Forefront Server Security Support - German

Guten Morgen,

Service Pack 1 fuer Sybari Antigen 8.0 fuer IM und Service Pack 1 fuer Sybari Antigen 8.0 fuer Microsoft SharePoint Portal Server enthalten die nun folgenden Aenderungen:

• Alle verbleibenden Antivirus Motoren updaten direkt von der Microsoft Webseite. Die frueher verwendete Webseite Sybari.com wird ausser Dienst gestellt.
• Der neue/einzige Updatepfad fuer die Antivirus Motoren ist: (http://antigendl.microsoft.com/antigen)
• Wenn Sie Antigen 8.0 auf dieses SP upgraden, werden alle unsupporteten Motoren automatische entfernt. Die nun supporteten Engines sind die folgenden:

- Authentium Command

- Kaspersky

- Norman Data Defense

- Virus Buster

Weitere Informationen entnehmen Sie bitte dem nun folgenden Kb Artikel: http://support.microsoft.com/kb/975850/en-us

Einen klasse Tag allen

Alex Bremer Microsoft

Sie haben sicher in einem der vorangegangenen Artikel ueber das Retirement verschiedener Engines gelesen ( changes of engines availability ). Wenn Sie die Spamcure Engine mit Antigen verwenden, so sein Sie bitte informiert, das diese Engine ebenfalls am 01 Dezember 2009 ausser Betrieb genommen wird.

Wir haben in eine vollkommen neue Technologie investiert. Wenn Sie Antigen 9 mit SP2 (Antigen 9 with SP2.) installieren, dann steht Ihnen ab diesem Built nun die Cloudmark (Cloudmark) Engine zur Verfuegung. Mit dieser Engine erziehlen Sie wesentlich bessere Detektionsraten, geringere “false positives”, einfachere Uebermitlung von “false negatives” oder “false positives” um die Engine zu updaten.

Was bedeutet dies?

Sie sollten Antigen VOR dem 01 Dezember 2009 auf SP2 updaten, um von der Spamcure Engine auf Cloudmark wechseln zu koennen – Links zum Update von Antigen sehen Sie weiter oben im Artikel

Weitere Informationen finden Sie unter: Engine Revision Overview and FAQ

Eine erfolgreiche Woche

LG

Alex Bremer Microsoft

Guten Morgen aus Madrid 

Wenn Sie noch immer Benutzer von Antigen 8 fuer Exchange oder Antigen 8 fuer Sharepoint sind, dann ist diese Information fuer Sie bestimmt.

Ab dem 31 Dezember 2009 werden Versionen von Antigen 8 nicht mehr supported und es werden keine Engine-Updates mehr bereitgestellt ( end-of-life )!!!

Sie sollten also die verbleibende Zeit nutzen, Ihre Umgebung auf Antigen 9 upzudaten.

Ebenfalls wichtig sind Aenderung der zur Verfuegung stehenden Engines, die am 01 July 2009 bekanntgegeben wurden und was dies speziell fuer Antigen 8 Verwender bedeutet ( engine revision plans ):    

·         Antigen fuer Exchange 8.0 und Antigen fuer SMTP Gateways 8.0

Die CA und Sophos Engine werden am 01 Dezember 2009 ausser Dienst genommen. Zwischen 01 Dezember und End of Life 31 Dezember werden Sie dann ausschliesslich von der Norman Engine geschuetzt. Sie sollten also vor 01 Dezember auf Antigen 9 upgraden um weiterhin voll geschuetzt zu

·         Antigen fuer Exchange 8.0 mit Advanced Spam Manager und Antigen fuer SMTP Gateways 8.0 mit Advanced Spam Manager

Die CA, Sophos und die Ahnlab Engine werden am 01 Dezember ausser Dienst gestellt. Bis end of life am 31 Dezember 2009 werden Sie dann noch von folgenden Engines geschuetzt: Authentium, Kaspersky, Norman und Virusbuster.

·         Antigen fuer SharePoint 8.0

Es soll eine neue Version (voraussichtlich Oktober 2009) geben, die Ihnen Zugang zu den uebrigen Engines geben kann. Wenn Sie nicht auf dieses Built upgraden, sind Sie nur bis 01 Dezember 2009 geschuetzt.

·         Antigen fuer Instant Messaging 8.0

Es soll eine neue Version (voraussichtlich Oktober 2009) geben, die Ihnen Zugang zu den uebrigen Engines geben kann. Wenn Sie nicht auf diese Version upgraden werden Sie bis end of life am 01 Dezember 2009 nur von der Norman Engine geschuetzt sein 

Fuer zusaetzliche Informationen zu den Engine-Aenderungen besuchen Sie bitte:

 Antimalware Engine Notifications and Developments

Sollten Sie zusaetzliche Fragen zu den Engine-Aenderungen, Antigen 8 end of life und Lizenzfragen haben, so wenden Sie sich bitte per Email an: fssadm@microsoft.com.

