1 Niechciane wiadomo Niechciane wiadomo ś ś ci ci – – obrona przed obrona przed spamem spamem przy pomocy przy pomocy Exchange 2007 i MS Exchange 2007 i MS Forefront Security Forefront Security Pozna Pozna ń ń , , 19 19 . . 11 11 .2008 .2008 dr Maciej dr Maciej Mi Mi ł ł ostan ostan Zesp Zesp ó ó ł ł Bezpiecze Bezpiecze ń ń stwa PCSS stwa PCSS
90
Embed
Niechciane wiadomości - obrona przed spamem …security.psnc.pl/files/szkolenia/MIC_081119.pdf11 Niechciane wiadomo ści – obrona przed spamem przy pomocy Exchange 2007 i MS Forefront
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
11
Niechciane wiadomoNiechciane wiadomośści ci ––
obrona przedobrona przed spamemspamem przy pomocy przy pomocy
Exchange 2007 i MSExchange 2007 i MS Forefront SecurityForefront Security
11:00 – Rozpoczęcie, powitanie uczestników, informacje
organizacyjne
11:05 – Poznajmy się: czym jest PCSS i MIC?
11:15 – Niechciane wiadomości (cz. 1) - obrona przed spamem:
architektura systemu pocztowego a role serwerów Microsoft
Exchange 2007
12:00 – Przerwa
12:10 – Niechciane wiadomości (cz. 2) – obrona przed spamem:
mechanizmy filtracji a Microsoft Forefront Security 2007
12:50 – Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia
13:00 – Zakończenie
11:00 11:00 –– RozpoczRozpoczęęcie, powitanie uczestnikcie, powitanie uczestnikóów, informacje w, informacje
organizacyjneorganizacyjne
11:05 11:05 –– Poznajmy siPoznajmy sięę: czym jest PCSS i MIC?: czym jest PCSS i MIC?
11:15 11:15 –– Niechciane wiadomoNiechciane wiadomośści (cz. 1) ci (cz. 1) -- obrona przedobrona przed spamemspamem: :
architektura systemu pocztowego a role serwerarchitektura systemu pocztowego a role serweróów Microsoft w Microsoft
Exchange 2007Exchange 2007
12:00 12:00 –– PrzerwaPrzerwa
12:10 12:10 –– NNiechciane wiadomoiechciane wiadomośści (cz. 2) ci (cz. 2) –– obrona przedobrona przed spamemspamem: :
mechanizmy filtracji a Microsoftmechanizmy filtracji a Microsoft Forefront SecurityForefront Security 20072007
12:50 12:50 –– Podsumowanie, dyskusja, zaproszenie na kolejne szkoleniaPodsumowanie, dyskusja, zaproszenie na kolejne szkolenia
13:00 13:00 –– ZakoZakońńczenieczenie
33
Informacje organizacyjneInformacje organizacyjneInformacje organizacyjne
Ankieta
Krótka i anonimowa
Pomoc na przyszłość
Lista obecności
Proszę zaznaczyć, czy chcecie Państwo otrzymywaćinformacje o kolejnych szkoleniach
Prezentacja – dostępna na stronach WWW
http://mic.psnc.pl
http://szkolenia.man.poznan.pl
http://security.psnc.pl
Webcast
Wyjątkowo brak – jesteście Państwo wybrani ;)
AnkietaAnkieta
KrKróótka i anonimowatka i anonimowa
Pomoc na przyszPomoc na przyszłłoośćść
Lista obecnoLista obecnośścici
ProszProszęę zaznaczyzaznaczyćć, czy chcecie Pa, czy chcecie Pańństwo otrzymywastwo otrzymywaććinformacje o kolejnych szkoleniachinformacje o kolejnych szkoleniach
Prezentacja Prezentacja –– dostdostęępna na stronach WWWpna na stronach WWW
PoznaPoznańńskie Centrum skie Centrum SuperkomputerowoSuperkomputerowo--SiecioweSieciowe
Politechnika PoznaPolitechnika Poznańńskaska
http://http://micmic..psncpsnc..plpl
88
Cele i zadania MICCele i zadania MICCele i zadania MICWybrane cele MICWybrane cele MIC
Edukacja poprzez zdalne udostEdukacja poprzez zdalne udostęępnianie aplikacji MSpnianie aplikacji MS
