McAfee Security for Microsoft Exchange 8.6.0

Konfigurieren der Einstellungen für die E-Mail-URL-Reputation

Konfigurieren Sie die Einstellungen für die E-Mail-URL-Reputation, um bösartige URLs im E-Mail-Text zu erkennen.

Bei aktivierter Option scannt MSME jeden URL im E-Mail-Text, ruft den Reputationsfaktor ab, vergleicht den Faktor mit dem festgelegten Schwellenwert und führt die entsprechende Aktion aus.

Die Software verarbeitet die Nachricht, bevor sie in das Unternehmen gelangt, indem sie die URLs aus dem E-Mail-Text entfernt. Wenn eine E-Mail mehrere URLs enthält und eine URL davon den festgelegten Schwellenwert überschreitet, wird entsprechend der Konfiguration eine Aktion für die E-Mail ausgeführt.

Das Aktivieren dieser Funktion schützt Ihr System vor Bedrohungen wie DoS-Angriffen, Phishing-Links, URLs mit Malware oder unerwünschten URLs.

Die E-Mail-URL-Reputationsfunktion ist für die folgenden Richtlinien verfügbar:
On-Access
On-Demand (Standard) und
On-Demand (Vollständiger Scan)
Je nach der Konfigurationsoption, die Sie während der Software-Installation ausgewählt haben, ist die E-Mail-URL-Reputation standardmäßig für folgende Richtlinien aktiviert oder deaktiviert:
Für die Standardkonfiguration – Für alle Richtlinien deaktiviert.
Für die erweiterte Konfiguration – Nur für On-Access-Scan-Richtlinien aktiviert.

Wenn Sie die E-Mail-URL-Reputation zum ersten Mal aktivieren, lädt die Software den lokalen Cache der URLs vom McAfee GTI-Server herunter.

Für jeden URL sucht die Software in der lokalen Datenbank nach dem Reputationsfaktor und führt entsprechend der Konfiguration eine Aktion aus. Wenn der Reputationsfaktor in der lokalen Datenbank nicht verfügbar ist, ruft die Software den Faktor vom McAfee GTI-Server ab. Die Software führt einen Abgleich mit dem McAfee GTI-Server durch und aktualisiert regelmäßig die lokale Datenbank. Wenn die lokale Datenbank 30 Tage lang nicht aktualisiert wurde, lädt die Software die gesamte Datenbank während der nächsten Aktualisierung herunter. Anderenfalls ist die Aktualisierung inkrementell. Standardmäßig wird die lokale Datenbank einmal täglich aktualisiert. Sie können den Speicherort der Datenbank nicht ändern.

Sie können die lokale Datenbank nicht über ePolicy Orchestrator aktualisieren, da der Server direkte Internetverbindung benötigt. Wenn Sie Anti-Spam-Regeln über den Proxy-Server herunterladen, kann die gleiche Konfiguration für das Herunterladen der URL-Datenbank verwendet werden.
Vorgehensweise
1 Wählen Sie unter Richtlinien-Manager eine Untermenüoption aus, die über den E-Mail-URL-Reputations-Scanner verfügt.
Der E-Mail-URL-Reputations-Schutz ist nur für die Richtlinien On-Access, On-Demand (Standard) und On-Demand (Vollständiger Scan) verfügbar.
2 Klicken Sie auf die zu konfigurierende Master-Richtlinie oder auf eine Unterrichtlinie, dann auf die Registerkarte Alle Scanner auflisten und auf E-Mail-URL-Reputation.
3 Wählen Sie unter Aktivierung die Option Aktivieren aus.
Wenn Sie Einstellungen für eine Unterrichtlinie konfigurieren, wählen Sie Konfiguration aus übergeordneter Richtlinie verwenden aus, um die Einstellungen für die übergeordnete Richtlinie zu vererben.
Wenn Sie zur Richtlinie einen Scanner hinzufügen, können Sie mit Hilfe der Dropdown-Liste Wann soll diese angewendet werden ein Zeitfenster für die Aktivierung des Scanners auswählen.
4 In der Dropdown-Liste Optionen können Sie folgende Optionen auswählen:
E-Mail-URL-Standardeinstellungen – Die Standardschwellenwerte werden angewendet.
Neuen Optionssatz erstellen – Die Schwellenwerte werden nach Bedarf definiert.
Wenn Sie die vorhandenen Einstellungen bearbeiten, sollten Sie einen eindeutigen Instanzennamen für die Scannereinstellungen angeben.
5 Wählen Sie Neuen Optionssatz erstellen, um die Einstellungen für das Scannen festzulegen.
6 Legen Sie auf der Seite E-Mail-URL-Reputation diese Werte fest, und klicken Sie dann auf Speichern.
Instanzenname Unterer Schwellenwert für URL-Reputation
Oberer Schwellenwert für URL-Reputation Maximale Anzahl von URLs per E-Mail
Der obere URL-Reputationsschwellenwert muss immer größer als der untere URL-Reputationsschwellenwert sein.