Link zum Original Englischsprachigen Artikel: http://blogs.technet.com/FSS/

Liebe Gruesse

//Alex Bremer Microsoft

In diesem Artikel beschreiben wir  ein Problem der Dateiuebermittlung auf einem Office Communications Server (OCS). Als Symptom sehen Sie, das eine Datei nicht zwischen zwei clients uebertragen werden kann – Forefront logged diesen Incident aber nicht und es wird keine Notification versand

Um im Detail herauszufinden was passiert, muessen wir zuerst diagnostisches Logging ermoeglichen.

Oeffnen Sie die Registry und gehen bitte zu:

[HKLM\Software\Wow6432Node\Microsoft\Forefront Server Security\Office Communications Server

Erstellen Sie einen neuen DWORD Wert: DiagnosticLoggingLevel und geben diesem bitte einen Dezimalwert von 4

Im Forefront Administrator gehen Sie nun bitte zu Settings – General Options – und Selektieren bitte „Additional IM“ – Nun speichern Sie bitte ab

Die nun folgenden Fehlermuster koennten Sie im Forefropnt Programlog sehen

(…\Microsoft Forefront Security\Office Communications Server\Data):

Wenn Sie ein Networktrace erstellen, waehrend Sie versuchen die Datei zu versenden, so sollten Sie sehen, dass der OCS Server versucht eine Verbindung ueber Port 6892 zum OCS Client herzustellen, das der der Client aber auf keinen der Verbindungsversuche antwortet und so der TCP Handshake nicht vervollstaendigt werden kann:

Um ein Networktrace zu erstellen koennen Sie ein Tool wie zum Beispiel Microsoft’s Network Monitor verwenden. Dieses Tool ist sehr einfach zu benutzen

a)      Starten Sie das Tool und druecken Sie „play“ um aufzuzeichnen

b)      Versuchen Sie eine Datei zwischen Clients zu versenden

c)      Druecken Sie „stop“ um das Aufzeichnen des Netzwerkverkehrs zu beenden.

Wichtig: Fuer den Dateitransfer zwischen zwei OCS clients werden Ports zwischen 6891 und 6900 verwendet

Die Kommunikation ueber diese Ports findet AUSSCHLIESSLICH im Falle von Dateiuebertragungen statt. Das Command „netstat -nao“ zeigt nur dann welche Ports Forefront benutzt, wenn eine Dateiuebertragung durchgefuehrt wird. 2 Minuten nach dem Dateitransfer wird der Port wieder geschlossen.

Damit also Dateitransfer stattfinden kann, muessen die Clients in der Lage sein Verbindungen in der Portrange 6891-6900 aufbauen zu koennen. In unserem Beispiel fanden wir heraus, das die lokale Firewall so konfiguriert war, das alle Verbindungsversuche der OCS Server geblocked wurden. Als wir die Firewall entsprechend konfigurierten funktionierte der Dateitransfer ueber die Forefront OCS Server.

Wenn das Issue geloest ist, sollte das diagnostische Loggen wieder disabled werden:

Oeffnen Sie die Registry und gehen bitte zu:

HKLM\Software\Wow6432Node\Microsoft\Forefront Server Security\Office Communications Server

DWORD Wert: DiagnosticLoggingLevel aendern Sie den Wert auf 0 (Null)

Dann...

Im Forefront Administrator gehen Sie nun bitte zu Settings – General Options – und Deselektieren bitte „Additional IM“ – Nun speichern Sie bitte

Eine schoene Woche

//Alex Bremer Microsoft

Guten Morgen,

Wenn Sie in den vergangenen Jahren mit Antigen oder Forefront gearbeitet haben, dann fragen Sie sich wahrscheinlich...was kommt als naechstes?

Nun der Nachfolger von Forefront hat den Codenamen "Stirling". Zum jetzigen Zeitpunkt da ich diesen Artikel schreibe ist Stirling im Beta-II Level. Es gibt jedoch schon jetzt sehr viel Informationsmaterial, Test-Labs und auch Communities wo Sie Wissen beziehen koennen oder Fragen und Informationen austauschen. Viele Anwender unserer Produkte haben einfach nicht die Zeit Technet nach interessanten Neuigkeiten zu durchsuchen, besuchen aber regelmaessig unseren Blog. Aus diesem Grund hier einfach eine Uebersicht, was bis Dato zur Verfuegung steht 

Einen schoenen Rest der Woche...

