Suchziele und Aktionen für Messaging Security Agents

Ansichten:

Konfigurieren Sie die folgenden Einstellungen für jeden Suchtyp (manuelle Suche, zeitgesteuerte Suche und Echtzeitsuche):

Ziel (Registerkarte)

Suchziele
Zusätzliche Einstellungen für die Suche nach Bedrohungen
Suchausschlüsse

Aktion (Registerkarte)

Suchaktionen/ActiveAction
Benachrichtigungen
Erweiterte Einstellungen

Suchziele

Suchziele auswählen:

Alle Dateianhänge: Nur verschlüsselte oder kennwortgeschützte Dateien werden ausgeschlossen.

Anmerkung:
Diese Option bietet die höchstmögliche Sicherheit. Das Durchsuchen jeder Datei erfordert allerdings viel Zeit und viele Ressourcen und ist möglicherweise in manchen Fällen gar nicht notwendig. Deshalb können Sie bei Bedarf die Anzahl der durchsuchten Dateien begrenzen.
IntelliScan: Durchsucht Dateien auf Grundlage des ursprünglichen Dateityps. Weitere Informationen finden Sie unter IntelliScan.
Ausgewählte Dateitypen: WFBS durchsucht Dateien des ausgewählten Dateityps und mit den ausgewählten Erweiterungen. Trennen Sie mehrere Einträge durch Strichpunkte (;) voneinander.

Andere Optionen auswählen:

IntelliTrap aktivieren: IntelliTrap entdeckt in komprimierten Dateien bösartigen Code, wie Bots. Weitere Informationen finden Sie unter IntelliTrap.
Nachrichtentext durchsuchen: Durchsucht den Nachrichtentext einer E-Mail, die eingebettete Bedrohungen enthalten könnte.

Zusätzliche Einstellungen für die Suche nach Bedrohungen

Wählen Sie andere Bedrohungen aus, die der Agent durchsuchen sollte. Weitere Informationen zu diesen Bedrohungen finden Sie unter Bedrohungen verstehen.

Wählen Sie zusätzliche Optionen aus:

Infizierte Datei vor dem Säubern sichern: WFBS erstellt vor dem Säubern eine Sicherungskopie der infizierten Datei. Die gesicherte Datei wird verschlüsselt und im folgenden Verzeichnis auf dem Client gespeichert:

<Messaging Security Agent Installationsordner>\storage\backup

Sie können das Verzeichnis im Unterabschnitt Backup-Einstellung des Abschnitts Erweiterte Optionen ändern.

Informationen zum Entschlüsseln der Datei finden Sie unter Verschlüsselte Dateien wiederherstellen.
Säubern Sie keine komprimierten Dateien, um die Leistung nicht zu beeinträchtigen.

Suchausschlüsse

Gehen Sie in der Registerkarte Ziele zum Bereich Ausschlüsse, und wählen Sie aus den folgenden Kriterien aus, die der Agent verwendet, um E-Mail-Nachrichten von der Suche auszuschließen:

Der Nachrichtentext größer ist als: Der Messaging Security Agent durchsucht E-Mail-Nachrichten nur, wenn der Text der Nachricht kleiner oder gleich dem angegebenen Wert ist.
Der Anhang größer ist als: Der Messaging Security Agent durchsucht E-Mail-Nachrichten nur, wenn die angehängte Datei kleiner oder gleich dem angegebenen Wert ist.

Tipp:
Trend Micro empfiehlt maximal 30 MB.
Die Anzahl der dekomprimierten Dateien höher ist als: Liegt in der komprimierten Datei die Zahl der dekomprimierten Dateien über diesem Wert, durchsucht der Messaging Security Agent nur Dateien bis zur festgelegten Obergrenze.
Die dekomprimierte Datei größer ist als: Der Messaging Security Agent durchsucht nur komprimierte Dateien, die nach der Dekomprimierung kleiner oder gleich diesem Wert sind.
Die Anzahl der Komprimierungsebenen höher ist als: Der Messaging Security Agent durchsucht nur komprimierte Dateien, die weniger oder ebenso viele Kompressionsebenen angegeben haben. Wenn Sie z. B. die Komprimierungsebenen auf 5 beschränken, durchsucht der Messaging Security Agent die ersten 5 Ebenen von komprimierten Dateien. Komprimierte Dateien mit 6 oder mehr Ebenen werden nicht durchsucht.

Die dekomprimierte Datei ist 'x'-mal größer als die komprimierte Datei: Der Messaging Security Agent durchsucht komprimierte Dateien nur, wenn das Verhältnis zwischen der Größe der dekomprimierten Datei und der Größe der komprimierten Datei kleiner als dieser Wert ist. Diese Funktion verhindert, dass der Messaging Security Agent eine komprimierte Datei durchsucht, die einen Denial-of-Service (DoS)-Angriff auslösen könnte. Bei einem DoS-Angriff werden die Ressourcen eines Mail-Servers mit unnötigen Aufgaben überflutet. Dies wird verhindert, wenn der Messaging Security Agent keine Dateien durchsuchen muss, die nach der Dekomprimierung sehr groß sind.

