eset mail securitydownload.eset.com/manuals/eset_emsx_45_userguide_cht.pdf · eset mail security...

ESET MAIL SECURITY 針對 MICROSOFT EXCHANGE SERVER 安裝手冊與使用指南 Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2

按一下這裡以下載此文件的最新版本。

http://go.eset.eu/manual?prod_abb=emsx&prod_version=45&doc_name=userguide&lng_abb=cht

ESET MAIL SECURITYCopyright ©2014 by ESET, spol. s r.o.ESET Mail Security 是由 ESET, spol. s r.o. 開發的產品

如需更多資訊，請造訪 www.eset.com。保留所有權利。本文件的任何部分在未獲得作者的書面同意下，不得以任何

形式或利用任何方式進行重製、儲存在可擷取的系統或進行傳輸，包括電

子、機械、影印、錄音或掃描等方式。

ESET, spol. s r.o. 保留變更所述應用程式軟體的權利，恕不另行通知。

客戶關懷：www.eset.com/support

版次：5/2/2014

目錄

...........................................................5簡介1.

..............................................................................................54.5 版有哪些最新資訊？1.1

..............................................................................................5系統需求1.2

..............................................................................................6使用的方法1.3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6透過 VSAPI 掃描信箱1.3.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6SMTP 伺服器層級的郵件過濾1.3.2

..............................................................................................6防護類型1.4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6病毒防護1.4.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6垃圾郵件防護1.4.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7使用者定義規則的應用程式1.4.3

..............................................................................................7使用者介面1.5

...........................................................8安裝2.

..............................................................................................8一般安裝2.1

..............................................................................................10自訂安裝2.2

..............................................................................................11終端機伺服器2.3

..............................................................................................11升級為較新版本2.4

..............................................................................................12Exchange Server 角色 - 邊緣與集線器2.5

..............................................................................................12Exchange Server 2013 角色2.6

..............................................................................................13安裝於叢集環境2.7

..............................................................................................14授權2.8

..............................................................................................16安裝後配置2.9

...........................................................18ESET Mail Security - Microsoft Exchange Server防護

3.

..............................................................................................18一般設定3.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18Microsoft Exchange Server3.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18VSAPI (病毒掃描應用程式設計介面 )3.1.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18傳輸代理程式3.1.1.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19規則3.1.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20新增規則3.1.2.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21套用規則時要採取的處理方法3.1.2.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22防護記錄檔案3.1.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23郵件隔離區3.1.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24新增隔離規則3.1.4.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24效能3.1.5

..............................................................................................25病毒及間諜程式防護設定3.2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25Microsoft Exchange Server3.2.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25病毒掃描應用程式設計介面 (VSAPI )3.2.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26Microsoft Exchange Server 5.5 (VSAPI 1.0)3.2.1.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26處理方法3.2.1.1.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26效能3.2.1.1.1.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26Microsoft Exchange Server 2000 (VSAPI2.0)

3.2.1.1.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27處理方法3.2.1.1.2.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27效能3.2.1.1.2.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27Microsoft Exchange Server 2003 (VSAPI2.5)

3.2.1.1.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28處理方法3.2.1.1.3.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28效能3.2.1.1.3.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28Microsoft Exchange Server 2007/ 2010(VSAPI 2.6)

3.2.1.1.4

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29處理方法3.2.1.1.4.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29效能3.2.1.1.4.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30傳輸代理程式3.2.1.1.5

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31處理方法3.2.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31警告及通知3.2.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32自動排除3.2.4..............................................................................................33垃圾郵件防護3.3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34Microsoft Exchange Server3.3.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34傳輸代理程式3.3.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35POP3 Connector 以及垃圾郵件防護3.3.1.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36反垃圾郵件引擎3.3.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36反垃圾郵件引擎參數設定3.3.2.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36分析3.3.2.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36範例3.3.2.1.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37SpamCompiler3.3.2.1.1.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37快取記憶體檔案清單3.3.2.1.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37訓練3.3.2.1.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37規則3.3.2.1.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38規則權重3.3.2.1.3.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38新增規則權重3.3.2.1.3.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38下載的規則檔案清單3.3.2.1.3.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38類別權重3.3.2.1.3.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38新增類別權重3.3.2.1.3.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39自訂規則清單3.3.2.1.3.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39過濾3.3.2.1.4

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39允許的寄件者3.3.2.1.4.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39封鎖的寄件者3.3.2.1.4.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39允許的 I P 位址3.3.2.1.4.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39略過的 I P 位址3.3.2.1.4.4

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40封鎖的 I P 位址3.3.2.1.4.5

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40允許的網域3.3.2.1.4.6

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40略過的網域3.3.2.1.4.7

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40封鎖的網域3.3.2.1.4.8

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40詐騙的寄件者3.3.2.1.4.9.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40驗證3.3.2.1.5

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40RBL (即時 Blackhole 清單 )3.3.2.1.5.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40RBL 伺服器清單3.3.2.1.5.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41LBL (上次 Blackhole 清單 )3.3.2.1.5.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41LBL 伺服器清單3.3.2.1.5.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41跳過的 I P 位址清單3.3.2.1.5.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41DNSBL (DNS 封鎖清單 )3.3.2.1.5.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41DNSBL 伺服器清單3.3.2.1.5.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41DNS3.3.2.1.6.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42分數3.3.2.1.7.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42垃圾郵件誘餌3.3.2.1.8

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42垃圾郵件誘餌位址3.3.2.1.8.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42視為不存在的位址3.3.2.1.8.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42通訊3.3.2.1.9.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43效能3.3.2.1.10.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43區域設定3.3.2.1.11

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43母語清單3.3.2.1.11.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44居住國家清單3.3.2.1.11.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49封鎖的國家清單3.3.2.1.11.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49封鎖的字元集清單3.3.2.1.11.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49防護記錄檔案3.3.2.1.12.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49統計3.3.2.1.13.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49選項3.3.2.1.14

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50警告及通知3.3.3..............................................................................................50常見問題3.4

...........................................................53ESET Mail Security - 伺服器防護4.

..............................................................................................53病毒及間諜程式防護4.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53即時檔案系統防護4.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53控制項設定4.1.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54要掃描的媒體4.1.1.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54執行掃描的時間 (事件觸發的掃描 )4.1.1.1.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54進階掃描選項4.1.1.1.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54清除層級4.1.1.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55何時修改即時防護配置4.1.1.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55檢查即時防護4.1.1.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55即時防護無法運作時怎麼辦4.1.1.5.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56電子郵件用戶端防護4.1.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56POP3 檢查4.1.2.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57相容性4.1.2.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58與電子郵件用戶端整合4.1.2.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59將標籤訊息附加到電子郵件內文4.1.2.2.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59移除入侵4.1.2.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60Web 存取防護4.1.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61HTTP、HTTPs4.1.3.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62位址管理4.1.3.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63主動模式4.1.3.1.2

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64指定電腦掃描4.1.4

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64掃描類型4.1.4.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64智慧型掃描4.1.4.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65自訂掃描4.1.4.1.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65掃描目標4.1.4.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65掃描設定檔4.1.4.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66命令列4.1.4.4

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68效能4.1.5

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68通訊協定過濾4.1.6

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68SSL4.1.6.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69信任的憑證4.1.6.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69排除的憑證4.1.6.1.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69ThreatSense 引擎參數設定4.1.7

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69物件設定4.1.7.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70選項4.1.7.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71清除4.1.7.3

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72副檔名4.1.7.4

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72限制4.1.7.5

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73其他4.1.7.6

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73偵測到入侵4.1.8..............................................................................................74更新程式4.2

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76更新設定4.2.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76更新設定檔4.2.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77進階更新設定4.2.1.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .77更新模式4.2.1.2.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78Proxy 伺服器4.2.1.2.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80連線至區域網路 (LAN)4.2.1.2.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81建立更新副本 - 映像4.2.1.2.4

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .81從映像更新4.2.1.2.4.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83疑難排解映像更新問題4.2.1.2.4.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83如何建立更新工作4.2.2..............................................................................................84排程器4.3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84排程工作的目的4.3.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85建立新工作4.3.2..............................................................................................86隔離區4.4

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86隔離檔案4.4.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86從隔離區還原4.4.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87從隔離區提交檔案4.4.3..............................................................................................88防護記錄檔案4.5

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92防護記錄過濾4.5.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93在防護記錄中尋找4.5.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94防護記錄維護4.5.3..............................................................................................95ESET SysI nspector4.6

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95ESET SysI nspector 簡介4.6.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95啟動 ESET SysI nspector4.6.1.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95使用者介面和應用程式用法4.6.2

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96程式控制項4.6.2.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97在 ESET SysI nspector 中瀏覽4.6.2.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98鍵盤捷徑4.6.2.2.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99比較4.6.2.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100命令列參數4.6.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101服務腳本4.6.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101產生服務腳本4.6.4.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101服務腳本的結構4.6.4.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103執行服務腳本4.6.4.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104常見問題4.6.5

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105ESET SysI nspector 是 ESET Mail Security的一部份

4.6.6

..............................................................................................105ESET SysRescue4.7. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105最低需求4.7.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106如何建立救援光碟4.7.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106目標選擇4.7.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106設定4.7.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106資料夾4.7.4.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107ESET Ant ivirus4.7.4.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107進階設定4.7.4.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107網際網路通訊協定4.7.4.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107開機 USB 裝置4.7.4.5

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108燒錄4.7.4.6

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108使用 ESET SysRescue4.7.5

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108使用 ESET SysRescue4.7.5.1..............................................................................................108使用者介面選項4.8

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110警告及通知4.8.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110停用終端機伺服器的 GUI4.8.2..............................................................................................111eShell4.9

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112使用4.9.1

.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114命令4.9.2..............................................................................................117匯入及匯出設定4.10

..............................................................................................117ThreatSense.Net4.11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118可疑檔案4.11.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119統計4.11.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120提交4.11.3

..............................................................................................121遠端管理4.12

..............................................................................................122授權4.13

...........................................................123字彙5.

..............................................................................................123入侵類型5.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123病毒5.1.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123蠕蟲5.1.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123特洛伊木馬程式5.1.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124Rootkit5.1.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124廣告程式5.1.5.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124間諜程式5.1.6.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124潛在不安全的應用程式5.1.7.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125潛在不需要應用程式5.1.8

..............................................................................................125電子郵件5.2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125廣告5.2.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125惡作劇5.2.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126網路釣魚5.2.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126識別垃圾郵件詐騙5.2.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126規則5.2.4.1.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126貝氏過濾5.2.4.2.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127白名單5.2.4.3.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127黑名單5.2.4.4.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127伺服器端控制5.2.4.5

5

1. 簡介適用於 Microsoft Exchange Server 的 ESET Mail Security 4 是一套整合性的解決方案，可保護信箱不受各種類型的惡意軟體內容所侵擾，包括遭蠕蟲或特洛伊木馬程式感染的電子郵件附件、包含有害指令碼的文件、網路釣魚和垃圾郵件。ESETMail Security 提供下列三種類型的防護：防毒、垃圾郵件防護以及使用者定義規則的應用程式。ESET Mail Security 會於郵件伺服器層級過濾惡意內容，阻止其侵害收件者的電子郵件用戶端收件匣。

ESET Mail Security 支援 Microsoft Exchange Server 2000 版和以上版本，且支援在叢集環境中使用 Microsoft ExchangeServer。新近的版本 (Microsoft Exchange Server 2007 和以上版本) 亦支援特定角色 (信箱、集線器、邊緣)。您可以使用ESET Remote Administrator，協助遠端管理大型網路中的 ESET Mail Security。

ESET Mail Security 除了提供 Microsoft Exchange Server 防護，亦提供工具確保伺服器本身的安全防護 (常駐防護、Web 存取防護、電子郵件用戶端防護和垃圾郵件防護 )。

1.1 4.5 版有哪些最新資訊？

與 ESET Mail Security 4.3 版相較之下，4.5 版引進了下列全新功能與增強功能：

垃圾郵件防護設定 - 從 GUI 輕鬆存取，使管理員進行變更時更為方便

支援 Microsoft Exchange Server 2013

支援 Microsoft Windows Server 2012 / 2012 R2

1.2 系統需求

支援的作業系統：

Microsoft Windows 2000 Server

Microsoft Windows Server 2003 (x86 及 x64)Microsoft Windows Server 2008 (x86 及 x64)Microsoft Windows Server 2008 R2

Microsoft Windows Server 2012

Microsoft Windows Server 2012 R2

Microsoft Windows Small Business Server 2003 (x86)

Microsoft Windows Small Business Server 2003 R2 (x86)



支援的 Microsoft Exchange Server 版本：

Microsoft Exchange Server 2000 SP1? SP2? SP3

Microsoft Exchange Server 2003 SP1? SP2



Microsoft Exchange Server 2013

硬體需求須視作業系統版本及使用的 Microsoft Exchange Server 版本而定。建議您閱讀 Microsoft Exchange Server 產品文件，以瞭解硬體需求的詳細資訊。

6

1.3 使用的方法

您可以使用兩種獨立的方法來掃描電子郵件：

透過 VSAPI 掃描信箱SMTP 伺服器層級的郵件過濾

1.3.1 透過 VSAPI 掃描信箱

Microsoft Exchange Server 會觸發並控制信箱掃描處理程序。系統會持續掃描 Microsoft Exchange Server 儲存資料庫中的電子郵件。視 Microsoft Exchange Server 版本、VSAPI 介面版本和使用者定義的設定而異，在下列任一情況下會觸發掃描處理程序：

使用者存取諸如位於電子郵件用戶端的電子郵件 (系統會一律使用最新的病毒資料庫來掃描電子郵件)Microsoft Exchange Server 在背景當中處於低使用狀態時主動式 (根據 Microsoft Exchange Server 的內部演算法)

目前正使用 VSAPI 介面進行防毒掃描和規則型防護。

1.3.2 SMTP 伺服器層級的郵件過濾

SMTP 伺服器層級過濾係由特殊外掛程式所保護。在 Microsoft Exchange Server 2000 和 2003 中，問題的外掛程式 (事件接收) 會登錄於 SMTP 伺服器作為 Internet Information Services (IIS) 的一部分。在 Microsoft Exchange Server 2007/2010中，外掛程式會登錄為 Microsoft Exchange Server 之邊緣或集線器角色的傳輸代理程式。

透過傳輸代理程式的 SMTP 伺服器層級過濾，提供包括防毒、垃圾郵件防護和使用者定義規則等形式的安全防護。與 VSAPI過濾相反，系統在掃描的電子郵件到達 Microsoft Exchange Server 信箱之前，會先執行 SMTP 伺服器層級過濾。

1.4 防護類型

有三種類型的防護：

1.4.1 病毒防護

病毒防護是 ESET Mail Security 產品的其中一項基本功能。病毒防護可藉由控制檔案、電子郵件及網際網路通訊來防止惡意系統攻擊。若偵測到含有惡意程式碼的威脅，則「防毒」模組可透過封鎖，接著清除、刪除或將其移至隔離區來消滅它。

1.4.2 垃圾郵件防護

垃圾郵件防護整合數項技術 (RBL、DNSBL、指紋、聲譽檢查、內容分析、貝氏過濾、規則、手動白名單/黑名單等等)，可發揮最大的電子郵件威脅偵測效能。在垃圾郵件防護掃描引擎的輸出當中，會以百分比表示指定電子郵件的垃圾郵件可能性數

值 (0 至 100)。

灰名單技術為另一個垃圾郵件防護模組元件 (預設為停用)。此技術仰賴 RFC 821 規格，其指出由於 SMTP 已視為是一種不可靠的傳輸方式，因此所有郵件傳輸代理程式 (MTA) 在遇到暫時無法傳送的狀況後，應會不斷嘗試傳送電子郵件。垃圾郵件的重要本質，在於針對自動產生的大量電子郵件地址清單進行一次性傳送 (使用特殊工具)。伺服器可運用「灰名單」來計算信封寄件者位址、信封收件者位址和 MTA 傳送 IP 位址的控制值 (雜湊)。若伺服器在其資料庫中找不到三元組資料的控制值，則會拒絕接收郵件，並傳回暫時失敗代碼 (例如，451 暫時失敗代碼)。合法的伺服器在經過一段時間後，會嘗試重新傳送郵件。進行二次嘗試時，會將三元組資料的控制值儲存於已驗證連線的資料庫中，且自此以後允許傳送任何具備相關特性的電子郵

件。

6

6

86

7

1.4.3 使用者定義規則的應用程式

以使用者定義規則為基礎的防護功能，可透過 VSAPI 和傳輸代理程式掃描。您可以使用 ESET Mail Security 使用者介面，建立或合併個別的規則。若其中一個規則使用多個條件，則會使用邏輯運算子 AND 連結這些條件。因此，僅在滿足所有條件時才會執行該規則。若建立多個規則，則會套用邏輯運算子 OR，代表程式將會執行符合條件的第一個規則。

在掃描順序中使用的第一項技術為灰名單 (若已啟用)。因此，後續的程序一律會執行下列技術：以使用者定義規則為基礎的防護，隨後為防毒掃描，最後則是垃圾郵件防護掃描。

1.5 使用者介面

ESET Mail Security 具有專為直覺化設計的圖形使用者介面 (GUI)。GUI 可讓使用者迅速輕鬆地存取程式主要功能。

除了主 GUI 外，您還可以按下 F5 鍵，隨時從程式當中的任何位置存取 [進階設定樹狀目錄]。

按下 F5 後，即會開啟進階設定樹狀目錄視窗，並顯示可配置程式功能的清單。您可以在此視窗中，根據自身需求來配置設定和選項。樹狀結構分為兩個區段：[伺服器防護] 與 [電腦防護]。[伺服器防護] 區段包含與 ESET Mail Security 設定相關的項目，專屬於 Microsoft Exchange 伺服器防護。[電腦防護] 區段包含適用於伺服器本身防護的可配置項目。

8

2. 安裝購買 ESET Mail Security 之後，即可從 ESET 的網站 (www.eset.com) 下載 .msi 套件的安裝程式。

請注意您需要在 [內建管理員] 帳戶下執行安裝程式。任何其他使用者，即使是管理員群組的成員，也沒有足夠的存取權限。因此您需要使用「內建管理員」帳戶，否則您無法在 [管理員] 以下的任何其他使用者帳戶成功完成安裝。

執行安裝程式有兩種方式：

您可以使用管理員帳戶認證從本機登入並輕鬆執行安裝程式

您可以作為其他使用者登入，但需要以 [執行身份. . . ] 開啟命令提示字元並在管理員帳戶認證中輸入才能以管理員的身分執行命令，接著輸入命令以執行安裝程式 (例如，msiexec /iemsx_nt64_ENU.msi 而您需要取代emsx_nt64_ENU.msi 的檔

案名稱與您已下載的 msi 安裝程式完全相同)

一旦啟動安裝程式，安裝精靈將引導您進行基本設定。有兩種可用的安裝類型，其層級設定不同，詳細資訊如下：

1. 一般安裝

2. 自訂安裝

附註: 如果可能，強烈建議您將 ESET Mail Security 安裝在全新安裝及配置的作業系統上。但是，如果您需要將 ESET MailSecurity 安裝在現有系統上，最佳作法是先將舊版解除安裝，重新啟動伺服器，然後再安裝新的 ESET Mail Security。

2.1 一般安裝

一般安裝模式可在安裝程序期間以最低配置快速安裝 ESET Mail Security。一般安裝是預設安裝模式，如果您沒有特定設定的特殊需求，建議使用此選項。在系統安裝 ESET Mail Security 後，可隨時修改選項及配置設定。本使用者手冊詳細說明這些設定及功能。一般安裝模式設定提供絕佳的安全，以及使用便利性及高系統效能。

選取安裝模式並且按 [下一步] 後，程式將提示您輸入您的使用者名稱與密碼。這樣可為系統提供持續防護，是非常重要的步驟，因為您的使用者名稱及密碼允許自動病毒資料庫更新。

將使用者名稱及密碼 (購買或註冊產品後收到) 輸入到對應的欄位中。如果目前沒有使用者名稱及密碼，則稍後會從程式直接輸入使用者名稱及密碼。

在下一個步驟 - 授權管理程式 - 新增購買產品後透過電子郵件傳遞的授權檔案。

74

http://www.eset.com

9

下一個步驟是配置 ThreatSense.Net 預早警告系統。ThreatSense.Net 預早警告系統有助於確保迅速持續通知 ESET 新入侵的相關資訊，以快速保護其客戶。此系統允許新威脅提交到 ESET 威脅實驗室，並對其進行分析、處理及新增到病毒資料庫。預設選取 [啟用 ThreatSense.Net 預早警告系統] 選項。按一下 [進階設定. . . ]，以修改提交可疑檔案的詳細設定。

安裝程序的下一步是配置 [偵測潛在不需要應用程式]。潛在不需要應用程式不一定是惡意的，但是可能會經常對作業系統的行為造成負面影響。如需詳細資訊，請參閱潛在不需要應用程式章節。

這些應用程式通常隨附於其他程式，且可能在安裝期間很難注意到。雖然這些應用程式通常會在安裝期間顯示通知，但亦可

未經您的同意輕易安裝。

選取 [啟用潛在不需要應用程式偵測] 選項，以允許 ESET Mail Security 偵測此類型的應用程式。如果您不想要使用此功能，請選取 [停用潛在不需要應用程式偵測]。

一般安裝模式中的最後一個步驟是按一下 [安裝] 按鈕以確認安裝。

125

10

2.2 自訂安裝

自訂安裝是針對想要在安裝程序期間配置 ESET Mail Security 的使用者所設計。

選取安裝模式並且按 [下一步] 後，程式將提示您選取安裝的目標位置。依預設，程式會安裝到 C:\Program

Files\ESET\ESET Mail Security。按一下 [瀏覽. . . ] 變更此位置 (不建議)。

然後輸入您的 [使用者名稱] 及 [密碼]。此步驟與一般安裝模式步驟相同 (請參閱一般安裝 )。

在下一個步驟 - [授權管理程式]) - 新增購買產品後透過電子郵件傳遞的授權檔案。

輸入使用者名稱及密碼後，按 [下一步] 繼續 [配置您的網際網路連線]。

如果您使用 Proxy 伺服器，必須予以正確配置，才能使病毒資料庫正確運作。如果您想要讓 Proxy 伺服器自動設定，請選取預設設定 [我不確定我的網際網路連線是否使用 Proxy 伺服器]。[使用與 Internet Explorer 相同的設定 (建議)，然後按 [下一步]。如果您不使用 Proxy 伺服器，請選取 [我不使用 Proxy 伺服器] 選項。

如果您習慣自行輸入 Proxy 伺服器詳細資料，則可手動配置 Proxy 伺服器設定。若要配置 Proxy 伺服器設定，請選取 [我使用 Proxy 伺服器]，然後按 [下一步]。將 Proxy 伺服器的 IP 位址或 URL 輸入到 [位址] 欄位中。在 [連接埠] 欄位中，指定 Proxy 伺服器接受連線所在的連接埠 (依預設為 3128)。如果 Proxy 伺服器需要驗證，則必須輸入有效的 [使用者名稱] 及[密碼]，授與 Proxy 伺服器的存取權限。如果需要，也可以從 Internet Explorer 複製 Proxy 伺服器設定。一旦輸入 Proxy 伺服器詳細資料，請按一下 [套用] 並確認選擇。

8

11

按 [下一步] 繼續 [配置自動更新] 設定。此步驟可讓您指定如何在系統上處理自動程式元件更新。按一下 [更新. . . ] 以存取進階設定。

如果您不想要更新程式元件，請選取 [絕不更新程式元件] 選項。選取 [下載程式元件前詢問] 選項，以便在下載程式元件前顯示確認視窗。若要自動下載程式元件升級，請選取 [一律更新程式元件] 選項。

附註: 程式元件更新後，通常需要重新啟動。建議選取 [絕不重新啟動電腦] 選項。最新的元件更新將在下次伺服器重新啟動後生效 (不論是已排程、手動或其他)。如果想要提醒您在元件更新時重新啟動伺服器，可選擇 [必要時重新啟動電腦]。透過此設定，即可立即重新啟動伺器，也可延遲重新啟動稍後再執行。

下一個安裝視窗提供設定密碼以保護程式設定的選項。選取 [使用密碼保護配置設定] 選項，並選擇要在 [新密碼] 及 [確認新密碼] 欄位中輸入的密碼。

[ThreatSense.Net 預早警告系統] 及 [偵測潛在不需要應用程式] 這兩個後續的安裝步驟與一般安裝模式步驟相同 (請參閱「一般安裝」 )。

按一下 [準備安裝] 視窗中的 [安裝] 完成安裝。

2.3 終端機伺服器

如果您已經在做為終端機伺服器的 Windows Server 上安裝 ESET Mail Security，而且想要停用 ESET Mail Security GUI 以避免每次使用者登入時即啟動，請參閱停用終端機伺服器的 GUI 一章，以瞭解將它停用的特定步驟。

2.4 升級為較新版本

新推出的 ESET Mail Security 版本已改善或修正自動程式模組更新無法解決的問題。您可以使用以下方法升級至最新版本的ESET Mail Security：

1. 透過程式元件更新 (PCU) 自動升級由於程式元件更新會散佈至所有使用者，而且可能影響某些系統配置，因此會在經過長時間測試後才發行，以確保針對所

有可能的系統配置完成平順的升級程序。

2. 如果您需要在較新版本發行後立刻升級，或是想升級至下一代 ESET Mail Security (例如從 4.2 或 4.3 版升級成 4.5 版)，則需要手動升級。

執行手動升級至新版本的方式有兩種，直接安裝 (安裝最新版本覆蓋您現有的版本) 或是使用全新安裝 (先解除安裝前一個版本，然後再安裝最新版本)。

84

8

110

12

若要執行手動升級：

1. 直接升級：安裝最新版本以覆蓋您現有的 ESET Mail Security 版本，請依照下列安裝章節中的步驟。所有現有的設定

(包含垃圾郵件防護設定) 將會在安裝期間自動匯入新版本。

2. 全新安裝：

a)使用匯入及匯出設定功能，將您的配置/設定匯出至 xml 檔案。

b)在專用的 xml 編輯器或支援 xml (例如 WordPad、Nodepad++ 等) 的文字編輯器中開啟此 xml 檔案，然後變更第三行 SECTION ID 編號為「1000404」，看起來如下：

<SECTION ID="1000404">

c)從知識庫文章下載 EMSX AntispamSettingsExport 工具。儲存 EMSX_AntispamSettingsExport.exe 至您更新至最

新版 ESET Mail Security 的 Exchange Server。

d)執行EMSX_AntispamSettingsExport.exe 工具。此工具將會建立 cfg.xml 檔案，包含有您現有的安裝 ESET MailSecurity 版本的垃圾郵件防護設定。

e)下載最新版 ESET Mail Security 的 msi 安裝程式檔案。

f) 將 EMSX AntispamSettingsExport 工具建立的cfg.xml 檔案複製到與您儲存 ESET Mail Security msi 安裝程式檔案相同的位置 (例如 emsx_nt64_ENU.msi).

g)解除安裝您現有的 ESET Mail Security 版本。

h)執行 ESET Mail Security 4.5 的 msi 安裝程式。匯出至cfg.xml 的垃圾郵件防護設定將會自動匯入至新版本。

i) 安裝完成之後，從您在步驟 a) 和 b) 儲存及修改過的 xml 檔案匯入配置/設定，使用匯入及匯出設定功能以及 xml編輯器，那麼您就可以在新的 ESET Mail Security 版本中，使用您先前的配置設定。

執行上述步驟之後，新版 ESET Mail Security 即會安裝至您的系統中，並套用您先前所有自訂配置。

如需更多有關升級程序的詳細資訊，請參閱此知識庫文章。

附註: 這兩種手動升級程序 (直接以及全新安裝) 僅適用於從 ESET Mail Security 4.2 或 4.3 版升級至 ESET Mail Security4.5 版。

2.5 Exchange Server 角色 - 邊緣與集線器

依預設，「邊緣傳輸」伺服器擁有啟用垃圾郵件防護功能，而「集線器傳輸」伺服器擁有停用垃圾郵件防護功能。在使用

「邊緣傳輸」伺服器的 Exchange 組織中，此為所需配置。我們建議您在傳送郵件至 Exchange 組織之前，先配置執行ESET Mail Security 垃圾郵件防護的「邊緣傳輸」伺服器過濾郵件。「邊緣」角色是執行垃圾郵件防護掃描的偏好位置，因為這樣能使 ESET Mail Security 在程序中及早拒絕垃圾郵件，而不需在網路層增加不必要的負載。使用此配置後，「邊緣傳輸」伺服器上的 ESET Mail Security 會過濾傳入的郵件，所以，郵件就可以安全地移至「集線器傳輸」伺服器，而不需要進一步的過濾。

如果您的組織並未使用「邊緣傳輸」伺服器，而只用「集線器傳輸」伺服器透過 SMTP 從網際網路上接收外來郵件，我們建議您應該在「集線器傳輸」伺服器上啟用垃圾郵件防護功能。

2.6 Exchange Server 2013 角色

Exchange Server 2013 的架構與舊版的 Microsoft Exchange 不同。在 Exchange 2013 中只有兩個伺服器角色：用戶端存取伺服器及信箱伺服器。如果您打算使用 ESET Mail Security 保護 Microsoft Exchange 2013，請確認在執行 MicrosoftExchange 2013 且有信箱伺服器角色的系統上安裝 ESET Mail Security。ESET Mail Security 不支援用戶端存取伺服器角色。

如果您計劃在 Windows SBS (Small Business Server) 上安裝 ESET Mail Security 則例外。若為 Windows SBS，由於所有Exchange 角色皆在相同的伺服器上執行，因此 ESET Mail Security 可正常執行並提供其所有防護類型，包括郵件伺服器防護。

但如果您在僅執行用戶端存取伺服器角色的系統 (CAS 伺服器專用) 上安裝 ESET Mail Security，則將無法使用 ESET Mail

8

117

117

http://kb.eset.com/esetkb/index?page=content&id=SOLN3313


13

Security 最重要的功能，特別是郵件伺服器防護。在此情況下，僅可使用即時檔案系統防護以及屬於電腦防護的部分元

件，因此不會提供任何郵件伺服器防護。這也是為何不建議在擁有用戶端存取伺服器角色的伺服器上安裝 ESET MailSecurity 的原因。此原因不適用於 Windows SBS (Small Business Server)，如上所述。

附註: 由於 Microsoft Exchange 2013 的某些技術限制，ESET Mail Security 不支援用戶端存取伺服器 (CAS) 角色。

2.7 安裝於叢集環境

叢集是以單一伺服器方式運作的伺服器群組 (連線至叢集的伺服器稱為「節點」)。此類型的環境為可用服務提供高度存取性與可靠性。若叢集中的其中一個節點失效或無法存取，則會自動由叢集中的另一個節點來取代該節點的功能。ESET MailSecurity 全面支援叢集當中的 Microsoft Exchange Server 連線。叢集中的每個節點皆必須包含相同配置，才能使 ESET MailSecurity 正常運作。您可以套用採行 ESET Remote Administrator (ERA) 的原則，以達成此目標。在下列章節中，將說明如何使用 ERA 在叢集環境中的伺服器上安裝和配置 ESET Mail Security。

安裝

本章說明關於推送安裝的方法；此並非在目標電腦上安裝產品的唯一方式。如需其他安裝方法的相關資訊，請參閱「ESETRemote Administrator 使用手冊」。

1) 從 ESET 網站，將 ESET Mail Security msi 安裝套件下載至已安裝 ERA 的電腦。在 [ERA] > [遠端安裝] 索引標籤 > [電腦] 中，在清單中的任何電腦上按一下滑鼠右鍵，然後從內容功能表中選擇 [管理套件]。在 [類型] 下拉式功能表中，選取[ESET 安全性產品套件]，然後按一下 [新增. . . ]在 [來源] 中，尋找已下載的 ESET Mail Security 安裝套件，然後按一下[建立]。

2) 在 [編輯/選取與此套件相關的配置] 中，按一下 [編輯]，然後根據您的需求配置 ESET Mail Security 的設定。ESETMail Security 設定位於下列子目錄：[ESET Smart Security、ESET NOD32 Antivirus > 郵件伺服器防護] 和 [適用於 Microsoft Exchange Server 的郵件伺服器防護]。您也可以設定其他 ESET Mail Security 內含模組 (例如更新模組、電腦掃描等等) 的參數。建議您將配置的設定匯出至 xml 檔案，以供日後使用 (例如建立安裝套件、套用「配置工作」或「原則」)。

3) 按一下 [關閉]。在下一個對話方塊視窗 ([您想要將套件儲存至伺服器嗎?]) 中，選取 [是]，然後輸入安裝套件的名稱。完成的安裝套件 (包括名稱與配置) 會儲存於伺服器。此套件最常用於推送安裝，但亦可儲存為標準 msi 安裝套件，以便用於

伺服器上直接安裝 ([安裝套件編輯器] > [另存新檔. . . ])。

4) 安裝套件就緒後，即可開始在叢集中的節點執行遠端安裝。在 [ERA] > [遠端安裝] 索引標籤 > [電腦] 中，選取您要安裝ESET Mail Security 的所在節點 (Ctrl + 按一下滑鼠左鍵，或 Shift + 按一下滑鼠左鍵)。以滑鼠右鍵按一下選取的電腦，然後從內容功能表中選取 [推送安裝]。使用 [設定] / [全部設定] 按鈕，在目標電腦上設定使用者的 [使用者名稱] 和 [密碼] (必須由擁有管理員權限的使用者執行)。按一下 [下一步] 選擇安裝套件，然後按一下 [完成] 開始執行遠端安裝處理程序。安裝套件包含 ESET Mail Security，且自訂配置設定會安裝於選取的目標電腦/節點。不久之後，ESET Mail Security 的用戶端即會出現於 [ERA] > [用戶端] 索引標籤。您現在已可從遠端管理用戶端。

附註: 為使遠端安裝處理程序順暢運作，目標電腦與 ERA 伺服器必須符合某些特定條件。如需詳細資訊，請參閱「ESETRemote Administrator 使用手冊」。

配置

為使 ESET Mail Security 在叢集內部節點上正常運作，節點的配置必須一律相同。若您遵循上述的推送安裝方法，即符合此條件。然而，有時亦會因不慎變更配置，而導致叢集內部各 ESET Mail Security 產品之間出現不一致。您只要在 ERA 中使用原則即可避免此情況。原則與標準「配置工作」非常相似，其會將「配置編輯器」中定義的配置傳送至用戶端。原則與

「配置工作」的不同之處，在於其會持續套用至用戶端。因此，「原則」可定義為一種強迫用戶端 / 用戶端群組定期採用的配置。

在 [ERA] > [工具] > [原則管理程式. . . ] 中，提供許多關於如何使用原則的選項。[預設的上層原則] 為最簡易的使用選項，其一般會用作 [主要用戶端的預設原則]。此種原則會自動套用至所有目前連線的用戶端 (在此情況中，會連線至叢集內部的所有 ESET Mail Security 產品)。您可以按一下 [編輯. . . ] 來配置原則，或使用 xml 檔案中儲存的現有配置 (若已建立)。

第二個選項為建立新的原則 ([新增下層原則])，並使用 [新增用戶端. . . ] 選項將所有 ESET Mail Security 產品指派給此原則。

53

14

此配置可確保具有相同設定的單一原則套用至所有用戶端。若您想要修改叢集內部 ESET Mail Security 伺服器的現有設定，則其亦足以編輯目前的原則。變更會套用至此原則指定的所有用戶端。

附註: 如需關於原則的詳細資訊，請參閱「ESET Remote Administrator 使用手冊」。

2.8 授權

輸入適用於 Microsoft Exchange Server 的 ESET Mail Security 授權檔案是非常重要的步驟。若無授權檔案，MicrosoftExchange Server 的電子郵件防護功能就無法正常運作。若您在安裝期間未新增授權檔案，則稍後可在 [其他選項 > 授權]下方的進階設定中新增授權檔案。

