ESET MAIL SECURITYFÜR MICROSOFT EXCHANGE SERVER

Best Practices für ESET Mail Security für Exchange

Microsoft® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2

ESET MAIL SECURITYCopyright ©2015 von ESET, spol. s r. o.ESET Mail Security wurde entwickelt von ESET, spol. s r. o.Nähere Informationen finden Sie unter www.eset.de.Alle Rechte vorbehalten. Kein Teil dieser Dokumentation darf ohne schriftliche Einwilligung desVerfassers reproduziert, in einem Abrufsystem gespeichert oder in irgendeiner Form oder aufirgendeine Weise weitergegeben werden, sei es elektronisch, mechanisch, durch Fotokopien,Aufnehmen, Scannen oder auf andere Art.ESET, spol. s r. o. behält sich das Recht vor, ohne vorherige Ankündigung an jedem der hierbeschriebenen Software-Produkte Änderungen vorzunehmen.

Weltweiter Support: www.eset.de/support

Versionsstand 3/4/2015

Inhalt

.......................................................4Einleitung1.

.......................................................5Installationsvorbereitung2.

.......................................................6Grundkonfiguration3.

.......................................................7Erweiterte Konfiguration (optional):4.

....................................................................................................7Umgang mit Spam-E-Mails4.1

....................................................................................................9Spam-Schutz-Feineinstellungen4.2

.......................................................11Weitere Informationen5.

....................................................................................................11Arbeitsweise des Virenscanner-Moduls für Exchange5.1

....................................................................................................11Analyse des Spam-Logs5.2

....................................................................................................12Einrichtung von EMSX auf einem Terminalserver5.3

....................................................................................................12Regeln (spezielle Filterfunktionen)5.4

....................................................................................................13FAQ5.5

....................................................................................................13Troubleshooting5.6

..............................................................................13Diagnose aller eingehenden E-Mails des ESETTransport-Agents

5.6.1

..............................................................................14EMSX prüft eingehende E-Mails nicht auf Spam5.6.2

..............................................................................15Deinstallation / Upgrade auf neue Programmversionschlägt fehl

5.6.3

..............................................................................15Deregistrierung der ESET Transport-Agent schlägtwährend Deinstallation / Upgrade fehl

5.6.4

..............................................................................15Mails werden geblockt obwohl in EMSX keinentsprechender Logeintrag vorhanden ist

5.6.5

..............................................................................16E-Mails werden laut AntiSpam-Log wegen DNSBLgeblockt

5.6.6

..............................................................................16EMSX erhält keine Spam-Signaturen / Spamerkennungnimmt nach einiger Zeit ab

5.6.7

..............................................................................16Vorgenommene Änderungen im Transport-AgentModul werden nicht angewendet

5.6.8

..............................................................................17Anzahl der Postfächer ist überschritten oderabgelaufen

5.6.9

4

1. EinleitungDieses Dokument beschreibt die Installation und erklärt die grundlegenden Konfigurationen sowie Tipps und Tricks fürESET Mail Security für Exchange Server. Es richtet sich in erste Linie an Benutzer, die bisher noch keine oder wenigErfahrungen mit ESET Mail Security für Exchange Server gesammelt haben.

Die folgenden Bezeichnungen werden in diesem Dokument verwendet:

EMSX ESET Mail Security for Exchange

SCL Spam Score Level (siehe Kapitel Spam-Schutz-Feineinstellungen )

ERA ESET Remote Administrator

9

5

2. InstallationsvorbereitungEMSX ist ein vollständiges Antivirenprogramm mit Echtzeitdateischutz und E-Mail-Prüfung. Eine separate Installationvon ESET File Security oder eines weiteren Antivirenprogramms ist nicht erforderlich. EMSX unterstützt MicrosoftExchange Server ab Version 5.5.

Das Installationspaket für EMSX finden hier:

http://www.eset.com/de/download/business/detail/family/50/?installer=offline

Wenn Sie die Installationsdatei heruntergeladen haben, führen Sie diese aus und befolgen die Anweisungen desInstallationsassistenten. Dieser führt Sie durch die Installation.

6

3. GrundkonfigurationNachdem Sie EMSX erfolgreich installiert haben, starten Sie die Software, indem Sie auf das ESET-Symbol in derTaskleiste klicken. ESET empfiehlt grundsätzlich die in diesem Abschnitt folgenden Einstellungen. Öffnen Sie zunächstdie erweiterten Einstellungen (Taste F5).

Wählen Sie Server-Schutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent: Aktion für Spam-E-Mails und im Dropdownmenu Nachricht behalten. Diese Einstellung bewirkt, dass E-Mails, die als Spam erkanntwerden, im Spam-Ordner des Nutzers abgelegt werden. Nehmen Sie diese Einstellung nicht vor, werden Spam-E-Mailsdirekt in das Quarantäne-Postfach umgeleitet. Der Nutzer hat so keine Möglichkeit, zu prüfen, ob es sich tatsächlich umSpam handelt.

Belassen Sie unter Update den Update Server auf Automatisch auswählen und tragen die EAV-Nummer und dasPasswort der Exchange Lizenz ein. Updates für ESMX sollten nicht über einen Update-Mirror geladen werden, da diesekeine Aktualisierungen für die Spam-Erkennungsengine beinhalten.

Unter Allgemein > Lizenzen fügen Sie bitte ausschließlich die MailSecurity.lic Lizenzdatei ein. Im Normalfall muss dieLizenzdatei nur erneuert werden, wenn die Lizenz verlängert oder vergrößert wird. Ohne die Lizenzdatei sind IhrePostfächer nicht geschützt.

Hinweis: Andere ERA-Lizenzdateien (ERA-MailSecurity.lic, ERA-Endpoint.lic), sind ausschließlich für den ESET RemoteAdministrator bestimmt.

Unter Allgemein > Remote Administration geben Sie bei Serveradresse die IP oder den Hostnamen des ERA-Serversan. So können Sie EMSX genau wie die anderen ESET-Produkte in Ihrem Netzwerk zentral vom ERA aus bedienen undverwalten. Wurde ESMX via Push-Installation installiert, ist dieser Wert bereits gesetzt.

Tipp: Um das Zeitintervall bei der Verbindung mit dem Server zu verkürzen, tragen Sie bei Intervall fürVerbindungsaufnahme zum Server (min.) 2 oder 1 ein.

7

4. Erweiterte Konfiguration (optional):

4.1 Umgang mit Spam-E-Mails

Nach Abschluss der Standardinstallation ist die Konfiguration des Spam-Filters üblicherweise der letzte notwendigeSchritt. Öffnen Sie hierzu die erweiterten Einstellungen (Taste F5) und wählen Sie Server-Schutz > Spam Schutz >Microsoft Exchange Server > Transport-Agent. Dort gibt es drei Optionen

- Nachricht behalten (empfohlen)

Bei Wahl dieser Option werden Spam-E-Mails zugestellt, und werden im Normalfall in den Outlook-Ordner Junk-E-Maileinsortiert. Der Nutzer kann so manuell prüfen, ob es sich tatsächlich um Spam handelt. (Die Option Spam-Score in denHeader geprüfter Nachrichten schreiben sollte aktiv bleiben.)

- Nachricht in Quarantäne verschieben

Mit dieser Option werden als Spam klassifizierte E-Mails in ein Quarantäne-Postfach oder einen Quarantäne-Ordnerverschoben. Der Administrator hat dann die Aufgabe, die Spam-E-Mails zentral zu verwalten.

Gehen Sie anschließend in die erweiterten Einstellungen (Taste F5) und tragen Sie unter Server-Schutz >Quarantäne für Nachrichten die E-Mail-Adresse von dem Postfach oder mailaktivierten öffentlichen Ordner ein, anwelches die eingehenden Spam-E-Mails weitergeleitet werden sollen.

Achtung: Wenn Sie hier keine E-Mail-Adresse eintragen, werden E-Mails unwiderruflich gelöscht. Nur der Absenderwird über die Unzustellbarkeit informiert. Möchten Sie alternativ die Exchange-Quarantäne verwenden, können Sie inder Exchange-Verwaltungsshell mit

Set-ContentFilterConfig -QuarantineMailbox name@domain.com

die Quarantäne in Exchange aktivieren und „Nachricht in Quarantäne des E-Mail-Servers verschieben“ auswählen.

8

- Nachricht löschen. (nicht empfohlen)

Wenn Sie diese Option wählen, werden als Spam-E-Mail klassifizierte E-Mails sofort gelöscht und weder demEmpfänger noch einem Administrator zur Prüfung vorgelegt. Trotz der sehr guten Quote, mit der Spam-E-Mailserkannt werden (99,9%), kann es zu Fehlerkennungen kommen. Aus diesem Grund wird davon abgeraten, dieseOption zu wählen.

Die Option Greylisting trägt dazu bei, ein hohes Spam-Aufkommen weiter zu reduzieren. Durch Greylisting werden alleeingehenden E-Mails zunächst abgelehnt. Der Provider wird mittels SMTP-Reject “451 4.7.1 Please try again later“ dazuaufgefordert, die E-Mail später noch einmal zuzustellen.

Vorteil Die meisten Spam-Versender unternehmen keinen zweiten Zustellversuch. Die Spam-E-Mails kommen so gar nicht erst bei dem Empfänger an.

