邮件安全客户端的扫描目标和处理措施 父主题

为每种扫描类型(手动扫描、预设扫描和实时扫描)配置以下设置:
目标选项卡
  • 扫描目标
  • 其他威胁扫描设置
  • 扫描例外
处理措施选项卡
  • 扫描处理措施/ActiveAction
  • 通知
  • 高级设置

扫描目标

选择扫描目标:
  • 所有附件文件:仅排除加密或受密码保护的文件。
    注意
    注意
    此选项提供最大的安全可能性。但扫描所有文件需要占用大量时间和资源,在某些情况下可能是不需要的。因此,您可能希望限制客户端要扫描的文件数量。
  • IntelliScan:根据真实文件类型扫描文件。请参阅IntelliScan
  • 特定文件类型WFBS 将扫描选定类型且带有选定扩展名的文件。多个条目之间用半角分号 (;) 隔开。
选择其他选项:
  • 启用 IntelliTrap:IntelliTrap 可检测到压缩文件中的恶意代码,如 bot 程序。请参阅IntelliTrap
  • 扫描邮件正文:扫描可能包含嵌入威胁的电子邮件正文。

其他威胁扫描设置

选择客户端应扫描的其他威胁。有关这些威胁的详细信息,请参阅了解威胁
选择其他选项:
  • 清除前备份受感染的文件WFBS 在清除威胁之前,会进行备份。加密备份文件并将文件存储在客户端的以下目录:
    <邮件安全客户端安装文件夹>\storage\backup
    您可以在高级选项部分的备份设置子部分中更改该目录。
    要解密文件,请参阅恢复加密文件
  • 不清除受感染的压缩文件以优化性能

扫描例外

目标选项卡下,转到例外部分,然后从以下条件中选择客户端在将电子邮件从扫描中排除时将使用的条件:
  • 邮件正文大小超过:邮件安全客户端仅在邮件正文大小小于或等于指定大小时才扫描电子邮件。
  • 附件大小超过:邮件安全客户端仅在附件文件大小小于或等于指定大小时才扫描电子邮件。
    提示
    提示
    趋势科技建议限制为 30 MB。
  • 解压缩文件数超过:当压缩文件内解压缩文件的总数超过此数值时,邮件安全客户端最多只扫描此选项所限制的文件数。
  • 解压缩文件大小超过:邮件安全客户端仅扫描在解压缩后小于或等于此大小的压缩文件。
  • 压缩层数超过:邮件安全客户端仅扫描具有的压缩层数小于或等于指定数量的压缩文件。例如,如果将该限制设置为 5 个压缩层,则邮件安全客户端将扫描前 5 层的压缩文件,但不扫描第 6 层或更高层中的压缩文件。
  • 解压缩文件大小为压缩文件大小的 "x" 倍:邮件安全客户端仅在解压缩文件大小与压缩文件大小的比率小于该数值时才扫描压缩文件。此功能可阻止邮件安全客户端扫描可能导致“拒绝服务 (DoS)”攻击的压缩文件。当邮件服务器的资源被不需要的任务大量占用时,就会发生 DoS 攻击。阻止邮件安全客户端扫描解压缩为大型文件的文件可帮助防止此问题发生。
    示例:在下表中,为 "x" 键入的值为 100。
    文件大小
    (未压缩)
    文件大小
    (未压缩)
    结果
    500 KB
    10 KB(比率为 50:1)
    已扫描
    1,000 KB
    10 KB(比率为 100:1)
    已扫描
    1,001 KB
    10 KB(比率超过 100:1)
    未扫描 *
    2,000 KB
    10 KB(比率为 200:1)
    未扫描 *
    * 邮件安全客户端采取用户针对排除的文件所配置的处理措施。

扫描处理措施

管理员可以配置邮件安全客户端使之根据病毒/恶意软件、特洛伊木马及蠕虫病毒呈现的威胁类型采取相应处理措施。如果使用定制的处理措施,则可以为每种威胁类型设置处理措施。

