ESET MAIL SECURITY PARA MICROSOFT EXCHANGE SERVER

ESET MAIL SECURITY PARA MICROSOFT EXCHANGE SERVER Manual de instalación y Guía del usuario Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 Ha...
Author: Xavier Acosta Giménez
0 downloads 0 Views 4MB Size
Report
Download PDF
ESET MAIL SECURITY PARA MICROSOFT EXCHANGE SERVER Manual de instalación y Guía del usuario Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2

Haga clic aquí para descargar la versión más reciente de este documento

ESET MAIL SECURITY Copyright ©2012 de ESET, spol. s r.o. ESET Mail Security ha sido desarrollado por ESET, spol. s r.o. Para obtener más información, visite el sitio www.eset.com. Todos los derechos reservados. Ninguna parte de esta documentación podrá reproducirse, almacenarse en un sistema de recuperación o transmitirse en forma o modo alguno, ya sea por medios electrónicos, mecánicos, fotocopia, grabación, escaneo o cualquier otro medio sin la previa autorización por escrito del autor. ESET, spol. s r.o. se reserva el derecho de modificar cualquier elemento del software de la aplicación sin previo aviso. Atención al cliente internacional: www.eset.eu/support Atención al cliente para América del Norte: www.eset.com/support REV. 1/9/2012

Contenido 1. Introducción ..................................................5 1.1

Novedades ........................................................................5 de la versión 4.3

1.2 Requisitos ........................................................................6 del sistema 1.3

Métodos ........................................................................6 utilizados 1.3.1 1.3.2

Análisis ...........................................................................6 del buzón de correo mediante VSAPI Filtrado ...........................................................................7 de mensajes de nivel de servidor SMTP

1.4 Tipos ........................................................................7 de protección 1.4.1 1.4.2 1.4.3

Protección ...........................................................................7 antivirus Protección ...........................................................................7 Antispam Aplicación ...........................................................................7 de reglas definidas por el usuario

3.4 Preguntas ........................................................................47 frecuentes

4. ESET Mail Security - protección del servidor ..................................................50 4.1 Protección ........................................................................50 antivirus y antispyware 4.1.1 4.1.1.1 4.1.1.1.1 4.1.1.1.2 4.1.1.1.3 4.1.1.2 4.1.1.3

1.5 Interfaz ........................................................................8 de usuario

2. Instalación ..................................................9 2.1

Instalación ........................................................................9 típica

2.2 Instalación ........................................................................11 personalizada 2.3 Terminal ........................................................................12 Server 2.4 Actualización ........................................................................13 a una versión más reciente 2.5 Instalación ........................................................................13 en un entorno de clúster 2.6 Licencia ........................................................................14 2.7 Configuración ........................................................................17 posterior a la instalación

3. ESET Mail Security - protección de Microsoft Exchange Server ..................................................20 3.1

Configuración ........................................................................20 general 3.1.1 3.1.1.1 3.1.1.2 3.1.2 3.1.2.1 3.1.2.2 3.1.3 3.1.4 3.1.4.1 3.1.5

Microsoft ...........................................................................20 Exchange Server VSAPI (Interfaz de programación de aplicaciones de análisis ..........................................................................20 de virus) Agente ..........................................................................20 de transporte Reglas ...........................................................................22 Cómo ..........................................................................23 agregar reglas nuevas Acciones ..........................................................................24 emprendidas en la aplicación de reglas Archivos ...........................................................................25 de registro Cuarentena ...........................................................................26 de mensajes Cómo ..........................................................................27 agregar una nueva regla de cuarentena Rendimiento ...........................................................................28

3.2 Configuración ........................................................................28 del antivirus y antispyware 3.2.1 3.2.1.1

Microsoft ...........................................................................28 Exchange Server Interfaz de programación de aplicaciones de análisis de ..........................................................................29 virus (VSAPI) 3.2.1.1.1 Microsoft ............................................................................29 Exchange Server 5.5 (VSAPI 1.0) 3.2.1.1.1.1 Acciones .........................................................................29 3.2.1.1.1.2 Rendimiento .........................................................................29 3.2.1.1.2 Microsoft ............................................................................30 Exchange Server 2000 (VSAPI 2.0) 3.2.1.1.2.1 Acciones .........................................................................30 3.2.1.1.2.2 Rendimiento .........................................................................31 3.2.1.1.3 Microsoft ............................................................................31 Exchange Server 2003 (VSAPI 2.5) 3.2.1.1.3.1 Acciones .........................................................................32 3.2.1.1.3.2 Rendimiento .........................................................................32 3.2.1.1.4 Microsoft ............................................................................33 Exchange Server 2007/2010 (VSAPI 2.6) 3.2.1.1.4.1 Acciones .........................................................................33 3.2.1.1.4.2 Rendimiento .........................................................................34 3.2.1.1.5 Agente ............................................................................35 de transporte 3.2.2 Acciones ...........................................................................36 3.2.3 Alertas ...........................................................................36 y notificaciones 3.2.4 Exclusiones ...........................................................................37 automáticas 3.3 Protección ........................................................................38 Antispam 3.3.1 3.3.1.1 3.3.2 3.3.2.1 3.3.2.1.1 3.3.3

Microsoft ...........................................................................39 Exchange Server Agente ..........................................................................39 de transporte Motor ...........................................................................40 antispam Configuración ..........................................................................41 de parámetros del motor antispam Archivo ............................................................................43 de configuración Alertas ...........................................................................47 y notificaciones

4.1.1.4 4.1.1.5 4.1.2 4.1.2.1 4.1.2.1.1 4.1.2.2 4.1.2.2.1 4.1.2.3 4.1.3 4.1.3.1 4.1.3.1.1 4.1.3.1.2 4.1.4 4.1.4.1 4.1.4.1.1 4.1.4.1.2 4.1.4.2 4.1.4.3 4.1.5 4.1.6 4.1.6.1 4.1.6.1.1 4.1.6.1.2 4.1.7 4.1.7.1 4.1.7.2 4.1.7.3 4.1.7.4 4.1.7.5 4.1.7.6 4.1.8

Protección ...........................................................................50 del sistema de archivos en tiempo real Configuración ..........................................................................50 del control Objetos ............................................................................51 a analizar Analizar ............................................................................51 (análisis cuando se cumpla la condición) Opciones ............................................................................51 avanzadas de análisis Niveles ..........................................................................51 de desinfección Modificación de la configuración de protección en tiempo ..........................................................................52 real Análisis ..........................................................................52 de protección en tiempo real ¿Qué debo hacer si la protección en tiempo real no funciona? ..........................................................................52 Protección ...........................................................................53 del cliente de correo electrónico Comprobación ..........................................................................53 del protocolo POP3 Compatibilidad ............................................................................54 Integración ..........................................................................55 con clientes de correo electrónico Agregar mensajes con etiquetas al cuerpo del mensaje ............................................................................56 Eliminar ..........................................................................56 amenazas Protección ...........................................................................57 del tráfico de Internet HTTP, ..........................................................................57 HTTPs Gestión ............................................................................58 de direcciones Modo ............................................................................59 activo Análisis ...........................................................................60 del ordenador a petición Tipo ..........................................................................61 de análisis Análisis ............................................................................61 estándar Análisis ............................................................................61 personalizado Objetos ..........................................................................62 de análisis Perfiles ..........................................................................62 de análisis Rendimiento ...........................................................................63 Filtrado ...........................................................................63 de protocolos SSL..........................................................................63 Certificados ............................................................................63 de confianza Certificados ............................................................................64 excluidos Configuración de parámetros del motor ThreatSense ...........................................................................64 Configuración ..........................................................................64 de objetos Opciones ..........................................................................65 Desinfección ..........................................................................66 Extensiones ..........................................................................66 Límites ..........................................................................67 Otros ..........................................................................67 Detección ...........................................................................67 de una amenaza

4.2 Actualización ........................................................................68 del programa 4.2.1 Configuración ...........................................................................69 de actualizaciones 4.2.1.1 Perfiles ..........................................................................70 de actualización 4.2.1.2 Configuración ..........................................................................70 avanzada de actualizaciones 4.2.1.2.1 Tipo ............................................................................71 de actualización 4.2.1.2.2 Servidor ............................................................................72 Proxy 4.2.1.2.3 Conexión ............................................................................74 a la red local 4.2.1.2.4 Creación ............................................................................75 de copias de actualización: Mirror 4.2.1.2.4.1Actualización .........................................................................76 desde el servidor Mirror 4.2.1.2.4.2Resolución de problemas de actualización del Mirror .........................................................................77 4.2.2 Cómo ...........................................................................77 crear tareas de actualización 4.3 Planificador ........................................................................78 de tareas 4.3.1 4.3.2

Finalidad ...........................................................................78 de las tareas programadas Creación ...........................................................................79 de tareas nuevas

4.4 Cuarentena ........................................................................80 4.4.1 4.4.2 4.4.3

Copiar ...........................................................................80 archivos en cuarentena Restauración ...........................................................................80 de archivos de cuarentena Envío ...........................................................................81 de un archivo a cuarentena

4.5 Archivos ........................................................................82 de registro 4.5.1

Filtrado ...........................................................................85 de registros

4.5.2 4.5.3

Buscar ...........................................................................86 en el registro Mantenimiento ...........................................................................87 de registros

4.6 ESET........................................................................88 SysInspector 4.6.1 4.6.1.1 4.6.2 4.6.2.1 4.6.2.2 4.6.2.3 4.6.3 4.6.4 4.6.4.1 4.6.4.2 4.6.4.3 4.6.5 4.6.6 4.6.7 4.6.8

Introducción ...........................................................................88 a ESET SysInspector Inicio ..........................................................................88 de ESET SysInspector Interfaz ...........................................................................89 de usuario y uso de la aplicación Controles ..........................................................................89 de programa Navegación ..........................................................................90 por ESET SysInspector Comparar ..........................................................................91 Parámetros ...........................................................................92 de la línea de comandos Script ...........................................................................92 de servicio Generación ..........................................................................92 de scripts de servicio Estructura ..........................................................................93 del script de servicio Ejecución ..........................................................................94 de scripts de servicio Accesos ...........................................................................95 directos Requisitos ...........................................................................96 del sistema Preguntas ...........................................................................96 frecuentes SysInspector ...........................................................................97 como parte de ESET Mail Security

4.7 ESET........................................................................97 SysRescue 4.7.1 4.7.2 4.7.3 4.7.4 4.7.4.1 4.7.4.2 4.7.4.3 4.7.4.4 4.7.4.5 4.7.4.6 4.7.5 4.7.5.1

Requisitos ...........................................................................98 mínimos Cómo ...........................................................................98 crear un CD de recuperación Selección ...........................................................................98 de objetivo Configuración ...........................................................................98 Carpetas ..........................................................................99 Antivirus ..........................................................................99 ESET Configuración ..........................................................................99 adicional Protocolo ..........................................................................99 de Internet Dispositivo ..........................................................................100 de arranque USB Grabar ..........................................................................100 Trabajo ...........................................................................100 con ESET SysRescue Uso ..........................................................................100 de ESET SysRescue

4.8 Opciones ........................................................................100 de la interfaz de usuario 4.8.1 Alertas ...........................................................................102 y notificaciones 4.8.2 Desactivar ...........................................................................103 la GUI en Terminal Server 4.9 Línea ........................................................................104 de comandos 4.10 Importar ........................................................................105 y exportar configuración 4.11 ThreatSense.Net ........................................................................105 4.11.1 Archivos ...........................................................................106 sospechosos 4.11.2 Estadísticas ...........................................................................107 4.11.3 Envío ...........................................................................108 de archivos 4.12 Administración ........................................................................109 remota 4.13 Licencias ........................................................................110

5. Glosario ..................................................111 5.1

Tipos ........................................................................111 de amenazas 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 5.1.8

Virus ...........................................................................111 Gusanos ...........................................................................111 Caballos ...........................................................................111 troyanos Rootkits ...........................................................................112 Adware ...........................................................................112 Spyware ...........................................................................112 Aplicaciones ...........................................................................113 potencialmente peligrosas Aplicaciones ...........................................................................113 potencialmente indeseables

5.2 Correo ........................................................................113 electrónico 5.2.1 5.2.2 5.2.3 5.2.4 5.2.4.1 5.2.4.2 5.2.4.3 5.2.4.4 5.2.4.5

Publicidad ...........................................................................113 Información ...........................................................................114 falsa Phishing ...........................................................................114 Reconocimiento ...........................................................................114 de correo no deseado no solicitado Reglas ..........................................................................114 Filtro ..........................................................................115 Bayesiano Lista ..........................................................................115 blanca Lista ..........................................................................115 negra Control ..........................................................................115 del servidor

1. Introducción ESET Mail Security 4 para Microsoft Exchange Server es una solución integrada que protege los buzones de correo ante diversos tipos de contenido malicioso, como archivos adjuntos infectados por gusanos o troyanos, documentos que contienen scripts dañinos, phishing y spam. ESET Mail Security proporciona tres tipos de protección: antivirus, antispam y la aplicación de reglas definidas por el usuario. ESET Mail Security elimina el contenido malicioso en el servidor de correo, antes de que llegue al buzón de entrada del cliente de correo electrónico del destinatario. ESET Mail Security es compatible con Microsoft Exchange Server versión 5.5 y posteriores, así como con Microsoft Exchange Server en un entorno de clúster. En las versiones más recientes (Microsoft Exchange Server 2007 y posteriores), también se admiten roles específicos (buzón de correo, concentrador, perimetral). Puede administrar ESET Mail Security de forma remota en redes más grandes con la ayuda de ESET Remote Administrator. Además de ofrecer la protección de Microsoft Exchange Server, ESET Mail Security tiene también las herramientas necesarias para garantizar la protección del servidor (protección residente, protección del tráfico de Internet, protección del cliente de correo electrónico y protección antispam).

1.1 Novedades de la versión 4.3 En la versión 4.3 se ha introducir las siguientes novedades y mejoras con respecto a ESET Mail Security versión 4.2: Se han agregado nuevos registros para la protección antispam y la creación de listas grises. Ambos registros incluyen información detallada sobre los mensajes procesados por la protección antispam o de listas grises. El registro antispam también incluye información detallada sobre los motivos para clasificar un mensaje como SPAM. Exclusiones automáticas: aumenta la estabilidad general y mejoran el funcionamiento del servidor. Ahora, basta con un clic para definir conjuntos de exclusiones del análisis de la protección antivirus para archivos específicos del sistema operativo y la aplicación de servidor. Categorización de mensajes mediante el valor de nivel de spam: ahora los administradores puede especificar un intervalo de niveles de spam para indicar qué mensajes se clasificarán como spam. Esta función sirve para ajustar el filtrado antispam. Combinación de licencias: ESET Mail Security le permite utilizar varias licencias y, de esta manera, aumentar el número de buzones de correo protegidos.

5

1.2 Requisitos del sistema Sistemas operativos compatibles: Microsoft Windows NT 4.0 SP6 y SP6a Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 y x64) Microsoft Windows Server 2008 (x86 y x64) Microsoft Windows Server 2008 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64)

Versiones compatibles de Microsoft Exchange Server: Microsoft Exchange Server 5.5 SP3 y SP4 Microsoft Exchange Server 2000 SP1, SP2 y SP3 Microsoft Exchange Server 2003 SP1 y SP2 Microsoft Exchange Server 2007 SP1, SP2 y SP3 Microsoft Exchange Server 2010 SP1 y SP2

Los requisitos de hardware dependen de las versiones utilizadas del sistema operativo y de Microsoft Exchange Server. Recomendamos la lectura de la documentación del producto Microsoft Exchange Server para obtener información más detallada sobre los requisitos de hardware.

1.3 Métodos utilizados Se utilizan dos métodos independientes para analizar mensajes de correo electrónico: Análisis del buzón de correo mediante VSAPI 6 Filtrado de mensajes de nivel de servidor SMTP

7

1.3.1 Análisis del buzón de correo mediante VSAPI El proceso de análisis del buzón de correo se activa y controla con Microsoft Exchange Server. Los mensajes de correo electrónico de la base de datos de archivos de Microsoft Exchange Server se analizan constantemente. Según la versión de Microsoft Exchange Server, la versión de la interfaz de VSAPI y la configuración definida por el usuario, el proceso de análisis se puede activar en cualquiera de estas situaciones: Cuando el usuario accede al correo electrónico, por ejemplo, en un cliente de correo electrónico (el correo electrónico se analiza siempre con la base de firmas de virus más reciente). En segundo plano, cuando se hace poco uso de Microsoft Exchange Server. Proactivamente (de acuerdo con el algoritmo interno de Microsoft Exchange Server). Actualmente, la interfaz de VSAPI se utiliza para el análisis antivirus y la protección basada en reglas.

6

1.3.2 Filtrado de mensajes de nivel de servidor SMTP El filtrado de nivel de servidor SMTP se garantiza mediante un complemento especializado. En Microsoft Exchange Server 2000 y 2003, el complemento en cuestión (Receptor de sucesos) se registra en el servidor SMTP como parte de Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se registra como agente de transporte en los roles Perimetral o Concentrador de Microsoft Exchange Server. El filtrado de nivel de servidor SMTP por parte de un agente de transporte ofrece protección en forma de reglas antivirus, antispam y definidas por usuario. A diferencia del filtrado VSAPI, el filtrado de nivel de servidor SMTP se realiza antes de que el correo analizado llegue al buzón de correo de Microsoft Exchange Server.

1.4 Tipos de protección Hay tres tipos de protección: 1.4.1 Protección antivirus La protección antivirus es una de las funciones básicas del producto ESET Mail Security. La protección antivirus protege contra ataques maliciosos al sistema mediante el control de las comunicaciones por Internet, el correo electrónico y los archivos. Si se detecta una amenaza con código malicioso, el módulo antivirus puede bloquearlo para después desinfectarlo, eliminarlo o ponerlo en cuarentena 80 1.4.2 Protección Antispam La protección Antispam integra varias tecnologías (RBL, DNSBL, identificación mediante huellas digitales, análisis de reputación, análisis de contenido, filtro Bayesiano, reglas, creación manual de listas blancas/negras, etc.) para alcanzar el máximo nivel de detección de amenazas de correo electrónico. La salida del motor de análisis Antispam es el valor de probabilidad de correo no deseado del mensaje de correo electrónico expresado en forma de porcentaje (de 0 a 100). La técnica de creación de listas grises es otro componente del módulo de protección antispam (está desactivada de forma predeterminada). La técnica se basa en la especificación RFC 821, la cual indica que como SMTP se considera un transporte poco fiable, todos los agentes de transferencia de mensajes (MTA) deberían intentar entregar un mensaje de correo electrónico repetidamente cuando detecten un error de entrega temporal. Una parte importante del correo no deseado consiste en entregas puntuales (mediante herramientas especializadas) a una lista masiva de direcciones de correo electrónico generada de forma automática. Los servidores que utilizan listas grises calculan un valor de control (hash) para la dirección del remitente del sobre, la dirección del destinatario del sobre y la dirección IP del MTA que realiza el envío. Si el servidor no encuentra el valor de control de estas tres direcciones en la base de datos, rechaza el mensaje y devuelve un código de error temporal (por ejemplo, el error temporal 451). Un servidor legítimo intentará entregar el mensaje otra vez después de un intervalo de tiempo variable. Cuando se realiza el segundo intento, este valor de control se almacena en la base de datos de conexiones comprobadas, de manera que a partir de ese momento se entregarán todos los mensajes con las características pertinentes. 1.4.3 Aplicación de reglas definidas por el usuario La protección basada en reglas definidas por el usuario está disponible para su análisis con el agente de transporte y VSAPI. Puede utilizar la interfaz de usuario de ESET Mail Security para crear reglas individuales que, después, puede combinar. Si una regla utiliza varias condiciones, estas se enlazarán con el operador lógico AND. De esta manera, la regla solo se ejecutará si se cumplen todas sus condiciones. Si se crean varias reglas, se aplicará el operador lógico OR, de modo que el programa ejecutará la primera regla cuyas condiciones se cumplan. En la secuencia de análisis, la primera técnica que se utiliza es la creación de listas grises (si está activada). Los procedimientos posteriores ejecutarán siempre las siguientes técnicas: protección basada en reglas definidas por el usuario, análisis antivirus y, por último, análisis antispam.

7

1.5 Interfaz de usuario El diseño de la interfaz gráfica de usuario (GUI) de ESET Mail Security pretende ser lo más intuitivo posible. La GUI proporciona a los usuarios acceso rápido y sencillo a las principales funciones del programa. Además de la GUI principal, está disponible un árbol de configuración avanzada, al que se puede acceder desde cualquier punto del programa pulsando la tecla F5. Al pulsar F5, la ventana del árbol de configuración avanzada se abre y muestra una lista de características configurables del programa. En esta ventana, puede configurar los ajustes y las opciones según sus necesidades. La estructura de árbol se divide en dos secciones: Protección del servidor y Protección del ordenador. La sección Protección del servidor contiene elementos relativos a la configuración de ESET Mail Security que son específicos de la protección de Microsoft Exchange Server. La sección Protección del ordenador contiene elementos configurables para la protección del propio servidor.

8

2. Instalación Después de comprar ESET Mail Security, el instalador se puede descargar del sitio web de ESET (www.eset.com) como un archivo .msi. Cuando ejecute el instalador, el asistente de instalación le proporcionará instrucciones para realizar la configuración básica. Están disponibles dos tipos de instalación con distintos niveles de detalle de configuración: 1. Instalación típica 2. Instalación personalizada

NOTA: si es posible, le recomendamos encarecidamente que instale ESET Mail Security en un sistema operativo recién instalado o configurado. No obstante, si tiene que instalarlo en un sistema actual, es preferible que primero desinstale la versión anterior de ESET Mail Security, reinicie el servidor y, a continuación, instale ESET Mail Security 4.5.

2.1 Instalación típica El modo de instalación típica instala ESET Mail Security rápidamente y con una configuración mínima durante el proceso de instalación. La instalación típica es el modo de instalación predeterminado y se recomienda cuando no es necesaria una configuración específica. Una vez que haya instalado ESET Mail Security en el sistema, podrá modificar las opciones y la configuración en cualquier momento. En esta guía del usuario, la configuración y la funcionalidad se describen detalladamente. La configuración del modo de instalación típica proporciona un nivel de seguridad excelente, es fácil de usar y permite un elevado rendimiento del sistema. Después de seleccionar el modo de instalación y hacer clic en Siguiente, se le solicitarán su nombre de usuario y contraseña. Estos datos son importantes para que el sistema esté protegido constantemente, pues el nombre de usuario y la contraseñan permiten la actualización 68 automática de la base de firmas de virus. Escriba el nombre de usuario y la contraseña que recibió al adquirir o registrar el producto en los campos correspondientes. Si no tiene un nombre de usuario y una contraseña, puede introducirlos directamente desde el programa más adelante. En el paso siguiente (administrador de licencias), agregue el archivo de licencia que recibió por correo electrónico tras la compra del producto.

9

El próximo paso es configurar el sistema de alerta temprana ThreatSense.Net. El sistema de alerta temprana ThreatSense.Net ayuda a garantizar que ESET se mantenga informado de forma continua e inmediata sobre las nuevas amenazas con el fin de proteger rápidamente a sus clientes. Este sistema permite el envío de amenazas nuevas al laboratorio de amenazas de ESET, donde se analizan, procesan y agregan a la base de firmas de virus. La opción Activar el sistema de alerta temprana ThreatSense.Net está activada de forma predeterminada. Haga clic en Configuración avanzada para modificar la configuración detallada para el envío de archivos sospechosos. El paso siguiente del proceso de instalación consiste en configurar la Detección de aplicaciones potencialmente indeseables. Las aplicaciones potencialmente indeseables no tienen por qué ser maliciosas, pero pueden influir negativamente en el comportamiento del sistema operativo. Estas aplicaciones suelen instalarse con otros programas y puede resultar difícil detectarlas durante la instalación. Aunque estas aplicaciones suelen mostrar una notificación durante la instalación, se pueden instalar fácilmente sin su consentimiento. Seleccione Activar la detección de aplicaciones potencialmente indeseables para permitir que ESET Mail Security detecte este tipo de amenaza (recomendado). Si no desea activar esta característica, seleccione la opción No activar la detección de aplicaciones potencialmente indeseables. El último paso de la instalación típica es la confirmación de la instalación, para lo que debe hacer clic en el botón Instalar.

10

2.2 Instalación personalizada La instalación personalizada se ha diseñado para usuarios que desean configurar ESET Mail Security durante el proceso de instalación. Después de seleccionar el modo de instalación y hacer clic en Siguiente, se le solicitará que seleccione una ubicación de destino para la instalación. De forma predeterminada, el programa se instala en C:\Archivos de programa\ESET\ESET Mail Security. Haga clic en Examinar para cambiar esta ubicación (no recomendado). A continuación, escriba su nombre de usuario y contraseña. Este paso es igual que el paso de instalación típica (consulte "Instalación típica" 9 ). En el paso siguiente (administrador de licencias), agregue el archivo de licencia que recibió por correo electrónico tras la compra del producto.

Una vez que haya introducido el nombre de usuario y la contraseña, haga clic en Siguiente para ir al paso Configure su conexión a Internet. Si utiliza un servidor proxy, este debe estar configurado correctamente para que las actualizaciones de la base de firmas de virus funcionen correctamente. Si desea que el servidor Proxy se configure automáticamente, seleccione el valor predeterminado Desconozco si es usado un servidor Proxy. Usar las mismas características establecidas para Internet Explorer (recomendado) y haga clic en Siguiente. Si no utiliza un servidor Proxy, seleccione la opción No se utiliza un servidor Proxy.

