第10章 郵件病毒

郵件病毒讓人防不勝防,對於熟悉病毒運作原理的網管人員,接收到有疑慮的郵件時,例如特殊的圖片、網址超連結、*.exe..等檔案,
通常不會貿然點選,因此感染病毒的機率較小。但是對於一般的使用者不見得有這樣的警覺,所以在郵件中提供掃毒服務是很重要的。
郵件歸檔伺服器具有病毒郵件過濾功能,不論是閘道器或是 POP3 代收模式,都可以啟用。
內建有 2 套掃毒引擎,ClamAV(免費)跟 Kaspersky(付費),預設會啟用 ClamAV 掃毒引擎,
當管理者匯入 Kaspersky 的授權碼,就可啟用 Kaspersky 掃毒引擎。

10-1、基本設定

系統內建 2 套防毒引擎,ClamAV 跟 Kaspersky,其中 Kaspersky 必須先上傳授權碼才能啟用。
管理者可以啟用其中之一或都啟用,若二者皆為啟用狀態,系統會先執行 ClamAV 再執行 Kaspersky。
• 郵件掃毒設定
郵件伺服器預設使用 ClamAV 掃毒引擎;另外提供一套商業版的掃毒軟體機制 — Kaspersky ,只要購買使用版權,匯入資料就可以使用。
掃毒引擎設定

Fig. 152 掃毒引擎設定

【郵件掃毒功能】:是否在郵件歸檔伺服器啟用掃毒功能,閘道器跟 POP3 代收模式都可以啟用。
【掃毒引擎】:選擇要使用的掃毒引擎,目前郵件伺服器內建 ClamAV 及 Kaspersky 兩套掃毒引擎。
ClamAV:系統預設的掃毒引擎,不需要費用,定時更新病毒碼。
Kaspersky:需要另外購買使用版權,以使用人數及時間計算費用,定時更新病毒碼。
【不掃描的附件副檔名】:建立不執行掃描的附件副檔名,增加郵件處理的速度。
例如:不掃描圖形檔(jpg、jpeg、gif、bmp)、影片檔(avi、dat、mpeg、mpg、mp3、mid、wav、rm)。
【掃描附件檔案的最大容量】:當附件檔超過設定容量後,掃毒引擎將不會掃描此附件。設定數值需大於 0 KB,建議數值為 640 KB。
當掃描檔案越大,所耗用的系統效能越重。
• 中毒郵件處理方式
設定發現中毒郵件時的處理方式為何。
中毒郵件處理

Fig. 153 中毒郵件處理

【中毒郵件不歸檔】:啟用後,中毒的郵件就不會歸檔,關閉則代表中毒的郵件會歸檔存在郵件歸檔伺服器的資料庫中。
【中毒郵件轉到隔離區】:是否將中毒的郵件直接轉到隔離區,收件者就不會收到這封郵件及通知信。
【中毒郵件副檔名改為】:更改中毒郵件夾帶的附件檔案副檔名。
【中毒郵件通知信主旨】:如果沒有選擇將中毒郵件轉到隔離區,掃毒軟體判斷出郵件中毒後,這封信仍會送給收件者。
在主旨加上此設定的文字,提醒收件者這封信件含有病毒。
• 無法掃描郵件處理方式
無法掃描郵件處理方式

Fig. 154 無法掃描郵件處理方式

【無法掃描郵件轉到隔離區】:啟用後,無法掃描的郵件會轉到隔離區,收件者不會收到這封郵件及通知信。
【增加垃圾郵件分數】:針對無法掃描的郵件,增加其垃圾郵件分數。
【無法掃描郵件副檔名改為】:將無法掃描的郵件中的附件檔副檔名改為此設定值。
【無法掃描郵件通知信主旨】:如果沒有選擇將無法掃描郵件轉到隔離區,這封信仍會發送給收件者。
在主旨加上此設定的文字,提醒收件者這封信件未完成掃毒。

10-2、掃毒設定

• ClamAV 掃毒引擎設定
ClamAV 全名是 Clam AntiVirus,它跟 Linux 一樣強調公開程式碼、免費授權等觀念。
ClamAV 24 小時更新及維護病毒資料庫,任何人發現可疑病毒都可以隨時聯繫 ClamAV,立刻更新病毒碼。
ClamAV 掃毒引擎

Fig. 155 ClamAV 掃毒引擎

【ClamAV 掃毒引擎目前狀態】:預設啟用 ClamAV 掃毒引擎,可以在「郵件病毒 > 基本設定」切換掃毒引擎設定。
【掃毒引擎版本】:顯示掃毒引擎目前使用的引擎版本。
【病毒碼】:點選 image258 就可以馬上跟病毒碼更新伺服器更新最新的病毒碼。
【病毒碼自動更新時間】:設定病毒碼自動更新的間隔時間,支援單位 天(d)/小時(h)/分鐘。
例如:2h/30 代表 2小時 30 分,系統每隔 2 小時 30 分鐘會自動到網路上更新病毒碼。
【病毒碼更新主機】:可以自選病毒碼更新主機,依照郵件歸檔伺服器所在的國家選擇最快的病毒更新引擎,選擇後需要按下套用的按鍵才會生效。
【ClamAV 病毒碼更新紀錄】:所有的更新過程都會被記錄下來,可以查看更新後增加了哪些病毒碼。也可將更新紀錄全部清除掉。
• Kaspersky 掃毒引擎設定
選擇郵件防毒軟體時,有時候考慮的不只是費用問題,也牽涉到使用者對產品的信心。
考量到這個問題,郵件歸檔伺服器預先安裝了商業運轉的防毒程式 — Kaspersky。
授權以使用者數量計算,只要將指定的授權檔案上傳到郵件歸檔伺服器並完成啟用,防護功能就會自動啟用。
Kaspersky 掃毒引擎