ESET Mail Security 可讓您同時合併使用數個授權，如下所述：

1)若單一客戶擁有兩個以上的授權 (即指派至相同客戶名稱的授權)，則系統會合併這些授權，且會依此增加已掃描信箱的數量。授權管理程式會繼續顯示兩種授權。

2)若不同的客戶擁有兩個以上的授權，則系統會加以合併。此處理方式與第一個情況 (上述第 1 點) 完全相同，但唯一的差異在於，至少必須有一個發生問題的授權具備特殊屬性。系統需要該屬性來合併不同客戶的授權。若您想要使用此類授權，

請洽詢您的本地經銷商為您產生授權。

附註：新建立授權的有效期間是由所有組成授權的最早到期日來決定。

適用於 Microsoft Exchange Server (EMSX) 的 ESET Mail Security 會將作用中目錄的信箱數量與您授權計數加以比較。系統會檢查每個 Exchange 伺服器的作用中目錄來判斷信箱計數。系統信箱、已停用的信箱和電子郵件別名不會列入信箱計數範圍。在叢集環境中，具叢集信箱角色的節點不會列入信箱計數範圍。

若要判斷您所擁有的啟用 Exchange 信箱數量，請在伺服器上開啟 [Active Directory 使用者和電腦]。以滑鼠右鍵按一下網域，然後按一下 [尋找. . . ]。接著從 [尋找] 下拉式功能表中，選取 [自訂搜尋]，然後再按一下 [進階] 索引標籤。貼至下列的 Lightweight Directory Access Protocol (LDAP) 查詢，然後按一下 [立即尋找]

(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)

(msExchHomeServerName=*))(!(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!

userAccountControl:1.2.840.113556.1.4.803:=2))

15

若作用中目錄的信箱數量超過您的授權計數，系統便會在 Microsoft Exchange Server 記錄中輸入下列訊息：「由於超過授權(計數) 所包含的信箱 (計數) 數量，因此變更防護狀態」。您的 ESET Mail Security 亦會將 [防護狀態] 變為橘色以作為通知，並顯示通知訊息，指出過了 42 天後即會停用防護。若您收到此通知，請連絡您的業務代表購買其他授權。

若您過了 42 天後仍未新增必要的授權以涵蓋超過限制的信箱，則您的 [防護狀態] 會變為紅色。系統會出現通知訊息指出已停用您的防護。若您收到此通知，請立即連絡您的業務代表購買額外授權。

16

2.9 安裝後配置

有幾個選項必須在產品安裝後配置。

垃圾郵件防護設定

本節說明可用來防護網路不遭受垃圾郵件干擾的設定、方法和技巧。建議先詳細閱讀以下指示，然後選擇網路最適合的設定

組合。

垃圾郵件管理

若要確實達到高層級的垃圾郵件防護，必須針對已標記為垃圾郵件的郵件設定需執行的處理方法。

其中有三個選項：

1.刪除垃圾郵件

ESET Mail Security 將郵件設定為垃圾郵件的條件設定為合理的高層級，以減少刪除合法電子郵件的機會。垃圾郵件防護設定愈明確，刪除合法電子郵件的機會愈低。此方法的優點包括耗用極少的系統資源和需要較少的管理。此方法的缺點

是，如果刪除合法電子郵件，將無法在本機還原。

2.隔離區

此選項排除刪除合法電子郵件的風險。郵件可予以還原並立即傳送給原始收件者。此方法的缺點是較耗用系統資源，並且

需要電子郵件隔離區維護的額外時間。您可以使用兩種方法隔離電子郵件：

A. 內部 Exchange Server 隔離區 (僅適用於 Microsoft Exchange Server 2007/2010)：- 如果您想要使用內部伺服器隔離區，請務必將進階設定功能表 (位於 [伺服器防護] > [訊息隔離區] 下方) 右窗格中的 [一般郵件隔離區] 欄位保留空白。另外，請確定從底端的下拉式功能表選取 [將郵件隔離至郵件伺服器系統隔離區] 選項。只有在 Exchange 的內部隔離區存在時，才可使用此方法。預設不會在 Exchange 內啟動此內部隔離區。如果您想將它啟動，需要開啟 Exchange Management Shell，然後輸入以下指令： Set-ContentFilterConfig -QuarantineMailbox [email protected]

(將 [email protected] 改為讓 Microsoft Exchange 做為內部隔離區信箱的實際信箱，例如[email protected])

B. 自訂隔離信箱：- 如果您在 [一般郵件隔離區] 欄位中輸入所需的信箱，ESET Mail Security 會將所有新的垃圾郵件移至自訂信箱。

如需關於隔離和不同方法的詳細資訊，請參閱＜郵件隔離區＞一章。

3.轉寄垃圾郵件

垃圾郵件將轉寄給收件者。不過，ESET Mail Security 會將 SCL 值的相關 MIME 檔頭填入各個郵件中。根據 SCL 值，Exchange Server IMF (智慧訊息過濾) 將執行相關處理方法。

垃圾郵件過濾

灰名單

灰名單是使用以下技巧保護使用者不受垃圾郵件干擾的方法。對於寄件者所發出而傳輸代理程式無法辨識的任何郵件，傳輸

代理程式會傳送「暫時拒絕」 SMTP 傳回值 (預設值為 451/4.7.1)。合法伺服器將嘗試重新傳送郵件。垃圾發送者一般不會嘗試重新傳送郵件，因為垃圾發送者一次傳送給數千個電子郵件地址，因此一般不會花費多餘的時間重新傳送。

評估郵件來源時，此方法考量 Exchange Server 上的許可的 IP 位址清單、略過的 IP 位址清單、安全的寄件者及允許 IP清單等配置，以及收件者信箱的AntispamBypass 設定。灰名單必須經過縝密配置，否則可能出現不必要的運作瑕疵 (例如，合法郵件傳送的延遲)。這些負面影響將持續減少，因為此方法會以信任的連線填入內部白清單。如果您不熟悉此方法，或者您認為無法接受負面的副作用，建議您在 [垃圾郵件防護] > [Microsof t Exchange Server] > [傳輸代理程式] > [啟用灰名單] 下的 [進階設定] 功能表中停用此方法。

如果您想要測試產品的基本功能，而不想要配置程式的進階功能，建議停用灰名單。

附註: 灰名單是額外一層的垃圾郵件防護，而且不會對於反垃圾郵件模組的垃圾郵件評估功能造成任何影響。

23

mailto:[email protected]



17

病毒防護設定

隔離區

依據您使用的清除模式類型，建議您配置將針對受感染 (未清除) 的郵件執行的處理方法。在 [伺服器防護] > [病毒及間諜程式防護] > [Microsof t Exchange Server] > [傳輸代理程式] 的 [進階設定] 視窗中，可設定此選項。

如果啟用將郵件移至電子郵件隔離區的選項，則需要在 [進階設定] 視窗中的 [伺服器防護] > [訊息隔離區] 下配置隔離區。

效能

如果沒有其他任何限制，建議根據以下公式，在 [電腦防護] > [病毒及間諜程式防護] > [效能] 的 [進階設定] 視窗 (F5) 中增加 ThreatSense 掃描引擎數目：ThreatSense 掃描引擎的數目 = (實體 CPU 數目 x 2) + 1。另外，掃描執行緒數目應該等

於 ThreatSense 掃描引擎數目。您可以在 [伺服器防護] > [病毒及間諜程式防護] > [Microsof t Exchange Server] >

[VSAPI] > [效能] 下配置掃描執行緒數目。範例如下：

以包含 4 個實體 CPU 的伺服器為例。為達到最佳效能，根據以上公式，應該有 9 個掃描執行緒及 9 個掃描引擎。

附註: 可接受值為 1-20，因此您能使用的 ThreatSense 掃描引擎數目上限為 20。僅在重新啟動後才會套用此變更。

附註: 建立您將掃描引擎數目設定為等於使用的 ThreatSense 掃描執行緒數目。如果使用的掃描執行緒數目大於掃描引擎數目，這不會影響效能。

附註：如果在做為終端伺服器的 Windows Server 上使用 ESET Mail Security，而且不想要每次使用者登入時即啟動 ESETMail Security GUI，請參閱停用終端機伺服器的 GUI ，以瞭解將它停用的特定步驟。110

18

3. ESET Mail Security - Microsoft Exchange Server 防護ESET Mail Security 提供 Microsoft Exchange Server 的有效防護。其中包含三個重要類型的防護：防毒、垃圾郵件防護及使用者定義規則的應用。ESET Mail Security 可防範各種類型的惡意軟體內容，包括受蠕蟲或特洛伊木馬程式所感染的電子郵件附件、包含有害指令碼的文件、網路釣魚及垃圾郵件。在惡意的內容送達收件者的電子郵件用戶端收件匣之前，ESET MailSecurity 會在郵件伺服器層級先過濾惡意的內容。以下各章將說明可供您微調 Microsoft Exchange Server 防護的選項及設定。

3.1 一般設定

本節說明如何管理規則、記錄檔案、郵件隔離區與效能參數。

3.1.1 Microsoft Exchange Server

3.1.1.1 VSAPI (病毒掃描應用程式設計介面 )

Microsoft Exchange Server 提供的機制，可確保運用最新的病毒資料庫掃描所有郵件元件。若尚未掃描郵件元件，則會先將該郵件的對應元件提交至掃描器，然後再將郵件發佈至用戶端。所有 Microsoft Exchange Server (2000/2003/2007/2010) 的支援版本皆提供不同版本的 VSAPI。

使用核取方塊，可啟用/停用是否自動啟動 Exchange 伺服器所用的 VSAPI 版本。

3.1.1.2 傳輸代理程式

在本節內容中，您可將傳輸代理程式配置為自動啟動，並設定代理程式載入優先順序。針對 Microsoft Exchange Server 2007及更新版本，僅在伺服器為下列兩個角色之一時才可安裝傳輸代理程式：邊緣傳輸或集線器傳輸。

附註：在 Microsoft Exchange Server 5.5 (VSAPI 1.0) 中無法使用傳輸代理程式。

您可在 [代理程式優先順序設定] 功能表中，設定 ESET Mail Security 代理程式的優先順序。代理程式優先順序號碼範圍取決於 Microsoft Exchange Server 的版本 (號碼越小則優先順序越高)。

根據垃圾郵件分數，將垃圾郵件信賴層級 (SCL) 寫入至已掃描郵件的檔頭 - SCL 是針對郵件指定的標準化數值，代表垃圾郵件的可能性 (根據郵件檔頭、郵件主旨、內容等項目的特性)。若評分為 0，則代表郵件極可能並非垃圾郵件；若評分為9，則代表郵件極可能為垃圾郵件。您可使用 Microsoft Exchange Server 的「智慧型郵件篩選器」(或「內容篩選器代理程

19

式」)，進一步處理 SCL 數值。如需其他資訊，請參閱 Microsoft Exchange Server 文件。

[刪除郵件時，傳送 SMTP 拒絕回應] 選項：

若未勾選此項目，則伺服器會以「250 2.5.0 - 要求的郵件動作成功，已完成」格式，傳送 SMTP 正常回應訊息至寄件者的「郵件傳輸代理程式」(MTA)，然後無訊息執行刪除。若勾選此項目，則 SMTP 拒絕回應會傳回至寄件者的 MTA。您可以輸入下列格式的回應訊息：

主要回應代碼補充狀態代碼說明

250 2.5.0 要求的郵件動作成功，已完成

451 4.5.1 要求的動作已中止：處理時發生本機錯誤

550 5.5.0 未執行要求的動作：信箱無法使用

警告: 若 SMTP 回應代碼語法錯誤，則會導致程式元件故障，或降低

附註：您也可以在配置「SMTP 拒絕回應」時使用系統變數。

3.1.2 規則

[規則] 功能表項目可讓管理員手動定義電子郵件過濾條件，以及要對遭過濾之電子郵件採取的處理方法。這些規則會根據一組組合的條件集來進行套用。其為多個利用 AND 邏輯運算子組合的條件；僅當所有條件均滿足時才會套用規則。[數目] 直欄(位於各個規則名稱旁邊) 顯示成功套用規則的次數。

傳輸代理程式 (TA) 或 VSAPI 處理郵件時會根據規則檢查。啟用 TA 及 VSAPI，而且訊息符合規則條件時，規則計數器可能會增加 2 或以上。這是因為 VSAPI 分別存取郵件的各個部分 (本文、附件)，表示規則分別連續套用於各個部分。另外，背景掃描期間也會套用規則 (例如，在病毒資料庫更新後重複執行的信箱儲存區掃描)，這會增加規則計數器。

新增. . . - 新增規則編輯. . . - 修改現有的規則移除 - 移除選取的規則清除 - 清除規則計數器 (相符直欄)上移 - 使清單中選取的規則向上移動下移 - 使清單中選取的規則向下移動

20

取消勾選核取方塊 (位於各規則名稱的左邊) 會停用目前的規則。這能夠讓規則在必要時再次啟動。

附註: 在配置規則時，您也可以使用系統變數 (如 %PATHEXT%)。

附註：如果已新增規則或已修改現有規則，將使用新/修改的規則自動開始郵件重新掃描。

3.1.2.1 新增規則

此精靈會引導您新增含有組合條件的使用者指定規則。

附註: 傳輸代理程式掃描郵件時，並非全部的條件都適用。

依目標信箱適用於信箱的名稱 (VSAPI)依郵件收件者適用於傳送給指定收件者的郵件 (VSAPI + TA)依郵件寄件者適用於由指定寄件者傳送的郵件 (VSAPI + TA)依郵件主旨適用於含指定主旨行的郵件 (VSAPI + TA)依郵件內文適用於郵件內文含特定文字的郵件 (VSAPI)[依附件名稱] 適用於含特定附件名稱的郵件 (在 Exchange 2000 和 2003 中的 VSAPI、Exchange 2007 和 2010 的VSAPI + TA)依附件大小適用於附件超過定義大小的郵件 (Exchange 2000 和 2003 的 VSAPI，Exchange 2007 和 2010 的 VSAPI +TA)[依出現頻率] 適用於指定時間間隔內的出現次數超過指定次數的物件 (電子郵件內文或附件) (VSAPI)。如果經常收到的垃圾郵件是出現相同電子郵件內文或相同附件的電子郵件，這相當實用

依附件類型適用包含指定檔案類型附件的郵件 (實際檔案類型是依其內容的偵測結果，無論其副檔名為何) (VSAPI)

指定以上條件 ([依附件大小] 條件除外) 時，只要未選取 [所有文字相符] 選項，可以僅填入片語的一部份。除非選取 [大小寫相符] 選項，否則值不區分大小寫。如果使用英數字元以外的值時，請使用括號和引號。您也可以建立使用 AND、OR 及NOT 等邏輯運算子的條件。

附註：可用的規則清單會隨著安裝的 Microsoft Exchange Server 版本不同而改變。

附註： Microsoft Exchange Server 2000 (VSAPI 2.0) 只會評估顯示的寄件者/收件者名稱，不會顯示電子郵件地址。Microsoft Exchange Server 2003 (VSAPI 2.5) 與更新版本才會評估電子郵件地址。

輸入條件範例：

依目標信箱： smith

依電子郵件寄件者： [email protected]

依電子郵件收件者： "J.Smith" 或 "[email protected]"

依電子郵件主旨： " "

依附件名稱： ".com" OR ".exe"

21

依電子郵件內文： ("free" OR "lottery") AND ("win" OR "buy")

3.1.2.2 套用規則時要採取的處理方法

此小節可讓您針對與規則中定義的條件相符的郵件及/或附件選取要採取的處理方法。您可以不採取任何處理方法、標記包含威脅/垃圾郵件的郵件，或刪除整封郵件。郵件或其附件符合規則條件時，預設不會由防毒模組或反垃圾郵件模組掃描，除非選取底端的各個核取方塊明確啟用掃描 (視防毒/垃圾郵件防護設定而定所採取的處理方法)。

不進行處理 - 不針對郵件採取任何處理方法處理未清除的威脅 - 將郵件標記為含有未清除的威脅 (不論郵件中是否含有威脅)[處理來路不明的電子郵件] - 將郵件標記為垃圾郵件 (不論郵件是否為垃圾郵件)。只有在啟用垃圾郵件防護的情況

下，且在傳輸代理程式層級上執行處理方法時，此選項才能運作。否則將不會執行此處理方法

刪除郵件 - 將郵件內容滿足條件的郵件完整移除，但是此處理方法只適用於在 VSAPI 2.5 及更新版本 (VSAPI 2.0 及舊版本無法執行此處理方法)

[隔離檔案] - 滿足規則條件的附件檔案，會將其放置於 ESET Mail Security檔案隔離區，請勿將此與郵件隔離區混淆 (如需更多郵件隔離區詳細資訊，請參閱＜郵件隔離區 > )

[提交檔案以供分析] - 將可疑的附件送至 ESET 實驗室以進行分析傳送事件通知 - 傳送通知給管理員 (根據 [工具] > [警告及通知] 中的設定)防護記錄 - 將套用規則的相關資訊寫入至程式防護記錄中評估其他規則 - 允許評估其他規則，讓使用者能定義多組條件以及根據條件所採取的多個處理方法由病毒和間諜程式防護掃描郵件 - 掃描郵件及其附件是否有威脅由垃圾郵件防護掃描郵件 - 掃描郵件是否為垃圾郵件。

附註：此選項只適用於傳輸代理程式已開啟的 Microsoft Exchange Server 2000 和更新版本。

「新規則建立精靈」中的最後一個步驟是替各個建立的規則命名。您也可以新增 [規則註解]。此資訊將儲存於 MicrosoftExchange Server 記錄中。

33

23

22

3.1.3 防護記錄檔案

防護記錄檔案可讓您選擇如何收集防護記錄檔案。較詳細的通訊協定匯包含較多的資訊，不過會使得伺服器效能變慢。

如果啟用 [不使用快取的同步化寫入]，所有防護記錄項目將立即寫入防護記錄檔案中，而不會儲存於防護記錄快取。依預設，Microsoft Exchange Server 中執行的 ESET Mail Security 元件會將防護記錄訊息儲存於其內部快取，並且定期將這些訊息傳送至應用程式防護記錄，以維持效能。不過，在此情況下，防護記錄中的診斷項目可能不會按照適當的順序排列。除非

需要進行診斷，否則建議將此設定關閉。在 [內容] 功能表中，您可以指定防護記錄檔案中儲存的資訊類型。

記錄規則應用程式 - 啟用此選項時，ESET Mail Security 會將所有已啟動規則的名稱寫入至防護記錄檔案。

記錄垃圾郵件分數 - 使用此選項可將垃圾郵件相關活動寫入至反垃圾郵件防護記錄。郵件伺服器收到垃圾郵件時，與

此相關的訊息將寫入至防護記錄，其中提供時間/日期、寄件者、收件者、主旨、垃圾郵件分數、原因及處理方法等詳細資料。如果您需要追蹤何時收到什麼垃圾郵件，以及採取什麼處理方法，這相當實用。

記錄灰名單活動- 如果要將灰名單相關活動寫入至灰名單防護記錄，可啟用此選項。其中提供時間/日期、HELO 網域、IP 位址、寄件者、收件者、處理方法等資訊。附註: 只有在進階設定樹狀目錄 (F5) 的 [伺服器防護] > [垃圾郵件防護] > [Microsof t Exchange Server] > [傳輸代理程式] 之下的[傳輸代理程式] 選項中啟用灰名單時，才可使用此選項。

[記錄效能] - 記錄已執行工作的時間間隔、所掃描物件的大小、傳輸速率 (kb/s) 及效能評分等資訊。

[記錄診斷資訊] - 記錄針對通訊協定微調程式所需的診斷資訊；此選項大多用於除錯及識別問題。不建議開啟此選項。若要檢視此功能提供的診斷資訊，必須在 [工具] >[防護記錄檔案] > [記錄最簡化] 設定中，將 [記錄最簡化] 設定為 [診斷記錄]。

88

88

34

23

3.1.4 郵件隔離區

[郵件隔離區] 是由系統管理員定義的特殊信箱，可用來儲存可能受到感染的郵件和垃圾郵件。儲存在隔離區中的郵件可供分析，或在日後使用新版的病毒資料庫加以清除。

有兩種郵件隔離區系統可用。

一個選項是使用 Microsoft Exchange 隔離區系統 (這僅適用於 Microsoft Exchange Server 2007/2010)。在此情況下，將使用Exchange 的內部機制儲存可能受到感染的郵件和垃圾郵件。此外，您可以在必要時針對特定收件者新增個別的隔離區信箱(或信箱數目)。這表示，原始傳送給特定收件人的可能受感染郵件將傳送至個別的隔離區信箱，而非傳送至 Exchange 的內部隔離區信箱。在某些情況下，這可用來區分可能受到感染的郵件及垃圾郵件。

另一個選項是使用 [一般郵件隔離區]。如果您使用舊版 Microsoft Exchange Server (5.5、2000 或 2003)，只要指定 [一般郵件隔離區]，這是將儲存可能受到感染的郵件所用的信箱。在此情況下，將不使用 Exchange 的內部隔離區系統。而會改為將使用系統管理員指定的信箱用於此目的。和第一個選項一樣，您可以針對特定收件者新增個別的隔離區信箱 (或信箱數目)。結果會是可能受到感染的郵件將傳送至個別的信箱，而非傳送至一般郵件隔離區。

一般郵件隔離區 - 您可以在此指定一般郵件隔離區地址 (例如 [email protected])，也可以將此欄位保留空白，並且從底端的下拉式功能表選擇 [將郵件隔離至郵件伺服器系統隔離區] (前提為 Exchange 隔離區存在於您的環境中)，以使用 Microsoft Exchange Server 2007/2010 內部隔離區系統。電子郵件將由使用自身設定的 Exchange 內部機制傳送至隔離區。

附註: 預設不會在 Exchange 內啟動此內部隔離區。如果您想將它啟動，需要開啟 Exchange Management Shell，然後輸入以下指令：

Set-ContentFilterConfig -QuarantineMailbox [email protected]

(將 [email protected] 改為讓 Microsoft Exchange 做為內部隔離區信箱的實際信箱，例如[email protected])





24

郵件隔離區 (依收件者) - 使用此選項，即可定義多位收件者的郵件隔離區信箱的郵件。勾選或取消勾選每個隔離規則列中的核取方塊可對其加以啟用或停用。

新增. . . - 您可以輸入需要的收件者電子郵件地址和轉送郵件的隔離區電子郵件地址，藉此新增隔離規則

編輯. . . – 編輯選取的隔離規則

移除 - 移除選取的隔離規則

偏好的一般郵件隔離區 - 啟用時，滿足多個隔離規則的郵件將會傳送至指定的一般隔離區 (例如，當郵件有多位收件者，且其中有某些收件者已定義在多個隔離規則中時)

用於不存在郵件隔離區的郵件 (如果不指定一般郵件隔離區，可使用以下選項決定如何處理可能受感染的郵件或垃圾郵件) 不進行處理 - 將以標準方式處理郵件 - 傳送給收件者 (不建議)刪除郵件 - 如果郵件的收件人沒有現存的隔離規則且未指定一般郵件隔離區，則刪除郵件，這表示將自動刪除所有可能受到感染的郵件和垃圾郵件，而不儲存於任何位置

將郵件隔離至郵件伺服器系統隔離區 - 將郵件傳送至或儲存在 Exchange 的內部系統隔離區 (不適用於 MicrosoftExchange Server 2003 (含) 以前的版本)

附註：在配置郵件隔離區設定時，您也可以使用系統變數 (如 %USERNAME%)。

3.1.4.1 新增隔離規則

在適當的欄位中，輸入收件者的電子郵件地址以及隔離電子郵件地址。

如果您想要刪除寄送至收件者的電子郵件，而該收件者尚未套用隔離規則，您可以在 [用於不存在郵件隔離區的郵件] 下拉式功能表中，選取 [刪除郵件]。

3.1.5 效能

在此區段中，您可以定義用來儲存暫存檔案的資料夾，以提升程式效能。如果不定義任何資料夾，ESET Mail Security 將在系統的暫存資料夾中建立暫存檔案。

附註：為了減少潛在的 I/O 及分散影響，建議將暫存資料夾放置在並非 Microsoft Exchange Server 安裝所在的不同硬碟。強烈建議您避免將暫存資料夾指派至可移除的媒體，例如軟碟、USB、DVD 等。

附註：配置效能設定時，可以使用系統變數 (例如 %SystemRoot%\TEMP)。

25

3.2 病毒及間諜程式防護設定

您可以選取 [啟用病毒及間諜程式伺服器防護] 選項，以啟用病毒及間諜程式郵件伺服器防護。請注意，每次服務/電腦重新啟動時，病毒及間諜程式防護會自動啟動。按一下 [設定]… 按鈕，即可存取 ThreatSense 引擎參數設定。


關於病毒及間諜程式防護方面，適用於 Microsoft Exchange Server 的 ESET Mail Security 使用兩種掃描類型。其中一種掃描類型會透過 VSAPI 掃描郵件，而另一種類型則會使用「傳輸代理程式」。

使用 VSAPI 的防護會直接掃描 Exchange 伺服器儲存區內部的郵件。

傳輸代理程式防護會掃描 SMTP 流量，而不會掃描 Exchange 伺服器儲存區本身。若啟用此防護類型，則代表傳輸時會掃描所有的郵件及郵件元件，即使其尚未到達 Exchange 伺服器儲存區或透過 SMTP 傳出亦然。SMTP 伺服器層級過濾係由特殊外掛程式所保護。在 Microsoft Exchange Server 2000 和 2003 中，問題的外掛程式 (「事件接收」) 會登錄於SMTP 伺服器作為 Internet Information Services (IIS) 的一部分。在 Microsoft Exchange Server 2007/2010 中，外掛程式會登錄為 Microsoft Exchange Server 之「邊緣」或「集線器」角色的傳輸代理程式。

附註: 在 Microsoft Exchange Server 5.5 中無法使用傳輸代理程式，不過您可在所有最新版本的 Microsoft Exchange Server(自 2000 版起) 中使用傳輸代理程式。

您可以同時執行 VSAPI 與傳輸代理程式的病毒及間諜程式防護 (此為預設值和建議配置)。或者，您可以選擇僅使用其中一種防護類型 (VSAPI 或傳輸代理程式)。您可以個別啟用或停用其中每種防護類型。建議您同時使用二種防護類型，以確保發揮最大的病毒防護與間諜程式防護效能。不建議同時停用二種防護類型。

3.2.1.1 病毒掃描應用程式設計介面 (VSAPI)

Microsoft Exchange Server 提供的機制，可確保運用最新的病毒資料庫掃描所有郵件元件。若先前未掃描郵件，則會先將該郵件的對應元件提交至掃描器，然後再將郵件發佈至用戶端。所有 Microsoft Exchange Server 支援版本(5.5/2000/2003/2007/2010) 皆提供不同版本的 VSAPI。

25

30

26

3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0)

此 Microsoft Exchange Server 版本包括 VSAPI 1.0 版。

若啟用 [背景掃描] 選項，則可在系統背景中掃描所有郵件。Microsoft Exchange Server 會根據各種因素決定是否執行背景掃描，例如目前的系統負載、作用中使用者數量等。Microsoft Exchange Server 會保留關於已掃描郵件和病毒資料庫使用版本的記錄。若您開啟的郵件尚未由最新的病毒資料庫進行掃描，則 Microsoft Exchange Server 會先將郵件傳送至 ESET MailSecurity 進行掃描，然後再於電子郵件用戶端開啟郵件。

背景掃描可能會影響系統負載 (每次更新病毒資料庫時皆會執行掃描)，因此建議在工作以外的時間進行掃描排程。您可以透過[工作安排精靈] 中的特殊工作，配置背景掃描排程。排程背景掃描工作時，您可以在 [工作安排精靈] 中設定啟動時間、重複次數和其他可用參數。排程工作之後，即會在已排程工作清單中顯示該工作與其他工作，您可以修改工作參數、刪除工作或

暫時停用工作。

3.2.1.1.1.1 處理方法

在本節內容中，您可以指定當郵件和/或附件評估為受感染時所要執行的處理方法。

[無法清除時所採取的處理方法] 欄位可讓您 [封鎖] 受感染的內容、[刪除] 郵件或針對受感染的郵件內容選擇 [不進行處理]。僅在自動清除作業 (定義於 [ThreatSense 引擎參數設定] > [清除] ) 未清除郵件時，才適用此處理方法。

[刪除] 欄位可讓您將 [附件刪除方法] 設為下列任一選項：

將檔案長度縮短至零 - ESET Mail Security 會將附件的大小縮短至零，以讓收件者查看附件檔案名稱和類型以處理方法資訊取代附件 - ESET Mail Security 會以病毒通訊協定或規則說明來取代受感染的檔案

按一下 [重新掃描] 按鈕，即會針對先前已掃描的郵件和檔案重新執行掃描。

3.2.1.1.1.2 效能

執行掃描時，Microsoft Exchange Server 可讓您限制開啟郵件附件的時間。您可以在 [回應時間限制 (毫秒)] 欄位中設定此時間，其會顯示用戶端在經過多久時間後，會重新嘗試存取先前因掃描而無法存取的檔案。

3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0)

此 Microsoft Exchange Server 版本包含 VSAPI 2.0 版。

若您取消勾選 [啟用病毒及間諜程式防護 VSAPI 2.0] 選項，則不會從 Microsoft Exchange 伺服器處理程序中卸載適用於Exchange 伺服器的 ESET Mail Security 外掛程式。其僅會讓郵件通過而不掃描病毒。不過，系統仍會針對郵件掃描垃圾郵件，並套用規則。

若啟用 [主動式掃描] 選項，則會依外來郵件的接收順序進行掃描。若啟用此選項，且使用者開啟尚未掃描的郵件，則在佇列中會先掃描此郵件，然後再掃描其他郵件。

[背景掃描] 選項可在系統背景中掃描所有郵件。Microsoft Exchange Server 會根據各種因素決定是否執行背景掃描，例如目前的系統負載、作用中使用者數量等。Microsoft Exchange Server 會保留關於已掃描郵件和病毒資料庫使用版本的記錄。若您開啟的郵件尚未由最新的病毒資料庫進行掃描，則 Microsoft Exchange Server 會先將郵件傳送至 ESET Mail Security 進行掃描，然後再於電子郵件用戶端開啟郵件。



若您想要掃描純文字郵件，請選取 [掃描純文字電子郵件本文] 選項。

啟用 [掃描 RTF 郵件本文] 選項，以啟動掃描 RTF 郵件本文。RTF 郵件本文可能包含巨集病毒。

71

34 19

27

3.2.1.1.2.1 處理方法


[無法清除時所採取的處理方法] 欄位可讓您 [封鎖] 受感染的內容、[刪除] 郵件或針對受感染的郵件內容選擇 [不進行處理]。僅在自動清除作業 (定義於 [ThreatSense 引擎參數設定] > [清除] ) 未清除郵件時，才適用此處理方法。

[刪除] 選項可讓您設定 [郵件刪除方法] 和 [附件刪除方法]。

您可以將 [郵件刪除方法] 設為：

刪除郵件內文 - 刪除受感染郵件的內文，收件者會收到一則空白的郵件和任何未受感染的附件將處理方法資訊重新寫入郵件內文 - 將有關已執行處理方法的資訊重新寫入受感染郵件的內文

您可以將 [附件刪除方法] 設為：

將檔案長度縮短至零 - ESET Mail Security 會將附件的大小縮短至零，以讓收件者查看附件檔案名稱和類型以處理方法資訊取代附件 - ESET Mail Security 會以病毒通訊協定或規則說明來取代受感染的檔案


3.2.1.1.2.2 效能

在本節內容中，您可以設定一次使用的獨立掃描執行緒數量。多處理器電腦上的執行緒越多，掃描率就越高。為了達到最佳

程式效能，建議使用相同數量的 ThreatSense 掃描引擎和掃描執行緒。

[回應時間限制 (秒)] 可讓您設定執行緒等候完成郵件掃描的時間長度上限。若在此時間限制內未完成掃描，則 MicrosoftExchange Server 會拒絕用戶端存取電子郵件。掃描作業不會遭到中斷，完成掃描之後，其他關於存取檔案的嘗試皆可順利運作。

提示: 若要判斷 Microsoft Exchange Server 供應商建議的 [掃描執行緒數量]，請使用下列公式：[實體處理器的數量] x 2 +1。

附註: 若 ThreatSense 掃描引擎的數量多於掃描執行緒，則效能不會有顯著改善。

3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5)




[背景掃描] 選項可在系統背景中掃描所有郵件。Microsoft Exchange Server 會根據各種因素決定是否執行背景掃描，例如目前的系統負載、作用中使用者數量等。Microsoft Exchange Server 會保留關於已掃描郵件和病毒資料庫使用版本的記錄。若您開啟的郵件尚未由最新的病毒資料庫進行掃描，則 Microsoft Exchange Server 會先將郵件傳送至 ESET Mail Security 進行掃描，然後再於電子郵件用戶端開啟郵件。




[掃描已傳輸的郵件] 選項可掃描未儲存在本機 Microsoft Exchange Server，且透過本機 Microsoft Exchange Server 傳送至其他電子郵件伺服器的郵件。您可將 Microsoft Exchange Server 配置為閘道，然後將郵件傳送至其他電子郵件伺服器。若啟用 [掃描已傳輸的郵件]，則 ESET Mail Security 亦會掃描這些郵件。僅在啟用傳輸代理程式時才適用此選項。

附註: VSAPI 不會掃描純文字電子郵件內文。

71

34 19

28

3.2.1.1.3.1 處理方法


[無法清除時所採取的處理方法] 欄位可讓您封鎖受感染的內容，刪除受感染的郵件內容，刪除整個郵件 (包括受感染的內容)，或不進行處理。僅在自動清除作業 (定義於 [ThreatSense 引擎參數設定] > [清除] ) 未清除郵件時，才適用此處理方法。

[刪除] 選項可讓您設定 [郵件刪除方法] 和 [附件刪除方法]。

您可以將 [郵件刪除方法] 設為：

刪除郵件內文 - 刪除受感染郵件的內文，收件者會收到一則空白的郵件和任何未受感染的附件將處理方法資訊重新寫入郵件內文 - 將有關已執行處理方法的資訊重新寫入受感染郵件的內文刪除整個郵件 - 刪除整個郵件 (包括附件)；您可以設定刪除附件時應執行的處理方法


將檔案長度縮短至零 - ESET Mail Security 會將附件的大小縮短至零，以讓收件者查看附件檔案名稱和類型以處理方法資訊取代附件 - ESET Mail Security 會以病毒通訊協定或規則說明來取代受感染的檔案刪除整個郵件 - 刪除整個郵件 (包括附件)；您可以設定刪除附件時應執行的處理方法


3.2.1.1.3.2 效能



[回應時間限制 (秒)] 可讓您設定執行緒等候完成郵件掃描的時間長度上限。若在此時間限制內未完成掃描，則 MicrosoftExchange Server 會拒絕用戶端存取電子郵件。掃描作業不會遭到中斷，完成掃描之後，其他關於存取檔案的嘗試皆可順利運作。

提示：若要判斷 Microsoft Exchange Server 供應商建議的 [掃描執行緒數量]，請使用下列公式：[實體處理器的數量] x 2+ 1。

附註：若 ThreatSense 掃描引擎的數量多於掃描執行緒，則效能不會有顯著改善。

3.2.1.1.4 Microsoft Exchange Server 2007/ 2010 (VSAPI 2.6)




[背景掃描] 選項可在系統背景中掃描所有郵件。Microsoft Exchange Server 會根據各種因素決定是否執行背景掃描，例如目前的系統負載、作用中使用者數量等。Microsoft Exchange Server 會保留關於已掃描郵件和病毒資料庫使用版本的記錄。若您開啟的郵件尚未由最新的病毒資料庫進行掃描，則 Microsoft Exchange Server 會先將郵件傳送至 ESET Mail Security 進行掃描，然後再於電子郵件用戶端開啟郵件。您可以選擇 [僅掃描含有附件的郵件]，並根據接收時間使用下列 [掃描層級]選項進行過濾：