Alex Bremer Microsoft

Wir werden oft gefragt, welche Optionen es gibt, die Scan Engines in bestimmten Umgebungen zu aktualisieren. In diesem Artikel beschreibe ich einige der haeufigsten Szenarien und hoffe es hilft Ihnen die auszuwaehlen, die in Ihrer Umgebung die angebrachteste ist (dieser Blog Artikel ist nicht fuer aeltere Versionen prior zu Antigen 9 gedacht!)

Hier zum Warmwerden eine Tabelle, die moegliche und empfohlene Methoden zeigt, die Engines zu aktualisieren:

Lassen Sie uns die Moeglichkeiten diskutieren....

·         A: Direct HTTP Updates from Microsoft Servers

·         B: UNC Hub Updates

·         Combining Direct HTTP Updates and UNC Updates for Redundancy

·         C: Pushing out Updates via FSSMC

·         D: Manual Download of Engine Files with UNC Updates

·         General Notes

·         Abbreviations

A: Direct HTTP Updates from Microsoft Servers

Dies ist die Grundoption fuer Engine Aktualisierungen unserer Produkte. Ein Prozess der sich GetEngineFiles.exe nennt, nimmt sich den HTTP Pfad aus dem GUI (Engine updates) und laedt die Updates herunter.

Wenn Sie nur wenige Antigen/ Forefront Server haben, so ist dies die optimale Auswahl fuer Sie.

B: UNC Hub Updates

Fuer diese Methode verwenden Sie einen sogenanten Deploymentserver. Dieser Server laedt die Updates per HTTP herunter. Dies kann jeder Antigen 9 oder Forefront (FSE/FSSP/FSOCS) Server sein, der Internetzugang hat.

Sie richten dann einen „Share“ auf dem Engine Verzeichniss ein, von dem dann die anderen Antigen/ Forefront Server in Ihrer Umgebung die Updates beziehen koennen:

Dies hilft Ihnen Netzwerktraffic zu reduzieren. Abhaengig von Ihrer Netzwerkgeschwindigkeit und der Menge der Server die Sie intern updaten wollen, macht es eventuell Sinn, mehere Server als Distrubutionsserver einzurichten.

Die Einstellungen, das ein Server als Distrubutionsserver verwendet wird, finden Sie in den General Options

Kombination von HTTP Updates und UNC Updates (Redundancy)

Antigen 9 oder Forefront (FSE/FSSP/FSOCS) Produkte erlauben es Ihnen 2 Update-Moeglichkeiten pro Engine auszuwaehlen. Abhaengig von Ihrer Umgebung koennen Sie den/die fuer Sie besten Kombinationen auswaehlen:

·         Konfigurieren Sie den primaeren NUP “Network Update Path” auf die grundeingestellte HTTP location. Setzen Sie den zweiten NUP auf einen UNC share, den Sie zuvor konfiguriert haben. Dieser wird verwendet, sollte Internetzugang einmal nicht gewaehrleistet sein und;

·         Konfigurieren Sie den primaeren NUP um von Ihrem UpdateHub1 (via UNC) upzudaten. Setzen Sie den zweiten NUP um direkt ueber das Internet upzudaten, sollte der interne Share einmal nicht verfuegbar sein;

·         Konfigurieren Sie den primaeren NUP um von Ihrem UpdateHub1 (via UNC) upzudaten und tragen Sie UpdateHub2 fuer Redundancy ein. Auf diese Weise nutzen Sie nur Ihr schnelles internes Netzwerk. Bitte neachten Sie das NUP 2 nur verwendet wird, sollte NUP 1 nicht zur Verfuegung stehen

C: Pushing out Updates via FSSMC

Sie koennen FSSMC fuer Folgendes in Bezug auf Engine Updates verwenden:

·         Laden und cachen Sie die letzten 5 aktuellsten Signaturen

·         Verteilen Sie die Updates automatisch, auf alle Server die Sie selektieren;

·         Uberpruefen Sie ob Ihre Server die neusten Signaturen haben oder nicht   (automatischer Vergleich).

FSSMC ist der empfohlene Weg die Engines in Antigen 9 und Forefront in grossen Organisationen upzudaten. Stellen Sie sicher, das Sie die Updates auf den Lokalen Antigen/Forefront Servern deaktiviert haben, bevor Sie die Updates mittels FSSMC verteilen!

Sie erhalten FSSMC ueber die normalen Microsoft Wege. Zusaetzliche Informationen finden Sie hier:

·         FSSMC Home

·         FSSMC Forum

Achtung: Bitte beachten Sie das FSSMC derzeit FSOCS NICHT unterstuetzt.

D: Manual Download of Engine Files with UNC Updates

In der Liste sehen Sie, das diese Option meist als “letzter Ausweg” deklariert ist, weil es sehr schwierig aufzusetzen ist. Im Regelfall benutzen Sie ein Script um regellmaessig die Verfuegbarkeit neuer Engines zu ueberpruefen und diese gegebenenenfalls herunterzuladen (2 Dateien pro Engine; manifest.cab und <Engine>_fullpkg.cab).