Si lo prefiere, puede introducir los datos de configuración del servidor Proxy manualmente. Para configurar el servidor Proxy, seleccione Conexión mediante servidor Proxy y haga clic en Siguiente. Introduzca la dirección IP o URL de su servidor Proxy en el campo Dirección. En el campo Puerto, especifique el puerto donde el servidor Proxy 11

acepta conexiones (3128 de forma predeterminada). En el caso de que el servidor Proxy requiera autenticación, debe introducir un nombre de usuario y una contraseña para poder acceder al servidor proxy. La configuración del servidor Proxy también se puede copiar de Internet Explorer, si se desea Una vez que haya introducido los datos del servidor Proxy, haga clic en Aplicar y confirme la selección. Haga clic en Siguiente para ir al paso Configurar los parámetros de las actualizaciones automáticas. Este paso le permite diseñar la gestión de las actualizaciones automáticas de componentes del programa en el sistema. Haga clic en Cambiar para acceder a la configuración avanzada. Si no desea que se actualicen los componentes del programa, seleccione la opción Nunca actualizar los componentes del programa. Seleccione la opción Avisar antes de descargar componentes del programa para ver una ventana de confirmación antes de descargar los componentes del programa. Para descargar las actualizaciones de componentes del programa de forma automática, seleccione la opción Actualizar siempre los componentes del programa.

NOTA: Tras una actualización de componentes del programa, suele ser necesario reiniciar el ordenador. Se recomienda seleccionar la opción Nunca reiniciar el ordenador. Las actualizaciones de componentes más recientes se aplicarán la próxima vez que se reinicie el servidor (reinicio programado 78 , manual o de otro tipo). Seleccione Si es necesario, ofrecer reiniciar el ordenador si desea recibir un recordatorio para reiniciar el servidor después de actualizar los componentes. Esta configuración le permite reiniciar el servidor inmediatamente o retrasar el reinicio hasta otro momento. En la próxima ventana de instalación tiene la opción de definir una contraseña para proteger la configuración del programa. Seleccione la opción Proteger la configuración con contraseña e introduzca una contraseña en los campos Contraseña nueva y Confirmar contraseña. Los dos pasos de instalación siguientes, Sistema de alerta temprana ThreatSense.Net y Detección de aplicaciones potencialmente indeseables son iguales en el modo de instalación típica (consulte "Instalación típica" 9 ). Haga clic en Instalar, en la ventana Preparado para instalar, para completar la instalación.

2.3 Terminal Server Si ha instalado ESET Mail Security en un servidor Windows Server que actúa como Terminal Server, es preferible que desactive la GUI de ESET Mail Security para impedir que se inicie cada que vez que se registra un usuario. Consulte el capítulo Desactivar la GUI en Terminal Server 103 para conocer los pasos de desactivación específicos.

12

2.4 Actualización a una versión más reciente Las versiones nuevas de ESET Mail Security mejoran o solucionan problemas que no se pueden arreglar con las actualizaciones automáticas de los módulos de programa. La actualización a una versión más reciente se puede realizar de varias maneras: 1. Actualización automática mediante una actualización de componentes del programa (PCU) Las actualizaciones de componentes del programa se distribuyen a todos los usuarios y pueden afectar a determinadas configuraciones del sistema, de modo que se envían tras un largo período de pruebas que garantizan una proceso de actualización sin problemas en todas las configuraciones posibles del sistema. Si necesita instalar una versión nueva en cuanto se publica, utilice uno de los métodos que se indican a continuación. 2. Actualización manual mediante la descarga e instalación de una versión nueva sobre la instalación existente. Al principio de la instalación, puede marcar la casilla de verificación Usar los parámetros actuales para conservar la configuración actual del programa. 3. Actualización manual con implementación automática en un entorno de red mediante ESET Remote Administrator.

2.5 Instalación en un entorno de clúster Un clúster es un grupo de servidores (un servidor conectado a un clúster se llama "nodo") que funcionan como un solo servidor. Este tipo de entorno proporciona un elevado nivel de accesibilidad y fiabilidad a los servicios disponibles. Si uno de los nodos del clúster falla o deja de estar accesible, otro nodo del clúster lo sustituye automáticamente. ESET Mail Security es totalmente compatible con servidores Microsoft Exchange Server conectados en clúster. Para que ESET Mail Security funcione correctamente, es importante que todos los nodos de un clúster contengan la misma configuración. Esto se consigue aplicando una directiva mediante ESET Remote Administrator (ERA). En los capítulos siguientes se explica cómo instalar y configurar ESET Mail Security en servidores de un entorno de clúster con ERA. Instalación En este capítulo se explica el método de instalación impulsada; aunque no es el único método posible para instalar un producto en el ordenador de destino. Si desea información sobre otros métodos de instalación, consulte la Guía del usuario de ESET Remote Administrator. 1) Descargue el paquete de instalación msi de ESET Mail Security del sitio web de ESET al ordenador donde está instalado ERA. En la ficha ERA > Instalación remota > Ordenadores, haga clic con el botón derecho del ratón sobre cualquier ordenador de la lista y seleccione Administrar paquetes en el menú contextual. En el menú desplegable Tipo, seleccione Paquete de productos de seguridad de ESET y haga clic en Agregar. En Origen, localice el paquete de instalación de ESET Mail Security que ha descargado y haga clic en Crear. 2) En Modificar o seleccionar la configuración asociada a este paquete, haga clic en Modificar y configure los ajustes de ESET Mail Security según sus necesidades. Los ajustes de ESET Mail Security se encuentran en estas secciones: ESET Smart Security, ESET NOD32 Antivirus > Protección del servidor de correo electrónico y Protección del servidor de correo electrónico para Microsoft Exchange Server. Aquí también puede definir los parámetros de otros módulos incluidos en ESET Mail Security (como el módulo de actualización, el análisis del ordenador, etc.). Se recomienda exportar los ajustes configurados en un archivo .xml que después se puede utilizar para, por ejemplo, crear el paquete de instalación o aplicar una directiva o tarea de configuración. 3) Haga clic en Cerrar. En el siguiente cuadro de diálogo (¿Desea guardar los paquetes en el servidor?), seleccione Sí y escriba el nombre del paquete de instalación. El paquete de instalación terminado (con el nombre y la configuración) se guardará en el servidor. Por lo general, este paquete se utiliza para la instalación impulsada, aunque también se puede guardar como un paquete de instalación msi estándar para una instalación directa en el servidor (en el Editor de paquetes de instalación > Guardar como).

13

4) Ahora que el paquete de instalación está listo, puede iniciar la instalación remota en los nodos de un clúster. En la ficha ERA > Instalación remota > Ordenadores, seleccione los nodos en los que desea instalar ESET Mail Security (Ctrl + clic o Shift + clic). Haga clic con el botón derecho del ratón en cualquiera de los ordenadores seleccionados y elija Instalación impulsada en el menú contextual. Utilice los botones Establecer/Establecer todas para definir el Nombre de usuario y la Contraseña de un usuario en el ordenador de destino (debe ser un usuario con derechos de administrador). Haga clic en Siguiente para seleccionar el paquete de instalación y en Finalizar para iniciar el proceso de instalación remota. El paquete de instalación que contiene los ajustes de configuración personalizada y de ESET Mail Security se instalará en los ordenadores/nodos de destino seleccionados. Tras un breve período de tiempo, los clientes que tengan ESET Mail Security se mostrarán en la ficha ERA > Clientes. Ahora puede gestionar los clientes de forma remota. NOTA: para que el proceso de instalación remota se ejecute sin problemas, los ordenadores de destino y ERA Server deben cumplir una serie de condiciones. Encontrará más información en la Guía del usuario de ESET Remote Administrator.

Configuración Para que ESET Mail Security funcione correctamente en los nodos de un clúster, los nodos deben tener la misma configuración en todo momento. Esta condición se cumple si se siguió el método de instalación impulsada arriba indicado. Sin embargo, existe la posibilidad de que la configuración se modifique por error y aparezcan incoherencias entre los productos de ESET Mail Security en un clúster. Esto se puede evitar utilizando una directiva en ERA. Las directivas son muy parecidas a una tarea de configuración estándar: envían al cliente la configuración definida en el editor de configuración, aunque se diferencian en que las directivas se aplican a los clientes de forma constante. De este modo, las directivas se pueden definir como una configuración que aplica periódicamente a un cliente o grupo de clientes. En ERA > Herramientas > Administrador de directivas, hay varias opciones de uso de una directiva. La opción más sencilla en la Directiva principal predeterminada, que también funciona como Directiva predeterminada para clientes principales. Este tipo de directiva se aplica automáticamente a todos los clientes que estén conectados (en este caso, a todos los productos de ESET Mail Security de un clúster). La directiva se puede configurar haciendo clic en Modificar o con la configuración guardada en el archivo .xml, si se ha creado uno. La segunda opción consiste en crear una directiva nueva (Agregar nueva directiva secundaria) y utilizar la opción Agregar clientes para asignar todos los productos de ESET Mail Security a esta directiva. Esta configuración garantiza la aplicación de una sola directiva con la misma configuración a todos los clientes. Si desea modificar la configuración existente de un servidor de ESET Mail Security en un clúster, solo tiene que modificar la directiva actual. Los cambios se aplicarán a todos los clientes asignados a esta directiva. NOTA: Consulte la Guía del usuario de ESET Remote Administrator para obtener información detallada sobre las directivas.

2.6 Licencia La introducción del archivo de licencia de ESET Mail Security for Microsoft Exchange Server es un paso fundamental. Sin este archivo, la protección del correo electrónico en Microsoft Exchange Server no funcionaría correctamente. Si no añade el archivo de licencia durante la instalación, puede hacerlo a posteriori en la configuración avanzada, en Varios > Licencias. ESET Mail Security le permite utilizar varias licencias al mismo tiempo. Para hacerlo, debe combinarlas como se indica a continuación: 1) Combinación de dos o más licencias de un cliente (es decir, licencias asignadas al mismo nombre de cliente); el número de buzones de correo analizados aumenta proporcionalmente. El administrador de licencias sigue mostrando ambas licencias.

14

2) Combinación de dos o más licencias de clientes distintos. Esto sucede exactamente igual que en el primer caso, con la única diferencia de que al menos una de las licencias debe tener un atributo especial. Este atributo es necesario para combinar licencias de clientes distintos. Si desea utilizar una licencia de este tipo, solicite al distribuidor local que genere una para usted. NOTA: el período de validez de la nueva licencia se corresponde con la fecha de expiración de la licencia que antes caduque de las dos.

ESET Mail Security for Microsoft Exchange Server (EMSX) compara el número de buzones de correo de Active Directory con el número de licencias que posee. Se comprueban todas las instancias de Active Directory de Exchange Server para determinar el número total de buzones de correo. El recuento de buzones de correo no contabiliza los buzones de correo del sistema, los buzones de correo desactivados ni los alias de correo electrónico. En los entornos de clúster, tampoco se contabilizan los nodos que tienen el rol de buzón de correo en clúster. Para determinar el número de buzones de correo de Exchange activos que posee, abra Usuarios y equipos de Active Directory en el servidor. Haga clic en el dominio con el botón derecho del ratón y, a continuación, haga clic en Buscar. Después, en el menú desplegable Buscar, seleccione Búsqueda personalizada y haga clic en la ficha Avanzadas. Pegue la siguiente consulta LDAP y haga clic en Buscar ahora: (&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(! (name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(! userAccountControl:1.2.840.113556.1.4.803:=2))

Si el número de buzones de correo de Active Directory supera el recuento de licencias, se anotará un mensaje en el registro de Microsoft Exchange Server para indicarle que el estado de la protección ha cambiado porque se ha 15

superado el número de buzones de correo que admite su licencia. ESET Mail Security también cambiará el Estado de la protección a NARANJA para informarle, y mostrará un mensaje para avisarle de que quedan 42 días para que se desactive la protección. Si recibe esta notificación, póngase en contacto con el representante de ventas para adquirir licencias adicionales. Si ha transcurrido el período de 42 días y no agregó las licencias necesarias para cubrir el exceso de buzones de correo, el Estado de la protección cambiará a ROJO. Un mensaje le informará de que se ha desactivado la protección. Si recibe esta notificación, póngase en contacto inmediatamente con el representante de ventas para adquirir licencias adicionales.

16

2.7 Configuración posterior a la instalación Después de instalar un producto, hay que configurar varias opciones. Configuración de la protección frente a correo no deseado En esta sección se describen los ajustes, métodos y técnicas que se pueden utilizar para proteger la red frente al correo no deseado. Le recomendamos que lea detenidamente las siguientes instrucciones antes de elegir la combinación de ajustes más adecuada para su red. Gestión del spam Con el fin de garantizar un nivel elevado de protección antispam, debe definir las acciones que se realizarán en los mensajes marcados como SPAM. Hay tres opciones disponibles: 1. Eliminación del correo no deseado Los criterios para que ESET Mail Security marque un mensaje como SPAM son bastante altos, de modo que se reducen las posibilidades de eliminar correos electrónicos legítimos. Cuanto más específica sea la configuración antispam, menos probable es que se elimine correo legítimo. Entre las ventajas de este método se incluye un consumo muy bajo de recursos del sistema y menos tareas de administración; la desventaja es que, si se elimina un mensaje legítimo, no se podrá restaurar localmente. 2. Cuarentena Con esta opción no existe riesgo de eliminar correo legítimo, ya que los mensajes se pueden restaurar y reenviar a los destinatarios originales inmediatamente. Las desventajas de esta método son un mayor consumo de recursos del sistema y la necesidad de tiempo adicional para el mantenimiento de la cuarentena de mensajes de correo electrónico. Existen dos métodos para poner correo electrónico en cuarentena: A. Cuarentena interna de Exchange Server (se aplica solo a Microsoft Exchange Server 2007/2010): - Si desea utilizar la cuarentena interna del servidor, asegúrese de que el campo Cuarentena común de mensajes disponible en el panel derecho del menú de configuración avanzada (debajo de Protección del servidor > Cuarentena de mensajes) está vacío. Asegúrese también de que la opción Poner mensaje en cuarentena en el sistema del servidor de correo está seleccionada en el menú desplegable disponible en la parte inferior. Este método solo funciona cuando hay una carpeta de cuarentena interna en Exchange. De forma predeterminada, la cuarentena interna no está activada en Exchange. Si desea activarla, abra la Consola de administración de Exchange y escriba el comando siguiente: Set-ContentFilterConfig -QuarantineMailbox [email protected] (sustituya [email protected] por el buzón de correo real que desea que utilice Microsoft Exchange como buzón de correo de cuarentena interno, por ejemplo, [email protected]) B. Buzón de correo de cuarentena personalizado: - Si escribe el buzón de correo que desea en el campo Cuarentena común de mensajes, ESET Mail Security moverá todos los mensajes no deseados a este buzón personalizado. Si desea más información sobre la cuarentena y los diferentes métodos, consulte el capítulo Cuarentena de mensajes 26 . 3. Envío de correo no deseado El correo no deseado se enviará a su destinatario. Sin embargo, ESET Mail Security añadirá el valor de SCL en el encabezado MIME pertinente de cada mensaje. En función de este valor de SCL, el IMF (filtro inteligente de mensajes) de Exchange Server ejecutará la acción pertinente.

17

Filtrado de correo no deseado Motor antispam El motor antispam ofrece las tres configuraciones siguientes: Recomendado, Más preciso y Más rápido. Si no hay ningún motivo para optimizar la configuración con el fin obtener un rendimiento máximo (por ejemplo, carga elevada del servidor), le recomendamos que seleccione la opción Más preciso. Al seleccionar la opción Recomendado, el servidor ajusta su configuración automáticamente en función de los mensajes analizados para equilibrar la carga. Al seleccionar la opción Más preciso, se optimiza el índice de captura de la configuración. Si se hace clic en Personalizar > Abrir archivo de configuración, el usuario podrá editar el archivo spamcatcher.conf 43 . Esta se recomienda únicamente para usuarios avanzados. Antes de utilizar el producto, se recomienda configurar manualmente las listas de direcciones IP prohibidas y permitidas. Pasos de configuración: 1) Abra la ventana Configuración avanzada y vaya a la sección Protección Antispam. Seleccione la opción Activar la protección antispam del servidor. 2) Vaya a la sección Motor antispam. 3) Haga clic en el botón Configuración para definir las listas de direcciones IP permitidas, ignoradas y bloqueadas. La ficha Direcciones IP bloqueadas contiene la lista de direcciones IP restringidas; es decir, si una dirección IP no ignorada en los encabezados Recibido coincide con una dirección de esta lista, el mensaje obtiene un 100 y no se realiza ninguna otra comprobación. En la ficha Direcciones IP permitidas se enumeran todas las direcciones IP que se deben admitir; es decir, si la primera dirección IP no ignorada de los encabezados Recibido coincide con cualquier dirección de esta lista, el mensaje obtiene un 0 y no se realiza ninguna otra comprobación. En la ficha Direcciones IP ignoradas se enumeran las direcciones IP que se deberían ignorar durante las comprobaciones de la lista de bloqueo en tiempo real (RBL). La lista debería incluir todas las direcciones IP internas que se encuentren dentro del cortafuegos y a las que no se pueda acceder directamente desde Internet. De esta manera, se evitan las comprobaciones innecesarias y se facilita la distinción entre direcciones IP conectadas externas e internas.

Creación de listas grises El método de listas grises protege a los usuarios frente al correo no deseado mediante la técnica que se indica a continuación: el agente de transporte envía un valor de retorno SMTP "rechazar temporalmente" (el valor predeterminado es 451/4.7.1) para los mensajes recibidos que no procedan de un remitente conocido. Un servidor legítimo intentará entregar el mensaje otra vez. Por lo general, los servidores de spam no intentan enviar el mensaje otra vez, ya que suelen pasar por miles de direcciones de correo electrónico y no pueden perder el tiempo con reenvíos. Cuando evalúa el origen del mensaje, el método tiene en cuenta la configuración de las listas de Direcciones IP permitidas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP de Exchange Server y la configuración de No aplicar antispam del buzón de correo del destinatario. Las listas grises deben configurarse exhaustivamente para evitar fallos operativos no deseados (por ejemplo, retrasos en la entrega de mensajes legítimos, etc.). Estos efectos negativos desaparecen a medida que el método llena la lista blanca interna con conexiones de confianza. Si no está familiarizado con este método, o si considera que sus efectos negativos son inaceptables, le recomendamos que lo desactiva en el menú Configuración avanzada, en Protección Antispam > Microsoft Exchange Server > Agente de transporte > Activar creación de listas grises. Le recomendamos que desactive la creación de listas grises si desea probar las funciones básicas del producto y no va a configurar las características avanzadas del programa. NOTA: las listas grises son una capa adicional de la protección antispam y no tienen ningún efecto sobre la capacidad de evaluación del correo no deseado del módulo antispam. Configuración de la protección antivirus Cuarentena En función del modo de desinfección que utilice, le recomendamos que configure la acción que desea que se realice en los mensajes infectados (no desinfectados). Esta opción se puede definir en la ventana Configuración avanzada, en Protección del servidor > Antivirus y antispyware > Microsoft Exchange Server > Agente de transporte. Si está activada la opción de mover mensajes a la cuarentena de mensajes de correo electrónico, debe configurar la 18

cuarentena en Protección del servidor > Cuarentena de mensajes, en la ventana Configuración avanzada. Rendimiento Si no hay más restricciones, nuestra recomendación es que aumente el número de motores de análisis de ThreatSense en la ventana Configuración avanzada (F5), en Protección del servidor > Antivirus y antispyware > Microsoft Exchange Server > VSAPI > Rendimiento, de acuerdo con esta fórmula: número de subprocesos de análisis = (número de CPU físicas x 2) + 1. Además, el número de subprocesos de análisis debe ser igual al número de motores de análisis de ThreatSense. Puede configurar el número de motores de análisis en Protección del ordenador > Antivirus y antispyware > Rendimiento. Ejemplo: Supongamos que tiene un servidor con 4 CPU físicas. Según la fórmula anterior, para disfrutar un rendimiento máximo debería tener 9 subprocesos de análisis y 9 motores de análisis. NOTA: nuestra recomendación es que defina un número de motores de análisis de ThreatSense igual al número de subprocesos de análisis utilizados. El rendimiento no se verá afectado si utiliza más subprocesos de análisis que motores de análisis. NOTA: si utiliza ESET Mail Security en un servidor Windows Server que actúa como Terminal Server y no desea que la GUI de ESET Mail Security se inicie cada que vez que se registra un usuario, consulte el capítulo Desactivar la GUI en Terminal Server 103 para conocer los pasos de desactivación específicos.

19

3. ESET Mail Security - protección de Microsoft Exchange Server ESET Mail Security proporciona una buena protección para Microsoft Exchange Server. Hay fundamentalmente tres tipos de protección: antivirus, antispam y aplicación de reglas definidas por el usuario. ESET Mail Security ofrece protección frente a varios tipos de contenido malicioso, como archivos adjuntos infectados por gusanos o troyanos, documentos que contienen scripts dañinos, phishing y spam. ESET Mail Security elimina el contenido malicioso del servidor de correo antes de que llegue a la bandeja de entrada del cliente de correo electrónico. En los capítulos siguientes se describen todas las opciones y parámetros disponibles para configurar la protección de Microsoft Exchange Server.

3.1 Configuración general En esta sección se explica cómo administrar reglas, archivos de registro, cuarentenas de mensajes y parámetros de rendimiento. 3.1.1 Microsoft Exchange Server 3.1.1.1 VSAPI (Interfaz de programación de aplicaciones de análisis de virus) Microsoft Exchange Server proporciona un mecanismo para garantizar que se todos los componentes del mensaje se comprueba con la base de firmas de virus actual. Si el componente de un mensaje no se analizó, este se envía para su análisis antes de enviar el mensaje al cliente. Cada una de las versiones compatibles de Microsoft Exchange Server (5.5/2000/2003/2007/2010) ofrece una versión diferente de VSAPI. Utilice la casilla de verificación para activar o desactivar el inicio automático de la versión de VSAPI que utiliza su servidor de Exchange. 3.1.1.2 Agente de transporte En esta sección, puede configurar el agente de transporte para que se inicie automáticamente y definir la prioridad de carga de agente. En Microsoft Exchange Server 2007 y versiones posteriores solo se puede instalar un agente de transporte si el servidor tiene uno de estos dos roles: Transporte perimetral o Concentrador de transporte.

NOTA: el agente de transporte no está disponible en Microsoft Exchange Server 5.5 (VSAPI 1.0). En el menú Configuración de prioridad de agentes, puede definir la prioridad de los agentes de ESET Mail Security. El intervalo de números de prioridad del agente depende de la versión de Microsoft Exchange Server (cuando más 20

bajo sea el número, mayor será la prioridad). Anotar el nivel de confianza contra correo no deseado (SCL) en el encabezado de mensaje analizados en función del nivel de spam: SCL es un valor normalizado asignado a un mensaje que indica la probabilidad de que el mensaje sea correo no deseado (según las características del encabezado del mensaje, el asunto, el contenido, etc.). Un valor de 0 indica que es muy poco probable que el mensaje sea spam y un valor de 9, que es muy probable. Los valores de SCL se pueden procesar también con el filtro inteligente de mensajes de Microsoft Exchange Server (o el agente del filtro de contenido). Si desea información adicional, consulte la documentación de Microsoft Exchange Server. Al eliminar un mensaje, enviar una respuesta SMTP de rechazo Si esta opción no está seleccionada, el servidor envía una respuesta SMTP de aceptación al Agente de transferencia de correo (MTA) del remitente con el formato '250 2.5.0 - Aceptación de la acción del correo: completada' y, a continuación, realiza una colocación silenciosa. Si está seleccionada, se envía una respuesta SMTP de rechazo al agente MTA del remitente. El mensaje de respuesta se puede escribir con el formato siguiente: Código de respuesta principal 250 451 550

Código de respuesta complementario 2.5.0 4.5.1 5.5.0

Descripción Aceptación de la acción del correo: completada Se canceló la acción solicitada: error local al procesar No se realizó la acción solicitada: el buzón de correo no está disponible

Alerta: una sintaxis incorrecta en los códigos de respuesta SMTP podría provocar el mal funcionamiento de los componentes del programa y disminuir su efectividad. NOTA: en la configuración de respuestas SMTP de rechazo también puede utilizar variables del sistema.

21

3.1.2 Reglas El elemento de menú Reglas permite a los administradores definir manualmente las condiciones de filtrado de correo electrónico y las acciones que se deben realizar con los mensajes de correo electrónico filtrados. Las reglas se aplican en función de un grupo de condiciones combinadas. Las condiciones se combinan con el operador lógico AND, de modo que la regla solo se aplica cuando se cumplen todas las condiciones. En la columna Número (disponible junto al nombre de regla) se muestra el número de veces que una regla se aplicó con éxito. Las reglas se cotejan con un mensaje cuando el agente de transporte (AT) o VSAPI lo procesan. Si están activados el agente de transporte y VSAPI, y el mensaje cumple las condiciones de la regla, el contador de la regla aumentará en 2 o más. Esto se debe a que VSAPI accede a cada parte del mensaje de forma individual (cuerpo, archivo adjunto, etc.), de modo que las reglas se aplican a cada una de las partes individuales. Las reglas también se aplican durante el análisis en segundo plano (p. ej., el análisis repetido del almacén de buzones de correo tras la actualización de la base de firmas de virus), lo cual puede aumentar el contador de la regla.

Agregar: agrega una regla nueva. Modificar: modifica una regla existente. Quitar: elimina la regla seleccionada. Borrar: borra el contenido del contador de la regla (la columna Número). Subir: sube la posición de la regla seleccionada en la lista. Bajar: baja la posición de la regla seleccionada en la lista. Cuando se anula la selección de una casilla de verificación (a la izquierda de cada nombre de regla), se desactiva la regla actual. Si es necesario, la regla se puede volver a activar con esta casilla. NOTA: en la configuración de reglas también puede utilizar variables del sistema (p. ej., %PATHEXT%). NOTA: si se ha agregado una regla nueva o se ha modificado una regla existente, se iniciará automáticamente un nuevo análisis de mensajes con las reglas nuevas o modificadas.

