Business Artikelsuche

Best Practices und FAQ für ESET Mail Security für MS Exchange Server

Problem

ESET Mail Security für Exchange 6.x ist die neueste Version und Nachfolger der ESET Mail Security 4.5, um Ihren Exchange Server auf Viren prüfen zu können und Mails bzgl. Spam zu klassifizieren. Mit der neu entwickelten Engine ist die Spam-Nachkonfiguration auf Basis von SCL-Werten nicht mehr notwendig, weshalb die Default Spam-Einstellungen in den meisten Fällen ausreichen. Des Weiteren gibt es eine zentrale Quarantäne und eine dazugehörige Web-Oberfläche für  Administratoren und Nutzer zur nachträglichen Bearbeitung.

  1. Definition von Begriffen und Abkürzungen

  2. Was kann/macht die EMSX

  3. Unterschied zwischen EMSX 4.5 und EMSX 6.x

  4. Welche Microsoft Exchange Server Versionen werden unterstützt?

  5. Aktivierung einer EMSX 6.x sowie Umstellung der .lic Dateien aus EMSX 4.5

  6. Lizensierung von EMSX 6.x

  7. Beispiel zur Erstellung hilfreicher Regeln

  8. Erklärung der Web-Oberfläche der E-Mail-Quarantäne

  9. Geplante Berichte der E-Mail-Quarantäne für den Nutzer

  10. On-Demand-Datenbankprüfung

  11. Tipps und Tricks

Lösung

  1. Definition von Begriffen und Abkürzungen

EMSX / EMSX 6.x = ESET Mail Security für Exchange Version 6.x
EMSX 4.5 = ESET Mail Security für Exchange Version 4.5
SCL = Spam Confidence Level

  1. Was kann/macht die EMSX

Die EMSX hat die Möglichkeit, sofern von der eingesetzten Exchange Version unterstützt, E-Mails auf folgenden Ebenen zu prüfen:

Deutsche Hilfe: Verwendete Prüfmethoden Englische Hilfe: Methods used

Nicht alle Exchange Server-Versionen bieten alle Prüfebenen bzw. haben nur eingeschränkten Funktionsumfang.

Auf alle drei Ebenen können Regeln angewendet werden.

  1. Unterschied zwischen EMSX 4.5 und EMSX 6.x

EMSX 4.5 verwendet zur Klassifizierung der E-Mails bzgl. Spam hauptsächlich die lizenzierte Mailshell-Engine. Diese schreibt zur Klassifizierung einen SCL (0 bis 99) in die E-Mails.

EMSX 6.x verwendet eine neue, selbst entwickelte Engine, die keine SCL-Werte verwendet, sondern nach Spam/Ham sortiert. Somit ist die Erkennung in EMSX 6.x noch einmal bedeutend besser. Wenn in der EMSX 6.x eine Klassifizierung via SCL weiterhin benötigt wird, so kann dies mit einer manuell erstellbaren Regel realisiert werden.

Bei einen Upgrade von EMSX 4.5 auf EMSX 6.x werden nur einige Einstellungen aus EMSX 4.5 übernommen, wenn diese auch in der Form in EMSX 6.x vorhanden sind. Wir empfehlen eine Deinstallation, Neustart des Servers und eine frische Installation der EMSX 6.x, da die Nachkonfiguration in der EMSX 6.x bedeutend einfacher ist.

Deutsche Hilfe: Auf neuere Version aktualisieren Englische Hilfe: Upgrading to a newer version

Bitte beachten Sie, dass die EMSX 4.x zum März 2018 den End-Of-Life-Status (inklusive Spam-Informationen) erreicht!