Nachteil Falsch konfigurierte Mail-Server beim Provider/ Mail-Relays und lokale POP-Konnektoren könnten den Wert „451 4.7.1“ falsch auswerten und die E-Mail verwerfen.

Mit Hilfe von drei Schwellenwerten lässt sich das Verhalten genau anpassen.

- Der erste Wert (Zeitlimit für Abweisen des ersten Zustellversuchs (Min.) Standardwert 10) gibt an, ab wann (inMinuten) ein nächster Zustellversuch zugelassen wird. Dieser Wert ist auch die Mindestverzögerung, mit der E-Mailsbeim Empfänger eintreffen.

- Der zweite Wert (Ablauf nicht verifizierter Verbindungen nach (Stunden) Standardwert 6) gibt an, wie lange (inStunden) ein absendender Server Zeit hat, einen nächsten Zustellversuch zu unternehmen.

- Der dritte Wert (Ablauf verifizierter Verbindungen nach (Tagen) Standardwert 36) gibt an, wie viele Tage einverifizierter Server in der Liste der verifizierter Server verbleibt, ohne eine erneute E-Mail zu senden. Nach Ablaufdieser Zeit, muss der absendende Server die Greylisting-Prüfung erneut durchlaufen.

9

4.2 Spam-Schutz-Feineinstellungen

In diesem Abschnitt stellen wir einige speziellere Einstellungsmöglichkeiten des Spam-Schutzes vor. In den erweitertenEinstellungen (Taste F5) gehen Sie zu Server-Schutz > Spam-Schutz > Spam-Schutz-Engine > Einstellungen

Die Abbildung zeigt auf der linken Seite die gesetzten Werte im Konfigurationseditor des ERA. Auf der rechten Seitesehen Sie die Werte direkt in den erweiterten Einstellungen von ESMX. Im Folgenden werden einige Einstellungen imDetail erklärt:

1. Whitelist

Filterung > Zugelassene Absender: Hier können Mailadressen und Domains (z.B. „eset.de“) angegebenwerden, Platzhalter wie „*“ sind nicht erlaubt. Mehrere Adressen können nacheinander (durch Kommasgetrennt) eingetragen werden.

2. BlacklistFilterung > Gesperrte Absender: Hier können E-Mailadressen und Domains (z.B. „eset.de“) angegeben werden,Platzhalter wie „*“ sind nicht erlaubt. Mehrere Adressen können nacheinander (durch Kommas getrennt)eingetragen werden.

3. Whitelist für IP-AdressenFilterung > Zugelassene IP-Adressen: Tragen Sie hier Ihre Druck- und Faxserver ein, wenn diese Geräte auch E-Mails versenden. Diese E-Mails erhalten dann einen sehr kleinen SCL.Tipp: Möchten Sie bestimmte Mailserver vom Greylisting ausgrenzen, können Sie deren IP-Adresse hiereintragen (nur IP Adresse ist möglich).

4. Ignorierte IP-AdressenFilterung > Ignorierte IP-Adressen: E-Mails von diesen IP-Adressen werden nicht geprüft und erhalten somitauch keinen SCL. Dies kann sinnvoll sein, um Ressourcen zu sparen.

5. Blacklist für IP-AdressenFilterung > Gesperrte IP-Adressen: E-Mails von diesen Adressen erhalten einen sehr hohen SCL. Tragen Sie hierAdressen ein, von denen Spam verschickt wird oder die Sie als fingierte Absenderadressen einstufen.

6. Whitelist für Domains/IPs im BodyFilterung > Zugelassene Domäne: Wenn diese Domains/IP-Adressen im Textkörper einer E-Mail vorkommen,erhalten diese E-Mails einen geringen SCL.

10

Beispiel: Sie versenden Angebote (inkl. Ihrer Domain in der Signatur) an verschiedene Kunden und wollensicherstellen, dass deren Antworten nicht geblockt werden.

7. Blacklist für Domains/IPs im BodyFilterung > Gesperrte Domänen: Wenn diese Domains/IP-Adressen im Textkörper einer E-Mail vorkommen,erhalten diese E-Mails einen hohen SCL.

Beispiel: Sie bekommen Spam-E-Mails von verschiedenen Adressen, die aber immer im Text auf die gleicheWebseite verweisen.

8. DNSBLBei DNSBL handelt es sich um die DN S-based Blackhole List. Die in einer E-Mail enthaltenen Domains werden mitder Blackhole List abgeglichen und bei einem Treffer mit dem angegebenen SCL 99 (Standardwert) versehen.Der Wert Maximale Anzahl der über DNSBL verifizierten IP-Adressen (Standardwert 4) ist der Grenzwert, abdem keine weiteren verlinkten Domains geprüft werden.

