Protección antimalware en Exchange 2013 / 2016

El escaneo por software malicioso (virus, spyware) se realiza al enviar o recibir un mensaje en el rol de mailbox. Esta característica no se incluye en el rol de Edge.

Si instalamos Exchange 2013 o 2016 y no modificamos las opciones predeterminadas, el antimalware queda habilitado. En este artículo vamos a ver cómo verificar que efectivamente se encuentre habilitado y en caso contrario como habilitarlo.

Cómo ver si el antimalware de Exchange esta habilitado?

Lo primero que vamos a hacer es verificar si el agente antimalware se encuentra habilitado, para esto ejecutamos el cmdlet Get-TransportAgent en el shell de Exchange. En este caso en particular lo vamos a ejecutar de tal forma que solo devuelva agentes que comiencen con la palabra "malware":

Como vemos en la imagen, la propiedad Enabled se encuentra en "False" por lo que sabemos que el antimalware no se encuentra habilitado.

Habilitación de antimalware de Exchange 2013 / 2016

Para habilitar el antimalware de Exchange seguir los pasos a continuación:

1. Abrir el Exchange Management Shell como administrador

2. Ir a la carpeta de scripts:

3. Ejecutar el script Enable-AntimalwareScanning.ps1 (completar el nombre con tabulador):

Nota: Esta misma carpeta incluye el script Disable-AntimalwareScanning.ps1. Este script deshabilita el antimalware.

4. Verificar que se indique que el motor de antimalware este siendo actualizado y esperar que finalice

5. Reiniciar el servicio de transporte de Exchange:

6. Confirmar que el servicio de transporte este iniciado:

7. Verificar que el agente antimalware se encuentre habilitado:

Ahora vemos la propiedad Enabled en "True".

Por último, validamos que el antimalware este funcionando correctamente, para esto podemos hacer la prueba EICAR, por info sobre como realizar esta validación ver la siguiente entrada:

Por info sobre configuración del comportamiento frente a la detección de malware: