wenn Sie umfassend mit eShell arbeiten möchten (also nicht nur einen einzelnen Befehl ausführen), z. B. zum Ändern der Konfiguration oder Anzeigen von Log-Dateien. Der interaktive Modus bietet sich auch an, wenn Sie noch nicht mit allen Befehlen vertraut sind. Der interaktive Modus erleichtert die Navigation durch eShell. In diesem Modus werden auch die im jeweiligen Kontext verfügbaren Befehle angezeigt. Einzelner Befehl/Batch-Modus: Verwenden Sie diesen Modus, wenn Sie nur einen Befehl ausführen müssen, ohne dabei den interaktiven Modus von eShell zu verwenden. Geben Sie hierzu in der Windows-Eingabeaufforderung eshell mit den entsprechenden Parametern ein. Beispiel: eshell set av document status enabled HINWEIS: Um eShell-Befehle über die Windows-Eingabeaufforderung einzugeben oder Batch-Dateien auszuführen, muss diese Funktion aktiviert sein. (Der Befehl set general access batch always muss im interaktiven Modus ausgeführt werden.) Weitere Informationen zum Befehl „set batch“ finden Sie hier 126 . Den interaktiven eShell-Modus können Sie auf zwei Arten aktivieren: Über das Windows-Startmenü: Start > Alle Programme > ESET > ESET File Security > ESET Shell Über die Windows-Eingabeaufforderung: Geben Sie eshell ein und drücken Sie die Eingabetaste. Wenn Sie eShell zum ersten Mal im interaktiven Modus ausführen, wird ein Willkommensbildschirm angezeigt. 122 Darin werden Ihnen ein paar einfache Beispiele für die Verwendung von eShell sowie Informationen zu Syntax, Präfixen, Befehlspfaden, Abkürzungen, Aliasnamen usw. angezeigt. Es handelt sich also um eine kurze Einführung in eShell. HINWEIS: Wenn Sie diesen Bildschirm später erneut aufrufen möchten, geben Sie den Befehl guide ein. HINWEIS: Bei der Befehlseingabe müssen Sie nicht auf Groß- und Kleinschreibung achten. Der Befehl wird unabhängig davon ausgeführt, ob Sie Groß- oder Kleinbuchstaben verwenden. 4.9.1 Verwendung Syntax Die Befehle funktionieren nur dann ordnungsgemäß, wenn sie mit der richtigen Syntax eingegeben werden. Sie können aus einem Präfix, einem Kontext, Argumenten, Optionen usw. bestehen. Allgemein wird in eShell folgende Syntax verwendet: [<Präfix>] [<Befehlspfad>] <Befehl> [<Argumente>] Beispiel (aktiviert den Dokumentenschutz): SET AV DOCUMENT STATUS ENABLED SET - Ein Präfix AV DOCUMENT - Pfad zu einem bestimmten Befehl, also der Kontext des Befehls STATUS - Der eigentliche Befehl ENABLED - Ein Argument für den Befehl Wenn Sie HELP oder ? zusammen mit einem Befehl eingeben, wird die Syntax dieses bestimmten Befehls angezeigt. Zum Beispiel wird mit CLEANLEVEL HELP die Syntax des Befehls CLEANLEVEL angezeigt: SYNTAX: [get] | restore cleanlevel set cleanlevel none | normal | strict Beachten Sie, dass [get] in eckigen Klammern steht. Dies bedeutet, dass das Präfix get das Standardpräfix für den Befehl cleanlevel ist. Wird also dem Befehl cleanlevel kein bestimmtes Präfix zugewiesen, wird das Standardpräfix verwendet (in diesem Fall get cleanlevel). Wenn Sie das Präfix weglassen, sparen Sie Zeit beim Eingeben von Befehlen. Üblicherweise ist get das Standardpräfix der meisten Befehle. Dennoch sollten Sie das Standardpräfix des jeweiligen Befehls kennen und sich sicher sein, dass Sie ihn so ausführen möchten. HINWEIS: Bei der Befehlseingabe müssen Sie nicht auf Groß- und Kleinschreibung achten. Der Befehl wird unabhängig davon ausgeführt, ob Sie Groß- oder Kleinbuchstaben verwenden. Präfix/Vorgang Ein Präfix stellt einen Vorgang dar. Das Präfix GET zeigt die Konfiguration einer bestimmten ESET Mail SecurityFunktion oder den Status an (z. B. zeigt GET AV STATUS den aktuellen Schutzstatus an). Das Präfix SET konfiguriert die Funktion bzw. ändert ihren Status (SET AV STATUS ENABLED aktiviert den Schutz). 123 Die nachfolgend genannten Präfixe stehen in eShell zur Verfügung. Je nach Befehl werden bestimmte Präfixe unterstützt. GET - Aktuelle Einstellung/Status zurückgeben SET - Wert/Status festlegen SELECT - Element auswählen ADD - Element hinzufügen REMOVE - Element entfernen CLEAR - Alle Elemente/Dateien entfernen START - Aktion starten STOP - Aktion beenden PAUSE - Aktion anhalten RESUME - Aktion fortsetzen RESTORE - Standardeinstellungen/-objekt/-datei wiederherstellen SEND - Objekt/Datei senden IMPORT - Aus Datei importieren EXPORT - In Datei exportieren Präfixe wie GET und SET werden für viele, aber nicht alle Befehle verwendet. Der Befehl EXIT erfordert zum Beispiel kein Präfix. Befehlspfad/Kontext Befehle sind in einen Kontext in Form einer Baumstruktur eingebettet. Die höchste Ebene bildet der Kontext „root“. Beim Start von eShell befinden Sie sich also auf der Root-Ebene. eShell> Hier können Sie entweder einen Befehl ausführen oder den Kontextnamen eingeben, um auf die entsprechende Ebene zu gelangen. Wenn Sie zum Beispiel den Kontext TOOLS eingeben, werden alle dort verfügbaren Befehle und untergeordneten Kontexte aufgelistet. Gelbe Elemente stellen ausführbare Befehle und graue Elemente stellen auswählbare untergordnete Kontexte dar. Ein untergeordneter Kontext enthält weitere Befehle. Wenn Sie auf eine höhere Ebene zurückkehren möchten, geben Sie .. (zwei Punke) ein. Nehmen wir beispielsweise an, Sie befinden sich hier: eShell av options> Geben Sie .. ein und Sie gelangen auf die nächsthöhere Ebene, nämlich: eShell av> Wenn Sie dagegen von eShell av options> wieder die zwei Ebenen zur Root-Ebene hochgehen möchten, geben Sie .. .. (zwei Punkte, Leerzeichen, zwei Punkte) ein. So gelangen Sie zwei Ebenen höher (in diesem Fall zur RootEbene). Diese Vorgehensweise ist auf jeder Ebene der Kontexthierarchie möglich. Die entsprechende Anzahl an .. bringt Sie auf die gewünschte Ebene. 