Malware-Scanner
Diese Aktion umfasst drei unterschiedliche Engines, die einzeln oder in Kombination miteinander genutzt werden können. Details zu den einzelnen Engines finden Sie weiter unten.
- Auf der Registerkarte Engines wählen Sie die Engine aus.
- Auf der Registerkarte Verhalten bestimmen Sie, wie E-Mails verarbeitet werden, falls eine oder mehrere Engines
eine Infizierung festgestellt hat.
Integrierter Malware Scanner
Der integrierte Malware Scanner überprüft die Anhänge von ankommenden E-Mails.
HINWEIS: Um Parallelbetrieb mit weiteren lokal installierten Virenscannern auf der Gatewayrolle zu gewährleisten, beachten Sie auch die Hinweise unter Konfigurieren installierter On-Access-Virenscanner.
Siehe auch
Dateibasierter Virenscanner
Diese Aktion ist gültig für folgende Absender: Extern und Lokal.
Der dateibasierte Virenscanner speichert Anhänge von durchkommenden E-Mails in ein bestimmtes Verzeichnis. Wenn Sie einen beliebigen On-Access-Virenscanner installiert haben, wird dieser Scanner einen lesenden Zugriff auf eventuell verseuchte Anhänge verweigern. NoSpamProxy Protection prüft sofort nach Ablage der Anhänge in das Verzeichnis, ob ein Zugriff möglich ist oder nicht. Anhänge, auf die zugegriffen werden kann, werden als virenfrei angesehen. NoSpamProxy Protection kann mit jedem beliebigen Virenscanner zusammen arbeiten, der in Echtzeit Dateizugriffe überwacht. Diese Scan-Methode ist auf sehr vielen Dateiservern bereits installiert, sehr performant und zuverlässig.
Auch Anhänge aus E-Mails im RTF-Format können von Virenscannern verarbeitet werden. Die Anhänge - die standardmäßig den Namen winmail.dat erhalten - werden überprüft und bei Bedarf einzeln geblockt. Beachten Sie, dass diese Art der Verarbeitung eine Veränderung der E-Mail darstellt.
Das Verzeichnis für die temporäre Speicherung von Dateien ist in aktuellen Installationen C:\ProgramData\Net at Work Mail Gateway\Temporary Files\Netatwork.NoSpamProxy.Addins.Core.Actions.MalwareScan.FilebasedMalwareScanner.
Um (wiederkehrende) Probleme beim Zusammenspiel von installierten On-Access-Virenscannern zu beheben, konfigurieren Sie Ihren Virenscanner so, dass die Verzeichnisse
-
C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine
- C:\ProgramData\Net at Work Mail Gateway\Temporary Files\MailQueues
- C:\ProgramData\Net at Work Mail Gateway\Temporary Files\MailsOnHold
-
C:\Program Files\NoSpamProxy\Core Antispam Engine
HINWEIS: Sollten Sie ein Update von Version 13 vorgenommen haben, so lautet der Pfad C:\Program Files\Net at Work Mail Gateway\Core Antispam Engine.
auf allen Systemen mit installierter Gatewayrolle oder Web Portal vom Scan ausgeschlossen werden.
HINWEIS: Beachten Sie, dass es sich bei dem Pfad um ein verstecktes Verzeichnis handelt.
Bei Servern mit installiertem Web Portal muss der folgende Ordner (Standard-Pfad zum Ablegen der Dateien für das Web Portal) ausgenommen werden:
- C:\Program Files\NoSpamProxy\Web Portal
HINWEIS: Sollten Sie ein Update von Version 13 vorgenommen haben, so lautet der Pfad C:\Program Files\Net at Work Mail Gateway\enQsig Webportal.
Ansonsten kann es bei einigen Virenscannern vorkommen, dass der Zugriff auf das Web Portal stark verzögert wird und Kommunikationsprobleme auftreten.
Zusätzlich sollte eine Ausnahme auf die Prozesse
- amserver.exe sowie
- NoSpamProxy.CoreAntispamEngine.exe
eingestellt werden, falls der On-Access-Virenscanner dies ermöglicht.
HINWEIS: Stellen Sie sicher, dass Ihr lokal eingesetzter Virenscanner nicht durch verhaltensbasierte Analysen Rückschlüsse daraus zieht, dass im Pfad C:\ProgramData\Net at Work Mail Gateway\Temporary Files\Netatwork.NoSpamProxy.Addins.Core.Actions.MalwareScan.FilebasedMalwareScanner durch Prozesse aktiv Malware abgelegt wird. Eine Prüfung der Dateien an sich sollte beziehungsweise muss stattfinden, jedoch darf das Ablegen von Malware im besagten Ordner nicht zur Klassifizierung des entsprechenden Prozesses führen, der dies durchführt.
Falls Sie den oben beschriebenen Pfad nicht finden, handelt es sich sehr wahrscheinlich um eine ältere NoSpamProxy-Installation, die bereits mehrfach aktualisiert worden ist. Prüfen Sie in diesem Fall bitte zunächst die Datei C:\ProgramData\Net at Work Mail Gateway\Configuration\Gateway Role.config und suchen Sie dort nach dem Eintrag <storageLocation path=.
Dieser Pfad wird derzeit von der Gatewayrolle benutzt.
Falls Sie den dateibasierten Virenscan in den Regeln aktiviert haben, stellen Sie ebenfalls sicher, dass Ihr Scanner so konfiguriert wird, dass infizierte Dateien und Archive komplett gelöscht oder in Quarantäne verschoben werden. Sollte der Scanner auf Bereinigen konfiguriert sein, kann NoSpamProxy oftmals nicht erkennen, dass diese vom installierten Scanner verändert wurden. Somit schlägt der “dateibasierte Virenscan” dann trotz erfolgreicher Erkennung durch NoSpamProxy fehl. Dies tritt insbesondere bei Archiven auf.
Sie können selbst einstellen, ob verseuchte Anhänge nur gelöscht werden oder ob die zugehörige E-Mail automatisch geblockt werden soll.
HINWEIS: Falls eine E-Mail abgewiesen wird, wird der Absender darüber durch den einliefernden Server informiert. Über einen gelöschten Anhang wird weder der Absender noch der Empfänger informiert.
HINWEIS: Wie bei allen Virenscannern werden kennwortgeschützte ZIP-Dateien nicht überprüft und ohne weitere Prüfung weitergegeben.
ICAP Antivirus Server
Das Internet Content Adaptation Protocol (ICAP) ist ein Protokoll für das Weiterleiten von Inhalten für HTTP-, HTTPS- und FTP-basierte Dienste. Ein ICAP-Server empfängt Daten, die dann beispielsweise durch einen serverbasierten Virenscanner verarbeitet werden.
Wenn Sie die Aktion ICAP Antivirus Server auswählen, agiert NoSpamProxy als ICAP-Client. Die Daten werden dann von NoSpamProxy an Ihren ICAP-Server gesendet und durch diesen geprüft. Nach Abschluss des Prüfvorgangs sendet der ICAP-Server das Prüfergebnis an NoSpamProxy. In Abhängigkeit dieses Prüfergebnisses wird die konfigurierte Aktion ausgeführt.
HINWEIS: Für die Aktion ICAP Antivirus Server benötigen Sie Zugriff auf einen ICAP-Server.