ESET Mail Security for Microsoft Exchange Server

Transkrypt

ESET MAILSECURITY
DLA MICROSOFT EXCHANGESERVER
Instrukcja instalacji i podręcznik użytkownika
Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
Kliknij tutaj, aby pobrać najnowszą wersję tego dokumentu
ESET MAIL SECURITY
Copyright ©2014 ESET, spol. s r.o.
Oprogramowanie ESET Mail Security zostało opracowane przez
firmę ESET, spol. s r.o.
Więcej informacji można znaleźć w witrynie www.eset.com.
Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji nie
może być powielana, przechowywana w systemie pobierania ani
przesyłana w żadnej formie bądź przy użyciu jakichkolwiek środków
elektronicznych, mechanicznych, przez fotokopiowanie, nagrywanie,
skanowanie lub w inny sposób bez uzyskania pisemnego zezwolenia
autora.
Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmian
w dowolnych elementach opisanego oprogramowania bez uprzedniego
powiadomienia.
Dział obsługi klienta: www.eset.com/support
WER. 5/2/2014
Spis treści
1. Wprowadzenie
..................................................5
1.1
Co nowego
........................................................................5
w wersj i 4.5?
1.2 Wymagania
........................................................................5
systemowe
1.3
3.3.2
3.3.2.1
Używane
........................................................................6
metody
1.3.1
1.3.2
Skanowanie skrzynki pocztowej za pomocą
interfejsu
.........................................................................6
VSAPI
Filtrowanie wiadomości na poziomie serwera
SMTP
.........................................................................6
1.4 Typy ........................................................................6
ochrony
1.4.1
1.4.2
1.4.3
Ochrona
.........................................................................6
antywirusowa
Ochrona
.........................................................................6
przed spamem
Stosowanie reguł zdefiniowanych przez
użytkownika
.........................................................................7
1.5 Interfej
........................................................................7
s użytkownika
2. Instalacj
a
..................................................8
2.1 Typowa
........................................................................8
instalacj a
2.2 Instalacj
........................................................................9
a zaawansowana
2.3 Serwer
........................................................................11
terminali
2.4 Uaktualnianie
........................................................................12
do nowszej wersj i
2.5 Role........................................................................13
serwera Exchange — granica a centrum
2.6 Role........................................................................13
programu Exchange Server 2013
2.7 Instalowanie
........................................................................13
w środowisku klastrowym
2.8 Licencj
........................................................................15
a
2.9 Konfiguracj
........................................................................17
a po instalacj i
3. ESET Mail Security — ochrona serwera
Microsoft
Exchange Server
..................................................19
3.1
3.3.1
3.3.1.1
3.3.1.2
Ustawienia
........................................................................19
ogólne
3.1.1
3.1.1.1
3.1.1.2
3.1.2
3.1.2.1
3.1.2.2
3.1.3
3.1.4
3.1.4.1
3.1.5
Microsoft
.........................................................................19
Exchange Server
VSAPI (Virus-Scanning Application Programming
Interface)
........................................................................19
Agent
........................................................................20
transportu
Reguły
.........................................................................22
Dodawanie
........................................................................23
nowych reguł
Czynności
........................................................................24
podejmowane przy stosowaniu reguł
Pliki
.........................................................................25
dziennika
Kwarantanna
.........................................................................26
wiadomości
Dodawanie
........................................................................28
nowej reguły kwarantanny
Wydajność
.........................................................................28
3.2 Ustawienia
........................................................................28
ochrony antywirusowej i antyspyware
3.2.1
3.2.1.1
3.2.1.1.1
3.2.1.1.1.1
3.2.1.1.1.2
3.2.1.1.2
3.2.1.1.2.1
3.2.1.1.2.2
3.2.1.1.3
3.2.1.1.3.1
3.2.1.1.3.2
3.2.1.1.4
3.2.1.1.4.1
3.2.1.1.4.2
3.2.1.1.5
3.2.2
3.2.3
3.2.4
Microsoft
.........................................................................29
Exchange Server
VSAPI (Virus-Scanning Application Programming
Interface)
........................................................................29
Microsoft
..........................................................................29
Exchange Server 5.5 (VSAPI 1.0)
Czynności
.........................................................................30
Wydajność
.........................................................................30
Microsoft
..........................................................................30
Exchange Server 2000 (VSAPI 2.0)
Czynności
.........................................................................31
Wydajność
.........................................................................31
Microsoft
..........................................................................32
Exchange Server 2003 (VSAPI 2.5)
Czynności
.........................................................................32
Wydajność
.........................................................................33
Microsoft
..........................................................................33
Exchange Server 2007/2010 (VSAPI 2.6)
Czynności
.........................................................................34
Wydajność
.........................................................................35
Agent
..........................................................................35
transportu
Czynności
.........................................................................36
Alerty
.........................................................................37
i powiadomienia
Wyłączenia
.........................................................................37
automatyczne
3.3 Ochrona
........................................................................38
przed spamem
3.3.2.1.1
3.3.2.1.1.1
3.3.2.1.1.2
3.3.2.1.1.1
3.3.2.1.2
3.3.2.1.3
3.3.2.1.3.1
3.3.2.1.3.1
3.3.2.1.3.2
3.3.2.1.3.3
3.3.2.1.3.1
3.3.2.1.3.4
3.3.2.1.4
3.3.2.1.4.1
3.3.2.1.4.2
3.3.2.1.4.3
3.3.2.1.4.4
3.3.2.1.4.5
3.3.2.1.4.6
3.3.2.1.4.7
3.3.2.1.4.8
3.3.2.1.4.9
3.3.2.1.5
3.3.2.1.5.1
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.3
3.3.2.1.5.1
3.3.2.1.6
3.3.2.1.7
3.3.2.1.8
3.3.2.1.8.1
3.3.2.1.8.2
3.3.2.1.9
3.3.2.1.10
3.3.2.1.11
3.3.2.1.11.1
3.3.2.1.11.2
3.3.2.1.11.3
3.3.2.1.11.4
3.3.2.1.12
3.3.2.1.13
3.3.2.1.14
3.3.3
Microsoft
.........................................................................39
Exchange Server
Agent
........................................................................39
transportu
Rozwiązanie POP3 Connector i ochrona przed
spamem
........................................................................40
Aparat
.........................................................................41
antyspamowy
Ustawienia parametrów aparatu
antyspamowego
........................................................................41
Analiza
..........................................................................41
Próbki
.........................................................................42
SpamCompiler
.........................................................................42
Lista
.........................................................................42
plików w pamięci podręcznej
Szkolenie
..........................................................................43
Reguły
..........................................................................43
Waga
.........................................................................44
reguły
Dodawanie
.........................................................................44
wagi reguły
Lista
.........................................................................44
pobranych plików reguł
Waga
.........................................................................44
kategorii
Dodawanie
.........................................................................44
wagi kategorii
Lista
.........................................................................45
reguł niestandardowych
Filtrowanie
..........................................................................45
Dozwoleni
.........................................................................45
nadawcy
Zablokowani
.........................................................................45
nadawcy
Dozwolone
.........................................................................45
adresy IP
Ignorowane
.........................................................................46
adresy IP
Zablokowane
.........................................................................46
adresy IP
Domeny
.........................................................................46
dozwolone
Domeny
.........................................................................46
ignorowane
Domeny
.........................................................................46
zablokowane
Sfałszowani
.........................................................................46
nadawcy
Weryfikacja
..........................................................................46
Lista
.........................................................................47
RBL (Realtime Blackhole List)
Lista
.........................................................................47
serwerów RBL
Lista
.........................................................................47
LBL (Last Blackhole List)
Lista
.........................................................................47
serwerów LBL
Lista
.........................................................................47
pomijanych adresów IP
Lista
.........................................................................47
DNSBL (DNS Block List)
Lista
.........................................................................48
serwerów DNSBL
DNS
..........................................................................48
Wynik
..........................................................................48
Wabik
..........................................................................49
na spam
Adresy
.........................................................................49
wabika na spam
Adresy
.........................................................................49
uznane za nieistniejące
Komunikacja
..........................................................................49
Wydajność
..........................................................................49
Ustawienia
..........................................................................50
regionalne
Lista
.........................................................................50
języków macierzystych
Lista
.........................................................................51
krajów macierzystych
Lista
.........................................................................56
zablokowanych krajów
Lista
.........................................................................56
zablokowanych zestawów znaków
Pliki
..........................................................................56
dziennika
Statystyki
..........................................................................56
Opcje
..........................................................................56
Alerty
.........................................................................57
i powiadomienia
3.4 Często
........................................................................57
zadawane pytania
4. ESET..................................................61
Mail Security — ochrona serwera
4.1 Antywirus
........................................................................61
i antyspyware
4.1.1
4.1.1.1
4.1.1.1.1
4.1.1.1.2
4.1.1.1.3
4.1.1.2
4.1.1.3
4.1.1.4
4.1.1.5
4.1.2
4.1.2.1
Ochrona
.........................................................................61
systemu plików w czasie rzeczywistym
Ustawienia
........................................................................61
sprawdzania
Skanowane
..........................................................................62
nośniki
Skanowanie włączone (skanowanie po
wystąpieniu
..........................................................................62
zdarzenia)
Zaawansowane
..........................................................................62
opcje skanowania
Poziomy
........................................................................63
leczenia
Zmienianie ustawień ochrony w czasie
rzeczywistym
........................................................................63
Sprawdzanie skuteczności ochrony w czasie
rzeczywistym
........................................................................64
Co zrobić, jeśli ochrona w czasie rzeczywistym nie
działa
........................................................................64
Ochrona
.........................................................................65
programów poczty e-mail
Sprawdzanie
........................................................................65
protokołu POP3
4.1.2.1.1
4.1.2.2
4.1.2.2.1
4.1.2.3
4.1.3
4.1.3.1
4.1.3.1.1
4.1.3.1.2
4.1.4
4.1.4.1
4.1.4.1.1
4.1.4.1.2
4.1.4.2
4.1.4.3
4.1.4.4
4.1.5
4.1.6
4.1.6.1
4.1.6.1.1
4.1.6.1.2
4.1.7
4.1.7.1
4.1.7.2
4.1.7.3
4.1.7.4
4.1.7.5
4.1.7.6
4.1.8
Zgodność
..........................................................................66
Integracja
........................................................................66
z programami pocztowymi
Dołączanie
..........................................................................67
informacji do treści wiadomości
Usuwanie
........................................................................67
infekcji
Ochrona
.........................................................................68
dostępu do stron internetowych
Protokoły
........................................................................68
HTTP i HTTPS
Zarządzanie
..........................................................................69
adresami
Tryb
..........................................................................70
aktywny
Skanowanie
.........................................................................71
komputera na żądanie
Typ........................................................................72
skanowania
Skanowanie
..........................................................................72
inteligentne
Skanowanie
..........................................................................72
niestandardowe
Skanowane
........................................................................73
obiekty
Profile
........................................................................73
skanowania
Wiersz
........................................................................74
polecenia
Wydajność
.........................................................................76
Filtrowanie
.........................................................................76
protokołów
Protokół
........................................................................76
SSL
Zaufane
..........................................................................77
certyfikaty
Wyłączone
..........................................................................77
certyfikaty
Ustawienia
.........................................................................77
parametrów technologii ThreatSense
Ustawienia
........................................................................78
obiektów
Opcje
........................................................................78
Leczenie
........................................................................80
Rozszerzenia
........................................................................81
Limity
........................................................................81
Inne
........................................................................82
Wykryto
.........................................................................82
infekcję
4.2 Aktualizowanie
........................................................................83
programu
4.2.1
4.2.1.1
4.2.1.2
4.2.1.2.1
4.2.1.2.2
4.2.1.2.3
4.2.1.2.4
Ustawienia
.........................................................................85
aktualizacji
Profile
........................................................................86
aktualizacji
Zaawansowane
........................................................................86
ustawienia aktualizacji
Tryb
..........................................................................86
aktualizacji
Serwer
..........................................................................88
proxy
Połączenie
..........................................................................89
z siecią LAN
Tworzenie kopii aktualizacji — kopia
dystrybucyjna
..........................................................................91
4.2.1.2.4.1 Aktualizowanie
.........................................................................92
przy użyciu kopii dystrybucyjnej
4.2.1.2.4.2 Rozwiązywanie problemów z aktualizacją przy
użyciu
.........................................................................93
kopii dystrybucyjnej
4.2.2
Tworzenie
.........................................................................93
zadań aktualizacji
4.7 ESET
........................................................................117
SysRescue
4.7.1
4.7.2
4.7.3
4.7.4
4.7.4.1
4.7.4.2
4.7.4.3
4.7.4.4
4.7.4.5
4.7.4.6
4.7.5
4.7.5.1
Minimalne
.........................................................................117
wymagania
W.........................................................................118
jaki sposób utworzyć ratunkową płytę CD
Wybór
.........................................................................118
nośnika docelowego
Ustawienia
.........................................................................118
Foldery
........................................................................119
ESET
........................................................................119
Antivirus
Ustawienia
........................................................................119
zaawansowane
Protokół
........................................................................120
internetowy
Urządzenie
........................................................................120
rozruchowe USB
Nagrywanie
........................................................................120
Praca
.........................................................................120
z programem ESET SysRescue
Korzystanie
........................................................................121
z programu ESET SysRescue
4.8 Opcj........................................................................121
e interfej su użytkownika
4.8.1
4.8.2
Alerty
.........................................................................123
i powiadomienia
Wyłączanie
.........................................................................124
interfejsu GUI na serwerze terminali
4.9 eShell
........................................................................124
4.9.1
4.9.2
Sposób
.........................................................................125
użycia
Polecenia
.........................................................................128
4.10 Import
........................................................................131
i eksport ustawień
4.11 ThreatSense.Net
........................................................................131
4.11.1
4.11.2
4.11.3
Podejrzane
.........................................................................132
pliki
Statystyki
.........................................................................133
Przesyłanie
.........................................................................134
4.12 Administracj
........................................................................135
a zdalna
4.13 Licencj
........................................................................136
e
5. Słowniczek
..................................................137
5.1 Typy
........................................................................137
infekcj i
5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.1.6
5.1.7
5.1.8
Wirusy
.........................................................................137
Robaki
.........................................................................137
Konie
.........................................................................138
trojańskie
Programy
.........................................................................138
typu rootkit
Adware
.........................................................................138
Spyware
.........................................................................139
Potencjalnie
.........................................................................139
niebezpieczne aplikacje
Potencjalnie
.........................................................................139
niepożądane aplikacje
........................................................................140
e-mail
4.3 Harmonogram
........................................................................94 5.2 Poczta
5.2.1
Reklamy
.........................................................................140
4.3.1
Cel
.........................................................................94
planowania zadań
5.2.2
Fałszywe
.........................................................................140
alarmy
4.3.2
Tworzenie
.........................................................................95
nowych zadań
5.2.3
Ataki
.........................................................................141
typu „phishing”
4.4 Kwarantanna
........................................................................96
5.2.4
Rozpoznawanie
.........................................................................141
spamu
4.4.1
Poddawanie
.........................................................................96
plików kwarantannie
5.2.4.1
Reguły
........................................................................141
4.4.2
Przywracanie
.........................................................................97
plików z kwarantanny
5.2.4.2
Filtr
........................................................................142
Bayesa
4.4.3
Przesyłanie
.........................................................................97
pliku z kwarantanny
5.2.4.3
Biała
........................................................................142
lista
4.5 Pliki........................................................................98
dziennika
5.2.4.4
Czarna
........................................................................142
lista
5.2.4.5
Kontrola
........................................................................142
po stronie serwera
4.5.1
Filtrowanie
.........................................................................102
dziennika
4.5.2
Znajdowanie
.........................................................................103
w dzienniku
4.5.3
Administracja
.........................................................................105
dziennikami
4.6 ESET
........................................................................106
SysInspector
4.6.1
4.6.1.1
4.6.2
4.6.2.1
4.6.2.2
4.6.2.2.1
4.6.2.3
4.6.3
4.6.4
4.6.4.1
4.6.4.2
4.6.4.3
4.6.5
4.6.6
Wprowadzenie
.........................................................................106
do programu ESET SysInspector
Uruchamianie
........................................................................106
programu ESET SysInspector
Interfejs
.........................................................................107
użytkownika i używanie aplikacji
Sterowanie
........................................................................107
programem
Nawigacja
........................................................................108
w programie ESET SysInspector
Skróty
..........................................................................109
klawiaturowe
Funkcja
........................................................................111
Porównaj
Parametry
.........................................................................112
wiersza polecenia
Skrypt
.........................................................................112
usługi
Tworzenie
........................................................................113
skryptu usługi
Struktura
........................................................................113
skryptu usługi
Wykonywanie
........................................................................115
skryptów usługi
Często
.........................................................................115
zadawane pytania
ESET SysInspector jako część produktu ESET Mail
Security
.........................................................................117
1. Wprowadzenie
Program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server to zintegrowane rozwiązanie, które
chroni skrzynki pocztowe przed różnego rodzaju szkodliwym oprogramowaniem, takim jak załączniki do
wiadomości e-mail zarażone robakami lub końmi trojańskimi, dokumenty zawierające szkodliwe skrypty, ataki
typu „phishing” czy spam. ESET Mail Security zapewnia trzy rodzaje ochrony: antywirusową, przed spamem oraz
stosowanie reguł zdefiniowanych przed użytkownika. Program ESET Mail Security filtruje szkodliwą zawartość na
poziomie serwera poczty — zanim dotrze ona do skrzynki odbiorczej programu poczty e-mail odbiorcy.
Program ESET Mail Security obsługuje oprogramowanie Microsoft Exchange Server 2000 i nowsze, a także
platformę Microsoft Exchange Server w środowisku klastrowym. W nowszych wersjach (Microsoft Exchange Server
2007 i późniejsze) są również obsługiwane określone role (skrzynka pocztowa, centrum, granica). Narzędzie ESET
Remote Administrator umożliwia zdalne zarządzanie programem ESET Mail Security w większych sieciach.
Oprócz ochrony oprogramowania Microsoft Exchange Server program ESET Mail Security oferuje również narzędzia
pomagające chronić sam serwer (ochrona rezydentna, ochrona dostępu do stron internetowych, ochrona
programów poczty e-mail oraz ochrona przed spamem).
1.1 Co nowego w wersj i 4.5?
W porównaniu z programem ESET Mail Security w wersji 4.3 wersja 4.5 oferuje następujące nowości i ulepszenia:
Ustawienia ochrony przed spamem — łatwy dostęp za pośrednictwem graficznego interfejsu użytkownika, co
umożliwia administratorom znacznie wygodniejsze wprowadzanie zmian
Obsługa systemu Microsoft Exchange Server 2013
Obsługa systemu Microsoft Windows Server 2012 / 2012 R2
1.2 Wymagania systemowe
Obsługiwane systemy operacyjne:
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 (oparty na procesorze x86 i x64)
Microsoft Windows Server 2008 (oparty na procesorze x86 i x64)
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Small Business Server 2003 (oparty na procesorze x86)
Microsoft Windows Small Business Server 2003 R2 (oparty na procesorze x86)
Obsługiwane wersje oprogramowania Microsoft Exchange Server:
Microsoft Exchange Server 2000 z dodatkiem SP1, SP2, SP3
Microsoft Exchange Server 2003 z dodatkiem SP1, SP2
Microsoft Exchange Server 2013
Wymagania sprzętowe zależą od wersji systemu operacyjnego oraz używanej wersji oprogramowania Microsoft
Exchange Server. Więcej informacji na temat wymagań sprzętowych można znaleźć w dokumentacji produktu
Microsoft Exchange Server.
5
1.3 Używane metody
Wiadomości e-mail są skanowane za pomocą dwóch niezależnych metod:
Skanowanie skrzynki pocztowej za pomocą interfejsu VSAPI
Filtrowanie wiadomości na poziomie serwera SMTP 6
6
1.3.1 Skanowanie skrzynki pocztowej za pomocą interfej su VSAPI
Proces skanowania skrzynki pocztowej jest wywoływany i kontrolowany przez oprogramowanie Microsoft
Exchange Server. Wiadomości e-mail zapisane w bazie danych magazynu oprogramowania Microsoft Exchange
Server są stale skanowane. Zależnie od wersji oprogramowania Microsoft Exchange Server, wersji interfejsu VSAPI
oraz ustawień zdefiniowanych przez użytkownika proces skanowania może być wywoływany w każdej z
następujących sytuacji:
Gdy użytkownik uzyskuje dostęp do poczty e-mail, na przykład w programie poczty e-mail (poczta e-mail jest
zawsze skanowana przy użyciu najnowszej bazy sygnatur wirusów).
W tle, kiedy wykorzystanie oprogramowania Microsoft Exchange Server jest niskie.
Z wyprzedzeniem (na podstawie wewnętrznego algorytmu oprogramowania Microsoft Exchange Server).
Interfejs VSAPI jest obecnie używany do skanowania w poszukiwaniu wirusów oraz ochrony opartej na regułach.
1.3.2 Filtrowanie wiadomości na poziomie serwera SMTP
Filtrowanie SMTP na poziomie serwera jest chronione za pomocą specjalnego dodatku. W oprogramowaniu
Microsoft Exchange Server 2000 i 2003 ten dodatek (Event Sink) jest zarejestrowany na serwerze SMTP jako
składnik usług IIS (Internet Information Services). W oprogramowaniu Microsoft Exchange Server 2007/2010
dodatek jest zarejestrowany jako agent transportu w rolach Granica lub Centrum oprogramowania Microsoft
Exchange Server.
Filtrowanie na poziomie serwera SMTP przez agenta transportu zapewnia ochronę w postaci reguł ochrony
antywirusowej, ochrony przed spamem oraz zdefiniowanych przez użytkownika. W przeciwieństwie do filtrowania
za pomocą interfejsu VSAPI filtrowanie na poziomie serwera SMTP jest wykonywane zanim skanowana wiadomość
e-mail trafi do skrzynki pocztowej oprogramowania Microsoft Exchange Server.
1.4 Typy ochrony
Istnieją trzy rodzaje ochrony:
1.4.1 Ochrona antywirusowa
Ochrona antywirusowa jest jedną z podstawowych funkcji programu ESET Mail Security. Ochrona antywirusowa
zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę e-mail i komunikację internetową. W
przypadku wykrycia zagrożenia zawierającego złośliwy kod moduł antywirusowy może je wyeliminować poprzez
zablokowanie, a następnie wyleczenie, usunięcie lub przeniesienie do kwarantanny 96 .
1.4.2 Ochrona przed spamem
Ochrona przed spamem obejmuje liczne mechanizmy (lista RBL, lista DNSBL, sygnatury, sprawdzanie reputacji,
analiza zawartości, filtr Bayesa, reguły, ręczne umieszczanie na białej/czarnej liście) służące uzyskaniu
maksymalnej skuteczności wykrywania zagrożeń związanych z pocztą e-mail. Wynikiem działania aparatu
antyspamowego jest wartość prawdopodobieństwa przynależności danej wiadomości e-mail do spamu, wyrażona
w procentach (0–100).
Kolejnym składnikiem modułu ochrony przed spamem jest szara lista (domyślnie wyłączona). Metoda ta jest oparta
na standardzie RFC 821, zgodnie z którym ze względu na zawodność protokołu SMTP jako środka przekazu każdy
agent przesyłania wiadomości (ang. message transfer agent, MTA) powinien powtarzać próbę dostarczenia
wiadomości e-mail po wystąpieniu tymczasowego niepowodzenia. Znaczna część spamu składa się z
jednorazowych przesyłek dostarczanych (za pomocą specjalnych narzędzi) do obszernej listy adresów e-mail
generowanych automatycznie. Serwer, na którym stosuje się szarą listę, oblicza wartość kontrolną (skrót) adresu
nadawcy koperty, adresu odbiorcy koperty i adresu IP nadawczego agenta MTA. Jeśli serwer nie może znaleźć w
6
swojej bazie danych wartości kontrolnej trzech wspomnianych adresów, odmawia przyjęcia wiadomości,
zwracając kod tymczasowego niepowodzenia (np. tymczasowe niepowodzenie 451). Wiarygodny serwer podejmie
próbę ponownego przesłania wiadomości po upływie pewnego okresu o zmiennej długości. Przy drugiej próbie
wartość kontrolna trójki adresów zostanie zapisana w bazie danych zweryfikowanych połączeń, dzięki czemu od
tej pory każda wiadomość e-mail o analogicznej charakterystyce zostanie dostarczona.
1.4.3 Stosowanie reguł zdefiniowanych przez użytkownika
Ochrona oparta na regułach zdefiniowanych przez użytkownika jest dostępna zarówno w przypadku skanowania
za pomocą interfejsu VSAPI, jak i skanowania za pomocą agenta transportu. Interfejs użytkownika programu ESET
Mail Security pozwala tworzyć osobne reguły, które można również łączyć. Jeśli jedna reguła zawiera wiele
warunków, zostają one połączone za pomocą operatora logicznego AND. W wyniku tego reguła jest wykonywana
tylko po spełnieniu wszystkich jej warunków. W przypadku utworzenia wielu reguł zostanie zastosowany operator
logiczny OR. Oznacza to, że program będzie uruchamiać pierwszą regułę, której wszystkie warunki zostały
spełnione.
W sekwencji skanowania pierwszą używaną techniką jest szara lista (jeśli została włączona). Kolejne procedury
będą zawsze wykonywać następujące techniki: ochrona oparta na regułach zdefiniowanych przez użytkownika,
skanowanie w poszukiwaniu wirusów oraz, na końcu, skanowanie pod kątem spamu.
1.5 Interfej s użytkownika
W programie ESET Mail Security zastosowano graficzny interfejs użytkownika (ang. graphical user interface, GUI),
który ma zapewniać maksymalnie intuicyjną obsługę. Interfejs GUI pozwala użytkownikom na szybki i łatwy
dostęp do głównych funkcji programu.
Oprócz głównego interfejsu GUI dostępne jest też drzewo ustawień zaawansowanych, które można wyświetlić
w każdej chwili, naciskając klawisz F5.
Po naciśnięciu klawisza F5 zostaje wyświetlone okno drzewa ustawień zaawansowanych z listą funkcji programu,
które można konfigurować. W oknie tym można dostosować opcje i ustawienia do indywidualnych potrzeb.
Struktura drzewa dzieli się na dwie części: Ochrona serwera i Ochrona komputera. W części Ochrona serwera
znajdują się elementy dotyczące ustawień programu ESET Mail Security związanych z zabezpieczaniem serwera
Microsoft Exchange. Część Ochrona komputera zawiera z kolei możliwe do konfigurowania elementy dotyczące
ochrony samego serwera.
7
2. Instalacj a
Po zakupie produktu ESET Mail Security można pobrać pakiet MSI instalatora z witryny internetowej firmy ESET (
www.eset.pl).
Należy pamiętać, że instalator należy uruchomić przy użyciu wbudowanego konta administratora. Inni
użytkownicy, nawet jeśli należą do grupy Administratorzy, nie mają wystarczających uprawnień dostępu. Z tego
powodu należy użyć wbudowanego konta administratora — pomyślne ukończenie instalacji nie będzie możliwe
przy użyciu żadnego konta innego niż Administrator.
Instalator można uruchomić na dwa sposoby:
Można zalogować się lokalnie przy użyciu konta Administrator i uruchomić instalator w zwykły sposób.
Można zalogować się jako inny użytkownik, otworzyć wiersz polecenia przy użyciu opcji Uruchom j ako... i
wpisać poświadczenia konta Administrator, aby uruchomić wiersz polecenia (program cmd) jako administrator,
a następnie wpisać polecenie uruchamiające instalator (np. msiexec /i emsx_nt64_ENU.msi zastępując nazwę
emsx_nt64_ENU.msi dokładną nazwą pobranego pliku instalatora msi).
Po uruchomieniu programu instalacyjnego kreator instalacji poprowadzi użytkownika przez podstawowe
czynności konfiguracyjne. Można wybrać jeden z dwóch typów instalacji o odmiennym poziomie szczegółowości
konfiguracji:
1. Typowa instalacj a
2. Instalacj a zaawansowana
UWAGA: Jeśli to możliwe, zdecydowanie zaleca się instalowanie programu ESET Mail Security w niedawno
zainstalowanym i skonfigurowanym systemie operacyjnym. Jeśli jednak użytkownik musi zainstalować program w
już używanym systemie, najlepszym rozwiązaniem jest odinstalowanie wcześniejszej wersji produktu ESET Mail
Security, ponowne uruchomienie serwera oraz zainstalowanie nowej wersji programu ESET Mail Security.
2.1 Typowa instalacj a
Tryb typowej instalacji pozwala na szybkie zainstalowanie programu ESET Mail Security, wymagające
skonfigurowania minimalnej liczby parametrów. Typowa instalacja jest domyślnym trybem instalacji i zaleca się ją
w przypadku, gdy użytkownik nie ma jeszcze sprecyzowanych wymagań dotyczących poszczególnych ustawień. Po
zainstalowaniu programu ESET Mail Security można w każdej chwili zmodyfikować jego opcje i ustawienia
konfiguracji. Omówiono je zresztą szczegółowo w niniejszym podręczniku użytkownika. Ustawienia trybu typowej
instalacji zapewniają znakomite bezpieczeństwo połączone z łatwością obsługi i dużą wydajnością systemu.
Po wybraniu tego trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wprowadzenie nazwy użytkownika i
hasła. Odgrywają one ważną rolę w zapewnianiu stałej ochrony systemu, ponieważ umożliwiają automatyczne
przeprowadzanie aktualizacji 83 bazy sygnatur wirusów.
8
W odpowiednich polach należy wprowadzić nazwę użytkownika i hasło otrzymane po zakupie lub zarejestrowaniu
produktu. W przypadku chwilowego braku dostępu do nazwy użytkownika i hasła można je wpisać później
bezpośrednio w zainstalowanym programie.
W następnym kroku — Menedżer licencj i — należy dodać plik licencji dostarczony pocztą e-mail po zakupie
produktu.
Kolejną czynnością jest skonfigurowanie systemu monitorowania zagrożeń ThreatSense.Net. Pomaga on zapewnić
natychmiastowe i ciągłe informowanie firmy ESET o nowych próbach ataków, tak aby mogła ona szybko reagować
i chronić swoich klientów. System ten umożliwia zgłaszanie nowych zagrożeń do laboratorium firmy ESET, gdzie są
one analizowane, przetwarzane i dodawane do bazy sygnatur wirusów. Pole wyboru Włącz system
monitorowania zagrożeń ThreatSense.Net jest domyślnie zaznaczone. Aby zmodyfikować szczegółowe
ustawienia dotyczące przesyłania podejrzanych plików, należy kliknąć przycisk Ustawienia zaawansowane...
Następnym etapem procesu instalacji jest skonfigurowanie opcji Wykrywanie potencj alnie niepożądanych
aplikacj i. Potencjalnie niepożądane aplikacje nie są z założenia tworzone w złych intencjach, ale mogą negatywnie
wpływać na działanie systemu operacyjnego. Szczegółowe informacje znajdują się w rozdziale Potencjalnie
niepożądane aplikacje 139 .
Aplikacje te są często dołączane do innych programów i mogą być trudne do zauważenia podczas instalacji. W
trakcie instalacji tych aplikacji zazwyczaj wyświetlane jest powiadomienie, jednak mogą one zostać łatwo
zainstalowane bez zgody użytkownika.
Należy wybrać opcję Włącz wykrywanie potencj alnie niepożądanych aplikacj i, aby program ESET Mail Security
wykrywał tego typu aplikacje. Aby nie korzystać z tej funkcji, należy wybrać opcję Wyłącz wykrywanie
potencj alnie niepożądanych aplikacj i.
Ostatnią czynnością wykonywaną w trybie typowej instalacji jest potwierdzenie instalacji przez kliknięcie
przycisku Instaluj .
2.2 Instalacj a zaawansowana
Instalacja zaawansowana jest przeznaczona dla doświadczonych użytkowników, którzy chcą skonfigurować
program ESET Mail Security podczas instalacji.
Po wybraniu trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wskazanie docelowego miejsca
instalacji. Domyślnie program jest instalowany w katalogu C:\Program Files\ESET\ESET Mail Security. Aby zmienić tę
lokalizację (niezalecane), należy kliknąć przycisk Przeglądaj …
Następnie należy wprowadzić swoją nazwę użytkownika i hasło. Czynność ta jest identyczna z występującą w
trybie typowej instalacji (patrz część „Typowa instalacja” 8 ).
W następnym kroku — Menedżer licencj i — należy dodać plik licencji dostarczony pocztą e-mail po zakupie
produktu.
9
Po wprowadzeniu nazwy użytkownika i hasła należy kliknąć przycisk Dalej , aby przejść do okna Konfiguruj
połączenie internetowe.
W przypadku korzystania z serwera proxy należy go prawidłowo skonfigurować, aby można było przeprowadzać
aktualizacje sygnatur wirusów. Aby automatycznie skonfigurować serwer proxy, należy wybrać ustawienie
domyślne Nie wiem, czy podczas łączenia z Internetem używany j est serwer proxy. Użyj ustawień z programu
Internet Explorer (Zalecane) i kliknąć przycisk Dalej . Jeśli serwer proxy nie jest używany, należy wybrać
ustawienie Nie korzystam z serwera proxy.
Aby samodzielnie wprowadzić parametry serwera proxy, można ręcznie skonfigurować jego ustawienia. W tym
celu należy wybrać ustawienie Korzystam z serwera proxy i kliknąć przycisk Dalej . W polu Adres należy
wprowadzić adres IP lub URL serwera proxy. W polu Port należy wprowadzić numer portu, na którym serwer proxy
przyjmuje połączenia (domyślnie 3128). W przypadku gdy serwer proxy wymaga uwierzytelniania, należy w polach
Nazwa użytkownika i Hasło wprowadzić prawidłowe dane umożliwiające uzyskanie dostępu do serwera.
Ustawienia serwera proxy można również skopiować z programu Internet Explorer. Po wprowadzeniu parametrów
serwera proxy należy kliknąć przycisk Zastosuj i potwierdzić wybór.
Należy kliknąć przycisk Dalej , aby przejść do okna Konfiguruj ustawienia automatycznej aktualizacj i. W tym
kroku można określić sposób przeprowadzania w systemie automatycznych aktualizacji komponentów programu.
Aby uzyskać dostęp do ustawień zaawansowanych, należy kliknąć przycisk Zmień....
Jeśli komponenty programu nie mają być aktualizowane, należy wybrać ustawienie Nigdy nie aktualizuj
komponentów programu. Aby przed pobieraniem komponentów programu pojawiało się okno potwierdzenia,
należy wybrać ustawienie Pytaj przed pobraniem komponentów programu. Aby pobieranie uaktualnień
10
komponentów programu odbywało się automatycznie, należy wybrać ustawienie Zawsze aktualizuj komponenty
programu.
UWAGA: Po zaktualizowaniu komponentów programu wymagane jest zazwyczaj ponowne uruchomienie
komputera. Zalecane jest wybranie ustawienia Nigdy nie uruchamiaj ponownie komputera. Najnowsze
aktualizacje komponentów staną się aktywne po najbliższym ponownym uruchomieniu serwera (zaplanowanym
94 , ręcznym lub jakimkolwiek innym). Aby po zaktualizowaniu komponentów pojawiało się przypomnienie o
konieczności ponownego uruchomienia serwera, należy wybrać ustawienie W razie potrzeby zaoferuj ponowne
uruchomienie komputera. Pozwala ono od razu uruchomić ponownie serwer lub odłożyć tę czynność na później.
W następnym oknie instalacji można ustawić hasło służące do ochrony ustawień programu. W tym celu należy
wybrać ustawienie Zabezpiecz ustawienia konfiguracyj ne hasłem, a następnie wprowadzić hasło w polach
Nowe hasło i Potwierdź nowe hasło.
Dwa kolejne punkty instalacji, System monitorowania zagrożeń ThreatSense.Net i Wykrywanie potencj alnie
niepożądanych aplikacj i, są identyczne z występującymi w trybie typowej instalacji (patrz część „Typowa
instalacja” 8 ).
Aby zakończyć instalację, należy kliknąć przycisk Instaluj w oknie Gotowy do instalacj i.
2.3 Serwer terminali
W przypadku zainstalowania programu ESET Mail Security w systemie Windows Server pełniącym rolę serwera
terminali warto wyłączyć interfejs GUI programu ESET Mail Security, aby zapobiec uruchamianiu się go przy
każdym logowaniu użytkownika. Szczegółowe instrukcje wyłączenia go można znaleźć w rozdziale Wyłączanie
interfejsu GUI na serwerze terminali 124 .
11
2.4 Uaktualnianie do nowszej wersj i
Nowsze wersje programu ESET Mail Security publikuje się w celu wprowadzania w nim poprawek lub udoskonaleń,
których nie można wdrożyć w ramach automatycznych aktualizacji poszczególnych modułów. Uaktualnienie
programu ESET Mail Security do najnowszej wersji można przeprowadzić na jeden z kilku sposobów:
1. Automatyczne uaktualnienie za pomocą aktualizacji komponentów programu
Ponieważ aktualizacje komponentów programu są rozsyłane do wszystkich użytkowników i mogą mieć wpływ
na pewne konfiguracje systemu, publikuje się je po długim okresie testów, aby mieć pewność, że proces
uaktualnienia przebiegnie bez zakłóceń w przypadku wszystkich możliwych konfiguracji systemu.
2. Ręcznie, na przykład jeśli zachodzi potrzeba uaktualnienia programu do nowszej wersji natychmiast po jej
udostępnieniu albo uaktualnienia do nowej generacji programu ESET Mail Security (np. z wersji 4.2 lub 4.3 do
wersji 4.5).
Uaktualnienie do nowszej wersji można przeprowadzić ręcznie na dwa sposoby — instalując najnowszą wersję bez
usuwania aktualnej wersji lub przeprowadzając instalację od nowa (wcześniejsza wersja zostaje najpierw
odinstalowana, a następnie instalowana jest najnowsza wersja).
Aby przeprowadzić uaktualnienie ręcznie:
1. Uaktualnienie bez odinstalowania: Zainstaluj najnowszą wersję bez odinstalowywania istniejącej wersji ESET
Mail Security, wykonując procedurę opisaną w rozdziale Instalacja 8 . Wszystkie istniejące ustawienia (w tym
ustawienia ochrony przed spamem) zostaną automatycznie zaimportowane do nowszej wersji podczas instalacji.
2. Instalacja od nowa:
a) Wyeksportuj konfigurację/ustawienia do pliku xml, używając funkcji Import i eksport ustawień 131.
b) Otwórz ten plik xml w odpowiednim edytorze plików xml lub edytorze tekstu obsługującym pliki xml (np.
WordPad, Nodepad++ itp.), a następnie w trzecim wierszu zmień numer SECTION ID na 1000404 aby tekst
wyglądał następująco:
<SECTION ID="1000404">
c) Pobierz narzędzie EMSX AntispamSettingsExport z tego artykułu bazy wiedzy. Zapisz plik
EMSX_AntispamSettingsExport.exe na serwerze Exchange Server, dla którego przeprowadzane jest
uaktualnienie ESET Mail Security do najnowszej wersji.
d) Uruchom narzędzie EMSX_AntispamSettingsExport.exe. Narzędzie utworzy plik cfg.xml z ustawieniami
ochrony przed spamem z istniejącej instalacji produktu ESET Mail Security.
e) Pobierz plik instalatora msi najnowszej wersji ESET Mail Security.
f) Skopiuj plik cfg.xml utworzony przez narzędzie EMSX AntispamSettingsExport do tej samej lokalizacji, w
której zapisano plik instalatora msi ESET Mail Security (np. emsx_nt64_ENU.msi).
g) Odinstaluj istniejącą wersję programu ESET Mail Security.
h) Uruchom plik msi instalatora programu ESET Mail Security 4.5. Ustawienia ochrony przed spamem
wyeksportowane do pliku cfg.xml zostaną automatycznie zaimportowane do nowej wersji.
i) Po ukończeniu instalacji zaimportuj konfigurację/ustawienia z pliku xml zapisanego i zmodyfikowanego w
krokach a) i b) za pomocą opcji Import i eksport ustawień 131 oraz edytora plików xml w celu umożliwienia
użycia wcześniejszych ustawień konfiguracji w nowej wersji programu ESET Mail Security.
Po wykonaniu powyższych kroków w systemie będzie zainstalowana nowa wersja produktu ESET Mail Security z
zachowaniem poprzedniej konfiguracji niestandardowej.
Więcej informacji na temat procedury uaktualniania można znaleźć w tym artykule bazy wiedzy.
UWAGA: Obie ręczne procedury uaktualniania (bez odinstalowania i instalacja od nowa) odnoszą się wyłącznie do
uaktualnienia programu ESET Mail Security z wersji 4.2 lub 4.3 do programu ESET Mail Security w wersji 4.5.
12
2.5 Role serwera Exchange — granica a centrum
Domyślnie funkcje modułu antyspamowego są włączone na serwerze transportu granicznego, a wyłączone na
serwerze transportu centralnego. Jest to odpowiednia konfiguracja w organizacji Exchange z serwerem transportu
granicznego. Zalecamy skonfigurowanie ochrony przed spamem na serwerze transportu granicznego z
uruchomionym programem ESET Mail Security w taki sposób, aby wiadomości były filtrowane przed
przekierowaniem do organizacji Exchange.
Rola Granica jest jednak preferowanym miejscem do skanowania modułem antyspamowym, ponieważ pozwala
produktowi ESET Mail Security na odrzucanie spamu we wczesnej fazie procesu bez niepotrzebnego obciążania
warstw sieci. Dzięki zastosowaniu tej konfiguracji wiadomości przychodzące są filtrowane przez program ESET
Mail Security na serwerze transportu granicznego, dzięki czemu mogą zostać bezpiecznie przeniesione na serwer
transportu centralnego bez konieczności ich dalszego filtrowania.
Jeśli w organizacji nie używa się serwera transportu granicznego, a jedynie serwer transportu centralnego,
zalecamy włączenie funkcji ochrony przed spamem na serwerze transportu centralnego, który odbiera wiadomości
przychodzące z Internetu za pomocą protokołu SMTP.
2.6 Role programu Exchange Server 2013
Architektura oprogramowania Exchange Server 2013 różni się od wcześniejszych wersji Microsoft Exchange. W
oprogramowaniu Exchange 2013 istnieją tylko dwie role serwerów — serwer dostępu klienta i serwer skrzynek
pocztowych. Jeśli oprogramowanie Microsoft Exchange 2013 ma być chronione przy użyciu programu ESET Mail
Security, należy upewnić się, że program ESET Mail Security jest zainstalowany w systemie z działającym
programem Microsoft Exchange 2013 z rolą serwera skrzynek pocztowych. Rola serwera dostępu klienta nie jest
obsługiwana przez program ESET Mail Security.
Wyjątek stanowi sytuacja, gdy program ESET Mail Security ma być zainstalowany w systemie Windows SBS (Small
Business Server). W systemie Windows SBS wszystkie role programu Exchange są uruchomione na tym samym
serwerze, w związku z czym program ESET Mail Security będzie działać bez przeszkód, zapewniając wszelkiego
rodzaju ochronę, włącznie z ochroną serwera poczty e-mail.
Jednak w przypadku zainstalowania programu ESET Mail Security w systemie pełniącym wyłącznie rolę serwera
dostępu klienta (dedykowany serwer CAS) najważniejsze funkcje programu ESET Mail Security, a w szczególności
funkcje związane z serwerem poczty e-mail, nie będą działać. W takim przypadku działać będzie jedynie ochrona
systemu plików w czasie rzeczywistym oraz niektóre komponenty Ochrony komputera 61 , zatem serwer poczty email w ogóle nie będzie chroniony. Właśnie z tego powodu nie zalecamy instalowania programu ESET Mail Security
na serwerze pełniącym rolę serwera dostępu klienta. Jak wspomniano powyżej, nie dotyczy to systemu Windows
SBS (Small Business Server).
UWAGA: Z uwagi na określone ograniczenia techniczne oprogramowania Microsoft Exchange 2013 program ESET
Mail Security nie obsługuje roli serwera dostępu klienta.
2.7 Instalowanie w środowisku klastrowym
Klaster to grupa serwerów (serwer podłączony do klastra jest nazywany węzłem), które pracują razem jako jeden
serwer. Środowisko tego typu zapewnia wysoką dostępność oraz niezawodność dostępnych usług. W razie awarii
lub niedostępności jednego z węzłów w klastrze jego działanie jest automatycznie przejmowane przez inny węzeł z
tego samego klastra. Program ESET Mail Security w pełni obsługuje serwery Microsoft Exchange połączone w
klaster. Warunkiem poprawnego działania programu ESET Mail Security jest skonfigurowanie wszystkich węzłów
klastra w taki sam sposób. W tym celu można zastosować politykę za pomocą narzędzia ESET Remote
Administrator (ERA). W kolejnych rozdziałach opisano sposób instalowania i konfigurowania programu ESET Mail
Security na serwerach w środowisku klastrowym za pomocą narzędzia ERA.
Instalacj a
W tym rozdziale wyjaśniono działanie metody instalacji wypychanej. Nie jest to jednak jedyny sposób instalowania
produktu na komputerze docelowym. Informacje na temat innych metod instalacji można znaleźć w Podręczniku
użytkownika programu ESET Remote Administrator.
1) Pobierz pakiet instalacyjny msi produktu ESET Mail Security z witryny firmy ESET na komputer, na którym
13
zainstalowano narzędzie ERA. W narzędziu ERA wybierz kartę Instalacj a zdalna, kliknij opcję Komputery, a
następnie kliknij prawym przyciskiem myszy komputer na liście i wybierz z menu kontekstowego polecenie
Zarządzanie pakietami. Z menu rozwijanego Typ wybierz polecenie Pakiet produktów zabezpieczeń ESET i
kliknij przycisk Dodaj Znajdź pobrany pakiet instalacyjny programu ESET Mail Security w polu Źródło, a następnie
kliknij opcję Utwórz.
2) W obszarze Edycj a/wybieranie konfiguracj i skoj arzonej z pakietem kliknij polecenie Edytuj i skonfiguruj
ustawienia programu ESET Mail Security zgodnie ze swoimi potrzebami. Ustawienia programu ESET Mail Security
są dostępne w następujących gałęziach: ESET Smart Security, ESET NOD32 Antivirus > Ochrona serwera poczty
e-mail oraz Ochrona serwera poczty e-mail Microsoft Exchange Server. Można również ustawić parametry
innych modułów programu ESET Mail Security (np. modułu aktualizacji, skanowania komputera itd.). Zaleca się
wyeksportowanie skonfigurowanych ustawień do pliku XML w celu jego późniejszego użycia, na przykład podczas
tworzenia pakietu instalacyjnego, stosowania zadania konfiguracyjnego lub polityki.
3) Kliknij opcję Zamknij . W kolejnym oknie dialogowym (Czy chcesz zapisać pakiety na serwerze?) wybierz opcję
Tak i wpisz nazwę pakietu instalacyjnego. Ukończony pakiet instalacyjny (łącznie z nazwą oraz konfiguracją)
zostanie zapisany na serwerze. Pakiet ten jest najczęściej używany na potrzeby instalacji wypychanej, ale można go
również zapisać jako standardowy pakiet instalacyjny msi i używać do instalacji bezpośredniej na serwerze
(wybierając kolejno opcje Edytor pakietów instalacyj nych > Zapisz j ako).
4) Gdy pakiet instalacyjny jest gotowy, można rozpocząć instalację zdalną w węzłach klastra. W narzędziu ERA
wybierz kartę Instalacj a zdalna, kliknij opcję Komputery i zaznacz węzły, na których ma zostać zainstalowany
program ESET Mail Security (Ctrl + kliknięcie przyciskiem myszy lub Shift + kliknięcie przyciskiem myszy). Kliknij
prawym przyciskiem myszy dowolny z zaznaczonych komputerów i wybierz z menu kontekstowego opcję
Instalacj a wypychana. Używając przycisków Ustaw / Ustaw wszystko, ustaw Nazwę użytkownika i Hasło
użytkownika komputera docelowego (musi on mieć uprawnienia administratora). Kliknij przycisk Dalej , aby
wybrać pakiet instalacyjny, i rozpocznij proces instalacji zdalnej, klikając przycisk Zakończ. Pakiet instalacyjny
zawierający program ESET Mail Security oraz niestandardowe ustawienia konfiguracyjne zostanie zainstalowany
na wybranych komputerach docelowych/węzłach. Po krótkiej chwili komputery z produktem ESET Mail Security
pojawią się na karcie Klienci narzędzia ERA. Od tej chwili można zdalnie zarządzać tymi klientami.
UWAGA: Aby proces instalacji zdalnej przebiegł bezproblemowo, komputery docelowe oraz serwer z narzędziem
ERA muszą spełniać określone warunki. Więcej informacji można znaleźć w Podręczniku użytkownika narzędzia
ESET Remote Administrator.
Konfiguracj a
Aby program ESET Mail Security działał poprawnie na węzłach klastra, wszystkie węzły muszą być zawsze tak samo
skonfigurowane. Warunek ten zostanie spełniony, jeśli użytkownik zastosuje opisaną powyżej metodę instalacji
wypychanej. Istnieje jednak ryzyko omyłkowej zmiany konfiguracji, która może spowodować niespójności między
produktami ESET Mail Security w jednym klastrze. Aby temu zapobiec, należy użyć polityki w narzędziu ERA.
Polityka jest podobna do standardowego zadania konfiguracyjnego — wysyła ona do klientów konfigurację
określoną w edytorze konfiguracji. Polityka różni się od zadania konfiguracyjnego tym, że jest ona stale stosowana
w ramach klientów. W związku z tym politykę można nazwać konfiguracją, która jest regularnie wymuszana na
klientach lub ich grupach.
Po wybraniu w narzędziu ERA opcji Narzędzia > Menedżer polityk można uzyskać dostęp do wielu opcji
stosowania polityki. Najprostsza w użyciu jest Domyślna polityka nadrzędna, która działa również jako Polityka
domyślna dla klientów podstawowych. Polityka tego rodzaju jest automatycznie stosowana w odniesieniu do
wszystkich podłączonych klientów (w tym wypadku do wszystkich produktów ESET Mail Security w klastrze).
Politykę można skonfigurować, klikając opcję Edytuj lub używając konfiguracji zapisanej w pliku xml (jeśli został on
wcześniej utworzony).
Drugą możliwością jest utworzenie nowej polityki (Dodaj nową politykę podrzędną) i przypisanie do niej
wszystkich produktów ESET Mail Security za pomocą opcji Dodaj klientów.
Ta konfiguracja gwarantuje, że w odniesieniu do wszystkich klientów jest stosowana jedna polityka o tych samych
ustawieniach. Aby zmodyfikować istniejące ustawienia serwera produktu ESET Mail Security w klastrze, wystarczy
dokonać edycji aktualnej polityki. Zmiany zostaną zastosowane w odniesieniu do wszystkich klientów
przypisanych do tej polityki.
UWAGA: więcej informacji o politykach można znaleźć w Podręczniku użytkownika narzędzia ESET Remote
Administrator.
14
2.8 Licencj a
Wprowadzenie pliku licencji programu ESET Mail Security dla oprogramowania Microsoft Exchange Server jest
bardzo ważnym krokiem. Bez niego ochrona poczty e-mail oprogramowania Microsoft Exchange Server nie będzie
działać poprawnie. Jeśli plik licencji nie został dodany podczas instalacji, można zrobić to później w ustawieniach
zaawansowanych, w obszarze Inne > Licencj e.
Program ESET Mail Security pozwala używać jednocześnie wielu licencji. W tym celu licencje należy scalić w
następujący sposób:
1) Scalane są co najmniej dwie licencje jednego klienta (tj. licencje przypisane do tego samego nazwiska klienta), a
liczba skanowanych skrzynek pocztowych zostaje odpowiednio zwiększona. W menedżerze licencji nadal są
wyświetlane obie licencje.
2) Scalane są co najmniej dwie licencje różnych klientów. Wykonywane są te same działania co w pierwszym
przypadku (punkt 1 powyżej). Jedyną różnicą jest to, że co najmniej jedna z licencji musi mieć atrybut specjalny.
Atrybut ten jest wymagany do scalenia licencji różnych klientów. Aby użyć takiej licencji, należy wystąpić do
lokalnego dystrybutora o jej wygenerowanie.
UWAGA: Okres ważności nowo utworzonej licencji jest wyznaczany przez najwcześniejszą datę wygaśnięcia jej
składników.
Produkt ESET Mail Security dla oprogramowania Microsoft Exchange Server (EMSX) porównuje liczbę skrzynek
pocztowych w usłudze Active Directory z liczbą licencji posiadanych przez użytkownika. W celu ustalenia
całkowitej liczby skrzynek pocztowych sprawdzana jest każda usługa Active Directory serwera Exchange. W
całkowitej liczbie skrzynek pocztowych nie są uwzględniane systemowe skrzynki pocztowe, zdezaktywowane
skrzynki pocztowe ani aliasy adresów e-mail. W środowisku klastrowym w całkowitej liczbie skrzynek pocztowych
nie są uwzględniane węzły z rolą klastrowej skrzynki pocztowej.
Aby poznać liczbę skrzynek pocztowych działających w oprogramowaniu Exchange, należy otworzyć na serwerze
narzędzie Użytkownicy i komputery usługi Active Directory. Następnie należy kliknąć prawym przyciskiem
myszy domenę i wybrać polecenie Znaj dź. Z menu rozwijanego Znaj dź należy wybrać opcję Wyszukiwanie
niestandardowe i kliknąć kartę Zaawansowane. Następnie należy wkleić następujące zapytanie protokołu LDAP
(Lightweight Directory Access Protocol) i kliknąć polecenie Znaj dź teraz:
(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(!
(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!
userAccountControl:1.2.840.113556.1.4.803:=2))
15
Jeśli liczba skrzynek pocztowych w usłudze Active Directory przekroczy liczbę licencji, w dzienniku
oprogramowania Microsoft Exchange Server zostanie umieszczony komunikat „Stan ochrony został zmieniony,
ponieważ przekroczono dopuszczalną liczbę skrzynek pocztowych (liczba) objętych licencją (liczba)”. Użytkownik
zostanie o tym również powiadomiony przez program ESET Mail Security — Stan ochrony zmieni kolor na
pomarańczowy i zostanie wyświetlony komunikat z informacją, że ochrona zostanie wyłączona za 42 dni. W
wypadku wyświetlenia takiego powiadomienia należy skontaktować się ze sprzedawcą w celu zakupienia
dodatkowych licencji.
Jeśli użytkownik nie doda wymaganych licencji dla dodatkowych skrzynek pocztowych przed upływem 42 dni, Stan
ochrony zmieni kolor na czerwony. Zostanie również wyświetlony komunikat o wyłączeniu ochrony. W przypadku
wyświetlenia takiego powiadomienia należy natychmiast skontaktować się ze sprzedawcą i zakupić dodatkowe
licencje.
16
2.9 Konfiguracj a po instalacj i
Po zainstalowaniu produktu należy skonfigurować kilka opcji.
Ustawienia ochrony przed spamem
W tej sekcji opisano ustawienia, metody i techniki, za pomocą których można chronić swoją sieć przed spamem.
Zaleca się, aby przed wybraniem najkorzystniejszego dla sieci połączenia ustawień uważnie przeczytać poniższe
instrukcje.
Zarządzanie spamem
Aby zagwarantować wysoki poziom ochrony przed spamem, należy wybrać czynności, którym będą poddawane
wiadomości oznaczone jako SPAM.
Dostępne są trzy opcje:
1. Usuwanie spamu
Kryteria, które musi spełniać wiadomość, aby program ESET Mail Security uznał ją za SPAM, są dość
wyśrubowane. Pozwala to zmniejszyć ryzyko usunięcia poprawnych wiadomości e-mail. Im bardziej konkretne
są ustawienia ochrony przed spamem, tym mniejsze prawdopodobieństwo usunięcia poprawnych wiadomości
e-mail. Zaletami tej metody są mniejsze zużycie zasobów systemowych oraz mniejsza potrzeba administracji. Jej
wadą jest niemożność lokalnego przywrócenia poprawnej wiadomości e-mail w razie jej usunięcia.
2. Kwarantanna
Ta opcja likwiduje ryzyko usunięcia niegroźnej wiadomości e-mail. Wiadomości można natychmiast przywracać i
ponownie wysyłać do oryginalnych odbiorców. Wadą tej metody jest większe zużycie zasobów systemowych
oraz konieczność poświęcenia dodatkowego czasu na prowadzenie kwarantanny wiadomości e-mail.
Wiadomości e-mail można przekazywać do kwarantanny za pomocą dwóch metod:
A. Wewnętrzna kwarantanna oprogramowania Exchange Server (dostępna tylko w wersjach Microsoft
Exchange Server 2007/2010):
– Aby skorzystać z wewnętrznej kwarantanny serwera, należy sprawdzić, czy pole Wspólna kwarantanna
wiadomości w prawym okienku menu ustawień zaawansowanych (dostępne po kliknięciu kolejno opcji
Ochrona serwera > Kwarantanna wiadomości) jest puste. Należy też upewnić się, że w dostępnym na
dole menu rozwijanym wybrano opcję Przenieś wiadomość do kwarantanny systemu serwera
pocztowego. Ta metoda działa tylko w przypadku, gdy istnieje wewnętrzna kwarantanna
oprogramowania Exchange. Domyślnie, wewnętrzna kwarantanna nie jest aktywowana w
oprogramowaniu Exchange. Aby ją aktywować, należy otworzyć powłokę zarządzania serwerem Exchange
i wpisać następujące polecenie:
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(zapis [email protected] należy zastąpić adresem skrzynki pocztowej, której oprogramowanie
Microsoft Exchange ma używać jako skrzynki pocztowej wewnętrznej kwarantanny, na przykład
[email protected]).
B. Niestandardowa skrzynka pocztowa kwarantanny:
– Po wpisaniu żądanej skrzynki pocztowej w polu Wspólna kwarantanna wiadomości program ESET Mail
Security będzie przenosić wszystkie nowe wiadomości spamu do tej niestandardowej skrzynki pocztowej.
Więcej informacji na temat kwarantanny oraz różnych metod postępowania można znaleźć w rozdziale
Kwarantanna wiadomości 26 .
3. Przekazywanie spamu
Spam zostanie przekazany do odbiorcy. Program ESET Mail Security uzupełni jednak odpowiedni nagłówek MIME
każdej wiadomości wartością SCL. Inteligentny filtr wiadomości (IMF) serwera Exchange podejmie na podstawie
wartości SCL decyzję o wykonaniu odpowiedniej czynności.
Filtrowanie spamu
17
Szara lista
Szara lista chroni użytkowników przed spamem za pomocą następującej techniki: Agent transportu wysyła
zwracaną wartość serwera SMTP „tymczasowo odrzucono” (wartość domyślna to 451/4.7.1) w odpowiedzi na każdą
wiadomość e-mail od nadawcy, którego nie rozpoznaje. Serwer wysyłający autentyczne wiadomości próbuje
ponownie dostarczyć wiadomość. Spamerzy zazwyczaj nie próbują ponownie dostarczać wiadomości, ponieważ
jednocześnie wysyłają je na tysiące adresów i nie mogą poświęcać dodatkowego czasu na ponowne dostarczanie.
Podczas oceniania źródła wiadomości metoda sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowane
adresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypass
skrzynki pocztowej odbiorcy. Szarą listę należy starannie skonfigurować, w przeciwnym razie mogą występować
niechciane usterki w działaniu (np. opóźnienia w dostarczaniu pożądanych wiadomości itp.). Liczba takich efektów
ubocznych maleje w miarę, jak działająca funkcja dodaje do wewnętrznej białej listy zaufane połączenia.
Użytkownikom nieznającym tej metody lub niechcącym jej używać ze względu na skutki uboczne zaleca się
wyłączenie jej w menu Ustawienia zaawansowane. Aby to zrobić, należy kliknąć kolejno opcje Ochrona przed
spamem > Microsoft Exchange Server > Agent transportu > Włącz szarą listę.
Szarą listę należy również wyłączyć, jeśli celem użytkownika jest testowanie podstawowych funkcji programu, a
nie konfigurowanie jego zaawansowanych ustawień.
UWAGA: Szara lista to dodatkowy sposób ochrony przed spamem. Nie wpływa ona w żaden sposób na metodę
oceniania spamu przez moduł ochrony przed spamem.
Ustawienia ochrony antywirusowej
Kwarantanna
Zależnie od używanego trybu leczenia zaleca się skonfigurowanie czynności wykonywanej względem zarażonych
(niewyleczonych) wiadomości. Tę opcję można ustawić w oknie Ustawienia zaawansowane po wybraniu opcji
Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > Agent transportu.
Po włączeniu opcji przenoszenia wiadomości do kwarantanny wiadomości e-mail należy skonfigurować
kwarantannę, wybierając w oknie Ustawienia zaawansowane opcje Ochrona serwera> Kwarantanna
wiadomości.
Wydaj ność
W przypadku braku innych ograniczeń zaleca się zwiększenie liczby aparatów skanowania technologii ThreatSense
w oknie Ustawienia zaawansowane (F5). Aby to zrobić, należy wybrać kolejno opcje Ochrona komputera >
Antywirus i antyspyware > Wydaj ność i skorzystać z następującego wzoru: liczba aparatów skanowania technologii
ThreatSense = (liczba fizycznych procesorów x 2) + 1. Liczba wątków skanowania powinna być taka sama jak liczba
aparatów skanowania technologii ThreatSense. Liczbę wątków skanowania można skonfigurować po wybraniu kolejno
opcji Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > VSAPI > Wydaj ność. Oto
przykład:
Załóżmy, że jest używany serwer z 4 procesorami. Zgodnie z powyższym wzorem do uzyskania najwyższej
wydajności wymaganych jest 9 wątków skanowania oraz 9 aparatów skanowania.
UWAGA: Przyjmowane są wartości z zakresu od 1 do 20, można więc użyć najwyżej 20 aparatów skanowania
technologii ThreatSense. Zmiana zostanie wprowadzona dopiero po ponownym uruchomieniu.
UWAGA: Zaleca się ustawienie jednakowej liczby wątków skanowania i używanych aparatów skanowania
technologii ThreatSense. Jeśli liczba używanych wątków skanowania przekroczy liczbę aparatów skanowania, nie
wpłynie to w żaden sposób na wydajność.
UWAGA: jeśli program ESET Mail Security działa w systemie Windows Server, który pełni rolę serwera terminali, a
użytkownik nie chce, aby interfejs GUI programu ESET Mail Security był uruchamiany po każdym zalogowaniu,
należy zapoznać się z treścią rozdziału Wyłączanie interfejsu GUI na serwerze terminali 124 .
18
3. ESET Mail Security — ochrona serwera Microsoft Exchange Server
Program ESET Mail Security zapewnia wysoki poziom ochrony serwera Microsoft Exchange Server. Istnieją trzy
podstawowe rodzaje ochrony: antywirusowa, przed spamem oraz stosowanie reguł zdefiniowanych przed
użytkownika. Program ESET Mail Security chroni przed różnego rodzaju szkodliwym oprogramowaniem, takim jak
załączniki do wiadomości e-mail zarażone robakami lub końmi trojańskimi, dokumenty zawierające szkodliwe
skrypty, ataki typu „phishing” czy spam. Program ESET Mail Security filtruje szkodliwą zawartość na poziomie
serwera poczty, zanim dotrze ona do skrzynki odbiorczej programu poczty e-mail odbiorcy. W kolejnych
rozdziałach opisano wszystkie opcje oraz ustawienia umożliwiające dostosowywanie ustawień ochrony serwera
3.1 Ustawienia ogólne
W tej sekcji opisano sposób administrowania regułami, plikami dziennika, kwarantanną wiadomości oraz
parametrami wydajności.
3.1.1 Microsoft Exchange Server
3.1.1.1 VSAPI (Virus-Scanning Application Programming Interface)
Platforma Microsoft Exchange Server udostępnia mechanizm gwarantujący, że każdy komponent wiadomości jest
skanowany przy użyciu zaktualizowanej bazy sygnatur wirusów. Jeśli dany komponent wiadomości nie był
skanowany, zostaje przesyłany do skanera przed wysłaniem wiadomości do klienta. Każda obsługiwana wersja
platformy Microsoft Exchange Server (2000/2003/2007/2010) udostępnia inną wersję interfejsu VSAPI.
Pole wyboru umożliwia włączenie lub wyłączenie automatycznego uruchamiania wersji interfejsu VSAPI używanej
przez dany serwer Exchange.
19
3.1.1.2 Agent transportu
W tej sekcji można skonfigurować automatyczne uruchamianie agenta transportu oraz ustawić priorytet jego
ładowania. W przypadku oprogramowania Microsoft Exchange Server 2007 i jego nowszych wersji agenta
transportu można zainstalować tylko w sytuacji, gdy serwer działa w jednej z następujących ról: Transport graniczny
lub Transport centralny.
UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5 (VSAPI 1.0).
Priorytet agentów programu ESET Mail Security można ustawić w menu Ustawienia priorytetu agenta. Zakres
numerów priorytetu agenta zależy od wersji oprogramowania Microsoft Exchange Server (im niższy numer, tym
wyższy priorytet).
Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie
wyniku spamu — SCL to przypisywana do wiadomości znormalizowana wartość, która wskazuje
prawdopodobieństwo tego, że wiadomość jest spamem (na podstawie charakterystyki nagłówka wiadomości, jej
tematu, treści itp.). Ocena 0 wskazuje, że wiadomość niemal na pewno nie jest spamem, a ocena 9 wskazuje, że
wiadomość najprawdopodobniej jest spamem. Wartości SCL mogą być dalej przetwarzane przez inteligentny filtr
wiadomości (lub agenta filtru zawartości) oprogramowania Microsoft Exchange Server. Więcej informacji można
znaleźć w dokumentacji oprogramowania Microsoft Exchange Server.
20
Opcja Podczas usuwania wiadomości wysyłaj odpowiedź o odrzuceniu przez usługę SMTP:
Jeśli opcja nie jest zaznaczona, serwer SMTP wysyła do agenta MTA (Mail Transfer Agent) nadawcy odpowiedź
SMTP OK w formacie „250 2.5.0 — Requested mail action okay, completed” (Wykonano i zakończono żądaną
czynność dotyczącą poczty), a następnie przechodzi do trybu cichego.
Jeśli opcja jest zaznaczona, do agenta MTA nadawcy wysyłana jest odpowiedź o odrzuceniu przez serwer SMTP.
Treść odpowiedzi można wpisać w następującym formacie:
Podstawowy kod
odpowiedzi
250
Uzupełniający kod stanu
Opis
2.5.0
Wykonano i zakończono żądaną czynność dotyczącą
poczty
451
4.5.1
Przerwano żądaną czynność: błąd lokalny podczas
przetwarzania
550
5.5.0
Nie wykonano żądanej czynności: skrzynka pocztowa
jest niedostępna
Ostrzeżenie: Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może spowodować błędne działanie
komponentów programu oraz ograniczenie jego skuteczności.
UWAGA: Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocą
zmiennych systemu.
21
3.1.2 Reguły
Element menu Reguły umożliwia administratorom ręczne definiowanie warunków filtrowania wiadomości e-mail i
czynności, jakie mają zostać podjęte wobec odfiltrowanych wiadomości. Reguły są stosowane zgodnie z zestawem
połączonych warunków. Do łączenia wielu warunków służy operator logiczny AND — w takim przypadku reguła
jest stosowana tylko w przypadku spełnienia wszystkich warunków. Kolumna Numer (widoczna obok nazwy
każdej reguły) pokazuje, ile razy dana reguła została pomyślnie zastosowana.
Reguły są stosowane do wiadomości, gdy jest ona przetwarzana przez agenta transportu (TA) lub program VSAPI.
Gdy włączony jest zarówno agent transportu, jak i program VSAPI, a wiadomość spełnia warunki reguły, wartość
licznika reguł może wzrosnąć o 2 lub więcej. Dzieje się tak, ponieważ program VSAPI uzyskuje dostęp do każdej
części wiadomości osobno (treść, załącznik). Oznacza to, że reguły są kolejno stosowane osobno wobec każdej
części. Reguły są również stosowane podczas skanowania w tle (np. powtórzone skanowanie skrzynek
pocztowych po aktualizacji bazy danych sygnatur wirusów), co także może zwiększyć wartość licznika reguł.
Dodaj — umożliwia dodanie nowej reguły.
Edytuj ... — umożliwia zmodyfikowanie istniejącej reguły.
Usuń — umożliwia usunięcie zaznaczonej reguły.
Wyczyść — umożliwia wyczyszczenie licznika reguł (kolumna Trafienia).
Przenieś w górę — przenosi wybraną regułę w górę listy.
Przenieś w dół — przenosi wybraną regułę w dół listy.
Usunięcie zaznaczenia pola wyboru (widocznego po lewej stronie nazwy każdej reguły) dezaktywuje bieżącą
regułę. Umożliwia to ponowne aktywowanie reguły w razie konieczności.
UWAGA: podczas konfigurowania reguł można także używać zmiennych systemowych (np. %PATHEXT%).
UWAGA: w przypadku dodania nowej lub zmodyfikowania istniejącej reguły automatycznie zostanie uruchomione
ponowne skanowanie wiadomości za pomocą nowej/zmodyfikowanej reguły.
22
3.1.2.1 Dodawanie nowych reguł
Ten kreator prowadzi użytkownika przez proces dodawania zdefiniowanych przez niego reguł zawierających
połączone warunki.
UWAGA: W przypadku skanowania wiadomości przez agenta transportu nie są stosowane wszystkie warunki.
Według docelowej skrzynki pocztowej — dotyczy nazwy skrzynki pocztowej (VSAPI)
Według odbiorcy wiadomości — dotyczy wiadomości wysłanej do określonego odbiorcy (VSAPI + TA)
Według nadawcy wiadomości — dotyczy wiadomości wysłanej przez określonego nadawcę (VSAPI + TA)
Według tematu wiadomości — dotyczy wiadomości o określonym temacie (VSAPI + TA)
Według treści wiadomości — dotyczy wiadomości, której treść zawiera określony tekst (VSAPI)
Według nazwy załącznika — dotyczy wiadomości z załącznikiem o określonej nazwie (VSAPI w programie
Exchange 2000 i Exchange 2003, VSAPI + TA w programie Exchange 2007 i Exchange 2010).
Według rozmiaru załącznika — dotyczy wiadomości, w przypadku której rozmiar załącznika przekracza
określoną wartość (VSAPI w programie Exchange 2000 i Exchange 2003, VSAPI + TA w programie Exchange 2007
i Exchange 2010).
Według częstotliwości występowania — dotyczy obiektów (treści lub załącznika wiadomości e-mail), których
liczba wystąpień w określonym przedziale czasu przekracza ustalony limit (VSAPI). Jest to przydatne zwłaszcza w
przypadku częstego otrzymywania spamu o takiej samej treści bądź z takim samym załącznikiem.
Według typu załącznika — dotyczy wiadomości z załącznikiem w postaci pliku o określonym typie (rzeczywisty
typ pliku jest ustalany na podstawie jego zawartości, bez względu na rozszerzenie) (VSAPI).
Jeśli nie włączono opcji Tylko całe wyrazy, podczas określania wymienionych powyżej warunków (z wyjątkiem
warunku Według rozmiaru załącznika) wystarczy wpisać jedynie fragment tekstu. Jeśli nie włączono opcji
Uwzględniaj wielkość liter, wielkość liter nie jest uwzględniana podczas wprowadzania wartości. W przypadku
stosowania wartości innych niż alfanumeryczne należy używać nawiasów i cudzysłowów. Warunki można też
tworzyć z użyciem operatorów logicznych AND, OR i NOT.
UWAGA: Lista dostępnych reguł zależy od zainstalowanej wersji oprogramowania Microsoft Exchange Server.
UWAGA: Oprogramowanie Microsoft Exchange Server 2000 (VSAPI 2.0) ocenia jedynie wyświetloną nazwę
nadawcy/odbiorcy, a nie adres e-mail. Adresy e-mail są oceniane w oprogramowaniu Microsoft Exchange Server
2003 (VSAPI 2.5) i w jego nowszych wersjach.
Przykłady wprowadzania warunków:
Według docelowej
skrzynki pocztowej:
kowalski
Według nadawcy
wiadomości e-mail:
[email protected]
Według odbiorcy
wiadomości e-mail:
"J. Kowalski" OR "[email protected]"
23
Według tematu
wiadomości e-mail:
""
Według nazwy
załącznika:
".com" OR ".exe"
Według treści
wiadomości e-mail:
("bezpłatny" OR "loteria") AND ("wygraj" OR "kup")
3.1.2.2 Czynności podej mowane przy stosowaniu reguł
Ta sekcja umożliwia wybieranie czynności wykonywanych w odniesieniu do wiadomości i/lub załączników
spełniających warunki określone w regułach. Można nie wykonywać żadnej czynności, oznaczyć wiadomość tak,
jakby była zagrożeniem/spamem, lub usunąć całą wiadomość. Skanowanie za pomocą modułów antywirusowych
lub ochrony przed spamem nie jest uruchamiane domyślnie, gdy wiadomość lub jej załącznik spełnia warunki
określone w regule. Aby tak się działo, należy zaznaczyć odpowiednie pola wyboru dostępne poniżej (czynność
wykonywana w takiej sytuacji będzie zależeć od ustawień ochrony antywirusowej i ochrony przed spamem).
Brak czynności — nie zostanie podjęta żadna czynność wobec wiadomości.
Wykonaj czynność dotyczącą niewyleczonego zagrożenia — wiadomość zostanie oznaczona jako zawierająca
niewyleczone zagrożenie (niezależnie od tego, czy zawierała zagrożenie, czy nie).
Wykonaj czynność dotyczącą niepożądanych wiadomości e-mail — wiadomość zostanie oznaczona jako
spam (niezależnie od tego, czy faktycznie jest spamem, czy nie). Ta opcja zadziała tylko wtedy, gdy ochrona przed
spamem 38 jest włączona, a czynność jest wykonywana na poziomie serwera poczty elektronicznej. W
przeciwnym razie czynność nie zostanie wykonana.
Usuń wiadomość — powoduje usunięcie całej wiadomości wraz z zawartością spełniającą określone warunki,
jednak ta czynność jest dostępna tylko w wersjach programu VSAPI 2.5 i nowszych (w wersjach programu VSAPI
2.0 i starszych czynność nie jest obsługiwana).
Poddaj plik kwarantannie — załączone pliki spełniające kryteria reguły zostaną przeniesione do kwarantanny
plików programu ESET Mail Security, której nie należy mylić z kwarantanną wiadomości (więcej informacji na
temat kwarantanny wiadomości można znaleźć w rozdziale Kwarantanna wiadomości 26 ).
Prześlij plik do analizy — spowoduje wysłanie podejrzanych załączników do laboratorium firmy ESET do analizy.
Wyślij powiadomienie o zdarzeniu — spowoduje wysłanie powiadomienia do administratora (na podstawie
ustawień wybranych w obszarze Narzędzia > Alerty i powiadomienia).
Dziennik — spowoduje zapisanie w dzienniku programu informacji o zastosowanej regule.
Oceń inne reguły — umożliwia ocenę innych reguł, pozwalając użytkownikowi definiować wiele zestawów
warunków oraz wiele czynności, które mogą być wykonywane zależnie od warunków.
Skanuj za pomocą ochrony antywirusowej i antyspyware — powoduje skanowanie wiadomości i jej
załączników pod kątem zagrożeń.
Skanuj za pomocą ochrony przed spamem — skanuje wiadomości pod kątem spamu.
UWAGA: Ta opcja jest dostępna tylko w oprogramowaniu Microsoft Exchange Server w wersji 2000 lub nowszej,
gdy włączono agenta transportu.
24
Ostatni krok w kreatorze tworzenia nowej reguły polega na nadaniu każdej utworzonej regule nazwy. Można także
dodać Komentarz do reguły. Ta informacja zostanie zapisana w dzienniku oprogramowania Microsoft Exchange
Server.
3.1.3 Pliki dziennika
Ustawienia plików dziennika pozwalają określić, jak długo będzie tworzony plik dziennika. Bardziej szczegółowy
protokół może zawierać więcej informacji, ale również obniżać wydajność serwera.
Po włączeniu opcji Zsynchronizowany zapis bez używania pamięci podręcznej wszystkie wpisy dziennika są
zapisywane natychmiast w pliku dziennika bez zapisywania w jego pamięci podręcznej. Domyślnie komponenty
programu ESET Mail Security uruchomione w oprogramowaniu Microsoft Exchange Server zapisują wiadomości
dziennika w swojej pamięci podręcznej i, w celu utrzymania wydajności, przesyłają je do dziennika aplikacji w
określonych odstępach czasu. W takim przypadku wpisy diagnostyczne dziennika mogą jednak nie mieć właściwej
kolejności. Zaleca się wyłączenie tego ustawienia, chyba że jest ono wymagane do diagnostyki. Rodzaj informacji
zapisywanych w plikach dziennika można określić w menu Zawartość.
Rej estruj stosowanie reguł — po włączeniu tej opcji program ESET Mail Security zapisuje w pliku dziennika
nazwy wszystkich aktywowanych reguł.
Rej estruj wyniki spamu — użycie tej opcji powoduje rejestrowanie czynności związanych ze spamem w
Dzienniku ochrony przed spamem 98 . Gdy serwer pocztowy odbiera wiadomość będącą spamem, informacja na
ten temat jest zapisywana w dzienniku. Zawiera ona takie dane, jak Godzina/Data, Nadawca, Odbiorca, Temat,
Wynik spamu, Powód oraz Czynność. Są one przydatne w razie konieczności sprawdzenia, jakie wiadomości
spamu zostały odebrane, kiedy to nastąpiło oraz jakie czynności wykonano.
Rej estruj operacj e użycia szarej listy — włączenie tej opcji spowoduje zapisywanie czynności związanych z
szarą listą w Dzienniku szarej listy 98 . Zawiera on takie dane jak Godzina/Data, Domena HELO, Adres IP,
Nadawca, Odbiorca, Czynność itp.
UWAGA: ta opcja działa tylko po włączeniu szarej listy za pomocą ustawień Agenta transportu 39 dostępnych po
wybraniu kolejno opcji Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server > Agent
transportu w drzewie ustawień zaawansowanych (F5).
Rej estruj wydaj ność — rejestruje informacje na temat przedziału czasu wykonywanego zadania, rozmiaru
skanowanego obiektu, szybkości transferu (KB/s) oraz oceny wydajności.
Rej estruj informacj e diagnostyczne — rejestruje informacje diagnostyczne niezbędne do dostosowywania
programu pod kątem protokołu. Ta opcja służy głównie do debugowania oraz wykrywania problemów. Nie
zaleca się włączania tej opcji. Aby zobaczyć informacje diagnostyczne udostępniane przez tę funkcję, należy
25
ustawić opcję Minimalna szczegółowość zapisów w dzienniku jako Rekordy diagnostyczne , wybierając kolejno
opcje Narzędzia > Pliki dziennika > Minimalna szczegółowość zapisów w dzienniku.
3.1.4 Kwarantanna wiadomości
Kwarantanna wiadomości to specjalna skrzynka pocztowa zdefiniowana przez administratora systemu w celu
przechowywania potencjalnie zarażonych wiadomości i spamu. Wiadomości poddane kwarantannie można
przeanalizować lub wyleczyć w późniejszym czasie przy użyciu nowszej bazy sygnatur wirusów.
Dostępne są dwa rodzaje systemów kwarantanny wiadomości.
Można korzystać z systemu kwarantanny oprogramowania Microsoft Exchange (dostępny tylko w wersji Microsoft
Exchange Server 2007/2010). W tym przypadku do przechowywania potencjalnie zarażonych wiadomości oraz
spamu używany jest wewnętrzny mechanizm oprogramowania Exchange. Dodatkowo, jeśli zajdzie taka potrzeba,
można dodać osobną skrzynkę pocztową kwarantanny (lub kilka takich skrzynek) na potrzeby poszczególnych
odbiorców. W wyniku tego potencjalnie zarażone wiadomości, które początkowo zostały wysłane do konkretnego
odbiorcy, zostaną dostarczone do osobnej skrzynki pocztowej kwarantanny, a nie do wewnętrznej skrzynki
pocztowej kwarantanny programu Exchange. W niektórych przypadkach może to pomóc w porządkowaniu
potencjalnie zarażonych wiadomości oraz spamu.
Oprócz tego jest dostępna funkcja Wspólna kwarantanna wiadomości. Użytkownicy wcześniejszych wersji
oprogramowania Microsoft Exchange Server (5.5, 2000 lub 2003) mogą wybrać opcję Wspólna kwarantanna
wiadomości, tzn. skrzynkę pocztową, która będzie używana do przechowywania potencjalnie zarażonych
wiadomości. W takim przypadku system wewnętrznej kwarantanny oprogramowania Exchange nie jest używany.
Zamiast niego jest w tym celu stosowana skrzynka pocztowa określona przez administratora systemu. Tak jak w
przypadku pierwszej opcji, można dodać osobną skrzynką pocztową kwarantanny (lub kilka takich skrzynek
pocztowych) na potrzeby poszczególnych odbiorców. W wyniku tego potencjalnie zarażone wiadomości są
dostarczane do osobnej skrzynki pocztowej, a nie do wspólnej kwarantanny wiadomości.
26
Wspólna kwarantanna wiadomości — w tym miejscu można określić adres wspólnej kwarantanny wiadomości
(np. [email protected]). Można też używać systemu wewnętrznej kwarantanny
oprogramowania Microsoft Exchange Server 2007/2010 — aby to zrobić, należy pozostawić to pole puste i
wybrać w dostępnym na dole menu rozwijanym opcję Przenieś wiadomość do kwarantanny systemu serwera
pocztowego (o ile kwarantanna oprogramowania Exchange jest dostępna w danym środowisku). Następnie
wiadomości e-mail są dostarczane do wewnętrznego mechanizmu kwarantanny oprogramowania Exchange za
pomocą jego własnych ustawień.
UWAGA: Domyślnie, wewnętrzna kwarantanna nie jest aktywowana w oprogramowaniu Exchange. Aby ją
aktywować, należy otworzyć powłokę zarządzania serwerem Exchange i wpisać następujące polecenie:
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(zapis [email protected] należy zastąpić adresem skrzynki pocztowej, której oprogramowanie Microsoft
Exchange ma używać jako skrzynki pocztowej wewnętrznej kwarantanny, na przykład
[email protected]).
Kwarantanna wiadomości wg odbiorcy — ta opcja pozwala określać skrzynki pocztowe kwarantanny dla wielu
odbiorców. Każdą regułę kwarantanny można włączać i wyłączać, zaznaczając pole wyboru widoczne w jej
wierszu lub usuwając jego zaznaczenie.
Dodaj ... — pozwala dodawać nowe reguły kwarantanny poprzez wprowadzenie odpowiedniego adresu
e-mail odbiorcy oraz adresu e-mail kwarantanny, na który będą przekazywane wiadomości e-mail.
Edytuj ... — umożliwia edytowanie wybranej reguły kwarantanny.
Usuń — umożliwia usunięcie wybranej reguły kwarantanny.
Preferuj wspólną kwarantannę wiadomości — po włączeniu tej opcji wiadomość zostanie
dostarczona do określonej wspólnej kwarantanny, o ile zostały spełnione warunki więcej niż jednej
reguły kwarantanny (np. jeśli wiadomość ma wielu odbiorców i część z nich jest zdefiniowanych w
wielu regułach kwarantanny).
Wiadomość przeznaczona dla kwarantanny wiadomości nieistniej ących (jeśli nie określono wspólnej
kwarantanny wiadomości, dostępne są następujące opcje czynności podejmowanych wobec potencjalnie
zarażonych wiadomości oraz spamu)
Brak czynności — wiadomość zostanie przetworzona w standardowy sposób, czyli dostarczona do odbiorcy
(niezalecane).
Usuń wiadomość — wiadomość zostanie usunięta, jeśli jest zaadresowana do odbiorcy, dla którego nie
zdefiniowano żadnej reguły kwarantanny ani nie wybrano wspólnej kwarantanny wiadomości. Oznacza to, że
wszystkie potencjalnie zarażone wiadomości oraz spam będą automatycznie usuwane i nie będą nigdzie
zapisywane.
Przenieś wiadomość do kwarantanny systemu serwera pocztowego — wiadomość zostanie dostarczona do
systemu wewnętrznej kwarantanny programu Exchange i zapisana w nim (opcja niedostępna w
oprogramowaniu Microsoft Exchange Server 2003 ani w jego wcześniejszych wersjach)
UWAGA: Przy konfigurowaniu ustawień kwarantanny wiadomości można też korzystać ze zmiennych
systemowych (np. %USERNAME%).
27
3.1.4.1 Dodawanie nowej reguły kwarantanny
W odpowiednich polach należy podać adres e-mail odbiorcy oraz adres e-mail kwarantanny.
Aby usunąć wiadomość e-mail zaadresowaną do odbiorcy, w odniesieniu do którego nie zastosowano reguły
kwarantanny, należy wybrać opcję Usuń wiadomość z menu rozwijanego Komunikat dotyczący braku
kwarantanny wiadomości.
3.1.5 Wydaj ność
Aby zwiększyć wydajność programu, można zdefiniować w tej sekcji folder, w którym będą przechowywane pliki
tymczasowe. Jeśli nie zostanie wybrany żaden folder, program ESET Mail Security będzie tworzyć pliki tymczasowe
w folderze tymczasowym systemu.
UWAGA: Aby ograniczyć potencjalny wpływ na operacje we/wy oraz fragmentację, nie zaleca się umieszczania
folderu tymczasowego na tym samym dysku twardym, na którym zainstalowano oprogramowanie Microsoft
Exchange Server. Zdecydowanie nie należy tworzyć folderu tymczasowego na nośniku wymiennym, takim jak
dyskietka, pamięć USB, dysk DVD itp.
UWAGA: Ustawienia wydajności można konfigurować za pomocą zmiennych systemowych (np. %SystemRoot%
\TEMP).
3.2 Ustawienia ochrony antywirusowej i antyspyware
Aby włączyć ochronę antywirusową i antyspyware serwera poczty e-mail, należy wybrać opcję Włącz ochronę
antywirusową i antyspyware serwera. Ochrona antywirusowa i antyspyware jest włączana automatycznie po
każdym ponownym uruchomieniu usługi/komputera. Ustawienia parametrów aparatu ThreatSense są dostępne
po kliknięciu przycisku Ustawienia.
28
W zakresie ochrony antywirusowej i ochrony przed spamem w programie ESET Mail Security dla oprogramowania
Microsoft Exchange Server są stosowane dwa rodzaje skanowania. Pierwszy z nich to skanowanie wiadomości za
pośrednictwem programu VSAPI, a drugi to skanowanie za pomocą agenta transportu.
Po włączeniu ochrony za pomocą programu VSAPI 29 wiadomości są skanowane bezpośrednio w magazynie
serwera Exchange.
W przypadku włączenia ochrony za pomocą agenta transportu 35 skanowana jest komunikacja SMTP, a nie sam
magazyn serwera Exchange. Po włączeniu ochrony tego typu wszystkie wiadomości oraz ich składniki są
skanowane podczas transportu — zanim dotrą do magazynu serwera Exchange lub zostaną wysłane za pomocą
protokołu SMTP. Filtrowanie SMTP na poziomie serwera jest chronione za pomocą specjalnego dodatku. W
oprogramowaniu Microsoft Exchange Server 2000 i 2003 ten dodatek (Event Sink) jest zarejestrowany na
serwerze SMTP jako składnik usług IIS (Internet Information Services). W oprogramowaniu Microsoft Exchange
Server 2007/2010 dodatek jest zarejestrowany jako agent transportu w rolach Granica lub Centrum
oprogramowania Microsoft Exchange Server.
UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5, natomiast można
z niego korzystać we wszystkich nowszych wersjach oprogramowania Microsoft Exchange Server (od wersji 2000).
Istnieje możliwość jednoczesnego włączenia ochrony antywirusowej i ochrony przed spamem za pomocą
programu VSAPI oraz agenta transportu — jest to konfiguracja domyślna i zalecana. Użytkownik może również
wybrać tylko jeden rodzaj ochrony (za pomocą programu VSAPI lub agenta transportu). Mogą być one włączane i
wyłączane niezależnie od siebie. Zaleca się stosowanie obu rodzajów ochrony, ponieważ gwarantuje to
maksymalną ochronę antywirusową i przed spamem. Wyłączenie obu rodzajów ochrony nie jest zalecane.
3.2.1.1 VSAPI (Virus-Scanning Application Programming Interface)
Platforma Microsoft Exchange Server udostępnia mechanizm gwarantujący, że każdy komponent wiadomości jest
skanowany przy użyciu zaktualizowanej bazy sygnatur wirusów. Jeśli wiadomość nie była skanowana wcześniej, jej
odpowiednie komponenty są przesyłane do skanera przed wysłaniem wiadomości do klienta. Każda obsługiwana
wersja platformy Microsoft Exchange Server (5.5/2000/2003/2007/2010) udostępnia inną wersję interfejsu VSAPI.
3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0)
Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 1.0.
Włączenie opcji Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle. Oprogramowanie
Microsoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jak
aktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Server
zachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadku
otwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów,
oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jej
przeskanowania przed otwarciem w programie poczty e-mail.
Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdej
aktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny poza
czasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarze
Harmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jego
rozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniu
zadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik może
usunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry.
29
3.2.1.1.1.1 Czynności
W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika.
Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuń
wiadomość lub Brak czynności dotyczącej zarażonej zawartości wiadomości. Ta czynność będzie stosowana tylko
w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć,
wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 80 ).
Pole Usunięcie pozwala określić, jaka Metoda usuwania załącznika będzie stosowana dla każdej z tych opcji:
Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości,
pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika.
Zastąp załącznik informacj ami o czynnościach — program ESET Mail Security zastępuje zarażony plik
protokołem wirusa lub opisem reguły.
Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, które
zostały przeskanowane wcześniej.
3.2.1.1.1.2 Wydaj ność
Podczas skanowania oprogramowanie Microsoft Exchange Server umożliwia ustalenie limitu czasu otwierania
załączników wiadomości. Wartość wpisana w polu Limit czasu odpowiedzi (ms) określa, po jakim czasie program
ponawia próbę uzyskania dostępu do pliku, który wcześniej był niedostępny z powodu skanowania.
3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0)
Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.0
dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzie
on jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadal
skanowane pod kątem spamu 39 . Będą również wobec nich stosowane reguły 22 .
Po włączeniu opcji Skanowanie prewencyj ne nowe wiadomości przychodzące będą skanowane w kolejności
odebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość ta
zostanie zeskanowana przed innymi wiadomościami w kolejce.
Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. Oprogramowanie
Aby skanować wiadomości w formacie tekstowym, należy wybrać opcję Skanuj treść wiadomości tekstowych.
Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treść
wiadomości w formacie RTF może zawierać makrowirusy.
30
wiadomość lub Brak czynności dotyczącej zarażonej zawartości wiadomości. Ta czynność będzie stosowana tylko
w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można ją włączyć,
wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 80 ).
Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania wiadomości i Metoda usuwania załącznika.
Metoda usuwania wiadomości może mieć wartość:
Usuń treść wiadomości — powoduje usunięcie treści zarażonej wiadomości. Odbiorca otrzymuje pustą
wiadomość oraz wszystkie niezarażone załączniki.
Przepisz treść wiadomości z informacj ami o czynnościach — powoduje przepisanie treści zarażonej
wiadomości oraz dodanie informacji o wykonanych czynnościach.
Pole Metoda usuwania załącznika może mieć wartość:
W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczba
wątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcia
najwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologii
ThreatSense i wątków skanowania.
Opcja Limit czasu odpowiedzi (s) pozwala wybrać maksymalny czas oczekiwania wątku na zakończenie
skanowania wiadomości. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu,
oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości e-mail. Skanowanie nie
zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu.
PORADA:: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft
Exchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x 2 + 1.
UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrost
wydajności nie będzie znaczący.
31
3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5)
Opcja Skanuj przesyłane wiadomości umożliwia skanowanie wiadomości, które nie są przechowywane na
lokalnym serwerze Microsoft Exchange Server, ale są za jego pomocą dostarczane do innych serwerów poczty email. Oprogramowanie Microsoft Exchange Server może zostać skonfigurowane jako brama, a następnie
przekazywać wiadomości do innych serwerów poczty e-mail. Po włączeniu skanowania przesyłanych wiadomości
program ESET Mail Security skanuje również te wiadomości. Ta opcja jest dostępna tylko po wyłączeniu agenta
transportu.
UWAGA: program VSAPI nie skanuje treści wiadomości tekstowych.
zarażoną zawartość wiadomości, Usuń całą wiadomość łącznie z zarażoną zawartością lub Brak czynności. Ta
czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję
automatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense
> Leczenie 80 ).
Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania wiadomości i Metoda usuwania załącznika.
Metoda usuwania wiadomości może mieć wartość:
Usuń treść wiadomości — powoduje usunięcie treści zarażonej wiadomości. Odbiorca otrzyma pustą
Usuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynność
wykonywaną podczas usuwania załączników.
32
Opcja Limit czasu odpowiedzi (s) pozwala wybrać maksymalny czas oczekiwania wątku na zakończenie
skanowania wiadomości. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu,
zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu.
PORADA: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft
3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6)
przeskanowania przed otwarciem w programie poczty e-mail. Można wybrać opcję Skanuj tylko wiadomości z
załącznikami i filtrować wiadomości na podstawie czasu ich odebrania za pomocą następujących opcji Poziom
skanowania:
Wszystkie wiadomości
Wiadomości otrzymane w ostatnim roku
Wiadomości otrzymane w ciągu ostatnich 6 miesięcy
Wiadomości otrzymane w ciągu ostatnich 3 miesięcy
Wiadomości otrzymane w ciągu ostatniego miesiąca
Wiadomości otrzymane w ciągu ostatniego tygodnia
33
UWAGA: Program VSAPI nie skanuje treści wiadomości tekstowych.
obiekt, czyli zarażoną zawartość wiadomości, Usuń całą wiadomość lub Brak czynności. Ta czynność będzie
stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia
(można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie 80 ).
Zgodnie z powyższym opisem dla ustawienia Czynność w razie niemożności wyczyszczenia można wybrać
następujące opcje:
Brak czynności — nie jest wykonywana żadna czynność dotycząca zarażonej zawartości wiadomości.
Blokuj — powoduje blokowanie wiadomości, zanim zostanie ona odebrana przez magazyn oprogramowania
Usuń obiekt — powoduje usunięcie zarażonej zawartości wiadomości.
Usuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z zarażoną zawartością.
Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania treści wiadomości i Metoda usuwania
załącznika.
Pole Metoda usuwania treści wiadomości może mieć wartość:
Usuń treść wiadomości — powoduje usunięcie treści zarażonej wiadomości. Odbiorca otrzymuje pustą
Usuń całą wiadomość — powoduje usunięcie załącznika.
Jeśli włączono opcję Używaj kwarantanny systemu VSAPI, zarażone wiadomości będą zapisywane w
kwarantannie serwera poczty e-mail. Należy pamiętać, że jest to kwarantanna programu VSAPI zarządzana przez
serwer (a nie kwarantanna programu ani skrzynka pocztowa kwarantanny). Zarażone wiadomości zapisane w
kwarantannie serwera poczty są niedostępne do momentu wyleczenia za pomocą najnowszej bazy danych
sygnatur wirusów.
34
PORADA: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania Microsoft
3.2.1.1.5 Agent transportu
W tej sekcji można włączać lub wyłączać ochronę antywirusową i ochronę przed spamem zapewnianą przez
agenta transportu. W przypadku oprogramowania Microsoft Exchange Server 2007 i jego nowszych wersji agenta
transportu można zainstalować tylko w sytuacji, gdy serwer działa w jednej z następujących ról: Transport graniczny
lub Transport centralny.
Wiadomości, których nie można wyleczyć, są przetwarzane zgodnie z ustawieniami w sekcji Agent transportu.
Wiadomość może zostać usunięta, wysłana do skrzynki pocztowej kwarantanny lub zachowana.
Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez agenta transportu
Po wybraniu opcji Włącz ochronę antywirusową i antyspyware przez agenta transportu można także określić
Czynność w razie niemożności wyczyszczenia:
Zachowaj wiadomość — powoduje zachowanie zarażonej wiadomości, której nie można wyleczyć.
Poddaj wiadomość kwarantannie — powoduje wysłanie zarażonej wiadomości do skrzynki pocztowej
kwarantanny.
Usuń wiadomość — powoduje usunięcie zarażonej wiadomości.
Po znalezieniu zagrożeń zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości (%) — umożliwia
ustawienie określonej wartości wyniku spamu (prawdopodobieństwa, że wiadomość jest spamem) wyrażonej w
procentach.
35
Oznacza to, że w przypadku znalezienia zagrożenia wynik spamu (określona wartość w procentach) jest
zapisywany w przeskanowanej wiadomości. Ponieważ większość zarażonych wiadomości wysyłają grupy
komputerów zarażonych złośliwym oprogramowaniem (tzw. botnety), wiadomości dystrybuowane w ten sposób
są uznawane za spam. Aby ta funkcja działała skutecznie, należy włączyć opcję Zapisuj poziom ufności filtrów
spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie wyniku spamu, wybierając kolejno
opcje Ochrona serwera > Microsoft Exchange Server > Agent transportu 20 .
Jeśli opcja Skanuj również wiadomości otrzymane za pośrednictwem połączeń uwierzytelnionych i
wewnętrznych jest włączona, program ESET Mail Security skanuje także wiadomości odebrane z
uwierzytelnionych źródeł lub serwerów lokalnych. Skanowanie takich wiadomości nie jest konieczne, ale jest
zalecane, ponieważ dodatkowo zwiększa ochronę.
3.2.2 Czynności
W tej sekcji można wybrać dołączanie identyfikatora zadania skanowania i/lub informacji na temat wyniku
skanowania w nagłówku skanowanych wiadomości.
36
3.2.3 Alerty i powiadomienia
Program ESET Mail Security umożliwia dodawanie tekstu do oryginalnych tematów lub treści zarażonych
wiadomości.
Dodaj do treści zeskanowanej wiadomości: — to pole udostępnia trzy opcje:
Nie dodawaj do żadnych wiadomości
Dodawaj tylko do zarażonych wiadomości
Dodawaj do wszystkich skanowanych wiadomości (nie dotyczy wiadomości wewnętrznych)
Po włączeniu opcji Dodawaj do tematu zarażonych wiadomości program ESET Mail Security będzie dodawać w
temacie wiadomości e-mail oznaczenie, którego wartość określono w polu tekstowym Szablon dodawany do
tematu zarażonych wiadomości (wartość domyślna to [wirus %VIRUSNAME%]). Opisane powyżej modyfikacje
pozwalają zautomatyzować filtrowanie zarażonych wiadomości przez filtrowanie wiadomości e-mail z określonym
tematem (jeśli program poczty e-mail obsługuje tę opcję) do osobnego folderu.
UWAGA: Dodając szablon do tematu wiadomości, można również używać zmiennych systemowych.
3.2.4 Wyłączenia automatyczne
Twórcy aplikacji i systemów operacyjnych przeznaczonych do serwerów zalecają w przypadku większości swoich
produktów wyłączanie zestawów krytycznych plików i folderów roboczych ze skanowania w poszukiwaniu
wirusów. Skanowanie w poszukiwaniu wirusów może mieć niekorzystny wpływ na wydajność serwera, prowadzić
do konfliktów, a nawet przeszkadzać niektórym aplikacjom w uruchomieniu się na serwerze. Wyłączenia pomagają
ograniczyć do minimum ryzyko potencjalnych konfliktów i zwiększyć ogólną wydajność serwera, gdy jest na nim
uruchomione oprogramowanie antywirusowe.
Program ESET Mail Security wykrywa krytyczne aplikacje serwerowe i pliki serwerowych systemów operacyjnych,
po czym automatycznie dodaje je do listy wyłączeń. Procesy/aplikacje serwerowe dodane do listy można
uaktywniać (domyślnie są właśnie aktywne), zaznaczając odpowiednie pola wyboru lub dezaktywować, usuwając
zaznaczenie. Uzyskuje się w ten sposób następujące efekty:
1) Jeśli wyłączenie aplikacji/systemu operacyjnego pozostanie aktywne, każdy z jej/jego krytycznych plików i
folderów znajdzie się na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona
komputera > Antywirus i antyspyware > Wyłączenia). Przy każdorazowym uruchamianiu serwera system
przeprowadza automatyczne sprawdzenie wyłączeń i przywraca wszystkie wyłączenia, które mogły zostać
usunięte z listy. Jest to zalecane ustawienie w sytuacji, gdy użytkownik chce mieć pewność, że zalecane
37
wyłączenia automatyczne są zawsze aktywne.
2) Jeśli użytkownik zdezaktywuje wyłączenie aplikacji/systemu operacyjnego, jej/jego krytyczne pliki i foldery
pozostaną na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona komputera >
Antywirus i antyspyware > Wyłączenia). Nie będą one jednak automatycznie zaznaczane na liście Wyłączenia
po każdorazowym uruchomieniu serwera (patrz punkt 1 powyżej). To ustawienie jest zalecane dla
zaawansowanych użytkowników, którzy zamierzają usunąć lub zmodyfikować niektóre wyłączenia
standardowe. Aby usunąć wyłączenia z listy bez ponownego uruchamiania serwera, należy skasować je z niej
ręcznie (Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia).
Opisane powyżej ustawienia nie mają wpływu na żadne wyłączenia wprowadzone ręcznie przez użytkownika za
pośrednictwem opcji Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware >
Wyłączenia.
Automatyczne wyłączenia aplikacji/systemów operacyjnych przeznaczonych do serwerów są dobierane zgodnie z
zaleceniami firmy Microsoft. Szczegółowe informacje można znaleźć pod następującymi adresami:
http://support.microsoft.com/kb/822158
http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx
http://technet.microsoft.com/en-us/library/bb332342.aspx
3.3 Ochrona przed spamem
W sekcji Ochrona przed spamem można włączać lub wyłączać ochronę zainstalowanego serwera poczty przed
spamem, konfigurować ustawienia parametrów aparatu oraz ustawienia innych poziomów ochrony.
UWAGA: Baza danych modułu antyspamowego musi być koniecznie regularnie aktualizowana, aby moduł
antyspamowy zapewniał możliwie najlepszą ochronę. W celu umożliwienia prawidłowych regularnych aktualizacji
bazy danych modułu antyspamowego należy zapewnić dostęp produktu ESET Mail Security do pewnych adresów IP
na pewnych portach. Więcej informacji na temat adresów IP i portów, które należy włączyć w zaporze firmy
zewnętrznej, podano w tym artykule KB.
UWAGA: Ponadto kopie dystrybucyjne 91 nie mogą być używane do aktualizacji bazy danych modułu
antyspamowego. Aby aktualizacje bazy danych modułu antyspamowego odbywały się prawidłowo, produkt ESET
Mail Security musi mieć dostęp do adresów IP wymienionych we wcześniej wspomnianym artykule KB. Bez
dostępu do tych adresów IP moduł antyspamowy nie będzie mógł zapewniać najdokładniejszych wyników, a tym
38
samym najlepszej możliwej ochrony.
3.3.1.1 Agent transportu
W tej sekcji można ustawić opcje ochrony przed spamem za pomocą agenta transportu.
UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5.
Po wybraniu opcji Włącz ochronę przed spamem przez agenta transportu można wybrać jedną z poniższych
opcji jako Czynność w odniesieniu do wiadomości zawieraj ących spam:
Zachowaj wiadomość — wiadomość zostanie zachowana, nawet jeśli jest oznaczona jako spam.
Poddaj wiadomość kwarantannie — wiadomość oznaczona jako spam zostanie wysłana do skrzynki pocztowej
kwarantanny.
Usuń wiadomość — wiadomość oznaczona jako spam jest usuwana.
Aby informacja o wyniku spamu wiadomości była dodawana w jej nagłówku, należy włączyć opcję Zapisuj wyniki
spamu w nagłówkach zeskanowanych wiadomości.
Funkcja Użyj białych list serwera Exchange Server, aby automatycznie pomij ać ochronę przed spamem
pozwala na korzystanie przez produkt ESET Mail Security z określonych „białych list” serwera Exchange. Po
włączeniu tej funkcji pod uwagę brane są następujące okoliczności:
Adres IP serwera wysyłającego znajduje się na liście dozwolonych adresów IP serwera Exchange
Odbiorca wiadomości ma ustawioną flagę pomijania ochrony przed spamem w swojej skrzynce pocztowej
Adres nadawcy znajduje się na liście bezpiecznych nadawców u odbiorcy wiadomości (upewnij się, że
skonfigurowano synchronizację listy bezpiecznych nadawców w środowisku serwera Exchange uwzględniającą
agregację bezpiecznych list)
Jeśli w wypadku wiadomości przychodzącej zachodzi dowolna z powyższych okoliczności, sprawdzanie tej
wiadomości modułem antyspamowym zostanie pominięte, wiadomość nie zostanie oceniona jako SPAM i zostanie
dostarczona do skrzynki pocztowej odbiorcy.
Opcja Akceptuj flagę pomij ania ochrony przed spamem ustawioną w sesj i SMTP jest przydatna, gdy istnieją
uwierzytelnione sesje SMTP pomiędzy serwerami Exchange z ustawionym pomijaniem modułu antyspamowego.
Na przykład w przypadku posiadania serwerów w rolach Granica i Centrum nie ma potrzeby skanowania modułem
antyspamowym ruchu pomiędzy nimi. Opcja Akceptuj flagę pomij ania ochrony przed spamem ustawioną w
39
sesj i SMTP jest domyślnie włączona, a stosowana wtedy, gdy flaga pomijania modułu antyspamowego jest
skonfigurowana w sesji SMTP na serwerze Exchange. Po wyłączeniu opcji Akceptuj flagę pomij ania ochrony
przed spamem ustawioną w sesj i SMTP przez wyczyszczenie pola wyboru produkt ESET Mail Security skanuje
sesje SMTP w poszukiwaniu spamu bez względu na ustawienie omijania modułu antyspamowego na serwerze
Exchange.
Funkcja Włącz szarą listę aktywuje ochronę użytkowników przed spamem za pomocą następującej techniki:
Agent transportu wysyła zwracaną wartość serwera SMTP „tymczasowo odrzucono” (wartość domyślna to
451/4.7.1) w odpowiedzi na każdą wiadomość e-mail od nadawcy, którego nie rozpoznaje. Wiarygodny serwer
próbuje ponownie wysłać wiadomość po upływie określonego czasu. Serwery wysyłające spam zazwyczaj nie
próbują ponownie dostarczać wiadomości, ponieważ jednocześnie wysyłają je na tysiące adresów i nie mogą
poświęcać dodatkowego czasu na ponowne dostarczanie. Szara lista to dodatkowy sposób ochrony przed
spamem. Nie wpływa ona w żaden sposób na metodę oceniania spamu przez moduł ochrony przed spamem.
Podczas oceniania źródła wiadomości metoda sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowane
adresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypass
skrzynki pocztowej odbiorcy. Wiadomości e-mail wysyłane z tych adresów IP bądź przez nadawców z listy oraz
wiadomości dostarczane do skrzynki pocztowej, w której włączono opcję AntispamBypass, są pomijane przez
metodę wykrywania spamu za pomocą szarej listy.
W polu Odpowiedź z usługi SMTP dla tymczasowo odrzuconych połączeń określona jest tymczasowa
odpowiedź o odrzuceniu wysyłana do serwera SMTP w przypadku odrzucenia wiadomości.
Przykładowa odpowiedź serwera SMTP:
Podstawowy kod
odpowiedzi
Uzupełniaj ący kod stanu
Opis
451
4.7.1
Przerwano żądaną czynność: błąd lokalny podczas
przetwarzania
Ostrzeżenie: Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może powodować błędne działanie ochrony
za pomocą szarej listy. W wyniku tego do programu mogą docierać wiadomości będące spamem lub też
wiadomości mogą w ogóle nie być dostarczane.
Limit czasu dla początkowego odrzucania połączeń (w minutach) — gdy wiadomość jest dostarczana po raz
pierwszy i zostanie tymczasowo odrzucona, ten parametr definiuje okres, w którym wiadomość zawsze zostanie
odrzucona (mierzony od momentu pierwszego odrzucenia). Po upływie określonego czasu wiadomość jest
pomyślnie odbierana. Minimalna dozwolona wartość to 1 minuta.
Okres ważności niezweryfikowanych połączeń (w godzinach) — ten parametr definiuje minimalny czas, przez
który będą przechowywane dane trójki. Prawidłowo działający serwer musi wysłać ponownie żądaną wiadomość
przed upływem tego czasu. Ta wartość musi być większa niż wartość Limit czasu dla początkowego odrzucania
połączeń.
Okres ważności zweryfikowanych połączeń (w dniach) — minimalna liczba dni, przez które są przechowywane
informacje trójki. W tym czasie wiadomości e-mail od określonego nadawcy są odbierane bez opóźnień. Ta wartość
musi być większa niż wartość Okres ważności niezweryfikowanych połączeń.
UWAGA: Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocą
zmiennych systemu.
3.3.1.2 Rozwiązanie POP3 Connector i ochrona przed spamem
Wersje dla systemów Microsoft Windows Small Business Server (SBS) zawierają rozwiązanie POP3 Connector,
które umożliwia pobieranie przez serwer wiadomości e-mail z zewnętrznych serwerów POP3. Sposób wdrożenia
tego „standardowego” rozwiązania POP3 Connector różni się w poszczególnych wersjach systemów SBS.
ESET Mail Security obsługuje rozwiązanie Microsoft SBS POP3 Connector w systemie SBS 2008, a wiadomości
pobrane za pomocą tego rozwiązania POP3 Connector są skanowane pod kątem obecności spamu. To rozwiązanie
działa, ponieważ wiadomości są transportowane na serwer Microsoft Exchange za pośrednictwem protokołu
SMTP. Jednak rozwiązanie Microsoft SBS POP3 Connector w systemie SBS 2003 nie jest obsługiwane przez ESET
Mail Security, w związku z czym wiadomości nie są skanowane pod kątem spamu. Dzieje się tak, ponieważ
wiadomości w rzeczywistości nie trafiają do kolejki serwera SMTP.
Istnieje również wiele rozwiązań POP3 Connector innych firm. To, czy wiadomości pobrane za pomocą danego
40
rozwiązania POP3 Connector są skanowane pod kątem spamu czy nie zależy od konkretnej metody stosowanej
przez rozwiązanie POP Connector do pobierania wiadomości. Na przykład rozwiązanie GFI POP2Exchange
transportuje wiadomości poprzez serwer odbiorczy, w związku z czym nie są skanowane pod kątem spamu.
Podobne problemy mogą występować w przypadku produktów, które transportują wiadomości w ramach sesji
uwierzytelnionej (np. IGetMail), a także gdy serwer Microsoft Exchange oznacza wiadomości jako wewnętrzne,
ponieważ wówczas domyślnie pomijana jest ochrona przed spamem. To ustawienie można zmienić w pliku
konfiguracyjnym. Należy wyeksportować konfigurację do pliku xml, zmienić wartość ustawienia
AgentASScanSecureZone na "1" i ponownie zaimportować konfigurację (szczegółowe informacje na temat
importowania i eksportowania pliku konfiguracji można znaleźć w rozdziale Import i eksport ustawień 131 ). Można
również spróbować wyłączyć ustawienie Akceptuj flagę pomij ania ochrony przed spamem ustawioną w sesj i
SMTP w drzewie ustawień zaawansowanych dostępnym po naciśnięciu klawisza F5, w ustawieniach Ochrona
serwera > Ochrona przed spamem > Microsoft Exchange Server > Agent transportu. Wówczas program ESET
Mail Security będzie skanować sesję SMTP pod kątem spamu niezależnie od ustawienia pomijającego ochronę
przed spamem na serwerze Exchange.
3.3.2 Aparat antyspamowy
W tej sekcji można skonfigurować parametry Aparatu antyspamowego. Aby to zrobić, należy kliknąć przycisk
Ustawienia... Zostanie otwarte okno, w którym można konfigurować parametry aparatu antyspamowego.
Klasyfikacj a wiadomości
Aparat antyspamowy programu ESET Mail Security przypisuje do każdej zeskanowanej wiadomości wynik spamu
od 0 do 100. Zmieniając w tej sekcji limity wyników spamu, można wpływać na następujące kwestie:
1) Klasyfikowanie wiadomości jako spam lub nie spam. Wszystkie wiadomości, których wynik spamu jest taki sam
jak wartość Wynik spamu powoduj ący uznanie wiadomości za spam lub wyższy, są uznawane za spam.
Powoduje to stosowanie wobec tych wiadomości czynności określonych w Agencie transportu 39 .
2) Rejestrowanie wiadomości w dzienniku ochrony przed spamem 98 (Narzędzia > Pliki dziennika > Ochrona
przed spamem). Wszystkie wiadomości, których wynik spamu jest taki sam jak wartość Próg wyniku spamu,
przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca spam lub prawdopodobnie
czysta lub wyższy od niej, są rejestrowane w dzienniku.
3) Sekcja statystyki antyspamowej, do które będą zaliczane omawiane wiadomości (Stan ochrony > Statystyki >
Ochrona serwera poczty e-mail przed spamem):
Wiadomości uznane za spam — wynik spamu wiadomości jest taki sam jak wartość Wynik spamu powoduj ący
uznanie wiadomości za spam lub wyższy.
Wiadomości uznane za prawdopodobny spam — wynik spamu wiadomości jest taki sam jak wartość Próg
wyniku spamu, przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca spam lub
prawdopodobnie czysta lub wyższy.
Wiadomości uznane za prawdopodobne pożądane wiadomości — wynik spamu wiadomości jest niższy niż
wartość Próg wyniku spamu, przy którym wiadomość będzie traktowana j ako prawdopodobnie zawieraj ąca
spam lub prawdopodobnie czysta.
Wiadomości uznane za pożądane wiadomości — wynik spamu wiadomości jest taki sam jak wartość Wynik
spamu powoduj ący uznanie wiadomości za niezawieraj ącą spamu lub niższy.
3.3.2.1 Ustawienia parametrów aparatu antyspamowego
3.3.2.1.1 Analiza
W tej sekcji można skonfigurować sposób analizy wiadomości pod kątem spamu oraz sposób ich późniejszego
przetwarzania.
Skanuj załączniki wiadomości — ta opcja pozwala wybrać, czy aparat antyspamowy ma skanować i brać pod
uwagę załączniki podczas obliczania wyniku spamu.
Używaj obu sekcj i MIME — aparat antyspamowy będzie analizował obie sekcje MIME wiadomości (text/plain i
text/html). Jeśli wymagana jest zwiększona wydajność, można analizować tylko jedną sekcję. Jeśli ta opcja nie jest
zaznaczona (jest wyłączona), analizowana jest tylko jedna sekcja.
Rozmiar pamięci na obliczenie wyniku (w baj tach): — ta opcja instruuje aparat antyspamowy, aby podczas
41
przetwarzania reguł nie czytał z bufora wiadomości większej liczby bajtów niż określona.
Rozmiar pamięci na obliczenie próbki (w baj tach): — ta opcja instruuje aparat antyspamowy, aby podczas
obliczania sygnatury wiadomości nie czytał większej liczby bajtów niż zdefiniowana. Przydaje się to do
otrzymywania spójnych sygnatur.
Użyj pamięci podręcznej LegitRepute — włącza używanie pamięci podręcznej LegitRepute, aby redukować
fałszywe alarmy, szczególnie w przypadku biuletynów.
Konwertuj do zestawu znaków UNICODE — poprawia dokładność i wydajność w przypadku treści wiadomości
zakodowanych w Unicode, szczególnie w przypadku języków z kodami dwubajtowymi, przez konwersję
wiadomości na pojedyncze bajty.
Użyj pamięci podręcznej domeny — pozwala na użycie pamięci podręcznej reputacji domeny. Jeśli ta opcja jest
włączona, domeny są wyodrębniane z wiadomości i porównywane z pamięcią podręczną reputacji domen.
3.3.2.1.1.1 Próbki
Użyj pamięci podręcznej — włącza korzystanie z pomięci podręcznej sygnatur (opcja domyślnie włączona).
Włącz MSF — pozwala na użycie alternatywnego algorytmu sygnatur, znanego jako MSF. Gdy ta opcja jest
włączona, można określić następujące limity i progi:
Liczba wiadomości tworzących wiadomość zbiorczą: — ta opcja określa, ile podobnych wiadomości jest
wymaganych, aby zostały uznane za wiadomość zbiorczą.
Częstotliwość czyszczenia pamięci podręcznej : — ta opcja określa wewnętrzną zmienną, która wyznacza
częstotliwość przycinania bufora MSC w pamięci.
Czułość zgodności dwóch próbek: — ta opcja wyznacza procentowy próg dopasowania dwóch sygnatur. Jeżeli
wartość procentowa dopasowania jest wyższa od tego progu, wiadomości są uznawane za takie same.
Liczba próbek przechowywanych w pamięci: — ta opcja określa liczbę sygnatur MSF do przechowywania w
pamięci. Im większa liczba, tym większe użycie pamięci, ale wyższa dokładność.
3.3.2.1.1.2 SpamCompiler
Włącz usługę SpamCompiler — przyśpiesza przetwarzanie reguł, ale używa nieco więcej pamięci.
Preferowana wersj a: — określa, która wersja usługi SpamCompiler będzie używana. Gdy opcja jest ustawiona na
Automatycznie, aparat antyspamowy wybierze najlepszą wersję modułu.
Używaj pamięci podręcznej — jeśli ta opcja jest włączona, usługa SpamCompiler zapisuje skompilowane dane na
dysk zamiast do pamięci, co zmniejsza jej użycie.
Lista plików w pamięci podręcznej : — ta opcja określa, które pliki reguł są kompilowane na dysk zamiast do
pamięci.
Można określić indeksy plików reguł, które będą przechowywane w pamięci podręcznej na dysku. Do zarządzania
indeksami plików reguł służą przyciski:
Dodaj ...
Edytuj ...
Usuń
UWAGA: Dozwolonymi znakami są tylko cyfry.
42
3.3.2.1.2 Szkolenie
Uruchom szkolenie w zakresie wyniku sygnatury wiadomości — włącza szkolenie w zakresie przesunięcia
wyniku sygnatur.
Używaj słów szkoleniowych — ta opcja określa, czy używana jest analiza subiektywnego prawdopodobieństwa
znacznika tekstu. Może ona znacznie poprawić dokładność, ale wiąże się z większym użyciem pamięci i nieco
mniejszą wydajnością.
Liczba słów w pamięci podręcznej : — ta opcja określa liczbę znaczników tekstu, które są zapisywane w pamięci
podręcznej w dowolnym momencie. Im większa liczba, tym większe użycie pamięci, ale wyższa dokładność. Aby
wprowadzić wartość, należy najpierw włączyć opcję Używaj słów szkoleniowych.
Używaj szkoleniowej bazy danych tylko do odczytu: — ta opcja określa, czy słowo, reguła lub szkoleniowe bazy
danych sygnatur mogą być modyfikowane po wstępnym załadowaniu, czy są tylko do odczytu. Baza szkoleniowa
tylko do odczytu to szybsze rozwiązanie.
Czułość automatycznego szkolenia: — ustawia próg automatycznego szkolenia. Jeśli wynik wiadomości jest
nie niższy od górnego progu, jest ona traktowana jako niewątpliwie zawierająca spam. Następnie używa się jej,
aby wyszkolić wszystkie aktywne moduły bayesowskie (reguły i/lub słowo) z wyjątkiem nadawcy i sygnatury.
Jeśli wynik wiadomości jest nie wyższy od dolnego progu, jest ona traktowana jako niewątpliwie zawierająca
pseudospam. Następnie używa się jej, aby wyszkolić wszystkie aktywne moduły bayesowskie (reguły i/lub słowo)
z wyjątkiem nadawcy i sygnatury. Aby wprowadzić wysoką lub niską wartość progu, należy najpierw włączyć
opcję Używaj szkoleniowej bazy danych tylko do odczytu: .
Minimalna ilość danych szkoleniowych: — początkowo do obliczania wyniku spamu używa się tylko wag reguł.
Po osiągnięciu minimalnej ilości danych szkoleniowych dane szkoleniowe zasad/słów zastępują wagi reguł.
Domyślna wartość minimalna wynosi 100. Oznacza to, że zanim dane szkoleniowe zastąpią wagi reguły, musi
zostać zanalizowanych co najmniej 100 równorzędnych wiadomości niebędących spamem oraz 100
równorzędnych wiadomości, które są spamem, co razem daje 200 wiadomości. Jeśli wartość jest zbyt niska,
dokładność może być niewielka z powodu niewystarczającej ilości danych. Jeśli wartość jest zbyt wysoka, dane
szkoleniowe nie zostaną efektywnie wykorzystane. Jeśli wartość wynosi 0, wagi reguł będą stale ignorowane.
Używaj tylko danych szkoleniowych — określa, czy przypisać danym szkoleniowym pełną wagę. Jeśli ta opcja jest
włączona, obliczanie wyniku będzie się opierało wyłącznie na danych szkoleniowych. Jeśli ta opcja jest wyłączona
(odznaczona), użyte zostaną zarówno reguły, jak i dane szkoleniowe.
Liczba skanowanych wiadomości przed zapisaniem ich na dysku: — w czasie szkolenia aparat antyspamowy
będzie przetwarzał konfigurowalną liczbę wiadomości, zanim szkoleniowa baza danych zostanie zapisana na
dysku. Ta opcja określa, ile wiadomości ma zostać przetworzonych przed zapisaniem na dysku. Aby osiągnąć
maksymalną wydajność, należy określić jak największą liczbę. W rzadkich przypadkach, gdy nastąpi nieoczekiwane
zamknięcie programu przed zapisaniem na dysku danych z bufora, dane szkolenia przeprowadzonego po ostatnim
zapisie zostaną utracone. Dane z bufora są zapisywane na dysku przy prawidłowym zamknięciu programu.
Używaj danych kraj ów na potrzeby szkolenia — określa, czy krajowe informacje trasowania powinny być brane
pod uwagę podczas szkolenia i oceniania wiadomości.
3.3.2.1.3 Reguły
Używaj reguł — ta opcja określa, czy używane są wolniejsze reguły heurystyczne. Można znacznie poprawić
dokładność, ale wiąże się to z większym użyciem pamięci i mniejszą wydajnością.
Używaj rozszerzonego zestawu reguł — włącza rozszerzony zestaw reguł.
Używaj drugiego rozszerzonego zestawu reguł — włącza drugie rozszerzenie zestawu reguł.
Waga reguły: — ta opcja pozwala zastąpić wagi przypisane poszczególnym regułom.
Lista pobranych plików reguł: — ta opcja określa, które pliki reguł są pobierane.
Waga kategorii: — pozwala użytkownikowi końcowemu na dostosowanie wag kategorii używanych w sc18 oraz
plikach znajdujących się na liście reguł niestandardowych. Kategoria: nazwa kategorii, aktualnie ograniczona do
SPAM, PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD oraz REPLY. W tym polu nie jest rozróżniana wielkość
liter. Wynik: dowolna liczba całkowita albo kategoria BLOCK lub APPROVE. Waga reguł pasujących do
odpowiadającej kategorii zostanie pomnożona przez czynnik skali w celu uzyskania nowej obowiązującej wagi.
Lista reguł niestandardowych: — pozwala użytkownikowi na określenie listy reguł niestandardowych (czyli słów/
fraz takich jak spam, pseudospam lub phishing). Pliki reguł niestandardowych zawierają frazy wyświetlone w
oddzielnych wierszach w następującym formacie: phrase, type, confidence, caseSensitivity. Frazą może być
43
dowolny tekst niezawierający przecinków. Należy usunąć wszystkie przecinki występujące we frazie. Można
wybrać jeden z typów: SPAM, PHISH, BOUNCE, ADULT lub FRAUD. Jeśli określony zostanie typ inny niż
wymienione powyżej, kategoria TYPE jest automatycznie traktowana jako SPAM. Kategoria Confidence może mieć
wartość od 1 do 100. Jeśli określono typ SPAM, wartość 100 oznacza większe prawdopodobieństwo spamu. Jeśli
określono typ PHISH, wartość 100 oznacza większe prawdopodobieństwo ataku typu „phishing”. Jeśli określono
typ BOUNCE, wartość 100 oznacza większe prawdopodobieństwo, że fraza odnosi się do zwróceń. Wyższe
prawdopodobieństwo może mieć wpływ na ostateczny wynik. Wartość wynosząca 100 to przypadek szczególny.
Jeśli określono typ SPAM, wartość 100 przypisze wiadomości wynik 100. Jeśli określono typ PHISH, wartość 100
przypisze wiadomości wynik 100. Jeśli określono typ BOUNCE, wartość 100 przypisze wiadomości wynik 100. Jak
zwykle, biała lista zastępuje czarną. Wartość caseSensitivity wynosząca 1 oznacza, że we frazie będzie rozróżniana
wielkość liter. Wartość 0 oznacza, że we frazie nie będzie rozróżniana wielkość liter. Przykłady:
spamowanie jest fajne, SPAM, 100,0
phishing jest fajny, PHISH, 90,1
zwrot do nadawcy, BOUNCE, 80,0
Pierwszy wiersz oznacza, że wszystkie wariacje frazy „spamowanie jest fajne" są postrzegane jako SPAM z
prawdopodobieństwem wynoszącym 100. Wielkość liter we frazie nie jest rozróżniana. Drugi wiersz oznacza, że
wszystkie wariacje frazy „phishing jest fajny" są postrzegane jako PHISH z prawdopodobieństwem wynoszącym 90.
Wielkość liter we frazie jest rozróżniana. Trzeci wiersz oznacza, że wszystkie wariacje frazy „zwrot do nadawcy" są
postrzegane jako BOUNCE z prawdopodobieństwem wynoszącym 80. Wielkość liter we frazie nie jest rozróżniana.
Wyczyść starsze reguły po aktualizacj i — domyślnie aparat antyspamowy wyczyści pliki starszej reguły
znajdujące się w katalogu konfiguracyjnym, gdy nowy plik zostanie pobrany z sieci SpamCatcher. Niektórzy
użytkownicy aparatu antyspamowego mogą chcieć zachować starsze pliki reguł. Można to zrobić, wyłączając
funkcję czyszczenia.
Wyświetl powiadomienie po udanej aktualizacj i reguł —
3.3.2.1.3.1 Waga reguły
Można określić indeksy plików reguł i ich wagi. W celu dodania wagi reguły należy nacisnąć przycisk Dodaj .... Do
modyfikacji istniejącej wagi służy przycisk Edytuj .... Aby usunąć wagę, należy nacisnąć przycisk Usuń.
Należy określić wartości Indeks: i Waga: .
3.3.2.1.3.2 Lista pobranych plików reguł
Można określić indeksy plików reguł, które powinny zostać pobrane na dysk. Do zarządzania indeksami plików
reguł służą przyciski Dodaj , Edytuj i Usuń.
3.3.2.1.3.3 Waga kategorii
Można określić kategorie reguł i ich wagi. Do zarządzania kategoriami i ich wagami służą przyciski Dodaj ...,
Edytuj ... i Usuń.
Aby dodać wagę kategorii, należy wybrać z listy Kategoria: kategorię. Dostępne są następujące kategorie:
SPAM
Ataki typu „phishing”
Raport o niedostarczeniu
Wiadomości o treści dla dorosłych
Wiadomości spreparowane
Wiadomości puste
Wiadomości przekazywane
Wiadomości z odpowiedziami
Następnie należy wybrać czynność:
Zezwól
Blokuj
Waga:
44
3.3.2.1.3.4 Lista reguł niestandardowych
Możliwe jest używanie plików reguł niestandardowych, które zawierają frazy. Są to ogólnie pliki .txt, a szczegółowe
informacje oraz format fraz można znaleźć w temacie Reguły 43 (sekcja Lista reguł niestandardowych).
Aby użyć pliki zawierające reguły niestandardowe, które będą używane podczas analizy wiadomości, należy
umieścić je w następującej lokalizacji:
w przypadku systemu Windows Server 2008 i nowszych ścieżka to:
C:\ProgramData\ESET\ESET Mail Security\ServerAntispam
w przypadku systemu Windows Server 2003 i starszych ścieżka to:
C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam
W celu załadowania plików należy nacisnąć przycisk ... (przeglądanie), przejść do wspomnianej wyżej lokalizacji i
wybrać plik tekstowy (*.txt). Do zarządzania listą reguł niestandardowych służą przyciski Dodaj , Edytuj i Usuń.
UWAGA: Plik .txt zawierający reguły niestandardowe należy umieścić w folderze ServerAntispam, gdyż w
przeciwnym wypadku ten plik nie zostanie załadowany.
3.3.2.1.4 Filtrowanie
W tej sekcji można skonfigurować listy elementów dozwolonych, zablokowanych i ignorowanych, określając takie
kryteria, jak adres lub zakres IP, nazwa domeny, adres e-mail itp. Aby dodać, zmodyfikować lub usunąć kryterium,
wystarczy po prostu przejść do listy, którą chce się zarządzać, i kliknąć odpowiedni przycisk.
3.3.2.1.4.1 Dozwoleni nadawcy
Biała lista nadawców i domen może zawierać adresy e-mail i domeny. Adresy są wpisywane w formacie
„skrzynka@domena”, a domeny po prostu w formacie „domena”.
UWAGA: Początkowe i końcowe znaki odstępu są ignorowane, wyrażenia regularne nie są obsługiwane, a
gwiazdka „*” jest też ignorowana.
3.3.2.1.4.2 Zablokowani nadawcy
Czarna lista nadawców i domen może zawierać adresy e-mail i domeny. Adresy są wpisywane w formacie
„skrzynka@domena”, a domeny po prostu w formacie „domena”.
UWAGA: Początkowe i końcowe znaki odstępu są ignorowane, wyrażenia regularne nie są obsługiwane, a
gwiazdka „*” jest też ignorowana.
3.3.2.1.4.3 Dozwolone adresy IP
Ta opcja pozwala na określenie adresów IP, które powinny być dozwolone. Zakresy można określać na trzy
sposoby:
a) początkowy adres IP–końcowy adres IP
b) Adres IP i maska sieciowa
c) Adres IP
Jeżeli pierwszy nieignorowany adres IP w nagłówkach Received: pasuje do dowolnego adresu z tej listy, wiadomość
otrzymuje wynik 0 i nie są przeprowadzane żadne inne testy.
45
3.3.2.1.4.4 Ignorowane adresy IP
Ta opcja pozwala na określenie adresów IP, które powinny być ignorowane podczas testów RBL. Bezwarunkowo
zawsze są ignorowane następujące adresy:
10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0
Zakresy można określać na trzy sposoby:
c) Adres IP
3.3.2.1.4.5 Zablokowane adresy IP
Ta opcja pozwala na określenie adresów IP, które powinny być zablokowane. Zakresy można określać na trzy
sposoby:
c) Adres IP
Jeżeli dowolny adres IP w nagłówkach Received: pasuje do dowolnego adresu z tej listy, wiadomość otrzymuje
wynik 100 i nie są przeprowadzane żadne inne testy.
3.3.2.1.4.6 Domeny dozwolone
Ta opcja pozwala na określenie zawartych w treści domen i adresów IP, które powinny być zawsze dozwolone.
3.3.2.1.4.7 Domeny ignorowane
Ta opcja pozwala na określenie zawartych w treści domen, które powinny być zawsze wyłączone z testów DNSBL i
ignorowane.
3.3.2.1.4.8 Domeny zablokowane
Ta opcja pozwala na określenie zawartych w treści domen i adresów IP, które powinny być zawsze zablokowane.
3.3.2.1.4.9 Sfałszowani nadawcy
Pozwala blokować nadawców spamu, którzy fałszują nazwę domeny użytkownika i innych domen. Przykładowo,
nadawcy spamu często używają nazwy domeny odbiorcy w polu Od:. Ta lista pozwala określić, które serwery
poczty elektronicznej mogą używać określonych nazw domen w polu Od:.
3.3.2.1.5 Weryfikacj a
Weryfikacja jest dodatkową funkcją ochrony przed spamem. Pozwala ona na weryfikowanie wiadomości przez
zewnętrzne serwery, zgodnie ze zdefiniowanymi kryteriami. Wybierz listę na drzewie konfiguracji, aby
skonfigurować kryteria weryfikacji. Listy zostały wymienione poniżej:
Lista RBL (Realtime Blackhole List)
Lista LBL (Last Blackhole List)
Lista DNSBL (DNS Blocklist)
46
3.3.2.1.5.1 Lista RBL (Realtime Blackhole List)
Serwery RBL: — określa listę serwerów RBL (Realtime Blackhole List) do odpytywania podczas analizowania
wiadomości. Więcej informacji można znaleźć w temacie dotyczącym listy RBL w niniejszym dokumencie.
Czułość weryfikacj i z użyciem listy RBL: — ponieważ testy RBL mogą wprowadzać opóźnienie i spadek
wydajności, ta opcja pozwala przeprowadzać je warunkowo, w zależności od wyniku przed testem RBL. Jeżeli
wynik jest większy niż górna wartość, odpytywane są tylko te serwery RBL, które mogą przynieść wynik poniżej
górnej wartości. Jeżeli wynik jest mniejszy niż dolna wartość, odpytywane są tylko te serwery RBL, które mogą
przynieść wynik powyżej dolnej wartości. Jeżeli wynik jest ze środkowego zakresu, odpytywane są wszystkie
serwery RBL.
Limit wykonywania żądań listy RBL (w sekundach): — ta opcja pozwala na określenie maksymalnego limitu
czasu do zakończenia wszystkich zapytań RBL. Stosowane są tylko odpowiedzi RBL od tych serwerów RBL, które
odpowiedzą na czas. Jeżeli wartość wynosi „0”, nie jest wymuszany żaden limit.
Maksymalna liczba adresów zweryfikowanych z użyciem listy RBL: — ta opcja pozwala na ograniczenie liczby
adresów IP, które są odpytywane względem serwera RBL. Należy zauważyć, że całkowita liczba zapytań RBL to
liczba adresów IP w nagłówkach Received: (nie większa od maksymalnej liczby adresów IP sprawdzanych
względem RBL) pomnożona przez liczbę serwerów RBL określonych na liście RBL. Jeśli wartość wynosi „0”,
sprawdzana jest nieograniczona liczba otrzymanych nagłówków. Należy zauważyć, że adresy IP, które pasują do
opcji listy ignorowanych adresów IP, nie wliczają się do limitu adresów IP listy RBL.
Do zarządzania listą służą przyciski Dodaj ..., Edytuj ... i Usuń.
Lista składa się z trzech kolumn:
Adres
Odpowiedź
Wynik
3.3.2.1.5.2 Lista LBL (Last Blackhole List)
Serwery LBL: — adres IP ostatniego połączenia jest odpytywany względem serwera LBL. Można określić inne
wyszukiwane DNS dla ostatniego przychodzącego połączenia IP. W przypadku ostatniego przychodzącego
połączenia IP zamiast listy RBL jest odpytywana lista LBL. W przeciwnym wypadku opcje listy RBL, takie jak próg
RBL, są stosowane także do listy LBL.
Adresy IP nieweryfikowane z użyciem listy LBL: — jeżeli ostatni połączony adres IP pasuje do adresu IP z listy, ten
adres IP jest odpytywany względem serwerów RBL zamiast serwerów LBL.
Adres
Odpowiedź
Wynik
Tutaj można określić adresy IP, które nie będą sprawdzane względem listy LBL. Do zarządzania listą adresów służą
przyciski Dodaj ..., Edytuj ... i Usuń.
3.3.2.1.5.3 Lista DNSBL (DNS Block List)
Serwery DNSBL: — określa listę serwerów DNSBL (DNS Blocklist) odpytywanych o domeny i adresy IP uzyskane z
treści wiadomości.
Czułość weryfikacj i z użyciem listy DNSBL: — jeżeli wynik jest większy niż górna wartość, odpytywane są tylko te
serwery DNSBL, które mogą zwrócić wynik poniżej górnej wartości. Jeżeli wynik jest mniejszy niż dolna wartość,
odpytywane są tylko te serwery DNSBL, które mogą zwrócić wynik powyżej dolnej wartości. Jeżeli wynik jest ze
środkowego zakresu, odpytywane są wszystkie serwery DNSBL.
Limit wykonywania żądań listy DNSBL (w sekundach): — pozwala na określenie maksymalnego limitu czasu do
zakończenia wszystkich zapytań DNSBL.
Maksymalna liczba domen zweryfikowanych z użyciem listy DNSBL: — pozwala na ograniczenie liczby domen i
47
adresów IP odpytywanych względem serwera DNS Blocklist.
Adres
Odpowiedź
Wynik
3.3.2.1.6 DNS
Użyj pamięci podręcznej — włącza buforowanie wewnętrzne żądań DNS.
Liczba żądań DNS przechowywanych w pamięci: — ogranicza liczbę wpisów w wewnętrznej pamięci podręcznej
DNS.
Zapisz pamięć podręczną na dysku — jeśli ta opcja jest włączona, pamięć podręczna DNS będzie zapisywać wpisy
na dysku przy wyłączaniu i odczytywać je z dysku podczas inicjowania.
Adres serwera DNS: — teraz można jawnie określić serwery DNS, aby nadpisać domyślne.
Bezpośredni dostęp do DNS: — gdy ta opcja ma wartość Tak, a serwer DNS nie jest określony, aparat
antyspamowy będzie kierował żądania LiveFeed bezpośrednio do serwerów LiveFeed. Ta opcja jest ignorowana,
jeżeli określony jest serwer DNS, ponieważ ma on pierwszeństwo. Ta opcja powinna mieć wartość Tak, jeśli
bezpośrednie żądania są bardziej wydajne niż domyślne serwery DNS.
Okres przechowywania żądań DNS (w sekundach): — ta opcja pozwala na określenie minimalnej wartości TTL
dla wpisów w wewnętrznej pamięci podręcznej DNS aparatu antyspamowego. Ta opcja jest określana w
sekundach. W przypadku odpowiedzi DNS o wartości TTL mniejszej niż określona minimalna wartość TTL pamięć
podręczna aparatu antyspamowego będzie używać określonej wartości TTL zamiast wartości TTL z odpowiedzi
DNS.
3.3.2.1.7 Wynik
Włącz historię wyników — włącza śledzenie poprzednich wyników dla powtarzających się nadawców.
Zatrzymaj analizę, gdy próg wyniku spamu zostanie przekroczony — ta opcja pozwala użytkownikowi na
skonfigurowanie aparatu antyspamowego tak, aby przerywał analizę wiadomości w momencie osiągnięcia danego
wyniku. Liczba reguł i innych procedur sprawdzania może się zmniejszyć, zwiększając wydajność.
Używaj przyśpieszonej analizy, zanim próg wyniku niezarażonej wiadomości zostanie osiągnięty — ta opcja
pozwala skonfigurować aparat antyspamowy tak, aby pomijał procedury sprawdzające wolnej reguły, jeśli istnieje
prawdopodobieństwo, że wiadomość jest pseudospamem.
Klasyfikacj a wiadomości
Wartość wyniku, od j akiej wiadomość zostaj e uznana za SPAM: — aparat antyspamowy przypisuje
sprawdzonej wiadomości wynik od 0 do 100. Określenie progów wyniku ma wpływ na to, które wiadomości są
uznawane za SPAM, a które nie. Po wprowadzeniu nieprawidłowych wartości skuteczność aparatu
antyspamowego może się pogorszyć.
Próg wyniku, od którego wiadomość j est traktowana j ako prawdopodobnie zawieraj ąca SPAM lub
prawdopodobnie czysta: — aparat antyspamowy przypisuje sprawdzonej wiadomości wynik od 0 do 100.
Określenie progów wyniku ma wpływ na to, które wiadomości są uznawane za SPAM, a które nie. Po
wprowadzeniu nieprawidłowych wartości skuteczność aparatu antyspamowego może się pogorszyć.
Wartość wyniku, do której wiadomość zostaj e uznana za j ednoznacznie czystą: — aparat antyspamowy
przypisuje sprawdzonej wiadomości wynik od 0 do 100. Określenie progów wyniku ma wpływ na to, które
wiadomości są uznawane za SPAM, a które nie. Po wprowadzeniu nieprawidłowych wartości skuteczność
aparatu antyspamowego może się pogorszyć.
48
3.3.2.1.8 Wabik na spam
Adresy spamu: — jeśli adres RCPT TO: z koperty serwera SMTP zgadza się z adresem e-mail na tej liście, plik
statystyki zapisze tokeny w wiadomości e-mail jako wysyłane na adres wabika. Adresy muszą być w pełni zgodne,
wielkość liter jest ignorowana. Symbole wieloznaczne nie są obsługiwane.
Adresy uznane za nieistniej ące: — jeśli adres RCPT TO: z koperty serwera SMTP zgadza się z adresem e-mail na tej
liście, plik statystyki zapisze tokeny w wiadomości e-mail jako wysyłane na nieistniejący adres. Adresy muszą być w
pełni zgodne, wielkość liter jest ignorowana. Symbole wieloznaczne nie są obsługiwane.
3.3.2.1.8.1 Adresy wabika na spam
Można określić adresy e-mail, które będą jedynie otrzymywać spam. W celu dodania adresu e-mail należy wpisać
go w standardowym formacie i nacisnąć przycisk Dodaj . Do modyfikacji istniejącego adresu e-mail służy przycisk
Edytuj . Aby usunąć adres, należy nacisnąć przycisk Usuń.
3.3.2.1.8.2 Adresy uznane za nieistniej ące
Można określić adresy e-mail, które będą wyglądać na zewnątrz jak nieistniejące. W celu dodania adresu e-mail
należy wpisać go w standardowym formacie i nacisnąć przycisk Dodaj . Do modyfikacji istniejącego adresu e-mail
służy przycisk Edytuj . Aby usunąć adres, należy nacisnąć przycisk Usuń.
3.3.2.1.9 Komunikacj a
Czas trwania poj edynczego żądania SpamLabs (w sekundach): — limit trwania pojedynczego żądania do
ochrony przed spamem SpamLabs. Wartość jest określana w pełnych sekundach. Wartość „0” wyłącza tę funkcję i
nie jest stosowany żaden limit.
Użyj protokołu v.4x: — komunikacja z ochroną przed spamem SpamLabs w celu wyznaczenia wyniku odbywa się
przez stary, wolniejszy protokół v4.x. Jeśli ta opcja ma wartość Automatycznie, aparat antyspamowy będzie
automatycznie używał funkcji netcheck jako rozwiązania awaryjnego do zapytań LiveFeed.
Zakres użycia protokołu v4.x: — ponieważ sieci mogą wprowadzać opóźnienie i spadek wydajności, ta opcja
pozwala na przeprowadzania testów sieciowych warunkowo, w zależności od wyniku. Zapytania sieciowe są
wysyłane tylko wtedy, gdy wynik jest z domkniętego zakresu określonego przez tę opcję.
Adres serwera LiveFeed: — określa, do którego serwera mają być wysyłane zapytania dotyczące żądań LiveFeed.
Okres przechowywania żądań LiveFeed (w sekundach): — ta opcja pozwala na określenie minimalnej wartości
TTL dla wpisów w wewnętrznej pamięci podręcznej LiveFeed aparatu antyspamowego. Ta opcja jest określana w
sekundach. W przypadku odpowiedzi LiveFeed o wartości TTL mniejszej niż określona minimalna wartość TTL
pamięć podręczna aparatu antyspamowego będzie używać określonej wartości TTL zamiast wartości TTL z
odpowiedzi LiveFeed.
Typ uwierzytelniania serwera proxy: — określa, jaki typ uwierzytelniania proxy HTTP powinien zostać
zastosowany.
3.3.2.1.10 Wydaj ność
Maksymalny rozmiar używanego stosu wątków: — określa maksymalny rozmiar używanego stosu wątków.
Jeżeli rozmiar stosu wątków ma skonfigurowaną wartość 64KB, zmienna ta powinna mieć wartość 100 lub
mniejszą. Jeżeli rozmiar stosu wątków ma skonfigurowaną wartość większą niż 1MB, zmienna ta powinna mieć
wartość 10000 lub mniejszą. Jeżeli ta zmienna ma ustawioną wartość poniżej 200, dokładność może zostać
zmniejszona o kilka procent.
Wymagana przepustowość (w wiadomościach na sekundę): — ta opcja pozwala na określenie żądanej
przepustowości w wiadomościach na sekundę. Aparat antyspamowy będzie próbował osiągnąć ten poziom dzięki
optymalizacji uruchamianych reguł. Dokładność może zostać zmniejszona. Wartość 0 wyłącza tę opcję.
Połącz pliki przyrostowe w j eden — aparat antyspamowy domyślnie scala wiele plików przyrostowych i plik pełny
w jeden zaktualizowany plik pełny. Ma to na celu zmniejszenie liczby plików w katalogu konfiguracyjnym.