所有郵件

去年接收的郵件

6 個月內接收的郵件3 個月內接收的郵件上個月接收的郵件

上週接收的郵件

背景掃描可能會影響系統負載 (每次更新病毒資料庫時皆會執行掃描)，因此建議在工作以外的時間進行掃描排程。您可以透過[工作安排精靈] 中的特殊工作，配置背景掃描排程。排程背景掃描工作時，您可以在 [工作安排精靈] 中設定啟動時間、重複

71

34 19

29

次數和其他可用參數。排程工作之後，即會在已排程工作清單中顯示該工作與其他工作，您可以修改工作參數、刪除工作或



附註： VSAPI 不會掃描純文字電子郵件內文。

3.2.1.1.4.1 處理方法


[無法清除時所採取的處理方法] 欄位可讓您封鎖受感染的內容，刪除物件 - 受感染的郵件內容，刪除整個郵件或不進行處理。僅在自動清除作業 (定義於 [ThreatSense 引擎參數設定] > [清除] ) 未清除郵件時，才適用此處理方法。

如上所述，您可以將 [無法清除時所採取的處理方法] 設為：

不進行處理 - 不針對受感染的郵件內容採取任何處理方法封鎖 - 在郵件到達 Microsoft Exchange Server 儲存區之前加以封鎖刪除物件 - 刪除受感染的郵件內容刪除整個郵件 - 刪除整個郵件，包括受感染的郵件內容

[刪除] 選項可讓您設定 [郵件內文刪除方法] 和 [附件刪除方法]。

您可以將 [郵件內文刪除方法] 設為：

刪除郵件內文 - 刪除受感染郵件的內文，收件者會收到一則空白的郵件和任何未受感染的附件將處理方法資訊重新寫入郵件內文 - 將有關已執行處理方法的資訊重新寫入受感染郵件的內文刪除整個郵件 - 刪除整個郵件 (包括附件)；您可以設定刪除附件時應執行的處理方法


將檔案長度縮短至零 - ESET Mail Security 會將附件的大小縮短至零，以讓收件者查看附件檔案名稱和類型以處理方法資訊取代附件 - ESET Mail Security 會以病毒通訊協定或規則說明來取代受感染的檔案刪除整個郵件 - 刪除附件

若啟用 [使用 VSAPI 隔離區] 選項，則受感染的郵件會儲存於電子郵件伺服器隔離區。請注意，此為伺服器的受管理VASPI 隔離區 (非用戶端的隔離區或隔離區信箱)。受感染的郵件會儲存在郵件伺服器隔離區而無法存取，最後會使用最新的病毒資料庫加以清除。


3.2.1.1.4.2 效能



提示：若要判斷 Microsoft Exchange Server 供應商建議的 [掃描執行緒數量]，請使用下列公式：[實體處理器的數量] x 2+ 1。

附註：若 ThreatSense 掃描引擎的數量多於掃描執行緒，則效能不會有顯著改善。

71

30

3.2.1.1.5 傳輸代理程式

在這一節中，您可以使用傳輸代理程式來啟用或停用病毒及間諜程式防護。針對 Microsoft Exchange Server 2007 及更新版本，僅在伺服器擔任下列兩個角色之一時才可安裝傳輸代理程式：邊緣傳輸或集線器傳輸。

如果有無法清除的郵件，則會根據「傳輸代理程式」區段中的設定處理。您可以刪除此郵件，並將其傳送至隔離區信箱或予

以保留。

若您取消勾選 [啟用由傳輸代理程式執行的病毒及間諜程式防護] 選項，適用於 Exchange 伺服器的 ESET Mail Security外掛程式不會從 Microsoft Exchange 伺服器處理程序中卸載。其僅會讓郵件通過而不掃描病毒。不過，系統仍會針對郵件掃描垃圾郵件，並套用規則。

若您勾選 [啟用由傳輸代理程式執行的病毒及間諜程式防護]，則可設定 [無法清除時所採取的處理方法]

保留郵件 - 保留無法清除的受感染郵件隔離郵件 - 將受感染的郵件傳送至隔離區信箱刪除郵件 - 刪除受感染的郵件

發現威脅時，將垃圾郵件分數寫入已掃描郵件的檔頭 (%) - 將垃圾郵件分數 (郵件是垃圾郵件的可能性) 設為以百分比表示的指定值

這表示一旦發現威脅，即會將垃圾郵件分數 (以 % 表示的指定值) 寫入至已掃描的郵件。由於殭屍網路 (Botnet) 會傳送大部分的受感染郵件，因此系統會將以此方式散佈的郵件歸類為垃圾郵件。為了讓此功能有效運作，必須在 [伺服器防護] >[Microsof t Exchange Server] > 傳輸代理程式中啟用 [根據垃圾郵件分數，將垃圾郵件信賴層級 (SCL) 寫入至已掃描的郵件] 選項。

若啟用 [也掃描從已驗證或從內部連線接收的郵件]，則 ESET Mail Security 亦會針對來自已驗證來源或本機伺服器的已接收郵件執行掃描。建議掃描此類郵件以達到進一步防護 (選用)。

34 19

18

31

3.2.2 處理方法

在此區段中，您可以選擇將掃描工作 ID 及/或掃描結果資訊附加於已掃描訊息的檔頭。

3.2.3 警告及通知

ESET Mail Security 允許將文字附加到受感染郵件的原始主旨或本文。

32

[新增至已掃描郵件的內文:] 提供三個選項：

不附加到電子郵件

僅附加至受感染的郵件

附加至所有已掃描的郵件 (不會套用至內部郵件)

啟用 [新增至受感染郵件的主旨] 之後，ESET Mail Security 會以 [新增到受感染郵件主旨的範本] 文字欄位中定義的值(預設為 [virus %VIRUSNAME%])，將通知標籤附加至電子郵件主旨。以上提及的修改能夠將特定主旨 (如果電子郵件用戶端支援) 的電子郵件過濾到個別資料夾，使受感染電子郵件的過濾自動進行。

附註：將範本新增至郵件主旨時，也可使用系統變數。

3.2.4 自動排除

伺服器應用程式及作業系統的開發人員建議許多重要的工作檔案及資料夾排除在大多數產品的防毒掃描之外。防毒掃描對於

伺服器的效能有負面影響，會導致衝突，甚至會使得某些應用程式無法在伺服器上執行。排除有助於將潛在衝突的風險降至

最低，並提升執行防毒軟體時的伺服器整體效能。

ESET Mail Security 可識別重要的伺服器應用程式及伺服器作業系統檔案，並自動將這些新增至排除清單中。一旦新增至清單中，勾選適當的方塊即可將伺服器處理程序/應用程式啟用 (預設)，取消勾選則可予以停用，產生的結果如下：

1)如果應用程式/作業系統排除持續啟用，任何重要的檔案及資料夾將新增至排除在掃描之外的檔案清單 ([進階設定] > [電腦防護] > [病毒及間諜程式防護] > [排除])。每次伺服器重新啟動時，系統都將執行排除的自動檢查，並還原已從清單刪除的任何排除。如果您要確定建議的自動排除持續套用，這是建議的設定。

2)如果使用者停用應用程式/作業系統排除，任何重要的檔案及資料夾將留存於排除在掃描之外的檔案清單 ([進階設定] > [電腦防護] > [病毒及間諜程式防護] > [排除])。不過，每次伺服器重新啟動時 (見以上點 1)，不會自動在 [排除] 清單檢查和更新這些檔案及資料夾。建議此設定由想要移除或修改某些標準排除的進階使用者使用。如果您想要從清單移除排除而

不重新啟動伺服器，則需要從清單手動移除排除 ([進階設定] > [電腦防護] > [病毒及間諜程式防護] > [排除])。

[進階設定] > [電腦防護] > [病毒及間諜程式防護] > [排除] 之下任何手動輸入的使用者定義排除將不受以上所述的設定所影響。

伺服器應用程式/作業系統的自動排除均根據 Microsoft 的建議加以選取。如需詳細資訊，請參閱以下連結：

http://support.microsoft.com/kb/822158



http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx

http://technet.microsoft.com/en-us/library/bb332342.aspx




http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx

http://technet.microsoft.com/en-us/library/bb332342.aspx

33

3.3 垃圾郵件防護

在 [垃圾郵件防護] 區段中，您可以針對已安裝的郵件伺服器啟用或停用垃圾郵件防護、配置反垃圾郵件引擎參數，並設定其他防護層級。

附註: 務必定期更新「垃圾郵件防護」資料庫，反垃圾郵件模組才能提供最佳的防護。若要讓「垃圾郵件防護」資料庫正確地定期更新，您必須先確定 ESET Mail Security 能夠存取特定連接埠上的特定 IP 位址。如需更多有關在您的第三方防火牆上應啟用的 IP 和連接埠詳細資訊，請閱讀此 KB 文章。

附註: 此外，您無法使用映像來更新「垃圾郵件防護」資料庫。要使「垃圾郵件防護」資料庫的更新正常運作，ESETMail Security 需能夠存取上述 KB 文章中所列的 IP 位址。若無法存取這些 IP，反垃圾郵件模組將無法提供最精確的結果，也就是無法提供最佳的防護。

81

http://kb.eset.com/esetkb/index?page=content&id=SOLN332&viewlocale=en_US

34


3.3.1.1 傳輸代理程式

在本節內容中，您可使用傳輸代理程式來設定垃圾郵件防護選項。

附註：在 Microsoft Exchange Server 5.5 中無法使用傳輸代理程式。

當您勾選 [啟用由傳輸代理程式執行的垃圾郵件防護] 時，可選擇下列其中一個選項作為 [針對垃圾郵件所採取的處理方法]

保留郵件 - 即使郵件標示為垃圾郵件亦保留郵件隔離郵件 - 將標示為垃圾郵件的郵件傳送至隔離區信箱

刪除郵件 - 刪除標示為垃圾郵件的郵件

若您想要在郵件檔頭中包含郵件之垃圾郵件分數的相關資訊，請啟用 [將垃圾郵件分數寫入至已掃描郵件的檔頭] 選項。

[使用 Exchange Server 白名單自動略過垃圾郵件防護] 讓 ESET Mail Security 使用特定的 Exchange「白名單」。啟用時，應考慮下列事項：

「傳送伺服器 IP 位址」位於「Exchange 伺服器的允許 IP 清單」上郵件收件者的信箱上設有垃圾郵件略過旗標

寄件者的電子郵件地址會出現在郵件收件者的安全的寄件者清單上 (請確定在您的 Exchange 伺服器環境中，且包括「安全清單彙總」在內，都已配置安全的寄件者清單同步化。)

如果上述任一項適用於傳入郵件，系統將會忽略針對該郵件的垃圾郵件防護檢查，因此不會評估該郵件是否為「垃圾郵

件」，並傳送至收件者的信箱。

當您已驗證具有垃圾郵件防護設定的 Exchange 伺服器間的 SMTP 工作階段時，[接受設定於 SMTP 工作階段上的垃圾郵件防護略過旗標] 則相當實用。例如，當您同時具有「邊緣」伺服器和「集線器」伺服器時，則不需要針對這兩個伺服器之間的連線執行垃圾郵件防護掃描。依預設，會啟用 [接受設定於 SMTP 工作階段上的垃圾郵件防護略過旗標] 的功能，當Exchange 伺服器上的 SMTP 工作階段配置了垃圾郵件防護略過旗標時，便會套用此功能。如果您藉由清除核取方塊停用 [接受設定於 SMTP 工作階段上的垃圾郵件防護略過旗標]，ESET Mail Security 將掠過 Exchange 伺服器的垃圾郵件防護略過設定，在 SMTP 工作階段掃描垃圾郵件。

[啟用灰名單] 功能使用下列技術，啟動使用者垃圾郵件防護功能：傳輸代理程式會針對任何非來自識別寄件者的已接收電子郵件，傳送「暫時拒絕」SMTP 傳回值 (預設為 451/4.7.1)。合法的伺服器會在延遲一段時間之後，重新傳送郵件。垃圾郵件

35

伺服器一般來說不會嘗試重新傳送郵件，因為其通常要處理數以千計的電子郵件地址，而不會浪費時間重新傳送。灰名單是

額外一層的垃圾郵件防護，而且不會對於反垃圾郵件模組的垃圾郵件評估功能造成任何影響。

評估郵件來源時，此方法會考量 Exchange 伺服器上的 [核准的 IP 位址] 清單、[略過的 IP 位址清單] 清單、[安全的寄件者] 和 [允許 IP] 清單，以及收件者信箱的 AntispamBypass 配置。灰名單偵測方法會略過來自這些 IP 位址/寄件者清單的電子郵件，或是寄送至已啟用 AntispamBypass 選項之信箱的電子郵件。

[暫時拒絕連線的 SMTP 回應] 欄位會定義當郵件遭拒時，所傳送至 SMTP 伺服器的 SMTP 暫時拒絕回應。

SMTP 回應訊息範例：

主要回應代碼補充狀態代碼說明

451 4.7.1 要求的動作已中止：處理時發生本機錯誤

警告: SMTP 回應代碼語法錯誤可能會導致灰名單防護發生故障。因此可能導致垃圾郵件傳送至用戶端，或是完全無法傳送郵件。

初始連線拒絕的時間限制 (分) - 若為初次傳送郵件且暫時遭拒，則此參數會定義系統一律拒絕該郵件的持續時間 (自初次遭拒起計量)。定義的時間過後，即可順利接收郵件。可輸入的最小值為 1 分鐘。

未驗證的連線到期時間 (小時) - 此參數會定義儲存三元組資料的最短時間間隔。有效伺服器必須在屆滿此到期時間之前重新傳送需要的郵件。此值必須大於初始連線拒絕的時間限制的值。

已驗證連線的過期時間 (天) - 儲存三元組資料的最短天數，在此期間內會接收來自特定寄件者的電子郵件，而不會有所延遲。此值必須大於 [未驗證的連線到期時間] 值。

附註：您也可以在定義 SMTP 拒絕回應時使用系統變數。

3.3.1.2 POP3 Connector 以及垃圾郵件防護

Microsoft Windows Small Business Server (SBS) 版本包括 POP3 Connector，能夠讓伺服器從外部 POP3 伺服器擷取電子郵件訊息。這個「標準」的 POP3 Connector 實作與 SBS 版本或其他版本不同。

ESET Mail Security 支援 SBS 2008 上的 Microsoft SBS POP3 Connector，以及於下載郵件時透過此 POP3 Connector 掃描是否包含垃圾郵件。此功能需要透過 SMTP 將郵件傳輸至 Microsoft Exchange 才能順利運作。不過，ESET Mail Security不支援 SBS 2003 上的 Microsoft SBS POP3 Connector，因此無法掃描垃圾郵件。這是因為郵件會確實略過 SMTP 佇列。

其中也存在許多第三方的 POP3 Connector。透過特定 POP3 Connector 擷取的郵件是否會掃描為垃圾郵件，須視此 POPConnector 用來擷取郵件的實際方法而定。例如，GFI POP2Exchange 會透過收取目錄傳輸郵件，因此不會掃描垃圾郵件。類似的問題可能會出現在透過已驗證的工作階段傳輸郵件的產品 (例如 IGetMail)，或者依預設略過垃圾郵件防護時 MicrosoftExchange 將這些標記為內部郵件。此設定可以在配置檔案中進行變更。將配置匯出至 xml，並將 AgentASScanSecureZone的設定值變更為 "1" ，並將配置匯回 (如需關於如何匯入及匯出配置檔案的詳細資訊，請參閱匯入及匯出設定章節)。您也可以在 [伺服器防護] > [垃圾郵件防護] > [Microsof t Exchange Server] > [傳輸代理程式] 下的進階設定樹狀目錄中，按下 F5 嘗試停用 [接受設定於 SMTP 工作階段上的垃圾郵件防護略過旗標]。透過執行此動作，ESET Mail Security 將略過 Exchange 伺服器的垃圾郵件防護略過設定，在 SMTP 工作階段掃描垃圾郵件。

117

36

3.3.2 反垃圾郵件引擎

您可在此配置 [反垃圾郵件引擎] 參數。您可以按一下配置 . . . 按鈕進行配置。隨即開啟視窗，您可在此配置這些反垃圾郵件引擎參數。

郵件分類

ESET Mail Security 反垃圾郵件引擎會將 0 至 100 的垃圾郵件分數指派給各個掃描的郵件。變更此區段中的垃圾郵件分數限制，便會影響：

1)將郵件分類為垃圾郵件或非垃圾郵件。垃圾郵件分數等於或高於 [可將郵件視為垃圾郵件來處理的垃圾郵件分數:] 值將被視為垃圾郵件。結果，傳輸代理程式中設定的處理方法將套用於這些郵件。

2)是否將郵件記錄於反垃圾郵件防護記錄 ([工具] > [防護記錄檔案] > [垃圾郵件防護])。垃圾郵件分數值等於或高於[將郵件視為潛在垃圾郵件或潛在無病毒郵件來處理的垃圾郵件分數閾值:]值的所有郵件會由防護記錄加以記錄。

3)垃圾郵件防護統計資料的哪個區段會將相關郵件計入 ([防護狀態] > [統計] > [郵件伺服器垃圾郵件防護]):

評估為垃圾郵件的郵件 - 郵件的垃圾郵件分數等於或高於 [可將郵件視為垃圾郵件來處理的垃圾郵件分數:] 所設定的值

評估為潛在垃圾郵件的郵件: - 郵件的垃圾郵件分數等於或高於 [將郵件視為潛在垃圾郵件或潛在無病毒郵件來處理的垃圾郵件分數閾值:] 所設定的值

評估為潛在非垃圾郵件的郵件 - 郵件的垃圾郵件分數低於 [將郵件視為潛在垃圾郵件或潛在無病毒郵件來處理的垃圾郵件分數閾值:] 所設定的值

[評估為非垃圾郵件的郵件] - 郵件的垃圾郵件分數低於 [可將郵件視為非垃圾郵件來處理的垃圾郵件分數:] 所設定的值

3.3.2.1 反垃圾郵件引擎參數設定

3.3.2.1.1 分析

在本節中，您可以配置分析郵件是否為垃圾郵件的方式及後續的處理。

掃描郵件附件 - 此選項讓您選擇反垃圾郵件引擎在計算垃圾郵件分數時是否一併掃描附件。

使用兩個 MIME 區段 - 反垃圾郵件引擎將分析郵件中的文字/純文字以及文字/HTML MIME 區段。如需要更高效能，也可只分析一個區段。如果未勾選此選項 (已停用)，則只會分析一個區段。

用於計算分數的記憶體大小 (以位元組為單位)： - 此選項指示反垃圾郵件引擎在處理規則時，不從郵件緩衝區中讀取超過可配置的位元組數目。

用於樣本計算的記憶體大小 (以位元組為單位)： - 此選項指示反垃圾郵件引擎在計算郵件指紋時，不讀取超過所定義的位元組數目。若要取得一致性的指紋，此選項相當實用。

使用 LegitRepute 快取記憶體 - 可讓您使用 LegitRepute 快取降低誤判的機率，特別是針對電子報。

轉換為 UNICODE - 改善使用 Unicode 的電子郵件訊息內文準確度和輸送量，特別是將全形語言轉換為半形的情況。

使用網域快取記憶體 - 可讓您使用網域聲譽快取。如果啟用，將從郵件擷取網域，並與網域聲譽快取比較。

3.3.2.1.1.1 範例

使用快取記憶體 - 可讓您使用指紋快取 (依預設為啟用)。

開啟 MSF - 允許使用稱為「MSF」的替代指紋演算法。啟用時，您可以設定下列限制和閾值：

指定為大量郵件的郵件數目： - 此選項指定需要多少類似郵件才能視為大量郵件。清除快取記憶體的頻率： - 此選項指定內部變數，該變數可決定剪除記憶體中 MSF 快取的頻率。兩個範例的符合靈敏度： - 此選項指定兩指紋的符合百分比閾值。若符合百分比高於此閾值，則郵件將視為相同。儲存於記憶體中的範例數目： - 此選項指定記憶體中所保留的 MSF 指紋數目。數目越高，便會使用越多記憶體，同時也提供更高的準確度。

34

88

37

3.3.2.1.1.2 SpamCompiler

開啟 SpamCompiler - 加速規則處理，但需占用稍多的記憶體。

慣用版本： - 指定要使用的 SpamCompiler 版本。如果設定為 [自動]，則反垃圾郵件引擎將選擇最佳引擎來使用。

使用快取記憶體 - 如果啟用此選項，SpamCompiler 將在磁碟上而非在記憶體上儲存編譯資料檔案，以減少占用記憶體。

快取記憶體檔案清單： - 此選項指定要改為編譯於磁碟而非記憶體的規則檔案。

設定儲存於磁碟快取記憶體中的規則檔案索引。若要管理規則檔案索引，您可以：

新增. . .編輯. . .移除

附註: 只接受數字字元。

3.3.2.1.2 訓練

使用郵件指紋分數訓練 - 可讓您使用指紋分數移位訓練。

使用訓練文字 - 此選項控制是否使用貝氏文字語彙基元分析。如此可以大幅改善準確度，但也會使用更多記憶體，且速度較慢。

快取記憶體中的文字數目： - 此選項指定任何時間點快取中文字語彙基元的數目。數目越高，便會使用越多記憶體，同時也提供更高的準確度。若要輸入數目，請先啟用 [使用訓練文字] 選項。

僅在讀取時使用訓練資料庫： - 此選項控制文字、規則，以及指紋訓練資料庫是否能修改，或在初始載入後是否即為唯讀。唯讀訓練資料庫更為快速。

自動訓練敏感度： - 設定自動訓練的閾值。如果郵件分數等於或高於高閾值，則該郵件將絕對被視為垃圾郵件且將用來訓練所有啟用的貝式模組 (規則和/或文字)，但不是寄件者或指紋。如果郵件分數等於或低於低閾值，則該郵件將絕對被視為Ham 且將用來訓練所有啟用的貝式模組 (規則和/或文字)，但不是寄件者或指紋。若要輸入高和低閾值，請先啟用 [僅在讀取時使用訓練資料庫:]選項。

訓練資料的最小數量： - 一開始，只會使用規則權重計算垃圾郵件分數。一旦達到訓練資料最小數量，規則/文字訓練資料就會取代規則權重。預設最小數量為 100，表示在訓練資料取代規則權重之前，必須經過至少 100 封等同於已知的 Ham 郵件以及 100 封等同於垃圾郵件 (總計 200 封郵件) 的訓練。如果數量太低，則會因為資料不足而導致準確度不佳。如果數量太高，則無法充分利用訓練資料。數量為 0，將導致永遠忽略規則權重。

僅使用訓練資料 - 控制是否將所有權重放在訓練資料。如果啟用此選項，則只會將依據訓練資料評分。如果停用此選項 (未勾選)，則將使用規則和訓練資料。

寫入磁碟前先掃描的郵件數目： - 訓練時，反垃圾郵件引擎會在將訓練資料庫寫入磁碟前處理可配置的郵件數量。此選項決定寫入磁碟前要處理的郵件數量。若要達到最佳效能，此數字越大越好。萬一程式在將緩衝區資料寫入磁碟前意外終止，

最後一次寫入磁碟後所執行訓練都將遺失。在正常的終止程序下，緩衝區一定會寫入磁碟。

將國家資料用於訓練 - 控制是否要在訓練和評分郵件時考慮使用國家路由資訊。

3.3.2.1.3 規則

使用規則 - 此選項控制是否使用較慢的啟發式規則。如此可以大幅改善準確度，同時也會占用更多記憶體，並運作地較緩慢。

使用規則設定延伸 - 啟用延伸的規則設定。使用第二個規則設定延伸 - 啟用第二個延伸的規則設定。

規則權重： - 此選項允許複寫權重與個別規則相關聯。

下載的規則檔案清單： - 此選項指定出下載的規則檔案。

類別權重： - 允許最終用戶調整用於 sc18 以及自訂規則清單檔案的類別權重。類別：類別名稱，目前僅限於 SPAM、PHISH、BOUNCE、ADULT、FRAUD、BLANK、FORWARD 以及 REPLY。此欄位不區分大小寫。分數：任何整數或BLOCK 或 APPROVE。符合相應類別的規則權重將乘以縮放係數以產生新的有效權重。

自訂規則清單： - 允許使用者指定規則自訂清單 (例如垃圾郵件、Ham，或者網路釣魚文字/片語)。自訂規則檔案每行包含下

38

列格式的片語：片語、類型、信賴值、區分大小寫。片語可包含除逗號外任何文字。應刪除任何片語中的逗號。類型可以是

SPAM、PHISH、BOUNCE、ADULT 或 FRAUD。若指定任何上述外的類型，TYPE 將自動視為指定 SPAM。信賴值可為 1至 100。如果類型為 SPAM，則 100 表示成為垃圾郵件的信賴值較高。如類型為 PHISH，則 100 表示成為網路釣魚的信賴值較高。若類型為 BOUNCE，則 100 表示該片語和退回郵件有關的信賴值較高。高信賴值可能會影響最終分數。信賴值 100為特殊狀況。若類型是 SPAM，則信賴值 100 將導致郵件分數也是 100。若類型是 PHISH，則信賴值 100 將導致郵件分數也是 100。若類型是 BOUNCE，則信賴值 100 將導致郵件分數也是 100。同樣地，任何白名單都會覆蓋黑名單。區分大小寫值若為 1，表示該片語將會區分大小寫；0 則表示該片語不區分大小寫。範例：

spamming is fun, SPAM, 100,0phishing is Phun, PHISH, 90,1return to sender, BOUNCE, 80,0

第一列表示「spamming is fun」的所有變體都視為具有信賴值 100 的 SPAM。此片語不區分大小寫。第二列表示 "phishingis phun" 的所有變體都視為具有信賴值 90 的 PHISH。此片語區分大小寫。第三列表示「return to sender」的所有變體都視為具有信賴值 80 的 BOUNCE。此片語不區分大小寫。

更新後清除舊規則 - 反垃圾郵件引擎依預設會在從 SpamCatcher 網路接收新檔案時，清除配置資料夾中的舊規則檔案。但是，某些反垃圾郵件引擎的使用者需要壓縮舊規則檔案。可透過停用清除功能來達成此要求。

成功更新規則後顯示通知 -

3.3.2.1.3.1 規則權重

設定規則檔案索引及其權重。若要新增規則權重，請按下 [新增. . . ] 按鈕。若要修改現有規則權重，請按下 [編輯. . . ] 按鈕。若要刪除，請按下 [移除] 按鈕。

指定 [索引:]和 [權重:]值。

3.3.2.1.3.2 下載的規則檔案清單

設定應下載至磁碟的規則檔案索引。使用 [新增] [編輯] 以及 [移除] 按鈕來管理規則檔案索引。

3.3.2.1.3.3 類別權重

設定規則類別及其權重。使用 [新增. . . ] [編輯. . . ] 以及 [移除] 按鈕來管理類別及其權重。

如要新增類別權重，請從清單中選取一個 [類別:]。可選類別為：

垃圾郵件

網路釣魚

非傳遞報告

成人內容郵件

詐騙郵件

空白郵件

轉寄郵件

回覆郵件

然後選取一種處理方法：

允許

封鎖

權重：

39

3.3.2.1.3.4 自訂規則清單

您可以使用包含片語的自訂規則檔案。這些檔案基本上為 .txt 檔案，如需詳細資訊以及片語格式，請參閱規則主題 (自訂規則清單一節)。

如果要使用包含將用於郵件分析之自訂規則的檔案，您需要將檔案放在下列位置：

如果您執行的是 Windows Server 2008 或是更新版本，路徑為：C:\ProgramData\ESET\ESET Mail Security\ServerAntispam

若是 Windows Server 2003 或是更舊的版本，路徑為：C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam

如果要載入這些檔案，請按下 [ . . . ] (瀏覽) 按鈕，瀏覽至上述提及的位置，並且選擇文字檔案 (*.txt)。使用 [新增] [編輯] 以及 [移除] 按鈕來管理自訂規則清單。

附註: 包含自訂規則的 .txt 檔案必須要放置在 ServerAntispam 資料夾中，否則就無法載入這個檔案。

3.3.2.1.4 過濾

在此節中，您可以藉由指定如 IP 位址或範圍、網域名稱、電子郵件地址等條件來配置允許、封鎖或略過名單。若要新增、修改或移除條件，只要瀏覽至您所要管理的清單，並且按一下適當的按鈕即可。

3.3.2.1.4.1 允許的寄件者

已列入白名單的寄件者和網域可以包含電子郵件地址或網域。地址使用「mailbox@domain」格式輸入，而網域只需要使用「domain」格式即可。

附註: 程式會略過前置或尾端空格、不支援規則運算式，也會略過所有星號「*」。

3.3.2.1.4.2 封鎖的寄件者

已列入黑名單的寄件者和網域可以包含電子郵件地址或網域。地址使用「mailbox@domain」格式輸入，而網域只需要使用「domain」格式即可。

附註: 程式會略過前置或尾端空格、不支援規則運算式，也會略過所有星號「*」。

3.3.2.1.4.3 允許的 IP 位址

此選項可讓您指定應核准的 IP。您可使用三種方式指定範圍：

a)開始 IP - 結束 IPb) IP 位址與網路遮罩c) IP 位址

如果「已接收:」擋頭中的第一個非略過 IP與此清單中的任何位址相符，則郵件分數為 0，且不會執行其他檢查。

3.3.2.1.4.4 略過的 IP 位址

此選項允許您指定執行 RBL 檢查時應略過的 IP。下列 IP 一律以隱含方式略過：

10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0

您可使用三種方式指定範圍：


37

40

3.3.2.1.4.5 封鎖的 IP 位址

此選項可讓您指定應封鎖的 IP。您可使用三種方式指定範圍：


如果「已接收:」檔頭中有任何 IP 位址與此清單中的任何位址相符，則郵件分數為 100，且不會執行其他檢查。

3.3.2.1.4.6 允許的網域

此選項可讓您指定應保持核准的內文網域和 IP。

3.3.2.1.4.7 略過的網域

此選項允許您指定 DNSBL 檢查應永遠排除並略過的內文網域。

3.3.2.1.4.8 封鎖的網域

此選項可讓您指定應保持封鎖的內文網域和 IP。

3.3.2.1.4.9 詐騙的寄件者

允許封鎖詐騙您網域名稱以及其他網域名稱的濫發垃圾郵件者。例如，濫發垃圾郵件者通常會使用收件者的網域名稱作為

「寄件者：」網域名稱。此清單允許您指定哪個郵件伺服器可以使用哪個網域名稱作為「寄件者：」位址。

3.3.2.1.5 驗證

驗證是垃圾郵件防護的其他功能。它允許外部伺服器根據定義的條件來驗證郵件。選擇設定樹狀目錄的清單以配置其條件。

清單如下：

RBL (即時 Blackhole 清單) LBL (上次 Blackhole 清單)DNSBL (DNS 封鎖清單)

3.3.2.1.5.1 RBL (即時 Blackhole 清單 )

RBL 伺服器： - 指定分析郵件時所要查詢之即時 Blackhole 清單 (RBL) 伺服器的清單。如需更多資訊，請參閱本文件中的RBL 章節。

RBL 驗證敏感度： - 因為 RBL 檢查會造成延遲並降低效能，此選項允許根據 RBL 檢查前的分數有條件地執行 RBL 檢查。如果分數大於「高」值，那麼僅會詢問能使分數降至「高」值以下的 RBL 伺服器。如果分數小於「低」值，那麼僅會詢問能使分數高於「低」值以上的 RBL 伺服器。如果分數介於「高」與「低」之間，則將詢問所有 RBL 伺服器。

RBL 要求執行限制 (以秒為單位)： - 此選項允許設定結束所有 RBL 詢問的最大逾時值。RBL 回應僅能從及時回應的 RBL伺服器中使用。若此值為「0」，則不會強制執行任何逾時值。

針對 RBL 的驗證位址數目上限： - 此選項允許針對 RBL 伺服器，限制查詢的 IP 位址數目。請注意，RBL 詢問數目的計算方式如下：檔頭 (最高為 RBL Maxcheck IP 位址的最大值) 乘以指定於 RBL 清單中 RBL 伺服器的數目。如果值為「0」，則不限制所接收檔頭的數目。請注意，若 IP 符合略過的 IP 清單，則不計入 RBL IP 位址限制。

若要管理清單，請使用 [新增. . . ] [編輯. . . ] 或 [移除] 按鈕。

清單由三個直欄組成：

地址

回應

分數

41

3.3.2.1.5.2 LBL (上次 Blackhole 清單 )

LBL 伺服器： - 會根據 LBL 伺服器查詢上次連線 IP。您可以為上次連線的傳入 IP 指定不同的 DNS 查詢。針對上次連線的傳入 IP，將查詢 LBL 清單而非 RBL 清單。否則，如 RBL 閾值這類的 RBL 清單選項將會套用至 LBL 清單。

未根據 LBL 驗證的 IP 位址： - 如果上次連線 IP 符合此清單中的 IP，則會根據 RBL 伺服器查詢該 IP，而非根據 LBL 伺服器。



地址

回應

分數

您可以在此指定不會經過 LBL 驗證的 IP 位址。若要管理清單，請使用 [新增. . . ] [編輯. . . ] 或 [移除] 按鈕。

3.3.2.1.5.3 DNSBL (DNS 封鎖清單 )

DNSBL 伺服器： - 指定 DNS 封鎖清單伺服器的清單，並以郵件內文擷取而得的網域和 IP 查詢。

DNSBL 驗證敏感度： - 如果分數大於「高」值，則僅會查詢能使分數降至「高」值以下的 DNSBL 伺服器。如果分數小於「低」值，則僅會查詢能使分數高於「低」值以上的 DNSBL 伺服器。如果分數介於「高」與「低」之間，則將查詢所有DNSBL 伺服器。

DNSBL 要求執行限制 (以秒為單位)： - 允許設定結束所有 DNSBL 查詢的最大逾時值。

針對 DNSBL 的驗證網域數目上限： - 允許針對 DNS 封鎖清單伺服器，限制查詢的網域和 IP 數目。



地址

回應

分數

3.3.2.1.6 DNS

使用快取記憶體 - 啟用 DNS 要求的內部快取。

儲存於記憶體中的 DNS 要求數目： - 限制內部 NDS 快取中的項目數目。

將快取記憶體儲存至磁碟 - 若啟用，DNS 快取將於關閉、讀取以及磁碟初始化時，在磁碟上儲存項目。

DNS 伺服器位址： - 現在可以明確指定 DNS 伺服器覆蓋預設。

直接存取 DNS： - 設為「是」時，若未指定 DNS 伺服器，則反垃圾郵件引擎將直接向 LiveFeed 伺服器傳送 LiveFeed 要求。若已指定 DNS 伺服器具有優先權，則會略過此選項。當直接詢問比預設的 DNS 伺服器更有效率時，此選項應設為 [是]。

DNS 要求保存時間 (以秒為單位)： - 此選項允許在垃圾郵件防副引擎的內部 DNS 快取中設定項目的最小 TTL 值。請以秒為單位指定此選項。若 DNS 回應的 TTL 值低於所指定的 TTL 值，垃圾防護引擎內部快取將使用所指定的 TTL 取代 DNS 回應的 TTL 值。