22

3.1.2.1 Cómo agregar reglas nuevas Este asistente le ayuda a agregar reglas especificadas por el usuario con condiciones combinadas.

NOTA: cuando el mensaje se analiza con el agente de transporte, no son aplicables todas las condiciones. Por buzón de correo de destino: se aplica al nombre de un buzón de correo (VSAPI). Por destinatario del mensaje: se aplica a los mensajes enviados a un destinatario especificado (VSAPI + AT). Por remitente del mensaje: se aplica a los mensajes enviados POR un remitente especificado (VSAPI + AT). Por asunto del mensaje: se aplica a los mensajes que tienen un asunto específico (VSAPI + AT). Por cuerpo del mensaje: se aplica a los mensajes cuyo cuerpo contiene un texto específico (VSAPI). Por nombre de archivo adjunto: se aplica a los mensajes que tienen un nombre de adjunto específico (VSAPI). Por tamaño de archivo adjunto: se aplica a los mensajes cuyo archivo adjunto supera un tamaño definido (VSAPI). Por frecuencia de repetición del archivo en el adjunto: se aplica a objetos (cuerpo del mensaje o archivo adjunto) cuyo número de repeticiones en el intervalo de tiempo especificado supera el límite especificado (VSAPI + AT). Esta condición es muy útil cuando se reciben constantemente mensajes no deseados que tienen el mismo cuerpo del mensaje o archivo adjunto. Al especificar las condiciones anteriores (salvo la condición Por tamaño de archivo adjunto), si no está seleccionada la opción Palabras completas, basta con indicar una parte de la frase. Los valores no distinguen mayúsculas y minúsculas, a no ser que esté seleccionada la opción Distinguir mayúsculas y minúsculas. Si utiliza caracteres no alfanuméricos, enciérrelos entre paréntesis y comillas. También puede crear condiciones con los operadores lógicos AND, OR y NOT. NOTA: la lista de reglas disponibles depende de la versión instalada de Microsoft Exchange Server. NOTA: Microsoft Exchange Server 2000 (VSAPI 2.0) solo evalúa el nombre del remitente/destinatario mostrado, no la dirección de correo electrónico. Las direcciones de correo electrónico empezaron a evaluarse en Microsoft Exchange Server 2003 (VSAPI 2.5) y versiones posteriores. Ejemplos de introducción de condiciones Por buzón de correo de smith destino: Por remitente del [email protected] mensaje: Por destinatario del "J.Smith" o "[email protected]" mensaje: Por asunto del mensaje: " " Por nombre de archivo ".com" OR ".exe" adjunto: Por cuerpo del mensaje: ("gratis" OR "lotería") AND ("ganar" OR "comprar")

23

3.1.2.2 Acciones emprendidas en la aplicación de reglas En esta sección, puede seleccionar las acciones que se deben realizar en los mensajes o archivos adjuntos que cumplan las condiciones definidas en las reglas. Tiene la opción de no realizar ninguna acción, marcar el mensaje como si contuviese una amenaza o fuese spam, o eliminar todo el mensaje. De forma predeterminada, cuando un mensaje o su archivo adjunto cumplen las condiciones de la regla, los módulos antivirus o antispam no lo analizan, a menos que el análisis se active explícitamente con las correspondientes casillas de verificación (entonces, la acción realizada depende de la configuración del módulo antivirus o antispam).

Sin acciones: no se realizará ninguna acción en el mensaje. Realizar acción en amenaza no eliminada: se indicará que el mensaje contiene una amenaza no eliminada (independientemente de si contiene una amenaza o no). Realizar acción en correo no solicitado: se indicará que el mensaje es correo no deseado (independientemente de si lo es o no). Esta opción no está disponible cuando se usa ESET Mail Security sin módulo antispam. Eliminar mensaje: elimina todos los mensajes cuyo contenido cumpla las condiciones. Poner archivo en cuarentena: pone en cuarentena los archivos adjuntos. NOTA: esta cuarentena no se debe confundir con la cuarentena de correo (consulte el capítulo Cuarentena de mensajes 26 ). Enviar archivo para su análisis: envía los archivos adjuntos sospechosos al laboratorio de ESET para su análisis. Enviar notificación de sucesos: envía una notificación al administrador (de acuerdo con la configuración de Herramientas > Alertas y notificaciones). Registrar: registra información sobre la regla aplicada en el registro del programa. Evaluar otras reglas: permite la evaluación de otras reglas, de modo que el usuario puede definir varios conjuntos de condiciones y varias acciones en función de las condiciones. Analizar mediante la protección antivirus y antispyware: analiza los mensajes y los archivos adjuntos en busca de amenazas. Analizar mediante la protección antispam: analiza el mensaje para detectar la presencia de spam. NOTA: esta opción solo está disponible en Microsoft Exchange Server 2000 y versiones posteriores cuando el agente de transporte está activado. El último paso del asistente de creación de reglas nuevas consiste en asignar un nombre a cada una de las reglas creadas. También puede agregar un Comentario de regla. Esta información se almacenará en el registro de Microsoft Exchange Server.

24

3.1.3 Archivos de registro En la configuración de archivos de registro puede elegir el modo de estructuración del archivo de registro. Un protocolo más detallado puede contener más información, pero podría ralentizar el rendimiento del servidor.

Si la opción Escritura sincronizada sin utilizar caché está activada, todas las entradas de registro se escribirán inmediatamente en el archivo de registro y no se almacenarán en la caché de registro. De forma predeterminada, los componentes de ESET Mail Security que se ejecutan en el archivo de Microsoft Exchange Server registran los mensajes en su caché interna y los envían al registro de la aplicación periódicamente para que el rendimiento no se vea afectado. No obstante, en este caso, es posible que las entradas de diagnóstico en el registro no estén correctamente ordenadas. Se recomienda dejar este parámetro desactivado, a no ser que sea necesario para el diagnóstico. En el menú Contenido, puede especificar el tipo de información que se almacena en los archivos de registro. Aplicación de reglas del registro: si esta opción está activada, ESET Mail Security escribe el nombre de todas las reglas activadas en el archivo de registro. Nivel de spam del registro: utilice esta opción para que la actividad relacionada con correo no deseado se anote en el Registro de antispam 82 . Cuando el servidor de correo recibe un mensaje SPAM, se escribe en el registro información sobre el mensaje (fecha y hora, remitente, destinatario, asunto, nivel de SPAM, detalle y acción). Esta función es útil cuando es necesario realizar un seguimiento de los mensajes SPAM recibidos, cuándo se recibieron y qué acción se ejecutó. Actividad de creación de listas grises del registro: active esta opción si desea que la actividad relacionada con la creación de listas grises se anote en el Registro de listas grises 82 . Esta opción proporciona información como la fecha y la hora, el dominio HELO, la dirección IP, el remitente, el destinatario, la acción, etc. NOTA: esta opción solo funciona si la creación de listas grises está activada en las opciones del Agente de transporte 39 , en Protección del servidor > Protección Antispam > Microsoft Exchange Server > Agente de transporte, en el árbol de configuración avanzada (F5). Rendimiento del registro: registra información sobre el intervalo de tiempo de una tarea realizada, el tamaño del objeto analizado, la velocidad de transferencia (kb/s) y el rendimiento. Información de diagnóstico del registro: registra información de diagnóstico necesaria para ajustar el programa al protocolo. Esta opción se utiliza principalmente para la depuración e identificación de problemas. No se recomienda activar esta opción. Para ver la información de diagnóstico que proporciona esta función, defina el 25

nivel de detalle de registro Mínimo en Registros de diagnóstico en Herramientas > Archivos de registro > Nivel mínimo de detalle al registrar. 3.1.4 Cuarentena de mensajes El buzón de correo Cuarentena de mensajes es un buzón especial definido por el administrador del sistema para almacenar mensajes potencialmente infectados y correo no deseado. Los mensajes almacenados en cuarentena se pueden analizar o desinfectar posteriormente con una base de firmas de virus más reciente.

Se pueden utilizar dos tipos de sistemas de cuarentena de mensajes. Por un lado, está el sistema de cuarentena de Microsoft Exchange (se aplica únicamente a Microsoft Exchange Server 2007/2010). En este caso, el mecanismo interno de Exchange se utiliza para almacenar los mensajes potencialmente infectados y correo no deseado. Además, si es necesario, se pueden añadir buzones de correo de cuarentena independientes para destinatarios específicos. Esto significa que los mensajes potencialmente infectados, que originalmente se enviaban a un destinatario específico, se entregarán en un buzón de correo de cuarentena independiente, y no en el buzón de cuarentena interno de Exchange. Esta función puede ser útil en algunos casos, para organizar mejor los mensajes potencialmente infectados y el correo no deseado. Por otro lado, está la Cuarentena común de mensajes. Si utiliza una versión anterior de Microsoft Exchange Server (5.5, 2000 o 2003), solo tiene que especificar ka Cuarentena común de mensajes, que es un buzón de correo en el que se almacenarán los mensajes potencialmente infectados. En este caso, no se utiliza el sistema de cuarentena interna de Exchange, sino un buzón de correo especificado por el administrador del sistema. Al igual que en la primera opción, se pueden añadir buzones de correo de cuarentena independientes para destinatarios específicos. El resultado es que los mensajes potencialmente infectados se entregan en un buzón de correo independiente, en vez de en la cuarentena común de mensajes.

26

Cuarentena común de mensajes: puede especificar la dirección de la cuarentena común de mensajes aquí (por ejemplo, [email protected]) o utilizar el sistema de cuarentena interna de Microsoft Exchange Server 2007/2010, en cuyo caso debe dejar este campo en blanco y seleccionar Poner mensaje en cuarentena en el sistema del servidor de correo (siempre que la cuarentena de Exchange esté disponible en su entorno) en el menú desplegable situado en la parte inferior. Entonces, el mecanismo interno de Exchange entrega los correos electrónico en la cuarentena de acuerdo con su configuración. NOTA: de forma predeterminada, la cuarentena interna no está activada en Exchange. Si desea activarla, abra la Consola de administración de Exchange y escriba el comando siguiente: Set-ContentFilterConfig -QuarantineMailbox [email protected] (sustituya [email protected] por el buzón de correo real que desea que utilice Microsoft Exchange como buzón de correo de cuarentena interno, por ejemplo, [email protected]) Cuarentena de mensajes por destinatario: esta opción le permite definir buzones de correo de cuarentena de mensajes para varios destinatarios. Las reglas de cuarentena se pueden activar o desactivar con la casilla de verificación situada en su fila. Agregar: para agregar una regla de cuarentena nueva, introduzca la dirección de correo electrónico del destinatario que desee y la dirección de correo electrónico de cuarentena a la que se enviará el mensaje. Modificar: modifique una regla de cuarentena seleccionada. Quitar: elimina la regla de cuarentena seleccionada. Preferir cuarentena común de mensajes: si se activa esta opción, el mensaje se enviará a la cuarentena común de mensajes especificada si se cumplen varias reglas de cuarentena (p. ej., si un mensaje tiene varios destinatarios y algunos se definen en varias reglas de cuarentena).

Mensaje destinado a cuarentena de mensajes no existente: si no especificó una cuarentena común de mensajes, puede realizar una de las acciones siguientes en los mensajes potencialmente infectados y el correo no deseado: Sin acciones: los mensajes se procesarán del modo normal y se entregarán al destinatario (no recomendado). Eliminar mensaje: los mensajes dirigidos a un destinatario que no tenga ninguna regla de cuarentena ni cuarentena común de mensajes especificada se eliminarán; es decir, que todos los mensajes potencialmente infectado y el correo no deseado se eliminarán automáticamente, y no se guardarán en ningún sitio. Poner mensaje en cuarentena en el sistema del servidor de correo: los mensajes se entregan y almacenan en el sistema de cuarentena interna de Exchange (no disponible en Microsoft Exchange Server 2003 y versiones anteriores). NOTA: en la configuración de los ajustes de la cuarentena de mensajes, también puede utilizar variables del sistema (p. ej., %USERNAME%). 3.1.4.1 Cómo agregar una nueva regla de cuarentena Escriba las direcciones de correo electrónico del destinatario y la cuarentena que desee en los campos correspondientes. Si desea eliminar un mensaje de correo electrónico dirigido a un destinatario que no aplica ninguna regla de cuarentena, puede seleccionar la opción Eliminar mensaje del menú desplegable Mensaje destinado a cuarentena de mensajes no existente.

27

3.1.5 Rendimiento En esta sección, puede definir una carpeta en la que almacenar los archivos temporales con el fin de mejorar el rendimiento del programa. Si no se especifica ninguna carpeta, ESET Mail Security creará los archivos temporales en la carpeta temporal del sistema. NOTA: para reducir el impacto de la fragmentación y las operaciones de E/S, es recomendable colocar la carpeta temporal en una unidad de disco duro diferente a la unidad donde está instalado Microsoft Exchange Server. Le recomendamos encarecidamente que evite la asignación de la carpeta temporal a un medio extraíble, como la unidad de disquete, USB, DVD, etc. NOTA: puede utilizar variables del sistema (como %SystemRoot%\TEMP) para configurar los ajustes de rendimiento.

3.2 Configuración del antivirus y antispyware Si desea activar la protección antivirus y antispyware del servidor de correo, seleccione la opción Activar la protección antivirus y antispyware del servidor. Tenga en cuenta que la protección antivirus y antispyware se activa automáticamente después de reiniciar el servicio/ordenador. La configuración de parámetros del motor ThreatSense se abre con el botón Configuración.

3.2.1 Microsoft Exchange Server ESET Mail Security for Microsoft Exchange Server utiliza dos tipos de análisis para la protección antivirus y antispyware. Uno de ellos analiza los mensajes mediante VSAPI y el otro utiliza un agente de transporte. La protección con VSAPI

29

analiza los mensajes directamente en el archivo de Exchange Server.

La protección con el agente de transporte 35 analiza el tráfico SMTP en vez del archivo de Exchange Server. Si se activa este tipo de protección, todos los mensajes y sus componentes se analizarán durante el transporte, antes de que lleguen al archivo de Exchange Server o de su envío a través de SMTP. El filtrado de nivel de servidor SMTP se garantiza mediante un complemento especializado. En Microsoft Exchange Server 2000 y 2003, el complemento en cuestión (Receptor de sucesos) se registra en el servidor SMTP como parte de Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se registra como agente de transporte en los roles Perimetral o Concentrador de Microsoft Exchange Server. NOTA: el agente de transporte no está disponible en Microsoft Exchange Server 5.5, pero sí en las versiones más recientes de Microsoft Exchange Server (a partir de la versión 2000). 28

Puede utilizar la protección antivirus y antispyware del agente de transporte y VSAPI al mismo tiempo (esta es la configuración predeterminada y recomendada). No obstante, también puede utilizar un solo tipo de protección (VSAPI o agente de transporte). Estos tipos de protección se pueden activar y desactivar de forma independiente. Le recomendamos que utilice ambos tipos para garantizar el máximo nivel de protección antivirus y antispyware. No se recomienda desactivar ambas opciones. 3.2.1.1 Interfaz de programación de aplicaciones de análisis de virus (VSAPI) Microsoft Exchange Server proporciona un mecanismo para garantizar que se todos los componentes del mensaje se comprueba con la base de firmas de virus actual. Si un mensaje no se analizó previamente, los componentes correspondientes se envían para su análisis antes de enviar el mensaje al cliente. Cada una de las versiones compatibles de Microsoft Exchange Server (5.5/2000/2003/2007/2010) ofrece una versión diferente de VSAPI. 3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0) Esta versión de Microsoft Exchange Server incluye la versión 1.0 de VSAPI. Si está activada la opción Análisis en segundo plano, podrá analizar todos los mensajes en segundo plano. Microsoft Exchange Server decide si se ejecutará un análisis en segundo plano o no en función de varios factores, como la carga actual del sistema, el número de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes analizados y la versión de la base de firmas de virus utilizada. Si va a abrir un mensaje que no se ha analizado con la base de firmas de virus más actual, Microsoft Exchange Server envía el mensaje a ESET Mail Security para su análisis antes de abrirlo en el cliente de correo electrónico. El análisis en segundo plano puede afectar a la carga del sistema (el análisis se realiza cada vez que se actualiza la base de firmas de virus), por lo que le recomendamos que utilice el análisis programado fuera de las horas de oficina. El análisis en segundo plano programado se puede configurar con una tarea especial del Planificador de tareas. Cuando programe una tarea de análisis en segundo plano, puede definir la hora de inicio, el número de repeticiones y otros parámetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea, esta aparecerá en la lista de tareas programadas y, al igual que las demás tareas, podrá modificar sus parámetros, eliminarla o desactivarla de forma temporal. 3.2.1.1.1.1 Acciones En esta sección, puede especificar las acciones que se realizarán cuando un mensaje o archivo adjunto se clasifique como infectado. En el campo Acción a emprender si la desinfección no es posible, puede Bloquear el contenido infectado, Eliminar el mensaje o seleccionar Sin acciones para el contenido infectado del mensaje. Esta acción solo se aplicará si la desinfección automática (definida en Configuración de parámetros del motor ThreatSense > Desinfección 66 ) no desinfectó el mensaje. El campo Eliminación le permite definir el Método de eliminación de archivos adjuntos en una de estas opciones: Reducir el archivo a longitud cero: ESET Mail Security reduce el tamaño del archivo adjunto a cero y permite que el destinatario vea el nombre y el tipo de archivo. Sustituir el archivo adjunto con información sobre la acción: ESET Mail Security sustituye el archivo infectado con un protocolo de virus o una descripción de regla. Al hacer clic en el botón Analizar de nuevo, se ejecuta otro análisis de los mensajes y archivos ya analizados. 3.2.1.1.1.2 Rendimiento Durante un análisis, Microsoft Exchange Server le permite definir un tiempo límite para la apertura de archivos adjuntos. Este tiempo se define en el campo Tiempo límite de respuesta (ms) e indica el período tras el cual el cliente intentará acceder otra vez al archivo que antes estaba inaccesible a causa del análisis.

29

3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0) Esta versión de Microsoft Exchange Server incluye la versión 2.0 de VSAPI. Si desmarca la opción Activar la protección antivirus y antispyware VSAPI 2.0, el complemento de ESET Mail Security para Exchange Server no se descargará del proceso de Microsoft Exchange Server, simplemente pasará los mensajes sin buscar virus. No obstante, los mensajes sí se analizarán para detectar el spam 39 y se aplicarán las reglas 22 . Si está activada la opción Análisis proactivo, los nuevos mensajes entrantes se analizarán en el orden de recepción. Si esta opción está activada y un usuario abre un mensaje que aún no se ha analizado, este mensaje se analizará antes que los demás mensajes de la cola. La opción Análisis en segundo plano permite el análisis de todos los mensajes en segundo plano. Microsoft Exchange Server decide si se ejecutará un análisis en segundo plano o no en función de varios factores, como la carga actual del sistema, el número de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes analizados y la versión de la base de firmas de virus utilizada. Si va a abrir un mensaje que no se ha analizado con la base de firmas de virus más actual, Microsoft Exchange Server envía el mensaje a ESET Mail Security para su análisis antes de abrirlo en el cliente de correo electrónico. El análisis en segundo plano puede afectar a la carga del sistema (el análisis se realiza cada vez que se actualiza la base de firmas de virus), por lo que le recomendamos que utilice el análisis programado fuera de las horas de oficina. El análisis en segundo plano programado se puede configurar con una tarea especial del Planificador de tareas. Cuando programe una tarea de análisis en segundo plano, puede definir la hora de inicio, el número de repeticiones y otros parámetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea, esta aparecerá en la lista de tareas programadas y, al igual que las demás tareas, podrá modificar sus parámetros, eliminarla o desactivarla de forma temporal. Si desea analizar mensajes de texto sin formato, seleccione la opción Analizar mensajes con formato de texto plano. Al activar la opción Analizar mensajes con formato RTF, se activa el análisis de los mensajes en formato RTF. Estos mensajes pueden contener macrovirus. 3.2.1.1.2.1 Acciones En esta sección, puede especificar las acciones que se realizarán cuando un mensaje o archivo adjunto se clasifique como infectado. En el campo Acción a emprender si la desinfección no es posible, puede Bloquear el contenido infectado, Eliminar el mensaje o seleccionar Sin acciones para el contenido infectado del mensaje. Esta acción solo se aplicará si la desinfección automática (definida en Configuración de parámetros del motor ThreatSense > Desinfección 66 ) no desinfectó el mensaje. La opción Eliminación le permite definir el Método de eliminación de mensajes y el Método de eliminación de archivos adjuntos. El Método de eliminación de mensajes se puede definir en: Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibirá un mensaje vacío y los archivos adjuntos que no estén infectados. Volver a escribir el cuerpo del mensaje con información sobre la acción: vuelve a escribir el cuerpo del mensaje infectado con información sobre las acciones realizadas. El Método de eliminación de archivos adjuntos se puede definir en: Reducir el archivo a longitud cero: ESET Mail Security reduce el tamaño del archivo adjunto a cero y permite que el destinatario vea el nombre y el tipo de archivo. Sustituir el archivo adjunto con información sobre la acción: ESET Mail Security sustituye el archivo infectado con un protocolo de virus o una descripción de regla. Al hacer clic en el botón Analizar de nuevo, se ejecuta otro análisis de los mensajes y archivos ya analizados. 30

3.2.1.1.2.2 Rendimiento En esta sección, puede definir el número de subprocesos de análisis independientes que se utilizan a la vez. Un mayor número de subprocesos en equipos con varios procesadores puede aumentar la velocidad de análisis. Para obtener el máximo rendimiento del programa, le recomendamos que utilice un número igual de subprocesos de análisis y motores de análisis ThreatSense. La opción Tiempo límite de respuesta (seg.) le permite definir el tiempo máximo que espera un subproceso a que finalice el análisis de un mensaje. Si el análisis no finaliza en este límite de tiempo, Microsoft Exchange Server denegará al cliente el acceso al correo electrónico. El análisis no se interrumpirá y, cuando finalice, el acceso al archivo se permitirá siempre. SUGERENCIA:: para determinar el Número de subprocesos de análisis, el proveedor de Microsoft Exchange Server recomienda la fórmula siguiente: [número de procesadores físicos] x 2 + 1. NOTA: el rendimiento no mejora demasiado si hay más motores de análisis ThreatSense que subprocesos de análisis. 3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5) Esta versión de Microsoft Exchange Server incluye la versión 2.5 de VSAPI. Si desmarca la opción Activar la protección antivirus y antispyware VSAPI 2.5, el complemento de ESET Mail Security para Exchange Server no se descargará del proceso de Microsoft Exchange Server, simplemente pasará los mensajes sin buscar virus. No obstante, los mensajes sí se analizarán para detectar el spam 39 y se aplicarán las reglas 22 . Si está activada la opción Análisis proactivo, los nuevos mensajes entrantes se analizarán en el orden de recepción. Si esta opción está activada y un usuario abre un mensaje que aún no se ha analizado, este mensaje se analizará antes que los demás mensajes de la cola. La opción Análisis en segundo plano permite el análisis de todos los mensajes en segundo plano. Microsoft Exchange Server decide si se ejecutará un análisis en segundo plano o no en función de varios factores, como la carga actual del sistema, el número de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes analizados y la versión de la base de firmas de virus utilizada. Si va a abrir un mensaje que no se ha analizado con la base de firmas de virus más actual, Microsoft Exchange Server envía el mensaje a ESET Mail Security para su análisis antes de abrirlo en el cliente de correo electrónico. El análisis en segundo plano puede afectar a la carga del sistema (el análisis se realiza cada vez que se actualiza la base de firmas de virus), por lo que le recomendamos que utilice el análisis programado fuera de las horas de oficina. El análisis en segundo plano programado se puede configurar con una tarea especial del Planificador de tareas. Cuando programe una tarea de análisis en segundo plano, puede definir la hora de inicio, el número de repeticiones y otros parámetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea, esta aparecerá en la lista de tareas programadas y, al igual que las demás tareas, podrá modificar sus parámetros, eliminarla o desactivarla de forma temporal. Al activar la opción Analizar mensajes con formato RTF, se activa el análisis de los mensajes en formato RTF. Estos mensajes pueden contener macrovirus. La opción Analizar mensajes transportados permite analizar los mensajes que no están almacenados en la instancia local de Microsoft Exchange Server y se entregan a otros servidores de correo electrónico a través de la instancia local de Microsoft Exchange Server. Microsoft Exchange Server se puede configurar como una puerta de enlace que pasa los mensajes a otros servidores de correo electrónico. Si está activado el análisis de mensajes transportados, ESET Mail Security analiza también estos mensajes. Esta opción solo está disponible cuando el agente de transporte está desactivado. NOTA: VSAPI no analiza los mensajes de texto sin formato.

31

3.2.1.1.3.1 Acciones En esta sección, puede especificar las acciones que se realizarán cuando un mensaje o archivo adjunto se clasifique como infectado. En el campo Acción a emprender si la desinfección no es posible, puede Bloquear el contenido infectado, Eliminar el contenido infectado del mensaje, Eliminar todo el mensaje, incluido el contenido infectado, o seleccionar Sin acciones. Esta acción solo se aplicará si la desinfección automática (definida en Configuración de parámetros del motor ThreatSense > Desinfección 66 ) no desinfectó el mensaje. La opción Eliminación le permite definir el Método de eliminación de mensajes y el Método de eliminación de archivos adjuntos. El Método de eliminación de mensajes se puede definir en: Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibirá un mensaje vacío y los archivos adjuntos que no estén infectados. Volver a escribir el cuerpo del mensaje con información sobre la acción: vuelve a escribir el cuerpo del mensaje infectado con información sobre las acciones realizadas. Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la acción que se realizará el eliminar archivos adjuntos. El Método de eliminación de archivos adjuntos se puede definir en: Reducir el archivo a longitud cero: ESET Mail Security reduce el tamaño del archivo adjunto a cero y permite que el destinatario vea el nombre y el tipo de archivo. Sustituir el archivo adjunto con información sobre la acción: ESET Mail Security sustituye el archivo infectado con un protocolo de virus o una descripción de regla. Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la acción que se realizará el eliminar archivos adjuntos. Al hacer clic en el botón Analizar de nuevo, se ejecuta otro análisis de los mensajes y archivos ya analizados. 3.2.1.1.3.2 Rendimiento En esta sección, puede definir el número de subprocesos de análisis independientes que se utilizan a la vez. Un mayor número de subprocesos en equipos con varios procesadores puede aumentar la velocidad de análisis. Para obtener el máximo rendimiento del programa, le recomendamos que utilice un número igual de subprocesos de análisis y motores de análisis ThreatSense. La opción Tiempo límite de respuesta (seg.) le permite definir el tiempo máximo que espera un subproceso a que finalice el análisis de un mensaje. Si el análisis no finaliza en este límite de tiempo, Microsoft Exchange Server denegará al cliente el acceso al correo electrónico. El análisis no se interrumpirá y, cuando finalice, el acceso al archivo se permitirá siempre. SUGERENCIA: para determinar el Número de subprocesos de análisis, el proveedor de Microsoft Exchange Server recomienda la fórmula siguiente: [número de procesadores físicos] x 2 + 1. NOTA: el rendimiento no mejora demasiado si hay más motores de análisis ThreatSense que subprocesos de análisis.

32

3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) Esta versión de Microsoft Exchange Server incluye la versión 2.6 de VSAPI. Si desmarca la opción Activar la protección antivirus y antispyware VSAPI 2.6, el complemento de ESET Mail Security para Exchange Server no se descargará del proceso de Microsoft Exchange Server, simplemente pasará los mensajes sin buscar virus. No obstante, los mensajes sí se analizarán para detectar el spam 39 y se aplicarán las reglas 22 . Si está activada la opción Análisis proactivo, los nuevos mensajes entrantes se analizarán en el orden de recepción. Si esta opción está activada y un usuario abre un mensaje que aún no se ha analizado, este mensaje se analizará antes que los demás mensajes de la cola. La opción Análisis en segundo plano permite el análisis de todos los mensajes en segundo plano. Microsoft Exchange Server decide si se ejecutará un análisis en segundo plano o no en función de varios factores, como la carga actual del sistema, el número de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes analizados y la versión de la base de firmas de virus utilizada. Si va a abrir un mensaje que no se ha analizado con la base de firmas de virus más actual, Microsoft Exchange Server envía el mensaje a ESET Mail Security para su análisis antes de abrirlo en el cliente de correo electrónico. Puede seleccionar la opción Analizar solo mensajes con archivo adjunto y realizar el filtrado en función de la fecha y hora de recepción con las siguientes opciones de Nivel de análisis: Todos los mensajes Mensajes recibidos el último año Mensajes recibidos los últimos 6 meses Mensajes recibidos los últimos 3 meses Mensajes recibidos el último mes Mensajes recibidos la última semana El análisis en segundo plano puede afectar a la carga del sistema (el análisis se realiza cada vez que se actualiza la base de firmas de virus), por lo que le recomendamos que utilice el análisis programado fuera de las horas de oficina. El análisis en segundo plano programado se puede configurar con una tarea especial del Planificador de tareas. Cuando programe una tarea de análisis en segundo plano, puede definir la hora de inicio, el número de repeticiones y otros parámetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea, esta aparecerá en la lista de tareas programadas y, al igual que las demás tareas, podrá modificar sus parámetros, eliminarla o desactivarla de forma temporal. Al activar la opción Analizar mensajes con formato RTF, se activa el análisis de los mensajes en formato RTF. Estos mensajes pueden contener macrovirus. NOTA: VSAPI no analiza los mensajes de texto sin formato. 3.2.1.1.4.1 Acciones En esta sección, puede especificar las acciones que se realizarán cuando un mensaje o archivo adjunto se clasifique como infectado. En el campo Acción a emprender si la desinfección no es posible, puede Bloquear el contenido infectado, Eliminar objeto (el contenido infectado del mensaje), Eliminar todo el mensaje o seleccionar Sin acciones. Esta acción solo se aplicará si la desinfección automática (definida en Configuración de parámetros del motor ThreatSense >Desinfección 66 ) no desinfectó el mensaje. Tal como se explicó mas arriba, Acción a emprender si la desinfección no es posible se puede definir en: Sin acciones: no realiza ninguna acción en el contenido infectado del mensaje. Bloquear: bloquea el mensaje antes de que llegue al archivo de Microsoft Exchange Server. Eliminar objeto: elimina el contenido infectado del mensaje. Eliminar todo el mensaje: elimina todo el mensaje, incluido el contenido infectado. La opción Eliminación le permite definir el Método de eliminación del cuerpo de mensajes y el Método de eliminación de archivos adjuntos. 33

El Método de eliminación del cuerpo de mensajes se puede definir en: Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibirá un mensaje vacío y los archivos adjuntos que no estén infectados. Volver a escribir el cuerpo del mensaje con información sobre la acción: vuelve a escribir el cuerpo del mensaje infectado con información sobre las acciones realizadas. Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la acción que se realizará el eliminar archivos adjuntos. El Método de eliminación de archivos adjuntos se puede definir en: Reducir el archivo a longitud cero: ESET Mail Security reduce el tamaño del archivo adjunto a cero y permite que el destinatario vea el nombre y el tipo de archivo. Sustituir el archivo adjunto con información sobre la acción: ESET Mail Security sustituye el archivo infectado con un protocolo de virus o una descripción de regla. Eliminar todo el mensaje: elimina el archivo adjunto. Si está activada la opción Utilizar cuarentena de VSAPI, los mensajes infectados se almacenarán en la cuarentena del servidor de correo electrónico. Tenga en cuenta que se trata de la cuarentena administrada de VSAPI del servidor (no la cuarentena del cliente o el buzón de correo de cuarentena). Los mensajes infectados almacenados en la cuarentena del servidor de correo no estarán accesibles hasta que se hayan desinfectado con la base de firmas de virus más reciente. Al hacer clic en el botón Analizar de nuevo, se ejecuta otro análisis de los mensajes y archivos ya analizados. 3.2.1.1.4.2 Rendimiento En esta sección, puede definir el número de subprocesos de análisis independientes que se utilizan a la vez. Un mayor número de subprocesos en equipos con varios procesadores puede aumentar la velocidad de análisis. Para obtener el máximo rendimiento del programa, le recomendamos que utilice un número igual de subprocesos de análisis y motores de análisis ThreatSense. SUGERENCIA: para determinar el Número de subprocesos de análisis, el proveedor de Microsoft Exchange Server recomienda la fórmula siguiente: [número de procesadores físicos] x 2 + 1. NOTA: el rendimiento no mejora demasiado si hay más motores de análisis ThreatSense que subprocesos de análisis.

34

3.2.1.1.5 Agente de transporte En esta sección, puede activar o desactivar la protección antivirus y antispyware del agente de transporte. En Microsoft Exchange Server 2007 y versiones posteriores solo se puede instalar un agente de transporte si el servidor tiene uno de estos dos roles: Transporte perimetral o Concentrador de transporte.

Si no es posible desinfectar un mensaje, este se procesará de acuerdo con la configuración de la sección Agente de transporte. El mensaje se puede eliminar, enviar al buzón de correo de cuarentena o retener. Si desmarca la opción Activar la protección antivirus y antispyware mediante agente de transporte, el complemento de ESET Mail Security para Exchange Server no se descargará del proceso de Microsoft Exchange Server, simplemente pasará los mensajes sin buscar virus. No obstante, los mensajes sí se analizarán para detectar el spam 39 y se aplicarán las reglas 22 . Si selecciona Activar la protección antivirus y antispyware mediante agente de transporte, puede definir la Acción a emprender si la desinfección no es posible: Conservar mensaje: retiene los mensajes infectados que no se pudieron desinfectar. Poner mensaje en cuarentena: envía al buzón de correo de cuarentena los mensajes infectados. Eliminar mensaje: elimina los mensajes infectados. Al detectar una amenaza, anotar el nivel de spam en el encabezado de los mensajes analizados (%): defina el nivel de spam (la probabilidad de que el mensaje sea correo no deseado) en un valor determinado, en forma de porcentaje. Esto significa que, si se detecta una amenaza, se indicará un nivel de spam (valor especificado en %) en el mensaje analizado. Los botnets son los responsables del envío de la mayoría de los mensajes infectados, de modo que los mensajes distribuidos por este medio deben clasificarse como spam. Para que esta característica sea efectiva, la opción Anotar el nivel de confianza contra correo no deseado (SCL) en los mensaje analizados en función del nivel de spam de Protección del servidor > Microsoft Exchange Server > Agente de transporte 20 debe estar activada. Si la opción Analizar también los mensajes recibidos de conexiones internas o autenticadas está activada, ESET Mail Security también analiza los mensajes procedentes de orígenes autenticados o servidores locales. Se recomienda analizar estos mensajes para así aumentar el nivel de protección, pero es opcional.

35

3.2.2 Acciones En esta sección, puede agregar un ID de tarea de análisis o información del resultado del análisis al encabezado de los mensajes analizados.

3.2.3 Alertas y notificaciones ESET Mail Security le permite añadir texto al asunto o el cuerpo original de los mensajes infectados.

36

Agregar al cuerpo de mensajes analizados: ofrece tres opciones: No agregar a mensajes Agregar únicamente a mensajes infectados Agregar a todos los mensajes analizados Si activa la opción Agregar una advertencia en el asunto de los mensajes infectados, ESET Mail Security añadirá una etiqueta al asunto del mensaje con el valor definido en el campo de texto Etiqueta agregada al asunto de mensajes infectados (de forma predeterminada, [virus %VIRUSNAME%]). Las modificaciones mencionadas pueden automatizar el filtrado de mensajes de correo electrónico infectados por asunto (si el cliente de correo electrónico lo permite) a una carpeta independiente. NOTA: cuando añada una plantilla al asunto del mensaje, también puede utilizar variables del sistema. 3.2.4 Exclusiones automáticas Los desarrolladores de aplicaciones de servidor y sistemas operativos recomiendan, en la mayoría de sus productos, excluir conjuntos de archivos y carpetas de trabajo críticos de los análisis antivirus. Los análisis antivirus pueden tener un efecto negativo sobre el rendimiento del servidor, provocar conflictos e incluso evitar la ejecución de determinadas aplicaciones en el servidor. Las exclusiones minimizan el riesgo de sufrir conflictos y aumentan el rendimiento general del servidor durante la ejecución de software antivirus. ESET Mail Security identifica las aplicaciones de servidor y los archivos del sistema operativo críticas, y los añade a la lista de exclusiones. Una vez que se han añadido a la lista, puede activar la aplicación/proceso de servidor (de forma predeterminada) seleccionando la casilla correspondiente, o desactivarla anulando la selección. Obtendrá el resultado siguiente: 1) Si la exclusión de una aplicación o un sistema operativo sigue activada, sus archivos y carpetas críticos se añadirán a la lista de archivos excluidos del análisis (Configuración avanzada > Protección del ordenador > Antivirus y antispyware > Exclusiones). Cada vez que se reinicia el servidor, el sistema realiza una comprobación automática de las exclusiones y restaura las exclusiones que se hayan podido eliminar de la lista. Esta es la configuración recomendada para garantizar que se aplican siempre las exclusiones automáticas recomendadas. 2) Si el usuario desactiva la exclusión de una aplicación o un sistema operativo, sus archivos y carpetas críticos permanecerán en la lista de archivos excluidos del análisis (Configuración avanzada > Protección del ordenador > Antivirus y antispyware > Exclusiones). Sin embargo, no se comprobarán ni renovarán automáticamente en la lista Exclusiones cada vez que se reinicie el servidor (consulte el punto 1 anterior). Esta configuración se recomienda a los usuarios avanzados que deseen eliminar o modificar algunas de las exclusiones estándar. Si desea que las exclusiones se eliminen de la lista sin reiniciar el servidor, quítelas manualmente ( Configuración avanzada > Protección del ordenador > Antivirus y antispyware > Exclusiones). Los ajustes descritos arriba no afectan a las exclusiones definidas por el usuario que se hayan introducido manualmente en Configuración avanzada > Protección del ordenador > Antivirus y antispyware > Exclusiones. Las exclusiones automáticas de aplicaciones de servidor o sistemas operativos se seleccionan de acuerdo con las recomendaciones de Microsoft. Para obtener más información, consulte los enlaces siguientes: http://support.microsoft.com/kb/822158 http://support.microsoft.com/kb/245822 http://support.microsoft.com/kb/823166 http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx http://technet.microsoft.com/en-us/library/bb332342.aspx

37

3.3 Protección Antispam En la sección Protección Antispam, puede activar o desactivar la protección contra correo no deseado para el servidor de correo instalado, configurar los parámetros del motor Antispam y definir otros niveles de protección.

38

3.3.1 Microsoft Exchange Server 3.3.1.1 Agente de transporte En esta sección, puede configurar las opciones de protección antispam con el agente de transporte.

NOTA: el agente de transporte no está disponible en Microsoft Exchange Server 5.5. Si selecciona la opción Activar la protección antispam mediante agente de transporte, deberá elegir una de las siguientes opciones en Acción a emprender en mensajes no deseados: Conservar mensaje: guarda los mensajes aunque estén marcados como spam. Poner mensaje en cuarentena: envía los mensajes marcados como spam al buzón de correo de cuarentena. Eliminar mensaje: elimina los mensajes marcados como spam. Si desea incluir información sobre el nivel de spam de los mensajes en su encabezado, active la opción Anotar nivel de spam en el encabezado de los mensajes analizados. La función Activar creación de listas grises activa una característica que protege a los usuarios frente al correo no deseado con la técnica siguiente: El agente de transporte enviará un valor de retorno SMTP "rechazar temporalmente" (el valor predeterminado es 451/4.7.1) para los mensajes recibidos que no procedan de un remitente conocido. Los servidores legítimos intentarán enviar el mensaje otra vez tras una demora. Por lo general, los servidores de spam no intentan enviar el mensaje otra vez, ya que suelen pasar por miles de direcciones de correo electrónico y no pierden el tiempo con reenvíos. Las listas grises son una capa adicional de la protección antispam y no tienen ningún efecto sobre la capacidad de evaluación del correo no deseado del módulo antispam. Cuando evalúa el origen del mensaje, el método tiene en cuenta la configuración de las listas de Direcciones IP permitidas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP de Exchange Server y la configuración de No aplicar antispam del buzón de correo del destinatario. El método de detección de listas grises omitirá los correos electrónicos procedentes de estas listas de remitentes y direcciones IP o entregados a un buzón de correo que tiene activada la opción No aplicar antispam. El campo Respuesta SMTP para conexiones bloqueadas temporalmente define la respuesta de rechazo temporal de SMTP enviada al servidor SMTP cuando se rechaza un mensaje.

39

Ejemplo de mensaje de respuesta SMTP: Código de respuesta principal 451

Código de respuesta complementario 4.7.1

Descripción Se canceló la acción solicitada: error local al procesar

Alerta: una sintaxis incorrecta en los códigos de respuesta SMTP podría provocar el mal funcionamiento de la protección de listas grises. Como resultado, es posible que los mensajes no deseados se entreguen a los clientes o que los mensajes no se entreguen nunca. Límite de tiempo para el bloqueo de la conexión inicial (min.): cuando un mensaje se entrega por primera vez y se rechaza de forma temporal, este parámetro define el período de tiempo durante el que siempre se rechazará el mensaje (a partir del primer rechazo). Una vez que este período ha transcurrido, el mensaje se recibirá correctamente. El valor mínimo es 1 minuto. Duración de las conexiones no verificadas (horas): este parámetro define el intervalo de tiempo mínimo durante el que se guardarán los datos de los tres elementos. Un servidor válido debe reenviar el mensaje enviado antes de que finalice este período. Este valor debe ser mayor que el valor de Límite de tiempo para el bloqueo de la conexión inicial. Duración de las conexiones verificadas (días): el número mínimo de días que se guardan los datos de los tres elementos, y durante los cuales los mensajes de correo electrónico de un remitente determinado se reciben sin demora. Este valor debe ser mayor que el valor de Duración de las conexiones no verificadas. NOTA: en la definición de respuestas SMTP de rechazo también puede utilizar variables del sistema. 3.3.2 Motor antispam En esta sección, puede configurar los parámetros del Motor antispam haciendo clic en el botón Configurar. Este botón abre una ventana donde puede configurar los Parámetros del motor antispam 41 . Categorización de mensajes El motor antispam de ESET Mail Security asigna un nivel de spam de 0 a 100 a todos los mensajes analizados. El cambio de los límites de niveles de spam en esta sección puede afectar a: 1) si un mensaje se clasifica como SPAM o como correo deseado. Todos los mensajes que tengan un nivel de spam igual o mayor que el valor de Nivel de spam para tratar un mensaje como spam: se consideran SPAM y, por lo tanto, las acciones definidas en el Agente de transporte 39 se aplican a estos mensajes. 2) si un mensaje se registra en el registro de antispam 82 (Herramientas > Archivos de registro > Antispam). Todos los mensajes que tengan un nivel de spam igual o mayor que el valor de Nivel de spam para tratar un mensaje como posible spam o mensaje desinfectado: se incluyen en el registro. 3) la sección de las estadísticas de correo no deseado en la que incluirá el mensaje (Estado de la protección > Estadísticas > Protección antispam del servidor de correo). Mensajes clasificados como SPAM: el nivel de spam del mensaje es igual o mayor que el valor definido en Nivel de spam para tratar un mensaje como spam. Mensajes clasificados como posible SPAM: el nivel de spam del mensaje es igual o mayor que el valor definido en Nivel de spam para tratar un mensaje como posible spam o mensaje desinfectado. Mensajes clasificados como probablemente CORREO DESEADO:el nivel de spam del mensaje es menor que el valor definido en Nivel de spam para tratar un mensaje como posible spam o mensaje desinfectado. Mensajes clasificados como CORREO DESEADO: el nivel de spam del mensaje es igual o mayor que el valor definido en Nivel de spam para tratar un mensaje como deseado.

40

3.3.2.1 Configuración de parámetros del motor antispam Configuración de parámetros del motor antispam Puede seleccionar un perfil de un conjunto de perfiles previamente configurados (Recomendado, Más preciso, Más rápido, Personalizar). La lista de perfiles se carga desde el módulo antispam. Para cada uno de los perfiles mencionados, se carga una configuración específica desde el archivo spamcatcher.conf y un subconjunto de ajustes específicos directamente desde el programa. Aunque se seleccione la opción Personalizar, algunos ajustes se aplican directamente desde el programa, y no desde el archivo spamcatcher.conf; la configuración del servidor Proxy disponible en el archivo spamcatcher.conf, por ejemplo, no se aplicará si el servidor Proxy se configuró a través de la interfaz gráfica de usuario de ESET Mail Security, ya que la configuración del programa siempre tiene prioridad sobre la del archivo spamcatcher.conf. La configuración de actualizaciones automáticas del motor antispam se establecerá otra vez como desactivada, independientemente de los cambios realizados en el archivo spamcatcher. conf. El perfil Recomendado incluye la configuración recomendada, que proporciona un equilibrio entre seguridad e impacto sobre el rendimiento del sistema. El perfil Más preciso se centra exclusivamente en la seguridad del servidor de correo. Este perfil necesita más recursos del sistema que el perfil Recomendado. El perfil Más rápido se ha configurado para reducir al mínimo el uso de los recursos del sistema; esto se consigue desactivando algunas de las características de análisis. Personalizar > Abrir archivo de configuración le permite modificar el archivo spamcatcher.conf. Esta opción se recomienda para administradores de sistemas que quieran personalizar todos los detalles del sistema (si es necesario). Las tres primeras opciones de perfil deberían cubrir la mayoría de las necesidades. Si desea utilizar un perfil personalizado, en el capítulo Archivo de configuración 43 encontrará información detallada sobre los parámetros disponibles y su repercusión en el sistema. Recuerde que todavía hay una serie de ajustes que se aplican directamente desde el programa y, por lo tanto, tienen prioridad sobre la configuración del archivo spamcatcher.conf. El objetivo de esta medida es impedir una configuración incorrecta de los componentes esenciales que pueda provocar el mal funcionamiento de ESET Mail Security. La configuración de spamcatcher.conf se puede cambiar de dos maneras. Puede seleccionar el perfil Personalizar en el menú desplegable Configuración: para utilizar la GUI de ESET Mail Security y, a continuación, hacer clic en el enlace Abrir archivo de configuración disponible debajo del menú desplegable Perfil. Esta acción abrirá el archivo spamcatcher.conf en el bloc de notas, donde podrá editarlo. La otra opción sería abrir el archivo spamcatcher.conf directamente con otro editor de texto. El archivo spamcatcher.conf se encuentra en C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\MailServer en Windows Server 2000 y 2003 y en C: \ProgramData\ESET\ESET Mail Security\MailServer en Windows Server 2008. Después de modificar los ajustes deseados en el archivo spamcatcher.conf, es necesario reiniciar el motor antispam para que se reconozcan los cambios del programa y el archivo de configuración. Si ha modificado spamcatcher.conf a través de la GUI, haga clic en Aceptar para cerrar los cuadros de diálogo. Así, el motor antispam se reiniciará. También verá que el enlace Nueva carga de los parámetros del motor antispam está desactivado; esto significa que el motor antispam se está reiniciando. Si ha modificado el archivo spamcatcher.conf directamente con un editor de texto (no a través de la GUI), tendrá que reiniciar el motor antispam para que el programa reconozca los cambios. El motor antispam se puede reiniciar de varias maneras. Puede dejar que se inicie en la próxima ocasión (por ejemplo, cuando se actualice la base de firmas) o, si es necesario, reiniciarlo manualmente desde el árbol de configuración avanzada (F5) Protección del servidor > Protección Antispam > Motor Antispam, haciendo clic en el enlace Nueva carga de los parámetros del motor antispam. El motor antispam también se puede reiniciar desactivando y volviendo a activar la protección antispam en la ventana principal de ESET Mail Security. Para hacerlo, vaya a Configuración > Protección Antispam y, a continuación, haga clic en Desactivar temporalmente la protección frente a correo no deseado en la parte inferior de la ventana y en Activar protección antispam. Una vez que haya hecho esto, el motor antispam utilizará la nueva configuración. NOTA: se puede utilizar un archivo spamcatcher.conf modificado con un perfil de configuración que no sea Personalizar (por ejemplo, Más preciso). En estos casos, algunos ajustes se toman de la configuración de spamcatcher.conf y otros, de la configuración definida por el usuario en la GUI. En caso de conflicto, la configuración de la GUI siempre tiene prioridad sobre la configuración del archivo spamcatcher.conf (salvo para unos pocos componentes del sistema, que son definidos por el programa independientemente de la configuración especificada en la GUI o en spamcatcher.conf). 41

En la ficha Direcciones IP permitidas, puede especificar las direcciones IP que se deben admitir; es decir, si la primera dirección IP no ignorada de los encabezados Recibido coincide con cualquier dirección de esta lista, el mensaje obtiene un 0 y no se realiza ninguna otra comprobación. En la ficha Direcciones IP ignoradas, puede especificar las direcciones IP que se deberían ignorar durante las comprobaciones de la lista de bloqueo en tiempo real (RBL). Incluya todas las direcciones IP internas que se encuentren dentro del cortafuegos y a las que no se pueda acceder directamente desde Internet. De esta manera, evitará las comprobaciones innecesarias y facilitará la identificación de las direcciones IP reales que se están conectando. El motor ya ignora la direcciones IP internas (192.168.x.y y 10.x). En la ficha Direcciones IP bloqueadas, puede especificar las direcciones IP que se deben bloquear; es decir, si una dirección IP no ignorada en los encabezados Recibido coincide con una dirección de esta lista, el mensaje obtiene un 100 y no se realiza ninguna otra comprobación.

En la ficha Dominios ignorados puede especificar los dominios utilizados en el cuerpo del mensaje que se deberían ignorar y excluir siempre de las comprobaciones de DNSBL y MSBL. En la ficha Dominios bloqueados, puede especificar los dominios utilizados en el cuerpo del mensaje que se deberían bloquear siempre. NOTA: no se pueden utilizar comodines para añadir dominios, como sucede en las direcciones IP. Las tecnologías antispam y de creación de listas grises también utilizan las famosas listas blancas. Posibilidades de aplicación de listas blancas para crear listas grises Microsoft Exchange 2003 - lista de direcciones IP permitidas en el IMF de Exchange (Filtrado de conexiones > Lista de aceptación global) - lista de direcciones IP permitidas e ignoradas en la configuración de ESET Mail Security

42

Microsoft Exchange 2007/2010 - lista de direcciones IP permitidas e ignoradas en la configuración de ESET Mail Security - lista de remitentes seguros para un destinatario determinado - opción No aplicar antispam activada en un buzón de correo determinado - lista de direcciones IP permitidas en Microsoft Exchange - opción No aplicar antispam activada en una conexión SMTP determinada

Posibilidades de aplicación de listas blancas para antispam General - lista de direcciones IP permitidas en la configuración de ESET Mail Security - lista de dominios de correo en el archivo approvedsenders - filtrado basado en reglas Microsoft Exchange 2003 - lista de direcciones IP permitidas en el IMF de Exchange (Filtrado de conexiones > Lista de aceptación global) Microsoft Exchange 2007/2010 - lista de remitentes seguros para un destinatario determinado - opción No aplicar antispam activada en un buzón de correo determinado - lista de direcciones IP permitidas en Microsoft Exchange - opción No aplicar antispam activada en una conexión SMTP determinada NOTA: una característica común a las tecnologías antispam y de creación de listas grises es que los mensajes de origen interno o autenticado no se analizan en busca de spam. 3.3.2.1.1 Archivo de configuración El archivo de configuración spamcatcher.conf le permite modificar varios ajustes adicionales que no están disponibles en la interfaz gráfica de usuario de ESET Mail Security. Los ajustes de spamcatcher.conf se estructuran y describen de forma transparente. Name: nombre del parámetro. Arguments: valores que se pueden asignar al parámetro, y su sintaxis. Default: valor predeterminado del parámetro. Description: descripción detallada del parámetro. Las líneas en blanco y que empiezan con el símbolo # se omiten. A continuación se muestra una lista de los parámetros más importantes de spamcatcher.conf: Nombre del parámetro approved_ip_list

blocked_ip_list

ignored_ip_list

rbl_list

Detalles Lista de direcciones IP aprobadas. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirla en la GUI del programa (consulte el capítulo Configuración de parámetros del motor antispam 41 ). Lista de direcciones IP bloqueadas. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirla en la GUI del programa (consulte el capítulo Configuración de parámetros del motor antispam 41 ). Lista de direcciones IP ignoradas. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirla en la GUI del programa (consulte el capítulo Configuración de parámetros del motor antispam 41 ). Lista de servidores de bloqueo en tiempo real que se utilizarán durante la clasificación de los mensajes. La solicitud RBL comprueba la presencia de una dirección IP específica en un servidor RBL dado. Las direcciones IP de la sección Recibido: del encabezado del mensaje están sujetas a estas comprobaciones. El formato de entrada es el siguiente: rbl_list=server:response:offset,server2:response2: offset2,...