Szybszy rozwSzybszy rozwóój lokalnych firm (Mj lokalnych firm (MŚŚP) poprzez doradztwo w zakresie P) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczepodnoszenia poziomu bezpieczeńństwa teleinformatycznego,stwa teleinformatycznego, audytyaudytyoraz szkoleniaoraz szkolenia
Poprawa dostPoprawa dostęępu i jakopu i jakośści usci usłług medycznych w Wielkopolsce ug medycznych w Wielkopolsce
ŁŁatwy i bezpieczny dostatwy i bezpieczny dostęęp do ep do e--ususłług w urzug w urzęędachdach
GGłłóówne zadania MIC w roku 2008wne zadania MIC w roku 2008
UsUsłługiugi hostingowehostingowe dla edukacji, instytucji charytatywnych i dla edukacji, instytucji charytatywnych i uużżytkownikytkownikóów indywidualnychw indywidualnych
Szkolenia w zakresie bezpieczeSzkolenia w zakresie bezpieczeńństwa ITstwa IT
RozwRozwóój systemuj systemu telekonsultacjitelekonsultacji medycznych medycznych „„TelesforTelesfor””
Badania nad technologiBadania nad technologiąą SilverlightSilverlight 2.02.0
Architektura zbieżna z przedstawionym modelem sytemu pocztowego
W stosunku do Exchange 2003 nowe role serwerów
Nowe wbudowane funkcje antyspamowe i antywirusowe
Nowa rodzina produktów rozszerzających możliwości antywirusowe i antyspamowe
Model administracji oparty na rolach. Jeden serwer może pełnić kilka ról lub funkcjonalność może byćrozdzielona pomiędzy serwery
Architektura zbieżna z przedstawionym modelem sytemu pocztowego
W stosunku do Exchange 2003 nowe role serwerów
Nowe wbudowane funkcje antyspamowe i antywirusowe
Nowa rodzina produktów rozszerzających możliwości antywirusowe i antyspamowe
Model administracji oparty na rolach. Jeden serwer może pełnić kilka ról lub funkcjonalność może byćrozdzielona pomiędzy serwery
Microsoft Exchange 2007Microsoft Exchange 2007
38
Nowości w wersji 2007Nowości w wersji 2007
39
Hub Transport
Edge Transport
Dostęp kliencki
Zarządzanie skrzynkami (Mailbox Server)
Unified Messaging
Hub Transport
Edge Transport
Dostęp kliencki
Zarządzanie skrzynkami (Mailbox Server)
Unified Messaging
Role serwerów ExchangeRole serwerów Exchange
40
Architektury serwerów i środowiska (Elastyczna i skalowalna infrastruktura )Architektury serwerów i środowiska (Elastyczna i skalowalna infrastruktura )
Internet
Data tierMiddle tierUser tier
Hub Transport
Office Outlook Web Access
Exchange ActiveSyncOutlook Anywhere
Unified Messaging
Telephone
Edge Transport
Client Access
Mailbox
Mailbox
Mailbox
SMTP host
MS
Exc
hang
e 20
07D
esig
n an
d A
rchi
tect
ure
w M
icro
soft
41
Edge TransportEdge Transport
42
Edge Transport – wymagania konfiguracyjneEdge Transport – wymagania konfiguracyjne
Musi być zainstalowany na komputerze wolnostojącym,
Musi mieć ustaloną nazwę DNS (FQDN),
Powinien być umieszczony w sieci DMZ,
Wymagana jest odpowiednia konfiguracja zapory sieciowej,
Nie jest członkiem domeny, lecz wykorzystujeActive Directory Application Mode (ADAM)
Musi być zainstalowany na komputerze wolnostojącym,
Musi mieć ustaloną nazwę DNS (FQDN),
Powinien być umieszczony w sieci DMZ,
Wymagana jest odpowiednia konfiguracja zapory sieciowej,
Nie jest członkiem domeny, lecz wykorzystujeActive Directory Application Mode (ADAM)
42
43
Edge Transport – wymagania konfiguracyjneEdge Transport – wymagania konfiguracyjne
Jeśli Edge transport dostarcza pocztębezpośrednio do Internetu, to musi miećmożliwość rozwiązywania nazw zewnętrznych domen pocztowych,
Publiczna domena DNS musi posiadać rekord MX wskazujący na serwer Edge Transport.