9. ScoreJede E-Mail erhält durch den Spamfilter von EMSX einen SCL (Spam Score Level) zwischen 0 und 99 (im Headerals X-ESET-AS: SCORE=64 SCL gekennzeichnet). Als Spam klassifizierte E-Mails können in den Junk-Mail Ordnerdes Nutzers, in ein Quarantäne-Postfach verschoben oder gelöscht werden. Folgende Standardwerte sindunter Nachrichten-Kategorisierung in EMSX gesetzt:

o Spam-Grenzwert: 90 E-Mails die diesen (oder einen höheren) Wert erhalten, werden als Spam klassifiziertund im Spam-Log rot angezeigt. E-Mails mit einem SCL unter 90 werden von EMSX als gutartig eingestuft.Je niedriger Sie diesen Wert ansetzen, desto mehr E-Mails werden als Spam eingestuft.

o Grenzwert für Zweifelsfälle: 50 E-Mails, die einen Wert zwischen 50 und 90 erhalten, sind wahrscheinlichSpam. Diese Einstufung hat keinen Einfluss auf die Behandlung solcher E-Mails.

o Grenzwert für legitime Nachrichten: 10 E-Mails, die einen Wert zwischen 10 und 50 erhalten, sindwahrscheinlich kein Spam. Diese E-Mails werden nicht im Spam-Log angezeigt. E-Mails deren Wert kleinerals 10 ist, werden als unbedenklich eingestuft.

10.RegionaleinstellungenHier können Sie festlegen, welche Sprachen in Ihrem E-Mail-Verkehr üblicherweise nicht verwendet werden.Wenn Sie z.B. viele Spam-E-Mails mit chinesischem Zeichensatz erhalten, aber keine Firmenkontakte in Chinahaben, können sie den chinesischen Zeichensatz oder dieses Land blockieren.

11.Methoden (Templates)Hier können Sie leicht angepasste Werte für EMSX aus vorbereiteten Templates auswählen, wie z.B. dieOptimierung bei zu hoher CPU-Auslastung.

Tipp: Bevor Sie die beschriebenen Werte ändern, schauen Sie immer zunächst unter Tools à Log-Dateien à Spam-Schutz nach, wie bestimmte E-Mails bewertet wurden und aus welchen Grund dies geschah. Befindet sich eine E-Mailfälschlicherweise in Outlook im Junk-E-Mail Ordner, hat im Log aber einen schwarzen Eintrag (SCL < 90), so liegt dieUrsache vermutlich nicht an EMSX sondern am eingebauten Spam-Filter von Exchange.

Achtung: Denken Sie immer daran, nach Änderungen in den erweiterten Einstellungen (Taste F5) unter Server-Schutz > Spam-Schutz > Spam-Schutz-Engine auf Einstellungen für Spam-Schutz neu laden zu klicken, damit diegeänderten Einstellungen auch umgehend angewendet werden.

Achtung: Positiv-, Negativ- und Ausnahmelisten, die im Hauptfenster von EMSX unter Einstellungen > Spam-Schutzoder in einer ESET Endpoint Security gepflegt werden, haben keinen Einfluss auf die EMSX Exchange Spam Filterung.

11

5. Weitere Informationen

5.1 Arbeitsweise des Virenscanner-Moduls für Exchange

EMSX prüft eingehende E-Mails, die per SMTP über den Transport-Agent zugestellt werden, auf Viren und Spam. Überdie VSAPI (Virus Scanning Application Programming Interface) kann EMSX auch direkt in der Datenbank auf Viren(jedoch nicht auf Spam) prüfen. Damit ist es auch möglich, nachträglich Viren in E-Mails zu identifizieren, die zumZeitpunkt des Empfangs noch nicht erkannt wurden.

Achtung: Ab Exchange 2013 gibt es keine VSAPI mehr von Microsoft. Es können daher nur eingehende E-Mails durchden Transport-Agent geprüft werden.

Achtung: Sollten Sie POP3-Konnektoren oder andere Plug-Ins verwenden, welche die E-Mails am Transport-Agentvorbei direkt in den Exchange Store leiten, kann EMSX diese E-Mails nicht auf Spam prüfen.

5.2 Analyse des Spam-Logs

Im Spam-Log von ESMX (Standardeinstellung) wird jede E-Mail gelistet, die einen SCL von mindestens 50 erhalten hat.Das Log können Sie im Hauptfenster unter Tools > Log-Dateien > Spam-Schutz (Dropdownbox) einsehen. Als Spamklassifizierte E-Mails werden rot dargestellt. Zu jeder E-Mail können Sie sich per Doppelklick Details anzeigen lassen. DieBestimmung des SCL basiert auf mehreren Bewertungsverfahren, welche sich ebenfalls per Doppelklick anzeigenlassen. Hier haben u.a. der Grad der Verschleierung (z.B. fingierte Absender) und der DNSBL (Absender ist auf einerBlackhole List) Einfluss. (Wenn Sie den DNSBL-Wert z.B. von 4 auf 8 setzen, steigt die Wahrscheinlichkeit, dass eineweitere E-Mail dieser Art als Spam klassifiziert wird, da nun mehr Domains in der E-Mail in die Überprüfung einbezogenwerden.)

