Protezione antimalware in Exchange Server

  • Articolo

La protezione antimalware in Exchange Server 2016 consente di combattere virus e spyware nell'ambiente di messaggistica di posta elettronica. I virus infettano altri programmi e dati e si diffondono nel computer cercando programmi da infettare. Lo spyware raccoglie informazioni personali, quali informazioni di accesso e dati personali, inviandoli al suo autore.

La protezione antimalware in Exchange Server è stata introdotta in Exchange 2013 ed è fornita dall'agente di trasporto denominato Agente malware. L'agente analizza i messaggi durante gli spostamenti tramite il servizio Trasporto su un server Cassette postali. Configurare il filtro antimalware tramite:

  • Criteri antimalware: specificare le opzioni di analisi e notifica in ingresso e in uscita per il filtro malware. Esiste un criterio predefinito che si applica a tutti i destinatari dell'organizzazione di Exchange ed è possibile creare ulteriori criteri che verranno applicati in un ordine specifico.

  • Impostazioni del server antimalware: specificare l'errore e le azioni di ripetizione dei tentativi e le impostazioni di aggiornamento del motore e delle definizioni per il filtro malware. L'agente malware usa l'accesso a Internet sulla porta TCP 80 (HTTP) per verificare la disponibilità di aggiornamenti del motore e delle definizioni ogni ora.

  • Script antimalware: abilitare o disabilitare il filtro malware nel server e scaricare manualmente gli aggiornamenti del motore e delle definizioni.

Per le procedure relative al filtro malware, vedere Procedure per la protezione antimalware in Exchange Server. Per altre informazioni sulle funzionalità antispam in Exchange Server, vedere Protezione antispam in Exchange Server.

Criteri antimalware

I criteri antimalware controllano le azioni e le opzioni di notifica per rilevamenti di malware. Le impostazioni rilevanti nei criteri antimalware sono:

  • Azione: specifica cosa fare quando viene rilevato che un messaggio contiene malware. Le opzioni sono:

    • Eliminare il messaggio (questo è il valore predefinito).

    • Sostituire tutti gli allegati con un file di testo che contiene questo testo predefinito:

      È stato rilevato del malware in uno o più allegati inclusi nel presente messaggio. Tutti gli allegati sono stati eliminati.

    • Sostituire tutti gli allegati con un file di testo contenente il testo personalizzato specificato.

  • Notifiche: quando un criterio antimalware è configurato per eliminare i messaggi, è possibile scegliere se inviare un messaggio di notifica al mittente. È possibile inviare messaggi di notifica, a seconda che il mittente sia interno o esterno. Il messaggio di notifica predefinito dispone di queste proprietà:

    • Da: Postmaster postmaster@ <defaultdomain.com>

    • Oggetto: Messaggio non recapitabile

    • Testo del messaggio: questo messaggio è stato creato automaticamente dal software per il recapito della posta elettronica. Il messaggio di posta elettronica non è stato consegnato ai destinatari previsti perché è stato rilevato del malware.

    È possibile personalizzare le proprietà dei messaggi per le notifiche interne ed esterne. È inoltre possibile specificare di inviare ad altri destinatari (amministratori) notifiche per i messaggi non recapitabili, provenienti da mittenti interni o esterni.

  • Filtri dei destinatari: per i criteri antimalware personalizzati, è possibile specificare le condizioni del destinatario e le eccezioni che determinano a chi si applicano i criteri. È possibile utilizzare queste proprietà per le condizioni e le eccezioni:

    • Per destinatario

    • Per dominio accettato

    • Per appartenenza a gruppi

    È possibile utilizzare solo un'eccezione una volta, ma la condizione o l'eccezione può contenere più valori. Più valori della stessa condizione o eccezione utilizzano la logica OR (ad esempio, <recipient1> o <recipient2>). Condizioni o eccezioni diverse utilizzano la logica AND (ad esempio, <recipient1> e <member of group 1>).

