ESET MAIL SECURITY VOOR MICROSOFT EXCHANGE SERVER

Transcriptie

1 ESET MAIL SECURITY VOOR MICROSOFT EXCHANGE SERVER Installatiehandleiding en Gebruikershandleiding Microsoft Windows Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 Klik hier om de recentste versie van dit document te downloaden

2 ESET MAIL SECURITY Copyright 2014 ESET, spol. s r.o. ESET Mail Security is ontwikkeld door ESET, spol. s r.o. Ga voor meer informatie naar Alle rechten voorbehouden. Niets uit deze documentatie mag worden verveelvoudigd, worden opgeslagen in een systeem voor het ophalen van gegevens of worden overgedragen, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopie, opname, scan of enige andere manier, zonder schriftelijke toestemming van de auteur. ESET, spol. s r.o. behoudt zich het recht voor de beschreven toepassingssoftware zonder voorafgaande kennisgeving te wijzigen. Klantenservice: REV. 5/2/2014

3 Inhoud 1. Inleiding Nieuwe...5 functies van versie Systeemvereisten Gebruikte...6 methoden Postvakken...6 scannen via VSAPI Berichtfiltering...6 op SMTP-serverniveau 1.4 Beveiligingstypen Antivirusbeveiliging...6 Antispambeveiliging...6 Door...7 de gebruiker gedefinieerde regels toepassen 1.5 Gebruikersinterface Installatie Standaardinstallatie Aangepaste...9 installatie 2.3 Terminalserver Upgrade...12 naar een nieuwere versie 2.5 Exchange...13 Server-functies - Edge en Hub 2.6 Exchange...13 Server 2013-functies 2.7 Installatie...13 in een geclusterde omgeving 2.8 Licentie Configuratie...17 na de installatie 3. ESET Mail Security - Beveiliging Microsoft Exchange Server Algemene...19 instellingen Microsoft...19 Exchange Server VSAPI (Virus-Scanning Application Programming Interface)...19 Transportagent...19 Regels...21 Nieuwe...22 regels toevoegen Uitgevoerde...23 actie bij het toepassen van regels Logbestanden...24 Berichtenquarantaine...25 Een...26 nieuwe quarantaineregel toevoegen Prestaties Antivirus...27 en antispyware-instellingen Microsoft...28 Exchange Server VSAPI (Virus-Scanning Application Programming 4. Interface) Microsoft...28 Exchange Server 5.5 (VSAPI 1.0) Acties Prestaties Microsoft...29 Exchange Server 2000 (VSAPI 2.0) Acties Prestaties Microsoft...31 Exchange Server 2003 (VSAPI 2.5) Acties Prestaties Microsoft...32 Exchange Server 2007/2010 (VSAPI 2.6) Acties Prestaties Transportagent Acties Waarschuwingen...35 en meldingen Automatische...36 uitsluitingen 3.3 Antispambeveiliging Microsoft...38 Exchange Server Transportagent...38 POP3-connector...39 en antispam Antispam-engine...40 Parameters...40 antispam-engine instellen Analyse...40 Voorbeelden...41 SpamCompiler...41 Lijst...41 met cachegeheugenbestanden Training...41 Regels...42 Regelgewicht...43 Regelgewicht...43 toevoegen Lijst...43 met gedownloade regelbestanden Categoriegewicht...43 Categoriegewicht...43 toevoegen Lijst...43 met aangepaste regels Filtering...44 Toegestane...44 afzenders Geblokkeerde...44 afzenders Toegestane...44 IP-adressen Genegeerde...44 IP-adressen Geblokkeerde...44 IP-adressen Toegestane...45 domeinen Genegeerde...45 domeinen Geblokkeerde...45 domeinen Vervalste...45 afzenders Verificatie...45 RBL...45 (Realtime Blackhole List) Lijst...45 met RBL-servers LBL...46 (Last Blackhole List) Lijst...46 met LBL-servers Lijst...46 met overgeslagen IP-adressen DNSBL...46 (DNS Block List) Lijst...46 met DNSBL-servers DNS...46 Score...47 Spambait...47 Spambait-adressen...47 Adressen die als niet-bestaand worden weergegeven...47 Communicatie...48 Prestaties...48 Regionale...48 instellingen Lijst...49 met thuistalen Lijst...50 met thuislanden Lijst...54 met geblokkeerde landen Lijst...54 met geblokkeerde tekensets Logbestanden...55 Statistieken...55 Opties...55 Waarschuwingen...56 en meldingen Veelgestelde...56 vragen ESET...60 Mail Security - Serverbeveiliging Antivirus...60 en antispywarebeveiliging Real-timebeveiliging...60 van bestandssysteem Controle-instellingen...60 Te...61 scannen media Scannen...61 op basis van gebeurtenissen Geavanceerde...61 scanopties Opschoonniveaus...62 Wanneer moet de configuratie voor real-timebeveiliging...62 worden gewijzigd? Real-timebeveiliging...63 controleren Te volgen procedure als real-timebeveiliging niet werkt...63 Beveiliging client POP3-controle...64 Compatibiliteit...65 Integratie...65 met clients Meldingen toevoegen aan de hoofdtekst van een bericht...66 Infiltraties...66 verwijderen Beveiliging...67 webtoegang

4 HTTP,...67 HTTPs Adresbeheer...68 Actieve...69 modus Computerscan...70 op aanvraag Type...71 scan Smart...71 Scan Aangepaste...71 scan Scandoelen...72 Scanprofielen...72 Opdrachtregel...73 Prestaties...75 Protocolfiltering...75 SSL...75 Vertrouwde...76 certificaten Uitgesloten...76 certificaten Parameters...76 voor ThreatSense-engine instellen Objecten...77 instellen Opties...77 Opschonen...79 Extensies...80 Limiet...80 Overige...81 Er...81 is een infiltratie gedetecteerd 4.2 Het...82 programma bijwerken Instellingen...84 voor update Updateprofielen...85 Instellingen...85 voor geavanceerde update Updatemodus...85 Proxyserver...87 Verbinding...89 maken met het LAN Updatekopieën...90 maken - mirror Bijwerken...91 vanaf de mirror Updateproblemen...92 met mirrors oplossen Updatetaken...92 maken 4.3 Planner Doel...93 van geplande taken Nieuwe...94 taken maken 4.4 Quarantaine Bestanden...95 in quarantaine plaatsen Terugzetten...96 vanuit quarantaine Bestand...96 verzenden vanuit quarantaine 4.5 Logbestanden Logbestanden filteren Zoeken in logbestand Logbestanden onderhouden 4.6 ESET SysInspector ESET SysInspector ESET SysInspector starten Gebruikersinterface en gebruik van de toepassing Besturingselementen in programma Navigeren in ESET SysInspector Sneltoetsen Vergelijken Opdrachtregelparameters Servicescript Servicescript genereren Structuur van het servicescript Servicescripts uitvoeren Veelgestelde vragen ESET SysInspector als onderdeel van ESET Mail Security ESET SysRescue Minimale vereisten Een herstel-cd maken Doel selecteren Instellingen Mappen ESET Antivirus Geavanceerde instellingen Internetprotocol Opstartbaar USB-apparaat Branden Werken met ESET SysRescue ESET SysRescue gebruiken 4.8 Opties gebruikersinterface Waarschuwingen en meldingen GUI uitschakelen op terminalserver 4.9 eshell Gebruik Opdrachten Instellingen importeren en exporteren 4.11 ThreatSense.Net Verdachte bestanden Statistieken Verzending Extern beheer 4.13 Licenties Woordenlijst Typen infiltraties Virussen Wormen Trojaanse paarden Rootkits Adware Spyware Potentieel onveilige toepassingen Potentieel ongewenste toepassingen Advertenties Nepmeldingen Phishing Spam herkennen Regels Bayesiaans filter Witte lijst Zwarte lijst Controle vanaf de server

5 1. Inleiding ESET Mail Security 4 voor Microsoft Exchange Server is een geïntegreerde oplossing die postvakken beveiligt tegen verschillende malwaretypen, inclusief bijlagen die zijn geïnfecteerd met wormen of Trojaanse paarden, documenten met schadelijke scripts, phishing en spam. ESET Mail Security biedt drie typen beveiliging: antivirus, antispam en de toepassing van door de gebruiker gedefinieerde regels. ESET Mail Security filtert schadelijke inhoud op het niveau van de server voordat het Postvak IN van de client van de ontvanger bereikt wordt. ESET Mail Security ondersteunt Microsoft Exchange Server versie 2000 en hoger, alsmede Microsoft Exchange Server in een clusteromgeving. In nieuwere versies (Microsoft Exchange Server 2007 en later) worden specifieke functies (postvak, hub, edge) ook ondersteund. U kunt ESET Mail Security in grotere netwerken op afstand beheren met behulp van ESET Remote Administrator. ESET Mail Security biedt tevens beveiliging van Microsoft Exchange Server en heeft hulpmiddelen om de server zelf te beveiligen (lokale beveiliging, beveiliging van webtoegang, clientbeveiliging en antispam). 1.1 Nieuwe functies van versie 4.5 In vergelijking met ESET Mail Security versie 4.3 zijn de volgende nieuwe en verbeterde functies geïntroduceerd in versie 4.5: Antispaminstellingen - gemakkelijk toegankelijk vanuit de gebruikersinterface zodat het aanbrengen van wijzigingen voor beheerders veel eenvoudiger is Ondersteuning voor Microsoft Exchange Server 2013 Ondersteuning voor Microsoft Windows Server 2012 / 2012 R2 1.2 Systeemvereisten Ondersteunde besturingssystemen: Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 en x64) Microsoft Windows Server 2008 (x86 en x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) Ondersteunde versies van Microsoft Exchange Server: Microsoft Exchange Server 2000 SP1, SP2, SP3 Microsoft Exchange Server 2003 SP1, SP2 Microsoft Exchange Server 2007 SP1, SP2, SP3 Microsoft Exchange Server 2010 SP1, SP2, SP3 Microsoft Exchange Server 2013 Hardwarevereisten zijn afhankelijk van het besturingssysteem en de gebruikte versie van Microsoft Exchange Server. U wordt aanbevolen de productdocumentatie van Microsoft Exchange Server te lezen voor detailleerde informatie over hardwarevereisten. 5

6 1.3 Gebruikte methoden Er worden twee onafhankelijke methoden gebruikt voor het scannen van berichten: Postvakken scannen via VSAPI 6 Berichtfiltering op SMTP-serverniveau Postvakken scannen via VSAPI Het scannen van postvakken wordt geactiveerd en beheerd door de Microsoft Exchange Server. s in de opslagdatabase van Microsoft Exchange Server worden voortdurend gescand. Afhankelijk van de versie van Microsoft Exchange Server, de VSAPI-interfaceversie en de door de gebruiker gedefinieerde instellingen, kan het scannen worden geactiveerd in elk van de volgende situaties: Wanneer de gebruiker zijn benadert, bijvoorbeeld in een client ( wordt altijd gescand met de recentste database met viruskenmerken). Op de achtergrond wanneer het gebruik van de Microsoft Exchange Server laag is. Proactief (op basis van het eigen algoritme van de Microsoft Exchange Server). De VSAPI-interface wordt momenteel gebruikt voor antivirusscans en beveiliging op basis van regels Berichtfiltering op SMTP-serverniveau SMTP-filtering op serverniveau wordt beveiligd met een speciale invoegtoepassing. In Microsoft Exchange Server 2000 en 2003 wordt deze invoegtoepassing (Gebeurtenisopvanger) geregistreerd op de SMTP-server als onderdeel van Internet Information Services (IIS). In Microsoft Exchange Server 2007/2010 wordt de invoegtoepassing geregistreerd als een transportagent in de functies Edge of Hub van de Microsoft Exchange Server. SMTP-filtering op serverniveau door een transportagent biedt beveiliging in de vorm van antivirus, antispam en door de gebruiker gedefinieerde regels. In tegenstelling tot VSAPI-filtering wordt SMTP-filtering op serverniveau uitgevoerd voordat de gescande arriveert in het postvak van Microsoft Exchange Server. 1.4 Beveiligingstypen Er zijn drie beveiligingstypen: Antivirusbeveiliging Antivirusbeveiliging is een van de basisfuncties van het ESET Mail Security-product. Antivirusbeveiliging biedt bescherming tegen kwaadwillende systeemaanvallen door middel van controle over bestanden, en internetcommunicatie. Als een bedreiging met schadelijke code wordt gedetecteerd, kan de antivirusmodule deze onschadelijk maken door de code te blokkeren en deze vervolgens op te schonen, te verwijderen of in quarantaine 95 te plaatsen Antispambeveiliging Antispambeveiliging integreert verschillende technologieën (RBL, DNSBL, 'vingerafdrukken', reputatiecontrole, inhoudsanalyse, Bayesiaanse filters, regels, handmatige witte/zwarte lijsten, enzovoort) om bedreigingen maximaal te kunnen detecteren. De uitvoer van de antispamscanengine is de spamwaarschijnlijkheidswaarde van het desbetreffende bericht, uitgedrukt in een percentage (0 tot 100). Een ander onderdeel van de module voor antispambeveiliging is de Greylisting-techniek (standaard uitgeschakeld). Deze techniek is gebaseerd op de RFC 821-specificatie, waarin staat dat aangezien SMTP als onbetrouwbaar transport wordt beschouwd, iedere Message Transfer Agent (MTA) herhaaldelijk zou moeten proberen een te bezorgen nadat er een tijdelijke bezorgingsfout is opgetreden. Een aanzienlijk deel van spam bestaat uit eenmalige bezorgingen (met behulp van speciale hulpprogramma's) aan een massale lijst met automatisch gegenereerde adressen. Een server met daarop Greylisting berekent een controlewaarde (hash) voor het verzendende envelopadres, het ontvangende envelopadres en het IP-adres van de verzendende MTA. Als de server de controlewaarde voor het drietal niet in zijn eigen database kan vinden, wordt het bericht niet geaccepteerd, waardoor een tijdelijke foutcode wordt geretourneerd (tijdelijke fout, bijvoorbeeld 451). Een legitieme server zal proberen het bericht opnieuw te bezorgen na een variabele tijdsduur. De controlewaarde van het drietal wordt bij 6

7 de tweede poging opgeslagen in de database met geverifieerde verbindingen, waardoor iedere met de relevante kenmerken vanaf dat moment zal worden bezorgd Door de gebruiker gedefinieerde regels toepassen Beveiliging op basis van door de gebruiker gedefinieerde regels is beschikbaar bij het scannen met zowel VSAPI als de transportagent. U kunt de gebruikersinterface van ESET Mail Security gebruiken om individuele regels te maken die ook gecombineerd kunnen worden. Als er in één regel meerdere voorwaarden worden gebruikt, worden de voorwaarden gekoppeld met de logische operator AND. Zodoende wordt de regel alleen uitgevoerd als aan alle voorwaarden wordt voldaan. Als er meerdere regels worden gemaakt, wordt de logische operator OR toegepast. Dit betekent dat de eerste regel waarvan aan de voorwaarden wordt voldaan wordt uitgevoerd. In de scanvolgorde is greylisting de eerste techniek die wordt gebruikt (indien ingeschakeld). Daarop volgende procedures voeren altijd de volgende technieken uit: beveiliging op basis van door de gebruiker gedefinieerde regels, gevolgd door een antivirusscan en ten slotte een antispamscan. 1.5 Gebruikersinterface ESET Mail Security heeft een grafische gebruikersinterface (GUI) die zo intuïtief mogelijk is ontworpen. De GUI biedt gebruikers direct en eenvoudig toegang tot de belangrijkste functie van het programma. Naast de hoofd-gui is er een structuur voor geavanceerde instellingen die overal in het programma toegankelijk is door op F5 te drukken. Wanneer u op F5 druk wordt het venster met de structuur voor geavanceerde instellingen geopend met een lijst met configureerbare programmafuncties. Vanuit dit venster kunt u de instellingen en opties aan uw behoeften aanpassen. De boomstructuur is opgesplitst in twee gedeeltes: Serverbeveiliging en Computerbeveiliging. Het gedeelte Serverbeveiliging bevat items met betrekking op instellingen van ESET Mail Security, specifiek voor de beveiliging van Microsoft Exchange Server. Het gedeelte Computerbeveiliging bevat de configureerbare items ter bescherming van de server zelf. 7

8 2. Installatie Na de aanschaf van ESET Mail Security kunt u het installatieprogramma downloaden van de ESET-website (www. eset.com) als een MSI-pakket. Let erop dat u het installatieprogramma moet uitvoeren onder het ingebouwde beheerdersaccount. Alle andere gebruikers hebben niet voldoende toegangsrechten, ondanks dat zij leden van de beheerdersgroep zijn. Daarom moet u het ingebouwde beheerdersaccount gebruiken: u kunt de installatie niet voltooien onder een ander account dan Beheerder. Er zijn twee manieren om het installatieprogramma uit te voeren: U kunt zich aanmelden met de gegevens van het beheerdersaccount en de installatie gewoon uitvoeren. U kunt zich aanmelden als een andere gebruiker, maar moet een opdrachtprompt openen met Uitvoeren als... en gegevens van het beheerdersaccount invoeren om de cmd te gebruiken als beheerder en vervolgens de opdracht typen om het installatieprogramma uit te voeren (bijv. msiexec /i emsx_nt64_enu.msi maar u moet emsx_nt64_enu.msi vervangen door de daadwerkelijke bestandsnaam van het msi-installatieprogramma dat u hebt gedownload) Nadat u het installatieprogramma hebt gestart, wordt u met de installatiewizard door de standaardinstallatie geleid. Er zijn twee installatietypen beschikbaar, met verschillende installatieniveaus: 1. Standaardinstallatie 2. Aangepaste installatie OPMERKING: Wij raden u ten sterkste aan ESET Mail Security, indien mogelijk, te installeren op een besturingssysteem dat recent is geïnstalleerd en geconfigureerd. Als u het product niet op een bestaand systeem hoeft te installeren, kunt u echter het best vorige versies van ESET Mail Security verwijderen, de server opnieuw starten en de nieuwe versie van ESET Mail Security daarna installeren. 2.1 Standaardinstallatie Met de standaardinstallatie wordt ESET Mail Security geïnstalleerd met minimale configuratie tijdens de installatie. De standaardinstallatie is de standaardoptie en wordt aanbevolen als u nog geen speciale vereisten hebt voor bepaalde instellingen. Nadat ESET Mail Security op uw systeem is geïnstalleerd kunt u de opties en configuratieinstellingen altijd nog wijzigen. In deze gebruikershandleiding worden deze instellingen en functies gedetailleerd beschreven. De instellingen van de Standaardinstallatie bieden uitstekende beveiliging in combinatie met gebruiksgemak en hoge systeemprestaties. Nadat u de installatiemodus hebt geselecteerd en op Volgende hebt geklikt, wordt u om uw gebruikersnaam en wachtwoord gevraagd. Dit is van significant belang voor de constante beveiliging van uw systeem, aangezien uw gebruikersnaam en wachtwoord automatische updates 82 mogelijk maken van de database met viruskenmerken. 8

9 Voer uw gebruikersnaam en wachtwoord in de overeenkomstige velden in, u hebt deze ontvangen na de aanschaf of registratie van het product. Als u uw gebruikersnaam en wachtwoord niet direct beschikbaar hebt, kunt u deze later rechtstreeks in het programma invoeren. In de volgende stap (Licentiebeheer) voegt u het licentiebestand toe dat u na aanschaf van het product via hebt ontvangen. De volgende stap is de configuratie van het ThreatSense.Net vroegtijdig waarschuwingssysteem. Het ThreatSense. Net vroegtijdig waarschuwingssysteem helpt waarborgen dat ESET onmiddellijk en continu wordt geïnformeerd over nieuwe infiltraties teneinde klanten snel bescherming te kunnen bieden. Dit systeem maakt verzending van nieuwe bedreigingen naar het bedreigingslaboratorium van ESET mogelijk, waar zij worden geanalyseerd, verwerkt en toegevoegd aan de database met viruskenmerken. Standaard is de optie ThreatSense.Net Vroegtijdig waarschuwingssysteem inschakelen geselecteerd. Klik op Geavanceerde instellingen...om gedetailleerde instellingen voor het versturen van verdachte bestanden te wijzigen. De volgende stap in het installatieproces is het configureren van Detectie van mogelijk ongewenste toepassingen. Mogelijk ongewenste toepassingen zijn niet per se schadelijk, maar kunnen het gedrag van het besturingssysteem vaak negatief beïnvloeden. Zie het hoofdstuk Potentieel ongewenste toepassingen 139 voor meer informatie. Deze toepassingen worden vaak meegeleverd met andere programma's en vallen nauwelijks op tijdens de installatie. Hoewel bij deze toepassingen gewoonlijk een melding wordt weergegeven tijdens de installatie, kunnen ze eenvoudig zonder uw toestemming worden geïnstalleerd. Selecteer de optie Detectie van mogelijk ongewenste toepassingen inschakelen in om ESET Mail Security in staat te stellen dit type bedreiging te detecteren (aanbevolen). Als u deze functionaliteit niet wilt gebruiken, selecteert u Detectie van mogelijk ongewenste toepassingen uitschakelen. De laatste stap van de Standaardinstallatie is bevestiging van de installatie door op de knop Installeren te klikken. 2.2 Aangepaste installatie De aangepaste installatie is bedoeld voor diegenen die ESET Mail Security willen configureren tijdens de installatie. Nadat u de installatiemodus geselecteerd hebt en op Volgende geklikt hebt, wordt u gevraagd een doellocatie op te geven voor de installatie. Standaard wordt het programma geïnstalleerd in C:\Program Files\ESET\ESET Mail Security. Klik op Bladeren om deze locatie te wijzigen (niet aanbevolen). Voer vervolgens uw Gebruikersnaam en Wachtwoord in. Deze stap is hetzelfde als in de modus Standaardinstallatie (zie Standaardinstallatie 8 ). In de volgende stap (Licentiebeheer) voegt u het licentiebestand toe dat u na aanschaf van het product via hebt ontvangen. 9

10 Nadat u uw gebruikersnaam en wachtwoord hebt ingevoerd, klikt u op Volgende om verder te gaan naar Uw internetverbinding configureren. Als u een proxyserver gebruikt, moet deze correct geconfigureerd zijn zodat updates van viruskenmerken goed werken. Als u wilt dat de proxyserver automatisch geconfigureerd wordt, selecteert u de standaardinstelling Ik weet niet zeker of mijn internetverbinding gebruikmaakt van een proxyserver. Gebruik dezelfde instellingen als Internet Explorer. (Aanbevolen). en klik op Volgende. Als u geen proxyserver gebruikt, selecteert u de optie Ik gebruik geen proxyserver. Als u de details van de proxyserver liever zelf opgeeft, kunt u de proxyserverinstellingen handmatig configureren. Als u de proxyserverinstellingen wilt configureren, selecteert u Ik gebruik een proxyserver en klikt u op Volgende. Geef het IP-adres of de URL van uw proxyserver op in het veld Adres. Geef in het veld Poort de poort op waarop de proxyserver verbindingen accepteert (standaard is dit 3128). Als de proxyserver verificatie vereist, moet u een geldige Gebruikersnaam en een geldig Wachtwoord invoeren om toegang te krijgen tot de proxyserver. De instellingen voor de proxyserver kunnen desgewenst ook worden gekopieerd vanuit Internet Explorer. Wanneer de details van de proxyserver ingevoerd zijn, klikt u op Toepassen en bevestigt u de selectie. Klik op Volgende om verder te gaan naar Instellingen voor automatische update configureren. Met deze stap kunt u bepalen hoe automatische updates van programmaonderdelen door uw systeem worden afgehandeld. Klik op Wijzigen om toegang te verkrijgen tot de geavanceerde instellingen. Als u niet wilt dat programmaonderdelen worden bijgewerkt, selecteert u Nooit update van programmaonderdelen uitvoeren. Selecteer de optie Vragen alvorens programmaonderdelen te downloaden om een bevestigingsvenster weer te geven voordat programmaonderdelen worden gedownload. Als u upgrades 10

11 van programmaonderdelen automatisch wilt downloaden, selecteert u de optie Altijd update van programmaonderdelen uitvoeren. OPMERKING: Na het bijwerken van een programmaonderdeel moet er meestal opnieuw worden opgestart. We raden aan de optie Computer nooit opnieuw opstarten te selecteren. De nieuwste onderdeelupdates worden van kracht de volgende keer dat de server opnieuw wordt opgestart (gepland 93, handmatig of anderszins). U kunt kiezen voor Opnieuw opstarten van computer aanbieden indien nodig als u wilt worden herinnerd om de server opnieuw op te starten nadat de onderdelen zijn bijgewerkt. Met deze instelling kunt u de server direct opnieuw opstarten of dit uitstellen om later te doen. In het volgende installatievenster kunt u een wachtwoord instellen om uw programma-instellingen te beschermen. Selecteer de optie Configuratie-instellingen beveiligen met een wachtwoord en kies een wachtwoord om in te vullen in de velden Nieuw wachtwoord en Nieuw wachtwoord bevestigen. De volgende twee installatiestappen, ThreatSense.Net Vroegtijdig waarschuwingssysteem en Detectie van mogelijk ongewenste toepassingen, zijn hetzelfde als in de Standaardinstallatie (zie Standaardinstallatie 8 ). Klik op Installeren in het venster Gereed om te installeren om de installatie te voltooien. 2.3 Terminalserver Als u ESET Mail Security op een Windows-server hebt geïnstalleerd die wordt gebruikt als terminalserver, wilt u de GUI van ESET Mail Security mogelijk uitschakelen om te voorkomen dat deze telkens wordt opgestart wanneer een gebruiker zich aanmeldt. Zie het hoofdstuk GUI uitschakelen op terminalserver 123 voor de specifieke stappen om de GUI uit te schakelen. 11

12 2.4 Upgrade naar een nieuwere versie Er worden nieuwere versies van ESET Mail Security uitgebracht om verbeteringen door te voeren of problemen op te lossen die niet kunnen worden opgelost met de automatische updates van programmaonderdelen. U kunt een upgrade naar de nieuwste versie van ESET Mail Security uitvoeren met een van de volgende methoden: 1. Automatisch een upgrade uitvoeren via een update van programmaonderdelen. Aangezien updates van programmaonderdelen worden verspreid onder alle gebruikers en van invloed kunnen zijn op bepaalde systeemconfiguraties, worden ze uitgebracht na uitgebreide tests om een soepele upgrade te kunnen garanderen op alle mogelijke systeemconfiguraties. 2. Handmatig, bijvoorbeeld wanneer u wilt upgraden naar een nieuwere versie meteen nadat die is uitgebracht, of als u wilt upgraden naar de volgende generatie van ESET Mail Security (bijvoorbeeld van versie 4.2 of 4.3 naar versie 4.5). U kunt op twee manieren een handmatige upgrade naar een nieuwere versie uitvoeren, in-place (waarbij de nieuwste versie wordt geïnstalleerd over uw bestaande versie heen) of een schone installatie uitvoeren (waarbij de vorige versie wordt verwijderd en daarna de nieuwe versie wordt geïnstalleerd). Een handmatige upgrade uitvoeren: 1. In-place upgrade: Installeer de nieuwste versie over uw bestaande versie van ESET Mail Security door de stappen in het hoofdstuk Installatie 8 uit te voeren. Alle bestaande instellingen (waaronder antispaminstellingen) worden tijdens de installatie automatisch geïmporteerd in de nieuwere versie. 2. Schone installatie: a) Exporteer uw configuratie/instellingen naar een xml-bestand met de functie Instellingen importeren en exporteren 130. b) Open dit xml-bestand in een speciale xml-editor of een teksteditor die xml ondersteunt (zoals WordPad, Notepad++, enz.) en wijzig het SECTION ID-getal op de derde regel in " " zodat dit er zo uitziet: <SECTION ID=" "> c) Download de tool EMSX AntispamSettingsExport vanuit dit Knowledgebase-artikel. Sla EMSX_AntispamSettingsExport.exe op de Exchange Server op waarop u een upgrade naar de nieuwste versie van ESET Mail Security uitvoert. d) Voer de tool EMSX_AntispamSettingsExport.exe uit. De tool maakt een cfg.xml -bestand met daarin de antispaminstellingen van uw bestaande installatie van ESET Mail Security. e) Download het msi-installatiebestand voor de nieuwste versie van ESET Mail Security. f) Kopieer het cfg.xml -bestand dat door de tool EMSX AntispamSettingsExport is gemaakt naar dezelfde locatie als waar u het msi-installatiebestand van ESET Mail Security hebt opgeslagen (d.w.z. emsx_nt64_enu. msi). g) Verwijder de bestaande versie van ESET Mail Security. h) Voer het msi-installatieprogramma uit voor ESET Mail Security 4.5. Antispaminstellingen die zijn geëxporteerd naar cfg.xml worden automatisch geïmporteerd in de nieuwe versie. i) Nadat de installatie is voltooid, dient u de configuratie-instellingen vanuit het xml-bestand te importeren dat u aan de hand van Instellingen importeren en exporteren 130 en een xml-editor hebt opgeslagen en aangepast in stap a) en b) zodat u uw vorige configuratie-instellingen in de nieuwe versie van ESET Mail Security kunt gebruiken. Als u de bovenstaande stappen hebt uitgevoerd, hebt u de nieuwe versie van ESET Mail Security op uw systeem geïnstalleerd met uw vorige, aangepaste installatie. Zie dit Knowledgebase-artikel voor meer details over het upgradeproces. OPMERKING: Beide handmatige upgradeprocessen (in-place en schone installatie) zijn van toepassing op de upgrade van ESET Mail Security versie 4.2 of 4.3 naar alleen ESET Mail Security versie

13 2.5 Exchange Server-functies - Edge en Hub Standaard zijn op een edgetransportserver de antispamfuncties ingeschakeld en zijn op een hubtransportserver de antispamfuncties uitgeschakeld. In een Exchange-organisatie met een edgetransportserver is dit de gewenste configuratie. Wij raden aan dat u op de edgetransportserver met ESET Mail Security antispam zodanig configureert dat berichten worden gefilterd alvorens ze naar de Exchange-organisatie worden gerouteerd. De edgefunctie is de voorkeurslocatie om op spam te scannen omdat ESET Mail Security hierdoor spam al vroeg in het proces kan afwijzen voordat er onnodige inspanningen van de netwerklagen worden gevraagd. Met een dergelijke configuratie worden binnenkomende berichten gefilterd door ESET Mail Security op de edgetransportserver. Ze worden dus veilig naar de hubtransportserver verplaatst zonder dat er verder gefilterd hoeft te worden. Als uw organisatie geen edgetransportserver gebruikt en alleen een hubtransportserver heeft, raden wij aan dat u antispamfuncties op de hubtransportserver inschakelt die via SMTP binnenkomende berichten van internet ontvangt. 2.6 Exchange Server 2013-functies De architectuur van Exchange Server 2013 is anders dan van vorige versies van Microsoft Exchange. In Exchange 2013 zijn slechts twee serverfuncties; clienttoegangservers en postvakservers. Als u Microsoft Exchange 2013 wilt beschermen met ESET Mail Security zorg er dan voor dat u ESET Mail Security installeert op een systeem waarop Microsoft Exchange 2013 met de postvakserverfunctie wordt uitgevoerd. De serverfunctie voor clienttoegang wordt niet ondersteund door ESET Mail Security. Er geldt een uitzondering als u ESET Mail Security wilt installeren op Windows SBS (Small Business Server). In het geval van Windows SBS worden alle Exchange-functies op dezelfde server uitgevoerd, en dus wordt ESET Mail Security correct uitgevoerd en worden alle typen bescherming geboden, waaronder die voor mailservers. Als u ESET Mail Security echter op een systeem installeert dat alleen de serverfunctie voor clienttoegang uitvoert (toegewijde CAS-server), werken de meeste belangrijke functies van ESET Mail Security niet, met name die van mailservers. In dit geval werken alleen real-timebeveiliging van het bestandssysteem en bepaalde onderdelen van Computerbeveiliging 60. Er is dus helemaal geen sprake van beveiliging van mailservers. Dit is de reden waarom we niet aanraden om ESET Mail Security te installeren op een server met de serverfunctie voor clienttoegang. Dit is niet van toepassing op Windows SBS (Small Business Server) zoals hierboven vermeld. OPMERKING: Vanwege technische beperkingen van Microsoft Exchange 2013 ondersteunt ESET Mail Security niet de serverfunctie voor clienttoegang (CAS - Client Access Server). 2.7 Installatie in een geclusterde omgeving Een cluster is een groep servers (een server die is verbonden met een cluster wordt een knooppunt genoemd) die samen fungeren als één server. Een dergelijke omgeving biedt een hoge toegankelijkheid en betrouwbaarheid van beschikbare services. Als een van de knooppunten in het cluster uitvalt of ontoegankelijk is, wordt de functie automatisch overgenomen door een ander knooppunt in het cluster. ESET Mail Security biedt volledige ondersteuning voor Microsoft Exchange Servers die verbonden zijn in een cluster. Voor een goede werking van ESET Mail Security is het belangrijk dat ieder knooppunt in een cluster dezelfde configuratie heeft. Dit kan worden bereikt door een beleid toe te passen met ESET Remote Administrator (ERA). In de volgende hoofdstukken wordt de installatie en configuratie van ESET Mail Security beschreven op servers in een geclusterde omgeving met gebruik van ERA. Installatie In dit hoofdstuk wordt de push-installatiemethode uitgelegd, dit is echter niet de enige manier om een product op de doelcomputer te installeren. Raadpleeg de gebruikershandleiding van ESET Remote Administrator voor andere installatiemethoden. 1) Download het msi-installatiepakket van ESET Mail Security van de ESET-website op de computer waar ERA is geïnstalleerd. Klik in ERA op het tabblad Installatie op afstand (Remote Install) > Computers met de rechtermuisknop op een computer in de lijst en selecteer de optie Pakketten beheren (Manage Packages) in het contextmenu. In de vervolgkeuzelijst Type selecteert u Pakket ESET-beveiligingsproducten (ESET Security 13

14 Products package) en klikt u op Toevoegen (Add). Zoek in Bron (Source) naar het gedownloade installatiepakket van ESET Mail Security en klik op Maken (Create). 2) In Bij dit pakket behorende configuratie bewerken/selecteren (Edit/Select configuration associated with this package) klikt u op Bewerken (Edit) en configureert u naar behoefte de instellingen van ESET Mail Security. De instellingen van ESET Mail Security staan in de volgende vertakkingen: ESET Smart Security, ESET NOD32 Antivirus > Beveiliging server en serverbeveiliging voor Microsoft Exchange Server. U kunt ook de parameters van andere modules van ESET Mail Security instellen (zoals de updatemodule, computerscan, enzovoort). U wordt aanbevolen de geconfigureerde instellingen te exporteren naar een XML-bestand dat u later kunt gebruiken, bijvoorbeeld bij het maken van een installatiepakket, de toepassing van een configuratietaak of beleidsregels. 3) Klik op Sluiten (Close). In het volgende dialoogvenster (Wilt u het pakket opslaan op een server? (Do you want to save the package into server?)) selecteert u Ja (Yes) en voert u de naam in van het installatiepakket. Het voltooide installatiepakket (inclusief naam en configuratie) wordt opgeslagen op de server. Meestal wordt dit pakket gebruikt voor een push-installatie, maar het is ook mogelijk om het op te slaan als een gewoon msiinstallatiepakket om het te gebruiken voor een rechtstreekse installatie op de server (in de Editor voor installatiepakketten (Installation Packages Editor) > Opslaan als (Save As)). 4) Nu het installatiepakket gereed is, kunt u de externe installatie op de knooppunten binnen een cluster beginnen. In ERA selecteert u op het tabblad Installatie op afstand (Remote Install) > Computers de knooppunten waarop u ESET Mail Security wilt installeren (Ctrl+Klikken met linkermuisknop of Shift+Klikken met linkermuisknop). Klik met de rechtermuisknop op een van de geselecteerde computers en selecteer Push-installatie (Push Installation) in het contextmenu. Met de knoppen Instellen (Set)/Alles instellen (Set All) stelt u de Gebruikersnaam en het Wachtwoord van een gebruiker op de doelcomputer in (dit moet een gebruiker met beheerdersrechten zijn). Klik op Volgende om het installatiepakket te kiezen en de installatie op afstand te beginnen door op Voltooien te klikken. Het installatiepakket met ESET Mail Security en aangepaste configuratie-instellingen wordt geïnstalleerd op geselecteerde doelcomputers/knooppunten. Even later worden clients met ESET Mail Security weergegeven in ERA op het tabblad Clients. U kunt de clients nu op afstand beheren. OPMERKING: Voor een naadloze installatie op afstand is het noodzakelijk om te voldoen aan bepaalde voorwaarden op zowel de doelcomputers als de ERA-server. Raadpleeg de gebruikershandleiding van ESET Remote Administrator voor meer informatie. Configuratie Voor een juiste werking van ESET Mail Security op de knooppunten binnen een cluster moeten de knooppunten altijd dezelfde configuratie hebben. Aan deze voorwaarde wordt voldaan als u de bovengenoemde pushinstallatiemethode hebt gevolgd. Er bestaat echter een kans dat de configuratie per ongeluk wordt gewijzigd, wat leidt tot inconsistenties tussen ESET Mail Security-producten binnen een cluster. U kunt dit voorkomen door een beleid te gebruiken in ERA. Een beleid lijkt op een gewone configuratietaak: de configuratie die in de configuratieeditor wordt gedefinieerd wordt naar de clients verstuurd. Het verschil tussen een beleid en een configuratietaak is dat beleid voortdurend op de clients wordt toegepast. Beleid kan dus worden gedefinieerd als een configuratie die regelmatig wordt gehandhaafd op een client of een groep clients. In ERA > Hulpmiddelen (Tools) > Beleidsbeheer (Policy Manager) is een aantal opties voor het gebruik van beleid beschikbaar. De eenvoudigste optie is om Bovenliggend standaardbeleid (Default Parent Policy) te gebruiken, dit wordt doorgaans ook gebruikt als Standaardbeleid voor primaire clients (Default policy for primary clients). Dergelijk beleid wordt automatisch toegepast op alle verbonden clients (in dit geval op alle ESET Mail Securityproducten binnen een cluster). U kunt het beleid configureren door op Bewerken (Edit) te klikken of een bestaande door u gemaakte configuratie gebruiken die is opgeslagen als xml-bestand. De tweede optie is om een nieuw beleid te maken (Nieuw onderliggend beleid toevoegen (Add New Child Policy) ) en de optie Clients toevoegen (Add Clients) te gebruiken om alle ESET Mail Security-producten aan dit beleid toe te wijzen. Deze configuratie zorgt ervoor dat een uniform beleid met overal dezelfde instellingen wordt toegepast op alle clients. Als u de bestaande instellingen van een ESET Mail Security-server binnen een cluster wilt wijzigen, is het voldoende om het bestaande beleid te bewerken. Wijzigingen worden toegepast op alle clients die aan dit beleid zijn toegewezen. OPMERKING: raadpleeg de gebruikershandleiding van ESET Remote Administrator voor meer informatie over beleid. 14

15 2.8 Licentie Een zeer belangrijke stap is het invoeren van het licentiebestand van ESET Mail Security voor Microsoft Exchange Server. Zonder dit bestand werkt de beveiliging van de Microsoft Exchange Server niet correct. Als u tijdens de installatie geen licentiebestand toevoegt, kunt u dit later doen in de geavanceerde instellingen onder Overige > Licenties. Met ESET Mail Security kunt u verschillende licenties tegelijk gebruiken door deze samen te voegen, zoals hieronder wordt beschreven: 1) Twee of meer licenties van één klant (licenties toegewezen aan dezelfde klantnaam) worden samengevoegd en het aantal gescande postvakken neemt overeenkomstig toe. In licentiebeheer worden beide licenties nog steeds weergegeven. 2) Twee of meer licenties van verschillende klanten worden samengevoegd. Dit gebeurt op precies dezelfde manier als in het eerste scenario (punt 1 hierboven), met als enige verschil dat ten minste één van de licenties in kwestie een speciaal kenmerk moet hebben. Dat kenmerk is vereist om licenties van verschillende klanten samen te voegen. Als u geïnteresseerd bent in het gebruik van een dergelijke licenties vraagt u of uw lokale distributeur deze voor u kan genereren. OPMERKING: de geldigheidsduur van de nieuw gemaakte licentie wordt bepaald door de eerste vervaldatum van alle onderdelen. ESET Mail Security voor Microsoft Exchange Server (EMSX) vergelijkt het aantal postvakken van de Active Directory met uw licentieaantal. De Active Directory van iedere Exchange Server wordt gecontroleerd om het totale aantal postvakken te bepalen. Systeempostvakken, gedeactiveerde postvakken en aliassen worden niet meegenomen in de postvaktelling. In een geclusterde omgeving worden knooppunten met de functie van gegroepeerde postvakken niet meegenomen in de postvaktelling. Om te bepalen hoeveel Exchange-postvakken u hebt, opent u Active Directory: gebruikers en computers op de server. Klik met de rechtermuisknop op het domein en klik op Zoeken. Selecteer vervolgens in de vervolgkeuzelijst Zoeken de optie Aangepaste zoekactie en klik op het tabblad Geavanceerd. Plak de volgende LDAP-query (Lightweight Directory Access Protocol) en klik op Nu zoeken: (&(objectclass=user)(objectcategory=person)(mailnickname=*)( (homemdb=*)(msexchhomeservername=*))(! (name=systemmailbox{*))(!(name=cas_{*))(msexchuseraccountcontrol=0)(! useraccountcontrol: :=2)) 15

16 Als het aantal postvakken in uw Active Directory het licentieaantal overschrijdt, wordt een bericht toegevoegd aan uw Microsoft Exchange Server-logboek: "Beveiligingsstatus bijgewerkt omdat het aantal postvakken (aantal) uw toegestane licentielimiet overschrijdt (aantal)." U wordt in ESET Mail Security ook op de hoogte gesteld doordat de Beveiligingsstatus oranje wordt en er een bericht wordt weergegeven om u te laten weten dat u nog 42 dagen hebt voordat uw beveiliging wordt uitgeschakeld. Als u deze melding ontvangt, neemt u contact op met uw verkoopvertegenwoordiger om extra licenties te kopen. Als de periode van 42 dagen is verstreken en u de vereiste licenties voor de extra postvakken niet hebt toegevoegd, wordt uw Beveiligingsstatus gewijzigd in rood. In het bericht staat nu dat uw beveiliging is uitgeschakeld. Als u deze melding ontvangt, neemt u onmiddellijk contact op met uw verkoopvertegenwoordiger om extra licenties te kopen. 16