Pobieraj tylko pliki przyrostowe — aparat antyspamowy domyślnie próbuje pobrać najbardziej wydajną pod
względem rozmiaru kombinację pliku pełnego i przyrostowego. Można wymóc pobieranie przez aparat
antyspamowy tylko pliku przyrostowego. W tym celu należy nadać tej opcji wartość Tak.
49
Maksymalny rozmiar plików przyrostowych: — w celu zmniejszenia użycia procesora podczas aktualizacji plików
reguł pliki pamięci podręcznej na dysku (sc*.tmp) nie są już odświeżane dla każdej pojedynczej aktualizacji reguły.
Zamiast tego są one odświeżane wtedy, gdy jest nowszy plik sc*.bin.full lub gdy suma plików sc*.bin.incr wzrasta
poza liczbę bajtów określoną jako maksymalny rozmiar plików przyrostowych.
Lokalizacj a plików tymczasowych: — ten parametr wyznacza miejsce, gdzie aparat antyspamowy tworzy pliki
tymczasowe.
3.3.2.1.11 Ustawienia regionalne
Lista j ęzyków macierzystych: — ta opcja pozwala wybrać języki preferowane w wiadomościach e-mail. Kody
państw to dwuliterowe kody języka zgodne z normą ISO-639.
Lista kraj ów macierzystych: — ta opcja pozwala zdefiniować listę krajów macierzystych. Wiadomość wysłana z
kraju, który nie znajduje się na tej liście, będzie punktowana bardziej rygorystycznie. Jeśli ta opcja jest wyłączona,
dodatkowe punkty nie będą naliczane.
Lista zablokowanych kraj ów: — pozwala na blokowanie według krajów. Jeśli adres IP w otrzymanym nagłówku
odpowiada krajowi z listy, wiadomość e-mail zostanie uznana za spam. Kody krajów nie są stosowane do adresów
nadawcy. Należy zwrócić uwagę, że wiadomość mogła trafić do komputerów w wielu krajach, zanim dotarła do
docelowego odbiorcy. Ta opcja jest dokładna tylko w 98%, więc blokowanie krajów może być przyczyną fałszywych
alarmów.
Lista zablokowanych zestawów znaków: — pozwala na blokowanie według zestawu znaków. Domyślna wartość
wyniku spamu wynosi 100, ale można ją dostosować do każdego zablokowanego zestawu znaków z osobna.
Należy zwrócić uwagę, że mapowanie z języka do zestawu znaków nie jest w 100% dokładne, więc blokowanie
zestawów znaków może być przyczyną fałszywych alarmów.
3.3.2.1.11.1 Lista j ęzyków macierzystych
Można określić języki uważane za macierzyste, czyli takie, w których preferuje się odbieranie wiadomości. Aby
dodać język macierzysty, należy go wybrać z kolumny Kody j ęzyka: i nacisnąć przycisk Dodaj . W ten sposób język
zostanie przeniesiony do kolumny Języki macierzyste. Aby usunąć język z kolumny Języki macierzyste, należy
wybrać jego kod i nacisnąć przycisk Usuń.
Blokuj j ęzyki inne niż macierzyste: — ta opcja określa, czy języki niewymienione w kolumnie języków
macierzystych będą blokowane, czy nie. Dostępne są trzy opcje:
Tak
Nie
Automatycznie
Lista kodów języków (na podstawie normy ISO 639):
afrykanerski
amharski
arabski
białoruski
bułgarski
kataloński
czeski
walijski
duński
niemiecki
grecki
angielski
esperanto
hiszpański
estoński
baskijski
perski
fiński
francuski
fryzyjski
irlandzki
50
af
am
ar
be
bg
ca
cs
cy
da
de
el
en
eo
es
et
eu
fa
fi
fr
fy
ga
gaelicki
hebrajski
hindi
chorwacki
węgierski
ormiański
indonezyjski
islandzki
włoski
japoński
gruziński
koreański
łaciński
litewski
łotewski
marathi
malajski
nepalski
holenderski
norweski
polski
portugalski
keczua
retoromański
rumuński
rosyjski
sanskryt
szkocki
słowacki
słoweński
albański
serbski
szwedzki
kiswahili
tamilski
tajski
tagalski
turecki
ukraiński
wietnamski
jidysz
chiński
gd
he
hi
hr
hu
hy
id
is
it
ja
ka
ko
la
lt
lv
mr
ms
ne
nl
no
pl
pt
qu
rm
ro
ru
sa
sco
sk
sl
sq
sr
sv
sw
ta
th
tl
tr
uk
vi
yi
zh
3.3.2.1.11.2 Lista kraj ów macierzystych
Można określić kraje macierzyste, czyli takie, z których preferuje się odbieranie wiadomości. Aby dodać kraj
macierzysty, należy wybrać go z kolumny Kod kraj u: i nacisnąć przycisk Dodaj . W ten sposób kraj zostanie
przeniesiony do kolumny Kraj e macierzyste. Aby usunąć kraj z kolumny Kraj e macierzyste, należy wybrać kod
kraju i nacisnąć przycisk Usuń.
Lista kodów krajów (na podstawie normy ISO 3166):
AFGANISTAN
WYSPY ALANDZKIE
ALBANIA
ALGIERIA
SAMOA AMERYKAŃSKIE
ANDORA
ANGOLA
ANGUILLA
ANTARKTYKA
ANTIGUA I BARBUDA
ARGENTYNA
ARMENIA
AF
AX
AL
DZ
AS
AD
AO
AI
AQ
AG
AR
AM
51
ARUBA
AUSTRALIA
AUSTRIA
AZERBEJDŻAN
BAHAMY
BAHRAJN
BANGLADESZ
BARBADOS
BIAŁORUŚ
BELGIA
BELIZE
BENIN
BERMUDY
BHUTAN
BOLIWIA
BOŚNIA I HERCEGOWINA
BOTSWANA
WYSPA BOUVETA
BRAZYLIA
BRYTYJSKIE TERYTORIUM OCEANU
INDYJSKIEGO
BRUNEI DARUSSALAM
BUŁGARIA
BURKINA FASO
BURUNDI
KAMBODŻA
KAMERUN
KANADA
REPUBLIKA ZIELONEGO PRZYLĄDKA
KAJMANY
REPUBLIKA ŚRODKOWOAFRYKAŃSKA
CZAD
CHILE
CHINY
WYSPA BOŻEGO NARODZENIA
WYSPY KOKOSOWE
KOLUMBIA
KOMORY
KONGO
DEMOKRATYCZNA REPUBLIKA KONGA
WYSPY COOKA
KOSTARYKA
CÔTE D'IVOIRE
CHORWACJA
KUBA
CYPR
CZECHY
DANIA
DŻIBUTI
DOMINIKA
DOMINIKANA
EKWADOR
EGIPT
SALWADOR
GWINEA RÓWNIKOWA
ERYTREA
ESTONIA
ETIOPIA
FALKLANDY (MALWINY)
WYSPY OWCZE
FIDŻI
FINLANDIA
52
AW
AU
AT
AZ
BS
BH
BD
BB
BY
BE
BZ
BJ
BM
BT
BO
BA
BW
BV
BR
IO
BN
BG
BF
BI
KH
CM
CA
CV
KY
CF
TD
CL
CN
CX
CC
CO
KM
CG
CD
CK
CR
CI
HR
CU
CY
CZ
DK
DJ
DM
DO
EC
EG
SV
GQ
ER
EE
ET
FK
FO
FJ
FI
FRANCJA
GUJANA FRANCUSKA
POLINEZJA FRANCUSKA
FRANCUSKIE TERYTORIA POŁUDNIOWE
GABON
GAMBIA
GRUZJA
NIEMCY
GHANA
GIBRALTAR
GRECJA
GRENLANDIA
GRENADA
GWADELUPA
GUAM
GWATEMALA
GWINEA
GWINEA BISSAU
GUJANA
HAITI
WYSPY HEARD I MCDONALDA
STOLICA APOSTOLSKA (PAŃSTWO
WATYKAŃSKIE)
HONDURAS
HONGKONG
WĘGRY
ISLANDIA
INDIE
INDONEZJA
ISLAMSKA REPUBLIKA IRANU
IRAK
IRLANDIA
IZRAEL
WŁOCHY
JAMAJKA
JAPONIA
JORDANIA
KAZACHSTAN
KENIA
KIRIBATI
KOREAŃSKA REPUBLIKA LUDOWODEMOKRATYCZNA
REPUBLIKA KOREI
KUWEJT
KIRGISTAN
LAOTAŃSKA REPUBLIKA LUDOWODEMOKRATYCZNA
ŁOTWA
LIBAN
LESOTHO
LIBERIA
LIBIJSKA ARABSKA DŻAMAHIRIJA
LIECHTENSTEIN
LITWA
LUKSEMBURG
MAKAU
BYŁA JUGOSŁOWIAŃSKA REPUBLIKA
MACEDONII
MADAGASKAR
MALAWI
MALEZJA
MALEDIWY
FR
GF
PF
TF
GA
GM
GE
DE
GH
GI
GR
GL
GD
GP
GU
GT
GN
GW
GY
HT
HM
VA
HN
HK
HU
IS
IN
ID
IR
IQ
IE
IL
IT
JM
JP
JO
KZ
KE
KI
KP
KR
KW
KG
LA
LV
LB
LS
LR
LY
LI
LT
LU
MO
MK
MG
MW
MY
MV
53
MALI
MALTA
WYSPY MARSHALLA
MARTYNIKA
MAURETANIA
MAURITIUS
MAJOTTA
MEKSYK
SFEDEROWANE STANY MIKRONEZJI
REPUBLIKA MOŁDOWY
MONAKO
MONGOLIA
MONTSERRAT
MAROKO
MOZAMBIK
MYANMAR
NAMIBIA
NAURU
NEPAL
HOLANDIA
ANTYLE HOLENDERSKIE
NOWA KALEDONIA
NOWA ZELANDIA
NIKARAGUA
NIGER
NIGERIA
NIUE
NORFOLK
MARIANY PÓŁNOCNE
NORWEGIA
OMAN
PAKISTAN
PALAU
TERYTORIUM PALESTYNY, OKUPOWANE
PANAMA
PAPUA-NOWA GWINEA
PARAGWAJ
PERU
FILIPINY
PITCAIRN
POLSKA
PORTUGALIA
PORTORYKO
KATAR
REUNION
RUMUNIA
FEDERACJA ROSYJSKA
RWANDA
WYSPA ŚWIĘTEJ HELENY
SAINT CHRISTOPHER (ST KITTS) I NEVIS
SAINT LUCIA
SAINT-PIERRE I MIQUELON
SAINT VINCENT I GRENADYNY
SAMOA
SAN MARINO
WYSPY ŚWIĘTEGO TOMASZA I KSIĄŻĘCA
ARABIA SAUDYJSKA
SENEGAL
SERBIA I CZARNOGÓRA
SESZELE
SIERRA LEONE
SINGAPUR
54
ML
MT
MH
MQ
MR
MU
YT
MX
FM
MD
MC
MN
MS
MA
MZ
MM
NA
NR
NP
NL
AN
NC
NZ
NI
NE
NG
NU
NF
MP
NO
OM
PK
PW
PS
PA
PG
PY
PE
PH
PN
PL
PT
PR
QA
RE
RO
RU
RW
SH
KN
LC
PM
VC
WS
SM
ST
SA
SN
CS
SC
SL
SG
SŁOWACJA
SŁOWENIA
WYSPY SALOMONA
SOMALIA
REPUBLIKA POŁUDNIOWEJ AFRYKI
GEORGIA POŁUDNIOWA I SANDWICH
POŁUDNIOWY
HISZPANIA
SRI LANKA
SUDAN
SURINAM
SVALBARD I JAN MAYEN
SUAZI
SZWECJA
SZWAJCARIA
ARABSKA REPUBLIKA SYRYJSKA
TAJWAN, PROWINCJA CHIN
TADŻYKISTAN
ZJEDNOCZONA REPUBLIKA TANZANII
TAJLANDIA
TIMOR-LESTE
TOGO
TOKELAU
TONGA
TRYNIDAD I TOBAGO
TUNEZJA
TURCJA
TURKMENISTAN
TURKS I CAICOS
TUVALU
UGANDA
UKRAINA
ZJEDNOCZONE EMIRATY ARABSKIE
ZJEDNOCZONE KRÓLESTWO
STANY ZJEDNOCZONE
ODLEGŁE MNIEJSZE WYSPY STANÓW
ZJEDNOCZONYCH
URUGWAJ
UZBEKISTAN
VANUATU
PAŃSTWO WATYKAŃSKIE (STOLICA
APOSTOLSKA)
WENEZUELA
WIETNAM
BRYTYJSKIE WYSPY DZIEWICZE
WYSPY DZIEWICZE STANÓW
ZJEDNOCZONYCH
WALLIS I FUTUNA
SAHARA ZACHODNIA
JEMEN
ZAIR (DEMOKRATYCZNA REPUBLIKA
KONGA)
ZAMBIA
ZIMBABWE
SK
SI
SB
SO
ZA
GS
ES
LK
SD
SR
SJ
SZ
SE
CH
SY
TW
TJ
TZ
TH
TL
TG
TK
TO
TT
TN
TR
TM
TC
TV
UG
UA
AE
GB
US
UM
UY
UZ
VU
VA
VE
VN
VG
VI
WF
EH
YE
CD
ZM
ZW
55
3.3.2.1.11.3 Lista zablokowanych kraj ów
Można określić kraje do zablokowania, aby nie otrzymywać wiadomości z nich pochodzących. Aby dodać kraj do
listy Zablokowane kraj e:, należy wybrać go z kolumny Kod kraj u: i nacisnąć przycisk Dodaj . Aby usunąć kraj z listy
Zablokowane kraj e:, należy wybrać kod kraju i nacisnąć przycisk Usuń.
Lista kodów krajów znajduje się w temacie Lista krajów macierzystych
51
.
3.3.2.1.11.4 Lista zablokowanych zestawów znaków
Można określić zestawy znaków do zablokowania. Wiadomości z tymi zestawami znaków nie będą odbierane. Aby
dodać zestaw znaków, należy wybrać go z kolumny Zestawy znaków: i nacisnąć przycisk Dodaj . W ten sposób
zestaw znaków zostanie przeniesiony do kolumny Zablokowane zestawy znaków: . Aby usunąć zestaw znaków z
kolumny Zablokowane zestawy znaków:, należy wybrać kod zestawu znaków i nacisnąć przycisk Usuń.
Podczas dodawania zestawu znaków do listy zablokowanych można określić własną wartość wyniku spamu dla
danego zestawu znaków. Domyślą wartością jest 100. Można zdefiniować oddzielne wyniki dla poszczególnych
zestawów znaków.
3.3.2.1.12 Pliki dziennika
Włącz szczegółowe zapisywanie w dzienniku — włącza zapisywane w dzienniku ze zwiększoną dokładnością.
Przekierowanie plików wyj ściowych: — przekierowuje plik wyjściowy dziennika do katalogu określonego w tym
polu. Można nacisnąć przycisk ..., aby zamiast wpisywania katalogu, wybrać go, przeglądając.
3.3.2.1.13 Statystyki
Włącz zapisywanie danych statystycznych w dzienniku — zapisuje adresy IP, domeny, adresy URL, podejrzane
słowa itp. w pliku konfiguracyjnym. Wpisy dziennika mogą być automatycznie wysyłane na serwery analizy
aparatu antyspamowego. Wpisy dziennika można przekonwertować do formatu tekstowego, aby można je było
przeglądać.
Wysyłaj dane statystyczne do analizy — uruchamia wątek automatycznego wysyłania plików z danymi
statystycznymi na serwer analizy aparatu antyspamowego.
Adres serwera analizy: — adres URL, na który będą wysyłane pliki z danymi statystycznymi.
3.3.2.1.14 Opcj e
Automatyczne konfigurowanie: — określa opcje na podstawie podanych przez użytkownika wymagań
dotyczących systemu, wydajności i zasobów.
Utwórz plik konfiguracyj ny — tworzy plik antispam.cfg zawierający konfigurację aparatu antyspamowego. Plik
można znaleźć w folderze C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server 2008) lub C:
\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows Server 2000 i
2003).
56
Każdą wiadomość e-mail skanowaną przez program ESET Mail Security i oznaczoną jako spam można oflagować,
dodając oznaczenie w temacie wiadomości. Domyślne oznaczenie to [SPAM], ale dodawany tekst może zostać
zdefiniowany przez użytkownika.
UWAGA: Dodając szablon do tematu wiadomości, można również używać zmiennych systemowych.
3.4 Często zadawane pytania
P: Po zainstalowaniu oprogramowania EMSX z ochroną przed spamem wiadomości nie są dostarczane do skrzynek
pocztowych.
O: Jeśli włączono szarą listę, taki sposób działania jest standardowy. W ciągu pierwszych godzin działania
oprogramowania wiadomości e-mail mogą być dostarczane z kilkugodzinnym opóźnieniem. Jeśli problem nie
ustąpi przez dłuższy czas, zaleca się wyłączenie szarej listy (lub zmianę jej konfiguracji).
P: Czy podczas skanowania załączników wiadomości e-mail program VSAPI skanuje również treść tych
wiadomości?
O: W oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem SP2 i jego nowszych wersjach program VSAPI
skanuje również treść wiadomości e-mail.
P: Dlaczego wiadomości są nadal skanowane po wyłączeniu opcji VSAPI?
O: Zmiany ustawień programu VSAPI są wprowadzane asynchronicznie. Oznacza to, że aby zmodyfikowane
ustawienia programu VSAPI zaczęły działać, muszą one zostać wywołane przez oprogramowanie Microsoft
Exchange Server. Ten powtarzany cyklicznie proces jest uruchamiany w około jednominutowych odstępach czasu.
To samo dotyczy wszystkich innych ustawień programu VSAPI.
P: Czy program VSAPI może usunąć całą wiadomość, jeśli jej załącznik jest zarażony?
O: Tak, program VSAPI może usunąć całą wiadomość. W tym celu należy wybrać opcję Usuń całą wiadomość w
sekcji Działania ustawień programu VSAPI. Ta opcja jest dostępna w oprogramowaniu Microsoft Exchange Server
2003 i jego nowszych wersjach. Starsze wersje oprogramowania Microsoft Exchange Server nie obsługują
57
usuwania całych wiadomości.
P: Czy program VSAPI skanuje również pod kątem wirusów wychodzące wiadomości e-mail?
O: Tak, pogram VSAPI skanuje wychodzące wiadomości e-mail, jeśli w programie poczty e-mail skonfigurowano
taki sam serwer SMTP jak w oprogramowaniu Microsoft Exchange Server. Ta funkcja jest stosowana w
oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem Service Pack 3 i w jego nowszych wersjach.
P: Czy program VSAPI pozwala dodawać do każdej zeskanowanej wiadomości tekst powiadomienia tak samo jak
agent transportu?
O: Oprogramowanie Microsoft Exchange Server nie obsługuje dodawania tekstu do wiadomości skanowanych
przez program VSAPI.
P: Czasami niemożliwe jest otwarcie wybranej wiadomości e-mail w programie Microsoft Outlook. Dlaczego tak
się dzieje?
O: Opcj a Czynność w razie niemożności wyczyszczenia dostępna w sekcji Działania ustawień programu VSAPI
ma prawdopodobnie wartość Blokuj lub utworzono regułę z działaniem Blokuj . Każde z tych ustawień będzie
powodować oznaczanie oraz blokowanie zarażonych wiadomości i/lub wiadomości, do których stosowana jest
opisana powyżej reguła.
P: Czego dotyczy wartość Limit czasu odpowiedzi dostępna w sekcji Wydaj ność?
O: W oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem SP2 oraz w jego nowszych wersjach wartość
Limit czasu odpowiedzi oznacza maksymalny czas (w sekundach) wymagany do zakończenia skanowania jednego
wątku w programie VSAPI. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu,
zostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu. W przypadku oprogramowania
Microsoft Exchange Server 5.5 z dodatkiem SP3 lub SP4 wartość jest wyrażana w milisekundach i oznacza czas, po
którym program ponownie próbuje uzyskać dostęp do pliku, który wcześniej był niedostępny z powodu
skanowania.
P: Jak długa może być lista typów plików w jednej regule?
O: Lista rozszerzeń plików może zawierać maksymalnie 255 znaków w jednej regule.
P: W programie VSAPI jest włączona opcja Skanowanie w tle. Do tej pory wiadomości w oprogramowaniu
Microsoft Exchange Server zawsze były skanowane po każdej aktualizacji bazy sygnatur wirusów. Po ostatniej
aktualizacji tak się nie stało. Co jest przyczyną problemu?
O: Decyzja o natychmiastowym skanowaniu wszystkich wiadomości bądź skanowaniu wiadomości w momencie,
gdy użytkownik próbuje uzyskać do niej dostęp, zależy od wielu czynników. Zaliczają się do nich obciążenie
serwera, czas procesora wymagany do zeskanowania partii wiadomości oraz łączna liczba wiadomości. Przed
dotarciem do skrzynki odbiorczej każda wiadomość jest skanowana przez oprogramowanie Microsoft Exchange
Server.
P: Dlaczego wartość licznika reguł zwiększyła się o więcej niż jeden po otrzymaniu jednej wiadomości?
O:Reguły są stosowane do wiadomości, gdy jest ona przetwarzana przez agenta transportu (TA) lub program
VSAPI. Gdy włączony jest zarówno agent transportu, jak i program VSAPI, a wiadomość spełnia warunki reguły,
wartość licznika reguł może wzrosnąć o 2 lub więcej. Program VSAPI uzyskuje dostęp do każdej części wiadomości
osobno (treść, załącznik). Oznacza to, że reguły są kolejno stosowane osobno wobec każdej części. Ponadto, reguły
są również stosowane podczas skanowania w tle (np. powtórzone skanowanie skrzynek pocztowych po
aktualizacji bazy danych sygnatur wirusów), co także może zwiększyć wartość licznika reguł.
P: Czy program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server jest zgodny z inteligentnym
filtrem wiadomości (IMF)?
O: Tak, program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server (EMSX) jest zgodny z
inteligentnym filtrem wiadomości (IMF). W przypadku uznania wiadomości za spam wiadomości e-mail są
przetwarzane w następujący sposób:
– Jeśli w module antyspamowym programu ESET Mail Security włączono opcję Usuń wiadomość (lub Poddaj
wiadomość kwarantannie), czynność zostanie wykonana niezależnie od czynności skonfigurowanej w
inteligentnym filtrze wiadomości programu Microsoft Exchange.
– Jeśli w module ochrony przed spamem programu ESET Mail Security wybrano opcję Brak czynności, zostaną
58
użyte ustawienia inteligentnego filtra wiadomości programu Microsoft Exchange, a program wykona
odpowiednią czynność (np. usunięcie, odrzucenie, przeniesienie do archiwum). Aby ta funkcja działała
skutecznie, należy włączyć opcję Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach
zeskanowanych wiadomości na podstawie wyniku spamu, wybierając kolejno opcje Ochrona serwera >
Microsoft Exchange Server > Agent transportu.
P: Jak skonfigurować program ESET Mail Security, aby przenosił niechciane wiadomości e-mail do zdefiniowanego
przez użytkownika folderu spamu w programie Microsoft Outlook?
O: Ustawienia domyślne programu ESET Mail Security powodują, że program Microsoft Outlook zapisuje
niechciane wiadomości w folderze Wiadomości-śmieci. Aby to rozwiązanie działało, należy odznaczyć opcję
Zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości e-mail (F5 > Ochrona serwera > Ochrona
przed spamem > Microsoft Exchange Server > Agent transportu). Aby zapisywać niechciane wiadomości e-mail
w innym folderze, należy przeczytać następujące instrukcje:
1) W programie ESET Mail Security:
- przejdź do drzewa ustawień zaawansowanych — F5
- wybierz kolejno opcje Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server >
Agent transportu
- wybierz opcję Zachowaj wiadomość z menu rozwijanego Czynność w odniesieniu do wiadomości
zawieraj ących spam
- odznacz pole wyboru Zapisuj wynik spamu w nagłówkach zeskanowanych wiadomości
- przejdź do opcji Alerty i powiadomienia w obszarze Ochrona przed spamem
- w polu Szablon dodawany do tematu wiadomości ze spamem zdefiniuj oznaczenie, które będzie
dodawane w polu tematu niechcianych wiadomości, np. „[SPAM]”
2) W programie Microsoft Outlook:
- skonfiguruj regułę, dzięki której wiadomości z określonymi wyrażeniami w temacie („[SPAM]”) będą
przenoszone do zdefiniowanego folderu.
Więcej szczegółowych informacji można znaleźć w tym artykule bazy wiedzy.
59
P: W statystykach ochrony przed spamem wiele wiadomości jest zaliczanych do kategorii Nieskanowane. Jakie
wiadomości e-mail nie są skanowane przez funkcję ochrony przed spamem?
O: Kategoria Nieskanowane obejmuje następujące podkategorie:
Ogólne:
Wszystkie wiadomości zeskanowane w momencie, gdy była wyłączona jakakolwiek powłoka ochrony przed
spamem (serwer pocztowy, agent transportu).
Microsoft Exchange Server 2003:
Wszystkie wiadomości pochodzące z adresów IP, które występują w inteligentnym filtrze wiadomości na
globalnej liście akceptowanych.
Wiadomości od uwierzytelnionych nadawców.
Microsoft Exchange Server 2007:
Wszystkie wiadomości wysłane wewnątrz organizacji (wszystkie będą skanowane w ramach ochrony
antywirusowej).
Wiadomości od uwierzytelnionych nadawców.
Wiadomości od użytkowników, dla których skonfigurowano pomijanie ochrony przed spamem.
Wszystkie wiadomości wysłane do skrzynki pocztowej, dla której włączono opcję pomijania ochrony przed
spamem (AntispamBypass).
Wszystkie wiadomości od nadawców znajdujących się na liście Bezpieczni nadawcy.
UWAGA: Adresy dodane do białej listy i w ustawieniach aparatu antyspamowego nie należą do kategorii
Nieskanowane, ponieważ zawiera ona wyłącznie wiadomości, które nie były nigdy przetwarzane przez moduł
ochrony przed spamem.
P: Użytkownicy pobierają wiadomości do swoich programów poczty e-mail za pośrednictwem protokołu POP3
(pomijając oprogramowanie Microsoft Exchange), jednak skrzynki pocztowe są przechowywane w
oprogramowaniu Microsoft Exchange Server. Czy program ESET Mail Security będzie skanować te wiadomości email pod kątem wirusów i spamu?
O: Przy takiej konfiguracji program ESET Mail Security będzie skanować wiadomości e-mail zapisane w
oprogramowaniu Microsoft Exchange Server tylko pod kątem wirusów (za pomocą programu VSAPI). Skanowanie
pod kątem spamu nie będzie wykonywane, ponieważ wymaga ono serwera SMTP.
P: Czy można zdefiniować poziom wyniku spamu, po osiągnięciu którego wiadomość będzie klasyfikowana jako
spam?
O: Tak, ten limit można ustawić w wersji 4.3 lub nowszej programu ESET Mail Security (patrz rozdział Aparat
antyspamowy 41 ).
P: Czy moduł ochrony przed spamem programu ESET Mail Security skanuje także wiadomości pobierana za pomocą
rozwiązania POP3 Connector?
O: ESET Mail Security obsługuje standardowe rozwiązanie Microsoft SBS POP3 Connector w systemie SBS 2008, w
związku z czym wiadomości pobrane za pomocą tego rozwiązania POP3 Connector są skanowane pod kątem
obecności spamu. Jednak standardowe rozwiązanie Microsoft SBS POP3 Connector w systemie SBS 2003 nie jest
obsługiwane. Istnieją również rozwiązania POP3 Connector innych firm. To, czy wiadomości pobierane za pomocą
rozwiązań POP3 Connector innych firm są skanowane pod kątem spamu zależy od struktury danego rozwiązania
POP3 Connector oraz od sposobu pobierania wiadomości przez to rozwiązanie POP3 Connector. Więcej informacji
można znaleźć w temacie Rozwiązanie POP3 i ochrona przed spamem 40 .
60
4. ESET Mail Security — ochrona serwera
Oprócz ochrony oprogramowania Microsoft Exchange Server program ESET Mail Security oferuje również narzędzia
niezbędne do ochrony samego serwera (ochrona rezydentna, ochrona dostępu do stron internetowych, ochrona
programów poczty e-mail oraz ochrona przed spamem).
4.1 Antywirus i antyspyware
Ochrona antywirusowa zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę e-mail i
komunikację internetową. W przypadku wykrycia zagrożenia zawierającego szkodliwy kod moduł antywirusowy
może je wyeliminować przez zablokowanie, a następnie usunięcie lub przeniesienie do kwarantanny.
4.1.1 Ochrona systemu plików w czasie rzeczywistym
W ramach ochrony systemu plików w czasie rzeczywistym sprawdzane są wszystkie zdarzenia związane z ochroną
antywirusową systemu. Wszystkie pliki w chwili otwarcia, utworzenia lub uruchomienia na komputerze są
skanowane w poszukiwaniu szkodliwego kodu. Ochrona systemu plików w czasie rzeczywistym jest włączana przy
uruchamianiu systemu.
4.1.1.1 Ustawienia sprawdzania
Moduł ochrony systemu plików w czasie rzeczywistym sprawdza wszystkie typy nośników. Sprawdzanie jest
wywoływane wystąpieniem różnych zdarzeń. Korzystając z metod wykrywania technologii ThreatSense (opisanych
w sekcji Ustawienia parametrów technologii ThreatSense 77 ), funkcja ochrony systemu plików w czasie
rzeczywistym może działać inaczej dla plików nowo tworzonych, a inaczej dla już istniejących. W przypadku nowo
tworzonych plików można stosować głębszy poziom sprawdzania.
Aby zminimalizować obciążenie systemu podczas korzystania z ochrony w czasie rzeczywistym, przeskanowane
już pliki nie są skanowane ponownie (dopóki nie zostaną zmodyfikowane). Pliki są niezwłocznie skanowane
ponownie po każdej aktualizacji bazy sygnatur wirusów. Taki sposób postępowania jest konfigurowany za pomocą
funkcji inteligentnej optymalizacji. Po jej wyłączeniu wszystkie pliki są skanowane za każdym razem, gdy
uzyskiwany jest do nich dostęp. Aby zmodyfikować tę opcję, należy otworzyć okno Ustawienia zaawansowane i w
drzewie ustawień zaawansowanych kliknąć kolejno pozycje Antywirus i antyspyware > Ochrona systemu plików
w czasie rzeczywistym. Następnie należy kliknąć przycisk Ustawienia... obok opcji Ustawienia parametrów
technologii ThreatSense, po czym kliknąć przycisk Inne i zaznaczyć bądź usunąć zaznaczenie opcji Włącz
inteligentną optymalizacj ę.
Ochrona w czasie rzeczywistym jest domyślnie włączana przy uruchamianiu systemu i zapewnia nieprzerwane
skanowanie. W szczególnych przypadkach (np. jeśli wystąpi konflikt z innym skanerem w trybie rzeczywistym)
ochronę w czasie rzeczywistym można wyłączyć, usuwając zaznaczenie opcji Automatycznie uruchom ochronę
systemu plików w czasie rzeczywistym.
61
4.1.1.1.1 Skanowane nośniki
Domyślnie wszystkie typy nośników są skanowane w celu wykrycia potencjalnych zagrożeń.
Dyski lokalne — sprawdzane są wszystkie dyski twarde w komputerze.
Dyski przenośne — sprawdzane są dyskietki, urządzenia pamięci masowej USB itp.
Dyski sieciowe — skanowane są wszystkie zmapowane dyski.
Zalecane jest zachowanie ustawień domyślnych i modyfikowanie ich wyłącznie w szczególnych przypadkach, jeśli
na przykład sprawdzanie pewnych nośników znacznie spowalnia przesyłanie danych.
4.1.1.1.2 Skanowanie włączone (skanowanie po wystąpieniu zdarzenia)
Domyślnie wszystkie pliki są skanowane podczas otwierania, tworzenia i wykonywania. Zalecane jest zachowanie
ustawień domyślnych, ponieważ zapewniają one maksymalny poziom ochrony komputera w czasie rzeczywistym.
Opcja Dostęp do dyskietki umożliwia sprawdzanie sektora rozruchowego dyskietki podczas uzyskiwania dostępu
do napędu dyskietek. Opcja Wyłączenie komputera umożliwia sprawdzanie sektorów rozruchowych dysku
podczas wyłączania komputera. Mimo że wirusy sektora rozruchowego występują obecnie rzadko, zalecane jest
włączenie tych opcji, ponieważ nadal zachodzi ryzyko infekcji sektora rozruchowego wirusami z innych źródeł.
4.1.1.1.3 Zaawansowane opcj e skanowania
Dostęp do bardziej szczegółowych ustawień można uzyskać, wybierając kolejno opcje Ochrona komputera >
Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym > Ustawienia zaawansowane.
Dodatkowe parametry ThreatSense dla nowo utworzonych i zmodyfikowanych plików —
prawdopodobieństwo infekcji nowo utworzonych lub zmodyfikowanych plików jest stosunkowo większe niż
istniejących już plików. Dlatego program sprawdza takie pliki z zastosowaniem dodatkowych parametrów
skanowania. Oprócz typowych metod skanowania przy użyciu sygnatur używana jest zaawansowana heurystyka,
która znacznie zwiększa wykrywalność zagrożeń. Poza nowo utworzonymi plikami skanowanie obejmuje również
archiwa samorozpakowujące (SFX) i pliki spakowane (skompresowane wewnętrznie pliki wykonywalne).
Domyślnie archiwa są skanowane do dziesiątego poziomu zagnieżdżenia i są sprawdzane niezależnie od ich
rozmiaru. Aby zmienić ustawienia skanowania archiwów, należy usunąć zaznaczenie opcji Domyślne ustawienia
skanowania archiwów.
Dodatkowe parametry ThreatSense.Net dla wykonanych plików — domyślnie zaawansowana heurystyka nie
62
jest używana podczas wykonywania plików. W niektórych przypadkach może jednak zajść potrzeba włączenia tej
opcji (poprzez zaznaczenie opcji Włącz zaawansowaną heurystykę podczas wykonywania pliku). Należy
pamiętać, że zaawansowana heurystyka może spowolnić wykonywanie niektórych programów z powodu
zwiększonego zapotrzebowania na zasoby systemowe.
4.1.1.2 Poziomy leczenia
W ramach ochrony w czasie rzeczywistym dostępne są trzy poziomy leczenia. Aby wybrać poziom leczenia, należy
w sekcji Ochrona systemu plików w czasie rzeczywistym kliknąć przycisk Ustawienia..., a następnie kliknąć
gałąź Leczenie.
W przypadku pierwszego poziomu, Brak leczenia, dla każdego wykrytego zagrożenia wyświetlane jest okno
alertu z opcjami do wyboru. Należy wybrać działanie osobno dla każdego zagrożenia. Poziom ten jest
przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie czynności podjąć na wypadek
zagrożenia.
Przy domyślnym poziomie leczenia w zależności od typu zagrożenia automatycznie wybierane i wykonywane jest
wstępnie zdefiniowane działanie. O wykryciu i usunięciu zainfekowanego pliku informuje komunikat
wyświetlany w prawym dolnym rogu ekranu. Automatyczne działania nie są podejmowane, jeśli zagrożenie
wykryto w archiwum (które zawiera również niezainfekowane pliki) lub dla zainfekowanych obiektów nie
określono wstępnie działania.
Trzeci poziom, Leczenie dokładne, charakteryzuje się najbardziej stanowczym działaniem — leczone są
wszystkie zainfekowane obiekty. Z uwagi na to, że przy tym poziomie można utracić także niezainfekowane pliki,
zaleca się jego używanie tylko w szczególnych sytuacjach.
4.1.1.3 Zmienianie ustawień ochrony w czasie rzeczywistym
Ochrona w czasie rzeczywistym jest najbardziej istotnym elementem zapewniającym bezpieczeństwo systemu.
Dlatego należy zachować ostrożność podczas zmieniania jej parametrów. Modyfikowanie ustawień ochrony jest
zalecane tylko w określonych przypadkach, na przykład jeśli występuje konflikt z określoną aplikacją lub
działającym w czasie rzeczywistym skanerem należącym do innego programu antywirusowego.
Po zainstalowaniu programu ESET Mail Security wszystkie ustawienia są optymalizowane w celu zapewnienia
maksymalnego poziomu bezpieczeństwa systemu. Aby przywrócić ustawienia domyślne, należy kliknąć przycisk
Domyślne znajdujący się w prawym dolnym rogu okna Ochrona systemu plików w czasie rzeczywistym
(otwieranego po wybraniu kolejno opcji Ustawienia zaawansowane > Antywirus i antyspyware > Ochrona
systemu plików w czasie rzeczywistym).
63
4.1.1.4 Sprawdzanie skuteczności ochrony w czasie rzeczywistym
Aby sprawdzić, czy funkcja ochrony w czasie rzeczywistym działa i wykrywa wirusy, należy użyć pliku z witryny
eicar.com. Jest to specjalnie przygotowany nieszkodliwy plik testowy wykrywany przez wszystkie programy
antywirusowe. Został on utworzony przez firmę EICAR (European Institute for Computer Antivirus Research) w
celu testowania działania programów antywirusowych. Plik eicar.com jest dostępny do pobrania pod adresem
http://www.eicar.org/download/eicar.com
UWAGA: Przed przystąpieniem do sprawdzenia skuteczności ochrony w czasie rzeczywistym należy wyłączyć
zaporę. Włączona zapora wykryje plik testowy i uniemożliwi jego pobranie.
4.1.1.5 Co zrobić, j eśli ochrona w czasie rzeczywistym nie działa
W kolejnym rozdziale opisano problemy, które mogą wystąpić podczas korzystania z ochrony w czasie
rzeczywistym oraz sposoby ich rozwiązywania.
Ochrona w czasie rzeczywistym j est wyłączona
Jeśli ochrona w czasie rzeczywistym została przypadkowo wyłączona przez użytkownika, należy ją ponownie
włączyć. W tym celu należy kliknąć kolejno opcje Ustawienia > Antywirus i antyspyware, a następnie w głównym
oknie programu w sekcji Ochrona systemu plików w czasie rzeczywistym kliknąć przycisk Włącz.
Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu, może to być spowodowane
wyłączeniem opcji Automatycznie uruchom ochronę systemu plików w czasie rzeczywistym. Aby ją włączyć,
należy przejść do okna Ustawienia zaawansowane (klawisz F5) i w drzewie ustawień zaawansowanych kliknąć
pozycję Ochrona systemu plików w czasie rzeczywistym. Należy się upewnić, że u dołu okna w sekcji
Ustawienia zaawansowane zaznaczona jest opcja Automatycznie uruchom ochronę systemu plików w czasie
rzeczywistym.
Ochrona w czasie rzeczywistym nie wykrywa ani nie leczy zagrożeń
Należy się upewnić, że na komputerze nie ma zainstalowanych innych programów antywirusowych. Jednoczesne
włączenie dwóch modułów ochrony w czasie rzeczywistym może powodować ich konflikt. Zaleca się
odinstalowanie innych programów antywirusowych z systemu.
Ochrona w czasie rzeczywistym nie j est uruchamiana
Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu (a opcja Automatycznie
uruchom ochronę systemu plików w czasie rzeczywistym jest włączona), może to być spowodowane
64
konfliktami z innymi programami. W takim przypadku należy skonsultować się z działem pomocy technicznej firmy
ESET.
4.1.2 Ochrona programów poczty e-mail
W ramach ochrony poczty e-mail sprawdzana jest komunikacja przychodząca za pośrednictwem protokołu POP3.
Przy użyciu wtyczki do aplikacji Microsoft Outlook program ESET Mail Security zapewnia sprawdzanie całej
komunikacji realizowanej przez klienta poczty e-mail (za pośrednictwem protokołów POP3, MAPI, IMAP oraz
HTTP).
Podczas analizowania wiadomości przychodzących program stosuje wszystkie zaawansowane metody
skanowania dostępne w ramach technologii skanowania ThreatSense. Dzięki temu szkodliwe programy są
wykrywane nawet zanim zostaną porównane z bazą danych sygnatur wirusów. Skanowanie komunikacji
realizowanej za pośrednictwem protokołu POP3 odbywa się niezależnie od używanego programu poczty e-mail.
4.1.2.1 Sprawdzanie protokołu POP3
POP3 jest najbardziej rozpowszechnionym protokołem używanym do odbierania wiadomości w programach
poczty e-mail. Program ESET Mail Security zapewnia ochronę tego protokołu niezależnie od użytkowanego
programu pocztowego.
Moduł ochrony jest włączany automatycznie przy uruchamianiu systemu operacyjnego, a następnie działa w
pamięci operacyjnej. Aby ochrona funkcjonowała prawidłowo, należy się upewnić się, że moduł jest włączony.
Sprawdzanie protokołu POP3 odbywa się automatycznie bez konieczności zmiany konfiguracji programu poczty email. Domyślnie skanowana jest cała komunikacja realizowana przez port 110, ale w razie potrzeby skanowaniem
można objąć również inne porty. Numery portów muszą być oddzielone przecinkami.
Komunikacja szyfrowana nie jest sprawdzana.
Aby móc korzystać z filtrowania protokołu POP3/POP3S, należy najpierw włączyć filtrowanie protokołów. Jeśli
ustawienia POP3/POP3S są niedostępne, należy w drzewie ustawień zaawansowanych przejść do pozycji Ochrona
komputera > Antywirus i antyspyware > Filtrowanie protokołów i zaznaczyć opcję Włącz ochronę zawartości
protokołów aplikacj i. Więcej informacji na temat filtrowania i jego konfiguracji można znaleźć w sekcji Filtrowanie
protokołów.
65
4.1.2.1.1 Zgodność
Niektóre programy poczty e-mail mogą wykazywać problemy związane z filtrowaniem protokołu POP3 (np. z
powodu sprawdzania odbieranych wiadomości przy wolnym połączeniu internetowym może upłynąć limit czasu).
W takim przypadku należy spróbować zmodyfikować sposób sprawdzania. Zmniejszenie poziomu dokładności
może wpłynąć na przyspieszenie procesu leczenia. Aby zmienić poziom dokładności filtrowania protokołu POP3,
należy w drzewie ustawień zaawansowanych przejść do pozycji Antywirus i antyspyware > Ochrona poczty email > Protokoły POP3 i POP3s > Zgodność.
Po włączeniu opcji Maksymalna skuteczność zagrożenia są usuwane z zainfekowanych wiadomości, a przed
oryginalnym tematem wiadomości wstawiana jest informacja o zagrożeniu (jeśli włączona jest opcja Usuń lub
Wylecz, bądź ustawiony jest poziom leczenia Dokładny lub Domyślny).
Wybór ustawienia Średnia zgodność powoduje zmianę sposobu odbierania wiadomości. Wiadomości są
stopniowo przesyłane do programu poczty e-mail. Po przekazaniu ostatniej części wiadomości jest ona skanowana
w poszukiwaniu zagrożeń. Przy tym poziomie sprawdzania zwiększa się ryzyko infekcji. Poziom leczenia i obsługa
oznaczeń (informacji dodawanych do tematu i treści wiadomości) są takie same, jak dla ustawienia Maksymalna
skuteczność.
Po wybraniu poziomu Maksymalna zgodność w przypadku odebrania zainfekowanej wiadomości wyświetlane
jest okno alertu z ostrzeżeniem. Do tematu ani do treści dostarczanych wiadomości nie są dodawane żadne
informacje o zainfekowanych plikach, a zagrożenia nie są automatycznie usuwane. Użytkownik musi samodzielnie
usunąć zagrożenia w programie poczty e-mail.
4.1.2.2 Integracj a z programami pocztowymi
Integracja programu ESET Mail Security z programami pocztowymi zwiększa poziom aktywnej ochrony przed
szkodliwym kodem rozsyłanym w wiadomościach e-mail. Jeśli dany program pocztowy jest obsługiwany,
integrację tę można włączyć w programie ESET Mail Security. Po jej włączeniu pasek narzędzi programu ESET Mail
Security zostaje wstawiony bezpośrednio do programu poczty e-mail, umożliwiając skuteczniejszą ochronę poczty.
Dostęp do ustawień integracji można uzyskać, klikając kolejno opcje Ustawienia > Otwórz całe drzewo ustawień
zaawansowanych… > Inne > Integracj a z programami pocztowymi. Integrację można uaktywnić w przypadku
obsługiwanych programów poczty e-mail. Obecnie należą do nich programy Microsoft Outlook, Outlook Express,
Poczta systemu Windows, Poczta usługi Windows Live i Mozilla Thunderbird.
Jeśli podczas pracy z programem poczty e-mail system działa wolniej niż zwykle, można zaznaczyć opcję Wyłącz
sprawdzanie po zmianie zawartości skrzynki odbiorczej . Może to mieć miejsce podczas pobierania poczty z
Kerio Outlook Connector Store.
66
Aby włączyć ochronę poczty e-mail, należy kliknąć kolejno opcje Ustawienia > Otwórz całe drzewo ustawień
zaawansowanych… > Antywirus i antyspyware > Ochrona programów poczty e-mail i wybrać opcję Włącz
ochronę antywirusową i antyspyware w programie pocztowym.
4.1.2.2.1 Dołączanie informacj i do treści wiadomości
Każdą wiadomość e-mail przeskanowaną przez program ESET Mail Security można oznaczyć, dołączając notatkę
do jej treści lub tematu. Funkcja ta zwiększa wiarygodność wiadomości dla odbiorcy, a w przypadku wykrycia
zagrożenia udostępnia cenne informacje na temat poziomu zagrożenia, jakie stanowi dana wiadomość lub jej
nadawca.
Ustawienia tej funkcji są dostępne po wybraniu kolejno opcji Ustawienia zaawansowane > Antywirus i
antyspyware > Ochrona programów poczty e-mail. Do wyboru są opcje Oznacz otrzymaną i przeczytaną
wiadomość e-mail oraz Oznacz wysyłaną wiadomość e-mail. Można też zdecydować, czy notatki mają być
dołączane do wszystkich przeskanowanych wiadomości e-mail, tylko do zainfekowanych, czy do żadnych.
Program ESET Mail Security może również dodawać notatki do oryginalnego tematu zainfekowanych wiadomości.
Aby włączyć tę funkcję, należy zaznaczyć opcje Dołącz notatkę do tematu otrzymanej i przeczytanej
zainfekowanej wiadomości oraz Dołącz notatkę do tematu wysyłanej zainfekowanej wiadomości.
Treść dołączanych notatek można modyfikować w polu Szablon komunikatu dołączanego do tematu
zainfekowanej wiadomości. Wspomniane uprzednio modyfikacje pomagają zautomatyzować proces filtrowania
zainfekowanej poczty e-mail, ponieważ umożliwiają filtrowanie wiadomości e-mail o określonym temacie (jeśli
funkcję tę obsługuje używany program poczty e-mail) i przenoszenie ich do osobnego folderu.
4.1.2.3 Usuwanie infekcj i
Po odebraniu zainfekowanej wiadomości e-mail wyświetlane jest okno alertu. Zawiera ono nazwę nadawcy,
wiadomość e-mail i nazwę infekcji. W dolnej części okna dostępne są działania, które można zastosować na
wykrytym obiekcie: Wylecz, Usuń lub Pozostaw. W niemal wszystkich przypadkach zalecany jest wybór opcji
Wylecz lub Usuń. W szczególnych sytuacjach, gdy użytkownik chce odebrać zainfekowany plik, można wybrać
opcję Pozostaw.
Jeśli włączone jest Leczenie dokładne, wyświetlane jest okno informacyjne bez opcji dotyczących zainfekowanych
obiektów.
67
4.1.3 Ochrona dostępu do stron internetowych
Zapewnianie połączenia z Internetem jest standardową funkcją komputera osobistego. Niestety komunikacja
internetowa stała się głównym sposobem przenoszenia szkodliwego kodu. Z tego względu ważne jest umiejętne
dobranie ochrony dostępu do stron internetowych. Zdecydowanie zalecamy zaznaczenie pola wyboru Włącz
ochronę antywirusową i antyspyware do stron internetowych. Można je znaleźć w oknie Ustawienia
zaawansowane (klawisz F5) po kliknięciu kolejno opcji Antywirus i antyspyware > Ochrona dostępu do stron
internetowych.