124 Der Pfad ist relativ zum aktuellen Kontext. Geben Sie den Pfad nicht ein, wenn der Befehl im aktuellen Kontext aufgerufen wird. Um zum Beispiel GET AV STATUS auszuführen, geben Sie ein: GET AV STATUS - wenn Sie sich im Root-Kontext befinden (Kommandozeile zeigt an: eShell>) GET STATUS - wenn Sie sich im Kontext AV befinden (Kommandozeile zeigt an: eShell av>) .. GET STATUS - wenn Sie sich im Kontext AV OPTIONS befinden (Kommandozeile zeigt an: eShell av options>) Argument Ein Argument ist eine Aktion, die für einen bestimmten Befehl ausgeführt wird. Der Befehl CLEANLEVEL beispielsweise kann mit folgenden Argumenten verwendet werden: none - Schadcode nicht entfernen normal - Normales Säubern strict - Immer versuchen, automatisch zu entfernen Weitere Beispiele sind die Argumente ENABLED oder DISABLED zur Aktivierung/Deaktivierung einer bestimmten Option oder Funktion. Kurzformen In eShell können Sie Kontexte, Befehle und Argumente abkürzen (falls es sich bei dem Argument um einen Switch oder eine alternative Option handelt). Die Abkürzung eines Präfixes oder eines Arguments in Form eines konkreten Wertes (z. B. Nummer, Name oder Pfad) ist nicht möglich. Beispiele für die Kurzform: set status enabled => set stat en add av exclusions C:\Pfad\Datei.erw => add av exc C:\Pfad\Datei.erw Wenn zwei Befehle oder Kontexte gleich beginnen (z. B. ABOUT und AV) und Sie A als verkürzte Befehlsform wählen, kann eShell nicht bestimmen, welchen der beiden Befehle Sie ausführen möchten. Es werden dann eine Fehlermeldung und eine Liste der verfügbaren Befehle mit dem Anfangsbuchstaben A angezeigt: eShell>a Der folgende Befehl ist nicht eindeutig: a In diesem Kontext sind die folgenden Befehle verfügbar: ABOUT - Informationen über das Programm anzeigen AV - Zum Kontext av wechseln Das Hinzufügen von mindestens einem Buchstaben (z. B. AB anstelle von A) hat zur Folge, dass eShell den Befehl ABOUT ausführt, da die Abkürzung nun eindeutig ist. HINWEIS: Um die korrekte Ausführung des Befehls sicherzustellen, wird empfohlen, Befehle, Argumente usw. nicht abzukürzen, sondern vollständig anzugeben. Auf diese Weise erfolgt die Ausführung wie von Ihnen gewünscht und unerwünschte Fehler werden vermieden. Dies betrifft vor allem Batch-Dateien und Skripte. Aliasnamen Ein Alias ist ein alternativer Name, um einen Befehl auszuführen (vorausgesetzt, dass diesem Befehl ein Alias zugewiesen wurde). Dies sind die Standard-Aliasnamen: (global) help - ? (global) close - exit (global) quit - exit (global) bye - exit warnlog - tools log events virlog - tools log detections Mit „(global)“ wird angezeigt, dass der Befehl kontextunabhängig verwendet werden kann. Einem Befehl können mehrere Aliasnamen zugewiesen werden. So hat der Befehl EXIT z. B. die Aliasnamen CLOSE, QUIT und BYE. Wenn Sie eShell beenden möchten, können Sie den Befehl EXIT oder einen seiner Aliasnamen verwenden. Das Alias VIRLOG bezieht sich auf den Befehl DETECTIONS im Kontext TOOLS LOG . Mit diesem Alias ist der Befehl im Kontext ROOT verfügbar und so leichter erreichbar (Sie müssen nicht erst in die Kontexte TOOLS und dann LOG wechseln, sondern starten den Befehl direkt in ROOT). Mit eShell können Sie eigene Aliasnamen festlegen. Geschützte Befehle Einige Befehle sind passwortgeschützt und können nur nach der Eingabe eines Passworts ausgeführt werden. 125 Benutzungshinweise Beim Ausführen des Befehls GUIDE wird ein Bildschirm mit Benutzungshinweisen für eShell angezeigt. Dieser Befehl wird im Kontext ROOT aufgerufen (eShell>). Hilfe Wird der Befehl HELP ohne Zusätze verwendet, werden alle im aktuellen Kontext verfügbaren Befehle samt Präfixen sowie die Unterkontexte angezeigt. Ebenso wird jeder Befehl/Unterkontext kurz beschrieben. Wenn Sie HELP in Verbindung mit einem bestimmten Befehl als Argument verwenden (z. B. CLEANLEVEL HELP), werden die Informationen zu diesem Befehl angezeigt. Dabei handelt es sich um SYNTAX, VORGÄNGE, ARGUMENTE und ALIASNAMEN des Befehls sowie eine kurze Beschreibung jeder Information. Befehlsverlauf eShell speichert einen Verlauf der bereits ausgeführten Befehle. Gespeichert werden aber nur die Befehle der aktuellen interaktiven eShell-Sitzung. Wenn Sie eShell beenden, wird der Befehlsverlauf gelöscht. Mit den Pfeiltasten „Auf“ und „Ab“ können Sie durch den Verlauf blättern. Wenn Sie den gesuchten Befehl gefunden haben, können Sie ihn erneut ausführen oder ändern, ohne den gesamten Befehl erneut eingeben zu müssen. CLS/Bildschirm löschen Der Befehl CLS wird verwendet, um den Bildschirm zu löschen. Der Befehl funktioniert genauso wie über die Windows-Eingabeaufforderung oder ähnliche Kommandozeilenprogramme. EXIT/CLOSE/QUIT/BYE Zum Schließen oder Beenden von eShell stehen Ihnen diese vier Befehle zur Verfügung (EXIT, CLOSE, QUIT oder BYE). 4.9.2 Befehle In diesem Abschnitt werden einige grundlegende eShell-Befehle mit einer Beschreibung aufgelistet. Eine vollständige Liste der verfügbaren Befehle finden Sie im eShell-Handbuch, das Sie hierherunterladen können. HINWEIS: Bei der Befehlseingabe müssen Sie nicht auf Groß- und Kleinschreibung achten. Der Befehl wird unabhängig davon ausgeführt, ob Sie Groß- oder Kleinbuchstaben verwenden. Befehle im Kontext ROOT: ABOUT Zeigt Programminformationen an. Die Liste umfasst den Namen des installierten Produkts, die Versionsnummer, installierte Komponenten (und die jeweilige Versionsnummer) sowie grundlegende Informationen zum Server und dem Betriebssystem, auf dem ESET Mail Security ausgeführt wird. KONTEXTPFAD: root BATCH Startet den Batch-Modus von eShell. Dieser Modus eignet sich für die Nutzung aus Batch-Dateien/Skripten. Geben Sie START BATCH als ersten Befehl in die Batch-Datei oder das Skript ein, um den Batch-Modus zu aktivieren. Wenn dieser Modus aktiv ist, werden Sie nicht zu Eingaben aufgefordert (z. B. der eines Passworts) und fehlende Argumente werden durch Standardargumente ersetzt. Auf diese Weise wird die Ausführung der Batch-Datei nicht plötzlich gestoppt, weil eShell den Benutzer zu einer Eingabe auffordert. Stattdessen wird die Batch-Datei ohne Unterbrechung ausgeführt (es sei denn, ein Fehler tritt auf oder die Befehle in der