  • Priorità: se si creano più criteri antimalware personalizzati, è possibile specificare l'ordine in cui vengono applicati.

Criteri antimalware di Interfaccia di amministrazione di Exchange e di Exchange Management Shell

Gli elementi di base di un criterio antimalware sono:

  • Criteri di filtro malware: specifica le opzioni di azione e notifica per il filtro malware.

  • Regola di filtro malware: specifica la priorità e i filtri dei destinatari (a cui si applicano i criteri) per un criterio di filtro malware.

La differenza tra questi due elementi non è ovvia quando si gestiscono criteri antimalware in Interfaccia di amministrazione di Exchange (EAC):

  • Quando si crea un criterio antimalware nell'interfaccia di amministrazione di Exchange, vengono creati contemporaneamente una regola di filtro antimalware e i criteri di filtro antimalware associati, utilizzando lo stesso nome per entrambi.

  • Quando si modificano criteri antimalware nell'interfaccia di amministrazione di Exchange, le impostazioni correlate al nome, alla priorità, abilitate o disabilitate e i filtri dei destinatari modificano la regola di filtro malware. Altre impostazioni (azioni e opzioni di notifica) modificano i criteri di filtro antimalware associato.

  • Quando si rimuove un criterio antimalware dall'interfaccia di amministrazione di Exchange, la regola di filtro antimalware e i criteri di filtro antimalware associati vengono rimossi.

In Exchange Management Shell, la differenza tra i criteri di filtro antimalware e la regola di filtro antimalware è evidente. È possibile gestire i criteri di filtro malware usando i cmdlet *-MalwareFilterPolicy e gestire le regole di filtro malware usando i cmdlet *-MalwareFilterRule .

  • In Exchange Management Shell, creare innanzitutto il criterio di filtro antimalware, quindi creare la regola di filtro antimalware che identifica il criterio cui viene applicata la regola.

  • In Exchange Management Shell, modificare le impostazioni nel criterio di filtro antimalware e la regola di filtro antimalware separatamente.

  • Quando si rimuove un criterio di filtro antimalware da Exchange Management Shell, la regola di filtro antimalware corrispondente non viene rimossa automaticamente, e viceversa.

Criterio antimalware predefinito

Ogni server Cassette postali ha un criterio antimalware predefinito denominato Predefinito che contiene queste proprietà:

  • Il criterio di filtro antimalware denominato Predefinito viene applicato a tutti i destinatari nell'organizzazione di Exchange, anche se al criterio non è associata alcuna regola di filtro antimalware (filtri destinatario).

  • Il valore personalizzato della priorità del criterio denominato Predefinito è Lowest e non può essere modificato (il criterio viene sempre applicato per ultimo). Tutti i criteri antimalware personalizzati creati hanno sempre una priorità più alta rispetto al criterio denominato Default.

  • Il criterio denominato Predefinito è il criterio predefinito (la proprietà IsDefault contiene il valore True), e non è possibile eliminare il criterio predefinito.

Impostazioni del server antimalware

È possibile utilizzare i cmdlet Get-MalwareFilteringServer e Set-MalwareFilteringServer in Exchange Management Shell per visualizzare e configurare l'aggiornamento, il timeout e il download delle impostazioni per l'Agente antimalware nel server Cassette postali. Per informazioni sulle procedure che utilizzano questi cmdlet, vedere gli articoli Utilizzare Exchange Management Shell per disabilitare il filtro antimalware in un server Cassette postali e Utilizzo di Exchange Management Shell per configurare il filtro antimalware per esaminare messaggi già analizzati da EOP.

Script antimalware

Exchange include due script di Exchange Management Shell che è possibile utilizzare per gestire il filtro antimalware:

  • Disable-Antimalwarescanning.ps1 disattiva l'Agente antimalware e gli aggiornamenti delle definizioni e del motore antimalware nel server Cassette postali.

