Messaging Security Agent 的掃瞄目標和處理行動

掃瞄目標

選取掃瞄目標：

所有附件檔案：僅排除加密或受密碼保護的檔案。

注意

此選項提供了可能的最高安全性。但是，掃瞄每個檔案是一件即費時又耗資源的事，而且在某些情況下可能會太過累贅。因此，您可以限制代理程式在掃瞄中包含的檔案數量。

智慧型掃瞄：根據真實檔案類型掃瞄檔案。請參閱智慧型掃瞄。
特定檔案類型：WFBS 會掃瞄屬於所選類型且具有所選副檔名的檔案。請以半形分號 (;) 分隔多個項目。

選取其他選項：

啟動 IntelliTrap：IntelliTrap 可以偵測到壓縮檔中是否含有 Bot 之類的惡意程式碼。請參閱IntelliTrap。
掃瞄郵件內文：掃瞄包含內嵌安全威脅的電子郵件內文。

其他安全威脅掃瞄設定

選取代理程式應該掃瞄的其他安全威脅。如需有關這些安全威脅的詳細資訊，請參閱瞭解安全威脅。

選取其他選項：

在清除前備份中毒檔案：WFBS 會在清除之前製作安全威脅的備份。會加密備份檔案，並將其儲存在用戶端的下列目錄：

<Messaging Security Agent 安裝資料夾>\storage\backup

您可以在「進階選項」區段中的「備份設定」子區段中變更目錄。

若要解密檔案，請參閱還原加密檔案。
不清除中毒的壓縮檔以達最佳化效能

掃瞄例外

在「目標」標籤下，移至「例外」區段，並從以下條件中選取代理程式在不掃瞄電子郵件時將使用的條件：

郵件內文大小超過：Messaging Security Agent 只會掃瞄郵件內文大小小於或等於指定數字的電子郵件。

附件大小超過：Messaging Security Agent 只會掃瞄附件檔案大小小於或等於指定數字的電子郵件。

秘訣

趨勢科技建議您使用 30 MB 的限制。

解壓縮檔數目超過：壓縮檔內的解壓縮檔數量如果超過此數字，Messaging Security Agent 就只會掃瞄此選項所設定的檔案數上限。
解壓縮檔大小超過：Messaging Security Agent 只會掃瞄解壓縮後小於或等於此大小的壓縮檔。
壓縮的層數超過：Messaging Security Agent 只會掃瞄壓縮層小於或等於指定上限的壓縮檔。例如，如果您設定的限制為 5 個壓縮層，則 Messaging Security Agent 將只會掃瞄前 5 層壓縮檔，而不會掃瞄壓縮到第 6 層或更深入的檔案。

解壓縮檔的大小是壓縮檔的 x 倍：Messaging Security Agent 只會掃瞄解壓縮檔和壓縮檔大小的比例小於此數字的壓縮檔。此功能可避免 Messaging Security Agent 掃瞄可能導致拒絕服務 (DoS) 攻擊的壓縮檔。當非必要的工作耗用大量郵件伺服器的資源時，就會發生 DoS 攻擊。避免讓 Messaging Security Agent 掃瞄過大的壓縮檔，有助於防止此問題發生。

例如：在下表中，x 值的輸入值為 100。

檔案大小（未壓縮）	檔案大小（未壓縮）	結果
500 KB	10 KB（比例為 50:1）	已掃瞄
1,000 KB	10 KB（比例為 100:1）	已掃瞄
1,001 KB	10 KB（比例超過 100:1）	未掃瞄 *
2000 KB	10 KB（比例為 200:1）	未掃瞄 *

* Messaging Security Agent 會執行您對不掃瞄的檔案所設定的處理行動。

中毒處理行動

管理員可以將 Messaging Security Agent 設定成依據病毒/惡意程式、特洛伊木馬程式和蠕蟲所呈現的安全威脅類型，採取不同的處理行動。如果您使用自訂中毒處理行動，即可針對每種安全威脅類型設定中毒處理行動。

Messaging Security Agent 自訂的處理行動

處理行動	說明
清除	從中毒的郵件內文和附件移除惡意程式碼。其餘的電子郵件文字、任何未中毒的檔案，以及清除後的檔案仍然會傳送給目標收件人。趨勢科技建議您對病毒/惡意程式執行預設中毒處理行動清除。 Messaging Security Agent 在某些情況下無法清除檔案。在手動掃瞄或預約掃瞄期間，Messaging Security Agent 會更新「資訊儲存區」，並以已清除的檔案取代原有檔案。
以文字/檔案取代	刪除中毒/過濾的內容，並以文字或檔案加以取代。電子郵件會傳送給目標收件人，但是文字取代部分會告知收件人，原始內容已中毒而且已被取代。對於內容過濾和 Data Loss Prevention，您只能取代內文或附件欄位中的文字（無法取代「寄件人」、「收件人」、「副件」或「主旨」欄位中的文字）。
隔離整個郵件	（僅限即時掃瞄）僅將中毒內容移至隔離目錄進行隔離，收件者會收到不含此內容的郵件。對於內容過濾、Data Loss Prevention 和附件封鎖，會將整個郵件移至隔離目錄。
隔離郵件部分	（僅限即時掃瞄）僅將中毒或過濾的內容移至隔離目錄進行隔離，收件者會收到不含此內容的郵件。
刪除整封郵件	（僅限即時掃瞄）刪除整封電子郵件。原來的收件人不會收到該郵件。
通過	在病毒記錄檔中記錄惡意檔案的病毒感染，但是不執行任何中毒處理行動。已排除、加密或以密碼保護的檔案會直接傳遞給收件者，而不會更新記錄檔。對於內容過濾，會原封不動地傳送郵件。
封存	將郵件移至封存目錄，並將郵件傳送給原始收件人。
將郵件隔離到伺服器端的垃圾郵件資料夾	將整封郵件傳送至 Security Server 進行隔離。
將郵件隔離到使用者的垃圾郵件資料夾	將整封郵件傳送至使用者的垃圾郵件資料夾進行隔離。該資料夾位於伺服器的「資訊儲存區」中。
加上標記並傳送	在電子郵件的標頭資訊中加上標籤，將其識別為垃圾郵件，然後再傳送給預定收件者。

