GFI MailSecurity for Exchange/SMTP 8. Manuale. GFI Software ltd.

Транскрипт

1 GFI MailSecurity for Exchange/SMTP 8 Manuale GFI Software ltd.

2 Il presente manuale è stato prodotto dalla GFI Software Ltd. Le informazioni contenute nel presente documento sono soggette a modifiche senza preavviso. Le società, i nomi e i dati utilizzati negli esempi sono fittizi, se non diversamente specificato. Non è possibile riprodurre né trasmettere parte del presente documento in qualsiasi forma o tramite qualsiasi mezzo, elettronico o meccanico, per qualsiasi scopo senza l esplicito consenso scritto di GFI Software Ltd. GFI MailSecurity è stato sviluppato da GFI Software Ltd. GFI MailSecurity è di proprietà di GFI Software Ltd GFI Ltd. Tutti i diritti riservati. GFI MailSecurity è un marchio registrato e GFI Software Ltd. ed il logo GFI sono marchi registrati di GFI Software Ltd. in Europa, negli Stati Uniti e in altri paesi. Versione 8.04 Ultimo aggiornamento 2/27/2004

3 Indice Descrizione di GFI MailSecurity 1 Introduzione...1 Caratteristiche Principali di GFI MailSecurity...1 Modalità Operative di GFI MailSecurity...3 Modalità GFI MailSecurity VS API Exchange Modalità GFI MailSecurity SMTP Gateway...5 Differenze tra la modalità SMTP gateway ed Exchange 2000 VSAPI...5 Quale modalità operativa devo utilizzare?...6 Posso utilizzare entrambe le modalità operative?...6 I componenti di GFI MailSecurity...6 GFI MailSecurity visto dall utente...7 Aggiunte DownloadSecurity for il server ISA...8 Aggiunte MailEssentials...8 Installazione di GFI MailSecurity in Modalità VS API 9 Introduzione...9 Requisiti di Sistema per la Modalità VS API...9 Installazione di GFI MailSecurity in Modalità VS API...9 Inserimento del Codice Seriale dopo l installazione Installazione di GFI MailSecurity in modalità gateway 13 Introduzione Requisiti di sistema per GFI MailSecurity in modalità SMTP Gateway Installazione di GFI MailSecurity in modalità SMTP gateway Il Wizard di Sincronizzazione Exchange 5.5 per utenti Configurazione della Verifica dei Contenuti e degli Allegati 27 Introduzione Creazione di una regola di verifica dei contenuti Creazione di una regola di verifica degli allegati Quarantena 37 Introduzione Opzioni di quarantena Approvazione/rifiuto di un messaggio tramite un client Approvazione/rifiuto di un messaggio utilizzando il Client Moderator Utilizzo di un client moderator remoto Messaggi in quarantena dal punto di vista dell utente Installazione del moderator basato sul web Configurazione della verifica dei virus 55 Configurazione dei motori di scansione Cancellazione/Messa in quarantena delle infette Configurazione di Norman Virus Control Configurazione Bitdefender Configurazione di McAfee Manuale MailSecurity per Exchange/SMTP Indice i

4 Configurazione di Kaspersky Il motore per gli exploit 63 Introduzione agli exploit Configurazione del motore per exploit Installazione aggiornamenti degli exploit Il motore per le minacce HTML 67 Introduzione Configurazione del motore per le minacce HTML Scanner per Trojan e file eseguibili 69 Introduzione Configurazione dello scanner per Trojan ed eseguibili Aggiornamento dello scanner per Trojan ed Eseguibili Motore di decompressione 73 Introduzione Configurazione del motore di decompressione Monitoraggio remoto e amministrazione 77 Installazione/configurazione del monitor remoto Configurazione e Monitoraggio Remoto di GFI MailSecurity Passaggio a un altro server da monitorare o da configurare Opzioni generali 81 Opzioni generali Opzioni di aggiornamento Modalità di Scansione VS API Aggiunta di un domino locale addizionale Cambiamento dei vincoli Licenza di GFI MailSecurity Verifica del numero di utenti autorizzati Informazioni sulla versione Argomenti avanzati 89 Determinazione della posta in uscita/in arrivo/interna Sincronizzazione degli utenti con Exchange File log di GFI MailSecurity Configurazione del server ISA per consentire il download degli aggiornamenti Abilitazione della Registrazione Eventi per la scansione Virus API Impostazione dei contatori a video delle prestazioni di Virus Scanning API Personalizzazione dei modelli di notifica Risoluzione dei Problemi 97 In caso di problemi Il troubleshooter (Ricerca e risoluzione dei problemi) Indice analitico 99 ii Indice Manuale MailSecurity per Exchange/SMTP

5 Descrizione di GFI MailSecurity Introduzione La necessità di avere un controllo sui messaggi di posta elettronica in relazione a contenuti pericolosi, illegali o riservati non è mai stata più evidente. I virus più nocivi, in grado di paralizzare il proprio sistema di posta elettronica e tutta la rete in pochi minuti, sono distribuiti in tutto il mondo via nel giro di poche ore (per esempio, il virus Love Letter ). I distributori d anti-virus non sono in grado di effettuare aggiornamenti tempestivi. E, ancora peggio, il messaggio di posta elettronica diventa un mezzo per installare backdoor (Trojan) e altri programmi pericolosi per aiutare i potenziali intrusi ad inserirsi nella rete. L unica difesa è l installazione di una soluzione completa per la verifica del contenuto dei messaggi e anti-virus per la protezione del proprio server di posta e di rete. GFI MailSecurity opera come un firewall per la posta elettronica e protegge dai virus, quali ad esempio Love Letter, e dai vari attacchi rivolti alla vostra azienda. GFI MailSecurity for Exchange/SMTP è un software per la sicurezza del contenuto della posta elettronica leader sul mercato. GFI MailSecurity può essere installato in due modi: la modalità Exchange 2000 VS-API o la modalità gateway SMTP. La versione Exchange 2000 VS API si integra totalmente con Exchange Server 2000 e sottopone a scansione gli archivi d informazioni d Exchange La versione gateway SMTP deve essere implementata lungo il perimetro della rete come server di transito della posta. GFI MailSecurity è completamente trasparente per gli utenti non sono necessari ulteriori corsi di formazione. Caratteristiche Principali di GFI MailSecurity Verifica/filtro del contenuto dei messaggi di posta La caratteristica principale di GFI MailSecurity è la capacità di verificare il contenuto di tutti i messaggi in arrivo e in uscita. Può tenere in quarantena tutti messaggi con allegati pericolosi quali *.exe, *.vbs e altri file. Questi allegati hanno una maggiore probabilità di trasmettere un virus, un worm o un attacco . Dal momento che i virus si diffondono molto velocemente e causano enormi danni, è meglio tenere in quarantena questi messaggi prima di distribuirli agli utenti di posta elettronica. Quando un messaggio è tenuto in quarantena, può essere rivisto dall amministratore che può rifiutare o approvare il messaggio stesso. Oltre a sottoporre a scansione gli allegati pericolosi, GFI MailSecurity può controllare il codice di scrittura nel corpo del messaggio stesso e Manuale MailSecurity per Exchange/SMTP Descrizione di GFI MailSecurity 1

6 sottoporre a verifica contenuti illegali (per cui una società potrebbe essere citata in giudizio) e fughe di notizie (distribuzione d informazioni confidenziali da parte degli utenti). Inoltre si può scegliere di mettere in quarantena messaggi di posta che contengono file *.mp3 o *.mpg perché si muovono a banda larga e possono gravare inutilmente sullo spazio del disco del server di posta. Il modulo di verifica del contenuto ha salvato in realtà migliaia di società dal virus Love Letter. Motore di rilevazione degli exploit La ricerca leader di GFI degli exploit (exploit lanciati via ) ha contribuito alla creazione del motore di rilevamento degli exploit dei messaggi di posta di GFI MailSecurity. Questo prodotto, il primo lanciato sul mercato, identifica le che contengono exploit noti può essere immaginato come un rilevatore d intrusioni nella posta elettronica. Pertanto protegge da virus e attacchi attuali o futuri che utilizzano exploit noti. GFI MailSecurity è l UNICO prodotto di sicurezza per la posta elettronica che protegge contro gli exploit. Per ulteriori informazioni sugli exploit, è possibile visitare il sito Eliminazione automatica degli script HTML L avvento dei messaggi HTML ha consentito agli hacker/creatori di virus di attivare comandi inserendoli nel messaggio di posta HTML. GFI MailSecurity rileva e disabilita questi comandi, quindi invia il messaggio HTML pulito al destinatario. GFI MailSecurity è l unico prodotto che protegge contro HTML potenzialmente maligne, difendendo non soltanto dai virus HTML ma anche dagli attacchi diretti alla propria rete tramite messaggi HTML. Quarantena automatica dei documenti Microsoft Word con macro GFI MailSecurity protegge contro virus di macro Word & Excel presenti e futuri mettendo automaticamente in quarantena i documenti contenenti macro. Ciò significa che si possono inviare in tutta sicurezza via documenti Word e fogli Excel perché, se sono potenzialmente pericolosi, si può stare sicuri che GFI MailSecurity li metterà in quarantena (o li cancellerà, se si preferisce). Controllo dei virus attraverso un motore anti-virus multiplo GFI MailSecurity sottopone a scansione le alla ricerca di virus utilizzando un motore multiplo anti-virus. La scansione delle a livello di gateway e di server previene il contagio da virus e/o la loro diffusione all interno del proprio network. Inoltre, si può evitare l imbarazzo di inviare messaggi di posta infettati ai clienti poiché GFI MailSecurity controlla la presenza di virus anche in tutti i messaggi in uscita. GFI MailSecurity comprende i potenti motori antivirus a livello industriale Norman e Bitdefender. Come opzione è anche possibile scegliere il motore antivirus Mcafee. Motori anti-virus multipli consentono di ottenere un più elevato livello di sicurezza, tali motori si complementano tra loro e viene abbassato il tempo medio di ricerca del virus. 2 Descrizione di GFI MailSecurity Manuale MailSecurity per Exchange/SMTP

7 Scanner di Trojan eseguibili GFI MailSecurity è in grado di analizzare i file eseguibili in arrivo e di stimare il livello di rischio connesso a tali file. In questo modo, i Trojan potenzialmente dannosi e sconosciuti, possono essere individuati prima del loro ingresso nel network Modalità Operative di GFI MailSecurity GFI MailSecurity può operare nelle due seguenti modalità: 1. Modalità Exchange 2000/2003 VS API 2. Modalità SMTP gateway La modalità operativa va scelta a seconda delle impostazioni della propria rete e di come si intende utilizzare GFI MailSecurity. In alcuni casi si può valutare di utilizzare GFI MailSecurity in entrambi i modi. Modalità GFI MailSecurity VS API Exchange 2000 Se si dispone di Microsoft Exchange 2000 o 2003, GFI MailSecurity può essere integrato con il Server Exchange tramite la nuova Virus Scanning API (VS API) di Microsoft. Che cos è e perché utilizzare VS API (Exchange Virus Scanning API )? Exchange 2000 & 2003 offre una nuova API di scansione dei virus che viene implementata a livello molto basso nell archivio d Exchange. Ciò consente di eseguire un applicazione di scansione dei virus ad alte prestazioni e garantisce che il messaggio venga sottoposto a scansione prima che un utente possa accedere ad un messaggio o ad un allegato. Questo accesso a basso livello facilita la rimozione di virus quali il virus Melissa. Inoltre VS API riduce i problemi di scalabilità che possono verificarsi quando un determinato server ha un numero elevato di utenti/caselle di posta. La scansione in tempo reale di VS API consente di sottoporre a scansione messaggi e allegati una volta soltanto prima di consegnarli anziché più volte se per esempio il messaggio è stato inviato ad un certo numero di caselle di posta. Questa scansione unica contribuisce inoltre a evitare che i messaggi vengano sottoposti di nuovo a scansione quando l viene copiata. GFI MailSecurity VS API presenta le seguenti caratteristiche: Scansione nativa dei contenuti MIME/MAPI. Scansione proattiva. Messa in coda in base alla priorità. Elaborazione in coda a più livelli. Opzioni di configurazione per database di messaggi. Scansione avanzata in background. Memoria eventi. Scansione dei virus dei contatori Performance Monitor (Monitor di Prestazioni) specifiche API. Manuale MailSecurity per Exchange/SMTP Descrizione di GFI MailSecurity 3

8 Perché scegliere un prodotto basato su VS API? Microsoft incoraggia fortemente lo sviluppo e l impiego di soluzioni antivirus Exchange VS su base API VS API è sicuro e mantiene l integrità di Information Store (Archivio delle Informazioni) e dei suoi database. Il gruppo di prodotti Microsoft Exchange si impegna a fornire aggiornamenti per questa API, rettifiche degli errori, documentazione e assistenza tecnica per ISV che utilizzano VS API (se necessario). Le soluzioni antivirus che utilizzano Extensible Storage Engine API (Motore Estensibile di Archivio API) o qualsiasi altra API non documentata possono alterare l Information Store (Archivio delle Informazioni) e i relativi database. Il gruppo di prodotti Microsoft Exchange non offre aggiornamenti di codici, documentazione o assistenza tecnica per gestire problemi relativi all utilizzo di una soluzione non basata su VS API. Per i clienti Exchange che utilizzano una soluzione non basata su VS API, i Servizi di Supporto dei Prodotti Microsoft possono chiedere al cliente di disinstallare/disabilitare la soluzione antivirus per aiutare ad identificare il problema, ma questo può ritardare la soluzione finale. VS API migliora l attuale caratteristica chiave impostata fornendo le capacità per ottimizzare e configurare il processo di scansione a livelli multipli e offrendo amministratori Exchange con funzionalità interna per monitorare le prestazioni della nuova API. Per ulteriori informazioni su VS API Ulteriori informazioni relative a VS API sono disponibili dal seguente sito: Limitazioni di utilizzo della modalità VS API Exchange 2000 Anche se VS API è un metodo raccomandato per effettuare la verifica dei contenuti e antivirus su Exchange 2000, esistono alcune limitazioni che l amministratore del sistema deve conoscere: 1. Il Virus API sottopone a scansione soltanto archivi di informazioni. Questo significa che se si è installato GFI MailSecurity for Exchange 2000 su, per esempio, un server finale, non viene sottoposto a scansione nessun messaggio perché la posta non viene archiviata sul server finale. In questo caso si deve utilizzare GFI MailSecurity in modalità SMTP gateway. 2. Si deve fare molta attenzione nell applicare le regole per gli allegati. Alcune applicazioni MAPI che funzionano su Exchange potrebbero utilizzare file vbs o exe. È necessario assicurarsi che, in questo caso, non si applichino regole per mettere in quarantena file exe o vbs in caselle di posta che utilizzano quelle applicazioni. 3. I messaggi in uscita che sono stati approvati devono essere inviati di nuovo dall utente. Per esempio, se un eseguibile è stato messo in quarantena e quindi approvato, l utente riceverà la comunicazione che ha 24 ore a disposizione per inviare l eseguibile. Il motivo è che il 4 Descrizione di GFI MailSecurity Manuale MailSecurity per Exchange/SMTP

9 destinatario del messaggio non è sempre noto con sicurezza al 100% in modalità VS API. Limitazioni di utilizzo della modalità VS API Exchange 2003 Exchange 2003 include VS API 2.5, che vanta un certo numero di miglioramenti, e che rimuovono alcune limitazioni dell interfaccia VS API di Exchange GFI MailSecurity 8 supporterà VS API 2.5 a partire dalla fine di Giugno Fino ad allora valgono le stesse limitazioni di VS API 2.0. Comunque, dopo tale data, l unica limitazione che rimarrà per Exchange 2003 sarà la necessità di porre molta attenzione nell applicare le regole per gli allegati se si utilizzano internamente le solite applicazioni MAPI. Modalità GFI MailSecurity SMTP Gateway Se non si possiede Microsoft Exchange 2000 oppure si desidera installare GFI MailSecurity lungo il perimetro della propria rete, si deve installare GFI MailSecurity in modalità SMTP gateway. Come funziona la modalità GFI MailSecurity SMTP gateway In modalità SMTP gateway, GFI MailSecurity verifica tutti i messaggi in arrivo e in uscita prima che raggiungano il proprio server di posta. Per farlo si deve essere i primi a ricevere tutti i messaggi destinati al proprio server di posta e la propria deve essere l ultima «fermata della posta in uscita» ossia i messaggi diretti a Internet. Affinché si verifichi tutto questo, GFI MailSecurity deve funzionare come gateway per tutte le . Questa impostazione è nota anche con il nome di server 'Smart host' o 'Mail relay'. In effetti GFI MailSecurity funziona come un server di trasmissione della posta. GFI MailSecurity funziona come un sistema di gateway/trasmissione della posta in modalità gateway. Differenze tra la modalità SMTP gateway ed Exchange 2000 VSAPI Le differenze principali tra la modalità SMTP gateway e la versione Exchange 2000 VS API di GFI MailSecurity sono le seguenti: 1. La versione SMTP Gateway sottopone a scansione soltanto la posta in arrivo e in uscita, ma non la posta interna. 2. La versione SMTP Gateway ha maggiori informazioni relative all e quindi può mettere in quarantena la posta in uscita senza che sia necessario ricorrere a un sistema di marcatura. 3. La versione SMTP Gateway ha maggiori informazioni relative all e quindi può determinare meglio se si tratta di un messaggio in arrivo o in uscita. 4. La versione Exchange 2000 VS API può essere utilizzata soltanto su Exchange Manuale MailSecurity per Exchange/SMTP Descrizione di GFI MailSecurity 5