Diese Methode hat ebenfalls den Nachteil, das Sie jedesmal das komplette Enginepacket herunterladen muessen, waeherend die “normalen” Downloadwege incrementelle Updates verwenden. Ein volles Update kann zwischen 15 und 60MB an Datentransfer benoetigen. Es ist also nicht nur schwierig aufzusetzen, sondern implementiert auch einen imensen Datentransfer. Dennoch kann es Ihre einzige Moeglichkeit sein, wenn andere Antigen oder Forefront Produkte keinen Internetzugang haben.

Die Idee ist die Engines in der gleichen Ordner Strucktur herunterzuladen, wie Antigen oder Forefront es tun wuerden. Ob Sie die Engines manuell herunterladen, oder dies per Script tun..das Prozedere bleibt das gleiche:

1.       Áuf dem Downloadserver (Der Server der Internetzugang hat), erstellen Sie einen Downloadordner (den Sie spaeter sharen) und erstellen Subordner – wie unten beschrieben:

 Sie haben einen Engine Namen Ordner pro Engine und auch einen UpdateVersion Ordner

2.       Laden Sie das manifest.cab fuer jede Engine herunter. Dieses muss jeweils in den Engine Namen Ordner und UpdateVersion Ordner kopiert werden. Hier die Links zu den manifest.cab Dateien:

3.     Oeffnen Sie bitte das manifest.cab, darin das manifest.xml und suchen Sie das Versionselement der spezifischen Engine die Sie updaten moechten:

4.      Sie koennen nun die Engine Ordner Struktur vervollstaendigen, da Sie nun das Versionselement haben.

5.       Laden Sie das Enginepackey CAB herunter, in dem Sie die folgende URL verwenden:

 FOREFRONT: http://forefrontdl.microsoft.com/server/scanengineupdate/x86/<Engine>/

Package/<UpdateVersion>/<Engine>_fullpkg.cab

 ANTIGEN: http://antigendl.microsoft.com/antigen/x86/<Engine>/Package/<UpdateVersion>/

<Engine>_fullpkg.cab

...wobei <Engine>  ist der Name der Engine die Sie herunterladen wollen und <UpdateVersion> ist das Versionselement, welches Sie vom manifest.xml bezogen haben

FOREFRONT: http://forefrontdl.microsoft.com/server/scanengineupdate/x86/Microsoft/

Package/0904080003/Microsoft_fullpkg.cab

ANTIGEN: http://antigendl.microsoft.com/antigen/x86/Microsoft/Package/0904080003/

Microsoft_fullpkg.cab

Jede CAB Datei sollte im korrespondierenden UpdateVersion Ordner gespeichert werden.

6.       Nun kopieren Sie den gesamten Ordner (Top level Share) in Ihre isolierte Umgebung. Sie koennen dies unter Umstaenden auch mit einem USB Stick durchfuehren.

7.      Sharen Sie nun den top level Ordner, Sie sollten nun eine Struktur wie unten sehen:

Beachten Sie das das gleiche manifest.cab in zwei locations auftaucht. Das Engine_full_cab taucht nur im Ordner UpdateVersion auf. Ueberpruefen Sie bitte das dies fuer alle Engines zutrifft, die Sie updaten wollen.

8.      Im Antigen 9 oder Forefront (FSE/FSSP/FSOCS) Administrator gehen Sie bitte zu Einstellungen, Scanner Updates und setzen bitte den primaeren NetzwerkUpdatePfad auf Ihren UNC Share als Beispiel \\server1\MyShareName$

9.    Nun klicken Sie fuer jede Engine auf jetzt updaten um die Updates sofort zu beziehen oder schedulen Sie die Updates, damit Sie zu einem spaeteren Zeitpunkt durchgefuehrt werden.

Hinweis:

·         Wichtig: Die manuelle Updatemethode (D) verlangt von Ihnen manuelles Eingreifen. Auf dieser Basis koennen wir vom Support diese Methode nur auf “best effort” supporten. Wir stellen keine Scripts zur verfuegung, die diese Methode durchzufuehren.

·         Manifest.cab Dateien “verfallen” nach einem bestimmten Zeitlimit aus Sicherheitsgruenden – dies hanegt von der Engine ab, geschieht aber im Regelfall nach einigen Tagen

·         Zur jetzigen Zeit des Schreibens des Artikels sind die Updatefiles von Antigen 9 und Forefront austauschbar. Sie koennen also Antigen 9 Engines in Forefront und umgekehrt verwenden.