17 2.9 Configuratie na de installatie Er zijn verschillende opties die na de installatie van het product moeten worden geconfigureerd. Instellingen voor antispambeveiliging In dit gedeelte worden de instellingen, methoden en technieken beschreven die u kunt gebruiken om uw netwerk tegen spam te beveiligen. We raden u aan de volgende instructies zorgvuldig door te lezen zodat u de geschiktste combinatie van instellingen kunt kiezen voor uw netwerk. Spambeheer Voor een hoog beveiligingsniveau tegen spam stelt u acties in die uitgevoerd moeten worden op berichten die al als spam zijn gemarkeerd. Er zijn drie opties beschikbaar: 1. Spam verwijderen De criteria waarop een bericht als spam wordt gemarkeerd door ESET Mail Security zijn redelijk hoog ingesteld, waardoor de kans op het verwijderen van legitieme laag is. Hoe specifieker de antispaminstellingen zijn, hoe onwaarschijnlijker het is dat legitieme wordt verwijderd. De voordelen van deze methode zijn onder andere een laag gebruik van systeembronnen en minder beheer. Het nadeel van deze methode is dat als een legitieme verwijderd is, deze lokaal niet hersteld kan worden. 2. Quarantaine Met deze optie wordt het risico van het verwijderen van legitieme weggenomen. Berichten kunnen worden hersteld en onmiddellijk opnieuw naar de oorspronkelijke geadresseerden worden verzonden. De nadelen van deze methode zijn een hoger gebruik van systeembronnen en het feit dat er extra tijd nodig is voor onderhoud van de quarantaine. U kunt twee methoden gebruiken voor de quarantaine van A. Interne Exchange Server-quarantaine (alleen van toepassing op Microsoft Exchange Server 2007/2010): - Als u de interne serverquarantaine wilt gebruiken, moet het veld Algemene berichtenquarantaine op het rechterdeelvenster in het menu voor geavanceerde instellingen leeg zijn (onder Serverbeveiliging > Berichtenquarantaine). Zorg tevens dat de optie Bericht in systeemquarantaine van mailserver plaatsen geselecteerd is in de vervolgkeuzelijst onder in het venster. Deze methode werkt alleen wanneer de interne quarantaine van Exchange aanwezig is. Standaard is deze interne quarantaine binnen Exchange niet geactiveerd. Als u deze wilt activeren, opent u de Exchange-beheershell en voert u de volgende opdracht in: Set-ContentFilterConfig -Quarantin box naam@domein.com (vervang naam@domein.com door het feitelijke postvak dat door Microsoft Exchange moet worden gebruikt als een intern quarantainepostvak, bijvoorbeeld exchange-quarantaine@bedrijf.com) B. Aangepast quarantainepostvak: - Als u het gewenste postvak invoert in het veld Algemene berichtenquarantaine, worden alle nieuwe spamberichten door ESET Mail Security naar uw aangepaste postvak verplaatst. Zie het hoofdstuk Berichtenquarantaine 25 voor meer informatie over quarantaine en andere methoden. 3. Spam doorsturen Spam wordt doorgestuurd naar de geadresseerde. ESET Mail Security vult echter de relevante MIME-kop in met de SCL-waarde in ieder bericht. Op basis van de SCL-waarde wordt de relevante actie uitgevoerd door het Intelligente berichtenfilter (IMF) van Exchange Server. Spamfiltering 17

18 Greylisting Greylisting is een methode om gebruikers te beschermen tegen spam waarbij de volgende techniek wordt gebruikt: De transportagent stuurt een SMTP-retourwaarde voor tijdelijk weigeren (de standaardinstelling is 451/4.7.1) voor alle van een afzender die niet wordt herkend. Een legitieme server zal proberen het bericht opnieuw te bezorgen. Verzenders van spam zullen het bericht meestal niet opnieuw proberen te verzenden, omdat zij duizenden adressen tegelijk verwerken en er doorgaans geen tijd is om opnieuw te verzenden. Bij de evaluatie van de berichtbron wordt bij deze methode rekening gehouden met de configuraties van de lijst Toegestane IP-adressen, de lijst Genegeerde IP-adressen, de lijsten Veilige afzenders en IP toestaan op de Exchange-server, en de AntispamBypass-instellingen voor het postvak van de ontvanger. Greylisting moet grondig worden geconfigureerd, anders kunnen verwerkingsfouten voorkomen (bijvoorbeeld vertragingen bij de bezorging van legitieme berichten, enz.). Deze negatieve effecten nemen voortdurend af, omdat bij deze methode de interne witte lijst wordt gevuld met vertrouwde verbindingen. Als u niet bekend bent met deze methode, of als u de neveneffecten niet acceptabel vindt, wordt u aanbevolen deze methode uit te schakelen in het menu met geavanceerde instellingen onder Antispambeveiliging > Microsoft Exchange Server > Transportagent > Greylisting inschakelen. U wordt aanbevolen greylisting uit te schakelen als u van plan bent de basisfunctionaliteit van het product te testen en u de geavanceerde functies van het programma niet wilt configureren. OPMERKING: greylisting is een extra laag antispambeveiliging en is niet van invloed op de spamevaluatiemogelijkheden van de antispammodule. Instellingen voor antivirusbeveiliging Quarantaine Afhankelijk van de gebruikte opschoonmethode, wordt u aanbevolen een actie te configureren die moet worden uitgevoerd op geïnfecteerde (niet-opgeschoonde) berichten. Deze optie kan worden ingesteld in het venster met geavanceerde instellingen: Serverbeveiliging > Antivirus en antispyware > Microsoft Exchange Server > Transportagent. Als de optie voor het verplaatsen van berichten naar de quarantaine is ingeschakeld, moet de quarantaine worden geconfigureerd via Serverbeveiliging > Berichtenquarantaine in het venster met geavanceerde instellingen. Prestaties Als er geen verdere beperkingen zijn, wordt u aanbevolen het aantal ThreatSense-scanengines te verhogen in het venster met geavanceerde instellingen (F5) onder Computerbeveiliging > Antivirus en antispyware > Prestaties. Gebruik hierbij de volgende formule: aantal ThreatSense-scanthreads = (aantal fysieke CPU's x 2) + 1. Tevens moet het aantal scanthreads gelijk zijn aan het aantal ThreatSense-scanengines. U kunt het aantal scanthreads configureren via Serverbeveiliging > Antivirus en antispyware > Microsoft Exchange Server > VSAPI > Performance. Hier volgt een voorbeeld: Laten we zeggen dat u een server hebt met 4 fysieke CPU's. Voor de beste prestaties moet u, volgens de bovenstaande formule, 9 scanthreads en 9 scanengines hebben. OPMERKING: Waarden van 1-20 worden geaccepteerd, dus het maximale aantal ThreatSense-scanengines dat u kunt gebruiken, is 20. De wijziging gaat pas in nadat u opnieuw hebt opgestart. OPMERKING: U wordt aanbevolen net zoveel scanthreads in te stellen als het aantal gebruikte ThreatSensescanengines. Het heeft geen invloed op de prestaties wanneer u meer scanthreads dan scanengines gebruikt. OPMERKING: Als u ESET Mail Security gebruikt op een Windows-server die fungeert als terminalserver en u niet wilt dat de GUI van ESET Mail Security telkens wordt opgestart wanneer een gebruiker zich aanmeldt, raadpleegt u het hoofdstuk GUI uitschakelen op terminalserver 123 voor de specifieke stappen om de GUI uit te schakelen. 18

19 3. ESET Mail Security - Beveiliging Microsoft Exchange Server ESET Mail Security biedt significante beveiliging voor uw Microsoft Exchange Server. Er zijn drie essentiële beveiligingstypen: antivirus, antispam en de toepassing van door de gebruiker gedefinieerde regels. ESET Mail Security biedt beveiliging tegen verschillende malwaretypen, inclusief bijlagen die zijn geïnfecteerd met wormen of Trojaanse paarden, documenten met schadelijke scripts, phishing en spam. ESET Mail Security filtert schadelijke inhoud op het niveau van de server voordat het Postvak IN van de client van de ontvanger bereikt wordt. In de volgende hoofdstukken worden alle beschikbare opties en instellingen beschreven, zodat u de beveiliging van uw Microsoft Exchange Server nauwkeurig kunt afstellen. 3.1 Algemene instellingen In dit gedeelte wordt beschreven hoe u regels, logbestanden, berichtquarantaine en prestatieparameters kunt beheren Microsoft Exchange Server VSAPI (Virus-Scanning Application Programming Interface) Microsoft Exchange Server biedt een mechanisme om te zorgen dat ieder berichtonderdeel wordt gescand met de huidige database met viruskenmerken. Als een berichtonderdeel nog niet is gescand, wordt het onderdeel naar de scanner gestuurd voordat het bericht aan de client wordt vrijgegeven. Elke ondersteunde versie van Microsoft Exchange Server (2000/2003/2007/2010) biedt een andere versie van VSAPI. Gebruik het selectievakje om het automatisch starten van de door uw Exchange-server gebruikte VSAPI-versie in of uit te schakelen Transportagent In dit gedeelte kunt u de transportagent configureren om automatisch te starten en de laadprioriteit van de agent instellen. Op Microsoft Exchange Server 2007 en later is het alleen mogelijk een transportagent te installeren als de server een van de volgende twee functies heeft: Edge-transport of Hubtransport. OPMERKING: de transportagent is niet beschikbaar in Microsoft Exchange Server 5.5 (VSAPI 1.0). In het menu Prioriteitsinstellingen agent kunt u de prioriteit instellen van ESET Mail Security-agenten. Het 19

20 getalbereik van de agentprioriteit is afhankelijk van de versie van Microsoft Exchange Server (hoe lager het nummer, hoe hoger de prioriteit). Spamwaarschijnlijkheidswaarde (SCL) naar koptekst van gescande berichten schrijven op basis van spamscore: SCL is een genormaliseerde waarde die aan een bericht wordt toegewezen om de waarschijnlijkheid aan te geven of een bericht spam is (op basis van de karakteristieken van de berichtkop, het onderwerp, de inhoud, enzovoort). Een classificatie van 0 geeft aan dat het bericht waarschijnlijk geen spam is, terwijl een classificatie van 9 aangeeft dat het bericht zeer waarschijnlijk spam is. SCL-waarden kunnen verder verwerkt worden door het Intelligente berichtenfilter van Microsoft Exchange Server (of Agent voor inhoudsfilters). Raadpleeg de documentatie van Microsoft Exchange Server voor meer informatie. De optie Bij verwijderen van berichten SMTP-weigeringsantwoord verzenden: Als deze optie niet is ingeschakeld, verstuurt de server een OK SMTP-antwoord naar de MTA (Mail Transfer Agent) van de afzender in de notatie " Aangevraagde mailactie OK, voltooid" en voert vervolgens een Silent Drop uit. Indien ingeschakeld wordt een SMTP-weigeringsantwoord teruggestuurd naar de MTA van de afzender. U kunt een antwoordbericht typen in de volgende notatie: Primaire antwoordcode 250 Aanvullende statuscode Beschrijving Aangevraagde mailactie OK, voltooid Aangevraagde actie afgebroken: lokale fout bij verwerking Aangevraagde actie niet uitgevoerd: postvak niet beschikbaar Waarschuwing: onjuiste syntaxis van de SMTP-antwoordcodes kan leiden tot een verkeerde werking van programmaonderdelen en een verlaagde effectiviteit. OPMERKING: u kunt ook systeemvariabelen gebruiken bij het configureren van SMTP-weigeringsantwoorden. 20

21 3.1.2 Regels Met het menuonderdeel Regels kunnen beheerders handmatig voorwaarden voor filtering en te nemen acties bij gefilterde s definiëren. De regels worden toegepast volgens een verzameling gecombineerde voorwaarden. Meerdere voorwaarden worden gecombineerd met de logische operator AND, waardoor de regel alleen wordt toegepast als aan alle voorwaarden wordt voldaan. In de kolom Nummer (naast de naam van iedere regel) wordt het aantal keer weergegeven dat de regel is toegepast. De regels worden toegepast op een bericht wanneer het wordt verwerkt door de transportagent (TA) of VSAPI. Wanneer zowel de TA als VSAPI zijn ingeschakeld en het bericht overeenkomt met de regelvoorwaarden, kan de regeltelling worden verhoogd met 2 of meer. Dit komt doordat de VSAPI ieder onderdeel van het bericht afzonderlijk benadert (hoofdtekst, bijlage), wat betekent dat regels als gevolg hiervan op ieder onderdeel afzonderlijk worden toegepast. Regels worden ook toegepast tijdens scans op de achtergrond (bijvoorbeeld een herhaalde scan van het postvakarchief na de update van de database met viruskenmerken), waardoor de regeltelling kan toenemen. Toevoegen...: hiermee wordt een nieuwe regel toegevoegd. Bewerken... : hiermee wordt een bestaande regel bewerkt Verwijderen: hiermee wordt de geselecteerde regel verwijderd Wissen: hiermee wordt de regeltelling gewist (de kolom Treffers) Omhoog verplaatsen: hiermee wordt de geselecteerde regel omhoog in de lijst verplaatst Omlaag verplaatsen: hiermee wordt de geselecteerde regel omlaag in de lijst verplaatst Door de selectie van een selectievakje op te heffen (links van iedere regelnaam), wordt de huidige regel uitgeschakeld. Hierdoor kan de regel indien nodig opnieuw worden geactiveerd. OPMERKING: u kunt ook systeemvariabelen gebruiken bij de configuratie van regels (bijvoorbeeld %PATHEXT%). OPMERKING: als een nieuwe regel is toegevoegd of een bestaande regel gewijzigd is, worden berichten automatisch opnieuw gescand met de nieuwe/gewijzigde regels. 21

22 Nieuwe regels toevoegen Met deze wizard wordt u begeleid bij het toevoegen van door de gebruiker opgegeven regels met gecombineerde voorwaarden. OPMERKING: niet alle voorwaarden zijn van toepassing wanneer het bericht door de transportagent wordt gescand. Op doelpostvak: is van toepassing op de naam van een postvak (VSAPI). Op berichtontvanger: is van toepassing op een bericht dat is verzonden naar een bepaalde ontvanger (VSAPI + TA) Op berichtafzender: is van toepassing op een bericht dat is verzonden door een bepaalde afzender (VSAPI + TA) Op berichtonderwerp: is van toepassing op een bericht met een bepaalde onderwerpregel (VSAPI + TA) Op berichtinhoud: is van toepassing op een bericht met een bepaalde tekst in de hoofdtekst van het bericht (VSAPI) Op bijlagenaam is van toepassing op een bericht met een bepaalde bijlagenaam (VSAPI in Exchange 2000 en 2003, VSAPI + TA in Exchange 2007 en 2010) Op bijlagegrootte: is van toepassing op een bericht met een bijlage die een bepaalde grootte overschrijdt (VSAPI in Exchange 2000 en 2003, VSAPI + TA in Exchange 2007 en 2010) Op voorvalfrequentie is van toepassing op objecten ( tekst of bijlage) waarbij het aantal voorvallen binnen het opgegeven tijdinterval groter is dan het opgegeven getal (VSAPI). Dit is met name nuttig als u steeds spam ontvangt met dezelfde hoofdtekst in het bericht of met dezelfde bijlagen Op bijlagetype: is van toepassing op een bericht met een bijlage van een opgegeven bestandstype (het werkelijke bestandstype wordt gedetecteerd aan de hand van de inhoud, ongeacht de bestandsextensie) (VSAPI) Bij het opgeven van de bovenstaande voorwaarden (behalve van de voorwaarde Op bijlagegrootte) is het voldoende om slechts een deel van een frase in te vullen als de optie Alleen hele woorden niet is geselecteerd. Waarden zijn niet hoofdlettergevoelig, tenzij de optie Identieke hoofdletters/kleine letters is geselecteerd. Als u andere tekens gebruikt dan alfanumerieke tekens, gebruikt u haakjes en aanhalingstekens. U kunt ook voorwaarden maken met de logische operators AND, OR en NOT. OPMERKING: de lijst met beschikbare regels is afhankelijk van de geïnstalleerde versie van Microsoft Exchange Server. OPMERKING: In Microsoft Exchange Server 2000 (VSAPI 2.0) wordt alleen de weergegeven naam van afzenders/ ontvangers geëvalueerd en niet het adres. adressen worden geëvalueerd vanaf Microsoft Exchange Server 2003 (VSAPI 2.5) en later. Voorbeelden van het invoeren van voorwaarden: Op doelpostvak: smit Op berichtafzender: smit@mail.com Op berichtontvanger: "J.Smit" of "smit@mail.com" 22

23 Op berichtonderwerp: "" Op bijlagenaam: ".com" OR ".exe" Op berichtinhoud: ("gratis" OR "loterij") AND ("win" OR "koop") Uitgevoerde actie bij het toepassen van regels In dit gedeelte kunt u acties selecteren die moeten worden genomen bij berichten en/of bijlagen die voldoen aan de voorwaarden in regels. U kunt geen actie ondernemen, het bericht markeren als bedreiging/spam of het volledige bericht verwijderen. Wanneer een bericht of de bijlage voldoet aan de voorwaarden van de regel, wordt het standaard niet gescand door de antivirus- of antispammodules, tenzij scannen expliciet is ingeschakeld door de respectieve selectievakjes onder aan de lijst in te schakelen (de genomen actie is dan afhankelijk van de antivirus-/ antispaminstellingen). Geen actie: er wordt geen actie uitgevoerd op het bericht. Actie uitvoeren voor niet-opgeschoonde bedreiging: het bericht wordt gemarkeerd alsof het een nietopgeschoonde bedreiging bevat (of het bericht nu een bedreiging bevat of niet). Actie uitvoeren voor ongevraagde - het bericht wordt gemarkeerd alsof het spam is (ongeacht of het spam is of niet). Deze optie werkt alleen als antispambeveiliging 37 is ingeschakeld en de actie wordt uitgevoerd op het niveau van de transportagent. Anders wordt deze actie niet uitgevoerd Bericht verwijderen: hiermee wordt het volledige bericht met inhoud die aan de voorwaarden voldoet verwijderd; deze actie werkt echter alleen bij VSAPI 2.5 en nieuwer (VSAPI 2.0 en ouder kunnen deze actie niet uitvoeren) Bestand in quarantaine plaatsen - bijgevoegd bestand dat of bijgevoegde bestanden die voldoen aan de regelcriteria worden in bestandsquarantaine geplaatst van ESET Mail Security. Verwar dit niet met de quarantaine (zie Berichtenquarantaine 25 voor meer informatie over quarantaine) Bestand verzenden voor analyse - verzendt verdachte bijlagen voor analyse naar het ESET-lab Gebeurtenismelding verzenden: hiermee wordt een melding naar de beheerder verzonden (op basis van de instellingen in Hulpmiddelen > Waarschuwingen en meldingen) Logbestand: hiermee wordt informatie over de toegepaste regel naar het programmalogbestand geschreven Overige regels evalueren: hiermee kunnen andere regels worden geëvalueerd, waardoor u meerdere voorwaardenverzamelingen en te nemen acties kunt definiëren bij bepaalde voorwaarden Scannen met antivirus- en antispywarebeveiliging: hiermee worden het bericht en de bijlagen op bedreigingen gescand Scannen met antispambeveiliging: hiermee wordt het bericht op spam gescand. OPMERKING: deze optie is alleen beschikbaar in Microsoft Exchange Server 2000 en later met de transportagent ingeschakeld. De laatste stap in de wizard voor het maken van nieuwe regels is om iedere regel een naam te geven. U kunt ook een Opmerking bij regel toevoegen. Deze informatie wordt opgeslagen in het logboek van Microsoft Exchange Server. 23

24 3.1.3 Logbestanden Met de instellingen voor logbestanden kunt u kiezen hoe het logbestand wordt samengesteld. Een protocol met meer details kan meer informatie bevatten, maar kan de serverprestaties verlagen. Als de optie Gesynchroniseerd schrijven zonder gebruik van cache is ingeschakeld, worden alle logboekvermeldingen onmiddellijk in het logbestand geschreven zonder dat deze eerst in de logcache worden geplaatst. Standaard worden de logberichten van ESET Mail Security-onderdelen die worden uitgevoerd in het Microsoft Exchange Server-archief opgeslagen in de interne cache van deze onderdelen, en worden de logberichten periodiek naar het toepassingslogboek verzonden om de prestaties zo min mogelijk te beïnvloeden. Echter, in dit geval worden de diagnostische vermeldingen mogelijk niet in de juiste volgorde opgenomen in het logbestand. U wordt aanbevolen deze instelling niet in te schakelen, tenzij dit vereist is voor diagnostiek. U kunt het type informatie dat wordt opgeslagen in de logbestanden opgeven in het menu Inhoud. Regeltoepassing in logbestand opnemen: wanneer deze optie is ingeschakeld, wordt de naam van alle geactiveerde regels door ESET Mail Security in het logbestand geschreven. Spamscore in logbestand opnemen: Gebruik deze optie om aan spam gerelateerde activiteit naar het antispamlogboek 97 te laten schrijven. Wanneer de server een spambericht ontvangt, wordt informatie hierover naar het logbestand geschreven met details zoals de tijd/datum, afzender, ontvanger, onderwerp, spamscore, reden en actie. Dit is nuttig wanneer u moet achterhalen welke spamberichten zijn ontvangen, wanneer dit gebeurde en welke actie is ondernomen. Greylistingactiviteit in logbestand opnemen: Schakel deze optie in als u wilt dat aan greylisting gerelateerde activiteit wordt geschreven naar het greylistinglogboek 97. Het biedt informatie zoals tijd/datum, HELO-domein, IP-adres, afzender, ontvanger, actie, enzovoort. OPMERKING: deze optie werkt alleen wanneer greylisting is ingeschakeld in de opties van de transportagent 38 onder Serverbeveiliging > Antispambeveiliging > Microsoft Exchange Server > Transportagent in de structuur met geavanceerde instellingen (F5). Prestaties in logbestand opnemen: hiermee wordt informatie geregistreerd over de tijdsduur van een uitgevoerde taak, de grootte van het gescande object, de overdrachtssnelheid (kb/s) en de prestatiewaardering. Diagnostische informatie in logbestand opnemen: Hiermee wordt de benodigde diagnostische informatie geregistreerd voor het nauwkeurig afstellen van het programma op het protocol. Deze optie is voornamelijk bedoeld voor het opsporen van fouten en problemen. Het ingeschakeld laten van deze optie wordt niet aanbevolen. Om de diagnostische informatie te zien die door deze functie wordt geleverd, moet het Minimale detailniveau bij logboekregistratie zijn ingesteld op Diagnostische records in de instelling Hulpmiddelen > 24

25 Logbestanden > Minimale detailniveau bij logboekregistratie Berichtenquarantaine De Berichtenquarantaine is een speciaal postvak dat door de systeembeheerder wordt gedefinieerd voor het opslaan van mogelijk geïnfecteerde berichten en spam. Berichten die in quarantaine zijn geplaatst kunnen worden geanalyseerd of later worden opgeschoond met een nieuwere database met viruskenmerken. Er zijn twee systemen voor berichtenquarantaine die kunnen worden gebruikt. De ene optie is om het quarantainesysteem van Microsoft Exchange te gebruiken (dit is alleen van toepassing op Microsoft Exchange Server 2007/2010). Hierbij wordt het interne mechanisme van Exchange gebruikt voor het opslaan van mogelijk geïnfecteerde berichten en spam. Daarnaast kunt u een afzonderlijk quarantainepostvak toevoegen (of een aantal postvakken) voor specifieke ontvangers. Dit betekent dat mogelijk geïnfecteerde berichten die eigenlijk verzonden zijn aan een bepaalde ontvanger worden bezorgd in een afzonderlijk quarantainepostvak in plaats van in het interne quarantainepostvak van Exchange. Dit kan in sommige gevallen nuttig zijn om mogelijk geïnfecteerde berichten en spam beter te organiseren. De andere optie is het gebruik van de Algemene berichtenquarantaine. Als u een eerdere versie van Microsoft Exchange Server gebruikt (5.5, 2000 of 2003), selecteert u gewoon Algemene berichtenquarantaine. Dit is een postvak dat wordt gebruikt voor het opslaan van mogelijk geïnfecteerde berichten. Hierbij wordt het interne quarantainesysteem van Exchange niet gebruikt. In plaats daarvan wordt hiervoor een door de systeembeheerder gespecificeerd postvak gebruikt. Net zoals bij de eerste optie kunt u een afzonderlijk quarantainepostvak toevoegen (of een aantal postvakken) voor specifieke ontvangers. Hierdoor worden mogelijk geïnfecteerde berichten bezorgd in een afzonderlijk postvak in plaats van in de algemene berichtenquarantaine. 25

26 Algemene berichtenquarantaine: Hier kunt u het adres van een algemene berichtenquarantaine opgeven (bijvoorbeeld hoofdquarantaine@bedrijf.com), of u kunt het interne quarantainesysteem van Microsoft Exchange Server 2007/2010 gebruiken door dit veld leeg te laten en in de vervolgkeuzelijst onderaan de optie Bericht in systeemquarantaine van mailserver plaatsen te selecteren (vooropgesteld dat de Exchange-quarantaine in uw omgeving aanwezig is). s worden dan in de quarantaine geplaatst door het interne mechanisme van Exchange volgens de eigen instellingen. OPMERKING: Standaard is deze interne quarantaine binnen Exchange niet geactiveerd. Als u deze wilt activeren, opent u de Exchange-beheershell en voert u de volgende opdracht in: Set-ContentFilterConfig -Quarantin box naam@domein.com (vervang naam@domein.com door het feitelijke postvak dat door Microsoft Exchange moet worden gebruikt als een intern quarantainepostvak, bijvoorbeeld exchange-quarantaine@bedrijf.com) Berichtenquarantaine op ontvanger: Door deze optie te gebruiken kunt u postvakken voor berichtenquarantaine opgeven voor meerdere ontvangers. Iedere quarantaineregel kan worden in- of uitgeschakeld door het selectievakje van de rij in of uit te schakelen. Toevoegen...: hiermee kunt u een nieuwe quarantaineregel toevoegen door het adres van de gewenste ontvanger in te voeren en het quarantaineadres waarnaar de wordt doorgestuurd. Bewerken...: hiermee kunt u de geselecteerde quarantaineregel bewerken. Verwijderen: hiermee kunt u de geselecteerde quarantaineregel verwijderen. Voorkeur voor algemene berichtenquarantaine: wanneer deze optie is ingeschakeld, wordt een bericht bezorgd in de opgegeven algemene quarantaine als er aan meer dan één quarantaineregel wordt voldaan (bijvoorbeeld als een bericht meerdere ontvangers heeft en enkele hiervan in meerdere quarantaineregels zijn opgegeven). Bericht bedoeld voor niet-bestaande berichtenquarantaine (als u geen algemene berichtenquarantaine hebt opgegeven, hebt u de volgende opties om te bepalen welke actie moet worden uitgevoerd op mogelijk geïnfecteerde berichten en spam) Geen actie: een bericht wordt op de standaardmanier verwerkt, namelijk bezorgd aan de ontvanger (niet aanbevolen). Bericht verwijderen: Een bericht wordt verwijderd als het is geadresseerd aan een ontvanger zonder bestaande quarantaineregel en er geen algemene berichtenquarantaine is opgegeven. Dit betekent dat alle mogelijk geïnfecteerde berichten en spam automatisch worden verwijderd zonder ergens te worden opgeslagen. Bericht in systeemquarantaine van mailserver plaatsen: een bericht wordt in de interne berichtenquarantaine van Exchange geplaatst en opgeslagen (niet beschikbaar voor Microsoft Exchange Server 2003 en eerder). OPMERKING: u kunt ook systeemvariabelen gebruiken bij de configuratie van instellingen voor berichtenquarantaine (bijvoorbeeld %GEBRUIKERSNAAM%) Een nieuwe quarantaineregel toevoegen Geef in de juiste velden het adres van de ontvanger op en het adres van de quarantaine. Als u een bericht wilt verwijderen dat is geadresseerd aan een ontvanger waarop geen quarantaineregel wordt toegepast, kunt u Bericht verwijderen selecteren in het vervolgkeuzemenu Bericht bedoeld voor nietbestaande berichtenquarantaine. 26

27 3.1.5 Prestaties In deze sectie kunt u een map opgeven waarin tijdelijke bestanden worden opgeslagen om de programmaprestaties te verbeteren. Als er geen map wordt opgegeven, worden tijdelijke bestanden van ESET Mail Security opgeslagen in de tijdelijke map van het systeem. OPMERKING: Om de mogelijke gevolgen van invoer/uitvoer en fragmentatie te beperken, wordt u aanbevolen de tijdelijke map op een andere harde schijf te plaatsen dan de schijf waarop Microsoft Exchange Server is geïnstalleerd. U wordt ten zeerste afgeraden de tijdelijke map toe te wijzen aan verwisselbare media zoals diskettes, USB-stations, dvd's, enz. OPMERKING: u kunt systeemvariabelen gebruiken bij de configuratie van prestatie-instellingen (bijvoorbeeld % SystemRoot%\TEMP). 3.2 Antivirus- en antispyware-instellingen U kunt antivirus- en antispywarebeveiliging voor uw server inschakelen door de optie Antivirus- en antispywarebeveiliging op server inschakelen te selecteren. Opmerking: de antivirus- en antispywarebeveiliging wordt telkens automatisch ingeschakeld wanneer de service/computer opnieuw wordt opgestart. De instellingen voor de parameters van de ThreatSense-engine zijn toegankelijk door op de knop Instellingen te klikken. 27

28 3.2.1 Microsoft Exchange Server In het geval van antivirus- en antispywarebeveiliging maakt ESET Mail Security voor Microsoft Exchange Server gebruik van twee scantypen. Met het ene type worden berichten gescand via VSAPI en het andere type gebruikt de transportagent. Bij de beveiliging met VSAPI 28 worden berichten direct gescand in het Exchange Server-archief. Bij beveiliging met de transportagent 34 wordt het SMTP-verkeer gescand in plaats van het Exchange Serverarchief zelf. Als dit type beveiliging is ingeschakeld, worden alle berichten en de bijbehorende onderdelen gescand tijdens het transport, nog voordat het Exchange Server-archief wordt bereikt of voordat deze worden verzonden via SMTP. SMTP-filtering op serverniveau wordt beveiligd met een speciale invoegtoepassing. In Microsoft Exchange Server 2000 en 2003 wordt deze invoegtoepassing (Gebeurtenisopvanger) geregistreerd op de SMTPserver als onderdeel van Internet Information Services (IIS). In Microsoft Exchange Server 2007/2010 wordt de invoegtoepassing geregistreerd als een transportagent in de functies Edge of Hub van de Microsoft Exchange Server. OPMERKING: de transportagent is niet beschikbaar in Microsoft Exchange Server 5.5, de agent is echter wel beschikbaar in alle nieuwere versies van Microsoft Exchange Server (vanaf versie 2000). Antivirus- en antispywarebeveiliging door middel van VSAPI en de transportagent kan tegelijk worden uitgevoerd (dit is de standaardinstelling en de aanbevolen configuratie). Eventueel kunt u ervoor kiezen slechts één beveiligingstype te gebruiken (VSAPI of de transportagent). Ze kunnen onafhankelijk van elkaar in- of uitgeschakeld worden. U wordt aanbevolen beide typen te gebruiken voor maximale antivirus- en antispywarebeveiliging. Het uitschakelen van beide typen wordt niet aanbevolen VSAPI (Virus-Scanning Application Programming Interface) Microsoft Exchange Server biedt een mechanisme om te zorgen dat ieder berichtonderdeel wordt gescand met de huidige database met viruskenmerken. Als een bericht nog niet eerder is gescand, worden de overeenkomstige onderdelen naar de scanner gestuurd voordat het bericht aan de client wordt vrijgegeven. Iedere ondersteunde versie van Microsoft Exchange Server (5.5/2000/2003/2007/2010) biedt een andere versie van VSAPI Microsoft Exchange Server 5.5 (VSAPI 1.0) Deze versie van Microsoft Exchange Server bevat VSAPI versie 1.0. Als de optie Scannen op de achtergrond is ingeschakeld, kunnen alle berichten op de achtergrond van het systeem worden gescand. Microsoft Exchange Server bepaalt of een achtergrondscan wordt uitgevoerd of niet, op basis van verschillende factoren, zoals de huidige systeembelasting, het aantal actieve gebruikers, enz. Microsoft Exchange Server houdt een record bij met alle gescande berichten en de gebruikte versie van de database met viruskenmerken. Als u een bericht opent dat nog niet is gescand met de meest actuele versie van de database met viruskenmerken, stuurt Microsoft Exchange Server het bericht naar ESET Mail Security zodat het wordt gescand voordat het wordt geopend in uw client. Aangezien scannen op de achtergrond van invloed is op de systeembelasting (er wordt gescand na iedere update van de database met viruskenmerken), wordt u aanbevolen gepland te scannen buiten kantooruren. Gepland op de achtergrond scannen kan worden geconfigureerd via een speciale taak in de Taakplanner. Wanneer u een taak voor scannen op de achtergrond plant, kunt u de starttijd, het aantal herhalingen en andere beschikbare parameters instellen in de Taakplanner. Nadat de taak is gepland, wordt deze weergegeven in de lijst met geplande taken en, zoals bij de andere taken, kunt u de parameters ervan wijzigen, de taak verwijderen, of de taak tijdelijk uitschakelen. 28

29 Acties In dit gedeelte kunt u de acties specificeren die moeten worden uitgevoerd wanneer een bericht en/of bijlage als geïnfecteerd wordt beoordeeld. Met het veld Actie wanneer opschonen niet mogelijk is kunt u geïnfecteerde inhoud Blokkeren, het bericht Verwijderen of Geen actie ondernemen op de geïnfecteerde inhoud van het bericht. Deze actie wordt alleen toegepast als het bericht niet kon worden opgeschoond met automatisch opschonen (zoals gedefinieerd in Parameters ThreatSense-engine instellen > Opschonen 79 ). In het veld Verwijdering kunt u Verwijderingsmethode bijlage instellen op een van deze opties: Bestand afkappen tot lengte van nul: de bijlage wordt door ESET Mail Security afgekapt tot een grootte van nul en de ontvanger krijgt de naam en het type van het bestand in de bijlage te zien Bijlage vervangen door actie-informatie: het geïnfecteerde bestand wordt door ESET Mail Security vervangen door een virusprotocol of regelbeschrijving. Door op Opnieuw scannen te klikken worden berichten en bestanden die al eens gescand zijn opnieuw gescand Prestaties Tijdens een scan kunt u in Microsoft Exchange Server een tijdslimiet instellen voor het openen van berichtbijlagen. Deze tijd wordt ingesteld in het veld Tijdslimiet reactie (ms) en staat voor de periode waarna de client opnieuw zal proberen toegang te krijgen tot het bestand dat eerder vanwege scannen niet beschikbaar was Microsoft Exchange Server 2000 (VSAPI 2.0) Deze versie van Microsoft Exchange Server bevat VSAPI versie 2.0. Als u de optie Antivirus en antispywarebeveiliging VSAPI 2.0 inschakelen uitschakelt, blijft de ESET Mail Security-invoegtoepassing voor Exchange-server geladen in het proces van Microsoft Exchange Server. De berichten worden doorlopen zonder te scannen op virussen. De berichten worden echter nog steeds gescand op spam 38 en de regels 21 worden wel toegepast. Als de optie Proactief scannen is ingeschakeld, worden nieuwe binnenkomende berichten gescand in dezelfde volgorde als waarin ze worden ontvangen. Als deze optie is ingeschakeld en een gebruiker een bericht opent dat nog niet is gescand, wordt het bericht gescand vóór de andere berichten in de wachtrij. Met de optie Scannen op de achtergrond kunnen alle berichten op de achtergrond van het systeem worden gescand. Microsoft Exchange Server bepaalt of een achtergrondscan wordt uitgevoerd of niet, op basis van verschillende factoren, zoals de huidige systeembelasting, het aantal actieve gebruikers, enz. Microsoft Exchange Server houdt een record bij met alle gescande berichten en de gebruikte versie van de database met viruskenmerken. Als u een bericht opent dat nog niet is gescand met de meest actuele versie van de database met viruskenmerken, stuurt Microsoft Exchange Server het bericht naar ESET Mail Security zodat het wordt gescand voordat het wordt geopend in uw client. Aangezien scannen op de achtergrond van invloed is op de systeembelasting (er wordt gescand na iedere update van de database met viruskenmerken), wordt u aanbevolen gepland te scannen buiten kantooruren. Gepland op de achtergrond scannen kan worden geconfigureerd via een speciale taak in de Taakplanner. Wanneer u een taak voor scannen op de achtergrond plant, kunt u de starttijd, het aantal herhalingen en andere beschikbare parameters instellen in de Taakplanner. Nadat de taak is gepland, wordt deze weergegeven in de lijst met geplande taken en, zoals bij de andere taken, kunt u de parameters ervan wijzigen, de taak verwijderen, of de taak tijdelijk uitschakelen. Als u berichten met tekst zonder opmaak wilt scannen, selecteert u de optie Inhoud van berichten met tekst zonder opmaak scannen. Door de optie Inhoud RTF-berichten scannen in te schakelen wordt de inhoud van RTF-berichten gescand. De inhoud van RTF-berichten kan macrovirussen bevatten. 29

30 Acties In dit gedeelte kunt u de acties specificeren die moeten worden uitgevoerd wanneer een bericht en/of bijlage als geïnfecteerd wordt beoordeeld. Met het veld Actie wanneer opschonen niet mogelijk is kunt u geïnfecteerde inhoud Blokkeren, het bericht Verwijderen of Geen actie ondernemen op de geïnfecteerde inhoud van het bericht. Deze actie wordt alleen toegepast als het bericht niet kon worden opgeschoond met automatisch opschonen (zoals gedefinieerd in Parameters ThreatSense-engine instellen > Opschonen 79 ). Met de optie Verwijdering kunt u Verwijderingsmethode bericht en Verwijderingsmethode bijlage instellen. U kunt Verwijderingsmethode bericht instellen op: Berichttekst verwijderen: hiermee wordt de hoofdtekst van het geïnfecteerde bericht verwijderd, de ontvanger ontvangt een leeg bericht en eventuele niet-geïnfecteerde bijlagen Berichttekst herschrijven met actie-informatie: hiermee wordt de hoofdtekst van het geïnfecteerde bericht herschreven met informatie over uitgevoerde acties. U kunt Verwijderingsmethode bijlage instellen op: Bestand afkappen tot lengte van nul: de bijlage wordt door ESET Mail Security afgekapt tot een grootte van nul en de ontvanger krijgt de naam en het type van het bestand in de bijlage te zien Bijlage vervangen door actie-informatie: het geïnfecteerde bestand wordt door ESET Mail Security vervangen door een virusprotocol of regelbeschrijving. Door op Opnieuw scannen te klikken worden berichten en bestanden die al eens gescand zijn opnieuw gescand Prestaties In dit gedeelte kunt u het aantal onafhankelijke scanthreads instellen dat tegelijkertijd gebruikt wordt. Meer threads op computers met meerdere processors kunnen de scansnelheid verhogen. Voor de beste programmaprestaties adviseren we een gelijk aantal ThreatSense-scanengines en scanthreads. Met Tijdslimiet reactie (sec.) kunt u de maximale tijd instellen voor het wachten door een thread voor het voltooien van een berichtscan. Als de scan niet wordt voltooid binnen deze tijdslimiet, weigert Microsoft Exchange Server de client toegang tot de . Het scannen wordt niet onderbroken en nadat dit is voltooid, wordt iedere andere poging tot toegang tot het bestand toegestaan. TIP: Om het Aantal scan-threads te bepalen dat door de Microsoft Exchange Server wordt aanbevolen, gebruikt u de volgende formule: [aantal fysieke processors] x OPMERKING: de prestaties worden niet significant verbeterd als er meer ThreatSense-scanengines zijn dan scanthreads. 30

31 Microsoft Exchange Server 2003 (VSAPI 2.5) Deze versie van Microsoft Exchange Server bevat VSAPI versie 2.5. Als u de optie Antivirus en antispywarebeveiliging VSAPI 2.5 inschakelen uitschakelt, blijft de ESET Mail Security-invoegtoepassing voor Exchange-server geladen in het proces van Microsoft Exchange Server. De berichten worden doorlopen zonder te scannen op virussen. De berichten worden echter nog steeds gescand op spam 38 en de regels 21 worden wel toegepast. Als de optie Proactief scannen is ingeschakeld, worden nieuwe binnenkomende berichten gescand in dezelfde volgorde als waarin ze worden ontvangen. Als deze optie is ingeschakeld en een gebruiker een bericht opent dat nog niet is gescand, wordt het bericht gescand vóór de andere berichten in de wachtrij. Met de optie Scannen op de achtergrond kunnen alle berichten op de achtergrond van het systeem worden gescand. Microsoft Exchange Server bepaalt of een achtergrondscan wordt uitgevoerd of niet, op basis van verschillende factoren, zoals de huidige systeembelasting, het aantal actieve gebruikers, enz. Microsoft Exchange Server houdt een record bij met alle gescande berichten en de gebruikte versie van de database met viruskenmerken. Als u een bericht opent dat nog niet is gescand met de meest actuele versie van de database met viruskenmerken, stuurt Microsoft Exchange Server het bericht naar ESET Mail Security zodat het wordt gescand voordat het wordt geopend in uw client. Aangezien scannen op de achtergrond van invloed is op de systeembelasting (er wordt gescand na iedere update van de database met viruskenmerken), wordt u aanbevolen gepland te scannen buiten kantooruren. Gepland op de achtergrond scannen kan worden geconfigureerd via een speciale taak in de Taakplanner. Wanneer u een taak voor scannen op de achtergrond plant, kunt u de starttijd, het aantal herhalingen en andere beschikbare parameters instellen in de Taakplanner. Nadat de taak is gepland, wordt deze weergegeven in de lijst met geplande taken en, zoals bij de andere taken, kunt u de parameters ervan wijzigen, de taak verwijderen, of de taak tijdelijk uitschakelen. Door de optie Inhoud RTF-berichten scannen in te schakelen wordt de inhoud van RTF-berichten gescand. De inhoud van RTF-berichten kan macrovirussen bevatten. Met de optie Getransporteerde berichten scannen worden berichten gescand die niet zijn opgeslagen op de lokale Microsoft Exchange Server en die worden bezorgd aan andere servers via de lokale Microsoft Exchange Server. De Microsoft Exchange Server kan worden geconfigureerd als gateway die berichten doorgeeft aan andere servers. Als scannen van getransporteerde berichten is ingeschakeld, worden deze berichten ook door ESET Mail Security gescand. Deze optie is alleen beschikbaar wanneer de transportagent is uitgeschakeld. OPMERKING: de hoofdtekst van met tekst zonder opmaak wordt niet gescand door VSAPI Acties In dit gedeelte kunt u de acties specificeren die moeten worden uitgevoerd wanneer een bericht en/of bijlage als geïnfecteerd wordt beoordeeld. Met het veld Actie wanneer opschonen niet mogelijk is kunt u geïnfecteerde inhoud Blokkeren, geïnfecteerde inhoud van het bericht Verwijderen, het Volledige bericht verwijderen, inclusief de geïnfecteerde inhoud, of Geen actie ondernemen. Deze actie wordt alleen toegepast als het bericht niet kon worden opgeschoond met automatisch opschonen (zoals gedefinieerd in Parameters ThreatSense-engine instellen > Opschonen 79 ). Met de optie Verwijdering kunt u Verwijderingsmethode bericht en Verwijderingsmethode bijlage instellen. U kunt Verwijderingsmethode bericht instellen op: Berichttekst verwijderen: hiermee wordt de hoofdtekst van het geïnfecteerde bericht verwijderd, de ontvanger ontvangt een leeg bericht en eventuele niet-geïnfecteerde bijlagen. Berichttekst herschrijven met actie-informatie: hiermee wordt de hoofdtekst van het geïnfecteerde bericht herschreven met informatie over uitgevoerde acties Volledige bericht verwijderen: Hiermee wordt het volledige bericht verwijderd, inclusief bijlagen. U kunt instellen welke actie moet worden uitgevoerd bij het verwijderen van bijlagen. 31