10 5. La versione Exchange 2000 VS API può sottoporre a scansione anche la posta interna e quindi può evitare aggressioni da parte di virus interni. Quale modalità operativa devo utilizzare? Se non si possiede Exchange 2000, si deve utilizzare la versione SMTP gateway. Se si possiede Exchange 2000, si può scegliere tra le due versioni. La scelta deve essere determinata dalla necessità o meno di controllare anche la posta interna. In caso affermativo, installare GFI MailSecurity in modalità Exchange 2000 VS API. In caso contrario è meglio installarlo in modalità gateway. Se si desidera installare GFI MailSecurity sulla macchina Exchange 2000, si deve scegliere la modalità VS API. La modalità SMTP Gateway è la modalità corretta se si desidera eseguire Exchange 5.5, Lotus Notes o un altro server SMTP/POP3! Posso utilizzare entrambe le modalità operative? È possibile utilizzare contemporaneamente entrambe le versioni (se sono installate su macchine diverse). Il vantaggio principale è che si possono avere regole più severe sulla posta in arrivo e in uscita e regole meno severe sulla posta interna. Inoltre si può evitare che la posta raggiunga in primo luogo il proprio server Exchange e utilizzare la versione Exchange 2000 VS API per controllare gli attacchi dei virus tramite la posta interna. Non sono necessarie altre licenze se si decide di utilizzare entrambe le versioni. Tuttavia si devono pagare oneri contrattuali supplementari di manutenzione per coprire le licenze dei motori antivirus installati su macchine separate. I componenti di GFI MailSecurity GFI MailSecurity è formato da: Motore di scansione GFI MailSecurity Il motore di scansione GFI MailSecurity analizza il contenuto di tutta la posta in arrivo e in uscita e della posta interna (se utilizzato in modalità Exchange 2000/2003 VS API). Se un messaggio viene messo in quarantena, l agente di analisi dei messaggi informa il supervisore/amministratore di competenza e richiede l approvazione del messaggio. 6 Descrizione di GFI MailSecurity Manuale MailSecurity per Exchange/SMTP

11 La configurazione di GFI MailSecurity La configurazione di GFI MailSecurity. Il programma di configurazione consente di impostare e di configurare GFI MailSecurity. Tutte le configurazioni possono essere effettuate dalla consolle MMC. Il client GFI MailSecurity Moderator Il client moderatore versione gateway. GFI MailSecurity consente di approvare o rifiutare messaggi in quarantena in due modi utilizzando il Client Moderator o tramite la posta HTML nella propria casella di posta in arrivo. Se si deve approvare/rifiutare una grande quantità di messaggi, probabilmente è più rapido utilizzare lo speciale modulo Client Moderator. GFI MailSecurity visto dall utente GFI MailSecurity è completamente trasparente per l utente. Ciò significa che l utente non nota che GFI MailSecurity è attivo finché non invia o riceve un messaggio che ha attivato una regola di GFI MailSecurity, per esempio perché conteneva un allegato vietato o un virus. Nel caso di allegato sospetto, GFI MailSecurity mette in quarantena gli allegati di posta per la revisione da parte dell amministratore. Il destinatario del messaggio riceve un messaggio all interno della posta che lo informa che l allegato è stato ricevuto e che è in attesa di revisione da parte dell amministratore. Appena l amministratore approva l , il messaggio viene inviato al destinatario (per la posta in arrivo). Per la posta in uscita, l utente riceve un messaggio che lo invita a rispedire l . Manuale MailSecurity per Exchange/SMTP Descrizione di GFI MailSecurity 7

12 Aggiunte DownloadSecurity for il server ISA Un prodotto che si può accompagnare a GFI MailSecurity è DownloadSecurity. DownloadSecurity per i filtri di contenuto e i virus, verifica il download di file degli utenti. Utilizza lo stesso motore di scansione di GFI MailSecurity. DownloadSecurity si installa sopra al server Microsoft ISA (richiede quindi il server Microsoft ISA) e intercetta tutti gli scaricamenti di file degli utenti sulla propria rete. In questo modo si può consentire in tutta sicurezza agli utenti di scaricare file da Internet. Per maggiori informazioni, visitare il sito Web di GFI. DownloadSecurity è disponibile a un prezzo vantaggioso se acquistato in combinazione con GFI MailSecurity. Aggiunte MailEssentials Un prodotto che si può accompagnare a GFI MailSecurity è MailEssentials. MailEssentials aggiunge numero di caratteristiche a Exchange Server per quanto riguarda le aziendali, ossia: Declinazioni di responsabilità. Archiviazione centralizzata della posta in arrivo e in uscita. Scaricamento POP3. Risposte automatiche su base server. Per maggiori informazioni, visitare il sito Web di GFI. MailEssentials è disponibile a un prezzo vantaggioso se acquistato in combinazione con GFI MailSecurity. 8 Descrizione di GFI MailSecurity Manuale MailSecurity per Exchange/SMTP

13 Installazione di GFI MailSecurity in Modalità VS API Introduzione Questo capitolo spiega la procedura per installare e configurare GFI MailSecurity in modalità Exchange 2000/2003 VS API. In questa modalità GFI MailSecurity utilizza l API di scansione dei virus Microsoft a basso livello, garantendo che il processo di scansione verrà eseguito ad alte prestazioni e in maniera affidabile. Per ulteriori informazioni relative alle modalità operative di GFI MailSecurity e a VS API, fare riferimento al capitolo precedente. La modalità VS API richiede Exchange 2000 (SP1) Exchange 2003! Requisiti di Sistema per la Modalità VS API Per installare GFI MailSecurity su Windows 2000/2003 è necessario disporre di: Windows 2000 Server o Advanced Server con installato Service Pack 1 o superiore, OPPURE Windows 2003 o Advanced Server. Microsoft Server Exchange 2000 con installato Service Pack 1 o superiore oppure Microsoft Exchange Server Se si utilizza uno Small Business Server (Server per piccole attività), assicurarsi di avere installato Service Pack 2 per Exchange Server. IMPORTANTE: Disabilitare il software Anti-virus dalla scansione delle cartelle di GFI MailSecurity. E noto che i prodotti Anti-virus interferiscono con le normali operazioni e rallentano tutti i tipi di software che richiedono l accesso ai file. Infatti Microsoft non consiglia l esecuzione su Exchange Server di software anti-virus basato su file. Per ulteriori informazioni: Assicurarsi che il backup del software non si riferisca alle cartelle di GFI MailSecurity in nessun punto. Installazione di GFI MailSecurity in Modalità VS API Prima di installare GFI MailSecurity, assicurarsi di accedere come Amministratore. Fase 1: Eseguire l installazione di GFI MailSecurity facendo doppio clic sul file MailSecurity.exe sul computer Exchange Server. GFI MailSecurity richiederà inoltre di verificare la disponibilità di una Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in Modalità VS API 9

14 versione successiva di GFI MailSecurity. Si raccomanda tale verifica e di utilizzare sempre la versione più aggiornata. Fase 2: Confermare l accordo di License (Licenza). Fase 3: Inserire il proprio Name (Nome), Company (Società) e Serial Number (Codice seriale). Se si sta valutando il prodotto, lasciare il codice di default Evaluation. Con il mouse fare clic su Next (Avanti). Fase 4: A questo punto l installazione richiede di specificare l indirizzo dell Amministratore (Administrator ). Inserire l indirizzo e- mail dell Amministratore. Specificare l indirizzo di posta elettronica dell amministratore. Fase 5: Ora l installazione chiede dove si desidera installare GFI MailSecurity. GFI MailSecurity necessita di circa 30 MB di spazio libero sul disco fisso. Inoltre devono essere riservati circa 200 MB per i file temporanei. Fase 6: Ora il set-up confermerà l installazione della modalità VS API, copierà tutti i file di programma nella destinazione selezionata e completerà l installazione creando un gruppo di programmi GFI MailSecurity. Fare clic su Finish (Fine) per terminare l installazione. A questo punto saranno avviati i servizi GFI MailSecurity e il motore GFI MailSecurity VS API. Fase 7: E possibile verificare se GFI MailSecurity viene eseguito utilizzando il monitor GFI MailSecurity. Si noti che è necessario qualche istante prima che GFI MailSecurity venga avviato, questo perché VS API deve prima caricare GFI MailSecurity. 10 Installazione di GFI MailSecurity in Modalità VS API Manuale MailSecurity per Exchange/SMTP

15 Il monitor remoto di GFI MailSecurity. Per monitorare GFI MailSecurity: Selezionare Start > Programs > GFI MailSecurity (Avvio > Programmi > GFI MailSecurity) selezionare GFI MailSecurity Monitor. Si noti che il monitor si riferisce ai moduli non alle . Un modulo (template) è una parte di messaggio, come il corpo di una lettera o un allegato. Pertanto un può contenere moduli multipli. Per esempio un con 2 allegati consiste in 3parti/moduli: 1 corpo e 2 allegati. Inserimento del Codice Seriale dopo l installazione Se GFI MailSecurity è stato acquistato, è possibile inserire il codice seriale nella sezione General > Licensing (Generale > Licenza). Se si sta valutando GFI MailSecurity, utilizzando un codice di valutazione, il prodotto scadrà dopo 60 giorni. Se si decide poi di acquistare GFI MailSecurity, inserire il Codice seriale qui, senza reinstallare GFI MailEssentials. L inserimento del Codice seriale non deve essere confuso con il processo di registrazione dei dati della vostra azienda sul nostro sito web. Questa seconda fase è molto importante poiché ci consente di fornirvi il supporto e di comunicarvi tutte le più importanti notizie sul prodotto. Registratevi alla pagina web: In modalità VS API, bisogna registrare GFI MailSecurity in base al numero di caselle di posta che si hanno su Exchange Server. Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in Modalità VS API 11

16

17 Installazione di GFI MailSecurity in modalità gateway Introduzione Questo capitolo spiega la procedura per installare e configurare la modalità GFI MailSecurity SMTP gateway. In modalità SMTP gateway, GFI MailSecurity verifica tutti i messaggi in arrivo e in uscita prima che raggiungano il proprio server di posta. A questo scopo, GFI MailSecurity deve funzionare da gateway per tutte le . Questa impostazione è nota anche con il nome di server 'Smart host' (Host intelligente) o 'Mail relay' (Distributore di posta). Se non si possiede Microsoft Exchange 2000/2003, o si desidera installare GFI MailSecurity lungo il perimetro della propria rete, allora GFI MailSecurity deve essere installato in modalità SMTP gateway. Per ulteriori informazioni sulle modalità operative di GFI MailSecurity e sulla modalità SMTP gateway, fare riferimento al capitolo precedente. La modalità SMTP gateway è la modalità corretta se si esegue Exchange 5.5, Lotus Notes o un altro server SMTP/POP3! Se si gira su una rete Windows NT: la macchina su cui gira GFI MailSecurity può essere separata totalmente dalla propria rete Windows NT GFI MailSecurity non richiede Active Directory (Cartella Attiva)! Installazione di GFI MailSecurity davanti al proprio firewall Una possibilità che può risultare molto utile consiste nell installare GFI MailSecurity su un computer distinto davanti al proprio firewall o sul proprio firewall (se si usa un firewall Windows 2000 come per esempio Microsoft ISA Server). Ciò consente di tenere il proprio server di posta aziendale dietro al firewall. GFI MailSecurity agisce da server smart host / mail relay nella zona perimetrale della rete (nota anche come DMZ zona smilitarizzata). I vantaggi che ne derivano sono i seguenti: Si può eseguire la manutenzione sul proprio computer server di posta mentre si stanno ancora ricevendo messaggi da Internet. Si utilizzano meno risorse sul proprio server di posta. Il computer GFI MailSecurity può avere specifiche inferiori rispetto al computer server di posta ed elaborare i messaggi più rapidamente. Ulteriore tolleranza agli errori se succede qualcosa al proprio server di posta, si continuano a ricevere i messaggi che vengono messi in coda sul computer GFI MailSecurity. Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in modalità gateway 13

18 Nota: Questo computer separato non deve essere necessariamente dedicato a GFI MailSecurity, può eseguire altre applicazioni, per esempio un firewall. Requisiti di sistema per GFI MailSecurity in modalità SMTP Gateway Windows 2000 Pro, Server o Advanced Server OPPURE Windows 2003 Pro, Server o Advanced Server OPPURE Windows XP (Si Noti che se si utilizza Windows 2000/2003 Pro o XP, si potranno accettare soltanto 10 connessioni SMTP in arrivo simultaneamente, quindi è meglio utilizzare le versioni del server Windows). Il servizio IIS5 SMTP installato e che funziona come un trasmettitore SMTP al proprio server di posta. Ciò significa che il registro MX del proprio dominio deve puntare sul computer su cui si installa GFI MailSecurity. Per ulteriori informazioni al riguardo, visitare il sito: Microsoft Exchange server 2000/2003, 4, 5 o 5.5, Lotus Notes 4.5 e superiore oppure un server di posta SMTP/POP3. IMPORTANTE: Disabilitare il software Anti-virus dalla scansione delle cartelle di GFI MailSecurity & IIS! E noto che i prodotti Antivirus interferiscono con le normali operazioni e rallentano tutti i tipi di software che richiedono l accesso ai file. Per ulteriori informazioni: Assicurarsi che il backup del software non abbia riferimenti alle cartelle di GFI MailSecurity in nessun punto. Per ricevere messaggi da utenti che inviano posta in formato Exchange 5.5 RTF: si deve installare Microsoft Outlook OPPURE Collaboration Data Objects (Oggetti Dati di Collaborazione) sul computer GFI MailSecurity. I Collaboration Data Objects (CDO) vengono installati automaticamente quando si installa Outlook. Tuttavia possono essere installati separatamente se non si desidera installare Microsoft Outlook. A tale proposito, procedere come descritto di seguito: 1. Eseguire l installazione dal CD di Office Selezionare Customize (Personalizza). 2. Selezionare Microsoft Outlook for Windows > Collaboration Data Objects. Deselezionare gli altri componenti che non si desiderano installare. 3. Riavviare il computer dopo l installazione. 4. Assicurarsi che sul computer GFI MailSecurity, Outlook Express NON sia il client di posta di default! 14 Installazione di GFI MailSecurity in modalità gateway Manuale MailSecurity per Exchange/SMTP

19 Installazione di GFI MailSecurity in modalità SMTP gateway Installazione e configurazione del servizio IIS 5 SMTP GFI MailSecurity utilizza il servizio IIS 5 SMTP di Windows 2000 come server SMTP. Poiché GFI MailSecurity lavora con questo servizio SMTP, è necessario configurarlo prima come server di trasmissione della posta. Il servizio SMTP fa parte di IIS 5 che a sua volta è un componente di Windows Viene utilizzato come agente di trasmissione dei messaggi di Microsoft Exchange Server ed è stato realizzato per gestire grandi quantitativi di traffico postale. Il servizio IIS 5 SMTP di Windows 2000 è incluso in ogni distribuzione Windows 2000, incluso Windows 2000 Professional. Per installare e configurare il servizio IIS5 SMTP come server di trasmissione della posta, procedere come descritto di seguito: Fase 1: Verifica dell installazione del servizio SMTP Nel Control Panel (Pannello di Controllo) aprire Add/Remove Programs (Aggiungi/Rimuovi Programmi), fare clic su Add/Remove Windows Components (Aggiungi/Rimuovi Componenti Windows). Fare clic sul componente Internet Information Services (IIS), fare clic su Details (Dettagli) e quindi verificare che la casella SMTP Service (Servizio SMTP) sia selezionata. Se non è selezionata, fare clic per selezionarla, fare clic su OK e quindi seguire le istruzioni di installazione visualizzate. Specifica del nome del server di trasmissione della posta e assegnazione dell IP. Fase 2: Specifica del nome del server di trasmissione della posta e assegnazione di un IP 1. Fare clic su Start (Avvio), puntare su Programs (Programmi), fare clic su Administrative Tools (Strumenti Amministrativi) e Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in modalità gateway 15

20 quindi fare clic su Internet Services Manager (Manager Servizi Internet). 2. Espandere l albero sotto al nome del server e quindi espandere Default SMTP Virtual Server (Server Virtuale SMTP di Default). Fare clic con il tasto destro del mouse e selezionare Properties (Proprietà). Assegnare un IP. Fase 3: Configurazione del servizio SMTP per trasmettere i messaggi al proprio server di posta In questa fase si configura il servizio SMTP per trasmettere i messaggi in arrivo al proprio server di posta. Nota: Durante l installazione, GFI MailSecurity esegue automaticamente questa fase. GFI MailSecurity richiede il nome del proprio dominio locale e lo crea come dominio remoto. Il dominio è visibile sul lato destro dello schermo. Tuttavia, se si esegue questa fase manualmente, si può confermare che il proprio server di trasmissione stia funzionando correttamente prima di eseguire l installazione di GFI MailSecurity. Creazione di un dominio locale in IIS per distribuire la posta 1. Fare clic su Start (Avvio), puntare su Programs (Programmi), fare clic su Administrative Tools (Strumenti Amministrativi) e quindi fare clic su Internet Services Manager (Manager Servizi Internet). 2. Espandere il menu sotto al nome del server e quindi espandere il Default SMTP Virtual Server (Server Virtuale SMTP di Default). Per default si deve avere un dominio Locale con il nome completo del dominio del server. 3. Configurare il dominio per la posta in arrivo: a) Fare clic sull icona Domains (Domini) con il tasto destro del mouse, fare clic su New (Nuovo) e quindi su Domain (Dominio). b) Fare clic su Remote (Remoto), quindi su Next (Avanti) e quindi inserire il nome del dominio nella casella Name (Nome). Fare clic su Finish (Fine). 16 Installazione di GFI MailSecurity in modalità gateway Manuale MailSecurity per Exchange/SMTP

21 Configurazione del dominio. NOTA IMPORTANTE PER I DOMINI LOCALI Nota: durante l installazione, MailSecurity importerà i domini locali dal servizio IIS SMTP. Se si desiderano domini locali ulteriori, è necessario aggiungere tali domini nella Configurazione di MailSecurity. Per ulteriori informazioni ci si può riferire al paragrafo Aggiunta di domini locali addizionali nel capitolo Argomenti Avanzati. Se si aggiungono domini locali addizionali nel servizio IIS SMTP, questi non saranno automaticamente riconosciuti finché non verranno inseriti nella Configurazione di MailSecurity. Questo consente inoltre, l installazione di host intelligenti remoti per particolari domini che non sono locali. Configurazione del dominio per trasmettere i messaggi al proprio server di posta: 1. Nelle proprietà del dominio appena creato, fare clic per selezionare la casella Allow the Incoming Mail to be Relayed to this Domain (Consenti alla Posta In Arrivo di Essere Trasmessa a questo Dominio). 2. Se questa impostazione viene effettuata per un dominio interno, specificare il server che riceve i messaggi per il nome del dominio tramite l indirizzo IP nella casella di dialogo del dominio Route (Instrada). 3. Fare clic sull opzione Forward All to Smart Host (Invia Tutti i Messaggi all Host Intelligente) e quindi inserire l indirizzo IP del server responsabile per le di quel dominio tra parentesi quadre. Per esempio: [ ] Nota: È necessario inserire l indirizzo IP del server tra parentesi quadre affinché il server lo riconosca come indirizzo IP e non tenti una ricerca DNS. Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in modalità gateway 17