42

3.3.2.1.7 分數

開啟分數歷程 - 啟用追蹤重複寄件者的歷程分數記錄。

達到 SPAM 分數閾值時停止分析 - 此選項允許您要求反垃圾郵件引擎於達到分數時停止分析郵件。如此可以降低規則的數目，以及其他檢查的執行，進而提升輸送量。

非垃圾郵件達到分數閾值前時使用加速分析 - 此選項允許您要求反垃圾郵件引擎在郵件可能是 Ham 郵件時，跳過緩慢的規則檢查。

郵件分類

被視為垃圾郵件的分數值： - 反垃圾郵件引擎會將分數 0 至 100 指派給各個掃描的郵件。設定分數值的範圍會成為影響是否將郵件視為垃圾郵件的標準。如果您設定了不正確的值，可能會降低反垃圾郵件引擎偵測結果的品質。

設定應視為潛在垃圾郵件或非垃圾郵件的分數值： - 反垃圾郵件引擎會將分數 0 至 100 指派給各個掃描的郵件。設定分數值的範圍會成為影響是否將郵件視為垃圾郵件的標準。如果您設定了不正確的值，可能會降低反垃圾郵件引擎偵測結

果的品質。

郵件被視為絕對安全的分數值： - 反垃圾郵件引擎會將分數 0 至 100 指派給各個掃描的郵件。設定分數值的範圍會成為影響是否將郵件視為垃圾郵件的標準。如果您設定了不正確的值，可能會降低反垃圾郵件引擎偵測結果的品質。

3.3.2.1.8 垃圾郵件誘餌

垃圾郵件地址： - 如果 RCPT TO：來自 SMTP 信封的地址符合此清單中的任一地址，則統計檔案將會在電子郵件訊息內記錄記號，表示此郵件被送至垃圾郵件誘餌地址。地址必須確實符合略過的地址，不支援萬用字元項目。

視為不存在的位址： - 如果 RCPT TO：來自 SMTP 信封的地址符合此清單中的任一地址，則統計檔案將會在電子郵件訊息內記錄記號，表示此郵件被送至不存在地址。地址必須確實符合略過的地址，不支援萬用字元項目。

3.3.2.1.8.1 垃圾郵件誘餌位址

您可以設定只接收垃圾郵件的電子郵件地址。若要新增電子郵件地址，請使用標準格式輸入並按下 [新增] 按鈕。若要修改現有電子郵件地址，請使用 [編輯] 按鈕。若要刪除，請按下 [移除] 按鈕。

3.3.2.1.8.2 視為不存在的位址

您可以設定將對外顯示為不存在的電子郵件地址。若要新增電子郵件地址，請使用標準格式輸入並按下 [新增] 按鈕。若要修改現有電子郵件地址，請使用 [編輯] 按鈕。若要刪除，請按下 [移除] 按鈕。

3.3.2.1.9 通訊

單一 SpamLabs 要求持續時間 (以秒為單位)： - 限制對垃圾郵件防護 SpamLabs 所提出的單一要求所能持續的時間。該值以整秒作為指定單位。該值為「0」則停用此功能，且不設定任何限制。

使用 v.4x 通訊協定： - 與垃圾郵件防護 SpamLabs 通訊，以透過速度較慢、較為老舊的 v.4x 通訊協定來判斷評分。當您將此選項設定為 [自動]，則允許反垃圾郵件引擎自動使用網路檢查 (netcheck) 功能，作為 LiveFeed 查詢的後援。

v4.x 通訊協定的使用範圍： - 因為網路會造成延遲並降低效能，此選項允許根據分數有條件地執行網路檢查。僅在分數落於或介於透過此選項所指定的「高」和「低」範圍，才會查詢網路。

LiveFeed 伺服器位址： - 指定 LiveFeed 要求所要查詢的伺服器。

LiveFeed 要求保存時間 (以秒為單位)： - 此選項允許在反垃圾郵件引擎的內部 LiveFeed 快取中設定項目的最小 TTL。請以秒為單位指定此選項。若 LiveFeed 回應的 TTL 值低於所指定的 TTL 值，反垃圾郵件引擎內部快取將使用所指定的 TTL，而非 LiveFeed 回應的 TTL 值。

Proxy 伺服器驗證類型： - 指定應使用的 HTTP Proxy 驗證類型。

43

3.3.2.1.10 效能

使用執行緒堆疊的大小上限： - 設定要使用的執行緒堆疊大小上限。如果將執行緒堆疊的大小設為 64KB，則應將此變數設為 100 或更少。如果執行緒堆疊的大小設定超過 1MB，則應將此變數設為 10000 或更少。如果此變數設定低於 200，準確度可能下降許多百分比。

所需輸送量 (每秒郵件數量)： - 此選項可讓您以秒為單位指定想要的郵件傳輸量。此反垃圾郵件引擎將嘗試透過最佳化所執行的規則來達到指定的水平。準確度有可能會降低。此值為 0 會停用此選項。

結合增量檔案 - 反垃圾郵件引擎依預設會將數個增量檔案和完整檔案合併為更新過的單一完整檔案。這是為了避免配置資料夾中的檔案過於凌亂。

只下載增量檔案 - 反垃圾郵件引擎依預設會嘗試下載大小上最具效力、結合完整檔案和增量檔案的格式。藉由將此選項設為「是」，您可以強制反垃圾郵件引擎只下載增量檔案。

增量檔案的大小限制： - 為了要在更新規則檔案時降低 CPU 使用率，每次單一規則更新時，將不再重新產生磁碟上的快取檔案 (sc*.tmp)，而是在有較新的 sc*.bin.full 檔案，或是當 sc*.bin.incr 檔案的總合突破增量檔案大小的指定位元組數目上限時才會重新產生。

暫存檔案位置： - 此參數控制反垃圾郵件引擎建立暫存檔案的位置。

3.3.2.1.11 區域設定

母語清單： - 此選項允許您設定慣用於電子郵件訊息的語言。國家代碼為雙字元碼 ISO-639 語言代碼。

居住國家清單： - 此選項允許您從國家清單中指定視為「居住國家」的國家。若透過未列於此清單的國家傳送郵件，則會使用更嚴格的規則來評分該郵件。若此選項為空則不會扣分。

封鎖國家清單： - 允許您根據國家封鎖。如果所接收檔頭的 IP 位址符合列在清單中的國家，則將此郵件視為 SPAM。國家代碼不適用於寄件者地址。請注意，郵件在抵達最後目的地之前，有可能已經行經許多不同國家。因此，此選項僅有 98% 準確度，封鎖國家有時會誤判結果。

封鎖字元集清單： - 允許您依字元集封鎖。預設 SPAM 分數值為 100，但您能分別針對每個封鎖的字元集調整其分數。請注意語言與字元集間的對應並非 100% 準確，因此封鎖字元集有時會誤判結果。

3.3.2.1.11.1 母語清單

設定您視為母語的語言，且較想收到使用該語言的郵件。若要新增母語，請從 [語言代碼:]直欄中選取該語言，並按下 [新增] 按鈕。如此便會將該語言移至 [母語] 直欄。若要將語言從 [母語] 直欄中移除，請選取其語言代碼並按下 [移除] 按鈕。

封鎖非母語： - 此選項控制是否要封鎖未列示於母語值欄中的語言。有三個選項：

是

否

自動

語言代碼清單 (根據 ISO 639)：

南非荷蘭語 af阿姆哈拉語 am阿拉伯語 ar白俄羅斯語 be保加利亞語 bg加泰隆語 ca捷克語 cs威爾斯語 cy丹麥語 da德語 de希臘語 el英語 en世界語 eo西班牙語 es愛沙尼亞語 et巴斯克語 eu

44

波斯語 fa芬蘭語 fi法語 fr弗利西亞語 fy愛爾蘭語 ga蓋爾語 gd希伯來語 he印度語 hi克羅埃西亞語 hr匈牙利語 hu亞美尼亞語 hy印尼語 id冰島語 is義大利語 it日語 ja喬治亞語 ka韓語 ko拉丁語 la立陶宛語 lt拉脫維亞語 lv馬拉提語 mr馬來語 ms尼泊爾語 ne荷蘭語 nl挪威語 no波蘭語 pl葡萄牙語 pt奇楚瓦語 qu里托羅曼語 rm羅馬尼亞語 ro俄語 ru梵語 sa低地蘇格蘭語 sco斯洛伐克語 sk斯洛維尼亞語 sl阿爾巴尼亞語 sq塞爾維亞語 sr瑞典語 sv斯瓦西里語 sw坦米爾語 ta泰語 th塔加拉語 tl土耳其語 tr烏克蘭語 uk越南語 vi意第緒語 yi中文 zh

3.3.2.1.11.2 居住國家清單

設定您要視為居住國家的國家，且較想收到來自該國的郵件。要新增居住國家，請從 [國家代碼:]直欄中選取該國家，並按下 [新增] 按鈕。如此便會將該國家移至 [居住國家] 直欄。若要將國家從 [居住國家] 直欄中移除，請選取其國家代碼並按下 [移除] 按鈕。

國家代碼清單 (根據 ISO 3166)：

阿富汗 AF奧蘭群島 AX阿爾巴尼亞 AL阿爾及利亞 DZ美屬薩摩亞 AS安道爾 AD

45

安哥拉 AO英屬安圭拉 AI南極洲 AQ安地卡和巴布達 AG阿根廷 AR亞美尼亞 AM阿魯巴 AW澳洲 AU奧地利 AT亞塞拜然 AZ巴哈馬 BS巴林 BH孟加拉 BD巴貝多 BB白俄羅斯 BY比利時 BE貝里斯 BZ貝南 BJ百慕達 BM不丹 BT玻利維亞 BO波士尼亞和赫塞哥維那 BA博札納 BW布威島 BV巴西 BR英屬印度洋地區 IO汶萊 BN保加利亞 BG布吉納法索 BF浦隆地 BI柬埔寨 KH喀麥隆 CM加拿大 CA維德角 CV開曼群島 KY中非共和國 CF查德 TD智利 CL中國 CN聖誕島 CX科科斯 (基林) 群島 CC哥倫比亞 CO科摩羅 KM剛果 CG剛果民主共和國 CD庫克群島 CK哥斯大黎加 CR象牙海岸 CI克羅埃西亞 HR古巴 CU塞浦勒斯 CY捷克共和國 CZ丹麥 DK吉布地 DJ多明尼加 DM多明尼加共和國 DO厄瓜多 EC埃及 EG薩爾瓦多 SV赤道幾內亞 GQ

46

厄立垂亞 ER愛沙尼亞 EE衣索比亞 ET福克蘭群島 (馬爾維納斯) FK法羅群島 FO斐濟 FJ芬蘭 FI法國 FR法屬蓋亞那 GF法屬玻里尼西亞 PF法屬南部屬地 TF加彭 GA甘比亞 GM喬治亞 GE德國 DE迦納 GH直布羅陀 GI希臘 GR格陵蘭 GL格瑞那達 GD瓜德魯普島 GP關島 GU瓜地馬拉 GT幾內亞 GN幾內亞比索 GW蓋亞那 GY海地 HT赫德和麥當勞群島 HM教廷 (梵蒂岡城國) VA宏都拉斯 HN香港 HK匈牙利 HU冰島 IS印度 IN印尼 ID伊朗伊斯蘭共和國 IR伊拉克 IQ愛爾蘭 IE以色列 IL義大利 IT牙買加 JM日本 JP約旦 JO哈薩克 KZ肯亞 KE吉里巴斯 KI北韓 KP南韓 KR科威特 KW吉爾吉斯 KG寮國 LA拉脫維亞 LV黎巴嫩 LB賴索托 LS賴比瑞亞 LR利比亞 LY列支敦斯登 LI立陶宛 LT盧森堡 LU澳門 MO

47

馬其頓共和國 MK馬達加斯加 MG馬拉威 MW馬來西亞 MY馬爾地夫 MV馬里 ML馬耳他 MT馬紹爾群島 MH法屬馬丁尼克 MQ茅利塔尼亞 MR模里西斯 MU美亞特 YT墨西哥 MX密克羅尼西亞聯邦 FM摩爾多瓦共和國 MD摩納哥 MC蒙古 MN蒙塞拉特島 MS摩洛哥 MA莫三比克 MZ緬甸 MM奈米比亞 NA諾魯 NR尼泊爾 NP荷蘭 NL荷屬安的列斯 AN新喀里多尼亞島 NC紐西蘭 NZ尼加拉瓜 NI尼日 NE奈及利亞 NG紐埃 NU諾福克島 NF北馬里亞納群島 MP挪威 NO阿曼 OM巴基斯坦 PK帛琉 PW巴勒斯坦 PS巴拿馬 PA巴布亞新幾內亞 PG巴拉圭 PY秘魯 PE菲律賓 PH皮特康島 PN波蘭 PL葡萄牙 PT波多黎各 PR卡達 QA留尼旺 RE羅馬尼亞 RO俄羅斯 RU盧安達 RW聖赫勒拿島 SH聖克里斯多福與尼維斯 KN聖露西亞 LC聖皮耶與密克隆群島 PM聖文森及格瑞那丁 VC薩摩亞 WS聖馬利諾 SM

48

聖多美普林西比 ST沙烏地阿拉伯 SA塞內加爾 SN塞爾維亞和蒙特內哥羅 CS塞席爾 SC獅子山 SL新加坡 SG斯洛伐克 SK斯洛維尼亞 SI索羅門群島 SB索馬利亞 SO南非 ZA南喬治亞與南三明治群島 GS西班牙 ES斯里蘭卡 LK蘇丹 SD蘇利南 SR斯瓦巴和尖棉島 SJ史瓦濟蘭 SZ瑞典 SE瑞士 CH敘利亞 SY台灣 TW塔吉克 TJ坦尚尼亞 TZ泰國 TH東帝汶 TL多哥 TG托克勞 TK東加 TO千里達及托巴哥 TT突尼西亞 TN土耳其 TR土庫曼 TM土克斯及開科斯群島 TC吐瓦魯 TV烏干達 UG烏克蘭 UA阿聯 AE英國 GB美國 US美國邊疆小島 UM烏拉圭 UY烏茲別克 UZ萬那杜 VU梵蒂岡城國 (教廷) VA委內瑞拉 VE越南 VN英屬維京群島 VG美屬維京群島 VI沃里斯與伏塔那島 WF西撒哈拉 EH葉門 YE薩伊 (剛果民主共和國) CD尚比亞 ZM辛巴威 ZW

49

3.3.2.1.11.3 封鎖的國家清單

設定您要封鎖的國家，且不想收到來自該國的郵件。若要將某國家新增至 [封鎖的國家:]清單，請從 [國家代碼:]直欄中選取該國家，並按下 [新增] 按鈕。若要將國家從 [封鎖的國家:]清單中移除，請選取國家代碼，並按下 [移除] 按鈕。

如需特定國家代碼的清單，請參閱居住國家清單主題。

3.3.2.1.11.4 封鎖的字元集清單

設定您要封鎖的字元集。您將不會再收到使用這些字元集的郵件。要新增字元集，請從 [字元集:]直欄中選取該字元集，並按下 [新增] 按鈕。如此便會將字元集移至 [封鎖的字元集:]直欄之中。如要將字元集從 [封鎖的字元集:]直欄中移除，請選取字元集代碼，並按下 [移除] 按鈕。

將某字元集新增至封鎖的字元集時，您也可以為此特定字元集指定您自己的垃圾郵件分數值。預設值為 100。您可以分別定義每個字元集的分數。

3.3.2.1.12 防護記錄檔案

開啟詳細記錄 - 可讓您增加記錄的詳細度。

輸出重新路由檔案： - 將防護記錄輸出檔案重新導向此欄位中所指定的資料夾。按下 [ . . . ] 按鈕瀏覽資料夾，而不需手動輸入。

3.3.2.1.13 統計

開啟統計資料記錄 - 將 IP、網域、URL、可疑文字等等，記錄至 conf 檔案系統。記錄會自動上傳至反垃圾郵件引擎的分析伺服器。為方便檢視，記錄也可以轉換成純文字文件。

傳送統計資料進行分析 - 啟動執行緒以自動上傳統計檔案至反垃圾郵件引擎分析伺服器。

分析伺服器位址： - 統計檔案將會上傳到的 URL。

3.3.2.1.14 選項

自動配置： - 根據使用者輸入的系統、效能和資源需求設定選項。

建立配置檔案 - 建立包含反垃圾郵件引擎配置的 antispam.cfg 檔案。您可在 C:\ProgramData\ESET\ESET Mail

Security\ServerAntispam (Windows Server 2008) 或是 C:\Documents and Settings\All Users\Application Data\ESET\ESET

Mail Security\ServerAntispam (Windows Server 2000 和 2003) 找到此檔案。

44

50


ESET Mail Security 掃描並標記為垃圾郵件的各封電子郵件可予以標示，方法是將通知標籤附加至電子郵件主旨。標籤預設為 [SPAM]，不過也可以是使用者定義的字串。

附註：將範本新增至郵件主旨時，也可使用系統變數。

3.4 常見問題

問：安裝 EMSX 及垃圾郵件防護功能後，信箱不再收到電子郵件。

答：如果啟用灰名單，這是正常現象。在完全運作的前幾個小時內，電子郵件可能會延遲幾小時送達。如果問題長時間發

生，建議關閉 (或重新配置) 灰名單。

問： VSAPI 掃描電子郵件附件時，是否也掃描電子郵件內文？

答：在 Microsoft Exchange Server 2000 SP2 及更高版本中，VSAPI 也會掃描電子郵件內文。

問：為什麼停用 VSAPI 選項後仍繼續郵件掃描？

答： VSAPI 設定的變更會非同步進行，這表示 Microsoft Exchange Server 必須呼叫修改的 VSAPI 設定，設定才會生效。這個週期程序大約每隔一分鐘進行一次。其他所有 VSAPI 設定也是如此。

問： VSAPI 能否移除附件受感染的整個郵件？

答：是的，VSAPI 能夠移除整個郵件。不過，必須先在 VSAPI 設定中選取 [處理方法] 區段的 [刪除整個郵件] 選項。在Microsoft Exchange Server 2003 及更高版本中可使用此選項。舊版 Microsoft Exchange Server 不支援移除整個電子郵件。

問：VSAPI 是否也掃描對外的電子郵件是否有病毒？

答：是的，除非在郵件用戶端中配置與 Microsoft Exchange Server 不同的 SMTP 伺服器，否則 VSAPI 都會掃描對外的電子郵件。此功能也適用於 Microsoft Exchange Server 2000 Service Pack 3 及更高版本。

51

問：是否能夠傳輸代理程式一樣，將透過 VSAPI 的通知標籤文字新增至各個經過掃描的郵件中？

答： Microsoft Exchange Server 不支援將文字新增至 VSAPI 所掃描的郵件中。

問：有時候我無法以 Microsoft Outlook 開啟特定的電子郵件。為什麼會這樣？

答：該在 [處理方法] 區段中，VSAPI 設定的 [無法清除時所採取的處理方法] 選項可能是設定為 [封鎖]，或者您已經建立包含 [封鎖] 處理方法的規則。這些設定會標記受感染的郵件及/或符合上述規則的郵件，並加以封鎖。

問：[效能] 區段中的 [回應時間限制] 項目代表什麼？

答：如果使用 Microsoft Exchange Server 2000 SP2 或更高版本，回應時間限制值表示 VSAPI 完成一個執行緒的掃描所需的秒數時間上限。若在此時間限制內未完成掃描，則 Microsoft Exchange Server 會拒絕用戶端存取電子郵件。掃描作業不會遭到中斷，完成掃描之後，其他關於存取檔案的嘗試皆可順利運作。如果使用 Microsoft Exchange Server 5.5 SP3 或SP4，該值將以毫秒為單位顯示用戶端重新嘗試存取先前由於掃描無法存取的檔案所經過的時間長度。

問：檔案類型清單中的一個規則可達多長？

答：檔案副檔名清單中的單一規則最多可包含 255 個字元。

問：我已經在 VSAPI 中啟用 [背景掃描] 選項。直到現在，Microsoft Exchange Server 都會在每次病毒資料庫更新後掃描。上次更新後卻沒有掃描。這是哪裡出了問題？

答：決定立即掃描全部郵件，或決定在使用者嘗試存取郵件時掃描全部郵件，須視許多因素而定：例如伺服器負載、大量掃

描全部郵件所需的 CPU 時間，以及郵件總數。每封郵件送入用戶端收件匣前，Microsoft Exchange Server 都會加以掃描。

問：為什麼收到一封郵件，規則計數器卻增加 1 以上？

答：傳輸代理程式 (TA) 或 VSAPI 處理郵件時，會根據郵件檢查規則。啟用 TA 及 VSAPI，而且訊息符合規則條件時，規則計數器可能會增加 2 或以上。VSAPI 分別存取郵件的各個部分 (內文、附件)，表示規則分別連續套用於各個部分。另外，背景掃描期間也會套用規則 (例如，在病毒資料庫更新後重複執行的信箱儲存區掃描)，這會增加規則計數器。

問：ESET Mail Security 4 for Microsoft Exchange Server 是否與 Intelligent Message Filter 相容？

答：是的，ESET Mail Security 4 for Microsoft Exchange Server (EMSX) 與 Intelligent Message Filter (IMF) 相容。將郵件評估為垃圾郵件時，電子郵件的處理程序如下：

- 如果 ESET Mail Security 垃圾郵件防護已啟用 [刪除郵件] (或 [隔離區訊息]) 選項，不論 Microsoft Exchange IMF 中設定的處理方法為何，都會執行該處理方法。

- 如果 ESET Mail Security 垃圾郵件防護已設定 [不進行處理]，將使用 Microsoft Exchange IMF 設定，並且將執行相關的處理方法 (例如，[刪除]、[拒絕]、[壓縮檔]...)。必須啟用 [根據垃圾郵件分數，將設定垃圾郵件信賴層級 (SCL) 寫入至已掃描的郵件] 選項 (在 [伺服器防護] > [Microsoft Exchange Server] > [傳輸代理程式])，此功能才能正常運作。

問：如何才能設定 ESET Mail Security 將來路不明的電子郵件移至使用者定義的 Microsoft Outlook 垃圾郵件資料夾中？

答：ESET Mail Security 預設設定會使得 Microsoft Outlook 將不需要的電子郵件儲存於 [垃圾電子郵件] 資料夾中。若要允許執行此功能，請取消選取 [將垃圾郵件分數寫入已掃描電子郵件的檔頭] 選項 (在 F5 > [伺服器防護] > [垃圾郵件防護] > [Microsoft Exchange Server] > [傳輸代理程式] 之下)。如果要將不需要的電子郵件儲存於不同的資料夾，請閱讀以下指示：

1) 在 ESET Mail Security 中：

- 按下 F5 前往進階設定樹狀目錄，

- 瀏覽至 [伺服器防護] > [垃圾郵件防護] > [Microsof t Exchange Server] > [傳輸代理程式]

- 從 [針對垃圾郵件所採取的處理方法] 下拉式功能表中選擇 [保留郵件]

- 取消選取 [將垃圾郵件分數寫入至已掃描郵件的檔頭] 核取方塊

- 瀏覽至 [垃圾郵件防護] 下方的 [警告及通知]

- 定義將新增至不需要郵件的主旨欄位文字標籤，例如「[垃圾郵件]」，在 [新增到垃圾郵件主旨的範本] 欄位

52

2) 在 Microsoft Outlook 中：

- 設定規則以確保主旨中標記特定文字 (「[垃圾郵件]」) 的郵件移至所需的資料夾。

如需更多詳細的指示，請參閱知識庫文章。

問：在垃圾郵件防護統計中，許多郵件歸類為 [尚未掃描] 類別。垃圾郵件防護不會掃描哪些電子郵件？

答：[尚未掃描] 類別包含：

一般：

在任何層 (MailServer、傳輸代理程式) 停用垃圾郵件防護時掃描的所有訊息。

Microsof t Exchange Server 2003:

從 [IP 位址] (位於 [全域接受清單] 的 IMF 中) 傳入的所有訊息

經驗證的寄件者發出的訊息

Microsof t Exchange Server 2007:

組織內部傳送的所有訊息 (全部將由病毒防護加以掃描)

經驗證的寄件者發出的訊息

設定為避開垃圾郵件防護的使用者發出的訊息

傳送至已啟用 [Ant ispamBypass] 選項的信箱中的所有訊息。

[安全的寄件者] 清單中的寄件者發出的所有訊息。

附註：白名單及反垃圾郵件引擎設定中定義的地址不屬於 [尚未掃描] 類別，因為這個群組僅包含垃圾郵件防護從未處理的訊息。

問：使用者透過 POP3 將郵件下載至郵件用戶端 (避開 Microsoft Exchange Server)，但是信箱儲存於 Microsoft ExchangeServer。這些電子郵件是否會接受 ESET Mail Security 的防毒及垃圾郵件防護掃描？

答：在這個類型的配置中，ESET Mail Security 只會掃描 Microsoft Exchange Server 中儲存的電子郵件是否有病毒 (透過VSAPI)。這不會進行垃圾郵件防護掃描，因為在 SMTP Server 上才需要進行。

問：我能夠定義郵件必須達到才被歸類為垃圾郵件的垃圾郵件分數層級？

答：是的，您可以在 ESET Mail Security 4.3 版及更高版本中設定此限制 (請參閱反垃圾郵件引擎一章)。

問：ESET Mail Security 垃圾郵件防護模組是否也會掃描透過 POP3 Connector 下載的郵件？

答： ESET Mail Security 支援 SBS 2008 上的標準 Microsoft SBS POP3 Connector，因此，透過此 POP3 Connector 所下載的郵件，皆掃描是否有垃圾郵件的存在。不過，此版本不支援 SBS 2003 上的標準 Microsoft SBS POP3 Connector。其中也存在第三方的 POP3 Connector。無論透過這些第三方 POP3 Connector 取得的郵件是否會掃描垃圾郵件，須視這特定POP3 Connector 的設計方式以及如何透過這個 POP3 Connector 取得這些郵件。如需更多資訊，請參閱 POP3 Connector

以及垃圾郵件防護主題。

36

35


53

4. ESET Mail Security - 伺服器防護ESET Mail Security 除了提供 Microsoft Exchange Server 防護，亦提供確保伺服器本身安全防護所需的一切工具 (常駐防護、Web 存取防護、電子郵件用戶端防護和垃圾郵件防護)。

4.1 病毒及間諜程式防護

病毒防護可藉由控制檔案、電子郵件及網際網路通訊來防止惡意系統攻擊。如果偵測到含有惡意代碼的威脅，「防毒」模組

可透過封鎖，接著清除、刪除或將其移至隔離區來消滅它。

4.1.1 即時檔案系統防護

即時檔案系統防護控制系統中與防毒相關的所有事件。開啟、建立或在電腦上執行所有檔案時，會掃描它們是否具有惡意代

碼。在系統啟動時會啟動即時檔案系統防護。

4.1.1.1 控制項設定

即時檔案系統防護會檢查所有媒體類型，以及各種事件觸發的控制項。使用 ThreatSense 技術偵測方法 (如 ThreatSense 引擎參數設定一節所述)，針對新建立的檔案及現有檔案，即時檔案系統防護可能有所不同。若為新建立的檔案，則可套用較深入的控制層級。

為了在使用即時防護時佔用最低的系統使用量，已掃描的檔案不予重複掃描 (除非已經過修改)。每次更新病毒資料庫之後，會立即重新掃描檔案。使用「智慧型最佳化」可配置此行為。如果停用此功能，則每次存取所有檔案時，都會進行掃描。若要

修改此選項，請開啟 [進階設定] 視窗，然後從 [進階設定] 樹狀目錄中按一下 [病毒及間諜程式防護] > [即時檔案系統防護]。然後按一下 [ThreatSense 引擎參數設定] 旁邊的 [設定. . . ] 按鈕，接著按一下 [其他]，並且選取或取消選取 [啟用智慧型最佳化] 選項。

依預設，即時防護會在系統啟動時同時啟動，並持續提供掃描。在特殊情況下 (例如，如果與其他即時掃描器發生衝突)，則可以取消選取 [自動啟動即時檔案系統防護] 選項，以終止即時防護。

69

54

4.1.1.1.1 要掃描的媒體

依預設，會控制所有媒體類型是否有潛在的威脅。

本機磁碟 - 控制所有系統硬碟

可移除媒體 - 磁碟片、USB 儲存裝置等

網路磁碟 - 掃描所有對應的磁碟

我們建議保留預設設定，只有在特殊情況下才修改這些設定，例如，掃描某些媒體而明顯減慢資料傳送時。

4.1.1.1.2 執行掃描的時間 (事件觸發的掃描 )

依預設，在開啟、建立或執行時會掃描所有檔案。我們建議您保留預設設定，因為這些預設值會為電腦提供最高層級的即時

防護。

[存取磁碟片] 選項提供存取此磁碟時的磁碟片開機磁區控制。[關閉電腦] 選項提供在關閉電腦期間的硬碟開機磁區控制。雖然現在開機病毒很罕見，但是建議您保持這些選項啟用，因為仍有可能從替代來源受到開機病毒的感染。

4.1.1.1.3 進階掃描選項

在 [電腦防護] > [病毒及間諜程式防護] > [即時系統防護] > [進階設定] 下，可找到更詳細的設定選項。

[用於 ThreatSense 新建立及已修改檔案的其他參數] - 新建立或已修改檔案感染的可能性高於現有的檔案。這正是為何程式會以額外的掃描參數檢查這些檔案的原因。除了常見的病毒碼掃描方法，使用進階啟發式可大幅提升偵測率。除了新建

立的檔案之外，也可針對自我解壓檔 (.sfx) 及 Runtime Packer (內部壓縮的執行檔案) 執行掃描。依預設，至多可以掃描至保存檔的第 10 層巢狀層級，並不論其實際大小都會進行檢查。若要修改壓縮檔掃描設定，請取消選取 [預設壓縮檔掃描設定] 選項。

用於已執行檔案的其他 ThreatSense.Net 參數 - 根據預設，執行檔案時不使用進階啟發式。然而，在某些情況下，您可能會想要啟用此選項 (按一下 [執行檔案時的進階啟發式] 選項)。請注意，進階啟發式可能會由於增加系統需求的緣故，而減慢某些程式的執行速度。

4.1.1.2 清除層級

即時防護具有三個清除層級。若要選取清除層級，請按一下 [即時檔案系統防護] 區段中的 [設定. . . ] 按鈕，然後按一下 [清除] 子目錄。

第一層 [不清除] 顯示警告視窗，其中含有找到之每個入侵的可用選項。您必須為每個入侵分別選擇處理方法。此層級針對進階使用者而設計，進階使用者瞭解出現入侵時需採取哪些步驟。

預設層級會自動選擇並執行預先定義的處理方法 (視入侵的類型而定)。位於畫面右下角的訊息會通知受感染檔案的偵測及刪除。如果入侵出現在壓縮檔 (其中也包含未感染檔案)，或者受感染的物件沒有預先定義的處理方法，則不會執行自動的處理方法。

第三層 [完全清除] 最「主動」，即清除所有受感染的物件。因為此層級可能潛在導致有效檔案的遺失，所以我們建議僅在特定情況下才使用它。

55

4.1.1.3 何時修改即時防護配置

即時防護是維護系統安全的最重要組成部分。因此，修改其參數時請小心。建議您僅在特定情況中修改其參數。例如，在與

特定應用程式或另一個防毒程式的即時掃描器發生衝突的情況下。

ESET Mail Security 的所有設定在安裝後即已最佳化，為使用者提供最高層級的系統安全。若要還原預設設定，請按一下位於 [即時檔案系統防護] 視窗 ([進階設定] > [病毒及間諜程式防護] > [即時檔案系統防護]) 右下方的 [預設] 按鈕。

4.1.1.4 檢查即時防護

若要驗證即時防護正在運作並偵測病毒，請使用來自 eicar.com 的測試檔案。此測試檔案是所有防毒程式都可偵測到的特殊無害的檔案。該檔案由 EICAR (European Institute for Computer Antivirus Research) 公司建立，以測試防毒程式的功能。檔案 eicar.com 的下載連結為 http://www.eicar.org/download/eicar.com

附註：執行即時防護檢查之前，必須停用防火牆。如果已啟用防火牆，則其會偵測到檔案並防止下載測試檔案。

4.1.1.5 即時防護無法運作時怎麼辦

在下一章中，我們說明使用即時防護時可能發生的問題情況，以及如何疑難排解它們。

即時防護已停用

如果使用者不小心停用即時防護，則需要重新啟動它。若要重新啟動即時防護，請瀏覽至 [設定] > [病毒及間諜程式防護]並按一下主要程式視窗的 [啟用即時檔案系統防護] 區段。

如果在系統啟動時未啟動即時防護，則可能是由於已停用 [自動啟動即時檔案系統防護] 選項的緣故。若要啟用此選項，請瀏覽至 [進階設定] (F5)，並按一下 [進階設定] 樹狀目錄中的 [即時檔案系統防護]。在視窗底部的 [進階設定] 區段中，確定已選取 [自動啟動即時檔案系統防護] 核取方塊。

http://www.eicar.org/download/eicar.com

56

如果即時防護不會偵測及清除入侵

請確定電腦上未安裝任何其他防毒程式。如果同時啟用兩個即時防護程式，則可能互相衝突。我們建議您解除安裝系統上的

任何其他防毒程式。

即時防護未啟動

如果在系統啟動時未啟動即時防護 (且已啟用 [自動啟動即時檔案系統防護] 選項)，則可能是由於與其他程式發生衝突。如果是這種情況，請洽詢 ESET 的「客戶服務」專家。

4.1.2 電子郵件用戶端防護

電子郵件防護可控制透過 POP3 通訊協定收到的電子郵件通訊。使用 Microsoft Outlook 的外掛程式，ESET Mail Security可控制來自電子郵件用戶端的所有通訊 (POP3、MAPI、IMAP、HTTP)。

當檢查對內的郵件時，程式使用 ThreatSense 掃描引擎提供的所有進階掃描方法。這表示即使針對病毒資料庫進行比較之前，也會發生惡意程式的偵測。POP3 通訊協定的掃描獨立於所使用的電子郵件用戶端。

4.1.2.1 POP3 檢查

在電子郵件用戶端應用程式中，POP3 通訊協定是接收電子郵件通訊所使用最廣泛的通訊協定。無論使用的電子郵件用戶端為何，ESET Mail Security 均可防護此通訊協定。

提供此控制項的防護模組會自動在系統啟動時同時啟動，接著在記憶體中發生作用。若要讓模組正確運作，請確定已啟用它 -系統會自動執行 POP3 檢查，而無需重新配置電子郵件用戶端。依預設，通訊埠 110 中的所有通訊均會經過檢查；必要時，您也可以新增其他通訊埠。埠號必須以逗號分隔。

加密的通訊未受控制。

若要能夠使用 POP3/POP3S 過濾，需要先啟用通訊協定過濾。如果 POP3/POP3S 選項呈現灰色，請從進階設定樹狀結構中瀏覽至 [電腦防護] > [病毒及間諜程式防護] > [通訊協定過濾]，然後勾選 [啟用應用程式通訊協定內容過濾]。如需過濾及配置的詳細資訊，請參閱通訊協定過濾區段。

57

4.1.2.1.1 相容性

某些電子郵件程式可能會在使用 POP3 過濾時遇到問題 (例如，如果以較慢的網際網路連線接收郵件，則由於檢查可能發生逾時)。如果是這種情況，請嘗試修改執行控制項的方式。降低控制層級可提升清除過程的速度。若要調整 POP3 過濾的控制層級，請從 [進階設定] 樹狀目錄中瀏覽至 [病毒及間諜程式防護] > [電子郵件防護] > [POP3? POP3s] > [相容性]。

如果啟用 [最佳效能]，則會從受感染郵件中移除入侵，並且在原始電子郵件主旨之前插入入侵的相關資訊 (必須啟動 [刪除]或 [清除] 選項，或必須啟用 [完全] 或 [預設] 清除層級)。

[中等相容性] 修改接收郵件的方式。逐步將郵件傳送至電子郵件用戶端傳輸郵件後，將掃描郵件是否含有入侵。使用此控制層級會增加感染的風險。清除及處理標籤郵件 (已在郵件的主旨行與內容中附加通知警告) 的層級與最佳效能設定相同。