    Auch wenn Sie Forefront auf einem x64 System betreiben bleibt der EngineUpdatePath x86 da alle Engines 32-bit sind.

    Der Name der Kaspersky Engine fuer manuelle Updates muss ‘Kaspersky5’ sein (nicht ‘Kaspersky’).

     Der Name der Virus Buster Engine fuer manuelle Updates muss ‘VBuster’ sein (nicht ‘Virus Buster’ oder ‘VirusBuster’).

Abbreviations

CSS      -(Microsoft) Customer Service and Support

FSE      -Forefront Server Security fuer Exchange

FSOCS  -Forefront Security fuer Office Communications Server 2007

FSSMC -Forefront Server Security Management Console

FSSP     -Forefront Server Security fuer Sharepoint

NUP     -Network Update Path

UNC     -Universal Naming Convention. Example path: \\server1\MyShareName$

Eine schoenme Woche!

Alex Bremer Microsoft

Guten Morgen,

For einiger Zeit bekamen wir im Support eine sehr spezifische Anfrage. Die Beantwortung der Frage benoetigte einige Zeit des Testens und Experimentierens. Das nun folgende Beispiel kann auf alle Filetypes angewendet werden

Die Frage des Kunden:

·         Ich moechte das (Standard) Email Empfaenger einen bestimmten Filetyp NICHT bekommen koennen

·         Ich moechte das Manager diesen Filetyp erhalten koennen

Einige Eckdaten, die Sie im Umgang mit FSE wissen sollten:

-          In frueheren Versionen (Antigen) sahen Sie fuer jede Storagegroup einen separanten Realtime Scanjob. In FSE gibt es nur noch einen! Sie koennen jedoch auswaehlen, auf welche Mailboxen der Realtimescanjob angewendet werden soll.        

-     Alle Emails, auch wenn Sie zwischen Sendern/Empfaengern der selben Storage Group versendet werden – gehen ueber den TransportScanjob (im Regelfall auf dem Hubserver)

-          “…Nachdem Mails auf dem Transportscan gescannt werden, erhalten Sie einen Stamp das sie gescannt wurden. Dies verhindert das die Emails erneut gescannt werden, wenn die Email in den informationstore geschrieben wird..“  (see Ex_Best_Practices.doc )

Wir entschieden uns fuer folgendes Prozedere:

-          Wir erstellten auf dem RealtimeScanjob einen Attachmentfilter: “*” und waehlten als Filetyp “BMP”

Bitte beachten Sie, das wir KEINEN Attachmentfilter auf dem Transportscanjob erstellt haben. Wenn wir dies taeten, koennten wir nicht zwischen Standardempfaengern und Managern differenzieren!

Wir haben in diesem Szenario ebenfalls Virus Scanning und Content Filtering auf dem Realtimescanjob deaktiviert (Im Forefront Administrator unter Operate/Run Job), damit stellen wir sicher, das der Realtimescanjob NUR Attachmentfilterung uebernimmt.

Wir haben den Realtimescanjob dann auf die Standard Empfaenger angewendet und Stellten sicher, das Manager Mailboxen nicht selektiert wurden (Forefront Administrator unter settings Settings/ScanJob, waehlen Sie den Realtimescanjob aus, unter Mailboxen selektieren Sie die Entsprechenden Empfaenger...

dann...

Was haben wir hiermit erreicht:

-          Manager sind in der Lage BMP-Anhaenge zu erhalten oder zu senden (WIE GEFORDERT)

-          Standard Users koennen keine BMP-Anhaenge erhalten oder senden (WIE GEFORDERT*)

-          All Empfaenger koennen Email mit jedem Attachment (ausser BMP) erhalten oder senden. Dieses muessen Sie duch weitere Filter anpassen (WURDE NICHT GEGORDERT).

Bei Analyse der Logfiles sahen wir, das Nachrichten auf dem SMTP Level gescanned und stamped wurden, als Sie in den Mailboxstore geschrieben wurden, wurde keine Realtimescanning durchgefuehrt.... (....warum?)

-   Damit der realtimescan angewendet ond Filefilterung durchgefuehrt wird, muss folgende Aenderung durchgefuehrt werden:

   Wir mussten den Registrywert: DisableAVStamping auf 1 setzen (sehen Sie dazu Ex_Best_Practices.doc )

DisableAVStamping [registry]

After scanning each message on the Exchange 2007 Transport role, FSE applies a secure antivirus stamp. This prevents duplicate scanning on the Mailbox server role when the message is deposited into the Store.

It is recommended that you use the secure antivirus transport stamp as designed. You should turn it off only if you plan to use different engines or filtering settings on the Transport server and the Mailbox server. Otherwise, needless duplicate scanning occurs.

The "DisableAVStamping" registry key permits you to override the recommended default setting. This causes the Transport stamp to be suppressed, and the Mailbox server to treat the message as not having been previously scanned.