22 4. Fare clic su OK. Opzioni di trasferimento Fase 4: Protezione del proprio server di trasmissione della posta. In questa fase si specifica il nome del proprio server di trasmissione della posta e ogni altro server di posta che invia messaggi tramite questo. In effetti si limitano i server che possono inviare messaggi tramite questo server. Se non si creano limitazioni, chiunque può utilizzare tale server di trasmissione (il cosiddetto spamming ). Per evitare questo, procedere come descritto di seguito: 1. Aprire le proprietà del Default SMTP Virtual Server (Server Virtuale SMTP di Default). 2. Dalla sezione Access (Accesso), fare clic su Relay (Trasmetti). 3. Fare clic su Only the list below (Soltanto l elenco seguente), fare clic su Add (Aggiungi) e quindi aggiungere l IP del proprio server di posta che invia i messaggi a questo server. Si può specificare un computer unico, un gruppo di computer oppure un dominio: a) Computer unico: Specificare un particolare host cui si desidera trasmettere e che non sia il server. Se si fa clic sul pulsante DNS Lookup (Ricerca DNS), si può cercare un indirizzo IP di un host in particolare. b) Gruppo di computer: Specificare un indirizzo IP di base per i computer verso cui si desidera trasmettere. c) Dominio: Selezionare tutti i computer di un dominio tramite il nome del dominio che trasmetterà apertamente. Questa opzione aggiunge overhead di elaborazione e può ridurre le prestazioni del servizio SMTP perché comprende ricerche DNS invertite su tutti gli indirizzi IP che cercano di trasmettere per verificare il nome del loro dominio. 18 Installazione di GFI MailSecurity in modalità gateway Manuale MailSecurity per Exchange/SMTP

23 Fase 5: Configurazione del proprio server di posta per trasmettere tramite il server di trasmissione della posta Dopo aver configurato il servizio IIS SMTP per l invio e la ricezione della posta, si deve configurare il proprio server di posta per trasmettere tutti i messaggi al server di trasmissione della posta. Per fare questo, procedere come descritto di seguito: Se si dispone di Microsoft Exchange Server 4/5/5.5: 1. Avviare Microsoft Exchange Administrator (Amministratore Microsoft Exchange). 2. Raggiungere Internet Mail Service (Servizio Posta Internet) e fare doppio clic per configurarne le proprietà. Il connettore per la posta su Internet di Microsoft. 3. Raggiungere la sezione Connections (Connessioni). 4. Nella sezione Message Delivery (Consegna Messaggi) selezionare Forward all messages to host (Inoltra tutti i messaggi all host). Inserire il nome del computer o l IP del computer su cui funziona GFI MailSecurity. Se GFI MailSecurity gira sullo stesso computer, inserire il nome IP di quel computer. (Non utilizzare l IP di ciclo ma il vero IP del computer). 5. Fare clic su OK e riavviare il server Exchange. Ciò è possibile dall applet dei servizi. Se si dispone di Microsoft Exchange Server 2000/2003 : Si deve installare un connettore SMTP che inoltra tutta la posta a GFI MailSecurity: 1. Avviare Exchange System Manager (Manager Sistema Exchange). 2. Fare clic con il tasto destro del mouse su Connectors Node > New > SMTP Connector (Opzione Connettori > Nuovo > Connettore SMTP) e creare un nuovo connettore SMTP. Viene richiesto un nome. Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in modalità gateway 19

24 3. Ora selezionare l opzione Forward all mail through this connector to the following smart host (Inoltra tutta la posta tramite questo connettore al seguente smart host) e inserire l IP del server GFI MailSecurity (il server di trasmissione della posta) indicato tra parentesi quadre [ ] (per esempio: [ ]. Fare clic su OK per AGGIUNGERE. 4. Selezionare il Server SMTP su cui lavora il Connettore SMTP. Raggiungere la sezione Address Space (Spazio Indirizzo) e fare clic su Add (Aggiungi). Selezionare SMTP e fare clic su OK. 5. Fare clic su OK per uscire. Ora tutti i messaggi vengono inoltrati al computer GFI MailSecurity. Se si dispone di Lotus Notes: 1. Fare doppio clic sul pulsante Address Book (Rubrica) in Lotus Notes. 2. Fare clic sulla sezione Server per aprire le varie opzioni. 3. Fare clic su Domains (Domini). 4. Fare clic su Add Domains (Aggiungi Domini). 5. Nella sezione Basics (Proprietà di base) selezionare Foreign SMTP Domain (Dominio SMTP Esterno) dal campo Domain Type (Tipo di Dominio). 6. Nella sezione Messages Addressed to (Messaggi Indirizzati a) inserire * nel campo Internet Domain (Dominio Internet). 7. Nella sezione Should be routed to (Da instradare a) inserire il numero IP del computer Mail Essentials nel campo Internet Host (Host di Internet). 8. Salvare le impostazioni e riavviare il server Lotus Notes. Se si dispone di un server di posta SMTP/POP3: 1. Avviare il programma di configurazione del proprio server di posta. 2. Cercare l opzione per trasmettere tutta la posta in uscita tramite un altro server di posta. Questa opzione dovrebbe chiamarsi Forward all messages to host (Inoltra tutti i messaggi all host). Inserire il nome del computer oppure l IP del computer che esegue GFI MailSecurity. 3. Se necessario, fare clic su OK e riavviare il server di posta. Fase 6: Puntamento del registro MX del proprio dominio al server di trasmissione della posta Siccome il nuovo server di trasmissione della posta deve prima ricevere tutti i messaggi in arrivo, si deve aggiornare il registro MX del proprio dominio per puntare all IP del nuovo server di trasmissione della posta. Diversamente, i messaggi continuano ad essere indirizzati al proprio server di posta by-passando GFI MailSecurity. Se si lavora sul proprio server DNS, è necessario aggiornarlo nel proprio server DNS. Se viene gestito dal proprio ISP, è necessario chiedergli di aggiornare il registro MX. Verificare quindi che il registro MX sia corretto utilizzando la procedura seguente. 20 Installazione di GFI MailSecurity in modalità gateway Manuale MailSecurity per Exchange/SMTP

25 Verifica della corretta impostazione del registro MX per il proprio dominio 1. Aprire il prompt di comando. Digitare nslookup. 2. Adesso digitare set type=mx. 3. Inserire il proprio dominio di posta. 4. Il registro MX deve indicare un unico IP. Questo IP deve essere l IP del computer su cui è installato GFI MailSecurity! Verifica del registro MX del proprio dominio. Fase 7: Verifica del nuovo server di trasmissione della posta! Prima di procedere all installazione di GFI MailSecurity, verificare che il nuovo server di trasmissione della posta funzioni correttamente. 1. Verificare la connessione della posta in arrivo IIS 5 SMTP del proprio server di trasmissione della posta inviando un messaggio da un account esterno ad un utente interno (si può utilizzare hotmail se non si ha a disposizione un account esterno). Verificare che il client di posta abbia ricevuto il messaggio. 2. Verificare la connessione della posta in uscita IIS 5 SMTP del proprio server di trasmissione della posta inviando un messaggio a un account esterno da un client di Internet. Verificare che il client di posta esterno abbia ricevuto il messaggio. Nota: Invece di utilizzare un client di posta, si può utilizzare Telnet e inviare un messaggio in modo manuale. Si riceveranno in tal modo maggiori informazioni per la ricerca e la rimozione dei problemi. Il seguente è un link all articolo KB Microsoft per eseguire questo: Fase 8: Esecuzione dell installazione di GFI MailSecurity Fase 1: Eseguire l installazione di GFI MailSecurity facendo doppio clic sul file MailSecurity.exe sul computer server SMTP per la trasmissione della posta. GFI MailSecurity invita inoltre a verificare la disponibilità di una versione successiva di GFI MailSecurity. Utilizzare sempre la versione più aggiornata! Fase 2: Confermare l accordo License (Licenza). Fase 3: Ora inserire Name (Nome), Company (Società) e Serial Number (Codice seriale). Se si sta valutando il prodotto, lasciare come codice di default Evaluation. Fare clic su Next (Avanti). Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in modalità gateway 21

26 Fase 4: Ora l installazione chiede di specificare l indirizzo di posta elettronica dell amministratore. Inserire l indirizzo di posta elettronica dell Amministratore. Specifica dell indirizzo di posta elettronica dell amministratore. Fase 5: Ora l installazione chiede dove installare GFI MailSecurity. GFI MailSecurity necessita di circa 30 MB di spazio libero sul disco fisso. Inoltre si devono riservare circa 200 MB per i file temporanei. Fase 6: Ora l installazione chiede di specificare l IP del proprio server di posta e la porta del proprio dominio locale. Il dominio locale è l ultima parte del proprio indirizzo interno di posta elettronica, per esempio gfi.com. Si può utilizzare la funzione Test IP (Verifica IP) per verificare se l IP e la porta specificate sono corrette. Active Directory (Cartella Attiva) è installata? Fase 7a: Questa fase si verifica soltanto se Active Directory (Cartella Attiva) è installata! Se Active Directory (Cartella Attiva) è installata, l installazione chiede se questo server ha accesso a tutti gli 22 Installazione di GFI MailSecurity in modalità gateway Manuale MailSecurity per Exchange/SMTP

27 utenti della rete nella Active Directory. Questa fase è importante se si sta installando GFI MailSecurity su una macchina nella DMZ che non fa parte del dominio principale e che quindi non avrà tutti gli utenti elencati nella Active Directory (Cartella Attiva). In questo caso si può selezionare che GFI MailSecurity non utilizzi Active Directory per recuperare utenti. Gli utenti saranno basati su indirizzi di posta elettronica SMTP e non su gli utenti della Active Directory. Gli utenti verranno aggiunti automaticamente a un database appena il messaggio passa attraverso il motore di scansione di GFI MailSecurity. (Ogni indirizzo interno di posta elettronica viene aggiunto automaticamente al database). Fase 7b: Questa fase si verifica soltanto se Active Directory (Cartella Attiva) non è installata! GFI MailSecurity chiede quale tipo di server di posta interna si sta eseguendo. Quale server di posta si sta eseguendo. In questa finestra di dialogo sono disponibili 3 opzioni: 1. Microsoft Exchange Server 5.5. In questo caso GFI MailSecurity sincronizza i propri utenti con il database degli utenti Exchange Server 5.5. Se si seleziona questa opzione, dopo l installazione, il wizard di sincronizzazione degli utenti GFI MailSecurity si avvia e recupera utenti dal proprio server Exchange 5.5 server. Nota: Installare l amministratore Microsoft Exchange sulla macchina che esegue GFI MailSecurity! 2. Server SMTP/POP3 o Lotus Notes. In questo caso GFI MailSecurity aggiunge automaticamente utenti a un database appena il messaggio passa attraverso il motore di scansione di GFI MailSecurity. (Ogni indirizzo interno di posta elettronica viene aggiunto automaticamente al database). 3. Microsoft Exchange Server 2000/2003. Questa opzione è identica all opzione del server SMTP/POP3 o Lotus Notes. Se GFI MailSecurity viene eseguito nella DMZ e non ha accesso a tutti gli utenti di rete nella Active Directory (Cartella Attiva), GFI MailSecurity aggiunge automaticamente utenti a un database appena il messaggio passa attraverso il motore di scansione di Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in modalità gateway 23

28 GFI MailSecurity. (Ogni indirizzo interno di posta elettronica viene aggiunto automaticamente al database). Nota: Se GFI MailSecurity viene eseguito nella DMZ e non ha accesso a Exchange 5.5, si può anche selezionare questa opzione. Ora il programma di installazione copia tutti i file di programma nella destinazione selezionata e termina l installazione creando un gruppo di programmi GFI MailSecurity. Fare clic su Finish (Fine) per terminare l installazione. Ora si avviano i servizi GFI MailSecurity. Fase 8: Si può verificare se GFI MailSecurity è in esecuzione utilizzando il monitor GFI MailSecurity. Il monitor remoto GFI MailSecurity. Per monitorare GFI MailSecurity: fare clic su Start > Programs > GFI MailSecurity admin tools (Avvio > Programmi > Strumenti amministrativi GFI MailSecurity) e selezionare GFI MailSecurity monitor (Monitor GFI MailSecurity). Il Wizard di Sincronizzazione Exchange 5.5 per utenti Nota: Per eseguire il wizard di sincronizzazione, installare l amministratore Microsoft Exchange sulla macchina che esegue GFI MailSecurity! Il Wizard (Guida) di sincronizzazione per utenti si può applicare soltanto agli utenti del server Microsoft Exchange 5.5. Questo wizard si avvia automaticamente dopo aver installato GFI MailSecurity ed aver selezionato l esecuzione di Microsoft Exchange Server 5.5. Questo wizard collega al server Exchange e sincronizza gli utenti via DAPI al fine di consentire la configurazione di regole su base utente. Requisiti per eseguire il Wizard di Sincronizzazione 1. E necessario che l amministratore Exchange 5.5 sia installato sullo stesso computer di GFI MailSecurity. GFI MailSecurity richiede l installazione di alcuni DAPI DLL da parte di Exchange 5.5 per eseguire con successo il processo di sincronizzazione. 2. Occorre un account con diritti amministrativi nella cartella Exchange. Si può specificare un account diverso oppure utilizzare il proprio account di amministratore. Se si utilizza un account diverso, si può seguire questa procedura per garantire all account diritti di amministrazione nella cartella Exchange 5.5: 24 Installazione di GFI MailSecurity in modalità gateway Manuale MailSecurity per Exchange/SMTP

29 a) Da Exchange Administrator (Amministratore Exchange), selezionare Properties for the Site (Proprietà per il Sito) per cui si vuole eseguire la sincronizzazione. b) Nella sezione dei permessi, concedere all Account utilizzato per la sincronizzazione il ruolo 'Admin' (Amministratore). c) Ripetere la stessa procedura per il contenitore 'Configuration' all interno del Sito. d) Nel caso si volesse effettuare una sincronizzazione multipla di siti di scambio, è necessario ripetere l intera procedura per ognuno dei siti. Esecuzione del Wizard di sincronizzazione Fase 1: Quando il Wizard è stato avviato, appare la schermata iniziale di benvenuto. Fare clic su Next (Avanti) per continuare. Fase 2: Il Wizard di sincronizzazione per utenti richiede: Il nome della macchina Exchange Server 5.5. Un nome utente (dominio di utilizzo, ossia dominio/nome utente) e una password da utilizzare per collegarsi al server Exchange 5.5. Nota: Se si utilizza un account di amministratore per cui si cambia regolarmente la password, si deve modificare anche la password del servizio di sincronizzazione. Fase 3: Confermare gli inserimenti specificati facendo clic su Confirm settings (Conferma impostazioni) e fare clic su Next (Avanti). Ora il wizard recupera un elenco di siti da cui si possono recuperare utenti. Selezionare i siti da cui si desiderano recuperare utenti e fare clic su Next (Avanti). Fase 4: Ora si avvia la sincronizzazione degli utenti. GFI MailSecurity riavvia molti servizi. Fare clic su Next (Avanti) per terminare. Il database GFI MailSecurity contiene tutti gli utenti della cartella Exchange 5.5 directory. Manuale MailSecurity per Exchange/SMTP Installazione di GFI MailSecurity in modalità gateway 25

30

31 Configurazione della Verifica dei Contenuti e degli Allegati Introduzione Questo capitolo spiega come installare la verifica dei contenuti e degli allegati in GFI MailSecurity. La proprietà di verifica dei contenuti consente di determinare una serie di caratteristiche relative ai tipi di messaggi che potranno accedere al proprio server di posta. Per determinare tali caratteristiche, GFI MailSecurity sfrutta il concetto delle Rules (Regole). Una regola è una condizione che viene stabilita, per esempio il blocco di tutti gli allegati eseguibili. Altri esempi di regole sono i seguenti: blocco di tutti i messaggi di posta che contengono determinate parole. blocco di tutti i messaggi di posta con allegati che possono contenere programmi o script (*.vbs) (Love Letter!). blocco di determinati utenti che inviano allegati. Tipi di regole di verifica dei contenuti Esistono due tipi di regole di verifica dei contenuti: Regola di verifica dei contenuti Questa regola consente di cercare determinate parole in un messaggio di posta e nei suoi allegati. Ciò permette di bloccare i messaggi di posta e gli allegati con determinati contenuti. Per esempio è possibile bloccare gli allegati contenenti determinate parole. Regola di verifica degli allegati Una regola di verifica degli allegati consente di bloccare gli allegati di un certo tipo. Entrambe le regole possono essere applicate a tutti gli utenti oppure a un elenco specifico di utenti. Creazione di una regola di verifica dei contenuti Per creare una regola di verifica dei contenuti, procedere come descritto di seguito: 1. Evidenziare l opzione di verifica dei contenuti nel programma di Configurazione di GFI MailSecurity. Fare clic con il tasto destro del mouse e selezionare New > Content checking rule (Nuovo > Regola di verifica dei contenuti). 2. Nella schermata di destra viene creata una nuova regola. Evidenziarla e fare doppio clic. Viene visualizzata una finestra di dialogo con diverse opzioni. Manuale MailSecurity per Exchange/SMTP Configurazione della Verifica dei Contenuti e degli Allegati 27

