第7章 郵件病毒過濾

郵件病毒讓人防不勝防,雖然對於熟悉病毒運作原理的網管人員,接收到有疑慮的郵件時,例如特殊的圖片、網址超連結、*.exe 等檔案,
通常不會貿然點選,感染病毒的機會就少很多。
但是對於大部分的使用者而言,要分辨正常跟有問題的電腦執行檔或網址超連結,是一件相對困難的事,往往點選或是執行後才發現問題,
這時候就靠本身電腦防毒軟體抵擋最後一關,如果也擋不住,就只能求助於網管人員了。
郵件伺服器X 的防毒功能,就是避免上述的情況發生,有問題的郵件一進入郵件伺服器後,藉由內部 2 套郵件病毒過濾軟體,ClamAV(免費)及 Kaspersky(付費),
將有問題的郵件隔離,不送至使用者的郵箱,當然就降低感染病毒的機會。

Tip

影片參考|眾至MS教學 郵件病毒過濾機制

7-1、基本設定

内建兩套防毒引擎機制,一套免費的掃毒軟體 ClamAV,它是 Linux 作業系統的防毒軟體,可以自行設定病毒碼的更新時間,自動檢查最新病毒碼。
另一套是須付費的 Kaspersky 卡巴斯基,目前是 Linux 上使用最普遍的掃毒軟體,授權以使用者數量及時間計算,只要將授權檔案上傳到郵件伺服器就可啟用。
• 郵件掃毒設定
郵件伺服器預設使用 ClamAV 掃毒引擎;另外提供一套商業版的掃毒軟體機制 — Kaspersky ,只要購買使用版權,匯入資料就可以使用。
郵件掃毒基本設定

圖7-1 郵件掃毒基本設定

【郵件掃毒功能】: 是否啟動郵件掃毒功能。啟動後會比較耗費郵件伺服器的硬體資源,如 CPU、RAM 等,
如果整個網路環境已經建立類似防毒牆的郵件閘道器來專責掃毒,則此項功能可以關閉。
【掃毒引擎】: 選擇要使用的掃毒引擎是 ClamAV 、 Kaspersky 或兩者皆使用。選擇兩者皆使用,郵件處理會先執行 ClamAV 再執行 Kaspersky。
ClamAV:系統預設的掃描系統,不需要費用,定時更新病毒碼。
Kaspersky:需要另外購買使用版權,以使用人數及時間計算費用,定時更新病毒碼。
【不掃描的附件副檔名】: 建立不執行掃描的附件副檔名,增加郵件處理的速度。每一筆為一行。
【掃描附件檔案的最大容量】: 當附件檔案的容量大於設定值就不進行掃毒動作。設定數值需大於 0 KB,建議數值為 640 KB。
當掃描檔案越大,所耗用的系統效能越重。
• 中毒郵件處理方式
當掃描發現中毒信件時的處理方式。
中毒郵件處理方式設定

圖7-2 中毒郵件處理方式設定

【中毒的信件轉到隔離區】: 自動將中毒郵件轉到隔離區中,使用者將不會收到這一封信件,也不會收到通知信。
【中毒郵件副檔名改為】: 更改中毒郵件夾帶的附件檔案副檔名。
【清除中毒郵件的附件內容】: 清除中毒郵件夾帶的附件內容。
【中毒郵件通知信主旨】: 如果沒有選擇將中毒郵件轉到隔離區,掃毒軟體判斷出郵件中毒後,這封信仍會送給收件者。
在主旨加上此設定的文字,提醒收件者這封信件含有病毒。
•無法掃描郵件處理方式
當掃描發現郵件無法掃描時的處理方式,郵件附件無法掃描原因,可能是附件被加密、附件檔案 Size 大小超過系統可掃描的範圍。
無法掃描郵件處理方式設定

無法掃描郵件處理方式設定

【無法掃描郵件轉到隔離區】: 自動將無法掃描郵件轉到隔離區中,使用者將不會收到這一封信件,也不會收到通知信。
【增加垃圾郵件分數】: 判斷無法掃描郵件對此郵件增加垃圾郵件分數
【無法掃描郵件副檔名改為】: 更改無法掃描郵件的附件副檔名,避免收件者混淆
【無法掃描郵件通知信主旨】: 如果沒有選擇將無法掃描郵件轉到隔離區,掃毒軟體判斷出無法掃描後,這封信仍會送給收件者。
在主旨加上此設定的文字,提醒收件者這封信件無法掃描。

