Dekomprimierungs-Engine
Die Dekomprimierungs-EngineEin Scan-Modul, das Archive (z. B. ZIP- und RAR-Dateien) dekomprimiert und analysiert, die an E-Mails angehängt sind. extrahiert und analysiert Archive (komprimierte Dateien), die an eine E-Mail angehängt sind.
Die Dekomprimierungs-Engine überprüft Folgendes:
- Kennwortgeschützte Archive
- Beschädigte Archive
- Rekursive ArchiveArchive, die mehrere Ebenen von Unterarchiven (Archive innerhalb von Archiven) enthalten. Sie werden auch als verschachtelte Archive bezeichnet.
- Größe der dekomprimierten Dateien in Archiven
- Anzahl der Dateien in Archiven
- In Archiven scannen
Konfigurieren der Dekomprimierungs-Engine-Filter
Überprüfungen durch die Dekomprimierungs-Engine
So konfigurieren Sie die Filter der Dekomprimierungs-Engine:
Kennwortgeschützte Archive überprüfen
- Navigieren Sie zum Knoten Inhaltsfilterung > Dekomprimierungs-Engine.
- Klicken Sie in der Liste der verfügbaren Filter auf Kennwortgeschützte Archive überprüfen.
- Wählen Sie zum Aktivieren dieses Filters die Option Kennwortgeschützte Archive überprüfen aus.
- Geben Sie an, was geschehen soll, wenn eine E-Mail ein Archiv enthält, das diesen Filter auslöst:
| Option | Beschreibung |
|---|---|
| QuarantäneEine E-Mail-Datenbank zur Speicherung von erkannten Spam- oder Malware-E-Mails in einer kontrollierten Umgebung. E-Mails in der Quarantäne sind keine Bedrohung für die Netzwerkumgebung. | Verschiebt blockierte E-Mails in die Quarantäne |
| Automatisch löschen | Löscht blockierte E-Mails |
- Wählen Sie Eine bereinigte Kopie der Original-E-Mail an den/die Empfänger senden aus, wenn eine Kopie der blockierten E-Mail an die Empfänger gesendet werden soll.
- Klicken Sie auf die Registerkarte Aktionen, um weitere Aktionen zu konfigurieren.
- Aktivieren Sie zum Senden von E-Mail-Benachrichtigungen beim Blockieren einer E-Mail eine der folgenden Optionen:
| Option | Beschreibung |
|---|---|
| Administrator benachrichtigen |
Der Administrator wird benachrichtigt, wenn diese Engine eine E-Mail blockiert. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. |
| Lokalen Benutzer benachrichtigen | Die lokalen E-Mail-Empfänger werden über die blockierte E-Mail informiert. |
- Aktivieren Sie zur Protokollierung der Aktivität dieser Engine in einer Protokolldatei die Option Regelereignis in dieser Datei protokollieren, und geben Sie den Pfad zu einem benutzerdefinierten Speicherort auf der Festplatte und den Dateinamen an, um die Protokolldatei zu speichern. Standardmäßig werden Protokolldateien im folgenden Verzeichnis gespeichert:
<GFI MailEssentials-Installationspfad>\GFI\MailEssentials\EmailSecurity\Logs\<Name der Engine>.log
- Klicken Sie auf Übernehmen.
HINWEIS
Informationen zur Erstellung einer Ausnahme für kennwortgeschützte Dateien finden Sie unter: https://www.gfi.com/support/products/gfi-mailessentials/How-to-whitelist-users-for-a-Block-password-protected-files-policy
Beschädigte Archive überprüfen
- Navigieren Sie zum Knoten Inhaltsfilterung > Dekomprimierungs-Engine.
- Klicken Sie in der Liste der verfügbaren Filter auf Beschädigte Archive überprüfen.
- Wählen Sie zum Aktivieren dieses Filters die Option Beschädigte Archive überprüfen aus.
- Geben Sie an, was geschehen soll, wenn eine E-Mail ein Archiv enthält, das diesen Filter auslöst:
| Option | Beschreibung |
|---|---|
| Quarantäne | Verschiebt blockierte E-Mails in die Quarantäne |
| Automatisch löschen | Löscht blockierte E-Mails |
- Wählen Sie Eine bereinigte Kopie der Original-E-Mail an den/die Empfänger senden aus, wenn eine Kopie der blockierten E-Mail an die Empfänger gesendet werden soll.
- Klicken Sie auf die Registerkarte Aktionen, um weitere Aktionen zu konfigurieren.
- Aktivieren Sie zum Senden von E-Mail-Benachrichtigungen beim Blockieren einer E-Mail eine der folgenden Optionen:
| Option | Beschreibung |
|---|---|
| Administrator benachrichtigen |
Der Administrator wird benachrichtigt, wenn diese Engine eine E-Mail blockiert. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. |
| Lokalen Benutzer benachrichtigen | Die lokalen E-Mail-Empfänger werden über die blockierte E-Mail informiert. |
- Aktivieren Sie zur Protokollierung der Aktivität dieser Engine in einer Protokolldatei die Option Regelereignis in dieser Datei protokollieren, und geben Sie den Pfad zu einem benutzerdefinierten Speicherort auf der Festplatte und den Dateinamen an, um die Protokolldatei zu speichern. Standardmäßig werden Protokolldateien im folgenden Verzeichnis gespeichert:
<GFI MailEssentials-Installationspfad>\GFI\MailEssentials\EmailSecurity\Logs\<Name der Engine>.log
- Klicken Sie auf Übernehmen.