Beispiel: In der unten stehenden Tabelle wurde 100 als Wert für 'x' eingegeben.

Dateigröße (nicht komprimiert)	Dateigröße (nicht komprimiert)	Ergebnis
500 KB	10 KB (Verhältnis 50:1)	Durchsucht
1.000 KB	10 KB (Verhältnis 100:1)	Durchsucht
1.001 KB	10 KB (Verhältnis ist höher als 100:1)	Nicht durchsucht*
2.000 KB	10 KB (Verhältnis 200:1)	Nicht durchsucht*

* Der Messaging Security Agent führt die Aktion aus, die Sie für ausgeschlossene Dateien konfiguriert haben.

Suchaktionen

Administratoren können den Messaging Security Agent so konfigurieren, dass er Aktionen je nach Art der Bedrohung (Viren/Malware, Trojaner, Würmer) durchführt. Wenn Sie benutzerdefinierte Aktionen verwenden, können Sie für jeden Bedrohungstyp eine eigene Aktion festlegen.

Tabelle 1. Messaging Security Agent – benutzerdefinierte Aktionen
Aktion	Beschreibung
Säubern	Bösartiger Code wird aus infizierten Nachrichtentexten und -anhängen entfernt. Der verbleibende Nachrichtentext sowie alle nicht infizierten Dateien und gesäuberten Dateien werden an die beabsichtigten Empfänger weitergeleitet. Bei Viren und Malware empfiehlt Trend Micro Säubern als Standardsuchaktion. In einigen Fällen kann der Messaging Security Agent eine Datei nicht säubern Während einer manuellen oder zeitgesteuerten Suche aktualisiert der Messaging Security Agent den Informationsspeicher und ersetzt die ursprüngliche durch die gesäuberte Datei.
Durch Text/Datei ersetzen	Entfernt den infizierten Inhalt und ersetzt ihn durch Text oder eine Datei. Die E-Mail wird dem beabsichtigten Empfänger zugestellt, wobei dieser in der Textdatei darüber informiert wird, dass der ursprüngliche Inhalt der E-Mail infiziert war und daher ersetzt wurde. Bei Content-Filter und Prävention vor Datenverlust können Sie den Text nur in den Feldern für Textkörper oder Anhang ersetzen (und nicht Von, An, CC oder Betreff).
Gesamte Nachricht in Quarantäne	(Nur Echtzeitsuche) Nur der infizierte Inhalt wird in den Quarantäne-Ordner verschoben, und der Empfänger erhält die Nachricht ohne diesen Inhalt. Bei Content-Filter, Prävention vor Datenverlust und Sperren von Anhängen wird die gesamte Nachricht in den Quarantäne-Ordner verschoben.
Nachrichtenteil in Quarantäne	(Nur Echtzeitsuche) Nur der infizierte oder gefilterte Inhalt wird in den Quarantäne-Ordner verschoben, und der Empfänger erhält die Nachricht ohne diesen Inhalt.
Gesamte Nachricht löschen	(Nur Echtzeitsuche) Die gesamte Nachricht wird gelöscht. Der ursprüngliche Empfänger erhält die Nachricht nicht.
Bestanden	Infektionen mit bösartigen Dateien werden in den Virenprotokollen aufgezeichnet, es wird jedoch keine Aktion durchgeführt. Ausgeschlossene, verschlüsselte oder kennwortgeschützte Dateien werden dem Empfänger zugestellt, die Protokolle werden nicht aktualisiert. Bei Content-Filter wird die Nachricht unverändert gesendet.
Archivieren	Die Nachricht wird in das Archiv verschoben und an den Absender zurückgesendet.
Nachricht in den Spam-Ordner auf dem Server verschieben	Die gesamte Nachricht wird in den Quarantäne-Ordner auf dem Security Server verschoben.
Nachricht in den Spam-Ordner des Benutzers verschieben	Die gesamte Nachricht wird in den Spam-Ordner des Benutzers verschoben. Der Ordner befindet sich im Informationsspeicher auf dem Server.
Markieren und senden	Es wird eine Markierung in den Header eingefügt, die die Nachricht als Spam kennzeichnet. Anschließend wird sie an den beabsichtigten Empfänger gesendet.

Ergänzend zu diesen Aktionen können Sie das Folgende konfigurieren:

Aktion bei Massenmail-Verhalten aktivieren: Wählen Sie für Bedrohungen mit Massenmail-Verhalten zwischen den Aktionen Säubern, Durch Text/Datei ersetzen, Ganze Nachricht löschen, Übergehen oder Nachrichtenteil in Quarantäne.
Folgende Aktion ausführen, wenn die Säuberung fehlgeschlagen ist: Legen Sie fest, welche Zweitaktion bei fehlgeschlagenem Säubern durchgeführt werden soll. Wählen Sie zwischen Durch Text/Datei ersetzen, Ganze Nachricht löschen, Übergehen oder Nachrichtenteil in Quarantäne.

