ESET MAIL SECURITY DLA OPROGRAMOWANIA MICROSOFT EXCHANGE SERVER Instrukcja instalacji i podręcznik użytkownika

Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2

Kliknij tutaj, aby pobrać najnowszą wersję tego dokumentu

ESET MAIL SECURITYCopyright ©2012 ESET, spol. s r.o.Oprogramowanie ESET Mail Security zostało opracowane przezfirmę ESET, spol. s r.o.

Więcej informacji można znaleźć w witrynie www.eset.com.Wszelkie prawa zastrzeżone. Żadna część niniejszej dokumentacji niemoże być powielana, przechowywana w systemie pobierania aniprzesyłana w żadnej formie bądź przy użyciu jakichkolwiek środkówelektronicznych, mechanicznych, przez fotokopiowanie, nagrywanie,skanowanie lub w inny sposób bez uzyskania pisemnego zezwoleniaautora.Firma ESET, spol. s r.o. zastrzega sobie prawo do wprowadzania zmianw dowolnych elementach opisanego oprogramowania bez uprzedniegopowiadomienia.

Dział obsługi klienta — cały świat: www.eset.eu/supportDział obsługi klienta — Ameryka Północna: www.eset.com/support

WER. 1/9/2012

Spis treści

..................................................5Wprowadzenie1.

........................................................................5Co nowego w wersj i 4.3 ?1.1

........................................................................6Wymagania systemowe1.2

........................................................................6Używane metody1.3

...........................................................................6Skanowanie skrzynki pocztowej za pomocąinterfejsu VSAPI

1.3.1

...........................................................................7Filtrowanie wiadomości na poziomie serwera SMTP1.3.2

........................................................................7Typy ochrony1.4...........................................................................7Ochrona antywirusowa1.4.1...........................................................................7Ochrona przed spamem1.4.2

...........................................................................7Stosowanie reguł zdefiniowanych przezużytkownika

1.4.3

........................................................................8Interfej s użytkownika1.5

..................................................9Instalacj a2.

........................................................................9Typowa instalacj a2.1

........................................................................11Instalacj a zaawansowana2.2

........................................................................12Serwer terminali2.3

........................................................................13Uaktualnianie do nowszej wersj i2.4

........................................................................13Instalowanie w środowisku klastrowym2.5

........................................................................14Licencj a2.6

........................................................................17Konfiguracj a po instalacj i2.7

..................................................20ESET Mail Security — ochrona serweraMicrosoft Exchange Server

3.

........................................................................20Ustawienia ogólne3.1...........................................................................20Microsoft Exchange Server3.1.1

..........................................................................20VSAPI (Virus-Scanning Application ProgrammingInterface)

3.1.1.1

..........................................................................20Agent transportu3.1.1.2...........................................................................22Reguły3.1.2..........................................................................23Dodawanie nowych reguł3.1.2.1..........................................................................24Czynności podejmowane przy stosowaniu reguł3.1.2.2

...........................................................................25Pliki dziennika3.1.3

...........................................................................26Kwarantanna wiadomości3.1.4..........................................................................27Dodawanie nowej reguły kwarantanny3.1.4.1

...........................................................................28Wydajność3.1.5

........................................................................28Ustawienia ochrony antywirusowej i antyspyware3.2...........................................................................29Microsoft Exchange Server3.2.1

..........................................................................29VSAPI (Virus-Scanning Application ProgrammingInterface)

3.2.1.1

............................................................................29Microsoft Exchange Server 5.5 (VSAPI 1.0)3.2.1.1.1.........................................................................30Czynności3.2.1.1.1.1.........................................................................30Wydajność3.2.1.1.1.2

............................................................................30Microsoft Exchange Server 2000 (VSAPI 2.0)3.2.1.1.2.........................................................................31Czynności3.2.1.1.2.1.........................................................................31Wydajność3.2.1.1.2.2

............................................................................31Microsoft Exchange Server 2003 (VSAPI 2.5)3.2.1.1.3.........................................................................32Czynności3.2.1.1.3.1.........................................................................33Wydajność3.2.1.1.3.2

............................................................................33Microsoft Exchange Server 2007/2010 (VSAPI 2.6)3.2.1.1.4.........................................................................34Czynności3.2.1.1.4.1.........................................................................34Wydajność3.2.1.1.4.2

............................................................................35Agent transportu3.2.1.1.5...........................................................................36Czynności3.2.2...........................................................................36Alerty i powiadomienia3.2.3...........................................................................37Wyłączenia automatyczne3.2.4

........................................................................38Ochrona przed spamem3.3...........................................................................39Microsoft Exchange Server3.3.1..........................................................................39Agent transportu3.3.1.1

...........................................................................40Aparat antyspamowy3.3.2..........................................................................41Ustawienia parametrów aparatu antyspamowego3.3.2.1

............................................................................43Plik konfiguracyjny3.3.2.1.1...........................................................................47Alerty i powiadomienia3.3.3

........................................................................47Często zadawane pytania3.4

..................................................50ESET Mail Security — ochrona serwera4.

........................................................................50Antywirus i antyspyware4.1...........................................................................50Ochrona systemu plików w czasie rzeczywistym4.1.1..........................................................................50Ustawienia sprawdzania4.1.1.1

............................................................................51Skanowane nośniki4.1.1.1.1

............................................................................51Skanowanie włączone (skanowanie po wystąpieniuzdarzenia)

4.1.1.1.2

............................................................................51Zaawansowane opcje skanowania4.1.1.1.3..........................................................................52Poziomy leczenia4.1.1.2

..........................................................................52Zmienianie ustawień ochrony w czasierzeczywistym

4.1.1.3

..........................................................................52Sprawdzanie skuteczności ochrony w czasierzeczywistym

4.1.1.4

..........................................................................53Co zrobić, jeśli ochrona w czasie rzeczywistym niedziała

4.1.1.5

...........................................................................53Ochrona programów poczty e-mail4.1.2..........................................................................54Sprawdzanie protokołu POP34.1.2.1

............................................................................54Zgodność4.1.2.1.1..........................................................................55Integracja z programami pocztowymi4.1.2.2

............................................................................56Dołączanie informacji do treści wiadomości4.1.2.2.1..........................................................................56Usuwanie infekcji4.1.2.3...........................................................................57Ochrona dostępu do stron internetowych4.1.3..........................................................................57Protokoły HTTP i HTTPS4.1.3.1

............................................................................58Zarządzanie adresami4.1.3.1.1

............................................................................59Tryb aktywny4.1.3.1.2...........................................................................60Skanowanie komputera na żądanie4.1.4

..........................................................................61Typ skanowania4.1.4.1............................................................................61Skanowanie inteligentne4.1.4.1.1............................................................................61Skanowanie niestandardowe4.1.4.1.2

..........................................................................62Skanowane obiekty4.1.4.2

..........................................................................62Profile skanowania4.1.4.3...........................................................................63Wydajność4.1.5...........................................................................63Filtrowanie protokołów4.1.6..........................................................................63Protokół SSL4.1.6.1

............................................................................64Zaufane certyfikaty4.1.6.1.1

............................................................................64Wyłączone certyfikaty4.1.6.1.2...........................................................................64Ustawienia parametrów technologii ThreatSense4.1.7..........................................................................65Ustawienia obiektów4.1.7.1..........................................................................65Opcje4.1.7.2..........................................................................66Leczenie4.1.7.3..........................................................................67Rozszerzenia4.1.7.4..........................................................................67Limity4.1.7.5..........................................................................68Inne4.1.7.6

...........................................................................68Wykryto infekcję4.1.8

........................................................................69Aktualizowanie programu4.2...........................................................................71Ustawienia aktualizacji4.2.1..........................................................................71Profile aktualizacji4.2.1.1..........................................................................72Zaawansowane ustawienia aktualizacji4.2.1.2

............................................................................72Tryb aktualizacji4.2.1.2.1

............................................................................73Serwer proxy4.2.1.2.2

............................................................................75Połączenie z siecią LAN4.2.1.2.3

............................................................................76Tworzenie kopii aktualizacji — kopia dystrybucyjna4.2.1.2.4.........................................................................77Aktualizowanie przy użyciu kopii dystrybucyjnej4.2.1.2.4.1

.........................................................................78Rozwiązywanie problemów z aktualizacją przyużyciu kopii dystrybucyjnej

4.2.1.2.4.2

...........................................................................78Tworzenie zadań aktualizacji4.2.2

........................................................................79Harmonogram4.3...........................................................................79Cel planowania zadań4.3.1

...........................................................................80Tworzenie nowych zadań4.3.2

........................................................................81Kwarantanna4.4...........................................................................81Poddawanie plików kwarantannie4.4.1...........................................................................81Przywracanie plików z kwarantanny4.4.2...........................................................................82Przesyłanie pliku z kwarantanny4.4.3

........................................................................83Pliki dziennika4.5

...........................................................................87Filtrowanie dziennika4.5.1...........................................................................88Znajdowanie w dzienniku4.5.2...........................................................................89Administracja dziennikami4.5.3

........................................................................90ESET SysInspector4.6...........................................................................90Wprowadzenie do programu ESET SysInspector4.6.1..........................................................................90Uruchamianie programu ESET SysInspector4.6.1.1

...........................................................................90Interfejs użytkownika i używanie aplikacji4.6.2..........................................................................91Sterowanie programem4.6.2.1..........................................................................91Nawigacja w programie ESET SysInspector4.6.2.2..........................................................................92Funkcja Porównaj4.6.2.3

...........................................................................93Parametry wiersza polecenia4.6.3

...........................................................................93Skrypt usługi4.6.4..........................................................................94Tworzenie skryptu usługi4.6.4.1..........................................................................94Struktura skryptu usługi4.6.4.2..........................................................................96Wykonywanie skryptów usługi4.6.4.3

...........................................................................96Skróty4.6.5...........................................................................97Wymagania systemowe4.6.6...........................................................................97Często zadawane pytania4.6.7

...........................................................................98Program SysInspector jako elementoprogramowania ESET Mail Security

4.6.8

........................................................................99ESET SysRescue4.7...........................................................................99Minimalne wymagania4.7.1...........................................................................99W jaki sposób utworzyć ratunkową płytę CD4.7.2...........................................................................99Wybór nośnika docelowego4.7.3

...........................................................................100Ustawienia4.7.4..........................................................................100Foldery4.7.4.1..........................................................................100ESET Antivirus4.7.4.2..........................................................................100Ustawienia zaawansowane4.7.4.3..........................................................................101Protokół internetowy4.7.4.4..........................................................................101Urządzenie rozruchowe USB4.7.4.5..........................................................................101Nagrywanie4.7.4.6

...........................................................................101Praca z programem ESET SysRescue4.7.5..........................................................................102Korzystanie z programu ESET SysRescue4.7.5.1

........................................................................102Opcj e interfej su użytkownika4.8...........................................................................103Alerty i powiadomienia4.8.1...........................................................................104Wyłączanie interfejsu GUI na serwerze terminali4.8.2

........................................................................105Wiersz polecenia4.9

........................................................................106Import i eksport ustawień4.10

........................................................................106ThreatSense.Net4.11...........................................................................107Podejrzane pliki4.11.1...........................................................................108Statystyki4.11.2...........................................................................109Przesyłanie4.11.3

........................................................................110Administracj a zdalna4.12

........................................................................111Licencj e4.13

..................................................112Słowniczek5.

........................................................................112Typy infekcj i5.1...........................................................................112Wirusy5.1.1...........................................................................112Robaki5.1.2...........................................................................112Konie trojańskie5.1.3...........................................................................113Programy typu rootkit5.1.4...........................................................................113Adware5.1.5...........................................................................113Spyware5.1.6...........................................................................114Potencjalnie niebezpieczne aplikacje5.1.7...........................................................................114Potencjalnie niepożądane aplikacje5.1.8

........................................................................114Poczta e-mail5.2...........................................................................114Reklamy5.2.1...........................................................................115Fałszywe alarmy5.2.2...........................................................................115Ataki typu „phishing”5.2.3...........................................................................115Rozpoznawanie spamu5.2.4..........................................................................115Reguły5.2.4.1..........................................................................116Filtr Bayesa5.2.4.2..........................................................................116Biała lista5.2.4.3..........................................................................116Czarna lista5.2.4.4..........................................................................116Kontrola po stronie serwera5.2.4.5

5

1. WprowadzenieProgram ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server to zintegrowane rozwiązanie, którechroni skrzynki pocztowe przed różnego rodzaju szkodliwym oprogramowaniem, takim jak załączniki dowiadomości e-mail zarażone robakami lub końmi trojańskimi, dokumenty zawierające szkodliwe skrypty, atakitypu „phishing” czy spam. ESET Mail Security zapewnia trzy rodzaje ochrony: antywirusową, przed spamem orazstosowanie reguł zdefiniowanych przed użytkownika. Program ESET Mail Security filtruje szkodliwą zawartość napoziomie serwera poczty — zanim dotrze ona do skrzynki odbiorczej programu poczty e-mail odbiorcy.

Program ESET Mail Security obsługuje oprogramowanie Microsoft Exchange Server 5.5 i nowsze, a także platformęMicrosoft Exchange Server w środowisku klastrowym. W nowszych wersjach (Microsoft Exchange Server 2007 ipóźniejsze) są również obsługiwane określone role (skrzynka pocztowa, centrum, granica). Narzędzie ESET RemoteAdministrator umożliwia zdalne zarządzanie programem ESET Mail Security w większych sieciach.

Oprócz ochrony oprogramowania Microsoft Exchange Server program ESET Mail Security oferuje również narzędziapomagające chronić sam serwer (ochrona rezydentna, ochrona dostępu do stron internetowych, ochronaprogramów poczty e-mail oraz ochrona przed spamem).

1.1 Co nowego w wersj i 4.3 ?

W porównaniu z programem ESET Mail Security w wersji 4.2 wersja 4.3 oferuje następujące nowości i ulepszenia:

Nowe dzienniki ochrony przed spamem oraz szarej listy — oba zawierają szczegółowe informacje na tematwiadomości przetworzonych za pomocą funkcji ochrony przed spamem oraz szarej listy. Dziennik ochrony przedspamem przedstawia również szczegółowe przyczyny, dla których wiadomości zostały uznane za SPAM.

Wyłączenia automatyczne — zwiększają ogólną stabilność oraz płynność działania serwera. Wystarczy jednokliknięcie, aby zdefiniować całe zestawy wyłączeń skanowania za pomocą ochrony antywirusowej dotycząceaplikacji serwera bądź plików systemu operacyjnego.

Klasyfikacja wiadomości według wartości wyniku spamu — administratorzy mogą teraz ulepszyć filtrantyspamowy, dostosowując zakresy wyników spamu i określając, które wiadomości powinny byćklasyfikowane jako spam.

Scalanie licencji — program ESET Mail Security pozwala używać wielu licencji, dzięki czemu można zwiększyćliczbę chronionych skrzynek pocztowych.

6

1.2 Wymagania systemowe

Obsługiwane systemy operacyjne:

Microsoft Windows NT 4.0 z dodatkiem SP6, SP6aMicrosoft Windows 2000 ServerMicrosoft Windows Server 2003 (oparty na procesorze x86 i x64)Microsoft Windows Server 2008 (oparty na procesorze x86 i x64)Microsoft Windows Server 2008 R2Microsoft Windows Small Business Server 2003 (oparty na procesorze x86)Microsoft Windows Small Business Server 2003 R2 (oparty na procesorze x86)Microsoft Windows Small Business Server 2008 (oparty na procesorze x64)Microsoft Windows Small Business Server 2011 (oparty na procesorze x64)

Obsługiwane wersje oprogramowania Microsoft Exchange Server:

Microsoft Exchange Server 5.5 z dodatkiem SP3, SP4Microsoft Exchange Server 2000 z dodatkiem SP1, SP2, SP3Microsoft Exchange Server 2003 z dodatkiem SP1, SP2 Microsoft Exchange Server 2007 z dodatkiem SP1, SP2, SP3Microsoft Exchange Server 2010 z dodatkiem SP1, SP2

Wymagania sprzętowe zależą od wersji systemu operacyjnego oraz używanej wersji oprogramowania MicrosoftExchange Server. Więcej informacji na temat wymagań sprzętowych można znaleźć w dokumentacji produktuMicrosoft Exchange Server.

1.3 Używane metody

Wiadomości e-mail są skanowane za pomocą dwóch niezależnych metod:

Skanowanie skrzynki pocztowej za pomocą interfejsu VSAPIFiltrowanie wiadomości na poziomie serwera SMTP

1.3.1 Skanowanie skrzynki pocztowej za pomocą interfej su VSAPI

Proces skanowania skrzynki pocztowej jest wywoływany i kontrolowany przez oprogramowanie MicrosoftExchange Server. Wiadomości e-mail zapisane w bazie danych magazynu oprogramowania Microsoft ExchangeServer są stale skanowane. Zależnie od wersji oprogramowania Microsoft Exchange Server, wersji interfejsu VSAPIoraz ustawień zdefiniowanych przez użytkownika proces skanowania może być wywoływany w każdej znastępujących sytuacji:

Gdy użytkownik uzyskuje dostęp do poczty e-mail, na przykład w programie poczty e-mail (poczta e-mail jestzawsze skanowana przy użyciu najnowszej bazy sygnatur wirusów). W tle, kiedy wykorzystanie oprogramowania Microsoft Exchange Server jest niskie. Z wyprzedzeniem (na podstawie wewnętrznego algorytmu oprogramowania Microsoft Exchange Server).

Interfejs VSAPI jest obecnie używany do skanowania w poszukiwaniu wirusów oraz ochrony opartej na regułach.

6

7

7

1.3.2 Filtrowanie wiadomości na poziomie serwera SMTP

Filtrowanie SMTP na poziomie serwera jest chronione za pomocą specjalnego dodatku. W oprogramowaniuMicrosoft Exchange Server 2000 i 2003 ten dodatek (Event Sink) jest zarejestrowany na serwerze SMTP jakoskładnik usług IIS (Internet Information Services). W oprogramowaniu Microsoft Exchange Server 2007/2010dodatek jest zarejestrowany jako agent transportu w rolach Granica lub Centrum oprogramowania MicrosoftExchange Server.

Filtrowanie na poziomie serwera SMTP przez agenta transportu zapewnia ochronę w postaci reguł ochronyantywirusowej, ochrony przed spamem oraz zdefiniowanych przez użytkownika. W przeciwieństwie do filtrowaniaza pomocą interfejsu VSAPI filtrowanie na poziomie serwera SMTP jest wykonywane zanim skanowana wiadomośće-mail trafi do skrzynki pocztowej oprogramowania Microsoft Exchange Server.

1.4 Typy ochrony

Istnieją trzy rodzaje ochrony:

1.4.1 Ochrona antywirusowa

Ochrona antywirusowa jest jedną z podstawowych funkcji programu ESET Mail Security. Ochrona antywirusowazabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę e-mail i komunikację internetową. Wprzypadku wykrycia zagrożenia zawierającego szkodliwy kod moduł antywirusowy może je wyeliminować poprzezzablokowanie, a następnie usunięcie lub przeniesienie do kwarantanny .

1.4.2 Ochrona przed spamem

Ochrona przed spamem obejmuje liczne mechanizmy (lista RBL, lista DNSBL, sprawdzanie „odcisków”,sprawdzanie reputacji, analiza zawartości, filtr Bayesa, reguły, ręczne umieszczanie na białej/czarnej liście), któresłużą uzyskaniu maksymalnej skuteczności wykrywania zagrożeń związanych z pocztą e-mail. Wynikiem działaniaaparatu antyspamowego jest wartość prawdopodobieństwa przynależności danej wiadomości e-mail do spamu,wyrażona w procentach (0–100).

Kolejnym składnikiem modułu ochrony przed spamem jest szara lista (domyślnie wyłączona). Metoda ta jest opartana standardzie RFC 821, w którym stwierdzono, że ze względu na zawodność protokołu SMTP jako środka przekazukażdy agent przesyłania wiadomości (ang. message transfer agent, MTA) powinien powtarzać próbę dostarczeniawiadomości e-mail po wystąpieniu tymczasowego niepowodzenia. Znaczna część spamu składa się zjednorazowych przesyłek dostarczanych (za pomocą specjalnych narzędzi) do obszernej listy adresów e-mailgenerowanych automatycznie. Serwer, na którym stosuje się szarą listę, oblicza wartość kontrolną (skrót) dlaadresu nadawcy koperty, adresu odbiorcy koperty i adresu IP nadawczego agenta MTA. Jeśli serwer nie możeznaleźć w swojej bazie danych wartości kontrolnej dla danej trójki wspomnianych adresów, odmawia przyjęciawiadomości, zwracając kod tymczasowego niepowodzenia (np. tymczasowe niepowodzenie 451). Wiarygodnyserwer podejmie próbę ponownego przesłania wiadomości po upływie pewnego czasu o zmiennej długości. Przydrugiej próbie wartość kontrolna trójki adresów zostanie zapisana w bazie danych zweryfikowanych połączeń,dzięki czemu od tej pory każda wiadomość e-mail o analogicznej charakterystyce zostanie dostarczona.

1.4.3 Stosowanie reguł zdefiniowanych przez użytkownika

Ochrona oparta na regułach zdefiniowanych przez użytkownika jest dostępna zarówno w przypadku skanowaniaza pomocą interfejsu VSAPI, jak i skanowania za pomocą agenta transportu. Interfejs użytkownika programu ESETMail Security pozwala tworzyć osobne reguły, które można również łączyć. Jeśli jedna reguła zawiera wielewarunków, zostają one połączone za pomocą operatora logicznego AND. W wyniku tego reguła jest wykonywanatylko po spełnieniu wszystkich jej warunków. W przypadku utworzenia wielu reguł zostanie zastosowany operatorlogiczny OR. Oznacza to, że program będzie uruchamiać pierwszą regułę, której wszystkie warunki zostałyspełnione.

W sekwencji skanowania pierwszą używaną techniką jest szara lista (jeśli została włączona). Kolejne procedurybędą zawsze wykonywać następujące techniki: ochrona oparta na regułach zdefiniowanych przez użytkownika,skanowanie w poszukiwaniu wirusów oraz, na końcu, skanowanie pod kątem spamu.

81

8

1.5 Interfej s użytkownika

W programie ESET Mail Security zastosowano graficzny interfejs użytkownika (ang. graphical user interface, GUI),który ma zapewniać maksymalnie intuicyjną obsługę. Interfejs GUI pozwala użytkownikom na szybki i łatwydostęp do głównych funkcji programu.Oprócz głównego interfejsu GUI dostępne jest też drzewo ustawień zaawansowanych, które można wyświetlićw każdej chwili, naciskając klawisz F5.Po naciśnięciu klawisza F5 zostaje wyświetlone okno drzewa ustawień zaawansowanych z listą funkcji programu,które można konfigurować. W oknie tym można dostosować opcje i ustawienia do indywidualnych potrzeb.Struktura drzewa dzieli się na dwie części: Ochrona serwera i Ochrona komputera. W części Ochrona serweraznajdują się elementy dotyczące ustawień programu ESET Mail Security związanych z zabezpieczaniem serweraMicrosoft Exchange. Część Ochrona komputera zawiera z kolei możliwe do konfigurowania elementy dotycząceochrony samego serwera.

9

2. Instalacj aPo zakupie produktu ESET Mail Security można pobrać pakiet MSI instalatora z witryny internetowej firmy ESET (www.eset.pl). Po uruchomieniu programu instalacyjnego kreator instalacji poprowadzi użytkownika przezpodstawowe czynności konfiguracyjne. Można wybrać jeden z dwóch typów instalacji o odmiennym poziomieszczegółowości konfiguracji:1. Typowa instalacja2. Instalacja zaawansowana

UWAGA: Jeśli to możliwe, zdecydowanie zaleca się instalowanie programu ESET Mail Security w niedawnozainstalowanym i skonfigurowanym systemie operacyjnym. Jeśli jednak użytkownik musi zainstalować program wposiadanym systemie, najlepszym rozwiązaniem jest odinstalowanie wcześniejszej wersji produktu ESET MailSecurity, ponowne uruchomienie serwera oraz zainstalowanie programu ESET Mail Security w wersji 4.5.

2.1 Typowa instalacj a

Tryb typowej instalacji pozwala na szybkie zainstalowanie programu ESET Mail Security, wymagająceskonfigurowania minimalnej liczby parametrów. Typowa instalacja jest domyślnym trybem instalacji i zaleca się jąw przypadku, gdy użytkownik nie ma jeszcze sprecyzowanych wymagań dotyczących poszczególnych ustawień. Pozainstalowaniu programu ESET Mail Security można w każdej chwili zmodyfikować jego opcje i ustawieniakonfiguracji. Omówiono je zresztą szczegółowo w niniejszym podręczniku użytkownika. Ustawienia trybu typowejinstalacji zapewniają znakomite bezpieczeństwo połączone z łatwością obsługi i dużą wydajnością systemu.Po wybraniu tego trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wprowadzenie nazwy użytkownika ihasła. Odgrywają one ważną rolę w zapewnianiu stałej ochrony systemu, ponieważ umożliwiają automatyczneprzeprowadzanie aktualizacji bazy sygnatur wirusów.W odpowiednich polach należy wprowadzić nazwę użytkownika i hasło otrzymane po zakupie lub zarejestrowaniuproduktu. W przypadku chwilowego braku dostępu do nazwy użytkownika i hasła można je wpisać późniejbezpośrednio w zainstalowanym programie.

W następnym kroku — Menedżer licencji — należy dodać plik licencji dostarczony pocztą e-mail po zakupieproduktu.

69

10

Kolejną czynnością jest skonfigurowanie systemu monitorowania zagrożeń ThreatSense.Net. Pomaga on zapewnićnatychmiastowe i ciągłe informowanie firmy ESET o nowych próbach ataków, tak aby mogła ona szybko reagowaći chronić swoich klientów. System ten umożliwia zgłaszanie nowych zagrożeń do laboratorium firmy ESET, gdzie sąone analizowane, przetwarzane i dodawane do bazy sygnatur wirusów. Opcja Włącz system monitorowaniazagrożeń ThreatSense.Net jest domyślnie zaznaczona. Aby zmodyfikować szczegółowe ustawienia dotycząceprzesyłania podejrzanych plików, należy kliknąć przycisk Ustawienia zaawansowane.Następnym etapem procesu instalacji jest skonfigurowanie opcji Wykrywanie potencjalnie niepożądanychaplikacji. Potencjalnie niepożądane aplikacje nie są z założenia tworzone w złych intencjach, ale mogą negatywniewpływać na działanie systemu operacyjnego.Aplikacje te są często dołączane do innych programów i mogą być trudne do zauważenia podczas instalacji. Wtrakcie instalacji tych aplikacji zazwyczaj wyświetlane jest powiadomienie, jednak mogą one zostać łatwozainstalowane bez zgody użytkownika.Zaznacz opcję Włącz wykrywanie potencjalnie niepożądanych aplikacji, aby program ESET Mail Securitywykrywał tego typu zagrożenia (zalecane). Aby nie korzystać z tej funkcji, należy zaznaczyć opcję Wyłączwykrywanie aplikacji potencjalnie niepożądanych.Ostatnią czynnością wykonywaną w trybie typowej instalacji jest potwierdzenie instalacji przez kliknięcieprzycisku Instaluj.

11

2.2 Instalacj a zaawansowana

Instalacja zaawansowana jest przeznaczona dla doświadczonych użytkowników, którzy chcą skonfigurowaćprogram ESET Mail Security podczas instalacji.Po wybraniu trybu instalacji i kliknięciu przycisku Dalej pojawi się monit o wskazanie docelowego miejscainstalacji. Domyślnie program jest instalowany w katalogu C:\Program Files\ESET\ESET Mail Security. Aby zmienić tęlokalizację (niezalecane), należy kliknąć przycisk Przeglądaj…Następnie należy wprowadzić swoją nazwę użytkownika i hasło. Czynność ta jest identyczna z występującą wtrybie typowej instalacji (patrz część „Typowa instalacja” ).

W następnym kroku — Menedżer licencji — należy dodać plik licencji dostarczony pocztą e-mail po zakupieproduktu.

Po wprowadzeniu nazwy użytkownika i hasła należy kliknąć przycisk Dalej, aby przejść do okna Konfigurujpołączenie internetowe.W przypadku korzystania z serwera proxy należy go prawidłowo skonfigurować, aby można było przeprowadzaćaktualizacje sygnatur wirusów. Aby automatycznie skonfigurować serwer proxy, należy wybrać ustawieniedomyślne Nie wiem, czy podczas łączenia z Internetem używany jest serwer proxy. Użyj ustawień z programuInternet Explorer. (Zalecane) i kliknąć przycisk Dalej. Jeśli serwer proxy nie jest używany, należy zaznaczyć opcjęNie korzystam z serwera proxy.

Aby samodzielnie wprowadzić parametry serwera proxy, można ręcznie skonfigurować jego ustawienia. W tymcelu należy zaznaczyć opcję Korzystam z serwera proxy i kliknąć przycisk Dalej. W polu Adres należy wprowadzićadres IP lub URL serwera proxy. W polu Port należy wprowadzić numer portu, na którym serwer proxy przyjmuje

9

12

połączenia (domyślnie 3128). W przypadku gdy serwer proxy wymaga uwierzytelniania, należy w polach Nazwaużytkownika i Hasło wprowadzić prawidłowe dane umożliwiające uzyskanie dostępu do serwera. Ustawieniaserwera proxy można również skopiować z programu Internet Explorer. Po wprowadzeniu parametrów serweraproxy należy kliknąć przycisk Zastosuj i potwierdzić wybór.Należy kliknąć przycisk Dalej, aby przejść do okna Konfiguruj ustawienia automatycznej aktualizacji. W tymkroku można określić sposób przeprowadzania w systemie automatycznych aktualizacji komponentów programu.Aby uzyskać dostęp do ustawień zaawansowanych, należy kliknąć przycisk Zmień....Jeśli komponenty programu nie mają być aktualizowane, należy wybrać ustawienie Nigdy nie aktualizujkomponentów programu. Aby przed pobieraniem komponentów programu było wyświetlane oknopotwierdzenia, należy zaznaczyć opcję Pytaj przed pobraniem komponentów programu. Aby pobieranieuaktualnień komponentów programu odbywało się automatycznie, należy wybrać ustawienie Zawsze aktualizujkomponenty programu.

UWAGA: Po zaktualizowaniu komponentów programu wymagane jest zazwyczaj ponowne uruchomieniekomputera. Zalecane jest wybranie opcji Nigdy nie uruchamiaj ponownie komputera. Najnowsze aktualizacjekomponentów staną się aktywne po najbliższym ponownym uruchomieniu serwera (zaplanowanym , ręcznymlub jakimkolwiek innym). Aby po zaktualizowaniu komponentów pojawiało się przypomnienie o koniecznościponownego uruchomienia serwera, należy wybrać ustawienie W razie potrzeby zaoferuj ponowneuruchomienie komputera. Pozwala ono od razu uruchomić ponownie serwer lub odłożyć tę czynność na później.W następnym oknie instalacji można ustawić hasło służące do ochrony ustawień programu. W tym celu należywybrać opcję Zabezpiecz ustawienia konfiguracyjne hasłem, a następnie wprowadzić hasło w polach Nowehasło i Potwierdź nowe hasło.Dwa kolejne kroki procesu instalacji, System monitorowania zagrożeń ThreatSense.Net i Wykrywaniepotencjalnie niepożądanych aplikacji, są identyczne z występującymi w trybie instalacji typowej (patrz sekcja„Typowa instalacja” ).Aby zakończyć instalację, należy kliknąć przycisk Instaluj w oknie Gotowe do instalacji.

2.3 Serwer terminali

W przypadku zainstalowania programu ESET Mail Security w systemie Windows Server pełniącym rolę serweraterminali warto wyłączyć interfejs GUI programu ESET Mail Security, aby zapobiec uruchamianiu się go przykażdym logowaniu użytkownika. Szczegółowe instrukcje wyłączenia go można znaleźć w rozdziale Wyłączanieinterfejsu GUI na serwerze terminali .

79

9

104

13

2.4 Uaktualnianie do nowszej wersj i

Nowsze wersje programu ESET Mail Security publikuje się w celu wprowadzania w nim poprawek lub udoskonaleń,których nie można wdrożyć w ramach automatycznych aktualizacji poszczególnych modułów. Uaktualnienie donowszej wersji można zrealizować na jeden z kilku sposobów:1. Automatyczne uaktualnienie za pomocą aktualizacji komponentów programu

Ponieważ aktualizacje komponentów programu są rozsyłane do wszystkich użytkowników i mogą mieć wpływna pewne konfiguracje systemu, publikuje się je po długim okresie testów, aby mieć pewność, że procesuaktualnienia przebiegnie bez zakłóceń w przypadku wszystkich możliwych konfiguracji systemu. Jeśli zachodzipotrzeba uaktualnienia programu do nowszej wersji natychmiast po jej udostępnieniu, należy posłużyć się jednąz poniższych metod.

2. Ręczne uaktualnienie przez pobranie i zainstalowanie nowej wersji już zainstalowanego programuNa początku procesu instalacji można wybrać zachowanie bieżących ustawień programu, zaznaczając polewyboru Użyj bieżących ustawień.

3. Ręczne uaktualnienie w ramach automatycznego wdrożenia w środowisku sieciowym za pomocą narzędziaESET Remote Administrator

2.5 Instalowanie w środowisku klastrowym

Klaster to grupa serwerów (serwer podłączony do klastra jest nazywany węzłem), które pracują razem jako jedenserwer. Środowisko tego typu zapewnia wysoką dostępność oraz niezawodność dostępnych usług. W razie awariilub niedostępności jednego z węzłów w klastrze jego działanie jest automatycznie przejmowane przez inny węzeł ztego samego klastra. Program ESET Mail Security w pełni obsługuje serwery Microsoft Exchange połączone wklaster. Warunkiem poprawnego działania programu ESET Mail Security jest skonfigurowanie wszystkich węzłówklastra w taki sam sposób. W tym celu można zastosować politykę za pomocą narzędzia ESET RemoteAdministrator (ERA). W kolejnych rozdziałach opisano sposób instalowania i konfigurowania programu ESET MailSecurity na serwerach w środowisku klastrowym za pomocą narzędzia ERA.

Instalacja

W tym rozdziale wyjaśniono działanie metody instalacji wypychanej. Nie jest to jednak jedyny sposób instalowaniaproduktu na komputerze docelowym. Informacje na temat innych metod instalacji można znaleźć w Podręcznikuużytkownika programu ESET Remote Administrator.

1) Pobierz pakiet instalacyjny msi produktu ESET Mail Security z witryny firmy ESET na komputer, na którymzainstalowano narzędzie ERA. W narzędziu ERA wybierz kartę Instalacja zdalna, kliknij opcję Komputery, anastępnie kliknij prawym przyciskiem myszy komputer na liście i wybierz z menu kontekstowego polecenie Zarządzanie pakietami. Z menu rozwijanego Typ wybierz polecenie Pakiet produktów zabezpieczeń ESET ikliknij przycisk Dodaj Znajdź pobrany pakiet instalacyjny programu ESET Mail Security w polu Źródło, a następniekliknij opcję Utwórz.

2) W obszarze Edycja/wybieranie konfiguracji skojarzonej z pakietem kliknij polecenie Edytuj i skonfigurujustawienia programu ESET Mail Security zgodnie ze swoimi potrzebami. Ustawienia programu ESET Mail Securitysą dostępne w następujących gałęziach: ESET Smart Security, ESET NOD32 Antivirus > Ochrona serwera pocztye-mail oraz Ochrona serwera poczty e-mail Microsoft Exchange Server. Można również ustawić parametryinnych modułów programu ESET Mail Security (np. modułu aktualizacji, skanowania komputera itd.). Zaleca sięwyeksportowanie skonfigurowanych ustawień do pliku XML w celu jego późniejszego użycia, na przykład podczastworzenia pakietu instalacyjnego, stosowania zadania konfiguracyjnego lub polityki.

3) Kliknij opcję Zamknij. W kolejnym oknie dialogowym (Czy chcesz zapisać pakiety na serwerze?) wybierz opcjęTak i wpisz nazwę pakietu instalacyjnego. Ukończony pakiet instalacyjny (łącznie z nazwą oraz konfiguracją)zostanie zapisany na serwerze. Pakiet ten jest najczęściej używany na potrzeby instalacji wypychanej, ale można gorównież zapisać jako standardowy pakiet instalacyjny msi i używać do instalacji bezpośredniej na serwerze(wybierając kolejno opcje Edytor pakietów instalacyjnych > Zapisz jako).

14

4) Gdy pakiet instalacyjny jest gotowy, można rozpocząć instalację zdalną w węzłach klastra. W narzędziu ERAwybierz kartę Instalacja zdalna, kliknij opcję Komputery i zaznacz węzły, na których ma zostać zainstalowanyprogram ESET Mail Security (Ctrl + kliknięcie przyciskiem myszy lub Shift + kliknięcie przyciskiem myszy). Kliknijprawym przyciskiem myszy dowolny z zaznaczonych komputerów i wybierz z menu kontekstowego opcję Instalacja wypychana. Używając przycisków Ustaw / Ustaw wszystko, ustaw Nazwę użytkownika i Hasłoużytkownika komputera docelowego (musi on mieć uprawnienia administratora). Kliknij przycisk Dalej, abywybrać pakiet instalacyjny, i rozpocznij proces instalacji zdalnej, klikając przycisk Zakończ. Pakiet instalacyjnyzawierający program ESET Mail Security oraz niestandardowe ustawienia konfiguracyjne zostanie zainstalowanyna wybranych komputerach docelowych/węzłach. Po krótkiej chwili komputery z produktem ESET Mail Securitypojawią się na karcie Klienci narzędzia ERA. Od tej chwili można zdalnie zarządzać tymi klientami.

UWAGA: Aby proces instalacji zdalnej przebiegł bezproblemowo, komputery docelowe oraz serwer z narzędziemERA muszą spełniać określone warunki. Więcej informacji można znaleźć w Podręczniku użytkownika narzędziaESET Remote Administrator.

Konfiguracja

Aby program ESET Mail Security działał poprawnie na węzłach klastra, wszystkie węzły muszą być zawsze tak samoskonfigurowane. Warunek ten zostanie spełniony, jeśli użytkownik zastosuje opisaną powyżej metodę instalacjiwypychanej. Istnieje jednak ryzyko omyłkowej zmiany konfiguracji, która może spowodować niespójności międzyproduktami ESET Mail Security w jednym klastrze. Aby temu zapobiec, należy użyć polityki w narzędziu ERA.Polityka jest podobna do standardowego zadania konfiguracyjnego — wysyła ona do klientów konfiguracjęokreśloną w edytorze konfiguracji. Polityka różni się od zadania konfiguracyjnego tym, że jest ona stale stosowanaw ramach klientów. W związku z tym politykę można nazwać konfiguracją, która jest regularnie wymuszana naklientach lub ich grupach.

Po wybraniu w narzędziu ERA opcji Narzędzia > Menedżer polityk można uzyskać dostęp do wielu opcjistosowania polityki. Najprostsza w użyciu jest Domyślna polityka nadrzędna, która działa również jako Politykadomyślna dla klientów podstawowych. Polityka tego rodzaju jest automatycznie stosowana w odniesieniu dowszystkich podłączonych klientów (w tym wypadku do wszystkich produktów ESET Mail Security w klastrze).Politykę można skonfigurować, klikając opcję Edytuj lub używając konfiguracji zapisanej w pliku xml (jeśli został onwcześniej utworzony).

Drugą możliwością jest utworzenie nowej polityki (Dodaj nową politykę podrzędną) i przypisanie do niejwszystkich produktów ESET Mail Security za pomocą opcji Dodaj klientów.

Ta konfiguracja gwarantuje, że w odniesieniu do wszystkich klientów jest stosowana jedna polityka o tych samychustawieniach. Aby zmodyfikować istniejące ustawienia serwera produktu ESET Mail Security w klastrze, wystarczydokonać edycji aktualnej polityki. Zmiany zostaną zastosowane w odniesieniu do wszystkich klientówprzypisanych do tej polityki.

UWAGA: więcej informacji o politykach można znaleźć w Podręczniku użytkownika narzędzia ESET RemoteAdministrator.

2.6 Licencj a

Wprowadzenie pliku licencji programu ESET Mail Security dla oprogramowania Microsoft Exchange Server jestbardzo ważnym krokiem. Bez niego ochrona poczty e-mail oprogramowania Microsoft Exchange Server nie będziedziałać poprawnie. Jeśli plik licencji nie został dodany podczas instalacji, można zrobić to później w ustawieniachzaawansowanych, w obszarze Inne > Licencje.

Program ESET Mail Security pozwala używać jednocześnie wielu licencji. W tym celu licencje należy scalić wnastępujący sposób:

1) Scalane są co najmniej dwie licencje jednego klienta (tj. licencje przypisane do tego samego nazwiska klienta), aliczba skanowanych skrzynek pocztowych zostaje odpowiednio zwiększona. W menedżerze licencji nadal sąwyświetlane obie licencje.

15

2) Scalane są co najmniej dwie licencje różnych klientów. Wykonywane są te same działania co w pierwszymprzypadku (punkt 1 powyżej). Jedyną różnicą jest to, że co najmniej jedna z licencji musi mieć atrybut specjalny.Atrybut ten jest wymagany do scalenia licencji różnych klientów. Aby użyć takiej licencji, należy wystąpić dolokalnego dystrybutora o jej wygenerowanie.

UWAGA: Okres ważności nowo utworzonej licencji jest wyznaczany przez najwcześniejszą datę wygaśnięcia jejskładników.

Produkt ESET Mail Security dla oprogramowania Microsoft Exchange Server (EMSX) porównuje liczbę skrzynekpocztowych w usłudze Active Directory z liczbą licencji posiadanych przez użytkownika. W celu ustaleniacałkowitej liczby skrzynek pocztowych sprawdzana jest każda usługa Active Directory serwera Exchange. Wcałkowitej liczbie skrzynek pocztowych nie są uwzględniane systemowe skrzynki pocztowe, zdezaktywowaneskrzynki pocztowe ani aliasy adresów e-mail. W środowisku klastrowym w całkowitej liczbie skrzynek pocztowychnie są uwzględniane węzły z rolą klastrowej skrzynki pocztowej.

Aby poznać liczbę skrzynek pocztowych działających w oprogramowaniu Exchange, należy otworzyć na serwerzenarzędzie Użytkownicy i komputery usługi Active Directory. Następnie należy kliknąć prawym przyciskiemmyszy domenę i wybrać polecenie Znajdź. Z menu rozwijanego Znajdź należy wybrać opcję Wyszukiwanieniestandardowe i kliknąć kartę Zaawansowane. Następnie należy wkleić następujące zapytanie protokołu LDAP(Lightweight Directory Access Protocol) i kliknąć polecenie Znajdź teraz:

(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(!(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!userAccountControl:1.2.840.113556.1.4.803:=2))

16

Jeśli liczba skrzynek pocztowych w usłudze Active Directory przekroczy liczbę licencji, w dziennikuoprogramowania Microsoft Exchange Server zostanie umieszczony komunikat „Stan ochrony został zmieniony,ponieważ przekroczono dopuszczalną liczbę skrzynek pocztowych (liczba) objętych licencją (liczba)”. Użytkownikzostanie o tym również powiadomiony przez program ESET Mail Security — Stan ochrony zmieni kolor naPOMARAŃCZOWY i zostanie wyświetlony komunikat z informacją, że ochrona zostanie wyłączona za 42 dni. Wwypadku wyświetlenia takiego powiadomienia należy skontaktować się ze sprzedawcą w celu zakupieniadodatkowych licencji.

Jeśli użytkownik nie doda wymaganych licencji dla dodatkowych skrzynek pocztowych przed upływem 42 dni, Stanochrony zmieni kolor na CZERWONY. Zostanie również wyświetlony komunikat o wyłączeniu ochrony. Wprzypadku wyświetlenia takiego powiadomienia należy natychmiast skontaktować się ze sprzedawcą i zakupićdodatkowe licencje.

17

2.7 Konfiguracj a po instalacj i

Po zainstalowaniu produktu należy skonfigurować kilka opcji.

Ustawienia ochrony przed spamem

W tej sekcji opisano ustawienia, metody i techniki, za pomocą których można chronić swoją sieć przed spamem.Zaleca się, aby przed wybraniem najkorzystniejszego dla sieci połączenia ustawień uważnie przeczytać poniższeinstrukcje. Zarządzanie spamemAby zagwarantować wysoki poziom ochrony przed spamem, należy wybrać czynności, którym będą poddawanewiadomości oznaczone jako SPAM.

Dostępne są trzy opcje:

1. Usuwanie spamu Kryteria, które musi spełniać wiadomość, aby program ESET Mail Security uznał ją za SPAM, są dośćwyśrubowane. Pozwala to zmniejszyć ryzyko usunięcia poprawnych wiadomości e-mail. Im bardziej konkretnesą ustawienia ochrony przed spamem, tym mniejsze prawdopodobieństwo usunięcia poprawnych wiadomoście-mail. Zaletami tej metody są mniejsze zużycie zasobów systemowych oraz mniejsza potrzeba administracji. Jejwadą jest niemożność lokalnego przywrócenia poprawnej wiadomości e-mail w razie jej usunięcia.

2. Kwarantanna Ta opcja likwiduje ryzyko usunięcia niegroźnej wiadomości e-mail. Wiadomości można natychmiast przywracać iponownie wysyłać do oryginalnych odbiorców. Wadą tej metody jest większe zużycie zasobów systemowychoraz konieczność poświęcenia dodatkowego czasu na prowadzenie kwarantanny wiadomości e-mail.Wiadomości e-mail można przekazywać do kwarantanny za pomocą dwóch metod:

A. Wewnętrzna kwarantanna oprogramowania Exchange Server (dostępna tylko w wersjach MicrosoftExchange Server 2007/2010):– Aby skorzystać z wewnętrznej kwarantanny serwera, należy sprawdzić, czy pole Wspólna kwarantannawiadomości w prawym okienku menu ustawień zaawansowanych (dostępne po kliknięciu kolejno opcjiOchrona serwera > Kwarantanna wiadomości) jest puste. Należy też upewnić się, że w dostępnym nadole menu rozwijanym wybrano opcję Przenieś wiadomość do kwarantanny systemu serwerapocztowego. Ta metoda działa tylko w przypadku, gdy istnieje wewnętrzna kwarantannaoprogramowania Exchange. Domyślnie, wewnętrzna kwarantanna nie jest aktywowana woprogramowaniu Exchange. Aby ją aktywować, należy otworzyć powłokę zarządzania serwerem Exchangei wpisać następujące polecenie: Set-ContentFilterConfig -QuarantineMailbox nazwa@domena.com (zapis nazwa@domena.com należy zastąpić adresem skrzynki pocztowej, której oprogramowanieMicrosoft Exchange ma używać jako skrzynki pocztowej wewnętrznej kwarantanny, na przykład kwarantannaexchange@firma.com). B. Niestandardowa skrzynka pocztowa wiadomości kwarantanny:– Po wpisaniu żądanej skrzynki pocztowej w polu Wspólna kwarantanna wiadomości program ESET MailSecurity będzie przenosić wszystkie nowe wiadomości spamu do tej niestandardowej skrzynki pocztowej.

Więcej informacji na temat kwarantanny oraz różnych metod postępowania można znaleźć w rozdziale Kwarantanna wiadomości .26

18

3. Przekazywanie spamu Spam zostanie przekazany do odbiorcy. Program ESET Mail Security uzupełni jednak odpowiedni nagłówek MIMEkażdej wiadomości wartością SCL. Inteligentny filtr wiadomości (IMF) serwera Exchange podejmie na podstawiewartości SCL decyzję o wykonaniu odpowiedniej czynności.

Filtrowanie spamu

Aparat antyspamowyAparat ochrony przed spamem udostępnia trzy następujące konfiguracje: Zalecana, Najbardziej dokładna iNajszybsza.Jeśli nie trzeba optymalizować konfiguracji, aby zapewnić maksymalną wydajność (np. duże obciążenie serwera),zaleca się wybranie opcji Najbardziej dokładna. Wybranie konfiguracji Zalecana powoduje, że serwerautomatycznie dostosowuje swoje ustawienia zależnie od skanowanych wiadomości, aby zrównoważyćobciążenie. Wybranie metody Najbardziej dokładna powoduje, że ustawienia są optymalizowane pod kątemszybkości przechwytywania. Kliknięcie opcji Zaawansowana > Otwórz plik konfiguracyjny pozwala edytowaćplik spamcatcher.conf . Korzystanie z tej opcji zaleca się tylko zaawansowanym użytkownikom.

Przed rozpoczęciem korzystania z wybranych opcji programu warto skonfigurować ręcznie listę ograniczonych idozwolonych adresów IP. Aby to zrobić:

1) Otwórz okno Ustawienia zaawansowane i przejdź do sekcji Ochrona przed spamem. Upewnij się, że polewyboru Włącz ochronę serwera przed spamem jest zaznaczone.

2) Przejdź do sekcji Aparat ochrony przed spamem.3) Kliknij przycisk Ustawienia, aby ustawić listy Dozwolone, ignorowane oraz Blokowane adresy IP.

Karta Blokowane adresy IP zawiera listę ograniczonych adresów IP. Jeśli jakikolwiek nieignorowany adres IPz nagłówków Received jest taki sam, jak adres na tej liście, wiadomość otrzymuje wynik 100 i nie sąprzeprowadzane żadne inne kontrole.Karta Dozwolone adresy IP zawiera listę wszystkich dozwolonych adresów IP. Jeśli pierwszy nieignorowanyadres IP z nagłówków Received jest taki sam, jak adres na tej liście, wiadomość otrzymuje wynik 0 i nie sąprzeprowadzane żadne inne kontrole.Karta Ignorowane adresy IP zawiera listę adresów, które powinny być ignorowane podczas Sprawdzania wczasie rzeczywistym za pomocą listy RBL. Lista powinna zawierać wszystkie chronione zaporą wewnętrzneadresy IP, które nie są dostępne bezpośrednio z Internetu. Pozwoli to zapobiec zbędnym kontrolom i pomożerozróżniać adresy IP łączące się z zewnątrz od wewnętrznych adresów IP.

Szara listaSzara lista chroni użytkowników przed spamem za pomocą następującej techniki: Agent transportu wysyłazwracaną wartość serwera SMTP „tymczasowo odrzucono” (wartość domyślna to 451/4.7.1) w odpowiedzi na każdąwiadomość e-mail od nadawcy, którego nie rozpoznaje. Serwer wysyłający autentyczne wiadomości próbujeponownie dostarczyć wiadomość. Spamerzy zazwyczaj nie próbują ponownie dostarczać wiadomości, ponieważjednocześnie wysyłają je na tysiące adresów i nie mogą poświęcać dodatkowego czasu na ponowne dostarczanie.

Podczas oceniania źródła wiadomości metoda sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowaneadresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypassskrzynki pocztowej odbiorcy. Szarą listę należy starannie skonfigurować, w przeciwnym razie mogą występowaćniechciane usterki w działaniu (np. opóźnienia w dostarczaniu pożądanych wiadomości itp.). Liczba takich efektówubocznych maleje w miarę, jak działająca funkcja dodaje do wewnętrznej białej listy zaufane połączenia.Użytkownikom nieznającym tej metody lub niechcącym jej używać ze względu na skutki uboczne zaleca sięwyłączenie jej w menu Ustawienia zaawansowane. Aby to zrobić, należy kliknąć kolejno opcje Ochrona przedspamem > Microsoft Exchange Server > Agent transportu > Włącz szarą listę.

Szarą listę należy również wyłączyć, jeśli celem użytkownika jest testowanie podstawowych funkcji programu, anie konfigurowanie jego zaawansowanych ustawień.

UWAGA: Szara lista to dodatkowy sposób ochrony przed spamem. Nie wpływa ona w żaden sposób na metodęoceniania spamu przez moduł ochrony przed spamem.

43

19

Ustawienia ochrony antywirusowej

KwarantannaZależnie od używanego trybu leczenia zaleca się skonfigurowanie czynności wykonywanej względemzainfekowanych (niewyleczonych) wiadomości. Tę opcję można ustawić w oknie Ustawienia zaawansowane powybraniu opcji Ochrona serwera > Antywirus i antyspyware > Microsoft Exchange Server > Agent transportu.Po włączeniu opcji przenoszenia wiadomości do kwarantanny wiadomości e-mail należy skonfigurowaćkwarantannę, wybierając w oknie Ustawienia zaawansowane opcje Ochrona serwera> Kwarantannawiadomości.

WydajnośćW przypadku braku ograniczeń zaleca się zwiększenie liczby aparatów skanowania technologii ThreatSense woknie Ustawienia zaawansowane (F5). Aby to zrobić, należy wybrać kolejno opcje Ochrona serwera > Antywirus iantyspyware > Microsoft Exchange Server > VSAPI > Wydajność i skorzystać z następującego wzoru: liczbawątków skanowania = (liczba fizycznych procesorów x 2) + 1. Liczba wątków skanowania powinna być taka sama jak liczbaaparatów skanowania technologii ThreatSense. Liczbę aparatów skanowania można skonfigurować, wybierająckolejno opcje Ochrona komputera > Antywirus i antyspyware > Wydajność. Oto przykład:

Załóżmy, że jest używany serwer z 4 procesorami. Zgodnie z powyższym wzorem do uzyskania najwyższejwydajności wymaganych jest 9 wątków skanowania oraz 9 aparatów skanowania.

UWAGA: Zaleca się ustawienie jednakowej liczby aparatów skanowania technologii ThreatSense oraz używanychwątków skanowania. Jeśli liczba używanych wątków skanowania przekroczy liczbę aparatów skanowania, niewpłynie to w żaden sposób na wydajność.

UWAGA: jeśli program ESET Mail Security działa w systemie Windows Server, który pełni rolę serwera terminali, aużytkownik nie chce, aby interfejs GUI programu ESET Mail Security był uruchamiany po każdym zalogowaniu,należy zapoznać się z treścią rozdziału Wyłączanie interfejsu GUI na serwerze terminali .104

20

3. ESET Mail Security — ochrona serwera Microsoft Exchange ServerProgram ESET Mail Security zapewnia wysoki poziom ochrony serwera Microsoft Exchange Server. Istnieją trzypodstawowe rodzaje ochrony: antywirusowa, przed spamem oraz stosowanie reguł zdefiniowanych przedużytkownika. Program ESET Mail Security chroni przed różnego rodzaju szkodliwym oprogramowaniem, takim jakzałączniki do wiadomości e-mail zarażone robakami lub końmi trojańskimi, dokumenty zawierające szkodliweskrypty, ataki typu „phishing” czy spam. Program ESET Mail Security filtruje szkodliwą zawartość na poziomieserwera poczty, zanim dotrze ona do skrzynki odbiorczej programu poczty e-mail odbiorcy. W kolejnychrozdziałach opisano wszystkie opcje oraz ustawienia umożliwiające dostosowywanie ustawień ochrony serweraMicrosoft Exchange Server.

3.1 Ustawienia ogólne

W tej sekcji opisano sposób administrowania regułami, plikami dziennika, kwarantanną wiadomości orazparametrami wydajności.

3.1.1 Microsoft Exchange Server

3.1.1.1 VSAPI (Virus-Scanning Application Programming Interface)

Platforma Microsoft Exchange Server udostępnia mechanizm gwarantujący, że każdy komponent wiadomości jestskanowany przy użyciu zaktualizowanej bazy sygnatur wirusów. Jeśli dany komponent wiadomości nie byłskanowany, zostaje przesyłany do skanera przed wysłaniem wiadomości do klienta. Każda obsługiwana wersjaplatformy Microsoft Exchange Server (5.5/2000/2003/2007/2010) udostępnia inną wersję interfejsu VSAPI.

Pole wyboru umożliwia włączenie lub wyłączenie automatycznego uruchamiania wersji interfejsu VSAPI używanejprzez dany serwer Exchange.

3.1.1.2 Agent transportu

W tej sekcji można skonfigurować automatyczne uruchamianie agenta transportu oraz ustawić priorytet jegoładowania. W przypadku oprogramowania Microsoft Exchange Server 2007 i jego nowszych wersji agentatransportu można zainstalować tylko w sytuacji, gdy serwer działa w jednej z następujących ról: Transport granicznylub Transport centralny.

UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5 (VSAPI 1.0).

21

Priorytet agentów programu ESET Mail Security można ustawić w menu Ustawienia priorytetu agenta. Zakresnumerów priorytetu agenta zależy od wersji oprogramowania Microsoft Exchange Server (im niższy numer, tymwyższy priorytet).

Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawiewyniku spamu — SCL to przypisywana do wiadomości znormalizowana wartość, która wskazujeprawdopodobieństwo tego, że wiadomość jest spamem (na podstawie charakterystyki nagłówka wiadomości, jejtematu, treści itp.). Ocena 0 wskazuje, że wiadomość niemal na pewno nie jest spamem, a ocena 9 wskazuje, żewiadomość najprawdopodobniej jest spamem. Wartości SCL mogą być dalej przetwarzane przez inteligentny filtrwiadomości (lub agenta filtru zawartości) oprogramowania Microsoft Exchange Server. Więcej informacji możnaznaleźć w dokumentacji oprogramowania Microsoft Exchange Server.

Opcja Podczas usuwania wiadomości wysyłaj odpowiedź o odrzuceniu przez usługę SMTP:

Jeśli opcja nie jest zaznaczona, serwer SMTP wysyła do agenta MTA (Mail Transfer Agent) nadawcy odpowiedźSMTP OK w formacie „250 2.5.0 — Requested mail action okay, completed” ( Wykonano i zakończono żądanączynność dotyczącą poczty), a następnie przechodzi do trybu cichego. Jeśli opcja jest zaznaczona, do agenta MTA nadawcy wysyłana jest odpowiedź o odrzuceniu przez serwer SMTP.Treść odpowiedzi można wpisać w następującym formacie:

Podstawowy kododpowiedzi

Uzupełniający kod stanu Opis

250 2.5.0 Wykonano i zakończono żądaną czynność dotyczącąpoczty

451 4.5.1 Przerwano żądaną czynność: błąd lokalny podczasprzetwarzania

550 5.5.0 Nie wykonano żądanej czynności: skrzynka pocztowajest niedostępna

Ostrzeżenie: Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może spowodować błędne działaniekomponentów programu oraz ograniczyć jego skuteczność.

UWAGA: Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocązmiennych systemu.

22

3.1.2 Reguły

Element menu Reguły umożliwia administratorom ręczne definiowanie warunków filtrowania wiadomości e-mail iczynności, jakie mają zostać podjęte wobec odfiltrowanych wiadomości. Reguły są stosowane zgodnie z zestawempołączonych warunków. Do łączenia wielu warunków służy operator logiczny AND — w takim przypadku regułajest stosowana tylko w przypadku spełnienia wszystkich warunków. Kolumna Numer (widoczna obok nazwykażdej reguły) pokazuje, ile razy dana reguła została pomyślnie zastosowana.

Reguły są stosowane do wiadomości, gdy jest ona przetwarzana przez agenta transportu (TA) lub program VSAPI.Gdy włączony jest zarówno agent transportu, jak i program VSAPI, a wiadomość spełnia warunki reguły, wartośćlicznika reguł może wzrosnąć o 2 lub więcej. Dzieje się tak, ponieważ program VSAPI uzyskuje dostęp do każdejczęści wiadomości osobno (treść, załącznik). Oznacza to, że reguły są kolejno stosowane osobno wobec każdejczęści. Reguły są również stosowane podczas skanowania w tle (np. powtórzone skanowanie skrzynekpocztowych po aktualizacji bazy danych sygnatur wirusów), co także może zwiększyć wartość licznika reguł.

Dodaj — umożliwia dodanie nowej reguły.Edytuj — umożliwia zmodyfikowanie istniejącej reguły.Usuń — umożliwia usunięcie zaznaczonej reguły.Wyczyść — umożliwia wyczyszczenie licznika reguł (kolumny Numer).Przenieś w górę — przenosi wybraną regułę w górę listy.Przenieś w dół — przenosi wybraną regułę w dół listy.

Usunięcie zaznaczenia pola wyboru (widocznego po lewej stronie nazwy każdej reguły) dezaktywuje bieżącąregułę. Umożliwia to ponowne aktywowanie reguły w razie konieczności.

UWAGA: podczas konfigurowania reguł można także używać zmiennych systemowych (np. %PATHEXT%).

UWAGA: w przypadku dodania nowej lub zmodyfikowania istniejącej reguły automatycznie zostanie uruchomioneponowne skanowanie wiadomości za pomocą nowej/zmodyfikowanej reguły.

23

3.1.2.1 Dodawanie nowych reguł

Ten kreator prowadzi użytkownika przez proces dodawania zdefiniowanych przez niego reguł zawierającychpołączone warunki.

UWAGA: W przypadku skanowania wiadomości przez agenta transportu nie są stosowane wszystkie warunki.

Według docelowej skrzynki pocztowej — dotyczy nazwy skrzynki pocztowej (VSAPI)Według odbiorcy wiadomości — dotyczy wiadomości wysłanej do określonego odbiorcy (VSAPI + TA)Według nadawcy wiadomości — dotyczy wiadomości wysłanej przez określonego nadawcę (VSAPI + TA)Według tematu wiadomości — dotyczy wiadomości o określonym temacie (VSAPI + TA)Według treści wiadomości — dotyczy wiadomości, której treść zawiera określony tekst (VSAPI)Według nazwy załącznika — dotyczy wiadomości z załącznikiem o określonej nazwie (VSAPI)Według rozmiaru załącznika — dotyczy wiadomości, w przypadku której rozmiar załącznika przekraczaokreśloną wartość (VSAPI)Według częstotliwości występowania — dotyczy obiektów (treści lub załącznika wiadomości e-mail), którychliczba wystąpień w określonym przedziale czasu przekracza ustalony limit (VSAPI + TA). Jest to przydatnezwłaszcza w przypadku częstego otrzymywania spamu o takiej samej treści bądź z takim samym załącznikiem.

Jeśli nie włączono opcji Tylko całe wyrazy, podczas określania wymienionych powyżej warunków (z wyjątkiemwarunku Według rozmiaru załącznika) wystarczy wpisać jedynie fragment tekstu. Jeśli nie włączono opcjiUwzględniaj wielkość liter, wielkość liter nie jest uwzględniana podczas wprowadzania wartości. W przypadkustosowania wartości innych niż alfanumeryczne należy używać nawiasów i cudzysłowów. Warunki można teżtworzyć z użyciem operatorów logicznych AND, OR i NOT.

UWAGA: Lista dostępnych reguł zależy od zainstalowanej wersji oprogramowania Microsoft Exchange Server.

UWAGA: Oprogramowanie Microsoft Exchange Server 2000 (VSAPI 2.0) ocenia jedynie wyświetloną nazwęnadawcy/odbiorcy, a nie adres e-mail. Adresy e-mail są oceniane w oprogramowaniu Microsoft Exchange Server2003 (VSAPI 2.5) i w jego nowszych wersjach.

Przykłady wprowadzania warunków:Według docelowejskrzynki pocztowej:

kowalski

Według nadawcywiadomości e-mail:

kowalski@poczta.pl

Według odbiorcywiadomości e-mail:

"J. Kowalski" OR "kowalski@poczta.pl"

Według tematuwiadomości e-mail:

" "

Według nazwyzałącznika:

".com" OR ".exe"

24

Według treściwiadomości e-mail:

("bezpłatny" OR "loteria") AND ("wygraj" OR "kup")

3.1.2.2 Czynności podej mowane przy stosowaniu reguł

Ta sekcja umożliwia wybieranie czynności wykonywanych w odniesieniu do wiadomości i/lub załącznikówspełniających warunki określone w regułach. Można nie wykonywać żadnej czynności, oznaczyć wiadomość tak,jakby była zagrożeniem/spamem, lub usunąć całą wiadomość. Skanowanie za pomocą modułów antywirusowychlub ochrony przed spamem nie jest uruchamiane domyślnie, gdy wiadomość lub jej załącznik spełnia warunkiokreślone w regule. Aby tak się działo, należy zaznaczyć odpowiednie pola wyboru dostępne poniżej (czynnośćwykonywana w takiej sytuacji będzie zależeć od ustawień ochrony antywirusowej i ochrony przed spamem).

Brak czynności — nie zostanie podjęta żadna czynność wobec wiadomości.Wykonaj czynność dotyczącą niewyleczonego zagrożenia — wiadomość zostanie oznaczona jako zawierającaniewyleczone zagrożenie (niezależnie od tego, czy zawierała zagrożenie, czy nie).Wykonaj czynność dotyczącą niepożądanych wiadomości e-mail — wiadomość zostanie oznaczona jakospam (niezależnie od tego, czy faktycznie jest spamem, czy nie). Ta opcja jest niedostępna, jeśli użytkownikkorzysta z programu ESET Mail Security bez modułu ochrony przed spamem.Usuń wiadomość — spowoduje usunięcie całej wiadomości zawierającej treść, która spełnia warunki reguł.

Poddaj plik kwarantannie — załączniki zostaną przeniesione do kwarantanny.UWAGA: Tej opcji nie należy mylić z kwarantanną wiadomości (więcej informacji można znaleźć w rozdzialeKwarantanna wiadomości ).

Prześlij plik do analizy — wysyła podejrzane załączniki do laboratorium firmy ESET, gdzie są one poddawaneanalizie.Wyślij powiadomienie o zdarzeniu — wysyła powiadomienie do administratora (na podstawie ustawieńwybranych w obszarze Narzędzia > Alerty i powiadomienia).Dziennik — zapisuje w dzienniku programu informacje o zastosowanej regule.Oceń inne reguły — umożliwia ocenę innych reguł, pozwalając użytkownikowi definiować wiele zestawówwarunków oraz wiele czynności, które mogą być wykonywane zależnie od warunków.Skanuj za pomocą ochrony antywirusowej i antyspyware — powoduje skanowanie wiadomości i jejzałączników pod kątem zagrożeń.Skanuj za pomocą ochrony przed spamem — skanuje wiadomości pod kątem spamu.

UWAGA: Ta opcja jest dostępna tylko w oprogramowaniu Microsoft Exchange Server w wersji 2000 lub nowszej,gdy włączono agenta transportu.

Ostatni krok w kreatorze tworzenia nowej reguły polega na nadaniu każdej utworzonej regule nazwy. Można takżedodać Komentarz do reguły. Ta informacja zostanie zapisana w dzienniku oprogramowania Microsoft ExchangeServer.

26

25

3.1.3 Pliki dziennika

Ustawienia plików dziennika pozwalają określić, jak długo będzie tworzony plik dziennika. Bardziej szczegółowyprotokół może zawierać więcej informacji, ale również obniżać wydajność serwera.

Po włączeniu opcji Zsynchronizowany zapis bez używania pamięci podręcznej wszystkie wpisy dziennika sązapisywane natychmiast w pliku dziennika bez zapisywania w jego pamięci podręcznej. Domyślnie komponentyprogramu ESET Mail Security uruchomione w oprogramowaniu Microsoft Exchange Server zapisują wiadomościdziennika w swojej pamięci podręcznej i, w celu utrzymania wydajności, przesyłają je do dziennika aplikacji wokreślonych odstępach czasu. W takim przypadku wpisy diagnostyczne dziennika mogą jednak nie mieć właściwejkolejności. Zaleca się wyłączenie tego ustawienia, chyba że jest ono wymagane do diagnostyki. Rodzaj informacjizapisywanych w plikach dziennika można określić w menu Zawartość.

Rejestruj stosowanie reguł — po włączeniu tej opcji program ESET Mail Security zapisuje w pliku dziennikanazwy wszystkich aktywowanych reguł.

Rejestruj wyniki spamu — użycie tej opcji powoduje rejestrowanie czynności związanych ze spamem wDzienniku ochrony przed spamem . Gdy serwer pocztowy odbiera wiadomość będącą spamem, informacja naten temat jest zapisywana w dzienniku. Zawiera ona takie dane, jak Godzina/Data, Nadawca, Odbiorca, Temat,Wynik spamu, Powód oraz Czynność. Są one przydatne w razie konieczności sprawdzenia, jakie wiadomościspamu zostały odebrane, kiedy to nastąpiło oraz jakie czynności wykonano.

Rejestruj operacje użycia szarej listy — włączenie tej opcji spowoduje zapisywanie czynności związanych zszarą listą w Dzienniku szarej listy . Zawiera on takie dane jak Godzina/Data, Domena HELO, Adres IP,Nadawca, Odbiorca, Czynność itp.UWAGA: ta opcja działa tylko po włączeniu szarej listy za pomocą ustawień Agenta transportu dostępnych powybraniu kolejno opcji Ochrona serwera > Ochrona przed spamem > Microsoft Exchange Server > Agenttransportu w drzewie ustawień zaawansowanych (F5).

Rejestruj wydajność — rejestruje informacje na temat przedziału czasu wykonywanego zadania, rozmiaruskanowanego obiektu, szybkości transferu (KB/s) oraz oceny wydajności.

Rejestruj informacje diagnostyczne — rejestruje informacje diagnostyczne niezbędne do dostosowywaniaprogramu pod kątem protokołu. Ta opcja służy głównie do debugowania oraz wykrywania problemów. Niezaleca się włączania tej opcji. Aby zobaczyć informacje diagnostyczne udostępniane przez tę funkcję, należyustawić opcję Minimalna szczegółowość zapisów w dzienniku jako Rekordy diagnostyczne , wybierając kolejno

83

83

39

26

opcje Narzędzia > Pliki dziennika > Minimalna szczegółowość zapisów w dzienniku.

3.1.4 Kwarantanna wiadomości

Kwarantanna wiadomości to specjalna skrzynka pocztowa zdefiniowana przez administratora systemu w celuprzechowywania potencjalnie zainfekowanych wiadomości i spamu. Wiadomości poddane kwarantannie możnaprzeanalizować lub wyleczyć w późniejszym czasie przy użyciu nowszej bazy sygnatur wirusów.

Dostępne są dwa rodzaje systemów kwarantanny wiadomości.

Można korzystać z systemu kwarantanny oprogramowania Microsoft Exchange (dostępny tylko w wersji MicrosoftExchange Server 2007/2010). W tym przypadku do przechowywania potencjalnie zainfekowanych wiadomościoraz spamu używany jest wewnętrzny mechanizm oprogramowania Exchange. Dodatkowo, jeśli zajdzie takapotrzeba, można dodać osobną skrzynkę pocztową wiadomości kwarantanny (lub kilka takich skrzynek) napotrzeby poszczególnych odbiorców. W wyniku tego potencjalnie zainfekowane wiadomości, które początkowozostały wysłane do konkretnego odbiorcy, zostaną dostarczone do osobnej skrzynki pocztowej wiadomościkwarantanny, a nie do wewnętrznej skrzynki pocztowej wiadomości kwarantanny programu Exchange. Wniektórych przypadkach może to pomóc w porządkowaniu potencjalnie zarażonych wiadomości oraz spamu.

Oprócz tego jest dostępna funkcja Wspólna kwarantanna wiadomości. Użytkownicy wcześniejszych wersjioprogramowania Microsoft Exchange Server (5.5, 2000 lub 2003) mogą wybrać opcję Wspólna kwarantannawiadomości, tzn. skrzynkę pocztową, która będzie używana do przechowywania potencjalnie zainfekowanychwiadomości. W takim przypadku system wewnętrznej kwarantanny oprogramowania Exchange nie jest używany.Zamiast niego jest w tym celu stosowana skrzynka pocztowa określona przez administratora systemu. Tak jak wprzypadku pierwszej opcji, można dodać osobną skrzynką pocztową kwarantanny (lub kilka takich skrzynekpocztowych) na potrzeby poszczególnych odbiorców. W wyniku tego potencjalnie zainfekowane wiadomości sądostarczane do osobnej skrzynki pocztowej, a nie do wspólnej kwarantanny wiadomości.

27

Wspólna kwarantanna wiadomości — w tym miejscu można określić adres wspólnej kwarantanny wiadomości(np. glowna_kwarantanna@firma.com). Można też używać systemu wewnętrznej kwarantannyoprogramowania Microsoft Exchange Server 2007/2010 — aby to zrobić, należy pozostawić to pole puste iwybrać w dostępnym na dole menu rozwijanym opcję Przenieś wiadomość do kwarantanny systemu serwerapocztowego (o ile kwarantanna oprogramowania Exchange jest dostępna w danym środowisku). Następniewiadomości e-mail są dostarczane do wewnętrznego mechanizmu kwarantanny oprogramowania Exchange zapomocą jego własnych ustawień.UWAGA: Domyślnie, wewnętrzna kwarantanna nie jest aktywowana w oprogramowaniu Exchange. Aby jąaktywować, należy otworzyć powłokę zarządzania serwerem Exchange i wpisać następujące polecenie: Set-ContentFilterConfig -QuarantineMailbox nazwa@domena.com (zapis nazwa@domena.com należy zastąpić adresem skrzynki pocztowej, której oprogramowanie MicrosoftExchange ma używać jako skrzynki pocztowej wewnętrznej kwarantanny, na przykład kwarantannaexchange@firma.com).

Kwarantanna wiadomości wg odbiorcy — ta opcja pozwala określać skrzynki pocztowe wiadomościkwarantanny dla wielu odbiorców. Każdą regułę kwarantanny można włączać i wyłączać, zaznaczając polewyboru widoczne w jej wierszu lub usuwając jego zaznaczenie.

Dodaj — pozwala dodawać nowe reguły kwarantanny poprzez wprowadzenie odpowiedniego adresue-mail odbiorcy oraz adresu e-mail kwarantanny, na który będą przekazywane wiadomości e-mail.Edytuj — umożliwia edytowanie wybranej reguły kwarantanny.Usuń — umożliwia usunięcie wybranej reguły kwarantanny.

Preferuj wspólną kwarantannę wiadomości — po włączeniu tej opcji wiadomość zostaniedostarczona do określonej wspólnej kwarantanny, o ile zostały spełnione warunki więcej niż jednejreguły kwarantanny (np. jeśli wiadomość ma wielu odbiorców i część z nich jest zdefiniowanych wwielu regułach kwarantanny).

Wiadomość przeznaczona dla kwarantanny wiadomości nieistniejących (jeśli nie określono wspólnejkwarantanny wiadomości, dostępne są następujące opcje czynności podejmowanych wobec potencjalniezarażonych wiadomości oraz spamu) Brak czynności — wiadomość zostanie przetworzona w standardowy sposób, czyli dostarczona do odbiorcy(niezalecane).Usuń wiadomość — wiadomość zostanie usunięta, jeśli jest zaadresowana do odbiorcy, dla którego niezdefiniowano żadnej reguły kwarantanny ani nie wybrano wspólnej kwarantanny wiadomości. Oznacza to, żewszystkie potencjalnie zarażone wiadomości oraz spam będą automatycznie usuwane i nie będą nigdziezapisywane.Przenieś wiadomość do kwarantanny systemu serwera pocztowego — wiadomość zostanie dostarczona dosystemu wewnętrznej kwarantanny programu Exchange i zapisana w nim (opcja niedostępna woprogramowaniu Microsoft Exchange Server 2003 ani w jego wcześniejszych wersjach)

UWAGA: Przy konfigurowaniu ustawień kwarantanny wiadomości można też korzystać ze zmiennychsystemowych (np. %USERNAME%).

3.1.4.1 Dodawanie nowej reguły kwarantanny

W odpowiednich polach należy podać żądany adres e-mail odbiorcy oraz żądany adres e-mail kwarantanny.

Aby usunąć wiadomość e-mail zaadresowaną do odbiorcy, w odniesieniu do którego nie zastosowano regułykwarantanny, należy wybrać opcję Usuń wiadomość z menu rozwijanego Wiadomość przeznaczona dlakwarantanny wiadomości nieistniejących.

28

3.1.5 Wydaj ność

Aby zwiększyć wydajność programu, można zdefiniować w tej sekcji folder, w którym będą przechowywane plikitymczasowe. Jeśli nie zostanie wybrany żaden folder, program ESET Mail Security będzie tworzyć pliki tymczasowew folderze tymczasowym systemu.

UWAGA: Aby ograniczyć potencjalny wpływ na operacje we/wy oraz fragmentację, nie zaleca się umieszczaniafolderu tymczasowego na tym samym dysku twardym, na którym zainstalowano oprogramowanie MicrosoftExchange Server. Zdecydowanie nie należy tworzyć folderu tymczasowego na nośniku wymiennym, takim jakdyskietka, pamięć USB, dysk DVD itp.

UWAGA: Ustawienia wydajności można konfigurować za pomocą zmiennych systemowych (np. %SystemRoot%\TEMP).

3.2 Ustawienia ochrony antywirusowej i antyspyware

Aby włączyć ochronę antywirusową i antyspyware serwera poczty e-mail, należy wybrać opcję Włącz ochronęantywirusową i antyspyware serwera. Ochrona antywirusowa i antyspyware jest włączana automatycznie pokażdym ponownym uruchomieniu usługi/komputera. Ustawienia parametrów aparatu ThreatSense są dostępnepo kliknięciu przycisku Ustawienia.

29

3.2.1 Microsoft Exchange Server

W zakresie ochrony antywirusowej i ochrony przed spamem w programie ESET Mail Security dla oprogramowaniaMicrosoft Exchange Server są stosowane dwa rodzaje skanowania. Pierwszy z nich to skanowanie wiadomości zapośrednictwem programu VSAPI, a drugi to skanowanie za pomocą agenta transportu.

Po włączeniu ochrony za pomocą programu VSAPI wiadomości są skanowane bezpośrednio w magazynieserwera Exchange.

W przypadku włączenia ochrony za pomocą agenta transportu skanowana jest komunikacja SMTP, a nie sammagazyn serwera Exchange. Po włączeniu ochrony tego typu wszystkie wiadomości oraz ich składniki sąskanowane podczas transportu — zanim dotrą do magazynu serwera Exchange lub zostaną wysłane za pomocąprotokołu SMTP. Filtrowanie SMTP na poziomie serwera jest chronione za pomocą specjalnego dodatku. Woprogramowaniu Microsoft Exchange Server 2000 i 2003 ten dodatek (Event Sink) jest zarejestrowany naserwerze SMTP jako składnik usług IIS (Internet Information Services). W oprogramowaniu Microsoft ExchangeServer 2007/2010 dodatek jest zarejestrowany jako agent transportu w rolach Granica lub Centrumoprogramowania Microsoft Exchange Server.

UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5, natomiast możnaz niego korzystać we wszystkich nowszych wersjach oprogramowania Microsoft Exchange Server (od wersji 2000).

Istnieje możliwość jednoczesnego włączenia ochrony antywirusowej i ochrony przed spamem za pomocąprogramu VSAPI oraz agenta transportu — jest to konfiguracja domyślna i zalecana. Użytkownik może równieżwybrać tylko jeden rodzaj ochrony (za pomocą programu VSAPI lub agenta transportu). Mogą być one włączane iwyłączane niezależnie od siebie. Zaleca się stosowanie obu rodzajów ochrony, ponieważ gwarantuje tomaksymalną ochronę antywirusową i przed spamem. Wyłączenie obu rodzajów ochrony nie jest zalecane.

3.2.1.1 VSAPI (Virus-Scanning Application Programming Interface)

Platforma Microsoft Exchange Server udostępnia mechanizm gwarantujący, że każdy komponent wiadomości jestskanowany przy użyciu zaktualizowanej bazy sygnatur wirusów. Jeśli wiadomość nie była skanowana wcześniej, jejodpowiednie komponenty są przesyłane do skanera przed wysłaniem wiadomości do klienta. Każda obsługiwanawersja platformy Microsoft Exchange Server (5.5/2000/2003/2007/2010) udostępnia inną wersję interfejsu VSAPI.

3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0)

Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 1.0.

Włączenie opcji Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle. OprogramowanieMicrosoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jakaktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Serverzachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadkuotwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów,oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jejprzeskanowania przed otwarciem w programie poczty e-mail.

Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdejaktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny pozaczasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarzeHarmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jegorozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniuzadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik możeusunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry.

29

35

30

3.2.1.1.1.1 Czynności

W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika.

Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuńwiadomość lub Brak czynności dotyczącej zainfekowanej zawartości wiadomości. Ta czynność będzie stosowanatylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można jąwłączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie ).

Pole Usunięcie pozwala określić, jaka Metoda usuwania załącznika będzie stosowana dla każdej z tych opcji:

Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości,pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika.Zastąp załącznik informacjami o czynnościach — program ESET Mail Security zastępuje zainfekowany plikprotokołem wirusa lub opisem reguły

Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, którezostały przeskanowane wcześniej.

3.2.1.1.1.2 Wydaj ność

Podczas skanowania oprogramowanie Microsoft Exchange Server umożliwia ustalenie limitu czasu otwieraniazałączników wiadomości. Wartość wpisana w polu Limit czasu odpowiedzi (ms) określa, po jakim czasie programponawia próbę uzyskania dostępu do pliku, który wcześniej był niedostępny z powodu skanowania.

3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0)

Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.0.

Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.0dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzieon jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadalskanowane pod kątem spamu , będą również wobec nich stosowane reguły .

Po włączeniu opcji Skanowanie prewencyjne nowe wiadomości przychodzące będą skanowane w kolejnościodebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość tazostanie zeskanowana przed innymi wiadomościami w kolejce.

Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. OprogramowanieMicrosoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jakaktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Serverzachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadkuotwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów,oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jejprzeskanowania przed otwarciem w programie poczty e-mail.

Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdejaktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny pozaczasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarzeHarmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jegorozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniuzadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik możeusunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry.

Aby skanować wiadomości w formacie tekstowym, należy wybrać opcję Skanuj treść wiadomości tekstowych.

Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treśćwiadomości w formacie RTF może zawierać makrowirusy.

66

39 22

31

3.2.1.1.2.1 Czynności

W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika.

Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zarażoną zawartość, Usuńwiadomość lub Brak czynności dotyczącej zainfekowanej zawartości wiadomości. Ta czynność będzie stosowanatylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia (można jąwłączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie ).

Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania wiadomości i Metoda usuwania załącznika.

Metoda usuwania wiadomości może mieć wartość:

Usuń treść wiadomości — powoduje usunięcie treści zainfekowanej wiadomości. Odbiorca otrzyma pustąwiadomość oraz wszystkie niezainfekowane załączniki.Przepisz treść wiadomości z informacjami o czynnościach — powoduje przepisanie treści zainfekowanejwiadomości oraz dodanie informacji o wykonanych czynnościach.

Pole Metoda usuwania załącznika może mieć wartość:

Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości,pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika.Zastąp załącznik informacjami o czynnościach — program ESET Mail Security zastępuje zainfekowany plikprotokołem wirusa lub opisem reguły

Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, którezostały przeskanowane wcześniej.

3.2.1.1.2.2 Wydaj ność

W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczbawątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcianajwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologiiThreatSense i wątków skanowania.

Opcja Limit czasu odpowiedzi (s) pozwala wybrać maksymalny czas oczekiwania wątku na zakończenieskanowania wiadomości. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu,oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości e-mail. Skanowanie niezostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu.

PORADA:: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania MicrosoftExchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x 2 + 1.

UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrostwydajności nie będzie znaczący.

3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5)

Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.5.

Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.5dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzieon jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadalskanowane pod kątem spamu , będą również wobec nich stosowane reguły .

Po włączeniu opcji Skanowanie prewencyjne nowe wiadomości przychodzące będą skanowane w kolejnościodebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość tazostanie zeskanowana przed innymi wiadomościami w kolejce.

66

39 22

32

Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. OprogramowanieMicrosoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jakaktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Serverzachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadkuotwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów,oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jejprzeskanowania przed otwarciem w programie poczty e-mail.

Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdejaktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny pozaczasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarzeHarmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jegorozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniuzadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik możeusunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry.

Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treśćwiadomości w formacie RTF może zawierać makrowirusy.

Opcja Skanuj przesyłane wiadomości umożliwia skanowanie wiadomości, które nie są przechowywane nalokalnym serwerze Microsoft Exchange Server, ale są za jego pomocą dostarczane do innych serwerów poczty e-mail. Oprogramowanie Microsoft Exchange Server może zostać skonfigurowane jako brama, a następnieprzekazywać wiadomości do innych serwerów poczty e-mail. Po włączeniu skanowania przesyłanych wiadomościprogram ESET Mail Security skanuje również te wiadomości. Ta opcja jest dostępna tylko po wyłączeniu agentatransportu.

UWAGA: program VSAPI nie skanuje treści wiadomości tekstowych.

3.2.1.1.3.1 Czynności

W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika.

Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zainfekowaną zawartość, Usuńzainfekowaną zawartość wiadomości, Usuń całą wiadomość łącznie z zainfekowaną zawartością lub Brakczynności. Ta czynność będzie stosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcjęautomatycznego leczenia (można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense> Leczenie ).

Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania wiadomości i Metoda usuwania załącznika.

Metoda usuwania wiadomości może mieć wartość:

Usuń treść wiadomości — powoduje usunięcie treści zainfekowanej wiadomości. Odbiorca otrzyma pustąwiadomość oraz wszystkie niezainfekowane załączniki. Przepisz treść wiadomości z informacjami o czynnościach — powoduje przepisanie treści zainfekowanejwiadomości oraz dodanie informacji o wykonanych czynnościach.Usuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynnośćwykonywaną podczas usuwania załączników.

Pole Metoda usuwania załącznika może mieć wartość:

Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości,pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika.Zastąp załącznik informacjami o czynnościach — program ESET Mail Security zastępuje zainfekowany plikprotokołem wirusa lub opisem regułyUsuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynnośćwykonywaną podczas usuwania załączników.

Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, którezostały przeskanowane wcześniej.

66

33

3.2.1.1.3.2 Wydaj ność

W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczbawątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcianajwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologiiThreatSense i wątków skanowania.

Opcja Limit czasu odpowiedzi (s) pozwala wybrać maksymalny czas oczekiwania wątku na zakończenieskanowania wiadomości. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu,oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości e-mail. Skanowanie niezostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu.

PORADA: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania MicrosoftExchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x 2 + 1.

UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrostwydajności nie będzie znaczący.

3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6)

Ta wersja oprogramowania Microsoft Exchange Server zawiera program VSAPI w wersji 2.6.

Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez program VSAPI 2.6dodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzieon jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadalskanowane pod kątem spamu , będą również wobec nich stosowane reguły .

Po włączeniu opcji Skanowanie prewencyjne nowe wiadomości przychodzące będą skanowane w kolejnościodebrania. Jeśli po zaznaczeniu tej opcji użytkownik otworzy jeszcze niezeskanowaną wiadomość, wiadomość tazostanie zeskanowana przed innymi wiadomościami w kolejce.

Opcja Skanowanie w tle umożliwia skanowanie wszystkich wiadomości w tle systemu. OprogramowanieMicrosoft Exchange Server decyduje o uruchomieniu skanowania w tle na podstawie różnych czynników, takich jakaktualne obciążenie systemu, liczba aktywnych użytkowników itd. Oprogramowanie Microsoft Exchange Serverzachowuje rejestr przeskanowanych wiadomości oraz wersji użytej bazy sygnatur wirusów. W przypadkuotwierania wiadomości, która nie została przeskanowana za pomocą najbardziej aktualnej bazy sygnatur wirusów,oprogramowanie Microsoft Exchange Server wysyła tę wiadomość do programu ESET Mail Security w celu jejprzeskanowania przed otwarciem w programie poczty e-mail. Można wybrać opcję Skanuj tylko wiadomości zzałącznikami i filtrować wiadomości na podstawie czasu ich odebrania za pomocą następujących opcji Poziomskanowania:

Wszystkie wiadomościWiadomości otrzymane w ostatnim rokuWiadomości otrzymane w ciągu ostatnich 6 miesięcyWiadomości otrzymane w ciągu ostatnich 3 miesięcyWiadomości otrzymane w ciągu ostatniego miesiącaWiadomości otrzymane w ciągu ostatniego tygodnia

Ponieważ skanowanie w tle może mieć wpływ na obciążenie systemu (skanowanie jest wykonywane po każdejaktualizacji bazy sygnatur wirusów), zaleca się ustalenie harmonogramu skanowania obejmującego godziny pozaczasem pracy. Zaplanowane skanowanie w tle można skonfigurować za pomocą specjalnego zadania w obszarzeHarmonogram/Plan. Podczas planowania zadania skanowania w tle można skonfigurować godzinę jegorozpoczęcia, liczbę powtórzeń oraz inne parametry dostępne w obszarze Harmonogram/Plan. Po zakończeniuzadanie pojawi się na liście zaplanowanych zadań. Podobnie jak w przypadku innych zadań użytkownik możeusunąć to zadanie, tymczasowo je wyłączyć oraz zmodyfikować jego parametry.

Włączenie opcji Skanuj treści wiadomości RTF aktywuje skanowanie treści wiadomości w formacie RTF. Treśćwiadomości w formacie RTF może zawierać makrowirusy.

UWAGA: Program VSAPI nie skanuje treści wiadomości tekstowych.

39 22

34

3.2.1.1.4.1 Czynności

W tej sekcji można określić czynności wykonywane w przypadku wykrycia infekcji wiadomości i/lub załącznika.

Pole Czynność w razie niemożności wyczyszczenia pozwala wybrać opcję Blokuj zainfekowaną zawartość, Usuńobiekt, czyli zainfekowaną zawartość wiadomości, Usuń całą wiadomość lub Brak czynności. Ta czynność będziestosowana tylko w przypadku, gdy wiadomość nie została wyleczona przez funkcję automatycznego leczenia(można ją włączyć, wybierając opcję Ustawienia parametrów technologii ThreatSense > Leczenie ).

Zgodnie z powyższym opisem dla ustawienia Czynność w razie niemożności wyczyszczenia można wybraćnastępujące opcje:

Brak czynności — nie jest wykonywana żadna czynność względem zainfekowanej zawartości wiadomości.Blokuj — powoduje blokowanie wiadomości zanim zostanie ona odebrana przez magazyn oprogramowaniaMicrosoft Exchange Server.Usuń obiekt — powoduje usunięcie zainfekowanej zawartości wiadomościUsuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z zainfekowaną zawartością

Opcja Usunięcie pozwala wybrać ustawienie Metoda usuwania treści wiadomości i Metoda usuwaniazałącznika.

Pole Metoda usuwania treści wiadomości może mieć wartość:

Usuń treść wiadomości — powoduje usunięcie treści zainfekowanej wiadomości. Odbiorca otrzyma pustąwiadomość oraz wszystkie niezainfekowane załączniki. Przepisz treść wiadomości z informacjami o czynnościach — powoduje przepisanie treści zainfekowanejwiadomości oraz dodanie informacji o wykonanych czynnościach.Usuń całą wiadomość — powoduje usunięcie całej wiadomości łącznie z załącznikami. Można ustawić czynnośćwykonywaną podczas usuwania załączników.

Pole Metoda usuwania załącznika może mieć wartość:

Obetnij plik do zerowej długości — program ESET Mail Security obcina załącznik do zerowej długości,pozwalając odbiorcy zobaczyć nazwę i typ pliku załącznika.Zastąp załącznik informacjami o czynnościach — program ESET Mail Security zastępuje zainfekowany plikprotokołem wirusa lub opisem regułyUsuń całą wiadomość — powoduje usunięcie załącznika.

Jeśli włączono opcję Używaj kwarantanny systemu VSAPI, zainfekowane wiadomości będą zapisywane wkwarantannie serwera poczty e-mail. Należy pamiętać, że jest to kwarantanna programu VSAPI zarządzana przezserwer (a nie kwarantanna programu ani skrzynka pocztowa wiadomości kwarantanny). Zainfekowanewiadomości zapisane w kwarantannie serwera poczty są niedostępne do momentu wyleczenia za pomocąnajnowszej bazy danych sygnatur wirusów.

Klikając przycisk Przeskanuj ponownie, można uruchomić ponowne skanowanie wiadomości i plików, którezostały przeskanowane wcześniej.

3.2.1.1.4.2 Wydaj ność

W tej sekcji można ustawić liczbę niezależnych wątków skanowania używanych jednocześnie. Większa liczbawątków na komputerach z wieloma procesorami może zwiększyć wskaźnik wykrywalności. W celu osiągnięcianajwyższej wydajności programu zaleca się użycie takiej samej liczby aparatów skanowania technologiiThreatSense i wątków skanowania.

PORADA: aby ustalić, jaka Liczba wątków skanowania jest zalecana przez dostawcę oprogramowania MicrosoftExchange Server, można użyć następującego wzoru: [liczba fizycznych procesorów] x 2 + 1.

UWAGA: Jeśli liczba aparatów skanowania technologii ThreatSense przekroczy liczbę wątków skanowania, wzrostwydajności nie będzie znaczący.

66

35

3.2.1.1.5 Agent transportu

W tej sekcji można włączać lub wyłączać ochronę antywirusową i ochronę przed spamem zapewnianą przezagenta transportu. W przypadku oprogramowania Microsoft Exchange Server 2007 i jego nowszych wersji agentatransportu można zainstalować tylko w sytuacji, gdy serwer działa w jednej z następujących ról: Transport granicznylub Transport centralny.

Wiadomości, których nie można wyleczyć, są przetwarzane zgodnie z ustawieniami w sekcji Agent transportu.Wiadomość może zostać usunięta, wysłana do skrzynki pocztowej wiadomości kwarantanny lub zachowana.

Po usunięciu zaznaczenia pola wyboru Włącz ochronę antywirusową i antyspyware przez agenta transportudodatek ESET Mail Security dla serwera Exchange zostanie usunięty z procesu serwera Microsoft Exchange. Będzieon jedynie przekazywać wiadomości, nie skanując ich w poszukiwaniu wirusów. Wiadomości będą jednak nadalskanowane pod kątem spamu , będą również wobec nich stosowane reguły .

Po wybraniu opcji Włącz ochronę antywirusową i antyspyware przez agenta transportu można także określićCzynność w razie niemożności wyczyszczenia:

Zachowaj wiadomość — powoduje zachowanie zainfekowanej wiadomości, która nie mogła zostać wyleczonaPoddaj wiadomość kwarantannie — powoduje wysłanie zainfekowanej wiadomości do skrzynki pocztowejwiadomości kwarantannyUsuń wiadomość — powoduje usunięcie zainfekowanej wiadomości.

Po znalezieniu zagrożeń zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości (%) — umożliwiaustawienie określonej wartości wyniku spamu (prawdopodobieństwa, że wiadomość jest spamem) wyrażonej wprocentach

Oznacza to, że w przypadku znalezienia zagrożenia wynik spamu (określona wartość w procentach) jestzapisywany w przeskanowanej wiadomości. Ponieważ większość zainfekowanych wiadomości wysyłają grupykomputerów zarażonych złośliwym oprogramowaniem (tzw. botnety), wiadomości dystrybuowane w ten sposóbsą uznawane za spam. Aby ta funkcja działała skutecznie, należy włączyć opcję Zapisuj poziom ufności filtrówspamu (SCL) w nagłówkach zeskanowanych wiadomości na podstawie wyniku spamu, wybierając kolejnoopcje Ochrona serwera > Microsoft Exchange Server > Agent transportu .

Jeśli opcja Skanuj również wiadomości otrzymane za pośrednictwem połączeń uwierzytelnionych iwewnętrznych jest włączona, program ESET Mail Security skanuje także wiadomości odebrane z

39 22

20

36

uwierzytelnionych źródeł lub serwerów lokalnych. Skanowanie takich wiadomości nie jest konieczne, ale jestzalecane, ponieważ dodatkowo zwiększa ochronę.

3.2.2 Czynności

W tej sekcji można wybrać dołączanie identyfikatora zadania skanowania i/lub informacji na temat wynikuskanowania w nagłówku skanowanych wiadomości.

3.2.3 Alerty i powiadomienia

Program ESET Mail Security umożliwia dodawanie tekstu do oryginalnych tematów lub treści zainfekowanychwiadomości.

37

Dodaj do treści zeskanowanej wiadomości — to pole udostępnia trzy opcje:

Nie dodawaj do żadnych wiadomościDodawaj tylko do zainfekowanych wiadomościDodawaj do wszystkich skanowanych wiadomości

Po włączeniu opcji Dodawaj do tematu zainfekowanych wiadomości program ESET Mail Security będziedodawać w temacie wiadomości e-mail oznaczenie, którego wartość określono w polu tekstowym Szablondodawany do tematu zainfekowanych wiadomości (wartość domyślna to [wirus %VIRUSNAME%]). Opisanepowyżej modyfikacje pozwalają zautomatyzować filtrowanie zarażonych wiadomości przez filtrowaniewiadomości e-mail z określonym tematem (jeśli program poczty e-mail obsługuje tę opcję) do osobnego folderu.

UWAGA: Dodając szablon do tematu wiadomości, można również używać zmiennych systemowych.

3.2.4 Wyłączenia automatyczne

Twórcy aplikacji i systemów operacyjnych przeznaczonych do serwerów zalecają w przypadku większości swoichproduktów wyłączanie zestawów krytycznych plików i folderów roboczych ze skanowania w poszukiwaniuwirusów. Skanowanie w poszukiwaniu wirusów może mieć niekorzystny wpływ na wydajność serwera, prowadzićdo konfliktów, a nawet przeszkadzać niektórym aplikacjom w uruchomieniu się na serwerze. Wyłączenia pomagająograniczyć do minimum ryzyko potencjalnych konfliktów i zwiększyć ogólną wydajność serwera, gdy jest na nimuruchomione oprogramowanie antywirusowe.Program ESET Mail Security wykrywa krytyczne aplikacje serwerowe i pliki serwerowych systemów operacyjnych,po czym automatycznie dodaje je do listy wyłączeń. Procesy/aplikacje serwerowe dodane do listy możnauaktywniać (domyślnie są właśnie aktywne), zaznaczając odpowiednie pola wyboru lub dezaktywować, usuwajączaznaczenie. Uzyskuje się w ten sposób następujące efekty:1) Jeśli wyłączenie aplikacji/systemu operacyjnego pozostanie aktywne, każdy z jej/jego krytycznych plików i

folderów znajdzie się na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochronakomputera > Antywirus i antyspyware > Wyłączenia). Przy każdorazowym uruchamianiu serwera systemprzeprowadza automatyczne sprawdzenie wyłączeń i przywraca wszystkie wyłączenia, które mogły zostaćusunięte z listy. Jest to zalecane ustawienie w sytuacji, gdy użytkownik chce mieć pewność, że zalecanewyłączenia automatyczne są zawsze aktywne.

2) Jeśli użytkownik zdezaktywuje wyłączenie aplikacji/systemu operacyjnego, jej/jego krytyczne pliki i folderypozostaną na liście plików wyłączonych ze skanowania (Ustawienia zaawansowane > Ochrona komputera >Antywirus i antyspyware > Wyłączenia). Nie będą one jednak automatycznie zaznaczane na liście Wyłączeniapo każdorazowym uruchomieniu serwera (patrz punkt 1 powyżej). To ustawienie jest zalecane dlazaawansowanych użytkowników, którzy zamierzają usunąć lub zmodyfikować niektóre wyłączeniastandardowe. Aby usunąć wyłączenia z listy bez ponownego uruchamiania serwera, należy skasować je z niejręcznie (Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware > Wyłączenia).

Opisane powyżej ustawienia nie mają wpływu na żadne wyłączenia wprowadzone ręcznie przez użytkownika zapośrednictwem opcji Ustawienia zaawansowane > Ochrona komputera > Antywirus i antyspyware >Wyłączenia.Automatyczne wyłączenia aplikacji/systemów operacyjnych przeznaczonych do serwerów są dobierane zgodnie zzaleceniami firmy Microsoft. Szczegółowe informacje można znaleźć pod następującymi adresami:http://support.microsoft.com/kb/822158http://support.microsoft.com/kb/245822http://support.microsoft.com/kb/823166http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspxhttp://technet.microsoft.com/en-us/library/bb332342.aspx

38

3.3 Ochrona przed spamem

W sekcji Ochrona przed spamem można włączać lub wyłączać ochronę zainstalowanego serwera poczty przedspamem, konfigurować ustawienia parametrów aparatu oraz ustawienia innych poziomów ochrony.

39

3.3.1 Microsoft Exchange Server

3.3.1.1 Agent transportu

W tej sekcji można ustawić opcje ochrony przed spamem za pomocą agenta transportu.

UWAGA: Agent transportu jest niedostępny w oprogramowaniu Microsoft Exchange Server 5.5.

Po wybraniu opcji Włącz ochronę przed spamem przez agenta transportu można wybrać jedną z poniższychopcji jako Czynność w odniesieniu do wiadomości zawierających spam:

Zachowaj wiadomość — wiadomość zostanie zachowana, nawet jeśli jest oznaczona jako spam Poddaj wiadomość kwarantannie — wiadomość oznaczona jako spam jest wysyłana do skrzynki pocztowejkwarantanny wiadomości.Usuń wiadomość — wiadomość oznaczona jako spam jest usuwana

Aby informacja o wyniku spamu wiadomości była dodawana w jej nagłówku, należy włączyć opcję Zapisuj wynikispamu w nagłówkach zeskanowanych wiadomości.

Funkcja Włącz szarą listę aktywuje funkcję, która chroni użytkowników przed spamem za pomocą następującejtechniki: Agent transportu wysyła zwracaną wartość serwera SMTP „tymczasowo odrzucono” (wartość domyślnato 451/4.7.1) w odpowiedzi na każdą wiadomość e-mail od nadawcy, którego nie rozpoznaje. Wiarygodny serwerpróbuje ponownie wysłać wiadomość po upływie określonego czasu. Serwery wysyłające spam zazwyczaj niepróbują ponownie dostarczać wiadomości, ponieważ jednocześnie wysyłają je na tysiące adresów i nie mogąpoświęcać dodatkowego czasu na ponowne dostarczanie Szara lista to dodatkowy sposób ochrony przed spamem.Nie wpływa ona w żaden sposób na metodę oceniania spamu przez moduł ochrony przed spamem.Podczas oceniania źródła wiadomości metoda sprawdza konfigurację list Zatwierdzone adresy IP, Ignorowaneadresy IP, Bezpieczni nadawcy i Dozwolone adresy IP serwera Exchange oraz ustawienia AntispamBypassskrzynki pocztowej odbiorcy. Wiadomości e-mail wysyłane z tych adresów IP bądź przez nadawców z listy orazwiadomości dostarczane do skrzynki pocztowej, w której włączono opcję AntispamBypass, są pomijane przezmetodę wykrywania spamu za pomocą szarej listy.

W polu Odpowiedź z usługi SMTP dla tymczasowo odrzuconych połączeń określona jest tymczasowaodpowiedź o odrzuceniu wysyłana do serwera SMTP w przypadku odrzucenia wiadomości.

40

Przykładowa odpowiedź serwera SMTP:

Podstawowy kododpowiedzi

Uzupełniający kod stanu Opis

451 4.7.1 Przerwano żądaną czynność: błąd lokalny podczasprzetwarzania

Ostrzeżenie: Nieprawidłowa składnia kodów odpowiedzi serwera SMTP może powodować błędne działanie ochronyza pomocą szarej listy. W wyniku tego do programu mogą docierać wiadomości będące spamem lub teżwiadomości mogą w ogóle nie być dostarczane.

Limit czasu dla początkowego odrzucania połączeń (w minutach) — gdy wiadomość jest dostarczana po razpierwszy i zostanie tymczasowo odrzucona, ten parametr definiuje okres, w trakcie którego wiadomość zawszezostanie odrzucona (czas jest mierzony od momentu pierwszego odrzucenia). Po upływie określonego czasuwiadomość jest pomyślnie odbierana. Minimalna dozwolona wartość to 1 minuta.

Okres ważności niezweryfikowanych połączeń (w godzinach) — ten parametr definiuje minimalny czas, przezktóry będą przechowywane dane trójki. Prawidłowo działający serwer musi wysłać ponownie żądaną wiadomośćprzed upływem tego czasu. Ta wartość musi być większa niż wartość Limit czasu dla początkowego odrzucaniapołączeń.

Okres ważności zweryfikowanych połączeń (w dniach) — minimalna liczba dni, przez które są przechowywaneinformacje trójki. W tym czasie wiadomości e-mail od określonego nadawcy są odbierane bez opóźnień. Ta wartośćmusi być większa niż wartość Okres ważności niezweryfikowanych połączeń.

UWAGA: Wysyłaną przez serwer SMTP odpowiedź o odrzuceniu można również skonfigurować za pomocązmiennych systemu.

3.3.2 Aparat antyspamowy

W tej sekcji można skonfigurować parametry Aparatu antyspamowego. Aby to zrobić, należy kliknąć przyciskKonfiguruj. Zostanie otwarte okno, w którym można konfigurować Parametry aparatu antyspamowego .

Klasyfikacja wiadomości

Aparat antyspamowy programu ESET Mail Security przypisuje do każdej zeskanowanej wiadomości wynik spamuod 0 do 100. Zmieniając w tej sekcji limity wyników spamu, można wpływać na następujące kwestie:

1) Klasyfikowanie wiadomości jako spam lub nie spam. Wszystkie wiadomości, których wynik spamu jest taki samjak wartość Wynik spamu powodujący uznanie wiadomości za spam lub wyższy, są uznawane za spam.Powoduje to stosowanie wobec tych wiadomości czynności określonych w Agencie transportu .

2) Rejestrowanie wiadomości w dzienniku ochrony przed spamem (Narzędzia > Pliki dziennika > Ochronaprzed spamem). Wszystkie wiadomości, których wynik spamu jest taki sam jak wartość Próg wyniku spamu,przy którym wiadomość będzie traktowana jako prawdopodobnie zawierająca spam lub prawdopodobnieczysta lub wyższy od niej, są rejestrowane w dzienniku.

3) Sekcja statystyki antyspamowej, do które będą zaliczane omawiane wiadomości (Stan ochrony > Statystyki >Ochrona serwera poczty e-mail przed spamem):

Wiadomości uznane za spam — wynik spamu wiadomości jest taki sam jak wartość Wynik spamu powodującyuznanie wiadomości za spam lub wyższy.

Wiadomości uznane za prawdopodobny spam — wynik spamu wiadomości jest taki sam jak wartość Prógwyniku spamu, przy którym wiadomość będzie traktowana jako prawdopodobnie zawierająca spam lubprawdopodobnie czysta lub wyższy.

Wiadomości uznane za prawdopodobne pożądane wiadomości — wynik spamu wiadomości jest niższy niżwartość Próg wyniku spamu, przy którym wiadomość będzie traktowana jako prawdopodobnie zawierającaspam lub prawdopodobnie czysta.

Wiadomości uznane za pożądane wiadomości — wynik spamu wiadomości jest taki sam jak wartość Wynik

41

39

83

41

spamu powodujący uznanie wiadomości za niezawierającą spamu lub niższy.

3.3.2.1 Ustawienia parametrów aparatu antyspamowego

Ustawienia parametrów aparatu antyspamowegoUżytkownik może wybrać profil z zestawu wstępnie skonfigurowanych profili (Zalecana, Najbardziej dokładna,Najszybsza, Zaawansowana). Lista profili jest wczytywana z modułu ochrony przed spamem. W wypadkukażdego z wymienionych profili wczytywane są inne ustawienia z pliku spamcatcher.conf oraz specyficznypodzestaw ustawień programu — inny dla każdego profilu. Nawet po wybraniu profilu Zaawansowana niektóreustawienia są stosowane bezpośrednio z programu, a nie z pliku spamcatcher.conf, na przykład ustawienia serweraproxy z pliku spamcatcher.conf nie będą stosowane, jeśli serwer proxy został skonfigurowany za pomocą interfejsuGUI programu ESET Mail Security, ponieważ ustawienia programu zawsze są uznawane za ważniejsze od ustawieńzawartych w pliku spamcatcher.conf. Ustawienie aktualizacji automatycznych dostępne w aparacie ochrony przedspamem będą zastępowane po każdym wyłączeniu, niezależnie od zmian w pliku spamcatcher.conf.

Profil Zalecana składa się z zalecanych ustawień, które zapewniają ochronę, nie obniżając przy tym wydajnościsystemu.Ustawienia profilu Najbardziej dokładna zapewniają maksymalną ochronę serwera pocztowego. Ten profilwymaga większych zasobów systemowych niż profil Zalecana.Wstępna konfiguracja profilu Najszybsza zapewnia minimalne użycie zasobów systemowych dzięki wyłączeniuniektórych funkcji skanowania.Kliknięcie opcji Zaawansowana > Otwórz plik konfiguracyjny pozwala edytować plik spamcatcher.conf. Ta opcjajest polecana administratorom systemów, którzy chcą szczegółowo skonfigurować dany system (jeśli jest tokonieczne). Jednak pierwsze trzy opcje profili spełniają większość potrzeb użytkowników. Aby korzystać z profiluzaawansowanego, należy przeczytać rozdział Plik konfiguracyjny . Zawiera on szczegółowe informacje na tematdostępnych parametrów oraz sposobu, w jaki wpływają one na system. Należy pamiętać, że część ustawień nadalbędzie stosowana bezpośrednio z programu, dlatego będą one traktowane jako ważniejsze niż ustawienia pliku spamcatcher.conf. Pozwala to zapobiegać błędnej konfiguracji podstawowych komponentów, która mogłaby byćprzyczyną błędnego działania programu ESET Mail Security.

Ustawienia zawarte w pliku spamcatcher.conf można zmieniać na dwa sposoby. Można skorzystać z interfejsu GUIprogramu ESET Mail Security, wybierając profil Zaawansowana w menu rozwijanym Konfiguracja. Następnienależy kliknąć łącze Otwórz plik konfiguracyjny dostępne bezpośrednio pod menu rozwijanym profilu. Plikspamcatcher.conf zostanie otwarty do edycji w Notatniku. Można też otworzyć plik spamcatcher.conf bezpośrednio wdowolnym edytorze tekstu. Plik spamcatcher.conf jest dostępny w folderze C:\Documents and Settings\AllUsers\Application Data\ESET\ESET Mail Security\MailServer w systemie Windows Server 2000 i 2003 oraz w folderze C:\ProgramData\ESET\ESET Mail Security\MailServer w systemie Windows Server 2008.

Po zmodyfikowaniu ustawień pliku spamcatcher.conf należy ponownie uruchomić aparat antyspamowy. Umożliwito wykrycie zmian w programie oraz pliku konfiguracyjnym. Jeśli plik spamcatcher.conf został zmodyfikowany zapomocą interfejsu GUI, wystarczy zamknąć okno dialogowe, klikając przycisk OK. Spowoduje to ponowneuruchomienie aparatu antyspamowego. Łącze Ponownie załaduj parametry ochrony przed spamem zmienikolor na szary, co oznacza ponowne uruchamianie aparatu antyspamowego.

Jeśli ustawienia pliku spamcatcher.conf zostały zmodyfikowane bezpośrednio za pomocą edytora tekstu (a nieinterfejsu GUI), program wykryje te zmiany wyłącznie po ponownym uruchomieniu aparatu antyspamowego.Istnieje kilka sposobów ponownego uruchomienia aparatu antyspamowego. Można poczekać, aż zostanie onuruchomiony przy najbliższej okazji (np. podczas aktualizacji bazy sygnatur wirusów), lub — jeśli to konieczne —uruchomić go ponownie samodzielnie. Aby to zrobić, należy przejść do drzewa menu ustawień zaawansowanych(F5) i wybrać kolejno opcje Ochrona serwera > Ochrona przed spamem > Aparat antyspamowy, a następniekliknąć łącze Ponownie załaduj parametry ochrony przed spamem. Można także ponownie uruchomić aparatantyspamowy, wyłączając i włączając ochronę przed spamem w oknie głównym programu ESET Mail Security lubwybierając kolejno opcje Ustawienia > Ochrona przed spamem, a następnie klikając opcję Tymczasowewyłączenie ochrony przed spamem w dolnej części okna i wybierając opcję Włącz ochronę przed spamem.

Po wykonaniu tych czynności aparat antyspamowy będzie używał nowej konfiguracji.

UWAGA: Istnieje możliwość użycia zmodyfikowanego pliku spamcatcher.conf w połączeniu z profilem konfiguracjiinnym niż Zaawansowana (na przykład Najbardziej dokładna). W takim wypadku niektóre ustawienia sąużywane zgodnie z konfiguracją zawartą w pliku spamcatcher.conf , a inne zgodnie z modyfikacjami dokonanymiprzez użytkownika za pośrednictwem interfejsu GUI. Jeśli między ustawieniami występują niezgodności,ustawienia interfejsu GUI zawsze są uważane za ważniejsze od ustawień zawartych w pliku spamcatcher.conf

43

42

(wyjątkiem jest kilka podstawowych komponentów systemu, które są definiowane przez program niezależnie odkonfiguracji w interfejsie GUI lub pliku spamcatcher.conf).

Na karcie Dozwolone adresy IP można określić adresy IP, które mają być akceptowane. To znaczy, jeśli pierwszynieignorowany adres IP z nagłówków Received jest taki sam, jak adres na tej liście, wiadomość otrzymuje wynik 0 inie są przeprowadzane żadne inne kontrole.

Na karcie Ignorowane adresy IP można określić adresy IP, które powinny być ignorowane podczas Sprawdzania wczasie rzeczywistym za pomocą listy RBL. Lista powinna zawierać wszystkie chronione zaporą wewnętrzne adresyIP, które nie są dostępne bezpośrednio z Internetu. Pozwoli to zapobiec zbędnym kontrolom i pomoże rozróżniaćnawiązujące połączenie adresy IP. Aparat pomija wewnętrzne adresy IP (192.168.x.y i 10.x).

Na karcie Blokowane adresy IP można określić adresy IP, które mają być blokowane. To znaczy, jeśli pierwszynieignorowany adres IP z nagłówków Received jest taki sam, jak adres na tej liście, wiadomość otrzymuje wynik100 i nie są przeprowadzane żadne inne kontrole.

Karta Ignorowane domeny pozwala określić, które używane w treści wiadomości domeny nie powinny nigdy byćuwzględniane w kontrolach za pomocą list DNSBL i MSBL oraz powinny być ignorowane.

Karta Blokowane domeny umożliwia określanie, które domeny używane w treści wiadomości powinny zawszebyć blokowane.

UWAGA: Podczas dodawania domen nie można używać symboli wieloznacznych (inaczej niż w przypadkudodawania adresów IP).

Technologie ochrony przed spamem i szarej listy umożliwiają także korzystanie z tzw. białej listy.

Możliwości stosowania białej listy na potrzeby szarej listy

Microsoft Exchange 2003– lista dozwolonych adresów IP w inteligentnym filtrze wiadomości (IMF) programu Exchange (Filtrowaniepołączeń > Globalna lista akceptowanych).– lista adresów IP dozwolonych oraz ignorowanych w ustawieniach programu ESET Mail Security.

43

Microsoft Exchange 2007/2010– lista adresów IP dozwolonych oraz ignorowanych w ustawieniach programu ESET Mail Security.– lista bezpiecznych nadawców przyporządkowana do danego odbiorcy.– opcja AntispamBypassEnabled dla wybranej skrzynki pocztowej– lista adresów IP dozwolonych w oprogramowaniu Microsoft Exchange.– opcja AntispamBypassEnabled dla wybranego połączenia SMTP.

Możliwości stosowania białej listy na potrzeby ochrony przed spamem

Ogólne– lista adresów IP dozwolonych w ustawieniach programu ESET Mail Security.– lista domen poczty zawartych w pliku approvedsenders.– filtrowanie na podstawie reguł.

Microsoft Exchange 2003– lista dozwolonych adresów IP w inteligentnym filtrze wiadomości (IMF) programu Exchange (Filtrowaniepołączeń > Globalna lista akceptowanych).

Microsoft Exchange 2007/2010– lista bezpiecznych nadawców przyporządkowana do danego odbiorcy.– opcja AntispamBypassEnabled dla wybranej skrzynki pocztowej– lista adresów IP dozwolonych w oprogramowaniu Microsoft Exchange.– opcja AntispamBypassEnabled dla wybranego połączenia SMTP.

UWAGA: technologie ochrony przed spamem oraz szarej listy pozwalają nie sprawdzać pod kątem spamuwiadomości pochodzących z uwierzytelnionych i wewnętrznych źródeł.

3.3.2.1.1 Plik konfiguracyj ny

Plik konfiguracyjny spamcatcher.conf umożliwia modyfikowanie wielu dodatkowych ustawień, które nie sądostępne w interfejsie GUI programu ESET Mail Security. Ustawienia zawarte w pliku spamcatcher.conf sąusystematyzowane i opisane w przejrzysty sposób.

Name — nazwa parametru.Arguments — wartości, które mogą zostać przypisane do parametru, oraz ich składniaDefault — domyślna wartość parametruDescription — szczegółowy opis parametru

Puste linie oraz linie rozpoczynające się symbolem # są pomijane.

Lista najważniejszych ustawień zawartych w pliku spamcatcher.conf:

Nazwaparametru

Szczegóły

approved_ip_list Lista zatwierdzonych adresów IP. Nie ma potrzeby dodawania tej listy do pliku spamcatcher.conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrówochrony przed spamem ).

blocked_ip_list Lista zablokowanych adresów IP. Nie ma potrzeby dodawania tej listy do pliku spamcatcher.conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrówochrony przed spamem ).

ignored_ip_list Lista ignorowanych adresów IP. Nie ma potrzeby dodawania tej listy do pliku spamcatcher.conf.Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrówochrony przed spamem ).

rbl_list Lista serwerów Realtime Blackhole, która ma być używana na potrzeby oceniania wiadomości.Żądania listy RBL sprawdzają, czy na określonym serwerze RBL występują określone adresy IP.Sprawdzane są adresy IP dostępne w sekcji Received (Odebrane) nagłówka wiadomości e-mail.Ten wpis ma następujący format: rbl_list=serwer:odpowiedź:przesunięcie,serwer2:odpowiedź2:przesunięcie2,...

Poniżej objaśniono znaczenie parametrów:

1) serwer — nazwa serwera RBL

41

41

41

44

2) odpowiedź — odpowiedź serwera RBL w przypadku znalezienia adresu IP (odpowiedzistandardowe to 127.0.0.2, 127.0.0.3, 127.0.0.4. itd.). Ten parametr jest opcjonalny. Jeśli niezostanie skonfigurowany, pod uwagę będą brane wszystkie odpowiedzi.3) przesunięcie — wartość od 0 do 100. Ma wpływ na ogólny wynik spamu wiadomości.Wartość standardowa to 100. Na przykład w przypadku wyniku pozytywnego do wiadomościprzypisywany jest wynik spamu 100, a wiadomość zostaje uznana za spam. Wartości ujemneobniżają ogólny wynik spamu wiadomości. Wiadomości od nadawców, których nazwyzawarto w pliku approvedsenders, otrzymują wynik 0. Wiadomości od nadawców, którychnazwy zawarto w pliku blockedsenders, otrzymują wynik 100 (patrz poniżej).

Przykład 1: rbl_list=ent.adbl.orgKontrola RBL jest przeprowadzana za pomocą serwera ent.adbl.org. W przypadkupozytywnego wyniku kontroli wiadomość otrzymuje standardowe przesunięcie 100 i jestoznaczana jako spam.

Przykład 2: rbl_list=ent.adbl.org::60Kontrola RBL jest przeprowadzana za pomocą serwera ent.adbl.org. W przypadkupozytywnego wyniku kontroli do wiadomości jest przypisywane przesunięcie 60, którezwiększa jej ogólny wynik spamu.

Przykład 3: rbl_list=bx9.dbl.com::85, list.dnb.org:127.0.0.4:35, req.gsender.org::-75Kontrola RBL jest przeprowadzana za pomocą zdefiniowanych serwerów (od lewej do prawej).W przypadku pozytywnego wyniku kontroli przeprowadzanej za pomocą serwera bx9.dbl.comzostanie dodane przesunięcie 85. Jeśli kontrola przeprowadzona za pomocą serwera list.dnb.org będzie miała wynik pozytywny z odpowiedzią 127.0.0.4, zostanie zastosowaneprzesunięcie 35. Przesunięcie nie zostanie zastosowane w przypadku odpowiedzi innych niż127.0.0.4. W razie otrzymania pozytywnego wyniku kontroli przeprowadzanej za pomocąserwera req.gsender.org wynik spamu zostanie obniżony o 75 punktów (wartość ujemna).

rbl_max_ips Maksymalna liczba adresów IP, które mogą zostać przesłane do sprawdzenia za pomocąserwera RBL. Całkowita liczba żądań RBL równa się całkowitej liczbie adresów IP w sekcjiReceived (Odebrane) nagłówka wiadomości e-mail (do wartości limitu ustalonego wustawieniu rbl_maxcheck_ips) pomnożonej przez liczbę serwerów RBL określonych wustawieniu rbl_list. Wartość 0 oznacza brak limitu maksymalnej liczby adresów IP, które mogązostać sprawdzone.Adresy IP w ustawieniu ignored_ip_list (tj. na liście Ignorowane adresy IP w ustawieniachprogramu ESET Mail Security).Parametr ten jest stosowany jedynie wtedy, gdy lista rbl_list jest włączona (tj. zawiera conajmniej 1 serwer).

approved_domain_list

Jest to lista zawartych w treści wiadomości e-mail domen i adresów IP, które mają byćuznawane za dozwolone. Nie należy używać jej do wpisywania na białą listę adresów e-mail wdomenie nadawcy.

blocked_domain_list

Jest to lista zawartych w treści wiadomości e-mail domen i adresów IP, które mają być trwalezablokowane. To nie jest czarna lista adresów nadawców. Nie ma potrzeby dodawania tej listydo pliku spamcatcher.conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdziałUstawienia parametrów ochrony przed spamem ).

ignored_domain_list

Lista domen w treści wiadomości e-mail, które mają zostać trwale wyłączone ze sprawdzaniaza pomocą list DNSBL i zignorowane. Nie ma potrzeby dodawania tej listy do pliku spamcatcher.conf. Można ją zdefiniować w interfejsie GUI programu (patrz rozdział Ustawienia parametrówochrony przed spamem ).

dnsbl_list Lista serwerów DNSBL, które mają być używane do sprawdzania domen i adresów IP w treściwiadomości e-mail. Ten wpis ma następujący format: dnsbl_list=serwer:odpowiedź:przesunięcie,serwer2:odpowiedź2:przesunięcie2,... Znaczenie użytych parametrów:1) serwer — nazwa serwera DNSBL2) odpowiedź — odpowiedź serwera DNSBL w przypadku znalezienia adresu IP/domeny(odpowiedzi standardowe to 127.0.0.2, 127.0.0.3, 127.0.0.4. itd.). Ten parametr jestopcjonalny. Jeśli nie zostanie skonfigurowany, pod uwagę będą brane wszystkie odpowiedzi.3) przesunięcie — wartość od 0 do 100. Ma wpływ na ogólny wynik spamu wiadomości.Wartość standardowa to 100. Na przykład w przypadku wyniku pozytywnego do wiadomościprzypisywany jest wynik spamu 100, a wiadomość zostaje uznana za spam. Wartości ujemneobniżają ogólny wynik spamu wiadomości. Wiadomości od nadawców, których nazwy

41

41

45

zawarto w pliku approvedsenders, otrzymują wynik 0. Wiadomości od nadawców, którychnazwy zawarto w pliku blockedsenders, otrzymują wynik 100 (patrz poniżej).

Sprawdzanie za pomocą list DNSBL może wpływać negatywnie na wydajność serwera. Dziejesię tak, ponieważ każda domena bądź adres IP z treści wiadomości jest sprawdzany nawszystkich zdefiniowanych serwerach DNSBL, a każde sprawdzenie wymaga przetworzeniażądania serwera DNS. Wdrożenie serwera pamięci podręcznej DNS pozwala ograniczyć wpływtych operacji na zasoby systemowe. Z tego samego powodu podczas sprawdzania za pomocąlist DNSBL są pomijane również nierutowalne adresy IP (10.x.x.x, 127.x.x.x, 192.168.x.x).

Przykład 1: dnsbl_list=ent.adbl.orgSprawdzanie za pomocą listy DNSBL jest przeprowadzane na serwerze ent.adbl.org. Wprzypadku wyniku pozytywnego do wiadomości jest przypisywane przesunięcie domyślne 100(wiadomość zostaje oznaczona jako spam).

Przykład 2: dnsbl_list=ent.adbl.org::60Kontrola DNSBL jest przeprowadzana za pomocą serwera ent.adbl.org. W przypadkupozytywnego wyniku kontroli do wiadomości jest przypisywane przesunięcie 60, którezwiększa jej ogólny wynik spamu.