Jeśli Edge transport dostarcza pocztębezpośrednio do Internetu, to musi miećmożliwość rozwiązywania nazw zewnętrznych domen pocztowych,
Publiczna domena DNS musi posiadać rekord MX wskazujący na serwer Edge Transport.
43
44
Edge transport – porty na firewalluEdge transport – porty na firewalluZapora sieciowa Reguła Opis
Zewnętrzna Port 25 dostepny ze wszystkichzewnetrznych adresów IP
Wymagany dla dostarczania poczty z Internetu
Zewnętrzna Port 25 dostepny z EdgeTransport do wszystkichzewnetrznych adresów IP
Wymagany do wysyłania poczty nazewnatrz organizacji
Zewnętrzna Port 53 z Edge Transport do wszystkich zewnetrznych IP
Konieczny dorozwiazywania nazw DNS
Wewnętrzna Port 25 dostepny z Edge Transport do serwerów Hub Transport
Przesłanie poczty przychodzacej do serwerów Hub Transport
Wewnętrzna Port 25 dostepny z serwerów Hub T. do serwera Egde T.
Przesłanie poczty wychodzacej doInternetu
Wewnętrzna Port 50636 z serwerów Hub Transport do serwera Egde
LDAPS dla EdgeSync
Wewnętrzna 3389 z sieci wew. do serwera EdgeTransport
Zdalna administracja (RDP) 44
45
46
Exchange Server 2007 – funkcje ochronyExchange Server 2007 – funkcje ochrony
`
15. User Safe /Blocked Sender
Lists andStore Threshold
Internet
1. Connection Filtering
Edge TransportServer
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
Hub TransportServer
14. Virus Scanning
Mailbox Server
19. Antivirus SoftwareReal -time scanning
Outlook 2007Client
18. Attachment and Web Beacon Blocking
Inbox Junk E -mail
17. Client-Side Spam Filtering
16. Outlook Client Version Control
6. Protocol Analysis
8. Rule Processing
9. Content Filtering
10. Attachment Filtering
11. Virus Scanning
7. Header Filtering
13. Message Journaling
12. Rules Processing
E-Mail Postmarks
Active Directory
Safe Recipients Lists , Safe Senders Lists , and
External Contacts
SafelistAggregation
Exchange ADAM
Hashed Recipient and Safe Senders Information
EdgeSync
`
15. User Safe /Blocked Sender
Lists andStore Threshold
Internet
1. Connection Filtering
Edge TransportServer
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
Hub TransportServer
14. Virus Scanning
Mailbox Server
19. Antivirus SoftwareReal -time scanning
Outlook 2007Client
18. Attachment and Web Beacon Blocking
Inbox Junk E -mail
17. Client-Side Spam Filtering
16. Outlook Client Version Control
6. Protocol Analysis
8. Rule Processing
9. Content Filtering
10. Attachment Filtering
11. Virus Scanning
7. Header Filtering
13. Message Journaling
12. Rules Processing
E-Mail Postmarks
Active Directory
Safe Recipients Lists , Safe Senders Lists , and
External Contacts
SafelistAggregation
Exchange ADAM
Hashed Recipient and Safe Senders Information
EdgeSync
47
48
Prosta organizacja (z pojedynczym serwerem)Prosta organizacja (z pojedynczym serwerem)
Brak moŜliwo ści skorzystania z dobrodziejstw roli EdgeTransport
49
Rozwiązania antyspamowe oferowane przez firmę MicrosoftRozwiązania antyspamowe oferowane przez firmę Microsoft
Próbka kilku milionów e-mail pozyskanych od klientów i partnerów Microsoft
Technologia opatentowana przez MicrosoftResearch
Nie wiele danych dot. samego algorytmu
Intensywnie wdrażane w produktach MS od 2003 roku jako remedium na problem spamu
Maszynowe uczenie Klasyfikator probabilistyczny
Próbka kilku milionów e-mail pozyskanych od klientów i partnerów Microsoft
Technologia opatentowana przez MicrosoftResearch
Nie wiele danych dot. samego algorytmu
Intensywnie wdrażane w produktach MS od 2003 roku jako remedium na problem spamu
Microsoft SmartScreenMicrosoft SmartScreen
52
Bill Gates o SmartScreenBill Gates o SmartScreen
"We are making progress with new software derived from advanced work in the field of machine learning -- the design of systems that learn from data and grow smarter over time. The software learns from a vast and continually growing archive of e-mail provided by nearly 200,000 of our e-mail customers who have volunteered to classify millions of messages as legitimate or not. This feedback enables us to identify spam with unprecedented precision based on key words, message structure, even the time it was sent -- more than 500,000 characteristics in all. Early reports have indicated that this Microsoft SmartScreen technology is blocking as much as 95 percent of spam, and we expect it to get even smarter as it learns from a continuing flow of feedback.