Auf rekursive Archive prüfen
Mit diesem Filter können Sie E-Mails, die rekursive Archive enthalten, in die Quarantäne verschieben oder löschen. Rekursive Archive (verschachtelte Archive) sind Archive, die mehrere Ebenen von Unterarchiven (Archive innerhalb von Archiven) enthalten. Eine hohe Anzahl an Archivebenen kann ein Hinweis auf ein schädliches Archiv sein. Rekursive Archive können für DoS-Angriffe (Denial of Service) verwendet werden, da sie bei ihrer Analyse Rechnerressourcen verbrauchen. So konfigurieren Sie diesen Filter:
- Navigieren Sie zum Knoten Inhaltsfilterung > Dekomprimierungs-Engine.
- Klicken Sie in der Liste der verfügbaren Filter auf Auf rekursive Archive prüfen.
- Wählen Sie zum Aktivieren dieses Filters die Option Auf rekursive Archive prüfen aus.
- Legen Sie die maximale Anzahl rekursiver Archive im Textfeld Maximale Anzahl von wiederkehrenden Archiven fest. Enthält ein Archiv eine höhere Anzahl rekursiver Archive, wird die E-Mail als schädlich klassifiziert.
- Geben Sie an, was geschehen soll, wenn eine E-Mail ein Archiv enthält, das diesen Filter auslöst:
| Option | Beschreibung |
|---|---|
| Quarantäne | Verschiebt blockierte E-Mails in die Quarantäne |
| Automatisch löschen | Löscht blockierte E-Mails |
- Wählen Sie Eine bereinigte Kopie der Original-E-Mail an den/die Empfänger senden aus, wenn eine Kopie der blockierten E-Mail an die Empfänger gesendet werden soll, wobei jedoch der schädliche Inhalt entfernt wurde.
- Klicken Sie auf die Registerkarte Aktionen, um weitere Aktionen zu konfigurieren.
- Aktivieren Sie zum Senden von E-Mail-Benachrichtigungen beim Blockieren einer E-Mail eine der folgenden Optionen:
| Option | Beschreibung |
|---|---|
| Administrator benachrichtigen |
Der Administrator wird benachrichtigt, wenn diese Engine eine E-Mail blockiert. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. |
| Lokalen Benutzer benachrichtigen | Die lokalen E-Mail-Empfänger werden über die blockierte E-Mail informiert. |
- Aktivieren Sie zur Protokollierung der Aktivität dieser Engine in einer Protokolldatei die Option Regelereignis in dieser Datei protokollieren, und geben Sie den Pfad zu einem benutzerdefinierten Speicherort auf der Festplatte und den Dateinamen an, um die Protokolldatei zu speichern. Standardmäßig werden Protokolldateien im folgenden Verzeichnis gespeichert:
<GFI MailEssentials-Installationspfad>\GFI\MailEssentials\EmailSecurity\Logs\<Name der Engine>.log
- Klicken Sie auf Übernehmen.
Größe der dekomprimierten Dateien in Archiven überprüfen
Mit diesem Filter können Sie E-Mails mit Archiven blockieren oder löschen, die nach dem Entpacken eine bestimmte physische Größe überschreiten. Hacker versenden für DoS-Angriffe (Denial of Service) manchmal ein Archiv, das beim Entpacken eine sehr große Datei enthält. Diese verbraucht Festplattenspeicher, und ihre Analyse durch Content Security- oder Anti-Virus-SoftwareSoftware, die Malware wie Trojaner in E-Mails, Dateien und Anwendungen erkennt. ist sehr zeitaufwändig.
So konfigurieren Sie diesen Filter:
- Navigieren Sie zum Knoten Inhaltsfilterung > Dekomprimierungs-Engine.
- Klicken Sie in der Liste der verfügbaren Filter auf Größe der dekomprimierten Dateien in Archiven überprüfen.
- Wählen Sie zum Aktivieren dieses Filters die Option Größe der dekomprimierten Dateien in Archiven überprüfen aus.
- Legen Sie die maximale Größe für dekomprimierte Archive in Textfeld Maximale Größe der unkomprimierten Dateien im Archiv [in MB] fest. Ist ein dekomprimiertes Archiv größer als der angegebene Wert, wird die E-Mail als schädlich klassifiziert.
- Geben Sie an, was geschehen soll, wenn eine E-Mail ein Archiv enthält, das diesen Filter auslöst:
| Option | Beschreibung |
|---|---|
| Quarantäne | Verschiebt blockierte E-Mails in die Quarantäne |
| Automatisch löschen | Löscht blockierte E-Mails |
- Wählen Sie Eine bereinigte Kopie der Original-E-Mail an den/die Empfänger senden aus, wenn eine Kopie der blockierten E-Mail an die Empfänger gesendet werden soll, wobei jedoch der schädliche Inhalt entfernt wurde.