Przykład 3: dnsbl_list=bx9.dbl.com::85, list.dnb.org:127.0.0.4:35, req.gsender.org::-75Kontrola DNSBL jest przeprowadzana za pomocą zdefiniowanych serwerów (od lewej doprawej). W razie otrzymania pozytywnego wyniku kontroli przeprowadzanej za pomocąserwera bx9.dbl.com zostanie dodane przesunięcie 85. Jeśli kontrola przeprowadzona zapomocą serwera list.dnb.org będzie miała wynik pozytywny z odpowiedzią 127.0.0.4, zostaniezastosowane przesunięcie 35. Przesunięcie nie zostanie zastosowane w przypadku odpowiedziinnych niż 127.0.0.4. W razie otrzymania pozytywnego wyniku kontroli przeprowadzanej zapomocą serwera req.gsender.org wynik spamu zostanie obniżony o 75 punktów (wartośćujemna).

home_country_list Lista krajów, które będą uznawane za „ojczyste”. Wiadomości rutowane przez krajnieuwzględniony na liście będą oceniane za pomocą bardziej surowych reguł (będziestosowany wyższy wynik spamu). Wpis kraju ma format dwuliterowego kodu zgodnego zestandardem ISO 3166.

home_language_list

Lista preferowanych języków, czyli języków najczęściej używanych w wiadomościach e-mailużytkownika. Takie wiadomości będą oceniane za pomocą mniej surowych reguł (niższy wynikspamu). Wpis języka ma format dwuliterowego kodu zgodnego ze standardem ISO 639.

custom_rules_list Pozwala definiować niestandardowe listy reguł oraz przechowywać każdą listę w osobnympliku. Każda reguła jest umieszczona w oddzielnym wierszu pliku w następującym formacie:

Fraza, Typ, Ufność, Rozpoznawanie_wielkości_liter

Fraza — jakikolwiek tekst, nie może zawierać przecinków (,)Typ — może mieć następujące wartości: SPAM, PHISH, BOUNCE, ADULT, FRAUD. Wprzypadku wprowadzenia wartości innej niż wymienione powyżej automatycznie zostanieużyta wartość SPAM. SPAM oznacza frazy używane w typowych wiadomościach spamu(oferujących produkty i usługi). PHISH oznacza frazy używane w spreparowanychwiadomościach (phishing), które mają na celu wyłudzenie od użytkownika poufnych danych(nazwisk, haseł, numerów kart kredytowych itd.). BOUNCE oznacza frazy używane wautomatycznych odpowiedziach serwera — powiadomieniach o niedostarczeniu (używanychdo wyłudzania adresów nadawców). ADULT oznacza frazy używane w wiadomościachoferujących materiały pornograficzne. FRAUD oznacza frazy używane w spreparowanychwiadomościach e-mail (spamie), w których oferowane są podejrzane operacje bankowe(przekazy pieniężne za pośrednictwem konta użytkownika itp.). Klasycznym przykłademspamu tego rodzaju jest tzw. spam nigeryjski.Ufność — wartość od 0 do 100. Definiuje prawdopodobieństwo tego, że fraza należy dookreślonej kategorii spamu (które wymieniono powyżej). Jeśli wartość PHISH ma wynik ufności90, prawdopodobieństwo użycia danej frazy w oszukańczej wiadomości jest bardzo wysokie.Im wyższy wynik ufności, tym większy ma on wpływ na ogólny wynik spamu wiadomości.Wartość ufności 100 jest wypadkiem szczególnym, w którym wynik spamu wiadomościrównież wyniesie 100. W takiej sytuacji wiadomości zostanie oznaczona jako całkowiciepewny spam. Analogicznie, jeśli wartość wyniesie 0, wiadomość zostanie oznaczona jako

46

niebędąca spamem.Rozpoznawanie_wielkości_liter — wartości 0 lub 1. 0 oznacza, że wielkość liter frazy nie jestbrana pod uwagę. 1 oznacza, że wielkość liter jest brana pod uwagę.

Przykłady:replika, SPAM, 100, 0Drogi użytkowniku serwisu eBay, PHISH, 90, 1zwrot do nadawcy, BOUNCE, 80, 0

Więcej opcji wpisywania na czarną bądź białą listę można znaleźć w plikach approvedsenders i blockedsenders, które sądostępne w folderze C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\MailServer wsystemie Windows Server 2000 i 2003 oraz w folderze C:\ProgramData\ESET\ESET Mail Security\MailServer wsystemie Windows Server 2008. Do tych list można dodawać adresy lub domeny nadawców. Plik approvedsenderszawiera listę dozwolonych adresów/domen, a plik blockedsenders — listę zablokowanych adresów/domen.

Ostrzeżenie: Ze względu na częste fałszowanie adresów nadawców (są one zmieniane tak, aby wyglądały jakprawdziwe), nie zaleca się używania plików approvedsenders i blockedsenders na potrzeby tworzenia białych bądźczarnych list. Używanie w tym celu dozwolonych oraz zablokowanych adresów IP jest znacznie bezpieczniejsze ibardziej niezawodne. W przypadku tworzenia białej listy za pomocą adresu/domeny nadawcy (plik approvedsenders),należy zawsze stosować dodatkową metodę sprawdzania wiadomości (np. SPF).

Inne ustawienia:

enable_spf Ta opcja włącza/wyłącza sprawdzanie za pomocą systemu Sender Policy Framework. Metodata umożliwia sprawdzanie reguł publicznych domeny — zasad domeny określających, czynadawca jest uprawniony do wysyłania wiadomości z danej domeny.

enable_all_spf Ta opcja pomaga określić, czy domeny nieznajdujące się na liście spf_list ani w pliku Mailshellmogą zostać pominięte podczas sprawdzania za pomocą systemu SPF. Aby opcja działałapoprawnie, należy ustawić wartość parametru enable_realtime_spf jako „yes”.

enable_realtime_spf W przypadku włączenia tej opcji żądania serwera DNS są wysyłane w czasie rzeczywistympodczas sprawdzania za pomocą systemu SPF. Może to mieć negatywny wpływ nawydajność (opóźnienia podczas oceniania wiadomości).

spf_list Ta opcja umożliwia przypisywanie ważności określonym wpisom systemu SPF, a co za tymidzie wpływanie na ogólny wynik spamu wiadomości.

spf_*_weight Gwiazdka oznacza 14 możliwych wyników sprawdzania za pomocą systemu SPF (więcejinformacji można znaleźć w pliku spamcatcher.conf). Wartość wprowadzana na potrzeby tegoparametru jest następnie stosowana w odniesieniu do wyniku spamu zgodnie zposzczególnymi rodzajami wyników. Jeśli wynik sprawdzania za pomocą systemu SPF to„fail”, zostanie zastosowana wartość przesunięcia z parametru spf_fail_weight. Zależnie odwartości przesunięcia uzyskany wynik spamu jest następnie zwiększany/obniżany.

spf_recursion_depth Maksymalna głębokość zagnieżdżania (za pomocą mechanizmu włączania). Norma RFC4408 określa ten limit jako 10 (aby zapobiegać odmowie dostępu), jednak niektóre rekordysystemu SPF nie uwzględniają tego limitu, ponieważ warunkiem spełnienia żądania systemuSPF jest zastosowanie większej liczby poziomów zagnieżdżania.

enable_livefeed_sender_repute

W przypadku wyłączenia tej opcji informacje systemu SPF uzyskiwane za pomocą technologii LiveFeed będą ignorowane.

47

3.3.3 Alerty i powiadomienia

Każdą wiadomość e-mail skanowaną przez program ESET Mail Security i oznaczoną jako spam można oflagować,dodając oznaczenie w temacie wiadomości. Domyślne oznaczenie to [SPAM], ale dodawany tekst może zostaćzdefiniowany przez użytkownika.

UWAGA: Dodając szablon do tematu wiadomości, można również używać zmiennych systemowych.

3.4 Często zadawane pytania

P: Po zainstalowaniu oprogramowania EMSX z ochroną przed spamem wiadomości nie są dostarczane do skrzynekpocztowych.O: Jeśli włączono szarą listę, taki sposób działania jest standardowy. W ciągu pierwszych godzin działaniaoprogramowania wiadomości e-mail mogą być dostarczane z kilkugodzinnym opóźnieniem. Jeśli problem nieustąpi przez dłuższy czas, zaleca się wyłączenie szarej listy (lub zmianę jej konfiguracji).

P: Czy podczas skanowania załączników wiadomości e-mail program VSAPI skanuje również treść tychwiadomości?O: W oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem SP2 i jego nowszych wersjach program VSAPIskanuje również treść wiadomości e-mail.

P: Dlaczego wiadomości są nadal skanowane po wyłączeniu opcji VSAPI?O: Zmiany ustawień programu VSAPI są wprowadzane asynchronicznie. Oznacza to, że aby zmodyfikowaneustawienia programu VSAPI zaczęły działać, muszą one zostać wywołane przez oprogramowanie MicrosoftExchange Server. Ten powtarzany cyklicznie proces jest uruchamiany w około jednominutowych odstępach czasu.To samo dotyczy wszystkich innych ustawień programu VSAPI.

P: Czy program VSAPI może usunąć całą wiadomość, jeśli jej załącznik jest zarażony?O: Tak, program VSAPI może usunąć całą wiadomość. W tym celu należy wybrać opcję Usuń całą wiadomość wsekcji Działania ustawień programu VSAPI. Ta opcja jest dostępna w oprogramowaniu Microsoft Exchange Server2003 i jego nowszych wersjach. Starsze wersje oprogramowania Microsoft Exchange Server nie obsługująusuwania całych wiadomości.

P: Czy program VSAPI skanuje również pod kątem wirusów wychodzące wiadomości e-mail?O: Tak, pogram VSAPI skanuje wychodzące wiadomości e-mail, jeśli w programie poczty e-mail skonfigurowanotaki sam serwer SMTP jak w oprogramowaniu Microsoft Exchange Server. Ta funkcja jest stosowana w

48

oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem Service Pack 3 i w jego nowszych wersjach.

P: Czy program VSAPI pozwala dodawać do każdej zeskanowanej wiadomości tekst powiadomienia tak samo jakagent transportu?O: Oprogramowanie Microsoft Exchange Server nie obsługuje dodawania tekstu do wiadomości skanowanychprzez program VSAPI.

P: Czasami niemożliwe jest otwarcie wybranej wiadomości e-mail w programie Microsoft Outlook. Dlaczego taksię dzieje?O: Opcja Czynność w razie niemożności wyczyszczenia dostępna w sekcji Działania ustawień programu VSAPIma prawdopodobnie wartość Blokuj lub utworzono regułę z działaniem Blokuj. Każde z tych ustawień będziepowodować oznaczanie oraz blokowanie zainfekowanych wiadomości i/lub wiadomości, do których stosowanajest opisana powyżej reguła.

P: Czego dotyczy wartość Limit czasu odpowiedzi dostępna w sekcji Wydajność?O: W oprogramowaniu Microsoft Exchange Server 2000 z dodatkiem SP2 oraz w jego nowszych wersjach wartośćLimit czasu odpowiedzi oznacza maksymalny czas (w sekundach) wymagany do zakończenia skanowania jednegowątku w programie VSAPI. Jeśli skanowanie nie zostanie zakończone przed upływem wyznaczonego czasu,oprogramowanie Microsoft Exchange Server odmówi programowi dostępu do wiadomości e-mail. Skanowanie niezostanie przerwane, a dostęp do pliku będzie możliwy dopiero po jego zakończeniu. W przypadku oprogramowaniaMicrosoft Exchange Server 5.5 z dodatkiem SP3 lub SP4 wartość jest wyrażana w milisekundach i oznacza czas, poktórym program ponownie próbuje uzyskać dostęp do pliku, który wcześniej był niedostępny z powoduskanowania.

P: Jak długa może być lista typów plików w jednej regule?O: Lista rozszerzeń plików może zawierać maksymalnie 255 znaków w jednej regule.

P: W programie VSAPI jest włączona opcja Skanowanie w tle. Do tej pory wiadomości w oprogramowaniuMicrosoft Exchange Server zawsze były skanowane po każdej aktualizacji bazy sygnatur wirusów. Po ostatniejaktualizacji tak się nie stało. Co jest przyczyną problemu?O: Decyzja o natychmiastowym skanowaniu wszystkich wiadomości bądź skanowaniu wiadomości w momencie,gdy użytkownik próbuje uzyskać do niej dostęp, zależy od wielu czynników. Zaliczają się do nich obciążenieserwera, czas procesora wymagany do zeskanowania partii wiadomości oraz łączna liczba wiadomości. Przeddotarciem do skrzynki odbiorczej każda wiadomość jest skanowana przez oprogramowanie Microsoft ExchangeServer.

P: Dlaczego wartość licznika reguł zwiększyła się o więcej niż jeden po otrzymaniu jednej wiadomości?O:Reguły są stosowane do wiadomości, gdy jest ona przetwarzana przez agenta transportu (TA) lub programVSAPI. Gdy włączony jest zarówno agent transportu, jak i program VSAPI, a wiadomość spełnia warunki reguły,wartość licznika reguł może wzrosnąć o 2 lub więcej. Program VSAPI uzyskuje dostęp do każdej części wiadomościosobno (treść, załącznik). Oznacza to, że reguły są kolejno stosowane osobno wobec każdej części. Ponadto, regułysą również stosowane podczas skanowania w tle (np. powtórzone skanowanie skrzynek pocztowych poaktualizacji bazy danych sygnatur wirusów), co także może zwiększyć wartość licznika reguł.

P: Czy program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server jest zgodny z inteligentnymfiltrem wiadomości (IMF)?O: Tak, program ESET Mail Security 4 dla oprogramowania Microsoft Exchange Server (EMSX) jest zgodny zinteligentnym filtrem wiadomości (IMF). W przypadku uznania wiadomości za spam wiadomości e-mail sąprzetwarzane w następujący sposób:

– Jeśli w module antyspamowym programu ESET Mail Security włączono opcję Usuń wiadomość (lub Poddajwiadomość kwarantannie), czynność zostanie wykonana niezależnie od czynności skonfigurowanej winteligentnym filtrze wiadomości programu Microsoft Exchange.– Jeśli w module ochrony przed spamem programu ESET Mail Security wybrano opcję Brak czynności, zostanąużyte ustawienia inteligentnego filtra wiadomości programu Microsoft Exchange, a program wykonaodpowiednią czynność (np. usunięcie, odrzucenie, przeniesienie do archiwum). Aby ta funkcja działałaskutecznie, należy włączyć opcję Zapisuj poziom ufności filtrów spamu (SCL) w nagłówkachzeskanowanych wiadomości na podstawie wyniku spamu, wybierając kolejno opcje Ochrona serwera >Microsoft Exchange Server > Agent transportu.

49

P: Jak skonfigurować program ESET Mail Security, aby przenosił niechciane wiadomości e-mail do zdefiniowanegoprzez użytkownika folderu spamu w programie Microsoft Outlook?O: Ustawienia domyślne programu ESET Mail Security powodują, że program Microsoft Outlook zapisujeniechciane wiadomości w folderze Wiadomości-śmieci. Aby włączyć tę funkcję, należy wybrać opcję Zapisujwyniki spamu w nagłówkach zeskanowanych wiadomości e-mail (F5 > Ochrona serwera > Ochrona przedspamem > Microsoft Exchange Server > Agent transportu). Aby zapisywać niechciane wiadomości e-mail winnym folderze, należy przeczytać następujące instrukcje:

1) W programie ESET Mail Security:– wyłącz opcję Zapisuj wyniki spamu w nagłówkach zeskanowanych wiadomości e-mail,– włącz opcję Brak czynności w odniesieniu do wiadomości oznaczonych jako spam,- określ oznaczenie, które będzie dodawane do niechcianych wiadomości, na przykład „[SPAM]” (wybierając

kolejno opcje Ochrona serwera > Ochrona przed spamem > Alerty i powiadomienia). 2) W programie Microsoft Outlook:

– skonfiguruj regułę, dzięki której wiadomości z określonymi wyrażeniami w temacie („[SPAM]”) będąprzenoszone do zdefiniowanego folderu.

P: W statystykach ochrony przed spamem wiele wiadomości jest zaliczanych do kategorii Nieskanowane. Jakiewiadomości e-mail nie są skanowane przez funkcję ochrony przed spamem?O: Kategoria Nieskanowane obejmuje następujące podkategorie:Ogólne:

Wszystkie wiadomości zeskanowane w momencie, gdy była wyłączona jakakolwiek powłoka ochrony przedspamem (serwer pocztowy, agent transportu).

Microsoft Exchange Server 2003:Wszystkie wiadomości pochodzące z adresów IP, które występują w inteligentnym filtrze wiadomości naglobalnej liście akceptowanych.Wiadomości od uwierzytelnionych nadawców.

Microsoft Exchange Server 2007:Wszystkie wiadomości wysłane wewnątrz organizacji (wszystkie będą skanowane w ramach ochronyantywirusowej).Wiadomości od uwierzytelnionych nadawców.Wiadomości od użytkowników, dla których skonfigurowano pomijanie ochrony przed spamem.Wszystkie wiadomości wysłane do skrzynki pocztowej, dla której włączono opcję pomijania ochrony przedspamem (AntispamBypass).Wszystkie wiadomości od nadawców znajdujących się na liście Bezpieczni nadawcy.

UWAGA: Adresy dodane do białej listy i w ustawieniach aparatu antyspamowego nie należą do kategoriiNieskanowane, ponieważ zawiera ona wyłącznie wiadomości, które nie były nigdy przetwarzane przez modułochrony przed spamem.

P: Użytkownicy pobierają wiadomości do swoich programów poczty e-mail za pośrednictwem protokołu POP3(pomijając oprogramowanie Microsoft Exchange), jednak skrzynki pocztowe są przechowywane woprogramowaniu Microsoft Exchange Server. Czy program ESET Mail Security będzie skanować te wiadomości e-mail pod kątem wirusów i spamu?O: Przy takiej konfiguracji program ESET Mail Security będzie skanować wiadomości e-mail zapisane woprogramowaniu Microsoft Exchange Server tylko pod kątem wirusów (za pomocą programu VSAPI). Skanowaniepod kątem spamu nie będzie wykonywane, ponieważ wymaga ono serwera SMTP.

P: Czy można zdefiniować poziom wyniku spamu, po osiągnięciu którego wiadomość będzie klasyfikowana jakospam?O: Tak, limit można ustawić w wersji 4.3 i nowszej programu ESET Mail Security (więcej informacji można znaleźćw rozdziale Ustawienia parametrów aparatu antyspamowego ).

P: Czy moduł ochrony przed spamem programu ESET Mail Security skanuje także wiadomości pobierana za pomocąrozwiązania POP3 Connector?O: Wiadomości pobierane za pomocą rozwiązania POP3 Connector są skanowane pod kątem spamu tylko wsystemie SBS 2008.

41

50

4. ESET Mail Security — ochrona serweraOprócz ochrony oprogramowania Microsoft Exchange Server program ESET Mail Security oferuje również narzędzianiezbędne do ochrony samego serwera (ochrona rezydentna, ochrona dostępu do stron internetowych, ochronaprogramów poczty e-mail oraz ochrona przed spamem).

4.1 Antywirus i antyspyware

Ochrona antywirusowa zabezpiecza system przed szkodliwymi atakami, sprawdzając pliki, pocztę e-mail ikomunikację internetową. W przypadku wykrycia zagrożenia zawierającego szkodliwy kod moduł antywirusowymoże je wyeliminować przez zablokowanie, a następnie usunięcie lub przeniesienie do kwarantanny.

4.1.1 Ochrona systemu plików w czasie rzeczywistym

W ramach ochrony systemu plików w czasie rzeczywistym sprawdzane są wszystkie zdarzenia związane z ochronąantywirusową systemu. Wszystkie pliki w chwili otwarcia, utworzenia lub uruchomienia na komputerze sąskanowane w poszukiwaniu szkodliwego kodu. Ochrona systemu plików w czasie rzeczywistym jest włączana przyuruchamianiu systemu.

4.1.1.1 Ustawienia sprawdzania

Moduł ochrony systemu plików w czasie rzeczywistym sprawdza wszystkie typy nośników. Sprawdzanie jestwywoływane wystąpieniem różnych zdarzeń. Korzystając z metod wykrywania technologii ThreatSense (opisanychw sekcji Ustawienia parametrów technologii ThreatSense ), funkcja ochrony systemu plików w czasierzeczywistym może działać inaczej dla plików nowo tworzonych, a inaczej dla już istniejących. W przypadku nowotworzonych plików można stosować głębszy poziom sprawdzania.Aby zminimalizować obciążenie systemu podczas korzystania z ochrony w czasie rzeczywistym, przeskanowanejuż pliki nie są skanowane ponownie (dopóki nie zostaną zmodyfikowane). Pliki są niezwłocznie skanowaneponownie po każdej aktualizacji bazy sygnatur wirusów. Taki sposób postępowania jest konfigurowany za pomocąfunkcji inteligentnej optymalizacji. Po jej wyłączeniu wszystkie pliki są skanowane za każdym razem, gdyuzyskiwany jest do nich dostęp. Aby zmodyfikować tę opcję, należy otworzyć okno Ustawienia zaawansowane i wdrzewie ustawień zaawansowanych kliknąć kolejno pozycje Antywirus i antyspyware > Ochrona systemuplików w czasie rzeczywistym. Następnie należy kliknąć przycisk Ustawienia obok opcji Ustawieniaparametrów technologii ThreatSense, po czym kliknąć przycisk Inne i zaznaczyć opcję Włącz inteligentnąoptymalizację lub usunąć jej zaznaczenieOchrona w czasie rzeczywistym jest domyślnie włączana przy uruchamianiu systemu i zapewnia nieprzerwaneskanowanie. W szczególnych przypadkach (np. jeśli wystąpi konflikt z innym skanerem działającym w trybierzeczywistym) ochronę w czasie rzeczywistym można wyłączyć, usuwając zaznaczenie opcji Automatycznieuruchom ochronę systemu plików w czasie rzeczywistym.

64

51

4.1.1.1.1 Skanowane nośniki

Domyślnie wszystkie typy nośników są skanowane w celu wykrycia potencjalnych zagrożeń.Dyski lokalne — sprawdzane są wszystkie dyski twarde w systemie.Nośniki wymienne — sprawdzane są dyskietki, urządzenia pamięci masowej USB itp.Dyski sieciowe — skanowane są wszystkie dyski mapowane.Zalecane jest zachowanie ustawień domyślnych i modyfikowanie ich wyłącznie w szczególnych przypadkach, jeślina przykład sprawdzanie pewnych nośników znacznie spowalnia przesyłanie danych.

4.1.1.1.2 Skanowanie włączone (skanowanie po wystąpieniu zdarzenia)

Domyślnie wszystkie pliki są skanowane podczas otwierania, tworzenia i wykonywania. Zalecane jest zachowanieustawień domyślnych, ponieważ zapewniają one maksymalny poziom ochrony komputera w czasie rzeczywistym.Opcja Dostępu do dyskietki umożliwia sprawdzanie sektora rozruchowego dyskietki podczas uzyskiwaniadostępu do napędu dyskietek. Opcja Wyłączania komputera umożliwia sprawdzanie sektorów rozruchowychdysku twardego podczas wyłączania komputera. Mimo że wirusy sektora rozruchowego występują obecnierzadko, zalecane jest włączenie tych opcji, ponieważ nadal zachodzi ryzyko infekcji sektora rozruchowegowirusami z innych źródeł.

4.1.1.1.3 Zaawansowane opcj e skanowania

Dostęp do bardziej szczegółowych ustawień można uzyskać, wybierając kolejno opcje Ochrona komputera >Antywirus i antyspyware > Ochrona systemu plików w czasie rzeczywistym > Ustawienia zaawansowane.Dodatkowe parametry ThreatSense dla nowo utworzonych i zmodyfikowanych plików —prawdopodobieństwo zarażenia nowo utworzonych lub zmodyfikowanych plików jest stosunkowo większe niż wprzypadku plików już istniejących. Dlatego program sprawdza takie pliki z zastosowaniem dodatkowychparametrów skanowania. Oprócz typowych metod skanowania przy użyciu sygnatur używana jest zaawansowanaheurystyka, która znacznie zwiększa wykrywalność zagrożeń. Poza nowo utworzonymi plikami skanowanieobejmuje również archiwa samorozpakowujące (SFX) i pliki spakowane (skompresowane wewnętrznie plikiwykonywalne). Domyślnie archiwa są skanowane do dziesiątego poziomu zagnieżdżenia i są sprawdzaneniezależnie od ich rozmiaru. Aby zmienić ustawienia skanowania archiwów, należy usunąć zaznaczenie opcjiDomyślne ustawienia skanowania archiwów.Dodatkowe parametry ThreatSense.Net dla wykonanych plików — domyślnie zaawansowana heurystyka niejest używana podczas wykonywania plików. W niektórych przypadkach może jednak zajść potrzeba włączenia tejopcji (poprzez zaznaczenie opcji Zaawansowana heurystyka podczas wykonywania pliku). Należy pamiętać, żezaawansowana heurystyka może spowolnić wykonywanie niektórych programów z powodu zwiększonegozapotrzebowania na zasoby systemowe.

52

4.1.1.2 Poziomy leczenia

W ramach ochrony w czasie rzeczywistym są dostępne trzy poziomy leczenia. Aby wybrać poziom leczenia, należyw sekcji Ochrona systemu plików w czasie rzeczywistym kliknąć przycisk Ustawienia, a następnie kliknąć gałąźLeczenie.

W przypadku pierwszego poziomu, Brak leczenia, dla każdego wykrytego zagrożenia wyświetlane jest oknoalertu z opcjami do wyboru. Należy wybrać działanie osobno dla każdego zagrożenia. Poziom ten jestprzeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie czynności podjąć na wypadekzagrożenia.Przy domyślnym poziomie leczenia w zależności od typu zagrożenia automatycznie wybierane i wykonywane jestwstępnie zdefiniowane działanie. O wykryciu i usunięciu zainfekowanego pliku informuje komunikatwyświetlany w prawym dolnym rogu ekranu. Automatyczne działania nie są podejmowane, jeśli zagrożeniewykryto w archiwum (które zawiera również niezainfekowane pliki) lub dla zainfekowanych obiektów nieokreślono wstępnie działania.Trzeci poziom, Leczenie dokładne, charakteryzuje się najbardziej stanowczym działaniem — leczone sąwszystkie zainfekowane obiekty. Z uwagi na to, że przy tym poziomie można utracić także niezainfekowane pliki,zaleca się jego używanie tylko w szczególnych sytuacjach.

4.1.1.3 Zmienianie ustawień ochrony w czasie rzeczywistym

Ochrona w czasie rzeczywistym jest najbardziej istotnym elementem zapewniającym bezpieczeństwo systemu.Dlatego należy zachować ostrożność podczas zmieniania jej parametrów. Modyfikowanie ustawień ochrony jestzalecane tylko w określonych przypadkach, na przykład jeśli występuje konflikt z określoną aplikacją lubdziałającym w czasie rzeczywistym skanerem należącym do innego programu antywirusowego. Po zainstalowaniu programu ESET Mail Security wszystkie ustawienia są optymalizowane w celu zapewnieniamaksymalnego poziomu bezpieczeństwa systemu. Aby przywrócić ustawienia domyślne, należy kliknąć przycisk Domyślne znajdujący się w prawym dolnym rogu okna Ochrona systemu plików w czasie rzeczywistym(dostępnego po wybraniu kolejno opcji Ustawienia zaawansowane > Antywirus i antyspyware > Ochronasystemu plików w czasie rzeczywistym).

4.1.1.4 Sprawdzanie skuteczności ochrony w czasie rzeczywistym

Aby sprawdzić, czy funkcja ochrony w czasie rzeczywistym działa i wykrywa wirusy, należy użyć pliku z witrynyeicar.com. Jest to specjalnie przygotowany nieszkodliwy plik testowy wykrywany przez wszystkie programyantywirusowe. Został on utworzony przez firmę EICAR (European Institute for Computer Antivirus Research) wcelu testowania działania programów antywirusowych. Plik eicar.com jest dostępny do pobrania pod adresem http://www.eicar.org/download/eicar.comUWAGA: Przed przystąpieniem do sprawdzenia skuteczności ochrony w czasie rzeczywistym należy wyłączyćzaporę. Włączona zapora wykryje plik testowy i uniemożliwi jego pobranie.

53

4.1.1.5 Co zrobić, j eśli ochrona w czasie rzeczywistym nie działa

W kolejnym rozdziale opisano problemy, które mogą wystąpić podczas korzystania z ochrony w czasierzeczywistym oraz sposoby ich rozwiązywania.Ochrona w czasie rzeczywistym jest wyłączonaJeśli ochrona w czasie rzeczywistym została przypadkowo wyłączona przez użytkownika, należy ją ponowniewłączyć. Aby ponownie włączyć ochronę w czasie rzeczywistym, należy wybrać kolejno opcje Ustawienia >Antywirus i antyspyware, a następnie w oknie głównym programu w sekcji Ochrona systemu plików w czasierzeczywistym kliknąć przycisk Włącz.Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu, może to być spowodowanewyłączeniem opcji Automatyczne uruchamianie ochrony systemu plików w czasie rzeczywistym. Aby jąwłączyć, należy przejść do okna Ustawienia zaawansowane (klawisz F5) i w drzewie ustawień zaawansowanychkliknąć pozycję Ochrona systemu plików w czasie rzeczywistym. Należy się upewnić, że w dolnej części okna wsekcji Ustawienia zaawansowane jest zaznaczone pole wyboru Automatycznie uruchom ochronę systemuplików w czasie rzeczywistym.

Ochrona w czasie rzeczywistym nie wykrywa ani nie leczy zagrożeńNależy się upewnić, że na komputerze nie ma zainstalowanych innych programów antywirusowych. Jednoczesnewłączenie dwóch modułów ochrony w czasie rzeczywistym może powodować ich konflikt. Zaleca sięodinstalowanie innych programów antywirusowych z systemu.Ochrona w czasie rzeczywistym nie jest uruchamianaJeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu systemu (a opcja Automatycznieuruchom ochronę systemu plików w czasie rzeczywistym jest włączona), może to być spowodowanekonfliktami z innymi programami. W takim przypadku należy skonsultować się z działem pomocy technicznej firmyESET.

4.1.2 Ochrona programów poczty e-mail

W ramach ochrony poczty e-mail sprawdzana jest komunikacja przychodząca za pośrednictwem protokołu POP3.Przy użyciu wtyczki do aplikacji Microsoft Outlook program ESET Mail Security zapewnia sprawdzanie całejkomunikacji realizowanej przez klienta poczty e-mail (za pośrednictwem protokołów POP3, MAPI, IMAP orazHTTP).Podczas analizowania wiadomości przychodzących program stosuje wszystkie zaawansowane metodyskanowania dostępne w ramach technologii skanowania ThreatSense. Dzięki temu szkodliwe programy sąwykrywane nawet zanim zostaną porównane z bazą danych sygnatur wirusów. Skanowanie komunikacjirealizowanej za pośrednictwem protokołu POP3 odbywa się niezależnie od używanego programu poczty e-mail.

54

4.1.2.1 Sprawdzanie protokołu POP3

POP3 jest najbardziej rozpowszechnionym protokołem używanym do odbierania wiadomości w programachpoczty e-mail. Program ESET Mail Security zapewnia ochronę tego protokołu niezależnie od użytkowanegoprogramu pocztowego.Moduł ochrony jest włączany automatycznie przy uruchamianiu systemu operacyjnego, a następnie działa wpamięci operacyjnej. Aby ochrona funkcjonowała prawidłowo, należy się upewnić się, że moduł jest włączony.Sprawdzanie protokołu POP3 odbywa się automatycznie bez konieczności zmiany konfiguracji programu poczty e-mail. Domyślnie skanowana jest cała komunikacja realizowana przez port 110, ale w razie potrzeby skanowaniemmożna objąć również inne porty. Numery portów muszą być oddzielone przecinkami.Komunikacja szyfrowana nie jest sprawdzana.Aby móc korzystać z filtrowania protokołu POP3/POP3S, należy najpierw włączyć filtrowanie protokołów. Jeśliustawienia POP3/POP3S są niedostępne, należy w drzewie ustawień zaawansowanych przejść do pozycji Ochronakomputera > Antywirus i antyspyware > Filtrowanie protokołów i zaznaczyć opcję Włącz ochronę zawartościprotokołów aplikacji. Więcej informacji na temat filtrowania i jego konfiguracji można znaleźć w sekcji Filtrowanieprotokołów.

4.1.2.1.1 Zgodność

Niektóre programy poczty e-mail mogą wykazywać problemy związane z filtrowaniem protokołu POP3 (np. zpowodu sprawdzania odbieranych wiadomości przy wolnym połączeniu internetowym może upłynąć limit czasu).W takim przypadku należy spróbować zmodyfikować sposób sprawdzania. Zmniejszenie poziomu dokładnościmoże wpłynąć na przyspieszenie procesu leczenia. Aby zmienić poziom dokładności filtrowania protokołu POP3,należy w drzewie ustawień zaawansowanych przejść do pozycji Antywirus i antyspyware > Ochrona poczty e-mail > Protokoły POP3 i POP3s > Zgodność.Po włączeniu opcji Maksymalna skuteczność infekcje są usuwane z zarażonych wiadomości e-mail, a przedoryginalnym tematem wiadomości jest wstawiana informacja o zarażeniu (jeśli jest włączona opcja Usuń lubWylecz bądź jest ustawiony poziom leczenia Dokładny lub Domyślny).Ustawienie Średnia zgodność zmienia sposób odbierania wiadomości. Wiadomości są stopniowo przesyłane doprogramu poczty e-mail. Po przekazaniu ostatniej części wiadomości jest ona skanowana w poszukiwaniuzagrożeń. Przy tym poziomie sprawdzania zwiększa się ryzyko infekcji. Poziom leczenia i obsługa oznaczeń(informacji dodawanych do tematu i treści wiadomości) są takie same, jak dla ustawienia Maksymalnaskuteczność.Po wybraniu poziomu Maksymalna zgodność w przypadku odebrania zarażonej wiadomości jest wyświetlaneokno alertu z ostrzeżeniem. Do tematu ani do treści dostarczanych wiadomości nie są dodawane żadne informacjeo zainfekowanych plikach, a zagrożenia nie są automatycznie usuwane. Użytkownik musi samodzielnie usunąćzagrożenia w programie poczty e-mail.

55

4.1.2.2 Integracj a z programami pocztowymi

Integracja programu ESET Mail Security z programami pocztowymi zwiększa poziom aktywnej ochrony przedszkodliwym kodem rozsyłanym w wiadomościach e-mail. Jeśli dany program pocztowy jest obsługiwany,integrację tę można włączyć w programie ESET Mail Security. Po jej włączeniu pasek narzędzi programu ESET MailSecurity zostaje wstawiony bezpośrednio do programu pocztowego, umożliwiając skuteczniejszą ochronę poczty.Dostęp do ustawień integracji można uzyskać, klikając kolejno opcje Ustawienia > Otwórz całe drzewo ustawieńzaawansowanych… > Inne > Integracja z programami pocztowymi. Integrację można uaktywnić w przypadkuobsługiwanych programów poczty e-mail. Obecnie należą do nich programy Microsoft Outlook, Outlook Express,Poczta systemu Windows, Poczta usługi Windows Live i Mozilla Thunderbird.Jeśli podczas pracy z programem poczty e-mail system działa wolniej niż zwykle, można zaznaczyć opcję Wyłączsprawdzanie po zmianie zawartości skrzynki odbiorczej. Może to mieć miejsce podczas pobierania poczty zKerio Outlook Connector Store.Aby włączyć ochronę poczty e-mail, należy kliknąć kolejno opcje Ustawienia > Otwórz całe drzewo ustawieńzaawansowanych… > Antywirus i antyspyware > Ochrona programów poczty e-mail i wybrać opcję Włączochronę antywirusową i antyspyware w programie pocztowym.

56

4.1.2.2.1 Dołączanie informacj i do treści wiadomości

Każdą wiadomość e-mail przeskanowaną przez program ESET Mail Security można oznaczyć, dołączając notatkędo jej treści lub tematu. Funkcja ta zwiększa wiarygodność wiadomości dla odbiorcy, a w przypadku wykryciazagrożenia udostępnia cenne informacje na temat poziomu zagrożenia, jakie stanowi dana wiadomość lub jejnadawca.Ustawienia tej funkcji są dostępne po wybraniu kolejno opcji Ustawienia zaawansowane > Antywirus iantyspyware > Ochrona programów poczty e-mail. Do wyboru są opcje Oznacz otrzymaną i przeczytanąwiadomość e-mail oraz Oznacz wysyłaną wiadomość e-mail. Można też zdecydować, czy notatki mają byćdołączane do wszystkich przeskanowanych wiadomości e-mail, tylko do zainfekowanych, czy do żadnych.Program ESET Mail Security może również dodawać notatki do oryginalnego tematu zainfekowanych wiadomości.Aby włączyć tę funkcję, należy zaznaczyć opcje Dołącz notatkę do tematu otrzymanej i przeczytanejzainfekowanej wiadomości oraz Dołącz notatkę do tematu wysyłanej zainfekowanej wiadomości.Treść dołączanych notatek można modyfikować w polu Szablon komunikatu dołączanego do tematuzainfekowanej wiadomości. Wspomniane uprzednio modyfikacje pomagają zautomatyzować proces filtrowaniazainfekowanej poczty e-mail, ponieważ umożliwiają filtrowanie wiadomości e-mail o określonym temacie (jeślifunkcję tę obsługuje używany program poczty e-mail) i przenoszenie ich do osobnego folderu.

4.1.2.3 Usuwanie infekcj i

Po odebraniu zainfekowanej wiadomości e-mail wyświetlane jest okno alertu. Zawiera ono nazwę nadawcy,wiadomość e-mail i nazwę infekcji. W dolnej części okna dostępne są działania, które można zastosować nawykrytym obiekcie: Wylecz, Usuń lub Pozostaw. W niemal wszystkich przypadkach zalecany jest wybór opcjiWylecz lub Usuń. W szczególnych sytuacjach, gdy użytkownik chce odebrać zainfekowany plik, można wybraćopcję Pozostaw.Jeśli włączone jest Leczenie dokładne, wyświetlane jest okno informacyjne bez opcji dotyczących zainfekowanychobiektów.

57

4.1.3 Ochrona dostępu do stron internetowych

Zapewnianie połączenia z Internetem jest standardową funkcją komputera osobistego. Niestety komunikacjainternetowa stała się głównym sposobem przenoszenia szkodliwego kodu. Z tego względu ważne jest umiejętnedobranie ochrony dostępu do stron internetowych. Zdecydowanie zalecamy zaznaczenie pola wyboru Włączochronę antywirusową i antyspyware do stron internetowych. Można je znaleźć w oknie Ustawieniazaawansowane (klawisz F5) po kliknięciu kolejno opcji Antywirus i antyspyware > Ochrona dostępu do stroninternetowych.

4.1.3.1 Protokoły HTTP i HTTPS

Ochrona dostępu do stron internetowych polega na monitorowaniu realizowanej między przeglądarkamiinternetowymi i zdalnymi serwerami komunikacji zgodnej z regułami protokołów HTTP (ang. Hypertext TransferProtocol) i HTTPS (komunikacja szyfrowana). Domyślnie program ESET Mail Security jest skonfigurowany podkątem używania standardów obsługiwanych przez większość przeglądarek internetowych. Opcje ustawieńskanera protokołu HTTP można jednak modyfikować w oknie Ustawienia zaawansowane (klawisz F5) powybraniu kolejno opcji Antywirus i antyspyware > Ochrona dostępu do stron internetowych > Protokoły HTTPi HTTPS. W głównym oknie skanera protokołu HTTP można zaznaczyć lub usunąć zaznaczenie opcji Włączsprawdzanie protokołu HTTP. Można również określić numery portów używane do komunikacji zapośrednictwem protokołu HTTP. Domyślnie wstępnie zdefiniowane są porty 80, 8080 i 3128. Sprawdzanieprotokołu HTTPS może być wykonywane w jednym z następujących trybów:Nie używaj funkcji sprawdzania protokołu HTTPS – komunikacja szyfrowana nie będzie sprawdzana.Użyj funkcji sprawdzania protokołu HTTPS dla wybranych portów – sprawdzanie protokołu HTTPS będziedotyczyło tylko portów zdefiniowanych w polu Porty używane przez protokół HTTPS.

58

4.1.3.1.1 Zarządzanie adresami

W tej sekcji można określić adresy HTTP, które mają być blokowane, dozwolone lub wyłączone ze sprawdzania.Przyciski Dodaj, Edytuj, Usuń i Eksportuj służą do zarządzania listami adresów. Witryny internetowe znajdującesię na listach blokowanych adresów nie będą dostępne. Dostęp do witryn internetowych znajdujących się na liścieadresów wyłączonych odbywa się bez skanowania w poszukiwaniu szkodliwego kodu. Jeśli zostanie włączonaopcja Zezwól na dostęp tylko do adresów HTTP z listy dozwolonych adresów, tylko adresy obecne na liściedozwolonych adresów będą dostępne, podczas gdy pozostałe adresy HTTP będą blokowane.Na wszystkich listach można używać symboli specjalnych: „*” (gwiazdka) i „?” (znak zapytania). Gwiazdka zastępujedowolny ciąg znaków, a znak zapytania zastępuje dowolny symbol. Szczególną ostrożność należy zachowaćpodczas określania adresów wyłączonych, ponieważ ich lista powinna zawierać jedynie adresy zaufane ibezpieczne. Ponadto należy sprawdzić, czy symbole „*” oraz „?” są na tej liście stosowane prawidłowo. Abyaktywować listę, należy zaznaczyć pole wyboru Lista aktywnych. Jeśli przy wprowadzaniu adresu z bieżącej listyma być wyświetlane powiadomienie, należy zaznaczyć pole wyboru Powiadom o zastosowaniu adresu z listy.

59

4.1.3.1.2 Tryb aktywny

Program ESET Mail Security wyposażono w funkcję Przeglądarki internetowe, umożliwiającą użytkownikowiokreślenie, czy dana aplikacja jest przeglądarką. Jeśli dana aplikacja zostanie oznaczona jako przeglądarka,sprawdzana będzie jej cała komunikacja, niezależnie od używanych portów.Funkcja Przeglądarki internetowe uzupełnia funkcję sprawdzania protokołu HTTP, ponieważ sprawdzanieprotokołu HTTP jest wykonywane tylko dla wstępnie zdefiniowanych portów. Wiele usług internetowych używajednak zmieniających się lub nieznanych numerów portów. W tej sytuacji funkcja Przeglądarki internetoweumożliwia sprawdzanie komunikacji prowadzonej przez porty niezależnie od parametrów połączenia.