Washington Post, 24 Listopad 2003r
"We are making progress with new software derived from advanced work in the field of machine learning -- the design of systems that learn from data and grow smarter over time. The software learns from a vast and continually growing archive of e-mail provided by nearly 200,000 of our e-mail customers who have volunteered to classify millions of messages as legitimate or not. This feedback enables us to identify spam with unprecedented precision based on key words, message structure, even the time it was sent -- more than 500,000 characteristics in all. Early reports have indicated that this Microsoft SmartScreen technology is blocking as much as 95 percent of spam, and we expect it to get even smarter as it learns from a continuing flow of feedback.
Washington Post, 24 Listopad 2003r 52
53
Próba kontroli fałszowanych e-maili
Daje możliwość specyfikowania legitymowanych źródeł poczty
Implementowany jako rekordy DNS-owe
Protokół opracowany przez grupę ochotników
Rozwijany od 2003 roku
Sender ID Framework SPF Record Wizard
RFC 4408
Sender ID Business Value White Paper
Próba kontroli fałszowanych e-maili
Daje możliwość specyfikowania legitymowanych źródeł poczty
Weryfikuje tylko „poprawność domeny”, nie dostarcza wiedzy o użytkownikach
Sprawdza “ostatni krok” a nie pełną ścieżkę
Istnieją domeny spamerskie
Przydatne w budowaniu „reputacji domeny”
Weryfikuje tylko „poprawność domeny”, nie dostarcza wiedzy o użytkownikach
Sprawdza “ostatni krok” a nie pełną ścieżkę
Istnieją domeny spamerskie
Przydatne w budowaniu „reputacji domeny”
59
Sender IDSender ID
60
The Content Filter agent is one of several anti-spam agents. When you configure anti-spam agents on a computer that has the Edge Transport server role installed, the agents act on messages cumulatively to reduce the amount of spam that enters the organization. For moreinformation about how to plan and deploy anti-spam agents, see Anti-Spam and Antivirus Functionality.
The Content Filter agent assigns a spam confidence level (SCL) rating to each message. The SCL rating is a number between 0 and 9. A higher SCL rating indicates that a message is more likely to be spam.
You can configure the Content Filter agent to take the following actions on messages according to their SCL rating:
Delete message
Reject message
Quarantine message
The Content Filter agent is one of several anti-spam agents. When you configure anti-spam agents on a computer that has the Edge Transport server role installed, the agents act on messages cumulatively to reduce the amount of spam that enters the organization. For moreinformation about how to plan and deploy anti-spam agents, see Anti-Spam and Antivirus Functionality.
The Content Filter agent assigns a spam confidence level (SCL) rating to each message. The SCL rating is a number between 0 and 9. A higher SCL rating indicates that a message is more likely to be spam.