32 U kunt Verwijderingsmethode bijlage instellen op: Bestand afkappen tot lengte van nul: de bijlage wordt door ESET Mail Security afgekapt tot een grootte van nul en de ontvanger krijgt de naam en het type van het bestand in de bijlage te zien. Bijlage vervangen door actie-informatie: het geïnfecteerde bestand wordt door ESET Mail Security vervangen door een virusprotocol of regelbeschrijving Volledige bericht verwijderen: Hiermee wordt het volledige bericht verwijderd, inclusief bijlagen. U kunt instellen welke actie moet worden uitgevoerd bij het verwijderen van bijlagen. Door op Opnieuw scannen te klikken worden berichten en bestanden die al eens gescand zijn opnieuw gescand Prestaties In dit gedeelte kunt u het aantal onafhankelijke scanthreads instellen dat tegelijkertijd gebruikt wordt. Meer threads op computers met meerdere processors kunnen de scansnelheid verhogen. Voor de beste programmaprestaties adviseren we een gelijk aantal ThreatSense-scanengines en scanthreads. Met Tijdslimiet reactie (sec.) kunt u de maximale tijd instellen voor het wachten door een thread voor het voltooien van een berichtscan. Als de scan niet wordt voltooid binnen deze tijdslimiet, weigert Microsoft Exchange Server de client toegang tot de . Het scannen wordt niet onderbroken en nadat dit is voltooid, wordt iedere andere poging tot toegang tot het bestand toegestaan. TIP: Om het Aantal scan-threads te bepalen dat door de Microsoft Exchange Server wordt aanbevolen, gebruikt u de volgende formule: [aantal fysieke processors] x OPMERKING: de prestaties worden niet significant verbeterd als er meer ThreatSense-scanengines zijn dan scanthreads Microsoft Exchange Server 2007/2010 (VSAPI 2.6) Deze versie van Microsoft Exchange Server bevat VSAPI versie 2.6. Als u de optie Antivirus en antispywarebeveiliging VSAPI 2.6 inschakelen uitschakelt, blijft de ESET Mail Security-invoegtoepassing voor Exchange-server geladen in het proces van Microsoft Exchange Server. De berichten worden doorlopen zonder te scannen op virussen. De berichten worden echter nog steeds gescand op spam 38 en de regels 21 worden wel toegepast. Als de optie Proactief scannen is ingeschakeld, worden nieuwe binnenkomende berichten gescand in dezelfde volgorde als waarin ze worden ontvangen. Als deze optie is ingeschakeld en een gebruiker een bericht opent dat nog niet is gescand, wordt het bericht gescand vóór de andere berichten in de wachtrij. Met de optie Scannen op de achtergrond kunnen alle berichten op de achtergrond van het systeem worden gescand. Microsoft Exchange Server bepaalt of een achtergrondscan wordt uitgevoerd of niet, op basis van verschillende factoren, zoals de huidige systeembelasting, het aantal actieve gebruikers, enz. Microsoft Exchange Server houdt een record bij met alle gescande berichten en de gebruikte versie van de database met viruskenmerken. Als u een bericht opent dat nog niet is gescand met de meest actuele versie van de database met viruskenmerken, stuurt Microsoft Exchange Server het bericht naar ESET Mail Security zodat het wordt gescand voordat het wordt geopend in uw client. U kunt kiezen voor Alleen berichten met bijlage scannen en filteren op de tijd van ontvangst met de volgende opties voor het Scanniveau: Alle berichten Berichten die zijn ontvangen in het afgelopen jaar Berichten die zijn ontvangen in de afgelopen 6 maanden Berichten die zijn ontvangen in de afgelopen 3 maanden Berichten die zijn ontvangen in de afgelopen maand Berichten die zijn ontvangen in de afgelopen week Aangezien scannen op de achtergrond van invloed is op de systeembelasting (er wordt gescand na iedere update van de database met viruskenmerken), wordt u aanbevolen gepland te scannen buiten kantooruren. Gepland op de achtergrond scannen kan worden geconfigureerd via een speciale taak in de Taakplanner. Wanneer u een taak voor scannen op de achtergrond plant, kunt u de starttijd, het aantal herhalingen en andere beschikbare parameters instellen in de Taakplanner. Nadat de taak is gepland, wordt deze weergegeven in de lijst met geplande taken en, zoals bij de andere taken, kunt u de parameters ervan wijzigen, de taak verwijderen, of de taak tijdelijk uitschakelen. 32

33 Door de optie Inhoud RTF-berichten scannen in te schakelen wordt de inhoud van RTF-berichten gescand. De inhoud van RTF-berichten kan macrovirussen bevatten. OPMERKING: de hoofdtekst van met tekst zonder opmaak wordt niet gescand door VSAPI Acties In dit gedeelte kunt u de acties specificeren die moeten worden uitgevoerd wanneer een bericht en/of bijlage als geïnfecteerd wordt beoordeeld. Met het veld Actie wanneer opschonen niet mogelijk is kunt u geïnfecteerde inhoud Blokkeren, het Object verwijderen (de geïnfecteerde inhoud van het bericht), het Volledige bericht verwijderen, of Geen actie ondernemen. Deze actie wordt alleen toegepast als het bericht niet kon worden opgeschoond met automatisch opschonen (zoals gedefinieerd in Parameters ThreatSense-engine instellen > Opschonen 79 ). Zoals hierboven beschreven kunt u de optie Actie wanneer opschonen niet mogelijk is instellen op: Geen actie: geen actie ondernemen op de geïnfecteerde inhoud van het bericht Blokkeren: het bericht blokkeren voordat het wordt ontvangen in de opslag van Microsoft Exchange Server Object verwijderen: de geïnfecteerde inhoud van het bericht verwijderen Volledige bericht verwijderen: het volledige bericht verwijderen, inclusief de geïnfecteerde inhoud. Met de optie Verwijdering kunt u Verwijderingsmethode berichttekst en Verwijderingsmethode bijlage instellen. U kunt Verwijderingsmethode berichttekst instellen op: Berichttekst verwijderen: hiermee wordt de hoofdtekst van het geïnfecteerde bericht verwijderd, de ontvanger ontvangt een leeg bericht en eventuele niet-geïnfecteerde bijlagen Berichttekst herschrijven met actie-informatie: hiermee wordt de hoofdtekst van het geïnfecteerde bericht herschreven met informatie over uitgevoerde acties Volledige bericht verwijderen: Hiermee wordt het volledige bericht verwijderd, inclusief bijlagen. U kunt instellen welke actie moet worden uitgevoerd bij het verwijderen van bijlagen. U kunt Verwijderingsmethode bijlage instellen op: Bestand afkappen tot lengte van nul: de bijlage wordt door ESET Mail Security afgekapt tot een grootte van nul en de ontvanger krijgt de naam en het type van het bestand in de bijlage te zien Bijlage vervangen door actie-informatie: het geïnfecteerde bestand wordt door ESET Mail Security vervangen door een virusprotocol of regelbeschrijving Volledige bericht verwijderen: de bijlage verwijderen. Als de optie VSAPI-quarantaine gebruiken is ingeschakeld, worden geïnfecteerde berichten opgeslagen in de quarantaine van de server. Let op: dit is de beheerde VSAPI-quarantaine van de server (niet de quarantaine van de client of het quarantainepostvak). Geïnfecteerde berichten die zijn opgeslagen in de quarantaine van de server zijn niet toegankelijk totdat ze zijn opgeschoond met de recentste database met viruskenmerken. Door op Opnieuw scannen te klikken worden berichten en bestanden die al eens gescand zijn opnieuw gescand Prestaties In dit gedeelte kunt u het aantal onafhankelijke scanthreads instellen dat tegelijkertijd gebruikt wordt. Meer threads op computers met meerdere processors kunnen de scansnelheid verhogen. Voor de beste programmaprestaties adviseren we een gelijk aantal ThreatSense-scanengines en scanthreads. TIP: Om het Aantal scan-threads te bepalen dat door de Microsoft Exchange Server wordt aanbevolen, gebruikt u de volgende formule: [aantal fysieke processors] x OPMERKING: de prestaties worden niet significant verbeterd als er meer ThreatSense-scanengines zijn dan scanthreads. 33

34 Transportagent In dit gedeelte kunt u antivirus- en antispywarebeveiliging door de transportagent in- of uitschakelen. Op Microsoft Exchange Server 2007 en later is het alleen mogelijk een transportagent te installeren als de server een van de volgende twee functies heeft: Edge-transport of Hubtransport. Als er een bericht is dat niet kan worden opgeschoond, wordt het verwerkt volgens de instellingen in het gedeelte Transportagent. Het bericht kan worden verwijderd, naar het quarantainepostvak worden verzonden of worden behouden. Als u de optie Antivirus en antispywarebeveiliging door transportagent inschakelen uitschakelt, blijft de ESET Mail Security-invoegtoepassing voor Exchange-server geladen in het proces van Microsoft Exchange Server. De berichten worden doorlopen zonder te scannen op virussen. De berichten worden echter nog steeds gescand op spam 38 en de regels 21 worden wel toegepast. Wanneer u de optie Antivirus en antispywarebeveiliging door transportagent inschakelen selecteert, kunt u de optie Actie wanneer opschonen niet mogelijk is instellen: Bericht behouden: hiermee wordt een geïnfecteerd bericht dat niet kan worden opgeschoond behouden Bericht in quarantaine plaatsen: hiermee wordt een geïnfecteerd bericht naar het quarantainepostvak verzonden Bericht verwijderen: hiermee wordt een geïnfecteerd bericht verwijderd. Bij gevonden bedreiging spamscore naar koptekst van gescande berichten schrijven (%): hiermee stelt u een spamscore (de waarschijnlijkheid dat een bericht spam is) in op een bepaalde waarde, uitgedrukt als percentage. Dit betekent dat als een bedreiging wordt gevonden, een spamscore (opgegeven waarde in %) naar het gescande bericht wordt geschreven. Aangezien botnets verantwoordelijk zijn voor het versturen van de meeste geïnfecteerde berichten, worden bericht die op die manier worden verspreid ook aangemerkt als spam. Voor een goede werking van deze functie moet de optie Spamwaarschijnlijkheidswaarde (SCL) naar gescande berichten schrijven op basis van spamscore zijn ingeschakeld via Serverbeveiliging > Microsoft Exchange Server > Transportagent 19. Als de optie Ook berichten scannen die worden ontvangen van geverifieerde of interne verbindingen is ingeschakeld, voert ESET Mail Security ook scans uit op de berichten die worden ontvangen van geverifieerde bronnen of lokale servers. Het scannen van dergelijke berichten wordt aanbevolen aangezien het de beveiliging verhoogt, maar is optioneel. 34

35 3.2.2 Acties In dit gedeelte kunt u kiezen om een scantaak-id en/of informatie over het scanresultaat aan de koptekst van gescande berichten toe te voegen Waarschuwingen en meldingen Met ESET Mail Security kunt u tekst toevoegen aan het oorspronkelijke onderwerp of aan de hoofdtekst van geïnfecteerde berichten. 35

36 Toevoegen aan de tekst van gescande berichten: heeft drie opties: Niet aan berichten toevoegen Alleen aan geïnfecteerde berichten toevoegen Aan alle gescande berichten toevoegen (dit is niet van toepassing op interne berichten) Door de optie Opmerking toevoegen aan onderwerp geïnfecteerde berichten in te schakelen voegt ESET Mail Security een melding toe aan het onderwerp met de gedefinieerde waarde in het tekstveld Sjabloon toegevoegd aan onderwerp geïnfecteerde berichten (standaard [virus %VIRUSNAAM%]). De hierboven genoemde aanpassingen kunnen u helpen bij geautomatiseerd filteren van geïnfecteerde met een bepaald onderwerp om deze in een afzonderlijke map te laten plaatsen (indien ondersteund door uw client). OPMERKING: u kunt ook systeemvariabelen gebruiken bij het toevoegen van een sjabloon aan het berichtonderwerp Automatische uitsluitingen De ontwikkelaars van servertoepassingen en besturingssystemen raden aan bepaalde werkbestanden en -mappen van de meeste van hun producten uit te sluiten van antivirusscans. Antivirusscans kunnen een negatieve invloed hebben op de prestaties van een server, ze kunnen leiden tot conflicten en ze kunnen zelfs verhinderen dat bepaalde toepassingen worden uitgevoerd op de server. Met uitzonderingen kan het risico van mogelijke conflicten worden geminimaliseerd en kunnen de algehele prestaties van de server worden verbeterd bij het uitvoeren van antivirussoftware. ESET Mail Security identificeert essentiële servertoepassingen en bestanden van het besturingssysteem van de server, en voegt deze automatisch toe aan de lijst met uitzonderingen. Wanneer serverprocessen of servertoepassingen eenmaal aan de lijst zijn toegevoegd, kunnen ze worden ingeschakeld (de standaardinstelling) of uitgeschakeld door het bijbehorende selectievakje in of uit te schakelen. Dit heeft het volgende resultaat: 1) Als een toepassings-/besturingssysteemuitzondering ingeschakeld blijft, worden alle essentiële bestanden en mappen ervan toegevoegd aan de lijst met bestanden die worden uitgesloten bij het scannen (Geavanceerde instellingen > Computerbeveiliging > Antivirus en antispyware > Uitzonderingen). Iedere keer dat de server opnieuw wordt opgestart, voert het systeem een automatische controle van uitzonderingen uit en worden alle uitzonderingen hersteld die mogelijk van de lijst zijn verwijderd. Dit is de aanbevolen instelling als u zeker wilt weten dat de aanbevolen automatische uitzonderingen altijd worden toegepast. 2) Als de gebruiker een toepassings-/besturingssysteemuitzondering uitschakelt, blijven alle essentiële bestanden en mappen ervan op de lijst staan met bestanden die worden uitgesloten bij het scannen (Geavanceerde instellingen > Computerbeveiliging > Antivirus en antispyware > Uitzonderingen). Ze worden echter niet automatisch gecontroleerd en vernieuwd op de lijst met Uitzonderingen wanneer de server opnieuw wordt opgestart (zie punt 1 hierboven). Deze instelling wordt aanbevolen voor geavanceerde gebruikers die enkele van de standaarduitzonderingen willen verwijderen of wijzigen. Als u de uitzonderingen van de lijst wilt verwijderen zonder de server opnieuw op te starten, verwijdert u deze handmatig van de lijst (Geavanceerde instellingen > Computerbeveiliging > Antivirus en antispyware > Uitzonderingen). Eventuele door de gebruiker gedefinieerde uitzonderingen die handmatig zijn ingevoerd via Geavanceerde instellingen > Computerbeveiliging > Antivirus en antispyware > Uitzonderingen worden niet beïnvloed door de hierboven beschreven instellingen. De automatische uitzonderingen van servertoepassingen/besturingssystemen worden geselecteerd op basis van de aanbevelingen van Microsoft. Raadpleeg de volgende koppelingen voor meer informatie:

37 3.3 Antispambeveiliging In het gedeelte Antispambeveiliging kunt u de beveiliging tegen spam voor de geïnstalleerde server in- of uitschakelen, de parameters van de antispam-engine configureren en andere beveiligingslagen instellen. OPMERKING: De Antispam-database moet regelmatig worden bijgewerkt zodat de antispammodule de best mogelijke beveiliging kan bieden. De antispamdatabase kan alleen regelmatig worden bijgewerkt als ESET Mail Security toegang heeft tot bepaalde IP-adressen op bepaalde poorten. Lees dit KB-artikel voor meer informatie over welke IP's en poorten u moet inschakelen in uw firewall van derden. OPMERKING: Er kunnen geen mirrors 90 worden gebruikt voor updates van de antispamdatabase. Updates van de antispamdatabase werken alleen goed als ESET Mail Security toegang heeft tot IP-adressen die worden genoemd in het bovenstaande KB-artikel. Zonder toegang tot deze IP's kan de antispammodule geen accurate resultaten opleveren en krijgt u dus niet de best mogelijke beveiliging. 37

38 3.3.1 Microsoft Exchange Server Transportagent In dit gedeelte kunt u opties instellen voor spambeveiliging met gebruik van de transportagent. OPMERKING: de transportagent is niet beschikbaar in Microsoft Exchange Server 5.5. Wanneer u de optie Antispambeveiliging door transportagent inschakelen selecteert, kiest u een van de volgende opties als Actie bij spamberichten: Bericht behouden: hiermee wordt het bericht behouden, zelfs als het als spam wordt aangemerkt Bericht in quarantaine plaatsen: hiermee wordt een als spam gemarkeerd bericht naar het quarantainepostvak verzonden Bericht verwijderen: hiermee wordt een als spam gemarkeerd bericht verwijderd. Als u informatie over de spamscore van een bericht wilt opnemen in de koptekst, schakelt u de optie Spamscore schrijven naar koptekst van gescande berichten in. Met behulp van de functie Witte lijsten van Exchange Server gebruiken om automatisch antispambeveiliging te omzeilen kan ESET Mail Security specifieke "witte lijsten" van Exchange gebruiken. Als deze functie is ingeschakeld, wordt rekening gehouden met het volgende: Het IP-adres van de server die de afzender is, komt voor in de lijst IP toestaan van de Exchange-server De ontvanger van het bericht heeft de vlag voor het omzeilen van antispam ingesteld in zijn of haar postvak De ontvanger van het bericht heeft het adres van de afzender in zijn of haar lijst met veilige afzenders (zorg dat u synchronisatie van de lijst met veilige afzenders in uw Exchange-serveromgeving hebt geconfigureerd, inclusief aggregatie van veilige lijsten) Als een van de bovenstaande condities van toepassing is op een inkomend bericht, wordt de antispamcontrole overgeslagen voor dit bericht. Het bericht wordt dus niet op SPAM beoordeeld en wordt afgeleverd in het postvak van de ontvanger. De optie In SMTP-sessie ingestelde vlag voor omzeilen antispam accepteren is nuttig als u geverifieerde SMTPsessies hebt tussen Exchange-servers met de instelling voor het omzeilen van antispam. Als u bijvoorbeeld een edgeserver en een hubserver hebt, is antispamscannen van het verkeer tussen deze twee servers niet nodig. De optie In SMTP-sessie ingestelde vlag voor omzeilen antispam accepteren is standaard ingeschakeld als de vlag voor het omzeilen van antispam is geconfigureerd voor de SMTP-sessie op de Exchange-server. Als u In SMTPsessie ingestelde vlag voor omzeilen antispam accepteren uitschakelt door het selectievakje te wissen, scant 38

39 ESET Mail Security de SMTP-sessie op spam ongeacht de instelling van de Exchange-server voor het omzeilen van antispam. Met de functie Greylisting inschakelen wordt een functie ingeschakeld waarmee gebruikers tegen spam worden beveiligd met de volgende techniek: De transportagent stuurt een SMTP-retourwaarde voor tijdelijk weigeren (de standaardinstelling is 451/4.7.1) voor die wordt ontvangen van een niet-herkende afzender. Een legitieme server zal het bericht na enige tijd opnieuw proberen te verzenden. Spamservers zullen het bericht meestal niet opnieuw proberen te verzenden, aangezien doorgaans duizenden adressen worden verwerkt en er geen tijd wordt genomen om opnieuw te verzenden. Greylisting is een extra laag antispambeveiliging en is niet van invloed op de spamevaluatiemogelijkheden van de antispammodule. Bij de evaluatie van de berichtbron wordt bij deze methode rekening gehouden met de configuraties van de lijst Toegestane IP-adressen, de lijst Genegeerde IP-adressen, de lijsten Veilige afzenders en IP toestaan op de Exchange-server, en de AntispamBypass-instellingen voor het postvak van de ontvanger. s van deze lijsten met IP-adressen/afzenders of s die worden bezorgd in een postvak waarvoor de optie AntispamBypass is ingeschakeld, worden overgeslagen door de methode voor detectie met greylisting. In het veld SMTP-antwoord voor tijdelijk geweigerde verbindingen wordt het SMTP-antwoord voor tijdelijke weigering gedefinieerd dat worden verzonden naar de SMTP-server als een bericht wordt geweigerd. Voorbeeld van SMTP-antwoordbericht: Primaire antwoordcode Aanvullende statuscode Beschrijving Aangevraagde actie afgebroken: lokale fout bij verwerking Waarschuwing: Onjuiste syntaxis van de SMTP-antwoordcodes kan leiden tot een verkeerde werking van de greylisting-beveiliging. Dit kan als gevolg hebben dat spamberichten aan clients worden bezorgd of dat berichten helemaal niet worden bezorgd. Tijdslimiet voor eerste verbindingsweigering (min.): Wanneer een bericht de eerste keer wordt bezorgd en tijdelijk wordt geweigerd, wordt met deze parameter de tijdsperiode gedefinieerd waarin het bericht altijd wordt geweigerd (gemeten vanaf de eerste weigering). Nadat de gedefinieerde tijdsperiode is verstreken, wordt het bericht gewoon ontvangen. De minimumwaarde die kan worden ingevoerd is 1 minuut. Verlooptijd ongeverifieerde verbindingen (uren): met deze parameter wordt het minimale tijdsinterval gedefinieerd waarin de tripletgegevens worden opgeslagen. Een geldige server moet een gewenst bericht opnieuw verzenden voordat deze periode verloopt. Deze waarde moet groter zijn dan de waarde van Tijdslimiet voor eerste verbindingsweigering. Verlooptijd geverifieerde verbindingen (dagen): Het minimale aantal dagen waarin de tripletinformatie wordt opgeslagen, gedurende deze tijd worden s van een bepaalde afzender ontvanger zonder vertraging ontvangen. Deze waarde moet groter zijn dan de waarde van Verlooptijd ongeverifieerde verbindingen. OPMERKING: u kunt ook systeemvariabelen gebruiken bij het definiëren van het SMTP-weigeringsantwoord POP3-connector en antispam Versies van Microsoft Windows Small Business Server (SBS) zijn uitgerust met de functie POP3-connector waarmee de server berichten bij externe POP3-servers kan ophalen. De implementatie van deze "standaard" POP3connector verschilt per SBS-versie. ESET Mail Security biedt ondersteuning voor Microsoft SBS POP3-connector op SBS Berichten die worden gedownload via deze POP3-connector worden gecontroleerd op de aanwezigheid van spam. Dit werkt omdat berichten via SMTP worden getransporteerd naar Microsoft Exchange. Microsoft SBS POP3-connector op SBS 2003 wordt echter niet ondersteund door ESET Mail Security, en dus worden berichten niet gecontroleerd op spam. Dit komt doordat berichten de SMTP-wachtrij omzeilen. Er bestaan ook diverse POP3-connectors van derden. Of berichten die door een bepaalde POP3-connector worden opgehaald wel of niet worden gecontroleerd op spam is afhankelijk van de methode die de POP-connector gebruikt om berichten op te halen. Een voorbeeld: GFI POP2Exchange transporteert berichten via Pickup Directory, en dus worden berichten niet gecontroleerd op spam. Soortgelijke problemen kunnen zich voordoen bij producten die berichten transporteren via niet-beveiligde sessie (zoals bij IGetMail) en als Microsoft Exchange deze berichten als interne berichten markeert waarvoor antispamcontrole standaard wordt overgeslagen. Deze instelling kan worden gewijzigd in het configuratiebestand. Exporteer het configuratiebestand naar xml, wijzig de waarde van de 39

40 instelling AgentASScanSecureZone in "1" en importeer het configuratiebestand weer (voor informatie over hoe u het configuratiebestand importeert en exporteert verwijzen wij u naar dit hoofdstuk Instellingen importeren en exporteren 130 ). U kunt ook In SMTP-sessie ingestelde vlag voor omzeilen antispam accepteren in F5 geavanceerde instellingen uitschakelen onder Serverbeveiliging > Antispambeveiliging > Microsoft Exchange Server > Transportagent. Hierdoor scant ESET Mail Security de SMTP-sessie op spam en wordt het omzeilen van de Exchange Server-antispaminstelling genegeerd Antispam-engine Hier kunt u de parameters van de Antispam-engine configureren. Dit doet u door op de knop Instellen... te klikken. Er wordt een venster geopend waarin u deze parameters van de antispam-engine kunt instellen. Berichtcategorisatie De antispam-engine van ESET Mail Security kent een spamscore van 0 tot 100 toe aan ieder gescand bericht. Door in dit gedeelte de limiet van spamscores te wijzigen kunt u het volgende beïnvloeden: 1) Of een bericht wordt geclassificeerd als spam of niet. Alle berichten die een spamscore hebben die gelijk is aan of groter is dan de waarde Spamscore om een bericht als spam te behandelen: worden beschouwd als spam. Het gevolg is dat ingestelde acties in de transportagent 38 op deze berichten worden toegepast. 2) Of een bericht wordt geregistreerd in het antispamlogboek 97 (Hulpmiddelen > Logbestanden > Antispam). Alle berichten die een spamscore hebben die gelijk is aan of groter is dan de waarde Drempel voor spamscore om een bericht als waarschijnlijk spam of waarschijnlijk schoon te behandelen: worden geregistreerd in het logbestand. 3) Tot welk gedeelte van de antispamstatistieken het bericht in kwestie wordt gerekend (Beveiligingsstatus > Statistieken > Antispambeveiliging van mailserver): Berichten geëvalueerd als SPAM: de spamscore van het bericht is gelijk aan of hoger dan de ingestelde waarde bij Spamscore om een bericht als spam te behandelen. Berichten geëvalueerd als waarschijnlijk SPAM: de spamscore van het bericht is gelijk aan of hoger dan de ingestelde waarde bij Drempel voor spamscore om een bericht als waarschijnlijk spam of waarschijnlijk schoon te behandelen. Berichten geëvalueerd als waarschijnlijk GEEN SPAM: de spamscore van het bericht is lager dan de ingestelde waarde bij Drempel voor spamscore om een bericht als waarschijnlijk spam of waarschijnlijk schoon te behandelen. Berichten geëvalueerd als GEEN SPAM: de spamscore van het bericht is gelijk aan of lager dan de ingestelde waarde bij Spamscore om een bericht niet als spam te behandelen Parameters antispam-engine instellen Analyse In dit gedeelte kunt u configureren hoe berichten worden geanalyseerd op SPAM en vervolgens worden verwerkt. Berichtbijlagen scannen: met deze optie kunt u kiezen of de antispam-engine bijlagen scant en beoordeelt tijdens het berekenen van de spamscore. Beide MIME-gedeelten gebruiken: de antispam-engine analyseert zowel text/plain als text/html MIME-gedeelten in een bericht. Als betere prestaties vereist zijn, kunt u slechts één gedeelte laten analyseren. Als deze optie is uitgeschakeld (gewist), wordt slechts één gedeelte geanalyseerd. Geheugengrootte voor berekening score (in bytes): met deze optie krijgt de antispam-engine opdracht niet meer dan een configureerbaar aantal bytes uit de berichtbuffer te lezen wanneer regels worden verwerkt. Geheugengrootte voor berekening voorbeeld (in bytes): met deze optie krijgt de antispam-engine opdracht niet meer dan het gedefinieerde aantal bytes te lezen wanneer de vingerafdruk van het bericht wordt berekend. Dat is handig voor het verkrijgen van consistente vingerafdrukken. LegitRepute-cachegeheugen gebruiken: maakt het gebruik mogelijk van een LegitRepute-cache om het aantal fout-positieven te verkleinen, vooral voor nieuwsbrieven. Converteren naar UNICODE: hiermee worden de accuratesse en de doorvoer verbeterd voor berichttekst van e40

41 mails in Unicode, met name bij talen met dubbele bytes, doordat berichten naar enkele bytes worden geconverteerd. Domeincachegeheugen gebruiken: maakt het gebruik mogelijk van een domeinreputatiecache. Als deze optie is ingeschakeld, worden domeinen uit berichten gehaald en vergeleken met een domeinreputatiecache Voorbeelden Cachegeheugen gebruiken: hiermee gebruikt u een cache met vingerafdrukken (standaard ingeschakeld). MSF inschakelen: hiermee gebruikt u een alternatief vingerafdrukalgoritme, genaamd MSF. Als deze optie is ingeschakeld, kunt u de volgende limieten en drempels instellen: Aantal berichten dat bulkbericht vormt: met deze optie geeft u op hoeveel soortgelijke berichten nodig zijn om te spreken van een bulkbericht. Frequentie van wissen cachegeheugen: met deze optie geeft u een interne variabele op die bepaalt hoe vaak de MSF-cache in het geheugen wordt opgeschoond. Gevoeligheid van overeenkomst tussen twee voorbeelden: met deze optie wordt het overeenkomstpercentage voor twee vingerafdrukken opgegeven. Als het overeenkomstpercentage hoger is dan deze drempel, worden de berichten als hetzelfde beschouwd. Aantal in geheugen opgeslagen voorbeelden: met deze optie geeft u het aantal MSF-vingerafdrukken op dat in het geheugen wordt bewaard. Hoe hoger de waarde, hoe meer geheugen wordt gebruikt, maar ook hoe groter de accuratesse SpamCompiler Turn on SpamCompiler: hiermee wordt de verwerking van regels versneld, maar het kost wel iets meer geheugen. Voorkeursversie: hiermee wordt opgegeven welke versie van SpamCompiler moet worden gebruikt. Als deze optie is ingesteld op Automatisch, kiest de antispam-engine de beste engine. Cache-geheugen gebruiken: als deze optie is ingeschakeld, slaat SpamCompiler de gecompileerde gegevens op schijf, in plaats van in het geheugen, op om het geheugengebruik te reduceren. Lijst met cachegeheugenbestanden: met deze optie geeft u op welke regelbestanden worden gecompileerd op schijf, in plaats van in het geheugen. Stel regelbestandindexen in die in cachegeheugen op schijf worden opgeslagen. Als u regelbestandindexen beheert, kunt u het volgende doen: Toevoegen... Bewerken... Verwijderen OPMERKING: Alleen cijfers worden geaccepteerd Training Training gebruiken voor vingerafdrukscore berichten: hiermee schakelt u training van vingerafdrukscores in. Trainingswoorden gebruiken: deze optie bepaalt of Bayesiaanse analyse van woordtokens wordt gebruikt. De accuratesse kan daardoor sterk worden vergroot, maar er wordt meer geheugen gebruikt en het is iets trager. Aantal woorden in cachegeheugen: met deze optie wordt opgegeven hoeveel woordtokens tegelijkertijd in de cache kunnen worden geplaatst. Hoe hoger de waarde, hoe meer geheugen wordt gebruikt, maar ook hoe groter de accuratesse. Als u het aantal wilt invoeren, schakelt u eerst de optie Trainingswoorden gebruiken in. Trainingsdatabase alleen gebruiken voor lezen: met deze optie wordt bepaald of de trainingsdatabases voor woorden, regels en vingerafdrukken kunnen worden gewijzigd of dat ze, nadat ze zijn geladen, alleen-lezen zijn. Een alleen-lezen trainingsdatabase is sneller. Gevoeligheid automatische training: hiermee wordt een drempel ingesteld voor automatische training. Als een bericht een score op of boven de hoge drempel krijgt, wordt dat bericht beschouwd als zekere spam en wordt het vervolgens gebruikt om alle Bayesiaanse modules (regel en/of woord) te trainen, maar niet de afzender of de vingerafdruk. Als een bericht een score op of onder de lage drempel krijgt, wordt dat bericht beschouwd als zekere 'ham' en wordt het vervolgens gebruikt om alle Bayesiaanse modules (regel en/of woord) te trainen, maar niet de afzender of de vingerafdruk. Als u de hoge en de lage drempelwaarde wilt invoeren, schakelt u eerst de 41

42 optie Trainingsdatabase alleen gebruiken voor lezen: in. Minimale hoeveelheid trainingsgegevens: in eerste instantie worden alleen de regelgewichten gebruikt om de spamscore te berekenen. Als een minimale hoeveelheid trainingsgegevens is bereikt, worden de regelgewichten vervangen door regel-/woordtraining. Het standaardminimum is 100, wat betekent dat er ten minste met 100 equivalente, bekende 'ham'-berichten en 100 equivalente spamberichten, dus in totaal 200 berichten, moet worden getraind voordat de regelgewichten worden vervangen door de trainingsgegevens. Als het aantal te laag is, kan de accuratesse verslechteren wegens onvoldoende gegevens. Als het aantal te hoog is, wordt niet maximaal gebruikgemaakt van de trainingsgegevens. Als de waarde 0 is, worden regelgewichten altijd genegeerd. Alleen trainingsgegevens gebruiken: hiermee wordt bepaald of trainingsgegevens het maximale gewicht krijgen. Als deze optie is ingeschakeld, worden scores alleen gebaseerd op trainingsgegevens. Als deze optie is uitgeschakeld (gewist), worden zowel regels als trainingsgegevens gebruikt. Aantal gescande berichten voordat naar schijf wordt geschreven: tijdens de training verwerkt de antispamengine een configureerbare hoeveelheid berichten voordat de trainingsdatabase naar schijf wordt geschreven. Met deze optie wordt bepaald hoeveel berichten worden verwerkt voordat naar schijf wordt geschreven. U krijgt de beste prestaties als deze waarde zo groot mogelijk is. In het ongebruikelijke geval dat een programma onverwacht wordt beëindigd voordat de buffer naar schijf is geschreven, gaat de training verloren die is uitgevoerd nadat voor het laatst naar schijf is geschreven. De buffer wordt bij normale beëindiging naar schijf geschreven. Landgegevens gebruiken voor training: deze optie bepaalt of met landroutinginformatie rekening moet worden gehouden tijdens het trainen en beoordelen van berichten Regels Regels gebruiken: deze optie bepaalt of tragere, heuristische regels worden gebruikt. De accuratesse kan daardoor sterk worden vergroot, maar er wordt meer geheugen gebruikt en het is veel trager. Uitbreiding regelset gebruiken: hiermee wordt de uitgebreide regelset geactiveerd. Tweede uitbreiding regelset gebruiken: hiermee wordt de tweede uitbreiding op de regelset geactiveerd. Regelgewicht: met deze optie kunt u gewichten overschrijven die zijn gekoppeld aan afzonderlijke regels. Lijst met gedownloade regelbestanden: met deze optie wordt opgegeven welke regelbestanden worden gedownload. Categoriegewicht: hiermee kan de gebruiker de gewichten aanpassen van categorieën die worden gebruikt in sc18 en in bestanden die worden gebruikt in lijsten met aangepaste regels. Categorie: Naam van categorie, momenteel beperkt tot SPAM, PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD en REPLY. In dit veld wordt geen onderscheid gemaakt tussen hoofdletters en kleine letters. Score: Een geheel getal of BLOCK of APPROVE. Het gewicht van regels die overeenkomen met de corresponderende categorie, wordt met de schaalfactor vermenigvuldigd om een nieuw effectief gewicht te verkrijgen. Lijst met aangepaste regels: hiermee kan de gebruiker een aangepaste lijst met regels opgeven (spam-, 'ham'- of phishing-woorden/-zinsdelen). Bestanden met aangepaste regels bevatten zinsdelen in de volgende indeling, op aparte regels: zinsdeel, type, waarschijnlijkheid, hoofdlettergevoeligheid; zinsdeel kan elke tekst zijn, behalve komma's. Komma's moeten uit het zinsdeel worden verwijderd. Het type kan SPAM, PHISH, BOUNCE, ADULT of FRAUD zijn. Als iets anders dan deze typen wordt opgegeven, wordt automatisch uitgegaan van het type SPAM. Waarschijnlijkheid kan van 1 tot 100 lopen. Als het type SPAM is, duidt 100 op een hoge waarschijnlijkheid van spam. Als het type PHISH is, duidt 100 op een hoge waarschijnlijkheid van phishing. Als het type BOUNCE is, duidt 100 op een hoge waarschijnlijkheid dat het zinsdeel met bounces verband houdt. Een hoge waarschijnlijkheid heeft meestal een groter effect op de uiteindelijke score. De waarde 100 is een speciaal geval. Als het type SPAM is, leidt de waarde 100 tot een berichtscore van 100. Als het type PHISH is, leidt 100 tot een berichtscore van 100. Als het type BOUNCE is, leidt 100 tot een berichtscore van 100. Witte lijsten hebben zoals altijd voorrang op zwarte lijsten. Als de waarde voor hoofdlettergevoeligheid 1 is, wil dat zeggen dat in het zinsdeel onderscheid wordt gemaakt tussen hoofdletters en kleine letters; 0 betekent dat geen onderscheid wordt gemaakt. Voorbeelden: spammen is leuk, SPAM, 100,0 phishing is leuk, PHISH, 90,1 retour aan afzender, BOUNCE, 80,0 De eerste regel betekent dat alle variaties van "spammen is leuk" als SPAM worden beschouwd met een waarschijnlijkheid van 100. Er wordt geen onderscheid gemaakt tussen hoofdletters en kleine letters. De tweede regel betekent dat alle variaties van "phishing is leuk" als PHISH worden beschouwd met een waarschijnlijkheid van 90. Er wordt onderscheid gemaakt tussen hoofdletters en kleine letters. De derde regel betekent dat alle variaties 42

43 van "retour aan afzender" als BOUNCE worden beschouwd met een waarschijnlijkheid van 80. Er wordt geen onderscheid gemaakt tussen hoofdletters en kleine letters. Oude regels wissen na update: de antispam-engine wist standaard oude regelbestanden uit de configuratiemap wanneer een nieuw bestand wordt opgehaald van het SpamCatcher-netwerk. Sommige gebruikers van de antispam-engine willen oude regelbestanden echter archiveren. Ze kunnen dat doen door deze verwijderfunctie uit te schakelen. Melding weergeven na succesvolle update van regels Regelgewicht Stel regelbestandindexen en het gewicht ervan in. Als u een regelgewicht wilt instellen, drukt u op de knop Toevoegen... Als u een bestaand regelgewicht wilt verwijderen, drukt u op de knop Bewerken... Als u een gewicht wilt verwijderen, drukt u op de knop Verwijderen. Geef waarden op voor Index: en Gewicht: Lijst met gedownloade regelbestanden Stel regelbestandindexen in die naar schijf moeten worden gedownload. Gebruik de knoppen Toevoegen, Bewerken en Verwijderen om regelbestandindexen te beheren Categoriegewicht Stel regelcategorieën en het gewicht ervan in. Gebruik de knoppen Toevoegen..., Bewerken... en Verwijderen om categorieën en het gewicht ervan te beheren. Als u een categoriegewicht wilt toevoegen, selecteert u Categorie: in de lijst. De volgende opties zijn beschikbaar: SPAM Phishing Rapport over niet-levering Berichten met inhoud voor volwassenen Frauduleuze berichten Lege berichten Doorstuurberichten Antwoordberichten Selecteer vervolgens een actie: Toestaan Blokkeren Gewicht: Lijst met aangepaste regels U kunt bestanden met aangepaste regels gebruiken die zinsdelen bevatten. Deze bestanden zijn in feite.txtbestanden. Zie het onderwerp Regels 42 voor meer informatie over de indeling van zinsdelen (sectie Lijst met aangepaste regels). Als u bestanden met aangepaste regels wilt gebruiken om berichten te analyseren, dient u die op deze locatie te plaatsen: voor Windows Server 2008 en nieuwer is het pad: C:\ProgramData\ESET\ESET Mail Security\ServerAntispam voor Windows Server 2003 en ouder is het pad: C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam U laadt de bestanden door op de knop... (bladeren) te drukken, naar de hierboven genoemde locatie te navigeren en het tekstbestand (*.txt) te selecteren. Gebruik de knoppen Toevoegen, Bewerken en Verwijderen om de lijst met aangepaste regels te beheren. OPMERKING: Het.txt-bestand met de aangepaste regels moet worden geplaatst in de map ServerAntispam, anders wordt dit bestand niet geladen. 43

44 Filtering In dit gedeelte kunt u toegestane, geblokkeerde en genegeerde lijsten configureren door criteria op te geven zoals IP-adres of -bereik, domeinnaam, adres, enzovoort. Als u criteria wilt toevoegen, wijzigen of verwijderen, navigeert u door de lijst die u wilt beheren, en klikt u op de juiste knop Toegestane afzenders Afzenders en domeinen op witte lijsten kunnen een adres of domein bevatten. Adressen worden ingevoerd in de indeling "postvak@domein" en domeinen worden eenvoudigweg ingevoerd in de indeling "domein". OPMERKING: voorloop- en eindspaties worden genegeerd, gewone uitdrukkingen worden niet ondersteund en asterisken ("*") worden ook genegeerd Geblokkeerde afzenders Afzenders en domeinen op zwarte lijsten kunnen een adres of domein bevatten. Adressen worden ingevoerd in de indeling "postvak@domein" en domeinen worden eenvoudigweg ingevoerd in de indeling "domein". OPMERKING: voorloop- en eindspaties worden genegeerd, gewone uitdrukkingen worden niet ondersteund en asterisken ("*") worden ook genegeerd Toegestane IP-adressen Met deze optie kunt u IP-adressen opgeven die moeten worden goedgekeurd. Bereiken kunnen op drie manieren worden opgegeven: a) begin-ip - eind-ip b) IP-adres en netwerkmasker c) IP-adres Als het eerste niet-genegeerde IP-adres in de Received:-kopteksten overeenkomt met een adres op deze lijst, krijgt het bericht de score 0 en wordt er geen verdere controle uitgevoerd Genegeerde IP-adressen Met deze optie kunt u IP-adressen opgeven die moeten worden genegeerd bij het uitvoeren van RBL-controles. De volgende IP-adressen worden altijd impliciet genegeerd: /8, /8, /16, Bereiken kunnen op drie manieren worden opgegeven: a) begin-ip - eind-ip b) IP-adres en netwerkmasker c) IP-adres Geblokkeerde IP-adressen Met deze optie kunt u IP-adressen opgeven die moeten worden geblokkeerd. Bereiken kunnen op drie manieren worden opgegeven: a) begin-ip - eind-ip b) IP-adres en netwerkmasker c) IP-adres Als IP-adressen in Received:-kopteksten overeenkomen met een adres op deze lijst, krijgt het bericht de score 100 en wordt er geen verdere controle uitgevoerd. 44