7-2、掃毒設定

• ClamAV 掃毒引擎設定
ClamAV 全名是 Clam AntiVirus,它跟 Linux 一樣強調公開程式碼、免費授權等觀念,
ClamAV 24 小時更新及維護病毒資料庫,任何人發現可疑病毒也可以隨時聯繫 ClamAV,立刻更新病毒碼。
ClamAV 掃毒引擎設定

圖7-3 ClamAV 掃毒引擎設定

【ClamAV 掃毒引擎目前狀態】: 預設啟用 ClamAV 掃毒引擎,可以在「郵件病毒過濾 > 基本設定」切換掃毒引擎設定。
【掃毒引擎版本】: 顯示掃毒引擎目前使用的版本。
【病毒碼】: 按下 image115 按鍵,立刻更新最新的病毒碼。
【病毒碼自動更新時間】: 設定每隔幾個小時自動更新病毒碼。
【病毒碼更新主機】: 選擇自動更新病毒碼的主機。
【ClamAV 病毒碼更新紀錄】: 所有的更新過程都會被記錄,可以查看每次的更新增加了哪些病毒碼。
【清除紀錄】: 按下【清除紀錄】按鍵,會將上面的更新紀錄全部清除掉。
• Kaspersky 掃毒引擎設定
選擇郵件防毒軟體時,有時候考慮的不只是費用問題,也牽涉到使用者對產品的信心。
考量到這個問題,所以郵件伺服器X 預先安裝了商業運轉的防毒程式 — Kaspersky,目前是 Linux 上使用最普遍的掃毒軟體,
授權以使用者數量計算,只要將指定的檔案上傳到伺服器,防護功能就會自動啟動,詳細的介紹可以參考http://www.Kaspersky.com的網站。
Kaspersky 掃毒引擎設定

圖7-4 Kaspersky 掃毒引擎設定

【Kaspersky 掃毒引擎目前狀態】: 顯示目前 Kaspersky 掃毒引擎是啟動或是關閉,可以在「郵件病毒過濾 > 基本設定」切換掃毒引擎設定。
【掃毒引擎版本】: 顯示目前使用的版本。
【授權狀態】: 是否已取得授權。
【病毒碼】: 按下 image115 按鍵,立刻更新最新的病毒碼。
【病毒碼自動更新時間】: 每隔幾個小時自動更新病毒碼。
【病毒碼離線更新】: 當無法線上更新病毒碼時,可以聯絡您的服務廠商取得離線資料庫檔案,並將其儲存到 USB 裝置中後插入設備上執行更新。
【Kaspersky 病毒碼更新紀錄】: 所有的更新過程都會被記錄,可以查看每次的更新增加了哪些病毒碼。
【清除紀錄】: 按下【清除紀錄】按鍵,會將上面的更新紀錄全部清除掉。
【上傳 Kaspersky 版權文件】: 預設不啟動 Kaspersky 掃毒功能,第一次啟動時需要將授權文件上傳,
選擇授權文件的檔案後按【套用】鍵就完成 Kaspersky 掃毒的安裝設定。
【加入 Kaspersky 安全網路】: 選擇是否加入 Kaspersky 安全網路。聲明內容如說明欄所述。
【Kaspersky 安全網路連結狀態】: 與 Kaspersky 安全網路的連線中斷有可能是因為未啟用加入 Kaspersky 安全網路,或伺服器未連線到網際網路。

7-3、病毒信隔離區

若開啟將【中毒信件轉到隔離區】功能,則所有被郵件伺服器判斷成病毒信的郵件,都會被歸類在「病毒信件隔離區」中。
管理者可以透過病毒隔離區列表了解信件資訊,並執行刪除、放行或下載。
可以依條件查詢在病毒隔離區的郵件資料。
病毒郵件的查詢

圖7-5 病毒郵件的查詢

【收件日期】:此病毒郵件進入隔離區的時間。
【寄件者 IP】:此信件的寄件者 IP 位址。
【寄件者】:此信件的寄件者帳號。
【收件者】:此信件的收件者帳號。
【郵件主旨】:此信件的主旨。
【郵件大小】:此信件的檔案大小。
【中毒檔案】:哪個附件檔案含有病毒。
【病毒名稱】:是何種類型的病毒。
【詳細】:這封病毒信件的詳細資料。
【下載】:點選後可以將此病毒信件下載到使用者的電腦中。

Note

在「日誌查詢 > 12-21、日誌保留設定」中可設定病毒郵件在隔離區的保留天數,超過設定值的郵件將被刪除。