Для проверки транспорта можно настроить различные параметры конфигурации в соответствии с потребностями конкретной среды. Можно выбрать количество антивирусных ядер для каждой проверки, задать действие при обнаружении вредоносной программы, и указать, следует ли помещать обнаруженные файлы на карантин.

Настройка проверки транспорта

  1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Защита от вредоносных программ кнопку Транспортный сервер-концентратор (при использовании пограничного транспортного сервера вместо кнопки Транспортный сервер-концентратор появится кнопка Пограничный транспортный сервер).

  2. В области Защита от вредоносных программ — Транспортный сервер-концентратор в разделе Общие параметры настройте указанные ниже параметры.

    1. Включить проверку транспорта с помощью антивирусных программ — установите или снимите этот флажок, чтобы включить или отключить проверку транспорта на вирусы. По умолчанию этот параметр включен.

    2. Включить проверку транспорта с помощью антишпионских программ — установите или снимите этот флажок, чтобы включить или отключить проверку транспорта на программы-шпионы. По умолчанию этот параметр включен.

  3. В области Защита от вредоносных программ — Транспортный сервер-концентратор в разделе Ядра и производительность укажите количество антивирусных ядер, которые будут использоваться при проверке. Дополнительные сведения см. в разделе Настройка количества антивирусных ядер, используемых для проверки.

  4. В области Защита от вредоносных программ — Транспортный сервер-концентратор в разделе Действия при проверке настройте указанные ниже параметры.

    1. Действие — выберите действие, которое будет выполняться при обнаружении вируса или программы-шпиона. Для вирусов можно выбрать действие Пропустить: только обнаружение, Очистить (по умолчанию) и Удалить. Для программ-шпионов можно выбрать действие Пропустить: только обнаружение, Удалить (по умолчанию) и Очистить. Дополнительные сведения см. в разделе Настройка действия, выполняемого при обнаружении вредоносной программ.

    2. Файлы на карантине — с помощью раскрывающегося списка включите (выбрав пункт Да) или отключите (выбрав пункт Нет) сохранение зараженных файлов, обнаруженных при проверке. По умолчанию карантин включен. Включение карантина позволяет сохранить удаленные вложения и очищенные сообщения в безопасное место, откуда их можно будет восстановить. Сообщения, очищенные от вирусов-червей, восстановить невозможно. Дополнительные сведения о карантине см. в разделе Просмотр помещенных на карантин элементов и управление ими.

    3. Изменить текст об удалении вредоносных программ — можно ввести текст, на который при удалении будет заменяться содержимое зараженного файла. В тексте для удаления по умолчанию указывается, что зараженный файл был удален, а также имя файла и название обнаруженной вредоносной программы. Чтобы изменить текст для удаления по умолчанию, нажмите кнопку Изменить текст об удалении вредоносных программ, измените текст в диалоговом окне Изменение текста об удалении вредоносных программ и нажмите кнопку Применить и закрыть, чтобы вернуться в область Защита от вредоносных программ — Транспортный сервер-концентратор.

      Примечание.
      Программа FPE позволяет указывать ключевые слова, которые можно использовать в поле текста для удаления, чтобы получить информацию из зараженного сообщения. Чтобы воспользоваться ключевыми словами, в диалоговом окне Изменение текста об удалении вредоносных программ щелкните параметр правой кнопкой мыши, выберите команду Вставить поле и выберите необходимый макрос. Дополнительные сведения об этой функции см. в разделе Макросы подстановки ключевых слов.

  5. Нажмите кнопку Сохранить.

Настройка дополнительных параметров проверки транспорта

Ниже перечислены дополнительные параметры, которые можно настроить в разделе Дополнительные параметры области Защита от вредоносных программ — Транспортный сервер-концентратор. После внесения изменений нажмите кнопку Сохранить.

  • Проверять файлы DOC как контейнеры — при проверке транспорта структурированные файлы, а также файлы, в которых используется OLE-формат внедрения данных (например, файлы в форматах DOC, XLS, PPT и SHS), будут проверяться как контейнеры. Это обеспечивает проверку всех внедренных файлов, поскольку потенциально они могут быть носителями вредоносных программ. Этот параметр по умолчанию отключен.

  • Очистить, если текст сообщения удален — здесь указывается, следует ли удалять сообщения целиком, если текст сообщения был удален антивирусным ядром при проверке транспорта. Этот параметр по умолчанию отключен.

    Некоторые сообщения могут содержать вредоносные программы в тексте файла сообщения. В случае удаления всего текста сообщения или его части при очистке от вредоносной программы удаленная часть текста сообщения заменяется на текст для удаления. Если не требуется, чтобы пользователи получали очищенные сообщения с текстом для удаления, можно удалять не содержащие вложений сообщения, часть текста или весь текст которых был удален. Например, если сообщение содержит и HTML-, и обычный текст, то при удалении HTML-текста удаляется все сообщение.

  • Оптимизировать быстродействие, исключив из повторной проверки уже проверенные на вирусы сообщения — программа FPE настраивается таким образом, чтобы пропускать сообщения, которые уже были проверены каким-либо экземпляром FPE в любой конфигурации. Этот параметр действует в отношении сообщений, которые принимаются транспортными серверами и уже были проверены программой FPE на другом транспортном сервере в организации Exchange. По умолчанию этот параметр включен.

  • Подавлять уведомления о вредоносных программах — подавляет отправку уведомлений Обнаружен вирус, Обнаружена программа-шпион и Обнаружен вирус-червь, даже если эти уведомления включены. Этот параметр по умолчанию отключен.