  • Enable-Antimalwarescanning.ps1 attiva l'Agente antimalware, gli aggiornamenti delle definizioni e del motore antimalware ed esegue gli aggiornamenti delle definizioni e del motore nel server Cassette postali.

  • Update-MalwareFilteringServer.ps1 esegue manualmente gli aggiornamenti del motore malware e delle definizioni nel server Cassette postali.

Per altre informazioni sull'uso di questi script, vedere Usare Exchange Management Shell per abilitare o disabilitare il filtro malware nei server Cassette postali e Scaricare gli aggiornamenti delle definizioni e del motore antimalware.

Opzioni di protezione antimalware in Exchange Server

In questo elenco vengono descritte le opzioni antimalware per Exchange:

  • Protezione antimalware integrata: è possibile usare la protezione antimalware integrata in Exchange per combattere il malware. È possibile utilizzare tale funzione da sola o abbinandola ad altre soluzioni antimalware per fornire protezione da malware su più livelli.

  • Exchange Online Protection (EOP): è possibile pagare una sottoscrizione a EOP, ovvero la soluzione antimalware usata in Microsoft 365 e Office 365. EOP si avvale della partnership con diversi motori antimalware per fornire una protezione antimalware efficiente e conveniente su più livelli. I vantaggi di abbinare la protezione antimalware predefinita a EOP sono i seguenti:

    • EOP usa più motori antimalware, mentre la protezione antimalware integrata usa un singolo motore.

    • EOP dispone di funzionalità di creazione di report, tra cui le statistiche malware.

    • EOP offre la funzionalità di tracciatura dei messaggi per la risoluzione autonoma dei problemi relativi al flusso di posta, tra cui i rilevamenti di malware.

      Per altre informazioni su EOP, vedere Protezione antimalware in EOP.

  • Protezione antimalware di terze parti: è possibile acquistare un programma antimalware di terze parti.

Domande frequenti relative all'antimalware perExchange

In questa sezione sono disponibili risposte alle domande più frequenti relative all'analisi e al filtro antimalware predefinito in Exchange.

Perché il malware identificato da altri servizi antimalware ha superato il filtro antimalware di Exchange?

Esistono due probabili motivi:

  • Lo scenario più probabile è che l'allegato del messaggio in realtà non contiene codice dannoso attivo. Alcuni motori antimalware sono più aggressivi rispetto ad altri e potrebbero interrompere i messaggi semplicemente perché contengono payload malware troncati, che in realtà non eseguono alcuna operazione.

  • Il malware ricevuto è una nuova variante e il motore antimalware utilizzato non ha (ancora) rilasciato un file modello per esso.

Ho ricevuto un messaggio con un allegato sconosciuto. Si tratta di malware o posso ignorare l'allegato?

Si consiglia di non aprire gli allegati che non vengono riconosciuti. Se si desidera eseguire ricerche sull'allegato, inviarlo a Microsoft come descritto nell'elemento successivo.

Ricerca per categorie inviare malware noti, file sospetti o falsi positivi a Microsoft?

Salvare una copia del messaggio e caricarlo nel sito Web Intelligence di sicurezza Microsoft in modo che sia possibile esaminarlo.

Se contiene malware, verranno intraprese azioni correttive per impedire al virus di non essere rilevato. Se invece non contiene malware, verranno intraprese azioni correttive per impedire che il file venga rilevato come malware.

Dove è possibile recuperare i messaggi eliminati dal filtro antimalware?

L’operazione non è possibile. I messaggi sono stati rilevati come contenenti codice dannoso attivo, pertanto sono stati eliminati.

È possibile utilizzare regole del flusso di posta elettronica per ignorare il filtro antimalware?

No, non è possibile usare le regole del flusso di posta (note anche come regole di trasporto) per ignorare l'agente malware. Inviare invece l'allegato in un file .zip protetto da password (i file protetti da password .zip file vengono ignorati dal filtro malware).