You can configure the Content Filter agent to take the following actions on messages according to their SCL rating:
Delete message
Reject message
Quarantine message
Content Filter agentContent Filter agent
61
Zabezpieczenie anty-spamowe aktywowane na serwerze Microsoft Exchange Server 2007 pełniącego rolę Edge Transport
Blokuje wiadomości w oparciu o cechy charakterystyczne dla nadawcy
Używa miary SRL (Sender Reputation Level)określającej poziom zaufania nadawcy
Proces odpowiedzialny za wyliczanie miary SRL zbiera dane statystyczne
Zabezpieczenie anty-spamowe aktywowane na serwerze Microsoft Exchange Server 2007 pełniącego rolę Edge Transport
Blokuje wiadomości w oparciu o cechy charakterystyczne dla nadawcy
Używa miary SRL (Sender Reputation Level)określającej poziom zaufania nadawcy
Proces odpowiedzialny za wyliczanie miary SRL zbiera dane statystyczne
Miara Sender Reputation LevelMiara Sender Reputation Levelwyliczana na podstawie następujących statystyk:
analiza HELO/EHLO (adres IP podawany=IP inicjatora połączenia; liczba różnych domen z danego adresu IP powinna być relatywnie mała; wiele różnych nazw w krótkim czasie=spammer)
Analiza zapytań odwrotnych do DNS (Reverse DNS lookup)
SRL – liczba od 0-9 wyliczona na podstawie ważonych wyników powyższych statystyk
Sender filter agent – Akcje: Reject, Delete and archive,Accept and mark as a blocked sender
wyliczana na podstawie następujących statystyk:
analiza HELO/EHLO (adres IP podawany=IP inicjatora połączenia; liczba różnych domen z danego adresu IP powinna być relatywnie mała; wiele różnych nazw w krótkim czasie=spammer)
Analiza zapytań odwrotnych do DNS (Reverse DNS lookup)
SRL – liczba od 0-9 wyliczona na podstawie ważonych wyników powyższych statystyk
Sender filter agent – Akcje: Reject, Delete and archive,Accept and mark as a blocked sender 62
63
W momencie wydania polecenia SMTP: MAIL FROM
Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filter agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that is persisted about that sender in the Edge Transport database. After this rating is retrieved and evaluated, the Edge Transport server configuration dictates the behavior that occurs at a particular connection according to the block threshold.
Po komendzie "end of data" protokołu SMTP
The end of data transfer (_EOD) SMTP command is given when all the actual message data is sent. At this point in the SMTP session, many of the anti-spam agents have processed the message. As a by-product of anti-spam processing, the statistics that sender reputation relies on are updated. Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.
W momencie wydania polecenia SMTP: MAIL FROM
Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filter agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that is persisted about that sender in the Edge Transport database. After this rating is retrieved and evaluated, the Edge Transport server configuration dictates the behavior that occurs at a particular connection according to the block threshold.
Po komendzie "end of data" protokołu SMTP
The end of data transfer (_EOD) SMTP command is given when all the actual message data is sent. At this point in the SMTP session, many of the anti-spam agents have processed the message. As a by-product of anti-spam processing, the statistics that sender reputation relies on are updated. Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.
Kiedy wykorzystać/obliczyć SRL? Kiedy wykorzystać/obliczyć SRL?
64
„Microsoft IP Reputation Service is an IP Block list service that is offered exclusively to Exchange 2007 customers”
„Microsoft IP Reputation Service is an IP Block list service that is offered exclusively to Exchange 2007 customers”
IP Reputation ServiceIP Reputation Service
65
Znacznik obliczany przez Outlook-a w trakcie wysyłania poczty na podstawie unikalnych elementów wiadomości tj. czasu wysłania i listy odbiorców
Celem jest spowolnienie mass-mailingu
