Schutz vor Schadsoftware in Exchange ServerAntimalware protection in Exchange Server

Schutz vor Schadsoftware in Exchange Server 2016 hilft bei der Bekämpfung von Viren und Spyware in Ihrer e-Mail-Messagingumgebung. Viren infizieren andere Programme und Daten, und Sie verteilen sich auf Ihrem Computer und suchen nach zu infizierenden Programmen. Spyware erfasst persönliche Informationen (beispielsweise Anmeldeinformationen und personenbezogene Daten) und sendet Sie an den Autor zurück.Antimalware protection in Exchange Server 2016 helps combat viruses and spyware in your email messaging environment. Viruses infect other programs and data, and they spread throughout your computer looking for programs to infect. Spyware gathers personal information (for example, sign-in information and personal data) and sends it back to its author.

Der Schutz vor Schadsoftware in Exchange Server wurde in Exchange 2013 eingeführt und wird vom Transport-Agent mit dem Namen Schadsoftware-Agent bereitgestellt. Der Agent überprüft Nachrichten, während Sie über den Transport Dienst auf einem Postfachserver Reisen. Sie konfigurieren die Filterung von Schadsoftware mithilfe von:The antimalware protection in Exchange Server was introduced in Exchange 2013, and is provided by the Transport agent named Malware Agent. The agent scans messages as they travel through the Transport service on a Mailbox server. You configure malware filtering by using:

  • Richtlinienfür Antischadsoftware: Angeben von eingehenden und ausgehenden Überprüfungen und Benachrichtigungsoptionen für die Filterung von Schadsoftware. Es gibt eine Standardrichtlinie, die für alle Empfänger in der Exchange-Organisation gilt, und Sie können zusätzliche Richtlinien erstellen, die in einer bestimmten Reihenfolge angewendet werden.Antimalware policies: Specify inbound and outbound scanning and notification options for malware filtering. There's a default policy that applies to all recipients in the Exchange organization, and you can create addtional policies that are applied in a specific order.

  • Einstellungenfür Antischadsoftware-Server: Geben Sie die Fehler-und Wiederholungs Aktionen sowie die Modul-und Definitionsupdate Einstellungen für die Filterung von Schadsoftware an. Der Schadsoftware-Agent verwendet den Internet Zugriff am TCP-Anschluss 80 (HTTP), um stündlich nach Modul-und Definitionsupdates zu suchen.Antimalware server settings: Specify the error and retry actions, and the engine and definition update settings for malware filtering. The Malware agent uses Internet access on TCP port 80 (HTTP) to check for engine and definition updates every hour.

  • Antischadsoftware- Skripts: Aktivieren oder Deaktivieren der Filterung von Schadsoftware auf dem Server und Manuelles Herunterladen von Modul-und Definitionsupdates.Antimalware scripts: Enable or disable malware filtering on the server, and manually download engine and definition updates.

Informationen zu Verfahren im Zusammenhang mit der Filterung von Schadsoftware finden Sie unter Verfahren für Schutz vor Schadsoftware in Exchange Server. Weitere Informationen zu den Antispam-Features in Exchange Server finden Sie unter Antispam Protection in Exchange Server.For procedures related to malware filtering, see Procedures for antimalware protection in Exchange Server. For more information about the antispam features in Exchange Server, see Antispam protection in Exchange Server.

Richtlinien für AntischadsoftwareAntimalware policies

Richtlinien für Antischadsoftware steuern die Aktionen und Benachrichtigungsoptionen für Schadsoftwareerkennungen. Die wichtigen Einstellungen in Richtlinien für Antischadsoftware sind:Antimalware policies control the actions and notification options for malware detections. The important settings in antimalware policies are:

  • Aktion: gibt an, was zu tun ist, wenn eine Nachricht Schadsoftware enthält. Die Optionen sind:Action: Specifies what to do when a message is found to contain malware. The options are:

    • Löschen der Nachricht (dies ist der Standardwert).Delete the message (this is the default value).

    • Ersetzen Sie alle Anlagen durch eine Textdatei, die diesen Standardtext enthält:Replace all attachments with a text file that contains this default text:

      „In mindestens einer Anlage zu dieser E-Mail wurde Schadsoftware erkannt. Alle Anhänge wurden gelöscht."Malware was detected in one or more attachments included with this email. All attachments have been deleted.

    • Ersetzen Sie alle Anlagen durch eine Textdatei, die den von Ihnen angegebenen, benutzerdefinierten Text enthält:Replace all attachments with a text file that contains the custom text you specify.