45 Toegestane domeinen Met deze optie kunt u domeinen en IP-adressen in berichttekst opgeven die altijd moeten worden goedgekeurd Genegeerde domeinen Met deze optie kunt u domeinen in berichttekst opgeven die altijd moeten worden uitgesloten van de DNSBLcontroles en moeten worden genegeerd Geblokkeerde domeinen Met deze optie kunt u domeinen en IP-adressen in berichttekst opgeven die altijd moeten worden geblokkeerd Vervalste afzenders Hiermee wordt blokkeren toegestaan van spammers die uw domeinnaam en andere domeinnamen vervalsen. Spammers gebruiken bijvoorbeeld vaak de domeinnaam van de ontvanger als de From:-domeinnaam. Met deze lijst kunt u opgeven welke servers welke domeinnamen mogen gebruiken in het From:-adres Verificatie Verificatie is een extra functie van antispambeveiliging. Hiermee kunnen berichten worden geverifieerd door middel van externe servers en volgens gedefinieerde criteria. Kies een lijst in de structuur om de criteria ervan te configureren. Dit zijn de lijsten: RBL (Realtime Blackhole List) LBL (Last Blackhole List) DNSBL (DNS Blocklist) RBL (Realtime Blackhole List) RBL-servers: hiermee geeft u een lijst met RBL-servers (Realtime Blackhole List) op waarbij navraag wordt gedaan wanneer berichten worden geanalyseerd. Raadpleeg het gedeelte RBL in dit document voor meer informatie. Gevoeligheid RBL-verificatie: aangezien RBL-controles latentie en verminderde prestaties kunnen veroorzaken, kunt u met deze optie RBL-controles conditioneel uitvoeren op basis van de score voorafgaand aan de RBLcontroles. Als de score hoger is dan de "hoge" waarde, wordt alleen navraag gedaan bij RBL-servers die de score onder de "hoge" waarde kunnen brengen. Als de score lager is dan de "lage" waarde, wordt alleen navraag gedaan bij RBL-servers die de score boven de "lage" waarde kunnen brengen. Als de score tussen "laag" en "hoog" ligt, wordt bij alle RBL-servers navraag gedaan. Uitvoeringslimiet RBL-aanvragen (in seconden): met deze optie kunt u een maximale time-out instellen voor de voltooiing van alle RBL-query's. RBL-antwoorden worden alleen gebruikt als de RBL-server op tijd heeft geantwoord. Als de waarde "0" wordt gebruikt, wordt geen time-out gehanteerd. Maximaal aantal bij RBL geverifieerde adressen: met deze optie kunt u beperken hoeveel IP-adressen worden nagevraagd bij de RBL-server. Het totale aantal RBL-query's is het aantal IP-adressen in de koptekst Received: (maximaal RBL maxcheck IP-adressen), vermenigvuldigd met het aantal RBL-servers dat in de RBL-lijst is opgegeven. Als de waarde "0" is, wordt een onbeperkt aantal ontvangen kopteksten gecontroleerd. IP's die overeenkomen met de optie voor de lijst met genegeerde IP-adressen, tellen niet mee voor de limiet op het aantal RBL IP-adressen. Als u de lijst wilt beheren, gebruikt u de knoppen Toevoegen..., Bewerken... of Verwijderen. De lijst bestaat uit drie kolommen: Adres Reactie Score 45

46 LBL (Last Blackhole List) LBL-servers: het laatst verbinding makende IP-adres wordt nagevraagd bij de LBL-server. U kunt een andere DNSlookup opgeven voor het laatst verbinding makende, inkomende IP-adres. Voor het laatst verbinding makende IPadres, wordt navraag gedaan bij de LBL-lijst, in plaats van de RBL-lijst. Anders worden de opties van de RBL-lijst, zoals de RBL-drempel, ook toegepast op de LBL-lijst. Niet bij LBL geverifieerde IP-adressen: als het laatst verbinding makende IP-adres overeenkomt met een IP-adres in de lijst, wordt dat IP-adres nagevraagd bij de RBL-server(s) in plaats van de LBL-server(s). Als u de lijst wilt beheren, gebruikt u de knoppen Toevoegen..., Bewerken... of Verwijderen. De lijst bestaat uit drie kolommen: Adres Reactie Score Hier kunt u IP-adressen opgeven die niet worden gecontroleerd met LBL. Als u de lijst wilt beheren, gebruikt u de knoppen Toevoegen..., Bewerken... of Verwijderen DNSBL (DNS Block List) DNSBL-servers: hiermee geeft u een lijst met DNSBL-servers (DNS Blocklist) op waar domeinen en IP-adressen worden nagevraagd die uit de berichttekst zijn gehaald. Gevoeligheid DNSBL-verificatie: als de score hoger is dan de "hoge" waarde, wordt alleen navraag gedaan bij DNSBL-servers die de score onder de "hoge" waarde kunnen brengen. Als de score lager is dan de "lage" waarde, wordt alleen navraag gedaan bij DNSBL-servers die de score boven de "lage" waarde kunnen brengen. Als de score tussen "laag" en "hoog" ligt, wordt bij alle DNSBL-servers navraag gedaan. Uitvoeringslimiet DNSBL-aanvragen (in seconden): hiermee kunt u een maximale time-out instellen voor de voltooiing van alle DNSBL-query's. Maximaal aantal bij DNSBL geverifieerde domeinen: hiermee kunt u beperken hoeveel domeinen en IP-adressen worden nagevraagd bij de DNSBL-server. Als u de lijst wilt beheren, gebruikt u de knoppen Toevoegen..., Bewerken... of Verwijderen. De lijst bestaat uit drie kolommen: Adres Reactie Score DNS Cachegeheugen gebruiken: hiermee schakelt u interne caching van DNS-aanvragen in. Aantal in geheugen opgeslagen DNS-aanvragen: hiermee beperkt u het aantal vermeldingen in de interne DNScache. Cachegeheugen op schijf opslaan: als deze optie is ingeschakeld, worden door de DNS-cache vermeldingen op schijf opgeslagen bij afsluiten en van schijf ingelezen bij initialisatie. Adres DNS-server: DNS-servers kunnen nu expliciet worden opgegeven om de standaard te overschrijven. Directe DNS-toegang: als deze optie is ingesteld op Ja en als er geen DNS-server is opgegeven, doet de antispamengine LiveFeed-aanvragen direct bij de LiveFeed-servers. Deze optie wordt genegeerd als een DNS-server is opgegeven, want die heeft voorrang. Deze optie moet op Ja worden ingesteld wanneer directe query's efficiënter zijn dan de standaard DNS-servers. Levensduur DNS-verzoek (in seconden): met deze optie kan een minimale TTL worden ingesteld voor vermeldingen in de interne DNS-cache van de antispam-engine. De optie wordt opgegeven in seconden. Voor DNSreacties waarvan de TTL-waarde lager is dan de opgegeven minimale TTL, gebruikt de interne cache van de antispam-engine de opgegeven TTL in plaats van de TTL-waarde van de DNS-reactie. 46

47 Score Scorehistorie inschakelen: hiermee worden historische scores bijgehouden voor terugkerende afzenders. Analyse stoppen als drempel spamscore is bereikt: met deze optie kunt u de antispam-engine opdracht geven met de analyse van het bericht te stoppen zodra een score is bereikt. Hierdoor kan het aantal regels en andere controles dat wordt uitgevoerd, worden verkleind, wat de doorvoer verbetert. Versnelde analyse gebruiken voordat drempelscore voor schoon bericht is bereikt: met deze optie geeft u de antispam-engine opdracht trage regelcontroles over te slaan als het bericht waarschijnlijk 'ham' is. Berichtcategorisatie Score van waaraf een bericht als spam wordt beschouwd: de antispam-engine wijst aan gescande berichten een score van 0 tot 100 toe. De scorewaarde is van invloed op welke berichten als spam worden beschouwd en welke berichten niet. Als u verkeerde waarden instelt, kan de kwaliteit van de detectieresultaten van de antispam-engine omlaaggaan. Score die bepaalt wanneer bericht wordt beschouwd als waarschijnlijk spam of waarschijnlijk schoon: de antispam-engine wijst aan gescande berichten een score van 0 tot 100 toe. De scorewaarde is van invloed op welke berichten als spam worden beschouwd en welke berichten niet. Als u verkeerde waarden instelt, kan de kwaliteit van de detectieresultaten van de antispam-engine omlaaggaan. Score tot waar een bericht wordt beschouwd als zeker schoon: de antispam-engine wijst aan gescande berichten een score van 0 tot 100 toe. De scorewaarde is van invloed op welke berichten als spam worden beschouwd en welke berichten niet. Als u verkeerde waarden instelt, kan de kwaliteit van de detectieresultaten van de antispam-engine omlaaggaan Spambait Spamadressen: als het RCPT TO:-adres uit de SMTP-envelope overeenkomt met een adres in deze lijst, worden in het statistiekenbestand tokens in het bericht vastgelegd als zijnde verzonden naar een spambaitadres. Adressen moeten exact overeenkomen, waarbij geen onderscheid wordt gemaakt tussen hoofdletters en kleine letters. Jokertekens worden niet ondersteund. Adressen die als niet-bestaand worden beschouwd: als het RCPT TO:-adres uit de SMTP-envelope overeenkomt met een adres in deze lijst, worden in het statistiekenbestand tokens in het bericht vastgelegd als zijnde verzonden naar een niet-bestaand adres. Adressen moeten exact overeenkomen, waarbij geen onderscheid wordt gemaakt tussen hoofdletters en kleine letters. Jokertekens worden niet ondersteund Spambait-adressen U kunt adressen instellen die alleen SPAM zullen ontvangen. Als u een adres wilt toevoegen, typt u het in een standaardindeling en drukt u op de knop Toevoegen. Als u een bestaand adres wilt wijzigen, gebruikt u de knop Bewerken. Als u een adres wilt verwijderen, drukt u op de knop Verwijderen Adressen die als niet-bestaand worden weergegeven U kunt adressen instellen die voor de buitenwereld als niet-bestaand worden weergegeven. Als u een adres wilt toevoegen, typt u het in een standaardindeling en drukt u op de knop Toevoegen. Als u een bestaand adres wilt wijzigen, gebruikt u de knop Bewerken. Als u een adres wilt verwijderen, drukt u op de knop Verwijderen. 47

48 Communicatie Duur afzonderlijke SpamLabs-aanvragen (in seconden):: hiermee beperkt u hoe lang afzonderlijke aanvragen bij SpamLabs voor antispambeveiliging mogen duren. De waarde wordt opgegeven in eenheden van hele seconden. Met de waarde "0" wordt deze functie uitgeschakeld en is er geen limiet. Protocol v.4x gebruiken: met SpamLabs voor antispambeveiliging communiceren met het tragere v4.x-protocol. Als u deze optie instelt op Automatisch, kan de antispam-engine automatisch de netcheck-functie gebruiken als fallback voor LiveFeed-query's. Bereik voor gebruik protocol v4.x: aangezien netwerken latentie en verminderde prestaties kunnen veroorzaken, kunt u met deze optie netwerkcontroles conditioneel uitvoeren op basis van de score. Het netwerk wordt alleen nagevraagd als de score ligt tussen het "lage" en het "hoge" bereik dat met deze optie is opgegeven. Adres LiveFeed-server: hiermee geeft u op bij welke server navraag moet worden gedaan voor LiveFeedaanvragen. Levensduur LiveFeed-verzoek (in seconden): met deze optie kan een minimale TTL worden ingesteld voor vermeldingen in de interne LiveFeed-cache van de antispam-engine. De optie wordt opgegeven in seconden. Voor LiveFeed-reacties waarvan de TTL-waarde lager is dan de opgegeven minimale TTL, gebruikt de interne cache van de antispam-engine de opgegeven TTL in plaats van de TTL-waarde van de LiveFeed-reactie. Type verificatie proxyserver: hiermee wordt opgegeven wat voor type HTTP-proxyverificatie moet worden gebruikt Prestaties Maximale grootte van gebruikte thread-stack: hiermee stelt u de maximale grootte in van de thread-stack die wordt gebruikt. Als de grootte van de thread-stack wordt ingesteld op 64 KB, moet deze variabele worden ingesteld op 100 of minder. Als de grootte van de thread-stack wordt ingesteld op meer dan 1 MB, moet deze variabele worden ingesteld op of minder. Als deze variabele wordt ingesteld op minder dan 200, kan de accuratesse met enkele procenten afneemt. Vereiste doorvoer (in berichten per seconde): met deze optie kunt u de gewenste doorvoer opgeven in berichten per seconde. De antispam-engine probeert dat niveau te bereiken door de regels die worden uitgevoerd, te optimaliseren. Het is mogelijk dat de accuratesse afneemt. Met een waarde van 0 wordt de optie uitgeschakeld. Incrementele bestanden samenvoegen tot één: de antispam-engine voegt meerdere incrementele bestanden en een volledig bestand standaard samen tot één bijgewerkt, volledig bestand. Dat wordt gedaan om te veel bestanden in de configuratiedirectory te voorkomen. Alleen incrementele bestanden downloaden: de antispam-engine probeert standaard de qua grootte efficiëntste combinatie te downloaden van volledige en incrementele bestanden. U kunt de antispam-engine dwingen alleen incrementele bestanden te downloaden door deze optie op ja in te stellen. Maximale grootte van incrementele bestanden: ter vermindering van het CPU-gebruik terwijl regelbestanden worden bijgewerkt, worden de cachebestanden op de schijf (sc*.tmp) niet meer bij elke regelupdate opnieuw gegenereerd. In plaats daarvan worden ze opnieuw gegenereerd als er een nieuw sc*.bin.full-bestand is of als het totaal van de sc*.bin.incr-bestanden groter wordt dan het aantal bytes dat is opgegeven als de maximale grootte van incrementele bestanden. Locatie tijdelijke bestanden: deze parameter bepaalt waar de antispam-engine tijdelijke bestanden maakt Regionale instellingen Lijst met thuistalen: met deze optie kunt u talen instellen waaraan u de voorkeur geeft in uw berichten. De landcodes zijn ISO-639-taalcodes van twee tekens. Lijst met thuislanden: met deze optie kunt u een lijst opgeven met landen die worden beschouwd als "thuislanden". Berichten die worden gerouteerd via een land dat niet op deze lijst staat, worden agressiever beoordeeld. Als deze optie leeg is, wordt geen straf toegekend. Lijst met geblokkeerde landen: hiermee kan per land worden geblokkeerd. Als een IP-adres in een ontvangen koptekst overeenkomt met een land in de lijst, wordt de als spam beschouwd. De landcodes worden niet toegepast op adressen van afzenders. Het is mogelijk dat een bericht door verschillende landen heeft gereisd voordat het de eindbestemming bereikt. Deze optie is ook slechts 98% accuraat, dus het blokkeren van landen kan 48

49 leiden tot fout-positieven. Lijst met geblokkeerde tekensets: hiermee kan per tekenset worden geblokkeerd. De standaardwaarde van de spamscore wordt ingesteld op 100, maar u kunt dit voor elke geblokkeerde tekenset apart aanpassen. De toewijzing van talen aan tekensets is niet 100% accuraat, dus blokkeren op tekensets kan leiden tot foutpositieven Lijst met thuistalen Stel talen in die u als thuistalen beschouwt en waarin u bij voorkeur berichten ontvangt. Als u een thuistaal wilt toevoegen, selecteert u deze in de kolom Taalcodes: en drukt u op de knop Toevoegen. De taal wordt dan verplaatst naar de kolom met "thuistalen". Als u de taal uit de kolom met "thuistalen" wilt verwijderen, selecteert u de code ervan en drukt u op de knop Verwijderen. Niet-thuistalen blokkeren:: met deze optie bepaalt u of talen die niet in de kolom met "thuistalen" staan, worden geblokkeerd. Er zijn drie opties: Ja Nee Automatisch Lijst met taalcodes (op basis van ISO 639): Afrikaans Amhaars Arabisch Wit-Russisch Bulgaars Catalaans Tsjechisch Welsh Deens Duits Grieks Engels Esperanto Spaans Estisch Baskisch Perzisch Fins Frans Fries Iers Gaelic Hebreeuws Hindi Kroatisch Hongaars Armeens Indonesisch IJslands Italiaans Japans Georgisch Koreaans Latijn Litouws Lets Marathi Maleis Nepalees Nederlands Noors af am ar be bg ca cs cy da de el en eo es et eu fa fi fr fy ga gd he hi hr hu hy id is it ja ka ko la lt lv mr ms ne nl no 49

50 Pools Portugees Quechua RetoRomaans Roemeens Russisch Sanskriet Schots Slowaaks Sloveens Albanees Servisch Zweeds Swahili Tamil Thai Tagalog Turks Oekraïens Vietnamees Jiddisch Chinees pl pt qu rm ro ru sa sco sk sl sq sr sv sw ta th tl tr uk vi yi zh Lijst met thuislanden Stel landen in die u als thuislanden beschouwt en waaruit u bij voorkeur berichten ontvangt. Als u een thuisland wilt toevoegen, selecteert u het in de kolom Landcode: en drukt u op de knop Toevoegen. Het land wordt dan verplaatst naar de kolom met "thuislanden". Als u het land uit de kolom met "thuislanden" wilt verwijderen, selecteert u de landcode en drukt u op de knop Verwijderen. Lijst met landcodes (op basis van ISO 3166): AFGHANISTAN ÅLANDSEILANDEN ALBANIË ALGERIJE AMERIKAANS-SAMOA ANDORRA ANGOLA ANGUILLA ANTARCTICA ANTIGUA EN BARBUDA ARGENTINIË ARMENIË ARUBA AUSTRALIË OOSTENRIJK AZERBEIDZJAN BAHAMA'S BAHREIN BANGLADESH BARBADOS WIT-RUSLAND BELGIË BELIZE BENIN BERMUDA BHUTAN BOLIVIA BOSNIË EN HERZEGOVINA BOTSWANA BOUVETEILAND BRAZILIË 50 AF AX AL DZ AS AD AO AI AQ AG AR AM AW AU AT AZ BS BH BD BB BY BE BZ BJ BM BT BO BA BW BV BR

51 BRITS TERRITORIUM IN DE INDISCHE OCEAAN BRUNEI BULGARIJE BURKINA FASO BURUNDI CAMBODJA KAMEROEN CANADA KAAPVERDIË KAAIMANEILANDEN CENTRAAL-AFRIKAANSE REPUBLIEK TSJAAD CHILI CHINA CHRISTMASEILAND COCOSEILANDEN COLOMBIA COMOREN CONGO CONGO, DEMOCRATISCHE REPUBLIEK COOKEILANDEN COSTA RICA IVOORKUST KROATIË CUBA CYPRUS TSJECHIË DENEMARKEN DJIBOUTI DOMINICA DOMINICAANSE REPUBLIEK ECUADOR EGYPTE EL SALVADOR EQUATORIAAL-GUINEA ERITREA ESTLAND ETHIOPIË FALKLANDEILANDEN (MALVINAS) FAERÖEREILANDEN FIJI FINLAND FRANKRIJK FRANS-GUYANA FRANS-POLYNESIË FRANSE ZUIDELIJKE EN ANTARCTISCHE GEBIEDEN GABON GAMBIA GEORGIË DUITSLAND GHANA GIBRALTAR GRIEKENLAND GROENLAND GRENADA GUADELOUPE GUAM GUATEMALA GUINEE GUINEE-BISSAU IO BN BG BF BI KH CM CA CV KY CF TD CL CN CX CC CO KM CG CD CK CR CI HR CU CY CZ DK DJ DM DO EC EG SV GQ ER EE ET FK FO FJ FI FR GF PF TF GA GM GE DE GH GI GR GL GD GP GU GT GN GW 51

52 GUYANA HAÏTI HEARDEILAND EN MCDONALDEILANDEN HEILIGE STOEL (VATICAANSTAD) HONDURAS HONGKONG HONGARIJE IJSLAND INDIA INDONESIË IRAN, ISLAMITISCHE REPUBLIEK IRAK IERLAND ISRAËL ITALIË JAMAICA JAPAN JORDANIË KAZACHSTAN KENIA KIRIBATI KOREA, DEMOCRATISCHE REPUBLIEK KOREA, REPUBLIEK KOEWEIT KIRGIZIË LAOS, DEMOCRATISCHE VOLKSREPUBLIEK LETLAND LIBANON LESOTHO LIBERIA LIBIË LIECHTENSTEIN LITOUWEN LUXEMBURG MACAO MACEDONIË, VOORMALIGE JOEGOSLAVISCHE REPUBLIEK MADAGASCAR MALAWI MALEISIË MALDIVEN MALI MALTA MARSHALLEILANDEN MARTINIQUE MAURITANIË MAURITIUS MAYOTTE MEXICO MICRONESIA, GEFEDEREERDE STATEN VAN MOLDAVIË, REPUBLIEK MONACO MONGOLIË MONTSERRAT MAROKKO MOZAMBIQUE MYANMAR NAMIBIË NAURU NEPAL NEDERLAND 52 GY HT HM VA HN HK HU IS IN ID IR IQ IE IL IT JM JP JO KZ KE KI KP KR KW KG LA LV LB LS LR LY LI LT LU MO MK MG MW MY MV ML MT MH MQ MR MU YT MX FM MD MC MN MS MA MZ MM NA NR NP NL

53 NEDERLANDSE ANTILLEN NIEUW-CALEDONIË NIEUW-ZEELAND NICARAGUA NIGER NIGERIA NIUE NORFOLKEILAND NOORDELIJKE MARIANEN NOORWEGEN OMAN PAKISTAN PALAU PALESTIJNSE GEBIEDEN, BEZETTE PANAMA PAPOEA-NIEUW-GUINEA PARAGUAY PERU FILIPIJNEN PITCAIRN POLEN PORTUGAL PUERTO RICO QATAR RÉUNION ROEMENIË RUSSISCHE FEDERATIE RWANDA SINT-HELENA SAINT KITTS EN NEVIS SAINT LUCIA SAINT-PIERRE EN MIQUELON SAINT VINCENT EN DE GRENADINES SAMOA SAN MARINO SAO TOMÉ EN PRINCIPE SAUDI-ARABIË SENEGAL SERVIË EN MONTENEGRO SEYCHELLEN SIERRA LEONE SINGAPORE SLOWAKIJE SLOVENIË SALOMONSEILANDEN SOMALIË ZUID-AFRIKA ZUID-GEORGIË EN DE ZUIDELIJKE SANDWICHEILANDEN SPANJE SRI LANKA SOEDAN SURINAME SPITSBERGEN EN JAN MAYEN SWAZILAND ZWEDEN ZWITSERLAND SYRIË, ARABISCHE REPUBLIEK TAIWAN, PROVINCIE VAN CHINA TADZJIKISTAN TANZANIA, VERENIGDE REPUBLIEK THAILAND AN NC NZ NI NE NG NU NF MP NO OM PK PW PS PA PG PY PE PH PN PL PT PR QA RE RO RU RW SH KN LC PM VC WS SM ST SA SN CS SC SL SG SK SI SB SO ZA GS ES LK SD SR SJ SZ SE CH SY TW TJ TZ TH 53

54 OOST-TIMOR TOGO TOKELAU TONGA TRINIDAD EN TOBAGO TUNESIË TURKIJE TURKMENISTAN TURKS- EN CAICOSEILANDEN TUVALU OEGANDA OEKRAÏNE VERENIGDE ARABISCHE EMIRATEN VERENIGD KONINKRIJK VERENIGDE STATEN KLEINE AFGELEGEN EILANDEN VAN DE VERENIGDE STATEN URUGUAY OEZBEKISTAN VANUATU VATICAANSTAD (HEILIGE STOEL) VENEZUELA VIETNAM BRITSE MAAGDENEILANDEN AMERIKAANSE MAAGDENEILANDEN WALLIS EN FUTUNA WESTELIJKE SAHARA JEMEN ZAÏRE (CONGO, DEMOCRATISCHE REPUBLIEK) ZAMBIA ZIMBABWE TL TG TK TO TT TN TR TM TC TV UG UA AE GB US UM UY UZ VU VA VE VN VG VI WF EH YE CD ZM ZW Lijst met geblokkeerde landen Stel landen in die u wilt blokkeren en waaruit u geen berichten wilt ontvangen. Als u een land wilt toevoegen aan de lijst Geblokkeerde landen:, selecteert u het in de kolom Landcode: en drukt u op de knop Toevoegen. Als u het land uit de lijst Geblokkeerde landen: wilt verwijderen, selecteert u de landcode en drukt u op de knop Verwijderen. Zie het onderwerp Lijst met thuislanden 50 voor een lijst met specifieke landcodes Lijst met geblokkeerde tekensets Stel de tekensets in die u wilt blokkeren. Berichten in deze tekensets worden niet ontvangen. Als u een tekenset wilt toevoegen, selecteert u deze in de kolom Tekensets: en drukt u op de knop Toevoegen. De tekenset wordt dan verplaatst naar de kolom Geblokkeerde tekensets:. Als u de tekenset uit de kolom Geblokkeerde tekensets: wilt verwijderen, selecteert u de tekenset en drukt u op de knop Verwijderen. Wanneer u een tekenset aan de lijst met geblokkeerde tekensets toevoegt, kunt u uw eigen waarde opgeven voor de spamscore voor deze specifieke tekenset. De standaard is 100. U kunt voor elke tekenset apart een score definiëren. 54

55 Logbestanden Gedetailleerde logboekregistratie inschakelen: hiermee schakelt u uitgebreide logboekregistratie in. Uitvoerbestand plaatsen in: hiermee wordt het uitvoerbestand van de logboekregistratie geplaatst in de map die in dit veld is opgegeven. Druk op de knop... om naar de map te bladeren in plaats van deze te typen Statistieken Logboekregistratie statistische gegevens inschakelen: hiermee worden IP-adressen, domeinen, URL's, verdachte woorden, enzovoort geregistreerd in het configuratiebestandssysteem. Logbestanden kunnen automatisch worden geüpload naar de analyseservers van de antispam-engine. De logbestanden kunnen naar tekst zonder opmaak worden geconverteerd voor weergave. Statistische gegevens verzenden voor analyse: hiermee wordt een thread gestart voor het automatisch uploaden van statistiekenbestanden naar analyseservers van de antispam-engine. Adres analyseserver: URL waarnaar statistiekenbestanden worden geüpload Opties Automatische configuratie: hiermee worden opties ingesteld op basis van systeem-, prestatie- en resourcevereisten die door de gebruiker zijn ingevoerd. Configuratiebestand maken: hiermee wordt het bestand antispam.cfg gemaakt, dat de configuratie van de antispam-engine bevat. Het bestand bevindt zich in C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server 2008) of C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows Server 2000 en 2003). 55

56 3.3.3 Waarschuwingen en meldingen Ieder bericht dat door ESET Mail Security gescand wordt en als spam beoordeeld wordt, kan worden gemarkeerd door een melding toe te voegen aan het onderwerp. Standaard is de melding [SPAM], maar de gebruiker kan de tekenreeks definiëren. OPMERKING: u kunt ook systeemvariabelen gebruiken bij het toevoegen van een sjabloon aan het berichtonderwerp. 3.4 Veelgestelde vragen V: Na de installatie van EMSX met antispam worden s niet meer bij de postvakken bezorgd. A: Dit is normaal als greylisting is ingeschakeld. In de eerste uren na volledige ingebruikname kunnen berichten een paar uur vertraging hebben. Als het probleem langer aanhoudt, wordt u aanbevolen greylisting uit te schakelen (of opnieuw te configureren). V: Wanneer bijlagen worden gescand met VSAPI, wordt de hoofdtekst van berichten dan ook gescand? A: In Microsoft Exchange Server 2000 SP2 en later wordt de hoofdtekst van berichten ook door VSAPI gescand. V: Waarom worden berichten nog steeds gescand nadat de VSAPI-optie is uitgeschakeld? A: Wijzigingen aan VSAPI-instellingen worden asynchroon uitgevoerd, wat betekent dat aangepaste VSAPIinstellingen moeten worden aangeroepen door de Microsoft Exchange Server om van kracht te worden. Dit cyclische proces loopt in intervallen van ongeveer een minuut. Dit geldt ook voor alle andere VSAPI-instellingen. V: Kan VSAPI een volledig bericht met een geïnfecteerde bijlage verwijderen? A: Ja, het volledige bericht kan met VSAPI worden verwijderd. Daartoe moet echter eerst de optie Volledig bericht verwijderen geselecteerd worden in het gedeelte Acties van de VSAPI-instellingen. Deze optie is beschikbaar in Microsoft Exchange Server 2003 en later. In oudere versies van Microsoft Exchange Server wordt het verwijderen van volledige berichten niet ondersteund. 56

57 V: Wordt uitgaande ook door VSAPI op virussen gescand? A: Ja, uitgaande wordt door VSAPI gescand, tenzij u een SMTP-server in uw client hebt geconfigureerd die afwijkt van uw Microsoft Exchange Server. Deze functie is van toepassing op Microsoft Exchange Server 2000 Servicepack 3 en later. V: Is het mogelijk om via VSAPI een melding toe te voegen aan ieder gescand bericht, op dezelfde manier als met de transportagent? A: Het toevoegen van tekst aan berichten die worden gescand door VSAPI wordt niet ondersteund in Microsoft Exchange Server. V: Soms kan ik een bepaalde niet openen in Microsoft Outlook. Hoe komt dat? A: De optie Actie wanneer opschonen niet mogelijk is in uw VSAPI-instellingen in het gedeelte Acties is waarschijnlijk ingesteld op Blokkeren, of u hebt een regel gemaakt met de actie Blokkeren. Een van deze instellingen markeert en blokkeert geïnfecteerde berichten en/of berichten die onder de genoemde regel vallen. V: Waar staat het item Tijdslimiet reactie in het gedeelte Prestaties voor? A: Als u Microsoft Exchange Server 2000 SP2 of later hebt, staat de waarde Tijdslimiet reactie voor de maximale tijd in seconden die nodig is voor het voltooien van het scannen met VSAPI van één thread. Als de scan niet wordt voltooid binnen deze tijdslimiet, weigert Microsoft Exchange Server de client toegang tot de . Het scannen wordt niet onderbroken en nadat dit is voltooid, wordt iedere andere poging tot toegang tot het bestand toegestaan. Als u Microsoft Exchange Server 5.5 SP3 of SP4 hebt, wordt de waarde uitgedrukt in milliseconden en staat deze voor de periode waarna de client opnieuw zal proberen toegang te krijgen tot het bestand dat eerder vanwege scannen niet beschikbaar was. V: Hoe lang kan de lijst met bestandstypen in één regel zijn? A: De lijst met bestandsextensies kan maximaal 255 tekens in één regel bevatten. V: Ik heb de optie Scannen op de achtergrond ingeschakeld in VSAPI. Tot nu toe werden berichten op de Microsoft Exchange Server altijd gescand na iedere update van de database met viruskenmerken. Dit is niet gebeurd na de laatste update. Wat is het probleem? A: Het besluit om alle berichten onmiddellijk te scannen of nadat een gebruiker een bericht probeert te openen, is afhankelijk van verschillende factoren, zoals serverbelasting, benodigde CPU-tijd voor het scannen van alle berichten in een keer en het totale aantal berichten. De Microsoft Exchange Server scant ieder bericht voordat het Postvak IN van de client bereikt wordt. V: Waarom is de regelteller met meer dan één toegenomen na het ontvangen van één bericht? A:De regels worden toegepast op een bericht wanneer het wordt verwerkt door de transportagent (TA) of VSAPI. Wanneer zowel de TA als VSAPI zijn ingeschakeld en het bericht voldoet aan de regelvoorwaarden, kan de regeltelling worden verhoogd met 2 of meer. De VSAPI benadert ieder onderdeel van het bericht afzonderlijk (hoofdtekst, bijlage), wat betekent dat regels als gevolg hiervan op ieder onderdeel afzonderlijk worden toegepast. Bovendien kunnen regels ook worden toegepast tijdens scans op de achtergrond (bijvoorbeeld een herhaalde scan van het postvakarchief na de update van de database met viruskenmerken), waardoor de regeltelling kan toenemen. V: Is ESET Mail Security 4 voor Microsoft Exchange Server compatibel met het Intelligente berichtenfilter? A: Ja, ESET Mail Security 4 voor Microsoft Exchange Server (EMSX) is compatibel met het Intelligente berichtenfilter. In het geval dat s als spam worden geëvalueerd worden ze als volgt verwerkt: - Als de optie Bericht verwijderen (of Bericht in quarantaine plaatsen) is ingeschakeld in ESET Mail Security Antispam, wordt de actie uitgevoerd ongeacht de ingestelde actie in het intelligente berichtenfilter van Microsoft Exchange. - Als Geen actie is ingesteld in ESET Mail Security, worden de instellingen van het intelligente berichtenfilter van Microsoft Exchange gebruikt en wordt de relevante actie uitgevoerd (bijvoorbeeld Verwijderen, Weigeren of Archiveren). De optie Spamwaarschijnlijkheidswaarde (SCL) naar gescande berichten schrijven op basis van spamscore (in Serverbeveiliging > Microsoft Exchange Server > Transportagent) moet zijn ingeschakeld voor een goede werking van deze functie. 57

58 V: Hoe moet ESET Mail Security worden ingesteld om ongewenste te verplaatsen naar de door de gebruiker gedefinieerde spammap van Microsoft Outlook? A: Met de standaardinstellingen van ESET Mail Security wordt ongewenste opgeslagen in de map Ongewenste van Microsoft Outlook. Dit werkt als u de optie Spamscore schrijven naar koptekst van gescande uitschakelt (onder F5 > Serverbeveiliging > Antispambeveiliging > Microsoft Exchange Server > Transportagent). Als u wilt dat het ongewenste bericht in een andere map wordt opgeslagen leest u de volgende instructies: 1) In ESET Mail Security: - ga naar de geavanceerde instellingen F5, - navigeer naar Serverbeveiliging > Antispambeveiliging > Microsoft Exchange Server > Transportagent - selecteer Bericht behouden in het vervolgkeuzemenu Actie bij spamberichten - schakel het selectievakje Spamscore schrijven naar koptekst van gescande berichten uit - navigeer naar Waarschuwingen en meldingen onder Antispambeveiliging - geef een teksttag op die aan het onderwerpveld van ongewenste berichten moet worden toegevoegd, zoals "[SPAM]", in het veld Sjabloon toegevoegd aan onderwerp van spamberichten 2) In Microsoft Outlook: - stel een regel in om ervoor te zorgen dat berichten met een specifieke test in het onderwerp ("[SPAM]") naar de gewenste map worden verplaatst. Raadpleeg dit Knowledgebase-artikel voor uitvoerigere instructies. V: In de statistieken van de antispambeveiliging vallen veel berichten onder de categorie Niet gescand. Welke wordt niet gescand door de antispambeveiliging? A: De categorie Niet gescand bestaat uit: Algemeen: Alle berichten die zijn gescand terwijl de antispambeveiliging op een willekeurige laag is uitgeschakeld ( server, transportagent). Microsoft Exchange Server 2003: Alle berichten die binnenkomen vanaf een IP-adres dat staat op de algemene acceptatielijst in het intelligente berichtenfilter. Berichten van geverifieerde afzenders. Microsoft Exchange Server 2007: Alle berichten die binnen de organisatie zijn verzonden (worden allemaal gescand door de antivirusbeveiliging). Berichten van geverifieerde afzenders. Berichten van gebruikers die zijn geconfigureerd om de antispam te omzeilen. Alle berichten die zijn verzonden naar het postvak waarvan de optie AntispamBypass is ingeschakeld. Alle berichten van afzenders die op de lijst met veilige afzenders staan. OPMERKING: adressen die gedefinieerd zijn in de witte lijst en de instellingen van de antispamengine vallen niet onder de categorie Niet gescand, aangezien deze groep volledig bestaat uit berichten die nooit door antispam zijn verwerkt. 58

59 V: Gebruikers downloaden berichten in hun clients via POP3 (en gaan hiermee voorbij aan Microsoft Exchange Server), maar de postvakken worden opgeslagen op de Microsoft Exchange Server. Worden deze berichten gescand op virussen en spam door ESET Mail Security? A: In dit configuratietype scant ESET Mail Security berichten die zijn opgeslagen op de Microsoft Exchange Server alleen op de aanwezigheid van virussen (via VSAPI). Er wordt niet gescand op spam, hiervoor is namelijk een SMTP-server vereist. V: Kan ik de hoogte van de spamscore bepalen waarop een bericht als spam wordt geclassificeerd? A: Ja, u kunt deze limiet instellen in ESET Mail Security versie 4.3 en hoger (zie het hoofdstuk Antispam-engine 40 ). V: Worden berichten die worden gedownload via de POP3-connector ook gescand door de ESET Mail Security- module voor antispambeveiliging? A: ESET Mail Security ondersteunt de standaard Microsoft SBS POP3-connector op SBS Berichten die worden gedownload via deze POP3-connector worden daarom gescand op de aanwezigheid van spam. De standaard Microsoft SBS POP3-connector op SBS 2003 wordt echter niet ondersteund. Er bestaan ook POP3-connectors van derden. Of berichten die worden opgehaald via deze derde POP3-connectors worden gescand op spam hangt af van hoe een bepaalde POP3-connector is ontworpen en hoe berichten via deze POP3-connector worden opgehaald. Raadpleeg het onderwerp POP3-connector en antispam 39 voor meer informatie. 59

60 4. ESET Mail Security - Serverbeveiliging ESET Mail Security biedt beveiliging van Microsoft Exchange Server en heeft alle benodigde hulpmiddelen om de server zelf te beveiligen (lokale beveiliging, beveiliging van webtoegang, clientbeveiliging en antispam). 4.1 Antivirus- en antispywarebeveiliging Antivirusbeveiliging biedt bescherming tegen kwaadwillende systeemaanvallen door middel van controle over bestanden, en internetcommunicatie. Als een bedreiging via schadelijke code wordt gedetecteerd, kan de antivirusmodule deze onschadelijk maken door de code eerst te blokkeren en deze vervolgens op te schonen, te verwijderen of in quarantaine te plaatsen Real-timebeveiliging van bestandssysteem Real-timebeveiliging van bestandssysteem controleert alle gebeurtenissen met betrekking tot antivirusbeveiliging in het systeem. Alle bestanden worden gescand op schadelijke code op het moment dat deze worden geopend, gemaakt of uitgevoerd op de computer. Real-timebeveiliging van bestandssysteem wordt uitgevoerd bij het opstarten van het systeem Controle-instellingen De real-time bestandssysteembeveiliging controleert alle typen media en de controle wordt geactiveerd door verschillende gebeurtenissen. Met de detectiemethoden van de ThreatSense-technologie (zoals beschreven in het gedeelte Parameters ThreatSense-engine instellen 76 ), kan real-timebeveiliging van het bestandssysteem variëren voor nieuw gemaakte bestanden en bestaande bestanden. Voor nieuw gemaakte bestanden is het mogelijk een hoger besturingsniveau in te stellen. Om het systeem minimaal te belasten bij het gebruik van real-timebeveiliging worden al gescande bestanden niet nogmaals gescand (tenzij deze zijn gewijzigd). Bestanden worden direct na elke update van de database met viruskenmerken opnieuw gescand. Dit gedrag wordt geconfigureerd met Smart-optimalisatie. Als deze is uitgeschakeld, worden alle bestanden gescand telkens wanneer zij worden geopend. Om de optie aan te passen opent u het venster Geavanceerd instellingen en klikt u op Antivirus en antispyware > Real-timebeveiliging van bestandssysteem in de structuur met geavanceerde instellingen. Klik vervolgens op de knop Instellingen naast Parameters ThreatSense engine instellen, klik op Overige en pas de selectie van de optie Smart-optimalisatie inschakelen aan. Real-timebeveiliging wordt standaard gestart bij het opstarten van het systeem en scant ononderbroken. In speciale gevallen (bijvoorbeeld bij een conflict met een andere real-timescanner) kan de real-timebeveiliging worden beëindigd door de optie Automatisch real-timebeveiliging van bestandssysteem starten uit te schakelen. 60

61 Te scannen media Standaard worden alle typen media gescand op mogelijke bedreigingen. Lokale stations: hiermee worden alle harde schijven van het systeem gecontroleerd. Verwisselbare media: diskettes, USB-opslagapparaten, enzovoort. Netwerkstations: hiermee worden alle toegewezen stations gescand. Wij adviseren u de standaardinstellingen te behouden en deze alleen in specifieke gevallen te wijzigen, bijvoorbeeld als het controleren van bepaalde media tot aanzienlijke vertragingen in de gegevensoverdracht leidt Scannen op basis van gebeurtenissen Standaard worden alle bestanden gescand als ze worden geopend, gemaakt of uitgevoerd. Wij adviseren u de standaardinstellingen te handhaven aangezien deze het hoogste niveau van real-timebeveiliging voor uw computer bieden. De optie Diskettetoegang biedt controle over de opstartsector van de diskette als dit station wordt geactiveerd. De optie Computer afsluiten biedt controle over de opstartsectoren van de vaste schijf tijdens het afsluiten van de computer. Hoewel opstartvirussen vandaag de dag nog maar weinig voorkomen, wordt u geadviseerd deze opties ingeschakeld te laten, aangezien nog steeds de kans op infectie door een opstartvirus uit andere bronnen bestaat Geavanceerde scanopties Gedetailleerdere instelopties zijn beschikbaar via Computerbeveiliging > Antivirus en antispyware > Realtimebeveiliging van bestandssysteem > Geavanceerde instellingen. Aanvullende ThreatSense parameters voor nieuwe en gewijzigde bestanden: de waarschijnlijkheid van infectie van nieuwe en gewijzigde bestanden is in vergelijking hoger dan van bestaande bestanden. Daarom worden deze bestanden gecontroleerd met aanvullende scanparameters. Samen met gewone scanmethoden op basis van viruskenmerken, wordt gebruik gemaakt van geavanceerde heuristiek, waardoor de detectiepercentages sterk verbeteren. Naast nieuwe bestanden worden zelf-uitpakkende bestanden (.SFX) en programma's voor runtimecompressie (intern gecomprimeerde uitvoerbare bestanden) ook gescand. Archieven worden standaard tot maximaal tien niveaus gescand. De grootte van de archieven wordt voorafgaand aan de scan niet gecontroleerd. Om de instellingen voor het scannen van archieven te wijzigen, schakelt u de optie Standaardinstellingen voor archieven scannen uit. 61