Wiadomości w obrębie organizacji tj. do adresatów zawartych w Microsoft Exchange Global Address List (GAL) nie są znakowane
Po stronie odbiorcy znaczniki mogą być użyte przez oprogramowanie anytspamowe
Znacznik obliczany przez Outlook-a w trakcie wysyłania poczty na podstawie unikalnych elementów wiadomości tj. czasu wysłania i listy odbiorców
Celem jest spowolnienie mass-mailingu
Wiadomości w obrębie organizacji tj. do adresatów zawartych w Microsoft Exchange Global Address List (GAL) nie są znakowane
Po stronie odbiorcy znaczniki mogą być użyte przez oprogramowanie anytspamowe
Microsoft Office Outlook 2007 E-mail PostmarkMicrosoft Office Outlook 2007 E-mail Postmark
66
Antivirus stampAntivirus stampOgraniczenie wielokrotnego skanowania tej samej poczty w obrębie jednej organizacji
Jest dodawany gdy zachodzą warunki:Wiadomość została przeskanowana przez Forefront Security for Exchange Server z co najmniej jednym silnikiem antywirusowym(Antivirus stamp nie może być wykorzystywany w środowiskach mieszanych opartych o produkty zewnętrznych dostawców oprogramowania antywirusowego niezintegrowanych z Forefront Security for Exchange Server, ze względu na zasadę ograniczonego zaufania)
wirus nie został znaleziony lub wirus został usunięty a zmodyfikowana wiadomość ponownie zapisana przez Exchange-a
Ograniczenie wielokrotnego skanowania tej samej poczty w obrębie jednej organizacji
Jest dodawany gdy zachodzą warunki:Wiadomość została przeskanowana przez Forefront Security for Exchange Server z co najmniej jednym silnikiem antywirusowym(Antivirus stamp nie może być wykorzystywany w środowiskach mieszanych opartych o produkty zewnętrznych dostawców oprogramowania antywirusowego niezintegrowanych z Forefront Security for Exchange Server, ze względu na zasadę ograniczonego zaufania)
wirus nie został znaleziony lub wirus został usunięty a zmodyfikowana wiadomość ponownie zapisana przez Exchange-a
Forefront security dla Exchange 2007Forefront security dla Exchange 2007
67
68
Microsoft Forefront Security dla ExchangeInformacje ogólneMicrosoft Forefront Security dla ExchangeInformacje ogólne
Dawniej produkt znany pod nazwą Antigen for Exchange(Sybari Software przejęte w 2005r.)
Forefront Security for Exchange Server jest dedykowany do Exchange 2007!!!
Exchange 2000/2003 jest wspierany przez Antigen dlaExchangeLicencja Forefront daje prawo do używania wcześniejszych wersji oprogramowania Antigen (i vice versa)
Wersja produkcyjna jest 64-bit Wsparcie dla ról Exchange Edge Transport, Hub Transport i Mailbox/Public Folder
Auto-detekcja roli serwera Exchange
Dawniej produkt znany pod nazwą Antigen for Exchange(Sybari Software przejęte w 2005r.)
Forefront Security for Exchange Server jest dedykowany do Exchange 2007!!!
Exchange 2000/2003 jest wspierany przez Antigen dlaExchangeLicencja Forefront daje prawo do używania wcześniejszych wersji oprogramowania Antigen (i vice versa)
Wersja produkcyjna jest 64-bit Wsparcie dla ról Exchange Edge Transport, Hub Transport i Mailbox/Public Folder
Auto-detekcja roli serwera Exchange
69
Microsoft Forefront Security dla ExchangeInformacje ogólneMicrosoft Forefront Security dla ExchangeInformacje ogólne
Zawiera:Wiele silników antywirusowych (aktualnie 8), z których użytkownik wybiera 5
Liczba używanych antywirusów a wydajnośćLiczba używanych antywirusów a wydajność
Max Certainty: u Ŝywa wszystkich (100%)Favor Certainty: u Ŝywa wszystkich dost ępnych silnikówNeutral: u Ŝywa około 50% dost ępnych silnikówFavor Performance: u Ŝywa 25% dost ępnych silnikówMax Performance: u Ŝywa jednego silnika do ka Ŝdego skanu
Nie zawsze u Ŝywane s ą te same silniki , gdy Ŝstosuje si ę alokacj ędynamiczn ą z puli dost ępnych antywirusów
D
A C
DB
74
Liczba używanych antywirusów a wydajnośćLiczba używanych antywirusów a wydajność Nie zawsze u Ŝywane s ą te
same silniki , gdy Ŝstosuje si ę alokacj ędynamiczn ą z puli dost ępnych antywirusów
