配置反恶意软件策略
适用于:Exchange Server 2013
默认情况下,在 Exchange Server 2013 中已启用恶意软件筛选。 默认的反恶意软件策略控制全公司的恶意软件筛选设置。 作为管理员,您可以查看和编辑,但不能删除默认反恶意软件策略,以最适合贵组织的需求。 更精确地讲,您还可以创建自定义恶意软件筛选器策略,并将其应用到组织中的特定用户、组或域。 自定义策略的优先级总是高于默认策略,但您可以更改自定义策略的优先级(即运行顺序)。 有关详细信息,请参阅Use the EAC to configure the default anti-malware policy。
开始前,有必要了解什么?
我们建议您在将策略投入实际使用之前,在您的 Exchange 服务器上手动下载反恶意软件引擎和定义更新。 有关详细信息,请参阅 下载引擎和定义更新。
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 反垃圾邮件和反恶意软件权限 主题中的"反恶意软件"条目。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。
使用 EAC 配置默认反恶意软件策略
在 Exchange 管理中心 (EAC) 中,导航到 “保护>恶意软件筛选器”。
执行下列操作之一:
双击默认策略,以编辑公司范围的策略。
单击“
.gif "添加图标")
“新建 ”图标,用于创建可应用于组织中的用户、组和域的新策略。 还可以通过双击现有自定义策略对其进行编辑。
只能为自定义策略指定名称。 您还可以选择性地指定详细信息说明。 不能对默认策略进行重命名。
注意
创建新策略时,所有的配置设置都会显示在单个屏幕中,但是,编辑策略时,则必须导航到不同的屏幕。 两种情况的设置都相同,但其余步骤会介绍在编辑策略时如何访问这些设置。
单击“设置”菜单选项。 在“恶意软件检测响应”部分,使用选项按钮选择检测到邮件的恶意软件时要采取的操作:
删除整个邮件:阻止将整个邮件(包括附件)传递到目标收件人。 此值为默认值。
删除所有附件并使用默认警报文本:删除所有邮件附件,而不仅仅是受感染的附件,并将以下默认警报文本插入到替换附件的文本文件中:“在此电子邮件附带的一个或多个附件中检测到恶意软件。 所有附件都已删除。”
删除所有附件并使用自定义警报文本:删除所有邮件附件,而不仅仅是受感染的附件,并将自定义邮件插入到替换附件的文本文件中。 选择此选项将启用 “自定义警报文本 ”字段,必须在其中键入自定义消息。
重要
如果在邮件正文检测到恶意软件,将删除整个邮件(包括所有附件),无论您选择什么选项。 此操作将应用于入站和出站邮件。
在“通知”部分,您可以在未传送检测到恶意软件的邮件时,选择发送通知电子邮件给发件人或管理员。 删除整个邮件时,只会发送这些通知。
在“发件人通知”部分,选中复选框以在未传送检测到的邮件时“通知内部发件人”(那些在贵组织内的发件人)或“通知外部发件人”(那些在贵组织之外的发件人)。
同样,在“管理员通知”部分,选中复选框以“通知管理员有关来自内部发件人的未传送邮件”或“通知管理员有关来自外部发件人的未传送邮件”。 在选中一个或多个复选框后,在其各自“管理员电子邮件地址”字段指定管理员的电子邮件地址或地址。
默认通知文本是"本邮件由邮件传送软件自动创建。 由于检测到恶意软件,电子邮件未传递到目标收件人。”发送默认通知文本的语言取决于正在处理的消息的区域设置。
在“自定义通知”部分,您可以为发件人和管理员通知创建代替默认通知文本的自定义通知文本。 选中“使用自定义通知文本”复选框,然后指定以下必填字段的值:
发件人名称:要用作自定义通知发件人的名称。
发件人地址:要用作自定义通知发件人的电子邮件地址。
来自内部发件人的邮件:如果检测到的消息来自内部发件人,则通知的主题和消息。
来自外部发件人的邮件:如果检测到的消息来自外部发件人,则通知的主题和消息。
注意
默认主题文本是"无法传送的邮件"。
仅对于自定义策略,单击“应用到”菜单项,然后创建基于条件的规则,以指定要应用此策略的用户、组和/或域。 可以创建多个唯一性条件。
若要选择用户,请选择“收件人是”。 在随后的对话框中,从用户选取器列表中选择一个或多个您公司中的发件人,然后单击“添加”。 若要添加不在列表中的发件人,请键入其电子邮件地址,然后单击“ 检查姓名”。 在此框中,还可以对多个电子邮件地址使用通配符, (例如:*@domainname) 。 完成选择后,单击“确定”,以返回主屏幕。
要选择组,则选择“收件人为以下组的成员”,然后在随后出现的对话框中,选择或指定组。 单击“确定”返回到主屏幕。
要选择域,则选择“收件人的域是”,然后在随后出现的对话框中,添加域。 单击“确定”返回到主屏幕。
可以在规则中创建例外,例如,可以从除某个域之外的所有域中筛选邮件。 单击“添加例外”,然后创建例外条件,此过程与创建其他条件的方法类似。
单击“保存”。 右侧窗格中将会显示默认策略设置的摘要。
提示
- 可以选中或清除“启用”列中的复选框,以启用或禁用自定义策略。 默认情况下所有策略都会启用,不能禁用默认策略。
- 若要删除自定义策略,请选择该策略,单击
.gif)
“删除 ”图标,然后确认要删除该策略。 不能删除默认策略。 - 自定义策略的优先级始终高于默认策略。 自定义策略按从最旧到最新) (创建的相反顺序运行,但可以通过单击向上
.gif)
向上键和 .gif)
键图标向下键来更改自定义策略的优先级 (运行顺序) 。 “优先级”为“0”的策略将首先开始运行,接下来是“1”,然后是“2”,依此类推。
您如何知道这有效?
以下步骤提供使用 EICAR.TXT 防病毒测试文件的说明,以验证恶意软件筛选功能是否能正常工作。
重要
EICAR.TXT 文件不是病毒。 但是,由于用户通常需要测试该安装是否能正常工作,防病毒行业通过欧洲反计算机病毒协会采用了 EICAR 标准来满足该需求。
创建一个新的文本文件,然后将文件命名为 EICAR.TXT。
将以下行复制到文本文件中:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*请确保此为文件中的唯一字符串。 完成后,您将有 68 个字节的文件。
注意
如果使用台式机防病毒程序,务必使保存文件的文件夹排除在扫描范围外。
将该文件附加至将通过 Exchange 2013 筛选的电子邮件。
检查测试邮件的收件人邮箱。 根据您配置的恶意软件检测响应,将删除整个邮件,或者将删除附件,并用警告文本文件替换。 此外还将分发任何已配置的通知。
在完成测试后删除 EICAR.TXT 文件,从而其他用户就不会收到不必要的警报。