62 Aanvullende ThreatSense.Net parameters voor uitgevoerde bestanden: Standaard wordt er geen geavanceerde heuristiek gebruikt wanneer bestanden worden uitgevoerd. In sommige gevallen wilt u deze optie mogelijk inschakelen (door de optie Geavanceerde heuristiek voor uitvoeren bestanden inschakelen te selecteren). Als u dat doet, worden sommige programma's mogelijk trager uitgevoerd vanwege de extra belasting van het systeem Opschoonniveaus Real-timebeveiliging biedt drie opschoonniveaus. Om een opschoonniveau te selecteren, klikt u op de knop Instellingen in het gedeelte Real-timebeveiliging van het bestandssysteem en klikt u op de vertakking Opschonen. Bij het eerste niveau, Niet opschonen, wordt een waarschuwingsvenster met beschikbare opties weergegeven voor elke gevonden infiltratie. U moet een actie kiezen voor elke afzonderlijke infiltratie. Dit niveau is bedoeld voor gevorderde gebruikers die weten welke stappen genomen moeten worden in geval van een infiltratie. Bij het standaardniveau wordt automatisch een vooraf gedefinieerde actie gekozen en uitgevoerd (afhankelijk van het type infiltratie). Detectie en verwijdering van een geïnfecteerd bestand wordt aangegeven via een bericht in de rechterbenedenhoek van het scherm. Automatische acties worden niet uitgevoerd wanneer de infiltratie zich in een archief bevindt (dat ook schone bestanden bevat), of wanneer geïnfecteerde objecten geen vooraf gedefinieerde actie hebben. Het derde niveau, Volledig opschonen, is het meest 'agressieve': alle geïnfecteerde objecten worden opgeschoond. Aangezien dit niveau zou kunnen resulteren in het verlies van geldige bestanden, adviseren wij dit alleen in specifieke situaties te gebruiken Wanneer moet de configuratie voor real-timebeveiliging worden gewijzigd? Real-timebeveiliging vormt het meest essentiële onderdeel van het onderhouden van een veilig systeem. Wees daarom voorzichtig bij het wijzigen van de bijbehorende parameters. Wij adviseren u de parameters alleen te wijzigen in specifieke situaties. Als er bijvoorbeeld een conflict is met een bepaalde toepassing of real-timescanner van een ander antivirusprogramma. Na de installatie van ESET Mail Security zijn alle instellingen geoptimaliseerd om gebruikers een zo hoog mogelijk niveau van systeembeveiliging te bieden. Om de standaardinstellingen te herstellen, klikt u op de knop Standaard rechtsonder in het venster Real-timebeveiliging van bestandssysteem (Geavanceerde instellingen > Antivirus en antispyware > Real-timebeveiliging van bestandssysteem). 62

63 Real-timebeveiliging controleren U kunt controleren of real-timebeveiliging werkt en virussen detecteert door een testbestand van eicar.com te gebruiken. Dit testbestand is een speciaal onschadelijk bestand dat door alle antivirusprogramma's kan worden gedetecteerd. Het bestand is gemaakt door het bedrijf EICAR (European Institute for Computer Antivirus Research) om de werking van antivirusprogramma's te testen. Het bestand eicar.com kan worden gedownload van OPMERKING: Voordat u een controle van de real-timebeveiliging kunt uitvoeren, moet u de firewall uitschakelen. Als de firewall is ingeschakeld, wordt het bestand gedetecteerd en wordt voorkomen dat testbestanden worden gedownload Te volgen procedure als real-timebeveiliging niet werkt In het volgende hoofdstuk beschrijven wij probleemsituaties die zich kunnen voordoen bij het gebruik van realtimebeveiliging, en oplossingen hiervoor. Real-time beveiliging is uitgeschakeld Als real-timebeveiliging per ongeluk is uitgeschakeld door de gebruiker, moet deze opnieuw worden geactiveerd. Om real-timebeveiliging opnieuw te activeren, gaat u naar Instellingen > Antivirus en antispyware en klikt u op Inschakelen in het gedeelte Real-timebeveiliging van bestandssysteem van het hoofdvenster van het programma. Als real-timebeveiliging niet wordt gestart bij het opstarten van het systeem, komt dat waarschijnlijk doordat de optie Automatisch real-timebeveiliging van bestandssysteem opstarten is uitgeschakeld. Om deze optie in te schakelen gaat u naar Geavanceerde instellingen (F5) en klikt u op Real-timebeveiliging van bestandssysteem in de structuur met geavanceerde instellingen. In het gedeelte Geavanceerde instellingen onder in het venster moet het selectievakje Automatisch real-timebeveiliging van bestandssysteem starten ingeschakeld zijn. Als real-timebeveiliging geen detecties uitvoert en geen infiltraties opschoont Controleer of er geen andere antivirusprogramma's zijn geïnstalleerd op de computer. Als twee programma's voor real-timebeveiliging tegelijk zijn geactiveerd, conflicteren deze mogelijk. Wij adviseren u alle eventuele andere antivirusprogramma's van uw systeem te verwijderen. Real-timebeveiliging wordt niet gestart Als real-timebeveiliging niet wordt gestart bij het opstarten van het systeem (en de optie Automatisch real63

64 timebeveiliging van bestandssysteem starten is ingeschakeld), komt dit waarschijnlijk door een conflict met andere programma's. Als dat het geval is, raadpleegt u de klantenservicespecialisten van ESET Beveiliging client beveiliging biedt controle over communicatie die wordt ontvangen via het POP3-protocol. Met behulp van de invoegtoepassing voor Microsoft Outlook biedt ESET Mail Security controle over alle communicatie via de client (POP3, MAPI, IMAP, HTTP). Bij het onderzoeken van binnenkomende berichten, maakt het programma gebruik van alle geavanceerde scanmethoden die beschikbaar worden gesteld door de ThreatSense-scanengine. Dit betekent dat detectie van schadelijke programma's plaatsvindt zelfs nog voordat deze worden vergeleken met de database met viruskenmerken. Het scannen van communicatie via het POP3-protocol gebeurt onafhankelijk van de gebruikte client POP3-controle Het POP3-protocol is het meestgebruikte protocol voor het ontvangen van communicatie in een programma. ESET Mail Security biedt beveiliging voor dit protocol, ongeacht de gebruikte client. De beveiligingsmodule die deze controle verzorgt, wordt automatisch geïnitieerd bij het opstarten van het systeem en is vervolgens actief in het geheugen. De module werkt alleen goed als deze is ingeschakeld. POP3-controle wordt automatisch uitgevoerd zonder dat de client opnieuw moet worden geconfigureerd. Standaard wordt alle communicatie op poort 110 gescand, maar andere communicatiepoorten kunnen zo nodig worden toegevoegd. Poortnummers moeten van elkaar worden gescheiden door een komma. Gecodeerde communicatie wordt niet gecontroleerd. Om filtering van POP3/POP3S te kunnen gebruiken moet Protocolfiltering eerst worden ingeschakeld. Als de opties POP3/POP3S niet beschikbaar zijn, gaat u in de structuur voor geavanceerde instellingen naar Computerbeveiliging > Antivirus en antispyware > Protocolfiltering en schakelt u de optie Inhoudsfilter toepassingsprotocol inschakelen in. Zie het gedeelte Protocolfiltering voor meer informatie over filtering en configuratie. 64

65 Compatibiliteit Bij bepaalde programma's kunt u problemen krijgen met POP3-filtering (zo kunnen bijvoorbeeld bij het ontvangen van berichten via een trage internetverbinding time-outs optreden vanwege controles). In dat geval probeert u de manier te wijzigen waarop de controle plaatsvindt. Het verlagen van het controleniveau kan de snelheid van het opschonen verbeteren. Om het controleniveau van POP3-filtering aan te passen gaat u in de structuur voor geavanceerde instellingen naar Antivirus en antispyware > beveiliging > POP3, POP3s > Compatibiliteit. Als Maximale efficiëntie is ingeschakeld worden infiltraties verwijderd van geïnfecteerde berichten en wordt informatie over de infiltratie ingevoegd vóór het originele onderwerp (de opties Verwijderen of Opschonen moeten geactiveerd zijn, of het opschoonniveau Volledig of Standaard moet zijn ingeschakeld). Gemiddelde compatibiliteit wijzigt de manier waarop berichten worden ontvangen. Berichten worden geleidelijk aan verzonden naar de client. Nadat het bericht is overgebracht wordt het gescand op infiltraties. Het risico van infectie neemt toe bij dit controleniveau. Het opschoonniveau en de afhandeling van meldingen (waarschuwingsberichten die worden toegevoegd aan de onderwerpregel en aan de hoofdtekst van berichten) is identiek aan de instelling voor maximale efficiëntie. Met het niveau Maximale compatibiliteit wordt u via een waarschuwingsvenster op de hoogte gebracht van de ontvangst van een geïnfecteerd bericht. Er wordt geen informatie over geïnfecteerde bestanden toegevoegd aan de onderwerpregel of aan de hoofdtekst van afgeleverde berichten en infiltraties worden niet automatisch verwijderd, infiltraties moeten vanuit de client worden verwijderd Integratie met clients Door integratie van ESET Mail Security met clients neemt het niveau van actieve beveiliging tegen schadelijke code in berichten toe. Als uw client ondersteund wordt, kan deze integratie in ESET Mail Security worden ingeschakeld. Als integratie is geactiveerd, wordt de werkbalk van ESET Mail Security rechtstreeks in de client gevoegd voor efficiëntere beveiliging. De integratie-instellingen zijn beschikbaar via Instellingen > Volledige structuur voor geavanceerde instellingen invoeren > Overige > Integratie client. Met Integratie client kunt u de integratie met ondersteunde clients activeren. De clients die momenteel worden ondersteund zijn onder andere Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail en Mozilla Thunderbird. Selecteer de optie Controle bij wijziging inhoud Postvak IN uitschakelen als het systeem trager wordt tijdens het werken met de client. Dit kan bijvoorbeeld gebeuren wanneer u downloadt uit het archief Kerio Outlook Connector. 65

66 beveiliging wordt ingeschakeld door te klikken op Instellingen > Volledige structuur voor geavanceerde instellingen invoeren > Antivirus en antispyware > Beveiliging client en de optie Antivirus- en antispywarebeveilliging client inschakelen te selecteren Meldingen toevoegen aan de hoofdtekst van een bericht die wordt gescand met ESET Mail Security kan worden gemarkeerd door een melding toe te voegen aan het onderwerp of de tekst van de . Door deze functie neemt de geloofwaardigheid van de afzender toe en bij detectie van een infiltratie biedt het waardevolle informatie over het bedreigingsniveau van een bepaalde of afzender. De opties voor deze functionaliteit zijn beschikbaar via Geavanceerde instellingen > Antivirus en antispyware > Beveiliging client. U kunt Meldingen toevoegen aan ontvangen en gelezen en Meldingen toevoegen aan verzonden . U kunt ook kiezen of meldingen worden toegevoegd aan alle gescande , aan alleen geïnfecteerde of helemaal niet. Met ESET Mail Security kunt u ook berichten toevoegen aan het oorspronkelijke onderwerp van geïnfecteerde berichten. Om meldingen aan het onderwerp toe te voegen selecteert u de opties Opmerking toevoegen aan onderwerp van ontvangen en gelezen geïnfecteerde en Opmerking toevoegen aan onderwerp verzonden geïnfecteerde . De inhoud van de meldingen kan worden gewijzigd in het veld Sjabloon toegevoegd aan onderwerp geïnfecteerde . De hierboven genoemde aanpassingen kunnen u helpen bij geautomatiseerd filteren van geïnfecteerde , u kunt met een bepaald onderwerp namelijk filteren en in een afzonderlijke map laten plaatsen (indien ondersteund door uw client) Infiltraties verwijderen Als een geïnfecteerd bericht wordt ontvangen, wordt een waarschuwingsvenster weergegeven. In dit waarschuwingsvenster worden de naam van de afzender, de en de naam van de infiltratie weergegeven. In het onderste deel van het venster zijn de opties Opschonen, Verwijderen of Verlaten beschikbaar voor het gevonden object. In vrijwel alle gevallen adviseren wij u Opschonen of Verwijderen te selecteren. In speciale situaties, als u het geïnfecteerde bestand wilt ontvangen, selecteert u Verlaten. Als Volledig opschonen is ingeschakeld, wordt een informatievenster zonder beschikbare opties voor geïnfecteerde objecten weergegeven. 66

67 4.1.3 Beveiliging webtoegang Internettoegang is een standaardfunctie op een personal computer. Helaas is het ook het belangrijkste medium geworden voor het overdragen van schadelijke code. Daarom is het essentieel dat u de beveiliging van uw webtoegang zorgvuldig overweegt. U wordt sterk aanbevolen om de optie Antivirus- en antispywarebeveiliging van webtoegang inschakelen te selecteren. Deze optie is te vinden in Geavanceerde instellingen (F5) > Antivirus en antispyware > Beveiliging van webtoegang HTTP, HTTPs De toegangsbeveiliging van websites wordt geregeld door de communicatie tussen webbrowsers en externe servers te controleren. Hierbij worden de regels voor HTTP (Hypertext Transfer Protocol) en HTTPs (HTTP met gecodeerde communicatie) gehanteerd. ESET Mail Security is standaard geconfigureerd voor het gebruik van de standaarden van de meeste webbrowsers. De instellingen van de HTTP-scanner kunnen echter worden gewijzigd via Geavanceerde instellingen (F5) > Antivirus en antispyware > Beveiliging van webtoegang > HTTP, HTTPS. In het hoofdvenster met instellingen voor het HTTP-filter kunt u de optie HTTP-controle inschakelen in- of uitschakelen. U kunt ook de poortnummers opgeven die mogen worden gebruikt voor HTTP-communicatie. Standaard zijn de poortnummers 80, 8080 en 3128 vooraf gedefinieerd. HTTPs-controle kan met de volgende opties worden uitgevoerd: Geen HTTPS-protocolcontrole gebruiken: gecodeerde communicatie wordt niet gecontroleerd. HTTPs-protocolcontrole gebruiken voor geselecteerde poorten: HTTPS-controle wordt alleen ingeschakeld voor poorten die zijn gedefinieerd bij Poorten die worden gebruikt door HTTPS-protocol. 67

68 Adresbeheer Gebruik dit gedeelte om HTTP-adressen op te geven die u wilt blokkeren, toestaan of uitsluiten van controle. De knoppen Toevoegen, Wijzigen, Verwijderen en Exporteren kunt u gebruiken om de lijsten met adressen te beheren. Websites in de lijst met geblokkeerde adressen zijn niet toegankelijk. Websites in de lijst met uitgesloten adressen zijn toegankelijk zonder dat er wordt gecontroleerd op schadelijke code. Als u de optie Alleen toegang toestaan tot HTTP-adressen in de lijst met toegestane adressen inschakelt, zijn alleen adressen in de lijst met toegestane adressen toegankelijk en worden alle andere HTTP-adressen geblokkeerd. In alle lijsten kunnen de speciale symbolen * (sterretje) en? (vraagteken) worden gebruikt. Het sterretje vervangt elke willekeurige tekenreeks, terwijl het vraagteken elk willekeurig symbool vervangt. Wees met name voorzichtig bij het opgeven van uitgesloten adressen omdat deze lijst alleen vertrouwde en veilige adressen zou moeten bevatten. Ga tevens zorgvuldig om met de symbolen * en? en zorg dat deze correct worden gebruikt in deze lijst. Als u een lijst wilt activeren, selecteert u de optie Lijst actief. Als u een melding wilt zien wanneer u een adres uit de huidige lijst invoert, selecteert u Melding weergeven bij toepassen van adres uit de lijst. 68

69 Actieve modus ESET Mail Security bevat de functie Webbrowsers, waarmee u kunt definiëren of de desbetreffende toepassing een browser is of niet. Als een toepassing is gemarkeerd als een browser, wordt alle communicatie via deze toepassing gecontroleerd ongeacht de poortnummers. De functie Webbrowsers geldt als aanvulling op de functie voor HTTP-controle, aangezien HTTP-controle alleen plaatsvindt op vooraf gedefinieerde poorten. Veel internetservices maken echter gebruik van veranderende of onbekende poortnummers. Daarom kan de functie Webbrowser de controle verwerven over alle poortcommunicatie ongeacht de verbindingsparameters. De lijst met als webbrowser gemarkeerde toepassingen is toegankelijk via het submenu Webbrowsers van de vertakking HTTP, HTTPs. Dit gedeelte bevat tevens het submenu Actieve modus, waarin de controlemodus voor 69

70 internetbrowsers wordt gedefinieerd. De Actieve modus is nuttig omdat hiermee overgedragen gegevens in hun geheel worden onderzocht. Als deze optie niet is ingeschakeld, wordt de communicatie van toepassingen geleidelijk aan, in batches, gecontroleerd. Hierdoor neemt de effectiviteit van het proces van gegevensverificatie af, maar wordt wel een grotere compatibiliteit met de toepassingen in de lijst geboden. Als er geen problemen optreden bij het gebruik ervan, adviseren wij u de actieve controlemodus in te schakelen door het vakje naast de gewenste toepassing te selecteren Computerscan op aanvraag Als u vermoedt dat de computer is geïnfecteerd (deze vertoont abnormaal gedrag), voert u een computerscan op aanvraag uit om uw computer te onderzoeken op infiltraties. Vanuit beveiligingsoogpunt is het van essentieel belang dat computerscans niet alleen worden uitgevoerd als infecties worden vermoed, maar regelmatig als onderdeel van routinematige beveiligingsmaatregelen. Door regelmatig te scannen kunnen infiltraties worden gedetecteerd die niet door de real-timescanner zijn gedetecteerd op het moment van opslag op de schijf. Dit kan gebeuren als de real-timescanner was uitgeschakeld op het moment van infectie of de database met viruskenmerken verouderd was. Wij adviseren u minimaal eenmaal per maand een scan op aanvraag uit te voeren. Scannen kan worden geconfigureerd als een geplande taak in Hulpmiddelen > Planner. 70

71 Type scan Er zijn twee typen computerscans op aanvraag beschikbaar. Gebruik een Smart scan om het systeem snel zonder verdere configuratie van de scanparameters te scannen. Met een Aangepaste scan kunt u elk van de vooraf gedefinieerde scanprofielen selecteren en specifieke scandoelen opgeven Smart Scan Met Smart scan kunt u snel een computerscan starten en geïnfecteerde bestanden opschonen zonder dat gebruikersinterventie is vereist. Het belangrijkste voordeel is de eenvoudige werking zonder gedetailleerde scanconfiguratie. Smart scan controleert alle bestanden op lokale stations en schoont automatisch gedetecteerde infiltraties op of verwijdert deze. Het opschoonniveau wordt automatisch ingesteld op de standaardwaarde. Zie het gedeelte Opschonen 79 voor meer informatie over typen opschoonbewerkingen Aangepaste scan Aangepaste scan is een optimale oplossing als u scanparameters wilt opgeven, zoals scandoelen en scanmethoden. Het voordeel van Aangepaste scan is de mogelijkheid om de parameters in detail te configureren. De configuraties kunnen worden opgeslagen in door de gebruiker gedefinieerde scanprofielen. Deze profielen zijn met name handig als het scannen herhaaldelijk plaatsvindt met dezelfde parameters. Voor de selectie van scandoelen selecteert u Computerscan > Aangepaste scan en selecteert u een optie in de vervolgkeuzelijst Scandoelen of selecteert u specifieke doelen in de boomstructuur. Een scandoel kan tevens nader worden gespecificeerd door het pad naar de map met het bestand of de bestanden die u wilt opnemen in te voeren. Als u enkel het systeem wilt scannen zonder aanvullende opschoonacties, selecteert u de optie Scannen zonder opschonen. Bovendien kunt u een keuze maken uit drie opschoonniveaus door op Instellen... > Opschonen te klikken. 71

72 Scandoelen In de vervolgkeuzelijst met scandoelen kunt u bestanden, mappen en apparaten (stations) selecteren die u op virussen wilt scannen. Met profielinstellingen: voor de selectie van ingestelde doelen in het geselecteerde scanprofiel. Verwisselbare media: voor de selectie van diskette's, USB-opslagapparaten en cd's/dvd's. Lokale stations: voor de selectie van alle harde schijven van het systeem. Netwerkstations: voor de selectie van alle toegewezen stations. Geen selectie: hiermee worden alle selecties geannuleerd. Een scandoel kan ook nader worden gespecificeerd door het pad naar de map met het bestand of de bestanden die u wilt opnemen in de scan in te voeren. Selecteer doelen uit de boomstructuur met alle apparaten die beschikbaar zijn op de computer Scanprofielen U kunt uw voorkeursparameters voor scannen opslaan voor toekomstige scans. Wij adviseren u voor elke regelmatig gebruikte scan een ander profiel te maken (met verschillende scandoelen, scanmethoden en andere parameters). Om een nieuw profiel te maken opent u het venster met geavanceerde instellingen (F5) en klikt u op Computerscan op aanvraag > Profielen. Het venster Configuratieprofielen bevat een vervolgkeuzelijst met bestaande scanprofielen en de optie om een nieuw profiel te maken. Raadpleeg het gedeelte Parameters voor ThreatSense-engine instellen 76 voor een beschrijving van elke parameter van de scaninstellingen, zodat u een scanprofiel kunt maken dat aan uw behoeften voldoet. VOORBEELD: Stel, u wilt een eigen scanprofiel maken en de Smart scan-configuratie is deels geschikt, maar u wilt geen programma's voor runtime-compressie of potentieel onveilige toepassingen scannen en u wilt ook Volledig opschonen toepassen. In het venster Configuratieprofielen klikt u op de knop Toevoegen. Voer de naam van het nieuwe profiel in het veld Profielnaam in en selecteer Smart scan in de vervolgkeuzelijst Instellingen uit profiel kopiëren:. Pas daarna de resterende parameters aan uw vereisten aan. 72

73 Opdrachtregel De antivirusmodule van ESET Mail Security kan worden gestart via de opdrachtregel, handmatig (met de opdracht "ecls") of via een batchbestand ("bat"). De volgende parameters en schakelopties kunnen worden gebruikt bij het uitvoeren van de scanner op aanvraag vanaf de opdrachtregel: Algemene opties: - help help weergeven en afsluiten - version versiegegevens weergeven en afsluiten - base-dir = MAP modules laden vanuit MAP - quar-dir = MAP MAP in quarantaine plaatsen - aind activiteitenindicator weergeven Doelen: - files bestanden scannen (standaard) - no-files bestanden niet scannen - boots opstartsectoren scannen (standaard) - no-boots opstartsectoren niet scannen - arch archieven scannen (standaard) - no-arch archieven niet scannen - max-archive-level = NIVEAU maximaal nestingsniveau voor archieven - scan-timeout = LIMIET archieven scannen gedurende maximaal LIMIET seconden. Als de scantijd deze limiet bereikt, wordt het scannen van het archief gestopt en gaat de scan verder met het volgende bestand. - max-arch-size=grootte alleen de eerste GROOTTE bytes in archieven scannen (standaard 0 = onbeperkt) - mail bestanden scannen - no-mail bestanden niet scannen - sfx zelfuitpakkende archieven scannen - no-sfx zelfuitpakkende archieven niet scannen - rtp programma's voor runtime-compressie scannen - no-rtp programma's voor runtime-compressie niet scannen - exclude = MAP de opgegeven MAP niet scannen - subdir submappen scannen (standaard) - no-subdir submappen niet scannen - max-subdir-level = NIVEAU maximaal nestingsniveau voor submappen (standaard 0 = onbeperkt) - symlink symbolische koppelingen volgen (standaard) - no-symlink symbolische koppelingen overslaan - ext-remove = EXTENSIES - ext-exclude = EXTENSIES EXTENSIES, door dubbele punt gescheiden, uitsluiten van 73

74 scannen Methoden: - adware scannen op adware/spyware/riskware - no-adware niet scannen op adware/spyware/riskware - unsafe scannen op mogelijk onveilige toepassingen - no-unsafe niet scannen op mogelijk onveilige toepassingen - unwanted scannen op mogelijk ongewenste toepassingen - no-unwanted niet scannen op mogelijk ongewenste toepassingen - pattern kenmerken gebruiken - no-pattern geen kenmerken gebruiken - heur heuristiek inschakelen - no-heur heuristiek uitschakelen - adv-heur geavanceerde heuristiek inschakelen - no-adv-heur geavanceerde heuristiek uitschakelen Opschonen: - action = ACTIE ACTIE uitvoeren op geïnfecteerde objecten. Beschikbare acties: none (geen), clean (opschonen), prompt (vragen) - quarantine geïnfecteerde bestanden naar quarantaine kopiëren (aanvulling op ACTIE) - no-quarantine geïnfecteerde bestanden niet naar quarantaine kopiëren Logbestanden: - log-file=bestand uitvoer registreren in BESTAND - log-rewrite uitvoerbestand overschrijven (standaard - toevoegen) - log-all ook schone bestanden opnemen in logbestand - no-log-all schone bestanden niet opnemen in logbestand (standaard) Mogelijke afsluitcodes van de scan: 0 - geen bedreiging gevonden 1 - bedreiging gevonden, maar niet opgeschoond 10 - sommige bestanden zijn nog geïnfecteerd archieffout toegangsfout interne fout OPMERKING: Afsluitcodes groter dan 100 betekenen dat het bestand niet is gescand en dus geïnfecteerd kan zijn. 74

75 4.1.5 Prestaties In dit gedeelte kunt u het aantal ThreatSense-scanengines instellen dat moet worden gebruikt voor virusscans. Meer ThreatSense-scanengines op computers met meerdere processors kunnen de scansnelheid verhogen. Een acceptabele waarde is Als er geen verdere beperkingen zijn, wordt u aanbevolen het aantal ThreatSense-scanengines te verhogen in het venster met geavanceerde instellingen (F5) onder Computerbeveiliging > Antivirus en antispyware > Prestaties. Gebruik hierbij de volgende formule: aantal ThreatSense-scanthreads = (aantal fysieke CPU's x 2) + 1. Tevens moet het aantal scanthreads gelijk zijn aan het aantal ThreatSense-scanengines. U kunt het aantal scanthreads configureren via Serverbeveiliging > Antivirus en antispyware > Microsoft Exchange Server > VSAPI > Performance. Hier volgt een voorbeeld: Stel dat u een server hebt met 4 fysieke CPU's. Volgens de bovenstaande formule moet u voor de beste prestaties het volgende hebben: 9 scanthreads en 9 scanengines. OPMERKING: u wordt aanbevolen net zoveel scanthreads in te stellen als het aantal gebruikte ThreatSensescanengines. Het heeft geen invloed op de prestaties wanneer u meer scanthreads dan scanengines gebruikt. OPMERKING: hier aangebrachte wijzigingen worden alleen na opnieuw opstarten toegepast Protocolfiltering Antivirusbeveiliging voor de toepassingsprotocollen POP3 en HTTP wordt geleverd door de ThreatSensescanengine, die naadloos alle geavanceerde technieken integreert voor het scannen op malware. De controle werkt automatisch, ongeacht de gebruikte internetbrowser of client. De volgende opties zijn beschikbaar voor protocolfiltering (als de optie Inhoudsfilter toepassingsprotocol inschakelen geselecteerd is): HTTP- en POP3-poorten: hiermee wordt het scannen van communicatie beperkt tot bekende HTTP- en POP3poorten. Toepassingen die zijn gemarkeerd als internetbrowser en client: schakel deze optie in om alleen de communicatie te filteren van toepassingen die gemarkeerd zijn als browsers (Beveiliging van webtoegang > HTTP, HTTPS > Webbrowsers) en clients (Beveiliging client > POP3, POP3s > clients). Poorten en toepassingen die zijn gemarkeerd als internetbrowsers en clients: zowel poorten als browsers worden gecontroleerd op malware. OPMERKING: Vanaf Windows Vista Servicepack 1 en Windows Server 2008 wordt een nieuwe methode voor communicatiefiltering gebruikt. Dit heeft als gevolg dat het gedeelte Protocolfiltering niet beschikbaar is SSL Met ESET Mail Security kunt u protocollen controleren die ingekapseld zijn in het SSL-protocol. U kunt verscheidene scanmodi gebruiken voor met SSL beveiligde communicatie, met gebruik van vertrouwde certificaten, onbekende certificaten of certificaten die uitgesloten zijn van de controle van met SSL beveiligde communicatie. Altijd SSL-protocol scannen: Selecteer deze optie om alle met SSL beveiligde communicatie te scannen, behalve communicatie die wordt beveiligd door certificaten die van scannen zijn uitgesloten. Als nieuwe communicatie een onbekend, ondertekend certificaat gebruikt, wordt u hierover niet gewaarschuwd en wordt de communicatie automatisch gefilterd. Wanneer u toegang verkrijgt tot een server met een niet-vertrouwd certificaat dat door u als vertrouwd is gemarkeerd (het is toegevoegd aan de lijst met vertrouwde certificaten), wordt communicatie met de server toegestaan en de inhoud van het communicatiekanaal wordt gefilterd. Vragen stellen over niet-bezochte sites (uitsluitingen kunnen worden ingesteld): als u een nieuwe met SSL beveiligde site opent (met een onbekend certificaat), wordt een dialoogvenster voor actieselectie weergegeven. In deze modus kunt een lijst maken met SSL-certificaten die worden uitgesloten van scannen. SSL-protocol niet scannen: als deze optie geselecteerd is, wordt communicatie via SSL niet gescand. Als het certificaat niet kan worden geverifieerd met het TRCA-certificaatarchief (Trusted Root Certification Authorities) (Protocolfiltering > SSL > Certificaten): Vragen stellen over geldigheid certificaat: u wordt gevraagd een actie uit te voeren. Communicatie die gebruik maakt van het certificaat blokkeren: hiermee wordt de verbinding met de site die het 75

76 certificaat gebruikt beëindigd. Als het certificaat ongeldig of beschadigd is (Protocolfiltering > SSL > Certificaten): Vragen stellen over geldigheid certificaat: u wordt gevraagd een actie uit te voeren. Communicatie die gebruik maakt van het certificaat blokkeren: hiermee wordt de verbinding met de site die het certificaat gebruikt beëindigd Vertrouwde certificaten Naast het geïntegreerde TRCA-certificaatarchief (Trusted Root Certification Authorities) waar certificaten in ESET Mail Security worden opgeslagen, kunt u een aangepaste lijst met vertrouwde certificaten maken die kan worden bekeken in Geavanceerde instellingen (F5) > Protocolfiltering > SSL > Certificaten > Vertrouwde certificaten Uitgesloten certificaten Het gedeelte Uitgesloten certificaten bevat certificaten die als veilig zijn beoordeeld. De inhoud van gecodeerde communicatie waarbij de certificaten in de lijst worden gebruikt wordt niet gecontroleerd op bedreigingen. U wordt aanbevolen alleen die webcertificaten uit te sluiten die gegarandeerd veilig zijn en waarvan de bijbehorende communicatie niet gecontroleerd hoeft te worden Parameters voor ThreatSense-engine instellen ThreatSense is de naam van de technologie die een aantal complexe methoden voor bedreigingsdetectie omvat. Deze technologie is proactief. Dit betekent dat tevens beveiliging wordt geboden tijdens de eerste uren van de verspreiding van een nieuwe bedreiging. Er wordt gebruik gemaakt van een combinatie van verschillende methoden (code-analyse, code-emulatie, generieke kenmerken, viruskenmerken) die samenwerken om de systeembeveiliging aanzienlijk te verbeteren. De scanengine is in staat verschillende gegevensstromen tegelijk te controleren voor een maximale efficiëntie en een zo hoog mogelijk detectiepercentage. De ThreatSensetechnologie zorgt tevens voor de verwijdering van rootkits. Via de instellingsopties voor de ThreatSense-technologie kunt u verschillende scanparameters opgeven: Bestandstypen en extensies die moeten worden gescand De combinatie van verschillende detectiemethoden Opschoonniveaus, enz. Klik op Instellingen om het venster met instellingen te openen. Deze knop bevindt zich in het venster van iedere module die gebruik maakt van de ThreatSense-technologie (zie onder). Verschillende beveiligingsscenario's vereisen mogelijk verschillende configuraties. Daarom is ThreatSense individueel configureerbaar voor de volgende beveiligingsmodules: Real-timebeveiliging van bestandssysteem Controle opstartbestanden van systeem beveiliging 64 Beveiliging webtoegang 67 Computerscan op aanvraag De ThreatSense-parameters zijn in hoge mate geoptimaliseerd voor elke module en wijziging hiervan kan een aanzienlijke invloed hebben op de werking van het systeem. Als bijvoorbeeld parameters voor het altijd scannen van programma's voor runtime-compressie worden gewijzigd of als geavanceerde heuristiek wordt ingeschakeld in de module voor real-timebeveiliging van het bestandssysteem, zou dit kunnen resulteren in een vertraging van het systeem (normaliter worden alleen nieuw gemaakte bestanden gescand via deze methoden). Daarom adviseren wij de standaardinstellingen van de ThreatSense-parameters ongewijzigd te laten voor alle modules met uitzondering van Computerscan op aanvraag. 76

77 Objecten instellen In het gedeelte Objecten kunt u definiëren welke computeronderdelen worden gescand op infiltraties. Werkgeheugen: hiermee wordt gescand op bedreigingen die gericht zijn op het werkgeheugen van het systeem. Opstartsectoren: hiermee worden opstartsectoren gescand op de aanwezigheid van virussen in de Master Boot Record. Bestanden: voor het scannen van alle veelgebruikte bestandstypen (programma's, afbeeldingen, audio, videobestanden, databasebestanden, enz.). bestanden: hiermee worden speciale bestanden gescand waarin berichten worden bewaard. Archieven: hiermee worden bestanden gescand die zijn gecomprimeerd in archieven (RAR, ZIP, ARJ, TAR, enz.). Zelfuitpakkende archieven: hiermee worden bestanden gescand die in zelfuitpakkende archieven zitten, maar die doorgaans worden weergegeven met de extensie EXE. Programma's voor runtime-compressie: programma's voor runtime-compressie worden in het geheugen gedecomprimeerd (in tegenstelling tot standaardarchieftypen), inclusief standaardprogramma's voor statische compressie (zoals UPX, yoda, ASPack, FGS, enz.). OPMERKING: als er een blauwe stip naast een parameter wordt weergegeven, betekent dit dat de huidige instelling voor die parameter afwijkt van instellingen voor andere modules die ook gebruikmaken van ThreatSense. Aangezien u dezelfde parameter voor elke module anders kunt configureren, weet u middels deze blauwe stip dat dezelfde parameter anders is geconfigureerd voor andere modules. Als er geen blauwe stip is, is de parameter voor alle modules op dezelfde manier geconfigureerd Opties In de sectie Opties kunt u de methoden selecteren die moeten worden gebruikt bij het scannen van het systeem op infiltraties. De volgende opties zijn beschikbaar: Heuristiek: heuristiek maakt gebruik van een algoritme dat de (schadelijke) activiteit van programma's analyseert. Het voornaamste voordeel van heuristiek is het vermogen om schadelijke software te identificeren die nog niet bestond of niet bekend was in de lijst met bekende virussen (database viruskenmerken). Geavanceerde heuristiek: Geavanceerde heuristiek bestaat uit een uniek heuristisch algoritme dat door ESET is ontwikkeld en dat is geoptimaliseerd voor het detecteren van computerwormen en Trojaanse paarden. Dit algoritme is geschreven in programmeertalen van hoog niveau. Dankzij geavanceerde heuristiek is de detectieintelligentie van het programma significant hoger. Potentieel ongewenste toepassingen: Deze toepassingen zijn niet niet per se schadelijk maar kunnen de prestaties van uw computer aantasten. Voor de installatie van dergelijke toepassingen moet doorgaans 77

78 toestemming worden gegeven. Deze toepassingen veranderen de manier waarop uw computer werkt (in vergelijking met de toestand vóór de installatie). De meestingrijpende wijzigingen omvatten ongewenste popupvensters, activering en uitvoering van verborgen processen, toegenomen gebruik van systeembronnen, wijzigingen in zoekresultaten en programma's die communiceren met externe servers. Potentieel onveilige toepassingen: Dit is de classificatie voor commerciële, legitieme software. Het omvat programma's zoals hulpmiddelen voor externe toegang, daarom is deze optie standaard uitgeschakeld. Potentieel gevaarlijke bijlagen De optie Potentieel gevaarlijke bijlagen biedt bescherming tegen schadelijke bedreigingen, zoals ransomware die doorgaans als Trojaanse paarden in bijlagen bij berichten worden verspreid. Een voorbeeld van een dergelijke bedreiging is een uitvoerbaar bestand dat is vermomd als een standaarddocumentbestand (zoals een PDF). De bedreiging dringt het systeem van de gebruiker binnen zodra de gebruiker het bestand opent. De bedreiging zal vervolgens proberen zijn schadelijke doelstelling te realiseren. OPMERKING: als er een blauwe stip naast een parameter wordt weergegeven, betekent dit dat de huidige instelling voor die parameter afwijkt van instellingen voor andere modules die ook gebruikmaken van ThreatSense. Aangezien u dezelfde parameter voor elke module anders kunt configureren, weet u middels deze blauwe stip dat dezelfde parameter anders is geconfigureerd voor andere modules. Als er geen blauwe stip is, is de parameter voor alle modules op dezelfde manier geconfigureerd. 78

79 Opschonen De opschooninstellingen bepalen het gedrag van de scanner tijdens het opschonen van geïnfecteerde bestanden. Er zijn 3 opschoonniveaus: Niet opschonen: Geïnfecteerde bestanden worden niet automatisch opgeschoond. Er wordt een waarschuwingsvenster weergegeven en u kunt een actie kiezen. Standaard opschonen: Hiermee wordt automatisch geprobeerd een geïnfecteerd bestand op te schonen of te verwijderen. Als het niet mogelijk is de juiste actie automatisch te selecteren, wordt een selectie van vervolgacties aangeboden. De beschikbare vervolgacties worden tevens weergegeven als een vooraf gedefinieerde actie niet kon worden voltooid. Volledig opschonen: Alle geïnfecteerde bestanden (inclusief archieven) worden opgeschoond of verwijderd. De enige uitzonderingen zijn systeembestanden. Als deze niet kunnen worden opgeschoond, wordt een waarschuwingsvenster geopend waarin u een actie kunt selecteren. Waarschuwing: In de standaardmodus wordt het hele archiefbestand alleen verwijderd als alle bestanden in het archief geïnfecteerd zijn. Als er ook legitieme bestanden zijn, wordt het archiefbestand niet verwijderd. Als een geïnfecteerd archiefbestand wordt gedetecteerd in de modus Volledig opschonen, wordt het hele archief verwijderd, zelfs als er schone bestanden aanwezig zijn. OPMERKING: als er een blauwe stip naast een parameter wordt weergegeven, betekent dit dat de huidige instelling voor die parameter afwijkt van instellingen voor andere modules die ook gebruikmaken van ThreatSense. Aangezien u dezelfde parameter voor elke module anders kunt configureren, weet u middels deze blauwe stip dat dezelfde parameter anders is geconfigureerd voor andere modules. Als er geen blauwe stip is, is de parameter voor alle modules op dezelfde manier geconfigureerd. 79

80 Extensies Een extensie maakt deel uit van de bestandsnaam en wordt gescheiden door een punt. De extensie definieert het type en de inhoud van het bestand. In dit gedeelte van de instellingen van ThreatSense-parameters kunt u de typen bestanden definiëren die u wilt scannen. Standaard worden alle bestanden gescand, ongeacht hun extensie. Elke extensie kan worden toegevoegd aan de lijst met bestanden die zijn uitgesloten van scannen. Als de optie Alle bestanden scannen wordt uitgeschakeld, worden in de lijst alle op dat moment gescande bestandextensies weergegeven. Met de knoppen Toevoegen en Verwijderen kunt u het scannen van gewenste extensies inschakelen of verbieden. U kunt het scannen van bestanden zonder extensie activeren door de optie Bestanden zonder extensie scannen te selecteren. Soms is het nodig bestanden uit te sluiten van scannen als door het scannen van bepaalde bestandstypen het programma dat deze extensies gebruikt niet goed wordt uitgevoerd. Zo kan het raadzaam zijn de extensies EDB, EML en TMP uit te sluiten als gebruik wordt gemaakt van Microsoft Exchange-servers. OPMERKING: als er een blauwe stip naast een parameter wordt weergegeven, betekent dit dat de huidige instelling voor die parameter afwijkt van instellingen voor andere modules die ook gebruikmaken van ThreatSense. Aangezien u dezelfde parameter voor elke module anders kunt configureren, weet u middels deze blauwe stip dat dezelfde parameter anders is geconfigureerd voor andere modules. Als er geen blauwe stip is, is de parameter voor alle modules op dezelfde manier geconfigureerd Limiet Gebruik het gedeelte Limiet om de maximale grootte op te geven van objecten die moeten worden gescand, evenals het maximale niveau voor het scannen van geneste archieven: Maximale objectgrootte: Hiermee wordt de maximale grootte bepaald van objecten die moeten worden gescand. De antivirusmodule scant dan alleen objecten die kleiner zijn dan de opgegeven grootte. Het is in de meeste gevallen niet nodig de standaardwaarde te wijzigen. De waarde mag alleen worden gewijzigd door gevorderde gebruikers die een specifieke reden hebben om grotere objecten niet te scannen. Maximale scantijd voor object (sec.): Hiermee wordt de maximale tijd bepaald voor het scannen van een object. Als hier een waarde is ingevoerd, wordt het scannen van een object beëindigd wanneer die tijd is verstreken, ongeacht of de scan is voltooid. Nestingsniveau voor archieven: Hiermee wordt het maximumaantal niveaus bepaald waarop archieven moeten worden gescand. Het is in de meeste gevallen niet nodig de standaardwaarde van 10 te wijzigen. Als het scannen voortijdig wordt afgebroken omdat archieven dieper dan 10 niveaus zijn genest, worden archieven op lagere niveaus niet gecontroleerd. Maximale grootte van bestanden in archief: Gebruik deze optie om de maximale bestandsgrootte op te geven 80