邮件安全客户端定制的处理措施

处理措施
描述
清除
从受感染邮件的正文和附件中删除恶意代码。剩余的电子邮件文本、任何未感染的文件和已清除的文件都将传递到目标收件人。趋势科技建议对病毒/恶意软件使用的缺省扫描处理措施是清除。
在有些情况下,邮件安全客户端无法清除某个文件。
在手动扫描或预设扫描期间,邮件安全客户端会更新“信息存储”,并用已清除的文件替换原先的文件。
用文本/文件替换
删除受感染/过滤的内容,并用文本或文件加以替换。电子邮件将传递给目标收件人,但会通过替换的文本通知收件人原始内容已受感染并被替换。
对于内容过滤和数据丢失防护,您只能替换正文或附件文本框(不包括“发件人”、“收件人”、“抄送”或“主题”)中的文本。
隔离整个邮件
(仅适用于实时扫描)仅将受感染的内容隔离到隔离目录中,且收件人将收到不含此内容的邮件。
对于内容过滤、数据丢失防护和阻止附件,会将整个邮件移动到隔离目录。
隔离邮件部分内容
(仅适用于实时扫描)仅将受感染或过滤的内容隔离到隔离目录中,且收件人将收到不含此内容的邮件。
删除整个邮件
(仅适用于实时扫描)删除整个电子邮件。原始收件人将不会收到邮件。
不予处理
将恶意文件的病毒感染情况记录在病毒日志中,但不采取任何措施。被排除的文件,加密文件或密码保护的文件会传递至收件人,而不会更新日志。
对于内容过滤,按原样递交邮件。
归档
将邮件移动到归档目录中,并将邮件传递给原始收件人。
将邮件隔离到服务器端垃圾邮件文件夹
将整个邮件发送到安全管理服务器以便隔离。
将邮件隔离到用户的垃圾邮件文件夹
将整个邮件发送到用户的垃圾邮件文件夹以便隔离。文件夹位于“信息存储”的服务器端。
添加标记并递交
向电子邮件标题信息中添加一个标记,该标记将其标识为垃圾邮件,然后将其递交给目标收件人。
除了这些处理措施以外,您还可以配置以下选项:
  • 对群发邮件行为启用处理措施:为群发邮件行为类型的威胁选择“清除”、“用文本/文件替换”、“删除整个邮件”、“不予处理”或“隔离邮件部分内容”。
  • 当清除不成功时执行:为不成功的清除尝试设置辅助处理措施。从“用文本/文件替换”、“删除整个邮件”、“不予处理”或“隔离邮件的一部分”中选择处理措施。

ActiveAction

下表详细说明了 ActiveAction 如何处理各种类型的病毒/恶意软件:

趋势科技建议的对病毒和恶意软件的扫描处理措施

病毒/恶意软件类型
实时扫描
手动扫描/预设扫描
第一处理措施
第二处理措施
第一处理措施
第二处理措施
病毒
清除
删除整个邮件
清除
用文本/文件替换
特洛伊木马程序/蠕虫病毒
用文本/文件替换
N/A
用文本/文件替换
N/A
加壳软件
隔离邮件部分内容
N/A
隔离邮件部分内容
N/A
其他恶意代码
清除
删除整个邮件
清除
用文本/文件替换
其他威胁
隔离邮件部分内容
 N/A
用文本/文件替换
N/A
群发邮件行为
删除整个邮件
N/A
用文本/文件替换
N/A

扫描处理措施通知

选择通知收件人,以将邮件安全客户端设置为:在针对特定电子邮件采取处理措施时,通知目标收件人。由于各种原因,您可能希望避免外部收件人接到含有敏感信息的邮件已被阻止的通知。选择不通知外部收件人,以使邮件安全客户端只向内部邮件收件人发送通知。请从操作 通知设置 内部邮件定义中定义内部地址。
您也可以禁止将通知发送给欺骗性发件人的外部收件人。

高级设置(扫描处理措施)

设置
详细信息
宏病毒是针对特定应用程序的病毒,它们可感染伴随应用程序的宏实用程序。高级宏扫描使用启发式扫描检测宏病毒,或者剥离检测到的所有宏代码。启发式扫描是一种有效的病毒检测方法,它使用病毒码识别和基于规则的技术来搜索恶意宏代码。这种方法在检测不包含已知病毒特征的先前未被发现的病毒和威胁时非常有用。
邮件安全客户端会根据您配置的处理措施,对恶意宏代码采取处理措施。
  • 启发式级别
    • 级别 1 使用最精确的条件,但检测到的宏代码最少。
    • 级别 4 检测到的宏代码最多,但使用的条件最不精确,因此可能错误地将安全的宏代码识别为包含恶意宏代码。
    提示
    提示
    趋势科技建议将启发式扫描级别设置为 2。此级别在扫描未知宏病毒时具有较高的检测率、扫描速度快,并且它只使用必要的规则来检查宏病毒字符串。使用级别 2 时,将安全的宏代码错误地识别为恶意代码的比率也非常低。
  • 删除高级宏扫描检测到的所有宏:剥离在所扫描文件上检测到的所有宏代码
无法扫描的邮件部分
为加密的和/或受密码保护的文件设置处理措施和通知条件。从“用文本/文件替换”、“隔离整个邮件”、“删除整个邮件”、“不予处理”或“隔离邮件部分内容”中选择处理措施。
排除的邮件部分
为已经排除的邮件部分设置处理措施和通知条件。从“用文本/文件替换”、“隔离整个邮件”、“删除整个邮件”、“不予处理”或“隔离邮件部分内容”中选择处理措施。
备份设置
在客户端清除受感染文件之前保存这些文件备份的位置。
替换设置
为替换文本配置文本和文件。如果处理措施为用文本/文件替换WFBS 将用此文本字符串和文件替换威胁。