使用 [最高相容性] 層級後，將出現警告視窗警告您已收到受感染的郵件。不會將任何關於受感染檔案的資訊新增至已傳遞郵件的主旨行或電子郵件內容，而且不會自動移除入侵 - 您必須從電子郵件用戶端刪除入侵。

58

4.1.2.2 與電子郵件用戶端整合

ESET Mail Security 與電子郵件用戶端的整合會針對電子郵件訊息中的惡意代碼，增加作用中的防護層級。如果您的電子郵件用戶端受支援，即可在 ESET Mail Security 中啟用此整合。如果啟用整合，ESET Mail Security 工具列會直接插入電子郵件用戶端，以便更有效進行電子郵件防護。可以在 [設定] > [進入完整的進階設定樹狀目錄. . . ] > [其他選項] > [電子郵件用戶端整合] 中使用整合設定。電子郵件用戶端整合可讓您啟動與支援的電子郵件用戶端的整合。目前支援的電子郵件用戶端包括 Microsoft Outlook、Outlook Express、Windows Mail、Windows Live Mail 及 Mozilla Thunderbird。

如果在處理電子郵件用戶端時發生系統速度減慢，請選取 [停用收件匣內容變更檢查] 選項。從 Kerio Outlook ConnectorStore 下載電子郵件時可能會發生此類情況

按一下 [設定] > [進入完整的進階設定樹狀目錄. . . ] > [病毒及間諜程式防護] > [電子郵件用戶端防護] 並選取 [啟用電子郵件用戶端病毒及間諜程式防護] 選項，即可啟動電子郵件防護。

59

4.1.2.2.1 將標籤訊息附加到電子郵件內文

ESET Mail Security 掃描的各封電子郵件可予以標記，方法是將標籤訊息附加至主旨或電子郵件內文。此功能可增加收件者的可靠性，而且如果偵測到入侵，則會提供有關指定電子郵件或寄件者的重要資訊。

透過 [進階設定] > [病毒及間諜程式防護] > [電子郵件用戶端防護] 可找到此功能的選項。您可以選取 [將標籤訊息附加到已接收並已閱讀的郵件] 及 [將標籤訊息附加到已傳送的郵件]。您也能夠決定將標籤訊息附加到所有已掃描的電子郵件、僅附加到受感染的電子郵件，或完全不附加。

ESET Mail Security 也允許將訊息附加到受感染郵件的原始主旨。若要附加到主旨，請選取 [將附註附加到已接收、已閱讀且受感染電子郵件的主旨] 及 [將附註附加到已傳送之受感染電子郵件的主旨] 選項。

可以在 [新增到受感染電子郵件主旨的範本] 欄位中修改通知的內容。以上提及的修改有助於自動過濾受感染的電子郵件，因為它允許您將特定主旨 (如果電子郵件用戶端支援) 的電子郵件過濾到個別資料夾。

4.1.2.3 移除入侵

如果收到受感染的電子郵件訊息，則將顯示警告視窗。警告視窗顯示寄件者名稱、電子郵件，以及入侵的名稱。在視窗下半

部，有可用於已偵測到物件的 [清除] [刪除] 或 [保留] 選項。在大多數情況下，我們建議您選取 [清除] 或 [保留]。在某些情況下，如果您想要接收受感染的檔案，請選取 [保留]。

如果已啟用 [完全清除]，則會顯示沒有可用於受感染物件之選項的資訊視窗。

60

4.1.3 Web 存取防護

網際網路連線是個人電腦中的標準功能。不幸的是，它也成為傳輸惡意程式碼的主要媒介。因為如此，您必須審慎考量您的

Web 存取防護。強烈建議您選取 [啟用 Web 存取病毒及間諜程式防護] 選項。此選項位於 [進階設定] (F5) > [病毒及間諜程式防護] > [Web 存取防護]。

61

4.1.3.1 HTTP、 HTTPs

Web 存取防護的運作方式是監視網際網路瀏覽器與遠端伺服器之間的通訊，並遵循 HTTP (超文字傳輸通訊協定) 及 HTTPs(加密的通訊) 規則。依預設，ESET Mail Security 已配置為使用大多數網際網路瀏覽器的標準。不過，您可以在 [進階設定](F5) > [病毒及間諜程式防護] > [Web 存取防護 ] > [HTTP? HTTPS] 中修改 HTTP 掃描器設定選項。在主要的 [HTTP過濾器] 視窗中，您可以選取或取消選取 [啟用 HTTP 檢查] 選項。您也可以定義用於 HTTP 通訊的連接埠號碼。依預設，預先定義為連接埠號 80、8080 及 3128。HTTPs 檢查可以在下列模式中執行：

不使用 HTTPS 通訊協定檢查 - 不會檢查加密的通訊

針對選取的連接埠使用 HTTPS 通訊協定檢查 HTTPs 檢查只用於在 [HTTPs 通訊協定使用的連接埠] 中定義的連接埠

62

4.1.3.1.1 位址管理

此節可讓您指定要封鎖、允許或從檢查中排除的 HTTP 位址。[新增. . . ] [編輯. . . ] [移除] 及 [匯出. . . ] 按鈕可用來管理位址清單。不可以存取封鎖位址清單中的網站。可以存取已排除位址清單中的網站，而無需掃描惡意程式碼。如果選取 [僅允許在允許位址清單中的 HTTP 位址存取] 選項，則只能存取允許位址清單中的位址，而封鎖所有其他 HTTP 位址。

在所有的清單中，皆可使用特殊符號* (星號) 和 ? (問號)。星號可以代替任何字元字串，問號可代替任何符號。指定排除的位址時需特別小心，因為清單只能包含可信任且安全的位址。同樣地，務必確認此清單中的符號 * 和 ? 已正確使用。若要啟動清單，請選取 [作用中的清單] 選項。如果您想要在進入目前清單中的位址時收到通知，請選取 [套用來自清單的位址時通知] 選項。

63

4.1.3.1.2 主動模式

ESET Mail Security 包含 Web 瀏覽器功能，可讓您定義指定的應用程式是否為瀏覽器。如果將應用程式標記為瀏覽器，則會監視來自此應用程式的所有通訊，無論涉及的連接埠號碼為何。

Web 瀏覽器功能補充 HTTP 檢查功能，因為 HTTP 檢查僅會在預先定義的連接埠上發生。不過，許多網際網路服務利用變更或不明的連接埠號碼。為達到此目的，Web 瀏覽器功能可控制通訊埠通訊，無論連線參數為何。

從 [HTTP? HTTPs] 子目錄的 [Web 瀏覽器] 子功能表，可直接存取標記為 Web 瀏覽器的應用程式清單。此區段也包含定義網際網路瀏覽器之檢查模式的 [主動模式] 子功能表。

[主動模式] 很有幫助，因為它會整體檢查傳輸的資料。如果未啟用它，則會以批次方式逐步監視應用程式的通訊。這樣會降低資料驗證程序的效率，但是也會針對列出的應用程式提供更高的相容性。如果在使用時未發生任何問題，我們建議您選取

所需應用程式旁邊的核取方塊，以啟用主動檢查模式。

64

4.1.4 指定電腦掃描

如果您懷疑電腦受感染 (行為異常)，請執行指定電腦掃描以檢查電腦是否含有入侵。從安全觀點來看，不應該僅在懷疑有感染時才執行電腦掃描，出於常規安全性考量也應定期執行它。定期掃描可以偵測到即時掃描器在入侵儲存至磁碟時，未偵測到

的入侵。若在停用即時掃描器期間受到感染，或病毒資料庫不是最新的，就可能發生上述情況。

我們建議您一個月至少執行一次指定電腦掃描。您可以透過 [工具] > [排程器] 將掃描配置為已排程的工作。

4.1.4.1 掃描類型

有兩種可用的指定電腦掃描類型。[智慧型掃描] 可快速掃描系統，而無需進一步配置掃描參數。[自訂掃描…] 可讓您選取任何預先定義的掃描設定檔，以及選擇特定掃描目標。

4.1.4.1.1 智慧型掃描

智慧型掃描可讓您快速啟動電腦掃描並清除感染的檔案，無需使用者介入。其主要優點是可以輕鬆執行作業，而不需要詳細

的掃描配置。智慧型掃描會檢查本機磁碟中所有的檔案，且會自動清除或刪除偵測到的入侵。清除層級會自動設為預設值。

如需更多有關清除類型的資訊，請參閱清除一節。71

65

4.1.4.1.2 自訂掃描

如果您想要指定掃描參數 (例如掃描目標及掃描方法)，則自訂掃描是可選用的解決方案。自訂掃描的優點是可以詳細地配置參數。您可以將配置儲存為使用者定義的掃描設定檔，以利於使用相同參數重複執行掃描。

若要選取掃描目標，請選取 [電腦掃描] > [自訂掃描]，然後從 [掃描目標] 下拉式功能表中選取選項，或從樹狀結構中選取特定目標。亦可輸入您希望納入的資料夾或檔案路徑，更精確地指定掃描目標。如果您只對掃描系統有興趣，且不使用其他

清除處理方式，請選取 [掃描但不清除] 選項。您亦可進一步使用下列方法選用三種清除層級：按一下 [設定. . . ]> [清除]。

4.1.4.2 掃描目標

[掃描目標] 下拉式功能表可讓您選取要進行病毒掃描的檔案、資料夾與裝置 (磁碟)。

使用設定檔設定 - 選取所選掃描設定檔中設定的目標

可移除媒體 - 選取磁碟片、USB 儲存裝置、CD/DVD

本機磁碟 - 選取所有系統硬碟

網路磁碟 - 選取所有對應的磁碟

不選擇 - 取消所有選取

輸入您希望納入掃描的資料夾或檔案路徑，也可更精確指定掃描目標。從列出電腦上所有可用裝置的樹狀結構中選取目標。

4.1.4.3 掃描設定檔

您偏好的掃描參數可儲存供未來掃描時使用。我們建議您盡量為定期進行的掃描建立不同設定檔 (含有各種掃描目標、掃描方法及其他參數)。

若要建立新的設定檔，請開啟 [進階設定] 視窗 (F5)，然後按一下 [指定電腦掃描] > [設定檔. . . ][配置設定檔] 視窗有現有掃描設定檔的下拉式功能表，以及建立新設定檔的選項。若要協助您建立掃描設定檔以符合您的需求，請參閱 ThreatSense 引擎參數設定一節，以取得每個掃描設定參數的說明。

範例: 假設您要建立您自己的掃描設定檔且「智慧型掃描」配置有部份適用，但不要掃描 Runtime Packer 或潛在不安全的應用程式，並且要套用 [完全清除]。從 [配置設定檔] 視窗中，按一下 [新增. . . ] 按鈕。在 [設定檔名稱] 欄位中輸入新設定檔的名稱，然後從 [從設定檔複製設定] 中選取 [智慧型掃描]：。然後，調整剩餘的參數以符合您的需求。

69

66

4.1.4.4 命令列

ESET Mail Security 的防毒模組可以透過命令列來啟動，具體方法可以是手動 (使用「ecls」命令) 或使用批次 (「bat」) 檔。

從命令列執行指定掃描器時，可以使用下列參數及切換參數：

一般選項：

- help 顯示說明並結束

- version 顯示版本資料並結束

- base-dir = FOLDER 從「資料夾」載入模組

- quar-dir = FOLDER 隔離「資料夾」

- aind 顯示活動指示器

目標：

- files 掃描檔案 (預設值)

- no-files 不掃描檔案

- boots 掃描開機磁區 (預設值)

- no-boots 不掃描開機磁區

- arch 掃描壓縮檔 (預設值)

- no-arch 不掃描壓縮檔

- max-archive-level = LEVEL 最大保存檔巢狀「層級」

- scan-timeout = LIMIT 掃描壓縮檔的最大「限制」秒數。若掃描時間達到此限制，則

會停止掃描壓縮檔，並繼續掃描下一個檔案。

- max-arch-size=SIZE 僅掃描壓縮檔中首個「大小」位元組 (預設值 0 = 無限制)

- mail 掃描電子郵件檔案

- no-mail 不掃描電子郵件檔案

- sfx 掃描自我解壓檔

- no-sfx 不掃描自我解壓檔

- rtp 掃描 Runtime Packer

- no-rtp 不掃描 Runtime Packer

- exclude = FOLDER 從掃描中排除「資料夾」

- subdir 掃描子資料夾 (預設值)

- no-subdir 不掃描子資料夾

- max-subdir-level = LEVEL 最大子資料夾巢狀「層級」(預設值 0 = 無限制)

- symlink 跟循符號連結 (預設值)

- no-symlink 略過符號連結

- ext-remove = EXTENSIONS

- ext-exclude = EXTENSIONS 從掃描中排除以冒號分隔的「副檔名」

67

方法：

- adware 掃描廣告程式/間諜程式/高風險程式

- no-adware 不掃描廣告程式/間諜程式/高風險程式

- unsafe 掃描潛在不安全的應用程式

- no-unsafe 不掃描潛在不安全的應用程式

- unwanted 掃描潛在不需要應用程式

- no-unwanted 不掃描潛在不需要應用程式

- pattern 使用簽章

- no-pattern 不使用簽章

- heur 啟用啟發式

- no-heur 停用啟發式

- adv-heur 啟用進階啟發式

- no-adv-heur 停用進階啟發式

清除：

- action = ACTION 針對受感染物件執行「處理方法」。可用處理方法：無、清

除、提示

- quarantine 將受感染檔案複製到隔離區 (補充「處理方法」)

- no-quarantine 不要複製受感染檔案到隔離區

防護記錄：

- log-file=FILE 將輸出記錄至「檔案」

- log-rewrite 覆寫輸出檔 (預設值 - 附加)

- log-all 一併記錄清除檔案

- no-log-all 不記錄清除檔案 (預設值)

掃描的可能結束代碼：

0 - no threat found

1 - threat found but not cleaned

10 - some infected files remained

101 - archive error

102 - access error

103 - internal error

附註: 大於 100 的結束代碼表示未掃描檔案，檔案可能已受感染。

68

4.1.5 效能

在本節中，您可設定將用於掃描病毒的 ThreatSense 掃描引擎數量。多處理器電腦上的 ThreatSense 掃描引擎數量愈多，掃描率就越高。可接受值為 1-20。

如果沒有其他任何限制，建議根據以下公式，在 [電腦防護] > [病毒及間諜程式防護] > [效能] 的 [進階設定] 視窗 (F5) 中增加 ThreatSense 掃描引擎數目：ThreatSense 掃描引擎的數目 = (實體 CPU 數目 x 2) + 1。另外，掃描執行緒數目應該等於 ThreatSense 掃描引擎數目。您可以在 [伺服器防護] > [病毒及間諜程式防護] > [Microsof t Exchange Server] >

[VSAPI] > [效能] 下配置掃描執行緒數目。範例如下：

以包含 4 個實體 CPU 的伺服器為例。為達到最佳效能，根據以上公式，應該有9 個掃描執行緒及9 個掃描引擎。

附註：建立您將掃描引擎數目設定為等於使用的 ThreatSense 掃描執行緒數目。如果使用的掃描執行緒數目大於掃描引擎數目，這不會影響效能。

附註：僅在重新啟動後才會套用此處所做的變更。

4.1.6 通訊協定過濾

POP3 及 HTTP 應用程式通訊協定的病毒防護由 ThreatSense 掃描引擎控制，該引擎可密切地整合所有進階惡意程式掃描技術。無論是使用網際網路瀏覽器或電子郵件用戶端，該控制都會自動運作。下列選項可用於通訊協定過濾 (如果選取 [啟用應用程式通訊協定內容過濾] 選項)：

HTTP 及 POP3 連接埠 - 將通訊的掃描限制於已知的 HTTP 及 POP3 連接埠。

標記為網際網路瀏覽器及電子郵件用戶端的應用程式 - 啟用此選項只會過濾標記為瀏覽器的應用程式所進行的通訊 ([Web

存取防護] > [HTTP? HTTPS] > [Web 瀏覽器]) 及電子郵件用戶端 ([電子郵件用戶端防護] > [POP3? POP3s] > [電子郵件用戶端])。

[連接埠及已標記為網路瀏覽器或電子郵件用戶端的應用程式] - 檢查連接埠及瀏覽器是否有惡意軟體。

附註：從 Windows Vista Service Pack 1 與 Windows Server 2008 開始，已經使用新的通訊過濾方法。因此，[通訊協定過濾] 區段已經不存在。

4.1.6.1 SSL

ESET Mail Security 能夠讓您檢查 SSL 通訊協定中封裝的通訊協定。對於使用信任的憑證、未知憑證或排除在 SSL 防護通訊檢查之外的憑證進行的 SSL 防護通訊，您可以運用各種掃描模式。

一律掃描 SSL 通訊協定 - 選取此選項可掃描所有 SSL 防護通訊，但不包括排除在檢查之外的憑證所防護的通訊。如果使用未知的已簽署憑證建立新通訊，則不會通知您出現此情況，而且將自動過濾通訊。存取含有您標記為信任的不信任憑證 (新增至信任憑證清單) 在其中的伺服器時，將允許對於伺服器的通訊，並且將過濾通訊通道的內容。

詢問未造訪的網站 (可以設定排除) - 如果您輸入新的 SSL 防護網站 (含有未知憑證)，則會顯示動作選取項目對話方塊。此模式可讓您建立將排除在掃描之外的 SSL 憑證列在其中的清單。

不掃描 SSL 通訊協定 - 如果選取，程式將不會掃描透過 SSL 的通訊。

如果無法使用「信任的根憑證授權」儲存區驗證憑證 ([通訊協定過濾] > [SSL] > [憑證]):

詢問憑證有效性 - 提示您選取要採取的處理方法。

封鎖使用憑證的通訊 - 終止與使用該憑證之網站的連線。

如果憑證無效或損毀 ([通訊協定過濾] > [SSL] > [憑證]):

詢問憑證有效性 - 提示您選取要採取的處理方法。

封鎖使用憑證的通訊 - 終止與使用該憑證之網站的連線。

69

4.1.6.1.1 信任的憑證

除了 ESET Mail Security 儲存信任的憑證在其中的整合「信任最高憑證管理中心」儲存區，您也可以建立將信任的憑證列出的自訂清單，在 [進階設定] (F5) > [通訊協定過濾] > [SSL] > [憑證] > [信任的憑證] 中即可檢視此清單。

4.1.6.1.2 排除的憑證

[排除的憑證] 區段含有被視為安全的憑證。利用清單中的憑證進行加密通訊的內容將不會被掃描是否有威脅。我們建議您只排除保證安全的網站憑證，以及使用這些憑證的通訊不需要接受檢查。

4.1.7 ThreatSense 引擎參數設定

ThreatSense 是由複雜威脅偵測方法組成之技術的名稱。此技術是主動式的，也就是說該技術也可在新威脅擴散的前幾個小時期間提供防護。其使用多種方法組合 (代碼分析、代碼模擬、一般資料庫、病毒資料庫)，共同合作以大幅增強系統安全性。掃描引擎可以同時控制數個資料串流，以最大化效能及偵測率。ThreatSense 技術還可以順利解除 rootkit。

ThreatSense 技術設定選項可讓您指定數個掃描參數：

要掃描的檔案類型及副檔名

各種偵測方法的組合

清除的等級等

若要進入設定視窗，請按一下使用 ThreatSense 技術之模組設定視窗中的 [設定. . . ] 按鈕 (如下所示)。不同的安全情況可能需要不同的設定。瞭解這一點之後，就可針對下列防護模組，分別進行 ThreatSense 配置：

即時檔案系統防護

系統啟動檔案檢查

電子郵件防護

Web 存取防護指定電腦掃描

每個模組的 ThreatSense 參數都已大幅最佳化，其修改對系統作業有很大影響。例如，將參數變更為始終掃描 RuntimePacker，或在即時檔案系統防護模組中啟用進階探索法可能會導致系統速度減慢 (通常，使用這些方法僅掃描新建立的檔案)。因此，除了指定電腦掃描之外，我們建議您不要變更任何模組的預設 ThreatSense 參數。

4.1.7.1 物件設定

[物件] 區段可讓您定義要掃描是否有入侵的電腦元件及檔案。

[作業記憶體] - 掃描攻擊系統作業記憶體的威脅。

開機磁區 - 掃描開機磁區的主要開機記錄中是否有病毒。

53

56

60

64

70

檔案 - 掃描所有一般檔案類型 (程式、圖片、音訊檔、視訊檔、資料庫檔案等)。

電子郵件檔案 - 掃描包含電子郵件訊息的特殊檔案。

壓縮檔 - 掃描壓縮在壓縮檔 (.rar、.zip、.arj、.tar 等) 中的檔案。

自我解壓檔 - 掃描自我解壓檔中所包含且檔案副檔名一般為 .exe 的檔案

Runt ime Packer - 除了標準靜態壓縮器 (UPX、yoda、ASPack、FGS 等) 之外，Runtime Packer (不同於標準壓縮檔類型)會在記憶體中解壓縮。

附註: 當參數旁邊出現藍點時，代表此參數目前的設定與其他使用 ThreatSense 的模組設定不同。您可以針對不同的模組設定相同的參數，此藍點只是提醒您此相同的參數與其他模組設定不同。如果並未出現藍點，表示所有模組的參數為相同設

置。

4.1.7.2 選項

在 [選項] 區段中，您可以選取在掃描系統是否有入侵時使用的方法。可用選項如下：

探索法 - 探索法是分析程式 (惡意) 活動的演算法。探索法偵測的主要優點是可以偵測之前不存在或不在已知病毒清單 (病毒資料庫) 中的新惡意軟體。

進階啟發式 - 進階啟發式由 ESET 所開發的唯一啟發式演算法組成，其經過最佳化以偵測電腦蠕蟲及特洛伊木馬，並以高階程式設計語言所撰寫。由於進階啟發式，程式的偵測能力大大地提高了。

潛在不需要應用程式 - 潛在不需要應用程式不一定是惡意的，但是會以負面方式影響電腦的效能。這些應用程式通常需要經過同意才能安裝。如果他們存在於您的電腦上，系統的行為會有所不同 (相較於安裝前的狀態)。最明顯的變更包括：不需要的快顯視窗、啟動及執行隱藏的程序、增加系統資源的使用、搜尋結果中的變更，以及與遠端伺服器通訊的應用程式。

潛在不安全的應用程式 - 潛在不安全的應用程式是用於合法商業軟體的類別。其中包括遠端存取工具等程式，因此預設停用此選項。

有潛在危險的附件

有潛在危險的附件選項會針對惡意威脅提供防護，這些威脅通常會以電子郵件附件的形式散佈，例如勒索程式木馬。另一種

威脅範例則是偽裝成標準文件檔案 (例如 PDF) 的執行檔，使用者開啟此類檔案就會讓威脅入侵系統。此時威脅將會開始嘗試完成其惡意目的。


置。

71

4.1.7.3 清除

清除設定會決定在掃描器清除受感染檔案期間的行為。有 3 個清除層級：

不清除 - 不會自動清除受感染的檔案。程式會顯示警告視窗並允許您選擇處理方法。

標準清除 - 程式會嘗試自動清除或刪除受感染檔案。如果無法自動選取正確的處理方法，則程式會提供後續處理方法的選項。無法完成預先定義的處理方法時，也會顯示後續處理方法的選項。

完全清除 - 程式會清除或刪除所有受感染檔案 (包括壓縮檔)。只有系統檔案例外。如果無法清除受感染的檔案，則會在警告視窗中提供您可採取的處理方法。

警告: 在「預設」模式中，只有在壓縮檔中的所有檔案都受到感染時，才會刪除整個壓縮檔。如果壓縮檔還包含合法檔案，則不會刪除壓縮檔。如果在「完全清除」模式中偵測到受感染的壓縮檔，則即使未感染檔案存在，也會刪除整個壓縮檔。


置。

72

4.1.7.4 副檔名

副檔名是檔案名稱中以句點隔開的部份。副檔名定義檔案的類型及內容。ThreatSense 參數設定的此區段可讓您定義要掃描的檔案類型。

依預設，會掃描所有檔案，無論其副檔名為何。可以將任何副檔名新增至從掃描中排除的檔案清單。如果取消勾選 [掃描所有檔案] 選項，則清單會變更為顯示所有目前已掃描檔案的副檔名。使用 [新增] 及 [移除] 按鈕，您可以啟用或禁止所需副檔名的掃描。

若要啟用沒有副檔名的檔案掃描，請選取 [掃描無副檔名的檔案] 選項。

如果掃描某些檔案類型會造成使用副檔名的程式無法正常執行，有時必須排除這種檔案不予掃描。例如，使用 MicrosoftExchange 伺服器時，可能建議排除 .edb、.eml 及 .tmp 等副檔名。


置。

4.1.7.5 限制

[限制] 區段可讓您指定物件的大小上限，以及要掃描的巢狀保存檔層級：

物件大小上限：- 定義要掃描的物件大小上限。然後，給定的防毒模組只會掃描小於所指定大小的物件。我們不建議變更預設值，因為通常沒有要修改預設值的理由。只有進階使用者基於特定的理由，才應變更此選項來排除掃描較大物件。

物件的掃描時間上限 (秒)：- 定義掃描物件的時間值上限。如果已在這裡輸入使用者定義的值，則當該時間到期，防毒模組會停止掃描物件，無論掃描是否完成。

壓縮檔巢狀層級：- 指定壓縮檔掃描的深度層級上限。我們不建議變更預設值 10；在正常情況下，應該沒有要修改預設值的理由。如果由於巢狀壓縮檔的數目而提前結束掃描，則壓縮檔會保持未檢查狀態。

壓縮檔中檔案的大小上限：- 此選項可讓您指定要掃描的壓縮檔中，所包含檔案的大小上限 (解壓縮時)。如果這導致壓縮檔掃描提前結束，則壓縮檔會保持未檢查狀態。


置。

73

4.1.7.6 其他

掃描替代資料串流 (ADS) - NTFS 檔案系統使用的替代資料串流 (ADS) 是使用一般掃描技術無法看到的檔案及資料夾關聯。許多入侵會透過將自己偽裝為替代資料串流來嘗試躲避偵測。

以低優先順序執行背景掃描 - 每個掃描序列都會消耗大量的系統資源。如果處理的程式佔有大量的系統資源，則可以啟動低優先順序背景掃描，從而節省應用程式的資源。

記錄所有物件 - 如果已選取此選項，則防護記錄檔會顯示所有已掃描的檔案 (包括未受感染的檔案)。

啟用智慧型最佳化 - 選取此選項，以便不予重複掃描已掃描的檔案 (除非檔案已經過修改)。每次更新病毒資料庫之後，會立即重新掃描檔案。

保存最後一次的存取時間郵戳 - 選取此選項，以保留掃描檔案的原始存取時間，而不會更新該時間 (例如，以用於資料備份系統)。

捲動防護記錄 - 此選項可讓您啟用/停用防護記錄捲動。如果選取此選項，資訊會在顯示視窗中向上捲動。

在個別視窗中顯示掃描完成通知 - 開啟包含掃描結果資訊的獨立視窗。


置。

4.1.8 偵測到入侵

入侵可以從不同的進入點、網頁、共用資料夾透過電子郵件，或從可移除的電腦裝置 (USB、外部磁碟、CD、DVD、磁碟片等) 到達系統。

如果您的電腦正在顯示惡意程式感染的信號 (例如，速度更慢、頻繁凍結等)，我們建議您執行下列各項：

開啟 ESET Mail Security，然後按一下 [電腦掃描]。按一下 [智慧型掃描] (如需詳細資訊，請參閱智慧型掃描一節)。完成掃描之後，請檢閱已掃描、受感染及已清除的防護記錄。

如果您僅想要掃描磁碟的某一部分，請按一下 [自訂掃描]，並選取要進行病毒掃描的目標。

在此為了說明 ESET Mail Security 如何處理入侵，請假設使用預設清除層級的即時檔案系統監視器偵測到入侵，此時該監視器通常會嘗試清除或刪除檔案。如果沒有要針對即時防護模組採取的預先定義處理方法，則會要求您在警告視窗中選取一個

選項。通常，可以使用 [清除] [刪除] 及 [保留] 選項。不建議選取 [保留]，因為此選項會以原貌保留受感染的檔案。但若您確定檔案無害，只是因失誤而偵測為入侵，則可破例選用此選項。

清除及刪除 - 如果已將惡意代碼連接至檔案的病毒已攻擊檔案，則套用清除。如果是這種情況，則請先嘗試清除受感染的檔案，以將其還原為原始狀態。如果該檔案僅由惡意程式碼組成，則會刪除該檔案。

64

74

如果受感染的檔案「已鎖定」或正由系統程序使用，則通常只會在釋放之後才會刪除它 (通常在系統重新啟動後)。

刪除壓縮檔中的檔案 - 在預設清除模式中，壓縮檔只有在僅包含受感染的檔案而不包含未感染檔案時，才會整個遭到刪除；也就是說，如果壓縮檔內還包含無害的未感染檔案，就不會遭到刪除。也就是說，如果壓縮檔還包含無害的未感染檔案，則

不會進行刪除。不過，執行完全清除掃描時請小心，因為執行完全清除，當壓縮檔內含有至少一個受感染的檔案時，即會刪

除壓縮檔，無論壓縮檔中其他檔案的狀態為何。

4.2 更新程式

定期更新 ESET Mail Security 是維持最高層級安全性的基本前提。「更新」模組會透過兩種方式來確保程式永遠為最新 - 更新病毒資料庫及更新系統元件。

從主要功能表中按一下 [更新] 可以尋找目前更新狀態，包括最後的成功更新日期與時間，並在需要時更新。主要視窗內也含有病毒資料庫版本。此數字指示是連往 ESET 網站的有效連結，而網站中會列出特定更新中新增的所有簽章。

此外，其中有手動啟動更新程序的選項 - [更新病毒資料庫] - 可供使用，以及諸如使用者名稱及密碼的基本更新設定選項，以存取 ESET 更新伺服器。

使用 [產品啟動] 連結可開啟登錄表單，這會啟動 ESET 安全性產品，並且將含有驗證資料 (使用者名稱及密碼) 的電子郵件寄送給您。

75

附註: 購買 ESET Mail Security 後，ESET 會提供使用者名稱和密碼。

76

4.2.1 更新設定

更新設定區段指定更新來源資訊，如更新伺服器及這些伺服器的驗證資料。依預設，[更新伺服器] 下拉式功能表設定為 [自動選擇]，確保自動從 ESET 伺服器以最小網路流量自動下載更新檔案。從 [更新] 下的 [進階設定] 樹狀目錄 (F5 鍵) 可取得更新設定選項。

透過 [更新伺服器] 下拉式功能表即可存取可用更新伺服器的清單。若要新增更新伺服器，請按一下 [更新已選擇的設定檔的設定] 區段中的 [編輯. . . ]，然後按一下 [新增] 按鈕。更新伺服器的驗證是根據在購買後產生並傳送給您的 [使用者名稱]與 [密碼]。

4.2.1.1 更新設定檔

對於各種更新配置及工作，可建立更新設定檔。建立更新設定檔對於行動使用者尤其有用，行動使用者可以為定期變更的網

際網路連線內容建立替代設定檔。

[選取的設定檔] 下拉式功能表會顯示目前選取的設定檔，預設是設定為 [我的設定檔]。若要建立新設定檔，請按一下 [設定檔. . . ] 按鈕，然後按一下 [新增. . . ] 按鈕，並輸入您自己的 [設定檔名稱]。建立新設定檔時，您可以從 [從設定檔複製設定]下拉式功能表中選取現有設定檔，以複製其中的設定。

77

在設定檔設定視窗中，您可以從可用伺服器清單指定更新伺服器，也可以新增伺服器。透過 [更新伺服器] 下拉式功能表即可存取現有更新伺服器的清單：。若要新增更新伺服器，請按一下 [更新已選設定檔的設定] 區段中的 [編輯. . . ]，然後按一下[新增] 按鈕。

4.2.1.2 進階更新設定

若要檢視進階更新設定，請按一下 [設定. . . ] 按鈕。進階更新設定選項包含 [更新模式] [HTTP Proxy] [LAN] 及 [映像]的配置。

4.2.1.2.1 更新模式

[更新模式] 索引標籤包含程式元件更新相關的選項。

在 [程式元件更新] 區段中，可用的三個選項如下：

[絕不更新程式元件]：將不下載新程式元件更新。

[一律更新程式元件]：將自動進行新程式元件更新。

[下載程式元件前詢問]：預設選項。將提示您確認或拒絕提供使用的程式元件更新。

程式元件更新之後，可能需要重新啟動電腦，以提供所有模組的完整功能。[程式元件升級後重新啟動] 區段可讓您選取下列選項的其中一個：

不要重新啟動電腦

必要時重新啟動電腦

必要時不通知即重新啟動電腦

預設選項為 [必要時重新啟動電腦]。選取最適當的選項需視將套用設定的工作站而定。請注意，工作站與伺服器之間有區別，例如，程式升級後自動重新啟動伺服器會導致嚴重損毀。

78

4.2.1.2.2 Proxy 伺服器

在 ESET Mail Security 中，Proxy 伺服器位於 [進階設定] 樹狀目錄的兩個不同區段中。

首先，在 [其他選項] > [Proxy 伺服器] 下可配置 Proxy 伺服器設定。在這個等級指定 Proxy 伺服器，會定義所有 ESETMail Security 的全域 Proxy 伺服器設定。需連線到網際網路的所有模組，都會使用這裡設定的參數。

若要指定此層級的 Proxy 伺服器設定，請選取 [使用 proxy 伺服器] 核取方塊，然後將 Proxy 伺服器的位址及 Proxy 伺服器 [連接埠] 號碼輸入 [Proxy 伺服器:] 欄位中。

如果與 Proxy 伺服器之間的通訊需要驗證，請選取 [Proxy 伺服器需要驗證] 核取方塊，並將有效的 [使用者名稱] 及 [密碼] 輸入各自的欄位中。按一下 [偵測 Proxy 伺服器] 按鈕，以自動偵測和插入 Proxy 伺服器設定。將複製 InternetExplorer 中指定的參數。

附註: 此功能不會擷取驗證資料 (使用者名稱及密碼)，而必須由您提供。

在 [進階更新設定] 中也可建立 Proxy 伺服器設定。此設定適用於指定的更新設定檔。您可以按一下 [進階更新設定] 中的[HTTP Proxy] 索引標籤，，以存取 Proxy 伺服器設定選項指定的更新設定檔。其中將有以下三個選項的其中一個：

使用全域 Proxy 伺服器設定值

不使用 Proxy 伺服器

透過 Proxy 伺服器連線 (連線內容定義的連線)

選取 [使用全域 Proxy 伺服器設定值] 選項將使用已經在 [進階設定] 樹狀目錄的 [其他選項] > [Proxy 伺服器] 子目錄中指定的 Proxy 伺服器配置選項 (如本文章開端所述)。

79

選取 [不使用 Proxy 伺服器] 選項可明確定義不使用任何 Proxy 伺服器更新 ESET Mail Security。

如果應該使用 Proxy 伺服器更新 ESET Mail Security，而且該 Proxy 伺服器不同於全域設定中指定的 Proxy 伺服器 ([其他選項] > [Proxy 伺服器])，則應該選取 [透過 Proxy 伺服器連線] 選項。若是如此，則應該在其中指定設定：[Proxy 伺服

器] 位址、通訊 [連接埠]，以及 Proxy 伺服器的 [使用者名稱] 及 [密碼] (若有必要)。

如果並未全域設定 Proxy 伺服器設定，但是 ESET Mail Security 將連接至 Proxy 伺服器進行更新，則也應該選取此選項。

Proxy 伺服器的預設值為 [使用全域 Proxy 伺服器設定值]。

80

4.2.1.2.3 連線至區域網路 (LAN)