81 voor bestanden in archieven (als deze worden uitgepakt) die moeten worden gescand. Als het scannen van een archief hierdoor vroegtijdig wordt beëindigd, blijft het archief ongecontroleerd. OPMERKING: als er een blauwe stip naast een parameter wordt weergegeven, betekent dit dat de huidige instelling voor die parameter afwijkt van instellingen voor andere modules die ook gebruikmaken van ThreatSense. Aangezien u dezelfde parameter voor elke module anders kunt configureren, weet u middels deze blauwe stip dat dezelfde parameter anders is geconfigureerd voor andere modules. Als er geen blauwe stip is, is de parameter voor alle modules op dezelfde manier geconfigureerd Overige Alternatieve gegevensstromen (ADS) scannen: Alternatieve gegevensstromen (ADS) die worden gebruikt door het NTFS-bestandssysteem zijn bestands- en mapkoppelingen die onzichtbaar zijn voor normale scantechnieken. Veel infiltraties proberen detectie te vermijden door zichzelf te vermommen als alternatieve gegevensstromen. Achtergrondscans uitvoeren met lage prioriteit: Elke scanprocedure neemt een bepaalde hoeveelheid systeembronnen in beslag. Als u werkt met programma's waarbij de systeembronnen zwaar worden belast, kunt u achtergrondscans met lage prioriteit inschakelen en zo bronnen besparen voor uw toepassingen. Alle objecten in logbestand opnemen: als deze optie wordt geselecteerd, worden alle gescande bestanden, zelfs de niet-geïnfecteerde, in het logbestand vermeld. Smart-optimalisatie inschakelen: Selecteer deze optie zodat al gescande bestanden niet steeds opnieuw worden gescand (tenzij ze zijn gewijzigd). Bestanden worden direct na elke update van de database met viruskenmerken opnieuw gescand. Tijdstempel laatste toegang bewaren: selecteer deze optie om de oorspronkelijke toegangstijd van gescande bestanden te handhaven in plaats van deze bij te werken (bijvoorbeeld voor gebruik met back-upsystemen). Scanlogboek doorbladeren: Met deze optie kunt u het doorbladeren van het logboek in- of uitschakelen. Als u deze optie selecteert, wordt de informatie in het venster omhoog geschoven. Melding over voltooiing van scan weergeven in afzonderlijk venster: informatie over de scanresultaten wordt in een afzonderlijk venster weergegeven. OPMERKING: als er een blauwe stip naast een parameter wordt weergegeven, betekent dit dat de huidige instelling voor die parameter afwijkt van instellingen voor andere modules die ook gebruikmaken van ThreatSense. Aangezien u dezelfde parameter voor elke module anders kunt configureren, weet u middels deze blauwe stip dat dezelfde parameter anders is geconfigureerd voor andere modules. Als er geen blauwe stip is, is de parameter voor alle modules op dezelfde manier geconfigureerd Er is een infiltratie gedetecteerd Infiltraties kunnen het systeem bereiken vanaf verschillende toegangspunten: webpagina's, gedeelde mappen, via of via verwisselbare computermedia (USB, externe schijven, cd's, dvd's, diskettes, enz.). Als de computer tekenen van infectie door malware vertoont, bijvoorbeeld trager is, vaak vastloopt, enz., adviseren wij u het volgende te doen: Open ESET Mail Security en klik op Computerscan. Klik op Smart scan (zie het gedeelte Smart scan 71 ) voor meer informatie) Nadat de scan is voltooid, controleert u in het logbestand het aantal gescande, geïnfecteerde en opgeschoonde bestanden. Als u alleen een bepaald gedeelte van uw schijf wilt scannen, klikt u op Aangepaste scan en selecteert u doelen die u wilt scannen op virussen. Als algemeen voorbeeld van hoe infiltraties worden afgehandeld in ESET Mail Security, gaan we ervan uit dat een infiltratie is gedetecteerd door de real-timebewaking van het bestandssysteem, die gebruikmaakt van het standaardopschoonniveau. Deze zal proberen om het bestand op te schonen of te verwijderen. Als er geen vooraf gedefinieerde actie is die de module voor real-timebeveiliging kan uitvoeren, wordt u via een waarschuwingsvenster gevraagd om een optie te selecteren. Gewoonlijk zijn de opties Opschonen, Verwijderen en Verlaten beschikbaar. Het wordt niet aanbevolen Verlaten te selecteren aangezien de geïnfecteerde bestanden dan ongemoeid zouden worden gelaten. De uitzondering hierop is wanneer u er zeker van bent dat het bestand onschadelijk is en per vergissing is gedetecteerd. 81

82 Opschonen en verwijderen: Pas opschonen toe als een bestand is aangevallen door een virus dat schadelijke code aan het bestand heeft toegevoegd. Als dit het geval is, probeert u eerst het geïnfecteerde bestand op te schonen zodat het in de oorspronkelijke staat kan worden hersteld. Als het bestand uitsluitend uit schadelijke code bestaat, wordt het verwijderd. Als een geïnfecteerd bestand 'vergrendeld' is of wordt gebruikt door een systeemproces, wordt het gewoonlijk pas verwijderd nadat het is vrijgegeven (gewoonlijk na een herstart van het systeem). Bestanden in archieven verwijderen: In de modus Standaard opschonen wordt het volledige archief alleen verwijderd als dit uitsluitend geïnfecteerde en geen schone bestanden bevat. Met andere woorden, archieven worden niet verwijderd als zij ook onschadelijke, schone bestanden bevatten. Wees echter voorzichtig bij het gebruik van een scan in de modus Volledig opschonen: hierbij wordt het archief verwijderd als het minimaal één geïnfecteerd bestand bevat, ongeacht de status van andere bestanden in het archief. 4.2 Het programma bijwerken Het regelmatig bijwerken van ESET Mail Security is de basis voor het verkrijgen van maximale beveiliging. De updatemodule zorgt er op twee manieren voor dat het programma altijd up-to-date is: door het bijwerken van de database met viruskenmerken en door het bijwerken van de systeemonderdelen. Als u in het hoofdmenu op Bijwerken klikt, vindt u informatie over de huidige updatestatus, inclusief de datum en tijd van de laatste succesvolle update en of er een update nodig is. Het primaire venster bevat ook de versie van de database met viruskenmerken. Deze numerieke aanduiding vormt een actieve koppeling naar de website van ESET, met een lijst met alle definities die tijdens de betreffende update zijn toegevoegd. Daarnaast is de optie beschikbaar voor het handmatig beginnen met bijwerken (Database viruskenmerken bijwerken), plus basisinstellingen voor het bijwerken, zoals de gebruikersnaam en het wachtwoord voor toegang tot de updateservers van ESET. Gebruik de koppeling Productactivering om een registratieformulier te openen waarmee u uw ESETbeveiligingsproduct kunt activeren en u een ontvangt met uw verificatiegegevens (gebruikersnaam en wachtwoord). 82

83 OPMERKING: uw gebruikersnaam en wachtwoord ontvangt u van ESET na aankoop van ESET Mail Security. 83

84 4.2.1 Instellingen voor update In het gedeelte met instellingen voor update wordt informatie opgegeven over de bron van de update, zoals de updateservers en verificatiegegevens voor deze servers. Standaard is de vervolgkeuzelijst Updateserver ingesteld op Automatisch kiezen om te waarborgen dat de updatebestanden automatisch worden gedownload van de ESET-server met het minste netwerkverkeer. De instellingen voor de update zijn beschikbaar in de structuur met geavanceerde instellingen (de toets F5) onder Update. De lijst met beschikbare updateservers is toegankelijk via de vervolgkeuzelijst Updateserver. U kunt een nieuwe updateserver toevoegen door op Bewerken te klikken in het gedeelte Instellingen voor geselecteerd profiel bijwerken en vervolgens op de knop Toevoegen te klikken. Verificatie voor updateservers is gebaseerd op de Gebruikersnaam en het Wachtwoord die na aankoop zijn gegenereerd en naar u zijn verzonden. 84

85 Updateprofielen Updateprofielen kunnen worden gemaakt voor verschillende updateconfiguraties en taken. Het maken van updateprofielen is vooral nuttig voor mobiele gebruikers die een alternatief profiel kunnen maken voor regelmatig wijzigende eigenschappen van de internetverbinding. In de vervolgkeuzelijst Geselecteerd profiel wordt het geselecteerde profiel weergegeven, standaard Mijn profiel. U kunt een nieuw profiel maken door op de knop Profielen te klikken en vervolgens op Toevoegen en uw eigen Profielnaam in te voeren. Wanneer u een nieuw profiel maakt kunt u instellingen van een bestaand profiel kopiëren door het profiel te selecteren in de vervolgkeuzelijst Instellingen uit profiel kopiëren. In het venster met profielinstellingen kunt u de updateserver instellen vanuit een lijst met beschikbare servers of een nieuwe server toevoegen. De lijst met bestaande updateservers is toegankelijk via de vervolgkeuzelijst Updateserver. U kunt een nieuwe updateserver toevoegen door op Bewerken te klikken in het gedeelte Instellingen voor geselecteerd profiel bijwerken en vervolgens op de knop Toevoegen te klikken Instellingen voor geavanceerde update Klik op de knop Instellingen voor een weergave van de Instellingen voor geavanceerde update. Instellingen voor geavanceerde update bevatten opties voor de configuratie van Updatemodus, HTTP-proxy, LAN en Mirror Updatemodus Het tabblad Updatemodus bevat opties met betrekking tot de update van programmaonderdelen. In het gedeelte Update van programmaonderdelen zijn drie opties beschikbaar: Nooit update van programmaonderdelen uitvoeren: nieuwe updates van programmaonderdelen worden niet gedownload. Altijd update van programmaonderdelen uitvoeren: nieuwe updates van programmaonderdelen worden automatisch uitgevoerd. Vragen alvorens programmaonderdelen te downloaden: Dit is de standaardoptie. U wordt gevraagd updates van programmaonderdelen te bevestigen of te weigeren wanneer deze beschikbaar zijn. 85

86 Na het bijwerken van een programmaonderdeel is het mogelijk nodig om de computer opnieuw op te starten voor volledige functionaliteit van alle modules. In het gedeelte Opnieuw starten na upgrade van programmaonderdelen kunt u een van de volgende opties selecteren: Computer nooit opnieuw opstarten Opnieuw opstarten van computer aanbieden indien nodig Indien nodig computer opnieuw opstarten zonder melding De standaardinstelling is Opnieuw opstarten van computer aanbieden indien nodig. De selectie van de best passende optie is afhankelijk van het werkstation waarop de instellingen worden toegepast. Houd er rekening mee dat er verschillen bestaan tussen werkstations en servers. Zo kan het automatisch opnieuw opstarten van de server na een programma-upgrade ernstige schade veroorzaken. 86

87 Proxyserver In ESET Mail Security zijn de instellingen van de proxyserver beschikbaar in twee verschillende delen binnen de structuur voor geavanceerde instellingen. Ten eerste kunnen de proxyserverinstellingen worden geconfigureerd onder Overige > Proxyserver. Als u de proxyserver op dit niveau opgeeft, worden algemene instellingen voor de proxyserver gedefinieerd voor heel ESET Mail Security. Parameters hier worden gebruikt door alle modules die verbinding met internet vereisen. U kunt instellingen voor de proxyserver op dit niveau opgeven door het selectievakje Proxyserver gebruiken in te schakelen en vervolgens het adres van de proxyserver in te voeren in het veld Proxyserver, samen met het nummer van de Poort van de proxyserver. Als voor communicatie met de proxyserver verificatie is vereist, schakelt u het selectievakje Proxyserver vereist verificatie in en geeft u een geldige Gebruikersnaam en een geldig Wachtwoord op in de respectievelijke velden. Klik op de knop Proxyserver detecteren om proxyserverinstellingen automatisch te detecteren en in te voegen. De in Internet Explorer opgegeven parameters worden gekopieerd. OPMERKING: met deze functie worden geen verificatiegegevens opgehaald (gebruikersnaam en wachtwoord), deze moeten door u worden opgegeven. Proxyserverinstellingen kunnen ook worden opgezet binnen Instellingen voor geavanceerde update. Deze instellingen zijn van toepassing op het gegeven updateprofiel. U krijgt toegang tot de opties van de proxyserverinstellingen van een bepaald updateprofiel door op het tabblad HTTP-proxy te klikken in Instellingen voor geavanceerde update. U hebt een van de drie volgende opties: Algemene instellingen voor proxyserver gebruiken Geen proxyserver gebruiken Verbinding maken via een proxyserver (verbinding gedefinieerd door de verbindingseigenschappen) Door de optie Algemene instellingen voor proxyserver gebruiken te selecteren, worden de configuratieopties van de proxyserver gebruikt die al zijn opgegeven in de vertakking Overige > Proxyserver van de structuur voor geavanceerde instellingen (zoals hierboven wordt beschreven). 87

88 Selecteer de optie Geen proxyserver gebruiken om op te geven dat er geen proxyserver wordt gebruikt om ESET Mail Security bij te werken. De optie Verbinding maken via een proxyserver moet worden geselecteerd als er een proxyserver moet worden gebruikt voor het bijwerken van ESET Mail Security en wanneer deze anders is dan de proxyserver die is opgegeven in de algemene instellingen (Overige > Proxyserver). Als dat het geval is, moeten de instellingen hier worden opgegeven: adres van Proxyserver, Poort voor communicatie, en indien nodig de Gebruikersnaam en het Wachtwoord voor de proxyserver. Deze optie moet ook worden geselecteerd als de proxyserverinstellingen niet algemeen zijn ingesteld, maar ESET Mail Security voor updates verbinding zal maken met een proxyserver. De standaardinstelling voor de proxyserver is Algemene instellingen voor proxyserver gebruiken. 88

89 Verbinding maken met het LAN Bij het bijwerken vanaf een lokale server met een op NT gebaseerd besturingssysteem, is standaardverificatie vereist voor elke netwerkverbinding. In de meeste gevallen beschikt een lokaal systeemaccount niet over voldoende rechten voor toegang tot de mirror-map (deze bevat kopieën van updatebestanden). Als dit het geval is, voert u de gebruikersnaam en het wachtwoord in het gedeelte voor instellingen voor update in of geeft u een bestaand account op waarmee het programma toegang verkrijgt tot de updateserver (Mirror). Klik op het tabblad LAN om een dergelijk account te configureren. Het gedeelte Verbinding maken met LAN als bevat de opties Systeemaccount (standaard), Huidige gebruiker en Opgegeven gebruiker. Selecteer de optie Systeemaccount (standaard) om het systeemaccount te gebruiken voor verificatie. Normaliter vindt geen verificatieproces plaats als er geen verificatiegegevens beschikbaar worden gesteld in het hoofdgedeelte voor instellingen voor update. U kunt zorgen dat het programma zichzelf autoriseert via een momenteel aangemeld gebruikersaccount door Huidige gebruiker te selecteren. Het nadeel van deze oplossing is dat het programma geen verbinding kan maken met de updateserver als geen gebruiker is aangemeld. Selecteer Opgegeven gebruiker als u wilt dat het programma een specifiek gebruikersaccount gebruikt voor verificatie. Waarschuwing: Als de optie Huidige gebruiker of Opgegeven gebruiker is ingeschakeld, kan er een fout optreden bij het wijzigen van de identiteit van het programma naar de gewenste gebruiker. We adviseren de LANverificatiegegevens op te nemen in het hoofdgedeelte van de instellingen voor update. In dit gedeelte van de instellingen voor update moeten de verificatiegegevens als volgt worden ingevoerd: domeinnaam\gebruiker (als het een werkgroep betreft, voert u werkgroepnaam\naam in) en het wachtwoord. Bij het bijwerken vanaf de HTTPversie van de lokale server is geen verificatie vereist. 89

90 Updatekopieën maken - mirror Met ESET Mail Security kunt u kopieën maken van updatebestanden die kunnen worden gebruikt om andere werkstations in het netwerk bij te werken. Als clientwerkstations worden bijgewerkt op basis van een mirror wordt de netwerkbelasting gelijkmatig verdeeld en wordt bandbreedte voor uw internetverbinding bespaard. Configuratieopties voor de lokale mirror-server zijn toegankelijk in het gedeelte Instellingen voor geavanceerde update (nadat een geldige licentiesleutel is ingevoerd in licentiebeheer, in het gedeelte Geavanceerde instellingen van ESET Mail Security). Voor toegang tot dit gedeelte drukt u op F5 en klikt u op Update in de structuur met geavanceerde instellingen. Klik vervolgens op de knop Instellingen... naast Instellingen voor geavanceerde update: en selecteer het tabblad Mirror. De eerste stap voor de configuratie van de mirror is de selectie van de optie Mirror-bestand voor update maken. Als deze optie wordt ingeschakeld, worden andere configuratieopties voor mirrors, zoals de manier waarop updatebestanden worden geopend en het updatepad naar de mirror-bestanden, ingeschakeld. De methoden voor het activeren van de mirror worden uitgebreid beschreven in het gedeelte Bijwerken vanaf de mirror 91. Nu beperken we ons tot de opmerking dat er twee basismethoden voor het openen van de mirror zijn: de map met updatebestanden kan worden gepresenteerd als een gedeelde netwerkmap of als een HTTP-server. De map die specifiek is bestemd voor het opslaan van updatebestanden voor de mirror wordt gedefinieerd in het gedeelte Map voor opslaan mirror-bestanden. Klik op Map om te zoeken naar een map op de lokale computer of naar een gedeelde netwerkmap. Als verificatie voor de opgegeven map is vereist, moeten verificatiegegevens worden ingevoerd in de velden Gebruikersnaam en Wachtwoord. De gebruikersnaam en het wachtwoord worden ingevoerd in de notatie Domein/Gebruiker of Werkgroep/Gebruiker. Geef ook de bijbehorende wachtwoorden op. Bij het configureren van de mirror, kunt u tevens de taalversie opgeven waarvoor updatekopieën moeten worden gedownload. De instellingen voor de taalversie kunnen worden aangepast in het gedeelte Bestanden > Beschikbare versies: OPMERKING: De antispamdatabase kan niet worden bijgewerkt vanaf de mirror. Klik hier over het correct bijwerken van de antispamdatabase voor meer informatie

91 Bijwerken vanaf de mirror Er zijn twee basismethoden voor het configureren van de mirror: de map met updatebestanden kan worden gepresenteerd als een gedeelde netwerkmap of als een HTTP-server. Toegang tot de mirror verkrijgen via een interne HTTP-server Dit is de standaardconfiguratie, zoals gespecificeerd in de voorgedefinieerde programmaconfiguratie. Voor toegang tot de mirror via de HTTP-server gaat u naar Instellingen voor geavanceerde update (op het tabblad Mirror) en selecteert u de optie Mirror-bestand voor update maken. In het gedeelte Geavanceerde instellingen van het tabblad Mirror kunt u de Serverpoort opgeven waar de HTTPserver luistert en het type Verificatie dat door de HTTP-server wordt gebruikt. Standaard is de serverpoort ingesteld op De optie Verificatie bepaalt de gebruikte verificatiemethode bij toegang tot de updatebestanden. De volgende opties zijn beschikbaar: GEEN, Standaard en NTLM. Selecteer Standaard om base64-codering met standaardverificatie van gebruikersnaam en wachtwoord te gebruiken. De optie NTLM biedt codering via een veilige coderingsmethode. Voor verificatie wordt gebruikgemaakt van de gebruiker die is gemaakt op het werkstation dat de updatebestanden deelt. De standaardinstelling is GEEN, waarbij toegang tot de updatebestanden wordt geboden zonder dat verificatie is vereist. Waarschuwing: als u toegang tot de updatebestanden wilt bieden via de HTTP-server, moet de mirror-map zich op dezelfde computer bevinden als de instantie van ESET Mail Security die deze map maakt. Na de configuratie van de mirror gaar u naar de werkstations en voegt u een nieuwe updateserver toe in de notatie Volg hiertoe de volgende stappen: Open Geavanceerde instellingen van ESET Mail Security en klik op de vertakking Update. Klik op Bewerken rechts van de vervolgkeuzelijst Updateserver en voeg een nieuwe server toe in de volgende notatie: Selecteer deze nieuw toegevoegde server in de lijst met updateservers. De mirror openen via systeemshares Als eerste moet een gedeelde map worden gemaakt op een lokaal of een netwerkapparaat. Bij het maken van de map voor de mirror moet schrijftoegang worden verleend aan gebruikers die updatebestanden zullen opslaan in de map en leestoegang aan alle gebruikers die ESET Mail Security zullen bijwerken vanuit de mirror-map. Configureer vervolgens toegang tot de mirror in het gedeelte Instellingen voor geavanceerde update (op het tabblad Mirror) door de optie Updatebestanden aanbieden via interne HTTP-server uit te schakelen. Deze optie is standaard ingeschakeld in het installatiepakket van het programma. Als de gedeelde map zich op een andere computer in het netwerk bevindt, is het noodzakelijk om verificatiegegevens voor het verkrijgen van toegang tot de andere computer op te geven. Voor het opgeven van verificatiegegevens opent u de geavanceerde instellingen van ESET Mail Security (F5) en klikt u op de vertakking Update. Klik op de knop Instellingen en klik vervolgens op het tabblad LAN. Deze instelling is hetzelfde als bij 91

92 bijwerken, zoals beschreven in het gedeelte Verbinding maken met LAN 89. Nadat de mirror-configuratie is voltooid, gaat u naar de werkstations en stelt u \\UNC\PAD in als de updateserver. Deze bewerking kan met de volgende stappen worden voltooid: Open de geavanceerde instellingen van ESET Mail Security en klik op Update. Klik op Bewerken...naast Updateserver en voeg een nieuwe server toe in de notatie \\UNC\PAD. Selecteer deze nieuw toegevoegde server in de lijst met updateservers. OPMERKING: Voor een juiste werking moet het pad naar de mirror-map worden gespecificeerd als een UNC-pad. Updates vanaf toegewezen stations werken mogelijk niet Updateproblemen met mirrors oplossen In de meeste gevallen worden problemen tijdens een update vanaf een mirror-server veroorzaakt door een of meer van de volgende problemen: onjuiste specificatie van de opties voor de mirror-map, onjuiste verificatiegegevens voor de mirror-map, onjuiste configuratie op lokale werkstations die proberen updatebestanden te downloaden van de mirror, of een combinatie van bovengenoemde redenen. Hieronder staat een overzicht van de meestvoorkomende problemen die zich kunnen voordoen bij een update vanaf de mirror: ESET Mail Security meldt een fout bij het maken van een verbinding met de mirror-server: Dit probleem wordt waarschijnlijk veroorzaakt door onjuiste specificatie van de updateserver (netwerkpad naar de mirror-map) waarvandaan lokale werkstations updates downloaden. Om de map te controleren klikt u op het menu Start van Windows, klikt u op Uitvoeren, voegt u de mapnaam in en klikt u op OK. De inhoud van de map zou nu moeten worden weergegeven. ESET Mail Security vereist een gebruikersnaam en wachtwoord: Dit probleem wordt waarschijnlijk veroorzaakt door onjuiste verificatiegegevens (gebruikersnaam en wachtwoord) in het updategedeelte. De gebruikersnaam en het wachtwoord worden gebruikt om toegang te verlenen tot de updateserver, van waar het programma zichzelf bijwerkt. Controleer of de verificatiegegevens juist zijn en zijn ingevoerd in de juiste notatie. Bijvoorbeeld Domein/ Gebruikersnaam of Werkgroep/Gebruikersnaam, plus de bijbehorende wachtwoorden. Als de mirror-server toegankelijk is voor 'Iedereen', betekent dit niet dat elke gebruiker zomaar toegang kan krijgen. 'Iedereen' betekent niet elke onbevoegde gebruiker, maar alleen dat de map toegankelijk is voor alle domeingebruikers. Het resultaat is dat, ook als de map toegankelijk is voor 'Iedereen', nog steeds een domeingebruikersnaam en wachtwoord moet worden ingevoerd in het gedeelte voor het instellen van de update. ESET Mail Security rapporteert een verbindingsfout met de mirror-server: communicatie op de opgegeven poort voor toegang tot de HTTP-versie van de mirror is geblokkeerd Updatetaken maken Updates kunnen handmatig worden geactiveerd door de optie Database viruskenmerken bijwerken te selecteren in het informatievenster dat wordt weergegeven nadat u in het hoofdmenu op Bijwerken hebt geklikt. Updates kunnen ook worden uitgevoerd als geplande taken. Als u een geplande taak wilt configureren, klikt u op Hulpmiddelen > Planner. Standaard zijn in ESET Mail Security de volgende taken geactiveerd: Regelmatige automatische update Automatisch update uitvoeren na inbelverbinding Automatisch update uitvoeren na aanmelding gebruiker Iedere updatetaak kan aan uw behoeften worden aangepast. Behalve de standaardupdatetaken kunt u ook nieuwe updatetaken maken met een door de gebruiker gedefinieerde configuratie. Zie het gedeelte Planner 93 voor meer informatie over het maken en configureren van updatetaken. 92

93 4.3 Planner De Planner is beschikbaar als de Geavanceerde modus van ESET Mail Security is geactiveerd. De Planner is te vinden in het hoofdmenu van ESET Mail Security onder Hulpmiddelen. De Planner bevat een lijst met alle geplande taken en hun configuratie-eigenschappen, zoals de vooraf gedefinieerde datum en tijd en het gebruikte scanprofiel. Standaard worden de volgende geplande taken in de Planner weergegeven: Regelmatige automatische update Automatisch update uitvoeren na inbelverbinding Automatisch update uitvoeren na aanmelding gebruiker Opstartbestand automatisch controleren (na aanmelding gebruiker) Automatisch controle van opstartbestanden uitvoeren (na succesvolle update van de virussignaturendatabase) U kunt de configuratie van een bestaande geplande taak (zowel standaard als door de gebruiker gedefinieerd) bewerken door met de rechtermuisknop op de taak te klikken en op Bewerken te klikken of door de taak die u wilt wijzigen te selecteren en op de knop Bewerken te klikken Doel van geplande taken Planner beheert en start geplande taken met vooraf gedefinieerde configuratie en eigenschappen. De configuratie en eigenschappen bevatten informatie zoals de datum en tijd alsmede opgegeven profielen die moeten worden gebruikt tijdens de uitvoering van de taak. 93

94 4.3.2 Nieuwe taken maken U kunt een nieuwe taak maken in de Planner door op de knop Toevoegen te klikken of door met de rechtermuisknop te klikken en Toevoegen te selecteren in het contextmenu. Er zijn vijf typen geplande taken beschikbaar: Externe toepassing uitvoeren Controle opstartbestanden van systeem Momentopname van computerstatus maken Computerscan op aanvraag Update Aangezien Bijwerken een van de meestgeplande taken is, wordt hier uitgelegd hoe u een nieuwe bijwerktaak kunt toevoegen. Selecteer in het vervolgkeuzemenu Geplandetaak: Bijwerken. Klik op Volgende en voer de naam van de taak in het veld Taaknaam: in. Selecteer de frequentie van de taak. De volgende opties zijn beschikbaar: Eenmaal, Herhaaldelijk, Dagelijks, Wekelijks en Bij gebeurtenis. Op basis van de geselecteerde frequentie wordt u gevraagd om waarden voor verschillende updateparameters in te voeren. Vervolgens definieert u welke actie moet worden ondernomen als de taak niet kan worden uitgevoerd of voltooid op het geplande tijdstip. De volgende drie opties zijn beschikbaar: Wachten tot het volgende geplande tijdstip Taak zo spoedig mogelijk uitvoeren Taak onmiddellijk uitvoeren als laatste uitvoering langer geleden is dan interval (het interval kan worden gedefinieerd met de optie Taakinterval). In de volgende stap wordt een overzichtsvenster met informatie over de huidige geplande taak weergegeven. De optie Taakuitvoeren met specifieke parameters wordt automatisch ingeschakeld. Klik op de knop Voltooien. Een dialoogvenster wordt weergegeven waarin u profielen kunt kiezen voor gebruik bij de geplande taak. Hier kunt u een primair en alternatief profiel opgeven. Dit laatste wordt gebruikt als de taak niet kan worden voltooid met het primaire profiel. Bevestig door op OK te klikken in het venster Updateprofielen. De nieuw geplande taak wordt toegevoegd aan de lijst met actuele geplande taken. 94

95 4.4 Quarantaine De hoofdtaak van de quarantaine is het veilig opslaan van geïnfecteerde bestanden. Bestanden moeten in quarantaine worden geplaatst als ze niet kunnen worden opgeschoond, als het niet veilig of raadzaam is om ze te verwijderen of als ze onterecht door ESET Mail Security zijn gedetecteerd. U kunt elk bestand in quarantaine plaatsen. Dit is raadzaam als een bestand zich verdacht gedraagt maar niet wordt gedetecteerd door de antivirusscanner. In quarantaine geplaatste bestanden kunnen voor analyse naar het bedreigingslaboratorium van ESET worden verzonden. Bestanden die zijn opgeslagen in de quarantainemap kunnen worden bekeken in een tabel waarin de datum en het tijdstip van de quarantaine, het pad naar de oorspronkelijke locatie van het geïnfecteerde bestand, de grootte van het bestand in bytes, de reden (toegevoegd door gebruiker) en het aantal bedreigingen (bijvoorbeeld of het een archief is dat meerdere infiltraties bevat) wordt weergegeven Bestanden in quarantaine plaatsen ESET Mail Security plaatst verwijderde bestanden automatisch in quarantaine (als u deze optie niet hebt geannuleerd in het waarschuwingsvenster). Desgewenst kunt u elk willekeurig verdacht bestand handmatig in quarantaine plaatsen door op de knop Quarantaine te klikken. In dat geval wordt het oorspronkelijke bestand niet verwijderd van de oorspronkelijke locatie. Het contextmenu kan ook hiervoor worden gebruikt. Klik met de rechtermuisknop in het venster Quarantaine en klik op de knop Toevoegen. 95

96 4.4.2 Terugzetten vanuit quarantaine Bestanden die in quarantaine zijn geplaatst, kunnen worden teruggezet op de oorspronkelijke locatie. Gebruik hiertoe de functie Herstellen. Herstellen is beschikbaar in het contextmenu door met de rechtermuisknop te klikken op het gewenste bestand in het venster Quarantaine. Het contextmenu biedt tevens de optie Herstellen naar, waarmee u bestanden kunt terugzetten naar een andere locatie dan waarvan ze zijn verwijderd. OPMERKING: als het programma per ongeluk een onschadelijk bestand in quarantaine heeft geplaatst, sluit u het bestand uit van scannen nadat u het hebt teruggezet en stuurt u het naar de klantenservice van ESET Bestand verzenden vanuit quarantaine Als u een verdacht bestand in quarantaine hebt geplaatst dat niet is gedetecteerd door het programma, of als een bestand ten onrechte als geïnfecteerd is beoordeeld (bijvoorbeeld door heuristische analyse van de code) en vervolgens in quarantaine is geplaatst, stuurt u het bestand naar het bedreigingslaboratorium van ESET. U kunt een bestand verzenden vanuit quarantaine door met de rechtermuisknop erop te klikken en Opsturen voor analyse te selecteren in het contextmenu. 96

97 4.5 Logbestanden In logbestanden (ook wel logboeken genoemd) wordt informatie over belangrijke gebeurtenissen opgeslagen. Zo zijn er logbestanden met betrekking tot gedetecteerde bedreigingen, logbestanden van de scanner op aanvraag en de lokale scanner, en logbestanden met systeemgegevens. Antispam- en greylistinglogbestanden (u vindt deze onder overige logbestanden onder Hulpmiddelen > Logbestanden) bevatten gedetailleerde informatie over berichten die gescand zijn en de vervolgacties die op die berichten zijn uitgevoerd. Logbestanden kunnen nuttig zijn wanneer u op zoek bent naar niet-bezorgde , wanneer u wilt weten waarom een bericht als spam is gemarkeerd, enzovoort. 97

98 Antispam Alle berichten die door ESET Mail Security als spam of waarschijnlijk spam gecategoriseerd zijn worden hier geregistreerd. Kolombeschrijvingen: Tijd: de tijd van invoer in het antispamlogbestand. Afzender: het adres van de afzender. Ontvanger: het adres van de ontvanger. Onderwerp: het onderwerp van het bericht. Score: de aan het bericht toegewezen spamscore (van 0 tot 100). Reden: Dit is een indicator van waarom het bericht als spam is geclassificeerd. De weergegeven indicator is het sterkst. Als u de andere indicaties wilt zien dubbelklikt u op de vermelding. Het venster Reden wordt geopend met de resterende indicaties, gesorteerd op sterkte. URL heeft spamreputatie URL-adressen in berichten kunnen vaak een indicatie van spam zijn. HTML-indeling (lettertypes, kleuren, enz.) De opmaak van elementen in het HTML-gedeelte van het bericht vertoont karakteristieken voor spam (lettertype, tekengrootte, de kleur enz.). Spamtrucs: verhulling Woorden die typisch zijn voor spam worden gemaskeerd door andere tekens te gebruiken. Een typisch voorbeeld is het woord "Viagra" dat vaak als "V1agra" geschreven wordt om antispamdetectie te omzeilen. Spamtype HTML-afbeelding Spamberichten maken vaak gebruik van afbeeldingen als strategie om methoden voor antispamdetectie te omzeilen. Dergelijke afbeeldingen bevatten vaak interactieve koppelingen naar webpagina's. URL-indeling bevat servicedomein Het URL-adres bevat het domein van de hostingservice. Spamtrefwoord... Het bericht bevat woorden die typisch zijn voor spam. header inconsistent De informatie in de kop is aangepast om te lijken op een andere bron dan de oorspronkelijke afzender. Virus Het bericht bevat een verdachte bijlage. Phishing Het bericht bevat tekst die typisch is voor phishing-berichten. Replica Het bericht bevat tekst die typisch is voor een categorie spam die gericht 98

99 is op het aanbieden van replica's (namaakartikelen). Algemene spamindicator Het bericht bevat woorden/tekens die typisch zijn voor spam, zoals "Beste vriend", "hallo winnaar", "!!!" enzovoort. 'Ham'-indicator Dit is een indicator die de tegenovergestelde functie heeft van de andere indicatoren. Hierbij worden karakteristieken van elementen voor normale gewenste geanalyseerd. De algehele spamscore wordt ermee verlaagd. Niet-specifieke spamindicator Het bericht bevat andere spamelementen zoals base64-code. Aangepaste spamfrases Andere typische spamfrases. URL staat op zwarte lijst De URL in het bericht staat op een zwarte lijst. IP %s staat op RBL Het IP-adres staat op een RBL-lijst. URL %s staat op DNSBL Het IP-adres staat op een DNSBL-lijst. URL %s staat op RBL of de server is niet Het URL-adres staat op een RBL-lijst of de server heeft niet de vereiste gemachtigd te verzenden rechten voor het versturen van berichten. Adressen die onderdeel waren van de route van de worden gecontroleerd met de RBL-lijst. Het laatste adres wordt getest op de connectiviteitsrechten met openbare servers. Als het niet mogelijk is om geldige connectiviteitsrechten te detecteren, staat het adres op de LBL-lijst. Berichten die worden gemarkeerd als spam vanwege een LBL-indicator krijgen de volgende tekst in het veld Reden: "server is niet gemachtigd te verzenden". Actie: de actie die is uitgevoerd op het bericht. Mogelijke acties: Behouden Er is geen actie uitgevoerd op het bericht. In quarantaine geplaatst Het bericht is verplaatst naar de quarantaine. Opgeschoond en in quarantaine geplaatst Het virus is verwijderd van het bericht en het bericht is in quarantaine geplaatst. Geweigerd Het bericht is geweigerd en het SMTP-weigeringsantwoord verzonden. Verwijderd Het bericht is verwijderd met een Silent Drop is naar de afzender. Ontvangen: de tijd waarop het bericht is ontvangen door de server. OPMERKING: als s via een server zijn ontvangen, zijn de tijden in de velden Tijd en Ontvangen vrijwel identiek. 99

100 Greylisting Alle berichten die geëvalueerd zijn met de greylistingmethode worden geregistreerd in dit logbestand. Kolombeschrijvingen: Tijd: de tijd van invoer in het antispamlogbestand. HELO-domein: de door de verzendende server gebruikte domeinnaam om zichzelf te identificeren bij de ontvangende server. IP-adres: het IP-adres van de afzender. Afzender: het adres van de afzender. Ontvanger: het adres van de ontvanger. Actie: hier kunnen de volgende statussen worden vermeld: Geweigerd Het binnenkomende bericht is geweigerd volgens de basisregel van greylisting (eerste bezorgingspoging). Geweigerd (niet geverifieerd) Het binnenkomende bericht is opnieuw bezorgd door de verzendende server, maar de tijdslimiet voor het weigeren van de verbinding is nog niet verstreken ( Tijdslimiet voor eerste verbindingsweigering). Geverifieerd Het binnenkomende bericht is verschillende keren opnieuw bezorgd door de verzendende server, de Tijdslimiet voor eerste verbindingsweigering is verstreken en het bericht is geverifieerd en bezorgd. Zie ook Transportagent 38. Resterende tijd: de tijd die over is voordat wordt voldaan aan de Tijdslimiet voor eerste verbindingsweigering. Gedetecteerde bedreigingen Logbestanden voor bedreigingen bevatten uitgebreide informatie over bedreigingen die door ESET Mail Securitymodules zijn gedetecteerd. Hierbij gaat het om informatie zoals tijdstip van detectie, scantype, objecttype, objectnaam, infiltratienaam, locatie, de actie die is uitgevoerd en de naam van de gebruiker die ten tijde van detectie was aangemeld. Als u een of meer regels uit het logbestand wilt kopiëren of verwijderen (of het hele logbestand wilt verwijderen), gebruikt u het contextmenu (dit wordt weergegeven wanneer u met de rechtermuisknop op het item klikt). Gebeurtenissen Het gebeurtenislogboek bevat informatie over gebeurtenissen en fouten die in het programma zijn opgetreden. Met behulp van de hier verschafte informatie kunt u problemen in het programma vaak oplossen. 100

101 Computerscan op aanvraag Het scannerlogbestand bevat informatie over de resultaten van handmatige of geplande scans. Elke regel correspondeert met één computercontrole. De volgende informatie wordt weergegeven: scandatum en -tijd, totaalaantal gescande, geïnfecteerde en opgeschoonde bestanden en de huidige scanstatus. In logbestanden van de scanner op aanvraag kunt u de gedetailleerde inhoud van een logboekvermelding in een apart venster weergeven door op de vermelding te dubbelklikken. Met behulp van het contextmenu (dat wordt weergegeven wanneer u met de rechtermuisknop klikt) kunt u in alle typen logbestanden een of meer gemarkeerde vermeldingen kopiëren Logbestanden filteren Het filteren van logbestanden is een nuttige functie voor het helpen vinden van records in logbestanden, vooral wanneer er te veel records zijn en het moeilijk is de informatie te vinden die u nodig hebt. Wanneer u filtert, kunt u een tekenreeks invoeren bij Wat moet worden gefilterd, opgeven in welke kolommen moet worden gekeken, Recordtypen selecteren en een Tijdsduur instellen om het aantal records te verkleinen. Door bepaalde filteropties op te geven, worden alleen relevante records weergegeven (volgens die filteropties) in het venster Logbestanden voor eenvoudige en snelle toegang. Om het venster Logbestanden filteren te openen, drukt u één keer op de knop Filter in Hulpmiddelen > Logbestanden of gebruikt u de sneltoets Ctrl+Shift+F. OPMERKING: Om een bepaalde record te zoeken kunt u de functie Zoeken in logbestand 102 gebruiken in plaats van of in combinatie met Logbestanden filteren. Door bepaalde filteropties op te geven, worden alleen relevante records weergegeven (volgens die filteropties) in het venster Logbestanden. Op deze manier wordt het aantal records beperkt, waardoor het gemakkelijker wordt om te vinden wat u zoekt. Hoe specifieker de gebruikte filteropties, hoe beperkter het resultaat zal zijn. Wat: voer een tekenreeks in (een woord of deel van een woord). Alleen records die deze tekenreeks bevatten worden weergegeven. De rest van de records wordt niet weergegeven voor betere leesbaarheid. Kijk in kolommen: selecteer welke kolommen worden meegenomen bij het filteren. U kunt één of meer kolommen selecteren om te gebruiken bij het filteren. Standaard zijn alle kolommen geselecteerd: Tijd Module Gebeurtenis Gebruiker 101

102 Recordtypes: hiermee kunt u kiezen welke recordtypen worden weergegeven. U kunt één bepaald recordtype kiezen, meerdere typen tegelijk of alle recordtypen weergeven (standaard): Diagnostisch Informatie Waarschuwing Fout Kritiek Tijdsduur: gebruik deze optie om de records te filteren op een bepaalde periode. U kunt kiezen uit het volgende: Hele logbestand (standaard): hiermee wordt niet gefilterd op tijdsduur omdat het hele logbestand wordt weergegeven Afgelopen dag Afgelopen week Afgelopen maand Interval: door een interval te selecteren kunt u een exacte tijdsduur opgeven (datum en tijd) om alleen die records weer te geven van binnen de opgegeven tijdsduur. Afgezien van de bovenstaande filterinstellingen zijn er ook verschillende Opties: Alleen hele woorden: hiermee worden alleen records weergegeven die overeenkomen met de tekenreeks als heel woord in het tekstvak Wat. Hoofdlettergevoelig: hiermee worden alleen records weergegeven met het exacte hoofdlettergebruik van de tekst in het tekstvak Wat. Smart filtering inschakelen: gebruik deze optie om ESET Mail Security te laten filteren volgens zijn eigen methoden. Wanneer u klaar bent met de configuratie van filteropties, klikt u op OK om het filter toe te passen. In het venster Logbestanden worden nu alleen de records weergegeven die overeenkomen met de filteropties Zoeken in logbestand Naast Logbestanden filteren 101 kunt u de zoekfunctionaliteit binnen logbestanden gebruiken, u kunt deze functionaliteit echter ook los van het filteren van logbestanden gebruiken. Dit is nuttig wanneer u zoekt naar bepaalde records binnen de logbestanden. Net zoals Logbestanden filteren helpt de zoekfunctie u de informatie te vinden die u zoekt, vooral wanneer er te veel records zijn. Wanneer u zoekt in een logbestand, kunt u een tekenreeks invoeren bij Wat moet worden gezocht, opgeven in welke kolommen moet worden gekeken, Recordtypen selecteren en een Tijdsduur instellen om alleen te zoeken naar records die binnen die periode zijn vastgelegd. Door bepaalde zoekopties op te geven, worden alleen relevante records doorzocht (volgens die zoekopties) in het venster Logbestanden. Om te zoeken in logbestanden opent u het venster Zoeken in logbestand door op de toetsen Ctrl+F te drukken. OPMERKING: U kunt de functie Zoeken in logbestand gebruiken in combinatie met Logbestanden filteren 101. U kunt eerst het aantal records verkleinen met Logbestanden filteren en vervolgens zoeken in alleen de gefilterde records. 102