Knowledgebase-Artikel KB3592

Knowledgebase-Artikel KB5532 - Neuerungen in EMSX 6

  1. Welche Microsoft Exchange Server Versionen werden unterstützt?

Unterstützte Versionen finden Sie in der Online Hilfe:

Deutsche Hilfe: Systemvoraussetzungen Englische Hilfe: System requirements

Besonderheiten betreffend der Exchange Server 2013 Rollen (CAS) finden Sie hier:

Deutsche Hilfe: Exchange Server 2013 Rollen Englische Hilfe: Exchange Server 2013 Roles

  1. Aktivierung einer EMSX 6.x sowie Umstellung der .lic Dateien aus EMSX 4.5

Für die Benutzung der EMSX 6.x und die Verwendung der Exchange Funktionalität benötigen Sie im Gegensatz zu EMSX 4.5 keine .lic Datei und keinen Nutzernamen plus Passwort mehr. Es ist ausreichend die EMSX 6.x mit dem Lizenzkey (in der Form XXXX-XXXX-XXXX-XXXX-XXXX) zu aktivieren.

Deutsche Hilfe: So aktivieren Sie ESET Mail Security Englische Hilfe: How to activate ESET Mail Security

  1. Lizensierung von EMSX 6.x

Informationen zur Lizensierung von EMSX Version 6.x finden sie in folgendem Knowledgebase-Artikel:

Knowledgebase-Artikel KB3761

  1. Beispiel zur Erstellung hilfreicher Regeln

Um besser vor E-Mails (die Ransomware enthalten) geschützt zu sein, können Regeln erstellt werden, die E-Mails mit bestimmten Dateianhängen unterbinden.

Knowledgebase-Artikel KB6102

  1. Erklärung der Web-Oberfläche der E-Mail-Quarantäne

EMSX 6.x bietet die Möglichkeit bestimmte E-Mails, die via Transport-Agent geprüft werden, auszusortieren. Diese aussortierten E-Mails werden in eine lokale Datenbank umgeleitet und können in der EMSX Oberfläche und auch via Web-Frontend nachträglich zugestellt/gelöscht werden.

Deutsche Hilfe: Web-Oberfläche Englische Hilfe: Web interface

  1. Geplante Berichte der E-Mail-Quarantäne für den Nutzer

Sobald E-Mails in der Quarantäne des Nutzers liegen, ist es möglich, dass die EMSX in definierbaren Abständen den Nutzer eine E-Mail sendet, die eine Übersicht darüber enthält.

Klicken Sie im EMSX Hauptfenster auf ToolsTaskplanerTask hinzufügen. Vergeben Sie einen aussagekräftigen Task-Namen und wählen als Tasktyp „Quarantäneberichte per E-Mail senden“ aus.

Geben Sie eine gültige Absenderadresse an und wählen bei Empfänger über Bearbeiten alle relevanten Nutzer aus.

Deutsche Hilfe: Quarantäneberichte per E-Mail senden Englische Hilfe: Send mail quarantine reports

HINWEIS:

Nutzer, die im Active Directory (AD) das Attribut „AdminCount=1“ gesetzt haben, können die gesamte Quarantäne einsehen.

  1. On-Demand-Datenbankprüfung

Ab Exchange 2007 ist es mit der EMSX 6.x möglich, manuell die Exchange-Datenbank auch selektiv auf einzelne Postfächer zu prüfen.

Deutsche Hilfe: On-Demand-Datenbankprüfung Englische Hilfe: On-demand database scan

Gehen Sie im Hauptfenster der EMSX auf PrüfungDatenbank-Scan und wählen über Bearbeiten (Abschnitt Postfächer) die gewünschten Postfächer aus. Um alle E-Mails eines Postfachs zu prüfen, sollte im oberen Drop-down-Feld „Alle Nachrichten scannen“ ausgewählt sein. Dies wird realisiert indem eine „ApplicationImpersonation“-Rolle verwendet wird. Falls der Scan einer (großen) Exchange-Datenbank nicht korrekt funktioniert, können in der Exchange Shell die Werte für die ApplicationImpersonation-Rolle und das Throtteling gesetzt werden.

Deutsche Hilfe: On-Demand-Datenbankprüfung Englische Hilfe: Database scan account details

 

HINWEIS:

  • Bei Exchange 2007 und 2010 kann entweder der Postfach-Datenbankschutz oder die On-Demand-Datenbankprüfung verwendet werden. Jedoch nicht beide zur gleichen Zeit.
  • Falls ein gesonderter Nutzer für ESET verwendet wird, so muss dieser im EWS (Exchange Web Service) registriert sein.