4.1.3.1 Protokoły HTTP i HTTPS
Ochrona dostępu do stron internetowych polega na monitorowaniu realizowanej między przeglądarkami
internetowymi i zdalnymi serwerami komunikacji zgodnej z regułami protokołów HTTP (ang. Hypertext Transfer
Protocol) i HTTPS (komunikacja szyfrowana). Domyślnie program ESET Mail Security jest skonfigurowany pod
kątem używania standardów obsługiwanych przez większość przeglądarek internetowych. Opcje ustawień
skanera protokołu HTTP można jednak modyfikować w oknie Ustawienia zaawansowane (klawisz F5) po
wybraniu kolejno opcji Antywirus i antyspyware > Ochrona dostępu do stron internetowych > Protokoły HTTP
i HTTPS. W głównym oknie skanera protokołu HTTP można zaznaczyć lub usunąć zaznaczenie opcji Włącz
sprawdzanie protokołu HTTP. Można również określić numery portów używane do komunikacji za
pośrednictwem protokołu HTTP. Domyślnie wstępnie zdefiniowane są porty 80, 8080 i 3128. Sprawdzanie
protokołu HTTPS może być wykonywane w jednym z następujących trybów:
Nie używaj funkcj i sprawdzania protokołu HTTPS – komunikacja szyfrowana nie będzie sprawdzana.
Użyj funkcj i sprawdzania protokołu HTTPS dla wybranych portów – sprawdzanie protokołu HTTPS będzie
dotyczyło tylko portów zdefiniowanych w polu Porty używane przez protokół HTTPS.
68
4.1.3.1.1 Zarządzanie adresami
W tej sekcji można określić adresy HTTP, które mają być blokowane, dozwolone lub wyłączone ze sprawdzania.
Przyciski Dodaj , Edytuj , Usuń i Eksportuj służą do zarządzania listami adresów. Witryny internetowe znajdujące
się na listach blokowanych adresów nie będą dostępne. Dostęp do witryn internetowych znajdujących się na liście
adresów wyłączonych odbywa się bez skanowania w poszukiwaniu szkodliwego kodu. Jeśli zostanie włączona
opcja Zezwól na dostęp tylko do adresów HTTP z listy dozwolonych adresów, tylko adresy obecne na liście
dozwolonych adresów będą dostępne, podczas gdy pozostałe adresy HTTP będą blokowane.
Na wszystkich listach można używać symboli specjalnych: „*” (gwiazdka) i „?” (znak zapytania). Gwiazdka zastępuje
dowolny ciąg znaków, a znak zapytania zastępuje dowolny symbol. Szczególną ostrożność należy zachować
podczas określania adresów wyłączonych, ponieważ ich lista powinna zawierać jedynie adresy zaufane i
bezpieczne. Ponadto należy sprawdzić, czy symbole „*” oraz „?” są na tej liście stosowane prawidłowo. Aby
aktywować listę, należy zaznaczyć pole wyboru Lista aktywnych. Jeśli przy wprowadzaniu adresu z bieżącej listy
ma być wyświetlane powiadomienie, należy zaznaczyć pole wyboru Powiadom o zastosowaniu adresu z listy.
69
4.1.3.1.2 Tryb aktywny
Program ESET Mail Security wyposażono w funkcję Przeglądarki internetowe, umożliwiającą użytkownikowi
określenie, czy dana aplikacja jest przeglądarką. Jeśli dana aplikacja zostanie oznaczona jako przeglądarka,
sprawdzana będzie jej cała komunikacja, niezależnie od używanych portów.
Funkcja Przeglądarki internetowe uzupełnia funkcję sprawdzania protokołu HTTP, ponieważ sprawdzanie
protokołu HTTP jest wykonywane tylko dla wstępnie zdefiniowanych portów. Wiele usług internetowych używa
jednak zmieniających się lub nieznanych numerów portów. W tej sytuacji funkcja Przeglądarki internetowe
umożliwia sprawdzanie komunikacji prowadzonej przez porty niezależnie od parametrów połączenia.
Lista aplikacji oznaczonych jako przeglądarki jest dostępna bezpośrednio w podmenu Przeglądarki internetowe w
gałęzi Protokoły HTTP i HTTPS. W tej sekcji znajduje się również podmenu Tryb aktywny umożliwiające
70
zdefiniowanie trybu sprawdzania przeglądarek internetowych.
Ustawienie Tryb aktywny jest przydatne, ponieważ umożliwia analizę przesyłanych danych jako całości. Jeśli nie
jest ona włączona, komunikacja aplikacji jest stopniowo monitorowana w partiach. Zmniejsza to skuteczność
procesu weryfikacji danych, ale jednocześnie zapewnia większą zgodność z aplikacjami wymienionymi na liście.
Jeśli podczas używania aktywnego trybu sprawdzania nie występują problemy, zaleca się jego włączenie poprzez
zaznaczenie pola wyboru obok odpowiedniej aplikacji.
4.1.4 Skanowanie komputera na żądanie
Jeśli zachodzi podejrzenie zainfekowania komputera (działa w nieprawidłowy sposób), należy uruchomić
skanowanie na żądanie w celu wyszukania zagrożeń. Z punktu widzenia bezpieczeństwa ważne jest, aby
skanowanie komputera było przeprowadzane nie tylko w przypadku podejrzenia infekcji, ale regularnie w ramach
rutynowych działań związanych z bezpieczeństwem. Regularne skanowanie umożliwia wykrywanie zagrożeń,
które podczas zapisywania zainfekowanych plików na dysku nie zostały wykryte przez skaner działający w czasie
rzeczywistym. Może się tak zdarzyć, jeśli w momencie wystąpienia infekcji skaner działający w czasie rzeczywistym
był wyłączony lub baza sygnatur wirusów była nieaktualna.
Zalecane jest uruchamianie skanowania komputera na żądanie co najmniej raz w miesiącu. Skanowanie można
skonfigurować jako zaplanowane zadanie za pomocą opcji Narzędzia > Harmonogram.
71
4.1.4.1 Typ skanowania
Dostępne są dwa typy skanowania komputera na żądanie. Opcja Skanowanie inteligentne umożliwia szybkie
przeskanowanie systemu bez konieczności dodatkowego konfigurowania parametrów skanowania. Opcja
Skanowanie niestandardowe umożliwia wybranie jednego ze wstępnie zdefiniowanych profilów skanowania
oraz określenie obiektów skanowania.
4.1.4.1.1 Skanowanie inteligentne
Tryb skanowania inteligentnego umożliwia szybkie uruchomienie skanowania komputera i wyleczenie
zainfekowanych plików bez konieczności podejmowania dodatkowych działań przez użytkownika. Jego główną
zaletą jest łatwa obsługa i brak szczegółowej konfiguracji skanowania. W ramach skanowania inteligentnego
sprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane.
Automatycznie ustawiany jest też domyślny poziom leczenia. Szczegółowe informacje na temat typów leczenia
można znaleźć w sekcji Leczenie 80 .
4.1.4.1.2 Skanowanie niestandardowe
Skanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli użytkownik chce sam określić parametry
skanowania, takie jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jest
możliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przez
użytkownika profilach skanowania, które mogą być przydatne, jeśli skanowanie jest przeprowadzane wielokrotnie
z zastosowaniem tych samych parametrów.
Aby wybrać skanowane obiekty, należy wybrać kolejno opcje Skanowanie komputera > Skanowanie
niestandardowe, a następnie wybrać odpowiednią pozycję z menu rozwijanego Skanowane obiekty lub wybrać
żądane obiekty w strukturze drzewa. Obiekty do skanowania można również wskazać bardziej precyzyjnie,
wprowadzając ścieżkę do folderu lub plików, które mają zostać objęte skanowaniem. Jeśli użytkownik chce tylko
przeskanować system bez wykonywania dodatkowych działań związanych z leczeniem, należy wybrać opcję
Skanuj bez leczenia. Ponadto można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcje
Ustawienia... > Leczenie.
72
4.1.4.2 Skanowane obiekty
Z menu rozwijanego Skanowane obiekty można wybrać pliki, foldery i urządzenia (dyski), które mają być
skanowane w poszukiwaniu wirusów.
Ustawienia profilu — skanowane są obiekty określone w wybranym profilu skanowania.
Dyski przenośne — skanowane są dyskietki, urządzenia pamięci masowej USB, płyty CD/DVD.
Dyski lokalne — skanowane są wszystkie dyski twarde dostępne w komputerze.
Dyski sieciowe — skanowane są wszystkie mapowane dyski sieciowe.
Brak wyboru — wybór obiektów zostaje anulowany.
Obiekt do skanowania można również wskazać bardziej precyzyjnie, wprowadzając ścieżkę do folderu lub plików,
które mają zostać objęte skanowaniem. Skanowane obiekty można wybrać w strukturze drzewa zawierającej
wszystkie urządzenia dostępne w komputerze.
4.1.4.3 Profile skanowania
Preferowane parametry skanowania mogą zostać zapisane i użyte w przyszłości. Zalecane jest utworzenie
osobnego profilu (z ustawionymi różnymi obiektami i metodami skanowania oraz innymi parametrami) dla
każdego regularnie przeprowadzanego skanowania.
Aby utworzyć nowy profil, należy otworzyć okno ustawień zaawansowanych (klawisz F5) i kliknąć kolejno opcje
Skanowanie komputera na żądanie > Profile... W oknie Profile konfiguracj i znajduje się menu rozwijane, które
zawiera listę istniejących profili skanowania oraz opcję umożliwiającą utworzenie nowego profilu. Informacje na
temat tworzenia profilu skanowania dostosowanego do indywidualnych potrzeb można znaleźć w sekcji
Ustawienia parametrów technologii ThreatSense 77 , w której opisano poszczególne parametry ustawień
skanowania.
PRZYKŁAD: Załóżmy, że użytkownik chce utworzyć własny profil skanowania, a żądana konfiguracja częściowo
pokrywa się z konfiguracją Skanowanie inteligentne. Użytkownik nie chce jednak skanować plików spakowanych
lub potencjalnie niebezpiecznych aplikacji oraz chce zastosować ustawienie Leczenie dokładne. W takim
przypadku należy w oknie Profile konfiguracj i kliknąć przycisk Dodaj ... Następnie w polu Nazwa profilu należy
wprowadzić nazwę nowego profilu i wybrać z menu rozwijanego Kopiuj ustawienia z profilu pozycję Skanowanie
inteligentne: . Następnie należy dostosować do własnych potrzeb pozostałe parametry profilu.
73
4.1.4.4 Wiersz polecenia
Moduł antywirusowy programu ESET Mail Security można uruchomić z poziomu wiersza polecenia — ręcznie
(polecenie „ecls”) lub za pomocą pliku wsadowego (BAT).
Przy uruchamianiu skanera na żądanie z poziomu wiersza polecenia można używać następujących parametrów i
przełączników:
Opcj e ogólne:
- help
Pokaż pomoc i zakończ.
- version
Pokaż informacje o wersji i zakończ.
- base-dir = FOLDER
Załaduj moduły z FOLDERU.
- quar-dir = FOLDER
Poddaj FOLDER kwarantannie.
- aind
Pokaż wskaźnik aktywności.
Obiekty docelowe:
- files
Skanuj pliki (parametr domyślny).
- no-files
Nie skanuj plików.
- boots
Skanuj sektory rozruchowe (parametr domyślny).
- no-boots
Nie skanuj sektorów rozruchowych.
- arch
Skanuj archiwa (parametr domyślny).
- no-arch
Nie skanuj archiwów.
- max-archive-level = POZIOM
Określa maksymalny POZIOM zagnieżdżenia archiwów.
- scan-timeout = LIMIT
Maksymalny LIMIT czasu skanowania archiwów w
sekundach. Jeśli czas skanowania osiągnie ten limit,
skanowanie archiwum zostaje zatrzymane. Skanowanie
zostaje następnie wznowione od kolejnego pliku.
- max-arch-size=ROZMIAR
Skanuj tylko określoną jako ROZMIAR liczbę pierwszych
bajtów archiwów (wartość domyślna 0 = bez limitu).
- mail
Skanuj pliki poczty e-mail.
- no-mail
Nie skanuj plików poczty e-mail.
- sfx
Skanuj archiwa samorozpakowujące.
- no-sfx
Nie skanuj archiwów samorozpakowujących.
- rtp
Skanuj pliki spakowane.
- no-rtp
Nie skanuj plików spakowanych.
- exclude = FOLDER
Wyłącz FOLDER ze skanowania.
- subdir
Skanuj podfoldery (parametr domyślny).
- no-subdir
Nie skanuj podfolderów.
- max-subdir-level = POZIOM
Określa maksymalny POZIOM zagnieżdżenia
podfolderów (wartość domyślna 0 = bez limitu).
- symlink
Uwzględniaj łącza symboliczne (parametr domyślny).
- no-symlink
Pomijaj łącza symboliczne.
- ext-remove = ROZSZERZENIA
- ext-exclude = ROZSZERZENIA
74
Wyłącz ze skanowania podane ROZSZERZENIA
oddzielone dwukropkami.
Metody:
- adware
Skanuj w poszukiwaniu adware/spyware/riskware.
- no-adware
Nie skanuj w poszukiwaniu adware/spyware/riskware.
- unsafe
Skanuj w poszukiwaniu potencjalnie niebezpiecznych
aplikacji.
- no-unsafe
Nie skanuj w poszukiwaniu potencjalnie niebezpiecznych
aplikacji.
- unwanted
Skanuj w poszukiwaniu potencjalnie niepożądanych
aplikacji.
- no-unwanted
Nie skanuj w poszukiwaniu potencjalnie niepożądanych
aplikacji.
- pattern
Używaj sygnatur.
- no-pattern
Nie używaj sygnatur.
- heur
Włącz heurystykę.
- no-heur
Wyłącz heurystykę.
- adv-heur
Włącz zaawansowaną heurystykę.
- no-adv-heur
Wyłącz zaawansowaną heurystykę.
Leczenie:
- action = CZYNNOŚĆ
Wykonaj CZYNNOŚĆ na zainfekowanych obiektach.
Dostępne czynności: none (brak), clean (wylecz), prompt
(wyświetl monit).
- quarantine
Kopiuj zainfekowane pliki do kwarantanny (uzupełnienie
parametru „action”).
- no-quarantine
Nie kopiuj zainfekowanych plików do kwarantanny.
Dzienniki:
- log-file=PLIK
Zapisuj wyniki w PLIKU.
- log-rewrite
Zastąp plik wyników (domyślnie — dołącz).
- log-all
Zapisuj również informacje o niezainfekowanych plikach.
- no-log-all
Nie zapisuj informacji o niezainfekowanych plikach
(parametr domyślny).
Możliwe kody zakończenia skanowania:
0
Nie znaleziono zagrożenia.
1
Wykryto zagrożenie, ale go nie usunięto.
10
Pozostały pewne zainfekowane pliki.
101
Wystąpił błąd archiwum.
102
Wystąpił błąd dostępu.
103
Wystąpił błąd wewnętrzny.
UWAGA: Kody zakończenia o wartości wyższej niż 100 oznaczają, że plik nie został przeskanowany i dlatego może
być zainfekowany.
75
4.1.5 Wydaj ność
W tej sekcji można ustalić liczbę aparatów skanowania technologii ThreatSense używanych do ochrony przed
wirusami. Większa liczba aparatów skanowania technologii ThreatSense używanych na komputerach z wieloma
procesorami może zwiększyć szybkość skanowania. Dopuszczalna wartość mieści się w przedziale od 1 do 20.
W przypadku braku innych ograniczeń zaleca się zwiększenie liczby aparatów skanowania technologii ThreatSense
w oknie Ustawienia zaawansowane (F5). Aby to zrobić, należy wybrać kolejno opcje Ochrona komputera >
Antywirus i antyspyware > Wydaj ność i skorzystać z następującego wzoru: liczba aparatów skanowania technologii
ThreatSense = (liczba fizycznych procesorów x 2) + 1. Liczba wątków skanowania powinna być taka sama jak liczba
aparatów skanowania technologii ThreatSense. Liczbę wątków skanowania można skonfigurować po wybraniu kolejno
opcji Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > VSAPI > Wydaj ność. Oto
przykład:
Załóżmy, że jest używany serwer z 4 procesorami. Najlepszą wydajność zgodnie z powyższym wzorem zapewni
użycie 9 wątków skanowania i 9 aparatów skanowania.
UWAGA: Zaleca się ustawienie jednakowej liczby wątków skanowania i używanych aparatów skanowania
technologii ThreatSense. Jeśli liczba używanych wątków skanowania przekroczy liczbę aparatów skanowania, nie
wpłynie to w żaden sposób na wydajność.
UWAGA: Zmiany wprowadzone w tej sekcji zostaną zastosowane dopiero po ponownym uruchomieniu.
4.1.6 Filtrowanie protokołów
Ochrona antywirusowa protokołów POP3 i HTTP jest realizowana z wykorzystaniem technologii ThreatSense, w
której połączono wszystkie zaawansowane techniki wykrywania szkodliwego oprogramowania. Monitorowanie
odbywa się automatycznie, niezależnie od przeglądarki internetowej i programu poczty e-mail. Dostępne są
następujące ustawienia filtrowania protokołów (jeśli zaznaczono opcję Włącz ochronę zawartości protokołów
aplikacj i):
Portów HTTP i POP3 — powoduje ograniczenie skanowania komunikacji do znanych portów HTTP i POP3.
Aplikacj i oznaczonych j ako przeglądarki internetowe lub programy poczty e-mail — po wybraniu tego
ustawienia filtrowana jest tylko komunikacja aplikacji oznaczonych jako przeglądarki internetowe (Ochrona
dostępu do stron internetowych > HTTP, HTTPS > Przeglądarki internetowe) i programy poczty e-mail (
Ochrona programów poczty e-mail > POP3, POP3s > Programy poczty e-mail).
Portów i aplikacj i oznaczonych j ako przeglądarki internetowe lub programy poczty e-mail — wykrywanie
szkodliwego oprogramowania obejmuje zarówno porty, jak i przeglądarki internetowe.
UWAGA: Począwszy od systemów Windows Vista z dodatkiem Service Pack 1 i Windows Server 2008 stosowana
jest nowa metoda filtrowania komunikacji. W efekcie sekcja Filtrowanie protokołów jest w tych systemach
niedostępna.
4.1.6.1 Protokół SSL
Program ESET Mail Security umożliwia sprawdzanie protokołów enkapsulowanych w protokole SSL. W przypadku
komunikacji chronionej protokołem SSL można stosować różne tryby skanowania z użyciem certyfikatów
zaufanych, nieznanych lub takich, które zostały wyłączone ze sprawdzania komunikacji chronionej przez protokół
SSL.
Zawsze skanuj protokół SSL — wybór tej opcji powoduje skanowanie całej komunikacji chronionej protokołem SSL
oprócz komunikacji chronionej za pomocą certyfikatów wyłączonych ze sprawdzania. W przypadku nawiązania
nowego połączenia z użyciem nieznanego, podpisanego certyfikatu użytkownik nie zostanie o tym powiadomiony,
a połączenie będzie automatycznie filtrowane. Przy próbie uzyskania przez użytkownika dostępu do serwera z
użyciem niezaufanego certyfikatu, który użytkownik oznaczył jako zaufany (dodając go do listy zaufanych
certyfikatów), komunikacja z serwerem nie zostanie zablokowana, a jej treść będzie filtrowana.
Pytaj o nieodwiedzane witryny (można ustawić wyłączenia) — po przejściu do nowej witryny chronionej
protokołem SSL (o nieznanym certyfikacie) będzie wyświetlane okno dialogowe z możliwością wyboru działania. W
tym trybie można utworzyć listę certyfikatów SSL, które zostaną wyłączone ze skanowania.
Nie skanuj protokołu SSL — po wybraniu tego ustawienia program nie będzie skanował komunikacji odbywającej
się za pośrednictwem protokołu SSL.
76
Jeśli nie można zweryfikować certyfikatu w magazynie zaufanych głównych urzędów certyfikacji (Filtrowanie
protokołów > SSL > Certyfikaty):
Pytaj o ważność certyfikatu — pojawia się monit o wybór działania, jakie należy podjąć.
Blokuj komunikacj ę używaj ącą certyfikatu — powoduje zakończenie połączenia z witryną używającą danego
certyfikatu.
Jeśli certyfikat stracił ważność lub jest uszkodzony (Filtrowanie protokołów > SSL > Certyfikaty):
Pytaj o ważność certyfikatu — pojawia się monit o wybór działania, jakie należy podjąć.
Blokuj komunikacj ę używaj ącą certyfikatu — powoduje zakończenie połączenia z witryną używającą danego
certyfikatu.
4.1.6.1.1 Zaufane certyfikaty
Jako uzupełnienie magazynu zaufanych głównych urzędów certyfikacji, w którym program ESET Mail Security
przechowuje zaufane certyfikaty, można utworzyć niestandardową listę zaufanych certyfikatów. Aby ją
wyświetlić, należy otworzyć okno Ustawienia zaawansowane (klawisz F5), a następnie wybrać kolejno opcje
Filtrowanie protokołów > SSL > Certyfikaty > Certyfikaty zaufane.
4.1.6.1.2 Wyłączone certyfikaty
Sekcja Wyłączone certyfikaty zawiera certyfikaty, które są uważane za bezpieczne. Zawartość szyfrowanej
komunikacji korzystającej z certyfikatów znajdujących się na tej liście nie będzie sprawdzana pod kątem zagrożeń.
Zalecane jest wykluczanie tylko takich certyfikatów sieciowych, których bezpieczeństwo jest zagwarantowane, a
komunikacja odbywająca się z ich użyciem nie wymaga sprawdzania.
4.1.7 Ustawienia parametrów technologii ThreatSense
ThreatSense to technologia obejmująca złożone metody wykrywania zagrożeń. Działa ona w sposób proaktywny,
co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana
jest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które
razem znacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, można
kontrolować kilka strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności.
Ponadto technologia ThreatSense pomyślnie eliminuje programy typu rootkit.
Za pomocą ustawień technologii ThreatSense można określić kilka parametrów skanowania:
typy i rozszerzenia plików, które mają być skanowane;
kombinacje różnych metod wykrywania;
poziomy leczenia itp.
Aby otworzyć okno konfiguracji, należy kliknąć przycisk Ustawienia... znajdujący się w oknie ustawień każdego
modułu, w którym wykorzystywana jest technologia ThreatSense (zobacz poniżej). Poszczególne scenariusze
zabezpieczeń mogą wymagać różnych konfiguracji. Technologię ThreatSense można konfigurować indywidualnie
dla następujących modułów ochrony:
Ochrona systemu plików w czasie rzeczywistym 61
Sprawdzanie plików wykonywanych przy uruchamianiu systemu
Ochrona poczty e-mail 65
Ochrona dostępu do stron internetowych 68
Skanowanie komputera na żądanie 71
Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów,
a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład wybór opcji skanowania wszystkich
plików spakowanych lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasie
rzeczywistym może spowodować spowolnienie działania systemu (w zwykłym trybie tylko nowo utworzone pliki
są skanowane z użyciem tych metod). Dlatego zalecane jest pozostawienie niezmienionych parametrów
domyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu skanowania komputera na
żądanie.
77
4.1.7.1 Ustawienia obiektów
W sekcji Obiekty można określać, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji.
Pamięć operacyj na – skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięć
operacyjną komputera.
Sektory startowe – skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzie
rozruchowym.
Pliki — skanowanie najczęściej używanych typów plików (programów, obrazów, plików audio, plików wideo,
plików baz danych itd.).
Pliki poczty – skanowanie specjalnych plików zawierających wiadomości e-mail.
Archiwa — skanowanie plików skompresowanych w archiwach (RAR, ZIP, ARJ, TAR itd.).
Archiwa samorozpakowuj ące – skanowanie plików znajdujących się w archiwach samorozpakowujących, które
mają zwykle rozszerzenie EXE.
Pliki spakowane — oprócz standardowych statycznych spakowanych plików skanowanie obejmuje też pliki, które
(w odróżnieniu od standardowych typów archiwów) są rozpakowywane w pamięci (UPX, yoda, ASPack, FGS itp.).
UWAGA: Niebieska kropka wyświetlana obok parametru informuje, że jego bieżące ustawienie jest różne od
ustawienia dla innych modułów, które również używają technologii ThreatSense. Ponieważ parametr można
skonfigurować inaczej dla każdego modułu, niebieska kropka jedynie przypomina, że parametr jest
skonfigurowany inaczej dla innych modułów. Brak niebieskiej kropki oznacza, że parametr jest skonfigurowany tak
samo dla wszystkich modułów.
4.1.7.2 Opcj e
W sekcji Opcj e można wybrać metody, które mają być stosowane podczas skanowania systemu w poszukiwaniu
infekcji. Dostępne są następujące opcje:
Heurystyka — heurystyka korzysta z algorytmu analizującego działania (szkodliwe) podejmowane przez
programy. Główną zaletą heurystyki jest możliwość wykrywania nowego szkodliwego oprogramowania, które
wcześniej nie istniało lub nie zostało umieszczone na liście znanych wirusów (w bazie sygnatur wirusów).
Zaawansowana heurystyka — zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym
opracowanym przez firmę ESET. Został on zoptymalizowany pod kątem wykrywania robaków i koni trojańskich
napisanych w językach programowania wysokiego poziomu. Dzięki zaawansowanej heurystyce znacznie wzrosła
skuteczność wykrywania zagrożeń przez program.
Potencj alnie niepożądane aplikacj e — aplikacje potencjalnie niepożądane nie muszą być tworzone w złych
intencjach, ale mogą negatywnie wpływać na wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj
78
wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed
instalacją. Najbardziej widoczne zmiany to wyświetlanie wyskakujących okienek, aktywacja i uruchamianie
ukrytych procesów, zwiększone użycie zasobów systemowych, zmiany w wynikach wyszukiwania oraz
komunikowanie się aplikacji ze zdalnymi serwerami.
Potencj alnie niebezpieczne aplikacj e — do aplikacji potencjalnie niebezpiecznych zaliczane są niektóre legalne
programy komercyjne. Są to m.in. narzędzia do dostępu zdalnego, dlatego ta opcja jest domyślnie wyłączona.
Potencj alnie niebezpieczne załączniki
Opcja Potencjalnie niebezpieczne załączniki zapewnia ochronę przed szkodliwymi zagrożeniami, które
rozprzestrzeniają się za pośrednictwem załączników do wiadomości e-mail, takich jak konie trojańskie typu
ransomware. Jednym z przykładów tego rodzaju zagrożeń może być plik wykonywalny sprawiający wrażenie
standardowego dokumentu (np. PDF), który po otwarciu przez użytkownika umożliwia zagrożeniu przeniknięcie
do systemu. Zagrożenie podejmuje następnie próbę zrealizowania szkodliwych celów.
79
4.1.7.3 Leczenie
Ustawienia leczenia określają sposób działania skanera w stosunku do zainfekowanych plików. Określone zostały 3
poziomy leczenia:
Brak leczenia — zainfekowane pliki nie są automatycznie leczone. Program wyświetla okno z ostrzeżeniem, a
użytkownik sam wybiera żądane działanie.
Leczenie standardowe — program próbuje automatycznie wyleczyć lub usunąć zainfekowany plik. Jeśli
automatyczny wybór właściwego działania nie jest możliwy, program umożliwia użytkownikowi wybór
dostępnych działań. Są one wyświetlane również wtedy, gdy wykonanie wstępnie zdefiniowanego działania nie
jest możliwe.
Leczenie dokładne — program leczy lub usuwa wszystkie zainfekowane pliki (w tym archiwa). Jedyny wyjątek
stanowią pliki systemowe. Jeśli ich wyleczenie nie jest możliwe, użytkownik może wybrać działanie w oknie z
ostrzeżeniem.
Ostrzeżenie: W trybie domyślnym cały plik archiwum jest usuwany tylko wtedy, gdy wszystkie pliki w tym
archiwum są zainfekowane. Jeśli zawiera również niezainfekowane pliki, nie jest usuwany. Jeśli zainfekowany plik
archiwum zostanie wykryty w trybie Leczenie dokładne, od razu usuwane jest całe archiwum, nawet jeśli zawiera
również niezainfekowane pliki.
80
4.1.7.4 Rozszerzenia
Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawień
parametrów technologii ThreatSense umożliwia określanie typów plików, które mają być skanowane.
Domyślnie skanowane są wszystkie pliki niezależnie od rozszerzenia. Do listy plików wyłączonych ze skanowania
można dodać dowolne rozszerzenie. Po usunięciu zaznaczenia pola wyboru Skanuj wszystkie pliki na liście
widoczne są wszystkie skanowane aktualnie rozszerzenia plików. Przy użyciu przycisków Dodaj i Usuń można
włączyć lub wyłączyć skanowanie określonych rozszerzeń.
Aby włączyć skanowanie plików bez rozszerzenia, należy zaznaczyć pole wyboru Skanuj pliki bez rozszerzeń.
Wykluczenie plików ze skanowania jest czasami konieczne, jeśli skanowanie pewnych typów plików uniemożliwia
prawidłowe działanie programu, który z nich korzysta. Na przykład podczas używania serwerów programu
Microsoft Exchange może być wskazane wyłączenie rozszerzeń EDB, EML i TMP.
4.1.7.5 Limity
W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają być
skanowane:
Maksymalny rozmiar obiektu – określa maksymalny rozmiar obiektów do skanowania. Dany moduł
antywirusowy będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Nie zaleca się zmieniania
wartości domyślnej, ponieważ zazwyczaj nie ma ku temu powodu. Do modyfikowania tej opcji powinni
przystępować tylko zaawansowani użytkownicy, mający określone powody do wykluczenia większych obiektów ze
skanowania.
Maksymalny czas skanowania dla obiektu (w sek.) – określa maksymalny czas przyznany na skanowanie
obiektu. Jeśli wprowadzono tu wartość zdefiniowaną przez użytkownika, moduł antywirusowy zatrzyma
skanowanie obiektu po upływie danego czasu, niezależnie od tego, czy skanowanie zostało zakończone.
Poziom zagnieżdżania archiwów – określa maksymalną głębokość skanowania archiwów. Nie zaleca się
zmieniania wartości domyślnej (równej 10); w normalnych warunkach nie powinno być powodów do jej
modyfikacji. Jeśli skanowanie zostanie przedwcześnie zakończone z powodu liczby zagnieżdżonych archiwów,
archiwum pozostanie niesprawdzone.
Maksymalny rozmiar pliku w archiwum – opcja ta pozwala określić maksymalny rozmiar plików znajdujących się
w archiwach (po rozpakowaniu tych plików), które mają być skanowane. Jeśli spowoduje to przedwczesne
81
zakończenie skanowania, archiwum pozostanie niesprawdzone.
4.1.7.6 Inne
Skanuj alternatywne strumienie danych (ADS) – alternatywne strumienie danych (ADS) używane w systemie
plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik
skanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych.
Uruchom skanowanie w tle z niskim priorytetem – każde skanowanie wymaga użycia pewnej ilości zasobów
systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych,
skanowanie można uruchomić z niskim priorytetem w tle, oszczędzając zasoby dla innych aplikacji.
Zapisuj w dzienniku wszystkie obiekty – wybranie tej opcji powoduje, że w pliku dziennika są zapisywane
informacje o wszystkich skanowanych plikach, nawet tych niezainfekowanych.
Włącz inteligentną optymalizacj ę – wybranie tej opcji powoduje, że przeskanowane już pliki nie są ponownie
skanowane (o ile nie zostały zmodyfikowane). Pliki są niezwłocznie skanowane ponownie po każdej aktualizacji
bazy sygnatur wirusów.
Zachowaj znacznik czasowy ostatniego dostępu – wybranie tej opcji pozwala zachować oryginalny znacznik
czasowy dostępu do plików zamiast jego aktualizacji (do użytku z systemami wykonywania kopii zapasowych
danych).
Przewij aj dziennik skanowania – opcja ta umożliwia włączenie lub wyłączenie przewijania dziennika. Po jej
zaznaczeniu informacje wyświetlane w oknie są przewijane w górę.
Wyświetl powiadomienie o zakończeniu skanowania w osobnym oknie – powoduje otwarcie osobnego okna z
informacjami o wynikach skanowania.
4.1.8 Wykryto infekcj ę
System może zostać zainfekowany z różnych źródeł, takich jak strony internetowe, udostępnione foldery, poczta email lub wymienne nośniki komputerowe (USB, dyski zewnętrzne, płyty CD i DVD, dyskietki itd.).
Jeśli komputer wykazuje symptomy zainfekowania szkodliwym oprogramowaniem, na przykład działa wolniej lub
często przestaje odpowiadać, zalecane jest wykonanie następujących czynności:
Uruchom program ESET Mail Security i kliknij opcję Skanowanie komputera.
Kliknij opcję Skanowanie inteligentne (więcej informacji można znaleźć w sekcji Skanowanie inteligentne
Po zakończeniu skanowania przejrzyj dziennik, aby sprawdzić liczbę przeskanowanych, zainfekowanych i
wyleczonych plików.
72
).
Aby przeskanować tylko określoną część dysku, kliknij opcję Skanowanie niestandardowe i wybierz obiekty, które
mają zostać przeskanowane w poszukiwaniu wirusów.
Ogólnym przykładem sposobu działania programu ESET Mail Security w przypadku wykrycia infekcji może być
sytuacja, w której infekcję wykrywa działający w czasie rzeczywistym monitor systemu plików z ustawionym
domyślnym poziomem leczenia. Następuje wtedy próba wyleczenia lub usunięcia pliku. Jeżeli nie określono
wstępnie czynności do wykonania przez moduł ochrony w czasie rzeczywistym, pojawi się okno alertu z monitem o
wybranie opcji. Zazwyczaj dostępne są opcje Wylecz, Usuń i Pozostaw. Nie zaleca się wybierania opcji Pozostaw,
ponieważ powoduje to pozostawienie zainfekowanych plików bez zmian. Jedyny wyjątek stanowi sytuacja, w
której użytkownik ma pewność, że dany plik jest nieszkodliwy i został wykryty błędnie.
Leczenie i usuwanie — leczenie należy stosować w przypadku zainfekowanego pliku, do którego wirus dołączył
82
szkodliwy kod. Należy najpierw podjąć próbę wyleczenia zainfekowanego pliku w celu przywrócenia go do stanu
pierwotnego. Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości.
Jeśli zainfekowany plik jest zablokowany lub używany przez proces systemowy, jest zazwyczaj usuwany po
odblokowaniu (najczęściej po ponownym uruchomieniu systemu).
Usuwanie plików w archiwach — w domyślnym trybie leczenia całe archiwum jest usuwane tylko wtedy, gdy
zawiera wyłącznie zainfekowane pliki i nie ma w nim żadnych niezainfekowanych plików. Oznacza to, że archiwa
nie są usuwane, jeśli zawierają również nieszkodliwe, niezainfekowane pliki. Należy jednak zachować ostrożność
podczas skanowania w trybie leczenia dokładnego, ponieważ w trybie tym każde archiwum zawierające co
najmniej jeden zainfekowany plik jest usuwane bez względu na stan pozostałych zawartych w nim plików.
4.2 Aktualizowanie programu
Regularna aktualizacja programu ESET Mail Security to podstawowa czynność gwarantująca utrzymanie
najwyższego poziomu ochrony. Moduł aktualizacji zapewnia aktualność programu na dwa sposoby – przez
aktualizowanie bazy sygnatur wirusów oraz aktualizowanie składników systemu.
Klikając w menu głównym opcję Aktualizacj a, można sprawdzić bieżący stan aktualizacji, w tym datę i godzinę
ostatniej pomyślnej aktualizacji oraz ustalić, czy w danej chwili należy przeprowadzić aktualizację. W głównym
oknie jest również wyświetlana wersja bazy sygnatur wirusów. Ten liczbowy wskaźnik stanowi aktywne łącze do
witryny internetowej firmy ESET zawierającej listę wszystkich sygnatur dodanych podczas określonej aktualizacji.
Dostępna jest również opcja ręcznej aktualizacji – Aktualizuj bazę sygnatur wirusów – oraz podstawowe opcje
konfiguracji aktualizacji, takie jak nazwa użytkownika i hasło do serwerów aktualizacji firmy ESET.
Łącze Aktywacj a produktu umożliwia otwarcie formularza rejestracji, dzięki któremu można aktywować produkt
firmy ESET oraz otrzymać wiadomość e-mail zawierającą dane uwierzytelniające (nazwę użytkownika oraz hasło).
83
UWAGA: Nazwa użytkownika i hasło są podawane przez firmę ESET po zakupie programu ESET Mail Security.
84
4.2.1 Ustawienia aktualizacj i
Sekcja ustawień aktualizacji umożliwia określenie informacji o źródle aktualizacji, w tym serwerów aktualizacji i
dotyczących ich danych uwierzytelniających. Domyślnie w menu rozwijanym Serwer aktualizacj i jest zaznaczona
opcja Wybierz automatycznie. Zapewnia ona automatyczne pobieranie plików aktualizacji z serwera firmy ESET
przy jak najmniejszym obciążaniu sieci. Ustawienia aktualizacji są dostępne w drzewie ustawień zaawansowanych
(klawisz F5) w części Aktualizacj a.
Lista dostępnych serwerów aktualizacji jest wyświetlana w menu rozwijanym Serwer aktualizacj i. Aby dodać
nowy serwer aktualizacji, kliknij przycisk Edytuj w sekcji Ustawienia aktualizacj i dla wybranego profilu, a
następnie kliknij przycisk Dodaj . Uwierzytelnianie na serwerach aktualizacji jest oparte na ustawieniach Nazwa
użytkownika i Hasło wygenerowanych i dostarczonych użytkownikowi w momencie zakupu programu.
85
4.2.1.1 Profile aktualizacj i
Dla różnych konfiguracji i zadań aktualizacji można tworzyć profile aktualizacji. Tworzenie profili aktualizacji jest
szczególnie przydatne w przypadku użytkowników mobilnych, ponieważ mogą oni utworzyć alternatywny profil
dla połączenia internetowego, którego właściwości regularnie się zmieniają.
W menu rozwijanym Wybrany profil jest wyświetlany aktualnie wybrany profil (domyślnie Mój profil). Aby
utworzyć nowy profil, kliknij przycisk Profile, a następnie kliknij przycisk Dodaj i wprowadź własną nazwę w polu
Nazwa profilu. Podczas tworzenia nowego profilu można skopiować ustawienia istniejącego profilu, wybierając
go z menu rozwijanego Kopiuj ustawienia z profilu.
W oknie konfiguracji profilu można określić serwer aktualizacji, wybierając go z listy dostępnych serwerów, lub
można dodać nowy serwer. Menu rozwijane Serwer aktualizacj i zawiera listę istniejących serwerów aktualizacji.
Aby dodać nowy serwer aktualizacji, kliknij przycisk Edytuj w sekcji Ustawienia aktualizacj i dla wybranego
profilu, a następnie kliknij przycisk Dodaj .
4.2.1.2 Zaawansowane ustawienia aktualizacj i
Aby wyświetlić okno zaawansowanych ustawień aktualizacji, należy kliknąć przycisk Ustawienia... Do
zaawansowanych ustawień aktualizacji należą m.in. Tryb aktualizacj i, Proxy HTTP, Sieć LAN i Kopia
dystrybucyj na.
4.2.1.2.1 Tryb aktualizacj i
Na karcie Tryb aktualizacj i dostępne są opcje związane z aktualizacją komponentów programu.
W sekcji Aktualizacj a komponentu programu dostępne są trzy ustawienia:
Nigdy nie aktualizuj komponentów programu: nowe aktualizacje komponentów programu nie będą
pobierane.
Zawsze aktualizuj komponenty programu: nowe aktualizacje komponentów programu będą automatycznie
pobierane i instalowane.
Pytaj przed pobraniem komponentów programu: ustawienie domyślne. Po udostępnieniu aktualizacji
komponentów programu będzie pojawiać się monit o potwierdzenie lub odrzucenie ich pobrania i
zainstalowania.
86
Po zaktualizowaniu komponentów programu konieczne może być ponowne uruchomienie komputera w celu
zapewnienia pełnej funkcjonalności wszystkich modułów. W sekcji Uruchom ponownie po uaktualnieniu
komponentu programu można wybrać jedno z następujących ustawień:
Nigdy nie uruchamiaj ponownie komputera
W razie potrzeby zaoferuj ponowne uruchomienie komputera
W razie potrzeby uruchom ponownie komputer bez powiadomienia
Ustawieniem domyślnym jest W razie potrzeby zaoferuj ponowne uruchomienie komputera. Wybór
najodpowiedniejszego ustawienia zależy od stacji roboczej, której będzie ono dotyczyć. Należy pamiętać o
różnicach między stacjami roboczymi a serwerami. Na przykład automatyczne ponowne uruchomienie serwera po
uaktualnieniu programu mogłoby spowodować poważne szkody.
87
4.2.1.2.2 Serwer proxy
W programie ESET Mail Security konfiguracja serwera proxy jest dostępna w dwóch sekcjach drzewa ustawień
zaawansowanych.
Po pierwsze, ustawienia serwera proxy można skonfigurować, wybierając kolejno opcje Inne > Serwer proxy.
Określenie serwera proxy na tym poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy dla całego
programu ESET Mail Security. Wprowadzone w tym miejscu parametry będą używane przez wszystkie moduły,
które wymagają połączenia internetowego.
Aby określić ustawienia serwera proxy na tym poziomie, należy zaznaczyć pole wyboru Użyj serwera proxy, a
następnie wprowadzić adres serwera w polu Serwer proxy oraz jego numer portu w polu Port.
Jeśli serwer proxy wymaga uwierzytelniania, należy zaznaczyć pole wyboru Serwer proxy wymaga
uwierzytelniania i wprowadzić w odpowiednie dane w polach Nazwa użytkownika i Hasło. Kliknięcie przycisku
Wykryj serwer proxy spowoduje automatyczne wykrycie i wprowadzenie ustawień serwera proxy. Zostaną
skopiowane parametry określone w programie Internet Explorer.
UWAGA: Dane uwierzytelniające (nazwa użytkownika i hasło) nie są automatycznie kopiowane i trzeba je
wprowadzić ręcznie.
Ustawienia serwera proxy można też skonfigurować w sekcji zaawansowanych ustawień aktualizacji. Mają one
wówczas zastosowanie do danego profilu aktualizacji. Dostęp do ustawień serwera proxy dla danego profilu
aktualizacji można uzyskać, klikając kartę Proxy HTTP w oknie Zaawansowane ustawienia aktualizacj i. Można
wybrać jedno z trzech ustawień:
Użyj globalnych ustawień serwera proxy
Nie używaj serwera proxy
Połączenie przez serwer proxy (zdefiniowane przy użyciu jego właściwości)
Wybór ustawienia Użyj globalnych ustawień serwera proxy spowoduje używanie ustawień serwera proxy
wprowadzonych w gałęzi Inne > Serwer proxy drzewa ustawień zaawansowanych (zgodnie z opisem na początku
niniejszego artykułu).
88
Aby przy aktualizacji programu ESET Mail Security nie korzystać z serwera proxy, należy wybrać ustawienie Nie
używaj serwera proxy.
Ustawienie Połączenie przez serwer proxy należy wybrać, jeśli aktualizowanie programu ESET Mail Security ma
się odbywać z użyciem serwera proxy, ale innego niż skonfigurowany w ustawieniach globalnych (Inne > Serwer
proxy). W takiej sytuacji należy wprowadzić dodatkowe ustawienia: adres serwera proxy i jego port komunikacyjny
oraz nazwę użytkownika i hasło, jeśli są wymagane w przypadku danego serwera.
Opcję tę należy również wybrać wtedy, gdy parametry serwera proxy nie zostały określone globalnie, ale program
ESET Mail Security będzie się łączyć z serwerem proxy przy pobieraniu aktualizacji.
Ustawieniem domyślnym jest Użyj globalnych ustawień serwera proxy.
4.2.1.2.3 Połączenie z siecią LAN
Na potrzeby pobierania aktualizacji z serwera lokalnego z systemem operacyjnym opartym na systemie Windows
NT domyślnie wymagane jest uwierzytelnianie każdego połączenia sieciowego. W większości przypadków konto
użytkownika w systemie lokalnym nie ma wystarczających uprawnień dostępu do folderu kopii dystrybucyjnej
(zawierającego kopie plików aktualizacji). Należy wówczas wprowadzić nazwę użytkownika i hasło w sekcji
ustawień aktualizacji lub wskazać istniejące już konto, w przypadku którego program będzie mógł uzyskać dostęp
do serwera aktualizacji (kopii dystrybucyjnej).
Aby skonfigurować takie konto, należy kliknąć kartę Sieć LAN. W sekcji Połącz z serwerem aktualizacj i j ako
znajdują się następujące ustawienia: Konto systemowe (domyślnie), Bieżący użytkownik i Określony
użytkownik.
89
Aby do uwierzytelniania używać konta systemowego, należy wybrać ustawienie Konto systemowe (domyślnie).
Zazwyczaj uwierzytelnianie nie jest przeprowadzane, jeśli w głównej sekcji ustawień aktualizacji nie podano
danych uwierzytelniających.
Aby mieć pewność, że program uwierzytelnia się, korzystając z konta aktualnie zalogowanego użytkownika, należy
wybrać ustawienie Bieżący użytkownik. Wadą tego rozwiązania jest to, że program nie jest w stanie połączyć się z
serwerem aktualizacji, jeśli akurat nie jest zalogowany żaden użytkownik.
Jeśli przy uwierzytelnianiu program ma używać określonego konta użytkownika, należy wybrać ustawienie
Określony użytkownik.
Ostrzeżenie: Jeśli wybrane jest ustawienie Bieżący użytkownik lub Określony użytkownik, przy zmianie
tożsamości w programie na żądanego użytkownika może wystąpić błąd. Zalecane jest podanie danych
uwierzytelniających w sieci LAN w głównej sekcji ustawień aktualizacji. Należy wprowadzić następujące
informacje: nazwa_domeny\użytkownik (w przypadku grupy roboczej nazwa_grupy_roboczej\nazwa) oraz hasło.
W przypadku aktualizacji z wersji HTTP serwera lokalnego uwierzytelnianie nie jest wymagane.
90
4.2.1.2.4 Tworzenie kopii aktualizacj i — kopia dystrybucyj na
Program ESET Mail Security pozwala na tworzenie kopii plików aktualizacji, których można używać do
aktualizowania innych stacji roboczych znajdujących się w sieci. Aktualizowanie klienckich stacji roboczych przy
użyciu kopii dystrybucyjnej pozwala na oszczędne korzystanie z przepustowości połączenia internetowego.
Opcje konfiguracji lokalnego serwera kopii dystrybucyjnej są dostępne (po dodaniu prawidłowego klucza
licencyjnego w menedżerze licencji znajdującym się w sekcji ustawień zaawansowanych programu ESET Mail
Security) w sekcji Zaawansowane ustawienia aktualizacj i. . Aby uzyskać do niej dostęp, należy nacisnąć klawisz
F5, kliknąć w drzewie ustawień zaawansowanych pozycję Aktualizacj a, a następnie kliknąć przycisk Ustawienia...
obok opcji Zaawansowane ustawienia aktualizacj i i wybrać kartę Kopia dystrybucyj na.
Pierwszą czynnością w ramach konfigurowania kopii dystrybucyjnej jest wybranie opcji Utwórz kopię
dystrybucyjną aktualizacji. Powoduje to uaktywnienie innych opcji konfiguracji kopii dystrybucyjnej, na przykład
sposobu udostępniania plików aktualizacji oraz ścieżki dostępu do kopii dystrybucyjnej aktualizacji.
Metody uaktywniania kopii dystrybucyjnej opisano szczegółowo w sekcji Aktualizowanie przy użyciu kopii
dystrybucyjnej 92 . Należy zwrócić uwagę na fakt, że występują dwie podstawowe metody dostępu do kopii
dystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub jako serwer HTTP.
Folder przeznaczony do przechowywania plików aktualizacji na potrzeby kopii dystrybucyjnej należy wskazać w
sekcji Folder przechowywania kopii dystrybucyj nej aktualizacj i. Należy kliknąć przycisk Folder..., aby przejść do
folderu na komputerze lokalnym lub do udostępnionego folderu sieciowego. Jeśli dany folder wymaga autoryzacji,
należy wprowadzić dane uwierzytelniające w polach Nazwa użytkownika i Hasło. Nazwę użytkownika i hasło
należy wprowadzić w formacie domena/użytkownik lub grupa_robocza/użytkownik. Należy pamiętać o podaniu
odpowiednich haseł.