A continuación se explica el significado de los parámetros: 1) server: nombre del servidor RBL. 43

2) response: respuesta del servidor RBL si se encuentra la dirección IP (las respuestas estándar son 127.0.0.2, 127.0.0.3, 127.0.0.4., etc.). Este parámetro es opcional y, si no se define, se tendrán en cuenta todas las respuestas. 3) offset: valor de 0 a 100. Afecta al nivel general de spam. El valor estándar es 100; es decir, si el resultado de la comprobación del mensaje es positivo, se le asigna un nivel de spam 100 y se clasifica como correo no deseado. Los valores negativos bajan el nivel general de spam de un mensaje. Los mensajes de remitentes incluidos en la lista approvedsenders obtendrán un valor de 0 y los remitentes de la lista blockedsenders, un valor de 100 (ver más abajo). Ejemplo 1: rbl_list=ent.adbl.org La comprobación de RBL se realiza con el servidor ent.adbl.org . Si el resultado de la comprobación es positivo, se asignará al mensaje una compensación estándar de 100 y se marcará como correo no deseado. Ejemplo 2: rbl_list=ent.adbl.org::60 La comprobación de RBL se realiza con el servidor ent.adbl.org . Si el resultado de la comprobación es positivo, se asignará al mensaje una compensación de 60 que aumentará su nivel general de spam. Ejemplo 3: rbl_list=bx9.dbl.com::85, list.dnb.org:127.0.0.4:35, req.gsender.org::-75 La comprobación de RBL se realiza con los servidores definidos (de izquierda a derecha). Si el resultado de la comprobación es positivo en bx9.dbl.com, se le añadirá una compensación de 85. Si el resultado de la comprobación en list.dnb.org es positivo y se obtiene una respuesta de 127.0.0.4, se utilizará una compensación de 35. La compensación no se aplicará si se obtiene una respuesta diferente a 127.0.0.4. Si el resultado de la comprobación es positivo en req. gsender.org, el nivel de spam bajará en 75 puntos (valor negativo). rbl_max_ips Número máximo de direcciones IP que se pueden enviar a una comprobación del servidor RBL. El número total de solicitudes RBL es igual al total de direcciones IP incluidas en la sección Recibido: del encabezado del correo electrónico (hasta el límite definido en rbl_maxcheck_ips) multiplicado por el número de servidores RBL definido en rbl_list. Un valor de 0 significa que no hay ningún límite en el número máximo de direcciones IP que se pueden comprobar. Direcciones IP en la lista ignored_ip_list (es decir, la lista Direcciones IP ignoradas de la configuración de ESET Mail Security). Este parámetro solo se aplica si está activado el parámetro rbl_list (es decir, contiene al menos 1 servidor). approved_domain Lista de dominios y direcciones IP incluidos en el cuerpo del mensaje y que deben considerarse _list permitidos. No se debe utilizar para incluir correos electrónico en la lista blanca según el dominio del remitente. blocked_domain_li Lista de dominios y direcciones IP incluidos en el cuerpo del mensaje y que deben considerarse st bloqueados de forma permanente. No es una lista negra de direcciones de remitente. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirla en la GUI del programa (consulte el capítulo Configuración de parámetros del motor antispam 41 ). ignored_domain_li Lista de dominios incluidos en el cuerpo del mensaje, que se deben ignorar y excluir de forma st permanente de las comprobaciones de DNSBL. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirla en la GUI del programa (consulte el capítulo Configuración de parámetros del motor antispam 41 ). dnsbl_list Lista de servidores DNSBL que se deben utilizar en las comprobaciones de dominios y direcciones IP incluidos en el cuerpo del mensaje. El formato de entrada es el siguiente: dnsbl_list=server:response:offset,server2:response2:offset2,... Significado de los parámetros utilizados: 1) server: nombre del servidor DNSBL. 2) response: respuesta del servidor DNSBL si se encuentra la dirección IP o dominio (las respuestas estándar son 127.0.0.2, 127.0.0.3, 127.0.0.4., etc.). Este parámetro es opcional y, si no se define, se tendrán en cuenta todas las respuestas. 3) offset: valor de 0 a 100. Afecta al nivel general de spam. El valor estándar es 100; es decir, si el resultado de la comprobación del mensaje es positivo, se le asigna un nivel de spam 100 y se clasifica como correo no deseado. Los valores negativos bajan el nivel general de spam de un mensaje. Los mensajes de remitentes incluidos en la lista approvedsenders obtendrán un valor de 0 y los remitentes de la lista blockedsenders, un valor de 100 (ver más abajo).

44

Las comprobaciones de DNSBL pueden afectar negativamente al rendimiento del servidor, ya que se comprueban todos los dominios y direcciones IP del cuerpo del mensaje en todos los servidores DNSBL definidos, y en cada comprobación se procesa una solicitud de servidor DNS. El impacto en los recursos del sistema se puede reducir mediante la implementación de un servidor de caché DNS. Por este motivo, las direcciones IP no enrutables (10.x.x.x, 127.x.x.x, 192.168.x.x) tampoco se incluyen en las comprobaciones de DNSBL. Ejemplo 1: dnsbl_list=ent.adbl.org La comprobación de DNSBL se realiza en el servidor ent.adbl.org . Si el resultado es positivo, se asigna al mensaje la compensación predeterminada de 100 (y se marca como correo no deseado). Ejemplo 2: dnsbl_list=ent.adbl.org::60 La comprobación de DNSBL se realiza con el servidor ent.adbl.org . Si el resultado de la comprobación es positivo, se asignará al mensaje una compensación de 60 que aumentará su nivel general de spam. Ejemplo 3: dnsbl_list=bx9.dbl.com::85, list.dnb.org:127.0.0.4:35, req.gsender.org::-75 La comprobación de DNSBL se realiza con los servidores definidos (de izquierda a derecha). Si hay un resultado positivo en bx9.dbl.com, se le añadirá una compensación de 85. Si el resultado de la comprobación en list.dnb.org es positivo y se obtiene una respuesta de 127.0.0.4 se le utilizará una compensación de 35. No se aplicará ninguna compensación si se obtiene una respuesta diferente a 127.0.0.4. Si el resultado de la comprobación es positivo en req.gsender. org, el nivel de spam bajará en 75 puntos (valor negativo). home_country_list Lista de países que se consideran "casa". Los mensajes dirigidos a un país que no se incluye en esta lista se evalúan con reglas más estrictas (se les aplica un mayor nivel de spam). Los países deben especificarse con el código de dos caracteres que indica la norma ISO 3166. home_language_li Lista de idiomas preferidos (es decir, los idiomas más utilizados en sus mensajes de correo st electrónico). Estos mensajes se evaluarán con reglas menos estrictas (menor nivel de spam). Los idiomas deben especificarse con el código de dos caracteres que indica la norma ISO 639. custom_rules_list Le permite definir listas de reglas personalizadas y almacenar cada lista en un archivo individual. Cada regla se sitúa en una línea independiente del archivo con el formato siguiente: Phrase, Type, Confidence, CaseSensitivity Phrase: cualquier texto, no debe contener comas (,). Type: puede contener los valores siguientes: SPAM, PHISH, BOUNCE, ADULT, FRAUD. Si introduce un valor diferente a los especificados, se utilizará el valor SPAM de forma automática. El valor SPAM define frases que aparecen en los mensajes no deseados habituales (ofertas de productos y servicios). El valor PHISH define frases que aparecen en mensajes fraudulentos (phishing), que tienen como objetivo la sustracción de información confidencial (nombres, contraseñas, números de tarjeta de crédito, etc.) de los usuarios. El valor BOUNCE define frases utilizadas en respuestas automáticas del servidor, como la notificación de no entrega (utilizada cuando se falsifica la dirección del remitente). El valor ADULT define frases típicas de los mensajes que ofrecen contenido pornográfico. El valor FRAUD define frases utilizadas en los mensajes de correo electrónico fraudulentos (scam) que ofrecen operaciones bancarias sospechosas (transferencias de dinero desde su cuenta, etc.). Un ejemplo típico de este tipo de spam es el conocido como "spam nigeriano". Confidence: valor de 0 a 100 que define la probabilidad de que una frase pertenezca a una categoría de spam específica (ver más arriba). Si el tipo PHISH tiene un nivel de confianza (Confidence) 90, hay muchas posibilidades de que la frase se utilice en mensajes de phishing. Cuando mayor sea el nivel de confianza, mayor será su impacto en el nivel general de spam del mensaje. El valor de confianza de 100 es un caso especial, en el que el nivel de spam del mensaje también será 100 y, por lo tanto, este se marcará como 100 % spam. Análogamente, si el valor es 0, el mensaje se marcará como correo deseado. CaseSensitivity: los valores posibles son 0 y 1; 0 significa que la frase no distingue mayúsculas y minúsculas, y 1, que sí las distingue. Ejemplos: réplica, SPAM, 100, 0 Estimado miembro de eBay, PHISH, 90, 1 45

devolver al remitente, BOUNCE, 80, 0 En los archivos approvedsenders y blockedsenders —disponibles en C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\MailServer en Windows Server 2000 y 2003, y en C:\ProgramData\ESET\ESET Mail Security\MailServer en Windows Server 2008—, se ofrecen más opciones para la creación de listas negras y listas blancas. Puede añadir dominios o direcciones de remitentes a estas listas. El archivo approvedsenders contiene la lista de direcciones y dominios permitidos y el archivo blockedsenders, la lista de dominios y direcciones bloqueadas. Alerta: Las direcciones de remitentes se falsifican (modifican de modo que parezcan originales) muy a menudo, por lo que no recomendamos el uso de los archivos approvedsenders y blockedsenders a modo de lista blanca y lista negra. Para este fin, es mucho más fiable y seguro utilizar direcciones IP permitidas y bloqueadas. Si necesita incluir en la lista blanca la dirección o el dominio del remitente (archivo approvedsenders), utilice siempre un método adicional de validación de mensajes (por ejemplo, SPF). Otros parámetros: enable_spf

Esta opción activa o desactiva la validación del marco de directivas de remitente. Este método de validación comprueba las reglas públicas de un dominio; es una directiva de dominios que determina si un remitente está autorizado para enviar mensajes desde dicho dominio. enable_all_spf Esta opción determina si los dominios que no se encuentran en el archivo Mailshell o en spf_list pueden burlar la validación SPF. Para que esta opción funcione correctamente, el parámetro enable_realtime_spf debe estar definido en yes (sí). enable_realtime_spf Si esta opción está activada, la solicitudes DNS se enviarán en tiempo real durante la validación SPF. Esto puede afectar negativamente al rendimiento (retrasos durante la evaluación de mensajes). spf_list Esta opción le permite asignar un valor de importancia a una entrada SPF específica; esta acción afecta al nivel general de spam de un mensaje. spf_*_weight El asterisco representa los 14 resultados posibles de la validación SPF (consulte el archivo spamcatcher.conf para obtener más información). El valor especificado para este parámetro es una compensación que luego se aplica al nivel de spam de acuerdo con los tipos de resultado individuales. Si el resultado de la validación SPF es "fail" (fallo), se aplicará la compensación del parámetro spf_fail_weight. El nivel de spam subirá o bajará en función del valor de la compensación. spf_recursion_depth Profundidad de anidamiento máxima (utilizando el mecanismo "incluir"). La norma RFC 4408 define este límite en 10 (para prevenir la denegación de servicio), pero actualmente hay algunos registros SPF que no lo respetan, pues es necesario aplicar más niveles de anidamiento para cumplir totalmente la solicitud SPF. enable_livefeed_sen Si esta opción está desactivada, se ignora la información de SPF de LiveFeed. der_repute

46

3.3.3 Alertas y notificaciones Los correos electrónicos que ESET Mail Security analice y marque como correo no deseado se pueden identificar con una etiqueta en el asunto del mensaje. De forma predeterminada, la etiqueta es [SPAM], aunque se puede utilizar una cadena definida por el usuario.

NOTA: cuando añada una plantilla al asunto del mensaje, también puede utilizar variables del sistema.

3.4 Preguntas frecuentes P: Después de instalar EMSX con antispam, hemos dejado de recibir mensajes de correo electrónico en nuestros buzones. R: Si hay una lista gris activada, ese es el comportamiento esperado. En las primeras horas tras la puesta en marcha del programa, los correos electrónicos llegan con varias horas de retraso. Si el problema persiste, le recomendamos que desactive (o vuelva a configurar) la lista gris. P: Cuando VSAPI analiza archivos adjuntos, ¿también analiza el cuerpo de los mensajes? R: En Microsoft Exchange Server 2000 SP2 y versiones posteriores, VSAPI analiza también el cuerpo de los mensajes. P: ¿Por qué el análisis de mensajes no se detiene al desactivar la opción de VSAPI? R: Los cambios realizados en la configuración de VSAPI se ejecutan de forma asíncrona; es decir, que Microsoft Exchange Server debe invocar la configuración modificada de VSAPI para que esta surta efecto. Este proceso cíclico se ejecuta en intervalos de un minuto, aproximadamente. Esto se aplica también a todos los demás ajustes de VSAPI. P: ¿VSAPI puede eliminar en su totalidad un mensaje que contiene un archivo adjunto infectado? R: Sí, VSAPI puede eliminar todo el mensaje. Sin embargo, para que esto suceda, debe seleccionar la opción Eliminar todo el mensaje en la sección Acciones de la configuración de VSAPI. Esta opción está disponible en Microsoft Exchange Server 2003 y versiones posteriores. Las versiones anteriores de Microsoft Exchange Server no permiten eliminar mensajes enteros. P: ¿VSAPI también busca virus en el correo electrónico saliente? R: Sí, VSAPI analiza el correo electrónico saliente, a menos que haya configurado un servidor SMTP en el cliente de correo que no sea Microsoft Exchange Server. Esta característica se aplica en Microsoft Exchange Server 2000 Service Pack 3 y versiones posteriores. 47

P: ¿Es posible añadir una notificación a cada mensaje analizado con VSAPI, al igual que con el agente de transporte? R: En Microsoft Exchange Server, no se permite la adición de texto a los mensajes mediante VSAPI. P: A veces no puedo abrir un correo electrónico determinado en Microsoft Outlook. ¿A qué se debe? R: La opción Acción a emprender si la desinfección no es posible de la configuración de VSAPI en la sección Acciones probablemente esté definida en Bloquear o ha creado una regla que incluye la acción Bloquear. Cualquiera de estas configuraciones marcará y bloqueará tanto los mensajes infectados como los mensajes sujetos a la regla mencionada. P: ¿A qué se refiere el elemento Tiempo límite de respuesta de la sección Rendimiento? R: Si tiene Microsoft Exchange Server 2000 SP2 o una versión posterior, el valor Tiempo límite de respuesta especifica el tiempo máximo, en segundos, necesario para terminar el análisis de VSAPI de un subproceso. Si el análisis no finaliza en este límite de tiempo, Microsoft Exchange Server denegará al cliente el acceso al correo electrónico. El análisis no se interrumpirá y, cuando finalice, el acceso al archivo se permitirá siempre. Si tiene Microsoft Exchange Server 5.5 SP3 o SP4, el valor se expresa en milisegundos e indica el período de tiempo tras el que cliente intentará acceder de nuevo al archivo que antes no estaba disponible a causa del análisis. P: ¿Qué longitud máxima puede tener la lista de tipos de archivo de una regla? R: La lista de extensiones de archivo en una sola regla puede contener 255 caracteres como máximo. P: He activado la opción Análisis en segundo plano de VSAPI. Hasta ahora, los mensajes de Microsoft Exchange Server se analizaban siempre después de cada actualización de la base de firmas de virus, pero esto no sucedió después de la última actualización. ¿Cuál es el problema? R: La decisión de analizar todos los mensajes inmediatamente o cuando el usuario intente acceder a un mensaje depende de varios factores, como la carga del servidor, el tiempo de CPU necesario para analizar todos los mensajes a la vez y el número total de mensajes. Microsoft Exchange Server analiza todos los mensajes antes de que lleguen a la bandeja de entrada del cliente. P: ¿Por qué el contador de la regla aumentó en más de 1 al recibir un solo mensaje? R:Las reglas se cotejan con un mensaje cuando el agente de transporte (AT) o VSAPI lo procesan. Si están activados el agente de transporte y VSAPI, y el mensaje cumple las condiciones de la regla, el contador de la regla aumentará en 2 o más. VSAPI accede a cada parte del mensaje de forma individual (cuerpo, archivo adjunto, etc.), de modo que las reglas se aplican a cada una de las partes individuales. Además, las reglas se pueden aplicar durante el análisis en segundo plano (p. ej., el análisis repetido del almacén de buzones de correo tras la actualización de la base de firmas de virus), lo cual podría aumentar el contador de la regla. P: ¿ESET Mail Security 4 for Microsoft Exchange Server es compatible con el filtro inteligente de mensajes? R: Sí, ESET Mail Security 4 for Microsoft Exchange Server (EMSX) es compatible con el filtro inteligente de mensajes (IMF). El procesamiento de mensajes de correo electrónico cuando un mensaje se clasifica como spam es el siguiente: - Si el módulo antispam de ESET Mail Security tiene activada la opción Eliminar mensaje (o Poner mensaje en cuarentena), la acción se ejecutará independientemente de la acción definida en el IMF de Microsoft Exchange. - Si el módulo antispam de ESET Mail Security tiene activada la opción Sin acciones, se utilizará la configuración del IMF de Microsoft Exchange y se ejecutará la acción pertinente (por ejemplo, Eliminar, Rechazar o Archivar). La opción Anotar el nivel de confianza contra correo no deseado (SCL) en los mensaje analizados en función del nivel de spam (en Protección del servidor > Microsoft Exchange Server > Agente de transporte ) debe estar activada para que esta característica funcione correctamente. P: ¿Cómo se configura ESET Mail Security para que mueva el correo no solicitado a la carpeta de spam definida por el usuario de Microsoft Outlook? R: En la configuración predeterminada de ESET Mail Security, Microsoft Outlook almacena el correo no deseado en la carpeta Correo electrónico no deseado. Para activar esta funcionalidad, seleccione la opción Anotar nivel de spam en el encabezado del mensaje analizado (en F5 > Protección del servidor > Protección Antispam > Microsoft Exchange Server > Agente de transporte). Si desea que el correo electrónico no deseado se almacene en una carpeta diferente, lea las instrucciones siguientes: 1) En ESET Mail Security: - Desactive la opción Anotar nivel de spam en el encabezado del mensaje analizado. - Active la acción Sin acciones para los mensajes marcados como spam. - Defina una etiqueta de texto para añadirla a los mensajes no deseados, por ejemplo, "[SPAM]" (en Protección del servidor > Protección Antispam > Alertas y notificaciones). 48

2) En Microsoft Outlook: - Configure una regla para garantizar que los mensajes que tienen un texto específico en el asunto ("[SPAM]") se muevan a la carpeta definida. P: En los datos estadísticos de la protección antispam, hay muchos mensajes en la categoría No analizado. ¿Qué correo electrónico no analiza la protección antispam? R: La categoría No analizado incluye: General: Todos los mensajes que se analizaron cuando la protección antispam estaba desactivada en cualquiera de las capas (servidor de correo, agente de transporte). Microsoft Exchange Server 2003: Todos los mensajes procedentes de una dirección IP disponible en el IMF de la Lista de aceptación global. Mensajes de remitentes autenticados. Microsoft Exchange Server 2007: Todos los mensajes enviados en la organización (la protección antivirus los analizará todos). Mensajes de remitentes autenticados. Mensajes de usuarios configurados para burlar el filtro antispam. Todos los mensajes enviados al buzón de correo, que tiene activa la opción No aplicar antispam. Todos los mensajes de remitentes de la lista Remitentes seguros. NOTA: Las direcciones definidas en la lista blanca y la configuración del motor antispam no entran en la categoría No analizado, ya que este grupo incluye únicamente los mensajes que no se procesaron con el módulo antispam. P: Los usuarios descargan los mensajes en sus clientes de correo electrónico mediante el protocolo POP3 (ignorando Microsoft Exchange Server), pero los buzones de correo se almacenan en Microsoft Exchange Server. ¿El análisis antivirus y antispam de ESET Mail Security incluirá estos mensajes de correo electrónico? R: En este tipo de configuración, ESET Mail Security solo analiza los mensajes de correo electrónico almacenados en Microsoft Exchange Server para detectar la presencia de virus (mediante VSAPI). No se realizará el análisis antispam, ya que este requiere un servidor SMTP. P: ¿Puedo definir el nivel de spam que debe tener el mensaje para que se clasifique como SPAM? R: Sí, este límite se puede definir en ESET Mail Security 4.3 y versiones posteriores (consulte el capítulo Configuración de parámetros del motor antispam 41 ). P: ¿El módulo Protección Antispam de ESET Mail Security también analiza los mensajes que se descargan mediante el conector POP3? R: En los mensajes descargados con el conector POP3 solo se comprueba la presencia de correo no deseado en SBS 2008.

49

4. ESET Mail Security - protección del servidor Además de ofrecer la protección de Microsoft Exchange Server, ESET Mail Security tiene todas las herramientas necesarias para garantizar la protección del servidor (protección residente, protección del tráfico de Internet, protección del cliente de correo electrónico y protección antispam).

4.1 Protección antivirus y antispyware La protección antivirus protege contra ataques maliciosos al sistema mediante el control de las comunicaciones por Internet, el correo electrónico y los archivos. Si se detecta una amenaza con código malicioso, el módulo antivirus puede bloquearlo para después desinfectarlo, eliminarlo o ponerlo en cuarentena. 4.1.1 Protección del sistema de archivos en tiempo real La protección del sistema de archivos en tiempo real controla todos los sucesos relacionados con el antivirus en el sistema. Todos los archivos se analizan en busca de código malicioso en el momento en que se abren, crean o ejecutan en el ordenador. La protección del sistema de archivos en tiempo real se inicia al arrancar el sistema. 4.1.1.1 Configuración del control La protección del sistema de archivos en tiempo real comprueba todos los tipos de medios, y son varios los sucesos que activan el control. Si se utilizan métodos de detección con la tecnología ThreatSense (tal como se describe en la sección Configuración de parámetros del motor ThreatSense 64 ), la protección del sistema de archivos en tiempo real puede ser diferentes para los archivos recién creados y los archivos ya existentes. Para los archivos nuevos, se puede aplicar un nivel de control más exhaustivo. Con el fin de que la huella del sistema sea mínima cuando se utiliza la protección en tiempo real, los archivos que ya se analizaron no se vuelven a analizar (a no ser que se hayan modificado). Los archivos se vuelven a analizar inmediatamente después de cada actualización de la base de firmas de virus. Este comportamiento se configura con la optimización inteligente. Si está desactivada, todos los archivos se analizarán cada vez que se acceda a ellos. Para modificar esta opción, abra la ventana Configuración avanzada y haga clic en Antivirus y antispyware > Protección del sistema de archivos en tiempo real en el árbol de configuración avanzada. A continuación, haga clic en el botón Configuración situado junto a Configuración de parámetros del motor ThreatSense, haga clic en Otros y marque o desmarque la opción Activar optimización inteligente. La protección en tiempo real comienza de forma predeterminada cuando se inicia el sistema y proporciona un análisis ininterrumpido. En casos especiales (por ejemplo, si hay un conflicto con otro análisis en tiempo real), puede interrumpir la protección en tiempo real anulando la selección de la opción Activar la protección del sistema de archivos en tiempo real automáticamente.