Max Certainty: u Ŝywa wszystkich (100%) Favor Certainty: u Ŝywa wszystkich dost ępnych silników
Neutral: u Ŝywa około 50% dost ępnych silnikówFavor Performance: u Ŝywa 25% dost ępnych silnikówMax Performance: u Ŝywa jednego silnika do ka Ŝdego skanu
D
A C
DB
75
Antivirus stamping – ruch wychodzącyAntivirus stamping – ruch wychodzący
76
Antivirus stamping – ruch przychodzącyAntivirus stamping – ruch przychodzący
76
77
Antivirus stamping – ruch wewnętrznyAntivirus stamping – ruch wewnętrzny
Znaczniki są analizowane przez kolejne AV i wykorzystane do podjęcia decyzji o skanowaniu lub pominięciu skanowania (jeśli pierwszy antywirus wykryje wirusa, to zwykle nie ma potrzeby dalej skanować)
MSFTFF: nazwa producenta AV (8 znaków); MSFTFF = Microsoft
1: numer wersji prducenta (32-bit unsigned integer); 1 = Microsoft
0 (VIRSCAN_NO_VIRUS): status (32-bit unsigned integer)
Info: opcjonalne informacje o wirusie (128 byte string)
Nagłówek X-header
Producenci AV znakują wyniki skanowania
Znaczniki są analizowane przez kolejne AV i wykorzystane do podjęcia decyzji o skanowaniu lub pominięciu skanowania (jeśli pierwszy antywirus wykryje wirusa, to zwykle nie ma potrzeby dalej skanować)
Dwa podstawowe mechanizmy skanowania:Skanowanie w momencie odczytu wiadomości
Inkrementalne skanowanie w tle
Skanowanie na żądanie
Trzy tryby:Podstawowy (default)
Zagrożenie infekcją (outbreak)
Maksymalne bezpieczeństwo (ultimate security)
Dwa podstawowe mechanizmy skanowania:Skanowanie w momencie odczytu wiadomości
Inkrementalne skanowanie w tle
Skanowanie na żądanie81
82
Tryb podstawowy (default mode)Tryb podstawowy (default mode)Nie są skanowane wiadomości zapisywane do skrzynki
Wiadomości są skanowane przy odczycie tylko jeśli nie były skanowane wcześniej (np. na serwerze Edge)
W praktyce skanowane są maile w folderze wiadomości wysłanych (Sent), pliki w folderach publicznych (Public Folders), oraz w skrzynce wiadomości wychodzących (Outbox)
Skanowanie periodyczne, codziennie, e-maili spełniających określone kryteria np. otrzymane w ciągu x godzin, starsze niż x dni, zawierające załączniki itp.
Nie są skanowane wiadomości zapisywane do skrzynki
Wiadomości są skanowane przy odczycie tylko jeśli nie były skanowane wcześniej (np. na serwerze Edge)
W praktyce skanowane są maile w folderze wiadomości wysłanych (Sent), pliki w folderach publicznych (Public Folders), oraz w skrzynce wiadomości wychodzących (Outbox)
Skanowanie periodyczne, codziennie, e-maili spełniających określone kryteria np. otrzymane w ciągu x godzin, starsze niż x dni, zawierające załączniki itp.
82
83
Tryb zagrożenia infekcjąTryb zagrożenia infekcją
Przy zapisie do skrzynkiWiadomości nie są skanowane
Przy pierwszym dostępieWiadomości są skanowane
Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update)
Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów
Jeden raz dziennie
Przy zapisie do skrzynkiWiadomości nie są skanowane
Przy pierwszym dostępieWiadomości są skanowane
Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update)
Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów
Jeden raz dziennie83
84
Tryb maksymalnego bezpieczeństwaTryb maksymalnego bezpieczeństwa
84
Przy zapisie do skrzynkiWiadomości są zawsze skanowane
Przy pierwszym dostępieWiadomości są skanowane jeśli silniki antywirusowe zostały zaktualizowane w międzyczasie
Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update) od momentu poprzedniego skanowania
Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów
Restartowane przy każdej aktualizacji skanerów
Przy zapisie do skrzynkiWiadomości są zawsze skanowane
Przy pierwszym dostępieWiadomości są skanowane jeśli silniki antywirusowe zostały zaktualizowane w międzyczasie
Przy kolejnych dostępachWiadomości są skanowane jeśli chociaż jedna baza wirusów uległa zmianie (Włączona opcja Scan on Scanner Update) od momentu poprzedniego skanowania
Skanowanie w tleSkanowane są wszystkie wiadomości w zależności od parametrów