  • Benachrichtigungen: Wenn eine Richtlinie für Antischadsoftware für das Löschen von Nachrichten konfiguriert ist, können Sie auswählen, ob eine Benachrichtigung an den Absender gesendet werden soll. Sie können Benachrichtigungen senden, je nachdem, ob der Absender intern oder extern ist. Die Standard Benachrichtigungsmeldung weist die folgenden Eigenschaften auf:Notifications: When an antimalware policy is configured to delete messages, you can choose whether to send a notification message to the sender. You can send notification messages based on whether the sender is internal or external. The default notification message has these properties:

    • Von: postmaster Postmaster @ _ <defaultdomain>_. comFrom: Postmaster postmaster@ <defaultdomain>.com

    • Betreff: unzustellbare NachrichtSubject: Undeliverable message

    • Nachrichtentext: Diese Nachricht wurde automatisch von der e-Mail-zusendesoftware erstellt. Ihre e-Mail-Nachricht wurde nicht an die vorgesehenen Empfänger übermittelt, da Schadsoftware erkannt wurde.Message text: This message was created automatically by mail delivery software. Your email message was not delivered to the intended recipients because malware was detected.

      Sie können die Nachrichteneigenschaften für interne und externe Benachrichtigungen anpassen. Sie können auch weitere Empfänger (Administratoren) angeben, die Benachrichtigungen für nicht zustellbare Nachrichten von internen oder externen Absendern erhalten.You can customize the message properties for internal and external notifications. You can also specify additional recipients (administrators) to receive notifications for undeliverable messages from internal or external senders.

  • Empfängerfilter: für benutzerdefinierte Richtlinien für Antischadsoftware können Sie Empfängerbedingungen und Ausnahmen angeben, die bestimmen, für wen die Richtlinie gilt. Sie können diese Eigenschaften für Bedingungen und Ausnahmen verwenden:Recipient filters: For custom antimalware policies, you can specify recipient conditions and exceptions that determine who the policy applies to. You can use these properties for conditions and exceptions:

    • Nach EmpfängerBy recipient

    • Nach akzeptierter DomäneBy accepted domain

    • Nach GruppenmitgliedschaftBy group membership

      Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber die Bedingung oder Ausnahme kann mehrere Werte enthalten. Mehrere Werte derselben Bedingung oder Ausnahme Verwendung oder Logik (beispielsweise _ <Recipient1> _ oder _ <recipient2>). Unterschiedliche Bedingungen oder Ausnahmen verwenden und Logik (beispielsweise _ <Recipient1> _ und _ <Member von Gruppe 1>).You can only use a condition or exception once, but the condition or exception can contain multiple values. Multiple values of the same condition or exception use OR logic (for example, <recipient1> or <recipient2>). Different conditions or exceptions use AND logic (for example, <recipient1> and <member of group 1>).

  • Priorität: Wenn Sie mehrere benutzerdefinierte Richtlinien für Antischadsoftware erstellen, können Sie die Reihenfolge angeben, in der Sie angewendet werden.Priority: If you create multiple custom antimalware policies, you can specify the order that they're applied.

Richtlinien für Antischadsoftware in der Exchange-Verwaltungskonsole im Vergleich zu Exchange-VerwaltungsshellAntimalware policies in the Exchange admin center vs the Exchange Management Shell

Die grundlegenden Elemente für eine Richtlinie für Antischadsoftware sind:The basic elements of an antimalware policy are:

  • Die Filterrichtliniefür Schadsoftware: gibt die Aktions-und Benachrichtigungsoptionen für die Filterung von Schadsoftware an.The malware filter policy: Specifies the action and notification options for malware filtering.

  • Die Filterregelfür Schadsoftware: gibt die Priorität und die Empfängerfilter (für wen die Richtlinie gilt) für eine Schadsoftware-Filterrichtlinie an.The malware filter rule: Specifies the priority and recipient filters (who the policy applies to) for a malware filter policy.

Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Richtlinien für Antischadsoftware in der Exchange-Verwaltungskonsole (EAC) verwalten:The difference between these two elements isn't obvious when you manage antimalware polices in the Exchange admin center (EAC):

  • Wenn Sie eine Richtlinie für Antischadsoftware in der Exchange-Verwaltungskonsole erstellen, erstellen Sie tatsächlich eine Regel für den Schadsoftwarefilter und die entsprechende Richtlinie für Antischadsoftware gleichzeitig und verwenden dabei den gleichen Namen für beides.When you create an antimalware policy in the EAC, you're actually creating a malware filter rule and the associated malware filter policy at the same time using the same name for both.