50

4.1.1.1.1 Objetos a analizar De forma predeterminada, se buscan posibles amenazas en todos los tipos de objetos. Discos locales: controla todas las unidades de disco duro del sistema. Medios extraíbles: disquetes, dispositivos de almacenamiento USB, etc. Unidades de red: analiza todas las unidades asignadas. Recomendamos que esta configuración predeterminada se modifique solo en casos específicos, por ejemplo, cuando el control de ciertos objetos ralentiza significativamente las transferencias de datos. 4.1.1.1.2 Analizar (análisis cuando se cumpla la condición) De forma predeterminada, todos los archivos se analizan cuando se abren, crean o ejecutan. Le recomendamos que mantenga la configuración predeterminada, ya que ofrece el máximo nivel de protección en tiempo real para su ordenador. La opción Al acceder al disquete controla el sector de inicio del disquete cuando se accede a esta unidad. La opción Al apagar el ordenador ofrece control de los sectores de inicio del disco duro durante el apagado del ordenador. Aunque los virus de arranque son escasos hoy en día, le recomendamos que deje estas opciones activadas, ya que aún existe la posibilidad de infección por virus de arranque de fuentes alternativas. 4.1.1.1.3 Opciones avanzadas de análisis Encontrará más opciones de configuración en Protección del ordenador > Antivirus y antispyware > Protección del sistema de archivos en tiempo real > Configuración avanzada. Parámetros adicionales de ThreatSense para archivos nuevos o modificados: la probabilidad de infección en los archivos recién creados o modificados es mayor que en los archivos existentes. por eso el programa comprueba estos archivos con parámetros de análisis adicionales. Junto con los métodos de análisis basados en firmas habituales, se utiliza la heurística avanzada, que mejora en gran medida los índices de detección. Además de los archivos nuevos, el análisis se realiza también en archivos de autoextracción (.sfx) y empaquetadores en tiempo real (archivos ejecutables comprimidos internamente). Los archivos se analizan, de forma predeterminada, hasta el 10º nivel de anidamiento; además, se analizan independientemente de su tamaño real. Para modificar la configuración de análisis de archivos comprimidos, anule la selección de la opción Configuración por defecto para archivos comprimidos. Parámetros adicionales de ThreatSense.Net para archivos ejecutados: de forma predeterminada, la heurística avanzada no se utiliza cuando se ejecutan archivos. Sin embargo, en algunos casos, es aconsejable activar esta opción (seleccionando Heurística avanzada al ejecutar un archivo). Tenga en cuenta que esta herramienta puede ralentizar la ejecución de algunos programas debido a los mayores requisitos del sistema. 4.1.1.2 Niveles de desinfección La protección en tiempo real tiene tres niveles de desinfección. Para seleccionar un nivel de desinfección, haga clic en el botón Configuración de la sección Protección del sistema de archivos en tiempo real y haga clic en Desinfección. El primer nivel, Sin desinfectar, muestra una ventana de alerta con opciones disponibles para cada amenaza encontrada. El usuario debe elegir una acción para cada una de las amenazas. Este nivel es adecuado para usuarios avanzados que conocen los pasos necesarios en caso de amenaza. El nivel predeterminado elige y realiza una acción predefinida automáticamente (dependiendo del tipo de amenaza). La eliminación y la detección de un archivo infectado se marca mediante un mensaje localizado en la esquina inferior derecha de la pantalla. Las acciones automáticas no se realizan cuando la amenaza se encuentra en un archivo comprimido (que también contiene archivos en buen estado) o cuando los objetos infectados no tienen una acción predefinida. El tercer nivel, Desinfección exhaustiva, es el más "agresivo", ya que se desinfectan todos los objetos infectados. Como este nivel puede provocar la pérdida de archivos válidos, recomendamos que se utilice solo en situaciones específicas.

51

4.1.1.3 Modificación de la configuración de protección en tiempo real La protección en tiempo real es el componente más importante para garantizar la seguridad de un sistema, por lo que debe tener cuidado cuando modifique los parámetros correspondientes. Es aconsejable que los modifique únicamente en casos concretos. Por ejemplo, si se produce un conflicto con una aplicación determinada o durante el análisis en tiempo real de otro programa antivirus. Una vez que haya instalado ESET Mail Security, se optimizará toda la configuración para proporcionar a los usuarios el nivel máximo de seguridad del sistema. Para restaurar la configuración predeterminada, haga clic en el botón Predeterminado disponible en la esquina inferior izquierda de la ventana Protección del sistema de archivos en tiempo real (Configuración avanzada > Antivirus y antispyware > Protección del sistema de archivos en tiempo real). 4.1.1.4 Análisis de protección en tiempo real Para verificar que la protección en tiempo real funciona y detecta virus, utilice el archivo de prueba de eicar.com, un archivo inofensivo especial que todos los programas antivirus pueden detectar. El archivo fue creado por la compañía EICAR (European Institute for Computer Antivirus Research, Instituto europeo para la investigación de antivirus de ordenador) para probar la funcionalidad de los programas antivirus. El archivo eicar.com se puede descargar en http://www.eicar.org/download/eicar.com NOTA: antes de realizar un análisis de protección en tiempo real, es necesario desactivar el cortafuegos. Si está activado, detectará el archivo y no dejará que los archivos de prueba se descarguen. 4.1.1.5 ¿Qué debo hacer si la protección en tiempo real no funciona? En el próximo capítulo, describimos las situaciones en las que puede surgir un problema cuando se utiliza la protección en tiempo real y cómo resolverlas. Protección en tiempo real desactivada Si un usuario desactivó la protección en tiempo real sin darse cuenta, será necesario volver a activarla. Para ello, vaya a Configuración > Antivirus y antispyware y haga clic en la sección Activar la protección del sistema de archivos en tiempo real de la ventana principal del programa. Si no se activa al iniciar el sistema, probablemente se deba a que la opción Iniciar la protección automática del sistema de archivos en tiempo real se encuentra desactivada. Para activar esta opción, vaya a Configuración avanzada (F5) y haga clic en Protección del sistema de archivos en tiempo real en el árbol de configuración avanzada. En la sección Configuración avanzada situada en la parte inferior de la ventana, asegúrese de que la casilla de verificación Activar la protección del sistema de archivos en tiempo real automáticamente está seleccionada.

52

Si la protección en tiempo real no detecta ni desinfecta amenazas Asegúrese de que no tiene instalados otros programas antivirus en el ordenador. Si están activadas dos protecciones en tiempo real al mismo tiempo, estas pueden entrar en conflicto. Recomendamos que desinstale del sistema uno de los programas antivirus. La protección en tiempo real no se inicia Si la protección en tiempo real no se activa al iniciar el sistema (y la opción Activar la protección del sistema de archivos en tiempo real automáticamente está activada), es posible que se deba a conflictos con otros programas. Si este es el caso, consulte a los especialistas del servicio de atención al cliente de ESET. 4.1.2 Protección del cliente de correo electrónico La protección de correo electrónico proporciona control de las comunicaciones por correo electrónico recibidas a través del protocolo POP3. Con el programa de complemento para Microsoft Outlook, ESET Mail Security ofrece control de todas las comunicaciones desde el cliente de correo electrónico (POP3, MAPI, IMAP, HTTP). Al examinar los mensajes entrantes, el programa utiliza todos los métodos de análisis avanzados que proporciona el motor de análisis ThreatSense . Esto significa que la detección de programas maliciosos tiene lugar incluso antes de que se compare con la base de firmas de virus. El análisis de las comunicaciones del protocolo POP3 es independiente del cliente de correo electrónico utilizado. 4.1.2.1 Comprobación del protocolo POP3 El protocolo POP3 es el más utilizado para recibir comunicaciones por correo electrónico en una aplicación de cliente de correo. ESET Mail Security proporciona protección para este protocolo, independientemente del cliente de correo electrónico que se utilice. El módulo de protección que proporciona este control se inicia automáticamente al arrancar el sistema y, después, está activo en la memoria. Para que el módulo funcione correctamente, asegúrese de que está activado; la comprobación del protocolo POP3 se realiza automáticamente sin necesidad de reconfigurar el cliente de correo electrónico. De forma predeterminada, se analizan todas las comunicaciones en el puerto 110, pero se pueden agregar otros puertos de comunicación si es necesario. Los números de puerto deben delimitarse con una coma. Las comunicaciones cifradas no se controlan. Para poder utilizar el filtrado del protocolo POP3/POP3S, debe activar Filtrado de protocolos. Si las opciones de POP3/POP3S están desactivadas, vaya a Protección del ordenador > Antivirus y antispyware > Filtrado de protocolos en el árbol de configuración avanzada y seleccione Activar el control sobre el contenido del protocolo de la aplicación. Consulte la sección Filtrado de protocolos para obtener más información sobre el filtrado y la configuración.

53

4.1.2.1.1 Compatibilidad Determinados programas de correo electrónico pueden experimentar problemas con el filtrado del protocolo POP3 (por ejemplo, si recibe mensajes con una conexión de Internet lenta, pueden producirse tiempos de espera debido al análisis). Si este es el caso, intente modificar la forma en que se realiza el control. La velocidad del proceso de desinfección se puede aumentar disminuyendo el nivel de control. Para ajustar el nivel de control del filtrado del protocolo POP3, en el árbol de configuración avanzada, vaya a Antivirus y antispyware > Protección del correo electrónico > POP3, POP3s > Compatibilidad. Si está activada la opción Máxima eficiencia, las amenazas se eliminan de los mensajes infectados y la información correspondiente se indica antes del asunto del correo electrónico original (las opciones Eliminar o Desinfectar deben estar activadas, así como el nivel de desinfección Exhaustiva o Predeterminada). Compatibilidad media modifica la forma en que se reciben los mensajes. Los mensajes se envían al cliente de correo electrónico de forma gradual. Una vez que se ha transferido el mensaje, este se analizará en busca de amenazas. El riesgo de infección aumenta con este nivel de control. El nivel de desinfección y el tratamiento de los mensajes con etiquetas (alertas de notificación agregadas a la línea del asunto y al cuerpo de los correos electrónicos) son idénticos a la configuración de máximo rendimiento. Con el nivel Máxima compatibilidad, una ventana de alerta le informa de la recepción de un mensaje infectado. No se agregará ninguna información sobre los archivos infectados a la línea del asunto o al cuerpo del correo electrónico de mensajes enviados y las amenazas no se eliminarán automáticamente. Debe eliminar las amenazas del cliente de correo electrónico.

54

4.1.2.2 Integración con clientes de correo electrónico La integración de ESET Mail Security con clientes de correo electrónico aumenta el nivel de protección activa frente a código malicioso en los mensajes de correo electrónico. Si su cliente de correo electrónico es compatible, esta integración se puede activar en ESET Mail Security. Al activar la integración, la barra de herramientas contra correo no deseado de ESET Mail Security se inserta directamente en el cliente de correo electrónico, aumentando así la eficacia de la protección de correo electrónico. La configuración de integración está disponible en Configuración > Muestra las opciones avanzadas de configuración > Varios > Integración con el cliente de correo electrónico. La integración con el cliente de correo electrónico le permite activar la integración en los clientes de correo electrónico admitidos. Actualmente, se admiten los siguientes clientes de correo electrónico: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail y Mozilla Thunderbird. Seleccione la opción Desactivar el análisis de cambios de contenido de la bandeja de entrada si experimenta una ralentización del sistema cuando trabaja con su cliente de correo electrónico. Esta situación puede darse cuando descarga correo electrónico de Kerio Outlook Connector Store. La protección de correo electrónico se activa haciendo clic en Configuración > Muestra las opciones avanzadas de configuración > Antivirus y antispyware > Protección del cliente de correo electrónico y seleccionando la opción Activar protección antivirus y antiespía del cliente de correo electrónico.

55

4.1.2.2.1 Agregar mensajes con etiquetas al cuerpo del mensaje Los mensajes de correo electrónico analizados por ESET Mail Security se pueden marcar con una etiqueta en el asunto o el cuerpo del mensaje. Esta característica aumenta la credibilidad ante el destinatario y, si se detecta una amenaza, proporciona información valiosa sobre el nivel de amenaza de un correo electrónico o remitente determinado. Las opciones de esta función están disponibles en Configuración avanzada > Antivirus y antispyware > Protección del cliente de correo electrónico. Puede seleccionar las opciones Notificar en los mensajes recibidos y leídos y Notificar en los mensajes enviados. También puede decidir si los mensajes con etiqueta se adjuntan a todo el correo analizado, solo al correcto infectado o nunca. ESET Mail Security le permite agregar mensajes al asunto original de los mensajes infectados. Para activar la adición de mensajes al asunto, seleccione las opciones Agregar una advertencia en el asunto de los mensajes infectados recibidos y leídos y Agregar una advertencia en el asunto de los mensajes infectados enviados. El contenido de las notificaciones se puede modificar en el campo En mensajes infectados, agregar en el Asunto la siguiente etiqueta. Las modificaciones antes mencionadas le ayudan a automatizar el proceso de filtrado de correo infectado, ya que permiten filtrar los mensajes que tienen un asunto específico (si el cliente de correo electrónico lo permite) a una carpeta independiente. 4.1.2.3 Eliminar amenazas Si se recibe un mensaje de correo electrónico infectado, aparecerá una ventana de alerta donde se muestra el nombre del remitente, el correo electrónico y el nombre de la amenaza. En la parte inferior de la ventana, las opciones Desinfectar, Eliminar o Sin acciones (informar) están disponibles para el objeto detectado. En casi todos los casos, recomendamos la selección de Desinfectar o Eliminar. En situaciones especiales, cuando desee recibir el archivo infectado, seleccione Sin acciones (informar). Si la opción Desinfección exhaustiva está activada, aparecerá una ventana de información sin opciones disponibles para objetos infectados.

56

4.1.3 Protección del tráfico de Internet La conectividad de Internet es una característica estándar de cualquier ordenador personal. Lamentablemente, también se ha convertido en el principal medio de transferencia de código malicioso; por eso es fundamental prestar la debida atención a la protección del tráfico de Internet. Le recomendamos encarecidamente que seleccione la opción Activar protección antivirus y antiespía del tráfico de Internet. Esta opción está disponible en Configuración avanzada (F5) > Antivirus y antispyware > Protección del tráfico de Internet.

4.1.3.1 HTTP, HTTPs La protección del tráfico de Internet funciona mediante la supervisión de la comunicación entre navegadores de Internet y servidores remotos, y cumple con las reglas HTTP (protocolo de transferencia de hipertexto) y HTTPs (comunicación cifrada). ESET Mail Security está configurado de forma predeterminada para utilizar los estándares de la mayoría de los navegadores de Internet. No obstante, las opciones de configuración del análisis HTTP se pueden modificar en Configuración avanzada (F5) > Antivirus y antispyware > Protección del tráfico de Internet > HTTP, HTTPS. En la ventana principal de filtro HTTP, puede seleccionar o anular la selección de la opción Activar la comprobación del protocolo HTTP. También puede definir los números de puerto utilizados para la comunicación HTTP. De forma predeterminada, los números de puerto 80, 8080 y 3128 ya están definidos. La comprobación del protocolo HTTPS se puede realizar en los siguientes modos: No utilizar la comprobación del protocolo HTTPS: no se analizará la comunicación cifrada. Utilizar la comprobación del protocolo HTTPS para los puertos seleccionados: la comprobación del protocolo HTTPs se aplicará únicamente a los puertos definidos en Puertos utilizados por el protocolo HTTPS.

57

4.1.3.1.1 Gestión de direcciones En esta sección puede especificar las direcciones HTTP que desea bloquear, permitir o excluir del análisis. Los botones Agregar, Modificar, Quitar y Exportar se utilizan para gestionar las listas de direcciones. No se podrá acceder a los sitios Web de la lista de direcciones bloqueadas. Se puede acceder a los sitios web de la lista de direcciones excluidas sin analizarlos en busca de código malicioso. Si selecciona la opción Permitir el acceso sólo a las direcciones HTTP de la lista de direcciones permitidas, solo se podrá acceder a las direcciones presentes en la lista de direcciones permitidas, y todas las demás direcciones HTTP se bloquearán. En todas las listas, pueden utilizarse los símbolos especiales * (asterisco) y ? (signo de interrogación). El asterisco sustituye a cualquier cadena de caracteres y el signo de interrogación, a cualquier símbolo. Tenga especial cuidado al especificar direcciones excluidas, ya que la lista solo debe contener direcciones seguras y de confianza. Del mismo modo, es necesario asegurarse de que los símbolos * y ? se utilizan correctamente en esta lista. Para activar una lista, seleccione la opción Lista activa. Si desea que le notifiquen cuando se introduzca una dirección de la lista actual, seleccione la opción Notificar cuando se empleen direcciones de la lista.

58

4.1.3.1.2 Modo activo ESET Mail Security incluye también la característica de navegadores de Internet, que le permite definir si la aplicación específica es un navegador o no. Si una aplicación se marca como navegador, toda la comunicación desde esta aplicación se supervisa independientemente de los números de puerto implicados. La característica de navegadores de Internet complementa la característica de comprobación del protocolo HTTP, ya que ésta solo se produce en puertos predefinidos. Sin embargo, muchos servicios de Internet utilizan números de puerto desconocidos o cambiantes. Para ello, la característica de navegador de Internet puede establecer el control de las comunicaciones de puerto independientemente de los parámetros de conexión.

La lista de aplicaciones marcadas como navegadores de Internet está disponible directamente en el submenú Navegadores de Internet de la sección HTTP, HTTPs. En esta sección, también se incluye el submenú Modo activo, que define el modo de análisis de los navegadores de Internet. El Modo activo resulta útil porque examina los datos transferidos en su conjunto. Si no está activado, la comunicación de las aplicaciones se supervisa gradualmente en lotes. Esto reduce la eficacia del proceso de verificación de datos, pero también ofrece mayor compatibilidad para aplicaciones enumeradas. Si no se produce 59

ningún problema durante su uso, es recomendable activar el modo de análisis activo mediante la casilla de verificación situada junto a la aplicación deseada.

4.1.4 Análisis del ordenador a petición Si sospecha que su ordenador está infectado (se comporta de manera anormal), ejecute un análisis del ordenador a petición para comprobar la existencia de amenazas. Desde el punto de vista de la seguridad, es esencial que los análisis del ordenador no se ejecuten únicamente cuando se sospecha que existe una infección, sino que se realicen periódicamente como parte de las medidas de seguridad rutinarias. Los análisis periódicos ayudan a detectar amenazas que no se detectaron durante el análisis en tiempo real, cuando se guardaron en el disco. Esto puede ocurrir si se ha desactivado el análisis en tiempo real en el momento de la infección o si la base de firmas de virus no estaba actualizada. Le recomendamos que ejecute un análisis del ordenador a petición una o dos veces al mes como mínimo. El análisis se puede configurar como una tarea programada en Herramientas > Planificador de tareas.

60

4.1.4.1 Tipo de análisis Están disponibles dos tipos de análisis del ordenador a petición. El análisis estándar analiza el sistema rápidamente, sin necesidad de realizar una configuración adicional de los parámetros de análisis. El análisis personalizado le permite seleccionar perfiles de análisis predefinidos y elegir objetos de análisis específicos.

4.1.4.1.1 Análisis estándar El análisis estándar le permite iniciar rápidamente un análisis del ordenador y desinfectar los archivos infectados sin la intervención del usuario. Su principal ventaja es un funcionamiento sencillo, sin configuraciones de análisis detalladas. El análisis estándar comprueba todos los archivos de los discos locales y desinfecta o elimina automáticamente las amenazas detectadas. El nivel de desinfección se establece automáticamente en el valor predeterminado. Para obtener más información detallada sobre los tipos de desinfección, consulte la sección Desinfección 66 . 4.1.4.1.2 Análisis personalizado El análisis personalizado es una solución óptima para especificar parámetros de análisis como, por ejemplo, objetos y métodos de análisis. La ventaja del análisis personalizado es su capacidad para configurar los parámetros detalladamente. Las diferentes configuraciones se pueden guardar en perfiles de análisis definidos por el usuario, que pueden resultar útiles si el análisis se realiza varias veces con los mismos parámetros. Para seleccionar objetos de análisis, seleccione Análisis del ordenador > Análisis personalizado y elija una opción en el menú desplegable Objetos de análisis, o seleccione objetos específicos en la estructura de árbol. Los objetos de análisis también se pueden especificar con más precisión introduciendo la ruta a la carpeta o los archivos que se desean incluir en el análisis. Si únicamente quiere analizar el sistema, sin realizar acciones de desinfección adicionales, seleccione la opción Analizar sin desinfectar. Además, puede seleccionar uno de los tres niveles de desinfección haciendo clic en Configuración. > Desinfección.

61

4.1.4.2 Objetos de análisis En el menú desplegable Objetos de análisis, puede seleccionar los archivos, carpetas y dispositivos (discos) que se analizarán en busca de virus. Parámetros según perfil : selecciona los objetos definidos en el perfil de análisis seleccionado. Unidades extraíbles : selecciona los disquetes, dispositivos de almacenamiento USB, CD y DVD. Discos locales : selecciona todas las unidades de disco duro del sistema. Unidades de red : selecciona todas las unidades asignadas. Sin selección: cancela todas las selecciones. Los objetos de análisis se pueden especificar con más precisión introduciendo la ruta de la carpeta o los archivos que se desean incluir en el análisis. Seleccione los objetos en la estructura de árbol que incluye todos los dispositivos disponibles en el ordenador.

4.1.4.3 Perfiles de análisis Puede guardar sus parámetros de análisis preferidos para próximas sesiones de análisis. Le recomendamos que cree un perfil diferente (con varios objetos de análisis, métodos de análisis y otros parámetros) para cada uno de los análisis que realice con frecuencia. Para crear un perfil nuevo, abra la ventana Configuración avanzada (F5) y haga clic en Análisis del ordenador a petición > Perfiles. En la ventana Administración de perfiles encontrará un menú desplegable con los perfiles de análisis existentes y la opción para crear uno nuevo. Si necesita ayuda para crear un perfil de análisis que se adecue a sus necesidades, consulte la sección Configuración de parámetros del motor ThreatSense 64 para ver una descripción de cada uno de los parámetros de la configuración del análisis. EJEMPLO: supongamos que desea crear su propio perfil de análisis y parte de la configuración del análisis estándar es adecuada; sin embargo, no desea analizar los empaquetadores en tiempo real ni las aplicaciones potencialmente peligrosas y, además, quiere aplicar Desinfección exhaustiva. En la ventana Administración de perfiles, haga clic en el botón Agregar. Escriba el nombre del nuevo perfil en el campo Nombre del perfil y seleccione Análisis estándar en el menú desplegable Copiar parámetros desde el perfil . A continuación, ajuste los demás parámetros de acuerdo con sus requisitos.

62

4.1.5 Rendimiento En esta sección, puede definir el número de motores de análisis ThreatSense que se deberían utilizar para el análisis de virus. Un mayor número de motores de análisis ThreatSense en equipos con varios procesadores puede aumentar la velocidad de análisis. Son aceptables los valores entre 1 y 20. NOTA: los cambios realizados aquí no se aplicarán hasta que se reinicie el sistema. 4.1.6 Filtrado de protocolos El motor de análisis ThreatSense, que integra a la perfección todas las técnicas avanzadas de análisis de código malicioso, proporciona la protección antivirus para los protocolos de aplicación POP3 y HTTP. El control funciona de manera automática, independientemente del navegador de Internet o el cliente de correo electrónico utilizado. Están disponibles las opciones siguientes para el filtrado de protocolos (si se selecciona la opción Activar el control sobre el contenido del protocolo de la aplicación): Puertos HTTP y POP3: limita el análisis de la comunicación a los puertos HTTP y POP3 conocidos. Aplicaciones marcadas como navegadores de Internet y clientes de correo electrónico: active esta opción únicamente para filtrar la comunicación de aplicaciones marcadas como navegadores (Protección del tráfico de Internet > HTTP, HTTPS > Navegadores de Internet) y clientes de correo electrónico (Protección del cliente de correo electrónico > POP3, POP3s > Clientes de correo electrónico). Puertos y aplicaciones marcadas como usadas por navegadores de Internet y clientes de correo electrónico: se comprueba la presencia de código malicioso tanto en los puertos como en los navegadores. NOTA: desde el lanzamiento de Windows Vista Service Pack 1 y Windows Server 2008, se utiliza un nuevo método de filtrado de comunicaciones. Consecuentemente, la sección Filtrado de protocolos ya no está disponible. 4.1.6.1 SSL ESET Mail Security le permite comprobar los protocolos encapsulados en el protocolo SSL. Puede utilizar varios modos de análisis para las comunicaciones protegidas mediante el protocolo SSL: certificados de confianza, certificados desconocidos o certificados excluidos del análisis de comunicaciones protegidas mediante el protocolo SSL. Analizar siempre el protocolo SSL: seleccione esta opción para analizar todas las comunicaciones protegidas mediante el protocolo SSL, excepto las protegidas por certificados excluidos del análisis. Si se establece una comunicación nueva que utiliza un certificado firmado desconocido, no se le informará y la comunicación se filtrará automáticamente. Si accede a un servidor con un certificado que no sea de confianza pero que usted ha marcado como de confianza (se ha agregado a la lista de certificados de confianza), se permite la comunicación con el servidor y se filtra el contenido del canal de comunicación. Preguntar sobre sitios no visitados (se pueden hacer exclusiones): si introduce un sitio nuevo protegido mediante SSL (con un certificado desconocido), se muestra un cuadro de diálogo con las acciones posibles. Este modo le permite crear una lista de certificados SSL que se excluirán del análisis. No analizar el protocolo SSL: si se selecciona esta opción, el programa no analizará las comunicaciones a través de SSL. Si no es posible verificar el certificado con el archivo de autoridades certificadoras de confianza (Filtrado de protocolos > SSL > Certificados): Preguntar sobre la validez del certificado: le solicita que seleccione la acción que se debe realizar. Bloquear las comunicaciones que utilicen el certificado: finaliza la conexión con el sitio que utiliza el certificado. Si el certificado no es válido o está dañado (Filtrado de protocolos > SSL > Certificados): Preguntar sobre la validez del certificado: le solicita que seleccione la acción que se debe realizar. Bloquear las comunicaciones que utilicen el certificado: finaliza la conexión con el sitio que utiliza el certificado. 4.1.6.1.1 Certificados de confianza Además del archivo de autoridades certificadoras de confianza integrado, donde ESET Mail Security almacena los certificados de confianza, puede crear una lista personalizada de certificados de confianza. Esta lista se puede ver en Configuración avanzada (F5) > Filtrado del protocolo > SSL > Certificados > Certificados de confianza.