To override the default, add a new DWORD, called "DisableAVStamping" with a value of "1". This value is not present by default and is assumed to be "0" (the default).

FSE stores registry values in the following locations:

For 32-bit systems:

·      HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server

For 64-bit systems:

·      HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

Nachdem wir diesen Key entsprechend gesetzt hatten, erreichten wir die Filterung, die wir wollten.

In Erwaegung zu ziehen:

Dieser Wert wuerde extra Auslastung auf dem MBX Server erzeugen  - Dies ist, was das FSE Design zu verhindern sucht – Alles Scannen soll nach Moeglichkeit auf dem Transportscanjob geschehen.

Wie auch immer, da wir hier nur Filefilterung auf dem Realtimescannjob aktivieren..ist der Einfluss nicht so gross und wir haben die Filterung, die wir erreicheten wollten, tatseachlich erreicht.

* Be aware that a mail may or may not be scanned by the Realtime scanjob, depending on the load on the server (especially on busy servers). This is behaviour is due to race conditions. The impact of race conditions is beyond the scope of this blog article. Maybe I’ll save that for another time J.

 Allen eine schoene Woche

Alex Bremer

Microsoft

Wir fanden gerade heraus, das Spamhaus die SBL-XBL liste ausser Funktion genommen hat und nun nur noch die Liste zen.spamhaus.org anbietet.

Im nun folgenden Screenshot sehen Sie die nun zur Ferfuegung stehenden Services (Ressource: www.spamhaus.org):

Microsoft hat heute den Release von 4 Servicepacks der Antigen- und Foreferont Produktfamilie angekuendigt. Um die Servicepacks herunterzuladen oder fuer weitere Informationen klicken Sie bitte auf einen der unten aufgefuehrten Links

           Forefront Security fuer Exchange Server

o    Download Forefront Security for Exchange Server with Service Pack 2

o    Description of Forefront Security for Exchange Server Service Pack 2

·         Forefront Security fuer SharePoint

o    Download Forefront Security for SharePoint with Service Pack 3

o    Description of Forefront Security for SharePoint Service Pack 3

·         Antigen 9.0

o    Download Antigen for Exchange with Antigen Spam Manager 9.0 with Service Pack 2

o    Download Antigen for SMTP Gateways with Antigen Spam Manager 9.0 with Service Pack 2

o    Description of Antigen 9.0 with Service Pack 2

Alexander Bremer

Microsoft Customer service And Support

Ueberblick:

Das Programlog.txt ist das wichtigste Logfile von allen Antigen/Forefront Server Logs.

Zu finden in Antigen:

Im Hauptverzeichniss des Antigen for Exchange/SMTP Installationsverzeichnisses

Zu finden in Forefront:

Im Forefront installationsverzeichniss finden Sie einen Unterordner data

Das programlog.txt ist sozusagen ein erweitertes Eventlog fuer Antigen oder Forefront Server Produkte. Dieses Log hat kritische Bedeutung, da alle Funktionen, Prozesse und auch Fehler in diesem Log gesammelt werden. Sollten Sie einen Support Fall eroeffnen, werden Sie stes als erstes nach diesem Log gefragt.

Zurueck zum Problem....

Wir hatten einen Kunden, bei dem die Transport Diagnostics (Forefront Server) keine Eintraege in das Programlog schrieben. Im Regelfall ist das Programlog gefuellt mit Eintraegen der verschiedenen Scanjobs

Abschliessend fanden wir heraus, das der Prozess (der im Regelfall ins Programlog schreibt) - FSCTransportscanner.exe (der unter dem Netzwerk Service Konto laeuft), keine Schreibberechtigungen auf Program Files (x86)\Forefront Server Security verzeichniss, oder dessen Unterordner hatte. Nun wir gaben dem Service Schreibberechtigungen auf das Verzeichniss und siehe da, logging fand ohne Probleme statt

Ueberpruefen des Kontos fuer FSCTransportScanner.exe im Task Manager

Im oben aufgefuehrten Screenshot sehen Sie, das der Service unter dem Netzwerkservice laeuft.

Hinzufuegen des Netzwerkservices mit Schreibberechtigungen auf das Forefront Installationsverzeichniss

Sollten Sie dieses Problem in Ihrer Umgebung feststellen, den Netzwerservice aber nicht sehen, so fuegen Sie diesen bitte manuell hinzu und geben diesem Schreibberechtigungen auf das genannte Verzeichniss. Sollten andere Services auch dieses problem haben, so wissen Sie nun welche Aenderungen Sie vornehmen muessen.