從使用 NT 型作業系統的本機伺服器更新時，預設需要每個網路連線的驗證。大多數情況下，本機系統帳戶不具有存取映像資料夾 (映像資料夾包含更新檔案的副本) 存取權限。如果是這種情況，請在更新設定區段中輸入使用者名稱及密碼，或者指定程式將存取更新伺服器 (映像) 的現有帳戶。

若要配置這類帳戶，請按一下 [區域網路 (LAN)] 索引標籤。[連接到區域網路] 區段提供 [系統帳戶 (預設)] [現有使用者] 及 [指定使用者] 選項。

選取 [系統帳戶 (預設)] 選項，以使用系統帳戶來驗證。通常，如果主要更新設定區段中沒有提供任何驗證資料，則不會發生驗證程序。

若要確保程式授權其自己使用目前登入的使用者帳戶，請選取 [現有使用者]。此解決方案的缺點是如果目前沒有任何使用者登入，則程式無法連接至更新伺服器。

如果您想要程式使用特定使用者帳戶來驗證，請選取 [指定使用者]。

警告: 選取 [現有使用者] 或 [指定使用者] 選項時，如果將程式身分變更為所需使用者，則可能會發生錯誤。我們建議將區域網路 (LAN) 驗證資料插入主要更新設定區段。在此更新設定區段中，驗證資料輸入應該如下所示：網域名稱\使用者 (如果是工作群組，請輸入工作群組名稱\名稱) 及密碼。當從本機伺服器 HTTP 版本更新時，不需要驗證。

81

4.2.1.2.4 建立更新副本 - 映像

ESET Mail Security 可讓您建立更新檔案的副本，可用於更新網路中的其他工作站。從映像更新用戶端工作站會最佳化網路負載平衡，節省網際網路連線頻寬。

本機映像伺服器的配置選項可從 [進階更新設定]區段存取 (在 ESET Mail Security [進階設定] 區段中的授權管理程式新增有效的授權金鑰後)：。若要存取此區段，請按 F5 並且按一下 [進階設定] 樹狀目錄中的 [更新]，然後按一下 [進階更新設定]旁邊的 [設定. . . ] 按鈕：並選取 [映像] 索引標籤)。

配置映像的第一個步驟是選取 [建立更新映像] 選項。選取此選項會啟動其他映像配置選項，例如存取更新檔案的方式及映像檔案的更新路徑。

映像啟動的方法在「從映像更新」一節中有詳細說明。請注意，現在有存取映像的兩個基本方法 - 含有更新檔案的資料夾可以顯示為共用網路資料夾或 HTTP 伺服器。

專用於儲存映像更新檔案的資料夾定義於 [儲存映像檔案的資料夾] 區段。按一下 [資料夾. . . ] 以瀏覽本機電腦或共用網路資料夾上的資料夾。如果需要指定資料夾的授權，必須在 [使用者名稱] 及 [密碼] 欄位中提供驗證資料。使用者名稱及密碼的輸入格式應為網域/使用者或工作群組/使用者。請記得提供對應的密碼。

配置映像時，您也可以指定要下載更新副本的語言版本。語言版本設定可從 [檔案] - [可用版本:] 區段存取。

附註: 您無法從映像更新「垃圾郵件防護」資料庫。如需詳閱關於如何允許正確的「垃圾郵件防護」資料庫更新的詳細資訊，請按一下這裡。

4.2.1.2.4.1 從映像更新

現在有配置映像的兩個基本方法 - 含有更新檔案的資料夾可以顯示為共用網路資料夾或 HTTP 伺服器。

使用內部 HTTP 伺服器存取映像

此組態是預先定義程式配置中指定的預設值。若要允許使用 HTTP 伺服器存取映像，請瀏覽至 [進階更新設定] ([映像] 索引標籤)，並選取 [建立更新映像] 選項。

在 [映像] 索引標籤的 [進階設定] 區段中，您可以指定 HTTP 伺服器將接聽的 [伺服器連接埠]，以及 HTTP 伺服器使用的[驗證] 類型。依預設，伺服器連接埠是設定為 2221。[驗證] 選項定義用於存取更新檔案的驗證方法。可用選項如下：[無]

[基本] 及 [NTLM]。選取 [基本] 以使用具有基本使用者名稱及密碼驗證的 base64 編碼。[NTLM] 選項提供使用安全編碼

方法的編碼。對於驗證，會使用共用更新檔案之工作站上建立的使用者。預設值為 [無]，這會授與對無需驗證之更新檔案的存取權。

警告: 如果您想要允許透過 HTTP 伺服器的更新檔案存取，則映像資料夾必須位於 ESET Mail Security 實例建立它時所在的

81

33

82

電腦。

配置映像完成之後，請移至工作站並新增更新伺服器，格式為 ht tp: / / IP_address_of_your_server:2221。若要執行此處

理方法，請遵循以下步驟：

開啟 ESET Mail Security [進階設定]，並按一下 [更新] 子目錄。

按一下 [更新伺服器] 下拉式功能表旁邊的 [編輯. . . ]，並新增伺服器，使用格式如下：http://IP_address_of_your_server:2221。

從更新伺服器清單中選取新增的伺服器。

透過系統共用存取映像

首先，應該在本機或網路裝置上建立共用資料夾。建立映像資料夾時，必須為將更新檔案儲存到資料夾的使用者提供「寫

入」存取權，並且為將從映像資料夾更新 ESET Mail Security 的所有使用者提供「讀取」存取權。

然後，停用 [透過內部 HTTP 伺服器提供更新檔案] 選項，配置 [進階更新設定] 區段 ([映像] 索引標籤) 中的映像存取權。依預設，會在程式安裝套件中啟用此選項。

如果共用資料夾位於網路中的另一台電腦，必須指定存取其他電腦的驗證資料。若要指定驗證資料，請開啟 ESET MailSecurity [進階設定] (F5)，然後按一下 [更新] 子目錄。按一下 [設定. . . ] 按鈕，然後按一下 [區域網路 (LAN)] 索引標籤。此設定與連線至區域網路 (LAN) 一章所說明的更新相同。

映像配置完成之後，繼續到工作站，將 \\UNC\PATH 設定為更新伺服器。使用以下步驟即可完成此作業：

開啟 ESET Mail Security [進階設定]，然後按一下 [更新]

按一下 [更新伺服器] 旁邊的 [編輯. . . ]，然後使用 \\UNC\PATH format 新增伺服器。

從更新伺服器清單中選取新增的伺服器

附註: 若要正常發揮功能，映像資料夾的路徑必須指定為 UNC 路徑。從對應磁碟機的更新不會運作。

80

http://IP_address_of_

http://IP_

83

4.2.1.2.4.2 疑難排解映像更新問題

大部分情況下，導致從映像伺服器更新期間發生問題的一個或多個原因如下：[映像] 資料夾選項的不正確指定、對 [映像] 資料夾資料的不正確驗證、對嘗試從映像下載更新檔案之本機工作站的不正確配置，或以上原因的組合。以下提供從映像更新

期間經常可能發生之問題的概觀。

連接至映像伺服器時，ESET Mail Security 報告錯誤 - 可能的原因是本機工作站下載更新所在更新伺服器 (映像資料夾的網路路徑) 的指定不正確。若要驗證資料夾，請按一下 Windows [開始]，並按一下 [執行]，然後插入資料夾名稱，並按一下 [確定]。畫面上應該會顯示資料夾內容。

ESET Mail Security 需要使用者名稱及密碼 - 可能由於更新區段中不正確的驗證資料 (使用者名稱及密碼) 所致。使用者名稱及密碼用於授與更新伺服器 (程式更新位置) 的存取權。請確定驗證資料正確，且以正確的格式輸入。例如，網域/使用者

名稱或工作群組/使用者名稱，以及對應的「密碼」。如果「每個人」都可以存取映像伺服器，請注意這並不表示授與所有人

存取權。「每個人」不表示所有未授權的使用者，僅表示每個網域使用者都可以存取資料夾。因此，如果「每個人」都可以

存取資料夾，則更新設定區段中仍需要輸入網域使用者名稱及密碼。

連接至映像伺服器時，ESET Mail Security 報告錯誤 - 封鎖定義用於存取 HTTP 版本映像之連接埠的通訊。

4.2.2 如何建立更新工作

您可使用下列方式手動觸發更新：按一下主要功能表中的 [更新] 之後，在顯示的主要視窗中按一下 [更新病毒資料庫]。

更新還可以執行為排程工作。若要設定排程工作，請按一下 [工具] > [排程器]。依預設，會在 ESET Mail Security 中啟動下列工作：

定期自動更新

撥號連線後自動更新

使用者登入後自動更新

各個更新工作都可以修改，以滿足您的需求。除了預設更新工作之外，您亦可利用使用者定義的配置來建立新的更新工作。

如需建立及配置更新工作的詳細資料，請參閱排程器一節。84

84

4.3 排程器

如果已啟動 ESET Mail Security 的「進階」模式，則可以使用排程器。您可在 [工具] 下方的 ESET Mail Security 主要功能表中找到 [排程器]。排程器包含所有已排程的工作及其配置內容 (例如預先定義的日期、時間、使用的掃描設定檔) 的清單。

依預設，下列已排程的工作會顯示在 [排程器] 中：

定期自動更新

撥號連線後自動更新

使用者登入後自動更新

自動啟動檔案檢查 (使用者登入後)自動啟動檔案檢查 (成功更新病毒資料庫後)

若要編輯 (預設及使用者定義的) 現有已排程工作的配置，請在工作上按一下滑鼠右鍵並按一下 [編輯. . . ]，或選取想要修改的所需工作並按一下 [編輯. . . ] 按鈕。

4.3.1 排程工作的目的

排程器使用預先定義的配置與屬性管理及啟動排程工作。配置及屬性包含資訊，如日期與時間，以及工作執行期間要使用的

指定設定檔。

85

4.3.2 建立新工作

若要在 [排程器] 中建立新工作，請按一下 [新增. . . ] 按鈕，或按一下滑鼠右鍵並從內容功能表中選取 [新增. . . ]。有五種類型的排程工作可用：

執行外部應用程式

系統啟動檔案檢查

建立電腦狀態快照

指定電腦掃描

更新

由於更新是其中一個最常用的排程工作，因此我們將說明如何新增新的更新工作。

從 [排程工作下拉式功能表]：選取 [更新]。按 [下一步]，並且在 [工作名稱]輸入工作的名稱：。選取工作的頻率。可用選項如下：[一次] [重複] [每日] [每星期] 與 [事件觸發]。系統會根據選取的頻率，提示您不同的更新參數。接著，定義排程期間無法執行或完成工作時要採取的處理方法。可用的三個選項如下所示：

等到下一個排程的時間

盡快執行工作

如果距離上次執行工作的時間超過指定的時間間隔，則立即執行工作 (可以使用 [工作間隔] 捲動方塊定義間隔)

在下一的步驟中，會顯示目前排程工作資訊的摘要視窗；應該會自動啟用 [以指定參數執行工作] 選項。按一下 [完成] 按鈕。

隨即顯示對話方塊視窗，可讓您選取用於排程工作的設定檔。在這裡，您可以指定主要設定檔及替代設定檔 (用於使用主要設定檔無法完成工作的情況中)。按一下 [更新設定檔] 視窗中的 [確定] 確認。新排程工作將新增至目前排程工作清單。

86

4.4 隔離區

隔離區的主要工作是安全地儲存受感染檔案。對於無法清除、無法安全刪除或不建議刪除的檔案，或者 ESET Mail Security錯誤偵測到的檔案，應該予以隔離。

您可以選擇隔離任何檔案。如果檔案行為可疑，但防毒掃描器沒有偵測到，則建議進行隔離。您可將隔離的檔案提交至

ESET 威脅實驗室進行分析。

可以在表格中檢視隔離區資料夾中儲存的檔案，其顯示隔離的日期與時間、受感染檔案原始位置的路徑、大小 (以位元組為單位)、原因 ([由使用者新增. . . ])，以及威脅數量 (例如，包含多個入侵的壓縮檔)。

4.4.1 隔離檔案

ESET Mail Security 會自動隔離刪除的檔案 (如果您尚未在警告視窗中取消此選項)。如果需要，您可以按一下 [隔離. . . ] 按鈕，手動隔離任何可疑檔案。如果是這種情況的，不會從原始位置移除原始檔案。內容功能表也可用於此目的 - 以滑鼠右鍵按一下 [隔離區] 視窗，並選取 [新增. . . ]。

4.4.2 從隔離區還原

隔離的檔案可還原至其原始位置。使用 [還原] 功能可達到此目的。[還原] 可從內容功能表取得，方法是以滑鼠右鍵按一下[隔離區] 視窗中的指定檔案。內容功能表也提供 [還原為] 選項，可讓您將檔案還原到其原始刪除位置外的其他位置。

附註: 如果程式錯誤地隔離了無惡意檔案，請在還原後從掃描中排除檔案，並將該檔案傳送至 ESET 客戶服務。

87

4.4.3 從隔離區提交檔案

如果您已隔離程式未偵測到的可疑檔案，或錯誤地將檔案評估為受感染 (例如以代碼的啟發式分析) 且因此隔離，請將檔案傳送至 ESET 威脅實驗室。若要從隔離區提交檔案，請以滑鼠右鍵按一下檔案，並從內容功能表選取 [提交檔案以供分析]。

88

4.5 防護記錄檔案

防護記錄儲存重要事件的相關資訊：偵測到的入侵、指定掃描器的防護記錄、常駐掃描器的防護記錄，以及系統資訊。

垃圾郵件防護記錄及灰名單防護記錄 (在 [工具] > [防護記錄檔案] 下的其他防護記錄下找到) 包含與郵件本身執行的掃描和後續處理方法有關的郵件詳細資訊。在搜尋未傳送的電子郵件、嘗試瞭解為何將郵件標記為垃圾郵件等情況下，防護記錄相

當實用。

89

垃圾郵件防護

其中記錄由 ESET Mail Security 歸類為垃圾郵件或潛在垃圾郵件的全部郵件。

直欄說明：

時間 - 寫入反垃圾郵件防護記錄的時間

寄件者 - 寄件者的地址

收件者 - 收件者的地址

主旨 - 郵件主旨

分數 - 指派給郵件的垃圾郵件分數 (範圍介於 0 至 100 之間)

原因 - 指示什麼原因導致將郵件歸類為垃圾郵件。顯示的指示是強度最大的指示。如果您想要查看其他指示，請按兩下該項目。[原因] 視窗將開啟，其中包含按照強度的遞減順序加以排序的指示。

URL 常傳送垃圾郵件郵件的 URL 位址通常可做為垃圾郵件的指示。

HTML 格式 (字型、顏色等) 郵件的 HTML 部份之中元素的格式顯示垃圾郵件特性的跡象 (字型及大小、字型顏色等)

垃圾郵件欺騙方法:Obfuscation 垃圾郵件一般使用的文字通常使用其他字元加以矇混。常見的範例是

「Viagra」這個字通常寫成「V1agra」，以規避垃圾郵件防護偵測。

HTML 影像類型垃圾郵件垃圾郵件通常採取圖片的形式，以做為另一種規避反垃圾郵件偵測方法的策

略。這類圖片通常包含網頁的互動連結。

URL 格式主控服務網域 URL 位址包含主控服務網域。

垃圾郵件關鍵字. . . 郵件包含垃圾郵件常見的文字。

電子郵件檔頭不一致檔頭中的資訊經過變更，而呈現與原始寄件者不同的來源。

病毒郵件包含可疑的附件。

網路釣魚郵件包含網路釣魚郵件常見的文字。

贗品郵件包含提供贗品的垃圾郵件類別常見的文字。

一般垃圾郵件指示器包含垃圾郵件常見文字/字元 (例如，「親愛的朋友」「得主您好」、「!!!」等)的郵件。

90

Ham 指示器這是與其他所列的指示器功能相反的指示器。這會分析正常所需電子郵件特性

的元素。這會降低整體垃圾郵件分數。

非特定的垃圾郵件指示器郵件包含其他垃圾郵件元素，例如 base64 編碼。

自訂垃圾郵件片語其他常見的垃圾郵件片語。

URL 已列入黑名單郵件中的 URL 位於黑名單中。

IP %s 位於 RBL IP 位址 ... 位於 RBL 清單中。

URL %s 位於 DNSBL URL 位址 ... 位於 DNSBL 清單中。

URL %s 位於 RBL 或伺服器沒有傳送郵件的權限

URL 位址 ... 位於 RBL 清單中，或者伺服器沒有傳送電子郵件所需的權限。屬於電子郵件路由一部份的位址將依據 RBL 清單加以驗證。針對最後一個位址，將驗證其對於公用郵件伺服器的連線權限。如果無法偵測到有效連線權限，則

表示該位址位於 LBL 清單中。由於 LBL 指示器而被標記為垃圾郵件的郵件會在 [原因] 欄位中顯示以下文字：「伺服器沒有傳送郵件的權限」。

處理方法 - 針對郵件採取的處理方法。可能的處理方法：

已保留未針對郵件採取任何處理方法。

已隔離已將郵件移至隔離區。

已清除和隔離已從郵件移除病毒，並且已將郵件隔離。

已拒絕已拒絕郵件，而且將 SMTP 拒絕回答傳送給寄件者。

已刪除已使用無訊息執行刪除郵件。

已接收 - 伺服器接收郵件的次數。

附註：如果透過電子郵件伺服器接收郵件，[次數] 與 [已接收] 欄位中的次數會實際相同。

灰名單

已使用灰名單方法評估的全部郵件會記錄於此防護記錄中。

18

18

91

直欄說明：

時間 - 寫入反垃圾郵件防護記錄的時間

HELO 網域 - 傳送伺服器向接收伺服器表明自己身分所用的網域名稱

IP 位址 - 寄件者的 IP 位址

寄件者 - 寄件者的地址

收件者 - 收件者的地址

處理方法 - 可能包含以下狀態：

已拒絕已使用灰名單的基本準則 (第一次傳送嘗試) 拒絕傳入的郵件。

已拒絕 (尚未驗證) 傳送伺服器已重新傳送傳入郵件，但是尚未經過拒絕連線的時間限制 ([初始連線拒絕的時間限制])。

已驗證傳送伺服器已多次重新傳送傳入訊息，已經過 [初始連線拒絕的時間限制]，而且已成功驗證和傳送郵件。另請參閱傳輸代理程式。

剩餘時間 - 符合 [初始連線拒絕的時間限制] 時剩餘的時間

偵測到威脅

威脅防護記錄提供 ESET Mail Security 模組所偵測到入侵的詳細資訊。資訊包括偵測時間、掃描器類型、物件類型、物件名稱、入侵名稱、位置，以及偵測到入侵時的處理方法及登入的使用者名稱。若要從防護記錄中複製或刪除一或多行 (或刪除整個防護記錄)，請使用內容功能表 (以滑鼠右鍵按一下項目)。

事件

[事件] 防護記錄包含程式中已發生事件及錯誤的相關資訊。通常在這裡找到的資訊可協助您找到程式中所發生問題的解決方案。

指定電腦掃描

掃描器防護記錄可儲存手動或計劃之掃描的結果相關資訊。每一行均與單一電腦控制項對應。它可列出下列資訊：掃描日期

及時間，已掃描、受感染及已清除的檔案總數，以及目前掃描狀態。

在 [指定掃描器防護記錄] 中，按兩下防護記錄項目，以在個別視窗中顯示其詳細內容。使用內容功能表 (按一下滑鼠右鍵)，可以複製一或多個已標記的項目 (在所有防護記錄類型中)。

34

92

4.5.1 防護記錄過濾

防護記錄過濾是相當實用的功能，有助於尋找防護記錄檔案中的記錄，尤其是有許多記錄而且不容易找尋所需的特定資訊

時。

使用過濾時，您可以輸入要過濾 [什麼] 字串、指定 [瀏覽直欄]、選取 [記錄類型]，並設定 [時間]，以便減少記錄數。指定某些過濾選項時，只有相關的記錄 (根據這些過濾選項) 會在 [防護記錄檔案] 視窗中顯示，以供輕鬆快速存取。

若要開啟 [防護記錄過濾] 視窗，請在 [工具] > [防護記錄檔案] 中按 [過濾. . . ] 按鈕一次，或使用鍵盤捷徑 Ctrl + Shift +F。

附註: 若要搜尋特定記錄，您可以使用在防護記錄中尋找，也可以搭配使用 [防護記錄過濾] 功能。

指定某些過濾選項時，將在 [防護記錄檔案] 視窗中顯示相關的記錄 (根據這些過濾選項)。這將過濾/減少記錄，便於您尋找所需的記錄。使用的過濾選項愈明確，愈能縮小出現的結果範圍。

什麼： - 輸入字串 (整個單字或單字的一部分。)將僅顯示包含此字串的記錄。將不顯示記錄的其他部分，以便於尋找辨識。

瀏覽直欄： - 選取過濾時將考慮哪些直欄。您可以勾選將用於過濾的一個或多個直欄。預設將勾選所有的直欄：

時間

模組

事件

使用者

記錄類型： - 讓您選擇要顯示哪些類型的記錄。您可以選擇一個特定的記錄類型、同時選擇多個類型，或顯示所有的記錄類型 (預設)：

診斷

資訊

警告

錯誤

嚴重

時間： - 使用此選項可按照時間過濾記錄。您可以選擇下列其中一項：

整個防護記錄 (預設) - 不按照時間過濾，而顯示整個防護記錄前一天

上一週

上個月

間隔 - 選取間隔時，可指定確切的時間 (日期和時間)，以便顯示指定時間內的記錄。

除了以上的過濾設定，另外有幾個 [選項]

所有文字相符 - 僅顯示與 [什麼] 文字方塊中的整個單字相符的字串記錄。

93

93

大小寫須相符 - 僅顯示與 [什麼] 文字方塊中的確切大寫相符的字串記錄。

啟用智慧型過濾 - 使用此選項可讓 ESET Mail Security 以自身的方法執行過濾。

一旦配置過濾選項完畢，按 [確定] 按鈕即可套用過濾。[防護記錄檔案] 視窗只會顯示與過濾選項對應的記錄。

4.5.2 在防護記錄中尋找

除了防護記錄過濾，您可以使用防護記錄檔案中的搜尋功能，不過您也可以在防護記錄過濾之外單獨使用此功能。搜尋防

護記錄中特定的記錄時，可使用此功能。和 [防護記錄過濾] 一樣，此搜尋功能可協助找出您搜尋的資料，尤其是有許多記錄的情況下。

使用 [在防護記錄中尋找] 時，您可以輸入要尋找 [什麼] 字串、指定 [瀏覽直欄]、選取 [記錄類型]，並設定 [時間]，以便在該段時間內搜尋記錄。指定某些搜尋選項時，將在 [防護記錄檔案] 視窗中搜尋相關的記錄 (根據這些搜尋選項)。

為了搜尋防護記錄，請按 Ctrl + f 鍵開啟 [在防護記錄中尋找] 視窗。

附註: 您可以搭配防護記錄過濾使用 [在防護記錄中尋找] 功能。您可以先使用 [防護記錄過濾] 減少記錄數，然後開始搜尋過濾的記錄。

什麼： - 輸入字串 (整個單字或單字的一部分)。將僅尋找包含此字串的記錄。將忽略記錄的其他部分。

瀏覽直欄： - 選取搜尋時將考慮哪些直欄。您可以勾選將用於搜尋的一個或多個直欄。預設將勾選所有的直欄：

時間

模組

事件

使用者

記錄類型： - 讓您選擇要尋找哪些類型的記錄。您可以選擇一個特定的記錄類型、同時選擇多個類型，或搜尋所有的記錄類型 (預設)：

診斷

資訊

警告

錯誤

嚴重

時間： - 使用此選項可搜尋特定時間內的記錄。您可以選擇下列其中一項：

整個防護記錄 (預設) - 不搜尋時間內的記錄，而搜尋整個防護記錄前一天

上一週

上個月

間隔 - 選取間隔時，可指定確切的時間 (日期和時間)，以便搜尋指定時間內的記錄。

92

92

94

除了以上的尋找設定，另外有幾個 [選項]

所有文字相符 - 僅尋找與 [什麼] 文字方塊中的整個單字相符的字串記錄。

大小寫須相符 - 僅尋找與 [什麼] 文字方塊中的確切大寫相符的字串記錄。

搜尋 - 從目前位置向上搜尋。

一旦配置搜尋選項，按一下 [尋找] 按鈕即可開始搜尋。找到第一個對應的記錄時，搜尋便會停止。再次按一下 [尋找] 按鈕可進一步搜尋。此時會從目前的位置 (強調顯示的記錄) 由上至下搜尋防護記錄檔案。

4.5.3 防護記錄維護

ESET Mail Security 的防護記錄配置可從主要程式視窗存取。按一下 [設定] > [進入完整的進階設定樹狀目錄. . . ]> [工具]> [防護記錄檔案]。您可以指定下列用於防護記錄檔案的選項：

自動刪除記錄：自動刪除超過指定天數的防護記錄項目

自動最佳化防護記錄：如果超出指定的未使用記錄百分比，則將啟用自動重組防護記錄檔案。

記錄最簡化：指定記錄冗贅層級。可用的選項為：

- 診斷記錄 - 程式微調需要的防護記錄資訊及上述所有記錄

- 資訊性記錄 - 記錄資訊性訊息，包含成功更新訊息及上述所有記錄

- 警告 - 記錄嚴重錯誤及警告訊息

- 錯誤 - 記錄「下載檔案時發生錯誤」訊息以及嚴重錯誤

- 嚴重警告 - 僅記錄嚴重錯誤 (啟動病毒防護時發生錯誤等)。

95

4.6 ESET SysI nspector

4.6.1 ESET SysInspector 簡介

ESET SysInspector 是一款可徹底檢查電腦，並能以各種方法顯示收集之資料的應用程式。諸如安裝的驅動程式和應用程式、網路連線或重要的登錄項目等都能協助您調查可疑的系統行為，探討行為的成因究竟是來自軟體或硬體不相容，還是惡

意程式感染。

有兩種方法可存取 ESET SysInspector：從 ESET Security 解決方案中整合的版本，或從 ESET 的網站免費下載獨立的版本(SysInspector.exe)。這兩種版本在功能方面完全相同，而且有相同的程式控制項。唯一的差別在於管理輸出的方式。獨立的版本和整合的版本分別讓您將系統快照匯出為 .xml 檔和儲存於磁碟。不過，整合的版本可讓您將系統快照直接儲存於 [工具] > ESET SysInspector (除了 ESET Remote Administrator)。如需更多資訊，請參閱ESET SysInspector 是 ESETMail Security 的一部分一節。

請等候 ESET SysInspector 掃描電腦。視硬體配置、作業系統和電腦上安裝的應用程式數而定，這可能需要 10 秒到幾分鐘的時間。

4.6.1.1 啟動 ESET SysInspector

若要啟動 ESET SysInspector，只要執行從 ESET 網站下載的 SysInspector.exe 執行檔即可。如果您已安裝任一款 ESETSecurity 解決方案，可以直接從 [開始] 功能表執行 ESET SysInspector ([程式集] > [ESET] > ESET Mail Security )。

請稍候等待應用程式檢查您的系統，根據收集的硬體和資料，檢查可能需要數分鐘的時間。

4.6.2 使用者介面和應用程式用法

為了方便使用，[主視窗] 分成四個主要區段 - [程式控制] 位於 [主視窗] 的上方，[瀏覽] 視窗位於左側，[說明] 視窗位於右側中間，[詳情] 視窗則在右側位於 [主視窗] 下方。[防護記錄狀態] 區段列出防護記錄的基本參數 (使用的過濾器、過濾器類型、防護記錄是否為比較的結果等)。

105

96

4.6.2.1 程式控制項

本小節包含 ESET SysInspector 中提供的所有程式控制項說明。

檔案

按 [檔案]，您即可儲存您目前的系統狀態作為稍後調查之用，或是開啟先前儲存的防護記錄。如果您要發行防護記錄，我們建議您產生適合傳送的防護記錄。此形式的防護記錄將會省略機密資訊 (目前的使用者名稱、電腦名稱、網域名稱、目前的使用者權限、環境變數等)。

附註：您可以開啟先前儲存的 ESET SysInspector 報告，只要將報告拖放至 [主要] 視窗即可。

樹狀結構

讓您可以展開或關閉所有節點，並且可以將選取的區段匯出成「服務」腳本。

清單

包含可以在程式內更方便瀏覽的功能，以及各式其他功能，如線上尋找資訊。

說明

包含有關應用程式及其功能的資訊。

詳情

此設定會影響 [主視窗] 中顯示的資訊，讓資訊更方便使用。在「基本」模式下，您可以存取用來尋找系統常見問題的解決方案資訊。在「中階」模式下，程式會顯示不常使用的詳情。在「完整」模式下，ESET SysInspector 會顯示解決特定問題所需的所有資訊。

項目過濾

項目過濾最適合用來尋找系統中的可疑檔案或登錄項目。透過調整滑桿，您可以依據「風險層級」過濾項目。如果滑桿被設

定至最左邊 (風險層級 1)，則所有項目都會顯示。藉由將滑桿移動至右邊，程式會濾除所有風險低於目前「風險層級」的項目，只出現比顯示的層級更可疑的項目。當滑桿移至最右邊，程式僅顯示已知的有害項目。

所有標示為風險 6 至 9 的項目都可能構成安全性風險。如果您不是使用 ESET 的安全解決方案，在 ESET SysInspector 發現此類型的項目後，我們建議您使用 ESET Online Scanner 掃描您的系統。ESET Online Scanner 是免費的服務。

附註：透過比較項目的色彩和風險層級滑桿上的色彩，您可以快速判斷項目的風險層級。

搜尋

搜尋可以透過項目的名稱或部分名稱，快速尋找特定的項目。搜尋要求的結果會顯示在 [說明] 視窗中。

返回

按一下 [向後] 和 [向前] 箭號，您可返回至先前 [說明] 視窗中顯示的資訊。您可以使用退格鍵和空白鍵取代按一下 [向後] 和[向前]。

狀態區段

顯示 [瀏覽] 視窗中目前的節點。

重要：以紅色反白顯示的項目是未知的，這就是程式將其標記為潛在危險的原因。如果項目呈現紅色，這不表示您可以理所

當然地刪除該檔案。進行刪除前，請確認檔案真的有危險性或是並非必要。

http://go.eset.eu/onlinescanner?lng=1033

97

4.6.2.2 在 ESET SysInspector 中瀏覽

ESET SysInspector 將各種資訊類型分成數個稱為節點的基本區段。將每個節點展開至子節點，就可以找到更多詳情 (如果有的話)。若要開啟或折疊節點，連按兩下節點名稱或者按一下節點名稱旁的或。當您在 [瀏覽] 視窗中，透過節點和子節點的樹狀結構進行瀏覽時，您會發現 [說明] 視窗中會顯示每個節點的各種詳情。如果您在 [說明] 視窗中從頭到尾瀏覽項目，則每個項目的其他詳情會顯示在 [詳情] 視窗中。

以下說明有關 [瀏覽] 視窗的主節點，以及 [說明] 視窗和 [詳情] 視窗的相關資訊。

執行程序

此節點包含有關應用程式和程序在產生防護記錄時的資訊。在 [說明] 視窗中，您會找到更多關於每個程序的詳情，如程序使用的動態程式庫及其在系統中的位置、應用程式供應商的名稱和檔案的風險等級。

[詳情] 視窗包含在 [說明] 視窗中所選取項目的其他資訊，如檔案大小或雜湊。

附註：作業系統由數種從不間斷執行的重要核心元件構成，並提供其他使用者應用程式基本且必要的功能。在某些狀況下，

這樣的程序會顯示在工具 ESET SysInspector 中，其檔案路徑以 \??\ 開始。那些符號提供程序啟動前的最佳化，這個動作對系統無害。

網路連線

[說明] 視窗包含使用 [瀏覽] 視窗中選取的通訊協定 (TCP 或 UDP)，透過網路進行通訊的程序和應用程式清單，以及應用程式要連接的遠端位址。您也可以查看 DNS 伺服器的 IP 位址。

[詳情] 視窗包含在 [說明] 視窗中所選取項目的其他資訊，如檔案大小或雜湊。

重要登錄項目

包含已選取的登錄項目清單，那些登錄項目通常與系統的各種問題有關，如指定啟動程式、瀏覽器 Helper 物件 (BHO) 等。

在 [說明] 視窗中，您可以找到與特定登錄項目相關的檔案。您可以在 [詳情] 視窗中看到其他詳情。

服務

[說明] 視窗包含登錄為 Windows 服務的檔案清單。您可以檢查服務設定啟動的方式，並在 [詳情] 視窗中檢查檔案的特定詳情。

驅動程式

安裝在系統上的驅動程式清單。

重要檔案

[說明] 視窗顯示與 Microsoft Windows 作業系統相關的重要檔案內容。

系統工作安排精靈工作

包含由 Windows 工作排程器在指定的時間 / 間隔觸發的工作清單。

系統資訊

包含硬體和軟體的詳細資訊，以及有關設定環境變數、使用者權限和系統事件防護記錄的資訊。

檔案詳情

重要系統檔案和 [Program Files] 資料夾中檔案的清單。檔案特定的其他資訊可在 [說明] 視窗和 [詳情] 視窗中找到。

關於

ESET SysInspector 版本及程式模組清單的資訊。

98

4.6.2.2.1 鍵盤捷徑

使用 ESET SysInspector 時可使用的鍵盤捷徑包括：

檔案

Ctrl+O 開啟現有的防護記錄

Ctrl+S 儲存已建立的防護記錄

產生

Ctrl+G 產生標準電腦狀態快照

Ctrl+H 產生電腦狀態快照可能也會記錄機密資訊

項目過濾

1 或 O 良好，會顯示風險層級 1-9 的項目2 良好，會顯示風險層級 2-9 的項目3 良好，會顯示風險層級 3-9 的項目4 或 U 未知，會顯示風險層級 4-9 的項目5 未知，會顯示風險層級 5-9 的項目6 未知，會顯示風險層級 6-9 的項目7 或 B 危險，會顯示風險層級 7-9 的項目8 危險，會顯示風險層級 8-9 的項目9 危險，會顯示風險層級 9 的項目- 降低風險層級

+ 提高風險層級

Ctrl+9 過濾模式，同等級或更高

Ctrl+0 過濾模式，僅同等級

檢視

Ctrl+5 依供應商，所有供應商檢視

Ctrl+6 依供應商檢視，僅 MicrosoftCtrl+7 依供應商，所有其他供應商檢視

Ctrl+3 顯示完整詳情

Ctrl+2 顯示媒體詳情

Ctrl+1 基本顯示

退格鍵往回移動一個步驟

空白鍵往前移動一個步驟

Ctrl+W 展開樹狀結構

Ctrl+Q 收合樹狀結構

其他控制項

Ctrl+T 在搜尋結果中選取後，移動至項目的原始位置

Ctrl+P 顯示關於項目的基本資訊

Ctrl+A 顯示關於項目的完整資訊

Ctrl+C 複製目前項目的樹狀結構

Ctrl+X 複製項目

Ctrl+B 在網際網路尋找有關選取檔案的資訊

Ctrl+L 開啟選取檔案所在的資料夾

Ctrl+R 在登錄編輯器中開啟對應的項目

Ctrl+Z 複製檔案的路徑 (如果項目與檔案相關的話)Ctrl+F 切換至搜尋欄位

Ctrl+D 關閉搜尋結果

Ctrl+E 執行服務腳本

99

比較

Ctrl+Alt+O 開啟原始/相較防護記錄Ctrl+Alt+R 取消比較

Ctrl+Alt+1 顯示所有項目

Ctrl+Alt+2 僅顯示新增的項目，防護記錄將顯示目前防護記錄中出現的項目

Ctrl+Alt+3 僅顯示移除的項目，防護記錄將顯示先前防護記錄中出現的項目

Ctrl+Alt+4 僅顯示被取代的項目 (包括檔案)Ctrl+Alt+5 僅顯示防護記錄間的相異之處

Ctrl+Alt+C 顯示比較

Ctrl+Alt+N 顯示目前的防護記錄

Ctrl+Alt+P 開啟先前的防護記錄

其他選項

F1 檢視說明

Alt+F4 關閉程式

Alt+Shift+F4 不詢問直接關閉程式

Ctrl+I 防護記錄統計

4.6.2.3 比較

「比較」功能可以讓使用者比較兩份現有的防護記錄。此功能的結果是兩份防護記錄之間非共同的項目組。如果您要追蹤系

統的變更，此功能非常適合，是您用來偵測惡意程式活動的有用工具。

功能啟動後，應用程式會建立新的防護記錄，該防護記錄會在新的視窗中顯示。瀏覽到 [檔案] > [儲存防護記錄]，將防護記錄儲存至檔案。您可稍後再開啟和檢視防護記錄檔案。若要開啟現有的防護記錄，請使用 [檔案] > [開啟防護記錄]。在主程式視窗中，ESET SysInspector 會一次顯示一份防護記錄。