Batch-Datei sind nicht korrekt). KONTEXTPFAD: root SYNTAX: [start] batch VORGÄNGE: start - eShell im Batch-Modus starten KONTEXTPFAD: root 126 BEISPIELE: start batch - Startet den Batch-Modus von eShell GUIDE Zeigt den Willkommensbildschirm an. KONTEXTPFAD: root PASSWORD Wenn Sie passwortgeschützte Befehle ausführen möchten, werden Sie aus Sicherheitsgründen in der Regel aufgefordert, ein Passwort einzugeben. Dies betrifft Befehle, die zum Beispiel die Deaktivierung des Virenschutzes zur Folge haben oder die Funktion von ESET Mail Security beeinflussen könnten. Jedes Mal, wenn ein solcher Befehl ausgeführt werden soll, muss das Passwort eingegeben werden. Um das Passwort nicht jedes Mal selbst eingeben zu müssen, können Sie es festlegen. eShell ruft das Passwort dann automatisch ab, wenn ein passwortgeschützter Befehl ausgeführt werden soll. Auf diese Weise müssen Sie das Passwort nicht jedes Mal eigenhändig eingeben. HINWEIS: Das festgelegte Passwort gilt nur für die aktuelle eShell-Sitzung im interaktiven Modus. Wenn Sie eShell beenden, wird das festgelegte Passwort gelöscht. Für die nächste Ausführung von eShell müssen Sie das Passwort erneut festlegen. Das festgelegte Passwort ist auch bei der Ausführung von Batch-Dateien/Skripten von Nutzen. Hier ein Beispiel für eine solche Batch-Datei: eshell start batch "&" set password plain <IhrPasswort> "&" set status disabled Dieser verkettete Befehl startet den Batch-Modus, legt das Passwort fest und deaktiviert den Schutz. KONTEXTPFAD: root SYNTAX: [get] | restore password set password [plain <Passwort>] VORGÄNGE: get - Passwort anzeigen set - Passwort festlegen oder löschen restore - Passwort löschen ARGUMENTE: plain - Passwort als Parameter eingeben password - Passwort BEISPIELE: set password plain <IhrPasswort> - Passwort für passwortgeschützte Befehle festlegen restore password - Passwort löschen BEISPIELE: get password - Mit diesem Befehl können Sie überprüfen, ob ein Passwort konfiguriert wurde. Es werden nur „*“ (Sternchen) angezeigt, nicht das eigentliche Passwort. Werden keine Sternchen angezeigt, so wurde auch kein Passwort festgelegt. set password plain <IhrPasswort> - Festgelegtes Passwort speichern restore password - Festgelegtes Passwort löschen STATUS 127 Zeigt den aktuellen Schutzstatus von ESET Mail Security (wie auf der Benutzeroberfläche) an. KONTEXTPFAD: root SYNTAX: [get] | restore status set status disabled | enabled VORGÄNGE: get - Status des Virenschutzes anzeigen set - Virenschutz deaktivieren/aktivieren restore - Standardeinstellungen wiederherstellen ARGUMENTE: disabled - Virenschutz deaktivieren enabled - Virenschutz aktivieren BEISPIELE: get status - Aktuellen Schutzstatus anzeigen set status disabled - Schutz deaktivieren restore status - Standard-Schutzeinstellung wiederherstellen (aktiviert) VIRLOG Alias für den Befehl DETECTIONS . Er eignet sich, wenn Sie sich Informationen zu erkannter eingedrungener Schadsoftware anzeigen lassen wollen. WARNLOG Alias für den Befehl EVENTS . Er eignet sich, wenn Sie sich Informationen zu verschiedenen Ereignissen anzeigen lassen wollen. 4.10 Einstellungen importieren/exportieren Um Einstellungen von ESET Mail Security zu importieren oder zu exportieren, klicken Sie auf Einstellungen und dann auf Einstellungen importieren/exportieren. Für die Funktionen Import und Export wird das XML-Dateiformat verwendet. Diese Funktionen sind nützlich, wenn Sie die aktuelle Konfiguration von ESET Mail Security für eine spätere Verwendung sichern möchten. Die Exportfunktion bietet sich auch für Benutzer an, die ihre bevorzugte Konfiguration von ESET Mail Security auf mehreren Systemen verwenden möchten. Um die gewünschten Einstellungen zu übernehmen, wird einfach eine XML-Datei importiert. 128 4.11 ThreatSense.Net Dank des ThreatSense.Net-Frühwarnsystems erhält ESET unmittelbar und fortlaufend aktuelle Informationen zu neuer Schadsoftware. Das ThreatSense.Net-Frühwarnsystem funktioniert in zwei Richtungen, hat jedoch nur einen Zweck: die Verbesserung des Schutzes, den wir Ihnen bieten können. Die beste Möglichkeit, neue Bedrohungen zu erkennen, sobald sie in Erscheinung treten, besteht darin, so viele Kunden wie möglich zu „verknüpfen“ und als Virenscouts einzusetzen. Als Benutzer haben Sie zwei Möglichkeiten: 1. Sie entscheiden sich, das ThreatSense.Net-Frühwarnsystem nicht zu aktivieren. Es steht Ihnen der volle Funktionsumfang der Software zur Verfügung, und Sie erhalten auch in diesem Fall den besten Schutz, den wir Ihnen bieten können. 2. Sie können das ThreatSense.Net-Frühwarnsystem so konfigurieren, dass Informationen über neue Bedrohungen und Fundstellen von gefährlichem Code übermittelt werden. Die Informationen bleiben anonym. Verdächtige Dateien können zur detaillierten Analyse an ESET gesendet werden. Durch die Untersuchung dieser Bedrohungen kann ESET die Fähigkeit seiner Software zur Erkennung von Schadsoftware aktualisieren und verbessern. Das ThreatSense.Net-Frühwarnsystem sammelt Daten über neue Bedrohungen, die auf Ihrem Computer erkannt wurden. Dazu können auch Proben oder Kopien der Datei gehören, in der eine Bedrohung aufgetreten ist, der Pfad zu dieser Datei, der Dateiname, Datum und Uhrzeit, der Prozess, über den die Bedrohung auf Ihrem Computer in Erscheinung getreten ist, und Informationen zum Betriebssystem des Computers. Obgleich es möglich ist, dass ESET auf diese Weise gelegentlich einige Informationen über Sie oder Ihren Computer erhält (z. B. Benutzernamen in Pfadangaben), werden diese Daten für KEINEN anderen Zweck als zur Verbesserung der unmittelbaren Reaktion auf Bedrohungen verwendet. In der Standardeinstellung von ESET Mail Security müssen Sie das Einreichen verdächtiger Dateien zur genauen Analyse an ESET bestätigen. Dateien mit bestimmten Erweiterungen (z. B. .doc oder .xls) sind immer von der Übermittlung ausgeschlossen. Sie können andere Dateierweiterungen hinzufügen, wenn es bestimmte Dateitypen gibt, die Sie oder Ihr Unternehmen nicht übermitteln möchten. Die Einstellungen für ThreatSense.Net befinden sich in den erweiterten Einstellungen unter Tools > ThreatSense. Net. Wählen Sie die Option ThreatSense-Frühwarnsystem aktivieren und klicken Sie dann auf Erweiterte Einstellungen. 