Einfach...wenn man weiss wo. Wir hoffen dieser Artikel hilft Ihnen Zeit zu sparen

Liebe Gruesse

Alex

IMF Optionen

Wenn Spam mittels IMF bekaempft werden soll, so ist dies ein 2-Prozess-Ansatz. Der Filter scanned jede einkommende Eimail und gibt dieser ein sogenanntes Spam Confidence Level (SCL) rating von Null bis Neun. Null bedeutet hier kein Spam und Neun bedeutet Spam.

Abhaengig vom zugewiesen SCL Rating haengt es ab, was weiter mit der Nachricht geschieht. Dies kann an zwei Punkten geschehen:

•        Am Gateway – Nachrichten koennen abgewiesen oder archiviert werden (Quarantaene), abhaengig vom SCL Rating. Diese Emails 

                              werden vom Enduser nicht gesehen.

•        Am Nachrichtenstore – Nachrichten werden zum Outlook 2003 Junk E-Mail folder, basiert auf dem SCL rating, weitergeleitet.

Ein typisches Szenario:

•        Gateway: Einstellung besagt Archive alle Emails mit einem SCL rating von 7 oder groesser.

•     MBX Store: Einstellung alle Emails mit einem SCL rating zwischen 4 und 6 werden an den Junk Mail Ordner geleitet.

•     Alle uebrigen Emails mit einem SCL rating zwischen 0 und 3 gehen normal and die User Inbox.

Das specifische SCL rating kann vom Administrator den Beduerfnissen entsprechend angepasst werden. Am Gateway koennen Sie die Einstellung „Take No Action“ setzen. Dies bedeutet, das alle Emails mit einem hoeheren Treshhold an den Junkmail Ordner gehen.

Advanced Spam Manager (ASM) Optionen

Die Spamcure Engine arbeitet nicht auf Basis von SCL Rating. Sie verwendet hoch akurate spezifische Signaturen. Sie verwendet sozusagen einen Ja/Nein Modus. Als Spam detektierte Email erhaelt ein SCL Rating von 9. Als nicht Spam klassifizierte Emails erhalten ein SCL rating von 0. Die Engine bietet ausserdem Features wie in Quarantaene stellen, Subject line stamping und so weiter.

Zusammenarbeit von IMF und ASM

Wenn IMF und ASM auf dem gleichen Gateway installiert sind, so scanned IMF die Emails zuerst. Bei diesem Prozess wird der Email ein SCL Rating zugewiesen. Danach wird die Email and ASM uebergeben, der die Email ebenfalls scanned. SCL arbeitet auf die Weise, das ein hoeheres SCL rating immer ein niedrigeres ueberstimmt. Wenn IMF einer Email ein SCL rating von 8 gibt und AMF ein niedrigeres, so wird IMF niemals den Wert – gegeben von IMF - herabsetzen.

Hier ein Beispiel zur Veranschaulichung:

•        IMF auf dem Gateway ist so konfiguriert, das alle Emails mit einem SCL Rating von 8 oder 9 abgewiesen werden. Dies sind sehr hohe SCL Ratings und die Wahrscheinlichkeit "false positives" zu erhalten ist relativ  gering

•        Die Einstellung auf dem MBX Store besagt, das alle Emails mit einem SCL Rating von 5 bis 7 in den Junkmail Ordner gehen.

•        Alle uebrigen Emails mit einem SCL Rating von 0 bis 4 gehen in die Inbox.

•        Advanced Spam Manager ist so konfiguriert alle emails basierend auf deren SCL Rating als Spam zu klassifizieren, oder nicht.

Hier der Weg, wie Emails gehandled werden:

1.            Wenn Email in Ihr Messaging Umgebung kommt erhaelt Sie von IMF ein SCL Rating. Alle Emails mit einem Rating von 8 oder 9 werden rejected. Alle uebrigen Emails erhalten ein rating von 0 bis 7.

2.            Nun wird die Email im naechsten Schritt an ASM uebergeben. ASM klassifiziert Spam vollkommen unabhaengig vom Ranking des IMF. Die folgenden Bewertungen sind nun moeglich:

a)           Die Email wird als Spam klassifiziert, erhaelt ein SCL rating von 9 und wird gefiltert.

b)           Email, die IMF als nicht Spam klassifiziert hat (SCL Rating 0-4) wird nun von ASM gescannt. Email, kann nun im zweiten Netz als Spam klassifiziert und gefiltert werden, oder die Email wird ebenfalls als nicht Spam klassifiziert und daraufhin zugestellt.

3.   Die Email erreicht den Mailbox Store. Jede Email mit dem SCL rating von 5-7 erhaelt einen Tag in der Subjectline, jede Email mit einem SCL rating von 8-9 geht in den junkmail Ordner, jede Email mit einem SCL Rating von 0-4 geht zur User inbox.