 

  1. Tipps und Tricks
  1. POP3

Mit EMSX Version 6.x ist die Prüfung von E-Mails, die via POP3-Connectoren empfangen werden, optimiert worden. Jedoch kann durch die Komplexität eine Funktionalität bei allen Umgebungen nicht garantiert werden.

Deutsche Hilfe: POP3-Connector und Spam-Schutz Englische Hilfe: POP3 Connector and antispam

Werden via POP3-Empfang die E-Mails von der EMSX nicht auf Spam geprüft, so sollten in den erweiterten Einstellungen E-Mails auf Spam auch über interne Verbindungen geprüft werden.

Deutsche Hilfe: Erweiterte Einstellungen Englische Hilfe: Advanced settings

  1. Wo kann ich im ESET Remote Administrator die E-Mail-Quarantäne verwalten?

Inhalte und Werte der EMSX E-Mail-Quarantäne werden aufgrund des Datenumfangs und aus Leistungsgründen nicht an die ERA Datenbank übermittelt. Sie können die E-Mail-Quarantäne über die Web-Oberfläche (meistens in der Form http(s)://exchangeservername/quarantine/) und über die Web-Oberfläche der EMSX ansprechen. Des Weiteren können Nutzer jeweils Ihren eigenen Postfachbereich einsehen.

  1. Regeln mit Bedingungen (interne vs. externe E-Mails)

EMSX 6.x hat eine hilfreiche Regelbedingung, die unterscheiden kann, ob Mails von extern oder intern gesendet wurden. Beispiel: E-Mails sollen mit einem bestimmten Kriterium (z.B. bestimmte Dateitypen von Anhängen) in die Quarantäne verschoben werden, sofern diese von extern kommen. In diesem Fall muss als neue Bedingung für die Regel der Typ „Interne Nachricht“ mit dem Parameter „Falsch“ hinzugefügt werden.

  1. Mails werden fälschlicherweise als „UNBEKANNT zu SPAM“ klassifiziert

Wenn E-Mails nicht mit der offiziellen IP-Adresse des E-Mail-Servers zugestellt werden, kann es zu einer Fehlklassifizierung kommen. Dies kann vorkommen wenn die interne IP-Adresse mitgegeben wird bzw. via OWA (Outlook Web Access) zugegriffen wird. Somit wird in den Log-Dateien unter E-Mail-Server-Schutz als Grund „UNBEKANNT zu SPAM“ angezeigt. Um dies zu lösen, wird der Haken „Absenderadresse gegen Negativliste des Endbenutzers überprüfen“ in den Erweiterten Einstellungen Server Spam-Schutz Erweiterte Einstellungen entfernt.

  1. Kompatibilitätsprobleme unter Exchange 2013

Wenn Sie Exchange 2013 einsetzen und die Prüfung auf Spam/Viren nicht möglich ist, da die Transport-Agenten nicht geladen werden, sollten Sie einen Hotfix von Microsoft einspielen.

Knowledgebase-Artikel KB3502

  1. Ich nutze zwei Exchange Server. Einen primären für Transport-Rollen und einen zweiten als Mail-Speicher. Muss ich auf beiden EMSX installieren?

EMXS bietet zwei Arten von Schutz an: auf Transportebene (Server 1 mit "Transport-Rollen") und einen auf Datenbankebene (Server 2 basierend auf VSAPI). Auf VSAPI wird nur Antivirenschutz angeboten. Der Vorteil dieser Funktionalität ist, dass E-Mail-Nachrichten, die auf dem Mailbox-Server abgelegt sind, immer mit der neuesten Antivirendatenbank während des Lesezugriffs geprüft werden und zudem regelmäßig, falls Hintergrundprüfungen aktiviert wurden. Auf dem primären Server werden die E-Mail-Nachrichten nur während des Eintreffens geprüft (dort, wo die Antispamprüfung stattfindet).

Mit unserem Lizensierungsmodell wird der Schutz basierend auf der Anzahl der Mailboxen gekauft und Sie können EMSX auf allen Servern innerhalb Ihrer Umgebung installieren (Mailbox/Edge/Hub). Siehe auch Lizensierung von EMSX 6.x.