129 4.11.1 Verdächtige Dateien In der Registerkarte Verdächtige Dateien können Sie konfigurieren, wie zu analysierende Dateien an ESET gesendet werden. Wenn Sie eine verdächtige Datei finden, können Sie sie zur Analyse an unser Virenlabor einreichen. Sollte dabei schädlicher Code zu Tage treten, wird dieser beim nächsten Update der Signaturdatenbank berücksichtigt. Das Einreichen von Dateien kann automatisch erfolgen. Wenn Sie dies nicht wünschen und stattdessen wissen möchten, welche Dateien eingereicht werden, aktivieren Sie die Option Vor dem Einreichen fragen, die Sie zu einer Bestätigung des Vorgangs auffordert. Wenn keine Dateien gesendet werden sollen, wählen Sie die Option Nicht einreichen. Die Übermittlung statistischer Daten wird separat konfiguriert und daher durch diese Einstellung nicht beeinflusst (siehe Abschnitt Statistik 131 ). Wann einreichen - Standardmäßig ist Baldmöglichst für das Einreichen verdächtiger Dateien an ESET festgelegt. Diese Einstellung wird empfohlen, wenn eine dauerhafte Internetverbindung besteht und die verdächtigen Dateien ohne Verzögerung übermittelt werden können. Aktiveren Sie die Option Beim nächsten Update, um verdächtige Dateien bei der nächsten Aktualisierung an ThreatSense.Net zu übertragen. Ausschlussfilter - Über diese Option können Sie bestimmte Dateien oder Ordner vom Senden ausschließen. Hier können Dateien eingetragen werden, die eventuell vertrauliche Informationen enthalten, wie zum Beispiel Textdokumente oder Tabellen. Einige typische Dateitypen sind bereits in der Standardeinstellung in die Liste eingetragen (.doc usw.). Sie können der Ausschlussliste weitere Dateien hinzufügen. E-Mail-Adresse - Sie können mit den verdächtigen Dateien eine E-Mail [optional] für Rückfragen angeben, wenn zur Analyse weitere Informationen erforderlich sind. Beachten Sie, dass Sie nur dann eine Antwort von ESET erhalten, wenn weitere Informationen von Ihnen benötigt werden. 130 4.11.2 Statistik Das ThreatSense.Net-Frühwarnsystem sammelt anonyme Daten über neue Bedrohungen, die auf Ihrem Computer erkannt wurden. Erfasst werden der Name der Bedrohung, Datum und Uhrzeit der Erkennung, die Versionsnummer des ESET Security-Produkts sowie Versionsdaten und die Regionaleinstellung des Betriebssystems. Statistikpakete werden normalerweise einmal oder zweimal täglich an ESET übermittelt. Beispiel für ein typisches Statistikpaket: # # # # # # # # # utc_time=2005-04-14 07:21:28 country="Slovakia" language="ENGLISH" osver=5.1.2600 NT engine=5417 components=2.50.2 moduleid=0x4e4f4d41 filesize=28368 filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1 Wann einreichen - Sie können festlegen, wann die statistischen Daten übermittelt werden sollen. Wenn Sie die Option Baldmöglichst auswählen, werden die statistischen Daten direkt nach ihrer Erstellung gesendet. Diese Einstellung eignet sich, wenn eine dauerhafte Internetverbindung besteht. Bei der Option Beim nächsten Update werden die statistischen Daten gespeichert und beim nächsten Update gesammelt gesendet. 131 4.11.3 Einreichen Hier legen Sie fest, wie verdächtige Dateien und statistische Daten an ESET gesendet werden. Wählen Sie Über Remote Administrator Server oder direkt an ESET, wenn die Dateien und Daten auf allen verfügbaren Übertragungswegen übermittelt werden sollen. Mit der Option Über Remote Administrator werden Dateien und Statistiken an den Remote Administration Server gesendet, der sie zur Analyse an ESET weiterleitet. Bei Auswahl der Option Direkt an ESET werden alle verdächtigen Dateien und statistischen Daten direkt aus dem Programm an ESET gesendet. Wenn Dateien vorhanden sind, die noch gesendet werden müssen, ist die Schaltfläche Jetzt einreichen aktiviert. Klicken Sie auf diese Schaltfläche, um die Dateien und statistischen Daten direkt zu senden. Wählen Sie die Option Erstellen von Logs aktivieren, um eine Log-Datei zu erstellen, in der alle Informationen über das Senden von Dateien und statistischen Daten protokolliert werden. 132 4.12 Remoteverwaltung Mit dem ESET Remote Administrator (ERA) können Sie die Sicherheitseinstellungen von Clients verwalten und sich einen Überblick über die allgemeine Sicherheit innerhalb eines Netzwerks verschaffen. Besonders sinnvoll erweist sich dies bei größeren Netzwerken. ERA bietet nicht nur ein höheres Maß an Sicherheit, sondern ermöglicht auch die benutzerfreundliche Verwaltung von ESET Mail Security auf Clientcomputern. Die Einstellungsoptionen zur Remoteverwaltung sind im Hauptprogrammfenster von ESET Mail Security zu finden. Klicken Sie auf Einstellungen > Erweiterte Einstellungen > Allgemein > Remoteverwaltung. Aktivieren Sie die Option Remote Administrator Server verwenden, um die Remoteverwaltung zu aktivieren. Danach können Sie auf die im Folgenden beschriebenen weiteren Optionen zugreifen: Intervall für Verbindungsaufnahme zum Server (Min.): Hiermit können Sie bestimmen, wie oft ESET Mail Security eine Verbindung zum ERA Server herstellt. Bei der Einstellung 0 werden alle 5 Sekunden Daten gesendet. Serveradresse: Die Netzwerkadresse des Servers, auf dem ERA Server installiert ist. Anschluss: Dieses Feld enthält einen vordefinierten Port für die Verbindung mit dem Server. Es wird empfohlen, den voreingestellten Port 2222 zu verwenden. Remote Administrator Server erfordert Authentifizierung: Falls erforderlich können Sie hier das Passwort für den Zugriff auf den ERA Server eingeben. Klicken Sie auf OK, um die Änderungen zu bestätigen und die Einstellungen zu übernehmen. ESET Mail Security verwendet diese Einstellungen für die Verbindung mit dem ERA Server. 133 4.13 Lizenzen Im Bereich Lizenzen können Sie die Lizenzschlüssel für ESET Mail Security und andere ESET-Produkte, wie ESET Mail Security usw., verwalten. Mit dem Kauf des Produktes erhalten Sie neben Ihren Lizenzdaten (Benutzername und Passwort) auch diese Lizenzschlüssel. Klicken Sie auf die entsprechenden Schaltflächen, um Lizenzen hinzuzufügen bzw. zu entfernen. Der Lizenzmanager findet sich in den erweiterten Einstellungen unter Allgemein > Lizenzen. Beim Lizenzschlüssel handelt es sich um eine Textdatei mit Informationen zum erworbenen Produkt: Eigentümer, Anzahl der Lizenzen und Ablaufdatum. Im Fenster „Lizenzmanager“ kann der Inhalt eines Lizenzschlüssels geladen und angezeigt werden. Durch Klicken auf Hinzufügen werden die in der Datei enthaltenen Informationen im Lizenzmanager angezeigt. Um Lizenzdateien aus der Liste zu löschen, klicken Sie auf Entfernen. Wenn ein Lizenzschlüssel abgelaufen ist und Sie die Lizenz verlängern möchten, klicken Sie auf Bestellen. Sie werden dann an unseren Online-Shop weitergeleitet. 134 5. Glossar 5.1 Schadsoftwaretypen Bei Schadsoftware handelt es sich um bösartige Software, die versucht, in einen Computer einzudringen und/oder auf einem Computer Schaden anzurichten. 5.1.1 Viren Bei einem Computervirus handelt es sich um eingedrungene Schadsoftware, die Dateien auf Ihrem Computer beschädigt. Ihren Namen haben sie nicht umsonst mit den Viren aus der Biologie gemein. Schließlich verwenden sie ähnliche Techniken, um sich vom einen zum anderen Computer auszubreiten. Computerviren greifen hauptsächlich ausführbare Dateien und Dokumente an. Um sich zu vermehren, hängt sich ein Virus mit seinem „Körper“ an das Ende einer Zieldatei. Und so funktioniert ein Computervirus: Durch Ausführung der infizierten Datei wird der Virus aktiviert (noch bevor die eigentliche Anwendung gestartet wird) und führt seine vordefinierte Aufgabe aus. Erst dann wird die eigentliche Anwendung gestartet. Ein Virus kann einen Computer also nur dann infizieren, wenn der Benutzer selbst (versehentlich oder absichtlich) das bösartige Programm ausführt oder öffnet. Computerviren unterscheiden sich nach Art und Schweregrad der durch sie verursachten Schäden. Einige von ihnen sind aufgrund ihrer Fähigkeit, Dateien von der Festplatte gezielt zu löschen, äußerst gefährlich. Andererseits gibt es aber auch Viren, die keinen Schaden verursachen. Ihr einziger Zweck besteht darin, den Benutzer zu verärgern und die technischen Fähigkeiten ihrer Urheber unter Beweis zu stellen. Viren werden (im Vergleich zu Trojanern oder Spyware) immer seltener, da sie keinen kommerziellen Nutzen für ihre Urheber haben. Außerdem wird der Begriff „Virus“ oft fälschlicherweise für alle Arten von Schadsoftware verwendet. Heute setzt sich mehr und mehr der neue, treffendere Ausdruck „Malware“ (engl. bösartige Software) durch. Wenn Ihr Computer mit einem Virus infiziert wurde, ist es notwendig, den Originalzustand der infizierten Dateien wiederherzustellen - das heißt, den Schadcode mithilfe eines Virenschutzprogrammes daraus zu entfernen. Beispiele für Viren sind: OneHalf, Tenga und Yankee Doodle. 5.1.2 Würmer Bei einem Computerwurm handelt es sich um ein Programm, das Schadcode enthält, der Hostcomputer angreift und sich über Netzwerke verbreitet. Der grundlegende Unterschied zwischen Viren und Würmern besteht darin, dass Würmer in der Lage sind, sich selbstständig zu vermehren und zu verbreiten. Sie sind unabhängig von Hostdateien (oder Bootsektoren). Würmer verbreiten sich über die E-Mail-Adressen in Ihrer Kontaktliste oder nutzen Sicherheitslücken von Anwendungen in Netzwerken. Daher sind Würmer wesentlich funktionsfähiger als Computerviren. Aufgrund der enormen Ausdehnung des Internets können sich Würmer innerhalb weniger Stunden und sogar Minuten über den gesamten Globus verbreiten. Da sich Würmer unabhängig und rasant vermehren können, sind sie gefährlicher als andere Arten von Schadsoftware. Ein innerhalb eines Systems aktivierter Wurm kann eine Reihe von Unannehmlichkeiten verursachen: Er kann Dateien löschen, die Systemleistung beeinträchtigen oder Programme deaktivieren. Aufgrund ihrer Beschaffenheit können Würmer als Transportmedium für andere Arten von Schadcode fungieren. Wurde Ihr Computer mit einem Wurm infiziert, empfiehlt es sich, alle betroffenen Dateien zu löschen, da sie höchstwahrscheinlich Schadcode enthalten. Zu den bekanntesten Würmern zählen: Lovsan/Blaster, Stration/Warezov, Bagle und Netsky. 135 5.1.3 Trojaner Trojaner galten früher als eine Klasse von Schadprogrammen, die sich als nützliche Anwendungen tarnen, um den Benutzer zur Ausführung zu verleiten. Dies gilt jedoch nur für die Trojaner von damals. Heutzutage müssen sich Trojaner nicht mehr tarnen. Ihr einzige Absicht besteht darin, sich möglichst leicht Zugang zu einem System zu verschaffen, um dort den gewünschten Schaden anzurichten. Der Ausdruck „Trojaner“ ist zu einem sehr allgemeinen Begriff geworden, der jegliche Form von Schadsoftware beschreibt, die nicht einer bestimmten Kategorie zugeordnet werden kann. Aus diesem Grund wird die Kategorie „Trojaner“ oft in mehrere Gruppen unterteilt. Downloader - ein bösartiges Programm zum Herunterladen von Schadsoftware aus dem Internet Dropper - Trojaner, der auf angegriffenen Computern weitere Malware „absetzt“ („droppt“) Backdoor - Anwendung, die Angreifern Zugriff auf ein System verschafft, um es zu kontrollieren Keylogger - Programm, das die Tastenanschläge eines Benutzers aufzeichnet und die Informationen an Angreifer sendet Dialer - Dialer sind Programme, die Verbindungen zu teuren Einwahlnummern herstellen. Dass eine neue Verbindung erstellt wurde, ist für den Benutzer nahezu unmöglich festzustellen. Dialer sind nur eine Gefahr für Benutzer von Einwahlmodems. Diese werden allerdings nur noch selten eingesetzt. Trojaner sind in der Regel ausführbare