32 Verificare il corpo e l'oggetto Una regola di verifica dei contenuti. 3. Dalla sezione General (Generale), si può specificare se si desidera applicare questa regola alla posta in arrivo, alla posta interna, alla posta in uscita o a tutti i tipi di posta. Si possono inoltre bloccare i messaggi PGP criptati. 4. Ora si possono inserire le condizioni e le parole chiave per cui si desidera controllare il contenuto dei messaggi. Selezionare Add Condition (Aggiungi Condizione) per inserire una condizione che utilizzi operandi. oppure, selezionare Add Keyword (Aggiungi Parola Chiave) per inserire una singola parola chiave o una frase. Aggiunta di una condizione. Aggiunta di condizioni Le condizioni sono combinazioni di parole chiave che utilizzano gli operandi IF (SE), AND (E), AND NOT (E NON), OR (OPPURE) o OR NOT (OPPURE NON). Utilizzando le condizioni si possono specificare combinazioni di parole che devono apparire nel messaggio. Per esempio, una condizione If Word1 AND Word2 (Se Parola1 E 28 Configurazione della Verifica dei Contenuti e degli Allegati Manuale MailSecurity per Exchange/SMTP

33 Parola2) verifica la presenza delle due parole indicate. Per attivare la regola devono essere presenti nel messaggio entrambe le parole. Per aggiungere una condizione, selezionare Add Condition (Aggiungi Condizione). Aggiunta di una parola chiave o di una frase. Aggiunta di parole chiavi Se si desiderano verificare soltanto singole parole o frasi, non è necessario creare una condizione. In questo caso è sufficiente aggiungere una parola chiave. A questo proposito selezionare Add Keyword (Aggiungi Parola Chiave). Se si inseriscono più parole, GFI MailSecurity ricerca la frase. Per esempio, se si inserisce Basketbal sports, GFI MailSecurity controlla la presenza della frase Basketbal sports. Soltanto questa frase attiva la regola; non bastano le parole basketbal OPPURE sports. 5. Per default viene verificato soltanto il corpo del messaggio di posta. È inoltre possibile specificare che GFI MailSecurity apra l allegato e verifichi la presenza di determinate parole chiave anche nell allegato. Per farlo, fare clic su Attachment checking options (Opzioni di verifica degli allegati). Abilitare Check these attachments (Verifica questi allegati) e specificare l estensione degli allegati di cui si desidera verificare il contenuto utilizzando i pulsanti Add & remove (Aggiungi e rimuovi). Nota: Questa opzione richiede molto tempo di elaborazione perché la ricerca delle parole negli allegati è un processo laborioso. È meglio utilizzarla soltanto per gli allegati doc, txt e rtf e mettere in quarantena altri allegati. 6. Dopo aver specificato le parole chiave e le combinazioni da verificare, si possono selezionare alcune opzioni: Match whole words only (Cerca soltanto parole intere): Abilitando questa opzione, GFI MailSecurity blocca soltanto i messaggi di posta dove la parola specificata è una parola intera. Per esempio, se si specifica la parola sport, ogni contenente la parola sport viene bloccata, ma non se contiene la parola Allsports. Block PGP encrypted mails (Blocca messaggi criptati PGP): Questa opzione blocca/mette in quarantena i messaggi criptati che utilizzano PGP. Ciò consente di intercettare messaggi che cercano di bypassare il motore di verifica dei contenuti GFI MailSecurity. Import/Export (Importa/Esporta): Si possono importare parole chiave e condizioni utilizzando la funzione Import/Export. Per farlo, creare un file di testo e inserire ogni condizione o parola chiave su una linea Manuale MailSecurity per Exchange/SMTP Configurazione della Verifica dei Contenuti e degli Allegati 29

34 diversa. Le frasi dovrebbero essere racchiuse tra doppi apici. Gli operatori di condizioni dovrebbero essere scritti in lettere maiuscole. Suggerimento: si esporti un file di esempio per vedere il formato esatto. 7. Ora si può procedere all opzione successiva e specificare le parole che si vogliono verificare nell oggetto del messaggio. Regola di verifica dei contenuti opzione Subject (Oggetto). Specifica delle azioni da intraprendere 8. Dopo aver specificato che cosa la regola di verifica dei contenuti deve controllare, è possibile specificare cosa si deve fare se GFI MailSecurity scopre un messaggio contenente quelle parole. Regola di verifica dei contenuti opzione Actions (Azioni) - versione gateway. 30 Configurazione della Verifica dei Contenuti e degli Allegati Manuale MailSecurity per Exchange/SMTP

35 Si può scegliere tra le opzioni seguenti: Block mail & perform action (Blocca messaggio ed esegui azione): Abilitando questa opzione si blocca il messaggio che si può mettere in quarantena, cancellare o spostare. Quarantine mail (Mette in quarantena il messaggio): Mette in quarantena i messaggi di posta per la revisione da parte di un amministratore. Per ulteriori informazioni sulla quarantena, consultare il relativo capitolo. Delete mail (Cancella messaggio solo per la versione Gateway): Questa opzione cancellerà l intera . Delete body/attachment (Cancella corpo/allegato): Questa opzione cancellerà le parti offensive del messaggio di posta (ad esempio il corpo del messaggio o l allegato). Move mail to folder (Sposta alla cartella): Questa opzione sposta il messaggio in una cartella. Notification (Notifica) Sono disponibili le seguenti opzioni di notifica: Notify user via mail (Notifica utente via ): Questa opzione consente di informare l utente via che il messaggio è stato bloccato. Notify manager via mail (Notifica amministratore via ): Questa opzione consente di informare via l amministratore che il messaggio è stato bloccato. L amministratore di un utente è specificato nella Active Directory (Cartella Attiva). Se non è specificato nessun amministratore, viene informato il manager di default. L amministratore di default può essere configurato delle opzioni di quarantena. Log occurrence of rule to this file (Registra il verificarsi della regola in questo file): Come opzione si può registrare il fatto che una regola è stata attivata in un file di registrazione a propria scelta. Nota: Si può anche decidere di non bloccare il messaggio, ma semplicemente di informare l utente o registrarne il fatto. Applicazione della regola agli utenti 9. Dopo aver configurato che cosa verificare e che cosa fare, è possibile specificare per quali utenti GFI MailSecurity applica questa regola. Per default GFI MailSecurity applica la regola a tutti i messaggi di posta. Tuttavia si può scegliere di applicarla soltanto ad alcuni utenti. Ciò è possibile dall opzione Users (Utenti). Manuale MailSecurity per Exchange/SMTP Configurazione della Verifica dei Contenuti e degli Allegati 31

36 L opzione Users della regola di verifica dei contenuti. Per aggiungere utenti, selezionare Add (Aggiungi). GFI MailSecurity elenca automaticamente tutti gli utenti presenti nella Active Directory (Cartella Attiva). Se non si ha una Active Directory, vengono elencati tutti gli indirizzi SMTP noti/importati. È possibile selezionare a quali utenti applicare la regola. In alternativa si possono selezionare gli utenti cui la regola non deve essere applicata! Si può anche applicare la regola a una o più cartelle pubbliche di posta abilitate. Quando si è pronti per specificare a quali utenti applicare la regola, fare clic su OK per salvarla. Rinomina della regola Dopo aver creato e salvato la regola, è possibile rinominarla. Per farlo è sufficiente evidenziare la regola, fare clic con il tasto destro del mouse e selezionare Rename (Rinomina). Creazione di una regola di verifica degli allegati Una regola di verifica degli allegati consente di bloccare gli allegati di un certo tipo. La regola di verifica degli allegati è diversa dalla regola di verifica dei contenuti perché verifica soltanto il tipo di allegato. La regola di verifica dei contenuti verifica anche gli allegati, ma soltanto le parole contenute al loro interno. Se si sta lavorando in modalità Exchange 2000 VS API: Fare attenzione all applicazione delle regole agli allegati! Alcune applicazioni MAPI che vengono eseguite su Exchange potrebbero utilizzare file vbs o exe. In questo caso assicurarsi di non applicare regole per mettere in quarantena file exe o vbs in caselle di posta utilizzate da queste applicazioni. Per creare una regola di verifica degli allegati, procedere come descritto di seguito: 32 Configurazione della Verifica dei Contenuti e degli Allegati Manuale MailSecurity per Exchange/SMTP

37 1. Evidenziare l opzione di verifica degli allegati nella Configurazione di GFI MailSecurity. Fare clic con il tasto destro del mouse e selezionare New > Attachment checking rule (Nuovo > Regola di verifica degli allegati). 2. Nella schermata di destra viene creata una nuova regola. Fare clic due volte sulla regola. Viene visualizzata una finestra di dialogo con opzioni. La regola di verifica degli allegati. 3. È possibile specificare se applicare questa regola ai messaggi di posta in arrivo, interni, in uscita o a tutti. Per comprendere in che modo GFI MailSecurity determina se un messaggio è in arrivo, interno o in uscita, fare riferimento al capitolo Utilizzo Avanzato. Verifica degli allegati 4. Specificare quali allegati bloccare. È possibile specificare un elenco degli allegati da bloccare o degli allegati ammessi, per esempio doc o txt. Aggiunta di un tipo o nome di file da bloccare. Per aggiungere un file da bloccare, fare clic su Add (Aggiungi). Si può utilizzare il simbolo asterisco (*) per specificare file che hanno Manuale MailSecurity per Exchange/SMTP Configurazione della Verifica dei Contenuti e degli Allegati 33

38 determinate stringhe nel proprio nome. Ad esempio specificando *orders*.mdb vengono bloccati tutti i file che contengono nel proprio nome la stringa orders, mentre se si specifica *.jpg saranno bloccati tutti i file jpg. E anche possibile bloccare gli allegati in base alle dimensioni. Questo può essere fatto facilmente selezionando l opzione Block files greater than (Blocca i file maggiori di) e inserendo la dimensione massima dell allegato. La sezione regole di Azioni per la verifica degli allegati. Specifica delle azioni da intraprendere 5. Dopo aver specificato che cosa deve verificare la regola degli allegati, è possibile specificare cosa si deve fare se GFI MailSecurity trova quel tipo di allegato. Si può scegliere tra le opzioni seguenti: Block attachment & perform action (Blocca allegato ed esegui azione): Abilitando questa opzione si blocca l allegato che si può mettere in quarantena, cancellare o spostare. Quarantine attachment (Mette in quarantena l allegato): Mette in quarantena l allegato per la revisione da parte di un amministratore. Per ulteriori informazioni sulla quarantena, consultare il relativo capitolo. Delete attachment (Cancella allegato): Questa opzione cancella l allegato. Move attachment to folder (Sposta allegato nella cartella): Questa opzione sposta l allegato in una cartella. Notification (Notifica) Sono disponibili le seguenti opzioni di notifica: Notify user via mail (Notifica utente via ): Questa opzione consente di informare l utente via che l allegato è stato bloccato. 34 Configurazione della Verifica dei Contenuti e degli Allegati Manuale MailSecurity per Exchange/SMTP

39 Notify manager via mail (Notifica amministratore via ): Questa opzione consente di informare l amministratore degli utenti via che l allegato è stato bloccato. L amministratore di un utente è specificato nella Active Directory (Cartella Attiva). Se non è specificato nessun amministratore, viene informato l amministratore di default. L amministratore di default può essere configurato dalle opzioni di quarantena. Nota: Questa opzione è disponibile soltanto se si ha Active Directory (Cartella Attiva). Log occurrence of rule to this file (Registra il verificarsi della regola in questo file): Come opzione si può registrare il fatto che una regola è stata attivata in un file di registrazione a propria scelta. Nota: Si può anche decidere di non bloccare l allegato, ma semplicemente di informare l utente o di registrarne il fatto. Applicazione della regola agli utenti 6. Dopo aver configurato che cosa verificare e che cosa fare, è possibile specificare per quali utenti GFI MailSecurity applica questa regola. Per default GFI MailSecurity applica la regola a tutti i messaggi di posta. Tuttavia si può scegliere di applicarla soltanto ad alcuni utenti. Ciò è possibile dall opzione Users (Utenti). L opzione Users della regola di verifica dei contenuti. Per aggiungere utenti, selezionare Add (Aggiungi). GFI MailSecurity elenca automaticamente tutti gli utenti presenti nella Active Directory (Cartella Attiva). Se non si ha una Active Directory, vengono elencati tutti gli indirizzi SMTP noti/importati. È possibile selezionare a quali utenti applicare la regola. In alternativa si possono selezionare gli utenti cui la regola non deve essere applicata. Si può anche applicare la regola a una o più cartelle pubbliche di posta abilitate. Quando si è pronti per specificare a quali utenti applicare la regola, fare clic su OK per salvarla. Manuale MailSecurity per Exchange/SMTP Configurazione della Verifica dei Contenuti e degli Allegati 35

40 Rinomina della regola Dopo aver creato e salvato la regola, è possibile rinominarla. Per farlo è sufficiente evidenziare la regola, fare clic con il tasto destro del mouse e selezionare Rename (Rinomina). 36 Configurazione della Verifica dei Contenuti e degli Allegati Manuale MailSecurity per Exchange/SMTP

41 Quarantena Introduzione Quando un non supera la verifica dei contenuti e viene messa in quarantena da GFI MailSecurity, il messaggio deve essere rivisto da una persona autorizzata (in seguito chiamata amministratore) e quindi approvato o rifiutato. In GFI MailSecurity questo processo di revisione può essere eseguito nei modi seguenti: 1. Tramite un HTML all amministratore. 2. Tramite un HTML inviata a una cartella pubblica. 3. Tramite un HTML inviata all amministratore/supervisore degli utenti. 4. Tramite il client moderator. 5. Utilizzando un moderator basato sul web. Il vantaggio di utilizzare un HTML è che il processo è proattivo, ossia il moderator non deve ricordarsi di verificare il client moderator. Inoltre i messaggi possono essere approvati/rifiutati direttamente da un client in qualsiasi punto della rete. Per di più consente di distribuire il carico dei messaggi di moderazione tra gli amministratori degli utenti o in una cartella pubblica. Dando accesso a più di una persona alla cartella pubblica, si può dividere il carico della moderazione. Il vantaggio di utilizzare anche un client moderator o un moderator basato sul web è che l interfaccia risulta ottimizzata per velocizzare la conferma/rinuncia di gruppi di . Opzioni di quarantena Si può impostare in che modo i messaggi devono essere messi in quarantena dal menu Quarantine Options (Opzioni di Quarantena) nella configurazione di GFI MailSecurity. Per farlo, fare clic con il tasto destro del mouse su Quarantine Options (Opzioni di Quarantena) per visualizzare Quarantine Properties (Proprietà di Quarantena). Manuale MailSecurity per Exchange/SMTP Quarantena 37

42 Modalità di quarantena. Adesso si proceda a configurare chi deve moderare i messaggi e- mail: 1. Send quarantined mail to the User's manager (Invia messaggio in quarantena all amministratore degli utenti): Questa opzione invia il messaggio all amministratore degli utenti come configurato nella Active Directory (Cartella Attiva). (Vedere di seguito). 2. Send all quarantined mail to the following user (Invia tutti i messaggi in quarantena al seguente utente): Questa opzione invia tutti i messaggi in quarantena a un unico utente, di solito l amministratore di rete. 3. Send all quarantined mail to a mail enabled public folder (Invia tutti i messaggi in quarantena a una cartella pubblica abilitata): Questa opzione consente di specificare una cartella pubblica. Dando accesso a questa cartella a più utenti si può dividere il carico di moderazione. Nota: Questa opzione è disponibile solo se si sta utilizzando la modalità VS API. E possibile utilizzare una cartella pubblica anche nella modalità Gateway, però in questo caso è necessario specificare l indirizzo della cartella pubblica nell opzione Quarantena Manuale MailSecurity per Exchange/SMTP

43 Opzioni di Quarantena Opzioni di Quarantena. Nella sezione per le opzioni di Quarantena è possibile specificare in che modo si intende approvare i file posti in quarantena e spedirli ai vari destinatari: Always send file as attachment (Invia sempre il file come allegato): Questa opzione allega sempre il file posto in quarantena all . Se si sta utilizzando DownloadSecurity, e il file allegato è molto grande la viene scaricata molto lentamente, pertanto tale opzione non è raccomandata. Send link instead of attachment if file exceeds a number of bytes (Invia un collegamento invece che l allegato se il file eccede un numero di byte): Questa opzione invia un link se il file allegato è molto grande. Always send link instead of attachment (Invia sempre un collegamento invece che l allegato): Questa opzione fa sic he sia inviato sempre un collegamento anziché il file allegato. Configurazione di un amministratore nella Active Directory (Cartella Attiva) Questa opzione è disponibile soltanto se si ha Active Directory (Cartella Attiva). Per configurare l amministratore di un utente nella Active Directory (Cartella Attiva): 1. Avviare Active Directory Users & Computers (Utenti e Computer della Cartella Attiva) e passare al menu degli utenti. 2. Selezionare ora l utente per cui si desidera configurare l amministratore. Fare doppio clic per visualizzare le proprietà dell utente. Manuale MailSecurity per Exchange/SMTP Quarantena 39

44 3. Passare all opzione Organization (Organizzazione). Ora fare clic sul tasto Manager (Amministratore) per specificare l amministratore dell utente. Configurazione di un amministratore nella Active Directory (Cartella Attiva). Approvazione/rifiuto di un messaggio tramite un client Quando un è in quarantena, l amministratore viene informato ricevendo il messaggio in quarantena. L oggetto del messaggio indica quale utente di posta ha attivato la quarantena e il motivo della messa in quarantena. Un messaggio in quarantena in una cartella pubblica. 40 Quarantena Manuale MailSecurity per Exchange/SMTP

45 La notifica dell in quarantena contiene il motivo della quarantena, l originale in allegato e le tre opzioni seguenti: Approve Message (Approva Messaggio): Approva il messaggio che viene inviato automaticamente al destinatario. Delete Message (Cancella Messaggio): Cancella il messaggio. Delete and Notify (Cancella e Notifica): Questa azione cancella il messaggio e informa il mittente che il messaggio non è stato inviato. Si può selezionare l azione preferita. Si può anche inoltrare il messaggio direttamente al destinatario o a un altro utente utilizzando la funzione di inoltro del proprio client di posta. Si può informare automaticamente l utente in merito all esito della quarantena. Approvazione/rifiuto di un messaggio utilizzando il Client Moderator Quando un è in quarantena, viene posta anche nell elenco del client moderator. Il client moderator elenca tutte le che sono state in quarantena. Questa utility consente di approvare o rifiutare i messaggi a volume elevato poiché è possibile approvare/rifiutare messaggi multipli in una volta sola. Il client moderator è leggermente differente a seconda che si sia installato GFI MailSecurity in modalità VS API o Gateway. Se si è installata la modalità Gateway, GFI MailSecurity consentirà di eliminare un intera , non solo una parte del messaggio. Inoltre, se un ha parti offensive multiple, queste saranno raggruppate. Manuale MailSecurity per Exchange/SMTP Quarantena 41