Lista aplikacji oznaczonych jako przeglądarki jest dostępna bezpośrednio w podmenu Przeglądarki internetowe wgałęzi Protokoły HTTP i HTTPS. W tej sekcji znajduje się również podmenu Tryb aktywny umożliwiającezdefiniowanie trybu sprawdzania przeglądarek internetowych.Ustawienie Tryb aktywny jest przydatne, ponieważ umożliwia analizę przesyłanych danych jako całości. Jeśli niejest ona włączona, komunikacja aplikacji jest stopniowo monitorowana w partiach. Zmniejsza to skutecznośćprocesu weryfikacji danych, ale jednocześnie zapewnia większą zgodność z aplikacjami wymienionymi na liście.

60

Jeśli podczas używania aktywnego trybu sprawdzania nie występują problemy, zaleca się jego włączenie poprzezzaznaczenie pola wyboru obok odpowiedniej aplikacji.

4.1.4 Skanowanie komputera na żądanie

Jeśli zachodzi podejrzenie zainfekowania komputera (działa w nieprawidłowy sposób), należy uruchomićskanowanie na żądanie w celu wyszukania zagrożeń. Z punktu widzenia bezpieczeństwa ważne jest, abyskanowanie komputera było przeprowadzane nie tylko w przypadku podejrzenia infekcji, ale regularnie w ramachrutynowych działań związanych z bezpieczeństwem. Regularne skanowanie umożliwia wykrywanie zagrożeń,które podczas zapisywania zainfekowanych plików na dysku nie zostały wykryte przez skaner działający w czasierzeczywistym. Może się tak zdarzyć, jeśli w momencie wystąpienia infekcji skaner działający w czasie rzeczywistymbył wyłączony lub baza sygnatur wirusów była nieaktualna. Zalecane jest uruchamianie skanowania komputera na żądanie co najmniej raz w miesiącu. Skanowanie możnaskonfigurować jako zaplanowane zadanie za pomocą opcji Narzędzia > Harmonogram.

61

4.1.4.1 Typ skanowania

Dostępne są dwa typy skanowania komputera na żądanie. Opcja Skanowanie inteligentne umożliwia szybkieprzeskanowanie systemu bez konieczności dodatkowego konfigurowania parametrów skanowania. Opcja Skanowanie niestandardowe umożliwia wybranie jednego ze wstępnie zdefiniowanych profilów skanowaniaoraz określenie obiektów skanowania.

4.1.4.1.1 Skanowanie inteligentne

Tryb skanowania inteligentnego umożliwia szybkie uruchomienie skanowania komputera i wyleczeniezainfekowanych plików bez konieczności podejmowania dodatkowych działań przez użytkownika. Jego głównązaletą jest łatwa obsługa i brak szczegółowej konfiguracji skanowania. W ramach skanowania inteligentnegosprawdzane są wszystkie pliki na dyskach lokalnych, a wykryte infekcje są automatycznie leczone lub usuwane.Automatycznie ustawiany jest też domyślny poziom leczenia. Szczegółowe informacje na temat typów leczeniamożna znaleźć w sekcji Leczenie .

4.1.4.1.2 Skanowanie niestandardowe

Skanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli użytkownik chce sam określić parametryskanowania, takie jak skanowane obiekty i metody skanowania. Zaletą skanowania niestandardowego jestmożliwość szczegółowej konfiguracji parametrów. Konfiguracje można zapisywać w zdefiniowanych przezużytkownika profilach skanowania, które mogą być przydatne, jeśli skanowanie jest przeprowadzane wielokrotniez zastosowaniem tych samych parametrów.Aby wybrać skanowane obiekty, należy wybrać kolejno opcje Skanowanie komputera > Skanowanieniestandardowe, a następnie wybrać odpowiednią pozycję z menu rozwijanego Skanowane obiekty lub wybraćżądane obiekty w strukturze drzewa. Obiekty do skanowania można również wskazać bardziej precyzyjnie,wprowadzając ścieżkę do folderu lub plików, które mają zostać objęte skanowaniem. Jeśli użytkownik chce tylkoprzeskanować system bez wykonywania dodatkowych działań związanych z leczeniem, należy wybrać opcję Skanuj bez leczenia. Ponadto można wybrać jeden z trzech poziomów leczenia, klikając kolejno opcjeUstawienia... > Leczenie.

66

62

4.1.4.2 Skanowane obiekty

Z menu rozwijanego Skanowane obiekty można wybrać pliki, foldery i urządzenia (dyski), które mają byćskanowane w poszukiwaniu wirusów.Według ustawień profilu — skanowane są obiekty określone w wybranym profilu skanowania.Nośniki wymienne — skanowane są dyskietki, urządzenia pamięci masowej USB, płyty CD/DVD.Dyski lokalne — skanowane są wszystkie dyski twarde dostępne w systemie.Dyski sieciowe — skanowane są wszystkie zmapowane dyski sieciowe.Brak wyboru — wybór obiektów zostaje anulowany.Obiekt do skanowania można również wskazać bardziej precyzyjnie, wprowadzając ścieżkę do folderu lub plików,które mają zostać objęte skanowaniem. Skanowane obiekty można wybrać w strukturze drzewa zawierającejwszystkie urządzenia dostępne w komputerze.

4.1.4.3 Profile skanowania

Preferowane parametry skanowania mogą zostać zapisane i użyte w przyszłości. Zalecane jest utworzenieosobnego profilu (z ustawionymi różnymi obiektami i metodami skanowania oraz innymi parametrami) dlakażdego regularnie przeprowadzanego skanowania.Aby utworzyć nowy profil, należy otworzyć okno ustawień zaawansowanych (klawisz F5) i kliknąć kolejno opcje Skanowanie komputera na żądanie > Profile... W oknie Profile konfiguracji znajduje się menu rozwijane, którezawiera listę istniejących profili skanowania oraz opcję umożliwiającą utworzenie nowego profilu. Informacje natemat tworzenia profilu skanowania dostosowanego do indywidualnych potrzeb można znaleźć w sekcji Ustawienia parametrów technologii ThreatSense , w której opisano poszczególne parametry ustawieńskanowania.PRZYKŁAD: Załóżmy, że użytkownik chce utworzyć własny profil skanowania, a żądana konfiguracja częściowopokrywa się z konfiguracją Skanowanie inteligentne. Użytkownik nie chce jednak skanować plików spakowanychlub potencjalnie niebezpiecznych aplikacji oraz chce zastosować ustawienie Leczenie dokładne. W takimprzypadku należy w oknie Profile konfiguracji kliknąć przycisk Dodaj... Następnie należy wprowadzić nazwęnowego profilu w polu Nazwa profilu i wybrać z menu rozwijanego Kopiuj ustawienia z profilu pozycjęSkanowanie inteligentne. Następnie należy dostosować do własnych potrzeb pozostałe parametry profilu.

64

63

4.1.5 Wydaj ność

W tej sekcji można ustalić liczbę aparatów skanowania technologii ThreatSense używanych do ochrony przedwirusami. Większa liczba aparatów skanowania technologii ThreatSense używanych na komputerach z wielomaprocesorami może zwiększyć wskaźnik wykrywalności. Dopuszczalna wartość mieści się w przedziale od 1 do 20.

UWAGA: Zmiany wprowadzone w tej sekcji zostaną zastosowane dopiero po ponownym uruchomieniu.

4.1.6 Filtrowanie protokołów

Ochrona antywirusowa protokołów POP3 i HTTP jest realizowana z wykorzystaniem technologii ThreatSense, wktórej połączono wszystkie zaawansowane techniki wykrywania szkodliwego oprogramowania. Monitorowanieodbywa się automatycznie, niezależnie od przeglądarki internetowej i programu poczty e-mail. Dostępne sąnastępujące ustawienia filtrowania protokołów (jeśli zaznaczono opcję Włącz ochronę zawartości protokołówaplikacji):Portów HTTP i POP3 — powoduje ograniczenie skanowania komunikacji do znanych portów HTTP i POP3.Aplikacji oznaczonych jako przeglądarki internetowe lub programy poczty e-mail — po wybraniu tegoustawienia filtrowana jest tylko komunikacja aplikacji oznaczonych jako przeglądarki internetowe (Ochronadostępu do stron internetowych > HTTP, HTTPS > Przeglądarki internetowe) i programy poczty e-mail (Ochrona programów poczty e-mail > POP3, POP3s > Programy poczty e-mail).Portów i aplikacji oznaczonych jako przeglądarki internetowe lub programy poczty e-mail — wykrywanieszkodliwego oprogramowania obejmuje zarówno porty, jak i przeglądarki internetowe.UWAGA: Począwszy od systemów Windows Vista z dodatkiem Service Pack 1 i Windows Server 2008 stosowanajest nowa metoda filtrowania komunikacji. W efekcie sekcja Filtrowanie protokołów jest w tych systemachniedostępna.

4.1.6.1 Protokół SSL

Program ESET Mail Security umożliwia sprawdzanie protokołów enkapsulowanych w protokole SSL. W przypadkukomunikacji chronionej protokołem SSL można stosować różne tryby skanowania z użyciem certyfikatówzaufanych, nieznanych lub takich, które zostały wyłączone ze sprawdzania komunikacji chronionej przez protokółSSL.Zawsze skanuj protokół SSL — wybór tej opcji powoduje skanowanie całej komunikacji chronionej protokołem SSLoprócz komunikacji chronionej za pomocą certyfikatów wyłączonych ze sprawdzania. W przypadku nawiązanianowego połączenia z użyciem nieznanego, podpisanego certyfikatu użytkownik nie zostanie o tym powiadomiony,a połączenie będzie automatycznie filtrowane. Przy próbie uzyskania przez użytkownika dostępu do serwera zużyciem niezaufanego certyfikatu, który użytkownik oznaczył jako zaufany (dodając go do listy zaufanychcertyfikatów), komunikacja z serwerem nie zostanie zablokowana, a jej treść będzie filtrowana. Pytaj o nieodwiedzane witryny (można ustawić wyłączenia) — po przejściu do nowej witryny chronionejprotokołem SSL (o nieznanym certyfikacie) będzie wyświetlane okno dialogowe z możliwością wyboru działania. Wtym trybie można utworzyć listę certyfikatów SSL, które zostaną wyłączone ze skanowania. Nie skanuj protokołu SSL — po wybraniu tego ustawienia program nie będzie skanował komunikacji odbywającejsię za pośrednictwem protokołu SSL.Jeśli nie można zweryfikować certyfikatu w magazynie zaufanych głównych urzędów certyfikacji (Filtrowanieprotokołów > SSL > Certyfikaty):Pytaj o ważność certyfikatu — pojawia się monit o wybór działania, jakie należy podjąć.Blokuj komunikację używającą certyfikatu — powoduje zakończenie połączenia z witryną używającą danegocertyfikatu.Jeśli certyfikat stracił ważność lub jest uszkodzony (Filtrowanie protokołów > SSL > Certyfikaty):Pytaj o ważność certyfikatu — pojawia się monit o wybór działania, jakie należy podjąć.Blokuj komunikację używającą certyfikatu — powoduje zakończenie połączenia z witryną używającą danegocertyfikatu.

64

4.1.6.1.1 Zaufane certyfikaty

Jako uzupełnienie magazynu zaufanych głównych urzędów certyfikacji, w którym program ESET Mail Securityprzechowuje zaufane certyfikaty, można utworzyć niestandardową listę zaufanych certyfikatów. Aby jąwyświetlić, należy otworzyć okno Ustawienia zaawansowane (klawisz F5), a następnie wybrać kolejno opcjeFiltrowanie protokołów > SSL > Certyfikaty > Zaufane certyfikaty.

4.1.6.1.2 Wyłączone certyfikaty

Sekcja Wyłączone certyfikaty zawiera certyfikaty, które są uważane za bezpieczne. Zawartość szyfrowanejkomunikacji korzystającej z certyfikatów znajdujących się na tej liście nie będzie sprawdzana pod kątem zagrożeń.Zalecane jest wykluczanie tylko takich certyfikatów sieciowych, których bezpieczeństwo jest zagwarantowane, akomunikacja odbywająca się z ich użyciem nie wymaga sprawdzania.

4.1.7 Ustawienia parametrów technologii ThreatSense

ThreatSense to technologia obejmująca złożone metody wykrywania zagrożeń. Działa ona w sposób proaktywny,co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowanajest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), którerazem znacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, możnakontrolować kilka strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności.Ponadto technologia ThreatSense pomyślnie eliminuje programy typu rootkit.Za pomocą ustawień technologii ThreatSense można określić kilka parametrów skanowania:

typy i rozszerzenia plików, które mają być skanowane;kombinacje różnych metod wykrywania;poziomy leczenia itp.

Aby otworzyć okno konfiguracji, należy kliknąć przycisk Ustawienia... znajdujący się w oknie ustawień każdegomodułu, w którym wykorzystywana jest technologia ThreatSense (zobacz poniżej). Poszczególne scenariuszezabezpieczeń mogą wymagać różnych konfiguracji. Technologię ThreatSense można konfigurować indywidualniedla następujących modułów ochrony:

Ochrona systemu plików w czasie rzeczywistymSprawdzanie plików wykonywanych przy uruchamianiu systemuOchrona poczty e-mailOchrona dostępu do stron internetowychSkanowanie komputera na żądanie

Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów,a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład wybór opcji skanowania wszystkichplików spakowanych lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasierzeczywistym może spowodować spowolnienie działania systemu (w zwykłym trybie tylko nowo utworzone plikisą skanowane z użyciem tych metod). Dlatego zalecane jest pozostawienie niezmienionych parametrówdomyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu skanowania komputera nażądanie.

50

53

57

60

65

4.1.7.1 Ustawienia obiektów

W sekcji Obiekty można określać, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji.

Pamięć operacyjna – skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięćoperacyjną komputera.Sektory startowe – skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzierozruchowym.Pliki — skanowanie najczęściej używanych typów plików (programów, obrazów, plików audio, plików wideo,plików baz danych itd.).Pliki poczty – skanowanie specjalnych plików zawierających wiadomości e-mail. Archiwa — skanowanie plików skompresowanych w archiwach (RAR, ZIP, ARJ, TAR itd.).Archiwa samorozpakowujące – skanowanie plików znajdujących się w archiwach samorozpakowujących, któremają zwykle rozszerzenie EXE.Pliki spakowane — oprócz standardowych statycznych spakowanych plików skanowanie obejmuje też pliki, które(w odróżnieniu od standardowych typów archiwów) są rozpakowywane w pamięci (UPX, yoda, ASPack, FGS itp.).

4.1.7.2 Opcj e

W sekcji Opcje można wybrać metody, które mają być stosowane podczas skanowania systemu w poszukiwaniuinfekcji. Dostępne są następujące opcje:Sygnatury — sygnatury umożliwiają dokładne i niezawodne wykrywanie i identyfikowanie zagrożeń według nazwyprzy użyciu sygnatur wirusów.Heurystyka — heurystyka korzysta z algorytmu analizującego działania (szkodliwe) podejmowane przezprogramy. Główną zaletą heurystyki jest możliwość wykrywania nowego szkodliwego oprogramowania, którewcześniej nie istniało lub nie zostało umieszczone na liście znanych wirusów (w bazie sygnatur wirusów).Zaawansowana heurystyka — zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznymopracowanym przez firmę ESET. Został on zoptymalizowany pod kątem wykrywania robaków i koni trojańskichnapisanych w językach programowania wysokiego poziomu. Dzięki zaawansowanej heurystyce znacznie wzrosłaskuteczność wykrywania zagrożeń przez program.Adware/Spyware/Riskware — do tej kategorii zaliczane jest oprogramowanie gromadzące różne poufneinformacje na temat użytkowników bez ich świadomej zgody. Obejmuje ona również oprogramowaniewyświetlające materiały reklamowe.Potencjalnie niepożądane aplikacje — aplikacje potencjalnie niepożądane nie muszą być tworzone w złychintencjach, ale mogą negatywnie wpływać na wydajność komputera. Zainstalowanie takiej aplikacji zazwyczajwymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przedinstalacją. Najbardziej widoczne zmiany to wyświetlanie wyskakujących okienek, aktywacja i uruchamianieukrytych procesów, zwiększone użycie zasobów systemowych, zmiany w wynikach wyszukiwania orazkomunikowanie się aplikacji ze zdalnymi serwerami.Potencjalnie niebezpieczne aplikacje — do aplikacji potencjalnie niebezpiecznych zaliczane są niektóre legalneprogramy komercyjne. Są to m.in. narzędzia do dostępu zdalnego, dlatego ta opcja jest domyślnie wyłączona.

66

4.1.7.3 Leczenie

Ustawienia leczenia określają sposób działania skanera w stosunku do zainfekowanych plików. Określone zostały 3poziomy leczenia:

Brak leczenia — zainfekowane pliki nie są automatycznie leczone. Program wyświetla okno z ostrzeżeniem, aużytkownik sam wybiera żądane działanie.Leczenie standardowe — program próbuje automatycznie wyleczyć lub usunąć zainfekowany plik. Jeśliautomatyczny wybór właściwego działania nie jest możliwy, program umożliwia użytkownikowi wybórdostępnych działań. Są one wyświetlane również wtedy, gdy wykonanie wstępnie zdefiniowanego działania niejest możliwe.Leczenie dokładne — program leczy lub usuwa wszystkie zainfekowane pliki (w tym archiwa). Jedyny wyjątekstanowią pliki systemowe. Jeśli ich wyleczenie nie jest możliwe, użytkownik może wybrać działanie w oknie zostrzeżeniem.Ostrzeżenie: W trybie domyślnym cały plik archiwum jest usuwany tylko wtedy, gdy wszystkie pliki w tymarchiwum są zainfekowane. Jeśli zawiera również niezainfekowane pliki, nie jest usuwany. Jeśli zainfekowany plikarchiwum zostanie wykryty w trybie Leczenie dokładne, od razu usuwane jest całe archiwum, nawet jeśli zawierarównież niezainfekowane pliki.

67

4.1.7.4 Rozszerzenia

Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawieńparametrów technologii ThreatSense umożliwia określanie typów plików, które mają być skanowane.

Domyślnie skanowane są wszystkie pliki niezależnie od rozszerzenia. Do listy plików wyłączonych ze skanowaniamożna dodać dowolne rozszerzenie. Po usunięciu zaznaczenia pola wyboru Skanuj wszystkie pliki na liściewidoczne są wszystkie skanowane aktualnie rozszerzenia plików. Przy użyciu przycisków Dodaj i Usuń możnawłączyć lub wyłączyć skanowanie określonych rozszerzeń.Aby włączyć skanowanie plików bez rozszerzenia, należy zaznaczyć pole wyboru Skanuj pliki bez rozszerzeń.Wykluczenie plików ze skanowania jest czasami konieczne, jeśli skanowanie pewnych typów plików uniemożliwiaprawidłowe działanie programu, który z nich korzysta. Na przykład podczas używania serwerów programuMicrosoft Exchange może być wskazane wyłączenie rozszerzeń EDB, EML i TMP.

4.1.7.5 Limity

W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają byćskanowane:Maksymalny rozmiar obiektu – określa maksymalny rozmiar obiektów do skanowania. Dany modułantywirusowy będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Nie zaleca się zmienianiawartości domyślnej, ponieważ zazwyczaj nie ma ku temu powodu. Do modyfikowania tej opcji powinniprzystępować tylko zaawansowani użytkownicy, mający określone powody do wykluczenia większych obiektów zeskanowania.Maksymalny czas skanowania dla obiektu (w sek.) – określa maksymalny czas przyznany na skanowanieobiektu. Jeśli wprowadzono tu wartość zdefiniowaną przez użytkownika, moduł antywirusowy zatrzymaskanowanie obiektu po upływie danego czasu, niezależnie od tego, czy skanowanie zostało zakończone.Poziom zagnieżdżania archiwów – określa maksymalną głębokość skanowania archiwów. Nie zaleca sięzmieniania wartości domyślnej (równej 10); w normalnych warunkach nie powinno być powodów do jejmodyfikacji. Jeśli skanowanie zostanie przedwcześnie zakończone z powodu liczby zagnieżdżonych archiwów,archiwum pozostanie niesprawdzone.Maksymalny rozmiar pliku w archiwum – opcja ta pozwala określić maksymalny rozmiar plików znajdujących sięw archiwach (po rozpakowaniu tych plików), które mają być skanowane. Jeśli spowoduje to przedwczesnezakończenie skanowania, archiwum pozostanie niesprawdzone.

68

4.1.7.6 Inne

Skanuj alternatywne strumienie danych (ADS) – alternatywne strumienie danych (ADS) używane w systemieplików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technikskanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych.Uruchom skanowanie w tle z niskim priorytetem – każde skanowanie wymaga użycia pewnej ilości zasobówsystemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych,skanowanie można uruchomić z niskim priorytetem w tle, oszczędzając zasoby dla innych aplikacji.Zapisuj w dzienniku wszystkie obiekty – wybranie tej opcji powoduje, że w pliku dziennika są zapisywaneinformacje o wszystkich skanowanych plikach, nawet tych niezainfekowanych.Włącz inteligentną optymalizację – wybranie tej opcji powoduje, że przeskanowane już pliki nie są ponownieskanowane (o ile nie zostały zmodyfikowane). Pliki są niezwłocznie skanowane ponownie po każdej aktualizacjibazy sygnatur wirusów.Zachowaj znacznik czasowy ostatniego dostępu – wybranie tej opcji pozwala zachować oryginalny znacznikczasowy dostępu do plików zamiast jego aktualizacji (do użytku z systemami wykonywania kopii zapasowychdanych).Przewijaj dziennik skanowania – opcja ta umożliwia włączenie lub wyłączenie przewijania dziennika. Po jejzaznaczeniu informacje wyświetlane w oknie są przewijane w górę.Wyświetl powiadomienie o zakończeniu skanowania w osobnym oknie – powoduje otwarcie osobnego okna zinformacjami o wynikach skanowania.

4.1.8 Wykryto infekcj ę

System może zostać zainfekowany z różnych źródeł, takich jak strony internetowe, udostępnione foldery, poczta e-mail lub wymienne nośniki komputerowe (USB, dyski zewnętrzne, płyty CD i DVD, dyskietki itd.).Jeśli komputer wykazuje symptomy zainfekowania szkodliwym oprogramowaniem, na przykład działa wolniej lubczęsto przestaje odpowiadać, zalecane jest wykonanie następujących czynności:

Uruchom program ESET Mail Security i kliknij opcję Skanowanie komputera.Kliknij opcję Skanowanie inteligentne (więcej informacji można znaleźć w sekcji Skanowanie inteligentne )Po zakończeniu skanowania przejrzyj dziennik, aby sprawdzić liczbę przeskanowanych, zainfekowanych iwyleczonych plików.

Aby przeskanować tylko określoną część dysku, kliknij opcję Skanowanie niestandardowe i wybierz obiekty, któremają zostać przeskanowane w poszukiwaniu wirusów.Ogólnym przykładem sposobu działania programu ESET Mail Security w przypadku wykrycia infekcji może byćsytuacja, w której infekcję wykrywa działający w czasie rzeczywistym monitor systemu plików z ustawionymdomyślnym poziomem leczenia. Następuje wtedy próba wyleczenia lub usunięcia pliku. Jeżeli nie określonowstępnie czynności do wykonania przez moduł ochrony w czasie rzeczywistym, pojawi się okno alertu z monitem owybranie opcji. Zazwyczaj dostępne są opcje Wylecz, Usuń i Pozostaw. Nie zaleca się wybierania opcji Pozostaw,ponieważ powoduje to pozostawienie zainfekowanych plików bez zmian. Jedyny wyjątek stanowi sytuacja, wktórej użytkownik ma pewność, że dany plik jest nieszkodliwy i został wykryty błędnie.Leczenie i usuwanie — leczenie należy stosować w przypadku zainfekowanego pliku, do którego wirus dołączyłszkodliwy kod. Należy najpierw podjąć próbę wyleczenia zainfekowanego pliku w celu przywrócenia go do stanupierwotnego. Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości.

61

69

Jeśli zainfekowany plik jest zablokowany lub używany przez proces systemowy, jest zazwyczaj usuwany poodblokowaniu (najczęściej po ponownym uruchomieniu systemu).Usuwanie plików w archiwach — w domyślnym trybie leczenia całe archiwum jest usuwane tylko wtedy, gdyzawiera wyłącznie zainfekowane pliki i nie ma w nim żadnych niezainfekowanych plików. Oznacza to, że archiwanie są usuwane, jeśli zawierają również nieszkodliwe, niezainfekowane pliki. Należy jednak zachować ostrożnośćpodczas skanowania w trybie leczenia dokładnego, ponieważ w trybie tym każde archiwum zawierające conajmniej jeden zainfekowany plik jest usuwane bez względu na stan pozostałych zawartych w nim plików.

4.2 Aktualizowanie programu

Regularna aktualizacja programu ESET Mail Security to podstawowa czynność gwarantująca utrzymanienajwyższego poziomu ochrony. Moduł aktualizacji zapewnia aktualność programu na dwa sposoby – przezaktualizowanie bazy sygnatur wirusów oraz aktualizowanie składników systemu.Klikając w menu głównym opcję Aktualizacja, można sprawdzić bieżący stan aktualizacji, w tym datę i godzinęostatniej pomyślnej aktualizacji oraz ustalić, czy w danej chwili należy przeprowadzić aktualizację. W głównymoknie jest również wyświetlana wersja bazy sygnatur wirusów. Ten liczbowy wskaźnik stanowi aktywne łącze dowitryny internetowej firmy ESET zawierającej listę wszystkich sygnatur dodanych podczas określonej aktualizacji.Dostępna jest również opcja ręcznej aktualizacji – Aktualizuj bazę sygnatur wirusów – oraz podstawowe opcjekonfiguracji aktualizacji, takie jak nazwa użytkownika i hasło do serwerów aktualizacji firmy ESET.Łącze Aktywacja produktu umożliwia otwarcie formularza rejestracji, dzięki któremu można aktywować produktfirmy ESET oraz otrzymać wiadomość e-mail zawierającą dane uwierzytelniające (nazwę użytkownika oraz hasło).

70

UWAGA: Nazwa użytkownika i hasło są podawane przez firmę ESET po zakupie programu ESET Mail Security.

71

4.2.1 Ustawienia aktualizacj i

Sekcja ustawień aktualizacji umożliwia określenie informacji o źródle aktualizacji, w tym serwerów aktualizacji idotyczących ich danych uwierzytelniających. Domyślnie w menu rozwijanym Serwer aktualizacji jest zaznaczonaopcja Wybierz automatycznie. Zapewnia ona automatyczne pobieranie plików aktualizacji z serwera firmy ESETprzy możliwie najmniejszym obciążeniu sieci. Ustawienia aktualizacji są dostępne w drzewie ustawieńzaawansowanych (klawisz F5) w części Aktualizacja.

Lista dostępnych serwerów aktualizacji jest wyświetlana w menu rozwijanym Serwer aktualizacji. Aby dodaćnowy serwer aktualizacji, należy kliknąć przycisk Edytuj w sekcji Ustawienia aktualizacji dla wybranego profilu,a następnie kliknąć przycisk Dodaj. Uwierzytelnianie na serwerach aktualizacji jest oparte na ustawieniach Nazwaużytkownika i Hasło wygenerowanych i dostarczonych użytkownikowi w momencie zakupu programu.

4.2.1.1 Profile aktualizacj i

Dla różnych konfiguracji i zadań aktualizacji można tworzyć profile aktualizacji. Tworzenie profili aktualizacji jestszczególnie przydatne w przypadku użytkowników mobilnych, ponieważ mogą oni utworzyć alternatywny profildla połączenia internetowego, którego właściwości regularnie się zmieniają.W menu rozwijanym Wybrany profil jest wyświetlany aktualnie wybrany profil (wartością domyślną jest opcja Mójprofil). Aby utworzyć nowy profil, należy kliknąć przycisk Profile, a następnie przycisk Dodaj i wprowadzić własnąnazwę w polu Nazwa profilu. Podczas tworzenia nowego profilu można skopiować ustawienia istniejącegoprofilu, wybierając go z menu rozwijanego Kopiuj ustawienia z profilu.

W oknie konfiguracji profilu można określić serwer aktualizacji, wybierając go z listy dostępnych serwerów, lub

72

można dodać nowy serwer. Menu rozwijane Serwer aktualizacji zawiera listę istniejących serwerów aktualizacji.Aby dodać nowy serwer aktualizacji, kliknij przycisk Edytuj w sekcji Ustawienia aktualizacji dla wybranegoprofilu, a następnie kliknij przycisk Dodaj.

4.2.1.2 Zaawansowane ustawienia aktualizacj i

Aby wyświetlić okno zaawansowanych ustawień aktualizacji, należy kliknąć przycisk Ustawienia... Dozaawansowanych ustawień aktualizacji należą między innymi Tryb aktualizacji, Proxy HTTP, Sieć LAN i Kopiadystrybucyjna.

4.2.1.2.1 Tryb aktualizacj i

Karta Tryb aktualizacji zawiera opcje związane z aktualizacją komponentów programu.W sekcji Aktualizacja komponentu programu są dostępne trzy opcje:

Nigdy nie aktualizuj komponentów programu: nowe aktualizacje komponentów programu nie będąpobierane.Zawsze aktualizuj komponenty programu: nowe aktualizacje komponentów programu będą automatyczniepobierane i instalowane.Pytaj przed pobraniem komponentów programu: ustawienie domyślne. Po udostępnieniu aktualizacjikomponentów programu będzie pojawiać się monit o potwierdzenie lub odrzucenie ich pobrania izainstalowania.

Po zaktualizowaniu komponentów programu konieczne może być ponowne uruchomienie komputera w celuzapewnienia pełnej funkcjonalności wszystkich modułów. W sekcji Uruchom ponownie po uaktualnieniukomponentu programu można wybrać jedną z następujących opcji:

Nigdy nie uruchamiaj ponownie komputeraW razie potrzeby zaoferuj ponowne uruchomienie komputeraW razie potrzeby uruchom ponownie komputer bez powiadomienia

Ustawieniem domyślnym jest W razie potrzeby zaoferuj ponowne uruchomienie komputera. Wybórnajodpowiedniejszego ustawienia zależy od stacji roboczej, której będzie ono dotyczyć. Należy pamiętać oróżnicach między stacjami roboczymi a serwerami. Na przykład automatyczne ponowne uruchomienie serwera pouaktualnieniu programu mogłoby spowodować poważne szkody.

73

4.2.1.2.2 Serwer proxy

W programie ESET Mail Security konfiguracja serwera proxy jest dostępna w dwóch sekcjach drzewa ustawieńzaawansowanych.Po pierwsze, ustawienia serwera proxy można skonfigurować, wybierając kolejno opcje Inne > Serwer proxy.Określenie serwera proxy na tym poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy dla całegoprogramu ESET Mail Security. Wprowadzone w tym miejscu parametry będą używane przez wszystkie moduły,które wymagają połączenia internetowego.Aby określić ustawienia serwera proxy na tym poziomie, należy zaznaczyć pole wyboru Użyj serwera proxy, anastępnie wprowadzić adres serwera w polu Serwer proxy oraz jego numer portu w polu Port.

Jeśli komunikacja z serwerem proxy wymaga uwierzytelniania, zaznacz pole wyboru Serwer proxy wymagauwierzytelniania i wprowadź dane w polach Nazwa użytkownika oraz Hasło. Kliknięcie przycisku Wykryj serwerproxy spowoduje automatyczne wykrycie i wprowadzenie ustawień serwera proxy. Zostaną skopiowaneparametry określone w programie Internet Explorer.UWAGA: Dane uwierzytelniające (nazwa użytkownika i hasło) nie są automatycznie kopiowane i trzeba jewprowadzić ręcznie.Ustawienia serwera proxy można też skonfigurować w sekcji zaawansowanych ustawień aktualizacji. Mają onewówczas zastosowanie do danego profilu aktualizacji. Dostęp do ustawień serwera proxy dla danego profiluaktualizacji można uzyskać, klikając kartę Proxy HTTP w oknie Zaawansowane ustawienia aktualizacji. Możnawybrać jedno z trzech ustawień:

Użyj globalnych ustawień serwera proxyNie używaj serwera proxyPołączenie przez serwer proxy (zdefiniowane przy użyciu jego właściwości)

Wybór opcji Użyj globalnych ustawień serwera proxy spowoduje używanie ustawień serwera proxywprowadzonych w gałęzi Inne > Serwer proxy drzewa ustawień zaawansowanych (zgodnie z opisem na początkuniniejszego artykułu).

74

Aby w celu aktualizacji programu ESET Mail Security nie korzystać z serwera proxy, należy wybrać ustawienie Nieużywaj serwera proxy.Opcję Połączenie przez serwer proxy należy wybrać, jeśli aktualizowanie programu ESET Mail Security ma sięodbywać z użyciem serwera proxy, ale innego niż skonfigurowany w ustawieniach globalnych (Inne > Serwerproxy). W takiej sytuacji należy wprowadzić dodatkowe ustawienia: określić adres w polu Serwer proxy, portkomunikacyjny w polu Port oraz dane w polach Nazwa użytkownika i Hasło, jeśli są wymagane w przypadkudanego serwera proxy.Opcję tę należy również wybrać wtedy, gdy parametry serwera proxy nie zostały określone globalnie, ale programESET Mail Security będzie się łączyć z serwerem proxy przy pobieraniu aktualizacji.Ustawieniem domyślnym serwera proxy jest Użyj globalnych ustawień serwera proxy.

75

4.2.1.2.3 Połączenie z siecią LAN

Na potrzeby pobierania aktualizacji z serwera lokalnego z systemem operacyjnym opartym na systemie WindowsNT domyślnie wymagane jest uwierzytelnianie każdego połączenia sieciowego. W większości przypadków kontoużytkownika w systemie lokalnym nie ma wystarczających uprawnień dostępu do folderu kopii dystrybucyjnej(zawierającego kopie plików aktualizacji). Należy wówczas wprowadzić nazwę użytkownika i hasło w sekcjiustawień aktualizacji lub wskazać istniejące już konto, w przypadku którego program będzie mógł uzyskać dostępdo serwera aktualizacji (kopii dystrybucyjnej).Aby skonfigurować takie konto, należy kliknąć kartę Sieć LAN. W sekcji Połącz z serwerem aktualizacji jako sądostępne opcje Konto systemowe (domyślnie), Bieżący użytkownik oraz Określony użytkownik.

Aby do uwierzytelniania używać konta systemowego, należy wybrać opcję Konto systemowe (domyślnie).Zazwyczaj uwierzytelnianie nie jest przeprowadzane, jeśli w głównej sekcji ustawień aktualizacji nie podanodanych uwierzytelniających.Aby program przeprowadzał uwierzytelnianie za pomocą konta aktualnie zalogowanego użytkownika, należywybrać opcję Bieżący użytkownik. Wadą tego rozwiązania jest to, że program nie jest w stanie połączyć się zserwerem aktualizacji, jeśli akurat nie jest zalogowany żaden użytkownik.Jeśli program ma używać do uwierzytelniania określonego konta użytkownika, należy wybrać opcję Określonyużytkownik.Ostrzeżenie: Jeśli wybrano opcję Bieżący użytkownik lub Określony użytkownik, podczas zmiany tożsamości wprogramie na żądanego użytkownika może wystąpić błąd. Zalecane jest podanie danych uwierzytelniających wsieci LAN w głównej sekcji ustawień aktualizacji. Należy wprowadzić następujące informacje:nazwa_domeny\użytkownik (w przypadku grupy roboczej nazwa_grupy_roboczej\nazwa) oraz hasło. W przypadkuaktualizacji z wersji HTTP serwera lokalnego uwierzytelnianie nie jest wymagane.

76

4.2.1.2.4 Tworzenie kopii aktualizacj i — kopia dystrybucyj na

Program ESET Mail Security pozwala na tworzenie kopii plików aktualizacji, których można używać doaktualizowania innych stacji roboczych znajdujących się w sieci. Aktualizowanie klienckich stacji roboczych przyużyciu kopii dystrybucyjnej pozwala na oszczędne korzystanie z przepustowości połączenia internetowego.Opcje konfiguracji lokalnego serwera kopii dystrybucyjnych są dostępne (po dodaniu prawidłowego kluczalicencyjnego w menedżerze licencji, w ustawieniach zaawansowanych programu ESET Mail Security) w sekcji Zaawansowane ustawienia aktualizacji. Aby uzyskać do niej dostęp, należy nacisnąć klawisz F5, kliknąć wdrzewie ustawień zaawansowanych pozycję Aktualizacja, a następnie kliknąć przycisk Ustawienia obok opcjiZaawansowane ustawienia aktualizacji i wybrać kartę Kopia dystrybucyjna.

Pierwszą czynnością w ramach konfigurowania kopii dystrybucyjnej jest wybranie opcji Utwórz kopiędystrybucyjną aktualizacji. Powoduje to uaktywnienie innych opcji konfiguracji kopii dystrybucyjnej, na przykładsposobu udostępniania plików aktualizacji oraz ścieżki dostępu do kopii dystrybucyjnej aktualizacji.Metody uaktywniania kopii dystrybucyjnej opisano szczegółowo w sekcji Aktualizowanie przy użyciu kopiidystrybucyjnej . Należy zwrócić uwagę na fakt, że występują dwie podstawowe metody dostępu do kopiidystrybucyjnej: folder z plikami aktualizacji może być udostępniany jako folder sieciowy lub jako serwer HTTP.Folder przeznaczony do przechowywania plików aktualizacji na potrzeby kopii dystrybucyjnej należy wskazać wsekcji Folder przechowywania kopii dystrybucyjnej aktualizacji. Należy kliknąć przycisk Folder..., aby przejść dofolderu na komputerze lokalnym lub do udostępnionego folderu sieciowego. Jeśli dany folder wymaga autoryzacji,należy wprowadzić dane uwierzytelniające w polach Nazwa użytkownika i Hasło. Nazwę użytkownika i hasłonależy wprowadzić w formacie domena/użytkownik lub grupa_robocza/użytkownik. Należy pamiętać o podaniuodpowiednich haseł.Podczas konfigurowania kopii dystrybucyjnej użytkownik może też określić wersje językowe, dla których mają byćpobierane kopie plików aktualizacji. Ustawienia wersji językowej są dostępne w sekcji Pliki — Dostępne wersje.UWAGA: Baza danych modułu antyspamowego nie może być aktualizowana przy użyciu kopii dystrybucyjnej. Abyuzyskać więcej informacji na temat poprawnego aktualizowania bazy danych modułu antyspamowego, kliknij tutaj .

77

38

77

4.2.1.2.4.1 Aktualizowanie przy użyciu kopii dystrybucyj nej

Występują dwie podstawowe metody dostępu do kopii dystrybucyjnej: folder z plikami aktualizacji może byćudostępniany jako folder sieciowy lub jako serwer HTTP.Uzyskiwanie dostępu do kopii dystrybucyjnej przy użyciu wewnętrznego serwera HTTPJest to ustawienie domyślne, wybrane we wstępnie zdefiniowanej konfiguracji programu. Aby zezwolić na dostępdo kopii dystrybucyjnej przy użyciu serwera HTTP, należy przejść do sekcji Zaawansowane ustawienia aktualizacji(karta Kopia dystrybucyjna) i wybrać opcję Utwórz kopię dystrybucyjną aktualizacji.W sekcji Ustawienia zaawansowane na karcie Kopia dystrybucyjna można określić Port serwera, zapośrednictwem którego serwer HTTP będzie przeprowadzać nasłuch, oraz typ uwierzytelniania stosowanego naserwerze HTTP (opcja Uwierzytelnianie). Domyślnie ustawiony jest port serwera numer 2221. W ramach opcjiUwierzytelnianie można określić metodę uwierzytelniania dostępu do plików aktualizacji. Dostępne sąnastępujące opcje: BRAK, Podstawowe i NTLM. Wybranie ustawienia Podstawowe spowoduje stosowaniekodowania base64 i podstawowej metody uwierzytelniania, opartej na nazwie użytkownika i haśle. Opcja NTLMumożliwia uwierzytelnianie przy użyciu bezpiecznego kodowania. Na potrzeby uwierzytelniania używane jestkonto użytkownika utworzone na stacji roboczej udostępniającej pliki aktualizacji. Ustawienie domyślne BRAKzapewnia dostęp do plików aktualizacji bez konieczności uwierzytelniania.Ostrzeżenie: Aby dostęp do plików aktualizacji był możliwy za pośrednictwem serwera HTTP, folder kopiidystrybucyjnej musi znajdować się na tym samym komputerze co program ESET Mail Security, za pomocą któregofolder ten został utworzony.

Po zakończeniu konfigurowania kopii dystrybucyjnej należy z poziomu stacji roboczych dodać nowy serweraktualizacji w formacie http://adres_IP_serwera:2221. W tym celu:

Otwórz program ESET Mail Security, przejdź do sekcji Ustawienia zaawansowane i kliknij gałąź Aktualizacja .Kliknij opcję Edytuj po prawej stronie menu rozwijanego Serwer aktualizacji i dodaj nowy serwer wnastępującym formacie: http://adres_IP_serwera:2221.Wybierz nowo dodany serwer z listy serwerów aktualizacji.

Uzyskiwanie dostępu do kopii dystrybucyjnej za pośrednictwem udziałów systemowychNajpierw na urządzeniu lokalnym lub sieciowym należy utworzyć udostępniony folder. Podczas tworzenia folderuprzeznaczonego do przechowywania kopii dystrybucyjnych konieczne jest zapewnienie dostępu z uprawnieniamido zapisu dla użytkownika, który będzie zapisywać pliki w folderze, oraz dostępu z uprawnieniami do odczytu dlawszystkich użytkowników, którzy będą aktualizować program ESET Smart Security przy użyciu tej metody.Następnie należy skonfigurować dostęp do kopii dystrybucyjnej w sekcji Zaawansowane ustawienia aktualizacji(karta Kopia dystrybucyjna), wyłączając opcję Udostępnij pliki aktualizacji za pośrednictwem wewnętrznegoserwera HTTP. Ta opcja jest domyślnie włączona w pakiecie instalacyjnym programu.Jeśli udostępniony folder znajduje się na innym komputerze w sieci, należy koniecznie określić metodęuwierzytelniania wymaganą w celu uzyskania do niego dostępu. Aby wprowadzić dane uwierzytelniające, należywyświetlić w programie ESET Mail Security drzewo ustawień zaawansowanych (klawisz F5) i kliknąć gałąź Aktualizacja. Należy kliknąć przycisk Ustawienia..., a następnie kliknąć kartę Sieć LAN. Jest to to samoustawienie, które należy skonfigurować na potrzeby aktualizacji zgodnie z opisem w rozdziale Połączenie z sieciąLAN .Po skonfigurowaniu kopii dystrybucyjnej na stacjach roboczych należy podać lokalizację serwera aktualizacji wformacie \\ŚCIEŻKA_UNC\ŚCIEŻKA. W tym celu:

Otwórz ustawienia zaawansowane programu ESET Mail Security i kliknij opcję Aktualizacja.Kliknij przycisk Edytuj znajdujący się obok opcji Serwer aktualizacji i dodaj nowy serwer, używając następującego

75

78

formatu \\ŚCIEŻKA_UNC\ŚCIEŻKA.Wybierz nowo dodany serwer z listy serwerów aktualizacji.

