Exchange 2016: Kleiner Schadsoftwarefilter Test

Exchange 2016 hat ja bereits einen “Schadsoftwarefilter” von Haus aus eingebaut. Ich habe mir mal erlaubt einen kleinen Test durchzuführen. Ich habe einfach einmal die ersten 6 Mails aus einer Quarantäne umgeleitet, in denen schon zuvor ein Virus / Trojaner gefunden wurde:

Kleiner Schadsoftwarefilter Test

Die Sophos UTM E-Mail Protection hat die Virenmails alle brav abgelehnt. War auch eigentlich eine einfache Aufgabe, alle Mails enthielten ein ZIP Archiv mit dem Trojaner oder Virus. Nachdem ich die UTM etwas angepasst hatte, wurden die virenverseuchten Mails an Exchange zugestellt.

Das Ergebnis:

Kleiner Schadsoftwarefilter Test

Alle 6 virenverseuchten Mails haben den Exchange Schadsoftwarefilter anstandslos passiert. Immerhin den EICAR Testvirus String hat der eingebaute Exchange Schadsoftwarefilter erkannt. Sobald der EICAR String sich allerdings beispielsweise in einem RAR-Archiv versteckt, sieht es schon wieder schlecht aus, die Mail landet direkt im Postfach.

Den Schadsoftware Filter habe ich bewusst in der Standardkonfiguration belassen und nur die Benachrichtigung angepasst:

Kleiner Schadsoftwarefilter Test

Das Technet sagt dazu folgendes:

 

Antimalware protection is provided by the Malware agent that was introduced in Exchange Server 2013. The Malware agent is available and enabled by default on Exchange 2016 Mailbox servers.

 

Quelle: https://technet.microsoft.com/de-de/library/jj150481(v=exchg.160).aspx

Angeblich ist der Exchange Schadsoftwarefilter also in der Standardeinstellung aktiviert. Schade nur, dass der Schadsoftwarefilter scheinbar nur mehr schlecht als recht in der Standardeinstellung funktioniert.

Die Pattern waren übrigens aktuell. Ich habe nach meinem Test noch einmal manuell die Pattern aktualisiert, dies war auch erfolgreich:

Kleiner Schadsoftwarefilter Test

Kleiner Schadsoftwarefilter Test

Das Ergebnis bleibt bisher allerdings gleich. Es wird nach wie vor keine Mail mit Virus erkannt. Den Anhang einer Mail habe ich dann zur Sicherheit noch einmal bei VirusTotal hochgeladen, hier das Ergebnis:

Kleiner Schadsoftwarefilter Test

Ich installiere jetzt noch einmal eine dedizierte neue Testumgebung und probiere es noch einmal aus. Bisher konnte ich nur zwei unabhängige Exchange 2016 Installationen testen. Beide liefern dieses schlechte Bild. Ich bin gespannt, ob sich eine frische Exchange 2016 Installation genauso verhält… Werde berichten…

6 Gedanken zu „Exchange 2016: Kleiner Schadsoftwarefilter Test“

  1. Tag zusammen, das wundert mich nicht… viel schlimmer finde ich den Sophos Virenscanner. Dieser versagte regelmäßig bei der Erkennung von Ransomware!!

    Antworten
  2. Kann dies bestätigen, nur EICAR wird gefunden, ich habe noch nie eine Virenmail bekommen, eigentlich kann man den Scanner auch ausschalten, da spart man wenigstens bissel Strom ;)

    Antworten

Schreibe einen Kommentar