46 Il Client moderator versione gateway. Per utilizzare il client moderator, procedure come segue: 1. Accedere al client moderator dal gruppo di programmi MailSecurity. Il client consiste in un interfaccia a doppio pannello, che consente di visualizzare velocemente tutti i messaggi in quarantena. Inoltre, è possibile visualizzare: Critical Failures (Errori Critici): Elenca tutti gli errori di processo. Notifications (Notifiche): Elenca tutti i messaggi che GFI MailSecurity ha generato in merito ad eventi accaduti, quali ad esempio l aggiornamento dei file di definizione di un virus. 2. Approvare o rifiutare un , semplicemente facendo clic con il mouse sulla sezione Quarantined mails (Posta in Quarantena). In questa sezione sono mostrate le in quarantena. E possibile approvare o rifiutare un facendo clic col pulsante destro del mouse sull e selezionando l azione desiderata. Approvazione di un utilizzando il client moderator. Utilizzo di un client moderator remoto Il terzo modo per approvare o rifiutare un è quello di utilizzare un client moderator remoto basato sul web. Il moderator remoto basato sul web elenca tutte le che sono state poste in quarantena. Questa utility consente di approvare o rifiutare i messaggi a volume elevato poiché è possibile approvare/rifiutare messaggi 42 Quarantena Manuale MailSecurity per Exchange/SMTP

47 multipli in una volta sola. Il client moderator è leggermente differente a seconda che si sia installato GFI MailSecurity in modalità VS API o Gateway. Se si è installata la modalità Gateway, GFI MailSecurity consentirà di eliminare un intera , non solo una parte del messaggio. Inoltre, se un ha parti offensive multiple, queste saranno raggruppate. Moderator remoto basato sul web. Per utilizzare il moderator remoto procedure come segue: 1. Assicurarsi di avere installato il moderator remoto secondo le istruzioni illustrate nel paragrafo Installazione del moderator basato sul web (Alla fine del presente capitolo). 2. Recarsi all URL seguente: ed inserire il codice di autentificazione (Questo dipende da come si è configurato). 3. Dopo l autentificazione, il moderator remoto mostrerà le poste in quarantena sul lato destro del pannello. Sul lato sinistro invece sono mostrate 3 sezioni: Viewing (Visualizzazione) consente di selezionare quarantined mails ( in quarantena), critical failures (errori critici) o notifications (notifiche). Messages (Messaggi) consente di effettuare operazioni sulle in quarantena, ad esempio selezionarle tutte, approvarle o rifiutarle. Navigation (Navigazione) consente di navigare sul sito. Manuale MailSecurity per Exchange/SMTP Quarantena 43

48 Un messaggio in quarantena nel moderator remoto. 4. Per approvare o rifiutare un , espandere l in quarantena facendo clic con il mouse sulla freccia alla destra della e- mail. Saranno elencate le ragioni per cui la è stata posta in quarantena. E possibile visualizzare l facendo clic sul collegamento all . E possibile visualizzare l intestazione dell cliccando sul collegamento headers.txt. Visualizzazione del contenuto con il moderato remoto. 5. E possibile poi approvare o rifiutare l INTERA o, alternativamente, solo una particolare parte di essa: Per approvare o rifiutare l intera , selezionare l opzione Delete (Cancella) davanti all , Delete & Notify 44 Quarantena Manuale MailSecurity per Exchange/SMTP

49 (Cancella e Notifica) oppure Approve (Approva) nella sezione Messages alla sinistra dell . Per approvare o rifiutare una parte di , fare clic sul tasto appropriato appena sotto la parte selezionata. Approvazione di un utilizzando il moderator basato sul web. 6. In alternative alle in quarantena è possible visualizzare: Critical Failures (Errori Critici): Elenca tutti gli errori di processo. Notifications (Notifiche): Elenca tutti i messaggi che GFI MailSecurity ha generato in merito ad eventi accaduti, quali ad esempio l aggiornamento dei file di definizione di un virus. Per tali visualizzazioni basta semplicemente fare clic con il mouse sulle appropriate intestazioni nella sezione Viewing (Visualizzazione). Messaggi in quarantena dal punto di vista dell utente La messa in quarantena dei messaggi è estremamente trasparente per gli utenti. È leggermente diversa a seconda della modalità in cui si sta eseguendo GFI MailSecurity. In modalità SMTP gateway Per la posta in arrivo e in uscita, gli utenti ricevono il messaggio in quarantena o l allegato appena è stato approvato dall amministratore. In modalità VS API Exchange 2000 Per la posta in arrivo, gli utenti ricevono il messaggio in quarantena o l allegato appena è stato approvato dall amministratore. Per la posta in uscita, tuttavia, la procedura è leggermente più complessa. Questo è dovuto al fatto che GFI MailSecurity non riceve informazioni sul mittente tramite VS API e quindi GFI MailSecurity genera un messaggio che l utente deve inoltrare al destinatario originale. Manuale MailSecurity per Exchange/SMTP Quarantena 45

50 Inoltro di un allegato messo in quarantena al destinatario originale. Ticketing system (Sistema di biglietteria) in modalità VS API Il sistema che consente di spedire la posta in uscita dopo che è stata messa in quarantena si chiama Ticketing Sistem (Sistema di Biglietteria). In pratica succede che un nuovo messaggio contenente il file in allegato o il messaggio originale messo in quarantena viene inviato all utente accompagnato da un numero di ticket (biglietto) che dà all utente 24 ore di tempo (configurabili) per inoltrare il messaggio o l allegato al destinatario originale. L utente può modificare il corpo di questo messaggio di approvazione, ma non l allegato. Installazione del moderator basato sul web Affinché possa essere utilizzato il moderator basato sul web, è necessario installare il moderator attraverso la configurazione IIS. A tale proposito, seguire la seguente procedura: 1. Con l installazione di MailSecurity tutti i file necessari sono installati nella cartella MailSecurity\RemoteModerator. Questa cartella contiene una sottocartella wwwroot, che contiene i file per il Moderator basato sul web. 46 Quarantena Manuale MailSecurity per Exchange/SMTP

51 Creazione di una cartella virtuale. 2. Per utilizzare il moderator basato sul web, è necessario creare una cartella virtuale in IIS che punti alla cartella wwwroot. Per fare questo, aprire Internet Services Manager (Servizi di Amministrazione Internet), fare clic col pulsante destro del mouse sulla sezione Web Site (Sito Web), e dal menu selezionare New Virtual Directory (Nuova Cartella Virtuale). Indicazione della Cartella Virtuale. 3. In questo modo si avvierà il Wizard di Virtual Directory Creation (Creazione della Cartella Virtuale). Fare clic su Next per continuare. A questo punto è necessario fornire l alias per la cartella virtuale (un nome breve per un rapido riferimento). In questo caso è RemoteModerator, ma è possibile inserire un qualsiasi nome a piacere la cui lunghezza soddisfi le normali convenzioni Windows per i nomi delle cartelle. A tale proposito si osservi la figura sottostante. Manuale MailSecurity per Exchange/SMTP Quarantena 47

52 Indicazione della cartella per il contenuto relativo al sito web. 4. A questo punto inserire il percorso dove localizzare il contenuto relativo al sito web. Dal Wizard, fare clic con il mouse su Browse e selezionare la sottocartella wwwroot posta nel percorso di installazione di MailSecurity all interno della cartella RemoteModerator. 5. Successivamente è necessario settare i permessi di accesso per il Client Moderator Remoto. Dalla sezione Access Permissions (Permessi di Accesso), selezionare solo le caselle Read (Leggi) e Run Scripts (Esegui Script). A questo punto fare clic su Next per completare il wizard della creazione della Virtual Directory (Cartella Virtuale). Installazione dei permessi di accesso per la Cartella Virtuale. 48 Quarantena Manuale MailSecurity per Exchange/SMTP

53 La nuova Cartella Virtuale creata. 6. A questo punto selezionare la cartella virtuale creata di recente, situata all interno della cartella del server del sito web, e fare clic col pulsante destro del mouse e scegliere Properties (Proprietà). Proprietà delle Virtual Directory (Cartella Virtuale). 7. Dalla finestra di dialogo delle proprietà, scegliere la sezione Virtual Directory e selezionare le caselle Read (Leggi), Log visits (Visione registri) e Index this resource (Indice di risorse). 8. Successivamente premere OK. Verrà mostrata la finestra di dialogo per la Application Configuration (Configurazione dell Applicazione). Scegliere App Options (Opzioni di Applicazione) e selezionare le specifiche così come è indicato nell immagine. Ci si assicuri di avere settato il campo ASP Script Timeout al valore 600 o superiore. Alcune operazioni possono richiedere tempo, specialmente se il computer è sovraccarico. In questo modo si è sicuri che gli script rientrino in un intervello di tempo sufficiente. Premere OK per chiudere la finestra di dialogo. Manuale MailSecurity per Exchange/SMTP Quarantena 49

54 Opzioni della finestra di dialogo per l Application Configuration (Configurazione dell Applicazione). 9. Nella finestra dialogo Properties (Proprietà) premere ancora una volta OK per chiuderla. Protezione del moderator basato sul web Affinché il Client Moderator Remoto consenta un controllo amministrativo dei messaggi e dei file, posti in quarantena da MailSecurity o DownLoadSecurity, è importante che venga realizzata la propria autentificazione. Vi sono tre modi possibili per proteggere il Client Moderator Remoto: Basic Authentication (Autentificazione di Base), Digest e Integrated Windows Authentication (Autentificazione Windows Sintetizzata e Integrata). L Autentificazione Windows Integrata è la scelta preferita in un ambiente Active Directory (Cartella Attiva), questo perché consente un processo di autentificazione integrale, senza la richiesta iniziale di user name e password degli utenti. Inoltre, per l autentificazione utilizza le informazioni windows correnti sul computer client utente. Se si sta installando GFI MailSecurity nella zona DMZ (Zona perimetrale della rete, detta anche zona smilitarizzata), è necessaria una Basic Authentication (Autentificazione di Base). I passi seguenti mostrano come rendere sicuro l accesso al Moderator basato sul web. 1. Aprire Internet Services Manager (Manger per i servizi Internet). Fare clic con il pulsante destro del mouse sulla cartella virtuale del Remote Moderator Client (Client Moderator Remoto) all interno del sito web del server e selezionare Properties (Proprietà). 50 Quarantena Manuale MailSecurity per Exchange/SMTP

55 2. Assicurarsi di aver deselezionato Directory Browsing all interno della sezione Virtual Directory (Cartella Virtuale). 3. Selezionare la sezione Documents (Documenti) e rimuovere tutti i documenti di default. Aggiungere il documento di default seguente, main.asp. Documento di default per il Moderator basato sul web. 4. Successivamente selezionare la sezione Directory Security (Cartella Sicurezza) e fare clic con il mouse sul tasto Edit per l Accesso Anonimo e il Gruppo di Controllo per l Autentificazione. 5. Selezionare la casella Integrated Windows authentication (Autentificazione Windows Integrata raccomandata se si sta installando su una rete interna) OPPURE la casella Basic Authentication (se si sta installando nella zona DMZ). Assicurarsi che sia deselezionato Anonymous access (Accesso anonimo). Manuale MailSecurity per Exchange/SMTP Quarantena 51

56 Metodi di autentificazione per il Client Moderator Remoto. Se si sta utilizzando l autentificazione Windows Integrata, allora l autentificazione si troverà opposta alla Active Directory. Questo sta a significare che è necessario configurare utenti addizionali. Se si sta utilizzando l autentificazione di Base, allora l autentificazione si troverà opposta al database presente sul computer dell utente locale. In questo caso è necessario creare sul computer locale delle password e degli user name (nome utenti). Per ulteriori informazioni sulla sicurezza IIS, si consiglia di rivedere la documentazione IIS. Assicurarsi di non consentire accessi anonimi! 6. A questo punto restringere l accesso agli account desiderati utilizzando i permessi NTFS. Aprire l Explorer e raggiungere la sottocartella wwwroot posta nella cartella RemoteModerator nel percorso di installazione di MailSecurity. Fare clic con il pulsante destro del mouse sulla sottocartella wwwroot e selezionare Properties (Proprietà) e quindi la sezione Security (Sicurezza). 7. Aggiungere/rimuovere gli utenti/gruppi a cui si è deciso di consentire l accesso al Client Moderator Remoto. Per consentire l accesso ai soli utenti che fanno parte del gruppo di amministratori, configurare la sezione Security (Sicurezza) nella finestra di dialogo. Fare clic su OK. Il Moderator basato sul web è adesso posto in condizioni di sicurezza. Configurazione dei permessi NTFS per il Moderator basato sul Web. Se si utilizza GFI DownloadSecurity: E necessario escludere l URL del Moderator basato sul web, allo scopo di evitare di porre in quarantena gli stessi file due volte. A tale proposito procedere come segue: 1. Aprire la consolle ISA Management (Gestione ISA). Espandere il menu del server dove è installato DownloadSecurity, e 52 Quarantena Manuale MailSecurity per Exchange/SMTP

57 raggiungere la sottosezione Extensions Web Filters (Estensioni Filtri Web). Fare clic col pulsante destro del mouse sul modulo di filtro di DownloadSecurity nella parte destra del pannello della consolle ISA Management (Gestione ISA). 2. Nella casella di dialogo DownloadSecurity Filter Properties (Proprietà di filtro di DownLoadSecurity) aggiungere il dominio del server dove è installato il Client Moderator Remoto, con questo non si sottopone a scansione la lista degli URL. Premere il tasto OK per chiudere la casella di dialogo. In questo modo GFI DownloadSecurity non analizzerà i file del sito web dove si trova il Moderator basato sul web. Manuale MailSecurity per Exchange/SMTP Quarantena 53

58

59 Configurazione della verifica dei virus Configurazione dei motori di scansione GFI MailSecurity può verificare la presenza di virus in tutti i messaggi in arrivo, interni e in uscita. Tutti i messaggi contenenti virus vengono messi in quarantena per essere rivisti da un amministratore. Una delle principali caratteristiche di GFI MailSecurity è che può utilizzare uno o più motori di scansione dei virus. Nella versione standard sono compresi sia il motore Norman Virus Control che il motore di scansione dei virus Bitdefender. Come opzione si può acquistare la licenza del motore di scansione dei virus McAfee. Il motore antivirus Norman è un motore di rilevazione dei virus testato e affidabile che ha ricevuto numerosi riconoscimenti e certificazioni, tra cui le certificazioni leader sul mercato ICSA, VirusBTN e Check mark. Bitdefender è un motore di scansione dei virus nuovo e innovativo che ha ricevuto la certificazione ICSA. È importante notare che la verifica della posta in arrivo con un motore antivirus rappresenta soltanto una piccola parte di GFI MailSecurity. È molto importante installare anche la verifica dei contenuti di tutti i messaggi in arrivo e in uscita al fine di bloccare le contenenti script e macro. Configurazione dei motori di scansione dei virus Per configurare il controllo dei virus, passare al menu dei motori di scansione dei virus. Questo menu elenca tutti i motori di scansione dei virus installati. È possibile configurare separatamente ogni motore di scansione dei virus. Cancellazione/Messa in quarantena delle infette Si può configurare GFI MailSecurity in modo tale da cancellare completamente un infetta da un virus o alternativamente, cancellare la sola parte infetta (ad esempio un file allegato) oppure mettere l in quarantena. Quanto detto può essere effettuato dalla finestra di dialogo delle proprietà dei motori anti-virus. A tale proposito, procedere come segue: Manuale MailSecurity per Exchange/SMTP Configurazione della verifica dei virus 55

60 Finestra di dialogo delle proprietà della scansione anti-virus. 1. Accedere alla sezione dei motori anti-virus per la scansione, fare clic col pulsante destro del mouse e selezionare Properties (Proprietà). 2. Verrà mostrato la finestra di dialogo per le proprietà di scansione dei motori anti-virus. Selezionare se si intende porre l in quarantena, cancellare la parte infetta o eliminare l intera , e quindi fare clic su OK per completare l operazione. Configurazione di Norman Virus Control Per configurare il motore Norman Virus Control, procedere come descritto di seguito: 1. Passare alla sezione Virus Scanning Engines > Norman Virus Control (Motori di Scansione dei Virus > Norman Virus Control) e fare clic con il tasto destro del mouse per selezionare le proprietà. 2. Abilitare il controllo dei virus per la posta in arrivo, interna, in uscita o per tutti i messaggi. 56 Configurazione della verifica dei virus Manuale MailSecurity per Exchange/SMTP

61 Opzioni di controllo dei virus. Impostazioni delle macro di Microsoft Word 3. Norman Virus Control consente inoltre di bloccare i documenti word che contengono macro. Si può selezionare una delle opzioni seguenti: Do not check macros (Non controllare macro non raccomandata). Con questa opzione GFI MailSecurity ignora le macro e fa affidamento soltanto sul motore antivirus per verificare la presenza di nuovi virus. Block all documents containing macros (Blocca tutti i documenti contenenti macro) Questa opzione mette in quarantena tutti gli allegati Microsoft Word che contengono macro. Blocco delle macro di word È altamente raccomandato mettere in quarantena tutte le macro. Questo protegge al 100% contro virus di macro sconosciuti. Alcune macro non sono virus, tuttavia le macro ricevute via Internet sono estremamente sospette. Naturalmente il motore per i virus verifica la presenza di virus noti, mai i nuovi virus di posta elettronica possono diffondersi così rapidamente che il proprio sistema può infettarsi prima che gli antivirus vengano aggiornati (questo succede a tutti i motori antivirus). Inoltre gli hacker maligni potrebbero utilizzare una macro fatta su misura nascosta in un documento word per attaccare la società dell utente e installare un troiano o ottenere informazioni riservate. Manuale MailSecurity per Exchange/SMTP Configurazione della verifica dei virus 57

62 Impostazioni degli aggiornamenti antivirus. Informazioni sul motore di scansione Norman 4. Questa sezione nell opzione General (Generale) visualizza la versione del motore di scansione e la data degli attuali file di firma. Impostazioni degli aggiornamenti antivirus Si possono impostare aggiornamenti antivirus dall opzione Updates (Aggiornamenti). Sono disponibili tre opzioni: 1. Si può decidere che GFI MailSecurity verifichi automaticamente gli aggiornamenti e li scarichi. (Raccomandata). 2. Si può decidere che GFI MailSecurity verifichi gli aggiornamenti e informi se ce ne sono. 3. Si può decidere che GFI MailSecurity non verifichi gli aggiornamenti. Questa opzione consente di aggiornare manualmente tramite il pulsante Check/downloads updates now (Verifica/scarica aggiornamenti ora). Per abilitare il download automatico degli aggiornamenti antivirus, selezionare Check for updates and download (Verificare aggiornamenti e scaricarli). Selezionare quindi il server FTP: ftp.gfi.com o ftp.gfifax.de. Selezionare ftp.gfi.com se ci si trova negli Stati Uniti/Canada e ftp.gfifax.de se si è in Europa o in un altro paese del mondo. Con questa opzione abilitata, GFI MailSecurity controlla il sito Web GFI ogni 2 ore per verificare la presenza di nuovi file di definizione dei virus. GFI MailSecurity utilizza Internet Explorer per scaricare, quindi se si utilizza un server proxy, installare Internet Explorer in modo che funzioni correttamente con il server proxy. Nota: Se si è dietro un firewall, si deve abilitare una connessione FTP sul firewall che consente al computer dov è installato GFI MailSecurity di attivare una connessione FTP (PORTA 21) per ftp.gfi.com o ftp.gfifax.de. Per una descrizione relativa a questa installazione con il server Microsoft ISA, fare riferimento al capitolo Utilizzo avanzato 58 Configurazione della verifica dei virus Manuale MailSecurity per Exchange/SMTP

63 Active/Passive (Attivo/Passivo) Selezionare se GFI MailSecurity deve scaricare gli aggiornamenti utilizzando FTP attivi o passivi. Si raccomanda di utilizzare FTP attivi in quanto quelli passivi sono un protocollo più verso la parte del cliente. Attivazione manuale dell aggiornamento antivirus Si può attivare uno scaricamento automatico degli aggiornamenti antivirus facendo clic sul pulsante Check/download updates now (Verifica/scarica aggiornamenti ora). Se lo scaricamento dei file di aggiornamento antivirus non ha successo, nella cartella GFI MailSecurity viene creato un file denominato ltautodnvc.txt e in alternativa ltvircheck.txt. In questo caso, inviare i suddetti file a [email protected]. Sito web Norman Per ulteriori informazioni sui modelli antivirus compresi nel motore Norman Virus Control (NVC), visitare il sito web NVC: Configurazione Bitdefender Per configurare il motore Bitdefender, procedere come descritto di seguito: 1. Passare alla sezione Virus Scanning Engines > Bitdefender (Motori di scansione antivirus > Bitdefender), fare clic con il tasto destro del mouse e selezionare le proprietà. 2. Abilitare il controllo antivirus per la posta in arrivo/interna e/o per la posta in uscita. Le opzioni del motore antivirus sono identiche alle opzioni del motore Norman. Per una loro descrizione, fare riferimento al paragrafo sulla configurazione di Norman Virus Control. Manuale MailSecurity per Exchange/SMTP Configurazione della verifica dei virus 59

64 Configurazione del motore antivirus Bitdefender. Sito web Bitdefender Per maggiori informazioni sui modelli antivirus compresi nel motore Bitdefender, visitare il sito web Bitdefender: Configurazione di McAfee Per configurare il motore Mcafee, procedere come descritto di seguito: 1. Passare alla sezione Virus Scanning Engines > McAfee (Motori di scansione antivirus > Menu McAfee), fare clic con il tasto destro del mouse e selezionare le proprietà. 2. Abilitare il controllo antivirus per la posta in arrivo/interna e/o per la posta in uscita. Le opzioni del motore antivirus sono identiche alle opzioni del motore Norman. Per una loro descrizione, fare riferimento al paragrafo sulla configurazione di Norman Virus Control. Configurazione del motore antivirus McAfee. Sito web McAfee Per maggiori informazioni sui modelli antivirus compresi nel motore McAfee, visitare il sito web McAfee: Configurazione di Kaspersky Nota: Il motore anti-virus Kaspersky è acquistato separatamente: Questo motore non è incluso nel prodotto base. Nella configurazione standard, GFI MailSecurity include sia il motore anti-virus Norman che Bitdefender. Per informazioni sui costi per l aggiunta del motore anti-virus Kaspersky, si prega di consultare il sito web della GFI. 60 Configurazione della verifica dei virus Manuale MailSecurity per Exchange/SMTP

65 Per configurare il motore Kaspersky: 1. Passare alla sezione Virus Scanning Engines > Kaspersky (Motori di scansione antivirus > Kaspersky), fare clic con il tasto destro del mouse e selezionare le proprietà. 2. Abilitare il controllo antivirus per la posta in arrivo/interna e/o per la posta in uscita. Le opzioni del motore antivirus sono identiche alle opzioni del motore Norman. Per una loro descrizione, fare riferimento al paragrafo sulla configurazione di Norman Virus Control. Configurazione del motore anti-virus Kaspersky. Sito web Kaspersky Per maggiori informazioni sui modelli antivirus compresi nel motore Kaspersky, visitare il sito web Kaspersky: Manuale MailSecurity per Exchange/SMTP Configurazione della verifica dei virus 61

66

67 Il motore per gli exploit Introduzione agli exploit Che cos è un exploit? Un exploit utilizza vulnerabilità note delle applicazioni o del sistema operativo per eseguire un programma. In sintesi Expolits (Sfrutta) a proprio vantaggio una proprietà di un programma o di un sistema operativo. Che cos è un exploit? Un exploit è uno exploit lanciato via . Un exploit è essenzialmente un exploit che può essere inserito in un messaggio ed eseguito sul computer degli utenti quando aprono un o quando la ricevono. Consente all hacker di bypassare i firewall e i prodotti antivirus. Differenza tra software antivirus e software di rilevamento degli exploit Il software antivirus è stato creato per rilevare codici maligni. Non analizza necessariamente il metodo utilizzato per eseguire il codice. Al contrario, il motore per exploit analizza gli exploit di un messaggio ossia un metodo utilizzato per eseguire un programma sul sistema dell utente. Il motore per exploit non controlla se il programma è maligno o meno. Si accerta invece della presenza di un rischio per la sicurezza qualora l stia utilizzando un exploit per eseguire un programma sia che il programma eseguito sia dannoso oppure no. In questo modo un motore per exploit opera quasi come un Intrusion Detection System (IDS Sistema di rilevazione di Intrusioni) per un . Il motore per exploit può causare falsi positivi, pertanto è più sicuro di un normale pacchetto antivirus, e questo semplicemente perché utilizza un metodo completamente diverso per proteggere la posta. Inoltre il motore per exploit è ottimizzato per la ricerca degli exploit della posta elettronica e pertanto può realizzare tale compito in modo molto più efficace di un generico motore antivirus. Manuale MailSecurity per Exchange/SMTP Il motore per gli exploit 63

68 Configurazione del motore per exploit Configurazione del motore per exploit. Il motore per e-xploit di posta elettronica è installato per default. L unica cosa che si può configurare sono i tipi di exploit da controllare. Non è raccomandato disabilitare gli exploit da controllare, ma se si desidera farlo, passare al menu del motore di exploit e fare clic con il tasto destro del mouse sul lato destro per deselezionare l abilitazione. Installazione aggiornamenti degli exploit Configurazione per l aggiornamento degli exploit. Si può configurare il motore per exploit in modo che i nuovi exploit vengano scaricati automaticamente non appena sono disponibili. Tale configurazione può essere fatta dalla finestra di dialogo per le proprietà generali di Exploit selezionando la sezione Updates (Aggiornamenti). Per accedere a tale sezione fare clic con il pulsante destro del mouse sul menu Exploit 64 Il motore per gli exploit Manuale MailSecurity per Exchange/SMTP

69 Engine, fare clic con il pulsante destro del mouse e selezionare Properties (Proprietà). Per abilitare la ricerca degli aggiornamenti, assicurarsi che sia selezionata la voce Automatically check for updates (Ricerca automatica degli aggiornamenti). E possibile scegliere se scaricare automaticamente gli aggiornamenti oppure avere una notifica di quando tali aggiornamenti sono disponibili. Grazie all opzione Dowload/Check every: (Scarica/Ricerca ogni:), è possibile specificare un periodo di tempo per il download e la ricerca degli aggiornamenti. Attivazione manuale dell aggiornamento E possibile attivare manualmente il download degli aggiornamenti facendo clic sul tasto Download updates now (Scarica gli aggiornamenti adesso). Opzioni di aggiornamento Le opzioni generali per l aggiornamento, per esempio il tipo di download e la destinazione dei file scaricati, possono essere configurate nella parte di configurazione di MailSecurity: General > General settings (Generale > Condizioni generali). Per ulteriori informazioni sulle opzioni generali di aggiornamento si consiglia di leggere il paragrafo sulle opzioni di aggiornamento nel capitolo Opzioni Generali. Manuale MailSecurity per Exchange/SMTP Il motore per gli exploit 65

70

71 Il motore per le minacce HTML Introduzione Il motore per le minacce HTML (precedentemente chiamato motore per le minacce ) è realizzato per analizzare i messaggi HTML e rilevare la presenza di potenziali minacce e disattivarle. Il motore per le minacce HTML analizza sostanzialmente i messaggi di posta in arrivo HTML per rilevare la presenza di script HTML. Non appena rileva uno script HTML, lo disabilita sostituendolo con dei segnaposto. In seguito a questa azione, il messaggio può essere tranquillamente inviato al destinatario e il destinatario potrà leggerlo come al solito, comprese le immagini e la formattazione, l è però completamente inoffensiva. Il blocco degli script HTML è un processo automatico ed ha luogo senza l intervento dell amministratore. Tale processo di disattivazione degli HTML è stato brevettato da GFI Software Ltd. Perché disattivare gli script HTML? L introduzione della posta HTML ha consentito ai mittenti di inserire degli script nei messaggi che possono essere attivati in automatico all apertura dell . Gli script HTML vengono utilizzati in molti virus che colpiscono dal titolo, per esempio il worm KAK. Inoltre gli script HTML possono essere utilizzati negli attacchi unici diretti a determinati utenti e società. Pertanto è fortemente raccomandato di disabilitare gli script HTML nei messaggi . Il disattivatore degli script HTML è un modo facile per farlo. Manuale MailSecurity per Exchange/SMTP Il motore per le minacce HTML 67

72 Configurazione del motore per le minacce HTML Configurazione del motore per le minacce HTML. Il motore per le minacce è installato e configurato per default. Tutto ciò che si deve fare è abilitarlo e selezionare il livello di sicurezza medio o alto. In modalità di sicurezza media, vengono attenuati tutti gli script HTML altamente pericolosi. In modalità di sicurezza alta, vengono attenutati TUTTI gli script HTML. 68 Il motore per le minacce HTML Manuale MailSecurity per Exchange/SMTP

73 Scanner per Trojan e file eseguibili Introduzione GFI MailSecurity 8 include uno scanner avanzato per Trojan e file eseguibili, che è in grado di analizzare cosa può fare un eseguibile, e mettere in quarantena ogni eseguibile (per esempio Trojan) che agisce in maniera sospetta. Che cosa è un cavallo di Troia (Trojan horse)? Il nome Cavallo di Troia deriva dalla mitologica storia relativa alla Guerra di Troia e di come i Greci riuscirono a vincere i propri nemici. I Greci, dopo estenuanti anni di guerra senza risultati escogitarono un trucco per avere la meglio sui troiani. Costruirono un enorme cavallo di legno che lasciarono alle porte della città di Troia. I Troiani, che credevano fosse un dono con cui i Greci si dichiaravano sconfitti, lo portarono tra le mura cittadine. Durante la notte invece, i Greci, nascosti nel cavallo, attaccarono la città dall interno conquistandola. Nel mondo IT, un Trojan è un metodo usato per entrare di nascosto nel computer di una vittima, garantendo all aggressore l accesso totale ai dati immagazzinati in quel computer e provocando danni elevati per la vittima, così come per i cittadini di Troia. Un Trojan può essere un programma non visibile che opera sul vostro computer senza che voi ve ne accorgiate, oppure, può essere incluso in un programma legittimo, ed eseguire operazioni nascoste senza che voi ne siate a conoscenza. Differenze tra Trojan e Virus La differenza tra Trojan e Virus è che i Trojan sono spesso eseguibili one-off (Unici), diretti ad un utente specifico per ottenere un informazione specifica. Un software antivirus, basato sul riconoscimento delle firme, non è in grado di individuare questi tipi di Trojan. Nei fatti, tutti i software che utilizzano solo il riconoscimento delle firme per individuare programmi maligni non sono in grado di essere efficaci nella ricerca di tali minacce (inclusi quei software specializzati anti-trojan). Un software basato sul riconoscimento delle firme è in grado solamente di individuare virus e Trojan conosciuti, ed è per questo che necessita di continui aggiornamenti. Comunque, questi tipi di software non saranno mai in grado di rilevare un Trojan one-off (Unico). Manuale MailSecurity per Exchange/SMTP Scanner per Trojan e file eseguibili 69

74 Configurazione dello scanner per Trojan ed eseguibili. Come lavora lo scanner per Trojan ed eseguibili GFI MailSecurity usa un approccio differente che incorpora un metodo ingegnoso per stimare il livello di rischio di un eseguibile. Con tale metodo l eseguibile viene decompilato e si analizzano in tempo reale le operazioni che l eseguibile è in grado di fare. Tali operazioni vengono confrontate con un database di operazioni dannose e da qui viene valutato il livello di rischio dell eseguibile. In questo modo, tutti gli eseguibili sconosciuti o i Trojan one-off possono essere individuati ancor prima che essi entrino nel vostro network. Configurazione dello scanner per Trojan ed eseguibili Lo scanner per Trojan ed eseguibili può essere configurato dalla sezione Trojan & Executable Scanner (Scanner per Trojan ed Eseguibili). Se si seleziona tale sezione, le verifiche che realizza lo scanner di Trojan sono elencate sulla parte destra del pannello visualizzato. Si tratta comunque di dettagli a scopo informativo. L opzione di configurazione fondamentale è la selezione del livello di sicurezza dello scanner per Trojan ed eseguibili. Tale opzione indica il livello di rischio consentito ad un eseguibile prima di essere posto in quarantena. Imponendo High Security (Sicurezza Elevata) vengono posti in quarantena quasi tutti gli eseguibili. Imponendo Low Security (Bassa Sicurezza) si consente il passaggio di molti eseguibili. 70 Scanner per Trojan e file eseguibili Manuale MailSecurity per Exchange/SMTP

75 Configurazione del livello di sicurezza Selezione del livello di sicurezza. Per configurare il livello di sicurezza, fare clic con il pulsante destro del mouse sulla sezione Trojan Executable Scanner e selezionare Properties (Proprietà). A questo punto selezionare il livello di rischio per gli eseguibili che si intendono far accedere alla rete: High Security (Sicurezza Elevata): Mette in quarantena quasi tutti i file eseguibili. Se il file eseguibile contiene una firma sarà posto in quarantena. Medium Security (Sicurezza Media): Mette in quarantena gli eseguibili sospetti. Se l eseguibile contiene 1 firma ad alto rischio o una combinazione di firme ad alto e basso rischio, sarà posto in quarantena. Low Security (Sicurezza Bassa): Mette in quarantena gli eseguibili che sono molto probabilmente maligni. L eseguibile sarà messo in quarantena se contiene almeno 1 firma ad alto rischio. Omissione dell analisi degli allegati Se un eseguibile è posto in quarantena a causa del suo livello di rischio, l amministratore deve approvare o rifiutare l eseguibile. E possibile configurare GFI MailSecurity in modo da omettere il modulo per l analisi dell allegato, in modo da evitare che il file venga posto in quarantena una seconda volta. Per fare questo, selezionare la casella Skip Attachment checking if the executable is approved (Salta l analisi degli allegati se l eseguibile è approvato). scenario Manuale MailSecurity per Exchange/SMTP Scanner per Trojan e file eseguibili 71

76 Aggiornamento dello scanner per Trojan ed Eseguibili Configurazione per l aggiornamento dello Scanner per Trojan ed Eseguibili. E possibile configurare lo Scanner per Trojan ed eseguibili in modo da scaricare automaticamente gli aggiornamenti non appena siano disponibili. Questo può essere fatto attraverso la finestra di dialogo della sezione Trojan and Executable Scanner (Scanner per Trojan ed Eseguibili), facendo clic con il pulsante destro del mouse e selezionando Properties (Proprietà). Per abilitare la ricerca degli aggiornamenti, assicurarsi che sia selezionata la casella Automatically check for updates (Ricerca in modo automatico gli aggiornamenti). Si può scegliere di scaricare in modo automatico gli aggiornamenti oppure ricevere una notifica quando questi sono disponibili. Grazie all opzione Dowload/Check every: (Scarica/Ricerca ogni:), è possibile specificare un periodo di tempo per il download e la ricerca degli aggiornamenti. Attivazione manuale dell aggiornamento E possibile attivare manualmente il download degli aggiornamenti facendo clic sul tasto Download updates now (Scarica gli aggiornamenti adesso). Opzioni di aggiornamento Le opzioni generali per l aggiornamento, per esempio il tipo di download e la destinazione dei file scaricati, possono essere configurate nella parte di configurazione di MailSecurity: General > General settings (Generale > Condizioni generali). Per ulteriori informazioni sulle opzioni generali di aggiornamento si consiglia di leggere il paragrafo sulle opzioni di aggiornamento nel capitolo Opzioni Generali. 72 Scanner per Trojan e file eseguibili Manuale MailSecurity per Exchange/SMTP