UWAGA: Aby zapewnić prawidłowe działanie, ścieżkę do folderu kopii dystrybucyjnej należy podać w formacieUNC. Pobieranie aktualizacji z dysków zmapowanych może nie działać.

4.2.1.2.4.2 Rozwiązywanie problemów z aktualizacj ą przy użyciu kopii dystrybucyj nej

W większości przypadków problemy występujące podczas aktualizacji przy użyciu serwera kopii dystrybucyjnych sąpowodowane przez jedną z następujących przyczyn: nieprawidłowe skonfigurowanie opcji folderu kopiidystrybucyjnej, nieprawidłowe dane uwierzytelniania w folderze kopii dystrybucyjnej, nieprawidłowa konfiguracjana lokalnych stacjach roboczych próbujących pobrać pliki aktualizacji z kopii dystrybucyjnej. Przyczyny te mogąwystępować razem. Poniżej omówiono najczęstsze problemy dotyczące aktualizacji przy użyciu kopiidystrybucyjnej:Program ESET Mail Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyjnych— ten problem jest prawdopodobnie spowodowany nieprawidłowym skonfigurowaniem serwera aktualizacji(ścieżki sieciowej do folderu kopii dystrybucyjnych), z którego lokalne stacje robocze pobierają aktualizacje. Abysprawdzić folder, należy kliknąć w systemie Windows przycisk Start, kliknąć polecenie Uruchom, wpisać nazwęfolderu i kliknąć przycisk OK. Wyświetlona powinna zostać zawartość folderu.Program ESET Mail Security wymaga nazwy użytkownika i hasła — ten problem jest prawdopodobniespowodowany podaniem w sekcji aktualizacji nieprawidłowych danych uwierzytelniających (nazwy użytkownika ihasła). Nazwa użytkownika i hasło umożliwiają uzyskanie dostępu do serwera aktualizacji, który zostanie użyty dozaktualizowania programu. Należy się upewnić, że dane uwierzytelniające są prawidłowe i zostały wprowadzonewe właściwym formacie, na przykład domena/użytkownik lub grupa_robocza/użytkownik plus odpowiednie hasło. Jeśliserwer kopii dystrybucyjnej jest dostępny „dla wszystkich”, należy mieć świadomość, że nie oznacza to, iż każdyużytkownik otrzyma dostęp. „Wszyscy” nie oznacza dowolnego nieautoryzowanego użytkownika. Oznacza tojedynie, że folder jest dostępny dla wszystkich użytkowników w ramach domeny. Dlatego nawet w takimprzypadku należy wprowadzić w sekcji ustawień aktualizacji nazwę użytkownika domeny i hasło.Program ESET Mail Security zgłasza wystąpienie błędu podczas łączenia się z serwerem kopii dystrybucyjnych— komunikacja za pośrednictwem portu określonego dla serwera HTTP udostępniającego kopię dystrybucyjną jestzablokowana.

4.2.2 Tworzenie zadań aktualizacj i

Aktualizacje można uruchamiać ręcznie, klikając opcję Aktualizuj bazę sygnatur wirusów w oknie głównym,które jest wyświetlane po kliknięciu polecenia Aktualizacja w menu głównym.Inną możliwością jest wykonywanie aktualizacji jako zaplanowanych zadań. Aby skonfigurować zaplanowaniezadanie, kliknij kolejno opcje Narzędzia > Harmonogram. Domyślnie w programie ESET Mail Security są aktywnenastępujące zadania:

Regularne aktualizacje automatyczneAutomatyczna aktualizacja po nawiązaniu połączenia modemowegoAutomatyczna aktualizacja po zalogowaniu użytkownika

Każde z zadań aktualizacji można zmodyfikować zgodnie z potrzebami użytkownika. Oprócz domyślnych zadańaktualizacji można tworzyć nowe zadania z konfiguracją zdefiniowaną przez użytkownika. Więcej szczegółowychinformacji na temat tworzenia i konfigurowania zadań aktualizacji można znaleźć w sekcji Harmonogram .79

79

4.3 Harmonogram

Harmonogram jest dostępny, gdy w programie ESET Mail Security zostanie włączony tryb zaawansowany. Opcja Harmonogram znajduje się w menu głównym programu ESET Mail Security w kategorii Narzędzia. OknoHarmonogram zawiera listę wszystkich zaplanowanych zadań oraz ich właściwości konfiguracyjne, takie jakwstępnie zdefiniowany dzień, godzina i używany profil skanowania.

Domyślnie w oknie Harmonogram są wyświetlane następujące zaplanowane zadania:Regularne aktualizacje automatyczneAutomatyczna aktualizacja po nawiązaniu połączenia modemowegoAutomatyczna aktualizacja po zalogowaniu użytkownikaAutomatyczne sprawdzanie plików przy uruchamianiu (po zalogowaniu użytkownika)Automatyczne sprawdzanie plików przy uruchamianiu (po pomyślnej aktualizacji bazy sygnatur wirusów)

Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania (zarówno domyślnego, jak i zdefiniowanegoprzez użytkownika), należy kliknąć prawym przyciskiem myszy zadanie i wybrać opcję Edytuj lub wybrać zadanie,które ma zostać zmodyfikowane, i kliknąć przycisk Edytuj.

4.3.1 Cel planowania zadań

Harmonogram służy do zarządzania zaplanowanymi zadaniami i uruchamiania ich ze wstępnie zdefiniowanąkonfiguracją i właściwościami. Konfiguracja i właściwości zawierają informacje, na przykład datę i godzinę, jakrównież określone profile używane podczas wykonywania zadania.

80

4.3.2 Tworzenie nowych zadań

Aby utworzyć nowe zadanie w Harmonogramie, kliknij przycisk Dodaj lub kliknij prawym przyciskiem myszy i zmenu kontekstowego wybierz opcję Dodaj. Dostępnych jest pięć typów zaplanowanych zadań:

Uruchom aplikację zewnętrznąSprawdzanie plików wykonywanych przy uruchamianiu systemuTworzenie zapisu bieżącego stanu komputeraSkanowanie komputera na żądanieAktualizacja

Ponieważ jednym z najczęściej używanych zadań planowanych jest Aktualizacja, zostanie przedstawiony sposóbdodawania nowego zadania aktualizacji. Z menu rozwijanego Zaplanowane zadanie wybierz opcję Aktualizacja. Kliknij przycisk Dalej i wprowadź nazwęzadania w polu Nazwa zadania . Wybierz częstotliwość zadania. Dostępne są następujące opcje: Jednorazowo,Wielokrotnie, Codziennie, Cotygodniowo i Po wystąpieniu zdarzenia. Na podstawie wybranej częstotliwościwyświetlane są monity o różne parametry aktualizacji. Następnie zdefiniuj czynność podejmowaną w przypadku,gdy nie można wykonać lub zakończyć zadania w zaplanowanym czasie. Dostępne są następujące trzy opcje:

Czekaj do następnego zaplanowanego terminuUruchom zadanie jak najszybciejUruchom zadanie natychmiast, jeśli od ostatniego wykonania upłynęło (interwał można określić za pomocąpola przewijania przedziału czasu zadania).

W kolejnym kroku zostanie wyświetlone okno z podsumowaniem informacji dotyczących bieżącegozaplanowanego zadania. Opcja Uruchom zadanie z określonymi parametrami powinna być automatyczniewłączona. Kliknij przycisk Zakończ.Zostanie wyświetlone okno dialogowe umożliwiające wybranie profilów używanych z zaplanowanym zadaniem. Wtym miejscu można określić profil główny i alternatywny, który będzie używany w przypadku braku możliwościwykonania zadania przy użyciu profilu głównego. Potwierdź zmiany, klikając przycisk OK w oknie Profileaktualizacji. Nowe zaplanowane zadanie zostanie dodane do listy aktualnie zaplanowanych zadań.

81

4.4 Kwarantanna

Głównym zadaniem kwarantanny jest bezpieczne przechowywanie zainfekowanych plików. Pliki należy poddawaćkwarantannie w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest bezpieczne lub zalecane albo gdysą one nieprawidłowo wykrywane przez program ESET Mail Security.Kwarantanną można objąć dowolny plik. Takie działanie jest zalecane, jeśli plik zachowuje się w podejrzanysposób, ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane kwarantannie można przesyłać doanalizy w laboratorium firmy ESET.

Pliki przechowywane w folderze kwarantanny mogą być wyświetlane w tabeli zawierającej datę i godzinę poddaniakwarantannie, ścieżkę do pierwotnej lokalizacji zarażonego pliku, rozmiar pliku w bajtach, powód (np. dodaneprzez użytkownika) oraz liczbę zagrożeń (np. jeśli plik jest archiwum zawierającym wiele zainfekowanych plików).

4.4.1 Poddawanie plików kwarantannie

Program ESET Mail Security automatycznie poddaje kwarantannie usunięte pliki (jeśli nie anulowano tej opcji woknie alertu). W razie potrzeby można ręcznie poddać kwarantannie dowolny podejrzany plik, klikając przycisk Kwarantanna W takim przypadku dany plik nie jest usuwany z pierwotnej lokalizacji. W tym celu można równieżskorzystać z menu kontekstowego, klikając prawym przyciskiem myszy w oknie Kwarantanna i wybierając opcjęDodaj.

4.4.2 Przywracanie plików z kwarantanny

Pliki poddane kwarantannie można przywracać do ich pierwotnej lokalizacji. Służy do tego funkcja Przywróć, którajest dostępna w oknie Kwarantanna w menu kontekstowym po kliknięciu danego pliku prawym przyciskiemmyszy. Menu kontekstowe zawiera także opcję Przywróć do umożliwiającą przywrócenie pliku do lokalizacji innejniż ta, z której został usunięty.UWAGA: jeśli w programie nastąpi pomyłkowe przeniesienie nieszkodliwego pliku do kwarantanny, należy po jegoprzywróceniu wyłączyć plik ze skanowania i wysłać go do działu obsługi klienta firmy ESET.

82

4.4.3 Przesyłanie pliku z kwarantanny

Jeśli poddano kwarantannie podejrzany plik, który nie został wykryty przez program, lub jeśli plik został błędnieoceniony jako zainfekowany (np. w drodze analizy heurystycznej kodu) i następnie poddany kwarantannie, należyprzesłać plik do laboratorium firmy ESET. Aby przesłać plik z kwarantanny, należy kliknąć go prawym przyciskiemmyszy i z menu kontekstowego wybrać polecenie Prześlij do analizy.

83

4.5 Pliki dziennika

W dziennikach są przechowywane informacje o ważnych zdarzeniach, takich jak wykryte infekcje, dziennikiskanera rezydentnego i skanera na żądanie czy informacje o systemie.

Dzienniki ochrony przed spamem oraz szarej listy (aby przejść do tych i innych dzienników, należy wybrać opcje Narzędzia > Pliki dziennika) zawierają szczegółowe informacje na temat wiadomości, które zostały zeskanowane,oraz wykonanych później czynności związanych z tymi wiadomościami. Dzienniki mogą być bardzo przydatne wprzypadku szukania niedostarczonej wiadomości e-mail, sprawdzania, dlaczego wiadomość została oznaczonajako spam itp.

84

Ochrona przed spamem

W tym miejscu są rejestrowane wszystkie wiadomości, które według programu ESET Mail Security są lub mogą byćspamem.

Opis kolumn:

Czas — czas utworzeniu wpisu w dzienniku ochrony przed spamem.Nadawca — adres nadawcy.Odbiorca — adres odbiorcy.Temat — temat wiadomości.Wynik — przypisany do wiadomości wynik spamu (od 0 do 100).Powód — wskazuje przyczynę uznania wiadomości za spam. Wyświetlony wskaźnik ma największe znaczenie. Abyzobaczyć inne wskaźniki, kliknij dwukrotnie wpis. Zostanie wyświetlone okno Powód, w którym będą widocznepozostałe wskaźniki w porządku malejącym według znaczenia.

Adres URL jest znany z rozsyłaniaspamu

Adresy URL dostępne w wiadomościach często ułatwiają klasyfikowanieich jako spamu.

Format HTML (czcionki, kolory itd.) Formatowanie elementów części wiadomości utworzonej formacieHTML może zawierać znaki charakterystyczne dla spamu (rodzaj i kolorczcionki itd.)

Sztuczki spamowe: zaciemnianie kodu Słowa charakterystyczne dla spamu często są maskowane za pomocąinnych znaków. Typowym przykładem jest słowo „Viagra” częstozapisywane jako „V1agra” w celu pominięcia ochrony przed spamem.

Spam wykorzystujący obrazy w kodzieHTML

Inną metodą unikania ochrony przed spamem jest wysyłaniewiadomości spamu w postaci obrazów. Takie obrazy najczęściejzawierają interaktywne łącza do stron internetowych.

Formatowanie adresu URL domenyhosta usługi

Adres URL zawiera domenę hosta usługi.

Spamowe słowo kluczowe Wiadomość zawiera słowa charakterystyczne dla spamu.Niespójność nagłówków wiadomości e-mail

Informacje w nagłówku są zmieniane tak, aby wskazywały nadawcęinnego niż oryginalny.

Wirus Wiadomość zawiera podejrzany załącznik.Phishing Wiadomość zawiera tekst charakterystyczny dla wiadomości

używanych do ataków typu „phishing”.Replika Wiadomość zawiera tekst charakterystyczny dla kategorii spamu, za

pośrednictwem którego oferowane są podrabiane towary.Ogólny wskaźnik spamu Wiadomość zawiera słowa/znaki charakterystyczne dla spamu, na

przykład „Dear friend” (Drogi przyjacielu), „hello winner” (Witaj,zwycięzco), „!!!” itp.

85

Wskaźnik pseudo-spamu Ten wskaźnik ma funkcję odmienną od pozostałych wymienionychwskaźników. Analizuje on elementy typowe dla standardowychwiadomości niebędących spamem. Obniża on ogólny wynik spamu.

Nieokreślony wskaźnik spamu Wiadomość zawiera inne elementy spamu, takie jak kodowanie base64. Niestandardowe frazy spamowe Inne wyrażenia typowe dla spamu.Adres URL znajduje się na czarnej liście Adres URL zawarty w wiadomości znajduje się na czarnej liście.Adres IP %s znajduje się na liście RBL Adres IP ... znajduje się na liście RBL.Adres URL %s znajduje się na liścieDNSBL

Adres URL ... znajduje się na liście DNSBL.

Adres URL %s znajduje się na liście RBLlub serwer nie posiada uprawnień dowysyłania poczty

Adres URL ... znajduje się na liście RBL lub serwer nie posiada uprawnieńwymaganych do wysyłania wiadomości e-mail. Adresy będące częściątrasy wiadomości e-mail są sprawdzane na liście RBL. Ostatni adres jestteż testowany pod kątem uprawnień do łączenia się z publicznymiserwerami poczty. Jeśli nie można wykryć ważnych uprawnień dołączenia się, adres znajduje się na liście LBL. Wiadomości oznaczone jakospam z powodu wskaźnika LBL zawierają w polu Powód następującytekst: „serwer nie posiada uprawnień do wysyłania poczty”.

Czynność — czynność wykonywana w odniesieniu do wiadomości. Możliwe czynności:

Zachowano Nie wykonano żadnego działania w odniesieniu do wiadomości.Poddano kwarantannie Wiadomość została przeniesiona do kwarantanny.Wyleczono i poddanokwarantannie

Wirus został usunięty z wiadomości, a wiadomość poddano kwarantannie.

Odrzucono Wiadomość została odrzucona. Do nadawcy wysłano odpowiedź odmownąserwera SMTP .

Usunięto Wiadomość została usunięta w trybie cichym .

Odebrano — czas odebrania wiadomości przez serwer.

UWAGA: Jeśli wiadomości są odbierane za pośrednictwem serwera poczty e-mail, godziny w polach Czas iOdebrano są niemal identyczne.

Szara lista

W tym dzienniku rejestrowane są wszystkie wiadomości ocenione za pomocą szarej listy.

20

20

86

Opis kolumn:

Czas — czas utworzeniu wpisu w dzienniku ochrony przed spamem.Domena HELO — nazwa domeny, za pomocą której serwer nadawczy identyfikuje się podczas komunikacji zserwerem odbiorczym.Adres IP — adres IP nadawcy.Nadawca — adres nadawcy.Odbiorca — adres odbiorcy.Czynność — może zawierać informacje o następujących stanach:

Odrzucono Wiadomość przychodząca została odrzucona za pomocą podstawowej zasadyszarej listy (pierwsza próba dostarczenia).

Odrzucono (niezweryfikowano)

Wiadomość przychodząca została ponownie dostarczona przez serwer nadawczy,ale limit czasu odrzucenia połączenia jeszcze nie upłynął (Limit czasu dlapoczątkowego odrzucania połączeń).

Zweryfikowano Wiadomość przychodząca została kilka razy dostarczona ponownie przez serwernadawczy. Limit czasu dla początkowego odrzucania połączeń upłynął, awiadomość została pomyślnie zweryfikowana i dostarczona. Zobacz też Agenttransportu .

Czas do zakończenia — czas, po którym upłynie Limit czasu dla początkowego odrzucania połączeń.

Wykryte zagrożeniaDziennik zagrożeń udostępnia szczegółowe informacje na temat infekcji wykrytych przez moduły programu ESETMail Security. Podaje on między innymi: godzinę wykrycia, rodzaj skanera, rodzaj obiektu, nazwę obiektu, nazwęinfekcji, lokalizację, wykonaną czynność oraz nazwę użytkownika zalogowanego w czasie wykrycia infekcji. Abyskopiować lub usunąć wiersze dziennika (bądź usunąć cały dziennik), należy skorzystać z menu kontekstowego(wystarczy kliknąć prawym przyciskiem myszy wybrany element).

ZdarzeniaDziennik zdarzeń zawiera informacje na temat zdarzeń i błędów, które wystąpiły w programie. Często pomagająone znaleźć rozwiązanie problemów napotkanych podczas pracy z programem.

Skanowanie komputera na żądanieDziennik skanera zawiera informacje na temat wyników ręcznych i zaplanowanych operacji skanowania. Każdywiersz odpowiada jednej operacji skanowania. Podawane są następujące informacje: data i godzina skanowania,łączna liczba przeskanowanych, zainfekowanych i zdrowych plików oraz bieżący stan skanowania.

Dwukrotne kliknięcie wybranego wpisu dziennika w obszarze Skanowanie komputera na żądanie powodujewyświetlenie szczegółowych informacji na jego temat w osobnym oknie. Zaznaczone wpisy (z dowolnego dziennika) można skopiować za pomocą menu kontekstowego (dostępnego pokliknięciu prawym przyciskiem myszy).

39

87

4.5.1 Filtrowanie dziennika

Filtrowanie dziennika to użyteczna funkcja, która ułatwia wyszukiwanie rekordów w plikach dziennika, zwłaszczagdy liczba rekordów jest na tyle duża, że trudno jest znaleźć potrzebne informacje szczegółowe.Jako kryteria można wpisać ciąg znaków do odfiltrowania (pole Co), wskazać kolumny do przeszukiwania (Szukajw kolumnach), wybrać Typy rekordów i zaznaczyć Okres w celu ograniczenia liczby rekordów. Poskonfigurowaniu określonych opcji filtrowania w oknie Pliki dziennika widoczne będą tylko rekordy spełniającekryteria, co zapewnia łatwy i szybki dostęp do poszukiwanych informacji.Aby otworzyć okno Filtrowanie dziennika, należy kliknąć przycisk Filtr... w obszarze Narzędzia > Pliki dziennikalub użyć skrótu klawiszowego Ctrl+Shift+F.UWAGA: W celu wyszukania określonego rekordu można zamiast filtrowania dziennika lub w połączeniu z nimskorzystać z funkcji Znajdź w dzienniku .

Po skonfigurowaniu określonych opcji filtrowania w oknie Pliki dziennika będą widoczne tylko rekordy spełniającekryteria filtra. Pozwoli to na odfiltrowanie rekordów/ograniczenie ich liczby i ułatwi znalezienie poszukiwanychinformacji. Im bardziej szczegółowe ustawienia filtra, tym ściślejsze wyniki.Co: Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną wyświetlone tylko rekordy zawierające danyciąg. Dla lepszej czytelności pozostałe rekordy będą niewidoczne.Szukaj w kolumnach: Należy wybrać kolumny, które mają być brane pod uwagę podczas filtrowania. Na potrzebyfiltrowania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny:

GodzinaModułZdarzenieUżytkownik

Typy rekordów: Umożliwia wybór typu rekordów do wyświetlenia. Można wskazać jeden określony typ rekordu,wiele typów naraz lub wszystkie widoczne typy rekordów (domyślnie):

DiagnostykaInformacjaOstrzeżenieBłądKrytyczne

Okres: Ta opcja służy do filtrowania rekordów według okresu. Można wybrać jedno z następujących ustawień:Cały dziennik (domyślnie) — filtrowanie według okresu jest wyłączone, widoczny jest cały dziennikOstatni dzieńOstatni tydzieńOstatni miesiącOdstęp czasu — można określić dokładny okres (daty i godziny), aby wyświetlać tylko rekordy zarejestrowane wtym czasie.

Oprócz powyższych ustawień filtrowania dostępne są następujące opcje:Tylko całe wyrazy — wyświetlanie tylko rekordów, które odpowiadają z dokładnością do całych wyrazów ciągowiwprowadzonemu w polu tekstowym Co.Uwzględniaj wielkość liter — wyświetlanie tylko rekordów, które odpowiadają z dokładnością do wielkości literciągowi wprowadzonemu w polu tekstowym Co.Włącz inteligentne filtrowanie — po włączeniu tej opcji program ESET Mail Security przeprowadza filtrowanie z

88

88

użyciem własnych metod.Po skonfigurowaniu opcji filtrowania należy kliknąć przycisk OK, aby zastosować filtr. W oknie Pliki dziennika będąwidoczne tylko rekordy odpowiadające wybranym kryteriom.

4.5.2 Znaj dowanie w dzienniku

Uzupełnieniem opcji filtrowania dziennika jest funkcja wyszukiwania w plikach dziennika, z której można teżkorzystać niezależnie od filtrowania. Jest ona przydatna w razie potrzeby znalezienia określonych rekordów wdziennikach. Analogicznie do filtrowania, wyszukiwanie ułatwia dotarcie do potrzebnych informacji, zwłaszcza gdyzarejestrowanych jest zbyt wiele rekordów.Przy korzystaniu z funkcji Znajdź w dzienniku można wpisać ciąg znaków do znalezienia (Co), wskazać kolumny doprzeszukiwania (Szukaj w kolumnach), wybrać Typy rekordów i zaznaczyć Okres, aby przeszukiwać tylko rekordyzarejestrowane w danym przedziale czasu. Po skonfigurowaniu określonych opcji wyszukiwania w oknie Plikidziennika będą widoczne tylko odpowiadające im rekordy.W celu wyszukiwania w dziennikach należy otworzyć okno Znajdź w dzienniku, naciskając kombinację klawiszyCtrl+F.UWAGA: Funkcji Znajdź w dzienniku można używać w połączeniu z filtrowaniem dziennika . Na początek możnaograniczyć liczbę rekordów za pomocą filtrowania, a następnie rozpocząć wyszukiwanie w odfiltrowanychrekordach.

Co: Należy tu wpisać ciąg znaków (wyraz lub część wyrazu). Zostaną znalezione tylko rekordy zawierające danyciąg. Pozostałe rekordy zostaną pominięte.Szukaj w kolumnach: Należy wybrać kolumny, które mają być brane pod uwagę podczas wyszukiwania. Napotrzeby wyszukiwania można zaznaczyć jedną lub więcej kolumn. Domyślnie zaznaczone są wszystkie kolumny:

GodzinaModułZdarzenieUżytkownik

Typy rekordów: Umożliwia wybór typu rekordów, które mają być wyszukiwane. Można wskazać jeden określonytyp rekordu, wiele typów naraz lub wszystkie typy rekordów (domyślnie):

DiagnostykaInformacjaOstrzeżenieBłądKrytyczne

Okres: Ta opcja umożliwia zawężenie wyszukiwania do rekordów z danego czasu. Można wybrać jedno znastępujących ustawień:

Cały dziennik (domyślnie) — kryterium okresu nie jest uwzględniane i przeszukiwany jest cały dziennikOstatni dzieńOstatni tydzieńOstatni miesiącOdstęp czasu — można określić dokładny okres (daty i godziny), aby przeprowadzić wyszukiwanie tylko wrekordach zarejestrowanych w tym czasie.

Oprócz powyższych ustawień wyszukiwania dostępne są następujące opcje:Tylko całe wyrazy — wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do całych wyrazów ciągowi

87

87

89

wprowadzonemu w polu tekstowym Co.Uwzględniaj wielkość liter — wyszukiwane są tylko rekordy, które odpowiadają z dokładnością do wielkości literciągowi wprowadzonemu w polu tekstowym Co.Szukaj w górę — umożliwia wyszukiwanie od bieżącej pozycji w górę.Po skonfigurowaniu opcji wyszukiwania należy kliknąć przycisk Znajdź, aby rozpocząć przeszukiwanie.Wyszukiwanie zostaje zatrzymane po znalezieniu pierwszego rekordu spełniającego kryteria. Ponowne kliknięcieprzycisku Znajdź powoduje kontynuację wyszukiwania. Pliki dziennika są przeszukiwane od góry do dołu,począwszy do bieżącej pozycji (od zaznaczonego rekordu).

4.5.3 Administracj a dziennikami

Dostęp do konfiguracji dzienników programu ESET Mail Security można uzyskać z poziomu okna głównegoprogramu. Należy kliknąć kolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych >Narzędzia > Pliki dziennika. Można określić następujące opcje plików dziennika:

Usuwaj rekordy automatycznie: wpisy dziennika starsze niż podana liczba dni będą automatycznie usuwane.Automatycznie optymalizuj pliki dziennika: umożliwia automatyczną defragmentację plików dziennika wprzypadku przekroczenia określonego procentu nieużywanych rekordów.Minimalna szczegółowość zapisów w dzienniku: umożliwia określenie poziomu szczegółowości zapisów wdzienniku. Dostępne ustawienia:

- Rekordy diagnostyczne — powoduje rejestrowanie w dzienniku informacji potrzebnych do ulepszeniakonfiguracji programu i wszystkich rekordów wymienionych powyżej.- Rekordy informacyjne — powoduje rejestrowanie wszystkich komunikatów informacyjnych, w tympowiadomień o pomyślnych aktualizacjach, oraz wszystkich rekordów wymienionych powyżej.- Ostrzeżenia — powoduje rejestrowanie w dzienniku wszystkich błędów krytycznych oraz komunikatówostrzegawczych.- Błędy — powoduje rejestrowanie tylko komunikatów o błędach „Błąd pobierania pliku” oraz błędów krytycznych.- Ostrzeżenia krytyczne — powoduje rejestrowanie tylko błędów krytycznych (błędy uruchamiania ochronyantywirusowej itp.).

90

4.6 ESET SysInspector

4.6.1 Wprowadzenie do programu ESET SysInspector

Program ESET SysInspector jest aplikacją, która dokładnie sprawdza stan komputera i wyświetla zgromadzonedane w kompleksowy sposób. Informacje o zainstalowanych sterownikach i aplikacjach, połączeniach sieciowychlub ważnych wpisach w rejestrze ułatwiają śledzenie podejrzanego zachowania systemu, które może wynikać zniezgodności programowej lub sprzętowej bądź zainfekowania szkodliwym oprogramowaniem.Dostęp do programu SysInspector można uzyskać na dwa sposoby: korzystając z wersji zintegrowanej w programieESET Mail Security albo bezpłatnie pobierając wersję autonomiczną (SysInspector.exe) z witryny internetowej firmyESET. Aby otworzyć program SysInspector, aktywuj tryb zaawansowany, naciskając klawisze CTRL + M i klikającopcję Narzędzia > SysInspector. Obie wersje mają identyczne funkcje i te same elementy sterujące programu.Jedyna różnica to sposób zarządzania danymi wyjściowymi. Zarówno wersja pobrana samodzielnie, jak izintegrowana umożliwia wyeksportowanie migawek systemu do pliku xml i zapisanie ich na dysku. Jednak wersjazintegrowana umożliwia ponadto zapisanie migawek systemu bezpośrednio w pozycji Narzędzia > SysInspector(więcej informacji znajduje się w sekcji Program SysInspector jako element oprogramowania ESET Mail Security).Skanowanie komputera przy użyciu programu ESET SysInspector wymaga nieco czasu. Może to potrwać od 10sekund do kilku minut w zależności od konfiguracji sprzętowej, systemu operacyjnego i liczby aplikacjizainstalowanych na komputerze.

4.6.1.1 Uruchamianie programu ESET SysInspector

Aby uruchomić program ESET SysInspector, wystarczy uruchomić plik wykonywalny SysInspector.exe pobrany zwitryny firmy ESET. Jeśli jest już zainstalowany jeden z produktów zabezpieczających firmy ESET, program ESETSysInspector można uruchomić bezpośrednio z menu Start (Programy > ESET > ESET Mail Security). Po włączeniuaplikacji zostanie wykonana inspekcja systemu, która w zależności od sprzętu i zbieranych danych może potrwaćkilka minut.

4.6.2 Interfej s użytkownika i używanie aplikacj i

W celu zachowania przejrzystości okno główne zostało podzielone na cztery podstawowe sekcje — Formantyprogramu (u góry), okno nawigacji (z lewej strony), okno opisu (z prawej strony pośrodku) oraz okno szczegółów (zprawej strony u dołu). W sekcji Stan dziennika są wyświetlane podstawowe parametry dziennika (stosowany filtr,typ filtru, utworzenie dziennika w wyniku porównania itp.).

98

91

4.6.2.1 Sterowanie programem

W tej części opisano wszystkie elementy sterujące dostępne w programie ESET SysInspector.PlikKlikając pozycję Plik, można zapisać bieżący stan systemu w celu zbadania go w późniejszym terminie albootworzyć zapisany wcześniej dziennik. Jeśli użytkownik chce opublikować dziennik, zaleca się jego wygenerowanieprzy użyciu opcji Przeznaczony do wysłania. W tej formie w dzienniku są pomijane informacje poufne (nazwabieżącego użytkownika, nazwa komputera, nazwa domeny, uprawnienia bieżącego użytkownika, zmienneśrodowiskowe itp.).UWAGA: Zapisane wcześniej raporty programu ESET SysInspector można otwierać, przeciągając je i upuszczając wgłównym oknie programu.DrzewoUmożliwia rozwijanie i zwijanie wszystkich węzłów oraz eksportowanie wybranych sekcji do skryptu usługi.ListaZawiera funkcje ułatwiające nawigację w obrębie programu oraz wykonywanie innych czynności, na przykładwyszukiwanie informacji w trybie online.PomocZawiera informacje dotyczące aplikacji i jej funkcji.SzczegółyTo ustawienie wpływa na kształt informacji wyświetlanych w oknie głównym i ułatwia pracę z tymi danymi. Wtrybie „Podstawowe” użytkownik ma dostęp do informacji umożliwiających wyszukiwanie rozwiązań typowychproblemów z systemem. W trybie „Średnie” program wyświetla rzadziej używane informacje. W trybie „Pełne”program ESET SysInspector wyświetla wszystkie informacje potrzebne do rozwiązywania konkretnych problemów.Filtrowanie elementówFiltrowanie elementów wykorzystuje się najczęściej do wyszukiwania podejrzanych plików lub wpisów rejestru wsystemie. Korygując ustawienie suwaka, można filtrować elementy według ich poziomu ryzyka. Jeśli suwakznajdzie się w skrajnym lewym położeniu (poziom ryzyka 1), zostaną wyświetlone wszystkie elementy. Przesunięciesuwaka w prawo spowoduje, że program odfiltruje wszystkie elementy o poziomie ryzyka niższym niż bieżący,wyświetlając tylko te elementy, które są bardziej podejrzane, niż wynika to z wybranego poziomu. W przypadkuustawienia suwaka w skrajnym prawym położeniu są wyświetlane tylko elementy znane jako szkodliwe.Wszystkie elementy o poziomie ryzyka od 6 do 9 mogą stanowić zagrożenie bezpieczeństwa. Jeśli użytkownik niekorzysta z oprogramowania zabezpieczającego firmy ESET, zalecane jest przeskanowanie systemu przy użyciunarzędzia ESET Online Scanner w przypadku wykrycia takich elementów przez program ESET SysInspector. UsługaESET Online Scanner jest bezpłatna.UWAGA: Poziom ryzyka elementu można łatwo ustalić, porównując jego kolor z kolorem na suwaku Poziomryzyka.SzukajKorzystając z funkcji wyszukiwania, można szybko znaleźć określony element, podając jego nazwę lub częśćnazwy. Wyniki wyszukiwania są wyświetlane w oknie opisu.PowrótKlikając strzałki Wstecz i Dalej, można powrócić do informacji poprzednio wyświetlanych w oknie opisu. Zamiastklikać przyciski Wstecz lub Dalej, można używać klawisza Backspace i klawisza spacji.Sekcja stanuW tej sekcji jest wyświetlany bieżący węzeł w oknie nawigacji.Ważne: Elementy wyróżnione kolorem czerwonym są nieznane, dlatego oznaczono je jako potencjalnieniebezpieczne. Wystąpienie elementu zaznaczonego kolorem czerwonym nie oznacza automatycznie, że możnausunąć plik. Przed usunięciem należy upewnić się, że pliki są faktycznie niebezpieczne lub niepotrzebne.

4.6.2.2 Nawigacj a w programie ESET SysInspector

W programie ESET SysInspector różne rodzaje informacji są podzielone na kilka podstawowych sekcji, określanychmianem węzłów. Niekiedy dodatkowe szczegóły można znaleźć po rozwinięciu węzła w jego podwęzły. Abyotworzyć lub zwinąć węzeł, należy kliknąć dwukrotnie jego nazwę albo kliknąć symbol lub znajdujący się oboknazwy. Przeglądając strukturę drzewa węzłów i podwęzłów w oknie nawigacji, można wyświetlać okna opisuzawierające różne informacje szczegółowe dotyczące każdego węzła. Podczas przeglądania elementów w oknieopisu można uzyskać dostęp do dodatkowych informacji szczegółowych dotyczących poszczególnych elementóww oknie szczegółów.Poniżej znajdują się opisy głównych węzłów w oknie nawigacji, wraz z powiązanymi informacjami z okien opisu iszczegółów.Uruchomione procesyTen węzeł zawiera informacje o aplikacjach i procesach uruchomionych w chwili generowania raportu. W oknieopisu można znaleźć dodatkowe informacje szczegółowe dotyczące poszczególnych procesów, takie jak biblioteki

92

dynamiczne używane przez dany proces i ich lokalizacja w systemie, nazwa dostawcy aplikacji, poziom ryzykaprzypisany do danego pliku itd.W oknie szczegółów są wyświetlane dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu,takie jak rozmiar pliku czy jego skrót.UWAGA: W skład systemu operacyjnego wchodzi wiele ważnych komponentów jądra, które działają cały czas orazzapewniają podstawowe i istotne funkcje dla innych aplikacji użytkownika. W niektórych przypadkach takieprocesy są wyświetlane w narzędziu ESET SysInspector ze ścieżką rozpoczynającą się od ciągu \??\. Te symbolezapewniają optymalizację tych procesów przed ich uruchomieniem i są bezpieczne dla systemu.Połączenia siecioweOkno opisu zawiera listę procesów i aplikacji komunikujących się w sieci przy użyciu protokołu wybranego w oknienawigacji (TCP lub UDP) oraz adres zdalny, z którym jest połączona dana aplikacja. Można również sprawdzićadresy IP serwerów DNS.W oknie szczegółów są wyświetlane dodatkowe informacje dotyczące elementów zaznaczonych w oknie opisu,takie jak rozmiar pliku czy jego skrót.Ważne wpisy w rejestrzeZawiera listę wybranych wpisów rejestru, które są często związane z różnymi problemami z systemem, na przykładwpisy określające programy uruchamiane wraz z systemem, obiekty pomocnika przeglądarki (BHO) itd.W oknie opisu można sprawdzić, które pliki są powiązane z określonymi wpisami w rejestrze. W oknie szczegółówznajdują się dodatkowe informacje.UsługiOkno opisu zawiera listę plików zarejestrowanych jako usługi systemu Windows. W oknie szczegółów możnasprawdzić ustawiony sposób uruchamiania danej usługi, jak również przejrzeć informacje szczegółowe dotyczącepliku.SterownikiLista sterowników zainstalowanych w systemie.Pliki krytyczneW oknie opisu jest wyświetlana zawartość plików krytycznych związanych z systemem operacyjnym MicrosoftWindows.Informacje o systemieZawiera szczegółowe informacje o sprzęcie i oprogramowaniu, ustawionych zmiennych środowiskowych iprawach użytkownika.Szczegóły plikuLista ważnych plików systemowych i plików w folderze Program Files. Dodatkowe informacje dotycząceposzczególnych plików można znaleźć w oknach opisu i szczegółów.InformacjeInformacje o programie ESET SysInspector.

4.6.2.3 Funkcj a Porównaj

Funkcja Porównaj umożliwia porównywanie dwóch istniejących dzienników. W wyniku działania tej funkcjipowstaje zestaw wpisów różniących się między dziennikami. Porównywanie może być przydatne, gdy użytkownikchce śledzić zmiany w systemie. Dzięki temu można na przykład wykryć działanie złośliwego kodu.Po uruchomieniu tej funkcji jest tworzony nowy dziennik wyświetlany w nowym oknie. Aby zapisać dziennik wpliku, należy kliknąć kolejno opcje Plik > Zapisz dziennik. Pliki dzienników można otwierać i przeglądać wdowolnym momencie. Aby otworzyć istniejący dziennik, należy kliknąć kolejno opcje Plik > Otwórz dziennik. Wgłównym oknie programu ESET SysInspector zawsze jest wyświetlany tylko jeden dziennik naraz.Porównanie dwóch dzienników umożliwia wyświetlenie bieżącego aktywnego dziennika oraz dziennikazapisanego w pliku. Aby porównać dzienniki, należy użyć polecenia Plik > Porównaj dziennik i wybrać opcjęWybierz plik. Wybrany dziennik zostanie porównany z dziennikiem aktywnym w głównym oknie programu. Wdzienniku porównawczym zostaną wyświetlone tylko różnice między tymi dwoma dziennikami.UWAGA: W przypadku porównywania dwóch plików dziennika należy kliknąć kolejno opcje Plik > Zapisz dziennik izapisać dane w pliku ZIP. Zapisane zostaną oba pliki. Otwarcie takiego pliku w późniejszym terminie powodujeautomatyczne wyświetlenie porównania zawartych w nim dzienników.Obok wyświetlonych elementów w programie SysInspector widoczne są symbole określające różnice międzyporównywanymi dziennikami.Wpisy oznaczone symbolem można znaleźć jedynie w aktywnym dzienniku (nie występują w otwartym dziennikuporównawczym). Wpisy oznaczone symbolem znajdują się tylko w otwartym dzienniku i nie występują waktywnym dzienniku. Opis wszystkich symboli wyświetlanych obok wpisów:

Nowa wartość, nieobecna w poprzednim dzienniku. Sekcja struktury drzewa zawiera nowe wartości. Wartość usunięta, obecna jedynie w poprzednim dzienniku.

93

Sekcja struktury drzewa zawiera usunięte wartości. Zmodyfikowano wartość/plik. Sekcja struktury drzewa zawiera zmodyfikowane wartości/pliki. Poziom ryzyka zmniejszył się / był wyższy w poprzednim dzienniku. Poziom ryzyka się zwiększył/był niższy w poprzednim dzienniku.

W sekcji wyjaśnień (wyświetlanej w lewym dolnym rogu) znajduje się opis wszystkich symboli wraz z nazwamiporównywanych dzienników.

Dziennik porównawczy można zapisać do pliku i otworzyć w późniejszym terminie.PrzykładWygenerowano dziennik zawierający pierwotne informacje o systemie i zapisano go w pliku o nazwie poprzedni.xml. Po wprowadzeniu zmian w systemie otwarto program SysInspector w celu wygenerowania nowegodziennika. Zapisano go w pliku biezacy.xml.Aby prześledzić zmiany, które zaszły między tymi dwoma dziennikami, należy kliknąć kolejno opcje Plik > Porównajdzienniki. Program utworzy dziennik porównawczy zawierający różnice między dziennikami.Ten sam rezultat można osiągnąć za pomocą następującej opcji wiersza poleceń: SysInspector.exe biezacy.xml poprzedni.xml

4.6.3 Parametry wiersza polecenia

Program ESET SysInspector obsługuje generowanie raportów przy użyciu wiersza polecenia z zastosowaniemnastępujących parametrów:/gen powoduje wygenerowanie dziennika bezpośrednio z wiersza polecenia bez uruchamiania

graficznego interfejsu użytkownika./privacy powoduje wygenerowanie dziennika z wyłączeniem informacji poufnych./zip powoduje zapisanie wynikowego dziennika bezpośrednio na dysku w pliku skompresowanym./silent powoduje wyłączenie wyświetlania paska postępu obrazującego tworzenie dziennika./help, /? powoduje wyświetlenie informacji dotyczących parametrów wiersza polecenia.PrzykładyAby załadować określony dziennik bezpośrednio do przeglądarki, należy użyć polecenia: SysInspector.exe "c:\clientlog.xml"Aby wygenerować dziennik w aktualnej lokalizacji, należy użyć polecenia: SysInspector.exe /genAby wygenerować dziennik w określonym folderze, należy użyć polecenia: SysInspector.exe /gen="c:\folder\"Aby wygenerować dziennik w określonym pliku lub określonej lokalizacji, należy użyć polecenia: SysInspector.exe /gen="c:\folder\nowydziennik.xml"Aby wygenerować dziennik z wyłączeniem informacji poufnych bezpośrednio w pliku skompresowanym, należyużyć polecenia: SysInspector.exe /gen="c:\nowydziennik.zip" /privacy /zipAby porównać dwa dzienniki, należy użyć polecenia: SysInspector.exe "biezacy.xml" "pierwotny.xml"UWAGA: Jeśli nazwa pliku/folderu zawiera spację, nazwę należy ująć w cudzysłów.