Dateien mit der Erweiterung EXE. Wenn auf Ihrem Computer eine Datei als Trojaner identifiziert wird, sollte diese gelöscht werden, da sie mit hoher Wahrscheinlichkeit Schadcode enthält. Zu den bekanntesten Trojanern zählen: NetBus, Trojandownloader, Small.ZL, Slapper 5.1.4 Rootkits Rootkits sind bösartige Programme, die Hackern unbegrenzten und verdeckten Zugriff auf ein System verschaffen. Nach dem Zugriff auf ein System (in der Regel unter Ausnutzung einer Sicherheitslücke) greifen Rootkits auf Funktionen des Betriebssystems zurück, um nicht von der Virenschutz-Software erkannt zu werden: Prozesse, Dateien und Windows-Registrierungsdaten werden versteckt. Aus diesem Grund ist es nahezu unmöglich, Rootkits mithilfe der üblichen Prüfmethoden zu erkennen. Rootkits können auf zwei verschiedenen Ebenen entdeckt werden: 1) Beim Zugriff auf ein System. Die Rootkits haben das System noch nicht befallen, sind also inaktiv. Die meisten Virenschutzsysteme können Rootkits auf dieser Ebene entfernen (vorausgesetzt, dass solche Dateien auch als infizierte Dateien erkannt werden). 2) Wenn die Rootkits sich vor den regulären Prüfmethoden verstecken. Benutzer von ESET Mail Security haben den Vorteil der Anti-Stealth-Technologie, die auch aktive Rootkits erkennen und entfernen kann. 5.1.5 Adware Adware ist eine Abkürzung für durch Werbung (engl. Advertising) unterstützte Software. In diese Kategorie fallen Programme, in denen Werbung angezeigt wird. Adware-Anwendungen öffnen häufig in Webbrowsern neue PopupFenster mit Werbung oder ändern die Startseite des Browsers. Adware gehört oftmals zu Freeware-Programmen, damit deren Entwickler auf diesem Weg die Entwicklungskosten ihrer (gewöhnlich nützlichen) Anwendungen decken können. Adware selbst ist nicht gefährlich - allerdings werden die Benutzer mit Werbung belästigt. Bedenklich ist Adware, insofern sie auch dazu dienen kann, Daten zu sammeln (wie es bei Spyware der Fall ist). Wenn Sie sich dafür entscheiden, ein Freeware-Produkt zu verwenden, sollten Sie bei der Installation besonders aufmerksam sein. Die meisten Installationsprogramme benachrichtigen Sie über die Installation eines zusätzlichen Adware-Programms. In vielen Fällen ist es möglich, diesen Teil der Installation abzubrechen und das Programm ohne Adware zu installieren. In einigen Fällen lassen sich Programme jedoch nicht ohne die Adware installieren, oder nur mit eingeschränktem Funktionsumfang. Das bedeutet, dass Adware häufig ganz „legal“ auf das System zugreift, da sich die Benutzer damit einverstanden erklärt haben. In diesem Fall gilt: Vorsicht ist besser als Nachsicht. Wird auf Ihrem Computer ein Adware-Programm entdeckt, sollten Sie die Datei löschen, da sie mit hoher Wahrscheinlichkeit Schadcode 136 enthält. 5.1.6 Spyware Der Begriff „Spyware“ fasst alle Anwendungen zusammen, die vertrauliche Informationen ohne das Einverständnis/ Wissen des Benutzers versenden. Diese Programme verwenden Überwachungsfunktionen, um verschiedene statistische Daten zu versenden, z. B. eine Liste der besuchten Websites, E-Mail-Adressen aus dem Adressbuch des Benutzers oder eine Auflistung von Tastatureingaben. Die Entwickler von Spyware geben vor, auf diesem Weg die Interessen und Bedürfnisse der Benutzer erkunden zu wollen. Ziel sei es, gezieltere Werbeangebote zu entwickeln. Das Problem dabei ist, dass nicht wirklich zwischen nützlichen und bösartigen Anwendungen unterschieden werden kann. Niemand kann sicher sein, dass die gesammelten Informationen nicht missbraucht werden. Die von Spyware gesammelten Daten enthalten möglicherweise Sicherheitscodes, PINs, Kontonummern usw. Spyware wird oft im Paket mit kostenlosen Versionen eines Programms angeboten, um so Einkünfte zu erzielen oder einen Anreiz für den Erwerb der kommerziellen Version zu schaffen. Oft werden die Benutzer bei der Programminstallation darüber informiert, dass Spyware eingesetzt wird, um sie damit zu einem Upgrade auf die kommerzielle, Spyware-freie Version zu bewegen. Beispiele für bekannte Freeware-Produkte, die zusammen mit Spyware ausgeliefert werden, sind ClientAnwendungen für P2P-Netzwerke. Programme wie Spyfalcon oder Spy Sheriff gehören zur einer besonderen Kategorie von Spyware: Getarnt als Spyware-Schutzprogramme üben sie selbst Spyware-Funktionen aus. Wenn auf Ihrem Computer eine Datei als Spyware identifiziert wird, sollte diese gelöscht werden, da sie mit hoher Wahrscheinlichkeit Schadcode enthält. 5.1.7 Potenziell unsichere Anwendungen Es gibt zahlreiche seriöse Programme, die die Verwaltung miteinander vernetzter Computer vereinfachen sollen. Wenn sie aber in die falschen Hände geraten, kann mit ihnen Schaden angerichtet werden. Mit ESET Mail Security können solche Bedrohungen erkannt werden. Zur Kategorie der „potenziell unsicheren Anwendungen“ zählen Programme, die zwar erwünscht sind, jedoch potenziell gefährliche Funktionen bereitstellen. Dazu zählen beispielsweise Programme für das Fernsteuern von Computern (Remotedesktopverbindung), Programme zum Entschlüsseln von Passwörtern und Keylogger 136 (Programme, die aufzeichnen, welche Tasten vom Benutzer gedrückt werden). Sollten Sie feststellen, dass auf Ihrem Computer eine potenziell unsichere Anwendung vorhanden ist (die Sie nicht selbst installiert haben), wenden Sie sich an Ihren Netzwerkadministrator oder entfernen die Anwendung. 