77 Motore di decompressione Introduzione Il motore di decompressione è utilizzato per decomprimere i file compressi (archivi). Il motore di decompressione GFI è in grado di riconoscere più di 70 differenti formati di compressione. Il motore di decompressione. Configurazione del motore di decompressione E possibile scegliere il modo con cui decomprimere i file compressi dalla sezione relativa al motore di decompressione. In tale sezione vengono illustrate le caratteristiche configurabili sul lato destro del pannello: 1. Check password protected archives (Cerca archivi protetti da password). 2. Check corrupted archives (Cerca archivi danneggiati). 3. Check for amount of files in archives (Cerca il numero di file in archivio). 4. Check for recursive archives (Cerca archivi ricorrenti). 5. Check size of uncompressed files in archives (Cerca la dimensione dei file non compressi in archivio). 6. Scan within archives (Scanning all interno degli archivi). E possibile abilitare o disabilitare ciascun opzione facendo clic con il pulsante destro del mouse e dal menu che compare disabilitare/abilitare l opzione, oppure facendo doppio clic sull opzione e accedere al menu delle proprietà. Manuale MailSecurity per Exchange/SMTP Motore di decompressione 73

78 Check password protected archives (Cerca archivi protetti da password) Cosa fare con gli archivi protetti da password. Questa opzione consente di configurare le operazioni che possono essere effettuate con gli archivi protetti da password. Sono possibili le seguenti operazioni: Quarantine (Porre in quarantena) Mette in quarantena l archivio per una revisione da parte dell amministratore. Skip all modules (Salta tutti i moduli) Questa consente all archivio di by-passare tutte le ricerche antivirus e per la sicurezza dei contenuti. Si raccomanda di utilizzare con cautela questa opzione! Automatically delete (Cancellazione automatica) Questa consente di cancellare in modo automatico l archivio. Opzionalmente è possibile informare l utente via a riguardo degli archivi protetti da password. Check corrupted archives (Cerca archivi danneggiati) Questa opzione consente di configurare le operazioni che possono essere effettuate con gli archivi danneggiati. Sono possibili le seguenti operazioni: Quarantine (Porre in quarantena) Mette in quarantena l archivio per una revisione da parte dell amministratore. Skip all modules (Salta tutti i moduli) Questa opzione consente all archivio di by-passare tutte le ricerche antivirus e per la sicurezza dei contenuti. Si raccomanda di utilizzare con cautela questa opzione! Automatically delete (Cancellazione automatica) Questa opzione consente di cancellare in modo automatico l archivio. Opzionalmente è possibile informare l utente via a riguardo degli archivi danneggiati. 74 Motore di decompressione Manuale MailSecurity per Exchange/SMTP

79 Cerca il numero di file in archivio Questa opzione consente di configurare le operazioni da compiere con quegli archivi che contengono più del numero di archivi consentito. E possibile configurare il limite di archive che possono essere contenuti in un archivio, e cosa fare dell archivio se tale limite è superato. Sono possibili le seguenti operazioni: Quarantine (Porre in quarantena) Mette in quarantena l archivio per una revisione da parte dell amministratore. Automatically delete (Cancellazione automatica) Questa opzione consente di cancellare in modo automatico l archivio. Opzionalmente è possibile informare l utente via a riguardo dell archivio. Check for recursive archives (Cerca archivi ricorrenti) Cosa fare con gli archivi ricorrenti. Questa opzione consente di configurare cosa si intende fare con quegli archivi che contengono più di un certo numero di livelli di archivio (archivi all interno di archivi). Tale opzione è riferita anche ad un archivio ricorsivo o ad un archivio annidato. Un elevato numero di livelli di archivio può spesso rappresentare un archivio maligno: gli archivi ricorsivi possono essere usati in un attacco DoS (Denial of Service). Molti pacchetti antivirus e per la scansione dei contenuti possono essere messi fuori gioco se si invia loro un archivio ricorsivo con livelli di archiviazione multipli. Con questa opzione è possibile configurare il numero massimo di livelli di archivio e cosa fare con un archivio che supera tale numero. Sono possibili le seguenti operazioni: Quarantine (Porre in quarantena) Mette in quarantena l archivio per una revisione da parte dell amministratore. Automatically delete (Cancellazione automatica) Questa opzione consente di cancellare in modo automatico l archivio. Manuale MailSecurity per Exchange/SMTP Motore di decompressione 75

80 Opzionalmente è possibile informare l utente via a riguardo dei file in archivio. Cerca la dimensione dei file non compressi in archivio Questa opzione consente di configurare cosa si intende fare con quegli archivi compressi, quando una volta decompressi, le loro dimensioni eccedono un certo valore prefissato. Gli hacker alcune volte utilizzano tale metodo per attacchi DoS (Denial of Service): inviando un file che una volta decompresso diventa di dimensioni enormi, è possibile mettere fuori gioco i software antivirus e per la scansione dei contenuti. E possibile configurare la dimensione totale dei file decompressi, e cosa fare dell archivio se tale limite viene superato. Sono possibili le seguenti operazioni: Quarantine (Porre in quarantena) Mette in quarantena l archivio per una revisione da parte dell amministratore. Automatically delete (Cancellazione automatica) Questa opzione consente di cancellare in modo automatico l archivio. Opzionalmente è possibile informare l utente via a riguardo dell archivio. Scanning all interno dell archivio Questa opzione consente di disabilitare la ricerca degli allegati ai file in archivio. In effetti tale opzione sta ad indicare che per i file in archivio è possibile by-passare il modulo per la ricerca degli allegati. 76 Motore di decompressione Manuale MailSecurity per Exchange/SMTP

81 Monitoraggio remoto e amministrazione Installazione/configurazione del monitor remoto GFI MailSecurity può essere configurato e collegato ad un monitor remoto. Per poter installare un monitor e configurare GFI MailSecurity in modo remoto, si devono prima installare gli strumenti amministrativi remoti di GFI MailSecurity. Il monitor remoto di GFI MailSecurity. L impostazione di questi strumenti è disponibile nella sottocartella GFI MailSecurity Remote Install (Installazione Remota). Per installare il monitor remoto, procedere come descritto di seguito: 1. Raggiungere il computer su cui si desidera installare la configurazione remota. 2. In Windows Explorer, scorrere identificando il computer che esegue GFI MailSecurity e raggiungere il menu di condivisione di installazione remota. Fare doppio clic su 'remotetools.exe' e seguire le istruzioni di installazione. 3. Viene richiesto di specificare il nome del computer dove funziona GFI MailSecurity. Quando l installazione è terminata, passare al gruppo di programma degli strumenti amministrativi di GFI MailSecurity per configurare o monitorare il server GFI MailSecurity in modo remoto. NOTA: Se non è possibile accedere alla condivisione, impostare i permessi di lettura e di scrittura nelle seguenti cartelle: <GFI MailSecurity root folder>\remoteinstall (sharename RemoteInstall) <GFI MailSecurity root folder>\data (sharename Data) <%RootDrive%>\Program Files\Common Files\GFi Shared\GFIM\Data (sharename GFIMDat) Manuale MailSecurity per Exchange/SMTP Monitoraggio remoto e amministrazione 77

82 Verificare l effettiva possibilità di leggere e scrivere nelle condivisioni dal computer dove verranno installati gli strumenti amministrativi remoti. Nota: Per default, soltanto gli amministratori hanno accesso al monitor remoto e alla condivisione della configurazione. Se si aggiungono altri utenti, si deve conferire anche a questi l accesso alla condivisione. Configurazione e Monitoraggio Remoto di GFI MailSecurity Per configurare GFI MailSecurity in modo remoto, procedere come descritto di seguito: 1. Fare clic su Start > Programs > GFI MailSecurity admin tools (Avvio > Programmi > Strumenti amministrativi GFI MailSecurity) e selezionare GFI MailSecurity Configuration (Configurazione di GFI MailSecurity). Si avvia la configurazione di GFI MailSecurity. 2. Ora si possono modificare le impostazioni di GFI MailSecurity come se si fosse sul server di GFI MailSecurity. Per monitorare GFI MailSecurity in modo remoto, procedere come descritto di seguito: 1. Fare clic su Start > Programs > GFI MailSecurity admin tools (Avvio > Programmi > Strumenti amministrativi GFI MailSecurity) e selezionare GFI MailSecurity monitor (Monitoraggio di GFI MailSecurity). 2. Ora si può monitorare GFI MailSecurity in modo remoto. Passaggio a un altro server da monitorare o da configurare Configurazione di un altro server GFI MailSecurity Se si hanno server multipli GFI MailSecurity sulla rete, si possono gestire dalla stessa Configurazione Remota. Per passare a un altro server da configurare, procedere come descritto di seguito: 1. Fare clic con il tasto destro del mouse sul menu di base, GFI MailSecurity, e selezionare Connect to another computer (Collegarsi a un altro computer). Passaggio a un altro server da configurare o da monitorare. 2. Inserire il nome del computer e fare clic su OK. Ora si può configurare un altro server. Monitoraggio di un altro server GFI MailSecurity 1. Nel menu File selezionare l opzione Connect (Collega). 78 Monitoraggio remoto e amministrazione Manuale MailSecurity per Exchange/SMTP

83 2. Inserire il nome del computer e fare clic su OK. Ora si sta monitorando un altro server. Manuale MailSecurity per Exchange/SMTP Monitoraggio remoto e amministrazione 79

84

85 Opzioni generali Opzioni generali Il menu General (Generale) consente di configurare numerose opzioni generali, tra cui le informazioni di licenza e di versione. Per configurare le propriètà generali, fare clic con il pulsante destro del mouse sulla sezione General > General Settings e selezionare Properties (Proprietà). Configurazione delle proprietà generali (Modalità gateway). Manuale MailSecurity per Exchange/SMTP Opzioni generali 81

86 Server name (Nome del server): Tutte le notifiche e i messaggi in quarantena vengono inviati tramite il servizio SMTP o Exchange Server. Per default viene utilizzato il server su cui è installato GFI MailSecurity. Se si deve spostarlo su un altro computer, si può eseguire l operazione ora. Il pulsante Verify (Verifica) consente di verificare se GFI MailSecurity può inviare messaggi tramite questo server. Opzioni di aggiornamento Configurazione delle opzioni di aggiornamento. Le opzioni per gli aggiornamenti per lo scanner antivirus, exploit, Trojan ed eseguibili, sono configurabili dalla sezione Updates (Aggiornamenti) nella finestra di dialogo General (Generale). In questa sezione è possibile configurare: Se cercare gli aggiornamenti su Internet. Oppure scaricare gli aggiornamenti da una cartella sul proprio network. Questa opzione è utile se si possiedono più server MailSecurity e si preferisce scaricare gli aggiornamenti in una singola locazione centrale. Se si sceglie di scaricare gli aggiornamenti da Internet è necessario selezionare le 2 opzioni seguenti: Download mode (Modalità di download) E possibile scegliere tra HTTP, FTP attivo o FTP passive. Si raccomanda di utilizzare FTP attivo oppure HTTP. Utilizzando http si risparmia il lavoro di configurazione del firewall. 82 Opzioni generali Manuale MailSecurity per Exchange/SMTP

87 E RACCOMANDATO L UTILIZZO DI HTTP SE SI POSSIEDE UN FIREWALL! Preferred Update Server (Server di aggiornamento preferito) Si può selezionare il server di aggiornamento preferito. Selezionare update.gfi.com se ci si trova in USA/Canada e update.gfisoftware.com se ci si trova in Europa o in un altra parte del mondo. Nota sui server Proxy: GFI MailSecurity per il download usa le caratteristiche di Internet Explorer, quindi, se si utilizza un server proxy è necessario configurare Internet Explorer in modo che lavori correttamente con tale server proxy. Nota su Firewall & FTP: Se la propria rete è protetta da un firewall e si è scelto di utilizzare il modo FTP attivo, è necessario abilitare una connessione FTP al firewall che consenta al computer dove è installato GFI MailSecurity di aprire la connessione FTP (Porta 21 & 20) all host ftp.gfi.com o ftp.gfifax.de. Per una descrizione su come realizzare tale set-up con Microsoft ISA Server, si guardi il capitolo Utilizzo Avanzato. Se si possiede un firewall, non selezionare il modo FTP passivo. Se si possiede un firewall è consigliato utilizzare il modo HTTP. Nota: se non si desidera configurare il proprio firewall per il download FTP, si può semplicemente selezionare la modalità di download HTTP. Se il download fallisce: se fallisce il download dei file di aggiornamento anti-virus, verrà creato nella cartella GFI MailSecurity/debuglogs un file chiamato autodown.txt. Qualora si dovesse verificare tale evento si può inviare la richiesta di sussidio e tale file a [email protected]. Modalità di Scansione VS API Questa sezione si riferisce soltanto alla modalità Exchange 2000 VS API Se si è installato GFI MailSecurity in modalità VS API mode, la finestra di dialogo generale conterrà una sezione VS API. In questa sezione è possibile configurare lo Scanning VS API (Scansione VS API): si può selezionare il tipo di scansione VS API che si desidera fare utilizzare a GFI MailSecurity. GFI MailSecurity supporta tutte le 3 modalità di scansione VS API. Queste modalità di scansione sono parte di VS API. Si può selezionare la modalità di scansione che GFI MailSecurity deve utilizzare dall opzione General Options > VS API (Opzioni Generali > VS API). L opzione VS API si trova nella finestra di dialogo delle proprietà generali cui si può accedere facendo clic con il tasto destro del mouse sul menu General (Generale) e selezionando Properties (Proprietà). VS API offre tre modalità di scansione. Due di queste modalità, su richiesta e proattiva, si escludono a vicenda, mentre la scansione in background può essere attivata come opzione in entrambe le modalità. Manuale MailSecurity per Exchange/SMTP Opzioni generali 83

88 Scansione su richiesta In questa modalità, un nuovo messaggio viene sottoposto a scansione appena viene aperto dal client di posta. Ciò significa che si verificherà un lieve ritardo prima che l utente possa accedere al messaggio. Modalità di scansione VS API GFI MailSecurity. Scansione proattiva In questa modalità, i nuovi messaggi vengono messi in coda per essere sottoposti a scansione su richiesta. Tuttavia, se un client di posta accede a un nuovo messaggio, la scansione di questo messaggio avrà la precedenza. È la modalità di scansione raccomandata. Scansione in background In questa modalità tutti i messaggi PRESENTI in memoria vengono sottoposti a scansione. Con questa impostazione GFI MailSecurity sottopone a scansione tutti i messaggi in memoria. A seconda del numero di messaggi in memoria, Exchange & GFI MailSecurity saranno molto impegnati per un periodo di tempo dopo l installazione iniziale. Se si desidera procedere con questo tipo di scansione, si consiglia di eseguirlo la prima volta durante la notte in modo che la grande mole del lavoro di scansione possa essere eseguita in assenza di personale. Per ulteriori informazioni sulle modalità di scansione: Aggiunta di un domino locale addizionale Questa sezione si riferisce solo alla modalità SMTP Gateway GFI MailSecurity deve conoscere quale dominio locale nel network è autorizzato a sapere se un è in arrivo o in uscita. Durante 84 Opzioni generali Manuale MailSecurity per Exchange/SMTP

89 l istallazione, GFI MailSecurity importerà i domini locali dal servizio IIS SMTP. Se comunque, si desidera rimuovere o aggiungere altri domini locali a quelli importati, tale operazione può essere fatta dalla sezione Local Domains (Domini Locali) nel menu General > General Settings : Aggiunta di un dominio locale. 1. Per avere accesso alla finestra di dialogo, fare clic col pulsante destro del mouse sulla sezione General Settings e selezionare Properties (Proprietà). 2. A questo punto inserire il domino locale. Questa caratteristica è utile poiché in alcuni casi si può desiderare di configurare l instradamento della posta nell IIS in modo differente, per esempio aggiungere dei domini che sono locali se si tratta della consegna della posta, ma che sono non locali per il server di posta. Manuale MailSecurity per Exchange/SMTP Opzioni generali 85

90 Cambiamento dei vincoli Cambiamento del server virtuale SMTP da cui dipende GFI MailSecurity. Questa sezione si riferisce solo alla modalità SMTP Gateway GFI MailSecurity dipende dal servizio IIS SMTP per ricevere e trasmettere la posta. E quindi vincolato al server virtuale SMTP di default. Se sul proprio computer sono installati più server virtuali SMTP, è possibile in questa sezione vincolare GFI MailSecurity ad un altro server virtuale. Licenza di GFI MailSecurity Se si è acquistato GFI MailSecurity, si può inserire il Codice seriale nel menu General > Licensing (Generale > Licenza). Se si sta valutando GFI MailSecurity con una parola chiave di valutazione, il prodotto scade dopo 60 giorni. Se si decide poi di acquistare GFI MailSecurity, è sufficiente inserire il Codice seriale senza installare il programma nuovamente. L inserimento del Codice seriale non deve essere confuso con il processo di registrazione dei dettagli della propria società sul nostro sito web. Tale registrazione è comunque importante poichè ci consente di fornirvi assistenza e di informarvi in merito a tutte le importanti novità sui prodotti. GFI MailSecurity va registrato su: 86 Opzioni generali Manuale MailSecurity per Exchange/SMTP

91 Verifica del numero di utenti autorizzati Verifica del numero di utenti autorizzati. La finestra di dialogo di registrazione del prodotto consente non solo di inserire il Codice seriale ma anche di vedere quante licenze sono necessarie per GFI MailSecurity. Sotto alla casella di editazione del codice seriale, GFI MailSecurity elenca quante caselle di posta/utenti vede. Si possono utilizzare queste informazioni per verificare se il numero di licenze di GFI MailSecurity corrisponde. Informazioni sulla versione Manuale MailSecurity per Exchange/SMTP Opzioni generali 87

92 Verifica delle informazioni sulla versione di GFI MailSecurity. L opzione General > Version Information (Generale > Informazioni sulla Versione) contiene la versione di GFI MailSecurity e le informazioni del costruttore. Si può verificare se si è installata l ultima versione utilizzando il pulsante Check for latest version on website (Verifica l ultima versione sul sito web). Inoltre le informazioni sulla versione sono molto utili quando si contatta il servizio di assistenza GFI. Questo ci consente di sapere esattamente quale versione è posseduta e quindi fornire informazioni più precise. 88 Opzioni generali Manuale MailSecurity per Exchange/SMTP