4.6.4 Skrypt usługi

Skrypt usługi to przydatne narzędzie przeznaczone dla użytkowników programu ESET SysInspector, któreumożliwia łatwe usuwanie niepożądanych obiektów z systemu.Za pomocą skryptu usługi użytkownik może wyeksportować cały dziennik programu SysInspector lub jego część.Po wyeksportowaniu można oznaczyć niepożądane obiekty do usunięcia. Następnie można uruchomićzmodyfikowany dziennik, aby usunąć oznaczone obiekty.Skrypt usługi jest przeznaczony dla zaawansowanych użytkowników mających doświadczenie w diagnozowaniuproblemów z systemem. Nieodpowiednie modyfikacje mogą prowadzić do uszkodzenia systemu operacyjnego.PrzykładJeśli użytkownik podejrzewa, że komputer został zainfekowany wirusem, który nie jest wykrywany przezposiadany program antywirusowy, należy wykonać instrukcje przedstawione poniżej:

Uruchom program ESET SysInspector, aby wygenerować nową migawkę systemu.

94

Zaznacz pierwszy element w lewej sekcji (w strukturze drzewa), naciśnij klawisz Ctrl i zaznacz ostatni element,co spowoduje zaznaczenie wszystkich elementów.Kliknij prawym przyciskiem myszy wybrane obiekty i wybierz opcję Eksportuj wybrane sekcje do skryptu usługiz menu kontekstowego.Zaznaczone obiekty zostaną wyeksportowane do nowego dziennika.Najważniejszy krok w całej procedurze: otwórz nowy dziennik i zmień atrybut - na + dla wszystkich obiektów,które chcesz usunąć. Należy się upewnić, że nie oznaczono żadnych ważnych plików lub obiektów systemuoperacyjnego.Otwórz program ESET SysInspector, kliknij opcje Plik > Uruchom skrypt usługi i wprowadź ścieżkę do skryptu.Kliknij przycisk OK, aby uruchomić skrypt.

4.6.4.1 Tworzenie skryptu usługi

Aby wygenerować skrypt, kliknij prawym przyciskiem myszy dowolny element drzewa menu w lewym panelugłównego okna programu SysInspector. Z menu kontekstowego wybierz opcję Eksportuj wszystkie sekcje doskryptu usługi lub Eksportuj wybrane sekcje do skryptu usługi.UWAGA: Nie jest możliwe wyeksportowanie skryptu usługi, gdy są porównywane dwa dzienniki.

4.6.4.2 Struktura skryptu usługi

Pierwszy wiersz nagłówka skryptu zawiera informację o wersji aparatu (ev), wersji interfejsu GUI (gv) i wersjidziennika (lv). Na podstawie tych danych można śledzić zmiany w pliku xml używanym do wygenerowania skryptu,aby zapobiec ewentualnym niespójnościom podczas wykonywania. Tej części skryptu nie należy zmieniać.Pozostała część pliku jest podzielona na sekcje zawierające pozycje dostępne do edycji. Modyfikowanie pliku polegana wskazaniu elementów, które mają być przetwarzane przez skrypt. Oznaczenie wybranego elementu doprzetwarzania wymaga zastąpienia poprzedzającego go znaku „-” znakiem „+”. Kolejne sekcje skryptu są oddzielanepustymi wierszami. Każda sekcja ma numer i tytuł.01) Running processes (Uruchomione procesy)Ta sekcja zawiera listę wszystkich procesów uruchomionych w systemie. Każdy proces jest identyfikowany przezścieżkę UNC, po której następuje odpowiadający mu skrót CRC16 ujęty w znaki gwiazdki (*).Przykład:01) Running processes:- \SystemRoot\System32\smss.exe *4725*- C:\Windows\system32\svchost.exe *FD08*+ C:\Windows\system32\module32.exe *CF8A*[...]

W tym przykładzie proces module32.exe został wybrany (oznaczony znakiem „+”), co spowoduje jego zakończeniepo wykonaniu skryptu.02) Loaded modules (Załadowane moduły)Ta sekcja zawiera listę aktualnie używanych modułów systemowych.Przykład:02) Loaded modules:- c:\windows\system32\svchost.exe- c:\windows\system32\kernel32.dll+ c:\windows\system32\khbekhb.dll- c:\windows\system32\advapi32.dll[...]

W tym przykładzie moduł khbekhb.dll został oznaczony znakiem „+”. Po uruchomieniu skryptu procesy korzystającez tego modułu zostaną wykryte i zakończone. 03) TCP connections (Połączenia TCP)Ta sekcja zawiera informacje o istniejących połączeniach TCP.Przykład:03) TCP connections:- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE- Listening on *, port 135 (epmap), owner: svchost.exe+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System[...]

Po uruchomieniu skryptu zlokalizowani zostaną właściciele gniazd odpowiadających zaznaczonym połączeniomTCP i gniazda te zostaną zamknięte, zwalniając tym samym zasoby systemowe.04) UDP endpoints (Punkty końcowe UDP)Ta sekcja zawiera informacje o istniejących punktach końcowych UDP.

95

Przykład:04) UDP endpoints:- 0.0.0.0, port 123 (ntp)+ 0.0.0.0, port 3702- 0.0.0.0, port 4500 (ipsec-msft)- 0.0.0.0, port 500 (isakmp)[...]

Po uruchomieniu skryptu zlokalizowani zostaną właściciele gniazd odpowiadających zaznaczonym punktomkońcowym UDP i gniazda te zostaną zamknięte.05) DNS server entries (Wpisy serwera DNS)Ta sekcja zawiera informacje o aktualnej konfiguracji serwera DNS.Przykład:05) DNS server entries:+ 204.74.105.85- 172.16.152.2[...]

Po uruchomieniu skryptu zaznaczone wpisy serwera DNS zostaną usunięte.06) Important registry entries (Ważne wpisy w rejestrze)Ta sekcja zawiera informacje o ważnych wpisach w rejestrze.Przykład:06) Important registry entries:* Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- HotKeysCmds = C:\Windows\system32\hkcmd.exe- IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c* Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main+ Default_Page_URL = http://thatcrack.com/[...]

Po uruchomieniu skryptu zaznaczone wpisy zostaną usunięte, nadpisane bajtami zerowymi lub przywrócone dowartości domyślnych. Działanie podejmowane dla danego wpisu rejestru zależy od jego kategorii i odpowiadającejmu wartości klucza.07) Services (Usługi)Ta sekcja zawiera listę usług zarejestrowanych w systemie.Przykład:07) Services:- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup:Automatic- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup:Automatic- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup:Manual[...]

Po wykonaniu skryptu zaznaczone usługi wraz z usługami od nich zależnymi zostaną zatrzymane i odinstalowane.08) Drivers (Sterowniki)Ta sekcja zawiera listę zainstalowanych sterowników.Przykład:08) Drivers:- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual[...]

Po wykonaniu skryptu zaznaczone sterowniki zostaną wyrejestrowane z systemu i usunięte.09) Critical files (Pliki krytyczne)Ta sekcja zawiera informacje o plikach krytycznych dla działania systemu operacyjnego.Przykład:09) Critical files:* File: win.ini- [fonts]- [extensions]- [files]- MAPI=1[...]* File: system.ini- [386Enh]- woafont=dosapp.fon- EGA80WOA.FON=EGA80WOA.FON[...]* File: hosts- 127.0.0.1 localhost- ::1 localhost[...]

Zaznaczone elementy zostaną usunięte albo zostaną im przywrócone wartości domyślne.

96

4.6.4.3 Wykonywanie skryptów usługi

Oznacz wszystkie żądane pozycje, a następnie zapisz i zamknij skrypt. Uruchom zmodyfikowany skryptbezpośrednio z okna głównego programu SysInspector, wybierając z menu Plik opcję Uruchom skrypt usługi. Pootwarciu skryptu w programie zostanie wyświetlone okno z następującym komunikatem: Czy na pewnouruchomić skrypt usługi „%Nazwa_skryptu%”? Po potwierdzeniu może się pojawić kolejne ostrzeżenie zinformacją, że uruchamiany skrypt usługi nie został podpisany. Kliknij przycisk Uruchom, aby uruchomić skrypt.Pomyślne wykonanie skryptu zostanie zasygnalizowane w oknie dialogowym.Jeśli skrypt udało się przetworzyć tylko częściowo, zostanie wyświetlone okno dialogowe z następującymkomunikatem: Skrypt usługi został częściowo uruchomiony. Czy wyświetlić raport o błędach? Kliknij przyciskTak, aby wyświetlić szczegółowy raport o błędach zawierający listę niewykonanych operacji.Jeśli skrypt nie został rozpoznany, zostanie wyświetlone okno dialogowe z następującym komunikatem: Wybranyskrypt usługi nie jest podpisany. Uruchamianie niepodpisanych i nieznanych skryptów może poważniezaszkodzić danym na komputerze. Czy na pewno uruchomić skrypt i wykonać działania? Może to byćspowodowane niespójnością skryptu (uszkodzony nagłówek, błędny tytuł sekcji, brak pustego wiersza pomiędzysekcjami itd.). Można ponownie otworzyć plik skryptu i poprawić błędy w skrypcie albo utworzyć nowy skryptusługi.

4.6.5 Skróty

Podczas pracy z programem ESET SysInspector można korzystać z następujących skrótów klawiaturowych:PlikCtrl+O otwarcie istniejącego dziennikaCtrl+S zapisanie utworzonych dziennikówGenerujCtrl+G standardowe sprawdzenie stanu systemuCtrl+H sprawdzenie systemu, które może obejmować rejestrowanie informacji poufnychFiltrowanie elementów1, O Czysty (wyświetlane są elementy o poziomie ryzyka 1–9)2 Czysty (wyświetlane są elementy o poziomie ryzyka 2–9)3 Czysty (wyświetlane są elementy o poziomie ryzyka 3–9)4, U Nieznany (wyświetlane są elementy o poziomie ryzyka 4–9)5 Nieznany (wyświetlane są elementy o poziomie ryzyka 5–9)6 Nieznany (wyświetlane są elementy o poziomie ryzyka 6–9)7, B Ryzykowny (wyświetlane są elementy o poziomie ryzyka 7–9)8 Ryzykowny (wyświetlane są elementy o poziomie ryzyka 8–9)9 Ryzykowny (wyświetlane są elementy o poziomie ryzyka 9)- obniżenie poziomu ryzyka+ podwyższenie poziomu ryzykaCtrl+9 tryb filtrowania, poziom jednakowy lub wyższyCtrl+0 tryb filtrowania, tylko jednakowy poziomWidokCtrl+5 widok wg dostawcy, wszyscy dostawcyCtrl+6 widok wg dostawcy, tylko MicrosoftCtrl+7 widok wg dostawcy, wszyscy pozostali dostawcyCtrl+3 wyświetlenie szczegółów w trybie PełneCtrl+2 wyświetlenie szczegółów w trybie ŚrednieCtrl+1 tryb PodstawowyBackSpace przejście o krok wsteczSpacja przejście o krok w przódCtrl+W rozwinięcie drzewaCtrl+Q zwinięcie drzewaInne formanty

97

Ctrl+T przejście do pierwotnej lokalizacji elementu po wybraniu go spośród wyników wyszukiwaniaCtrl+P wyświetlenie podstawowych informacji o elemencieCtrl+A wyświetlenie pełnych informacji o elemencieCtrl+C skopiowanie drzewa bieżącego elementuCtrl+X skopiowanie elementówCtrl+B wyszukanie informacji o wybranych plikach w InternecieCtrl+L otwarcie folderu zawierającego wybrany plikCtrl+R otwarcie odpowiedniego wpisu w edytorze rejestruCtrl+Z skopiowanie ścieżki do pliku (jeśli element jest powiązany z plikiem)Ctrl+F przełączenie do pola wyszukiwaniaCtrl+D zamknięcie wyników wyszukiwaniaCtrl+E uruchomienie skryptu usługiPorównywanieCtrl+Alt+O otwarcie dziennika oryginalnego/porównawczegoCtrl+Alt+R anulowanie porównaniaCtrl+Alt+1 wyświetlenie wszystkich wpisówCtrl+Alt+2 wyświetlenie tylko dodanych wpisów, w dzienniku zostaną wyświetlone wpisy występujące w

bieżącym dziennikuCtrl+Alt+3 wyświetlenie tylko usuniętych wpisów, w dzienniku zostaną wyświetlone wpisy występujące w

poprzednim dziennikuCtrl+Alt+4 wyświetlenie tylko zastąpionych wpisów (z uwzględnieniem plików)Ctrl+Alt+5 wyświetlenie tylko różnic między dziennikamiCtrl+Alt+C wyświetlenie porównaniaCtrl+Alt+N wyświetlenie bieżącego dziennikaCtrl+Alt+P otwarcie poprzedniego dziennikaInneF1 wyświetlenie pomocyAlt+F4 zamknięcie programuAlt+Shift+F4 zamknięcie programu bez wcześniejszego monituCtrl+I statystyki dziennika

4.6.6 Wymagania systemowe

Aby zapewnić płynne działanie programu ESET SysInspector, komputer powinien spełniać następujące wymaganiadotyczące sprzętu i oprogramowania:System Windows 2000, XP, 2003Procesor 400 MHz 32-bitowy (x86) / 64-bitowy (x64) 128MB pamięci systemowej RAM10 MB wolnego miejscaEkran Super VGA (800 x 600)System Windows 7, Vista, 2008Procesor 1 GHz 32-bitowy (x86) / 64-bitowy (x64) 512 MB pamięci systemowej RAM10 MB wolnego miejscaEkran Super VGA (800 x 600)

4.6.7 Często zadawane pytania

Czy do uruchomienia programu ESET SysInspector wymagane są uprawnienia administratora?Do uruchomienia programu ESET SysInspector nie są wymagane uprawnienia administratora, jednak dostęp doniektórych informacji gromadzonych przez ten program można uzyskać tylko z konta administratora.Uruchomienie tego programu przez użytkownika z uprawnieniami standardowymi lub ograniczonymi spowodujezgromadzenie mniejszej ilości informacji na temat środowiska operacyjnego.Czy program ESET SysInspector tworzy plik dziennika?W programie ESET SysInspector można utworzyć plik dziennika rejestrujący konfigurację komputera. Aby zapisaćten plik, z menu głównego należy wybrać kolejno opcje Plik > Zapisz dziennik. Dzienniki są zapisywane w formacieXML. Domyślnie pliki są zapisywane w katalogu %USERPROFILE%\Moj e dokumenty\, a przyjęta konwencja tworzenianazw plików to SysInspector-%COMPUTERNAME%-RRMMDD-GGMM.XML. W razie potrzeby przed zapisaniemmożna zmienić lokalizację i nazwę pliku dziennika.W jaki sposób można wyświetlić plik dziennika utworzony w programie ESET SysInspector?Aby wyświetlić plik dziennika utworzony przez program ESET SysInspector, należy uruchomić ten program i z menugłównego wybrać kolejno opcje Plik > Otwórz dziennik. Można również przeciągnąć i upuścić pliki dziennika naaplikację ESET SysInspector. Jeśli użytkownik często wyświetla pliki dziennika w programie ESET SysInspector,

98

warto utworzyć skrót do pliku SYSINSPECTOR.EXE na pulpicie. Następnie można przeciągać i upuszczać plikidziennika na ten skrót w celu ich wyświetlenia. Ze względów bezpieczeństwa systemy Windows Vista i Windows 7mogą nie zezwalać na operacje przeciągania i upuszczania między oknami z różnymi uprawnieniami zabezpieczeń.Czy jest dostępna specyfikacja formatu pliku dziennika? Co z zestawem SDK?Ponieważ program jest nadal opracowywany, aktualnie nie są dostępne specyfikacje pliku dziennika ani zestawSDK. Po wydaniu programu specyfikacje mogą zostać udostępnione, z uwzględnieniem opinii i potrzeb klientów.W jaki sposób program ESET SysInspector ocenia ryzyko związane z danym obiektem?W większości przypadków w programie ESET SysInspector poziomy ryzyka są przypisywane do obiektów (plików,procesów, kluczy rejestru itd.) przy użyciu zestawu reguł heurystycznych, które umożliwiają zbadanie właściwości iocenę potencjału szkodliwego działania poszczególnych obiektów. Na podstawie analizy heurystycznej doobiektów są przypisywane poziomy ryzyka od 1 ((BRAK RYZYKA, KOLOR ZIELONY) do 9 (WYSOKIE RYZYKO,KOLOR CZERWONY). W lewym okienku nawigacyjnym sekcje są pokolorowane zgodnie z najwyższym poziomemryzyka występującego w nich obiektu.Czy poziom ryzyka 6 (Nieznany - kolor czerwony) oznacza, że obiekt jest niebezpieczny?Oceny sugerowane w programie ESET SysInspector nie gwarantują, że dany obiekt jest szkodliwy; ostatecznywerdykt powinien wydać specjalista zajmujący się bezpieczeństwem. Program ESET SysInspector zostałopracowany, aby umożliwić ekspertom ds. bezpieczeństwa uzyskanie szybkiego przeglądu sytuacji i informacji otym, które obiekty w systemie wymagają dokładniejszego zbadania pod kątem nietypowego działania.Dlaczego program ESET SysInspector nawiązuje połączenie z Internetem po uruchomieniu?Podobnie jak wiele innych aplikacji program ESET SysInspector jest podpisany przy użyciu certyfikatu z podpisemcyfrowym w celu zapewnienia, że został opublikowany przez firmę ESET i nie uległ modyfikacji. W celuzweryfikowania certyfikatu system operacyjny kontaktuje się z urzędem certyfikacji, co pozwala sprawdzićtożsamość wydawcy oprogramowania. Jest to normalne zachowanie w przypadku wszystkich cyfrowopodpisanych programów działających w systemie Microsoft Windows.Co to jest technologia Anti-Stealth?Technologia Anti-Stealth zapewnia skuteczne wykrywanie programów typu rootkit.Jeśli system zostanie zaatakowany przez złośliwy kod zachowujący się jak program typu rootkit, użytkownik będzienarażony na uszkodzenie lub kradzież danych. Bez specjalnego narzędzia jest prawie niemożliwe wykrycie takichprogramów.Dlaczego czasami niektóre pliki oznaczone jako „Podpisane przez MS” mają jednocześnie inny wpis „Nazwafirmy”?Podczas próby identyfikacji podpisu cyfrowego pliku wykonywalnego narzędzie SysInspector najpierw wyszukujeinformacje o tym, czy podpis jest osadzony w pliku. W takim przypadku dane identyfikacyjne z pliku są używanepodczas sprawdzania poprawności. Jeśli plik nie zawiera podpisu cyfrowego, program ESI rozpoczynawyszukiwanie odpowiedniego pliku CAT (w katalogu zabezpieczeń %systemroot%\system32\catroot), który zawierainformacje na temat przetwarzanego pliku wykonywalnego. Jeśli zostanie znaleziony odpowiedni plik CAT,podczas weryfikowania pliku wykonywalnego zostanie zastosowany podpis cyfrowy z pliku CAT.Dlatego właśnie niektóre pliki są oznaczone jako „Podpisane przez MS”, ale zawierają inny wpis w pozycji „Nazwafirmy”.Przykład:W systemie Windows 2000 dostępna jest aplikacja HyperTerminal znajdująca się w folderze C:\ProgramFiles\Windows NT. Główny plik wykonywalny aplikacji nie jest podpisany cyfrowo, jednak narzędzie SysInspectoroznacza go jako podpisany przez firmę Microsoft. Jest to spowodowane obecnością odwołania w pliku C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat wskazującego na plik C:\ProgramFiles\Windows NT\hypertrm.exe (główny plik wykonywalny aplikacji HyperTerminal), a plik sp4.cat jest podpisanycyfrowo przez firmę Microsoft.

4.6.8 Program SysInspector j ako element oprogramowania ESET Mail Security

Aby otworzyć sekcję SysInspector w oprogramowaniu ESET Mail Security, kliknij kolejno pozycje Narzędzia >SysInspector. System zarządzania w oknie programu SysInspector jest podobny do obsługi dziennikówskanowania lub zaplanowanych zadań na komputerze. Wszystkie operacje dotyczące migawek systemu(tworzenie, wyświetlanie, porównywanie, usuwanie i eksportowanie) są dostępne po jednym lub dwóchkliknięciach.Okno programu SysInspector zawiera podstawowe informacje o utworzonych migawkach, takie jak godzinautworzenia, krótki komentarz, nazwa użytkownika, który utworzył migawkę, oraz stan migawki.Aby w odniesieniu do migawek użyć funkcji Porównaj, Utwórz lub Usuń, należy skorzystać z odpowiadających tymfunkcjom przycisków umieszczonych pod listą migawek w oknie programu SysInspector. Te opcje są takżedostępne w menu kontekstowym. Aby wyświetlić wybraną migawkę systemu, w menu kontekstowym należykliknąć opcję Wyświetl. Aby wyeksportować wybrany zapis stanu bieżącego do pliku, należy kliknąć go prawymprzyciskiem myszy i wybrać opcję Eksportuj.

99

Poniżej przedstawiono szczegółowy opis dostępnych opcji:Funkcja Porównaj — umożliwia porównanie dwóch istniejących dzienników. Ta opcja jest przydatna, gdyużytkownik chce prześledzić różnice między aktualnym a starszym dziennikiem. Aby skorzystać z tej opcji, należywybrać dwie migawki, które mają zostać porównane.Dodaj — umożliwia utworzenie nowego rekordu. Najpierw należy wprowadzić krótki komentarz dotyczącyrekordu. Postęp tworzenia migawki (dotyczący aktualnie generowanej migawki) można sprawdzić w kolumnie Stan. Wszystkie zakończone migawki mają stan Utworzono.Usuń — umożliwia usunięcie pozycji z listy.Eksportuj — powoduje zapisanie wybranej pozycji w pliku XML (także w wersji skompresowanej).

4.7 ESET SysRescue

ESET SysRescue to narzędzie, które umożliwia utworzenie dysku rozruchowego zawierającego oprogramowanieESET Mail Security. Główną zaletą programu ESET SysRescue jest fakt, że oprogramowanie ESET Mail Securitydziała niezależnie od systemu operacyjnego komputera, mając jednocześnie bezpośredni dostęp do dysku i całegosystemu plików. Umożliwia to usunięcie infekcji, których nie można usunąć w normalnych warunkach, na przykładpodczas działania systemu operacyjnego itp.

4.7.1 Minimalne wymagania

Program ESET SysRescue działa w środowisku Microsoft Windows Preinstallation Environment (Windows PE) wwersji 2.x, która jest oparta na systemie Windows Vista. Środowisko Windows PE jest elementem bezpłatnegozestawu zautomatyzowanej instalacji systemu Windows (Windows AIK), dlatego przed utworzeniem dysku CDprogramu ESET SysRescue należy zainstalować zestaw Windows AIK (http://go.eset.eu/AIK). Z powodu obsługi 32-bitowej wersji systemu Windows PE wymagane jest stosowanie 32-bitowego pakietu instalacyjnego ESET MailSecurity podczas tworzenia dysku ESET SysRescue w systemach 64-bitowych. Program ESET SysRescue obsługujesystem AIK w wersji 1.1 i późniejszych. Program ESET SysRescue jest dostępny w oprogramowaniu ESET MailSecurity w wersji 4.0 i późniejszych.Obsługiwane systemy operacyjne

Windows 7Windows VistaWindows Vista z dodatkiem Service Pack 1Windows Vista z dodatkiem Service Pack 2Windows Server 2008 Windows Server 2003 z dodatkiem Service Pack 1 z poprawką KB926044 Windows Server 2003 z dodatkiem Service Pack 2 Windows XP z dodatkiem Service Pack 2 z poprawką KB926044Windows XP z dodatkiem Service Pack 3

4.7.2 W j aki sposób utworzyć ratunkową płytę CD

Aby uruchomić kreatora dysku programu ESET SysRescue, należy kliknąć kolejno polecenia Start > Programy >ESET > ESET Mail Security > ESET SysRescue.W pierwszej kolejności kreator sprawdza, czy zainstalowano zestaw Windows AIK oraz odpowiednie urządzenie doutworzenia nośnika rozruchowego. Jeśli zestaw Windows AIK nie został zainstalowany na komputerze (lub jestuszkodzony bądź zainstalowany nieprawidłowo), kreator umożliwi jego zainstalowanie lub wprowadzenie ścieżkido folderu z tym zestawem (http://go.eset.eu/AIK).W następnym kroku należy wybrać nośnik docelowy, na którym ma zostać umieszczony program ESETSysRescue.

4.7.3 Wybór nośnika docelowego

Oprócz nośnika CD/DVD/USB można wybrać zapisanie zawartości dysku programu ESET SysRescue w pliku ISO.Następnie można nagrać obraz ISO na płycie CD/DVD lub użyć go w inny sposób (np. w środowisku wirtualnymVMware lub VirtualBox).W przypadku nagrania na nośniku USB program może nie uruchamiać się na niektórych komputerach. Wniektórych wersjach systemu BIOS mogą wystąpić problemy z komunikacją między systemem BIOS a menedżeremrozruchu (np. w systemie Windows Vista) i rozruch zakończy się następującym komunikatem o błędzie:plik: \boot\bcdstan: 0xc000000einformacje: wystąpił błąd podczas próby odczytania danych konfiguracji rozruchu

W przypadku napotkania takiego komunikatu zaleca się użycie płyty CD zamiast nośnika USB.

99

100

4.7.4 Ustawienia

Przed rozpoczęciem tworzenia dysku programu ESET SysRescue, w ostatnim kroku kreatora dysku programu ESETSysRescue kreator instalacji wyświetla parametry kompilacji. Można je zmodyfikować, klikając przycisk Zmień.Dostępne opcje:

FolderyESET AntivirusZaawansowaneProtokół internetowy Urządzenie rozruchowe USB (o ile zaznaczono docelowe urządzenie USB) Nagrywanie (o ile zaznaczono docelowy dysk CD/DVD)

Przycisk Utwórz jest nieaktywny, jeśli nie określono żadnego pakietu instalacyjnego MSI lub na komputerze nie jestzainstalowane żadne rozwiązanie firmy ESET z zakresu bezpieczeństwa. Aby wybrać pakiet instalacyjny, należykliknąć przycisk Zmień i przejść na kartę ESET Antivirus. Dodatkowo, jeśli nie wpisano nazwy użytkownika i hasła (Zmień > ESET Antivirus), przycisk Utwórz jest wyszarzony.

4.7.4.1 Foldery

Folder tymczasowy to katalog roboczy służący do przechowywania plików wymaganych podczas kompilacji dyskuESET SysRescue.Folder pliku ISO to folder, w którym po zakończeniu kompilacji zapisywany jest wynikowy plik ISO.Lista znajdująca się na tej karcie zawiera wszystkie lokalne i mapowane dyski sieciowe (wraz z dostępnym na nichwolnym miejscem). Jeśli jakieś foldery znajdują się na dysku z niewystarczającym wolnym miejscem, zaleca sięwybranie innego dysku zawierającego więcej dostępnego miejsca. W przeciwnym razie kompilacja może zakończyćsię przedwcześnie z powodu braku wolnego miejsca.Aplikacje zewnętrzne — umożliwia wybranie dodatkowych programów, które zostaną uruchomione lubzainstalowane po uruchomieniu komputera z nośnika ESET SysRescue.Uwzględnij aplikacje zewnętrzne — umożliwia dodanie zewnętrznych programów do kompilacji dysku ESETSysRescue.Wybrany folder — folder zawierający programy, które mają zostać dodane do dysku ESET SysRescue.

4.7.4.2 ESET Antivirus

W celu utworzenia płyty CD programu ESET SysRescue można wybrać dwa źródła plików firmy ESET do użycia przezkompilator.Folder ESS/EAV — pliki znajdujące się w folderze, w którym zainstalowano produkt firmy ESET na komputerze.Plik MSI — pliki znajdujące się w instalatorze MSI.Następnie można wybrać opcję zaktualizowania lokalizacji plików (nup). Standardowo powinna być ustawionaopcja domyślna Folder ESS/EAV / plik MSI. W niektórych przypadkach można wybrać niestandardowy Folderaktualizacji, na przykład w celu użycia starszej lub nowszej wersji bazy sygnatur wirusów.Można użyć jednego z następujących źródeł nazwy użytkownika i hasła:Zainstalowany program ESS/EAV — nazwa użytkownika i hasło zostaną skopiowane z aktualniezainstalowanego programu ESET Mail Security.Od użytkownika — nazwę użytkownika i hasło należy wprowadzić w odpowiednich polach tekstowych.UWAGA: Oprogramowanie ESET Mail Security na dysku CD programu ESET SysRescue jest aktualizowane zInternetu lub z oprogramowania ESET Security zainstalowanego na komputerze, na którym uruchamiany jest dyskCD programu ESET SysRescue.

4.7.4.3 Ustawienia zaawansowane

Karta Zaawansowane pozwala dostosować płytę CD programu ESET SysRescue do rozmiaru pamięcizainstalowanej w komputerze. Wybierz wartość 576 MB lub więcej w celu zapisania zawartości płyty CD wpamięci operacyjnej (RAM). W przypadku wybrania wartości mniej niż 576 MB podczas działania środowiskaWinPE komputer będzie stale odczytywać zawartość ratunkowej płyty CD.W sekcji Sterowniki zewnętrzne można wstawić określone sterowniki sprzętowe (zwykle sterownik kartysieciowej). Choć środowisko WinPE jest oparte na systemie Windows Vista SP1, który obsługuje szeroką gamęsprzętu, niektóre urządzenia mogą nie zostać rozpoznane. Taka sytuacja wymaga ręcznego dodania sterownika.Sterownik można wprowadzić do kompilacji ESET SysRescue na dwa sposoby — ręcznie (przycisk Dodaj) lubautomatycznie (przycisk Wyszukaj automatycznie). W przypadku ręcznego wprowadzania sterownika należywybrać ścieżkę do odpowiedniego pliku INF (w tym folderze musi się również znajdować właściwy plik *.sys). Wtrybie automatycznym sterownik jest wyszukiwany automatycznie w systemie operacyjnym komputera. Zaleca sięzastosowanie trybu automatycznego tylko wtedy, gdy program ESET SysRescue jest używany na komputerze ztaką samą kartą sieciową, jak karta zainstalowana w komputerze, na którym utworzono dysk programu ESET

100

100

100

101

101

101

101

SysRescue. Podczas tworzenia dysku ESET SysRescue sterownik jest wprowadzany do kompilacji, dzięki czemupóźniej nie trzeba go szukać.

4.7.4.4 Protokół internetowy

W tej sekcji można określić podstawowe informacje na temat sieci i skonfigurować wstępnie zdefiniowanepołączenia po uruchomieniu programu ESET SysRescue.Aby automatycznie uzyskać adres IP z serwera DHCP (Dynamic Host Configuration Protocol), należy zaznaczyćopcję Automatyczny prywatny adres IP.Dla tego połączenia sieciowego można także ręcznie określić adres IP (czyli nadać statyczny adres IP). Abyskonfigurować odpowiednie ustawienia protokołu IP, należy wybrać opcję Niestandardowe. W przypadkuwybrania tej opcji należy określić dane w polu Adres IP, a w przypadku sieci LAN i szybkich połączeń internetowychtakże w polu Maska podsieci. W polach Preferowany serwer DNS i Alternatywny serwer DNS należy wpisaćadresy podstawowego i pomocniczego serwera DNS.

4.7.4.5 Urządzenie rozruchowe USB

Jeśli jako nośnik docelowy wybrano urządzenie USB, na karcie Urządzenie rozruchowe USB można wybrać jedno zdostępnych urządzeń (jeśli dostępnych jest wiele urządzeń USB).Należy wybrać odpowiednie urządzenie docelowe (opcja Urządzenie), na którym zostanie zainstalowany programESET SysRescue.Ostrzeżenie: Podczas tworzenia dysku programu ESET SysRescue wybrane urządzenie USB zostanie sformatowane.Wszystkie dane zapisane na urządzeniu zostaną usunięte.W przypadku wybrania opcji Szybkie formatowanie podczas formatowania z partycji zostaną usunięte wszystkiepliki, ale dysk nie zostanie przeskanowany w poszukiwaniu uszkodzonych sektorów. Tę opcję można wybrać, jeśliurządzenie USB zostało wcześniej sformatowane i na pewno nie jest uszkodzone.

4.7.4.6 Nagrywanie

Jeśli jako nośnik docelowy wybrana została płyta CD/DVD, na karcie Nagrywanie można określić dodatkoweparametry nagrywania.Usuń plik ISO — zaznaczenie tej opcji powoduje usunięcie tymczasowego pliku ISO po utworzeniu płyty CDprogramu ESET SysRescue.Włączone usuwanie — umożliwia wybranie szybkiego wymazywania i pełnego wymazywania.Urządzenie nagrywające — należy wybrać napęd używany do nagrywania.Ostrzeżenie: Jest to opcja domyślna. W przypadku używania płyty CD/DVD wielokrotnego zapisu wszystkieznajdujące się na niej dane zostaną usunięte.Sekcja Nośnik zawiera informacje o nośniku znajdującym się aktualnie w stacji dysków CD/DVD.Szybkość nagrywania — należy wybrać odpowiednią szybkość z menu rozwijanego. Podczas wybierania szybkościnagrywania należy uwzględnić możliwości urządzenia nagrywającego oraz typ używanej płyty CD/DVD.

4.7.5 Praca z programem ESET SysRescue

Aby ratunkowa płyta CD/DVD/dysk USB mógł działać skutecznie, należy uruchomić komputer z nośnikarozruchowego ESET SysRescue. Priorytet uruchamiania można zmodyfikować w systemie BIOS. Innymrozwiązaniem jest użycie menu startowego podczas uruchamiania komputera (zazwyczaj służy do tego jeden zklawiszy F9–F12, w zależności od wersji płyty głównej/systemu BIOS).Po uruchomieniu systemu z nośnika rozruchowego zostanie uruchomiony program ESET Mail Security. Ponieważprogram ESET SysRescue jest używany jedynie w określonych sytuacjach, niektóre moduły ochrony oraz funkcjedostępne w standardowej wersji oprogramowania ESET Mail Security nie są potrzebne — ich lista jest ograniczonado opcji Skanowanie komputera, Aktualizacja oraz niektórych sekcji w obszarze Ustawienia. Możliwośćaktualizacji bazy sygnatur wirusów jest najważniejszą funkcją programu ESET SysRescue i zalecane jestzaktualizowanie programu przed uruchomieniem skanowania komputera.

102

4.7.5.1 Korzystanie z programu ESET SysRescue

Załóżmy, że komputery w sieci zostały zarażone wirusem modyfikującym pliki wykonywalne (exe). Program ESETMail Security może wyleczyć wszystkie zarażone pliki oprócz pliku explorer.exe, którego nie można wyleczyć nawetw trybie awaryjnym.Jest to spowodowane faktem, że program explorer.exe, który jest jednym z podstawowych procesów systemuWindows, jest uruchamiany również w trybie awaryjnym. Program ESET Mail Security nie może wykonać żadnychoperacji na tym pliku, dlatego pozostanie on zarażony.W takiej sytuacji można użyć programu ESET SysRescue, aby rozwiązać problem. Program ESET SysRescue niewymaga żadnych składników systemu operacyjnego komputera, dzięki czemu może przetwarzać (leczyć, usuwać)wszystkie pliki na dysku.

4.8 Opcj e interfej su użytkownika

Opcje konfiguracji interfejsu użytkownika w programie ESET Mail Security umożliwiają dostosowanie środowiskapracy do potrzeb użytkownika. Opcje konfiguracji są dostępne w obszarze Interfejs użytkownika w drzewieustawień zaawansowanych programu ESET Mail Security.W sekcji Elementy interfejsu użytkownika znajduje się opcja Tryb zaawansowany, która pozwala na przejście dotrybu zaawansowanego. W trybie zaawansowanym są wyświetlane bardziej szczegółowe ustawienia i dodatkoweformanty programu ESET Mail Security. Opcję Graficzny interfejs użytkownika należy wyłączyć, jeśli elementy graficzne spowalniają wydajnośćkomputera lub powodują inne problemy. Można go również wyłączyć, aby na przykład uniknąć konfliktów zespecjalnymi aplikacjami służącymi do odczytywania tekstu wyświetlanego na ekranie, z których korzystają osobyniedowidzące.Aby wyłączyć ekran powitalny programu ESET Mail Security, należy usunąć zaznaczenie opcji Pokaż ekranpowitalny przy uruchamianiu.W górnej części głównego okna programu ESET Mail Security znajduje się menu standardowe, które można włączyćlub wyłączyć za pomocą opcji Użyj standardowego menu.Jeśli opcja Pokaż etykiety narzędzi jest włączona, po umieszczeniu kursora na wybranej opcji zostaniewyświetlony jej krótki opis. Włączenie opcji Zaznacz aktywny element menu spowoduje zaznaczenie dowolnegoelementu, który znajduje się w obszarze działania kursora myszy. Zaznaczony element zostanie uruchomiony pokliknięciu przyciskiem myszy.Aby zwiększyć lub zmniejszyć szybkość animowanych efektów, należy wybrać opcję Użyj animowanych kontroleki przesunąć suwak Szybkość w lewo lub w prawo.Jeśli do wyświetlania postępu różnych operacji mają być używane animowane ikony, należy wybrać opcję Użyjanimowanych ikon jako wskaźnika postępu. Aby po wystąpieniu ważnego zdarzenia program generował dźwięk,należy wybrać opcję Użyj sygnałów dźwiękowych.

103

Interfejs użytkownika udostępnia również opcję ochrony hasłem parametrów konfiguracji programu ESET MailSecurity. Ta opcja znajduje się w podmenu Ochrona ustawień w menu Interfejs użytkownika. Do zapewnieniamaksymalnego bezpieczeństwa systemu ważne jest prawidłowe skonfigurowanie programu. Nieautoryzowanemodyfikacje mogą powodować utratę ważnych danych. Aby ustawić hasło ochrony parametrów konfiguracji,należy kliknąć przycisk Ustaw hasło.

4.8.1 Alerty i powiadomienia

Sekcja Alerty i powiadomienia w obszarze Interfejs użytkownika umożliwia skonfigurowanie sposobu obsługialertów o zagrożeniach i powiadomień systemowych w programie ESET Mail Security.Pierwszym elementem jest opcja Wyświetlaj alerty. Wyłączenie tej opcji spowoduje anulowanie wszystkich okienalertów — jest to zalecane jedynie w specyficznych sytuacjach. W przypadku większości użytkowników zaleca siępozostawienie ustawienia domyślnego tej opcji (włączona).Aby wyskakujące okienka były automatycznie zamykane po upływie określonego czasu, należy zaznaczyć opcję Automatycznie zamykaj okna komunikatów po (sek). Jeśli użytkownik nie zamknie okna powiadomień ręcznie,zostanie ono zamknięte automatycznie po upływie określonego czasu.Powiadomienia na pulpicie i dymki mają charakter informacyjny i nie proponują ani nie wymagają działań ze stronyużytkownika. Są one wyświetlane w obszarze powiadomień w prawym dolnym rogu ekranu. Aby włączyćwyświetlanie powiadomień na pulpicie, należy zaznaczyć opcję Wyświetlaj powiadomienia na pulpicie.Szczegółowe opcje, takie jak czas wyświetlania powiadomienia i przezroczystość okien, można zmodyfikować pokliknięciu przycisku Konfiguruj powiadomienia.Aby wyświetlić podgląd powiadomień, należy kliknąć przycisk Podgląd. Do konfigurowania czasu wyświetlaniaporad w dymkach służy opcja Wyświetlaj porady w dymkach na pasku zadań (sek.).

104

Kliknięcie pozycji Ustawienia zaawansowane powoduje przejście do dodatkowych opcji konfiguracji w obszarzeAlerty i powiadomienia, które zawierają opcję Wyświetlaj tylko powiadomienia wymagające interwencjiużytkownika. Ta opcja pozwala włączyć lub wyłączyć wyświetlanie alertów i powiadomień niewymagającychinterwencji użytkownika. Wybranie opcji Wyświetlaj tylko powiadomienia wymagające interwencjiużytkownika (podczas uruchamiania aplikacji w trybie pełnoekranowym) powoduje, że powiadomienianiewymagające podjęcia działania przez użytkownika nie są wyświetlane. Z menu rozwijanego Minimalnaszczegółowość zdarzeń do wyświetlenia można wybrać początkowy poziom ważności alertów i powiadomień,które mają być wyświetlane.Ostatnia funkcja w tej sekcji umożliwia określenie miejsca docelowego powiadomień w środowisku z wielomaużytkownikami. Pole W systemach z wieloma użytkownikami wyświetlaj powiadomienia na ekranienastępującego użytkownika: umożliwia określenie użytkownika, który będzie otrzymywał ważne powiadomieniaw programie ESET Mail Security. Zazwyczaj takimi osobami są administrator systemu lub administrator sieci. Taopcja jest szczególnie przydatna w przypadku serwerów terminali, pod warunkiem, że wszystkie powiadomieniasystemowe są wysyłane do administratora.