Natuerlich koennen alle oben erwaehnten Parameter modifiziert werden. Sie koennen als Beispiel folgendes in Erwaegung ziehen:

•        Sie wollen am Gateway keine Emails filter, um auf keinen Fall in gefahr zu laufen, false positives zu haben.

•        Setzen Sie das SCL Rating am Gateway auf Archivieren (SCL 8-9), so koenne diese Emails bei bedarf wieder freigegeben

•        Erhoehen oder senken Sie das Rating auf dem MBX Store um das Leiten von nachrichten zum Junkmail Ordner zu fine tunen.

Zusaetzliche Informationen:

·         Exchange IMF: http://technet.microsoft.com/en-us/exchange/bb288484.aspx  

·         Configuring the Exchange Intelligent Message Filter: http://technet.microsoft.com/en-us/library/bb914061.aspx

·         How to verify the Intelligent Message Filter SCL rating in Outlook 2003: http://support.microsoft.com/kb/895091

·         Anti-Spam updates in Forefront Security for Exchange Server: http://support.microsoft.com/kb/941271/en-us

·         Information about the types of anti-spam updates that are available for Exchange 2007: http://support.microsoft.com/kb/925474/en-us

·         Anti-Spam and Antivirus Functionality: http://technet.microsoft.com/en-us/library/aa997658(EXCHG.80).aspx

·         Understanding Anti-Spam and Antivirus Mail Flow: http://technet.microsoft.com/en-us/library/aa997242(EXCHG.80).aspx

·         Managing Anti-Spam and Antivirus Features: http://technet.microsoft.com/en-us/library/aa996604(EXCHG.80).aspx

·         How to Configure Anti-Spam Automatic Updates: http://technet.microsoft.com/en-us/library/bb125199.aspx

Anwendbar auf:

Microsoft Antigen fuer Exchange 9.0

Microsoft Antigen fuer Exchange 9.0 Service Pack 1

Microsoft Antigen fuer SMTP 9.0

Microsoft Antigen fuer Exchange 9.0 Service Pack 1

LG

Alex Bremer

Hier finden Sie Informationen ueber die neuesten Versionen von Antigen  und Forefront Server Security Produkten (Stand 10 April 2009) und die entsprechenden KB Artikel.

Die neuesten Versionen sind immer die „empfohlenen“. Sollten Sie einen Support Case eroeffnen und eine Version betreiben, die nicht der aktuellsten entspricht, so werden Sie wahrscheinlich gebeten zuerst das neueste Build zu installieren.

Eine schoene Woche

Alex Bremer Microsoft

In Antigen/Forefront besteht die Moeglichkeit mit diversen Scanengines die Sicherheit eines Systems zu gewaehrleisten. Die Multiscanengine-Technik existiert nur in Antigen/Forefront Produkten. Als administrator stellt sich Ihnen wohl ab und zu die Frage, ob Sie gegen bestimmte Malware, Virus, Worm geschuetzt sind?

Sie lesen moeglicher Weise im Internet ueber einen bestimmthen Threat und Fragen sich ob Forefront Sie dagegen schuetzen kann?

Nun jeder Antivirus Vendor koennte einem neuen Virus, Wurm oder Malware einen eigenen Namen geben. Wenn Sie als Administrartor kein Virus Sample haben, duerfte es schwierig sein herauszubekommen, ob eine Engine Sie schuetzt oder nicht.

Wenn Sie unter diesen Konditionen einen Support case eroeffnen, so wird ein Support Engineer, mit den Informationen die Sie uebermittelten versuchen, die M, den Virus, den Wurm zu identifizieren. Dazu wird der Support Engineer die nun folgenden Links der Engine Vendoren besuchen und und versuchen das sample zu identifizieren.

Nun Sie als Administrator koennen Ihrer Firma die Support Case Kosten ersparen und sich selbst auf die Suche nach den benoetigten Informationen machen.

Hier Links zu den AV Informationen der Vendoren:

Norman - http://www.norman.com/Virus/List_of_detected_viruses/en-us

Sophos - http://www.sophos.com/security/analyses/viruses-and-spyware/

CA Vet - http://www.ca.com/us/anti-virus.aspx

Authentium Command - http://www.authentium.com/threatmatrix/

AhnLab - http://global.ahnlab.com/

VirusBuster - http://www.virusbuster.hu/en/viruslab/

Kaspersky - http://www.kaspersky.com/viruswatchlite?hour_offset=-8

MSAV- https://www.microsoft.com/security/portal/submit.aspx

Sollten Sie jedoch ein Muster bereitstellen koennen, so kann Microsoft’s Malware Protection Portal eine virus submission Komponente zur Verfuegung stellen, mit der Engineers ein Muster schnell bewerten koennen

Einen schoenen Tag

Alex Bremer