Es gibt keine generelle Vorgehensweise bei der Spam-Behandlung. Diese ist abhängig von der jeweiligen Domain unddem eingehenden Spam-Aufkommen.

12

Beispiel: Der folgende Auszug eines E-Mail-Headers zeigt die von ESMX vorgenommene Bewertung einer typischen E-Mail:

X-ESETResult: clean, is OK Es wurde kein Virus gefunden.

X-ESETId: 564648239644FFAD050011 Die E-Mail wurde von EMSX analysiert.

X-ESET-AS: SCORE=64 Die E-Mail hat den SCL 64 erhalten.

5.3 Einrichtung von EMSX auf einem Terminalserver

In der Standardeinstellung werden HTTP- und POP3-Streams von EMSX nicht geprüft. Da aber auf einemTerminalserver meistens die HTTP-Prüfung erwünscht ist, aktivieren Sie diese wie folgt: Öffnen Sie die erweitertenEinstellungen (Taste F5), wählen Sie Computer-Schutz > Viren- und Spyware-Schutz > Prüfen vonAnwendungsprotokollen und aktivieren Sie dort die Punkte Prüfen von anwendungsspezifischen Protokollenaktivieren und Prüfen von anwendungsspezifischen Protokollen automatisch starten.

Hinweis für 2008 Server: Bitte installieren Sie unbedingt den Microsoft Hotfix „KB 2664888“, um einen Fehler in der„Windows Filtering Platform“ zu beheben, auf die wir aufsetzen.

Grundsätzlich empfehlen wir, die Antispamfunktion des E-Mail-Client-Schutzes, welche über das Outlook-Addinbereitgestellt wird, zu deaktivieren.

Wenn Sie auf dem Windows Server mit EMSX die Microsoft Terminalserver Funktion aktiviert haben und dort imOutlook POP3 Postfächer betreiben, sollten Sie die POP3-Prüfung aktiv lassen. In allen anderen Fällen empfehlen wir,die POP3-Prüfung zu deaktivieren, um eine unnötige Prüfung zu vermeiden.

Öffnen Sie dazu die erweiterten Einstellungen (Taste F5) und wählen Sie Computer-Schutz > Viren- und Spyware-Schutz > E-Mail-Client-Schutz > E-Mail-Clients. Deaktivieren Sie dort die folgenden Punkte:

- Eingehende E-Mails- Ausgehende E-Mails- E-Mails, die zum Lesen geöffnet werden

Die sekundäre Spam-Prüfung durch das Outlook-AddIn sollte ebenfalls ausgeschaltet werden. Wählen Sie hierzu inden erweiterten Eigenschaften (Taste F5) den Punkt Computer-Schutz > Spam-Schutz und deaktivieren Sie Spam-Schutz aktivieren. Außerdem deaktivieren Sie unter Computer-Schutz > Spam-Schutz > E-Mail-Client-Schutz diefolgenden Punkte:

- Viren- und Spyware-Schutz für E-Mail-Schutz aktivieren- E-Mail-Spam-Schutz automatisch starten.

5.4 Regeln (spezielle Filterfunktionen)

Wenn Sie E-Mails nach bestimmten Kriterien filtern möchten und Black- bzw. Whitelisting nicht ausreichen, können Sieweitere Regeln verwenden. Diese Regeln ermöglichen die Auswahl spezieller Kriterien und lassen sich in den erweiterten Einstellungen (Taste F5) unter Server-Schutz > Microsoft Exchange-Server > Regeln erstellen.

Beispiel: Ein Fax-to-Mail-Verteiler versendet E-Mails mit Betreff „[Fax]“, die nie als Spam erkannt werden sollen. Umdiese Anforderung umzusetzen, gehen Sie wie folgt vor:

Sie erstellen eine Regel, indem Sie auf Hinzufügen klicken, dann Nach Betreff auswählen und anschließend auf Weiterklicken. Geben Sie zunächst den Absender der E-Mails an (Absenderadresse des Faxes) und klicken Sie wieder auf Weiter. Geben Sie im nächsten Schritt die Bedingung ein, mit welcher der Betreff geprüft werden soll (hier: „[Fax]“) undklicken Sie wiederum auf Weiter. Im nächsten Schritt wählen Sie Keine Aktion, aktivieren aber Mit Viren- undSpyware-Schutz prüfen. Somit wird eine Fax-to-Mail Nachricht nicht als Spam klassifiziert, aber trotzdem auf Virengeprüft.