Podczas konfigurowania kopii dystrybucyjnej użytkownik może też określić wersje językowe, dla których mają być
pobierane kopie plików aktualizacji. Ustawienia wersji językowej są dostępne w sekcji Pliki — Dostępne wersj e.
UWAGA: Baza danych modułu antyspamowego nie może być aktualizowana przy użyciu kopii dystrybucyjnej. Aby
uzyskać więcej informacji na temat poprawnego aktualizowania bazy danych modułu antyspamowego, kliknij
tutaj 38 .
91
4.2.1.2.4.1 Aktualizowanie przy użyciu kopii dystrybucyj nej
Występują dwie podstawowe metody dostępu do kopii dystrybucyjnej: folder z plikami aktualizacji może być
udostępniany jako folder sieciowy lub jako serwer HTTP.
Uzyskiwanie dostępu do kopii dystrybucyj nej przy użyciu wewnętrznego serwera HTTP
Jest to ustawienie domyślne, wybrane we wstępnie zdefiniowanej konfiguracji programu. Aby zezwolić na dostęp
do plików kopii dystrybucyjnej przy użyciu serwera HTTP, należy przejść do sekcji Zaawansowane ustawienia
aktualizacj i (karta Kopia dystrybucyj na) i wybrać opcję Utwórz kopię dystrybucyj ną aktualizacj i.
W sekcji Ustawienia zaawansowane na karcie Kopia dystrybucyj na można określić Port serwera, na którym
będzie nasłuchiwał serwer HTTP, a także typ uwierzytelniania stosowanego na serwerze HTTP. Domyślnie
ustawiony jest port serwera numer 2221. W ramach opcji Uwierzytelnianie można określić metodę
uwierzytelniania dostępu do plików aktualizacji. Dostępne są następujące opcje: BRAK, Podstawowe i NTLM.
Wybranie ustawienia Podstawowe spowoduje stosowanie kodowania base64 i podstawowej metody
uwierzytelniania, opartej na nazwie użytkownika i haśle. Opcja NTLM umożliwia uwierzytelnianie przy użyciu
bezpiecznego kodowania. Na potrzeby uwierzytelniania używane jest konto użytkownika utworzone na stacji
roboczej udostępniającej pliki aktualizacji. Ustawienie domyślne BRAK zapewnia dostęp do plików aktualizacji bez
konieczności uwierzytelniania.
Ostrzeżenie: Aby dostęp do plików aktualizacji był możliwy za pośrednictwem serwera HTTP, folder kopii
dystrybucyjnej musi znajdować się na tym samym komputerze co program ESET Mail Security, za pomocą którego
folder ten został utworzony.
Po zakończeniu konfigurowania kopii dystrybucyjnej należy wprowadzić na stacjach roboczych nowy adres serwera
aktualizacji w formacie http://adres_IP_serwera:2221. W tym celu:
Wyświetl w programie ESET Mail Security drzewo Ustawienia zaawansowane i kliknij gałąź Aktualizacj a.
Kliknij przycisk Edytuj … po prawej stronie menu rozwijanego Serwer aktualizacj i i dodaj nowy serwer w
następującym formacie: http://adres_IP_serwera:2221.
Wybierz nowo dodany serwer z listy serwerów aktualizacji.
Uzyskiwanie dostępu do kopii dystrybucyj nej za pośrednictwem udziałów systemowych
Najpierw na urządzeniu lokalnym lub sieciowym należy utworzyć udostępniony folder. Podczas tworzenia folderu
przeznaczonego do przechowywania kopii dystrybucyjnych konieczne jest zapewnienie dostępu z uprawnieniami
do zapisu dla użytkownika, który będzie zapisywać pliki w folderze, oraz dostępu z uprawnieniami do odczytu dla
wszystkich użytkowników, którzy będą aktualizować program ESET Mail Security przy użyciu tej metody.
Następnie należy skonfigurować dostęp do kopii dystrybucyjnej w sekcji Zaawansowane ustawienia aktualizacj i
(karta Kopia dystrybucyj na), wyłączając opcję Udostępnij pliki aktualizacj i za pośrednictwem wewnętrznego
serwera HTTP. Ta opcja jest domyślnie włączona w pakiecie instalacyjnym programu.
Jeśli udostępniony folder znajduje się na innym komputerze w sieci, należy koniecznie określić metodę
92
uwierzytelniania wymaganą w celu uzyskania do niego dostępu. Aby wprowadzić dane uwierzytelniające, należy
wyświetlić w programie ESET Mail Security drzewo ustawień zaawansowanych (klawisz F5) i kliknąć gałąź
Aktualizacj a. Należy kliknąć przycisk Ustawienia..., a następnie kliknąć kartę Sieć LAN. Jest to to samo
ustawienie, które należy skonfigurować na potrzeby aktualizacji zgodnie z opisem w rozdziale Połączenie z siecią
LAN 89 .
Po skonfigurowaniu kopii dystrybucyjnej na stacjach roboczych należy podać lokalizację serwera aktualizacji w
formacie \\ŚCIEŻKA_UNC\ŚCIEŻKA. W tym celu:
Wyświetl w programie ESET Mail Security drzewo ustawień zaawansowanych i kliknij gałąź Aktualizacj a.
Kliknij przycisk Edytuj ... znajdujący się obok opcji Serwer aktualizacji i podaj lokalizację nowego serwera w
formacie \\ŚCIEŻKA_UNC\ŚCIEŻKA.
Wybierz nowo dodany serwer z listy serwerów aktualizacji.
UWAGA: Aby zapewnić prawidłowe działanie, ścieżkę do folderu kopii dystrybucyjnej należy podać w formacie
UNC. Pobieranie aktualizacji z dysków zmapowanych może nie działać.
4.2.1.2.4.2 Rozwiązywanie problemów z aktualizacj ą przy użyciu kopii dystrybucyj nej
W większości przypadków problemy występujące podczas aktualizacji przy użyciu serwera kopii dystrybucyjnych są
powodowane przez jedną z następujących przyczyn: nieprawidłowe skonfigurowanie opcji folderu kopii
dystrybucyjnej, nieprawidłowe dane uwierzytelniania w folderze kopii dystrybucyjnej, nieprawidłowa konfiguracja
na lokalnych stacjach roboczych próbujących pobrać pliki aktualizacji z kopii dystrybucyjnej. Przyczyny te mogą
występować razem. Poniżej omówiono najczęstsze problemy dotyczące aktualizacji przy użyciu kopii
dystrybucyjnej:
Program ESET Mail Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyj nej
— problem ten jest prawdopodobnie spowodowany nieprawidłowym skonfigurowaniem serwera aktualizacji
(ścieżki sieciowej do folderu kopii dystrybucyjnej), z którego lokalne stacje robocze pobierają aktualizacje. Aby
sprawdzić folder, należy kliknąć w systemie Windows przycisk Start, kliknąć polecenie Uruchom, wpisać nazwę
folderu i kliknąć przycisk OK. Wyświetlona powinna zostać zawartość folderu.
Program ESET Mail Security wymaga nazwy użytkownika i hasła — problem ten jest prawdopodobnie
spowodowany podaniem w sekcji aktualizacji nieprawidłowych danych uwierzytelniających (nazwy użytkownika i
hasła). Nazwa użytkownika i hasło umożliwiają uzyskanie dostępu do serwera aktualizacji, który zostanie użyty do
zaktualizowania programu. Należy się upewnić, że dane uwierzytelniające są prawidłowe i zostały wprowadzone
we właściwym formacie, na przykład domena/użytkownik lub grupa_robocza/użytkownik plus odpowiednie hasło. Jeśli
serwer kopii dystrybucyjnej jest dostępny „dla wszystkich”, należy mieć świadomość, że nie oznacza to, iż każdy
użytkownik otrzyma dostęp. „Wszyscy” nie oznacza dowolnego nieautoryzowanego użytkownika. Oznacza to
jedynie, że folder jest dostępny dla wszystkich użytkowników w ramach domeny. Dlatego nawet w takim
przypadku należy wprowadzić w sekcji ustawień aktualizacji nazwę użytkownika domeny i hasło.
Program ESET Mail Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyj nej
— komunikacja przez port określony dla serwera HTTP udostępniającego kopię dystrybucyjną jest zablokowana.
4.2.2 Tworzenie zadań aktualizacj i
Aktualizacje można uruchamiać ręcznie, klikając opcję Aktualizuj bazę sygnatur wirusów w oknie głównym
wyświetlanym po kliknięciu opcji Aktualizacja w menu głównym.
Inną możliwością jest wykonywanie aktualizacji jako zaplanowanych zadań. Aby skonfigurować zaplanowanie
zadanie, kliknij kolejno opcje Narzędzia > Harmonogram. Domyślnie w programie ESET Mail Security są aktywne
następujące zadania:
Regularne aktualizacj e automatyczne
Automatyczna aktualizacj a po nawiązaniu połączenia modemowego
Automatyczna aktualizacj a po zalogowaniu użytkownika
Każde z zadań aktualizacji można zmodyfikować zgodnie z potrzebami użytkownika. Oprócz domyślnych zadań
aktualizacji można tworzyć nowe zadania z konfiguracją zdefiniowaną przez użytkownika. Więcej szczegółowych
informacji na temat tworzenia i konfigurowania zadań aktualizacji można znaleźć w sekcji Harmonogram 94 .
93
4.3 Harmonogram
Harmonogram jest dostępny, gdy w programie ESET Mail Security zostanie włączony tryb zaawansowany. Opcja
Harmonogram znajduje się w menu głównym programu ESET Mail Security w kategorii Narzędzia. Okno
Harmonogram zawiera listę wszystkich zaplanowanych zadań oraz ich właściwości konfiguracyjne, takie jak
wstępnie zdefiniowany dzień, godzina i używany profil skanowania.
Domyślnie w oknie Harmonogram są wyświetlane następujące zaplanowane zadania:
Regularne aktualizacj e automatyczne
Automatyczna aktualizacj a po nawiązaniu połączenia modemowego
Automatyczna aktualizacj a po zalogowaniu użytkownika
Automatyczne sprawdzanie plików przy uruchamianiu (po zalogowaniu użytkownika)
Automatyczne sprawdzanie plików przy uruchamianiu (po pomyślnej aktualizacj i bazy sygnatur wirusów)
Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania (zarówno domyślnego, jak i zdefiniowanego
przez użytkownika), należy kliknąć prawym przyciskiem myszy zadanie i wybrać opcję Edytuj lub wybrać zadanie,
które ma zostać zmodyfikowane, i kliknąć przycisk Edytuj .
4.3.1 Cel planowania zadań
Harmonogram służy do zarządzania zaplanowanymi zadaniami i uruchamiania ich ze wstępnie zdefiniowaną
konfiguracją i właściwościami. Konfiguracja i właściwości zawierają informacje, na przykład datę i godzinę, jak
również określone profile używane podczas wykonywania zadania.
94
4.3.2 Tworzenie nowych zadań
Aby utworzyć nowe zadanie w Harmonogramie, kliknij przycisk Dodaj lub kliknij prawym przyciskiem myszy i z
menu kontekstowego wybierz opcję Dodaj . Dostępnych jest pięć typów zaplanowanych zadań:
Uruchom aplikacj ę zewnętrzną
Sprawdzanie plików wykonywanych przy uruchamianiu systemu
Tworzenie zapisu bieżącego stanu komputera
Skanowanie komputera na żądanie
Aktualizacj a
Ponieważ jednym z najczęściej używanych zadań planowanych jest Aktualizacj a, zostanie przedstawiony sposób
dodawania nowego zadania aktualizacji.
Z menu rozwijanego Zaplanowane zadanie wybierz opcję Aktualizacj a. Kliknij przycisk Dalej i wprowadź nazwę
zadania w polu Nazwa zadania . Wybierz częstotliwość zadania. Dostępne są następujące opcje: Jednorazowo,
Wielokrotnie, Codziennie, Cotygodniowo i Po wystąpieniu zdarzenia. Na podstawie wybranej częstotliwości
wyświetlane są monity o różne parametry aktualizacji. Następnie zdefiniuj czynność podejmowaną w przypadku,
gdy nie można wykonać lub zakończyć zadania w zaplanowanym czasie. Dostępne są następujące trzy opcje:
Czekaj do następnego zaplanowanego terminu
Uruchom zadanie j ak naj szybciej
Uruchom zadanie natychmiast, j eśli od ostatniego wykonania upłynęło — okres można określić za pomocą
pola przewijania „ponad (godziny)”
W kolejnym kroku zostanie wyświetlone okno z podsumowaniem informacji dotyczących bieżącego zadania.
Opcja Uruchom zadanie z określonymi parametrami powinna być automatycznie włączona. Kliknij przycisk
Zakończ.
Zostanie wyświetlone okno dialogowe umożliwiające wybranie profilów używanych z zaplanowanym zadaniem. W
tym miejscu można określić profil główny i alternatywny, który będzie używany w przypadku braku możliwości
wykonania zadania przy użyciu profilu głównego. Potwierdź zmiany, klikając przycisk OK w oknie Profile
aktualizacj i. Nowe zaplanowane zadanie zostanie dodane do listy aktualnie zaplanowanych zadań.
95
4.4 Kwarantanna
Głównym zadaniem kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawać
kwarantannie w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane albo gdy
są one nieprawidłowo wykrywane przez program ESET Mail Security.
Kwarantanną można objąć dowolny plik. Takie działanie jest zalecane, jeśli plik zachowuje się w podejrzany
sposób, ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane kwarantannie można przesyłać do
analizy w laboratorium firmy ESET.
Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę
przeniesienia do kwarantanny, ścieżkę do pierwotnej lokalizacji zainfekowanego pliku, rozmiar pliku w bajtach,
powód (dodane przez użytkownika) oraz liczbę zagrożeń (np. jeśli plik jest archiwum zawierającym wiele
zagrożeń).
4.4.1 Poddawanie plików kwarantannie
Program ESET Mail Security automatycznie poddaje kwarantannie usunięte pliki (jeśli nie anulowano tej opcji w
oknie alertu). W razie potrzeby można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk
Kwarantanna W takim przypadku dany plik nie jest usuwany z pierwotnej lokalizacji. W tym celu można również
skorzystać z menu kontekstowego, klikając prawym przyciskiem myszy w oknie Kwarantanna i wybierając opcję
Dodaj .
96
4.4.2 Przywracanie plików z kwarantanny
Pliki poddane kwarantannie można przywracać do ich pierwotnej lokalizacji. Służy do tego funkcja Przywróć, która
jest dostępna w oknie Kwarantanna w menu kontekstowym po kliknięciu danego pliku prawym przyciskiem
myszy. Menu kontekstowe zawiera także opcję Przywróć do umożliwiającą przywrócenie pliku do lokalizacji innej
niż ta, z której został usunięty.
UWAGA: jeśli w programie nastąpi pomyłkowe przeniesienie nieszkodliwego pliku do kwarantanny, należy po jego
przywróceniu wyłączyć plik ze skanowania i wysłać go do działu obsługi klienta firmy ESET.
4.4.3 Przesyłanie pliku z kwarantanny
Jeśli poddano kwarantannie podejrzany plik, który nie został wykryty przez program, lub jeśli plik został błędnie
oceniony jako zainfekowany (np. w drodze analizy heurystycznej kodu) i następnie poddany kwarantannie, należy
przesłać plik do laboratorium firmy ESET. Aby przesłać plik z kwarantanny, należy kliknąć go prawym przyciskiem
myszy i z menu kontekstowego wybrać opcję Prześlij do analizy.
97
4.5 Pliki dziennika
W dziennikach są przechowywane informacje o ważnych zdarzeniach, takich jak wykryte infekcje, dzienniki
skanera rezydentnego i skanera na żądanie czy informacje o systemie.
Dzienniki ochrony przed spamem oraz szarej listy (aby przejść do tych i innych dzienników, należy wybrać opcje
Narzędzia > Pliki dziennika) zawierają szczegółowe informacje na temat wiadomości, które zostały zeskanowane,
oraz wykonanych później czynności związanych z tymi wiadomościami. Dzienniki mogą być bardzo przydatne w
przypadku szukania niedostarczonej wiadomości e-mail, sprawdzania, dlaczego wiadomość została oznaczona
jako spam itp.
98
Ochrona przed spamem
W tym miejscu są rejestrowane wszystkie wiadomości, które według programu ESET Mail Security są lub mogą być
spamem.
Opis kolumn:
Czas — czas utworzeniu wpisu w dzienniku ochrony przed spamem.
Nadawca — adres nadawcy.
Odbiorca — adres odbiorcy.
Temat — temat wiadomości.
Wynik — przypisany do wiadomości wynik spamu (od 0 do 100).
Powód — wskazuje przyczynę uznania wiadomości za spam. Wyświetlony wskaźnik ma największe znaczenie. Aby
zobaczyć inne wskaźniki, kliknij dwukrotnie wpis. Zostanie wyświetlone okno Powód, w którym będą widoczne
pozostałe wskaźniki w porządku malejącym według znaczenia.
Adres URL j est znany z rozsyłania
spamu
Adresy URL dostępne w wiadomościach często ułatwiają klasyfikowanie
ich jako spamu.
Format HTML (czcionki, kolory itd.)
Formatowanie elementów części wiadomości utworzonej formacie
HTML może zawierać znaki charakterystyczne dla spamu (rodzaj i kolor
czcionki itd.)
Sztuczki spamowe: zaciemnianie kodu Słowa charakterystyczne dla spamu często są maskowane za pomocą
innych znaków. Typowym przykładem jest słowo „Viagra” często
zapisywane jako „V1agra” w celu pominięcia ochrony przed spamem.
Spam wykorzystuj ący obrazy w kodzie Inną metodą unikania ochrony przed spamem jest wysyłanie
HTML
wiadomości spamu w postaci obrazów. Takie obrazy najczęściej
zawierają interaktywne łącza do stron internetowych.
Formatowanie adresu URL domeny
hosta usługi
Adres URL zawiera domenę hosta usługi.
Spamowe słowo kluczowe
Wiadomość zawiera słowa charakterystyczne dla spamu.
Niespój ność nagłówków wiadomości e- Informacje w nagłówku są zmieniane tak, aby wskazywały nadawcę
mail
innego niż oryginalny.
Wirus
Wiadomość zawiera podejrzany załącznik.
Phishing
Wiadomość zawiera tekst charakterystyczny dla wiadomości używanych
99
do ataków typu „phishing”.
Replika
Wiadomość zawiera tekst charakterystyczny dla kategorii spamu, za
pośrednictwem którego oferowane są podrabiane towary.
Ogólny wskaźnik spamu
Wiadomość zawiera słowa/znaki charakterystyczne dla spamu, na
przykład „Dear friend” (Drogi przyjacielu), „hello winner” (Witaj,
zwycięzco), „!!!” itp.
Wskaźnik pseudo-spamu
Ten wskaźnik ma funkcję odmienną od pozostałych wymienionych
wskaźników. Analizuje on elementy typowe dla standardowych
wiadomości niebędących spamem. Obniża on ogólny wynik spamu.
Nieokreślony wskaźnik spamu
Wiadomość zawiera inne elementy spamu, takie jak kodowanie base64.
Niestandardowe frazy spamowe
Inne wyrażenia typowe dla spamu.
Adres URL znaj duj e się na czarnej liście Adres URL zawarty w wiadomości znajduje się na czarnej liście.
Adres IP %s znaj duj e się na liście RBL
Adres IP ... znajduje się na liście RBL.
Adres URL %s znaj duj e się na liście
DNSBL
Adres URL ... znajduje się na liście DNSBL.
Adres URL %s znaj duj e się na liście RBL Adres URL ... znajduje się na liście RBL lub serwer nie posiada uprawnień
lub serwer nie posiada uprawnień do wymaganych do wysyłania wiadomości e-mail. Adresy będące częścią
wysyłania poczty
trasy wiadomości e-mail są sprawdzane na liście RBL. Ostatni adres jest
też testowany pod kątem uprawnień do łączenia się z publicznymi
serwerami poczty. Jeśli nie można wykryć ważnych uprawnień do
łączenia się, adres znajduje się na liście LBL. Wiadomości oznaczone jako
spam z powodu wskaźnika LBL zawierają w polu Powód następujący
tekst: „serwer nie posiada uprawnień do wysyłania poczty”.
Czynność — czynność wykonywana w odniesieniu do wiadomości. Możliwe czynności:
Zachowano
Nie wykonano żadnego działania w odniesieniu do wiadomości.
Poddano kwarantannie
Wiadomość została przeniesiona do kwarantanny.
Wyleczono i poddano
kwarantannie
Wirus został usunięty z wiadomości, a wiadomość poddano kwarantannie.
Odrzucono
Wiadomość została odrzucona. Do nadawcy wysłano odpowiedź odmowną
serwera SMTP 20 .
Usunięto
Wiadomość została usunięta w trybie cichym 20 .
Odebrano — czas odebrania wiadomości przez serwer.
UWAGA: Jeśli wiadomości są odbierane za pośrednictwem serwera poczty e-mail, godziny w polach Czas i
Odebrano są niemal identyczne.
100
Szara lista
W tym dzienniku rejestrowane są wszystkie wiadomości ocenione za pomocą szarej listy.
Opis kolumn:
Czas — czas utworzeniu wpisu w dzienniku ochrony przed spamem.
Domena HELO — nazwa domeny, za pomocą której serwer nadawczy identyfikuje się podczas komunikacji z
serwerem odbiorczym.
Adres IP — adres IP nadawcy.
Nadawca — adres nadawcy.
Odbiorca — adres odbiorcy.
Czynność — może zawierać informacje o następujących stanach:
Odrzucono
Wiadomość przychodząca została odrzucona za pomocą podstawowej zasady
szarej listy (pierwsza próba dostarczenia).
Odrzucono (nie
zweryfikowano)
Wiadomość przychodząca została ponownie dostarczona przez serwer nadawczy,
ale limit czasu odrzucenia połączenia jeszcze nie upłynął (Limit czasu dla
początkowego odrzucania połączeń).
Zweryfikowano
Wiadomość przychodząca została kilka razy dostarczona ponownie przez serwer
nadawczy. Limit czasu dla początkowego odrzucania połączeń upłynął, a
wiadomość została pomyślnie zweryfikowana i dostarczona. Zobacz też Agent
transportu 39 .
Czas do zakończenia — czas, po którym upłynie Limit czasu dla początkowego odrzucania połączeń.
Wykryte zagrożenia
Dziennik zagrożeń udostępnia szczegółowe informacje na temat infekcji wykrytych przez moduły programu ESET
Mail Security. Podaje on między innymi: godzinę wykrycia, rodzaj skanera, rodzaj obiektu, nazwę obiektu, nazwę
infekcji, lokalizację, wykonaną czynność oraz nazwę użytkownika zalogowanego w czasie wykrycia infekcji. Aby
skopiować lub usunąć wiersze dziennika (bądź usunąć cały dziennik), należy skorzystać z menu kontekstowego
(wystarczy kliknąć prawym przyciskiem myszy wybrany element).
Zdarzenia
Dziennik zdarzeń zawiera informacje na temat zdarzeń i błędów, które wystąpiły w programie. Często pomagają
one znaleźć rozwiązanie problemów napotkanych podczas pracy z programem.
101
Skanowanie komputera na żądanie
Dziennik skanera zawiera informacje na temat wyników ręcznych i zaplanowanych operacji skanowania. Każdy
wiersz odpowiada jednej operacji skanowania. Podawane są następujące informacje: data i godzina skanowania,
łączna liczba przeskanowanych, zarażonych i zdrowych plików oraz bieżący stan skanowania.
Dwukrotne kliknięcie wybranego wpisu dziennika w obszarze Skanowanie komputera na żądanie powoduje
wyświetlenie szczegółowych informacji na jego temat w osobnym oknie.
Zaznaczone wpisy (z dowolnego dziennika) można skopiować za pomocą menu kontekstowego (dostępnego po
kliknięciu prawym przyciskiem myszy).
4.5.1 Filtrowanie dziennika
Filtrowanie dziennika to użyteczna funkcja, która ułatwia wyszukiwanie rekordów w plikach dziennika, zwłaszcza
gdy liczba rekordów jest na tyle duża, że trudno jest znaleźć potrzebne informacje szczegółowe.
Jako kryteria można wpisać ciąg znaków do odfiltrowania (pole Co), wskazać kolumny do przeszukiwania (Szukaj
w kolumnach), wybrać Typy rekordów i zaznaczyć Okres w celu ograniczenia liczby rekordów. Po
skonfigurowaniu określonych opcji filtrowania w oknie Pliki dziennika widoczne będą tylko rekordy spełniające
kryteria, co zapewnia łatwy i szybki dostęp do poszukiwanych informacji.
Aby otworzyć okno Filtrowanie dziennika, należy kliknąć przycisk Filtr... w obszarze Narzędzia > Pliki dziennika
lub użyć skrótu klawiszowego Ctrl+Shift+F.
UWAGA: W celu wyszukania określonego rekordu można zamiast filtrowania dziennika lub w połączeniu z nim
skorzystać z funkcji Znajdź w dzienniku 103 .
Po skonfigurowaniu określonych opcji filtrowania w oknie Pliki dziennika będą widoczne tylko rekordy spełniające
kryteria filtra. Pozwoli to na odfiltrowanie rekordów/ograniczenie ich liczby i ułatwi znalezienie poszukiwanych
informacji. Im bardziej szczegółowe ustawienia filtra, tym ściślejsze wyniki.
Co: Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną wyświetlone tylko rekordy zawierające dany
ciąg. Dla lepszej czytelności pozostałe rekordy będą niewidoczne.
Szukaj w kolumnach: Należy wybrać kolumny, które mają być brane pod uwagę podczas filtrowania. Na potrzeby
filtrowania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny:
Godzina
Moduł
Zdarzenie
Użytkownik
102
Typy rekordów: Umożliwia wybór typu rekordów do wyświetlenia. Można wskazać jeden określony typ rekordu,
wiele typów naraz lub wszystkie widoczne typy rekordów (domyślnie):
Diagnostyka
Informacj a
Ostrzeżenie
Błąd
Krytyczne
Okres: Ta opcja służy do filtrowania rekordów według okresu. Można wybrać jedno z następujących ustawień:
Cały dziennik (domyślnie) — filtrowanie według okresu jest wyłączone i wyświetlany jest cały dziennik.
Ostatni dzień
Ostatni tydzień
Ostatni miesiąc
Odstęp czasu — można określić dokładny okres (daty i godziny), aby wyświetlać tylko rekordy zarejestrowane w
tym czasie.
Oprócz powyższych ustawień filtrowania dostępne są następujące opcje:
Tylko całe wyrazy — wyświetlanie tylko rekordów, które odpowiadają z dokładnością do całych wyrazów ciągowi
wprowadzonemu w polu tekstowym Co.
Uwzględniaj wielkość liter — wyświetlanie tylko rekordów, które odpowiadają z dokładnością do wielkości liter
ciągowi wprowadzonemu w polu tekstowym Co.
Włącz inteligentne filtrowanie — po włączeniu tej opcji program ESET Mail Security przeprowadza filtrowanie z
użyciem własnych metod.
Po skonfigurowaniu opcji filtrowania należy kliknąć przycisk OK, aby zastosować filtr. W oknie Pliki dziennika będą
widoczne tylko rekordy odpowiadające wybranym kryteriom.
4.5.2 Znaj dowanie w dzienniku
Uzupełnieniem opcji filtrowania dziennika 102 jest funkcja wyszukiwania w plikach dziennika, z której można też
korzystać niezależnie od filtrowania. Jest ona przydatna w razie potrzeby znalezienia określonych rekordów w
dziennikach. Analogicznie do filtrowania, wyszukiwanie ułatwia dotarcie do potrzebnych informacji, zwłaszcza gdy
zarejestrowanych jest zbyt wiele rekordów.
Przy korzystaniu z funkcji Znajdź w dzienniku można wpisać ciąg znaków do znalezienia (Co), wskazać kolumny do
przeszukiwania (Szukaj w kolumnach), wybrać Typy rekordów i zaznaczyć Okres, aby przeszukiwać tylko rekordy
zarejestrowane w danym przedziale czasu. Po skonfigurowaniu określonych opcji wyszukiwania w oknie Pliki
dziennika będą widoczne tylko odpowiadające im rekordy.
W celu wyszukiwania w dziennikach należy otworzyć okno Znaj dź w dzienniku, naciskając kombinację klawiszy
Ctrl+F.
UWAGA: Funkcji Znajdź w dzienniku można używać w połączeniu z filtrowaniem dziennika 102 . Na początek można
ograniczyć liczbę rekordów za pomocą filtrowania, a następnie rozpocząć wyszukiwanie w odfiltrowanych
rekordach.
103
Co: Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną znalezione tylko rekordy zawierające dany
ciąg. Pozostałe rekordy zostaną pominięte.
Szukaj w kolumnach: Należy wybrać kolumny, które mają być brane pod uwagę podczas wyszukiwania. Na
potrzeby wyszukiwania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny:
Godzina
Moduł
Zdarzenie
Użytkownik
Typy rekordów: Umożliwia wybór typu rekordów, które mają być wyszukiwane. Można wskazać jeden określony
typ rekordu, wiele typów naraz lub wszystkie typy rekordów (domyślnie):
Diagnostyka
Informacj a
Ostrzeżenie
Błąd
Krytyczne
Okres: Ta opcja umożliwia zawężenie wyszukiwania do rekordów z danego czasu. Można wybrać jedno z
następujących ustawień:
Cały dziennik (domyślnie) — kryterium okresu jest wyłączone i przeszukiwany jest cały dziennik.
Ostatni dzień
Ostatni tydzień
Ostatni miesiąc
Odstęp czasu — można określić dokładny okres (daty i godziny), aby przeprowadzić wyszukiwanie tylko w
rekordach zarejestrowanych w tym czasie.
Oprócz powyższych ustawień wyszukiwania dostępne są następujące opcje:
Tylko całe wyrazy — wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do całych wyrazów ciągowi
wprowadzonemu w polu tekstowym Co.
Uwzględniaj wielkość liter — wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do wielkości liter
ciągowi wprowadzonemu w polu tekstowym Co.
Szukaj w górę — umożliwia wyszukiwanie od bieżącej pozycji w górę.
Po skonfigurowaniu opcji wyszukiwania należy kliknąć przycisk Znaj dź, aby rozpocząć przeszukiwanie.
Wyszukiwanie zostaje zatrzymane po znalezieniu pierwszego rekordu spełniającego kryteria. Ponowne kliknięcie
przycisku Znaj dź powoduje kontynuację wyszukiwania. Pliki dziennika są przeszukiwane od góry do dołu,
począwszy do bieżącej pozycji (od zaznaczonego rekordu).
104
4.5.3 Administracj a dziennikami
Dostęp do konfiguracji dzienników programu ESET Mail Security można uzyskać z poziomu okna głównego
programu. W tym celu należy kliknąć kolejno opcje Ustawienia > Otwórz całe drzewo ustawień
zaawansowanych > Narzędzia > Pliki dziennika. Można określić następujące opcje plików dziennika:
Usuwaj automatycznie rekordy: wpisy dziennika starsze niż podana liczba dni będą automatycznie usuwane.
Automatycznie optymalizuj pliki dzienników: umożliwia automatyczną defragmentację plików dziennika w
przypadku przekroczenia określonego procentu nieużywanych rekordów.
Minimalna szczegółowość zapisów w dzienniku: umożliwia określenie poziomu szczegółowości zapisów w
dzienniku. Dostępne ustawienia:
- Rekordy diagnostyczne — powoduje rejestrowanie w dzienniku informacji niezbędnych do ulepszenia
konfiguracji programu i wszystkich rekordów powyżej.
- Rekordy informacyj ne — powoduje rejestrowanie wszystkich komunikatów informacyjnych, w tym
powiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów powyżej.
- Ostrzeżenia — powoduje rejestrowanie w dzienniku wszystkich błędów krytycznych oraz komunikatów
ostrzegawczych.
- Błędy — powoduje rejestrowanie tylko komunikatów o błędach „Błąd pobierania pliku” oraz błędów krytycznych.
- Ostrzeżenia krytyczne — powoduje rejestrowanie tylko błędów krytycznych (np. błąd uruchomienia ochrony
antywirusowej itp.).
105
4.6 ESET SysInspector
4.6.1 Wprowadzenie do programu ESET SysInspector
Program ESET SysInspector jest aplikacją, która dokładnie sprawdza stan komputera i wyświetla zgromadzone
dane w kompleksowy sposób. Informacje o zainstalowanych sterownikach i aplikacjach, połączeniach sieciowych
lub ważnych wpisach w rejestrze ułatwiają śledzenie podejrzanego zachowania systemu, które może wynikać z
niezgodności programowej lub sprzętowej bądź zainfekowania szkodliwym oprogramowaniem.
Dostęp do programu ESET SysInspector można uzyskać na dwa sposoby: Korzystając z wersji zintegrowanej w
programie ESET Security albo bezpłatnie pobierając wersję autonomiczną (SysInspector.exe) z witryny
internetowej firmy ESET. Obie wersje mają identyczne funkcje i te same elementy sterujące programu. Jedyna
różnica to sposób zarządzania danymi wyjściowymi. Zarówno wersja autonomiczna, jak i zintegrowana umożliwia
wyeksportowanie migawek systemu do pliku xml i zapisanie ich na dysku. Wersja zintegrowana umożliwia
ponadto zapisywanie migawek systemu bezpośrednio w sekcji Narzędzia > ESET SysInspector (z wyjątkiem
programu ESET Remote Administrator). Więcej informacji można znaleźć w sekcji ESET SysInspector jako część
produktu ESET Mail Security 117 .
Skanowanie komputera przy użyciu programu ESET SysInspector wymaga nieco czasu. Może to potrwać od 10
sekund do kilku minut w zależności od konfiguracji sprzętowej, systemu operacyjnego i liczby aplikacji
zainstalowanych na komputerze.
4.6.1.1 Uruchamianie programu ESET SysInspector
Aby uruchomić program ESET SysInspector, wystarczy uruchomić plik wykonywalny SysInspector.exe pobrany z
witryny firmy ESET. Jeśli jest już zainstalowany jeden z produktów ESET Security, program ESET SysInspector
można uruchomić bezpośrednio z menu Start (Programy > ESET > ESET Mail Security).
Po włączeniu aplikacji zostanie wykonana inspekcja systemu, która w zależności od sprzętu i zbieranych danych
może potrwać kilka minut.
106
4.6.2 Interfej s użytkownika i używanie aplikacj i
W celu zachowania przejrzystości okno główne zostało podzielone na cztery podstawowe sekcje — Formanty
programu (u góry), okno nawigacji (z lewej strony), okno opisu (z prawej strony pośrodku) oraz okno szczegółów (z
prawej strony u dołu). W sekcji Stan dziennika są wyświetlane podstawowe parametry dziennika (stosowany filtr,
typ filtru, utworzenie dziennika w wyniku porównania itp.).
4.6.2.1 Sterowanie programem
W tej części opisano wszystkie elementy sterujące dostępne w programie ESET SysInspector.
Plik
Klikając pozycję Plik, można zapisać bieżący stan systemu w celu zbadania go w późniejszym terminie albo
otworzyć zapisany wcześniej dziennik. Jeśli użytkownik chce opublikować dziennik, zaleca się jego wygenerowanie
przy użyciu opcji Przeznaczony do wysłania. W tej formie w dzienniku są pomijane informacje poufne (nazwa
bieżącego użytkownika, nazwa komputera, nazwa domeny, uprawnienia bieżącego użytkownika, zmienne
środowiskowe itp.).
UWAGA: Zapisane wcześniej raporty programu ESET SysInspector można otwierać, przeciągając je i upuszczając w
głównym oknie programu.
Drzewo
Umożliwia rozwijanie i zwijanie wszystkich węzłów oraz eksportowanie wybranych sekcji do skryptu usługi.
Lista
Zawiera funkcje ułatwiające nawigację w obrębie programu oraz wykonywanie innych czynności, na przykład
wyszukiwanie informacji w trybie online.
Pomoc
Zawiera informacje dotyczące aplikacji i jej funkcji.
107
Szczegóły
To ustawienie wpływa na kształt informacji wyświetlanych w oknie głównym i ułatwia pracę z tymi danymi. W
trybie „Podstawowe” użytkownik ma dostęp do informacji umożliwiających wyszukiwanie rozwiązań typowych
problemów z systemem. W trybie „Średnie” program wyświetla rzadziej używane informacje. W trybie „Pełne”
program ESET SysInspector wyświetla wszystkie informacje potrzebne do rozwiązywania konkretnych problemów.
Filtrowanie elementów
Filtrowanie elementów wykorzystuje się najczęściej do wyszukiwania podejrzanych plików lub wpisów rejestru w
systemie. Korygując ustawienie suwaka, można filtrować elementy według ich poziomu ryzyka. Jeśli suwak
znajdzie się w skrajnym lewym położeniu (poziom ryzyka 1), zostaną wyświetlone wszystkie elementy. Przesunięcie
suwaka w prawo spowoduje, że program odfiltruje wszystkie elementy o poziomie ryzyka niższym niż bieżący,
wyświetlając tylko te elementy, które są bardziej podejrzane, niż wynika to z wybranego poziomu. W przypadku
ustawienia suwaka w skrajnym prawym położeniu są wyświetlane tylko elementy znane jako szkodliwe.
Wszystkie elementy o poziomie ryzyka od 6 do 9 mogą stanowić zagrożenie bezpieczeństwa. Jeśli użytkownik nie
korzysta z oprogramowania zabezpieczającego firmy ESET, zalecane jest przeskanowanie systemu przy użyciu
narzędzia ESET Online Scanner w przypadku wykrycia takich elementów przez program ESET SysInspector. Usługa
ESET Online Scanner jest bezpłatna.
UWAGA: Poziom ryzyka elementu można łatwo ustalić, porównując jego kolor z kolorem na suwaku Poziom
ryzyka.
Szukaj
Korzystając z funkcji wyszukiwania, można szybko znaleźć określony element, podając jego nazwę lub część
nazwy. Wyniki wyszukiwania są wyświetlane w oknie opisu.
Powrót
Klikając strzałki Wstecz i Dalej, można powrócić do informacji poprzednio wyświetlanych w oknie opisu. Zamiast
klikać przyciski Wstecz lub Dalej, można używać klawisza Backspace i klawisza spacji.
Sekcj a stanu
W tej sekcji jest wyświetlany bieżący węzeł w oknie nawigacji.
Ważne: Elementy wyróżnione kolorem czerwonym są nieznane, dlatego oznaczono je jako potencjalnie
niebezpieczne. Wystąpienie elementu zaznaczonego kolorem czerwonym nie oznacza automatycznie, że można
usunąć plik. Przed usunięciem należy upewnić się, że pliki są faktycznie niebezpieczne lub niepotrzebne.
4.6.2.2 Nawigacj a w programie ESET SysInspector
W programie ESET SysInspector różne rodzaje informacji są podzielone na kilka podstawowych sekcji, określanych
mianem węzłów. Niekiedy dodatkowe szczegóły można znaleźć po rozwinięciu węzła w jego podwęzły. Aby
otworzyć lub zwinąć węzeł, należy kliknąć dwukrotnie jego nazwę albo kliknąć symbol lub znajdujący się obok
nazwy. Przeglądając strukturę drzewa węzłów i podwęzłów w oknie nawigacji, można wyświetlać okna opisu
zawierające różne informacje szczegółowe dotyczące każdego węzła. Podczas przeglądania elementów w oknie
opisu można uzyskać dostęp do dodatkowych informacji szczegółowych dotyczących poszczególnych elementów
w oknie szczegółów.
Poniżej znajdują się opisy głównych węzłów w oknie nawigacji, wraz z powiązanymi informacjami z okien opisu i
szczegółów.
Uruchomione procesy
Ten węzeł zawiera informacje o aplikacjach i procesach uruchomionych w chwili generowania raportu. W oknie
opisu można znaleźć dodatkowe informacje szczegółowe dotyczące poszczególnych procesów, takie jak biblioteki
dynamiczne używane przez dany proces i ich lokalizacja w systemie, nazwa dostawcy aplikacji, poziom ryzyka
przypisany do danego pliku itd.
W oknie szczegółów są wyświetlane dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu,
takie jak rozmiar pliku czy jego skrót.
UWAGA: W skład systemu operacyjnego wchodzi wiele ważnych komponentów jądra, które działają cały czas oraz
zapewniają podstawowe i istotne funkcje dla innych aplikacji użytkownika. W niektórych przypadkach takie
108
procesy są wyświetlane w narzędziu ESET SysInspector ze ścieżką rozpoczynającą się od ciągu \??\. Te symbole
zapewniają optymalizację tych procesów przed ich uruchomieniem i są bezpieczne dla systemu.
Połączenia sieciowe
Okno opisu zawiera listę procesów i aplikacji komunikujących się w sieci przy użyciu protokołu wybranego w oknie
nawigacji (TCP lub UDP) oraz adres zdalny, z którym jest połączona dana aplikacja. Można również sprawdzić
adresy IP serwerów DNS.
W oknie szczegółów są wyświetlane dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu,
takie jak rozmiar pliku czy jego skrót.
Ważne wpisy w rej estrze
Zawiera listę wybranych wpisów rejestru, które są często związane z różnymi problemami z systemem, na przykład
wpisy określające programy uruchamiane wraz z systemem, obiekty pomocnika przeglądarki (BHO) itd.
W oknie opisu można sprawdzić, które pliki są powiązane z określonymi wpisami w rejestrze. W oknie szczegółów
znajdują się dodatkowe informacje.
Usługi
Okno opisu zawiera listę plików zarejestrowanych jako usługi systemu Windows. W oknie szczegółów można
sprawdzić ustawiony sposób uruchamiania danej usługi, jak również przejrzeć informacje szczegółowe dotyczące
pliku.
Sterowniki
Lista sterowników zainstalowanych w systemie.
Pliki krytyczne
W oknie opisu jest wyświetlana zawartość plików krytycznych związanych z systemem operacyjnym Microsoft
Windows.
Zadania harmonogramu systemu
Zawiera listę zadań uruchamianych przez Harmonogram zadań systemu Windows o określonej godzinie lub co
określony czas.
Informacj e o systemie
Zawiera szczegółowe informacje o sprzęcie i oprogramowaniu, ustawionych zmiennych środowiskowych, prawach
użytkowników i systemowych dziennikach zdarzeń.
Szczegóły pliku
Lista ważnych plików systemowych i plików w folderze Program Files. Dodatkowe informacje dotyczące
poszczególnych plików można znaleźć w oknach opisu i szczegółów.
Informacj e
Informacje o wersji programu ESET SysInspector i lista modułów programu.
4.6.2.2.1 Skróty klawiaturowe
Podczas pracy z programem ESET SysInspector można korzystać z następujących skrótów klawiaturowych:
Plik
Ctrl+O
Ctrl+S
otwarcie istniejącego dziennika
zapisanie utworzonych dzienników
Generuj
Ctrl+G
Ctrl+H
wygenerowanie standardowego zapisu bieżącego stanu komputera
wygenerowanie zapisu bieżącego stanu komputera, w którym mogą się też znaleźć informacje
poufne
109
Filtrowanie elementów
1, O
2
3
4, U
5
6
7, B
8
9
+
Ctrl+9
Ctrl+0
Czysty (wyświetlane są elementy o poziomie ryzyka 1–9)
Nieznany (wyświetlane są elementy o poziomie ryzyka 4–9)
Ryzykowny (wyświetlane są elementy o poziomie ryzyka 7–9)
Ryzykowny (wyświetlane są elementy o poziomie ryzyka 8–9)
Ryzykowny (wyświetlane są elementy o poziomie ryzyka 9)
obniżenie poziomu ryzyka
podwyższenie poziomu ryzyka
tryb filtrowania, poziom jednakowy lub wyższy
tryb filtrowania, tylko jednakowy poziom
Widok
Ctrl+5
Ctrl+6
Ctrl+7
Ctrl+3
Ctrl+2
Ctrl+1
BackSpace
Spacja
Ctrl+W
Ctrl+Q
widok wg dostawcy, wszyscy dostawcy
widok wg dostawcy, tylko Microsoft
widok wg dostawcy, wszyscy pozostali dostawcy
wyświetlenie szczegółów w trybie Pełne
wyświetlenie szczegółów w trybie Średnie
tryb Podstawowy
przejście o krok wstecz
przejście o krok w przód
rozwinięcie drzewa
zwinięcie drzewa
Inne formanty
Ctrl+T
Ctrl+P
Ctrl+A
Ctrl+C
Ctrl+X
Ctrl+B
Ctrl+L
Ctrl+R
Ctrl+Z
Ctrl+F
Ctrl+D
Ctrl+E
przejście do pierwotnej lokalizacji elementu po wybraniu go spośród wyników wyszukiwania
wyświetlenie podstawowych informacji o elemencie
wyświetlenie pełnych informacji o elemencie
skopiowanie drzewa bieżącego elementu
skopiowanie elementów
wyszukanie informacji o wybranych plikach w Internecie
otwarcie folderu zawierającego wybrany plik
otwarcie odpowiedniego wpisu w edytorze rejestru
skopiowanie ścieżki do pliku (jeśli element jest powiązany z plikiem)
przełączenie do pola wyszukiwania
zamknięcie wyników wyszukiwania
uruchomienie skryptu usługi
Porównywanie
Ctrl+Alt+O
Ctrl+Alt+R
Ctrl+Alt+1
Ctrl+Alt+2
Ctrl+Alt+3
Ctrl+Alt+4
Ctrl+Alt+5
Ctrl+Alt+C
Ctrl+Alt+N
Ctrl+Alt+P
otwarcie dziennika oryginalnego/porównawczego
anulowanie porównania
wyświetlenie wszystkich wpisów
wyświetlenie tylko dodanych wpisów, w dzienniku zostaną wyświetlone wpisy występujące w
bieżącym dzienniku
wyświetlenie tylko usuniętych wpisów, w dzienniku zostaną wyświetlone wpisy występujące w
poprzednim dzienniku
wyświetlenie tylko zastąpionych wpisów (z uwzględnieniem plików)
wyświetlenie tylko różnic między dziennikami
wyświetlenie porównania
wyświetlenie bieżącego dziennika
otwarcie poprzedniego dziennika
Inne
F1
Alt+F4
Alt+Shift+F4
110
wyświetlenie pomocy
zamknięcie programu
zamknięcie programu bez wcześniejszego monitu
Ctrl+I
statystyki dziennika
4.6.2.3 Funkcj a Porównaj
Funkcja Porównaj umożliwia porównywanie dwóch istniejących dzienników. W wyniku działania tej funkcji
powstaje zestaw wpisów różniących się między dziennikami. Porównywanie może być przydatne, gdy użytkownik
chce śledzić zmiany w systemie. Dzięki temu można na przykład wykryć działanie złośliwego kodu.
Po uruchomieniu tej funkcji jest tworzony nowy dziennik wyświetlany w nowym oknie. Aby zapisać dziennik w
pliku, należy kliknąć kolejno opcje Plik > Zapisz dziennik. Pliki dzienników można otwierać i przeglądać w
dowolnym momencie. Aby otworzyć istniejący dziennik, należy kliknąć kolejno opcje Plik > Otwórz dziennik. W
głównym oknie programu ESET SysInspector zawsze jest wyświetlany tylko jeden dziennik naraz.
Porównanie dwóch dzienników umożliwia wyświetlenie bieżącego aktywnego dziennika oraz dziennika
zapisanego w pliku. Aby porównać dzienniki, należy użyć polecenia Plik > Porównaj dziennik i wybrać opcję
Wybierz plik. Wybrany dziennik zostanie porównany z dziennikiem aktywnym w głównym oknie programu. W
dzienniku porównawczym zostaną wyświetlone tylko różnice między tymi dwoma dziennikami.
UWAGA: W przypadku porównywania dwóch plików dziennika należy kliknąć kolejno opcje Plik > Zapisz dziennik i
zapisać dane w pliku ZIP. Zapisane zostaną oba pliki. Otwarcie takiego pliku w późniejszym terminie powoduje
automatyczne wyświetlenie porównania zawartych w nim dzienników.
Obok wyświetlonych elementów w programie ESET SysInspector widoczne są symbole określające różnice między
porównywanymi dziennikami.
Wpisy oznaczone symbolem można znaleźć jedynie w aktywnym dzienniku (nie występują w otwartym dzienniku
porównawczym). Wpisy oznaczone symbolem znajdują się tylko w otwartym dzienniku i nie występują w
aktywnym dzienniku.
Opis wszystkich symboli wyświetlanych obok wpisów:
Nowa wartość, nieobecna w poprzednim dzienniku.