63

4.1.6.1.2 Certificados excluidos La sección Certificados excluidos contiene certificados que se consideran seguros. No se buscarán amenazas en el contenido de las comunicaciones cifradas que utilicen los certificados de la lista. Se recomienda excluir únicamente los certificados web que tengan una garantía de seguridad y cuya comunicación no sea necesario comprobar. 4.1.7 Configuración de parámetros del motor ThreatSense ThreatSense es el nombre de una tecnología formada por complejos métodos de detección de amenazas. Esta tecnología es proactiva, lo que significa que también proporciona protección durante la fase inicial de expansión de una nueva amenaza, y utiliza una combinación de diferentes métodos (análisis de código, emulación de código, firmas genéricas y firmas de virus) que funcionan de forma conjunta para mejorar en gran medida la seguridad del sistema. El motor de análisis es capaz de controlar varios flujos de datos de forma simultánea, de manera que maximiza la eficacia y la velocidad de detección. Además, la tecnología ThreatSense elimina los rootkits eficazmente. Las opciones de configuración de la tecnología ThreatSense permiten al usuario especificar distintos parámetros de análisis: Los tipos de archivos y extensiones que se deben analizar. La combinación de diferentes métodos de detección. Los niveles de desinfección, etc. Para acceder a la ventana de configuración, haga clic en el botón Configuración ubicado en la ventana de configuración de cualquier módulo que utilice la tecnología ThreatSense (ver más abajo). Es posible que cada escenario de seguridad requiera una configuración diferente. Con esto en mente, ThreatSense se puede configurar individualmente para los siguientes módulos de protección: Protección del sistema de archivos en tiempo real 50 Análisis de archivos durante el inicio del sistema Protección del correo electrónico 53 Protección del tráfico de Internet 57 Análisis del ordenador a petición 60 Los parámetros de ThreatSense están altamente optimizados para cada módulo y su modificación puede afectar al funcionamiento del sistema de forma significativa. Por ejemplo, la modificación de los parámetros para que siempre ejecuten aplicaciones en tiempo real o la activación de la heurística avanzada en el módulo de protección del sistema de archivos en tiempo real podrían implicar la ralentización del sistema (normalmente, solo se analizan los archivos recién creados mediante estos métodos). Por este motivo, se recomienda que no modifique los parámetros predeterminados de ThreatSense para ninguno de los módulos, a excepción de Análisis del ordenador a petición. 4.1.7.1 Configuración de objetos En la sección Objetos se pueden definir los componentes y archivos del ordenador que se analizarán en busca de amenazas.

Memoria operativa: busca amenazas que ataquen a la memoria operativa del sistema. Sectores de inicio: analizar los sectores de inicio para detectar virus en el registro de inicio principal. 64

Archivos: analiza todos los tipos de archivos comunes (programas, fotografías, audio, archivos de vídeo, archivos de base de datos, etc.). Archivos de correo: analiza archivos especiales que contengan mensajes de correo electrónico. Archivos comprimidos: analizar los archivos incluidos en archivos comprimidos (.rar, .zip, .arj, .tar, etc.). Archivos comprimidos de autoextracción: analiza los archivos incluidos en archivos comprimidos de autoextracción, normalmente los que tienen una extensión .exe. Empaquetadores en tiempo real: los empaquetadores en tiempo real (a diferencia de los archivos comprimidos estándar) se descomprimen en la memoria, además de los empaquetadores estáticos estándar (UPX, yoda, ASPack, FGS, etc.). 4.1.7.2 Opciones En la sección Opciones, se pueden seleccionar los métodos utilizados durante el análisis del sistema en busca de amenazas. Están disponibles las opciones siguientes: Firmas: las firmas pueden detectar amenazas de manera exacta y fiable, así como identificarlas por su nombre mediante firmas de virus. Heurística: la tecnología heurística hace referencia a un algoritmo que analiza la actividad (maliciosa) de los programas. Su principal ventaja es la habilidad para detectar nuevo software malicioso que no existía o que no estaba incluido en la lista de virus conocidos (base de firmas de virus). Heurística avanzada: la tecnología heurística avanzada consiste en un algoritmo heurístico exclusivo desarrollado por ESET, y optimizado para detectar gusanos informáticos y troyanos escritos en lenguajes de programación de alto nivel. Gracias a la heurística avanzada, la inteligencia de detección del programa es considerablemente superior. Adware/Spyware/Riskware: esta categoría incluye software que recopila información importante sobre los usuarios sin su consentimiento, así como software que muestra material publicitario. Aplicaciones potencialmente indeseables: las aplicaciones potencialmente indeseables no tienen por qué ser maliciosas, pero pueden afectar negativamente al rendimiento del ordenador. Estas aplicaciones suelen necesitar el consentimiento del usuario para su instalación. Si se encuentran en su ordenador, el sistema se comportará de manera diferente (en comparación con el estado en el que se encontraba antes de la instalación). Entre los cambios más significativos se destacan las ventanas emergentes no deseadas, la activación y ejecución de procesos ocultos, el aumento del uso de los recursos del sistema, los cambios en los resultados de búsqueda y las aplicaciones que se comunican con servidores remotos. Aplicaciones potencialmente peligrosas: aplicaciones potencialmente peligrosas es la clasificación utilizada para el software comercial legítimo e incluye programas como, por ejemplo, herramientas de acceso remoto, por eso esta opción está desactivada de forma predeterminada.

65

4.1.7.3 Desinfección Las opciones de desinfección determinan el comportamiento del análisis durante la desinfección de archivos infectados. Hay 3 niveles de desinfección:

Sin desinfectar: los archivos infectados no se desinfectan automáticamente. El programa mostrará una ventana de alerta y permitirá que el usuario seleccione una acción. Desinfección estándar: el programa intentará desinfectar o eliminar los archivos infectados de manera automática. Si no es posible seleccionar la acción correcta de manera automática, el programa ofrece una selección de acciones a seguir. La selección de acciones a seguir también aparecerá si una acción predefinida no se puede completar. Desinfección exhaustiva: el programa desinfectará o eliminará todos los archivos infectados (incluidos los archivos comprimidos). Las únicas excepciones son los archivos del sistema. Si no es posible desinfectarlos, se ofrece al usuario la opción de realizar una acción indicada en una ventana de alerta. Alerta: en el modo predeterminado, solo se elimina todo el archivo comprimido si todos los archivos que contiene están infectados. Si el archivo comprimido también contiene archivos legítimos, no se eliminará. Si se detecta un archivo infectado en el modo de Desinfección exhaustiva, todo el archivo comprimido se eliminará, aunque se encuentren archivos en buen estado. 4.1.7.4 Extensiones Una extensión es una parte del nombre de archivo delimitada por un punto que define el tipo y el contenido del archivo. En esta sección de la configuración de parámetros de ThreatSense, es posible definir los tipos de archivos que se desean analizar.

66

De forma predeterminada, se analizan todos los archivos independientemente de su extensión. Se puede agregar cualquier extensión a la lista de archivos excluidos del análisis. Si no está seleccionada la opción Analizar todos los archivos, la lista cambia para mostrar todas las extensiones de archivo analizadas actualmente. Los botones Agregar y Quitar le permiten activar o prohibir el análisis de las extensiones deseadas. Para activar el análisis de archivos sin extensión, seleccione la opción Analizar archivos sin extensión. A veces es necesario excluir archivos del análisis si, por ejemplo, el análisis de determinados tipos de archivo impide la correcta ejecución del programa que utiliza las extensiones. Por ejemplo, quizás sea aconsejable excluir las extensiones .edb, .eml y .tmp cuando se utilizan servidores Microsoft Exchange. 4.1.7.5 Límites En la sección Límites se puede especificar el tamaño máximo de los objetos y los niveles de archivos anidados que se analizarán: Tamaño máximo del objeto: define el tamaño máximo de los objetos que se van a analizar. El módulo antivirus analizará solo los objetos que tengan un tamaño menor que el especificado. No recomendamos cambiar el valor predeterminado, ya que normalmente no hay motivo para hacerlo. Esta opción solo deben cambiarla usuarios avanzados que tengan motivos específicos para excluir del análisis objetos de mayor tamaño. Tiempo máximo de análisis para el objeto (seg.): define el tiempo máximo asignado para analizar un objeto. Si se especifica un valor definido por el usuario, el módulo antivirus detendrá el análisis de un objeto cuando se haya agotado el tiempo, independientemente de si el análisis ha finalizado o no. Nivel de anidamiento de archivos: especifica la profundidad máxima del análisis de archivos comprimidos. No recomendamos cambiar el valor predeterminado de 10; en circunstancias normales, no debería haber motivo para hacerlo. Si el análisis finaliza antes de tiempo debido al número de archivos anidados, el archivo comprimido quedará sin analizar. Tamaño máx. de archivo en el archivo comprimido: esta opción le permite especificar el tamaño máximo de los archivos incluidos en archivos comprimidos (al extraerlos) que se van a analizar. Si esto provoca la finalización antes de tiempo del análisis de un archivo comprimido, el archivo no se comprobará. 4.1.7.6 Otros Analizar flujos de datos alternativos (ADS): los flujos de datos alternativos (ADS) utilizados por el sistema de archivos NTFS son asociaciones de carpetas y archivos que no se perciben con técnicas de análisis ordinarias. Muchas amenazas intentan evitar los sistemas de detección haciéndose pasar por flujos de datos alternativos. Ejecutar análisis en segundo plano y con baja prioridad: cada secuencia de análisis consume una cierta cantidad de recursos del sistema. Si trabaja con programas que colocan una gran carga en los recursos del sistema, puede activar el análisis en segundo plano con prioridad baja y ahorrar recursos para sus aplicaciones. Registrar todos los objetos: si se selecciona esta opción, el archivo de registro mostrará todos los archivos analizados, incluso los que no están infectados. Activar optimización inteligente: seleccione esta opción para que no se vuelvan a analizar los archivos que ya se analizaron (a no ser que se hayan modificado). Los archivos se vuelven a analizar inmediatamente después de cada actualización de la base de firmas de virus. Conservar hora del último acceso: seleccione esta opción para guardar la hora de acceso original de los archivos analizados en lugar de actualizarla (por ejemplo, para utilizar con sistemas de copia de seguridad de datos). Desplazar registro: esta opción le permite activar o desactivar el desplazamiento del registro. Si la selecciona, la información se desplaza hacia arriba dentro de la ventana de visualización. Al finalizar el análisis, mostrar una notificación en una nueva ventana: abre una ventana independiente que contiene información sobre los resultados del análisis. 4.1.8 Detección de una amenaza Las amenazas pueden acceder al sistema desde varios puntos de entrada: páginas web, carpetas compartidas, correo electrónico o dispositivos informáticos extraíbles (USB, discos externos, CD, DVD, disquetes, etc.). Si el ordenador muestra señales de infección por código malicioso —por ejemplo, se ralentiza, se bloquea con frecuencia, etc.—, le recomendamos que haga lo siguiente: Abra ESET Mail Security y haga clic en Análisis del ordenador. Haga clic en Análisis estándar (para obtener más información, consulte la sección Análisis estándar 61 ) Una vez que haya finalizado el análisis, revise el registro para consultar el número de archivos analizados, infectados y desinfectados. Si solo desea analizar una parte específica del disco, haga clic en Análisis personalizado y seleccione los objetos que desea incluir en el análisis de virus. A modo de ejemplo general de cómo se gestionan las amenazas en ESET Mail Security, suponga que el supervisor del sistema de archivos en tiempo real, que utiliza el nivel de desinfección predeterminado, detecta una amenaza. El supervisor intentará desinfectar o eliminar el archivo. Si no hay que realizar ninguna tarea predefinida para el módulo de protección en tiempo real, se le pedirá que seleccione una opción en una ventana de alerta. 67

Normalmente, están disponibles las opciones Desinfectar, Eliminar y Sin acciones. No se recomienda seleccionar Sin acciones, ya que los archivos infectados quedarían intactos. La única excepción es cuando está seguro de que el archivo es inofensivo y se ha detectado por error. Desinfección y eliminación: aplique esta opción si un archivo ha sido infectado por un virus que le ha añadido código malicioso. Si este es el caso, primero intente desinfectar el archivo infectado para restaurarlo a su estado original. Si el archivo consta exclusivamente de código malicioso, se eliminará.

Si un proceso del sistema "bloquea" o está utilizando un archivo infectado, por lo general solo se eliminará cuando se haya publicado (normalmente, tras reiniciar el sistema). Eliminación de amenazas en archivos comprimidos: en el modo de desinfección predeterminado, solo se eliminará todo el archivo comprimido si todos los archivos que contiene están infectados. En otras palabras, los archivos comprimidos no se eliminan si también contienen archivos desinfectados inofensivos. Sin embargo, tenga cuidado cuando realice un análisis con desinfección exhaustiva, ya que el archivo se eliminará si contiene al menos un archivo infectado, sin tener en cuenta el estado de los otros archivos.

4.2 Actualización del programa La actualización periódica de ESET Mail Security es la premisa básica para obtener el máximo nivel de seguridad. El módulo Actualización garantiza que el programa está siempre actualizado de dos maneras: actualizando la base de firmas de virus y los componentes del sistema. Haga clic en Actualización en el menú principal para comprobar el estado de la actualización, así como la fecha y la hora de la última actualización, y si es necesario actualizar el programa. La ventana principal también indica la versión de la base de firmas de virus. Esta indicación numérica es un enlace activo al sitio web de ESET, donde se muestran todas las firmas agregadas en la actualización correspondiente. Además, están disponibles la opción de inicio manual del proceso de actualización (Actualizar la base de firmas de virus ahora) y las opciones básicas de configuración de actualización, como el nombre de usuario y la contraseña de acceso a los servidores de actualización de ESET. Utilice el enlace Activación del producto para abrir un formulario de registro que active el producto de seguridad de ESET; entonces, recibirá un mensaje de correo electrónico con los datos de autenticación (nombre de usuario y contraseña).

68

NOTA: ESET le proporcionará el nombre de usuario y la contraseña una vez que haya adquirido ESET Mail Security. 4.2.1 Configuración de actualizaciones En la sección de configuración de actualizaciones se especifica la información del origen de la actualización, como los servidores de actualización y sus datos de autenticación. De forma predeterminada, el menú desplegable Servidor de actualización está configurado en Selección automática para garantizar que los archivos de actualización se descargarán del servidor ESET cuando la carga de la red sea menor. Las opciones de configuración están disponibles en el árbol de configuración avanzada (tecla F5), en Actualización.

Puede acceder a la lista de servidores de actualización disponibles desde el menú desplegable Servidor de actualización. Para agregar un nuevo servidor, haga clic en Modificar en la sección Parámetros para el perfil seleccionado y, a continuación, haga clic en el botón Agregar. La autenticación de los servidores de actualización se basa en el nombre de usuario y la contraseña generados y enviados tras la compra. 69

4.2.1.1 Perfiles de actualización Se pueden crear perfiles de actualización para diferentes tareas y configuraciones de actualización. Estos perfiles son especialmente útiles para los usuarios móviles, ya que les permite crear un perfil alternativo para las propiedades de conexión a Internet que cambian periódicamente. El menú desplegable Perfil seleccionado muestra el perfil seleccionado actualmente, definido en Mi perfil de forma predeterminada. Para crear un perfil nuevo, haga clic en el botón Perfiles y, a continuación, en el botón Agregar; después, introduzca su nombre de perfil. Cuando cree un perfil nuevo, en el menú desplegable Copiar parámetros desde el perfil puede seleccionar un perfil existente para copiar su configuración.

En la ventana Configuración de perfil, puede especificar el servidor de actualización de una lista de servidores disponibles o agregar un servidor nuevo. Puede acceder a la lista de servidores de actualización disponibles desde el menú desplegable Servidor de actualización: . Para agregar un nuevo servidor, haga clic en Modificar en la sección Parámetros para el perfil seleccionado y, a continuación, haga clic en el botón Agregar. 4.2.1.2 Configuración avanzada de actualizaciones Para ver la configuración avanzada de actualizaciones, haga clic en el botón Configuración. Las opciones avanzadas de la configuración de actualizaciones son Tipo de actualización, Servidor Proxy HTTP, LAN y Mirror.

70

4.2.1.2.1 Tipo de actualización La pestaña Tipo de actualización contiene las opciones relacionadas con la actualización de componentes del programa. En la sección Actualización de componentes del programa hay tres opciones disponibles: Nunca actualizar los componentes del programa: no se descargarán las nuevas actualizaciones de componentes del programa. Actualizar los componentes del programa si están disponibles: las nuevas actualizaciones de componentes del programa se aplican automáticamente. Avisar antes de descargar los componentes del programa: esta es la opción predeterminada. Se le solicitará que confirme o rechace las actualizaciones de componentes del programa cuando estén disponibles.

Tras una actualización de componentes del programa, es posible que deba reiniciar el ordenador para que los módulos dispongan de todas las funciones. La sección Reiniciar después de actualizar los componentes del programa permite al usuario seleccionar unas de las opciones siguientes: Nunca reiniciar el ordenador Si es necesario, ofrecer reiniciar el ordenador Si es necesario, reiniciar el ordenador sin avisar La opción predeterminada es Si es necesario, ofrecer reiniciar el ordenador. La selección de la opción más adecuada depende de la estación de trabajo donde se vaya a aplicar la configuración. Tenga en cuenta que existen ciertas diferencias entre estaciones de trabajo y servidores, por ejemplo, el reinicio automático del servidor tras una actualización del programa podría causar daños graves.

71

4.2.1.2.2 Servidor Proxy En ESET Mail Security, el servidor Proxy se puede configurar en dos secciones diferentes del árbol de configuración avanzada. La configuración del servidor Proxy se puede establecer en Varios > Servidor Proxy. Al especificar el servidor Proxy en este nivel, se define la configuración global del servidor Proxy para ESET Mail Security. Todos los módulos que requieran conexión a Internet utilizarán estos parámetros. Para especificar la configuración del servidor Proxy en este nivel, seleccione la casilla de verificación Conexión mediante servidor Proxy y, a continuación, introduzca la dirección del servidor Proxy en el campo Servidor Proxy, así como el número de puerto del servidor Proxy.

Si la comunicación con el servidor Proxy requiere autentificación, seleccione la casilla de verificación El servidor Proxy requiere autenticación e introduzca un Nombre de usuario y una Contraseña válidos en los campos correspondientes. Haga clic en el botón Detectar servidor Proxy para detectar y especificar la configuración del servidor Proxy de forma automática. Se copiarán los parámetros especificados en Internet Explorer. NOTA: esta característica no recupera los datos de autenticación (nombre de usuario y contraseña), de modo que el usuario debe proporcionarlos. La configuración del servidor Proxy también se puede establecer en Configuración avanzada de actualizaciones. Este ajuste se aplica al perfil de actualización especificado. Las opciones de configuración del servidor Proxy de un perfil de actualización determinado están disponibles en la ficha Proxy HTTP de Configuración avanzada de actualizaciones. Tiene estas tres opciones: Utilizar la configuración predeterminada No usar servidor Proxy Conexión a través de un servidor Proxy específico (conexión definida por las propiedades de conexión) Si selecciona la opción Utilizar la configuración predeterminada, se utilizarán las opciones de configuración del servidor Proxy ya especificadas en la sección Varios > Servidor Proxy del árbol de configuración avanzada (tal como se describe en la parte superior de este artículo).

72

Seleccione la opción No usar servidor Proxy para especificar que no se utilice ningún servidor Proxy para actualizar ESET Mail Security. Seleccione la opción Conexión a través de un servidor Proxy específico si desea utilizar un servidor Proxy para actualizar ESET Mail Security diferente al especificado en la configuración global (Varios > Servidor Proxy). En este caso, será necesario especificar la configuración aquí: Dirección del servidor Proxy, Puerto de comunicación, Nombre de usuario y Contraseña del servidor Proxy, si es necesario. Esta opción también se debe seleccionar si la configuración del servidor Proxy no se ha establecido globalmente, pero ESET Mail Security se conectará a un servidor Proxy para buscar actualizaciones. La configuración predeterminada del servidor Proxy es Utilizar la configuración predeterminada.

73

4.2.1.2.3 Conexión a la red local Para realizar una actualización desde un servidor local en el que se ejecute un sistema operativo basado en NT, es necesario autenticar todas las conexiones de red de forma predeterminada. En la mayoría de los casos, las cuentas de sistema local no disponen de los derechos suficientes para la carpeta Mirror (que contiene copias de archivos de actualización). En este caso, escriba su nombre de usuario y contraseña en la sección de configuración de actualizaciones o especifique una cuenta con la que el programa pueda acceder al servidor de actualización (Mirror). Para configurar este tipo de cuenta, haga clic en la ficha Red local. La sección Conectarse a la red local como incluye las opciones Cuenta de sistema (predeterminada), Usuario actual y Especificar usuario.

Seleccione la opción Cuenta de sistema (predeterminada) para utilizar la cuenta de sistema para la autenticación. Normalmente, no se realiza ningún proceso de autenticación si no se proporcionan datos en la sección de configuración de actualizaciones. Para garantizar que el programa se autentique con la cuenta de un usuario registrado actualmente, seleccione Usuario actual. El inconveniente de esta solución es que el programa no se puede conectar al servidor de actualizaciones si no hay ningún usuario registrado. Seleccione Especificar usuario si desea que el programa utilice una cuenta de usuario específica para la autenticación. Alerta: Cuando se selecciona Usuario actual o Especificar usuario, puede producirse un error al cambiar la identidad del programa para el usuario deseado. Por este motivo, se recomienda que inserte los datos de autenticación de la red local en la sección principal de configuración de actualizaciones, donde los datos de autenticación se deben introducir de la forma siguiente: nombre_dominio\usuario (si es un grupo de trabajo, escriba nombre_grupo de trabajo\nombre) y la contraseña. Cuando se actualiza desde la versión HTTP del servidor local, no es necesaria ninguna autenticación.

74

4.2.1.2.4 Creación de copias de actualización: Mirror ESET Mail Security le permite crear copias de los archivos de actualización, que puede utilizar para actualizar otras estaciones de trabajo disponibles en la red. La actualización de estaciones de trabajo cliente desde un servidor Mirror optimiza el equilibrio de carga de la red y ahorra ancho de banda de la conexión a Internet. Las opciones de configuración del servidor Mirror local están disponibles (después de agregar una clave de licencia válida en el administrador de licencias, que se encuentra en la sección Configuración avanzada de ESET Mail Security) en la sección Configuración avanzada de actualizaciones . Para acceder a esta sección, pulse F5 y haga clic en Actualización en el árbol de configuración avanzada; a continuación, haga clic en el botón Configuración situado junto a Configuración avanzada de actualizaciones y seleccione la ficha Mirror).

El primer paso para configurar el Mirror es seleccionar la opción Crear copias de las actualizaciones. Al activar dicha opción, se activan otras opciones de configuración del Mirror, como la forma de acceder a los archivos actualizados y la ruta de actualización de los archivos replicados. Los métodos de activación del Mirror se describen detalladamente en la sección Actualización desde el servidor Mirror 76 . Recuerde que existen dos métodos básicos para configurar el servidor Mirror: la carpeta que contiene los archivos de actualización se puede presentar como una carpeta de red compartida o como un servidor HTTP. La carpeta destinada a almacenar los archivos de actualización para el servidor Mirror se define en la sección Carpeta para guardar archivos replicados. Haga clic en Carpeta para buscar una carpeta en el ordenador local o en la carpeta de red compartida. Si es necesaria una autorización para la carpeta especificada, deberá proporcionar los datos de autenticación en los campos Nombre de usuario y Contraseña. El nombre de usuario y la contraseña deben introducirse con el formato Dominio/ Usuario o Grupo de trabajo/Usuario. No olvide que debe introducir las contraseñas correspondientes. Cuando configure el Mirror, el usuario también puede establecer las versiones de idioma en las que desee descargar las copias de actualización. La configuración de la versión de idioma se encuentra en la sección Archivos > Versiones disponibles. NOTA: la base de datos Antispam no se puede actualizar desde el servidor Mirror. Para obtener más información sobre cómo permitir la actualización de la base de datos Antispam, haga clic aquí 38 .

75

4.2.1.2.4.1 Actualización desde el servidor Mirror Existen dos métodos básicos para configurar el servidor Mirror: la carpeta que contiene los archivos de actualización se puede presentar como una carpeta de red compartida o como un servidor HTTP. Acceso al servidor Mirror mediante un servidor HTTP interno Esta es la configuración predeterminada, especificada en la configuración predefinida del programa. Para permitir el acceso al Mirror mediante el servidor HTTP, vaya a Configuración avanzada de actualizaciones (ficha Mirror) y seleccione la opción Crear copias de las actualizaciones. En la sección Configuración avanzada de la ficha Mirror puede especificar el Puerto del servidor donde el servidor HTTP estará a la escucha, así como el tipo de autenticación que debe utilizar dicho servidor. El valor predeterminado del puerto del servidor es 2221. La opción Autenticación define el método de autenticación utilizado para acceder a los archivos de actualización. Están disponibles las opciones siguientes: NINGUNA, Básica y NTLM. Seleccione la opción Básica para utilizar la codificación base64 con la autenticación básica de nombre de usuario y contraseña. La opción NTLM proporciona la codificación a través de un método seguro. Para la autenticación, se utilizará el usuario creado en la estación de trabajo que comparte los archivos actualizados. La configuración predeterminada es NINGUNA y concede acceso a los archivos de actualización sin necesidad de autenticación. Alerta: Si desea permitir el acceso a los archivos de actualización a través del servidor HTTP, la carpeta Mirror debe encontrarse en el mismo ordenador que la instancia de ESET Mail Security que vaya a crearla.