13

5.5 FAQ

Ist der E-Mail-Client-Schutz für Viren- und Spam-Schutz erforderlich?

Die Optionen E-Mail-Client-Schutz unter Einstellungen sind nur notwendig, wenn Sie im Exchange z.B. einenTerminalserver aufgesetzt haben, da nur in diesem Fall Outlook lokal verwendet wird (siehe dazu Kapitel Einrichtungvon EMSX auf einem Terminalserver ).

Die Optionen im Hauptfenster von EMSX unter Einstellungen > Spam-Schutz > E-Mail-Schutz betreffen nur dasOutlook-AddIn auf dem Server und haben keinen Einfluss auf die Exchange-Filter.

Lassen sich E-Mail-Adressen vom Endpoint aus der globalen White- bzw. Blacklist hinzufügen?

Nein, Sie können E-Mail-Adressen nur direkt in EMSX (oder per Policy mit Hilfe des ERA) in die global gültigen Listeneintragen. Einstellungen, die für das gesamte Netzwerk gelten sollen, können nur zentral vom Administratorvorgenommen werden.

Werden ausgehende E-Mails ebenfalls geprüft?

Nein, ausgehenden E-Mails werden nicht geprüft, da der Transport-Agent nur den eingehenden SMTP-Traffic prüfenkann.

Was ist der Unterschied zwischen gesperrten Absender-Adressen und gesperrten Domänen?

Unter Zugelassene Absender und Gesperrte Absender können Sie sowohl Absender-Adressen als auch Domains inForm einer White- bzw. Blacklist pflegen. E-Mails von diesen Absendern werden dann entsprechend klassifiziert.

Zugelassene Domänen und Gesperrte Domänen hingegen filtern nach einer Domain die im Nachrichtentext auftritt.Versenden Sie z.B. ein größeres Mailing und erwarten, dass Nutzer auf diese E-Mails antworten, tragen Sie IhreDomain, die in der Signatur auftaucht mit ein. Die Antwortmail wird so nicht als Spam erkannt.

Die Konfiguration hierfür nehmen Sie in den erweiterten Einstellungen (Taste F5) unter Server-Schutz > Spam-Schutz > Spam-Schutz-Engine > Einstellungen > Filterung vor.

5.6 Troubleshooting

5.6.1 Diagnose aller eingehenden E-Mails des ESET Transport-Agents

Falls Sie unsicher sind, inwiefern EMSX Einfluss auf Ihren E-Mail-Empfang hat oder Sie den Eindruck haben, dass diePrüfung oder Klassifizierung fehlerhaft ist, können Sie wie folgt eine erweiterte Analyse vornehmen:

Zunächst ist es sinnvoll, sämtliche E-Mails zu protokollieren, indem Sie den SCL, ab dem eine Mail in das Logaufgenommen wird, von 50 auf 1 setzen. Öffnen Sie dazu die erweiterten Einstellungen (Taste F5), wählen Sie Server-Schutz > Spam-Schutz > Spam-Schutz-Engine und klicken sie dort auf Einstellungen. Setzen Sie anschließend denPunkt Score > Score-Wert ab dem eine Nachricht als "wahrscheinlich SPAM" oder „wahrscheinlich sauber“eingestuft wird auf 1. (Standardmäßig werden im Spam-Log (Tools > Log-Dateien à Spam-Schutz) nur E-Mailsprotokolliert, die einen SCL von 50 oder höher besitzen.) Anschließend werden im Spam-Log alle eingegangen E-Mailsangezeigt und Sie können eine genaue Analyse vornehmen (siehe dazu auch Kapitel Analyse des Spam-Logs ).

Um zu kontrollieren, ob EMSX E-Mails auf Spam und Viren prüft, können Sie in der Exchange PowerShell mit Get-TransportAgent sicherstellen, dass die beiden Einträge ESET Filteragent und ESET Filteragent für Virenschutz anerster Stelle mit Enabled True eingetragen sind.

12

11

14

5.6.2 EMSX prüft eingehende E-Mails nicht auf Spam

Sie können die Funktionalität des Spam-Filters von ESMX wie folgt überprüfen:

- Suchen Sie im E-Mail-Header nach der Zeichenfolge „X-ESET-AS: SCORE=??” (?? Steht hier für den SCL zwischen 0-99).

- Im Hauptfenster von EMSX finden Sie unter Schutzstatus > Statistiken > Dropdown: E-Mail-Server Spam-Schutzeine Statistik zu allen geprüften E-Mails.

Einige POP3-Connectoren sind nicht zu EMSX kompatibel. Sollten Sie also E-Mails nur via POP3-Connector abrufen,kann nicht sichergestellt werden, dass die E-Mails auch durch den Transport-Agent geprüft werden, da ein POP3-Connector den Transport-Agent umgehen kann und die E-Mails direkt in die Exchange-Datenbank ablegt. (In diesemFall wird von ESET kein Support angeboten.)

Sind Sie auf einen POP3-Connector angewiesen, können Sie mit folgenden Konfigurationsschritten versuchen, dieFunktionalität wiederherzustellen (ESET empfiehlt jedoch immer, die Mailzustellung per MX-Record ausführen zulassen):

1. Öffnen Sie die erweiterten Einstellungen (Taste F5) und entfernen Sie den Haken bei Server-Schutz > Spam-Schutz > Microsoft Exchange Server > Transport-Agent > Spam-Schutz mit Exchange Server-Positivlistenautomatisch umgehen. Setzen Sie außerdem den Haken bei Server-Schutz > Spam-Schutz > Microsoft ExchangeServer > Transport-Agent > Markieren der SMTP-Sitzung zur Umgehung des Spam-Schutzes zulassen.

2. In einer exportierten Exchange Konfigurations-XML-Datei (Hauptfenster > Einstellungen > Einstellungenimportieren/exportieren) gehen Sie zu der Zeichenkette

NODE NAME="AgentASScanSecureZone" VALUE="1" TYPE="DWORD" />

und setzen den Wert von 0 auf 1. Importieren Sie die Konfiguration (XML-Datei) anschließend wieder.

Alternativ fügen Sie folgende Zeilen in eine neue XML-Datei ein, um diese Konfiguration dann per ERA oder direkt inEMSX zu importieren.

<?xml version="1.0" encoding="utf-8"?>

<ESET>

<SECTION ID="1000404">

<SETTINGS>

<PLUGINS>

<PLUGIN ID="1004101">

<PROFILES>

<NODE NAME="@My profile" TYPE="SUBNODE">

<NODE NAME="AgentASScanSecureZone" VALUE="1" TYPE="DWORD" />

</NODE>

</PROFILES>

</PLUGIN>

</PLUGINS>

</SETTINGS>

</SECTION>

</ESET>

Dies hat zur Folge, dass auch Absender aus vertrauenswürdigen Zonen geprüft werden.

15

5.6.3 Deinstallation / Upgrade auf neue Programmversion schlägt fehl

Sollten ein Upgrade oder die Standarddeinstallation per Startmenü fehlschlagen, können Sie aus der Knowledgebasevon ESET den manuellen Uninstaller herunterladen:

http://kb.eset.de/esetkb/index?page=content&id=SOLN2289

Wir empfehlen, den Exchange-Server im abgesicherten Modus zu starten und dann den Uninstaller auszuführen.

Sollte dies nicht möglich sein, entfernen Sie den Selbstschutz von ESMX unter Server-Schutz > Viren- und Spyware-Schutz in den erweiterten Einstellungen (Taste F5). Nach Neustart des Servers führen Sie den ESET-Uninstaller in derEingabeaufforderung (cmd) mit Administratorrechten mit dem Parameter /nosafemode aus. Lässt sich derSelbstschutz nicht deaktivieren, ist ein Start im abgesicherten/DSRM Modus notwendig. Um sicher zu gehen, dass alleproblematischen Dateien entfernt wurden, führen Sie den Uninstaller so oft erneut aus, bis die Meldung "N o supportedAV Products installed!" erscheint.

5.6.4 Deregistrierung der ESET Transport-Agent schlägt während Deinstallation / Upgrade fehl

Wenn Exchange die Deregistrierung der Transport-Agent von ESET nicht ausgeführt hat und der „Microsoft ExchangeTransport“ Dienst sich nicht starten lässt, müssen diese manuell entfernt werden. Lesen Sie hierzu folgenden Eintrag inunserer KB: http://kb.eset.de/esetkb/index?page=content&id=SOLN3026

Geben Sie in der Exchange Shell folgende Kommandos ein:

- Uninstall-TransportAgent "ESET Filteragent"

- Uninstall-TransportAgent "ESET Filteragent für Virenschutz"

Bestätigen Sie anschließend die Kontrollabfrage.

