En un artículo anterior vimos que el antimalware de Exchange 2013 / 2016 viene habilitado de forma predeterminada, y en caso de que no se encuentre de esta manera como habilitarlo. También vimos como podemos validar que el antimalware realmente este funcionando con la prueba EICAR.
En esta entrada vamos a ver cómo configurar el comportamiento del antimalware.
Para esto vamos a modificar la política antimalware predeterminada.
Modificar la política predeterminada nos permite:
-
Configurar la respuesta frente a la detección de malware
-
Configurar notificaciones tanto a remitentes como al administrador
-
Configurar un texto personalizado para las notificaciones
Posibles acciones frente a la detección de malware:
-
Eliminar todo el mensaje (predeterminado)
-
Quitar todos los datos adjuntos y usar texto de alerta predeterminado
-
Quitar todos los datos adjuntos y usar texto de alerta personalizado
Si por ejemplo configuramos las notificaciones, que la respuesta sea quitar los adjuntos y usar una alerta predeterminada, tanto el remitente como el administrador recibirían un correo similar al siguiente:
En el caso del destinatario recibiría un correo indicando que se detectó malware y un archivo de texto adjunto:
En este caso vamos a configurar el antimalware para que ante la detección de malware realice lo siguiente:
-
Enviar una notificación personalizada a los usuarios internos
-
Enviar una notificación personalizada al administrador
Configuración de política antimalware en Exchange 2013 / 2016
En este caso vamos a configurar el antimalware usando el Centro de Administración de Exchange.
1. Ingresar al EAC de Exchange ("HTTPS://ServidorCAS/ECP")
2. Hacer clic en Protección y clic en Filtro de malware:
3. Hacer clic en el lápiz para modificar e ir a configuración:
5. Seleccionar las siguientes opciones:
-
Quitar todos los datos adjuntos y usar texto de alerta personalizado e ingresar el texto, por ejemplo "Se ha detectado malware en uno de los archivos adjuntos.
-
Notificar a remitentes internos
6. En Notificaciones del Administrador:
-
Notificar al administrador sobre mensajes no entregados de remitentes internos e ingresar la dirección SMTP del administrador
-
Usar texto de notificación personalizada incluyendo el nombre, dirección, asunto y el mensaje
8. Guardar los cambios
A partir de este momento estaríamos en condiciones de validar el comportamiento, para esto vamos a usar la prueba EICAR.
Como se puede observar en la imagen, el administrador recibiría la alerta personalizada "Se ha detectado malware", este mismo mensaje lo recibe el remitente:
En el caso del destinatario, recibiría un correo con un archivo de texto adjunto indicando que se ha detectado malware en uno de los adjuntos:
Por más info sobre el antimalware de Exchange ver el siguiente artículo:
Protección antimalware en Exchange 2013 / 2016