5.1.8 Evtl. unerwünschte Anwendungen Eventuell unerwünschte Anwendungen sind nicht unbedingt und absichtlich schädlich, sie können aber die Leistung Ihres Computers negativ beeinflussen. Als Benutzer werden Sie normalerweise vor deren Installation zur Bestätigung aufgefordert. Nach erfolgter Installation ändert sich das Systemverhalten (im Vergleich zum Stand vor der Installation). Die gravierendsten Veränderungen sind: neue Fenster werden angezeigt versteckte Prozesse werden gestartet Prozessor und Speicher werden stärker belastet als zuvor Suchergebnisse ändern sich die Anwendung kommuniziert mit Servern im Internet 137 5.2 E-Mails Die E-Mail („elektronische Post“) ist ein modernes Kommunikationsmittel mit vielen Vorteilen. Dank ihrer Flexibilität, Schnelligkeit und Direktheit spielte die E-Mail bei der Verbreitung des Internets in den frühen 1990er Jahren eine entscheidende Rolle. Doch aufgrund der Anonymität, die E-Mails und das Internet bieten, wird diese Kommunikationsform auch häufig für illegale Aktivitäten wie das Versenden von Spam-Mails genutzt. Als „Spam“ gelten z. B. unerwünschte Werbeangebote, Hoaxes (Falschmeldungen) und E-Mails, mit denen Schadsoftware verbreitet werden soll. Die Belästigung und Gefährdung durch Spam wird zusätzlich dadurch gefördert, dass E-Mails praktisch kostenlos versendet werden können und den Verfassern von Spam-Mails verschiedenste Tools und Quellen zur Verfügung stehen, um an neue E-Mail-Adressen zu gelangen Die große Anzahl und Vielfalt, in der Spam-Mails auftreten, erschwert die Kontrolle. Je länger Sie eine E-Mail-Adresse verwenden, desto wahrscheinlicher ist es, dass diese in einer Spam-Datenbank erfasst wird. Einige Tipps zur Vorbeugung: Veröffentlichen Sie Ihre E-Mail-Adresse, soweit möglich, nicht im Internet Geben Sie Ihre E-Mail-Adresse nur an vertrauenswürdige Personen weiter Benutzen Sie, wenn möglich, keine üblichen Aliasnamen - bei komplizierten Aliasnamen ist die Wahrscheinlichkeit der Verfolgung niedriger Antworten Sie nicht auf Spam-Mails, die sich in Ihrem Posteingang befinden Seien Sie vorsichtig, wenn Sie Internetformulare ausfüllen - achten Sie insbesondere auf Optionen wie „Ja, ich möchte per E-Mail informiert werden“. Verwenden Sie separate E-Mail-Adressen - z. B. eine für Ihre Arbeit, eine für die Kommunikation mit Freunden usw. Ändern Sie Ihre E-Mail-Adresse von Zeit zu Zeit Verwenden Sie eine Spamschutz-Lösung 5.2.1 Werbung Werbung im Internet ist eine der am schnellsten wachsenden Formen von Werbung. Die wesentlichen Vorteile für das Marketing liegen im geringen finanziellen Aufwand und dem hohen Grad von Direktheit. Davon abgesehen erreichen E-Mails die Empfänger fast ohne Zeitverzögerung. In vielen Unternehmen werden E-Mail-Marketingtools für eine effektive Kommunikation mit aktuellen und zukünftigen Kunden verwendet. Da Sie Interesse an kommerziellen Informationen zu bestimmten Produkten haben könnten, handelt es sich dabei um rechtmäßige Werbung. Doch vielfach werden unerwünschte Massen-E-Mails mit Werbung versendet. In solchen Fällen ist die Grenze der E-Mail-Werbung überschritten, und diese E-Mails gelten als Spam. Die Masse der unerwünschten E-Mails hat sich zu einem Problem entwickelt, ohne dass ein Nachlassen abzusehen ist. Die Verfasser unerwünschter E-Mails versuchen häufig, Spam-E-Mails wie rechtmäßige Nachrichten aussehen zu lassen. 5.2.2 Falschmeldungen (Hoaxes) Ein Hoax ist eine Spam-Nachricht, die über das Internet verbreitet wird. Hoaxes werden im Allgemeinen per E-Mail oder über Kommunikationstools wie ICQ oder Skype versendet. Der Inhalt der Nachricht ist meist ein Scherz oder eine Falschmeldung. Oft werden dabei Falschmeldungen zu angeblichen Computerviren verbreitet. Der Empfänger soll verunsichert werden, indem ihm mitgeteilt wird, dass sich auf seinem Computer ein „nicht identifizierbarer Virus“ befindet, der Dateien zerstört, Passwörter abruft oder andere schädliche Vorgänge verursacht. Es kommt vor, dass ein Hoax den Empfänger auffordert, die Nachricht an seine Kontakte weiterzuleiten, wodurch er sich verbreitet. Es gibt verschiedenste Arten von Hoaxes - Mobiltelefon-Hoaxes, Hilferufe, Angebote zu Geldüberweisungen aus dem Ausland usw. Häufig ist es nicht möglich, die tatsächliche Absicht des Autors zu durchschauen. Wenn Sie eine Nachricht lesen, in der Sie aufgefordert werden, diese an alle Ihre Kontakte weiterzuleiten, so 138 handelt es sich möglicherweise um einen Hoax. Es gibt viele Internetseiten, auf denen Sie prüfen können, ob eine EMail rechtmäßig ist oder nicht. Bevor Sie eine fragliche Nachricht weiterleiten, versuchen Sie über eine Internetsuche abzuklären, ob es sich um einen Hoax handelt. 5.2.3 Phishing Der Begriff „Phishing“ bezeichnet eine kriminelle Vorgehensweise, die sich Techniken des Social Engineering (Manipulation von Benutzern zur Erlangung vertraulicher Informationen) zunutze macht. Das Ziel von Phishing ist es, an vertrauliche Daten wie Kontonummern, PIN-Codes usw. heranzukommen. Der Zugriff auf vertrauliche Informationen wird oft durch das Versenden von E-Mails erreicht, die von einer scheinbar vertrauenswürdigen Person bzw. von einem scheinbar seriösen Unternehmen (z. B. Finanzinstitution, Versicherungsunternehm) stammen. Eine solche E-Mail kann sehr echt aussehen. Grafiken und Inhalte wurden möglicherweise sogar von der Quelle entwendet, die nachgeahmt werden soll. Sie werden unter einem Vorwand (Datenprüfung, finanzielle Transaktionen usw.) aufgefordert, persönliche Daten einzugeben, wie Ihre Bankverbindung, Benutzernamen und Passwörter. Alle diese Daten, werden Sie denn übermittelt, können mühelos gestohlen oder missbraucht werden. Banken, Versicherungen und andere rechtmäßige Unternehmen fragen nie in einer E-Mail nach Benutzername und Passwort. 5.2.4 Erkennen von Spam-Mails Es gibt verschiedene Anzeichen, die darauf hindeuten, dass es sich bei einer fraglichen E-Mail in Ihrem Postfach um Spam handelt. Wenn eines oder mehrere der folgenden Kriterien zutreffen, handelt es sich höchstwahrscheinlich um eine Spam-Nachricht: Die Adresse des Absenders steht nicht in Ihrer Kontaktliste Ihnen wird ein größerer Geldbetrag in Aussicht gestellt, Sie sollen jedoch zunächst eine kleinere Summe zahlen Sie werden unter einem Vorwand (Datenprüfung, finanzielle Transaktionen usw.) aufgefordert, persönliche Daten einzugeben, wie Ihre Bankverbindung, Benutzernamen und Passwörter Die Nachricht ist in einer anderen Sprache verfasst Sie werden aufgefordert, ein Produkt zu erwerben, das Sie nicht bestellt haben. Falls Sie das Produkt dennoch kaufen möchten, prüfen Sie, ob der Absender ein vertrauenswürdiger Anbieter ist (fragen Sie beim Hersteller nach) Einige Wörter sind falsch geschrieben, um den Spamfilter zu umgehen, z. B. „Vaigra“ statt „Viagra“ usw. 5.2.4.1 Regeln Im Kontext von Spam-Schutz-Lösungen und E-Mail-Programmen dienen Regeln der Steuerung von E-MailFunktionen. Regeln setzen sich aus zwei logischen Teilen zusammen: 1) einer Bedingung (z. B. einer eingehenden Nachricht von einer bestimmten Adresse) 2) einer Aktion (z. B. das Löschen der Nachricht bzw. das Verschieben der Nachricht in einen angegebenen Ordner). Je nach Virenschutzlösung gibt es unterschiedlich viele Regeln und Kombinationsmöglichkeiten. Die Regeln dienen als Maßnahme gegen Spam (unerwünschte E-Mail-Nachrichten). Typische Beispiele sind: 1. Bedingung: Eine eingehende E-Mail-Nachricht enthält einige der Wörter, die häufig in Spam-Nachrichten vorkommen 2. Aktion: Nachricht löschen 1. Bedingung: Eine eingehende E-Mail-Nachricht enthält einen Anhang mit der Erweiterung EXE 2. Aktion: Anhang löschen und Nachricht dem Postfach zustellen 1. Bedingung: Der Absender einer eingehenden Nachricht ist Ihr Arbeitgeber 2. Aktion: Nachricht in den Ordner „Arbeit“ verschieben Wir empfehlen Ihnen, in Spam-Schutz-Programmen verschiedene Regeln miteinander zu kombinieren, um die Verwaltung zu vereinfachen und den Spam-Schutz noch effektiver zu gestalten. 139 5.2.4.2 Bayesscher Filter Die bayessche Filtermethode ist eine effektive Form der E-Mail-Filterung, die von fast allen Spam-Schutz-Produkten verwendet wird. Ein solcher Filter kann unerwünschte E-Mails mit hohem Genauigkeitsgrad erkennen und für jeden Benutzer separat konfiguriert werden. Bayessche Filter funktionieren nach folgendem Prinzip: In der ersten Phase findet ein Lernprozess statt. Der Benutzer kennzeichnet manuell eine ausreichende Anzahl von E-Mails als rechtmäßig oder als Spam (gewöhnlich 200/200). Der Filter analysiert beide Kategorien und lernt so zum Beispiel, dass in Spam-E-Mails häufig die Wörter „Rolex“ oder „Viagra“ auftreten, während rechtmäßige E-Mails von Familienmitgliedern oder von Adressen in der Kontaktliste des Benutzers gesendet werden. Sofern eine ausreichende Anzahl von Nachrichten verarbeitet wurde, kann der bayessche Filter jede E-Mail mit einem bestimmten „Spam-Index“ versehen und so festlegen, ob sie als Spam gilt oder nicht Der größte Vorteil dieses Filters liegt in seiner Flexibilität. Ist ein Benutzer etwa Biologe, erhalten alle eingehenden E-Mails in Bezug auf Biologie oder verwandte Forschungsfelder im Allgemeinen einen geringeren Wahrscheinlichkeitsindex. Wenn eine E-Mail Wörter enthält, durch die sie normalerweise als unerwünscht klassifiziert würde, der Absender jedoch zu den Kontakten des Benutzers gehört, wird sie als rechtmäßig eingestuft, da sich bei Absendern aus der eigenen Kontaktliste die Gesamtwahrscheinlichkeit für Spam verringert. 5.2.4.3 Positivliste Im Allgemeinen handelt es sich bei einer Positivliste (auch „Whitelist“) um eine Liste von Objekten oder Personen, die akzeptiert werden oder denen eine Berechtigung eingeräumt worden ist. Der Begriff „E-Mail-Positivliste“ bezeichnet eine Liste von Kontakten, von denen der Nutzer Nachrichten erhalten möchte. Solche Positivlisten beruhen auf Stichwörtern, nach denen E-Mail-Adressen, Domain-Namen oder IP-Adressen durchsucht werden. Ist bei einer Positivliste der „Exklusiv-Modus“ aktiviert, werden Nachrichten von jeder anderen Adresse, Domain oder IP-Adresse zurückgewiesen. Ist dieser Modus jedoch nicht aktiviert, werden solche Nachrichten nicht etwa gelöscht, sondern auf andere Art und Weise geprüft. Eine Positivliste beruht somit auf dem entgegengesetzten Prinzip einer Negativliste 140 („Blacklist“). Im Vergleich zu Negativlisten sind Positivlisten relativ pflegeleicht. Es wird empfohlen, sowohl eine Positiv- als auch eine Negativliste zu verwenden, damit Spam effektiver gefiltert werden kann. 5.2.4.4 Negativliste Eine Negativliste bezeichnet im Allgemeinen eine Liste unerwünschter oder verbotener Personen oder Dinge. In der virtuellen Welt handelt es sich um eine Technik, die das Annehmen von E-Mail-Nachrichten aller Absender erlaubt, die nicht in einer solchen Liste stehen. Es gibt zwei Arten von Negativlisten: Solche, die vom Benutzer in seinem Spam-Schutz-Programm eingerichtet wurden, und professionelle, von spezialisierten Institutionen erstellte und regelmäßig aktualisierte Negativlisten, die im Internet verfügbar sind. Das Verwenden von Negativlisten ist eine wesentliche Technik zur erfolgreichen Spam-Filterung, allerdings sind Negativlisten schwierig zu pflegen, da täglich neue Einträge anfallen. Für effektiven Spam-Schutz empfehlen wir Ihnen, sowohl eine Positivliste 140 als auch eine Negativliste zu führen. 5.2.4.5 Serverseitige Kontrolle Die serverseitige Kontrolle ist eine Technik zur Erkennung von massenweise versendeten Spam-E-Mails auf Basis der Anzahl empfangener Nachrichten und der Reaktionen von Benutzern. Jede E-Mail-Nachricht hinterlässt einen eindeutigen digitalen Footprint („Fußabdruck“), der sich nach dem Inhalt der Nachricht richtet. Diese eindeutige IDNummer lässt keine Rückschlüsse über den Inhalt zu. Zwei identische Nachrichten besitzen denselben Footprint, verschiedene E-Mails auch verschiedene Footprints. Wenn eine E-Mail als Spam eingestuft wird, wird der Footprint dieser E-Mail an den Server gesendet. Wenn der Server weitere identische Footprints empfängt (die einer bestimmten Spam-E-Mail entsprechen), wird dieser Footprint in einer Datenbank gespeichert. Beim Prüfen eingehender E-Mails sendet das Programm die Footprints der E-Mails an den Server. Der Server gibt Informationen darüber zurück, welche Footprints E-Mails entsprechen, die von Benutzern bereits als Spam eingestuft worden sind. 140