Sekcja struktury drzewa zawiera nowe wartości.
Wartość usunięta, obecna jedynie w poprzednim dzienniku.
Sekcja struktury drzewa zawiera usunięte wartości.
Zmodyfikowano wartość/plik.
Sekcja struktury drzewa zawiera zmodyfikowane wartości/pliki.
Poziom ryzyka zmniejszył się / był wyższy w poprzednim dzienniku.
Poziom ryzyka się zwiększył/był niższy w poprzednim dzienniku.
W sekcji wyjaśnień (wyświetlanej w lewym dolnym rogu) znajduje się opis wszystkich symboli wraz z nazwami
porównywanych dzienników.
Dziennik porównawczy można zapisać do pliku i otworzyć w późniejszym terminie.
Przykład
Wygenerowano dziennik zawierający pierwotne informacje o systemie i zapisano go w pliku o nazwie poprzedni.
xml. Po wprowadzeniu zmian w systemie otwarto program ESET SysInspector w celu wygenerowania nowego
dziennika. Zapisano go w pliku biezacy.xml.
Aby prześledzić zmiany, które zaszły między tymi dwoma dziennikami, należy kliknąć kolejno opcje Plik > Porównaj
dzienniki. Program utworzy dziennik porównawczy zawierający różnice między dziennikami.
Ten sam rezultat można osiągnąć za pomocą następującej opcji wiersza poleceń:
SysInspector.exe biezacy.xml poprzedni.xml
111
4.6.3 Parametry wiersza polecenia
Program ESET SysInspector obsługuje generowanie raportów przy użyciu wiersza polecenia z zastosowaniem
następujących parametrów:
/gen
/privacy
/zip
/silent
/help, /?
powoduje wygenerowanie dziennika bezpośrednio z wiersza polecenia bez uruchamiania
graficznego interfejsu użytkownika.
powoduje wygenerowanie dziennika z wyłączeniem informacji poufnych.
powoduje zapisanie wynikowego dziennika bezpośrednio na dysku w pliku skompresowanym.
powoduje wyłączenie wyświetlania paska postępu obrazującego tworzenie dziennika.
powoduje wyświetlenie informacji dotyczących parametrów wiersza polecenia.
Przykłady
Aby załadować określony dziennik bezpośrednio do przeglądarki, należy użyć polecenia: SysInspector.exe "c:\clientlog.
xml"
Aby wygenerować dziennik w aktualnej lokalizacji, należy użyć polecenia: SysInspector.exe /gen
Aby wygenerować dziennik w określonym folderze, należy użyć polecenia: SysInspector.exe /gen="c:\folder\"
Aby wygenerować dziennik w określonym pliku lub określonej lokalizacji, należy użyć polecenia: SysInspector.exe /
gen="c:\folder\nowydziennik.xml"
Aby wygenerować dziennik z wyłączeniem informacji poufnych bezpośrednio w pliku skompresowanym, należy
użyć polecenia: SysInspector.exe /gen="c:\nowydziennik.zip" /privacy /zip
Aby porównać dwa dzienniki, należy użyć polecenia: SysInspector.exe "biezacy.xml" "pierwotny.xml"
UWAGA: Jeśli nazwa pliku/folderu zawiera spację, nazwę należy ująć w cudzysłów.
4.6.4 Skrypt usługi
Skrypt usługi to przydatne narzędzie przeznaczone dla użytkowników programu ESET SysInspector, które
umożliwia łatwe usuwanie niepożądanych obiektów z systemu.
Za pomocą skryptu usługi użytkownik może wyeksportować cały dziennik programu ESET SysInspector lub jego
część. Po wyeksportowaniu można oznaczyć niepożądane obiekty do usunięcia. Następnie można uruchomić
zmodyfikowany dziennik, aby usunąć oznaczone obiekty.
Skrypt usługi jest przeznaczony dla zaawansowanych użytkowników mających doświadczenie w diagnozowaniu
problemów z systemem. Nieodpowiednie modyfikacje mogą prowadzić do uszkodzenia systemu operacyjnego.
Przykład
Jeśli użytkownik podejrzewa, że komputer został zainfekowany wirusem, który nie jest wykrywany przez
posiadany program antywirusowy, należy wykonać instrukcje przedstawione poniżej:
Uruchom program ESET SysInspector, aby wygenerować nową migawkę systemu.
Zaznacz pierwszy element w lewej sekcji (w strukturze drzewa), naciśnij klawisz Ctrl i zaznacz ostatni element,
co spowoduje zaznaczenie wszystkich elementów.
Kliknij prawym przyciskiem myszy wybrane obiekty i wybierz z menu kontekstowego opcję Eksportuj wybrane
sekcj e do skryptu usługi.
Zaznaczone obiekty zostaną wyeksportowane do nowego dziennika.
Najważniejszy krok w całej procedurze: otwórz nowy dziennik i zmień atrybut - na + dla wszystkich obiektów,
które chcesz usunąć. Należy się upewnić, że nie oznaczono żadnych ważnych plików lub obiektów systemu
operacyjnego.
Otwórz program ESET SysInspector, kliknij opcje Plik > Uruchom skrypt usługi i wprowadź ścieżkę do skryptu.
Kliknij przycisk OK, aby uruchomić skrypt.
112
4.6.4.1 Tworzenie skryptu usługi
Aby wygenerować skrypt, kliknij prawym przyciskiem myszy dowolny element drzewa menu w lewym okienku
głównego okna programu ESET SysInspector. Z menu kontekstowego wybierz opcję Eksportuj wszystkie sekcj e
do skryptu usługi lub Eksportuj wybrane sekcj e do skryptu usługi.
UWAGA: Nie jest możliwe wyeksportowanie skryptu usługi, gdy są porównywane dwa dzienniki.
4.6.4.2 Struktura skryptu usługi
Pierwszy wiersz nagłówka skryptu zawiera informację o wersji aparatu (ev), wersji interfejsu GUI (gv) i wersji
dziennika (lv). Na podstawie tych danych można śledzić zmiany w pliku xml używanym do wygenerowania skryptu,
aby zapobiec ewentualnym niespójnościom podczas wykonywania. Tej części skryptu nie należy zmieniać.
Pozostała część pliku jest podzielona na sekcje zawierające pozycje dostępne do edycji. Modyfikowanie pliku polega
na wskazaniu elementów, które mają być przetwarzane przez skrypt. Oznaczenie wybranego elementu do
przetwarzania wymaga zastąpienia poprzedzającego go znaku „-” znakiem „+”. Kolejne sekcje skryptu są oddzielane
pustymi wierszami. Każda sekcja ma numer i tytuł.
01) Running processes (Uruchomione procesy)
Ta sekcja zawiera listę wszystkich procesów uruchomionych w systemie. Każdy proces jest identyfikowany przez
ścieżkę UNC, po której następuje odpowiadający mu skrót CRC16 ujęty w znaki gwiazdki (*).
Przykład:
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
W tym przykładzie proces module32.exe został wybrany (oznaczony znakiem „+”), co spowoduje jego zakończenie
po wykonaniu skryptu.
02) Loaded modules (Załadowane moduły)
Ta sekcja zawiera listę aktualnie używanych modułów systemowych.
Przykład:
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
W tym przykładzie moduł khbekhb.dll został oznaczony znakiem „+”. Po uruchomieniu skryptu procesy korzystające
z tego modułu zostaną wykryte i zakończone.
03) TCP connections (Połączenia TCP)
Ta sekcja zawiera informacje o istniejących połączeniach TCP.
Przykład:
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]
Po uruchomieniu skryptu zlokalizowani zostaną właściciele gniazd odpowiadających zaznaczonym połączeniom
TCP i gniazda te zostaną zamknięte, zwalniając tym samym zasoby systemowe.
04) UDP endpoints (Punkty końcowe UDP)
Ta sekcja zawiera informacje o istniejących punktach końcowych UDP.
113
Przykład:
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
Po uruchomieniu skryptu zlokalizowani zostaną właściciele gniazd odpowiadających zaznaczonym punktom
końcowym UDP i gniazda te zostaną zamknięte.
05) DNS server entries (Wpisy serwera DNS)
Ta sekcja zawiera informacje o aktualnej konfiguracji serwera DNS.
Przykład:
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Po uruchomieniu skryptu zaznaczone wpisy serwera DNS zostaną usunięte.
06) Important registry entries (Ważne wpisy w rej estrze)
Ta sekcja zawiera informacje o ważnych wpisach w rejestrze.
Przykład:
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
Po uruchomieniu skryptu zaznaczone wpisy zostaną usunięte, nadpisane bajtami zerowymi lub przywrócone do
wartości domyślnych. Działanie podejmowane dla danego wpisu rejestru zależy od jego kategorii i odpowiadającej
mu wartości klucza.
07) Services (Usługi)
Ta sekcja zawiera listę usług zarejestrowanych w systemie.
Przykład:
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup:
Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup:
Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup:
Manual
[...]
Po wykonaniu skryptu zaznaczone usługi wraz z usługami od nich zależnymi zostaną zatrzymane i odinstalowane.
08) Drivers (Sterowniki)
Ta sekcja zawiera listę zainstalowanych sterowników.
Przykład:
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32
\drivers\adihdaud.sys, state: Running, startup: Manual
[...]
Uruchomienie skryptu spowoduje przerwanie działania wybranych sterowników. Należy pamiętać, że niektóre
sterowniki nie umożliwiają przerywania ich pracy.
114
09) Critical files (Pliki krytyczne)
Ta sekcja zawiera informacje o plikach krytycznych dla działania systemu operacyjnego.
Przykład:
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
Zaznaczone elementy zostaną usunięte albo zostaną im przywrócone wartości domyślne.
4.6.4.3 Wykonywanie skryptów usługi
Oznacz wszystkie żądane pozycje, a następnie zapisz i zamknij skrypt. Uruchom zmodyfikowany skrypt
bezpośrednio z okna głównego programu ESET SysInspector, wybierając z menu Plik opcję Uruchom skrypt usługi.
Po otwarciu skryptu w programie zostanie wyświetlone okno z następującym komunikatem: Czy na pewno
uruchomić skrypt usługi „%Nazwa_skryptu%”? Po potwierdzeniu może się pojawić kolejne ostrzeżenie z
informacją, że uruchamiany skrypt usługi nie został podpisany. Kliknij przycisk Uruchom, aby uruchomić skrypt.
Pomyślne wykonanie skryptu zostanie zasygnalizowane w oknie dialogowym.
Jeśli skrypt udało się przetworzyć tylko częściowo, zostanie wyświetlone okno dialogowe z następującym
komunikatem: Skrypt usługi został częściowo uruchomiony. Czy wyświetlić raport o błędach? Kliknij przycisk
Tak, aby wyświetlić szczegółowy raport o błędach zawierający listę niewykonanych operacji.
Jeśli skrypt nie został rozpoznany, zostanie wyświetlone okno dialogowe z następującym komunikatem: Wybrany
skrypt usługi nie j est podpisany. Uruchamianie niepodpisanych i nieznanych skryptów może poważnie
zaszkodzić danym na komputerze. Czy na pewno uruchomić skrypt i wykonać działania? Może to być
spowodowane niespójnością skryptu (uszkodzony nagłówek, błędny tytuł sekcji, brak pustego wiersza pomiędzy
sekcjami itd.). Można ponownie otworzyć plik skryptu i poprawić błędy w skrypcie albo utworzyć nowy skrypt
usługi.
4.6.5 Często zadawane pytania
Czy do uruchomienia programu ESET SysInspector wymagane są uprawnienia administratora?
Do uruchomienia programu ESET SysInspector nie są wymagane uprawnienia administratora, jednak dostęp do
niektórych informacji gromadzonych przez ten program można uzyskać tylko z konta administratora.
Uruchomienie tego programu przez użytkownika z uprawnieniami standardowymi lub ograniczonymi spowoduje
zgromadzenie mniejszej ilości informacji na temat środowiska operacyjnego.
Czy program ESET SysInspector tworzy plik dziennika?
W programie ESET SysInspector można utworzyć plik dziennika rejestrujący konfigurację komputera. Aby zapisać
ten plik, z menu głównego należy wybrać kolejno opcje Plik > Zapisz dziennik. Dzienniki są zapisywane w formacie
XML. Domyślnie pliki są zapisywane w katalogu %USERPROFILE%\Moj e dokumenty\, a przyjęta konwencja tworzenia
nazw plików to SysInspector-%COMPUTERNAME%-RRMMDD-GGMM.XML. W razie potrzeby przed zapisaniem
można zmienić lokalizację i nazwę pliku dziennika.
W j aki sposób można wyświetlić plik dziennika utworzony w programie ESET SysInspector?
Aby wyświetlić plik dziennika utworzony przez program ESET SysInspector, należy uruchomić ten program i z menu
głównego wybrać kolejno opcje Plik > Otwórz dziennik. Można również przeciągnąć i upuścić pliki dziennika na
aplikację ESET SysInspector. Jeśli użytkownik często wyświetla pliki dziennika w programie ESET SysInspector,
warto utworzyć skrót do pliku SYSINSPECTOR.EXE na pulpicie. Następnie można przeciągać i upuszczać pliki
dziennika na ten skrót w celu ich wyświetlenia. Ze względów bezpieczeństwa systemy Windows Vista i Windows 7
115
mogą nie zezwalać na operacje przeciągania i upuszczania między oknami z różnymi uprawnieniami zabezpieczeń.
Czy j est dostępna specyfikacj a formatu pliku dziennika? Co z zestawem SDK?
Ponieważ program jest nadal opracowywany, aktualnie nie są dostępne specyfikacje pliku dziennika ani zestaw
SDK. Po wydaniu programu specyfikacje mogą zostać udostępnione, z uwzględnieniem opinii i potrzeb klientów.
W j aki sposób program ESET SysInspector ocenia ryzyko związane z danym obiektem?
W większości przypadków w programie ESET SysInspector poziomy ryzyka są przypisywane do obiektów (plików,
procesów, kluczy rejestru itd.) przy użyciu zestawu reguł heurystycznych, które umożliwiają zbadanie właściwości i
ocenę potencjału szkodliwego działania poszczególnych obiektów. Na podstawie analizy heurystycznej do
obiektów są przypisywane poziomy ryzyka od 1 ((brak ryzyka, kolor zielony) do 9 (wysokie ryzyko, kolor czerwony)
. W lewym okienku nawigacyjnym sekcje są pokolorowane zgodnie z najwyższym poziomem ryzyka występującego
w nich obiektu.
Czy poziom ryzyka 6 (Nieznany - kolor czerwony) oznacza, że obiekt j est niebezpieczny?
Oceny sugerowane w programie ESET SysInspector nie gwarantują, że dany obiekt jest szkodliwy; ostateczny
werdykt powinien wydać specjalista zajmujący się bezpieczeństwem. Program ESET SysInspector został
opracowany, aby umożliwić ekspertom ds. bezpieczeństwa uzyskanie szybkiego przeglądu sytuacji i informacji o
tym, które obiekty w systemie wymagają dokładniejszego zbadania pod kątem nietypowego działania.
Dlaczego program ESET SysInspector nawiązuj e połączenie z Internetem po uruchomieniu?
Podobnie jak wiele innych aplikacji program ESET SysInspector jest podpisany przy użyciu certyfikatu z sygnaturą
cyfrową w celu zapewnienia, że został opublikowany przez firmę ESET i nie uległ modyfikacji. W celu
zweryfikowania certyfikatu system operacyjny kontaktuje się z urzędem certyfikacji, co pozwala sprawdzić
tożsamość wydawcy oprogramowania. Jest to normalne zachowanie w przypadku wszystkich cyfrowo
podpisanych programów działających w systemie Microsoft Windows.
Co to j est technologia Anti-Stealth?
Technologia Anti-Stealth zapewnia skuteczne wykrywanie programów typu rootkit.
Jeśli system zostanie zaatakowany przez złośliwy kod zachowujący się jak program typu rootkit, użytkownik może
być narażony na utratę lub kradzież danych. Bez specjalnego narzędzia jest prawie niemożliwe wykrycie takich
programów.
Dlaczego czasami niektóre pliki oznaczone j ako „Podpisane przez MS” maj ą j ednocześnie inny wpis „Nazwa
firmy”?
Podczas próby identyfikacji sygnatury cyfrowej pliku wykonywalnego program ESET SysInspector najpierw
sprawdza, czy sygnatura jest osadzona w pliku. Jeśli sygnatura zostanie znaleziona, plik zostanie zweryfikowany
przy jej użyciu. Jeśli nie zostanie znaleziona, program ESI szuka pliku CAT (w katalogu zabezpieczeń: %systemroot%
\system32\catroot) zawierającego informacje o przetwarzanym pliku wykonywalnym. Jeśli zostanie znaleziony
odpowiedni plik CAT, podczas weryfikowania pliku wykonywalnego zostanie zastosowana sygnatura cyfrowa z
pliku CAT.
Dlatego właśnie niektóre pliki są oznaczone jako „Podpisane przez MS”, ale zawierają inny wpis w pozycji „Nazwa
firmy”.
Przykład:
W systemie Windows 2000 dostępna jest aplikacja HyperTerminal znajdująca się w folderze C:\Program
Files\Windows NT. Główny plik wykonywalny aplikacji nie jest podpisany cyfrowo, jednak program ESET
SysInspector oznacza go jako podpisany przez firmę Microsoft. Jest to spowodowane obecnością odwołania w
pliku C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat wskazującego na plik C:\Program
Files\Windows NT\hypertrm.exe (główny plik wykonywalny aplikacji HyperTerminal), a plik sp4.cat jest podpisany
cyfrowo przez firmę Microsoft.
116
4.6.6 ESET SysInspector j ako część produktu ESET Mail Security
Aby otworzyć sekcję ESET SysInspector w programie ESET Mail Security, kliknij kolejno pozycje Narzędzia > ESET
SysInspector. System zarządzania w oknie programu ESET SysInspector jest podobny do obsługi dzienników
skanowania lub zaplanowanych zadań na komputerze. Wszystkie operacje dotyczące migawek systemu
(tworzenie, wyświetlanie, porównywanie, usuwanie i eksportowanie) są dostępne po jednym lub dwóch
kliknięciach.
Okno programu ESET SysInspector zawiera podstawowe informacje o utworzonych migawkach, takie jak godzina
utworzenia, krótki komentarz, nazwa użytkownika, który utworzył migawkę, oraz stan migawki.
Aby porównać, utworzyć lub usunąć migawki, należy skorzystać z odpowiadających tym funkcjom przycisków
umieszczonych pod listą migawek w oknie programu ESET SysInspector. Te opcje są także dostępne w menu
kontekstowym. Aby wyświetlić wybraną migawkę systemu, w menu kontekstowym należy kliknąć opcję Pokaż.
Aby wyeksportować wybrany zapis stanu bieżącego do pliku, należy kliknąć go prawym przyciskiem myszy i
wybrać opcję Eksportuj .
Poniżej przedstawiono szczegółowy opis dostępnych opcji:
Porównaj — umożliwia porównanie dwóch istniejących już dzienników. Ta opcja jest przydatna, gdy użytkownik
chce prześledzić różnice między aktualnym a starszym dziennikiem. Aby skorzystać z tej opcji, należy wybrać
dwie migawki, które mają zostać porównane.
Utwórz... — umożliwia utworzenie nowego rekordu. Najpierw należy wprowadzić krótki komentarz dotyczący
rekordu. Postęp tworzenia migawki (dotyczący aktualnie generowanej migawki) można sprawdzić w kolumnie
Stan. Wszystkie zakończone migawki mają stan Utworzono.
Usuń/Usuń wszystkie — umożliwia usunięcie pozycji z listy.
Eksportuj — powoduje zapisanie wybranej pozycji w pliku XML (także w wersji skompresowanej).
4.7 ESET SysRescue
ESET SysRescue to narzędzie umożliwiające utworzenie płyty rozruchowej zawierającej jeden z produktów ESET
Security — może być to ESET NOD32 Antivirus, ESET Smart Security lub jeden z produktów serwerowych. Główną
zaletą programu ESET SysRescue jest fakt, że oprogramowanie ESET Security działa niezależnie od systemu
operacyjnego komputera, mając jednocześnie bezpośredni dostęp do dysku i całego systemu plików. Umożliwia to
usunięcie infekcji, których nie można usunąć w normalnych warunkach, na przykład podczas działania systemu
operacyjnego itp.
4.7.1 Minimalne wymagania
Program ESET SysRescue działa w środowisku Microsoft Windows Preinstallation Environment (Windows PE) w
wersji 2.x, która jest oparta na systemie Windows Vista.
Windows PE jest częścią bezpłatnego zestawu Windows Automated Installation Kit (Windows AIK) lub zestawu
Windows Assessment and Deployment Kit (Windows ADK) i dlatego przed utworzeniem płyty CD programu ESET
SysRescue musi zostać zainstalowany zestaw Windows AIK lub ADK (<%http://go.eset.eu/AIK%>) lub (<%http://go.
eset.eu/ADK%>). To, który z tych zestawów należy zainstalować, zależy od używanej wersji systemu operacyjnego.
Z powodu obsługi 32-bitowej wersji systemu Windows PE wymagane jest stosowanie 32-bitowego pakietu
instalacyjnego oprogramowania ESET Security podczas tworzenia płyty ESET SysRescue w systemach 64-bitowych.
Program ESET SysRescue obsługuje zestaw Windows AIK w wersji 1.1 i późniejszych, a także zestaw Windows ADK.
UWAGA: Ponieważ zestaw Windows AIK ma rozmiar ponad 1 GB, a zestaw Windows ADK ponad 1,3 GB, ich
sprawne pobranie wymaga szybkiego połączenia internetowego.
Program ESET SysRescue jest dostępny w produktach ESET Security w wersji 4.0 i późniejszych.
ESET SysRescue obsługuj e następuj ące systemy operacyj ne:
Windows Server 2003 z dodatkiem Service Pack 1 z poprawką KB926044
Windows Server 2003 z dodatkiem Service Pack 2
Windows Server 2008
Windows Server 2012
Zestaw Windows AIK obsługuj e systemy:
117
Windows Server 2003
Windows Server 2008
Zestaw Windows ADK obsługuj e system:
Windows Server 2012
4.7.2 W j aki sposób utworzyć ratunkową płytę CD
Aby uruchomić kreatora dysku programu ESET SysRescue, należy kliknąć kolejno polecenia Start > Programy >
ESET > ESET Mail Security > ESET SysRescue.
W pierwszej kolejności kreator sprawdza, czy zainstalowano zestaw Windows AIK lub Windows ADK oraz czy jest
dostępne odpowiednie urządzenie do utworzenia nośnika rozruchowego. Jeśli zestaw Windows AIK lub Windows
ADK nie został zainstalowany na komputerze (lub jest uszkodzony bądź zainstalowany nieprawidłowo), w
kreatorze będzie dostępna opcja jego instalacji lub podania ścieżki do folderu zestawu Windows AIK (<%http://go.
eset.eu/AIK%>) lub zestawu Windows ADK (<%http://go.eset.eu/ADK%>).
UWAGA: Ponieważ zestaw Windows AIK ma rozmiar ponad 1 GB, a zestaw Windows ADK ponad 1,3 GB, ich
sprawne pobranie wymaga szybkiego połączenia internetowego.
W następnym kroku 118 należy wybrać nośnik docelowy, na którym ma zostać umieszczony program ESET
SysRescue.
4.7.3 Wybór nośnika docelowego
Oprócz nośnika CD/DVD/USB można wybrać zapisanie zawartości dysku programu ESET SysRescue w pliku ISO.
Następnie można nagrać obraz ISO na płycie CD/DVD lub użyć go w inny sposób (np. w środowisku wirtualnym
VMware lub VirtualBox).
W przypadku nagrania na nośniku USB program może nie uruchamiać się na niektórych komputerach. W
niektórych wersjach systemu BIOS mogą wystąpić problemy z komunikacją między systemem BIOS a menedżerem
rozruchu (np. w systemie Windows Vista) i rozruch zakończy się następującym komunikatem o błędzie:
plik: \boot\bcd
stan: 0xc000000e
informacje: wystąpił błąd podczas próby odczytania danych konfiguracji rozruchu
W przypadku napotkania takiego komunikatu zaleca się użycie płyty CD zamiast nośnika USB.
4.7.4 Ustawienia
Przed rozpoczęciem tworzenia dysku programu ESET SysRescue, w ostatnim kroku kreatora dysku programu ESET
SysRescue kreator instalacji wyświetla parametry kompilacji. Można je zmodyfikować, klikając przycisk Zmień.
Dostępne opcje:
Foldery 119
ESET Antivirus 119
Zaawansowane 119
Protokół internetowy 120
Urządzenie rozruchowe USB 120 (gdy jest wybrane docelowe urządzenie USB)
Nagrywanie 120 (gdy jest wybrany docelowy napęd CD/DVD)
Przycisk Utwórz jest nieaktywny, jeśli nie określono żadnego pakietu instalacyjnego MSI lub na komputerze nie jest
zainstalowane żadne oprogramowanie ESET Security. Aby wybrać pakiet instalacyjny, należy kliknąć przycisk
Zmień i przejść na kartę ESET Antivirus. Dodatkowo, jeśli nie wpisano nazwy użytkownika i hasła (Zmień > ESET
Antivirus), przycisk Utwórz jest wyszarzony.
118
4.7.4.1 Foldery
Folder tymczasowy to katalog roboczy służący do przechowywania plików wymaganych podczas kompilacji dysku
ESET SysRescue.
Folder pliku ISO to folder, w którym po zakończeniu kompilacji zapisywany jest wynikowy plik ISO.
Lista znajdująca się na tej karcie zawiera wszystkie lokalne i mapowane dyski sieciowe (wraz z dostępnym na nich
wolnym miejscem). Jeśli jakieś foldery znajdują się na dysku z niewystarczającym wolnym miejscem, zaleca się
wybranie innego dysku zawierającego więcej dostępnego miejsca. W przeciwnym razie kompilacja może zakończyć
się przedwcześnie z powodu braku wolnego miejsca.
Aplikacj e zewnętrzne — umożliwia wybranie dodatkowych programów, które zostaną uruchomione lub
zainstalowane po uruchomieniu komputera z nośnika ESET SysRescue.
Uwzględnij aplikacj e zewnętrzne — umożliwia dodanie zewnętrznych programów do kompilacji dysku ESET
SysRescue.
Wybrany folder — folder zawierający programy, które mają zostać dodane do dysku ESET SysRescue.
4.7.4.2 ESET Antivirus
W celu utworzenia płyty CD programu ESET SysRescue można wybrać dwa źródła plików firmy ESET do użycia przez
kompilator.
Folder ESS/EAV — pliki znajdujące się w folderze, w którym zainstalowano produkt ESET Security na komputerze.
Plik MSI — pliki znajdujące się w instalatorze MSI.
Następnie można wybrać opcję zaktualizowania lokalizacji plików (nup). Standardowo powinna być ustawiona
opcja domyślna Folder ESS/EAV / plik MSI. W niektórych przypadkach można wybrać niestandardowy Folder
aktualizacj i, na przykład w celu użycia starszej lub nowszej wersji bazy sygnatur wirusów.
Można użyć jednego z następujących źródeł nazwy użytkownika i hasła:
Zainstalowany program ESS/EAV — nazwa użytkownika i hasło zostaną skopiowane z aktualnie
zainstalowanego programu ESET Security.
Od użytkownika — nazwę użytkownika i hasło należy wprowadzić w odpowiednich polach tekstowych.
UWAGA: Oprogramowanie ESET Security na płycie CD programu ESET SysRescue jest aktualizowane z Internetu
lub z oprogramowania ESET Security zainstalowanego na komputerze, na którym uruchamiana jest płyta CD
programu ESET SysRescue.
4.7.4.3 Ustawienia zaawansowane
Karta Zaawansowane pozwala dostosować płytę CD programu ESET SysRescue do rozmiaru pamięci
zainstalowanej w komputerze. Wybierz wartość 576 MB lub więcej w celu zapisania zawartości płyty CD w
pamięci operacyjnej (RAM). W przypadku wybrania wartości mniej niż 576 MB podczas działania środowiska
WinPE komputer będzie stale odczytywać zawartość ratunkowej płyty CD.
W sekcji Sterowniki zewnętrzne można wstawić określone sterowniki sprzętowe (zwykle sterownik karty
sieciowej). Choć środowisko WinPE jest oparte na systemie Windows Vista SP1, który obsługuje szeroką gamę
sprzętu, niektóre urządzenia mogą nie zostać rozpoznane. Taka sytuacja wymaga ręcznego dodania sterownika.
Sterownik można wprowadzić do kompilacji ESET SysRescue na dwa sposoby — ręcznie (przycisk Dodaj ) lub
automatycznie (przycisk Wyszukaj automatycznie). W przypadku ręcznego wprowadzania sterownika należy
wybrać ścieżkę do odpowiedniego pliku INF (w tym folderze musi się również znajdować właściwy plik *.sys). W
trybie automatycznym sterownik jest wyszukiwany automatycznie w systemie operacyjnym komputera. Zaleca się
zastosowanie trybu automatycznego tylko wtedy, gdy program ESET SysRescue jest używany na komputerze z
taką samą kartą sieciową, jak karta zainstalowana w komputerze, na którym utworzono dysk programu ESET
SysRescue. Podczas tworzenia dysku ESET SysRescue sterownik jest wprowadzany do kompilacji, dzięki czemu
później nie trzeba go szukać.
119
4.7.4.4 Protokół internetowy
W tej sekcji można określić podstawowe informacje na temat sieci i skonfigurować wstępnie zdefiniowane
połączenia po uruchomieniu programu ESET SysRescue.
Aby automatycznie uzyskać adres IP z serwera DHCP (Dynamic Host Configuration Protocol), należy zaznaczyć
opcję Automatyczny prywatny adres IP.
Dla tego połączenia sieciowego można także ręcznie określić adres IP (czyli nadać statyczny adres IP). Aby
skonfigurować odpowiednie ustawienia protokołu IP, należy wybrać opcję Niestandardowe. W przypadku
wybrania tej opcji należy określić dane w polu Adres IP, a w przypadku sieci LAN i szybkich połączeń internetowych
także w polu Maska podsieci. W polach Preferowany serwer DNS i Alternatywny serwer DNS należy wpisać
adresy podstawowego i pomocniczego serwera DNS.
4.7.4.5 Urządzenie rozruchowe USB
Jeśli jako nośnik docelowy wybrano urządzenie USB, na karcie Urządzenie rozruchowe USB można wybrać jedno z
dostępnych urządzeń (jeśli dostępnych jest wiele urządzeń USB).
Należy wybrać odpowiednie urządzenie docelowe (opcja Urządzenie), na którym zostanie zainstalowany program
ESET SysRescue.
Ostrzeżenie: Podczas tworzenia dysku programu ESET SysRescue wybrane urządzenie USB zostanie sformatowane.
Wszystkie dane zapisane na urządzeniu zostaną usunięte.
W przypadku wybrania opcji Szybkie formatowanie podczas formatowania z partycji zostaną usunięte wszystkie
pliki, ale dysk nie zostanie przeskanowany w poszukiwaniu uszkodzonych sektorów. Tę opcję można wybrać, jeśli
urządzenie USB zostało wcześniej sformatowane i na pewno nie jest uszkodzone.
4.7.4.6 Nagrywanie
Jeśli jako nośnik docelowy wybrana została płyta CD/DVD, na karcie Nagrywanie można określić dodatkowe
parametry nagrywania.
Usuń plik ISO — zaznaczenie tej opcji powoduje usunięcie tymczasowego pliku ISO po utworzeniu płyty CD
programu ESET SysRescue.
Włączone usuwanie — umożliwia wybranie szybkiego wymazywania i pełnego wymazywania.
Urządzenie nagrywaj ące — należy wybrać napęd używany do nagrywania.
Ostrzeżenie: Jest to opcja domyślna. W przypadku używania płyty CD/DVD wielokrotnego zapisu wszystkie
znajdujące się na niej dane zostaną usunięte.
Sekcja Nośnik zawiera informacje o nośniku znajdującym się aktualnie w stacji dysków CD/DVD.
Szybkość nagrywania — należy wybrać odpowiednią szybkość z menu rozwijanego. Podczas wybierania szybkości
nagrywania należy uwzględnić możliwości urządzenia nagrywającego oraz typ używanej płyty CD/DVD.
4.7.5 Praca z programem ESET SysRescue
Aby ratunkowa płyta CD/DVD/dysk USB mógł działać skutecznie, należy uruchomić komputer z nośnika
rozruchowego ESET SysRescue. Priorytet uruchamiania można zmodyfikować w systemie BIOS. Innym
rozwiązaniem jest użycie menu startowego podczas uruchamiania komputera (zazwyczaj służy do tego jeden z
klawiszy F9–F12, w zależności od wersji płyty głównej/systemu BIOS).
Po uruchomieniu systemu z nośnika rozruchowego zostanie uruchomiony program ESET Security. Ponieważ
program ESET SysRescue jest używany jedynie w określonych sytuacjach, niektóre moduły ochrony oraz funkcje
dostępne w standardowej wersji oprogramowania ESET Security nie są potrzebne — ich lista jest ograniczona do
funkcji Skanowanie komputera, Aktualizacj a oraz niektórych sekcji w obszarze Ustawienia. Możliwość
aktualizacji bazy sygnatur wirusów jest najważniejszą funkcją programu ESET SysRescue i zalecane jest
zaktualizowanie programu przed uruchomieniem skanowania komputera.
120
4.7.5.1 Korzystanie z programu ESET SysRescue
Załóżmy, że komputery w sieci zostały zarażone wirusem modyfikującym pliki wykonywalne (z rozszerzeniem EXE).
Program ESET Security może wyleczyć wszystkie zarażone pliki oprócz pliku explorer.exe, którego nie można
wyleczyć nawet w trybie awaryjnym. Jest to spowodowane faktem, że program explorer.exe, który jest jednym z
podstawowych procesów systemu Windows, jest uruchamiany również w trybie awaryjnym. Program ESET
Security nie może wykonać żadnych operacji na tym pliku, dlatego pozostanie on zarażony.
W takiej sytuacji można użyć programu ESET SysRescue, aby rozwiązać problem. Program ESET SysRescue nie
wymaga żadnych składników systemu operacyjnego komputera, dzięki czemu może przetwarzać (leczyć, usuwać)
wszystkie pliki na dysku.
4.8 Opcj e interfej su użytkownika
Opcje konfiguracji interfejsu użytkownika w programie ESET Mail Security umożliwiają dostosowanie środowiska
pracy do potrzeb użytkownika. Opcje konfiguracji dostępne są w gałęzi Interfej s użytkownika drzewa ustawień
zaawansowanych programu ESET Mail Security.
W sekcji Elementy interfej su użytkownika znajduje się opcja Tryb zaawansowany pozwalająca na przejście do
trybu zaawansowanego. W trybie zaawansowanym są wyświetlane bardziej szczegółowe ustawienia i dodatkowe
formanty programu ESET Mail Security.
Graficzny interfej s użytkownika należy wyłączyć, jeśli elementy graficzne spowalniają działanie komputera lub
powodują inne problemy. Można go również wyłączyć, aby na przykład uniknąć konfliktów ze specjalnymi
aplikacjami służącymi do odczytywania tekstu wyświetlanego na ekranie, z których korzystają osoby
niedowidzące.
Aby wyłączyć ekran powitalny programu ESET Mail Security, należy usunąć zaznaczenie opcji Pokaż ekran
powitalny przy uruchamianiu.
W górnej części głównego okna programu ESET Mail Security znajduje się standardowe menu, które może być
włączone lub wyłączone w zależności od ustawienia opcji Użyj standardowego menu.
Jeśli opcja Pokaż etykiety narzędzi jest włączona, po umieszczeniu kursora nad wybraną opcją zostanie
wyświetlony jej krótki opis. Włączenie opcji Zaznacz aktywny element menu spowoduje zaznaczenie dowolnego
elementu, który znajduje się w obszarze działania kursora myszy. Zaznaczony element zostanie uruchomiony po
kliknięciu przyciskiem myszy.
Aby zwiększyć lub zmniejszyć szybkość animowanych efektów, należy wybrać opcję Użyj animowanych
elementów steruj ących i przesunąć suwak Szybkość w lewo lub w prawo.
Jeśli do wyświetlania postępu różnych operacji mają być używane animowane ikony, należy wybrać opcję Użyj
animowanych ikon j ako wskaźnika postępu. Aby po wystąpieniu ważnego zdarzenia program generował dźwięk,
należy wybrać opcję Użyj sygnałów dźwiękowych.
121
Do funkcji Interfej su użytkownika należy również ochrona hasłem parametrów konfiguracji programu ESET Mail
Security. Ta opcja znajduje się w podmenu Ochrona ustawień w menu Interfej s użytkownika. Do zapewnienia
maksymalnego bezpieczeństwa systemu ważne jest prawidłowe skonfigurowanie programu. Nieautoryzowane
modyfikacje mogą powodować utratę ważnych danych. Aby ustawić hasło ochrony parametrów konfiguracji,
należy kliknąć przycisk Ustaw hasło.
122
Sekcja ustawień Alerty i powiadomienia w obszarze Interfej s użytkownika umożliwia skonfigurowanie sposobu
obsługi alertów o zagrożeniach i powiadomień systemowych w programie ESET Mail Security.
Pierwszym elementem jest opcja Wyświetlaj alerty. Wyłączenie tej opcji spowoduje anulowanie wszystkich okien
alertów — jest to zalecane jedynie w specyficznych sytuacjach. W przypadku większości użytkowników zaleca się
pozostawienie ustawienia domyślnego tej opcji (włączona).
Aby wyskakujące okienka były automatycznie zamykane po upływie określonego czasu, należy zaznaczyć opcję
Automatycznie zamykaj okna komunikatów po (sek.). Jeśli użytkownik nie zamknie okna powiadomień ręcznie,
zostanie ono zamknięte automatycznie po upływie określonego czasu.
Powiadomienia na pulpicie i dymki mają charakter informacyjny i nie proponują ani nie wymagają działań ze strony
użytkownika. Są one wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Aby włączyć
wyświetlanie powiadomień na pulpicie, należy włączyć opcję Wyświetlaj powiadomienia na pulpicie.
Szczegółowe opcje, takie jak czas wyświetlania powiadomienia i przezroczystość okien, można zmodyfikować po
kliknięciu przycisku Konfiguruj powiadomienia.
Aby wyświetlić podgląd powiadomień, należy kliknąć przycisk Podgląd. Do konfigurowania czasu wyświetlania
porad w dymkach służy opcja Wyświetlaj porady w dymkach na pasku zadań (sek.).
Kliknięcie opcji Ustawienia zaawansowane powoduje przejście do dodatkowych opcji Alertów i powiadomień, do
których należy opcja Wyświetlaj tylko powiadomienia wymagaj ące interwencj i użytkownika. Ta opcja pozwala
włączyć lub wyłączyć wyświetlanie alertów i powiadomień niewymagających interwencji użytkownika. Wybranie
opcji Wyświetlaj tylko powiadomienia wymagaj ące interwencj i użytkownika (podczas uruchamiania aplikacj i
w trybie pełnoekranowym) powoduje, że powiadomienia niewymagające interwencji użytkownika nie są
wyświetlane. Z menu rozwijanego Minimalna szczegółowość zdarzeń do wyświetlenia można wybrać
początkowy stopień ważności alertów i powiadomień, które będą wyświetlane.
Ostatnia funkcja w tej sekcji umożliwia określenie miejsca docelowego powiadomień w środowisku z wieloma
użytkownikami. Pole W systemach z wieloma użytkownikami wyświetlaj powiadomienia na ekranie
następuj ącego użytkownika umożliwia określenie użytkownika, który będzie otrzymywał ważne powiadomienia
w programie ESET Mail Security. Zazwyczaj takimi osobami są administrator systemu lub administrator sieci. Ta
opcja jest szczególnie przydatna w przypadku serwerów terminali, pod warunkiem, że wszystkie powiadomienia
systemowe są wysyłane do administratora.
123
4.8.2 Wyłączanie interfej su GUI na serwerze terminali
W tym rozdziale omówiono wyłączanie graficznego interfejsu użytkownika (GUI) w programie ESET Mail Security
działającym na serwerze terminali systemu Windows dla sesji użytkownika.
Graficzny interfejs użytkownika programu ESET Mail Security jest zwykle uruchamiany po zalogowaniu się
zdalnego użytkownika na serwerze i po utworzeniu przez niego sesji terminalu. To działanie jest przeważnie
niepożądane w przypadku serwerów terminali. Aby wyłączyć interfejs GUI dla sesji terminali, należy wykonać
poniższe kroki:
1. Wprowadź polecenie regedit.exe
2. Przejdź do węzła HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Kliknij prawym przyciskiem myszy wartość egui i wybierz opcję Modyfikuj
4. Dodaj parametr /terminal na końcu istniejącego wyrażenia.
Poniżej przedstawiono przykład wartości elementu egui:
"C:\Program Files\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal
Aby cofnąć tę zmianę i włączyć automatyczne uruchamianie interfejsu GUI programu ESET Mail Security, należy
usunąć parametr /terminal z wartości rejestru. Aby przejść do wartości egui w rejestrze, należy powtórzyć kroki od 1
do 3.
4.9 eShell
eShell (krótka forma nazwy ESET Shell) to interfejs wiersza polecenia programu ESET Mail Security. Stanowi on
alternatywę dla graficznego interfejsu użytkownika (GUI). Interfejs eShell oferuje te same funkcje i opcje, które są
dostępne za pośrednictwem interfejsu GUI. Interfejs eShell pozwala konfigurować program i administrować nim
bez użycia interfejsu GUI.
Zawiera on wszystkie funkcje dostępne w interfejsie GUI, a ponadto umożliwia zautomatyzowanie działań za
pomocą skryptów uruchamianych w celu konfigurowania ustawień, modyfikowania konfiguracji lub wykonywania
określonych czynności. Interfejs eShell może być również przydatny dla tych użytkowników, którzy wolą wiersz
polecenia od interfejsu GUI.
UWAGA: Osobny podręcznik interfejsu eShell można pobrać tutaj. Zawiera ona listę wszystkich poleceń wraz z ich
składnią i opisem.
W tej sekcji opisano sposób nawigowania po interfejsie eShell i korzystania z niego oraz przedstawiono listę
wszystkich poleceń wraz z opisami ich zastosowania i działania.
Interfejs eShell można uruchamiać w dwóch trybach:
Tryb interaktywny — jest przydatny, kiedy interfejs eShell ma zostać użyty do wykonania jakiegoś ogólniejszego
działania (a nie tylko jednego polecenia), np. zmodyfikowania konfiguracji albo wyświetlenia dzienników. Tryb
interaktywny jest też pomocny, gdy użytkownik nie zna jeszcze wszystkich poleceń. Tryb interaktywny ułatwia
nawigowanie po interfejsie eShell. Są w nim również wyświetlane dostępne polecenia, których można użyć w
danej sytuacji.
Pojedyncze polecenie/tryb wsadowy — tego trybu można użyć, aby wykonać tylko jedno polecenie bez
uruchamiania trybu interaktywnego interfejsu eShell. Można to zrobić za pomocą wiersza polecenia systemu
Windows, wpisując polecenie eshell z odpowiednimi parametrami. Na przykład:
eshell set av document status enabled
UWAGA: Aby uruchamiać polecenia interfejsu eShell z wiersza polecenia systemu Windows lub uruchamiać pliki
wsadowe, należy najpierw włączyć tę funkcję (wykonać polecenie set general access batch always w trybie
interaktywnym). Aby uzyskać więcej informacji o poleceniu „set batch”, kliknij tutaj 128 .
Tryb interaktywny interfejsu eShell można włączyć na dwa sposoby:
Za pomocą menu Start systemu Windows: Start > Wszystkie programy > ESET > ESET File Security > ESET shell
Za pomocą wiersza polecenia systemu Windows, wpisując polecenie eshell i naciskając klawisz Enter
124
Przy pierwszym uruchomieniu interfejsu eShell w trybie interaktywnym jest wyświetlany ekran pierwszego
uruchomienia.
Przedstawia on kilka podstawowych przykładów używania interfejsu eShell z zastosowaniem składni, przedrostka,
ścieżki polecenia, form skróconych, aliasów itp. Jest to w zasadzie krótki przewodnik po interfejsie eShell.
UWAGA: Aby później wyświetlić ekran pierwszego uruchomienia, należy wpisać polecenie guide .
UWAGA: Wielkość liter używanych w poleceniach nie jest rozróżniana. Można używać zarówno wielkich, jak i
małych liter — nie będzie to miało wpływu na wykonanie polecenia.
4.9.1 Sposób użycia
Składnia
Polecenia muszą być sformatowane według określonych reguł składniowych i mogą składać się z przedrostka,
kontekstu, argumentów, opcji itd. Ogólna składnia używana w całym interfejsie eShell to:
[<przedrostek>] [<ścieżka polecenia>] <polecenie> [<argumenty>]
Przykład (uaktywnienie ochrony dokumentów):
SET AV DOCUMENT STATUS ENABLED
SET — przedrostek
AV DOCUMENT — ścieżka do określonego polecenia; kontekst, do którego należy dane polecenie.
STATUS — samo polecenie
ENABLED — argument polecenia
Wpisanie HELP lub ? wraz z poleceniem umożliwia wyświetlenie składni danego polecenia. Na przykład wpisanie
ciągu CLEANLEVEL HELP spowoduje wyświetlenie składni polecenia CLEANLEVEL :
SKŁADNIA:
[get] | restore cleanlevel
set cleanlevel none | normal | strict
Można zauważyć, że wyraz [get] znajduje się w nawiasach kwadratowych. To oznacza, że ciąg get jest
przedrostkiem domyślnym polecenia cleanlevel . Oznacza to, że gdy polecenie cleanlevel zostanie wykonane bez
określonego przedrostka, w rzeczywistości zostanie użyty przedrostek domyślny (w tym przypadku get cleanlevel
). Używanie poleceń bez przedrostków pozwala zaoszczędzić czas podczas pisania. Zazwyczaj przedrostek get jest
przedrostkiem domyślnym większości poleceń. Należy się jednak upewnić, jaki przedrostek domyślny jest
stosowany do określonego polecenia oraz czy spowoduje on wykonanie żądanej operacji.
Przedrostek lub operacj a
Przedrostek oznacza operację. Przedrostek GET pozwala wyświetlić informacje o konfiguracji określonej funkcji
programu ESET Mail Security lub jej stanie (na przykład polecenie GET AV STATUS umożliwia wyświetlenie informacji
o aktualnym stanie ochrony). Przedrostek SET umożliwia skonfigurowanie funkcji lub zmodyfikowanie jej stanu
(polecenieSET AV STATUS ENABLED uaktywnia ochronę).
125
Oto przedrostki używane w interfejsie eShell. Polecenie może nie obsługiwać wszystkich poniższych przedrostków:
GET — zwrócenie bieżącego ustawienia/stanu
SET — ustawienie wartości/stanu
SELECT — wybranie elementu
ADD — dodanie elementu
REMOVE — usunięcie elementu
CLEAR — usunięcie wszystkich elementów/plików
START — rozpoczęcie wykonywania czynności
STOP — zakończenie wykonywania czynności
PAUSE — wstrzymanie czynności
RESUME — wznowienie czynności
RESTORE — przywrócenie ustawień domyślnych lub domyślnego obiektu/pliku
SEND — wysłanie obiektu/pliku
IMPORT — importowanie z pliku
EXPORT — eksportowanie do pliku
Przedrostki takie, jak GET i SET mogą być używane z wieloma poleceniami. Jednak niektóre polecenia, takie jak EXIT,
nie obsługują przedrostków.
Ścieżka polecenia/kontekst
Polecenia są umieszczane w kontekstach, które tworzą strukturę drzewa. Górny poziom drzewa stanowi katalog
główny (root). Po uruchomieniu interfejsu eShell użytkownik znajduje się na poziomie katalogu głównego:
eShell>
Można wykonywać polecenia z tego poziomu lub wprowadzić nazwę kontekstu, aby nawigować w obszarze
drzewa. Na przykład wprowadzenie kontekstu TOOLS spowoduje wyświetlenie listy wszystkich poleceń i
kontekstów podrzędnych dostępnych z tego poziomu.
Kolorem żółtym oznaczono polecenia możliwe do wykonania. Kolorem szarym wyróżniono konteksty podrzędne,
do których można przejść. Kontekst podrzędny zawiera kolejne polecenia.