  • Wenn Sie eine Richtlinie für Antischadsoftware in der Exchange-Verwaltungskonsole ändern, ändern die Einstellungen im Zusammenhang mit Name, Priorität, aktiviert oder deaktiviert und Empfängerfilter die Regel für den Schadsoftwarefilter. Andere Einstellungen (Aktionen und Benachrichtigungsoptionen) ändern die zugeordnete Richtlinie für Antischadsoftware.When you modify an antimalware policy in the EAC, settings related to the name, priority, enabled or disabled, and recipient filters modify the malware filter rule. Other settings (actions and notification options) modify the associated malware filter policy.

  • Wenn Sie eine Richtlinie für Antischadsoftware aus der Exchange-Verwaltungskonsole entfernen, werden die Regel für den Schadsoftwarefilter und die entsprechende Richtlinie für den Schadsoftwarefilter entfernt.When you remove an antimalware policy from the EAC, the malware filter rule and the associated malware filter policy are removed.

In der Exchange-Verwaltungsshell ist der Unterschied zwischen Richtlinien und Regeln für den Schadsoftwarefilter deutlich erkennbar. Richtlinien für den Schadsoftwarefilter werden mithilfe der *-MalwareFilterPolicy -Cmdlets verwaltet, Regeln für Schadsoftwarefilter hingegen mit den *-MalwareFilterRule -Cmdlets.In the Exchange Management Shell, the difference between malware filter policies and malware filter rules is apparent. You manage malware filter policies by using the *-MalwareFilterPolicy cmdlets, and you manage malware filter rules by using the *-MalwareFilterRule cmdlets.

  • In der Exchange-Verwaltungsshell erstellen Sie zuerst die Richtlinie für den Schadsoftwarefilter und dann die Regel für den Schadsoftwarefilter, die die Richtlinie identifiziert, auf die die Regel angewendet wird.In the Exchange Management Shell, you create the malware filter policy first, then you create the malware filter rule that identifies the policy that the rule applies to.

  • In der Exchange-Verwaltungsshell ändern Sie die Einstellungen in der Richtlinie für den Schadsoftwarefilter und in der Regel für den Schadsoftwarefilter separat.In the Exchange Management Shell, you modify the settings in the malware filter policy and the malware filter rule separately.

  • Wenn Sie eine Richtlinie für den Schadsoftwarefilter aus der Exchange-Verwaltungsshell entfernen, wird die entsprechende Regel für den Schadsoftwarefilter nicht entfernt und umgekehrt.When you remove a malware filter policy from the Exchange Management Shell, the corresponding malware filter rule isn't automatically removed, and vice versa.

Standardrichtlinie für AntischadsoftwareDefault antimalware policy

Jeder Postfachserver verfügt über eine integrierte Richtlinie für Antischadsoftware mit dem Namen „Default", die die folgenden Eigenschaften aufweist:Every Mailbox server has a built-in antimalware policy named Default that has these properties:

  • Die Richtlinie für den Schadsoftwarefilter namens „Standard" wird auf alle Empfänger in der Exchange-Organisation angewendet, obwohl der Richtlinie keine Regel für den Schadsoftwarefilter (Empfängerfilter) zugeordnet ist.The malware filter policy named Default is applied to all recipients in the Exchange organization, even though there's no malware filter rule (recipient filters) associated with the policy.

  • Die Richtlinie namens „Standard" weist den benutzerdefinierten Prioritätswert „Niedrigster" auf, der nicht geändert werden kann (die Richtlinie wird immer als letztes angewendet). Alle benutzerdefinierten Richtlinien für Antischadsoftware, die Sie erstellen, haben immer Vorrang vor der Richtlinie „Standard".The policy named Default has the custom priority value Lowest that you can't modify (the policy is always applied last). Any custom antimalware policies that you create always have a higher priority than the policy named Default.

  • Die Richtlinie mit dem Namen Default ist die Standard **** Richtlinie (die IsDefault- TrueEigenschaft hat den Wert), und die Standardrichtlinie kann nicht gelöscht werden.The policy named Default is the default policy (the IsDefault property has the value True), and you can't delete the default policy.

