Exchange 2016 hat ja bereits einen “Schadsoftwarefilter” von Haus aus eingebaut. Ich habe mir mal erlaubt einen kleinen Test durchzuführen. Ich habe einfach einmal die ersten 6 Mails aus einer Quarantäne umgeleitet, in denen schon zuvor ein Virus / Trojaner gefunden wurde:
Die Sophos UTM E-Mail Protection hat die Virenmails alle brav abgelehnt. War auch eigentlich eine einfache Aufgabe, alle Mails enthielten ein ZIP Archiv mit dem Trojaner oder Virus. Nachdem ich die UTM etwas angepasst hatte, wurden die virenverseuchten Mails an Exchange zugestellt.
Das Ergebnis:
Alle 6 virenverseuchten Mails haben den Exchange Schadsoftwarefilter anstandslos passiert. Immerhin den EICAR Testvirus String hat der eingebaute Exchange Schadsoftwarefilter erkannt. Sobald der EICAR String sich allerdings beispielsweise in einem RAR-Archiv versteckt, sieht es schon wieder schlecht aus, die Mail landet direkt im Postfach.
Den Schadsoftware Filter habe ich bewusst in der Standardkonfiguration belassen und nur die Benachrichtigung angepasst:
Das Technet sagt dazu folgendes:
Antimalware protection is provided by the Malware agent that was introduced in Exchange Server 2013. The Malware agent is available and enabled by default on Exchange 2016 Mailbox servers.
Quelle: https://technet.microsoft.com/de-de/library/jj150481(v=exchg.160).aspx
Angeblich ist der Exchange Schadsoftwarefilter also in der Standardeinstellung aktiviert. Schade nur, dass der Schadsoftwarefilter scheinbar nur mehr schlecht als recht in der Standardeinstellung funktioniert.
Die Pattern waren übrigens aktuell. Ich habe nach meinem Test noch einmal manuell die Pattern aktualisiert, dies war auch erfolgreich:
Das Ergebnis bleibt bisher allerdings gleich. Es wird nach wie vor keine Mail mit Virus erkannt. Den Anhang einer Mail habe ich dann zur Sicherheit noch einmal bei VirusTotal hochgeladen, hier das Ergebnis:
Ich installiere jetzt noch einmal eine dedizierte neue Testumgebung und probiere es noch einmal aus. Bisher konnte ich nur zwei unabhängige Exchange 2016 Installationen testen. Beide liefern dieses schlechte Bild. Ich bin gespannt, ob sich eine frische Exchange 2016 Installation genauso verhält… Werde berichten…
Vielleicht sollte dazu auch dieser Querverweis genannt werden: https://blogs.technet.microsoft.com/exchange/2016/09/01/deprecating-support-for-smartscreen-in-outlook-and-exchange/
Tag zusammen, das wundert mich nicht… viel schlimmer finde ich den Sophos Virenscanner. Dieser versagte regelmäßig bei der Erkennung von Ransomware!!
Na wenigstens findet er bei euch den Eicar – als ich das vor 2 Monaten per Telnet getestet hab ging selbst das durch…. ;-)
Würde auch kein Exchange betreiben ohne eine vernünftige Anti-Spam lösung, das sagt dir auch jeder bei Microsoft.
Kann dies bestätigen, nur EICAR wird gefunden, ich habe noch nie eine Virenmail bekommen, eigentlich kann man den Scanner auch ausschalten, da spart man wenigstens bissel Strom ;)
Frank, du hast nicht wirklich erwartet, dass der Virenfilter von Exchange besser ist, als der Defender bzw. Microsoft Security Essentials?