- Aktivieren Sie zum Senden von E-Mail-Benachrichtigungen beim Blockieren einer E-Mail eine der folgenden Optionen:
| Option | Beschreibung |
|---|---|
| Administrator benachrichtigen |
Der Administrator wird benachrichtigt, wenn diese Engine eine E-Mail blockiert. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. |
| Lokalen Benutzer benachrichtigen | Die lokalen E-Mail-Empfänger werden über die blockierte E-Mail informiert. |
- Aktivieren Sie zur Protokollierung der Aktivität dieser Engine in einer Protokolldatei die Option Regelereignis in dieser Datei protokollieren, und geben Sie den Pfad zu einem benutzerdefinierten Speicherort auf der Festplatte und den Dateinamen an, um die Protokolldatei zu speichern. Standardmäßig werden Protokolldateien im folgenden Verzeichnis gespeichert:
<GFI MailEssentials-Installationspfad>\GFI\MailEssentials\EmailSecurity\Logs\<Name der Engine>.log
- Klicken Sie auf Übernehmen.
Anzahl der Dateien in Archiven überprüfen
Mit diesem Filter können Sie E-Mails, die eine sehr hohe Anzahl an komprimierten Dateien in einem angehängten Archiv enthalten, in die Quarantäne verschieben oder löschen. Über die Konfigurationsoptionen dieses Filters können Sie festlegen, wie viele Dateien in einem Archivanhang zulässig sein sollen. So konfigurieren Sie diesen Filter:
- Navigieren Sie zum Knoten Inhaltsfilterung > Dekomprimierungs-Engine.
- Klicken Sie in der Liste der verfügbaren Filter auf Anzahl der Dateien in Archiven überprüfen.
- Wählen Sie zum Aktivieren dieses Filters die Option Anzahl der Dateien in Archiven überprüfen aus.
- Legen Sie die maximale Anzahl an Dateien für Archive im Textfeld Wenn die Dateianzahl im Archiv folgenden Wert überschreitet fest. Enthält ein Archiv mehr Dateien, wird die E-Mail als schädlich klassifiziert.
- Geben Sie an, was geschehen soll, wenn eine E-Mail ein Archiv enthält, das diesen Filter auslöst:
| Option | Beschreibung |
|---|---|
| Quarantäne | Verschiebt blockierte E-Mails in die Quarantäne |
| Automatisch löschen | Löscht blockierte E-Mails |
- Wählen Sie Eine bereinigte Kopie der Original-E-Mail an den/die Empfänger senden aus, wenn eine Kopie der blockierten E-Mail an die Empfänger gesendet werden soll.
- Klicken Sie auf die Registerkarte Aktionen, um weitere Aktionen zu konfigurieren.
- Aktivieren Sie zum Senden von E-Mail-Benachrichtigungen beim Blockieren einer E-Mail eine der folgenden Optionen:
| Option | Beschreibung |
|---|---|
| Administrator benachrichtigen |
Der Administrator wird benachrichtigt, wenn diese Engine eine E-Mail blockiert. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. Weitere Informationen finden Sie unter E-Mail-Adresse des Administrators. |
| Lokalen Benutzer benachrichtigen | Die lokalen E-Mail-Empfänger werden über die blockierte E-Mail informiert. |
- Aktivieren Sie zur Protokollierung der Aktivität dieser Engine in einer Protokolldatei die Option Regelereignis in dieser Datei protokollieren, und geben Sie den Pfad zu einem benutzerdefinierten Speicherort auf der Festplatte und den Dateinamen an, um die Protokolldatei zu speichern. Standardmäßig werden Protokolldateien im folgenden Verzeichnis gespeichert:
<GFI MailEssentials-Installationspfad>\GFI\MailEssentials\EmailSecurity\Logs\<Name der Engine>.log
- Klicken Sie auf Übernehmen.
In Archiven scannen
Sie können GFI MailEssentials so konfigurieren, dass eine Stichwort- und Anhangsfilterung für Dateien in Archiven durchgeführt wird.
- Navigieren Sie zum Knoten Inhaltsfilterung > Dekomprimierungs-Engine.
- Klicken Sie in der Liste der verfügbaren Filter auf In Archiven scannen.
- Wählen Sie zum Aktivieren des Scans für Archive die Option Anhangs- und Inhaltsfilterungsregeln in Archiven anwenden aus. Weitere Informationen finden Sie unter Inhaltsfilterung.
- Klicken Sie auf Übernehmen.
Aktivieren/Deaktivieren von Dekomprimierungsfiltern
So aktivieren oder deaktivieren Sie Dekomprimierungsfilter:
- Navigieren Sie zum Knoten Inhaltsfilterung > Dekomprimierungs-Engine.
- Wählen Sie auf der Seite Dekomprimierungs-Engine die Kontrollkästchen der Filter aus, die aktiviert oder deaktiviert werden sollen.
- Klicken Sie nach Bedarf auf Auswahl aktivieren oder Auswahl deaktivieren.