Alternativ öffnen Sie folgende Datei:

„C:\Program Files\Microsoft\Exchange Server\% Versionsnummer des Exchange% \TransportRoles\Shared\agents.config“

Entfernen Sie in dieser Datei die Zeilen die mit '<agent name="ESET Filteragent"' beginnen:

<agent name="ESET Filteragent" baseType="Microsoft.Exchange.Data.Transport.Smtp.SmtpReceiveAgent"

classFactory="XmonAgent.XmonSmtpAgentFactory" assemblyPath="C:\Program Files\ESET\ESET Mail Security

\XmonAgent.dll" enabled="true" />

<agent name="ESET Filteragent für Virenschutz"

baseType="Microsoft.Exchange.Data.Transport.Routing.RoutingAgent"

classFactory="XmonAgent.XmonAgentFactory" assemblyPath="C:\Program Files\ESET\ESET Mail Security

\XmonAgent.dll" enabled="true" />

5.6.5 Mails werden geblockt obwohl in EMSX kein entsprechender Logeintrag vorhanden ist

Sofern der SCL für wahrscheinlich Spam testweise auf 1 gesetzt wurde (siehe Kapitel Diagnose aller eingehenden E-Mailsdes ESET Transport-Agents ) und trotzdem E-Mails geblockt/gelöscht werden und keine Einträge im Log (in EMSXunter Tools > Log-Dateien) erscheinen, liegt dies vermutlich an der globalen integrierten Prüfung von Exchange.

Exchange kann E-Mails in der Organisation ab einem SCL von 5 (abhängig von der Exchange-Version) als Spambewerten. Um diesen Wert auf das Maximum (9) zu erhöhen und Fehlbewertungen zu reduzieren, geben Sie in derExchange-Verwaltungsshell folgenden Befehl ein:

- Set-OrganizationConfig -SCLJunkThreshold 9

Um den bestehenden SCL zu überprüfen, geben Sie folgenden Befehl ein:

- Get-OrganizationConfig | Format-List SCLJunkThreshold

(Siehe auch: http://technet.microsoft.com/de-de/library/bb123559.aspx)

Deaktivieren Sie die Inhaltsfilterung des Servers durch folgende Eingabe in der Exchange- Verwaltungsshell:

- Set-ContentFilterConfig -Enabled $false

13

16

Eine Überprüfung des aktuellen Status können Sie mit folgendem Befehl vornehmen:

- Get-ContentFilterConfig | Format-List Enabled

Um Fehlerkennungen seitens Exchange auszuschließen, können sie alle integrierten Spam-Filter von Exchangedeaktivieren. Normalerweise sind die Spam-Filter in der Exchange-Verwaltungskonsole unterOrganistionskonfiguration > Hub-Transport > Antispam zu finden.

5.6.6 E-Mails werden laut AntiSpam-Log wegen DNSBL geblockt

ESET verwendet zur Spam-Analyse u.a. Dienstleistungen von Mailshell. Sie können unter http://www50.mailshell.com/live_feed/livefeed_lookup.php überprüfen, ob die betroffene Domain von Mailshell geblockt wird und ggf. dieFehlerkennung auf dieser Seite melden.

Tipp: Um zu überprüfen, ob eine Domain oder IP-Adresse auf einem DNSBL-Server gelistet ist, besuchen Sie z.B. diefolgende Website: http://multirbl.valli.org/lookup/

5.6.7 EMSX erhält keine Spam-Signaturen / Spamerkennung nimmt nach einiger Zeit ab

Stellen Sie sicher, dass im Hauptfenster von EMSX im Bereich Update die EAV-Nummer und das Passwort zu IhrerEMSX-Lizenz eingetragen sind und der Update-Server auf Automatisch gestellt ist. Mit der EAV-Nummer aus einerEndpoint Lizenz oder mit Updates von einem ERA-Mirror werden nur Virensignaturen, jedoch keine Spam-Signaturenbereitgestellt.

Parallel zu den Virensignaturen erhält EMSX auch die neuesten Spam-Schutz-Regeln. Sie müssen also ESMX nichtweiter pflegen, durch Mailshell erhalten Sie immer die neuesten Spam-Informationen automatisch.

5.6.8 Vorgenommene Änderungen im Transport-Agent Modul werden nicht angewendet

Vorgenommene Änderungen müssen immer übernommen werden. Öffnen Sie dazu die erweiterten Einstellungen(Taste F5) unter klicken Sie unter Server-Schutz > Spam-Schutz > Spam-Schutz-Engine auf Einstellungen fürSpam-Schutz neu laden.

17

5.6.9 Anzahl der Postfächer ist überschritten oder abgelaufen

In unserer Knowledgebase unter http://kb.eset.de/esetkb/index?page=content&id=SOLN2425 können Sie einenCounter herunterladen, der Ihnen die Anzahl der Postfächer und damit die benötigte Lizenzgröße Ihrer EMSXberechnet und anzeigt. Es ist nicht möglich, einzelne Postfächer auszugrenzen. Sollte die Lizenz längere Zeit abgelaufenoder überschritten sein und Sie haben die Verlängerung über die Lizenzdatei „MailSecurity.lic“ installiert, müssen Sie denTransport-Agent wieder in den erweiterten Einstellungen der EMSX aktivieren. Bei einer Verlängerung wird imNormalfall nur die Datei „MailSecurity.lic“ erneuert und die EAV-Nummer und das Passwort bleiben unverändert.