93 Argomenti avanzati Determinazione della posta in uscita/in arrivo/interna Questa sezione si riferisce soltanto alla modalità Exchange 2000 VS API GFI MailSecurity utilizza una serie di regole per determinare se un messaggio è in arrivo, interno o in uscita. In alcuni casi può essere importante capire la logica utilizzata. Questa logica consiste nel determinare se l utente è presente nella Active Directory (Cartella Attiva) oppure no. Quando un messaggio è in uscita? GFI MailSecurity presume che un messaggio sia in uscita se il mittente è un utente interno e il destinatario un utente esterno. Per determinare se un utente o un destinatario è interno o esterno, GFI MailSecurity effettua un interrogazione della Active Directory (Cartella Attiva). Se l utente è presente, si presume che sia un utente interno. Quando un messaggio è in arrivo? GFI MailSecurity presume che un messaggio sia in arrivo se il mittente è un utente esterno e il destinatario un utente interno. Utilizza AD per determinare se il mittente/destinatario è esterno o interno. Quando un messaggio è interno? Se sia il mittente che il destinatario sono presenti nella Active Directory (Cartella Attiva), il messaggio è interno. Per vari motivi non è possibile determinare al 100% se un messaggio è interno o in uscita. Ed è per questo che, per ragioni di sicurezza, non si possono creare regole diverse per la posta interna. Infatti, presumendo che si fissino regole meno rigide per la posta interna, potrebbe crearsi una lacuna per la sicurezza. Che cosa accade se il messaggio ha più destinatari sia interni che esterni? In questo caso vengono applicate tutte le regole. Quindi se un messaggio contiene un destinatario interno con una specifica regola, tale regola viene applicata. Se anche il messaggio contiene un regola in uscita collegata al mittente, viene applicata anche quest ultima regola. Sincronizzazione degli utenti con Exchange 5.5 Se si utilizza GFI MailSecurity in modalità Gateway con il server Microsoft Exchange 5.5, GFI MailSecurity installa un servizio di Manuale MailSecurity per Exchange/SMTP Argomenti avanzati 89

94 sincronizzazione che aggiorna automaticamente il database GFI MailSecurity. Ciò elimina la seccatura di sincronizzare gli utenti manualmente tra Exchange Server 5.5 e GFI MailSecurity. Durante l installazione, il Wizard di sincronizzazione suggerisce tutte le informazioni principali. Tuttavia, dopo l installazione si può modificare il nome/ip di Exchange Server, l intervallo di sincronizzazione e i siti Exchange sincronizzati. Ciò è possibile dall opzione General > User Synchronisation (Generale > Sincronizzazione Utenti). Fare clic con il tasto destro del mouse sull opzione per visualizzare la finestra di dialogo User Synchronisation Properties (Proprietà di Sincronizzazione Utenti). Qui possono essere modificati l IP e l intervallo di sincronizzazione della macchina Exchange Server. Proprietà di sincronizzazione degli utenti. Facendo clic sui tasti del sito si può specificare con i quali siti si desidera sincronizzare GFI MailSecurity. 90 Argomenti avanzati Manuale MailSecurity per Exchange/SMTP

95 File log di GFI MailSecurity GFI MailSecurity file log. GFI MailSecurity mantiene un certo numero di file di registrazione eventi (file log) nelle sottocartelle di memoria eventi. Queste registrazioni consentono di tracciare l attività di GFI MailSecurity. Le registrazioni comprendono informazioni inerenti i messaggi contenenti virus o relative ai messaggi che hanno attivato regole di verifica dei contenuti o degli allegati. Queste registrazioni si possono aprire tramite Microsoft Excel o Access per una ulteriore analisi. Si possono configurare le registrazioni a cui si desidera GFI MailSecurity acceda tramite l opzione GFI MailSecurity > Logging (GFI MailSecurity > Registrazione eventi). Configurazione del server ISA per consentire il download degli aggiornamenti Se il server GFI MailSecurity funziona dietro a un firewall, si deve consentire al computer che esegue GFI MailSecurity di scaricare gli aggiornamenti dal sito GFI tramite la porta 21. Se si esegue il server Microsoft ISA, la procedura è illustrata fase per fase nel manuale di base. Se GFI MailSecurity NON è installato sulla stessa macchina del server Microsoft ISA, seguire la procedura descritta su Se GFI MailSecurity è installato sulla stessa macchina del server Microsoft ISA, seguire la procedura descritta su: Abilitazione della Registrazione Eventi per la scansione Virus API 2.0 Questa sezione si riferisce soltanto alla modalità Exchange 2000 VS API Manuale MailSecurity per Exchange/SMTP Argomenti avanzati 91

96 Queste informazioni sono disponibili nel manuale di base di Microsoft (Q294336). VS API integra la registrazione eventi che può essere attivata dall utente. Per impostare il livello dei dettagli accessibile dall API di scansione dei virus, procedere come descritto di seguito: 1. Avviare Exchange System Manager (Manager del Sistema Exchange). 2. Nel menu della consolle, fare doppio clic su Servers, con il tasto destro del mouse fare clic sul server su cui si desidera impostare il livello di dettaglio della registrazione eventi e fare quindi clic su Properties (Proprietà). 3. Fare clic sull opzione Diagnostics Logging (Registrazione Diagnosi). 4. In Services (Servizi) fare clic su MSExchange\System (Sistema MS Exchange). 5. In Categories (Categorie) fare clic su Virus Scanning (Scansione Virus). Fare clic su uno dei seguenti livelli di registrazione eventi: None (Nessuno) Minimum (Minimo) Medium (Medio) Maximum (Massimo) Impostazione dei contatori a video delle prestazioni di Virus Scanning API Questa sezione si applica soltanto alla modalità VS API Exchange 2000 Queste informazioni sono disponibili nel manuale di base di Microsoft (Q285696) Oltre al registro degli eventi, VS API ha anche la capacità di creare contatori delle prestazioni Sono disponibili i seguenti contatori a video (Performance Monitor counters) delle prestazioni: Messages Processed (Messaggi Elaborati). È un valore cumulativo del numero totale di messaggi di livello superiore elaborati dallo scanner dei virus. Messages Processed/sec (Messaggi Elaborati/sec). Questo contatore rappresenta la velocità con cui i messaggi di livello superiore vengono elaborati dallo scanner dei virus. Messages Cleaned (Messaggi Cancellati). Il numero totale di messaggi di livello superiore cancellati dallo scanner dei virus. Messages Cleaned/sec (Messaggi Cancellati/sec). La velocità con cui i messaggi di livello superiore vengono cancellati dallo scanner dei virus. Messages Quarantined (Messaggi in Quarantena). Il numero totale di messaggi di livello superiore messi in quarantena dallo scanner dei virus. 92 Argomenti avanzati Manuale MailSecurity per Exchange/SMTP

97 Messages Quarantined/sec (Messaggi in Quarantena/sec). La velocità con cui i messaggi di livello superiore vengono messi in quarantena dallo scanner dei virus. Files Scanned (File Sottoposti a Scansione). Il numero totale di file separati elaborati dallo scanner dei virus. Files Scanned/sec (File Sottoposti a Scansione/sec). La velocità con cui i file separati vengono elaborati dallo scanner dei virus. Files Cleaned (File Cancellati). Il numero totale di file separati cancellati dallo scanner dei virus. Files Cleaned/sec (File Cancellati/sec). La velocità con cui i file separati vengono cancellati dallo scanner dei virus. Files Quarantined (File in Quarantena). Il numero totale di file separati messi in quarantena dallo scanner dei virus. Files Quarantined/sec (File in Quarantena/sec). La velocità con cui i file separati vengono messi in quarantena dallo scanner dei virus. Bytes Scanned (Byte Sottoposti a Scansione). Il numero totale di byte elaborati dallo scanner dei virus. Queue Length (Lunghezza della Coda). Il numero corrente di richieste in sospeso in coda per la scansione del virus. Folders Scanned in Background (Cartelle Sottoposte a Scansione in Background). Il numero totale di cartelle elaborate dalla scansione in background. Messages Scanned in Background (Messaggi Sottoposti a Scansione in Background). Il numero totale di messaggi elaborati dalla scansione in background. Personalizzazione dei modelli di notifica Configurazione dei modelli di notifica. GFI MailSecurity invia diversi messaggi di notifica al mittente o al destinatario di una che rimane in quarantena o modificata, così come invia diversi messaggi all amministratore/gestore. Questi messaggi si basano su una serie di modelli o attributi (template), che si trovano nella sotto-directory dei modelli della cartella GFI MailSecurity. Questi modelli sono file di testo normali, che contengono il testo di un messaggio, come pure i campi che vengono sostituiti da valori quando è generato il messaggio di notifica. Alcuni amministratori potrebbero richiedere di modificare questi modelli di notifica. La ragione più ovvia è trovarli/tradurli in un altra Manuale MailSecurity per Exchange/SMTP Argomenti avanzati 93

98 lingua. Diversamente, si potrebbe provare a modificare i modelli per spiegare una particolare serie di norme o procedure migliori. Ecco una lista dei nomi di file dei vari modelli e a cosa servono: Nome File Quarsubj.txt quarbody.htm quarappsubj.txt quarappticketbody.txt quarappbody.txt notifyusersubj.txt notifyuserbody.txt notifymanagersubj.txt notifymanagerbody.txt notifyuserappbody.txt notifyuserappsubj.txt violatedel.txt violatequar.txt Descrizione Il modello contiene il soggetto di un messaggio di attivazione Quarantena inviato al gestore o all amministratore. Questo soggetto appare sulla posta inviata alla persona che deve rifiutare o accettare una e- mail. Il corpo del messaggio di attivazione Quarantena inviato al gestore o all amministratore. Questa viene inviata alla persona che dovrebbe accettare o rifiutare la posta. Contiene il soggetto inviato al mittente quando la viene accettata per essere inviata o quando viene accettata e il destinatario la riceve. Il modello *nell unica versione VS API* include il corpo del messaggio di indicazione approvazione (Approval ticket message), inviato al mittente quando gli è permesso di inviare un particolare allegato o testo (nel caso di una e- mail in uscita). Il modello include il corpo del messaggio di una che viene inviata al destinatario quando la voce di una e- mail, inviata a quel destinatario, viene accettata. La voce della accettata viene allegata a questa . Il soggetto del messaggio di notifica inviato al destinatario. Questa può essere trasmessa soltanto se l opzione "Notify User via " (Notifica utente tramite ) è selezionata nella etichetta di attivazione di una regola. Il corpo del messaggio di notifica inviato al destinatario. Questa può essere trasmessa soltanto se l opzione "Notify User via " (Notifica utente tramite ) è selezionata nella etichetta di attivazione di una regola. Il soggetto del messaggio di notifica inviato al gestore o all amministratore. Questa può essere trasmessa soltanto se l opzione "Notify Manager via " (Notifica gestore tramite ) è selezionata nella etichetta di attivazione di una regola. Il corpo del messaggio di notifica inviato al gestore o all amministratore. Questa può essere trasmessa soltanto se l opzione "Notify Manager via " (Notifica gestore tramite ) è selezionata nella etichetta di attivazione di una regola. Il modello include il corpo del messaggio di una che viene inviata al destinatario quando la voce di una e- mail, inviata a quel destinatario, è stata rifiutata/cancellata. Il modello include il soggetto di una che viene inviata al destinatario quando la voce della , inviata a quel destinatario, è stata rifiutata/cancellata. Template includes the message body of a mail that is sent to notify a recipient that part of the mail, sent to him/her, has been deleted. Template includes the message body of a mail that is sent to notify a recipient that part of the mail, sent to him/her, has been quarantined. 94 Argomenti avanzati Manuale MailSecurity per Exchange/SMTP

99 Campi dei modelli I modelli contengono campi che vengono sostituiti da valori generazione il messaggio di notifica viene generato tramite GFI MailSecurity. Nella tabella di seguito viene spiegato ciascun campo. Nome Campo [QMC_ID] [LAST_ERROR] [LAST_MODULE] [MORE_INFO] [OBJECT_DATE] [OBJECT_USER_NAME] [OBJECT_USER_ ] [OBJECT_MANAGER_NAME] [OBJECT_MANAGER_ ] [ACTION] [ITEM] [MESSAGE_BODY] [TTL] [WEB_SERVER] [QUAR_PATH] [QUAR_SECURITY_GUID] [QUAR_TTL] [QUAR_SECURITY_PREFIX] Descrizione ID di voce un quarantena. Ultimo errore riportato dal modulo che ha messo in quarantena questa voce. L ultimo modulo per mettere in quarantena questa voce. Maggiori informazioni sull ultimo errore. Data e ora in cui la voce è stata messa in quarantena. Nome dell utente che ha causato questa quarantena. dell utente che ha causato questa quarantena. Nome del gestore dell utente che ha causato questa quarantena. (Oppure gestore predefinito). del gestore dell utente che ha causato questa quarantena (Oppure gestore predefinito). Azione intrapresa. Nome dell oggetto. Non ancora definito. Tempo di vita (il momento in cui l oggetto viene cancellato dal sistema di quarantena. L IP o il nome del server in cui il monitor del Web sta ascoltando. Utilizzato principalmente per l elaborazione del modulo (form) e non a scopi di visualizzazione. L intero percorso della voce in quarantena. Nel formato: Regola://QTYPE/QID. Utilizzato principalmente per l elaborazione del modulo (form) e non a scopi di visualizzazione. Il QMC_QUAR_SECURITY GUID dal record QMC per la voce in quarantena. Utilizzato principalmente per l elaborazione del modulo (form) e non a scopi di visualizzazione. Tempo di vita (TTL) nel formato di virgola mobile. Utilizzato principalmente per l elaborazione del modulo (form) e non a scopi di visualizzazione. Il QMC_QUAR_SECURITY PREFIX dal record QMC per la voce in quarantena. Utilizzato principalmente per la protezione del ciclo e non a scopi di visualizzazione. Viene automaticamente aggiunto alla fine di ogni soggetto creato. Manuale MailSecurity per Exchange/SMTP Argomenti avanzati 95

100 [PRODUCT_NAME] [GFISCAN_DAT_CONTENTTYPE] [GFISCAN_DISPLAY_SENDER] [GFISCAN_DISPLAY_TO] [GFISCAN_DISPLAY_CC] [GFISCAN_SUBJECT] [GFISCAN_MBX] [GFISCAN_STOREDB] Identifica la fonte di questa voce. I valori correnti sono: DSEC per sicurezza scaricamento MSEC per sicurezza posta di exchange 2000 MSEC GWAY per sicurezza posta (versione Gateway) Il tipo di contenuto della voce isolata. Il nome visualizzato del mittente. Il nome visualizzato del/i destinatario/i. Il nome visualizzato del/i destinatario/i CC. Il soggetto della voce in quarantena. La casella postale (mailbox) della voce in quarantena (disponibile solo in msec exchange). La memorizzazione in database della voce in quarantena (disponibile solo in msec exchange). [GFISCAN_FOLDER] La cartella della voce in quarantena (disponibile solo in msec exchange). 96 Argomenti avanzati Manuale MailSecurity per Exchange/SMTP

101 Risoluzione dei Problemi In caso di problemi In caso di domande o di problemi, si può consultare il manuale di base GFI all indirizzo Se non si trova una risposta nel manuale di base GFI, contattare il servizio di assistenza GFI all indirizzo [email protected] oppure il proprio rivenditore, distributore o uno degli uffici GFI. Quando si invia un messaggio, assicurarsi di indicare L output del troubleshooter. Il proprio Codice seriale. Un indirizzo valido per la risposta. Il troubleshooter (Ricerca e risoluzione dei problemi) Nel gruppo di programmi GFI MailSecurity si trova il programma troubleshooter, che serve per l individuazione e la risoluzione di eventuali problemi. Questo programma raccoglie tutte le informazioni del computer e consente di diagnosticare il problema. Oltre a raccogliere tutte le informazioni, pone anche alcune domande. Si prega di dedicare qualche di tempo per rispondere a queste domande in modo accurato. Senza informazioni corrette non è possibile diagnosticare il problema. Dopo aver eseguito il troubleshooter e aver raccolto tutte le informazioni, il programma di troubleshooter crea una serie di file nella cartella specificata. Si prega di compattare tutti i file e di inviarli al servizio assistenza unitamente alla richiesta di assistenza. Manuale MailSecurity per Exchange/SMTP Risoluzione dei Problemi 97

102

103 Indice analitico A attachment checking 27 Attachment checking rule 27 B background scanning 93 Background scanning 93 Bitdefender 55, 59 60, 59, 60 C Cartella pubblica Collaboration Data Objects 14 conditions Configurazione 7 content checking 1 2, 32 33, 32 33, 55 Content checking rule 30, 31, 33 Controllo allegati 33 controllo del contenuto D DMZ - demilitarized zone 13 DownloadSecurity 8 E exploit 2 exploit detection 2 Event Logging 91 Exchange 2000 VS API mode 3, 9, 33, 89 F fault tolerance 14 I IIS 5 15, 21 Individuazione di exploit 63 ISA server 8, 58, 91 K Kaspersky 61, 62 L Licenza 86 logging 91 Lotus Notes 6, 13, 14, 20 Love Letter 1 2, 27 M macro 2 macro virus 2 macro viruses 57 macros Mail essentials 20 mail relay server 1, 13 MailEssentials 8 MailSecurity scan engine 6 McAfee 3, 55, 60 Microsoft Exchange Administrator 19 Microsoft Exchange server , 14, 19 moderator 7, moderator client 7, 37, MX record 14, N Norman 2, 55 57, 59, 60, 61 Norman Virus Control 56 57, nslookup 21 O On demand scanning 84 P Password 10, 22 Performance Monitor 4, 92 perimeter network 13 Pro active scanning 84 public folder 40 R Regola di verifica del contenuto 27 Regola per il controllo degli allegati 33 S SMTP gateway 1, 4 5, 13, 45 SMTP gateway mode 3, 13, 45 SMTP Service SMTP/POP3 mail server 20 T Troubleshooting 21, 97 V virus 1 7, 9, Virus updates W Windows 2000 Server 9, 14 Manuale MailSecurity per Exchange/SMTP Indice analitico 99