比較兩份防護記錄的好處是，您可以同時檢視目前作用中的防護記錄，以及另一份儲存成檔案的記錄。若要比較防護記錄，

請使用 [檔案] > [比較防護記錄] 選項，然後選擇 [選取檔案]。選取的防護記錄會與主程式視窗作用中的防護記錄進行比較。相較防護記錄僅會顯示兩份防護記錄間的相異之處。

附註：如果您要比較兩份防護記錄檔案，請選取 [檔案] > [儲存防護記錄]，然後儲存成 ZIP 檔案；如此會儲存兩個檔案。如果您稍後開啟這個檔案，內含的防護記錄就會自動進行比較。

在顯示的項目旁，ESET SysInspector 會顯示符號來識別兩份比較防護記錄間的相異之處。

由標記的項目只能在作用中的防護記錄找到，而不會在開啟的相較防護記錄中出現。由標記的項目只會出現在開啟的防

護記錄中，而不會在作用中的防護記錄找到。

項目旁顯示的所有符號說明如下：

先前防護記錄沒有的新值

含有新值的樹狀結構區段

只存在先前防護記錄中，現已移除的值

含有已移除之值的樹狀結構區段

已變更的值 / 檔案含有已修改之值 / 檔案的樹狀結構區段風險層級已降低 / 先前防護記錄中的風險層級較高風險等級已增加 / 先前防護記錄中的風險等級較低

左下角顯示的解釋區段描述所有的符號，也顯示正在進行比較的兩份防護記錄名稱。

100

任何相較防護記錄都可以儲存成檔案，並稍後再開啟。

範例

產生並儲存防護記錄 (記錄關於系統的原始資訊) 至名為 previous.xml 的檔案。系統變更生效後，開啟 ESET SysInspector以產生新的防護記錄。將防護記錄儲存至名為 current.xml 的檔案。

為追蹤兩份防護記錄間的變更，瀏覽至 [檔案] > [比較防護記錄]。程式會建立相較防護記錄，顯示防護記錄間的相異之處。

如果您使用下列命令列選項，您可以保存相同的結果：

SysIsnpector.exe current.xml previous.xml

4.6.3 命令列參數

ESET SysInspector 支援使用這些參數，透過命令列產生報告：

/gen 直接由命令列產生防護記錄，而不執行 GUI/privacy 產生排除機密資訊的防護記錄

/z ip 以壓縮檔方式將結果防護記錄直接儲存至磁碟

/s i lent 強制不顯示防護記錄的產生進度列

/help, /? 顯示有關命令列參數的資訊

範例

若要將特定防護記錄直接載入至瀏覽器，用法如下：SysInspector.exe "c:\clientlog.xml"

若要在目前的位置產生防護記錄，用法如下：SysInspector.exe /gen

若要在特定的資料夾中產生防護記錄，用法如下：SysInspector.exe /gen="c:\folder\"

若要將防護記錄產生於特定的檔案/位置中，用法如下：SysInspector.exe /gen="c:\folder\mynewlog.xml"

若要以壓縮檔方式直接產生排除機密資訊的防護記錄，用法如下：SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip

若要比較兩份防護記錄，用法如下：SysInspector.exe "current.xml" "original.xml"

附註：如果檔案/資料夾名稱含有空格，則檔案/資料夾名稱應放在引號內。

101

4.6.4 服務腳本

服務腳本可以輕易從系統中移除不要的物件，是能夠對使用 ESET SysInspector 之客戶提供協助的工具。

服務腳本可以讓使用者匯出整個 ESET SysInspector 防護記錄，或是使用者選取的部份。匯出後，您可以標記不需要的部份以便進行刪除。然後，您可以執行修改過的防護記錄以刪除標記的物件。

服務腳本適用於已擁有診斷系統問題經驗的進階使用者。不合格的修改可能會導致作業系統損害。

範例

如果您懷疑您的電腦遭病毒感染，而您的防毒程式卻未偵測到病毒，請依照下列逐步說明執行：

執行 ESET SysInspector 以產生新的系統快照。選取左邊 (在樹狀結構中) 區段中的第一個項目，按下 Ctrl 然後選取最後一個項目以標記所有項目。以滑鼠右鍵按一下選取的物件，並選取 [將選取的區段匯出成服務腳本] 內容功能表選項。選取的物件會匯出至新的防護記錄。

這是整個程序中最重要的步驟：打開新的防護記錄，針對所有要移除的物件，將其 - 屬性變更成 +。請確認您沒有標記任何重要的作業系統檔案/物件。開啟 ESET SysInspector，並且按一下 [檔案] > [執行服務腳本]，然後輸入腳本的路徑。按一下 [確定] 以執行腳本。

4.6.4.1 產生服務腳本

若要產生腳本，請在 ESET SysInspector 主視窗中以滑鼠右鍵按一下功能表樹狀結構 (左側窗格) 中的任何項目。接著在內容功能表中選取 [將所有區段匯出成服務腳本] 選項或 [將選取的區段匯出成服務腳本] 選項。

附註：在比較兩份防護記錄時，無法匯出服務腳本。

4.6.4.2 服務腳本的結構

您可以在腳本檔頭的第一行發現引擎版本 (ev)、GUI 版本 (gv) 及防護記錄版本 (lv) 的相關資訊。這些資料可讓您追蹤產生腳本之 .xml 檔案中可能存在的變更，以避免在執行期間發生任何不一致的情況。請勿改動腳本的此部分。

檔案的其他部分可分為多個區段，而這些區段中的項目是可編輯的項目 (表示將由腳本處理的項目)。將項目前的 "-" 字元取代為 "+" 字元可將項目標記為要處理的項目。腳本中的各個區段是以空白的文字行做為區隔。每個區段都有各自的編號和標題。

01) 執行中的處理程序

此區段包含系統中所有執行之程序的清單。每個程序均可透過其 UNC 路徑及隨後之星號 (*) 間的 CRC16 雜湊碼加以識別。

範例：

01) Running processes:

- \SystemRoot\System32\smss.exe *4725*

- C:\Windows\system32\svchost.exe *FD08*

+ C:\Windows\system32\module32.exe *CF8A*

[...]

在此範例中，module32.exe 程序已經過選取 (前端有 "+" 字元標記)；程序將在執行腳本後結束。

02) 載入的模組

此區段可列出目前使用的系統模組。

範例：

02) Loaded modules:

- c:\windows\system32\svchost.exe

- c:\windows\system32\kernel32.dll

+ c:\windows\system32\khbekhb.dll

- c:\windows\system32\advapi32.dll

[...]

在此範例中，khbekhb.dll 模組前有 "+" 標記。執行腳本時，腳本能使用該特定的模組來辨識程序及結束程序。

102

03) TCP 連線

此區段含有和現有 TCP 連線相關的資訊。

範例：

03) TCP connections:

- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe

- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,

- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE

- Listening on *, port 135 (epmap), owner: svchost.exe

+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner:

System

[...]

執行腳本時，腳本能尋找已標記之 TCP 連線的通訊端擁有者，接著再停止通訊端以釋放系統資源。

04) UDP 端點

此區段含有和現有 UDP 端點相關的資訊。

範例：

04) UDP endpoints:

- 0.0.0.0, port 123 (ntp)

+ 0.0.0.0, port 3702

- 0.0.0.0, port 4500 (ipsec-msft)

- 0.0.0.0, port 500 (isakmp)

[...]

執行腳本時，腳本能隔離已標記之 UDP 端點上的通訊端擁有者，然後再停止通訊端。

05) DNS 伺服器項目

此區段含有和目前 DNS 伺服器配置相關的資訊。

範例：

05) DNS server entries:

+ 204.74.105.85

- 172.16.152.2

[...]

執行腳本時，已標記的 DNS 伺服器項目會遭到移除。

06) 重要登錄項目

此區段含有和重要登錄項目相關的資訊。

範例：

06) Important registry entries:

* Category: Standard Autostart (3 items)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- HotKeysCmds = C:\Windows\system32\hkcmd.exe

- IgfxTray = C:\Windows\system32\igfxtray.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c

* Category: Internet Explorer (7 items)

HKLM\Software\Microsoft\Internet Explorer\Main

+ Default_Page_URL = http://thatcrack.com/

[...]

執行腳本時，已標記的項目將遭到刪除、減少為 0 位元值或重設其預設值。要套用至特定項目的處理方法取決於項目類別和特定登錄中的機碼值。

07) 服務

此區段可列出系統內的已登錄服務。

103

範例：

07) Services:

- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running,

startup: Automatic

- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running,

startup: Automatic

- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped,

startup: Manual

[...]

執行腳本時，已標記之服務與其相依服務均會遭到停止及解除安裝。

08) 驅動程式

此區段可列出已安裝的驅動程式。

範例：

08) Drivers:

- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running,

startup: Boot

- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32

\drivers\adihdaud.sys, state: Running, startup: Manual

[...]

當您執行腳本時，將停止選取的驅動程式。注意，某些驅動程式無法停止。

09) 重要檔案

此區段含有和作業系統的重要檔案相關的資訊。

範例：

09) Critical files:

* File: win.ini

- [fonts]

- [extensions]

- [files]

- MAPI=1

[...]

* File: system.ini

- [386Enh]

- woafont=dosapp.fon

- EGA80WOA.FON=EGA80WOA.FON

[...]

* File: hosts

- 127.0.0.1 localhost

- ::1 localhost

[...]

選取的項目將遭到刪除或重設為原始的值。

4.6.4.3 執行服務腳本

標記所有需要的項目，接著再儲存及關閉腳本。選取 [檔案] 功能表中的 [執行服務腳本] 選項可直接從 ESET SysInspector主視窗執行編輯過的腳本。開啟腳本時，程式會顯示下列訊息以資提示：您確定要執行服務腳本「%Scriptname%」嗎？確認您選取的項目後，畫面中會出現另一則警告，通知您嘗試執行的服務腳本尚未經過簽署。按一下 [執行] 以啟動腳本。

畫面中隨即會出現對話方塊視窗，確認腳本已成功執行。

如果腳本只能部分執行，畫面中會出現對話方塊視窗並顯示下列訊息：已部分執行服務腳本。您想要檢視錯誤報告嗎？選

取 [是] 可檢視複雜的錯誤報告，此報告會列出未執行的作業。

如果腳本無法辨識，畫面中會出現對話方塊視窗並顯示下列訊息：選取的服務腳本尚未經過簽署。執行未經簽署和未知的

腳本會嚴重損害您的電腦資料。您確定要執行腳本及履行處理方法嗎？這可能是由於腳本內容不一致所引起的 (損壞的標題、損壞的區段標題、遺失區段間的空白文字行等)。您可以重新開啟腳本檔案並修正腳本內容中的錯誤，或建立新的服務腳本。

104

4.6.5 常見問題

ESET SysInspector 需要管理員權限才能執行嗎？

ESET SysInspector 不需要管理員權限即可執行，然而收集的部分資訊需要透過管理員帳戶才能存取。以「標準的使用者」或「限制的使用者」執行將會導致收集到較少的作業環境資訊。

ESET SysInspector 是否會建立防護記錄檔案？

ESET SysInspector 可以建立您電腦配置的防護記錄檔案。若要儲存一份防護記錄檔案，請選取主功能表的 [檔案] > [儲存防護記錄]。防護記錄會儲存成 XML 格式。依預設，檔案會儲存至 %USERPROFILE%\My Documents\ 目錄，檔案命名的

慣例是「SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML」。如果需要，在儲存之前，可以變更防護記錄檔案的位置和名稱。

我如何檢視 ESET SysInspector 防護記錄檔案？

若要檢視由 ESET SysInspector 建立的防護記錄檔案，請執行程式，然後選取主功能表的 [檔案] > [開啟防護記錄]。您也可以拖放防護記錄檔案至 ESET SysInspector 應用程式。如果您必須經常檢視 ESET SysInspector 防護記錄檔案，我們建議您在桌面上建立連結至 SYSINSPECTOR.EXE 檔案的捷徑，您就可以拖放防護記錄檔案至捷徑以便進行檢視。基於安全性理由，Windows Vista/7 可能不允許在兩種不同安全性權限的視窗之間進行拖放。

防護記錄檔案格式是否有可用的規格？或是有 SDK？

目前為止，由於程式仍在開發中，所以暫不提供防護記錄檔案的規格書或是 SDK。程式上市後，視客戶的意見和需求，我們可能會提供這些服務。

ESET SysInspector 如何評估由特定物件引起的風險？

在大多數的情況下，ESET SysInspector 使用一系列的啟發式規則指派物件 (檔案、程序、登錄機碼等等) 的風險層級；規則會檢查每個物件的特性，然後衡量惡意活動的潛在性。依據這些啟發式規則，物件會被指派為「1 - 良好 (綠色)」至「9 - 危險(紅色)」之間的風險層級。在左邊瀏覽窗格中，區段的色彩會依據內含的最高風險層級物件而改變。

風險層級「6 - 未知 (紅色)」是否意謂著物件是危險的？

ESET SysInspector 的評定不能保證物件是惡意的，測定必須由安全性專家進行。ESET SysInspector 的設計是為安全性專家提供快速評定，因此專家才能知道系統上哪個物件需要進一步檢查異常行為。

為什麼 ESET SysInspector 執行時會連線至網際網路？

就像許多應用程式一樣，ESET SysInspector 經過數位簽章「憑證」簽署，藉以協助確認軟體由 ESET 發行，未曾被改動過。為了確認憑證，作業系統會聯繫憑證授權單位，確認軟體發行者的身份。這是在 Microsoft Windows 下，所有經過數位簽章程式的一般行為。

什麼是反隱藏技術？

反隱藏技術提供有效的 Rootkit 偵測。

如果系統遭 Rootkit 方式的惡意程式攻擊，則使用者可能會暴露在資料遺失或遭竊的風險之中。如果沒有特殊的反 Rootkit 工具，幾乎不可能偵測得到 Rootkit。

為什麼有時候標記為「由 MS 簽署」的檔案同時間會有不同的「公司名稱」項目？

嘗試辨識可執行檔的數位簽章時，ESET SysInspector 會先檢查數位簽章是否內嵌在檔案內。如果找到數位簽章，檔案將以該資訊進行驗證。如果找不到數位簽章，ESI 會開始尋找對應的 CAT 檔案 (安全性目錄 - %systemroot%\system32\catroot

)，其中包含有關可執行檔案處理的資訊。如果找到相關的 CAT 檔案，該 CAT 檔案的數位簽章將會套用到可執行檔案的驗證程序。

這就是為什麼有時候標記為「由 MS 簽署」的檔案，「公司名稱」項目不同的原因。

範例：

Windows 2000 內含 HyperTerminal 應用程式，位置是 C:\Program Files\Windows NT。主應用程式的可執行檔案未經數位簽

署，但是 ESET SysInspector 將其標記為由 Microsoft 簽署的檔案。其中的源由是因為 C:\WINNT\system32

\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat 中的參考指向 C:\Program Files\Windows NT\hypertrm.exe

105

(HyperTerminal 的應用程式主要可執行檔案)，而 sp4.cat 是由 Microsoft 進行數位簽署的。

4.6.6 ESET SysInspector 是 ESET Mail Security 的一部份

若要開啟 ESET Mail Security 中的 ESET SysInspector 區段，請按一下 [工具] > ESET SysInspector。ESETSysInspector 視窗中的管理系統和電腦掃描防護記錄或已排程工作的管理系統類似。所有包括系統快照的作業 - 建立、檢視、比較、移除和匯出 - 只需要按一次或按兩次即可存取。

ESET SysInspector 視窗包含有關已建立快照的基本資訊，如建立時間、簡短註解、建立快照的使用者名稱和快照狀態。

若要比較、建立或刪除快照，請使用 ESET SysInspector 視窗中位於快照清單下方的對應按鈕。那些選項也可在內容功能表中使用。若要檢視選取的系統快照，請使用內容功能表選項的 [顯示]。若要將選取的快照匯出至檔案，以滑鼠右鍵按一下快照，然後選取 [匯出. . . ]。

以下是可用選項的詳細說明：

[比較] - 允許您比較兩份現存的防護記錄。如果您要追蹤目前防護記錄和較舊防護記錄間的變更，此功能非常適合。若要使此選項生效，您必須選取兩份要進行比較的快照。

[新建. . . ] - 可建立新記錄。建立新記錄前，您必須輸入有關記錄的簡短註解。若要瞭解 (目前產生的快照的) 快照建立的進度，請參閱 [狀態] 直欄。所有已完成的快照會標記為 [已建立] 狀態[刪除 / 全部刪除] - 從清單移除項目。匯出. . . - 將選取的項目儲存成 XML 檔案 (也可以是 ZIP 版本)。

4.7 ESET SysRescue

ESET SysRescue 是一套公用程式，可讓您建立包含 ESET Security 解決方案其中之一的開機磁碟 - 可能是 ESET NOD32Antivirus、ESET Smart Security 或甚至某些伺服器導向的產品。ESET SysRescue 主要的優勢在於 ESET Security 解決方案能在主機作業系統外獨立執行，並且可直接存取磁碟和整個檔案系統。因此它能夠移除一般無法刪除的入侵，例如在作業

系統執行時，進行刪除動作等。

4.7.1 最低需求

ESET SysRescue 可以在基於 Windows Vista 的 Microsoft Windows Preinstallation Environment (Windows PE) 2.x 版中執行。

Windows PE 是免費套件 Windows Automated Installation Kit (Windows AIK) 或 Windows Assessment and Deployment Kit(Windows ADK) 的一部份，因此在建立 ESET SysRescue (<%http://go.eset.eu/AIK%>) 或 (<%http://go.eset.eu/ADK%>)

之前，必須先安裝 Windows AIK 或 ADK。安裝何種套件視在您的系統上所執行的作業系統版本而定。由於支援 32 位元版本Windows PE 的緣故，因此在 64 位元系統上建立 ESET SysRescue 時，必須使用 32 位元的 ESET Security 安裝套件。ESET SysRescue 支援 Windows AIK 1.1 和 Windows ADK 及其更新版本。

附註：由於 Windows AIK 檔案大小超過 1 GB，而 Windows ADK 檔案大小超過 1.3 GB，因此需要更快的網路連線速度使下載更加順暢。

在 ESET Security 解決方案 4.0 版及更高版本中有提供 ESET SysRescue。

ESET SysRescue 支援下列作業系統：

Windows Server 2003 Service Pack 1 (含 KB926044) Windows Server 2003 Service Pack 2

Windows Server 2008

Windows Server 2012

Windows AIK 支援：

Windows Server 2003

Windows Server 2008

Windows ADK 支援：

Windows Server 2012

http://go.eset.eu/AIK

http://go.eset.eu/ADK

106

4.7.2 如何建立救援光碟

若要啟動 ESET SysRescue 精靈，請按一下 [開始] > [程式集] > [ESET] > [ESET Mail Security ] > [ESET

SysRescue]。

首先，精靈會檢查系統是否存在 Windows AIK 或 Windows ADK，以及建立開機媒體的適當裝置。如果電腦未安裝 WindowsAIK 或 Windows ADK (或者，已毀損或安裝不正確)，精靈將會提供您選項進行安裝，或是提供選項讓您輸入 Windows AIK資料夾的路徑 (<%http://go.eset.eu/AIK%>) 或 Windows ADK (<%http://go.eset.eu/ADK%>)。

附註：由於 Windows AIK 檔案大小超過 1 GB，而 Windows ADK 檔案大小超過 1.3 GB，因此需要更快的網路連線速度使下載更加順暢。

下一個步驟即為選取 ESET SysRescue 所在的目標媒體。

4.7.3 目標選擇

除了 CD/DVD/USB 以外，您可選擇以 ISO 檔案儲存 ESET SysRescue。您可以稍後再將 ISO 映像燒錄成 CD/DVD，或是以其他方式使用 (如在虛擬環境下使用，例如 VMware 或 VirtualBox)。

如果您選取 USB 作為目標媒體，開機功能可能無法在特定電腦上運作。有些 BIOS 版本可能會回報 BIOS 問題 - 開機管理員通訊 (如在 Windows Vista 上)，並結束開機同時顯示以下錯誤訊息：

檔案： \ boot \ bcd狀態： 0xc000000e資訊：嘗試讀取開機配置資料時發生錯誤

如果您遇到這個訊息，我們建議您選取 CD，而不選取 USB 媒體。

4.7.4 設定

起始建立 ESET SysRescue 之前，在 ESET SysRescue 精靈的最後一個步驟中，安裝精靈會顯示編譯參數。按一下 [變更. . . ] 按鈕可修改這些設定。可用的選項包括：

資料夾

ESET Antivirus

進階

網際網路通訊協定

開機 USB 裝置 (如果已選取目標 USB 裝置) 燒錄 (如果已選取目標 CD/DVD 磁碟機)

在未指定 MSI 安裝套件或未在電腦中安裝 ESET Security 解決方案時，[建立] 按鈕會處於非作用中的狀態。若要選取安裝套件，請按一下 [變更] 按鈕並前往 [ESET Ant iv irus ] 索引標籤。此外，如果您未填寫使用者名稱和密碼 ([變更] > [ESET

Ant iv irus ] ), [建立] 按鈕會呈現灰色狀態。

4.7.4.1 資料夾

暫存資料夾是 ESET SysRescue 編譯期間所需檔案的工作目錄。

ISO 資料夾是編譯完成後，儲存結果 ISO 檔案的資料夾。

此索引標籤中的清單顯示所有本機和對應的網路磁碟機，以及其可用的空間。如果有部分資料夾所在的磁碟機空間不足，我

們建議您選取其他擁有較多可用空間的磁碟機。否則，編譯可能會因為磁碟可用空間不足而提前結束。

外部應用程式 - 可讓您指定從 ESET SysRescue 開機後將執行或安裝的其他程式。

併入外部應用程式 - 可讓您將外部應用程式新增至 ESET SysRescue 編譯。

選取的資料夾 - 將新增至 ESET SysRescue 磁碟的程式所在的資料夾。

106

106

107

107

107

107

108

http://go.eset.eu/AIK

http://go.eset.eu/ADK

107

4.7.4.2 ESET Ant ivirus

若要建立 ESET SysRescue 光碟，您可以選取兩個 ESET 檔案來源以供編譯器使用。

ESS/EAV 資料夾 - 電腦上安裝 ESET Security 產品的資料夾中已包含的檔案。

MSI 檔案 - 使用的 MSI 安裝程式中所包含的檔案。

接下來，您可以選擇更新 (.nup) 檔案的位置。通常，您應該將 [ESS/EAV 資料夾/MSI 檔案] 設定為預設選項。但在某些情況下，您可以選擇自訂的 [更新資料夾]，例如使用較舊或較新的病毒資料庫版本。

您可以在下列使用者名稱和密碼的兩個來源之中擇一使用：

已安裝的 ESS/EAV - 將從目前已安裝的 ESET Security 複製使用者名稱和密碼。

[來自使用者] - 使用在對應文字方塊中輸入的使用者名稱和密碼。

附註： ESET SysRescue 光碟中的 ESET Security 解決方案可經由網際網路更新，或經由安裝在電腦上的 ESET Security解決方案更新，而該電腦就是 ESET SysRescue 光碟執行的位置。

4.7.4.3 進階設定

[進階] 索引標籤可讓您根據電腦中的記憶體數量最佳化 ESET SysRescue 光碟。選取 [576 MB 以上] 可將光碟內容寫入至作業記憶體 (RAM)。如果您選取 [少於 576 MB]，則在執行 WinPE 時，可永久存取復原光碟。

在 [外部驅動程式] 區段中，您可以插入特定硬體的驅動程式 (通常是網路介面卡)。雖然 WinPE 是以支援多種硬體的Windows Vista SP1 為依據，但有時候也會出現硬體無法辨識的情形，這時候就需要您手動新增驅動程式。將驅動程式引進ESET SysRescue 編譯的方式有兩種 - 手動 ([新增] 按鈕) 和自動 ([自動搜尋] 按鈕)。若是手動引進，您必須選取對應的 .inf檔案路徑 (適用的 *.sys 檔案亦必須存在此資料夾內)。若是自動引進，則會自動在指定電腦的作業系統中找到驅動程式。我們建議您，只有在使用 ESET SysRescue 的電腦與建立 ESET SysRescue 光碟的電腦網路介面卡相同時，才使用自動引進。在建立期間，ESET SysRescue 驅動程式會引進至編譯，因此您不必稍後再尋找驅動程式。

4.7.4.4 網際網路通訊協定

此區段可讓您設置基本網路資訊，並且設定 ESET SysRescue 之後的預先定義連線。

選取 [自動私人 IP 定址]，自動從 DHCP (動態主機設定通訊協定) 伺服器取得 IP 位址。

或者，此網路連線可以使用手動指定的 IP 位址 (也稱為靜態 IP 位址)。選取 [自訂] 配置適當的 IP 設定。如果您選取此選項，就必須指定 [IP 位址]；如果使用的是 LAN 和高速網際網路連線，則必須指定 [子網路遮罩]。請在 [慣用 DNS 伺服器] 和 [替代 DNS 伺服器] 中輸入主要及次要 DNS 伺服器的位址。

4.7.4.5 開機 USB 裝置

如果您已選取 USB 裝置作為目標媒體，您可以在 [開機 USB 裝置] 索引標籤中選取可用的裝置 (如果有更多 USB 裝置的話)。

選取要安裝 ESET SysRescue 的適當目標 [裝置]k。

警告: 選取的 USB 裝置將在 ESET SysRescue 建立期間格式化。將刪除裝置上所有的資料。

如果您選擇 [快速格式化] 選項，則格式化會移除分割區的所有檔案，但不會掃描磁碟是否含有毀損的磁區。如果您的 USB裝置先前已經過格式化，並且您確定裝置沒有損壞，再使用此選項。

108

4.7.4.6 燒錄

如果您已選取 CD/DVD 作為您的目標媒體，您可以在 [燒錄] 索引標籤中指定其他燒錄參數。

刪除 ISO 檔案 - 選取這個選項以在 ESET SysRescue 光碟建立後刪除暫存 ISO 檔案。

已啟用刪除- 可讓您選取快速消除或完整消除。

燒錄裝置 - 選取要用來燒錄的磁碟。

警告：這是預設選項。如果使用的是可重新寫入 CD/DVD，該 CD/DVD 中所有資料均會被消除。

[媒體] 區段包含有關 CD/DVD 裝置中的媒體資訊。

燒錄速度 - 從下拉式功能表中選取想要的速度。選取燒錄速度時，燒錄裝置的能力和使用的 CD/DVD 類型應納入考量。

4.7.5 使用 ESET SysRescue

若要使 CD/DVD/USB 有效運作，您必須從 ESET SysRescue 開機媒體啟動電腦。開機優先順序可在 BIOS 中進行修改。或者，您可以在電腦啟動期間使用開機功能表 - 通常使用 F9 - F12 鍵的其中一個，需視主機板/BIOS 的版本而定。

從開機媒體開機之後，ESET Security 解決方案會啟動。因為 ESET SysRescue 只能在特定情況下使用，所以不需要使用ESET Security 解決方案標準版本中的部分保護模組及程式功能；其清單縮小為 [電腦掃描] [更新] 及 [設定] 中的部分區段。更新病毒資料庫的功能是 ESET SysRescue 最重要的功能，建議您在開始電腦掃描前先更新程式。

4.7.5.1 使用 ESET SysRescue

假設網路中的電腦已感染可修改執行檔 (EXE) 的病毒。除了即使在安全模式中也無法清除的 explorer.exe 之外，ESETSecurity 解決方案可清除所有感染的檔案。這是因為 explorer.exe 是 Windows 的基本處理程序之一，也會在安全模式中啟動。ESET Security 解決方案將無法針對該檔案執行任何處理方法，而且該檔案將持續受感染。

在這種情況下，可以使用 ESET SysRescue 解決問題。ESET SysRescue 不需要主機作業系統中的任何元件，因此能夠處理 (清除、刪除) 磁碟中的任何檔案。

4.8 使用者介面選項

ESET Mail Security 中的使用者介面配置選項可讓您調整工作環境以符合您的需要。從 ESET Mail Security [進階設定] 樹狀目錄的 [使用者介面] 子目錄可存取這些配置選項。

在 [使用者介面元素] 區段中，[進階模式選項提供使用者切換至「進階模式」的功能。「進階模式」會顯示 ESET MailSecurity 更多的詳細設定與其他控制項。

如果圖形元素減慢電腦執行的效能或導致其他問題，則應該停用 [圖形使用者介面]。在視覺障礙者使用時也可能需要停用圖形介面，因為它可能與用於閱讀畫面上所顯示文字的特殊應用程式相衝突。

如果您要停用 ESET Mail Security 開機歡迎畫面，請取消勾選 [啟動時顯示開機歡迎畫面] 選項。

ESET Mail Security 主程式畫面的頂端為標準功能表，可以根據 [使用標準功能表] 選項啟動或停用它。

如果啟用 [顯示工具提示] 選項，則將游標放到任何選項上時會顯示簡短說明。[選取作用中的控制項元素] 選項會造成系統強調顯示目前在滑鼠游標作用中區域下的任何元素。按一下滑鼠即可啟動強調顯示的元素。

若要降低或提高動畫效果的速度，請選取 [使用動畫效果的控制項] 選項，然後左右移動 [速度] 滑動橫槓。

若要啟用動畫效果的圖示顯示各種作業的進度，請選取 [使用動畫效果的圖示指示進度] 選項。如果您想要程式在發生重大事件時發出聲音警告，請使用 [使用聲音信號提示] 選項。

109

[使用者介面] 功能也包含以密碼防護 ESET Mail Security 設定參數的選項。此選項位於 [使用者介面] 下的 [設定保護] 子功能表中。為了提供系統最大的安全性，請務必正確地配置程式。未獲授權的修改可能會導致重要資料遺失。若要設定密碼

防護設定參數，請按一下 [設定密碼…]

110


[使用者介面] 下的 [警告及通知設定] 區段可讓您配置在 ESET Mail Security 中如何處理威脅警告與系統通知。

第一個項目是 [顯示警告]。停用此選項會取消所有警告視窗，且僅適用於有限的指定情況中。對於大部分使用者而言，建議保留此選項的預設值 (啟用)。

若要在某段時間內自動關閉快顯視窗，請選取 [自動關閉「提示訊息」 (秒)] 選項。如果不手動關閉這些視窗，則指定時間到期後將自動關閉警告視窗。

桌面及球形提示上的通知僅提供資訊，不需要或不提供使用者介入。它們會顯示在畫面右下角的通知區域中。若要啟動顯示

桌面通知，請啟用 [於桌面顯示通知] 選項。按一下 [配置通知. . . ] 按鈕可以修改更多詳細選項，如通知顯示時間及視窗透明度。

若要預覽通知行為，請按一下 [預覽] 按鈕。若要配置球形提示顯示的持續時間，請選取 [在工作列顯示提示時間 (秒)]。

按一下 [進階設定. . . ] 進入包含 [只顯示需要使用者介入的通知] 的其他 [警告及通知] 設定選項。此選項可讓您開啟/關閉不需要使用者介入之警告及通知的顯示。選取 [只顯示在全螢幕模式中執行應用程式時需要使用者介入的通知] 強制不顯示所有非互動通知。從 [最簡化要顯示的事件] 下拉式功能表中，您可以選取將顯示警告及通知起始嚴重性層級。

此區段的最後一個功能可讓您配置多個使用者環境的通知目的地。[在多個使用者的系統中於此使用者的畫面中顯示通

知]：欄位可讓您定義哪些人將收到 ESET Mail Security 發出的重要通知。通常為系統或網路的管理員。如果將所有系統通知都傳送給管理員，則此選項特別適用於終端機伺服器。

4.8.2 停用終端機伺服器的 GUI

本章說明如何針對使用者工作階段期間在 Windows 終端機伺服器上執行的 ESET Mail Security 停用其 GUI。

一般而言，遠端使用者登入伺服器並建立終端機工作階段時，ESET Mail Security GUI 都會啟動。這對於終端機伺服器通常是不必要的。如果您想要關閉終端機工作階段的 GUI，請遵循下列步驟：

1. 執行 regedit.exe

2. 瀏覽至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. 以滑鼠右鍵按一下值 egui，然後選取 Modify...