103 Wat: voer een tekenreeks in (een woord of deel van een woord). Alleen records die deze tekenreeks bevatten worden gevonden. De rest van de records wordt weggelaten. Kijk in kolommen: selecteer welke kolommen worden meegenomen bij het zoeken. U kunt één of meer kolommen selecteren om te gebruiken bij het zoeken. Standaard zijn alle kolommen geselecteerd: Tijd Module Gebeurtenis Gebruiker Recordtypes: hiermee kunt u kiezen welke recordtypen worden gezocht. U kunt één bepaald recordtype kiezen, meerdere typen tegelijk of in alle recordtypen zoeken (standaard): Diagnostisch Informatie Waarschuwing Fout Kritiek Tijdsduur: gebruik deze optie om alleen records te zoeken binnen een bepaalde periode. U kunt kiezen uit het volgende: Hele logbestand (standaard): hiermee wordt niet gezocht binnen de tijdsduur omdat in het hele logbestand wordt gezocht Afgelopen dag Afgelopen week Afgelopen maand Interval: door een interval te selecteren kunt u een exacte tijdsduur opgeven (datum en tijd) om alleen in die records te zoeken van binnen de opgegeven tijdsduur. Afgezien van de bovenstaande zoekinstellingen zijn er ook verschillende Opties: Alleen hele woorden: hiermee wordt alleen in records gezocht die overeenkomen met de tekenreeks als heel woord in het tekstvak Wat. Hoofdlettergevoelig: hiermee wordt alleen gezocht in de records met het exacte hoofdlettergebruik van de tekst in het tekstvak Wat. Omhoog zoeken: hiermee wordt vanaf de huidige positie omhoog gezocht. Wanneer u klaar bent met de configuratie van de zoekopties, klikt u op de knop Zoeken om te beginnen met zoeken. Er wordt gestopt met zoeken wanneer de eerste overeenkomende record wordt gevonden. Klik nogmaals op de knop Zoeken om verder te zoeken. De logbestanden worden van boven naar onder doorzocht, beginnend bij de huidige positie (de gemarkeerde record). 103

104 4.5.3 Logbestanden onderhouden De configuratie van logbestanden voor ESET Mail Security is toegankelijk vanuit het hoofdvenster van het programma. Klik op Instellingen > Volledige structuur voor geavanceerde instellingen invoeren > Hulpmiddelen > Logbestanden. > Hulpmiddelen > Logbestanden. U kunt de volgende opties opgeven voor logbestanden: Records automatisch verwijderen: vermeldingen in het logbestand die ouder zijn dan het opgegeven aantal dagen worden automatisch verwijderd. Logbestanden automatisch optimaliseren: hiermee worden logbestanden automatisch gedefragmenteerd als het opgegeven percentage ongebruikte records is overschreden. Minimale detailniveau bij logboekregistratie: hier kunt u het detailniveau van logbestanden opgeven. Dit zijn de beschikbare opties: - Diagnostische records: hiermee wordt alle informatie geregistreerd die nodig is voor het instellen van het programma en alle bovenstaande records. - Informatieve records: hiermee worden alle informatieberichten geregistreerd, inclusief berichten over geslaagde updates en alle bovenstaande records. - Waarschuwingen: hiermee worden kritieke fouten en waarschuwingsberichten geregistreerd. - Fouten: alleen berichten zoals "Fout bij downloaden van bestand" en kritieke fouten worden geregistreerd. - Kritieke waarschuwingen: hiermee worden alleen kritieke fouten geregistreerd (zoals fouten bij het starten van antivirusbeveiliging, enz.). 104

105 4.6 ESET SysInspector ESET SysInspector ESET SysInspector is een toepassing waarmee u een uitgebreide inspectie van uw computer kunt uitvoeren om allerlei nuttige gegevens te verzamelen. Informatie zoals geïnstalleerde stuurprogramma's en toepassingen, netwerkverbindingen of belangrijke registervermeldingen, kunnen u helpen mogelijke oorzaken van afwijkend systeemgedrag te elimineren. Het hoeft namelijk niet altijd zo te zijn dat een malware-infectie problemen veroorzaakt. Het is ook mogelijk dat incompatibele software of hardware de oorzaak is. U kunt ESET SysInspector op twee manieren openen: vanuit de geïntegreerde versie in ESET Security-producten of door de op zichzelf staande versie (SysInspector.exe) gratis te downloaden vanaf de ESET-website. Beide versies werken precies hetzelfde en hebben dezelfde besturingselementen. Het enige verschil is het beheer van de uitvoer. U kunt zowel in de gedownloade als de geïntegreerde versie momentopnamen van uw systeem exporteren als een. xml-bestand en deze op schijf opslaan. Met de geïntegreerde versie kunt u echter ook momentopnamen van uw systeem rechtstreeks opslaan in Hulpmiddelen > ESET SysInspector behalve ESET Remote Administrator). Zie voor meer informatie de sectie ESET SysInspector als onderdeel van ESET Mail Security 116. Het kost ESET SysInspector enige tijd om uw computer te scannen. Het kan variëren van 10 seconden tot enkele minuten, afhankelijk van uw hardwareconfiguratie, besturingssysteem en het aantal op uw computer geïnstalleerde toepassingen ESET SysInspector starten Als u ESET SysInspector wilt starten, voert u het uitvoerbare bestand SysInspector.exe uit dat u hebt gedownload van de ESET-website. Als er al een ESET Security-product is geïnstalleerd, kunt u ESET SysInspector direct vanuit het menu Start uitvoeren (Programma's > EST > ESET Mail Security ). Wacht vervolgens tot de toepassing klaar is met het inspecteren van uw systeem. Dit kan enige minuten duren, afhankelijk van de hardware en de gegevens die worden verzameld. 105

106 4.6.2 Gebruikersinterface en gebruik van de toepassing Het hoofdvenster is verdeeld in vier hoofdgedeelten: de besturingselementen boven in het hoofdvenster, het navigatievenster aan de linkerkant, het beschrijvingsvenster aan de rechterkant in het midden en het detailvenster aan de rechterkant onderaan. In het gedeelte Status logbestand staan de basisparameters van een logbestand (het gebruikte filter, het filtertype, of het logbestand het resultaat van een vergelijking is, enz.) Besturingselementen in programma Dit gedeelte bevat een omschrijving van alle besturingselementen die beschikbaar zijn in ESET SysInspector. Bestand Klik op Bestand om een rapport op te slaan voor latere analyse of om een eerder opgeslagen rapport te openen. Voor publicatiedoeleinden wordt u aanbevolen een logboek te genereren als Geschikt voor verzenden. In deze vorm worden gevoelige gegevens niet in het logboek opgenomen (huidige gebruikersnaam, computernaam, domeinnaam, huidige gebruikersrechten, omgevingsvariabelen, enz.). OPMERKING: u kunt eerder opgeslagen rapporten van ESET SysInspector openen door deze naar het hoofdvenster te slepen. Structuur Hiermee kunt u alle knooppunten uit- of samenvouwen en geselecteerde delen exporteren naar een servicescript. Lijst Dit menu bevat functies voor een eenvoudige navigatie binnen het programma, evenals verschillende andere functies, zoals voor het zoeken van online-informatie. Help Dit menu bevat informatie over de toepassing en de verschillende mogelijkheden. 106

107 Details Deze instelling is van invloed op de informatie die wordt weergegeven in het hoofdvenster en is bedoeld om het werken met de informatie te vereenvoudigen. In de modus Standaard hebt u toegang tot gegevens die nodig zijn voor het vinden van oplossingen voor veelvoorkomende problemen met het systeem. In de modus Gemiddeld worden mindergebruikte details weergegeven. In de modus Volledig van ESET SysInspector wordt alle informatie weergegeven die nodig is om zeer specifieke problemen op te lossen. Items filteren Deze optie is het meest geschikt voor het zoeken van verdachte bestanden of registervermeldingen in het systeem. Beweeg de schuifregelaar om items te filteren op risiconiveau. Als u de schuifregelaar helemaal links zet (Risiconiveau 1), worden alle items weergegeven. Door de schuifregelaar naar rechts te bewegen worden alle items eruit gefilterd die minder riskant zijn dan het huidige risiconiveau. Alleen items die verdachter zijn dan het gekozen niveau worden dan weergegeven. Als u de schuifregelaar helemaal rechts zet, worden alleen items weergegeven waarvan bekend is dat ze schadelijk zijn. Alle items die zijn beoordeeld met een risico van 6-9 vormen een beveiligingsrisico. Als u geen beveiligingsoplossing van ESET gebruikt, is het raadzaam uw systeem te scannen met ESET Online Scanner als ESET SysInspector een dergelijk item heeft gevonden. ESET Online Scanner is een gratis service. OPMERKING: het risiconiveau van een item kan eenvoudig worden bepaald door de kleur van het item te vergelijken met de kleuren op de schuifregelaar Risiconiveau. Zoeken Gebruik deze optie om snel een item te vinden door de naam van het item of een deel van de naam in te voeren. De resultaten van de zoekopdracht worden weergegeven in het beschrijvingsvenster. Bevestigen Klik op de pijl Vorige of de pijl Volgende om terug te keren naar eerder weergegeven informatie in het beschrijvingsvenster. U kunt de toets Backspace en de spatiebalk gebruiken in plaats van op Vorige en Volgende te klikken. Sectie Status Hier wordt het huidige knooppunt in het navigatievenster weergegeven. Belangrijk: Rood gemarkeerde items zijn onbekend. Om die reden zijn ze door het programma gemarkeerd als potentieel gevaarlijk. Als een item rood wordt weergegeven, betekent dit niet automatisch dat u het bestand kunt verwijderen. Controleer eerst altijd of het bestand daadwerkelijk gevaarlijk of overbodig is Navigeren in ESET SysInspector In ESET SysInspector worden verschillende soorten informatie opgedeeld in een aantal basisdelen (knooppunten). Als er aanvullende gegevens beschikbaar zijn, kunt u deze weergeven door een knooppunt uit te vouwen. U kunt een knooppunt uit- of samenvouwen door te dubbelklikken op de naam van het knooppunt. U kunt ook klikken op of naast de naam van het knooppunt. Terwijl u in het navigatievenster door de boomstructuur met knooppunten en subknooppunten bladert, kunnen er in het beschrijvingsvenster verschillende gegevens voor een knooppunt verschijnen. Als u bladert door items in het beschrijvingsvenster, kunnen er aanvullende gegevens van het item worden weergegeven in het detailvenster. Hieronder volgt een omschrijving van de belangrijkste knooppunten in het navigatievenster. Daarnaast wordt er voor die knooppunten aangegeven welke informatie er kan worden weergegeven in het beschrijvingsvenster en het detailvenster. Processen uitvoeren Dit knooppunt bevat informatie over toepassingen en processen die actief zijn op het moment dat het logbestand wordt gegenereerd. In het beschrijvingsvenster kunnen voor elk proces aanvullende details worden weergegeven, zoals de DLL's (Dynamic Link Libraries) die worden gebruikt door het proces en hun locatie in het systeem, de naam van de leverancier van de toepassing, het risiconiveau van het bestand, enz. Het detailvenster bevat aanvullende informatie over items die zijn geselecteerd in het beschrijvingsvenster, zoals de bestandsgrootte of de hash-waarde. 107

108 OPMERKING: Een besturingssysteem bestaat uit een aantal belangrijke kernel-onderdelen die continu actief zijn en die eenvoudige maar ook essentiële functies verzorgen voor andere gebruikerstoepassingen. In bepaalde gevallen worden deze processen in ESET SysInspector weergegeven met een bestandspad dat begint met \??\. Deze symbolen maken het mogelijk dat die processen vóór uitvoering kunnen worden geoptimaliseerd. Het zijn veilige processen voor het systeem. Netwerkverbindingen Het beschrijvingsvenster bevat een lijst met processen en toepassingen die communiceren over het netwerk met het protocol dat is geselecteerd in het the navigatievenster (TCP of UDP), evenals het externe adres waarmee de toepassing verbinding heeft. U kunt tevens de IP-adressen van DNS-servers controleren. Het detailvenster bevat aanvullende informatie over items die zijn geselecteerd in het beschrijvingsvenster, zoals de bestandsgrootte of de hash-waarde. Belangrijke registervermeldingen Dit gedeelte bevat een lijst met specifieke registervermeldingen, die vaak te maken hebben met verschillende problemen die in het systeem kunnen optreden. Denk hierbij aan problemen met programma's die automatisch moeten worden gestart of BHO's (Browser Helper Objects). In het beschrijvingsvenster kunnen bestanden worden weergegeven die zijn gekoppeld aan bepaalde registervermeldingen. Het detailvenster kan aanvullende gegevens over de vermeldingen bevatten. Services Het beschrijvingsvenster bevat een lijst met bestanden die zijn geregistreerd als Windows-services. U kunt hier bijvoorbeeld zien op welke manier een service wordt gestart. Het detailvenster kan specifieke gegevens van het bestand bevatten. Stuurprogramma's Een lijst met de stuurprogramma's die in het systeem zijn geïnstalleerd. Belangrijke bestanden Het beschrijvingsvenster bevat de inhoud van belangrijke bestanden die essentieel zijn voor het besturingssysteem Microsoft Windows. Taken van systeemplanner Bevat een lijst met taken die op een opgegeven tijd/interval zijn gegenereerd door de Windows-taakplanner. Systeeminformatie Bevat gedetailleerde informatie over hardware en software, en informatie over ingestelde omgevingsvariabelen, gebruikersrechten en logboeken over systeemgebeurtenissen. Bestandsgegevens Een lijst met belangrijke systeembestanden en bestanden in de map Program Files. Het beschrijvingsvenster en detailvenster bevatten aanvullende informatie over de bestanden. Info over Informatie over de versie van ESET SysInspector en de lijst met programmamodules. 108

109 Sneltoetsen U kunt de volgende sneltoetsen gebruiken tijdens het werken met ESET SysInspector: Bestand Ctrl+O Ctrl+S Een bestaand logbestand openen. Logbestanden opslaan. Genereren Ctrl+G Ctrl+H hiermee wordt een standaardmomentopname van de computerstatus gemaakt hiermee wordt een momentopname van de computerstatus gemaakt waarin mogelijk gevoelige informatie wordt vastgelegd Items filteren 1, O 2 3 4, U 5 6 7, B Ctrl+9 Ctrl+0 Goed, items met het risiconiveau 1-9 worden weergegeven. Goed, items met het risiconiveau 2-9 worden weergegeven. Goed, items met het risiconiveau 3-9 worden weergegeven. Onbekend, items met het risiconiveau 4-9 worden weergegeven. Onbekend, items met het risiconiveau 5-9 worden weergegeven. Onbekend, items met het risiconiveau 6-9 worden weergegeven. Riskant, items met het risiconiveau 7-9 worden weergegeven. Riskant, items met het risiconiveau 8-9 worden weergegeven. Riskant, items met het risiconiveau 9 worden weergegeven. Het risiconiveau verlagen. Het risiconiveau verhogen. Filtermodus, gelijk niveau of hoger. Filtermodus, alleen gelijk niveau. Beeld Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 Backspace Spatiebalk Ctrl+W Ctrl+Q Weergeven op leverancier, alle leveranciers. Weergeven op leverancier, alleen Microsoft. Weergeven op leverancier, alle overige leveranciers. Volledige details weergeven. Gemiddelde hoeveelheid details weergeven. Alleen essentiële details weergeven. Eén stap terug gaan. Eén stap vooruit gaan. Structuur uitvouwen. Structuur samenvouwen. Overige besturingselementen Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E Terug naar de oorspronkelijke locatie van item na selectie in zoekresultaten. Basisinformatie over een item weergeven. Volledige informatie over een item weergeven. De structuur van het huidige item kopiëren. Items kopiëren. Informatie over geselecteerde bestanden zoeken op internet. De map van het geselecteerde bestand openen. De bijbehorende vermelding openen in de Register-editor. Het pad naar een bestand kopiëren (als het item is gekoppeld aan een bestand). De focus verplaatsen naar het zoekveld. De zoekresultaten sluiten. Servicescript uitvoeren. Vergelijken Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Het oorspronkelijke/vergelijkende logbestand openen. De vergelijking annuleren. Alle items weergeven. 109

110 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P Alleen toegevoegde items weergeven; het logbestand bevat de items die aanwezig zijn in het huidige logbestand. Alleen verwijderde items weergeven; het logbestand bevat de items die aanwezig zijn in het vorige logbestand. Alleen vervangen items weergeven (inclusief bestanden). Alleen verschillen tussen logbestanden weergeven. Vergelijking weergeven. Het huidige logbestand weergeven. Het vorige logbestand openen. Overige F1 Alt+F4 Alt+Shift+F4 Ctrl+I De Help weergeven. Het programma afsluiten. Het programma zonder bevestiging afsluiten. Logboekstatistieken Vergelijken Met de functie Vergelijken kan de gebruiker twee bestaande logbestanden vergelijken. Het resultaat is een set items die niet in beide logbestanden voorkomen (d.w.z. die slechts in een van beide bestanden voorkomen). Deze functie is handig wanneer u wijzigingen in het systeem wilt bijhouden of activiteit van schadelijke code wilt opsporen. Als u de functie uitvoert, wordt een nieuw logbestand gemaakt. Dit bestand wordt weergegeven in een nieuw venster. Kies Bestand > Logbestand opslaan om het logbestand op te slaan. U kunt logbestanden later openen en weergeven. Als u een bestaand logbestand wilt openen, kiest u Bestand > Logbestand openen. In het hoofdvenster van ESET SysInspector kan altijd maar één logbestand worden weergegeven. Het voordeel van het vergelijken van twee logboeken is dat u een actief logboek samen met een opgeslagen logbestand kunt bekijken. Als u twee logbestanden wilt vergelijken, kiest u eerst Bestand > Logbestanden vergelijken en vervolgens Bestand selecteren. Het geselecteerde logbestand wordt dan vergeleken met het actieve logbestand in het hoofdvenster van het programma. In het vergelijkende logboek worden alleen de verschillen tussen die twee logboeken weergegeven. OPMERKING: Als u twee logbestanden vergelijkt, kiest u Bestand > Logbestand opslaan om beide bestanden op te slaan in een ZIP-bestand. Als u dit bestand later opent, worden de logbestanden automatisch vergeleken. Naast de weergegeven items geeft ESET SysInspector symbolen weer die de verschillen tussen de vergeleken logbestanden aangeven. Items die zijn gemarkeerd met, zijn alleen aanwezig in het actieve logbestand en niet in het opgeslagen logbestand. Items die worden aangegeven met zijn alleen gevonden in het opgeslagen logbestand en ontbreken in het actieve logbestand. Hier volgt een omschrijving van alle symbolen die kunnen worden weergegeven bij een item: nieuwe waarde, niet aanwezig in het vorige logbestand sectie van boomstructuur bevat nieuwe waarden verwijderde waarde, alleen aanwezig in het vorige logbestand sectie van boomstructuur bevat verwijderde waarden waarde/bestand is gewijzigd sectie van boomstructuur bevat gewijzigde waarden/bestanden het risiconiveau is afgenomen/was hoger in het vorige logbestand het risiconiveau is toegenomen/was lager in het vorige logbestand In de linkerbenedenhoek worden alle symbolen beschreven en ziet u ook de namen van de logbestanden die worden vergeleken. 110

111 Een vergelijkend logbestand kunt u opslaan en later opnieuw openen. Voorbeeld Genereer een logbestand met systeeminformatie en sla het bestand op met de naam vorigbestand.xml. Nadat er wijzigingen zijn aangebracht in het systeem, opent u ESET SysInspector en genereert u een nieuw logbestand. Sla dit logbestand op met de naam huidigbestand.xml. Om de verschillen tussen deze twee logbestanden te bepalen, kiest u Bestand > Logbestanden vergelijken. Er wordt een vergelijkend logbestand gemaakt met de verschillen tussen de twee logbestanden. U kunt dit ook doen door de volgende parameters te gebruiken op de opdrachtregel: SysIsnpector.exe huidigbestand.xml vorigbestand.xml Opdrachtregelparameters U kunt ESET SysInspector gebruiken om rapporten te genereren vanaf de opdrachtregel. Hierbij kunt u de volgende parameters gebruiken: /gen /privacy /zip /silent /help, /? Een logbestand rechtstreeks vanaf de opdrachtregel genereren zonder de gebruikersinterface te laden. Een logbestand genereren zonder vertrouwelijke gegevens. Het resulterende logbestand opslaan in een gecomprimeerd bestand. De weergave van de voortgangsbalk voor het genereren van het logbestand onderdrukken. Informatie weergeven over de opdrachtregelparameters. Voorbeelden Als u een bepaald logbestand direct in de browser wilt weergeven, gebruikt u: SysInspector.exe "c:\clientlog.xml" Als u een logbestand wilt genereren op een huidige locatie, gebruikt u: SysInspector.exe /gen Als u een logbestand wilt genereren in een bepaalde map, gebruikt u: SysInspector.exe /gen="c:\map\" Als u een logbestand wilt genereren in een bepaald bestand/bepaalde map, gebruikt u: SysInspector.exe /gen="c: \map\mijnnieuwelog.xml" Als u een logbestand rechtstreeks in een gecomprimeerd bestand wilt genereren zonder vertrouwelijke gegevens, gebruikt u: SysInspector.exe /gen="c:\mijnnieuwelog.zip" /privacy /zip Als u twee logbestanden wilt vergelijken, gebruikt u: SysInspector.exe "huidig.xml" "origineel.xml" OPMERKING: als de naam van het bestand of de map een spatie bevat, moet u de naam tussen enkele aanhalingstekens plaatsen. 111

112 4.6.4 Servicescript Servicescript is een hulpmiddel waarmee gebruikers van ESET SysInspector eenvoudig ongewenste objecten van het systeem kunnen verwijderen. Met Servicescript kan de gebruiker het logbestand van ESET SysInspector in zijn geheel of gedeeltelijk exporteren. Na het exporteren, kunt u ongewenste objecten markeren om te verwijderen. Vervolgens kunt u het gewijzigde logbestand uitvoeren om de gemarkeerde objecten te verwijderen. Servicescript is geschikt voor ervaren gebruikers die eerder een diagnose hebben gesteld van systeemproblemen. Onjuiste aanpassingen kunnen het besturingssysteem beschadigen. Voorbeeld Als u vermoedt dat uw computer is geïnfecteerd met een virus, maar dit virus niet wordt gedetecteerd door uw antivirusprogramma, volgt u de stapsgewijze instructies hieronder: Voer ESET SysInspector uit om een nieuwe momentopname van het systeem te maken. Selecteer het eerste item in het gedeelte aan de linkerkant (in de boomstructuur), druk op Ctrl en selecteer het laatste item om alle items te markeren. Klik met de rechtermuisknop op de geselecteerde objecten en selecteer de optie Geselecteerde secties naar servicescript exporteren in het contextmenu. De geselecteerde objecten worden geëxporteerd naar een nieuw logbestand. Nu volgt de belangrijkste stap van deze procedure: open het nieuwe logbestand en wijzig het kenmerk - in + voor alle objecten die u wilt verwijderen. Zorg dat u geen belangrijke bestanden/objecten van het besturingssysteem markeert. Open ESET SysInspector, klik op Bestand > Servicescript uitvoeren en voer het pad naar uw script in. Klik op OK om het script uit te voeren Servicescript genereren Om een script te genereren, klikt u met de rechtermuisknop op een item in de menustructuur (in het linkerdeelvenster) in het hoofdvenster van ESET SysInspector. In het contextmenu selecteert u de optie Alle secties naar servicescript exporteren of Geselecteerde secties naar servicescript exporteren. OPMERKING: het is niet mogelijk het servicescript te exporteren wanneer twee logbestanden vergeleken worden Structuur van het servicescript In de eerste regel van de kop van het script kunt u informatie vinden over de engine-versie (ev), GUI-versie (gv) en de logbestandsversie (lv). U kunt deze gegevens gebruiken om eventuele wijzigingen op te sporen in het XML-bestand waarmee het script wordt gegenereerd om eventuele inconsistenties tijdens de uitvoering te voorkomen. Dit deel van het script moet niet worden gewijzigd. De rest van het bestand is onderverdeeld in secties waarin items kunnen worden bewerkt (geef de items aan die door het script moeten worden verwerkt). U markeert items voor verwerking door het minteken ("-") voor een item te vervangen door een plusteken ("+"). Secties in het script worden van elkaar gescheiden door een witregel. Iedere sectie heeft een nummer en titel. 01) Uitgevoerde processen Deze sectie bevat een lijst met alle processen die in het systeem worden uitgevoerd. Ieder proces wordt aangeduid met het UNC-pad en vervolgens de CRC16-hash-code in sterretjes (*). Voorbeeld: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] In dit voorbeeld is een proces, module32.exe, geselecteerd (gemarkeerd met een plusteken, "+"). Het proces wordt beëindigd bij uitvoering van het script. 112

113 02) Geladen modules In deze sectie staan alle momenteel gebruikte systeemmodules. Voorbeeld: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] In dit voorbeeld is de module khbekhb.dll gemarkeerd met een "+". Wanneer het script wordt uitgevoerd, worden de processen herkend die die specifieke module gebruiken en deze worden beëindigd. 03) TCP-verbindingen Deze sectie bevat informatie over bestaande TCP-verbindingen. Voorbeeld: 03) TCP connections: - Active connection: : > :55320, owner: ekrn.exe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Wanneer het script wordt uitgevoerd, wordt de eigenaar van de socket in de gemarkeerde TCP-verbindingen gelokaliseerd en wordt de socket gestopt waardoor systeembronnen worden vrijgemaakt. 04) UDP-eindpunten Deze sectie bevat informatie over bestaande UDP-eindpunten. Voorbeeld: 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [...] Wanneer het script wordt uitgevoerd, wordt de eigenaar van de socket op de gemarkeerde UDP-eindpunten geïsoleerd en wordt de socket gestopt. 05) DNS-serververmeldingen Deze sectie bevat informatie over de huidige DNS-serverconfiguratie. Voorbeeld: 05) DNS server entries: [...] Gemarkeerde DNS-serververmeldingen worden verwijderd wanneer u het script uitvoert. 06) Belangrijke registervermeldingen Deze sectie bevat informatie over belangrijke registervermeldingen. 113

114 Voorbeeld: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [...] De gemarkeerde vermeldingen worden bij uitvoering van het script verwijderd, teruggebracht tot waarden van 0 byte of teruggezet op de standaardwaarden. De actie die wordt uitgevoerd op een bepaalde vermelding is afhankelijk van de categorie van de vermelding en de sleutelwaarde in het specifieke register. 07) Services Deze sectie bevat de services die binnen het systeem geregistreerd zijn. Voorbeeld: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] De gemarkeerde services en de bijbehorende onderliggende services worden gestopt en verwijderd wanneer het script wordt uitgevoerd. 08) Stuurprogramma's Deze sectie bevat de geïnstalleerde stuurprogramma's. Voorbeeld: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Wanneer u het script uitvoert, worden de geselecteerde stuurprogramma's stopgezet. Houd er rekening mee dat bepaalde stuurprogramma's zich niet laten stopzetten. 09) Belangrijke bestanden Deze sectie bevat informatie over bestanden die essentieel zijn voor het besturingssysteem. Voorbeeld: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts localhost - ::1 localhost [...] De geselecteerde items worden verwijderd of teruggezet naar de oorspronkelijke waarden. 114

115 Servicescripts uitvoeren Markeer alle gewenste items, sla het script op en sluit het. Voer het bewerkte script uit, direct vanuit het hoofdvenster van ESET SysInspector, door de optie Servicescript uitvoeren te selecteren in het menu Bestand. Wanneer u een script opent, wordt het volgende bericht weergegeven: Weet u zeker dat het servicescript "% Scriptnaam%" wilt uitvoeren? Nadat u uw selectie hebt bevestigd, wordt mogelijk nog een bericht weergegeven om u te waarschuwen dat het servicescript dat u wilt uitvoeren niet ondertekend is. Klik op Uitvoeren om het script te starten. In een dialoogvenster wordt de geslaagde uitvoering van het script bevestigd. Als het script slechts gedeeltelijk kan worden uitgevoerd, wordt een venster weergegeven met het volgende bericht: Het servicescript is gedeeltelijk uitgevoerd. Wilt u het foutrapport weergeven? Selecteer Ja om een uitgebreid foutrapport weer te geven met alle bewerkingen die niet zijn uitgevoerd. Als het script niet wordt herkend, wordt een dialoogvenster met het volgende bericht weergegeven: Het geselecteerde servicescript is niet ondertekend. Wanneer u niet-ondertekende en onbekende scripts uitvoert, kunnen de computergegevens beschadigd raken. Weet u zeker dat u het script en de acties wilt uitvoeren? Dit kan worden veroorzaakt door inconsistenties in het script (beschadigde kop, beschadigde sectietitel, ontbrekende witregel tussen secties, enz.). U kunt het scriptbestand opnieuw openen en de fouten in het script corrigeren of een nieuw servicescript maken Veelgestelde vragen Zijn er beheerdersrechten nodig om ESET SysInspector uit te voeren? Hoewel er geen beheerdersrechten nodig zijn om ESET SysInspector uit te voeren, zijn bepaalde gegevens die het programma verzamelt alleen toegankelijk met een beheerdersaccount. Als u het programma uitvoert met een gewoon account of een account met beperkte rechten, worden er minder gegevens verzameld over de besturingsomgeving. Wordt er een logbestand bijgehouden door ESET SysInspector? ESET SysInspector kan een logbestand maken van de configuratie van uw computer. Als u het logbestand wilt opslaan, kiest u Bestand > Logbestand opslaan in het hoofdmenu. Logbestanden worden standaard opgeslagen met de indeling XML. Standaard worden bestanden opgeslagen in de map %GEBRUIKERSPROFIEL%\Mijn documenten\. De bestanden krijgen een naam in de volgende notatie: "SysInpsector-%COMPUTERNAAM%-JJMMDD-UUMM. XML". U kunt de locatie en naam van het logbestand desgewenst wijzigen voordat u het opslaat. Hoe kan ik het logbestand van ESET SysInspector weergeven? Als u een logbestand wilt bekijken dat is gemaakt door ESET SysInspector, start u het programma en kiest u Bestand > Logbestand openen in het hoofdmenu. U kunt logbestanden ook naar ESET SysInspector slepen. Als u regelmatig logbestanden van ESET SysInspector moet bekijken, is het verstandig op het bureaublad een snelkoppeling te maken naar het bestand SYSINSPECTOR.EXE. U kunt logbestanden dan snel weergeven door deze naar de snelkoppeling op het bureaublad te slepen. Uit beveiligingsoverwegingen is het slepen van bestanden tussen vensters met verschillende beveiligingsrechten in Windows Vista/7 mogelijk niet toegestaan. Is er een specificatie beschikbaar voor de indeling van de logbestanden? Of misschien een SDK? Op dit moment is er geen specificatie beschikbaar en evenmin een SDK. De reden hiervoor is dat het programma nog steeds in ontwikkeling is. Als het programma is vrijgegeven, zullen deze voorzieningen mogelijk worden toegevoegd. Dit is echter afhankelijk van de feedback en wensen van klanten. Hoe evalueert ESET SysInspector het risico dat een bepaald object vormt? In de meeste gevallen worden in ESET SysInspector risiconiveaus toegewezen aan objecten (bestanden, processen, registersleutels, enz.) op basis van een reeks heuristische regels die de kenmerken van elk object onderzoeken en vervolgens een wegingsfactor voor schadelijke activiteiten toekennen. Op basis van deze heuristiek krijgen objecten een risiconiveau toegewezen in het bereik 1 - Goed (groen) tot 9 - Riskant (rood). In het navigatievenster aan de linkerkant hebben secties een bepaalde kleur, die is gebaseerd op het object met het hoogste risiconiveau in de sectie. 115

116 Betekent het risiconiveau "6 - Onbekend (rood)" dat een object gevaarlijk is? Het is niet mogelijk om uitsluitend op basis van de beoordelingen van ESET SysInspector vast te stellen of een object schadelijk is. Hiervoor moet de hulp worden ingeroepen van een expert. Het doel van ESET SysInspector is om een systeem snel te kunnen controleren op afwijkingen, zodat een expert vervolgens gericht nader onderzoek kan uitvoeren als er dubieuze objecten zijn aangetroffen. Waarom maakt ESET SysInspector verbinding met internet? Net als veel andere toepassingen is ESET SysInspector voorzien van een "certificaat" met een digitale handtekening dat aantoont dat de software daadwerkelijk afkomstig is van ESET en niet is aangepast. Om het certificaat te controleren, maakt het besturingssysteem verbinding met een certificeringsinstantie die de identiteit van de softwarefabrikant controleert. Dit is gebruikelijk voor alle digitaal ondertekende programma's die werken met Microsoft Windows. Wat is Anti-Stealth-technologie? De Anti-Stealth-technologie detecteert op effectieve wijze rootkits. Als het systeem wordt aangevallen door schadelijke code die zich gedraagt als een rootkit, kunnen de gegevens van de gebruiker verloren raken of gestolen worden. Zonder een hulpmiddel dat speciaal is bedoeld voor het detecteren van rootkits, is het vrijwel onmogelijk dit type bedreiging te bestrijden. Waarom zijn er soms bestanden gemarkeerd met "Ondertekend door Microsoft", maar hebben deze wel een andere bedrijfsnaam? Bij de identificatie van de digitale handtekening van een uitvoerbaar bestand controleert ESET SysInspector eerst of er een digitale handtekening in het bestand is ingesloten. Als er een digitale handtekening is gevonden, wordt het bestand gevalideerd met die informatie. Als er geen digitale handtekening is gevonden, wordt er gezocht naar het overeenkomstige CAT-bestand (Beveiligingscatalogus: %systemroot%\system32\catroot) dat informatie bevat over het uitvoerbare bestand dat wordt verwerkt. Als het relevante CAT-bestand wordt gevonden, wordt de digitale handtekening van dat CAT-bestand toegepast bij de validatie van het uitvoerbare bestand. Daarom zijn er soms bestanden "Ondertekend door Microsoft", maar hebben deze een andere bedrijfsnaam. Voorbeeld: Windows 2000 bevat de toepassing HyperTerminal op de locatie C:\Program Files\Windows NT. Het uitvoerbare bestand van de hoofdtoepassing is niet digitaal ondertekend, maar wordt door ESET SysInspector gemarkeerd als een bestand dat is ondertekend door Microsoft. De reden hiervoor is dat er in C:\WINNT\system32 \CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat wordt verwezen naar C:\Program Files\Windows NT\hypertrm.exe (het uitvoerbare bestand van de toepassing HyperTerminal), en sp4.cat is digitaal ondertekend door Microsoft ESET SysInspector als onderdeel van ESET Mail Security Als u het gedeelte ESET SysInspector wilt openen in ESET Mail Security klikt u op Hulpmiddelen > ESET SysInspector. Het beheersysteem in het venster ESET SysInspector werkt op ongeveer dezelfde manier als in de vensters met logbestanden of geplande taken. Alle bewerkingen met momentopnamen van het systeem (maken, weergeven, vergelijken, verwijderen en exporteren) kunnen met één of twee muisklikken worden uitgevoerd. Het venster ESET SysInspector bevat basisinformatie over de gemaakte momentopnamen, zoals de aanmaaktijd, een korte omschrijving, de naam van de gebruiker die de momentopname heeft gemaakt en de status van de momentopname. Als u momentopnamen wilt vergelijken, maken of verwijderen, kiest u de betreffende knop onder de lijst met momentopnamen in het venster ESET SysInspector. Deze opties zijn ook beschikbaar in het contextmenu van een momentopname. Als u de geselecteerde momentopname van het systeem wilt bekijken, kiest u Weergeven in het contextmenu. Om de geselecteerde momentopname te exporteren naar een bestand, klikt u er met de rechtermuisknop op en kiest u Exporteren. 116

117 Hieronder staat een gedetailleerde omschrijving van de beschikbare opties: Vergelijken: hiermee kunt u twee bestaande logbestanden vergelijken. Dit is handig als u wilt weten wat de verschillen zijn tussen het huidige logbestand en een ouder logbestand. U kunt deze optie alleen kiezen als er twee momentopnamen zijn geselecteerd om te vergelijken. Maken... - hiermee kunt u een nieuwe record maken. U moet eerst een korte omschrijving van de record invoeren. Voor het voltooiingspercentage van een momentopname die op dit moment wordt gemaakt, raadpleegt u de kolom Status. Alle voltooide momentopnamen hebben de status Gemaakt. Verwijderen/Alles verwijderen: hiermee kunt u vermeldingen uit de lijst verwijderen. Exporteren - Hiermee slaat u de geselecteerde vermelding op in een XML-bestand (ook in een gecomprimeerde versie). 4.7 ESET SysRescue ESET SysRescue is is een hulpprogramma waarmee u een opstartbare schijf kunt maken met daarop een van de ESET Security-producten. Dit kan ESET NOD32 Antivirus, ESET Smart Security zijn of zelfs enkele servergerichte producten. Het belangrijkste voordeel van ESET SysRescue is dat u het ESET Security-product onafhankelijk van het besturingssysteem kunt uitvoeren, terwijl het programma toch rechtstreeks toegang heeft tot de schijf en het volledige bestandssysteem. Hierdoor is het mogelijk infiltraties te verwijderen die anders niet kunnen worden verwijderd, bijvoorbeeld omdat het besturingssysteem actief is Minimale vereisten ESET SysRescue werkt in versie 2.x van Microsoft Windows Preinstallation Environment (Windows PE). Deze versie is gebaseerd op Windows Vista. Windows PE maakt deel uit van de gratis pakketten Windows Automated Installation Kit (Windows AIK) en Windows Assessment and Deployment Kit (Windows ADK) en daarom moet Windows AIK of ADK worden geïnstalleerd alvorens ESET SysRescue (<% of (<% te maken. Welke van deze twee op uw systeem moet worden geïnstalleerd, hangt af van de versie van het besturingssysteem dat gebruikt. Vanwege de ondersteuning van de 32-bits versie van Windows PE is het noodzakelijk om een 32-bits versie van het ESET Security-product te gebruiken bij het maken van ESET SysRescue op 64-bits systemen. ESET SysRescue ondersteunt Windows AIK 1.1 en hoger en Windows ADK. OPMERKING: aangezien Windows AIK groter is dan 1 GB en Windows ADK 1,3 GB groot is, is een snelle internetverbinding vereist voor probleemloos downloaden. ESET SysRescue is verkrijgbaar in ESET Security-producten van versie 4.0 en hoger. ESET SysRescue odersteunt de volgende besturingssystemen: Windows Server 2003 Servicepack 1 met KB Windows Server 2003 Servicepack 2 Windows Server 2008 Windows Server 2012 Windows AIK ondersteunt: Windows Server 2003 Windows Server 2008 Windows ADK ondersteunt: Windows Server

118 4.7.2 Een herstel-cd maken Als u de wizard ESET SysRescue wilt openen, klikt u op Start > Programma's > ESET > ESET Mail Security > ESET SysRescue. De wizard controleert eerst of Windows AIK of Windows ADK is geïnstalleerd en of er een geschikt apparaat is aangesloten voor het maken van het opstartmedium. Als Windows AIK of Windows ADK niet op de computer is geïnstalleerd (of is beschadigd of onjuist is geïnstalleerd), biedt de wizard u de optie om dit te installeren of de mogelijkheid het pad naar uw Windows AIK-map (<% of Windows ADK-map (<% eset.eu/adk%>) op te geven. OPMERKING: aangezien Windows AIK groter is dan 1 GB en Windows ADK 1,3 GB groot is, is een snelle internetverbinding vereist voor probleemloos downloaden. In de volgende stap 118 geeft u aan waar u ESET SysRescue wilt opslaan Doel selecteren U kunt kiezen voor een cd, dvd of USB-apparaat. Daarnaast kunt u de ESET SysRescue-gegevens ook opslaan in een ISO-bestand. De ISO-schijfkopie kunt u dan later op een cd of dvd zetten, of op een andere manier gebruiken (zoals in een virtuele omgeving, bijvoorbeeld VMware of VirtualBox). Als u USB selecteert als het doelmedium, werkt de opstartprocedure mogelijk niet op bepaalde computers. Sommige BIOS-versies kunnen problemen melden met de communicatie tussen het BIOS en Opstartbeheer (zoals in Windows Vista). In die gevallen wordt het opstarten afgesloten met het volgende foutbericht: file : \boot\bcd status : 0xc000000e info : an error occurred while attemping to read the boot configuration data Als dit bericht wordt weergegeven, is het raadzaam een cd te selecteren in plaats van USB Instellingen Voorafgaand aan het maken van ESET SysRescue geeft de installatiewizard compilatieparameters weer in de laatste stap van de wizard ESET SysRescue. Deze kunnen worden aangepast door op de knop Wijzigen... te klikken. De volgende opties zijn beschikbaar: Mappen 118 ESET Antivirus 119 Geavanceerd 119 Internetprotocol 119 Opstartbaar USB-apparaat 120 (wanneer het doel-usb-apparaat is geselecteerd) Branden 120 (wanneer het doel-cd/dvd-station is geselecteerd) De knop Maken is niet actief als er geen MSI-installatiepakket is opgegeven of als er geen ESET Security-product is geïnstalleerd op de computer. Als u een installatiepakket wilt selecteren, klikt u op de knop Wijzigen en gaat u naar het tabblad ESET Antivirus. Als u geen gebruikersnaam en wachtwoord invoert (Wijzigen - ESET Antivirus), is de knop Maken evenmin beschikbaar Mappen Tijdelijke map is een werkmap voor bestanden die nodig zijn tijdens de ESET SysRescue-compilatie. ISO-map is een map waarin het resulterende ISO-bestand wordt opgeslagen als de compilatie is voltooid. De lijst op dit tabblad bevat alle lokale en gekoppelde netwerkschijven, inclusief de beschikbare ruimte. Als bepaalde mappen zich bevinden op een schijf met onvoldoende vrije ruimte, is het raadzaam een schijf te selecteren met meer vrije ruimte. Anders is het namelijk mogelijk dat de compilatie niet kan worden voltooid omdat er onvoldoende ruimte beschikbaar is op de schijf. Externe toepassingen: hiermee kunt u aanvullende programma's opgeven die worden uitgevoerd of geïnstalleerd na het opstarten vanaf een ESET SysRescue-medium. Externe toepassingen opnemen: hiermee kunt u externe programma's toevoegen aan de ESET SysRescuecompilatie. 118