Wenn ein URL mehrere Male auftritt, wird er als 1 gezählt, ungeachtet seiner Häufigkeit. Beispiel: Wenn die E-Mail 50 URLs enthält und ein URL 20 Mal auftritt, ist die URL-Summe 31 und nicht 50.

7 Klicken Sie im Bereich Durchzuführende Aktionen auf Bearbeiten, um die Aktionen festzulegen.
Sie können auch die Standardeinstellungen übernehmen.
8 Legen Sie auf der Seite Aktionen für E-Mail-URL-Reputation diese Einstellungen fest für Wenn der Faktor der E-Mail-URL-Reputation über dem oberen Schwellenwert liegt, Wenn der Faktor der E-Mail-URL-Reputation über dem unteren Schwellenwert liegt und Wenn Anzahl der E-Mail-URL-Suchen das Limit überschreitet.
a Wählen Sie in der Dropdown-Liste Die folgende Aktion durchführen eine der folgenden Optionen:
Element durch Warnung ersetzen.
Nachricht löschen.
Durchlassen.
Wenn Sie Element durch Warnung ersetzen auswählen, wählen Sie das Warnungsformat:
Standardwarnung für E-Mail-URL-Reputation – Zur Verwendung der Standardwarnung.
Erstellen – Zum Festlegen der Warnmeldung wie gewünscht. Geben Sie einen eindeutigen Namen für den Warnungsnamen ein, legen Sie die Nachricht und aus der Dropdown-Liste Anzeigen das Textformat fest, und klicken Sie auf Speichern.
McAfee empfiehlt, dass Sie die Warnungen im Nur-Text-Format speichern, damit der Textinhalt von allen E-Mail-Clients angezeigt werden kann.
b Definieren Sie im Abschnitt Und ebenfalls die folgenden Optionen:
Protokollieren Internen Absender benachrichtigen
Isolieren Externen Absender benachrichtigen
Isolierte E-Mail weiterleiten Internen Empfänger benachrichtigen
Administrator benachrichtigen Externen Empfänger benachrichtigen
Beschreibungen zu jeder Option finden Sie unter Verfügbare Aktionen bei Erkennungen.
9 Klicken Sie auf Speichern, um die Einstellungen zu übernehmen und zur Seite für die Richtlinieneinstellungen zurückzukehren.
10 Klicken Sie auf Übernehmen, um diese Einstellungen für eine Richtlinie zu implementieren.
Sie können die erkannten URLs auf der Seite Erkannte Elemente | E-Mail-URL-Reputation anzeigen. Im Abschnitt Ergebnisse anzeigen können Sie die Liste der erkannten URLs anzeigen. Klicken Sie für eine detaillierte Ansicht auf Blockierte URLs in der Spalte Gesperrte Wortfolgen.

Oberer und unterer Schwellenwert für URL-Reputation – Beispiele

Geben Sie für den oberen URL-Reputationsschwellenwert 80 und für den unteren URL-Reputationsschwellenwert 50 an. Wenn der Reputationsfaktor des URL folgenden Wert hat:
GTI-Reputationsfaktor ist Aktion
Größer als 80 Gemäß den Einstellungen für die E-Mail-URL-Reputation wird eine Aktion ausgeführt.
Niedriger als 50 MSME lässt die E-Mail mit dem URL zu.
Zwischen 50 und 80 MSME vermutet, dass der URL bösartig sein könnte und führt entsprechend der Einstellungen eine Aktion aus.
Der SchwellenwertSehr verdächtig erkennt die gefährlichsten bösartigen URLs. Wenn Sie den Schwellenwert senken, steigt die Chance, False-Positives zu erhalten. False-Positive – Ein URL kann legitim sein, doch die Datenbank betrachtet ihn als potenziell bösartigen URL.