Antischadsoftware-ServereinstellungenAntimalware server settings

Sie können die Cmdlets Get-MalwareFilteringServer und Set-MalwareFilteringServer in der Exchange-Verwaltungsshell verwenden, um das Update, die Zeitüberschreitung sowie Downloadeinstellungen für den Antischadsoftware-Agent auf dem Postfachserver anzuzeigen und zu konfigurieren. Verfahren, in denen diese Cmdlets verwendet werden, finden Sie unter Umgehen von Schadsoftwarefiltern auf einem Postfachserver mithilfe von Exchange-Verwaltungsshell und Konfigurieren von Schadsoftwarefilterung mit Exchange-Verwaltungsshell für die Überprüfung von Nachrichten, die bereits von (EOP) überprüft wurden.You can use the Get-MalwareFilteringServer and Set-MalwareFilteringServer cmdlets in the Exchange Management Shell to view and configure the update, timeout, and download settings for the Malware agent on the Mailbox server. For procedures that use these cmdlets, see Use the Exchange Management Shell to bypass malware filtering on Mailbox servers and Use the Exchange Management Shell to configure malware filtering to rescan messages that were already scanned by EOP.

SchadsoftwareskriptsAntimalware scripts

Exchange umfasst zwei Exchange-Verwaltungsshell-Skripts, die Sie zum Verwalten der Schadsoftwarefilterung verwenden können:Exchange includes two Exchange Management Shell scripts that you can use to manage malware filtering:

  • Disable-Antimalwarescanning.ps1 deaktiviert den Antischadsoftware-Agent sowie Updates für das Antischadsoftwaremodul und Definitionen auf dem Postfachserver.Disable-Antimalwarescanning.ps1 disables the Malware agent, and malware engine and definition updates on the Mailbox server.

  • Enable-Antimalwarescanning.ps1 aktiviert den Antischadsoftware-Agent und Updates für das Antischadsoftwaremodul und Definitionen und führt Modul- und Definitionsupdates auf dem Postfachserver aus.Enable-Antimalwarescanning.ps1 enables the Malware agent, enables malware engine and definition updates, and runs engine and definition updates on the Mailbox server.

  • Update-MalwareFilteringServer.ps1 führt manuell Schadsoftwaremodul- und -definitionsupdates auf dem Postfachserver aus.Update-MalwareFilteringServer.ps1 manually runs malware engine and definition updates on the Mailbox server.

Weitere Informationen zur Verwendung dieser Skripts finden Sie unter Verwenden der Exchange-Verwaltungsshell zum Aktivieren oder Deaktivieren der Filterung von Schadsoftware auf Postfachservern und Herunterladen von Antischadsoftware-Modul-und Definitionsupdates.For more information about using these scripts, see Use the Exchange Management Shell to enable or disable malware filtering on Mailbox servers and Download antimalware engine and definition updates.

Optionen zum Schutz vor Schadsoftware in Exchange ServerAntimalware protection options in Exchange Server

In der folgenden Liste werden die Optionen zum Schutz vor Schadsoftware für Exchange beschrieben:This list describes the antimalware options for Exchange:

  • Integrierter Schutzvor Schadsoftware: Sie können den integrierten Schutz vor Schadsoftware in Exchange verwenden, um Malware zu bekämpfen. Sie können es selbst verwenden, oder Sie können es mit anderen Antischadsoftware-Lösungen koppeln, um eine mehrstufige Abwehr gegen Schadsoftware bereitzustellen.Built-in antimalware protection: You can use the built-in antimalware protection in Exchange to help you combat malware. You can use it by itself, or you can pair it with other antimalware solutions to provide a layered defense against malware.

  • Exchange Online Protection (EoP): Sie können ein Abonnement für EoP, die in Office 365 verwendete Antischadsoftware, bezahlen. EOP nutzt Partnerschaften mit mehreren Antischadsoftware-Modulen, um einen effizienten, kosteneffizienten und mehrschichtigen Schutz vor Schadsoftware zu gewährleisten. Die Vorteile des eingebauten Antischadsoftware-Schutzes mit EOP sind:Exchange Online Protection (EOP): You can pay for a subscription to EOP, which is the antimalware solution that used in Office 365. EOP leverages partnerships with several antimalware engines to provide efficient, cost effective, and multi-layered antimalware protection. The advantages of paring the built-in antimalware protection with EOP are:

    • EOP verwendet mehrere Antischadsoftware-Module, während der integrierte Schutz vor Schadsoftware ein einzelnes Modul verwendet.EOP uses multiple antimalware engines, while the built-in antimalware protection uses a single engine.

    • EOP verfügt über Berichtsfunktionen, die auch Schadsoftwarestatistiken einbeziehen.EOP has reporting capabilities, including malware statistics.

    • EOP stellt ein Feature zur Nachrichtenverfolgung für die eigenständige Behandlung von Problemen mit dem Nachrichtenfluss bereit, das auch Schadsoftwareerkennungen einbezieht.EOP provides the message trace feature for self-troubleshooting mail flow problems including malware detections.

      Weitere Informationen zu EOP finden Sie unter Anti-Malware Protection.For more information about EOP, see Anti-Malware Protection.

  • Schutz vor Schadsoftware von Drittanbietern: Sie können ein Antischadsoftware-Programm eines Drittanbieters erwerben.Third-party antimalware protection: You can buy a third-party antimalware program.

Häufig gestellte Fragen zum Schutz vor Schadsoftware für ExchangeAntimalware FAQ for Exchange

In diesem Abschnitt werden die häufig gestellten Fragen zur integrierten Schadsoftwarefilterung und -überprüfung in Exchange beantwortet.This section answers the frequently asked questions about built-in malware filtering and scanning in Exchange.

Wie konnte Schadsoftware, die von anderen Antischadsoftwarediensten identifiziert wurde, die Antischadsoftwarefilterung von Exchange überwinden?Why did malware that was identified by other antimalware services get past Exchange antimalware filtering?

Es gibt zwei mögliche Ursachen:There are two likely reasons:

  • Das wahrscheinlichste Szenario besteht darin, dass die Nachrichtenanlage tatsächlich keinen aktiven bösartigen Code enthält. Manche Antischadsoftwaremodule sind aggressiver als andere. In diesen Modulen werden Nachrichten möglicherweise einfach deshalb blockiert, weil sie abgeschnittene Schadsoftwarenutzlasten enthalten, die eigentlich keinen Schaden anrichten.The most likely scenario is the message attachment doesn't actually contain any active malicious code. Some antimalware engines are more aggressive than others, and these engines might stop messages simply because they contain truncated malware payloads that don't actually do anything.

  • Die Schadsoftware, die Sie erhalten haben, ist eine neue Variante, und unser Antischadsoftwaremodul hat (noch) keine Musterdatei dafür freigegeben.The malware you received is a new variant, and our antimalware engine hasn't released a pattern file for it (yet).

Ich habe eine E-Mail mit einer Anlage erhalten, die mir nicht bekannt ist. Handelt es sich hierbei um Schadsoftware oder kann ich die Anlage ignorieren?I received a message with an unfamiliar attachment. Is this malware or can I disregard this attachment?

Wir empfehlen dringend, dass Sie keine Anlagen öffnen, die Sie nicht kennen. Wenn Sie möchten, dass wir die Anlage untersuchen, übermitteln Sie sie uns, wie im nächsten Abschnitt beschrieben.We strongly advise that you don't open any attachments that you don't recognize. If you would like us to investigate the attachment, submit it to us as described in the next item.

Wie kann ich bekannte Schadsoftware, verdächtige Dateien oder falsche positive Ergebnisse an Microsoft übermitteln?How do I submit known malware, suspicious files, or false positives to Microsoft?

Speichern Sie eine Kopie der Nachricht, und laden Sie die Nachricht auf die Windows Defender Security Intelligence -Website (WDSI) hoch, damit wir Sie überprüfen können.Save a copy of the message and upload the message to the Windows Defender Security Intelligence (WDSI) website so we can examine it.

Wenn die Stichprobe Schadsoftware enthält, ergreifen wir die entsprechenden Maßnahmen, um sicherzustellen, dass der Virus erkannt wird. Wenn die Stichprobe sauber ist, werden wir die entsprechenden Maßnahmen ergreifen, um sicherzustellen, dass die Datei als Schadsoftware erkannt wird.If the sample contains malware, we'll take corrective action to prevent the virus from going undetected. if the sample is clean, we'll take corrective action to prevent the file from being detected as malware.

Wo kann ich die Nachrichten abrufen, die vom Schadsoftwarefilter gelöscht wurden?Where can I get the messages that have been deleted by the malware filter?

Sie können die Nachrichten nicht abrufen. Es wurde festgestellt, dass die Nachrichten aktiven bösartigen Code enthalten, daher wurden sie gelöscht.You can't. The messages were found to contain active malicious code, so they were deleted.

Kann ich die Schadsoftwarefilterung mithilfe von Nachrichtenflussregeln umgehen?Can I use mail flow rules to bypass malware filtering?

Nein, Sie können Nachrichtenflussregeln (auch bezeichnet als Transportregeln) nicht verwenden, um den Antischadsoftware-Agent zu umgehen. Senden Sie die Anlage stattdessen in einer kennwortgeschützten ZIP-Datei (kennwortgeschützte ZIP-Dateien werden von der Schadsoftwarefilterung umgangen).No, you can't use mail flow rules (also known as transport rules) to bypass the Malware agent. Instead, send the attachment in a password-protected .zip file (password-protected file .zip files are bypassed by malware filtering).