ActiveAction

Die folgende Tabelle zeigt, wie ActiveAction mit den jeweiligen Viren-/Malware-Arten verfährt:

Tabelle 2. Von Trend Micro empfohlene Suchaktionen gegen Viren und Malware
Viren-/Malware-Typ	Echtzeitsuche		Manuelle Suche/Zeitgesteuerte Suche
Viren-/Malware-Typ	Erste Aktion	Zweite Aktion	Erste Aktion	Zweite Aktion
Virus	Säubern	Gesamte Nachricht löschen	Säubern	Durch Text/Datei ersetzen
Trojaner/Würmer	Durch Text/Datei ersetzen	n. v.	Durch Text/Datei ersetzen	n. v.
Packer	Nachrichtenteil in Quarantäne	n. v.	Nachrichtenteil in Quarantäne	n. v.
Anderer bösartiger Code	Säubern	Gesamte Nachricht löschen	Säubern	Durch Text/Datei ersetzen
Weitere Bedrohungen	Nachrichtenteil in Quarantäne	n. v.	Durch Text/Datei ersetzen	n. v.
Massenmail-Verhalten	Gesamte Nachricht löschen	n. v.	Durch Text/Datei ersetzen	n. v.

Benachrichtigungen von Suchaktionen

Wählen Sie die Option Empfänger benachrichtigen, damit der Messaging Security Agent die beabsichtigten Empfänger benachrichtigt, wenn Maßnahmen gegen eine bestimmte E-Mail-Nachricht durchgeführt werden. Aus verschiedenen Gründen ist es nicht ratsam, externe E-Mail-Empfänger zu benachrichtigen, dass eine Nachricht gesperrt wurde, die vertrauliche Informationen enthielt. Wählen Sie die Option Externe Empfänger nicht benachrichtigen, damit nur interne Nachrichten-Empfänger benachrichtigt werden. Legen Sie interne Adressen unter Aktionen > Einstellungen für die Benachrichtigung > Interne Nachrichtendefinition fest.

Sie können auch das Senden von Benachrichtigungen an die externen Empfänger von Spoofing-Mails deaktivieren.

Erweiterte Einstellungen (Suchaktionen)

Einstellungen	Details
Makros	Makroviren sind anwendungsspezifische Viren, die Makro-Dienstprogramme für Anwendungen infizieren. Die erweiterte Makrosuche verwendet die heuristische Suche zum Erkennen von Makroviren oder Entfernen aller erkannten Makrocodes. Die heuristische Suche ist eine Bewertungsmethode zum Erkennen von Viren, bei der die Suche nach bösartigem Makrocode anhand der Pattern-Erkennung und regelbasierter Techniken erfolgt. Diese Methode eignet sich besonders für die Entdeckung neuer Viren und Bedrohungen, deren Virensignatur noch nicht bekannt ist. Welche Aktionen der Messaging Security Agent gegen bösartigen Makro-Code ausführt, hängt von der Aktion ab, die Sie konfiguriert haben. Heuristische Stufe Stufe 1 verwendet die genauesten Kriterien, erkennt allerdings die wenigsten Makrocodes. Stufe 4 erkennt die meisten Makrocodes, verwendet dazu jedoch die umfassendsten Kriterien und kann daher sicheren Makrocode als bösartigen Makrocode identifizieren. Tipp: Trend Micro empfiehlt die heuristische Stufe 2. Diese bietet eine hohe Erkennungsstufe für unbekannte Makroviren, eine hohe Suchgeschwindigkeit und verwendet nur Regeln, die zum Überprüfen von Makroviren-Zeichenketten nötig sind. Bei Stufe 2 kommt es außerdem relativ selten vor, dass sicherer Code als bösartiger Makrocode identifiziert wird. Alle entdeckten Makros entfernen: Entfernt alle Makrocodes, die auf durchsuchten Dateien erkannt wurden
Nicht durchsuchbare Nachrichtenteile	Legen Sie die Bedingungen für die Aktion und die Benachrichtigung bei verschlüsselten und/oder kennwortgeschützten Dateien fest. Wählen Sie als Aktion "Durch Text/Datei ersetzen", "Gesamte Nachricht in Quarantäne", "Gesamte Nachricht löschen", "Übergehen" oder "Nachrichtenteil in Quarantäne" aus.
Ausgeschlossene Nachrichtenteile	Legen Sie die Bedingungen für die Aktion und die Benachrichtigung bei ausgeschlossenen Nachrichtenteilen fest. Wählen Sie als Aktion "Durch Text/Datei ersetzen", "Gesamte Nachricht in Quarantäne", "Gesamte Nachricht löschen", "Übergehen" oder "Nachrichtenteil in Quarantäne" aus.
Backup-Einstellung	Der Ort, an dem die Sicherungskopie oder die infizierten Dateien gespeichert werden, bevor der Agent sie gesäubert hat.
Einstellungen für das Ersetzen	Konfigurieren Sie den Text und die Datei für den Ersatztext. Bei der Aktion Durch Text/Datei ersetzen ersetzt WFBS die Bedrohung mit diesem Text oder dieser Datei.