除了這些處理行動外，您還可以設定以下處理行動：

啟動用於大量郵件行為的處理行動：針對安全威脅的大量郵件行為類型，從「清除」、「以文字/檔案取代」、「刪除整封郵件」、「暫不處理」或「隔離郵件部分」進行選取。
清除不成功時執行此動作：針對無法完成的清除嘗試，設定次要的處理行動。從「以文字/檔案取代」、「刪除整封郵件」、「暫不處理」或「隔離郵件部分」中選取。

主動式處理行動

下表說明「主動式處理行動」處理每種類型病毒/惡意程式的方式：

趨勢科技建議的病毒/惡意程式中毒處理行動

病毒/惡意程式類型	即時掃瞄		手動掃瞄/預約掃瞄
病毒/惡意程式類型	第一個中毒處理行動	第二個處理行動	第一個中毒處理行動	第二個處理行動
病毒	清除	刪除整封郵件	清除	以文字/檔案取代
特洛伊木馬程式/蠕蟲	以文字/檔案取代	N/A	以文字/檔案取代	N/A
封裝程式	隔離郵件部分	N/A	隔離郵件部分	N/A
其他惡意程式碼	清除	刪除整封郵件	清除	以文字/檔案取代
其他安全威脅	隔離郵件部分	N/A	以文字/檔案取代	N/A
大量郵件行為	刪除整封郵件	N/A	以文字/檔案取代	N/A

中毒處理行動通知

選取「通知收件者」，以將 Messaging Security Agent 設定為，在針對特定電子郵件採取處理行動時通知預定收件者。由於各種原因，封鎖包含機密資訊的郵件時，您可能不想通知外部郵件收件者。選取「不通知外部收件者」，只傳送通知給內部郵件收件者。從「作業 → 通知設定 → 內部郵件定義」，定義內部信箱。

您也可以對欺詐寄件者的外部收件者關閉通知傳送。

進階設定（中毒處理行動）

設定

詳細資訊

巨集

巨集病毒是針對特定應用程式的病毒，會使隨附於應用程式的巨集公用程式中毒。進階巨集掃瞄會使用自動邏輯分析掃瞄來偵測巨集病毒，或者清除偵測到的所有巨集程式碼。自動邏輯分析掃瞄是一種評估式的偵測病毒方法，使用病毒碼辨識和規則技術來搜尋惡意的巨集程式碼。這個方法在偵測還不具備已知病毒特徵的未發現病毒和安全威脅方面十分卓越。

Messaging Security Agent 會依您設定的處理行動，對惡意巨集程式碼採取處理行動。

自動邏輯分析等級

「等級 1」會使用最嚴格的條件，但所偵測到的巨集程式碼最少。
「等級 4」會偵測到最多巨集程式碼，但會使用最寬鬆的條件，而誤將安全的巨集程式碼識別為惡意巨集程式碼。

秘訣

趨勢科技建議的自動邏輯分析掃瞄等級為 2。這個等級的未知巨集病毒偵測等級較高，掃瞄速度較快，而且只用必要的規則檢查巨集病毒字串。「等級 2」在安全巨集程式碼中錯誤識別出惡意程式碼的機率也較低。

刪除進階巨集掃瞄偵測到的所有巨集：清除在掃瞄的檔案中偵測到的所有巨集程式碼

無法掃瞄的郵件部分

針對加密和（或）受密碼保護的檔案，設定處理行動和通知條件。對於處理行動，可從「以文字/檔案取代」、「隔離整個郵件」、「刪除整封郵件」、「暫不處理」或「隔離郵件部分」中進行選取。

排除的郵件部分

針對不掃瞄的郵件部分，設定處理行動和通知條件。對於處理行動，可從「以文字/檔案取代」、「隔離整個郵件」、「刪除整封郵件」、「暫不處理」或「隔離郵件部分」中進行選取。

備份設定

在代理程式清除中毒檔案之前儲存中毒檔案備份的位置。

取代設定

設定取代文字的文字和檔案。如果處理行動是「以文字/檔案取代」，WFBS 會以此文字字串和檔案取代安全威脅。

$('#title').html($('meta[name=description]').attr('content'));