4.8.2 Wyłączanie interfej su GUI na serwerze terminali

W tym rozdziale omówiono wyłączanie graficznego interfejsu użytkownika (GUI) w programie ESET Mail Securitydziałającym na serwerze terminali systemu Windows dla sesji użytkownika.Graficzny interfejs użytkownika programu ESET Mail Security jest zwykle uruchamiany po zalogowaniu sięzdalnego użytkownika na serwerze i po utworzeniu przez niego sesji terminalu. To działanie jest przeważnieniepożądane w przypadku serwerów terminali. Aby wyłączyć interfejs GUI dla sesji terminali, należy wykonaćponiższe kroki:1. Wprowadź polecenie regedit.exe2. Przejdź do węzła HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run3. Kliknij prawym przyciskiem myszy wartość egui i wybierz opcję Modyfikuj4. Dodaj parametr /terminal na końcu istniejącego wyrażenia.Poniżej przedstawiono przykład wartości elementu egui:"C:\Program Files\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal

Aby cofnąć tę zmianę i włączyć automatyczne uruchamianie interfejsu GUI programu ESET Mail Security, należyusunąć parametr /terminal z wartości rejestru. Aby przejść do wartości egui w rejestrze, należy powtórzyć kroki od 1do 3.

105

4.9 Wiersz polecenia

Moduł antywirusowy programu ESET Mail Security można uruchomić z poziomu wiersza polecenia — ręcznie(polecenie „ecls”) lub za pomocą pliku wsadowego (BAT).Przy uruchamianiu skanera na żądanie z poziomu wiersza polecenia można używać następujących parametrów iprzełączników:Opcje ogólne:- help Pokaż pomoc i zakończ.- version Pokaż informacje o wersji i zakończ.- base-dir = FOLDER Załaduj moduły z FOLDERU.- quar-dir = FOLDER Poddaj FOLDER kwarantannie.- aind Pokaż wskaźnik aktywności.Obiekty docelowe: - files Skanuj pliki (parametr domyślny).- no-files Nie skanuj plików.- boots Skanuj sektory rozruchowe (parametr domyślny).- no-boots Nie skanuj sektorów rozruchowych.- arch Skanuj archiwa (parametr domyślny).- no-arch Nie skanuj archiwów.- max-archive-level = POZIOM Określa maksymalny POZIOM zagnieżdżenia archiwów.- scan-timeout = LIMIT Maksymalny LIMIT czasu skanowania archiwów w sekundach. Jeśli czas

skanowania osiągnie ten limit, skanowanie archiwum zostaje zatrzymane.Skanowanie zostaje następnie wznowione od kolejnego pliku.

- max-arch-size=ROZMIAR Skanuj tylko określoną jako ROZMIAR liczbę pierwszych bajtów archiwów(wartość domyślna 0 = bez limitu).

- mail Skanuj pliki poczty e-mail.- no-mail Nie skanuj plików poczty e-mail.- sfx Skanuj archiwa samorozpakowujące.- no-sfx Nie skanuj archiwów samorozpakowujących.- rtp Skanuj pliki spakowane.- no-rtp Nie skanuj plików spakowanych.- exclude = FOLDER Wyłącz FOLDER ze skanowania.- subdir Skanuj podfoldery (parametr domyślny).- no-subdir Nie skanuj podfolderów.- max-subdir-level = POZIOM Określa maksymalny POZIOM zagnieżdżenia podfolderów (wartość

domyślna 0 = bez limitu).- symlink Uwzględniaj łącza symboliczne (parametr domyślny).- no-symlink Pomijaj łącza symboliczne.- ext-remove = ROZSZERZENIA- ext-exclude = ROZSZERZENIA Wyłącz ze skanowania podane ROZSZERZENIA oddzielone dwukropkami.Metody:- adware Skanuj w poszukiwaniu adware/spyware/riskware.- no-adware Nie skanuj w poszukiwaniu adware/spyware/riskware.- unsafe Skanuj w poszukiwaniu potencjalnie niebezpiecznych aplikacji.- no-unsafe Nie skanuj w poszukiwaniu potencjalnie niebezpiecznych aplikacji.- unwanted Skanuj w poszukiwaniu potencjalnie niepożądanych aplikacji.- no-unwanted Nie skanuj w poszukiwaniu potencjalnie niepożądanych aplikacji.- pattern Używaj sygnatur.- no-pattern Nie używaj sygnatur.- heur Włącz heurystykę.- no-heur Wyłącz heurystykę.- adv-heur Włącz zaawansowaną heurystykę.- no-adv-heur Wyłącz zaawansowaną heurystykę.Leczenie:- action = CZYNNOŚĆ Wykonaj CZYNNOŚĆ na zainfekowanych obiektach. Dostępne czynności:

none (brak), clean (wylecz), prompt (wyświetl monit).- quarantine Kopiuj zainfekowane pliki do kwarantanny (uzupełnienie parametru

„action”).- no-quarantine Nie kopiuj zainfekowanych plików do kwarantanny.Dzienniki:

106

- log-file=PLIK Zapisuj wyniki w PLIKU.- log-rewrite Zastąp plik wyników (domyślnie — dołącz).- log-all Zapisuj również informacje o niezainfekowanych plikach.- no-log-all Nie zapisuj informacji o niezainfekowanych plikach (parametr domyślny).Możliwe kody zakończenia skanowania:0 Nie znaleziono zagrożenia.1 Wykryto zagrożenie, ale go nie usunięto.10 Pozostały pewne zainfekowane pliki.101 Wystąpił błąd archiwum.102 Wystąpił błąd dostępu.103 Wystąpił błąd wewnętrzny.UWAGA: Kody zakończenia o wartości wyższej niż 100 oznaczają, że plik nie został przeskanowany i dlatego możebyć zainfekowany.

4.10 Import i eksport ustawień

Konfigurację programu ESET Mail Security można importować lub eksportować w obszarze Ustawienia pokliknięciu przycisku Import i eksport ustawień.Importowanie i eksportowanie ustawień odbywa się z użyciem plików XML. Funkcja eksportu i importu jestprzydatna, gdy konieczne jest utworzenie kopii zapasowej bieżącej konfiguracji programu ESET Mail Security w celujej użycia w późniejszym czasie. Funkcja eksportu ustawień jest również pomocna dla użytkowników, którzy chcąużywać preferowanej konfiguracji programu ESET Mail Security na wielu komputerach — ustawienia można łatwoprzenieść, importując je z pliku XML.

4.11 ThreatSense.Net

System monitorowania zagrożeń ThreatSense.Net pomaga zapewnić natychmiastowe i ciągłe informowanie firmyESET o nowych próbach ataków. Dwukierunkowy system wczesnego ostrzegania ThreatSense.Net ma jeden cel —poprawę oferowanej ochrony. Najlepszą gwarancją wykrycia nowych zagrożeń natychmiast po ich pojawieniu sięjest „połączenie” jak największej liczby naszych klientów i obsadzenie ich w roli tropicieli zagrożeń. Istnieją dwiemożliwości:1. Można nie włączać systemu monitorowania zagrożeń ThreatSense.Net. Funkcjonalność oprogramowania nieulegnie zmniejszeniu, a użytkownik nadal będzie otrzymywać najlepszą ochronę.2. System ThreatSense.Net można skonfigurować w taki sposób, aby anonimowe informacje o nowychzagrożeniach i lokalizacjach nowego niebezpiecznego kodu były przesyłane w postaci pojedynczego pliku. Ten plikmoże być przesyłany do firmy ESET w celu szczegółowej analizy. Zbadanie zagrożeń pomoże firmie ESET ulepszaćmetody wykrywania zagrożeń. System monitorowania zagrożeń ThreatSense.Net zgromadzi informacje o komputerze użytkownika powiązane znowo wykrytymi zagrożeniami. Te informacje mogą zawierać próbkę lub kopię pliku, w którym wystąpiłozagrożenie, ścieżkę do tego pliku, nazwę pliku, datę i godzinę, proces, za pośrednictwem którego zagrożeniepojawiło się na komputerze, oraz informacje o systemie operacyjnym komputera.Chociaż istnieje możliwość, że w wyniku tego pracownicy laboratorium firmy ESET mogą mieć dostęp doniektórych informacji dotyczących użytkownika lub jego komputera (np. do nazw użytkowników widocznych wścieżce katalogu), nie będą one używane w ŻADNYM innym celu niż ulepszanie systemu monitorowania zagrożeń.Domyślna konfiguracja programu ESET Mail Security zawiera zdefiniowaną opcję pytania użytkownika przedprzesłaniem podejrzanych plików do szczegółowej analizy w laboratorium zagrożeń firmy ESET. Pliki z określonymirozszerzeniami, takimi jak DOC lub XLS, są zawsze wyłączone. Można również dodać inne rozszerzenia, jeśli istniejąpliki, które użytkownik lub jego firma życzy sobie wyłączyć z procesu przesyłania.

107

Do konfiguracji systemu ThreatSense.Net można przejść z poziomu drzewa ustawień zaawansowanych,wybierając kolejno opcje Narzędzia > ThreatSense.Net. Należy zaznaczyć opcję Włącz system monitorowaniazagrożeń ThreatSense.Net, aby uaktywnić tę funkcję, a następnie należy kliknąć przycisk Ustawieniazaawansowane.

4.11.1 Podej rzane pliki

Karta Podejrzane pliki umożliwia skonfigurowanie sposobu przesyłania zagrożeń do laboratorium firmy ESET wcelu przeprowadzenia analizy.Po wykryciu podejrzanego pliku na komputerze można go przesłać do analizy w laboratorium firmy. Jeśli plik okażesię szkodliwą aplikacją, informacje potrzebne do jej wykrywania zostaną dodane do kolejnej aktualizacji bazysygnatur wirusów.Ustawienia można skonfigurować w taki sposób, aby pliki były przesyłane automatycznie. Można też wybrać opcję Pytaj przed przesłaniem, aby uzyskiwać informacje o plikach wysyłanych do analizy i potwierdzać ich wysłanie.

Jeśli żadne pliki nie mają być przesyłane, należy zaznaczyć opcję Nie przesyłaj do analizy. Zaznaczenie tej opcji niewpływa na przesyłanie informacji statystycznych, których ustawienia są konfigurowane w innym miejscu (patrzsekcja Statystyki ).108

108

Kiedy przesyłać — domyślnie jest zaznaczona opcja Natychmiast, aby podejrzane pliki były przesyłane do analizyw laboratorium firmy ESET. Jest to zalecane w przypadku korzystania ze stałego łącza internetowego, dzięki czemupodejrzane pliki mogą być dostarczane bez opóźnienia. Wybór opcji Podczas aktualizacji spowoduje, żepodejrzane pliki będą przesyłane do programu ThreatSense.Net podczas kolejnej aktualizacji.Wyłączenia — umożliwia wyłączenie określonych plików i folderów z przesyłania. Warto na przykład wyłączyć pliki,które mogą zawierać poufne informacje, takie jak dokumenty lub arkusze kalkulacyjne. Najpopularniejsze typyplików należących do tej kategorii (np. DOC) są domyślnie wyłączone. Do listy wyłączonych plików możnadodawać inne typy plików.Kontaktowy adres e-mail — wraz z podejrzanymi plikami opcjonalnie może być wysyłany kontaktowy adres e-mail, który będzie używany do kontaktowania się z użytkownikiem w sytuacji, gdy przeprowadzenie analizy będziewymagało dodatkowych informacji. Należy podkreślić, że specjaliści z firmy ESET kontaktują się z użytkownikiemtylko w szczególnych przypadkach.

4.11.2 Statystyki

System monitorowania zagrożeń ThreatSense.Net gromadzi anonimowe informacje o komputerze użytkownikadotyczące nowo wykrytych zagrożeń. Mogą one obejmować nazwę infekcji, datę i godzinę jej wykrycia, numerwersji programu zabezpieczającego firmy ESET, wersję systemu operacyjnego oraz ustawienia regionalne.Zazwyczaj statystyka jest wysyłana do serwerów firmy ESET raz lub dwa razy dziennie.Poniżej przedstawiono przykład wysyłanego pakietu danych statystycznych:# utc_time=2005-04-14 07:21:28# country="Slovakia"# language="ENGLISH"# osver=5.1.2600 NT# engine=5417# components=2.50.2# moduleid=0x4e4f4d41# filesize=28368# filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1463[1].exe

Kiedy przesyłać — użytkownik może określić termin wysyłania danych statystycznych. Po wybraniu opcjiNatychmiast informacje statystyczne będą wysyłane natychmiast po ich utworzeniu. To ustawienie jestodpowiednie przy korzystaniu ze stałego łącza internetowego. W przypadku zaznaczenia opcji Podczasaktualizacji informacje statystyczne będą wysyłane zbiorczo podczas kolejnej aktualizacji.

109

4.11.3 Przesyłanie

Użytkownik może wybrać sposób przesyłania plików i informacji statystycznych do firmy ESET. Jeśli pliki i danestatystyczne mają być przesyłane wszystkimi dostępnymi sposobami, należy zaznaczyć opcję Przy użyciu zdalnejadministracji (Remote Administrator) lub bezpośrednio do firmy ESET. Zaznaczenie jedynie opcji Przy użyciuzdalnej administracji (Remote Administrator) spowoduje wysyłanie informacji i plików wyłącznie do serwerazdalnej administracji, skąd następnie trafią one do laboratorium firmy ESET. Jeśli zostanie zaznaczona opcja Bezpośrednio do firmy ESET, wszystkie podejrzane pliki i informacje statystyczne będą wysyłane z programu dolaboratorium firmy ESET.

Jeżeli istnieją pliki oczekujące na przesłanie, przycisk Prześlij teraz jest aktywny. Należy kliknąć ten przycisk, abyprzesłać pliki i informacje statystyczne.Zaznaczenie opcji Włącz zapisywanie w dzienniku spowoduje utworzenie dziennika, w którym będą rejestrowanewysyłane pliki i informacje statystyczne.

110

4.12 Administracj a zdalna

Program ESET Remote Administrator (ERA) to wydajne narzędzie służące do zarządzania zasadami zabezpieczeń ipozwalające uzyskać całościowy obraz zabezpieczeń wewnątrz sieci. Jest ono szczególnie użyteczne w dużychsieciach. Narzędzie ERA nie tylko zwiększa poziom bezpieczeństwa, ale również ułatwia administrowanieprogramem ESET Mail Security na klienckich stacjach roboczych.Opcje ustawień administracji zdalnej są dostępne z poziomu okna głównego programu ESET Mail Security. Kliknijkolejno opcje Ustawienia > Otwórz całe drzewo ustawień zaawansowanych > Inne > Administracja zdalna.

Włącz tryb administracji zdalnej, wybierając opcję Połącz z serwerem zdalnej administracji (RemoteAdministrator). Pozwoli to uzyskać dostęp do poniższych opcji:

Odstęp czasu pomiędzy połączeniami z serwerem (min) — służy do określania częstotliwości nawiązywaniaprzez program ESET Mail Security połączenia z serwerem ERA. Jeśli ta opcja zostanie ustawiona na wartość 0,informacje będą przesyłane co 5 sekund.Adres serwera — adres sieciowy serwera, na którym jest zainstalowany serwer ERA Server.Port: — to pole zawiera wstępnie zdefiniowany port serwera używany do nawiązywania połączenia. Zaleca siępozostawienie domyślnego ustawienia portu (2222).Serwer zdalnej administracji (Remote Administrator) wymaga uwierzytelniania — umożliwia wprowadzeniehasła w celu nawiązania połączenia z serwerem ERA Server (jeśli jest to wymagane).

Kliknij przycisk OK, aby potwierdzić zmiany i zastosować ustawienia. Program ESET Mail Security będzie używałtych ustawień w celu nawiązania połączenia z serwerem ERA.

111

4.13 Licencj e

W gałęzi Licencje można zarządzać kluczami licencyjnymi programu ESET Mail Security oraz innych produktówfirmy ESET, na przykład ESET Mail Security itd. Po dokonaniu zakupu klucze licencyjne są dostarczane wraz z nazwąużytkownika i hasłem. Aby dodać lub usunąć klucz licencyjny, należy kliknąć odpowiedni przycisk Dodaj/Usuń woknie menedżera licencji. Menedżer licencji jest dostępny z poziomu drzewa ustawień zaawansowanych powybraniu kolejno opcji Inne > Licencje.

Klucz licencyjny jest plikiem tekstowym zawierającym informacje na temat zakupionego produktu, takie jak jegowłaściciel, liczba licencji oraz data utraty ważności.Okno menedżera licencji umożliwia użytkownikowi przekazywanie i wyświetlanie zawartości klucza licencyjnegoza pomocą przycisku Dodaj — informacje zawarte w kluczu są wyświetlane w menedżerze licencji. Aby usunąć zlisty pliki licencyjne, należy kliknąć przycisk Usuń.Jeśli klucz licencyjny utracił ważność, a użytkownik jest zainteresowany odnowieniem licencji, należy kliknąćprzycisk Zamów, co spowoduje przekierowanie do sklepu internetowego.

112

5. Słowniczek

5.1 Typy infekcj i

Infekcja oznacza atak szkodliwego oprogramowania, które usiłuje uzyskać dostęp do komputera użytkownika i(lub) uszkodzić jego zawartość.

5.1.1 Wirusy

Wirus komputerowy to program, który atakuje system i uszkadza pliki znajdujące się na komputerze. Nazwa tegotypu programów pochodzi od wirusów biologicznych, ponieważ stosują one podobne metody przenoszenia się zjednego komputera na drugi.Wirusy komputerowe atakują głównie pliki wykonywalne i dokumenty. W celu powielenia wirus dokleja swój kodna końcu zaatakowanego pliku. Działanie wirusa komputerowego w skrócie przedstawia się następująco. Pouruchomieniu zainfekowanego pliku wirus uaktywnia się (przed aplikacją, do której jest doklejony) i wykonujezadanie określone przez jego twórcę. Dopiero wtedy następuje uruchomienie zaatakowanej aplikacji. Wirus niemoże zainfekować komputera, dopóki użytkownik (przypadkowo lub rozmyślnie) nie uruchomi lub nie otworzyszkodliwego programu.Wirusy komputerowe różnią się pod względem odgrywanej roli i stopnia stwarzanego zagrożenia. Niektóre z nichsą bardzo niebezpieczne, ponieważ mogą celowo usuwać pliki z dysku twardego. Część wirusów nie powodujenatomiast żadnych szkód — celem ich działania jest tylko zirytowanie użytkownika i zademonstrowanieumiejętności programistycznych ich twórców.Warto zauważyć, że w porównaniu z końmi trojańskimi lub oprogramowaniem spyware wirusy stają się corazrzadsze, ponieważ nie przynoszą autorom żadnych dochodów. Ponadto termin „wirus” jest często błędnie używanyw odniesieniu do wszystkich typów programów infekujących system. Taka interpretacja powoli jednak zanika istosowane jest nowe, ściślejsze określenie „szkodliwe oprogramowanie”.Jeśli komputer został zaatakowany przez wirusa, konieczne jest przywrócenie zainfekowanych plików dopierwotnego stanu, czyli wyleczenie ich przy użyciu programu antywirusowego.Przykłady wirusów: OneHalf, Tenga i Yankee Doodle.

5.1.2 Robaki

Robak komputerowy jest programem zawierającym szkodliwy kod, który atakuje hosty. Robaki rozprzestrzeniająsię za pośrednictwem sieci. Podstawowa różnica między wirusem a robakiem polega na tym, że ten ostatni potrafisamodzielnie powielać się i przenosić — nie musi w tym celu korzystać z plików nosicieli ani sektorówrozruchowych dysku. Robaki rozpowszechniają się przy użyciu adresów e-mail z listy kontaktów oraz wykorzystująluki w zabezpieczeniach aplikacji sieciowych.Robaki są przez to znacznie bardziej żywotne niż wirusy komputerowe. Ze względu na powszechność dostępu doInternetu mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin po opublikowaniu, a w niektórychprzypadkach nawet w ciągu kilku minut. Możliwość szybkiego i niezależnego powielania się powoduje, że są oneznacznie groźniejsze niż inne rodzaje szkodliwego oprogramowania.Robak uaktywniony w systemie może być przyczyną wielu niedogodności: może usuwać pliki, obniżać wydajnośćkomputera, a nawet blokować działanie programów. Natura robaka komputerowego predestynuje go dostosowania w charakterze „środka transportu” dla innych typów szkodliwego oprogramowania.Jeśli komputer został zainfekowany przez robaka, zaleca się usunięcie zainfekowanych plików, ponieważprawdopodobnie zawierają one szkodliwy kod.Przykłady znanych robaków:: Lovsan/Blaster, Stration/Warezov, Bagle i Netsky.

5.1.3 Konie troj ańskie

Komputerowe konie trojańskie uznawano dotychczas za klasę wirusów, które udają pożyteczne programy, abyskłonić użytkownika do ich uruchomienia. Należy jednak koniecznie zauważyć, że było to prawdziwe w odniesieniudo koni trojańskich starej daty — obecnie nie muszą już one ukrywać swojej prawdziwej natury. Ich jedynym celemjest jak najłatwiejsze przeniknięcie do systemu i wyrządzenie w nim szkód. Określenie „koń trojański” stało siębardzo ogólnym terminem używanym w odniesieniu do każdego wirusa, którego nie można zaliczyć do infekcjiinnego typu.W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją często na wiele podkategorii:

Program pobierający (ang. downloader) — szkodliwy program, który potrafi pobierać inne wirusy z Internetu.Program zakażający (ang. dropper) — rodzaj konia trojańskiego, którego działanie polega na umieszczaniu nazaatakowanych komputerach szkodliwego oprogramowania innych typów.Program otwierający furtki (ang. backdoor) — aplikacja, która komunikuje się ze zdalnymi intruzami,umożliwiając im uzyskanie dostępu do systemu i przejęcie nad nim kontroli.

113

Program rejestrujący znaki wprowadzane na klawiaturze (ang. keylogger, keystroke logger) — program,który rejestruje znaki wprowadzone przez użytkownika i wysyła informacje o nich zdalnym intruzom.Program nawiązujący kosztowne połączenia (ang. dialer) — program mający na celu nawiązywanie połączeń zkosztownymi numerami telefonicznymi. Zauważenie przez użytkownika nowego połączenia jest prawieniemożliwe. Programy takie mogą przynosić straty tylko użytkownikom modemów telefonicznych, które nie sąjuż powszechnie używane.

Konie trojańskie występują zwykle w postaci plików wykonywalnych z rozszerzeniem EXE. Jeśli na komputerzezostanie wykryty plik uznany za konia trojańskiego, zaleca się jego usunięcie, ponieważ najprawdopodobniejzawiera szkodliwy kod.Przykłady popularnych koni trojańskich: NetBus, Trojandownloader. Small.ZL, Slapper

5.1.4 Programy typu rootkit

Programy typu rootkit są szkodliwymi aplikacjami, które przyznają internetowym intruzom nieograniczony dostępdo systemu operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu dostępu do komputera (zwykle zwykorzystaniem luki w jego zabezpieczeniach) programy typu rootkit używają funkcji systemu operacyjnego, abyuniknąć wykrycia przez oprogramowanie antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemuWindows. Z tego powodu wykrycie ich przy użyciu zwykłych technik testowania jest prawie niemożliwe.Wykrywanie programów typu rootkit odbywa się na dwóch poziomach:1) Podczas próby uzyskania przez nie dostępu do systemu. Nie są one jeszcze w nim obecne, a zatem są

nieaktywne. Większość aplikacji antywirusowych potrafi wyeliminować programy typu rootkit na tym poziomie(przy założeniu, że rozpoznają takie pliki jako zainfekowane).

2) Gdy są niewidoczne dla zwykłych narzędzi testowych. W programie ESET Mail Security zastosowano technologięAnti-Stealth, która potrafi wykrywać i usuwać także aktywne programy typu rootkit.

5.1.5 Adware

Oprogramowanie adware to oprogramowanie utrzymywane z reklam. Do tej kategorii zaliczane są programywyświetlające treści reklamowe. Takie aplikacje często automatycznie otwierają okienka wyskakujące z reklamamilub zmieniają stronę główną w przeglądarce internetowej. Oprogramowanie adware jest często dołączane dobezpłatnych programów, dzięki czemu ich autorzy mogą pokryć koszty tworzenia tych (zazwyczaj użytecznych)aplikacji.Oprogramowanie adware samo w sobie nie jest niebezpieczne — użytkownikom mogą jedynie przeszkadzaćwyświetlane reklamy. Niebezpieczeństwo związane z oprogramowaniem adware polega jednak na tym, że możeono zawierać funkcje śledzące (podobnie jak oprogramowanie spyware).Jeśli użytkownik zdecyduje się użyć bezpłatnego oprogramowania, powinien zwrócić szczególną uwagę na jegoprogram instalacyjny. Podczas instalacji zazwyczaj jest wyświetlane powiadomienie o instalowaniu dodatkowychprogramów adware. Często jest dostępna opcja umożliwiająca anulowanie instalacji programu adware izainstalowanie programu głównego bez dołączonego oprogramowania tego typu. W niektórych przypadkach zainstalowanie programu bez dołączonego oprogramowania adware jest niemożliwelub powoduje ograniczenie funkcjonalności. Dzięki temu oprogramowanie adware może zostać zainstalowane wsystemie w sposób legalny, ponieważ użytkownik wyraża na to zgodę. W takim przypadku należy kierować sięwzględami bezpieczeństwa. Jeśli na komputerze wykryto plik rozpoznany jako oprogramowanie adware, zaleca sięjego usunięcie, ponieważ zachodzi duże prawdopodobieństwo, że zawiera on szkodliwy kod.

5.1.6 Spyware

Do tej kategorii należą wszystkie aplikacje, które przesyłają prywatne informacje bez zgody i wiedzy użytkownika.Korzystają one z funkcji śledzących do wysyłania różnych danych statystycznych, na przykład listy odwiedzonychwitryn internetowych, adresów e-mail z listy kontaktów użytkownika lub listy znaków wprowadzanych za pomocąklawiatury. Twórcy oprogramowania spyware twierdzą, że te techniki mają na celu uzyskanie pełniejszych informacji opotrzebach i zainteresowaniach użytkowników oraz umożliwiają trafniejsze kierowanie reklam do odbiorców.Problem polega jednak na tym, że nie ma wyraźnego rozgraniczenia między pożytecznymi a szkodliwymiaplikacjami i nikt nie może mieć pewności, czy gromadzone informacje nie zostaną wykorzystane w niedozwolonysposób. Dane pozyskiwane przez spyware mogą obejmować kody bezpieczeństwa, kody PIN, numery kontbankowych itd. Aplikacja spyware jest często umieszczana w bezpłatnej wersji programu przez jego autora w celuuzyskania środków pieniężnych lub zachęcenia użytkownika do nabycia wersji komercyjnej. Nierzadkoużytkownicy są podczas instalacji programu informowani o obecności oprogramowania spyware, co ma ich skłonićdo zakupu pozbawionej go wersji płatnej. Przykładami popularnych bezpłatnych produktów, do których dołączone jest takie oprogramowanie, są aplikacjeklienckie sieci P2P (ang. peer-to-peer). Programy Spyfalcon i Spy Sheriff (oraz wiele innych) należą do szczególnejpodkategorii oprogramowania spyware. Wydają się zapewniać przed nim ochronę, ale w rzeczywistości same sątakimi programami.

114

Jeśli na komputerze zostanie wykryty plik rozpoznany jako spyware, zaleca się jego usunięcie, ponieważ z dużymprawdopodobieństwem zawiera on szkodliwy kod.

5.1.7 Potencj alnie niebezpieczne aplikacj e

Istnieje wiele legalnych programów, które ułatwiają administrowanie komputerami połączonymi w sieć. Jednak wniewłaściwych rękach mogą one zostać użyte do wyrządzania szkód. Program ESET Mail Security zawiera narzędziapozwalające wykrywać takie zagrożenia. Do „potencjalnie niebezpiecznych aplikacji” zaliczane są niektóre legalne programy komercyjne. Są to m.in.narzędzia do dostępu zdalnego, programy do łamania haseł i programy rejestrujące znaki wprowadzane naklawiaturze .W przypadku wykrycia działającej na komputerze potencjalnie niebezpiecznej aplikacji, która nie zostałazainstalowana świadomie przez użytkownika, należy skonsultować się z administratorem sieci lub usunąć ją.

5.1.8 Potencj alnie niepożądane aplikacj e

Aplikacje potencjalnie niepożądane nie musiały być świadomie projektowane w złych intencjach, ale ichstosowanie może w jakimś stopniu obniżać wydajność komputera. Zainstalowanie takiej aplikacji zazwyczajwymaga zgody użytkownika. Po zainstalowaniu programu z tej kategorii działanie systemu jest inne niż przedinstalacją. Najbardziej mogą się rzucać w oczy następujące zmiany:

Otwieranie nowych, nieznanych okienAktywacja i uruchamianie ukrytych procesówZwiększone wykorzystanie zasobów systemowychZmiany w wynikach wyszukiwaniaKomunikacja aplikacji z serwerami zdalnymi

5.2 Poczta e-mail

Poczta e-mail, czyli poczta elektroniczna, to nowoczesna forma komunikacji oferująca wiele korzyści. Umożliwiaszybką, elastyczną i bezpośrednią komunikację, a ponadto odegrała kluczową rolę w rozpowszechnianiu Internetuwe wczesnych latach 90. ubiegłego wieku.Niestety wysoki poziom anonimowości podczas korzystania z poczty e-mail i Internetu pozostawia obszar dlanielegalnych działań, na przykład rozsyłania spamu. Spam można podzielić na niechciane reklamy, fałszywe alarmyoraz wiadomości rozpowszechniające szkodliwe oprogramowanie. Zagrożenie dla użytkownika jest tym większe,że koszty wysyłania wiadomości są znikome, a autorzy spamu mają dostęp do wielu narzędzi i źródełudostępniających nowe adresy e-mail. Dodatkowo objętość i różnorodność spamu bardzo utrudniają jego kontrolę.Im dłużej jest używany dany adres e-mail, tym większe jest prawdopodobieństwo, że znajdzie się on w baziedanych mechanizmu wysyłającego spam. Oto kilka wskazówek zapobiegawczych:

Jeśli to możliwe, nie publikuj swojego adresu e-mail w Internecie.Informuj o swoim adresie e-mail tylko zaufane osoby.W miarę możliwości nie używaj popularnych aliasów — bardziej skomplikowane aliasy zmniejszająprawdopodobieństwo śledzenia.Nie odpowiadaj na spam, który znalazł się w skrzynce odbiorczej.Zachowuj ostrożność podczas wypełniania formularzy internetowych. Zwracaj szczególną uwagę na opcje typu„Tak, chcę otrzymywać informacje dotyczące...”.Używaj „wyspecjalizowanych” adresów e-mail, na przykład innego w pracy, innego do komunikacji ze znajomymiitd.Od czasu do czasu zmieniaj adres e-mail.Używaj rozwiązania antyspamowego.

5.2.1 Reklamy

Reklama internetowa jest jedną z najszybciej rozwijających się form działalności reklamowej. Główne zaletymarketingowe reklamy tego typu to znikome koszty oraz bezpośrednie, niemal natychmiastowe przekazywaniewiadomości. Wiele firm stosuje narzędzia marketingowe związane z pocztą e-mail w celu skutecznej komunikacji zobecnymi i potencjalnymi klientami.Ten sposób reklamy jest pożądany, ponieważ użytkownicy mogą być zainteresowani otrzymywaniem informacjihandlowych na temat określonych produktów. Wiele firm wysyła jednak dużą liczbę niepożądanych wiadomości otreści handlowej. W takich przypadkach reklama za pośrednictwem poczty e-mail wykracza poza dopuszczalnegranice i staje się spamem.Niepożądane wiadomości e-mail stanowią rzeczywisty problem, a ich liczba niestety nie maleje. Autorzyniepożądanych wiadomości e-mail próbują często stworzyć pozory, że przesyłany przez nich spam jest pożądany.

112

115

5.2.2 Fałszywe alarmy

Fałszywy alarm to nieprawdziwa wiadomość przesyłana przez Internet. Fałszywe alarmy są zwykle rozsyłane zapośrednictwem poczty e-mail lub narzędzi komunikacyjnych, takich jak Gadu-Gadu i Skype. Sama wiadomość toczęsto żart lub plotka.Fałszywe alarmy dotyczące wirusów komputerowych mają na celu wzbudzanie w odbiorcach strachu, niepewnościi wątpliwości. Mają oni wierzyć, że istnieje „niewykrywalny wirus” usuwający pliki i pobierający hasła lubwykonujący w ich systemie jakieś inne szkodliwe działania.Niektóre fałszywe alarmy zawierają prośbę do odbiorcy o przekazanie wiadomości wszystkim osobom z jegoksiążki adresowej, co sprzyja dalszemu rozprzestrzenianiu się alarmu. Istnieją fałszywe alarmy na telefonykomórkowe, a także spreparowane prośby o pomoc, informacje o ludziach oferujących wysłanie pieniędzy zzagranicy itd. W większości przypadków nie sposób określić intencji twórcy.Wiadomość z prośbą o przekazanie jej do wszystkich znajomych z dużym prawdopodobieństwem jest takimfałszywym alarmem. W Internecie dostępnych jest wiele witryn, w których można zweryfikować prawdziwośćwiadomości e-mail. Przed przekazaniem dalej wiadomości, która jest podejrzana, dobrze jest zweryfikować ją wInternecie.

5.2.3 Ataki typu „phishing”

Terminem „phishing” określa się działania przestępcze obejmujące stosowanie socjotechnik (manipulowanieużytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane z myślą o uzyskaniudostępu do prywatnych danych, na przykład numerów kont bankowych, kodów PIN itp.Dostęp jest zwykle uzyskiwany w wyniku podszycia się pod osobę lub firmę godną zaufania (np. instytucjęfinansową, towarzystwo ubezpieczeniowe) w spreparowanej wiadomości e-mail. Wiadomość taka jest łudzącopodobna do oryginalnej, ponieważ zawiera materiały graficzne i tekstowe mogące pochodzić ze źródła, pod którepodszywa się nadawca. W tego typu wiadomości znajduje się prośba o wprowadzenie (pod dowolnym pretekstem,np. weryfikacji danych, operacji finansowych) pewnych danych osobowych — numerów kont bankowych lub nazwużytkownika i haseł. Wszystkie dane tego typu mogą zostać po wysłaniu bez trudu przechwycone i wykorzystanedo działań na szkodę użytkownika.Banki, towarzystwa ubezpieczeniowe i inne wiarygodne firmy nigdy nie proszą o podanie nazwy użytkownika ihasła w wiadomościach e-mail przesyłanych bez uprzedzenia.

5.2.4 Rozpoznawanie spamu

W identyfikacji spamu (niepożądanych wiadomości e-mail) w skrzynce pocztowej może pomóc kilka oznak. Jeśliwiadomość spełnia przynajmniej niektóre z następujących kryteriów, jest to najprawdopodobniej spam:

Adres nadawcy nie należy do nikogo z listy kontaktów.Wiadomość zawiera ofertę uzyskania dużej sumy pieniędzy pod warunkiem uprzedniego wpłacenia małej kwoty.Wiadomość zawiera prośbę o wprowadzenie danych osobistych (takich jak numery kont bankowych, nazwyużytkowników i hasła) pod różnymi pretekstami, takimi jak weryfikacja danych czy koniecznośćprzeprowadzenia operacji finansowych.Wiadomość jest napisana w obcym języku.Wiadomość zawiera prośbę o zakup produktu, którym użytkownik nie jest zainteresowany. W przypadkupodjęcia decyzji o kupnie należy sprawdzić, czy nadawca wiadomości jest wiarygodnym dostawcą (należyskonsultować się z oryginalnym producentem produktu).Niektóre słowa zawierają literówki, aby oszukać filtr antyspamowy, na przykład „vaigra” zamiast „viagra” itp.

5.2.4.1 Reguły

W przypadku modułu antyspamowego i klientów poczty e-mail reguł używa się do konfigurowania funkcji pocztyelektronicznej. Reguły składają się z dwóch składników logicznych:1) warunku (np. wiadomość przychodząca z określonego adresu);2) działania (np. usunięcie wiadomości, przeniesienie jej do określonego folderu).Liczba i kombinacje reguł zmieniają się w zależności od programu antyspamowego. Reguły służą w nim doprzeciwdziałania spamowi (niechcianym wiadomościom). Typowe przykłady:

Warunek: przychodząca wiadomość e-mail zawiera pewne słowa spotykane zwykle w spamie. 2. Działanie:usunięcie wiadomości.Warunek: przychodząca wiadomość e-mail zawiera załącznik z rozszerzeniem EXE. 2. Działanie: usunięciezałącznika i dostarczenie wiadomości do skrzynki odbiorczej.Warunek: przychodząca wiadomość e-mail pochodzi od pracodawcy. 2. Działanie: przeniesienie wiadomości dofolderu „Praca”.

Zalecane jest stosowanie w programach antyspamowych różnych kombinacji reguł w celu ułatwieniaadministrowania i zwiększenia skuteczności filtrowania spamu.

116

5.2.4.2 Filtr Bayesa

Filtrowanie spamu metodą Bayesa jest bardzo skuteczną formą filtrowania poczty e-mail, stosowaną prawie wewszystkich rozwiązaniach antyspamowych. Metoda ta umożliwia identyfikację niepożądanej poczty e-mail z dużądokładnością, a przy tym można ją stosować z osobna dla każdego użytkownika.Jej działanie opiera się na następującej zasadzie. W pierwszej fazie odbywa się proces uczenia. Użytkownik ręcznieoznacza wystarczającą liczbę wiadomości e-mail jako wiarygodną pocztę lub jako spam (zazwyczaj po 200wiadomości). Filtr analizuje obie kategorie wiadomości i wykrywa na przykład, że spam zawiera zwykle takiesłowa, jak „rolex” czy „viagra”, natomiast wiarygodne wiadomości są wysyłane przez członków rodziny lub zadresów znajdujących się na liście kontaktów użytkownika. Po przetworzeniu wystarczającej liczby wiadomościfiltr Bayesa może przypisać każdej z nich odpowiednią wartość „wskaźnika spamu” i określić, czy kwalifikuje się onajako spam.Główną zaletą filtra Bayesa jest jego elastyczność. Jeśli na przykład użytkownik jest biologiem, wszystkimprzychodzącym wiadomościom e-mail dotyczącym biologii lub dziedzin pokrewnych nadawany jest ogólnie niższywskaźnik prawdopodobieństwa przynależności do spamu. Jeśli wiadomość zawiera słowa, które w zwykłychokolicznościach kwalifikują ją jako niepożądaną, ale została wysłana przez osobę z listy kontaktów, jest onaoznaczana jako wiarygodna, ponieważ fakt wysłania przez osobę z listy kontaktów ogólnie zmniejszaprawdopodobieństwo przynależności do spamu.

5.2.4.3 Biała lista

Biała lista to wykaz obiektów lub osób, które uzyskały akceptację lub którym przyznano zezwolenie. Termin „białalista poczty e-mail” oznacza listę kontaktów, od których użytkownik chce otrzymywać wiadomości. Tego typu białelisty są tworzone z wykorzystaniem słów kluczowych wyszukiwanych w adresach e-mail, nazwach domen lubadresach IP.Jeśli biała lista jest używana na zasadzie „trybu wyłączności”, korespondencja pochodząca z adresów e-mail, domeni adresów IP, które na niej figurują nie będzie odbierana. Jeśli nie jest stosowana wyłączność, takie wiadomości niebędą usuwane, a jedynie w określony sposób odfiltrowywane.Biała lista działa na odwrotnych zasadach niż czarna lista . Zarządzanie białymi listami jest względnie łatwe,zwłaszcza w porównaniu z czarnymi listami. W celu skuteczniejszego odfiltrowywania spamu zalecane jestkorzystanie zarówno z białej, jak i z czarnej listy.

5.2.4.4 Czarna lista

W znaczeniu ogólnym czarna lista jest listą nieakceptowanych osób i zabronionych obiektów. W świeciewirtualnym jest to technika umożliwiająca odrzucanie wiadomości od wszystkich użytkowników, którzy znajdująsię na takiej liście.Istnieją dwa typy czarnych list: tworzone przez użytkowników za pomocą aplikacji antyspamowych oraz dostępnew Internecie, profesjonalne, regularnie aktualizowane czarne listy sporządzane przez wyspecjalizowane instytucje.Skuteczne blokowanie spamu wymaga stosowania czarnych list, jednak są one bardzo trudne w utrzymaniu,ponieważ codziennie pojawiają się nowe obiekty, które należy blokować. W celu najefektywniejszego filtrowaniaspamu zalecamy korzystanie zarówno z białej listy , jak i z czarnej listy.

5.2.4.5 Kontrola po stronie serwera

Kontrola po stronie serwera to technika umożliwiająca identyfikację masowo rozsyłanej poczty e-mail będącejspamem na podstawie liczby otrzymanych wiadomości oraz reakcji użytkowników. Każda wiadomość pozostawiana serwerze unikatowy cyfrowy „ślad”, który zależy od jej zawartości. Taki unikatowy numer identyfikacyjny niezawiera żadnych informacji na temat zawartości wiadomości e-mail. Dwie identyczne wiadomości zostawiająidentyczne „ślady”, natomiast różne wiadomości zostawiają odmienne „ślady”.Jeśli wiadomość zostaje oznaczona jako spam, jej „ślad” jest wysyłany na serwer. Jeśli na serwerze odebranychzostanie więcej identycznych „śladów” (odpowiadających określonym wiadomościom będącym spamem), „ślad”zostaje umieszczony w bazie danych spamu. Podczas skanowania wiadomości przychodzących program wysyła ich„ślady” do serwera. Serwer zwraca informacje o „śladach” odpowiadających wiadomościom już oznaczonym przezużytkowników jako spam.

116

116