Aby przejść z powrotem na wyższy poziom, należy wpisać .. (dwie kropki). Załóżmy, że użytkownik znajduje się na
następującym poziomie:
eShell av options>
Po wpisaniu ciągu .. będzie znajdować się o jeden poziom wyżej:
eShell av>
Aby powrócić do poziomu katalogu głównego z poziomu eShell av options> (który znajduje się o dwa poziomy niżej
niż katalog główny), należy wpisać ciąg .. .. (dwie kropki, spacja, dwie kropki). W ten sposób można przejść o dwa
poziomy wyżej, czyli w tym przypadku do poziomu katalogu głównego. Tej metody można używać na dowolnym
poziomie drzewa kontekstu. Wystarczy wpisać ciąg .. tyle razy, ile potrzeba, aby przejść na żądany poziom.
126
Ścieżka jest względna wobec bieżącego kontekstu. Jeśli polecenie jest zawarte w bieżącym kontekście, nie należy
podawać ścieżki. Aby na przykład wykonać polecenie GET AV STATUS, należy wprowadzić następujący ciąg:
GET AV STATUS — z poziomu kontekstu elementu głównego (wiersz polecenia ma postać eShell>)
GET STATUS — z poziomu kontekstu AV (wiersz polecenia ma postać eShell av>)
.. GET STATUS — z poziomu kontekstu AV OPTIONS (wiersz polecenia ma postać eShell av options>)
Argument
Argument oznacza czynność wykonywaną dla określonego polecenia. Na przykład polecenie CLEANLEVEL może być
używane z następującymi argumentami:
none — brak leczenia
normal — leczenie standardowe
strict — leczenie dokładne
Inne przykłady argumentów to ENABLED lub DISABLED,które służą do włączania i wyłączania określonych funkcji.
Forma skrócona/polecenia skrócone
W interfejsie eShell można skracać konteksty, polecenia i argumenty (o ile dany argument jest przełącznikiem lub
opcją alternatywną). Nie można skracać przedrostków i argumentów będących konkretną wartością, taką jak
liczba, nazwa lub ścieżka.
Przykłady formy skróconej:
set status enabled
=> set stat en
add av exclusions C:\path\file.ext => add av exc C:\path\file.ext
W przypadku, gdy dwa polecenia lub konteksty rozpoczynają się taką samą literą, na przykład ABOUT i AV,a
użytkownik wprowadzi literę A jako polecenie skrócone, rozróżnienie, które z poleceń ma zostać wykonane w
interfejsie eShell, będzie niemożliwe. Zostanie wówczas wyświetlony komunikat o błędzie oraz lista poleceń
rozpoczynających się literą „A”, z których można wybrać odpowiednie:
eShell>a
Następujące polecenie nie jest unikatowe: a
W tym kontekście dostępne są następujące polecenia:
ABOUT - Wyświetlanie informacji o programie
AV - Zmiana kontekstu na av
Po dodaniu przez użytkownika jednej lub kilku liter (np. AB zamiast samej litery A) w interfejsie eShell zostanie
wykonane polecenie ABOUT, ponieważ w tym momencie będzie ono unikatowe.
UWAGA: Aby mieć pewność, że polecenie zostanie wykonane prawidłowo, zaleca się używanie pełnych form
poleceń, argumentów i innych elementów zamiast form skróconych. Pozwala to na wykonanie polecenia w
wymagany sposób i uniknięcie niepożądanych błędów. Ma to szczególne znaczenie w przypadku plików
wsadowych i skryptów.
Aliasy
Alias to alternatywna nazwa, przy użyciu której można wykonać polecenie (o ile do danego polecenia przypisano
alias). Istnieje kilka aliasów domyślnych:
(global) help - ?
(global) close - exit
(global) quit - exit
(global) bye - exit
warnlog - tools log events
virlog - tools log detections
Oznaczenie „(global)” wskazuje, że dane polecenie może być użyte w dowolnym miejscu, niezależnie od bieżącego
kontekstu. Do jednego polecenia można przypisać wiele aliasów, na przykład polecenie EXIT ma aliasy CLOSE, QUIT i
BYE. Aby zakończyć działanie interfejsu eShell, można użyć polecenia EXIT lub dowolnego z jego aliasów. Alias VIRLOG
jest aliasem polecenia DETECTIONS, które znajduje się w kontekście TOOLS LOG . Polecenie DETECTIONS jest więc
dostępne w kontekście ROOT, co ułatwia jego wykonywanie (nie trzeba przechodzić do kontekstu TOOLS, a następnie
do kontekstu LOG, lecz można uruchomić polecenie bezpośrednio w kontekście ROOT).
Interfejs eShell umożliwia definiowanie własnych aliasów.
127
Polecenia chronione hasłem
Niektóre polecenia są chronione i można je wykonać jedynie po wprowadzeniu hasła.
Polecenie Guide
Wydanie polecenia GUIDE powoduje wyświetlenie ekranu pierwszego uruchomienia, który zawiera informacje
dotyczące sposobu korzystania z interfejsu eShell. To polecenie jest dostępne z kontekstu ROOT (eShell>).
Polecenie Help
Polecenie HELP użyte bez dodatku innych elementów powoduje wyświetlenie listy wszystkich dostępnych poleceń
wraz z przedrostkami oraz kontekstów podrzędnych w obszarze bieżącego kontekstu. Do każdego polecenia i
kontekstu podrzędnego jest ponadto dołączony krótki opis. Użycie ciągu HELP jako argumentu z określonym
poleceniem (np. CLEANLEVEL HELP)powoduje wyświetlenie szczegółowych informacji na temat danego polecenia.
Obejmują one SKŁADNIĘ, OPERACJE, ARGUMENTY i ALIASY dotyczące danego polecenia oraz ich krótkie opisy.
Historia poleceń
Interfejs eShell zachowuje historię uprzednio wykonanych poleceń. Obejmuje ona tylko bieżącą interaktywną sesję
interfejsu eShell. Po zakończeniu działania interfejsu eShell historia poleceń zostanie usunięta. W celu przeglądania
historii należy użyć klawiszy strzałek w górę i w dół na klawiaturze. Po odnalezieniu odpowiedniego polecenia
można wykonać je ponownie lub zmodyfikować bez konieczności ponownego wpisywania całego polecenia.
Polecenie CLS (czyszczenie ekranu)
Za pomocą polecenia CLS można wyczyścić ekran. Działa ono w taki sam sposób, jak w przypadku wiersza polecenia
systemu Windows lub podobnego interfejsu wiersza polecenia.
Polecenia EXIT/CLOSE/QUIT/BYE
Aby zamknąć interfejs eShell lub zakończyć jego działanie, można użyć dowolnego z tych poleceń (EXIT, CLOSE, QUIT
lub BYE).
4.9.2 Polecenia
W tej sekcji opisano kilka przykładowych poleceń interfejsu eShell. Kompletną listę poleceń zawiera podręcznik
interfejsu eShell, który można pobrać tutaj.
Polecenia zawarte w kontekście ROOT:
ABOUT
Wyświetlenie informacji o programie. Obejmują one nazwę zainstalowanego produktu, numer wersji,
zainstalowane komponenty (łącznie z numerem wersji każdego z nich) oraz podstawowe informacje o serwerze i
systemie operacyjnym, w którym działa program ESET Mail Security.
ŚCIEŻKA KONTEKSTU:
root
BATCH
Uruchomienie trybu wsadowego interfejsu eShell. To polecenie jest bardzo przydatne przy uruchamianiu plików
wsadowych bądź skryptów. Zalecamy uruchamianie plików wsadowych za pomocą tego polecenia. Aby uruchomić
tryb wsadowy, należy umieścić polecenie START BATCH jako pierwsze polecenie w pliku wsadowym lub skrypcie. Po
włączeniu tej funkcji nie są wymagane dodatkowe działania użytkownika (na przykład wprowadzenie hasła), a
brakujące argumenty są zastępowane wartościami domyślnymi. Pozwala to zapobiegać sytuacjom, gdy
przetwarzanie wsadowe jest przerywane, ponieważ interfejs eShell oczekuje na działanie użytkownika. Dzięki
temu plik wsadowy będzie przetwarzany bez zakłóceń (o ile nie wystąpi błąd lub któreś z poleceń w pliku
wsadowym nie okaże się błędne).
root
SKŁADNIA:
[start] batch
OPERACJE:
128
start — uruchomienie interfejsu eShell w trybie wsadowym
root
PRZYKŁADY:
start batch — uruchomienie trybu wsadowego interfejsu eShell
GUIDE
Wyświetlenie ekranu pierwszego uruchomienia.
root
PASSWORD
Aby wykonać polecenie chronione hasłem, zwykle ze względów bezpieczeństwa należy wpisać hasło. Zasada ta
dotyczy na przykład poleceń wyłączających ochronę antywirusową bądź mogących wpływać na działanie programu
ESET Mail Security. Użytkownik jest proszony o podanie hasła przed każdym wykonaniem takiego polecenia. Aby
nie wprowadzać hasła za każdym razem, można je zdefiniować. Zostanie ono zapamiętane przez interfejs eShell i
będzie używane automatycznie przy wykonywaniu poleceń chronionych hasłem. Dzięki temu nie będzie konieczne
każdorazowe wprowadzanie hasła przez użytkownika.
UWAGA: Zdefiniowane hasło jest używane tylko podczas bieżącej interaktywnej sesji interfejsu eShell. Po
zakończeniu pracy z interfejsem eShell zdefiniowane hasło jest usuwane. Po kolejnym uruchomieniu interfejsu
eShell należy ponownie zdefiniować hasło.
Zdefiniowane hasło jest też bardzo przydatne podczas uruchamiania plików wsadowych i skryptów. Oto przykład
takiego pliku wsadowego:
eshell start batch "&" set password plain <hasło> "&" set status disabled
Powyższe połączone polecenie uruchamia tryb wsadowy, definiuje hasło, które będzie używane, oraz wyłącza
ochronę.
root
SKŁADNIA:
[get] | restore password
set password [plain <hasło>]
OPERACJE:
get — wyświetlenie hasła
set — ustawienie lub wyczyszczenie hasła
restore — wyczyszczenie hasła
ARGUMENTY:
plain — przełączenie na wprowadzanie hasła jako parametru
password — hasło
PRZYKŁADY:
set password plain <hasło> — ustawienie hasła, które będzie używane na potrzeby wykonywania poleceń
chronionych hasłem
restore password — wyczyszczenie hasła
PRZYKŁADY:
get password — to polecenie pozwala sprawdzić, czy hasło zostało skonfigurowane (wyświetlane są jedynie
129
gwiazdki „*”, samo hasło nie jest widoczne). Brak gwiazdek oznacza, że hasło nie zostało jeszcze ustawione.
set password plain <hasło> — ustawienie zdefiniowanego hasła
restore password — wyczyszczenie zdefiniowanego hasła
STATUS
Wyświetlenie informacji o aktualnym stanie ochrony programu ESET Mail Security (podobnie jak w interfejsie GUI).
root
SKŁADNIA:
[get] | restore status
set status disabled | enabled
OPERACJE:
get — wyświetlenie stanu ochrony antywirusowej
set — wyłączenie/włączenie ochrony antywirusowej
restore — przywrócenie ustawień domyślnych
ARGUMENTY:
disabled — wyłączenie ochrony antywirusowej
enabled — włączenie ochrony antywirusowej
PRZYKŁADY:
get status — wyświetlenie aktualnego stanu ochrony
set status disabled — wyłączenie ochrony
restore status — przywrócenie domyślnego ustawienia ochrony (włączone)
VIRLOG
To jest alias polecenia DETECTIONS . To polecenie służy do wyświetlania informacji o wykrytych infekcjach.
WARNLOG
To jest alias polecenia EVENTS . To polecenie służy do wyświetlania informacji o różnych zdarzeniach.
130
4.10 Import i eksport ustawień
Konfigurację programu ESET Mail Security można importować lub eksportować w obszarze Ustawienia po
kliknięciu przycisku Import i eksport ustawień.
Importowanie i eksportowanie ustawień odbywa się z użyciem plików XML. Funkcja eksportu i importu jest
przydatna, gdy konieczne jest utworzenie kopii zapasowej bieżącej konfiguracji programu ESET Mail Security w celu
jej użycia w późniejszym czasie. Funkcja eksportu ustawień jest również pomocna dla użytkowników, którzy chcą
używać preferowanej konfiguracji programu ESET Mail Security na wielu komputerach — ustawienia można łatwo
przenieść, importując je z pliku XML.
4.11 ThreatSense.Net
System monitorowania zagrożeń ThreatSense.Net pomaga zapewnić natychmiastowe i ciągłe informowanie firmy
ESET o nowych próbach ataków. Dwukierunkowy system wczesnego ostrzegania ThreatSense.Net ma jeden cel —
poprawę oferowanej ochrony. Najlepszą gwarancją wykrycia nowych zagrożeń natychmiast po ich pojawieniu się
jest „połączenie” jak największej liczby naszych klientów i obsadzenie ich w roli tropicieli zagrożeń. Istnieją dwie
możliwości:
1. Można nie włączać systemu monitorowania zagrożeń ThreatSense.Net. Funkcjonalność oprogramowania nie
ulegnie zmniejszeniu, a użytkownik nadal będzie otrzymywać najlepszą ochronę.
2. System ThreatSense.Net można skonfigurować w taki sposób, aby anonimowe informacje o nowych
zagrożeniach i lokalizacjach nowego niebezpiecznego kodu były przesyłane w postaci pojedynczego pliku. Ten plik
może być przesyłany do firmy ESET w celu szczegółowej analizy. Zbadanie zagrożeń pomoże firmie ESET ulepszać
metody wykrywania zagrożeń.
System monitorowania zagrożeń ThreatSense.Net zgromadzi informacje o komputerze użytkownika powiązane z
nowo wykrytymi zagrożeniami. Te informacje mogą zawierać próbkę lub kopię pliku, w którym wystąpiło
zagrożenie, ścieżkę do tego pliku, nazwę pliku, datę i godzinę, proces, za pośrednictwem którego zagrożenie
pojawiło się na komputerze, oraz informacje o systemie operacyjnym komputera.
Chociaż istnieje możliwość, że w wyniku tego pracownicy laboratorium firmy ESET mogą mieć dostęp do
niektórych informacji dotyczących użytkownika lub jego komputera (np. do nazw użytkowników widocznych w
ścieżce katalogu), nie będą one używane w ŻADNYM innym celu niż ulepszanie systemu monitorowania zagrożeń.
Domyślna konfiguracja programu ESET Mail Security zawiera zdefiniowaną opcję pytania użytkownika przed
przesłaniem podejrzanych plików do szczegółowej analizy w laboratorium zagrożeń firmy ESET. Pliki z określonymi
rozszerzeniami, takimi jak DOC lub XLS, są zawsze wyłączone. Można również dodać inne rozszerzenia, jeśli istnieją
pliki, które użytkownik lub jego firma życzy sobie wyłączyć z procesu przesyłania.
131
Do konfiguracji systemu ThreatSense.Net można przejść z poziomu drzewa ustawień zaawansowanych,
wybierając kolejno opcje Narzędzia > ThreatSense.Net. Po wybraniu opcji Włącz system monitorowania
zagrożeń ThreatSense, w celu włączenia tego systemu należy kliknąć przycisk Ustawienia zaawansowane.
4.11.1 Podej rzane pliki
Karta Podej rzane pliki umożliwia skonfigurowanie sposobu przesyłania zagrożeń do laboratorium firmy ESET w
celu przeprowadzenia analizy.
Po wykryciu podejrzanego pliku na komputerze można go przesłać do analizy w laboratorium firmy. Jeśli plik okaże
się szkodliwą aplikacją, informacje potrzebne do jej wykrywania zostaną dodane do kolejnej aktualizacji bazy
sygnatur wirusów.
Można skonfigurować ustawienia w taki sposób, aby pliki były przesyłane automatycznie, lub wybrać opcję Pytaj
przed przesłaniem, aby uzyskać informacje o plikach wysyłanych do analizy i potwierdzić ich wysłanie.
132
Jeśli nie mają być przesyłane żadne pliki, należy zaznaczyć opcję Nie przesyłaj do analizy. Zaznaczenie tej opcji nie
wpływa na przesyłanie informacji statystycznych, których ustawienia są konfigurowane w innym miejscu (patrz
sekcja Statystyki 133 ).
Kiedy przesyłać — domyślnie zaznaczona jest opcja Natychmiast dotycząca wysyłania podejrzanych plików do
analizy w laboratorium firmy ESET. Jest to zalecane w przypadku korzystania ze stałego łącza internetowego, dzięki
czemu podejrzane pliki mogą być dostarczane bez opóźnienia. Wybór opcji Podczas aktualizacj i spowoduje, że
podejrzane pliki będą przesyłane do programu ThreatSense.Net podczas kolejnej aktualizacji.
Wyłączenia — umożliwia wykluczenie określonych plików i folderów z przesyłania. Warto na przykład wyłączyć
pliki, które mogą zawierać poufne informacje, takie jak dokumenty lub arkusze kalkulacyjne. Najpopularniejsze
typy plików należących do tej kategorii (np. DOC) są domyślnie wyłączone. Do listy wyłączonych plików można
dodawać inne typy plików.
Kontaktowy adres e-mail (opcj onalnie) — wraz z podejrzanymi plikami może być wysyłany adres e-mail, który
będzie używany do kontaktowania się z użytkownikiem w sytuacji, gdy przeprowadzenie analizy będzie wymagało
dodatkowych informacji. Należy podkreślić, że specjaliści z firmy ESET kontaktują się z użytkownikiem tylko w
szczególnych przypadkach.
4.11.2 Statystyki
System monitorowania zagrożeń ThreatSense.Net gromadzi anonimowe informacje o komputerze użytkownika
dotyczące nowo wykrytych zagrożeń. Mogą one obejmować nazwę infekcji, datę i godzinę jej wykrycia, numer
wersji programu zabezpieczającego firmy ESET, wersję systemu operacyjnego oraz ustawienia regionalne.
Zazwyczaj statystyka jest wysyłana do serwerów firmy ESET raz lub dwa razy dziennie.
Poniżej przedstawiono przykład wysyłanego pakietu danych statystycznych:
#
#
#
#
#
#
#
#
#
utc_time=2005-04-14 07:21:28
country="Slovakia"
language="ENGLISH"
osver=5.1.2600 NT
engine=5417
components=2.50.2
moduleid=0x4e4f4d41
filesize=28368
filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1
Kiedy przesyłać — użytkownik może sam określić termin wysyłania danych statystycznych. Po wybraniu opcji Jak
naj szybciej informacje statystyczne będą wysyłane natychmiast po ich utworzeniu. To ustawienie jest
odpowiednie przy korzystaniu ze stałego łącza internetowego. W przypadku zaznaczenia opcji Podczas
aktualizacj i wszystkie informacje statystyczne będą wysyłane w trakcie pierwszej aktualizacji przypadającej po ich
zgromadzeniu.
133
4.11.3 Przesyłanie
Użytkownik może wybrać sposób przesyłania plików i informacji statystycznych do firmy ESET. Jeśli pliki i dane
statystyczne mają być przesyłane wszystkimi dostępnymi sposobami, należy zaznaczyć opcję Przy użyciu zdalnej
administracj i (Remote Administrator) lub bezpośrednio do firmy ESET. Zaznaczenie jedynie opcji Przy użyciu
zdalnej administracj i (Remote Administrator) spowoduje wysyłanie informacji i plików wyłącznie do serwera
zdalnej administracji, skąd następnie trafią one do laboratorium firmy ESET. Jeśli zostanie zaznaczona opcja
Bezpośrednio do firmy ESET, wszystkie podejrzane pliki i informacje statystyczne będą wysyłane z programu do
laboratorium firmy ESET.
Jeżeli istnieją pliki oczekujące na przesłanie, przycisk Prześlij teraz jest aktywny. Należy kliknąć ten przycisk, aby
przesłać pliki i informacje statystyczne.
Wybranie opcji Włącz zapisywanie w dzienniku spowoduje utworzenie dziennika, w którym będą rejestrowane
wysyłane pliki i informacje statystyczne.
134
4.12 Administracj a zdalna
Program ESET Remote Administrator (ERA) to wydajne narzędzie służące do zarządzania zasadami zabezpieczeń i
pozwalające uzyskać całościowy obraz zabezpieczeń wewnątrz sieci. Jest ono szczególnie użyteczne w dużych
sieciach. Narzędzie ERA nie tylko zwiększa poziom bezpieczeństwa, ale również ułatwia administrowanie
programem ESET Mail Security na klienckich stacjach roboczych.
Opcje ustawień administracji zdalnej są dostępne z poziomu okna głównego programu ESET Mail Security. Kliknij
kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Inne > Administracj a zdalna.
Włącz tryb administracji zdalnej, wybierając opcję Połącz z serwerem zdalnej administracj i (Remote
Administrator). Pozwoli to uzyskać dostęp do poniższych opcji:
Odstęp czasu między połączeniami z serwerem (min.) — służy do określania częstotliwości nawiązywania
przez program ESET Mail Security połączenia z serwerem ERA. Jeśli ta opcja zostanie ustawiona na wartość 0,
informacje będą przesyłane co 5 sekund.
Adres serwera — adres sieciowy serwera, na którym jest zainstalowany serwer ERA.
Port: — to pole zawiera wstępnie zdefiniowany port serwera używany do nawiązywania połączenia. Zaleca się
pozostawienie domyślnego ustawienia portu (2222).
Serwer zdalnej administracj i (Remote Administrator) wymaga uwierzytelniania — umożliwia wprowadzenie
hasła w celu nawiązania połączenia z serwerem ERA (jeśli jest to wymagane).
Kliknij przycisk OK, aby potwierdzić zmiany i zastosować ustawienia. Program ESET Mail Security będzie używał
tych ustawień w celu nawiązania połączenia z serwerem ERA.
135
4.13 Licencj e
W gałęzi Licencj e można zarządzać kluczami licencyjnymi programu ESET Mail Security oraz innych produktów
firmy ESET, na przykład ESET Mail Security itd. Po dokonaniu zakupu klucze licencyjne są dostarczane wraz z nazwą
użytkownika i hasłem. Aby dodać lub usunąć klucz licencyjny, należy kliknąć odpowiedni przycisk Dodaj /Usuń w
oknie menedżera licencji. Menedżer licencji jest dostępny z poziomu drzewa ustawień zaawansowanych po
wybraniu kolejno opcji Inne > Licencj e.
Klucz licencyjny jest plikiem tekstowym zawierającym informacje na temat zakupionego produktu, takie jak jego
właściciel, liczba licencji oraz data utraty ważności.
Okno menedżera licencji umożliwia użytkownikowi przekazywanie i wyświetlanie zawartości klucza licencyjnego
za pomocą przycisku Dodaj — informacje zawarte w kluczu są wyświetlane w menedżerze licencji. Aby usunąć z
listy pliki licencyjne, należy kliknąć przycisk Usuń.
Jeśli klucz licencyjny utracił ważność, a użytkownik jest zainteresowany odnowieniem licencji, należy kliknąć
przycisk Zamów, co spowoduje przekierowanie do sklepu internetowego.
136
5. Słowniczek
5.1 Typy infekcj i
Infekcja oznacza atak szkodliwego oprogramowania, które usiłuje uzyskać dostęp do komputera użytkownika i
(lub) uszkodzić jego zawartość.
5.1.1 Wirusy
Wirus komputerowy to program, który atakuje system i uszkadza pliki znajdujące się na komputerze. Nazwa tego
typu programów pochodzi od wirusów biologicznych, ponieważ stosują one podobne metody przenoszenia się z
jednego komputera na drugi.
Wirusy komputerowe atakują głównie pliki wykonywalne i dokumenty. W celu powielenia wirus dokleja swój kod
na końcu zaatakowanego pliku. Działanie wirusa komputerowego w skrócie przedstawia się następująco. Po
uruchomieniu zainfekowanego pliku wirus uaktywnia się (przed aplikacją, do której jest doklejony) i wykonuje
zadanie określone przez jego twórcę. Dopiero wtedy następuje uruchomienie zaatakowanej aplikacji. Wirus nie
może zainfekować komputera, dopóki użytkownik (przypadkowo lub rozmyślnie) nie uruchomi lub nie otworzy
szkodliwego programu.
Wirusy komputerowe różnią się pod względem odgrywanej roli i stopnia stwarzanego zagrożenia. Niektóre z nich
są bardzo niebezpieczne, ponieważ mogą celowo usuwać pliki z dysku twardego. Część wirusów nie powoduje
natomiast żadnych szkód — celem ich działania jest tylko zirytowanie użytkownika i zademonstrowanie
umiejętności programistycznych ich twórców.
Warto zauważyć, że w porównaniu z końmi trojańskimi lub oprogramowaniem spyware wirusy stają się coraz
rzadsze, ponieważ nie przynoszą autorom żadnych dochodów. Ponadto termin „wirus” jest często błędnie używany
w odniesieniu do wszystkich typów programów infekujących system. Taka interpretacja powoli jednak zanika i
stosowane jest nowe, ściślejsze określenie „szkodliwe oprogramowanie”.
Jeśli komputer został zaatakowany przez wirusa, konieczne jest przywrócenie zainfekowanych plików do
pierwotnego stanu, czyli wyleczenie ich przy użyciu programu antywirusowego.
Przykłady wirusów: OneHalf, Tenga i Yankee Doodle.
5.1.2 Robaki
Robak komputerowy jest programem zawierającym szkodliwy kod, który atakuje hosty. Robaki rozprzestrzeniają
się za pośrednictwem sieci. Podstawowa różnica między wirusem a robakiem polega na tym, że ten ostatni potrafi
samodzielnie powielać się i przenosić — nie musi w tym celu korzystać z plików nosicieli ani sektorów
rozruchowych dysku. Robaki rozpowszechniają się przy użyciu adresów e-mail z listy kontaktów oraz wykorzystują
luki w zabezpieczeniach aplikacji sieciowych.
Robaki są przez to znacznie bardziej żywotne niż wirusy komputerowe. Ze względu na powszechność dostępu do
Internetu mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin po opublikowaniu, a w niektórych
przypadkach nawet w ciągu kilku minut. Możliwość szybkiego i niezależnego powielania się powoduje, że są one
znacznie groźniejsze niż inne rodzaje szkodliwego oprogramowania.
Robak uaktywniony w systemie może być przyczyną wielu niedogodności: może usuwać pliki, obniżać wydajność
komputera, a nawet blokować działanie programów. Natura robaka komputerowego predestynuje go do
stosowania w charakterze „środka transportu” dla innych typów szkodliwego oprogramowania.
Jeśli komputer został zainfekowany przez robaka, zaleca się usunięcie zainfekowanych plików, ponieważ
prawdopodobnie zawierają one szkodliwy kod.
Przykłady znanych robaków:: Lovsan/Blaster, Stration/Warezov, Bagle i Netsky.
137
5.1.3 Konie troj ańskie
Komputerowe konie trojańskie uznawano dotychczas za klasę wirusów, które udają pożyteczne programy, aby
skłonić użytkownika do ich uruchomienia. Należy jednak koniecznie zauważyć, że było to prawdziwe w odniesieniu
do koni trojańskich starej daty — obecnie nie muszą już one ukrywać swojej prawdziwej natury. Ich jedynym celem
jest jak najłatwiejsze przeniknięcie do systemu i wyrządzenie w nim szkód. Określenie „koń trojański” stało się
bardzo ogólnym terminem używanym w odniesieniu do każdego wirusa, którego nie można zaliczyć do infekcji
innego typu.
W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją często na wiele podkategorii:
Program pobieraj ący (ang. downloader) — szkodliwy program, który potrafi pobierać inne wirusy z Internetu.
Program zakażaj ący (ang. dropper) — rodzaj konia trojańskiego, którego działanie polega na umieszczaniu na
zaatakowanych komputerach szkodliwego oprogramowania innych typów.
Program otwieraj ący furtki (ang. backdoor) — aplikacja, która komunikuje się ze zdalnymi intruzami,
umożliwiając im uzyskanie dostępu do systemu i przejęcie nad nim kontroli.
Program rej estruj ący znaki wprowadzane na klawiaturze (ang. keylogger, keystroke logger) — program,
który rejestruje znaki wprowadzone przez użytkownika i wysyła informacje o nich zdalnym intruzom.
Program nawiązuj ący kosztowne połączenia (ang. dialer) — program mający na celu nawiązywanie połączeń z
kosztownymi numerami telefonicznymi. Zauważenie przez użytkownika nowego połączenia jest prawie
niemożliwe. Programy takie mogą przynosić straty tylko użytkownikom modemów telefonicznych, które nie są
już powszechnie używane.
Konie trojańskie występują zwykle w postaci plików wykonywalnych z rozszerzeniem EXE. Jeśli na komputerze
zostanie wykryty plik uznany za konia trojańskiego, zaleca się jego usunięcie, ponieważ najprawdopodobniej
zawiera szkodliwy kod.
Przykłady popularnych koni troj ańskich: NetBus, Trojandownloader. Small.ZL, Slapper
5.1.4 Programy typu rootkit
Programy typu rootkit są szkodliwymi aplikacjami, które przyznają internetowym intruzom nieograniczony dostęp
do systemu operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu do komputera (zwykle z
wykorzystaniem luki w jego zabezpieczeniach) programy typu rootkit używają funkcji systemu operacyjnego, aby
uniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemu
Windows. Z tego powodu wykrycie ich przy użyciu zwykłych technik testowania jest prawie niemożliwe.
Wykrywanie programów typu rootkit odbywa się na dwóch poziomach:
1) Podczas próby uzyskania przez nie dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem są
nieaktywne. Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tym poziomie
(przy założeniu, że rozpoznają takie pliki jako zainfekowane).
2) Gdy są niewidoczne dla zwykłych narzędzi testowych. W programie ESET Mail Security zastosowano technologię
Anti-Stealth, która potrafi wykrywać i usuwać także aktywne programy typu rootkit.
5.1.5 Adware
Oprogramowanie adware to oprogramowanie utrzymywane z reklam. Do tej kategorii zaliczane są programy
wyświetlające treści reklamowe. Takie aplikacje często automatycznie otwierają okienka wyskakujące z reklamami
lub zmieniają stronę główną w przeglądarce internetowej. Oprogramowanie adware jest często dołączane do
bezpłatnych programów, dzięki czemu ich autorzy mogą pokryć koszty tworzenia tych (zazwyczaj użytecznych)
aplikacji.
Oprogramowanie adware samo w sobie nie jest niebezpieczne — użytkownikom mogą jedynie przeszkadzać
wyświetlane reklamy. Niebezpieczeństwo związane z oprogramowaniem adware polega jednak na tym, że może
ono zawierać funkcje śledzące (podobnie jak oprogramowanie spyware).
Jeśli użytkownik zdecyduje się użyć bezpłatnego oprogramowania, powinien zwrócić szczególną uwagę na jego
program instalacyjny. Podczas instalacji zazwyczaj jest wyświetlane powiadomienie o instalowaniu dodatkowych
programów adware. Często jest dostępna opcja umożliwiająca anulowanie instalacji programu adware i
zainstalowanie programu głównego bez dołączonego oprogramowania tego typu.
138
W niektórych przypadkach zainstalowanie programu bez dołączonego oprogramowania adware jest niemożliwe
lub powoduje ograniczenie funkcjonalności. Dzięki temu oprogramowanie adware może zostać zainstalowane w
systemie w sposób legalny, ponieważ użytkownik wyraża na to zgodę. W takim przypadku należy kierować się
względami bezpieczeństwa. Jeśli na komputerze wykryto plik rozpoznany jako oprogramowanie adware, zaleca się
jego usunięcie, ponieważ zachodzi duże prawdopodobieństwo, że zawiera on szkodliwy kod.
5.1.6 Spyware
Do tej kategorii należą wszystkie aplikacje, które przesyłają prywatne informacje bez zgody i wiedzy użytkownika.
Korzystają one z funkcji śledzących do wysyłania różnych danych statystycznych, na przykład listy odwiedzonych
witryn internetowych, adresów e-mail z listy kontaktów użytkownika lub listy znaków wprowadzanych za pomocą
klawiatury.
Twórcy oprogramowania spyware twierdzą, że te techniki mają na celu uzyskanie pełniejszych informacji o
potrzebach i zainteresowaniach użytkowników oraz umożliwiają trafniejsze kierowanie reklam do odbiorców.
Problem polega jednak na tym, że nie ma wyraźnego rozgraniczenia między pożytecznymi a szkodliwymi
aplikacjami i nikt nie może mieć pewności, czy gromadzone informacje nie zostaną wykorzystane w niedozwolony
sposób. Dane pozyskiwane przez spyware mogą obejmować kody bezpieczeństwa, kody PIN, numery kont
bankowych itd. Aplikacja spyware jest często umieszczana w bezpłatnej wersji programu przez jego autora w celu
uzyskania środków pieniężnych lub zachęcenia użytkownika do nabycia wersji komercyjnej. Nierzadko
użytkownicy są podczas instalacji programu informowani o obecności oprogramowania spyware, co ma ich skłonić
do zakupu pozbawionej go wersji płatnej.
Przykładami popularnych bezpłatnych produktów, do których dołączone jest takie oprogramowanie, są aplikacje
klienckie sieci P2P (ang. peer-to-peer). Programy Spyfalcon i Spy Sheriff (oraz wiele innych) należą do szczególnej
podkategorii oprogramowania spyware. Wydają się zapewniać przed nim ochronę, ale w rzeczywistości same są
takimi programami.
Jeśli na komputerze zostanie wykryty plik rozpoznany jako spyware, zaleca się jego usunięcie, ponieważ z dużym
prawdopodobieństwem zawiera on szkodliwy kod.
5.1.7 Potencj alnie niebezpieczne aplikacj e
Istnieje wiele legalnych programów, które ułatwiają administrowanie komputerami połączonymi w sieć. Jednak w
niewłaściwych rękach mogą one zostać użyte do wyrządzania szkód. Program ESET Mail Security zawiera narzędzia
pozwalające wykrywać takie zagrożenia.
Do „potencjalnie niebezpiecznych aplikacji” zaliczane są niektóre legalne programy komercyjne. Są to m.in.
narzędzia do dostępu zdalnego, programy do łamania haseł i programy rejestrujące znaki wprowadzane na
klawiaturze 138 .
W przypadku wykrycia działającej na komputerze potencjalnie niebezpiecznej aplikacji, która nie została
zainstalowana świadomie przez użytkownika, należy skonsultować się z administratorem sieci lub usunąć ją.
5.1.8 Potencj alnie niepożądane aplikacj e
Aplikacje potencjalnie niepożądane nie musiały być świadomie projektowane w złych intencjach, ale ich
stosowanie może w jakimś stopniu obniżać wydajność komputera. Zainstalowanie takiej aplikacji zazwyczaj
wymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przed
instalacją. Najbardziej mogą się rzucać w oczy następujące zmiany:
Otwieranie nowych, nieznanych okien
Aktywacja i uruchamianie ukrytych procesów
Zwiększone wykorzystanie zasobów systemowych
Zmiany w wynikach wyszukiwania
Komunikacja aplikacji z serwerami zdalnymi
139
5.2 Poczta e-mail
Poczta e-mail, czyli poczta elektroniczna, to nowoczesna forma komunikacji oferująca wiele korzyści. Umożliwia
szybką, elastyczną i bezpośrednią komunikację, a ponadto odegrała kluczową rolę w rozpowszechnianiu Internetu
we wczesnych latach 90. ubiegłego wieku.
Niestety wysoki poziom anonimowości podczas korzystania z poczty e-mail i Internetu pozostawia obszar dla
nielegalnych działań, na przykład rozsyłania spamu. Spam można podzielić na niechciane reklamy, fałszywe alarmy
oraz wiadomości rozpowszechniające szkodliwe oprogramowanie. Zagrożenie dla użytkownika jest tym większe,
że koszty wysyłania wiadomości są znikome, a autorzy spamu mają dostęp do wielu narzędzi i źródeł
udostępniających nowe adresy e-mail. Dodatkowo objętość i różnorodność spamu bardzo utrudniają jego kontrolę.
Im dłużej jest używany dany adres e-mail, tym większe jest prawdopodobieństwo, że znajdzie się on w bazie
danych mechanizmu wysyłającego spam. Oto kilka wskazówek zapobiegawczych:
Jeśli to możliwe, nie publikuj swojego adresu e-mail w Internecie.
Informuj o swoim adresie e-mail tylko zaufane osoby.
W miarę możliwości nie używaj popularnych aliasów — bardziej skomplikowane aliasy zmniejszają
prawdopodobieństwo śledzenia.
Nie odpowiadaj na spam, który znalazł się w skrzynce odbiorczej.
Zachowuj ostrożność podczas wypełniania formularzy internetowych. Zwracaj szczególną uwagę na opcje typu
„Tak, chcę otrzymywać informacje dotyczące...”.
Używaj „wyspecjalizowanych” adresów e-mail, na przykład innego w pracy, innego do komunikacji ze znajomymi
itd.
Od czasu do czasu zmieniaj adres e-mail.
Używaj rozwiązania antyspamowego.
5.2.1 Reklamy
Reklama internetowa jest jedną z najszybciej rozwijających się form działalności reklamowej. Główne zalety
marketingowe reklamy tego typu to znikome koszty oraz bezpośrednie, niemal natychmiastowe przekazywanie
wiadomości. Wiele firm stosuje narzędzia marketingowe związane z pocztą e-mail w celu skutecznej komunikacji z
obecnymi i potencjalnymi klientami.
Ten sposób reklamy jest pożądany, ponieważ użytkownicy mogą być zainteresowani otrzymywaniem informacji
handlowych na temat określonych produktów. Wiele firm wysyła jednak dużą liczbę niepożądanych wiadomości o
treści handlowej. W takich przypadkach reklama za pośrednictwem poczty e-mail wykracza poza dopuszczalne
granice i staje się spamem.
Niepożądane wiadomości e-mail stanowią rzeczywisty problem, a ich liczba niestety nie maleje. Autorzy
niepożądanych wiadomości e-mail próbują często stworzyć pozory, że przesyłany przez nich spam jest pożądany.
5.2.2 Fałszywe alarmy
Fałszywy alarm to nieprawdziwa wiadomość przesyłana przez Internet. Fałszywe alarmy są zwykle rozsyłane za
pośrednictwem poczty e-mail lub narzędzi komunikacyjnych, takich jak Gadu-Gadu i Skype. Sama wiadomość to
często żart lub plotka.
Fałszywe alarmy dotyczące wirusów komputerowych mają na celu wzbudzanie w odbiorcach strachu, niepewności
i wątpliwości. Mają oni wierzyć, że istnieje „niewykrywalny wirus” usuwający pliki i pobierający hasła lub
wykonujący w ich systemie jakieś inne szkodliwe działania.
Niektóre fałszywe alarmy zawierają prośbę do odbiorcy o przekazanie wiadomości wszystkim osobom z jego
książki adresowej, co sprzyja dalszemu rozprzestrzenianiu się alarmu. Istnieją fałszywe alarmy na telefony
komórkowe, a także spreparowane prośby o pomoc, informacje o ludziach oferujących wysłanie pieniędzy z
zagranicy itd. W większości przypadków nie sposób określić intencji twórcy.
Wiadomość z prośbą o przekazanie jej do wszystkich znajomych z dużym prawdopodobieństwem jest takim
fałszywym alarmem. W Internecie dostępnych jest wiele witryn, w których można zweryfikować prawdziwość
140
wiadomości e-mail. Przed przekazaniem dalej wiadomości, która jest podejrzana, dobrze jest zweryfikować ją w
Internecie.
5.2.3 Ataki typu „phishing”
Terminem „phishing” określa się działania przestępcze obejmujące stosowanie socjotechnik (manipulowanie
użytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane z myślą o uzyskaniu
dostępu do prywatnych danych, na przykład numerów kont bankowych, kodów PIN itp.
Dostęp jest zwykle uzyskiwany w wyniku podszycia się pod osobę lub firmę godną zaufania (np. instytucję
finansową, towarzystwo ubezpieczeniowe) w spreparowanej wiadomości e-mail. Wiadomość taka jest łudząco
podobna do oryginalnej, ponieważ zawiera materiały graficzne i tekstowe mogące pochodzić ze źródła, pod które
podszywa się nadawca. W tego typu wiadomości znajduje się prośba o wprowadzenie (pod dowolnym pretekstem,
np. weryfikacji danych, operacji finansowych) pewnych danych osobowych — numerów kont bankowych lub nazw
użytkownika i haseł. Wszystkie dane tego typu mogą zostać po wysłaniu bez trudu przechwycone i wykorzystane
do działań na szkodę użytkownika.
Banki, towarzystwa ubezpieczeniowe i inne wiarygodne firmy nigdy nie proszą o podanie nazwy użytkownika i
hasła w wiadomościach e-mail przesyłanych bez uprzedzenia.
5.2.4 Rozpoznawanie spamu
W identyfikacji spamu (niepożądanych wiadomości e-mail) w skrzynce pocztowej może pomóc kilka oznak. Jeśli
wiadomość spełnia przynajmniej niektóre z następujących kryteriów, jest to najprawdopodobniej spam:
Adres nadawcy nie należy do nikogo z listy kontaktów.
Wiadomość zawiera ofertę uzyskania dużej sumy pieniędzy pod warunkiem uprzedniego wpłacenia małej kwoty.
Wiadomość zawiera prośbę o wprowadzenie danych osobistych (takich jak numery kont bankowych, nazwy
użytkowników i hasła) pod różnymi pretekstami, takimi jak weryfikacja danych czy konieczność
przeprowadzenia operacji finansowych.
Wiadomość jest napisana w obcym języku.
Wiadomość zawiera prośbę o zakup produktu, którym użytkownik nie jest zainteresowany. W przypadku
podjęcia decyzji o kupnie należy sprawdzić, czy nadawca wiadomości jest wiarygodnym dostawcą (należy
skonsultować się z oryginalnym producentem produktu).
Niektóre słowa zawierają literówki, aby oszukać filtr antyspamowy, na przykład „vaigra” zamiast „viagra” itp.
5.2.4.1 Reguły
W przypadku modułu antyspamowego i klientów poczty e-mail reguł używa się do konfigurowania funkcji poczty
elektronicznej. Reguły składają się z dwóch składników logicznych:
1) warunku (np. wiadomość przychodząca z określonego adresu);
2) działania (np. usunięcie wiadomości, przeniesienie jej do określonego folderu).
Liczba i kombinacje reguł zmieniają się w zależności od programu antyspamowego. Reguły służą w nim do
przeciwdziałania spamowi (niechcianym wiadomościom). Typowe przykłady:
Warunek: przychodząca wiadomość e-mail zawiera pewne słowa spotykane zwykle w spamie. 2. Działanie:
usunięcie wiadomości.
Warunek: przychodząca wiadomość e-mail zawiera załącznik z rozszerzeniem EXE. 2. Działanie: usunięcie
załącznika i dostarczenie wiadomości do skrzynki odbiorczej.
Warunek: przychodząca wiadomość e-mail pochodzi od pracodawcy. 2. Działanie: przeniesienie wiadomości do
folderu „Praca”.
Zalecane jest stosowanie w programach antyspamowych różnych kombinacji reguł w celu ułatwienia
administrowania i zwiększenia skuteczności filtrowania spamu.
141
5.2.4.2 Filtr Bayesa
Filtrowanie spamu metodą Bayesa jest bardzo skuteczną formą filtrowania poczty e-mail, stosowaną prawie we
wszystkich rozwiązaniach antyspamowych. Metoda ta umożliwia identyfikację niepożądanej poczty e-mail z dużą
dokładnością, a przy tym można ją stosować z osobna dla każdego użytkownika.
Jej działanie opiera się na następującej zasadzie. W pierwszej fazie odbywa się proces uczenia. Użytkownik ręcznie
oznacza wystarczającą liczbę wiadomości e-mail jako wiarygodną pocztę lub jako spam (zazwyczaj po 200
wiadomości). Filtr analizuje obie kategorie wiadomości i wykrywa na przykład, że spam zawiera zwykle takie
słowa, jak „rolex” czy „viagra”, natomiast wiarygodne wiadomości są wysyłane przez członków rodziny lub z
adresów znajdujących się na liście kontaktów użytkownika. Po przetworzeniu wystarczającej liczby wiadomości
filtr Bayesa może przypisać każdej z nich odpowiednią wartość „wskaźnika spamu” i określić, czy kwalifikuje się ona
jako spam.
Główną zaletą filtra Bayesa jest jego elastyczność. Jeśli na przykład użytkownik jest biologiem, wszystkim
przychodzącym wiadomościom e-mail dotyczącym biologii lub dziedzin pokrewnych nadawany jest ogólnie niższy
wskaźnik prawdopodobieństwa przynależności do spamu. Jeśli wiadomość zawiera słowa, które w zwykłych
okolicznościach kwalifikują ją jako niepożądaną, ale została wysłana przez osobę z listy kontaktów, jest ona
oznaczana jako wiarygodna, ponieważ fakt wysłania przez osobę z listy kontaktów ogólnie zmniejsza
prawdopodobieństwo przynależności do spamu.
5.2.4.3 Biała lista
Biała lista to wykaz obiektów lub osób, które uzyskały akceptację lub którym przyznano zezwolenie. Termin „biała
lista poczty e-mail” oznacza listę kontaktów, od których użytkownik chce otrzymywać wiadomości. Tego typu białe
listy są tworzone z wykorzystaniem słów kluczowych wyszukiwanych w adresach e-mail, nazwach domen lub
adresach IP.
Jeśli biała lista jest używana na zasadzie „trybu wyłączności”, korespondencja pochodząca z adresów e-mail, domen
i adresów IP, które na niej figurują nie będzie odbierana. Jeśli nie jest stosowana wyłączność, takie wiadomości nie
będą usuwane, a jedynie w określony sposób odfiltrowywane.
Biała lista działa na odwrotnych zasadach niż czarna lista 142 . Zarządzanie białymi listami jest względnie łatwe,
zwłaszcza w porównaniu z czarnymi listami. W celu skuteczniejszego odfiltrowywania spamu zalecane jest
korzystanie zarówno z białej, jak i z czarnej listy.
5.2.4.4 Czarna lista
W znaczeniu ogólnym czarna lista jest listą nieakceptowanych osób i zabronionych obiektów. W świecie
wirtualnym jest to technika umożliwiająca odrzucanie wiadomości od wszystkich użytkowników, którzy znajdują
się na takiej liście.
Istnieją dwa typy czarnych list: tworzone przez użytkowników za pomocą aplikacji antyspamowych oraz dostępne
w Internecie, profesjonalne, regularnie aktualizowane czarne listy sporządzane przez wyspecjalizowane instytucje.
Skuteczne blokowanie spamu wymaga stosowania czarnych list, jednak są one bardzo trudne w utrzymaniu,
ponieważ codziennie pojawiają się nowe obiekty, które należy blokować. W celu najefektywniejszego filtrowania
spamu zalecamy korzystanie zarówno z białej listy 142 , jak i z czarnej listy.
5.2.4.5 Kontrola po stronie serwera
Kontrola po stronie serwera to technika umożliwiająca identyfikację masowo rozsyłanej poczty e-mail będącej
spamem na podstawie liczby otrzymanych wiadomości oraz reakcji użytkowników. Każda wiadomość pozostawia
na serwerze unikatowy cyfrowy „ślad”, który zależy od jej zawartości. Taki unikatowy numer identyfikacyjny nie
zawiera żadnych informacji na temat zawartości wiadomości e-mail. Dwie identyczne wiadomości zostawiają
identyczne „ślady”, natomiast różne wiadomości zostawiają odmienne „ślady”.
Jeśli wiadomość zostaje oznaczona jako spam, jej „ślad” jest wysyłany na serwer. Jeśli na serwerze odebranych
zostanie więcej identycznych „śladów” (odpowiadających określonym wiadomościom będącym spamem), „ślad”
zostaje umieszczony w bazie danych spamu. Podczas skanowania wiadomości przychodzących program wysyła ich
„ślady” do serwera. Serwer zwraca informacje o „śladach” odpowiadających wiadomościom już oznaczonym przez
użytkowników jako spam.
142

ESET Mail Security for Microsoft Exchange Server

Transkrypt

Podobne dokumenty

Instrukcja wykorzystania skanera z urządzeń Canon

Komunikacja w Sieci - Technologie Informacyjne

Warstwa aplikacji

Studia Bezpieczeństwa Narodowego nr 4

PS 200 - Ferroscan.pl

Flyer SIMONA® SIMOPOR

Akty prawne sierpień 2012 r - osoba uprawnienia kwalifikacje