Fig. 156 Kaspersky 掃毒引擎

【Kaspersky 掃毒引擎目前狀態】:Kaspersky 掃毒引擎目前是否啟用。可以在「郵件病毒 > 基本設定」切換掃毒引擎設定。
【掃毒引擎版本】:顯示掃毒引擎目前使用的引擎版本。
【檢查掃毒引擎版本更新】:當系統偵測到有新的掃毒引擎版本後,會顯示「有更新可供使用」,點選執行下載並更新後就會自動下載軟體並安裝。
【授權狀態】:顯示目前掃毒引擎的授權狀態。
【病毒碼】:點選 image258 就可以馬上跟病毒碼更新伺服器更新最新的病毒碼。
【病毒碼自動更新時間】:設定病毒碼自動更新的間隔時間,支援單位 天(d)/小時(h)/分鐘。
例如:2h/30 代表 2小時 30 分,系統每隔 2 小時 30 分鐘會自動到網路上更新病毒碼。
【病毒碼離線更新】:當無法線上更新病毒碼時,可以聯絡您的服務廠商取得離線資料庫檔案,並將其儲存到 USB 裝置中後插入設備上執行更新。
【Kaspersky 病毒碼更新紀錄】:所有的更新過程都會被記錄,可以查看每次的更新增加了哪些病毒碼。也可將更新紀錄全部清除掉。
【上傳 Kaspersky 版權文件】:上傳授權文件後才能啟用引擎。
【加入 Kaspersky 安全網路】: 選擇是否加入 Kaspersky 安全網路。將滑鼠移至啟用開關後,可查看聲明內容。
【Kaspersky 安全網路連結狀態】:與 Kaspersky 安全網路的連線中斷有可能是因為未啟用加入 Kaspersky 安全網路,或伺服器未連線到網際網路。

10-3、病毒郵件通知清單設定

任何郵件,只要被郵件歸檔伺服器的病毒引擎攔下來,不論後續的處理動作,系統會定期的發送曾經被攔下的病毒郵件清單給系統管理者或是原本的收件者,這些清單的寄送是由管理者決定。
(一)、管理者病毒隔離郵件清單
管理者病毒隔離清單預設是關閉。
管理者病毒清單

Fig. 157 管理者病毒清單

【管理者病毒隔離郵件清單】:
預設是關閉,啟用後,系統會將所有被病毒引擎判斷為中毒的郵件,以清單的方式寄給指定的收件者,這些收件者必須有管理者權限
如果在設定的時間內沒有任何中毒郵件,則這病毒清單郵件將不會發送。
【傳送時間】:
2種設定模式,一個是指定時間另一個是設定間隔時間後週期性的發送,當有中毒郵件且在表定的時間內,系統就會發送出這些通知清單郵件
設定間隔時間格式以天(d)/小時(h)/分,其中d及h分別是day 跟hour 的代表符號,例如,2h/30 代表 2小時30分,每2小時30分會傳送通知信。
【病毒隔離郵件清單的主旨】:發出中毒通知信的主旨,例如,Virus Mail List。
【接收病毒隔離郵件清單的管理者】:點選後就可以選擇要收到通知郵件的管理者帳號。這些帳號都是預先建立在使用者群組中,且具有管理者權限者。
(二)、使用者病毒隔離郵件清單
使用者病毒隔離清單預設是關閉。
使用者病毒清單

Fig. 158 使用者病毒清單

【使用者病毒隔離郵件清單】:預設是關閉,啟用後,系統會將所有中毒的郵件,以清單的方式寄給原本的收件者,如果在設定的時間內沒有任何中毒郵件,則這封清單郵件將不會發送。
【傳送時間】:
2 種設定模式,一個是指定時間另一個是設定間隔時間後週期性的發送,當有中毒郵件且在表定的時間內,系統就會發送出這些通知清單郵件
設定間隔時間格式以天(d)/小時(h)/分,其中d及h分別是day 跟hour 的代表符號,例如,2h/30 代表 2小時30分,每2小時30分會傳送通知信。
【病毒隔離郵件清單的主旨】:發出中毒通知信的主旨,例如,Virus Mail List。
【不接收病毒隔離郵件清單者】:點選後就可以選擇不要收到通知郵件的使用者帳號,除了這一些指定不接收者不會收到外,其他中毒郵件的收件者都會收到通知郵件,空白代表所有中毒郵件的收件者都會收到通知信。