  • Действие при недопустимом заголовке MIME — здесь указывается действие, выполняемое при обнаружении в процессе проверки недопустимого заголовка MIME. Недопустимыми заголовками MIME считаются заголовки сообщений, в которых одному из следующих свойств присвоено недопустимое значение: Content-Disposition, заголовок Content-Type и Multiple Content-Transfer-Encoding. Можно выбрать действие Очистить или Пропустить. Значение по умолчанию — Очистить.

    Если выбрано действие Purge, сообщения с недопустимыми заголовками MIME по умолчанию помещаются на карантин. Если не требуется помещать очищенные сообщения на карантин, выполните следующую команду Windows PowerShell, чтобы отключить карантин для таких сообщений:

    Set-FseTransportScan –IllegalMIMEHeaderQuarantine $false

  • Передавать информацию об отправителе — здесь указывается, будут ли при проверке транспорта использоваться сведения об отправителе. Выберите один из приведенных ниже вариантов действий.

    • Использовать заголовки MIME — для проверки транспорта будет использоваться адрес отправителя из заголовка MIME FROM. При наличии заголовка MIME Sender также будут использоваться сведения из этого заголовка. Это значение используется по умолчанию.

    • Использовать адрес отправителя из протокола SMTP — для проверки транспорта будет использоваться адрес отправителя MAIL FROM из протокола SMTP. Адрес из этого поля используется везде, где используется адрес отправителя.

  • Количество процессов — здесь указывается количество процессов, которые будут запускаться для каждого транспортного сервера. Значение по умолчанию — 4; максимальное значение — 10.

    Если запущено несколько процессов транспорта, первый процесс проверяет файл, если этот процесс не занят; в этом случае файл передается на проверку второму процессу. Если второй процесс тоже занят, а третий свободен, файл проверяется третьим процессом. Во всех случаях, когда это возможно, FPE передает файлы первому процессу, если тот доступен.

    При использовании нескольких процессов загрузка на сервере возрастает при запуске, когда эти процессы загружаются, а также при их вызове для проверки файлов. Не следует использовать большее количество процессов, чем задано по умолчанию, за исключением крупномасштабных сред. Поскольку увеличение количества процессов приводит к увеличению нагрузки на ресурсы сервера, лучше увеличивать число процессов на единицу, каждый раз оценивая производительность.

    Важно.
    Чтобы изменения вступили в силу, необходимо остановить и заново запустить службу транспорта Microsoft Exchange. Не используйте функцию "Перезапустить".
  • Время ожидания проверки (сек.) — здесь указывается максимальное количество секунд, в течение которого будет проверяться проверяемый файл. Значение по умолчанию — 300 секунд.

    Если проверка сообщения продолжается дольше указанного времени, процесс завершается, а FPE пытается перезапустить службу. В случае успешного перезапуска проверка транспорта возобновляется, а администратору отправляется уведомление о том, что остановленная проверка транспорта восстановлена.

    При запуске нового процесса проверки транспорта сообщение, которое привело к завершению процесса, обрабатывается заново в соответствии со значением параметра Действие, выполняемое при тайм-ауте проверки. Например, если задано значение Удалить, FPE удаляет файл, заменяет его содержимое на текст для удаления, заданный для проверки транспорта, записывает в журнал сведения о происшествии ExceededTransportTimeout, помещает файл на карантин и архивирует его.

    Если процесс проверки перезапустить не удается, администратору отправляется уведомление о том, что проверка транспорта остановлена. В этом случае проверка транспорта и поиск вирусов в потоке сообщений не выполняются.

    Важно.
    Чтобы изменения вступили в силу, необходимо остановить и заново запустить службу транспорта Microsoft Exchange. Не используйте функцию "Перезапустить".
  • Действие, выполняемое при тайм-ауте проверки — здесь указывается действие, выполняемое при превышении лимита времени в процессе проверки файла. Возможны следующие значения:

    • Игнорировать — файл будет пропущен без сканирования.

    • Пропустить: только обнаружение — вносит в журнал происшествий и журнал программы запись о превышении времени проверки файла и пропускает файл без проверки.

    • Удалить — регистрирует событие и заменяет содержимое файла текстом для удаления. Значение по умолчанию — Удалить.

    Примечание.
    Если параметру Действие, выполняемое при тайм-ауте проверки присвоено значение Пропустить: только обнаружение или Удалить и включен карантин, копия файла сохраняется в базе данных.
  • Максимальное время проверки контейнера (сек.) — здесь указывается количество секунд, в течение которого при проверке транспорта будет проверяться сжатое вложение, прежде чем возникнет происшествие ScanTimeExceeded. Этот параметр предназначен для предотвращения отказа в обслуживании в результате атак типа "смертоносный ZIP-файл". Значение по умолчанию — 120 секунд.

Пропуск проверки транспорта

Программу FPE можно настроить таким образом, чтобы проверка транспорта всех сообщений электронной почты не выполнялась. При настройке программы FPE на пропуск проверки транспорта при выполнении задания проверки транспорта ни проверка на вредоносные программы, ни фильтрация не выполняется.

Важно.
Пропуск проверки транспорта должен использоваться только в целях устранения неполадок и под руководством инженера службы поддержки клиентов. Если этот параметр включен (по умолчанию он отключен), проверка транспорта не обеспечивает защиты от вредоносных программ, и имеется потенциальная возможность попадания вредоносных программ в организацию либо их передачи из организации.
Пропуск проверки транспорта

  1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Параметры проверки.

  2. В области Глобальные параметры — Параметры проверки в разделе Цели проверки — Транспорт установите флажок Обход проверок включен.

  3. Нажмите кнопку Сохранить.

Важно.
После устранения неполадок необходимо включить проверку, чтобы защитить систему от вредоносных программ. Для этого снимите флажок Обход проверок включен и нажмите кнопку Сохранить.

Связанные разделы