4. 新增/terminal 參數至現有字串的末端。

111

以下為 egui 值資料的範例：

"C:\Program Files\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal

如果您想要還原此設定，並啟用 ESET Mail Security GUI 的自動啟動，請移除/terminal 參數。若要瀏覽至 egui 登錄值，

請重複步驟 1 至 3。

4.9 eShell

eShell ( ESET Shell 的簡稱) 是 ESET Mail Security 的命令列介面。它是圖形使用者介面 (GUI) 的替代選擇。eShell 擁有GUI 一般提供的所有功能和選項。eShell 可讓您無需使用 GUI，即可配置與管理整個程式。

除了可提供所有 GUI 的功能與特性之外，此介面也可以讓您透過執行腳本，以自動配置、修改配置或執行處理方法。此外，對於偏好使用命令列勝過 GUI 的使用者而言，eShell 也非常實用。

附註: 您可在這裡下載獨立的 eShell 手冊。手冊中列出所有命令以及其語法和說明。

本節將說明如何瀏覽及如何使用 eShell，並且列出所有命令，以及說明特定命令的用法及用途。

eShell 可在兩種模式下執行：

互動模式 - 當您想要使用 eShell (不只是執行單一命令) 進行工作時可使用此模式，例如變更配置、檢視防護記錄等。如果您尚未熟悉所有命令，也可以使用互動模式。互動模式可協助您更輕鬆地瀏覽 eShell 的內容。它也會告訴您在特定內容中可使用的命令。

單一命令 / 批次模式 - 如果您只需要執行一個命令而不需要進入 eShell 互動模式，可使用此模式。請從 Windows 命令提示字元輸入eshell 和適當的參數來執行此模式。範例：

eshell set av document status enabled

附註: 若要從「Windows 命令提示字元」執行 eShell 命令或執行批次檔案，您必須先啟用此功能 (命令set general access

batch always 必須在互動模式中執行)。如需更多有關設定批次命令的詳細資訊，請按一下這裡。

若要進入 eShell 的互動模式，您可以使用下列兩種方法其中之一：

經由 Windows [開始] 功能表：[開始] > [程式集] > [ESET] > [ESET File Security ] > [ESET shell]

從 Windows 命令提示字元，輸入eshell ，然後按下 Enter 鍵

當您第一次在互動模式中執行 eShell 時，將顯示初次執行畫面。

114

http://go.eset.eu/manual?prod_abb=eshell&prod_version=11&doc_name=userguide&lng_abb=enu

112

此畫面會顯示一些基本範例，告訴您如何搭配語法、前置詞、命令路徑、縮寫形式、別名等方式使用 eShell。基本上，這是eShell 的快速入門指南。

附註: 如果您想在之後也顯示初次執行畫面，請輸入guide 命令。

附註: 命令不區分大小寫，因此無論使用大寫或小寫都可執行命令。

4.9.1 使用

語法

指令必須使用正確的語法格式化才能運作，並可由前置詞、內容、引數、選項等組成。這是適用於整個 eShell 的一般語法：

[<prefix>] [<command path>] <command> [<arguments>]

範例 (此命令會啟動文件防護)：SET AV DOCUMENT STATUS ENABLED

SET - 前置詞AV DOCUMENT - 特定命令的路徑，是此命令所隸屬的內容STATUS - 命令本身ENABLED - 命令的引數

使用HELP 或? 與命令搭配使用可顯示該特定命令的語法。例如，CLEANLEVEL HELP 將顯示CLEANLEVEL 命令的語法：

語法：

[get] | restore cleanlevel set cleanlevel none | normal | strict

您會發現[get] 位於括弧內。這會指定前置詞get 是cleanlevel 命令的預設前置詞。這表示當您執行cleanlevel 命令且未

指定任何前置詞時，命令會確實使用預設的前置詞 (在此情況為get cleanlevel). 使用無前置詞的命令可節省輸入的時間。通常get 是大部分命令的預設前置詞，但是您必須確定特定命令是使用何種預設前置詞，而且該命令確實是您想要執行的命

令。


前置詞/作業前置詞是一項作業。該GET 前置詞將提供您如何配置 ESET Mail Security 特定功能的資訊，或顯示狀態 (例如GET AV

STATUS 將顯示目前的防護狀態)。該SET 前置詞將配置功能或變更其狀態 (SET AV STATUS ENABLED 將啟動防護)。

這些是 eShell 讓您使用的前置詞。命令可能或無法支援所有前置詞：

GET - 返回目前設定/狀態 SET - 設定值/狀態 SELECT - 選取項目 ADD - 新增項目 REMOVE - 移除項目 CLEAR - 移除所有項目/檔案 START - 啟用處理方法 STOP - 停用處理方法 PAUSE - 暫停處理方法 RESUME - 繼續使用處理方法 RESTORE - 還原預設設定/物件/檔案 SEND - 傳送物件/檔案 IMPORT - 從檔案匯入 EXPORT - 匯出至檔案

前置詞如GET 和SET 可與許多命令搭配使用，但是某些命令，例如EXIT，不使用前置詞。

命令路徑/內容命令位於形成樹狀結構的內容中。此樹狀結構的最高層級是根。當您執行 eShell 時，您是位於根層級：

eShell>

您可以從此處執行命令，或是輸入內容名稱以在樹狀結構內瀏覽。例如，當您輸入TOOLS 內容時，將會列出從此處可用的所

113

有命令與子內容。

黃色項目是您可以執行的命令，而灰色項目是您可以輸入的子內容。子內容包含更多命令。

如果您需要返回更高層級，請使用.. (兩個點)。例如，假設您在此處輸入：

eShell av options>

再輸入.. ，您將移至更高一個層級到：

eShell av>

或者，如果您想從eShell av options> 返回根 (此位置比根低兩層級)，只需輸入.. .. (兩個點加上空格，再加上兩個點)。透過執行此動作，您將移至上兩個層級，在此情況為根層級。無論您在內容樹狀結構的哪個層級，都可使用此動作。依需求

使用適當數目的.. ，以移至想要的層級。

路徑與目前的內容相關。如果命令包含在現有內容，請不要輸入路徑。例如，若要執行GET AV STATUS ，輸入：

GET AV STATUS - 如果您位在根內容 (命令列顯示 eShell>)

GET STATUS - 如果您正位於內容AV (命令列顯示eShell av>)

.. GET STATUS - 如果您正位於內容AV OPTIONS (命令列顯示eShell av options>)

引數

引數是專為特定命令所執行的處理方法。例如，命令CLEANLEVEL 可與下列引數搭配使用：

none - 不清除 normal - 標準清除 strict - 完全清除

另一個範例則是引數 ENABLED 或DISABLED，可用來啟用或停用特定功能。

縮寫形式/簡短的命令eShell 可讓您縮短內容、命令和引數 (假設引數是參數或替代選項)。您無法縮短具體值的前置詞或引數 (例如數字、名稱或路徑)。

簡短形式的範例：

set status enabled => set stat en

add av exclusions C:\path\file.ext => add av exc C:\path\file.ext

當兩個命令或內容以同樣的字母為開頭時，例如ABOUT 和AV，而您輸入A 作為簡短的命令時，eShell 將無法決定您要執行哪一個命令。系統將會顯示錯誤訊息，並且列出以 A 為開頭的命令供您選擇：

eShell>a

下列不是唯一的命令： a

下列命令皆可用於此內容：

ABOUT - 顯示關於程式的資訊 AV - 內容 av 的變更

114

透過新增一或多個字母 (例如AB 而非只是A) eShell 將執行ABOUT 命令，因為此命令現在是唯一的命令。

附註: 當您想確定命令是依照您所需方式執行時，我們建議您不要縮寫命令、引數等，請使用完整形式。如此命令將依照您所需方式執行，而且可避免不必要的錯誤。批次檔案 / 腳本尤其如此。

別名

別名是替代名稱，可用來執行命令 (假設已指派別名給命令)。下列有數種預設別名：

(global) help - ?

(global) close - 結束 (global) quit - 結束 (global) bye - 結束 warnlog - 工具防護記錄事件 virlog - 工具防護記錄偵測

(global) 表示命令可用於任何位置，無論目前內容為何。一個命令可指派多個別名，例如命令EXIT 的別名有CLOSE, QUIT 和

BYE. 當您想要結束 eShell 時，您可以使用EXIT 命令本身，或任一別名。別名VIRLOG 是命令DETECTIONS 的別名，此命令位

於TOOLS LOG 內容中。如此，便可從ROOT 內容使用偵測命令，也因此更易於存取 (您不需要進入TOOLS ，然後LOG 內容，而

且可直接從下列位置執行：ROOT).

eShell 可讓您定義自己的別名。

受密碼保護的命令

有些命令會受到保護，而且需要輸入密碼才能執行。

指南

當您執行GUIDE 命令時，系統會顯示初次執行畫面，說明如何使用 eShell。此命令可從ROOT 內容取得 (eShell>).

說明

當單獨使用HELP 命令時，它會列出在目前內容中所有可用的命令，以及前置詞和子內容。也會提供每個命令/子內容的簡短說明。當您將HELP 作為引數與特定命令搭配使用時 (例如CLEANLEVEL HELP)，它將提供該命令的詳情。它將顯示此命令的語法、作業、引數與別名，以及各個項目的簡短說明。

命令歷程

eShell 會保留先前已執行之命令的歷程。這只適用於目前的 eShell 互動工作階段。一旦您結束 eShell，系統將捨棄命令歷程。使用鍵盤上的方向鍵 Up 和 Down 來瀏覽歷程。在您找到尋找的命令之後，您無需自開頭輸入完整的命令便可再次執行此命令，或是進行修改。

CLS/清除畫面該CLS 命令可用來清除畫面。這與 Windows 命令提示字元或類似的命令列介面運作方式相同。

EXIT / CLOSE / QUIT / BYE

若要關閉或結束 eShell，您可以輸入任一命令 (EXIT, CLOSE, QUIT 或BYE).

4.9.2 命令

本節會列出一些基本的 eShell 命令，並舉例說明。如需完整的命令清單，請參閱 eShell 手冊，可以在此處下載。


包含在根內容中的命令：

ABOUT

列出關於程式的資訊。它會顯示已安裝產品的名稱、版本編號、已安裝的元件 (包括每個元件的版本編號)，以及執行 ESETMail Security 所在的伺服器和作業系統的基本資訊。

內容路徑：

root

BATCH

啟動 eShell 批次模式。這在執行批次檔案 / 腳本時非常實用，因此我們建議您與批次檔案搭配使用。將START BATCH 作為批

次檔案或腳本的第一個命令，以啟動批次模式。當您啟用此功能時，系統不會提示互動輸入 (如輸入密碼)，而且會以預設值取

http://go.eset.eu/manual?prod_abb=eshell&prod_version=11&doc_name=userguide&lng_abb=enu

115

代缺少的引數。這可確保批次檔案不會中途停止，因為 eShell 預期使用者會執行一些動作。如此一來，批次檔案便可不間斷地執行 (除非發生錯誤，或是批次檔案中的命令不正確)。

內容路徑：

root

語法：

[start] batch

作業：

start - 啟動 eShell 批次模式

內容路徑：

root

範例：

start batch - 啟動 eShell 批次模式

GUIDE

顯示初次執行畫面。

內容路徑：

root

PASSWORD

通常，若要執行受密碼保護的命令時，系統會基於安全性理由提示您輸入密碼。此規則適用於停用病毒防護及可能影響

ESET Mail Security 功能的命令。系統將在您每次執行這類命令時，提示您輸入密碼。然而，若要避免每次輸入密碼，您可以定義此密碼。eShell 將會記住此密碼，而且在執行受密碼保護的命令時，系統會自動使用此密碼。這表示您不需要每次輸入密碼。

附註: 定義的密碼僅適用於目前的 eShell 互動工作階段。一旦您結束 eShell，系統將捨棄此定義的密碼。當您再次啟動eShell 時，您需要再次定義密碼。

此定義的密碼在執行批次檔案/腳本時也非常實用。這類批次檔案的範例如下：

eshell start batch "&" set password plain <yourpassword> "&" set status disabled

上述串連的命令會啟動批次模式、定義將使用的密碼，並停用防護。

內容路徑：

root

語法：

[get] | restore password

set password [plain <password>]

作業：

get - 顯示密碼

set - 設定或清除密碼

restore - 清除密碼

引數：

plain - 切換將輸入的密碼作為參數

password - 密碼

116

範例：

set password plain <yourpassword> - 設定將用於受密碼保護之命令的密碼

restore password - 清除密碼

範例：

get password - 使用此命令來檢視是否已配置密碼 (只會顯示星號 *，不會列出密碼本身)，沒有顯示星號時，表示尚未設定密碼

set password plain <yourpassword> - 使用此命令來設定已定義的密碼

restore password - 此命令會清除已定義的密碼

STATUS

顯示關於 ESET Mail Security 目前防護狀態的資訊 (類似 GUI)。

內容路徑：

root

語法：

[get] | restore status

set status disabled | enabled

作業：

get - 顯示病毒防護狀態

set - 停用/啟用病毒防護

restore - 還原預設設定

引數：

disabled - 停用病毒防護

enabled - 啟用病毒防護

範例：

get status - 顯示目前的防護狀態

set status disabled - 停用防護

restore status - 將防護還原至預設設定 (已啟用)

VIRLOG

這是DETECTIONS 命令的別名。當您需要檢視關於所偵測到入侵的資訊時，可使用此命令。

WARNLOG

這是事件命令的別名。當您需要檢視關於各種事件的資訊時，可使用此命令。

117

4.10 匯入及匯出設定

按一下 [匯入及匯出設定]，即可在 [設定] 下方匯入及匯出 ESET Mail Security 設定。

匯入或匯出皆使用 .xml 檔案類型。如果您需要備份 ESET Mail Security 的目前配置以供稍後使用，匯入和匯出很有幫助。匯出設定選項對想要在多個系統上使用 ESET Mail Security 慣用配置的使用者也很方便，他們可以輕鬆匯入 .xml 檔案以傳送所需的設定。

4.11 ThreatSense.Net

「ThreatSense.Net 預早警告系統」可讓 ESET 立即並持續得到新入侵的通知。雙向「ThreatSense.Net 預早警告系統」有一個目的，就是提高我們可以為您提供的保護。確保我們能儘快看到新威脅的最佳方式為「連結」儘可能多的客戶，並將它

們用作我們的「威脅斥候」。有兩個選項：

1. 您可以決定不啟用「ThreatSense.Net 預早警告系統」。您不會失去軟體的任何功能，而且仍會收到我們提供的最佳防護。

2. 您可以配置「ThreatSense.Net 預早警告系統」，以提交新威脅與包含新威脅代碼位置的匿名資訊。此檔案可傳送至ESET，以供詳細分析。研究這些威脅會協助 ESET 更新其威脅偵測能力。

「ThreatSense.Net 預早警告系統」會收集與新偵測到之威脅相關的電腦資訊。此資訊可能包括出現威脅的檔案範例或副本、檔案路徑、檔案名稱、日期與時間、威脅出現在電腦上程序，以及電腦作業系統的相關資訊。

然而，偶爾有可能發生將您及您電腦相關資訊 (目錄路徑中的使用者名稱等) 洩露給 ESET 威脅實驗室，此資訊用於協助我們對新威脅立即作出反應，除此之外不作其他任何用途。

依預設，ESET Mail Security 會配置為先詢問，之後再將可疑檔案提交至 ESET 威脅實驗室以供詳細分析。例如 .doc 或 .xls等某些副檔名的檔案一律排除。如果有您或您的組織要避免傳送的特殊檔案，您也可以新增其他副檔名。

118

您可從 [進階設定] 樹狀目錄中的 [工具] > [ThreatSense.Net ] 下，存取 ThreatSense.Net 設定。選取 [啟用ThreatSense 預早警告系統] 選項以啟動，然後按一下 [進階設定. . . ] 按鈕。

4.11.1 可疑檔案

[可疑檔案] 索引標籤可讓您配置將威脅提交至 ESET 威脅實驗室進行分析的方法。

如果您找到可疑檔案，您可以提交給我們的威脅實驗室進行分析。若檔案為惡意的應用程式，則其偵測會新增到下一個病毒

資料庫更新。

檔案提交可設定為自動進行，如果想知道已提交哪些檔案進行分析，並確認提交，可選取 [提交前詢問我] 選項。

如果不想提交任何檔案，請選取 [不提交檔案以供分析] 選項。選取 [不提交任何檔案以供分析] 不會影響在各自設定中配置的統計資訊提交 (請參閱統計一節)。119

119

[提交時間 - 預設選取 [儘快] 選項，將可疑檔案傳送至 ESET 的威脅實驗室。如果具有永久網際網路連線時建議使用此選項，會儘快傳遞可疑檔案。選取 [更新時] 選項，可疑檔案便會在下次更新時上傳到 ThreatSense.Net。

排除過濾 - [排除過濾] 可讓您排除某些不提交的檔案/資料夾。例如，您可使用此選項，排除可能包含機密資訊的檔案，例如文件或試算表。依預設，最常見的檔案類型 (.doc 等) 均會被排除在外。如果需要，您可以新增到排除檔案清單中。

連絡人電子郵件 - 傳送任何可疑的檔案時會連同連絡人電子郵件 [選用] 一併傳送。在分析時若需要您提供進一步的資訊，便可利用這個電子郵件連絡您。請注意，除非需要更多資訊，否則您將不會收到 ESET 的任何回應。

4.11.2 統計

「ThreatSense.Net 預早警告系統」會收集與新偵測到之威脅相關的匿名電腦資訊。此資訊可包括入侵名稱、偵測日期及時間、ESET 安全產品版本、作業系統版本，以及位置設定。在一般情況下，每天會將統計資料傳遞到 ESET 伺服器一或兩次。

提交的統計套件範例如下所示：

# utc_time=2005-04-14 07:21:28

# country="Slovakia"

# language="ENGLISH"

# osver=5.1.2600 NT

# engine=5417

# components=2.50.2

# moduleid=0x4e4f4d41

# filesize=28368

# filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1463[1].exe

提交時間 - 您可以定義提交統計資訊的時間。如果您選擇盡快提交，則統計資訊在建立之後會立即傳送。此設定適用於具

有永久網際網路連線時。如果選取 [更新時] 選項，統計資訊會在下次更新時一併提交。

120

4.11.3 提交

您可以選取將檔案和統計資訊提交給 ESET 的方式。對於將以任何可用方式提交的檔案和統計資料，選取 [透過 RemoteAdministrator 或直接提交至 ESET] 選項。選取 [透過 Remote Administrator] 選項將檔案和統計資料提交給遠端管理員伺服器，如此可確保後續提交給 ESET 威脅實驗室。如果選取 [直接提交至 ESET] 選項，則會將所有可疑檔案及統計資訊直接從程式傳送至 ESET 病毒實驗室。

檔案提交擱置時，則可使用 [立即提交] 按鈕。按一下此按鈕即可立即提交檔案及統計資訊。

選取 [啟用防護記錄] 選項可建立防護記錄，以記錄檔案及統計資訊提交。

121

4.12 遠端管理

ESET Remote Administrator (ERA) 是一種管理安全原則及取得網路內整體安全概觀的強大工具。尤其適用於較大型網路。ERA 不僅可提高安全等級，而且也在用戶端工作站管理 ESET Mail Security 時易於使用。

您可從主要 ESET Mail Security 程式視窗中使用遠端管理設定選項。按一下 [設定] > [進入完整的進階設定樹狀目錄. . . ]>[其他選項] > [遠程管理]。

選取 [連接到遠端管理伺服器] 選項以啟動遠端管理。您可以存取下面說明的其他選項：

[與伺服器連線的間隔] (分鐘)：此選項可指定 ESET Mail Security 連線到 ERA Server 的頻率。如果設定為 0，則提交資訊的間隔為 5 秒。

伺服器位址：ERA Server 安裝的伺服器網路位址。

連接埠：此欄位包含預先定義用於連線的伺服器連接埠。建議您保留預設的連接埠設定 2222

Remote Adminis t rator 伺服器需要驗證:可讓您輸入密碼以連接 ERA Server (如果需要)。

按一下 [確定]，以確認變更並套用設定。ESET Mail Security 將使用這些設定連接至 ERA Server。

122

4.13 授權

[授權] 子目錄可讓您管理 ESET Mail Security 及其他 ESET 產品 (例如 ESET Mail Security 等) 的授權金鑰。購買授權金鑰之後，該授權金鑰就會與您的使用者名稱和密碼一起傳送。若要新增/移除授權金鑰，請按一下授權管理程式視窗中的相應按鈕。授權管理程式可從 [其他選項] > [授權] 下的 [進階設定] 樹狀目錄存取。

授權金鑰是包含所購買產品相關資訊的文字檔案：其擁有者、授權數量及到期日。

授權管理程式視窗可讓您上傳及檢視授權金鑰的內容，使用 [新增. . . ] 按鈕，包含的資訊會顯示在管理程式中。若要從清單刪除授權檔案，請按一下 [移除]。

如果授權金鑰已到期且您想要續訂，請按一下 [訂購. . . ] 按鈕，您會被重新導向至我們的線上商店。

123

5. 字彙

5.1 入侵類型

「入侵」是嘗試進入及/或損害使用者電腦的一種惡意軟體。

5.1.1 病毒

電腦病毒是會損毀電腦上現有檔案的入侵活動。病毒這個名稱取自生物學的病毒，因為病毒會利用類似的方式，從一部電腦

散播至另一部電腦。

電腦病毒主要會攻擊執行檔及文件。為進行複寫，病毒會將其「內容」附加在目標檔案結尾。簡而言之，電腦病毒的運作如

下：執行受感染的檔案之後，病毒會自行活化 (在原始應用程式之前)，並執行其預先定義的工作。之後才會讓原始應用程式執行。除非使用者自己 (有意或無意) 執行或開啟惡意程式，否則病毒無法感染電腦。

電腦病毒有目的與嚴重性之分。有些病毒因為能夠故意將硬碟機中的檔案刪除，而顯得極度危險。另一方面，有些病毒並不

會造成真正的損害 – 這些病毒只會困擾使用者，並展現其作者的技術。

有一點要特別注意的是，病毒 (與特洛伊木馬程式或間諜程式相較) 慢慢地愈來愈少見，因為對惡意軟體的作者而言，病毒沒有什麼商業誘因。此外，「病毒」這個詞經常被誤用來泛指所有種類的入侵活動。這種情況已逐漸減少，而改用較精確的新

詞彙「malware」(惡意軟體)。

如果您的電腦感染病毒，則必須將被感染的檔案還原為原來的狀態，也就是使用防毒程式來清除病毒。

病毒的範例如下: OneHalf、Tenga 及 Yankee Doodle。

5.1.2 蠕蟲

電腦蠕蟲是含有惡意程式碼的程式，該程式會攻擊主機電腦，並透過網路散佈。病毒與蠕蟲的基本差異在於蠕蟲有能力自行

複製及傳輸 - 蠕蟲不需仰賴主機檔案 (或開機磁區)。蠕蟲透過連絡人名單中的電子郵件地址散佈，或利用網路應用程式中的安全性弱點。

因此，蠕蟲的存活率比電腦病毒高多了。因為網際網路的普及，蠕蟲可能在發佈的數小時內，就散佈到全世界，甚至只需幾

分鐘的時間。這種獨立又快速的複製能力，使蠕蟲比其他類型的惡意軟體更加危險。

在系統中活化的蠕蟲會造成許多不便：如刪除檔案、降低系統效能，甚至會停用程式。電腦蠕蟲的本質使其能夠成為其他入

侵類型的「傳輸媒介」。

如果您的電腦感染了蠕蟲，我們建議您刪除受感染的檔案，因為其中可能包含惡意程式碼。

知名的蠕蟲範例如下: Lovsan/Blaster、Stration/Warezov、Bagle 及 Netsky。

5.1.3 特洛伊木馬程式

從歷史角度來看，電腦特洛伊木馬程式已被定義為一種入侵活動類別，它會嘗試以有用的程式呈現，矇騙使用者執行這些程

式。但請注意，對特洛伊木馬程式來說，自古以來事實就是如此，它已經不需要再偽裝自己。特洛伊木馬程式唯一的目的，

就是用最容易的方法進行入侵，並達成其惡意的目標。「特洛伊木馬程式」已經變成非常普遍的詞彙，用以描述無法歸入特

定類別的入侵。

由於這是非常廣泛的類別，所以通常會細分為許多子類別。

Downloader – 可從網際網路下載其他入侵活動的一種惡意程式

Dropper - 一種特洛伊木馬程式類型，目的是要將其他類型的惡意軟體放置在受危害的電腦上

Backdoor - 一種與遠端攻擊者通訊的應用程式，可讓攻擊者存取系統，進而控制系統

Keylogger – (按鍵側錄程式) – 此程式會記錄使用者按下的每一個按鍵，並將該資訊傳送給遠端攻擊者

Dialer - Dialer 是專門用來連線至高費率電話號碼的程式。使用者幾乎不可能查覺到有新的連線建立。Dialer 只能對使用撥接數據機的使用者造成損害，不過現在已不常使用撥接數據機

124

特洛伊木馬程式通常會使用副檔名為 .exe 的執行檔形式。如果偵測到您的電腦上有某個檔案是特洛伊木馬程式，建議您將它刪除，因為它極可能包含惡意程式碼。

知名的特洛伊木馬程式範例如下: NetBus、Trojandownloader。Small.ZL、Slapper

5.1.4 Rootkit

Rootkit 是惡意程式，可讓網際網路攻擊者任意存取系統，且神不知鬼不覺。Rootkit 在存取系統之後 (通常是利用系統弱點)，會使用作業系統中的功能來躲避防毒軟體的偵測：它會隱藏處理程序、檔案及 Windows 登錄資料等。因此，使用一般的測試技術幾乎不可能偵測得到。

有兩種層級的偵測可預防 Rootkit：

1)當其嘗試存取系統時。它們仍未存在，所以沒有作用。大部分的防毒系統都能夠在此層級消滅 Rootkit (假設系統真的偵測到這些檔案被感染)。

2)當 Rootkit 躲過一般測試時。ESET Mail Security 使用者擁有「反隱藏」技術的優勢，亦可偵測及消滅作用中的 Rookit。

5.1.5 廣告程式

廣告程式是廣告支援軟體的簡稱。舉凡可顯示廣告素材的程式均屬於這個種類的軟體。廣告程式應用程式會經常在網際網路

瀏覽器中自動開啟包含廣告的快顯視窗，或變更瀏覽器的首頁。廣告程式通常隨附於免費軟體程式，讓免費軟體程式建立者

負擔其 (通常很有用) 應用程式的開發成本。

廣告程式本身並不危險 - 使用者僅會受到廣告的騷擾。其危險性在於廣告程式可能也會執行追蹤功能 (與間諜程式相同)。

如果您決定使用免費軟體產品，請特別注意安裝程式。安裝程式很可能會在安裝額外廣告程式程式時通知您。您通常可以取

消安裝廣告程式而只安裝程式。

不安裝廣告程式便無法安裝某些程式，或者會限制程式的功能。這表示廣告程式通常以「合法」方式存取系統，因為使用者

已同意。在此情況下，為了以防萬一，若電腦上偵測到廣告程式檔案，建議您刪除該檔案，因為其中很可能包含惡意程式

碼。

5.1.6 間諜程式

此類別包括會在使用者未同意/不知情的情況下，傳送私人資訊的所有應用程式。間諜程式會利用追蹤功能來傳送各種統計資料，例如：造訪過的網站清單、使用者通訊錄中的電子郵件地址，或是記錄過的按鍵清單。

間諜程式的作者會宣稱這些技術的目的是為了深入瞭解使用者的需求和興趣，使宣傳目標更為精準。問題是有益的和惡意的

應用程式之間沒有明顯的分界，而且沒有人可以確保所擷取的資訊不會被濫用。間諜程式應用程式取得的資料可能包含安全

密碼、PIN、銀行帳號等等。免費版程式的作者通常會將間諜程式搭載於該程式，以創造收益，或是激勵您購買軟體。通常在程式安裝期間，就會讓使用者知道間諜程式的存在，以刺激其升級為沒有間諜程式的付費版本。

例如，P2P (點對點) 網路的用戶端應用程式，就是著名的搭載間諜軟體的免費軟體產品。Spyfalcon 或 Spy Sheriff (以及許多其他程式) 是屬於特定的間諜軟體子類別 - 其看似間諜程式防護程式，但事實上，其本身就是間諜程式。

如果在電腦上偵測到檔案是間諜軟體，建議您刪除該檔案，因為其中很可能包含惡意程式碼。

5.1.7 潛在不安全的應用程式

有很多合法程式的功能都可用來簡化網路電腦的系統管理作業。然而，如果落入有心人士的手中，可能就會被用來從事惡意

活動。ESET Mail Security 提供偵測這類威脅的選項。

「潛在不安全的應用程式」是用於商業、合法軟體的分類。此分類包括的程式諸如遠端存取工具、密碼破解應用程式，以及 Keylogger (會記錄使用者按下之每個按鍵的程式)。

如果您在電腦上發現有潛在危險的程式存在並執行中 (而您沒有安裝該程式)，請洽詢您的網路系統管理員，或是移除該應用程式。

123

125

5.1.8 潛在不需要應用程式

潛在不需要應用程式不一定是惡意的，但是對電腦效能可能會造成負面影響。這些應用程式通常需要經過同意才能安裝。如

果他們存在於您的電腦上，系統的行為會有所不同 (相較於安裝前的狀態)。最顯著的變更如下：

開啟您從未看過的新視窗

啟動並執行隱藏的處理程序

系統資源的用量增加

搜尋結果變更

應用程式會與遠端伺服器通訊

5.2 電子郵件

電子郵件是一種具有很多優點的現代通訊形式。電子郵件使用靈活、快速且直接，在 20 世紀早期對於網際網路的擴展扮演關鍵角色。

很遺憾，由於具有高度的匿名性，電子郵件及網際網路也為垃圾郵件之類的非法活動留下餘地。垃圾郵件包括來路不明的廣

告、惡意軟體 (即惡意程式) 的欺騙及擴散。傳送垃圾郵件幾乎無需成本的事實會增加您的不便及危險，且垃圾郵件作者擁有許多工具及來源取得新的電子郵件地址。此外，垃圾郵件的磁碟區及多樣性會讓它很難管理。您使用電子郵件地址的時間越

長，其最後變成垃圾郵件引擎資料庫的可能性就越高。預防的某些提示：

可能的話，請勿在網際網路上發佈您的電子郵件地址

僅將您的電子郵件地址提供給信任的個人

可能的話，請勿使用一般別名，因為別名越複雜，追蹤的可能性越低

請勿回覆已到達收件匣中的垃圾郵件

填寫網際網路表單時請小心，並特別注意「是，我想要接收資訊」之類的選項。

請使用「專門的」電子郵件地址，例如，一個地址用於工作，另一個地址用於與您的朋友通訊等等。

時常變更您的電子郵件地址

使用防毒解決方案

5.2.1 廣告

網際網路廣告是成長最為迅速的廣告形式之一。其主要的行銷優勢在於幾乎不需成本和高直接性；而且，訊息幾乎是立即傳

遞的。許多公司都使用電子郵件行銷工具來與目前及未來的客戶進行有效的溝通。

由於使用者可能願意接收某些產品的商業資訊，所以這類廣告是合法的。不過，許多公司會傳送來路不明的大量商業訊息。

在這種情況下，電子郵件廣告就會變成垃圾郵件。

大量來路不明的電子郵件已成為問題，因為其並無減緩的跡象。來路不明電子郵件的作者會嘗試將垃圾郵件偽裝成合法郵

件。

5.2.2 惡作劇

惡作劇是透過網際網路擴散的一種錯誤資訊。惡作劇通常會透過電子郵件或諸如 ICQ 和 Skype 等通訊工具傳送。通常訊息本身是惡作劇或「街頭傳奇」。

「電腦病毒」惡作劇會嘗試在收件者中產生恐懼、不確定及懷疑 (FUD)，讓他們相信存在「無法偵測的病毒」正在刪除檔案並擷取密碼，或者在其電腦上執行部分其他有害活動。

某些惡作劇在運作時會要求收件者將郵件轉寄給連絡人，這會使惡作劇循環不息。包括行動電話惡作劇、尋求協助、有人從

海外向您提供金錢等。通常無法判斷建立者的意圖。

若您看到一則訊息提示傳遞給您認識的每個人，則此訊息很可能是惡作劇。網際網路上有許多網站可驗證電子郵件是否合

法。轉寄之前，對您懷疑是惡作劇的訊息執行網際網路搜尋。

126

5.2.3 網路釣魚

網路釣魚這個詞彙是用來定義利用社交工程技巧 (操縱使用者以取得機密資訊) 的犯罪活動。其目的是要存取像是銀行帳號、PIN 碼等敏感資料。

攻擊者通常會假冒成值得信賴的個人或企業 (例如金融機構、保險公司) 傳送電子郵件，以進行存取。該電子郵件看起來非常逼真，而且會包含源自其模仿對象的圖片及內容。它會以各種藉口 (資料驗證、金融作業) 要求您輸入您的個人資料，即銀行帳號或使用者名稱及密碼。這類資料一經提交，就很容易被竊取及濫用。

銀行、保險公司及其他合法公司絕不會以來路不明的電子郵件，主動要求使用者名稱和密碼。

5.2.4 識別垃圾郵件詐騙

一般而言，有幾個指標可協助您識別信箱中的垃圾郵件 (來路不明的電子郵件)。如果郵件至少滿足下列某些條件，則它極可能是垃圾郵件。

寄件者地址不屬於連絡人清單中的某人

向您提供一大筆金錢，但是您必須先提供少數金額

以各種藉口 (資料驗證、金融作業) 要求您輸入某些個人資料：銀行帳戶號碼、使用者名稱及密碼等。

以外文撰寫

要求您購買不感興趣的產品。如果您仍然決定購買，請驗證郵件寄件者是可靠的廠商 (洽詢原始產品製造商)。

拼錯某些單字，以嘗試欺騙您的垃圾郵件過濾器。例如 vaigra 而不是 viagra 等

5.2.4.1 規則

在垃圾郵件防護解決方案及電子郵件用戶端的內容中，規則是用來操作電子郵件功能的工具。其分為二個邏輯部分：

1)條件 (例如，從特定地址傳入的郵件)

2)處理方法 (例如，刪除郵件、將郵件移至指定的資料夾)

規則的數量及組合會依垃圾郵件防護解決方案而有所不同。這些規則是做為對付垃圾郵件 (來路不明的電子郵件) 的措施。典型範例：

條件：傳入的電子郵件中包含通常會在垃圾郵件中一般常見的某些字眼。2. 處理方法：刪除郵件

條件：傳入的電子郵件中包含為 .exe 副檔名的附件。2. 處理方法：刪除附件，並傳送郵件至信箱

條件：傳入的電子郵件是來自您的雇主。2. 處理方法：將郵件移至 [工作] 資料夾

建議您使用垃圾郵件防護程式中的規則組合，以方便系統管理，並提升過濾垃圾郵件的效率。

5.2.4.2 貝氏過濾

貝氏垃圾郵件過濾是一種有效的電子郵件過濾形式，幾乎所有垃圾郵件防護產品均可使用。其識別來路不明電子郵件的準確

度高，並能夠以個別使用者為基礎運作。

其功能係以下列原則為基礎：第一階段為「學習」處理程序。使用者手動將足夠數量的訊息標記為合法郵件或垃圾郵件 (通常為 200/200)。過濾器會分析此兩種類別並學習，例如，垃圾郵件通常包含「rolex」或「viagra」等單字，而合法郵件是由家庭成員傳送，或從使用者連絡人名單中的地址傳送。若已處理足夠的郵件，則貝氏過濾即可將特定的「垃圾郵件索引」指派

給每封郵件，以判斷其是否為垃圾郵件。

「靈活性」是貝氏過濾的主要優點。比方說，如果使用者是生物學家，則有關生物學或相關研究領域的所有對內電子郵件通

常會收到較低的可能性索引。如果郵件中含有通常會將其限定為來路不明郵件的單字，但該郵件由使用者連絡人名單中的某

人傳送，則會其將標記為合法，因為連絡人名單中的寄件者會降低垃圾郵件的整體可能性。

127

5.2.4.3 白名單

一般而言，白名單是被接受或被授與權限的項目或人員清單。「電子郵件白名單」這個詞是定義使用者想要接受之郵件寄件

者的清單。這種白名單的依據是在電子郵件地址、網域名稱或 IP 位址中搜尋到的關鍵字。

如果白名單是以「排外模式」執行，則不會接收來自任何其他地址、網域或 IP 位址的郵件。如果白名單並非排外模式，則不會刪除這類郵件，但會以其他方式進行過濾。

白名單所依據的原則與黑名單相反。與黑名單相較，白名單相對較容易維護。建議您並用「白名單」與「黑名單」，以提

升過濾垃圾郵件的效率。

5.2.4.4 黑名單

通常，黑名單是無法接受或遭到禁止之項目或人員的清單。在虛擬世界中，該技術可讓使用者接受所有來自此清單外之使用

者的郵件。

有兩種類型的黑名單。由使用者透過垃圾郵件防護應用程式建立的黑名單，以及由特定的專門機構建立，可在網際網路上找

到的定期更新黑名單。

您必須使用黑名單才能順利封鎖垃圾郵件，但由於每天都有要封鎖的新項目出現，因此難以進行維護。建議您同時使用白名

單與黑名單，以發揮最大垃圾郵件過濾效率。

5.2.4.5 伺服器端控制

伺服器端控制是一種可利用已接收的郵件數目及使用者反應為基礎，來識別大量垃圾郵件的技術。根據郵件的內容，每封郵

件都會留下唯一的數位「蹤跡」。唯一的 ID 編號並不會透露電子郵件的內容為何。兩封完全相同的郵件將會有完全相同的蹤跡，而不同的郵件會有不同的蹤跡。

如果將郵件標記為垃圾郵件，則其蹤跡會傳送至伺服器。如果伺服器接收到更多相同的蹤跡 (對應於某個垃圾郵件)，該蹤跡會儲存在垃圾郵件蹤跡資料庫中。掃描傳入的郵件時，程式會將郵件的蹤跡傳送至伺服器。對於經使用者標記為垃圾郵件的郵

件，伺服器會傳回與其對應的蹤跡相關的資訊。

127

127