119 Geselecteerde map: map waarin de programma's staan die aan de ESET SysRescue-schijf moeten worden toegevoegd ESET Antivirus Als u een ESET SysRescue-cd wilt maken, kunt u kiezen uit twee bronnen voor de ESET-bestanden die door de compiler worden gebruikt. ESS/EAV-map: bestanden die al in de map staan waarin het ESET Security -product is geïnstalleerd op de computer. MSI-bestand: de bestanden in het MSI-installatieprogramma worden gebruikt. Vervolgens hebt u de mogelijkheid om de locatie van NUP-bestanden bij te werken. Normaal gesproken moet de standaardoptie ESS/EAV-map/MSI-bestand worden ingesteld. In sommige gevallen kan een aangepaste Updatemap worden gekozen, bijvoorbeeld om een oudere of nieuwere versie van de database met viruskenmerken te gebruiken. U kunt een van de volgende twee bronnen gebruiken voor de gebruikersnaam en het wachtwoord: ESS/EAV geïnstalleerd: de gebruikersnaam en het wachtwoord worden gekopieerd van de huidige installatie van het ESET Security-product. Van gebruiker: gebruikersnaam en wachtwoord in de overeenkomstige tekstvakken worden gebruikt. OPMERKING: ESET Security dat op de ESET SysRescue-cd staat, wordt vanaf internet bijgewerkt of vanuit het ESET Security-product dat op de computer is geïnstalleerd waar de ESET SysRescue-cd wordt uitgevoerd Geavanceerde instellingen Op het tabblad Geavanceerd kunt u de ESET SysRescue-cd optimaliseren voor de hoeveelheid geheugen op uw computer. Selecteer 576 MB of meer om de inhoud van de cd naar het werkgeheugen (RAM) te schrijven. Als u Minder dan 576 MB selecteert, wordt de herstel-cd permanent gelezen tijdens het uitvoeren van WinPE. In het gedeelte Externe stuurprogramma's kunt u stuurprogramma's voor specifieke hardware toevoegen (meestal een netwerkadapter). Hoewel WinPE is gebaseerd op Windows Vista SP1, en die Windows-versie ondersteuning biedt voor zeer veel hardware, wordt bepaalde hardware soms niet herkend. Het betreffende stuurprogramma moet dan handmatig worden toegevoegd. Er zijn twee manieren om een stuurprogramma op te nemen in de ESET SysRescue-compilatie: handmatig (via de knop Toevoegen) en automatisch (via de knop Aut. zoeken. In het eerste geval moet u het pad naar het gewenste INF-bestand selecteren (het bijbehorende SYSbestand moet in dezelfde map staan). Als u kiest voor automatisch toevoegen wordt het stuurprogramma automatisch gevonden in het besturingssysteem van de computer in kwestie. Het automatisch toevoegen wordt alleen aanbevolen als ESET SysRescue wordt gebruikt op een computer met dezelfde netwerkadapter als de computer waarop de ESET SysRescue-cd is gemaakt. Tijdens het maken van de ESET SysRescue-cd wordt het stuurprogramma automatisch toegevoegd en hoeft de gebruiker er later niet naar te zoeken Internetprotocol In dit gedeelte kunt u eenvoudige netwerkinformatie configureren en vooraf gedefinieerde verbindingen instellen na ESET SysRescue. Selecteer Automatisch privé-ip-adres om automatisch het IP-adres te verkrijgen van de DHCP-server (Dynamic Host Configuration Protocol). Eventueel kan bij deze netwerkverbinding een handmatig opgegeven IP-adres worden gebruikt (ook wel vast IPadres genoemd). Selecteer Aangepast om de toepasselijke IP-instellingen te configureren. Als u deze optie selecteert, moet u een IP-adres opgeven en een Subnetmasker voor LAN-verbindingen en snelle internetverbindingen. Bij Voorkeurs-DNS-server en Alternatieve DNS-server voert u de primaire en secundaire DNS-serveradressen in. 119

120 Opstartbaar USB-apparaat Als u hebt aangegeven dat u een USB-apparaat wilt gebruiken als doelmedium, kunt u op het tabblad Opstartbaar USB-apparaat een van de beschikbare USB-apparaten selecteren (in het geval van meerdere USB-apparaten). Bij Apparaat selecteert u het toepasselijke doelapparaat waarop ESET SysRescue wordt geïnstalleerd. Waarschuwing: Het geselecteerd USB-apparaat wordt geformatteerd bij het maken van ESET SysRescue. Alle gegevens op het apparaat worden verwijderd. Als u de optie Snel formatteren selecteert, worden alle bestanden van de partitie verwijderd, maar wordt het station niet gescand op beschadigde sectoren. Gebruik deze optie als uw USB-apparaat eerder geformatteerd is geweest en u zeker weet dat het niet beschadigd is Branden Als u een cd of dvd hebt geselecteerd als uw doelmedium, kunt u op het tabblad Branden aanvullende parameters opgeven. ISO-bestand verwijderen: selecteer deze optie om het tijdelijke ISO-bestand te verwijderen nadat de ESET SysRescue-cd is gemaakt. Verwijderen ingeschakeld: hiermee kunt u kiezen voor snel wissen en volledig wissen. Brander: selecteer het station dat u wilt gebruiken om mee te branden. Waarschuwing: Dit is de standaardoptie. Als een herschrijfbare cd/dvd is gebruikt, worden alle gegevens op de cd/ dvd gewist. Het gedeelte Medium bevat informatie over het huidige medium dat in het cd/dvd-apparaat is geplaatst. Brandsnelheid: Selecteer de gewenste brandsnelheid in de vervolgkeuzelijst. Houd hierbij rekening met de mogelijkheden van uw brander en het type cd/dvd dat u gebruikt Werken met ESET SysRescue Voor een effectieve werking van de herstel-cd/dvd/usb moet de computer worden opgestart vanaf het ESET SysRescue-opstartmedium. De opstartvolgorde kan worden ingesteld in het BIOS. U kunt ook tijdens het opstarten van de computer het opstartmenu gebruiken. Hiervoor moet u een van de toetsen F9-F12 indrukken, afhankelijk van de versie van het moederbord/bios. Na het opstarten vanaf het opstartmedium wordt het ESET Security-product gestart. Aangezien ESET SysRescue alleen in specifieke situaties wordt gebruikt, zijn sommige beveiligingsmodules en programmafuncties van de standaardversie van het ESET Security-product niet nodig. Het aantal voorzieningen is dan ook beperkt tot Computerscan, Bijwerken en bepaalde gedeelten in Instellingen. Het bijwerken van de database met viruskenmerken is de belangrijkste functie van ESET SysRescue, u wordt daarom aanbevolen het programma bij te werken vóór het starten van een computerscan ESET SysRescue gebruiken Stel dat computers in het netwerk zijn geïnfecteerd met een virus dat uitvoerbare bestanden (.exe) wijzigt. Alle geïnfecteerde bestanden kunnen met het ESET Security-product worden opgeschoond, behalve explorer.exe, dat zelfs niet in de veilige modus kan worden opgeschoond. Dit komt doordat explorer.exe als een van de essentiële Windows-processen ook in de veilige modus wordt geopend. Het is dan niet mogelijk om met het ESET Securityproduct een actie uit te voeren op het bestand, zodat het geïnfecteerd zou kunnen blijven. In een dergelijk scenario kunt u ESET SysRescue gebruiken om het probleem op te lossen. Voor ESET SysRescue is geen enkel onderdeel van het host-besturingssysteem vereist, waardoor alle bestanden op de schijf kunnen worden verwerkt (om op te schonen of te verwijderen). 120

121 4.8 Opties gebruikersinterface Via de configuratieopties voor de gebruikersinterface van ESET Mail Security kunt u de werkomgeving aan uw eigen behoeften aanpassen. Deze configuratieopties zijn toegankelijk via de vertakking Gebruikersinterface van de structuur met geavanceerde instellingen van ESET Mail Security. In het gedeelte Elementen van gebruikersinterface kunt u met de optie Geavanceerde modus overschakelen op de geavanceerde modus. In de Geavanceerde modus worden meer gedetailleerde instellingen en aanvullende besturingselementen voor ESET Mail Security weergegeven. Schakel de optie Grafische gebruikersinterface uit als de grafische elementen de prestaties van de computer negatief beïnvloeden of andere problemen veroorzaken. De grafische interface moet mogelijk ook worden uitgeschakeld voor gebruikers met een visuele handicap, aangezien de interface mogelijk de werking kan verstoren van speciale toepassingen die worden gebruikt voor het lezen van tekst op het scherm. Als u het welkomstscherm van ESET Mail Security wilt uitschakelen, schakelt u de optie Welkomstscherm weergeven bij opstarten uit. Boven aan het hoofdvenster van ESET Mail Security bevindt zich een standaardmenu dat kan worden in- en uitgeschakeld met de optie Standaardmenu gebruiken. Als de optie Knopinfo weergeven is ingeschakeld, wordt een korte beschrijving weergegeven als de cursor op een optie wordt geplaatst. De optie Actief besturingselement selecteren heeft tot gevolg dat het systeem elk element markeert dat zich momenteel onder het actieve gebied van de muisaanwijzer bevindt. Het gemarkeerde element wordt na een keer klikken geactiveerd. Om de snelheid van animatie-effecten te verhogen of te verlagen, selecteert u de optie Bewegende besturingselementen gebruiken en beweegt u de schuifregelaar Snelheid naar links of naar rechts. Om het gebruik van bewegende pictogrammen in te schakelen voor de weergave van de voortgang van verschillende bewerkingen selecteert u de optie Bewegende pictogrammen gebruiken voor voortgangsindicatie. Als u wilt dat het programma een waarschuwingssignaal laat horen wanneer er een belangrijke gebeurtenis plaatsvindt, selecteert u de optie Geluidssignaal gebruiken. De functie Gebruikersinterface bevat ook de optie om de instellingen van ESET Mail Security te beveiligen met een wachtwoord. Deze optie staat in het submenu Instellingen beveiligen onder Gebruikersinterface. Om maximale beveiliging voor uw systeem te waarborgen is het van essentieel belang dat het programma correct wordt geconfigureerd. Onbevoegde wijzigingen kunnen resulteren in het verlies van belangrijke gegevens. Klik op 121

122 Wachtwoord instellen om een wachtwoord in te stellen ter beveiliging van de ingestelde parameters Waarschuwingen en meldingen The In het gedeelte Instellingen voor waarschuwingen en meldingen onder Gebruikersinterface kunt u configureren hoe bedreigingswaarschuwingen en systeemmeldingen worden afgehandeld in ESET Mail Security. De eerste optie is Waarschuwingen weergeven. Als u deze optie uitschakelt, worden alle waarschuwingsvensters geannuleerd. Deze optie is alleen geschikt in een beperkt aantal specifieke situaties. Voor de meeste gebruikers adviseren wij de standaardoptie (ingeschakeld) te gebruiken. U kunt pop-upvensters automatisch na een bepaalde tijd laten sluiten door de optie Berichtvensters automatisch sluiten na (sec.) te selecteren. Als de waarschuwingsvensters niet handmatig worden gesloten, gebeurt dit automatisch nadat de opgegeven tijdsperiode is verstreken. Meldingen op het bureaublad en ballontips zijn informatiemiddelen waarbij geen gebruikersinteractie mogelijk of nodig is. Ze worden weergegeven in het systeemvak in de rechterbenedenhoek van het scherm. Om de weergave van bureaubladmeldingen te activeren, selecteert u de optie Meldingen weergeven op bureaublad. Meer gedetailleerde opties, zoals weergavetijd van meldingen en transparantie van het venster, kunnen worden gewijzigd door op de knop Meldingen configureren te klikken. U kunt het gedrag van meldingen vooraf bekijken door op de knop Voorbeeld te klikken. U kunt de weergaveduur van ballontips configureren met behulp van de optie Ballontips weergeven in taakbalk (sec.). 122

123 Klik op Geavanceerde instellingen om extra instellingen van Waarschuwingen en meldingen in te stellen, zoals de optie Alleen meldingen weergeven waarbij gebruikersinteractie wordt vereist. Met deze optie kunt u het weergeven van waarschuwingen en meldingen waarvoor geen gebruikersinteractie nodig is in- of uitschakelen. Selecteer de optie Alleen meldingen weergeven waarbij gebruikersinteractie wordt vereist wanneer toepassingen worden weergegeven in de volledige weergavemodus om alle niet-interactieve meldingen te onderdrukken. In de vervolgkeuzelijst Minimaal detailniveau voor weergegeven gebeurtenissen kunt u het startniveau selecteren voor de weergave van waarschuwingen en meldingen. Met de laatste functie in dit gedeelte kunt u het doel van de meldingen specificeren in een omgeving met meerdere gebruikers. Met het veld In systemen met meerdere gebruikers meldingen weergeven op het scherm van deze gebruiker kunt u definiëren wie belangrijke meldingen van ESET Mail Security ontvangt. Normaliter is dit een systeem- of netwerkbeheerder. Deze optie is met name handig voor terminalservers, op voorwaarde dat alle systeemmeldingen naar de beheerder worden verzonden GUI uitschakelen op terminalserver In dit hoofdstuk wordt beschreven hoe u de GUI kunt uitschakelen van ESET Mail Security uitgevoerd op Windows Terminal Server voor gebruikerssessies. Normaal gesproken wordt de GUI van ESET Mail Security gestart wanneer een externe gebruiker zich aanmeldt bij de server en een terminalsessie begint. Dit is meestal niet gewenst op terminalservers. Volg deze stappen als u de GUI wilt uitschakelen voor terminalsessies: 1. Voer regedit.exe uit. 2. Ga naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. 3. Klik met de rechtermuisknop op de waarde egui en selecteer Wijzigen. 4. Voeg een schakeloptie /terminal toe aan het einde van een bestaande tekenreeks Hier volgt een voorbeeld van hoe de gegevens van de waarde egui er moeten uitzien: "C:\Program Files\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal Als u deze instelling ongedaan wilt maken en het automatisch starten van de GUI van ESET Mail Security wilt inschakelen, verwijdert u de schakeloptie /terminal. Herhaal stap 1-3 om bij de registerwaarde egui te komen. 123

124 4.9 eshell eshell (een afkorting van ESET Shell) is een opdrachtregelinterface voor ESET Mail Security. Het is een alternatief voor de grafische gebruikersinterface (GUI). eshell heeft alle functies en opties die u normaal gesproken in de GUI hebt. Met eshell kunt het volledige programma configureren en beheren zonder gebruik van de GUI. Afgezien van alle functies die beschikbaar zijn in de GUI, biedt de shell ook de mogelijkheid tot automatisering door scripts uit te voeren om te configureren, configuraties te wijzigen of om een actie uit te voeren. eshell kan ook nuttig zijn voor diegenen die een opdrachtregelinterface verkiezen boven de GUI. OPMERKING: Er is een aparte handleiding van eshell beschikbaar die u hier kunt downloaden. De handleiding bevat alle opdrachten met syntaxis en beschrijving. In dit gedeelte wordt uitgelegd hoe u in eshell navigeert en hoe u de interface gebruikt. Bovendien wordt er een overzicht gegeven van alle opdrachten met een beschrijving van waarvoor ze worden gebruikt en wat ze doen. eshell kan in twee modi worden uitgevoerd: Interactieve modus: dit is nuttig wanneer u met eshell wilt werken (en niet slechts één opdracht wilt uitvoeren), bijvoorbeeld voor het wijzigen van de configuratie, het bekijken van logboeken, enzovoort. U kunt de interactieve modus ook gebruiken als u nog niet bekend bent met alle opdrachten. De interactieve modus maakt het u gemakkelijk wanneer u door eshell navigeert. In deze modus worden tevens de beschikbare opdrachten weergegeven die u kunt gebruiken binnen een bepaalde context. Enkelvoudige opdrachten/batchverwerking: u kunt deze modus gebruiken als u slechts één opdracht moet uitvoeren, zonder de interactieve modus van eshell te activeren. U kunt dat vanaf de Windows-opdrachtprompt doen door eshell in te voeren met de toepasselijke parameters. Bijvoorbeeld: eshell set av document status enabled OPMERKING: Als u eshell-opdrachten wilt kunnen uitvoeren vanaf de Windows-opdrachtprompt of om batchbestanden te kunnen uitvoeren, moet deze functie eerst worden ingeschakeld (de opdracht set general access batch always moet worden uitgevoerd in de interactieve modus). Klik hier 128 voor meer informatie over het instellen van de batchopdracht. U kunt de interactieve modus van eshell op twee manieren activeren: Via het menu Start van Windows: Start > Alle programma's > ESET > ESET File Security > ESET shell Vanaf de Windows-opdrachtprompt door eshell in te voeren en op Enter te drukken. Wanneer u eshell voor het eerst in de interactieve modus uitvoert, wordt een scherm voor de eerste keer uitvoeren weergegeven. 124

125 Hierin worden enkele basisvoorbeelden weergegeven voor het gebruik van eshell met syntaxis, voorvoegsels, opdrachtpaden, verkorte vormen, aliassen, enzovoort. Het is in feite een beknopte handleiding voor eshell. OPMERKING: Als u het scherm bij de eerste keer uitvoeren later wilt weergeven, voert u de opdracht guide in. OPMERKING: opdrachten zijn niet hoofdlettergevoelig: de opdracht wordt uitgevoerd, ongeacht of u hoofdletters of kleine letters invoert Gebruik Syntaxis Opdrachten moeten de juiste syntaxis hebben om te werken en kunnen bestaan uit een voorvoegsel, een context, argumenten, opties, enzovoort. Dit is de algemene syntaxis die overal in eshell wordt gebruikt: [<voorvoegsel>] [<opdrachtpad>] <opdracht> [<argumenten>] Voorbeeld (zo wordt documentbeveiliging ingeschakeld): SET AV DOCUMENT STATUS ENABLED SET - een voorvoegsel AV DOCUMENT - pad naar een afzonderlijke opdracht, een context waar deze opdracht thuishoort STATUS - de opdracht zelf ENABLED - een argument voor de opdracht Als u HELP of? bij een opdracht invoert, wordt de syntaxis voor die specifieke opdracht weergegeven. Bijvoorbeeld: het voorvoegsel CLEANLEVEL HELP geeft de syntaxis weer voor de opdracht CLEANLEVEL : SYNTAXIS: [get] restore cleanlevel set cleanlevel none normal strict U ziet dat [get] tussen haakjes staat. Dit betekent dat het voorvoegsel get standaard is voor de opdracht cleanlevel. Dit wil zeggen dat als u de opdracht cleanlevel uitvoert zonder een voorvoegsel op te geven, het standaardvoorvoegsel zal worden gebruikt (in dit geval get cleanlevel). Het gebruik van opdrachten zonder voorvoegsel bespaart tijd tijdens het typen. Meestal is get het standaardvoorvoegsel voor opdrachten, maar u moet zeker weten wat het standaardvoorvoegsel is voor een specifieke opdracht en dat dit het juiste is voor de opdracht die u wilt uitvoeren. OPMERKING: opdrachten zijn niet hoofdlettergevoelig: de opdracht wordt uitgevoerd, ongeacht of u hoofdletters of kleine letters invoert. Voorvoegsel/bewerking Een voorvoegsel is een bewerking. Het voorvoegsel GET geeft informatie over hoe bepaalde functionaliteit van ESET Mail Security is geconfigureerd, en geeft een status weer (zo geeft GET AV STATUS de huidige beveiligingsstatus weer). Het voorvoegsel SET wijzigt functionaliteit of wijzigt de status ervan (SET AV STATUS ENABLED activeert beveiliging). Dit zijn de voorvoegsels die u in eshell kunt gebruiken. Een opdracht kan deze voorvoegsels wel of niet ondersteunen: GET - retourneert huidige instelling/status SET - stelt waarde/status in SELECT - selecteert een item ADD - voegt een item toe REMOVE - verwijdert een item CLEAR - verwijderd alle items/bestanden START - start een actie STOP - stopt een actie PAUSE - onderbreekt een actie RESUME - hervat een actie RESTORE - herstelt standaardinstelling/-object/-bestand SEND - verzendt een object/bestand IMPORT - importeert uit een bestand EXPORT - exporteert naar een bestand Voorvoegsels zoals GET en SET worden met veel opdrachten gebruikt, maar sommige opdrachten (zoals EXIT) gebruiken geen voorvoegsel. 125

126 Opdrachtpad/context Opdrachten worden geplaatst in contexten die een structuur vormen. Het hoogste niveau van de structuur is de root. Wanneer u eshell uitvoert, bevindt u zich op het rootniveau: eshell> U kunt hier een opdracht uitvoeren of een contextnaam invoeren om binnen de structuur naar die context te navigeren. Als u bijvoorbeeld naar de context TOOLS gaat, wordt een lijst weergegeven van alle opdrachten en subcontexten die van daaruit beschikbaar zijn. Gele opdrachten kunt u uitvoeren en grijze opdrachten zijn subcontexten die u kunt openen. Een subcontext bevat verdere opdrachten. Als u wilt teruggaan naar een hoger niveau, gebruikt u.. (twee punten). Laten we bijvoorbeeld zeggen dat u hier bent: eshell av options> typ.. en u gaat een niveau omhoog, naar: eshell av> Of, als u terug wilt naar de hoofdmap vanaf eshell av options> (dus twee niveaus lager dan de hoofdmap), typt u.... (twee punten, spatie, twee punten). Zo gaat u twee niveaus omhoog, in dit geval naar het rootniveau. U kunt dit op elk niveau in de contextstructuur doen. Gebruik het juiste aantal.. voor het niveau waar u heen wilt gaan. Het pad is afhankelijk van de huidige context. Als de opdracht deel uitmaakt van de huidige context, voert u geen pad in. Om bijvoorbeeld GET AV STATUS uit te voeren, voert u in: GET AV STATUS - als u zich in de rootcontext bevindt (opdrachtregel bevat eshell>) GET STATUS - als u zich in de context bevindt AV (opdrachtregel bevat eshell av>).. GET STATUS - als u zich in de context bevindt AV OPTIONS (opdrachtregel bevat eshell av options>) Argument Een argument is een actie die voor een bepaalde opdracht wordt uitgevoerd. De opdracht CLEANLEVEL kan bijvoorbeeld worden gebruikt met de volgende argumenten: none - Niet opschonen normal - Standaard opschonen strict - Volledig opschonen Een ander voorbeeld bestaat uit de argumenten ENABLED of DISABLED, die worden gebruikt voor het in- of uitschakelen van functies. Verkorte vorm/verkorte opdrachten Met eshell kunt u contexten, opdrachten en argumenten inkorten (mits het argument een schakeloptie of alternatieve optie is). Het is niet mogelijk een voorvoegsel of argument te verkorten dat een concrete waarde is, zoals een nummer, naam of pad. 126

127 Voorbeelden van de korte indeling: set status enabled => set stat en add av exclusions C:\pad\bestand.ext => add av exc C:\pad\bestand.ext Als twee opdrachten of contexten met dezelfde letters beginnen (bijvoorbeeld ABOUT en AV, en u A invoert als verkorte opdracht), kan eshell niet uitmaken welke van deze twee opdrachten u wilt uitvoeren. Daarom wordt een foutbericht weergegeven met een lijst opdrachten die beginnen met "A", waaruit u kunt kiezen: eshell>a De volgende opdracht is niet uniek: a De volgende opdrachten zijn in deze context beschikbaar: ABOUT - geeft gegevens over programma weer AV - Wijzigingen in context av Als u een of meer letters toevoegt (bijvoorbeeld AB in plaats van alleen A) eshell wordt de opdracht ABOUT uitgevoerd omdat deze nu uniek is. OPMERKING: Wanneer u er zeker van wilt zijn dat een opdracht op de gewenste manier wordt uitgevoerd, raden wij aan geen opdrachten, argumenten enzovoort in te korten en de volledige indeling te gebruiken. Op deze manier is de uitvoering exact zoals u wilt en voorkomt u ongewenste fouten. Dit geldt in het bijzonder voor batchbestanden/-scripts. Aliassen Een alias is een alternatieve naam die kan worden gebruikt voor het uitvoeren van een opdracht (mits aan de opdracht een alias is toegekend). Er zijn een paar standaardaliassen: (global) help -? (global) close - exit (global) quit - exit (global) bye - exit warnlog - tools log events virlog - tools log detections "(global)" betekent dat de opdracht overal kan worden gebruikt, onafhankelijk van de huidige context. Aan één opdracht kunnen meerdere aliassen zijn toegewezen. De opdracht EXIT heeft bijvoorbeeld de aliassen CLOSE, QUIT en BYE. Als u eshell wilt afsluiten, kunt u de opdracht EXIT zelf gebruiken of een van de aliassen ervan. Alias VIRLOG is een alias voor de opdracht DETECTIONS die zich bevindt in de context TOOLS LOG. Zo is de opdracht detections beschikbaar vanuit de context ROOT, waardoor deze gemakkelijker toegankelijk is (u hoeft niet TOOLS in te voeren en dan de context LOG en kunt de opdracht direct uitvoeren vanuit ROOT). Met eshell kunt u uw eigen aliassen definiëren. Beschermde opdrachten Bepaalde opdrachten zijn beschermd en kunnen alleen worden uitgevoerd na het invoeren van een wachtwoord. Guide Als u de opdracht GUIDE uitvoert, wordt een scherm bij de eerste keer uitvoeren weergegeven waarin wordt uitgelegd hoe u eshell gebruikt. Deze opdracht is beschikbaar vanuit de context ROOT (eshell>). Help Als de opdracht HELP alleen wordt gebruikt, wordt een lijst weergegeven van alle beschikbare opdrachten met zowel voorvoegsels als subcontexten binnen de huidige context. U ziet ook een korte beschrijving van iedere opdracht/ subcontext. Als u de opdracht HELP gebruikt als argument met een bepaalde opdracht (bijvoorbeeld CLEANLEVEL HELP ), wordt informatie over die opdracht weergegeven. De SYNTAXIS, BEWERKINGEN, ARGUMENTEN en ALIASSEN van de opdracht worden weergegeven met steeds een korte beschrijving. Opdrachtsgeschiedenis eshell houdt de geschiedenis bij van eerder uitgevoerde opdrachten. Dit is alleen van toepassing op de huidige interactieve eshell-sessie. Zodra u eshell afsluit, wordt de opdrachtgeschiedenis verwijderd. Gebruik de pijltoetsen omhoog en omlaag op uw toetsenbord om door de geschiedenis te navigeren. Zodra u de gewenste opdracht hebt gevonden, kunt u deze nogmaals uitvoeren of bewerken zonder dat u de gehele opdracht opnieuw hoeft in te vullen. CLS (Clear screen: scherm wissen) De opdracht CLS kan worden gebruikt om een scherm te wissen. Dit werkt op dezelfde manier als bij Windows- 127

128 opdrachtprompt of soortgelijke opdrachtregelinterfaces. EXIT / CLOSE / QUIT / BYE Als u eshell wilt sluiten of verlaten, gebruikt u een van de volgende opdrachten (EXIT, CLOSE, QUIT of BYE) Opdrachten Dit gedeelte bevat enkele voorbeelden van elementaire eshell-opdrachten met beschrijvingen. Zie de handleiding van eshell, die u hier kunt downloaden, voor de complete lijst met opdrachten. OPMERKING: opdrachten zijn niet hoofdlettergevoelig: de opdracht wordt uitgevoerd, ongeacht of u hoofdletters of kleine letters invoert. Opdrachten binnen de context ROOT: ABOUT Hiermee wordt informatie over het programma weergegeven. De naam van het geïnstalleerde product, het versienummer, geïnstalleerde onderdelen (inclusief het versienummer van ieder onderdeel) en basisinformatie over de server en het besturingssysteem waarop ESET Mail Security wordt uitgevoerd worden weergegeven. CONTEXTPAD: root BATCH Hiermee wordt de eshell-batchmodus gestart. Dit is erg nuttig bij het uitvoeren van batchbestanden/scripts en u wordt aanbevolen deze opdracht te gebruiken bij batchbestanden. Zet START BATCH als de eerste opdracht in het batchbestand of script om de batchmodus in te schakelen. Wanneer u deze functie inschakelt, wordt er niet om interactieve invoer gevraagd (bijv. een wachtwoord invoeren) en ontbrekende argumenten worden vervangen door standaardwaarden. Zodoende wordt het batchbestand niet halverwege onderbroken omdat eshell gebruikersinteractie verwacht. Op deze manier zou het batchbestand moeten worden uitgevoerd zonder te stoppen (tenzij er een fout optreedt of de opdrachten binnen het batchbestand niet juist zijn). CONTEXTPAD: root SYNTAXIS: [start] batch BEWERKINGEN: start - Hiermee wordt eshell in batchmodus gestart CONTEXTPAD: root VOORBEELDEN: start batch - Hiermee wordt de eshell-batchmodus gestart GUIDE Hiermee wordt het scherm van bij de eerste keer uitvoeren weergegeven. CONTEXTPAD: root PASSWORD Normaal gesproken wordt u bij het uitvoeren van met wachtwoord beveiligde opdrachten om beveiligingsredenen gevraagd om een wachtwoord in te voeren. Het is van toepassing op opdrachten die bijvoorbeeld de antivirusbeveiliging uitschakelen of die van invloed zijn op de functionaliteit van ESET Mail Security. Iedere keer dat u een dergelijke opdracht uitvoert, wordt u gevraagd om een wachtwoord. Als u echter wilt voorkomen dat u het wachtwoord iedere keer moet invoeren, kunt u dit wachtwoord definiëren. Het wordt onthouden in eshell en automatisch gebruikt wanneer een opdracht met wachtwoordbeveiliging wordt uitgevoerd. Dit betekent dat u het 128

129 wachtwoord niet telkens hoeft in te voeren. OPMERKING: Het gedefinieerde wachtwoord werkt alleen voor de huidige interactieve sessie van eshell. Wanneer u eshell afsluit, wordt dit gedefinieerde wachtwoord vergeten. Wanneer u eshell opnieuw start, moet het wachtwoord opnieuw worden gedefinieerd. Dit gedefinieerde wachtwoord is tevens erg nuttig bij het uitvoeren van batchbestanden/scripts. Hier volgt een voorbeeld van een dergelijk batchbestand: eshell start batch "&" set password plain <uwwachtwoord> "&" set status disabled Deze bovenstaande samengevoegde opdracht start een batchmodus, definieert het te gebruiken wachtwoord en schakelt de beveiliging uit. CONTEXTPAD: root SYNTAXIS: [get] restore password set password [plain <wachtwoord>] BEWERKINGEN: get - Hiermee wordt het wachtwoord weergegeven set - Hiermee wordt het wachtwoord ingesteld of gewist restore - Hiermee wordt het wachtwoord gewist ARGUMENTEN: plain - Schakeloptie om wachtwoord als parameter in te voeren password - Wachtwoord VOORBEELDEN: set password plain <wachtwoord> - Hiermee wordt een wachtwoord ingesteld dat wordt gebruikt voor opdrachten met wachtwoordbeveiliging restore password - Hiermee wordt het wachtwoord gewist VOORBEELDEN: get password - Gebruik deze opdracht om te zien of het wachtwoord is geconfigureerd of niet (hiermee worden alleen sterretjes "*" weergegeven, niet het wachtwoord zelf). Wanneer er geen sterretjes worden weergegeven, betekent het dat er geen wachtwoord is ingesteld. set password plain <wachtwoord> - Gebruik deze opdracht om een gedefinieerd wachtwoord in te stellen restore password - Met deze opdracht wordt het gedefinieerde wachtwoord uitgeschakeld STATUS Hiermee wordt informatie weergegeven over de huidige beveiligingsstatus van ESET Mail Security (vergelijkbaar met de GUI). CONTEXTPAD: root SYNTAXIS: [get] restore status set status disabled enabled BEWERKINGEN: get - De status van antivirusbeveiliging weergeven 129

130 set - Antivirusbeveiliging uitschakelen/inschakelen restore - Hiermee wordt de standaardinstelling hersteld ARGUMENTEN: disabled - Antivirusbeveiliging uitschakelen enabled - Antivirusbeveiliging inschakelen VOORBEELDEN: get status - Hiermee wordt de huidige beveiligingsstatus weergegeven set status disabled - Hiermee wordt de beveiliging uitgeschakeld restore status - Hiermee wordt de beveiliging hersteld naar de standaardinstelling (ingeschakeld) VIRLOG Dit is een alias van de opdracht DETECTIONS. Deze opdracht is nuttig wanneer u informatie wilt zien over gedetecteerde infiltraties. WARNLOG Dit is een alias van de opdracht EVENTS. Deze opdracht is nuttig wanneer u informatie wilt zien over verschillende gebeurtenissen Instellingen importeren en exporteren De optie voor importeren en exporteren van configuraties van ESET Mail Security is beschikbaar onder Instellingen door op Instellingen importeren en exporteren te klikken. Voor zowel het importeren als exporteren wordt de XML-bestandsindeling gebruikt. Importeren en exporteren is nuttig wanneer u een back-up wilt maken van de huidige configuratie van ESET Mail Security, zodat u die later kunt gebruiken. De optie voor het exporteren van instellingen is ook handig voor gebruikers die hun voorkeursconfiguratie van ESET Mail Security willen gebruiken op meerdere systemen. Zij kunnen dan eenvoudig een XML-bestand importeren om zo de gewenste instellingen over te brengen ThreatSense.Net Het ThreatSense.Net vroegtijdig waarschuwingssysteem houdt ESET onmiddellijk en continu op de hoogte van nieuwe infiltraties. Het bidirectionele ThreatSense.Net vroegtijdig waarschuwingssysteem heeft één doel, namelijk de door ons geboden beveiliging verbeteren. Dit kunnen we het beste doen door te zorgen dat we nieuwe bedreigingen zo spoedig mogelijk in de gaten krijgen door deze aan zoveel mogelijk van onze klanten te 'koppelen' en hen te gebruiken als onze 'bedreigingsscouts'. Er zijn twee opties: 1. U kunt ervoor kiezen om het ThreatSense.Net vroegtijdig waarschuwingssysteem niet in te schakelen. De software blijft op dezelfde wijze functioneren en u ontvangt nog steeds de beste beveiliging beveiliging die wij u kunnen bieden. 2. U kunt het ThreatSense.Net vroegtijdig waarschuwingssysteem zodanig configureren dat anonieme informatie over nieuwe bedreigingen en waar de nieuwe bedreigingscode voorkomt wordt verzonden. Dit bestand kan voor gedetailleerde analyse naar ESET worden verzonden. Na bestudering van deze bedreigingen kan ESET zijn 130

131 voorzieningen voor bedreigingsdetectie vervolgens bijwerken. Het ThreatSense.Net vroegtijdig waarschuwingssysteem verzamelt informatie over uw computer met betrekking tot nieuw gedetecteerde bedreigingen. Deze informatie kan een voorbeeld of kopie bevatten van het bestand waarin de bedreiging voorkwam, het pad naar dat bestand, de bestandsnaam, de datum en tijd, het proces waarbij de bedreiging plaatsvond op uw computer en informatie over het besturingssysteem van uw computer. Hoewel de kans bestaat dat het bedreigingslaboratorium van ESET hiermee nu en dan informatie over u of uw computer in bezit krijgt (gebruikersnamen in een directorypad enz.), wordt deze informatie niet gebruikt voor andere doelen dan ons te helpen onmiddellijk te reageren op nieuwe bedreigingen. Standaard wordt ESET Mail Security zodanig geconfigureerd dat u om toestemming wordt gevraagd voordat verdachte bestanden voor gedetailleerde analyse naar het bedreigingslaboratorium van ESET worden verzonden. Bestanden met bepaalde extensies zoals DOC of XLS worden altijd uitgesloten. U kunt ook andere extensies toevoegen als er specifieke bestanden zijn die u of uw organisatie niet wil laten verzenden. De instellingen van ThreatSense.Net zijn toegankelijk via de structuur met geavanceerde instellingen via Hulpmiddelen > ThreatSense.Net. Selecteer de ThreatSense-optie Vroegtijdig waarschuwingssysteem inschakelen om het te activeren en klik vervolgens op de knop Geavanceerde instellingen. 131

132 Verdachte bestanden Op het tabblad Verdachte bestanden kunt u de wijze configureren waarop bedreigingen naar het bedreigingslaboratorium van ESET worden verzonden voor analyse. Als u een verdacht bestand aantreft, kunt u dit naar onze bedreigingslaboratoria versturen voor analyse. Als het bestand een schadelijke toepassing is, wordt de detectie ervan toegevoegd aan de volgende update van de viruskenmerken. Bestanden kunnen automatisch worden verzonden, of selecteer de optie Vragen voor het versturen als u wilt weten welke bestanden voor analyse worden verzonden en u de verzending wilt bevestigen. Als u geen bestanden wilt verzenden, selecteert u de optie Niet versturen voor analyse. Wanneer u ervoor kiest geen bestanden te verzenden voor analyse, heeft dat geen invloed op de verzending van statistische gegevens. Dit wordt afzonderlijk ingesteld (zie het gedeelte Statistieken 133 ). Wanneer te versturen: standaard is de optie Zo spoedig mogelijk geselecteerd voor de verzending van verdachte bestanden naar het bedreigingslaboratorium van ESET. Dit wordt aanbevolen als een permanente internetverbinding beschikbaar is en verdachte bestanden zonder vertraging kunnen worden afgeleverd. Selecteer de optie Tijdens update om verdachte bestanden bij de volgende update te uploaden naar ThreatSense.Net. Uitsluitingsfilter: met het uitsluitingsfilter kunt u bepaalde bestanden of mappen uitsluiten van verzending. Het kan bijvoorbeeld handig zijn bestanden uit te sluiten die mogelijk vertrouwelijke informatie bevatten, zoals documenten of spreadsheets. Veelgebruikte bestandstypen (DOC enz.) worden standaard uitgesloten. U kunt als u dat wilt opties toevoegen aan de lijst met uitgesloten bestanden. adres contactpersoon: u kunt uw adres contactpersoon [optioneel] meesturen met verdachte bestanden. Dit kan worden gebruikt om contact met u op te nemen als meer informatie nodig is voor de analyse. U zult geen antwoord van ESET ontvangen, tenzij nadere informatie nodig is voor de analyse. 132

133 Statistieken Het ThreatSense.Net vroegtijdig waarschuwingssysteem verzamelt anonieme informatie over uw computer met betrekking tot nieuw gedetecteerde bedreigingen. Bij deze informatie kan het gaan om de naam van de infiltratie, de datum en het tijdstip waarop deze is gedetecteerd, de versie van het ESET-beveiligingsproduct, de versie van uw besturingssysteem en de locatie-instelling. De statistische gegevens worden gewoonlijk een- of tweemaal per dag naar de servers van ESET verzonden. Hieronder ziet u een voorbeeld van een verzonden statistisch pakket: # # # # # # # # # utc_time= :21:28 country="slovakia" language="english" osver= NT engine=5417 components= moduleid=0x4e4f4d41 filesize=28368 filename=c:\documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1 Wanneer te versturen: u kunt definiëren wanneer statistische informatie wordt verzonden. Als u kiest voor Zo spoedig mogelijk, worden statistische gegevens verzonden onmiddellijk nadat die zijn aangemaakt. Deze instelling is geschikt als een permanente internetverbinding beschikbaar is. Als de optie Tijdens update is geselecteerd worden statistische gegevens verzameld en verzonden tijdens de volgende update. 133

134 Verzending U kunt selecteren hoe bestanden en statistische informatie naar ESET worden verzonden. Selecteer de optie Via Remote Administrator of rechtstreeks naar ESET om bestanden en statistische gegevens op elke beschikbare manier te verzenden. Selecteer de optie Via Remote Administrator om bestanden en statistische gegevens naar de externe beheerserver te verzenden, die vervolgens zorg draagt voor verzending naar het bedreigingslaboratorium van ESET. Als de optie Rechtstreeks naar ESET wordt geselecteerd, worden alle verdachte bestanden en statistische gegevens rechtstreeks vanuit het programma naar het viruslaboratorium van ESET verzonden. Wanneer er bestanden in afwachting van verzending zijn, is de knop Nu versturen actief. Klik op deze knop om bestanden en statistische gegevens direct te verzenden. Selecteer de optie Logboekregistratie inschakelen om een logbestand bij te houden van de verzending van bestanden en statistische gegevens. 134

135 4.12 Extern beheer ESET Remote Administrator (ERA) is een krachtig hulpmiddel voor het beheren van beveiligingsbeleid en voor het verkrijgen van een overzicht van de algehele beveiliging binnen een netwerk. Het is met name handig bij gebruik in grotere netwerken. ERA leidt niet alleen tot een hoger beveiligingsniveau, maar biedt bovendien extra gebruiksgemak bij het beheer van ESET Mail Security op clientwerkstations. Instellingsopties voor extern beheer zijn beschikbaar vanuit het hoofdvenster van ESET Mail Security. Klik op Instellingen > Volledige structuur voor geavanceerde instellingen invoeren > Overige > Extern beheer. Activeer extern beheer door de optie Verbinding maken met server voor extern beheer te selecteren. U kunt vervolgens toegang krijgen tot de overige opties die hieronder worden beschreven: Interval tussen verbindingen met server (min.): hiermee wordt aangegeven hoe vaak ESET Mail Security verbinding maakt met de ERA-server. Als deze waarde is ingesteld op 0, wordt elke 5 seconden informatie verzonden. Serveradres: netwerkadres van de server waarop de ERA-server is geïnstalleerd. Poort: Dit veld bevat een vooraf gedefinieerde serverpoort die wordt gebruikt om verbinding te maken. Wij adviseren u de instelling van standaardpoort 2222 ongewijzigd te laten. Remote Administrator server vereist verificatie: hier kunt u indien nodig een wachtwoord voor verbinding met de ERA-server invoeren. Klik op OK om de wijzigingen te bevestigen en de instellingen toe te passen. Deze instellingen worden in ESET Mail Security gebruikt voor de verbinding met de ERA-server. 135

136 4.13 Licenties Met de vertakking Licenties kunt u de licentiesleutels beheren voor ESET Mail Security en andere ESET-producten zoals ESET Mail Security. Na de aanschaf worden licentiecodes samen met uw gebruikersnaam en wachtwoord verstrekt. U kunt een licentiesleutel toevoegen of verwijderen door in het venster voor licentiebeheer op de bijbehorende knop te klikken. De functie voor licentiebeheer is bereikbaar via de geavanceerde instellingen onder Overige > Licenties. De licentiesleutel is een tekstbestand met informatie over het aangeschafte product: de eigenaar, het aantal licenties en de vervaldatum. In het venster voor licentiebeheer kan de gebruiker de inhoud van een licentiesleutel uploaden en bekijken met behulp van de knop Toevoegen. De beschikbare informatie wordt weergegeven in licentiebeheer. U kunt licentiebestanden verwijderen uit de lijst door op Verwijderen te klikken. Als een licentiesleutel is verlopen en u wilt verlengen, klikt u op de knop Bestellen. U wordt dan omgeleid naar onze onlinewinkel. 136