Cuando la configuración del servidor Mirror esté completa, vaya a las estaciones de trabajo y agregue un servidor de actualización nuevo con el formato http://dirección_IP_de_su_servidor:2221. Para hacerlo, siga estos pasos: Abra laConfiguración avanzada de ESET Mail Security y haga clic en la sección Actualización . Haga clic en Modificar a la derecha del menú desplegable Servidor de actualización y añada un servidor nuevo con el formato siguiente: http://dirección_IP_de_su_servidor:2221. Seleccione el servidor que acaba de agregar de la lista de servidores de actualización. Acceso al servidor Mirror mediante el uso compartido del sistema En primer lugar, es necesario crear una carpeta compartida en un dispositivo local o de red. A la hora de crear la carpeta para el servidor Mirror, es necesario proporcionar acceso de "escritura" al usuario que va a guardar los archivos en la carpeta y acceso de "lectura" para todos los usuarios que van a actualizar ESET Smart Security desde la carpeta Mirror. A continuación, configure el acceso al servidor Mirror en la sección Configuración avanzada de actualizaciones (ficha Mirror) mediante la desactivación de la opción Proporcionar archivos actualizados mediante un servidor HTTP interno. Esta opción se activa, de forma predeterminada, en el paquete de instalación del programa. Si la carpeta compartida se encuentra en otro ordenador de la red, debe especificar los datos de autenticación para acceder al otro ordenador. Para especificar los datos de autenticación, abra la Configuración avanzada de ESET Mail Security (F5) y haga clic en la sección Actualización. Haga clic en el botón Configuración y, a continuación, en la ficha LAN. Esta configuración es la misma que se aplica a las actualizaciones, tal como se describe en la sección Conexión a la red local 74 . 76

Cuando haya terminado de configurar el servidor Mirror, continúe con las estaciones de trabajo y establezca \ \UNC\RUTA como servidor de actualización. Esta operación se puede completar con los pasos siguientes: Abra la Configuración avanzada de ESET Mail Security y haga clic en Actualización. Haga clic en Modificar junto a Servidor de actualización y añada un servidor nuevo con el formato \\UNC\RUTA. Seleccione el servidor que acaba de agregar de la lista de servidores de actualización. NOTA: para un correcto funcionamiento, es necesario especificar la ruta a la carpeta Mirror como una ruta UNC. Es posible que las actualizaciones de las unidades asignadas no funcionen. 4.2.1.2.4.2 Resolución de problemas de actualización del Mirror En la mayoría de los casos, los problemas durante la actualización desde un servidor Mirror se deben a una de estas causas: la especificación incorrecta de las opciones de la carpeta Mirror, la introducción de datos de autenticación no válidos para la carpeta Mirror, la configuración incorrecta de las estaciones de trabajo que intentan descargar archivos de actualización del Mirror o una combinación de los casos anteriores. A continuación, se ofrece información general acerca de los problemas más frecuentes durante la actualización desde el Mirror: ESET Mail Security notifica un error al conectarse al servidor de imagen: suele deberse a la especificación incorrecta del servidor de actualización (ruta de red a la carpeta replicada) desde el que se actualizan las descargas de las estaciones de trabajo locales. Para verificar la carpeta, haga clic en el menú Inicio de Windows y en Ejecutar, especifique el nombre de la carpeta y haga clic en Aceptar. A continuación, debe mostrarse el contenido de la carpeta. ESET Mail Security requiere un nombre de usuario y una contraseña: probablemente se deba a la presencia de datos de autenticación incorrectos (nombre de usuario y contraseña) en la sección de actualización. El nombre de usuario y la contraseña se utilizan para conceder acceso al servidor de actualización desde el que se actualiza el programa. Asegúrese de que los datos de autenticación son correctos y se introducen en el formato adecuado. Por ejemplo, Dominio/Nombre de usuario o Grupo de trabajo/Nombre de usuario, más las contraseñas correspondientes. Si "Todos" pueden acceder al servidor Mirror, debe ser consciente de que esto no quiere decir que cualquier usuario tenga acceso. "Todos" no hace referencia a cualquier usuario no autorizado, tan solo significa que todos los usuarios del dominio pueden acceder a la carpeta. Como resultado, si "Todos" pueden acceder a la carpeta, será igualmente necesario introducir un nombre de usuario y una contraseña en la sección de configuración de actualizaciones. ESET Mail Security notifica un error al conectarse al servidor de imagen: la comunicación del puerto definida para acceder a la versión HTTP del Mirror está bloqueada. 4.2.2 Cómo crear tareas de actualización Las actualizaciones se pueden activar manualmente haciendo clic en Actualizar la base de firmas de virus ahora, en la ventana principal que se muestra al hacer clic en Actualización en el menú principal. Las actualizaciones también se pueden ejecutar como tareas programadas. Para configurar una tarea programada, haga clic en Herramientas > Planificador de tareas. Las siguientes tareas están activadas de forma predeterminada en ESET Mail Security: Actualización automática de rutina Actualización automática al detectar la conexión por módem Actualización automática después del registro del usuario Todas las tareas de actualización se pueden modificar en función de sus necesidades. Además de las tareas de actualización predeterminadas, se pueden crear nuevas tareas de actualización con una configuración definida por el usuario. Para obtener más información acerca de la creación y la configuración de tareas de actualización, consulte la sección Planificador de tareas 78 .

77

4.3 Planificador de tareas El Planificador de tareas está disponible si ESET Mail Security tiene activado el modo avanzado. El Planificador de tareas se puede encontrar en el menú principal de ESET Mail Security, en Herramientas, y contiene una lista de todas las tareas programadas y sus propiedades de configuración, como la fecha, la hora y el perfil de análisis predefinidos utilizados.

De forma predeterminada, en el Planificador de tareas se muestran las siguientes tareas programadas: Actualización automática de rutina Actualización automática al detectar la conexión por módem Actualización automática después del registro del usuario Verificación de la ejecución de archivos en el inicio (tras el registro del usuario) Verificación de la ejecución de archivos en el inicio (tras la correcta actualización de la base de firmas de virus) Para modificar la configuración de una tarea programada existente (tanto predeterminada como definida por el usuario), haga clic con el botón derecho en la tarea y, a continuación, haga clic en Modificar; o seleccione la tarea que desea modificar y haga clic en el botón Modificar. 4.3.1 Finalidad de las tareas programadas El planificador de tareas administra e inicia las tareas programadas con la configuración y las propiedades predefinidas. La configuración y las propiedades contienen información como la fecha y la hora, así como los perfiles especificados que se van a utilizar durante la ejecución de la tarea.

78

4.3.2 Creación de tareas nuevas Para crear una tarea nueva en el Planificador de tareas, haga clic en el botón Agregar o haga clic con el botón derecho y seleccione Agregar en el menú contextual. Están disponibles cinco tipos de tareas programadas: Ejecutar aplicación externa Análisis de archivos durante el inicio del sistema Crear un informe del estado del sistema Análisis del ordenador a petición Actualización

La actualización es una de las tareas programadas más frecuentes, por lo que explicaremos cómo se agrega una nueva tarea de actualización. En el menú desplegable Tarea programada, seleccione Actualización. Haga clic en Siguiente para introducir el nombre de la tarea en el campo Nombre de la tarea . Seleccione la frecuencia de la tarea Están disponibles las opciones siguientes: Una vez, Reiteradamente, Diariamente, Semanalmente y Cuando se cumpla la condición. Según la frecuencia seleccionada, se le solicitarán diferentes parámetros de actualización. A continuación, defina la acción que debe llevarse a cabo si la tarea no se puede realizar o completar a la hora programada. Están disponibles las tres opciones siguientes: Esperar a la próxima hora programada Ejecutar la tarea tan pronto como sea posible Ejecutar la tarea inmediatamente si el tiempo transcurrido desde la última ejecución supera el intervalo especificado (el intervalo puede definirse utilizando el cuadro Intervalo de la tarea) En el paso siguiente, se muestra una ventana de resumen que contiene información acerca de la tarea programada actualmente; la opción Ejecutar tarea con parámetros específicos debe activarse automáticamente. Haga clic en el botón Finalizar. Aparecerá un cuadro de diálogo que permite al usuario elegir los perfiles que desea utilizar para la tarea programada. En este paso, el usuario puede especificar un perfil principal y otro alternativo, que se utilizará si la tarea no se puede completar con el perfil principal. Para confirmar, haga clic en Aceptar en la ventana de Perfiles de actualización. La nueva tarea se agregará a la lista de tareas programadas actualmente.

79

4.4 Cuarentena La tarea fundamental de la cuarentena es almacenar de forma segura los archivos infectados. Los archivos deben ponerse en cuarentena si no es posible desinfectarlos, si no es seguro ni aconsejable eliminarlos o si ESET Mail Security los detecta incorrectamente como infectados. Es posible poner en cuarentena cualquier archivo. La cuarentena se recomienda cuando el comportamiento de un archivo es sospechoso y el análisis no lo ha detectado. Los archivos en cuarentena se pueden enviar para su análisis a los laboratorios de ESET.

Los archivos almacenados en la carpeta de cuarentena se pueden ver en una tabla que muestra la fecha y la hora en que se pusieron en cuarentena, la ruta de la ubicación original del archivo infectado, su tamaño en bytes, el motivo (objeto agregado por el usuario, etc.) y el número de amenazas (por ejemplo, si se trata de un archivo que contiene varias amenazas). 4.4.1 Copiar archivos en cuarentena ESET Mail Security pone los archivos eliminados en cuarentena automáticamente (si no ha cancelado esta opción en la ventana de alerta). Si lo desea, puede poner en cuarentena cualquier archivo sospechoso de forma manual; para ello, haga clic en el botón Poner en cuarentena. En este caso, el archivo original no se elimina de su ubicación original. El menú contextual también se puede utilizar con este fin: haga clic con el botón derecho en la ventana Cuarentena y seleccione Agregar. 4.4.2 Restauración de archivos de cuarentena Los archivos puestos en cuarentena se pueden restaurar a su ubicación original. Utilice la característica Restaurar para restaurar dichos archivos. Restaurar está disponible en el menú contextual que se abre al hacer clic con el botón derecho del ratón en la ventana Cuarentena. El menú contextual también ofrece la opción Restaurar a, que le permite restaurar archivos en una ubicación distinta a la original, de la cual se eliminaron. NOTA: si el programa ha puesto en cuarentena un archivo no dañino por error, exclúyalo del análisis después de restaurarlo y enviarlo al servicio de atención al cliente de ESET.

80

4.4.3 Envío de un archivo a cuarentena Si ha puesto en cuarentena un archivo sospechoso que el programa no ha detectado o si un archivo se ha evaluado incorrectamente como infectado (por ejemplo, por el análisis heurístico del código) y, consecuentemente, este se ha puesto en cuarentena, envíe el archivo al laboratorio de ESET. Para enviar un archivo de cuarentena, haga clic con el botón derecho del ratón en el archivo y seleccione Enviar para su análisis en el menú contextual.

81

4.5 Archivos de registro Los registros almacenan información sobre sucesos importantes: amenazas detectadas, registros de los análisis a petición y residentes e información del sistema. Los registros de protección antispam y de listas grises (situados debajo de otros registros en Herramientas > Archivos de registro) contienen información detallada sobre los mensajes que se analizaron y las acciones realizadas en dichos mensajes. Los registros pueden ser muy útiles cuando se buscan mensajes de correo electrónico no entregados, para averiguar por qué un mensaje se marcó como spam, etc.

Antispam Todos los mensajes que ESET Mail Security clasifique como spam o posible spam se registran aquí.

82

Descripción de las columnas: Fecha y hora: fecha y hora de la entrada en el registro de antispam. Remitente: dirección del remitente. Destinatario: dirección del destinatario. Asunto: asunto del mensaje. Nivel: nivel de spam asignado al mensaje (de 0 a 100). Detalle: es el indicador que provocó la clasificación como spam del mensaje. Se muestra el indicador más fuerte. Si desea ver otros indicadores, haga doble clic en la entrada. Se abrirá la ventana Detalle con los demás indicadores organizados en orden descendente según su fuerza. La URL es conocida como emisora de Las direcciones URL de los mensajes son, a menudo, una indicación de spam spam. Formato HTML (fuentes, colores, etc.) El formato de los elementos de la parte HTML del mensaje muestra signos característicos del spam (tipo y tamaño de fuente, color, etc.). Consejos sobre spam: Ofuscación Las palabras típicas del corre no deseado suelen enmascararse con otros caracteres. Un ejemplo típico es la palabra "Viagra", que a menudo se escribe como "V1agra" para burlar la detección de antispam. Spam con tipo de imagen HTML Es frecuente que los mensajes no deseados se envíen como imágenes para evitar la aplicación de métodos de detección de spam. Por lo general, estas imágenes contienen enlaces interactivos a páginas web. Dominio de servicio de alojamiento La dirección URL contiene el dominio de servicio de alojamiento. con formato de URL Palabra clave propia del spam El mensaje contiene palabras típicas del correo no deseado. Incoherencia en el encabezado del La información del encabezado se modifica para que el origen no correo electrónico coincida con el remitente original. Virus El mensaje contiene un archivo adjunto sospechoso. Phish El mensaje contiene texto típico de los mensajes de phishing. Réplica El mensaje contiene texto típico de una categoría de spam que se dedica a ofrecer imitaciones. Indicador de spam general El mensaje contiene palabras o caracteres típicos del spam, como "Querido amigo", "hola, ganador", "!!!", etc. Indicador de correo basura Este indicador tiene la función opuesta a los demás indicadores de la lista: analiza los elementos característicos del correo solicitado normal. Baja el nivel general de spam. Indicador de spam no específico El mensaje contiene otros elementos de spam, como la codificación base64. Frases de spam personalizadas Otras frases de spam típicas. La URL está en la lista negra La dirección URL del mensaje está en una lista negra. La IP %s está en la lista negra en La dirección IP ... está en una lista negra en tiempo real (RBL). tiempo real La URL %s está en la lista negra basada La dirección URL ... está en una lista negra basada en DNS (DNSBL). en DNS La URL %s está en la lista negra en La dirección URL ... está en una lista negra en tiempo real, o el servidor tiempo real o el servidor no está no tiene los privilegios necesarios para enviar mensajes de correo autorizado para enviar correo electrónico. Las direcciones que formaban parte de la ruta del correo electrónico se cotejan con la lista RBL. Se comprueban los derechos de conexión a servidores de correo públicos de la última dirección. Si no es posible detectar derechos de conexión válidos, significa que la dirección está en la lista LBL. Los mensajes marcados como spam a causa de un indicador LBL muestran el texto siguiente en el campo Detalle: "el servidor no está autorizado para enviar correo".

Acción: acción realizada en el mensaje. Posibles acciones: Retenido En cuarentena

No se ha realizado ninguna acción en el mensaje. El mensaje se ha movido a la carpeta de cuarentena. 83

Desinfectado y en cuarentena Rechazado Eliminado

El virus se ha eliminado del mensaje, que se ha puesto en cuarentena. Se ha denegado el mensaje y se ha enviado una respuesta SMTP de rechazo remitente. El mensaje se ha eliminado con el método de colocación silenciosa 20 .

20

al

Recibido: fecha y hora en que el servidor recibió el mensaje. NOTA: si los mensajes se reciben a través de un servidor de correo electrónico, los datos indicados en los campos Fecha y hora y Recibido son prácticamente iguales.

Creación de listas grises Todos los mensajes evaluados con el método de listas grises se incluyen en este registro.

Descripción de las columnas: Fecha y hora: fecha y hora de la entrada en el registro de antispam. Dominio HELO: nombre de dominio que utiliza el servidor de envío para identificarse ante el servidor receptor. Dirección IP: dirección IP del remitente. Remitente: dirección del remitente. Destinatario: dirección del destinatario. Acción: puede contener los estados siguientes: Rechazado Rechazado (sin comprobar)

Comprobado

El mensaje entrante se rechazó con el precepto básico de la lista gris (primer intento de entrega). El servidor de envío entregó el mensaje entrante de nuevo, pero aún no ha transcurrido el límite de tiempo para denegar la conexión (Límite de tiempo para el bloqueo de la conexión inicial). El servidor de envío entregó el mensaje entrante varias veces, ha transcurrido el Límite de tiempo para el bloqueo de la conexión inicial y el mensaje se ha comprobado y entregado correctamente. Consulte también la sección Agente de transporte 39 .

Tiempo restante: tiempo que falta para alcanzar el Límite de tiempo para el bloqueo de la conexión inicial.

Amenazas detectadas El registro de amenazas ofrece información detallada sobre las amenazas detectadas por los módulos de ESET Mail Security. La información incluye el momento de la detección, el tipo de análisis, el tipo de objeto, el nombre del 84

objeto, el nombre de la amenaza, la ubicación, la acción ejecutada y el nombre del usuario registrado en el momento en que se detectó la amenaza. Para copiar o borrar una o más líneas del registro (o para borrar el registro completo), utilice el menú contextual (clic con el botón derecho en el elemento). Sucesos El registro de sucesos contiene información sobre sucesos y errores que se produjeron en el programa. Con frecuencia, la información aquí disponible puede ayudarle a encontrar una solución para un problema del programa. Análisis del ordenador a petición El registro de análisis guarda información sobre los resultados de análisis manuales o planeados. Cada línea se corresponde con un control informático individual. Incluye la siguiente información: fecha y hora del análisis, número total de archivos analizados, infectados y desinfectados, y estado actual del análisis. En Registros de análisis a petición, haga doble clic en la entrada del registro para mostrar su contenido detallado en una ventana independiente. Utilice el menú contextual (clic con el botón derecho) para copiar una o más entradas marcadas (en todos los tipos de registros). 4.5.1 Filtrado de registros El filtrado de registros es una característica útil para encontrar registros en los archivos de registro, sobre todo cuando hay muchos registros y resulta complicado encontrar información específica. El filtrado le permite escribir una cadena de caracteres con lo que desea filtrar, especificar las columnas que desea consultar, seleccionar los tipos de registro y definir un período de tiempo para reducir el número de registros. Al especificar determinadas opciones de filtro, en la ventana Archivos de registro solo se muestran los registros pertinentes (según estas opciones de filtro), de modo que el acceso es más rápido y sencillo. Para abrir la ventana Filtrado de registros, pulse el botón Filtrar en Herramientas > Archivos de registro o utilice las teclas de acceso directo Ctrl + Shift + F. NOTA: para buscar un registro determinado, también puede utilizar la funcionalidad Buscar en el registro 86 , o combinarla con Filtrado de registros.

Al especificar determinadas opciones de filtro, en la ventana Archivos de registro solo se muestran los registros pertinentes (según estas opciones de filtro). Esta función delimita la búsqueda de registros y, por lo tanto, le permite encontrar lo que busca con mayor facilidad. Cuanto más específicas sean las opciones de filtro, más concretos serán los resultados. Qué: escriba lo que desea buscar en una cadena de caracteres (palabra completa o parcial). Solo se mostrarán los registros que contengan dicha cadena. Los demás registros no se mostrarán, para así facilitar la lectura. Buscar en columnas: seleccione las columnas que se tendrán en cuenta en el filtrado. Puede seleccionar las columnas que desee para el filtrado. De forma predeterminada, están seleccionadas todas las columnas: Tiempo Módulo Suceso Usuario

85

Tipos de registro: le permite seleccionar el tipo de registros que desea ver. Puede seleccionar un tipo de registro determinado, varios tipos de registro al mismo tiempo o todos los registros (opción predeterminada): Diagnóstico Información Alerta Error Grave Período de tiempo: utilice esta opción para filtrar los registros por período de tiempo. Puede elegir una de estas opciones: Registro completo (predeterminada): no filtra por período de tiempo, muestra todo el registro. Último día Última semana Último mes Intervalo: esta opción le permite especificar el período de tiempo exacto (fecha y hora) para que se muestren únicamente los registros realizados en un período de tiempo determinado. Además de las opciones de filtrado anteriores, están disponibles las siguientes opciones: Solo palabras completas: muestra únicamente los registros que coinciden totalmente con la cadena especificada en el cuadro de texto Qué. Distinguir mayúsculas y minúsculas: muestra únicamente los registros que coinciden con la cadena especificada en el cuadro de texto Qué y utilizan las mismas mayúsculas y minúsculas. Activar filtrado inteligente: utilice esta opción para permitir que ESET Mail Security utilice sus propios métodos de filtrado. Cuando haya terminado de configurar las opciones de filtrado, pulse el botón Aceptar para aplicar el filtro. En la ventana Archivos de registro se muestran únicamente los registros pertinentes según las opciones de filtro. 4.5.2 Buscar en el registro La opción Filtrado de registros 85 se puede combinar con la función de búsqueda en archivos de registro, aunque esta última también se puede utilizar por separado. Esta función es útil cuando se buscan registros específicos. Al igual que el filtrado de registros, esta función de búsqueda le ayuda a encontrar la información que busca y es especialmente útil cuando hay demasiados registros. La opción Buscar en el registro le permite escribir una cadena de caracteres con lo que desea filtrar, especificar las columnas que desea consultar, seleccionar los tipos de registro y definir un período de tiempo para buscar únicamente los registros realizados en dicho período de tiempo. Al especificar determinadas opciones de búsqueda, en la ventana Archivos de registro solo se buscan los registros pertinentes (según estas opciones de búsqueda). Para realizar búsquedas en los registros, pulse las teclas Ctrl + F para abrir la ventana Buscar en el registro. NOTA: la característica Buscar en el registro se puede combinar con Filtrado de registros 85 . Puede empezar delimitando el número de registros con Filtrado de registros para, a continuación, realizar la búsqueda únicamente en los registros filtrados.

Qué: escriba lo que desea buscar en una cadena de caracteres (palabra completa o parcial). Solo se buscarán los registros que contengan dicha cadena; los demás se omitirán. Buscar en columnas: seleccione las columnas que se tendrán en cuenta en la búsqueda. Puede seleccionar las columnas que desee para la búsqueda. De forma predeterminada, están seleccionadas todas las columnas: Tiempo 86

Módulo Suceso Usuario Tipos de registro: le permite seleccionar el tipo de registros que desea buscar. Puede seleccionar un tipo de registro determinado, varios tipos de registro al mismo tiempo o todos los registros (opción predeterminada): Diagnóstico Información Alerta Error Grave Período de tiempo: utilice esta opción para buscar únicamente los registros de un período de tiempo específico. Puede elegir una de estas opciones: Registro completo (predeterminada): no busca en un período de tiempo determinado, sino en todo el registro. Último día Última semana Último mes Intervalo: esta opción le permite especificar el período de tiempo exacto (fecha y hora) para que se busquen únicamente los registros realizados en un período de tiempo determinado. Además de las opciones de búsqueda anteriores, están disponibles las siguientes opciones: Solo palabras completas: busca únicamente los registros que coinciden totalmente con la cadena especificada en el cuadro de texto Qué. Distinguir mayúsculas y minúsculas: busca únicamente los registros que coinciden con la cadena especificada en el cuadro de texto Qué y utilizan las mismas mayúsculas y minúsculas. Buscar hacia arriba: busca de la posición actual hacia arriba. Una vez que haya configurado las opciones de búsqueda, haga clic en el botón Buscar para iniciar la búsqueda. La búsqueda se detiene cuando se encuentra el primer registro coincidente. Vuelva a hacer clic en el botón Buscar para seguir buscando. La búsqueda en los archivos de registro se realiza de arriba abajo, a partir de la posición actual (registro resaltado). 4.5.3 Mantenimiento de registros La configuración de registros de ESET Mail Security está disponible en la ventana principal del programa. Haga clic en Configuración > Muestra las opciones avanzadas de configuración > Herramientas > Archivos de registro. Puede especificar las siguientes opciones para los archivos de registro: Eliminar registros automáticamente: las entradas de registro anteriores al número de días especificado se eliminan de forma automática. Optimizar los archivos de registro automáticamente: activa la desfragmentación automática de los archivos de registro si se supera el porcentaje especificado de registros sin utilizar. Nivel mínimo de detalle al registrar: especifica el nivel de detalle del registro. Opciones disponibles: - Registros de diagnóstico: registra la información necesaria para ajustar el programa y todos los registros anteriores. - Registros informativos: registra los mensajes informativos, incluidos los mensajes de las actualizaciones realizadas con éxito y todos los registros anteriores. - Alertas: registra errores graves y mensajes de alerta. - Errores: solo registra los mensajes "Error al descargar el archivo" y los errores graves. - Alertas críticas: solo registra los errores graves (errores al iniciar la protección antivirus, etc.).

87

4.6 ESET SysInspector 4.6.1 Introducción a ESET SysInspector ESET SysInspector es una aplicación que examina el ordenador a fondo y muestra los datos recopilados de forma exhaustiva. Información como los controladores y aplicaciones instalados, las conexiones de red o entradas de registro importantes pueden ayudarle a investigar el comportamiento sospechoso del sistema debido a la incompatibilidad de software o hardware o a la infección de código malicioso. Puede acceder a SysInspector de dos formas: Desde la versión integrada en ESET Mail Security o descargando la versión independiente (SysInspector.exe) del sitio web de ESET de forma gratuita. Para abrir SysInspector, pulse Ctrl + M para activar el modo avanzado y haga clic en Herramientas > SysInspector. Las dos versiones tiene una función idéntica y los mismos controles del programa. Solo se diferencian en el modo de gestión de los resultados. Tanto la versión descargada como la versión integrada le permiten exportar instantáneas del sistema en un archivo .xml y guardarlas en el disco. No obstante, la versión integrada también le permite almacenar las instantáneas del sistema directamente en Herramientas > SysInspector (para obtener más información, consulte la sección SysInspector como parte de ESET Mail Security 97 ). ESET SysInspector tardará un rato en analizar el ordenador; el tiempo necesario puede variar entre 10 segundos y unos minutos, según la configuración de hardware, el sistema operativo y el número de aplicaciones instaladas en el ordenador. 4.6.1.1 Inicio de ESET SysInspector Para iniciar ESET SysInspector simplemente tiene que ejecutar el archivo SysInspector.exe que descargó del sitio web de ESET. Si ya tiene instalado alguno de los productos de seguridad de ESET, puede ejecutar ESET SysInspector directamente desde el menú Inicio (Programas > ESET > ESET Mail Security). Espere mientras la aplicación examina el sistema. El proceso de inspección puede tardar varios minutos, en función del hardware de su ordenador y de los datos que se vayan a recopilar.

88

4.6.2 Interfaz de usuario y uso de la aplicación Para un uso sencillo, la ventana principal se divide en cuatro secciones: Controles de programa, en la parte superior de la ventana principal; la ventana de navegación, situada a la izquierda; la ventana Descripción, situada a la derecha en el medio; y la ventana Detalles, situada a la derecha, en la parte inferior de la ventana principal. En la sección Estado de registro se enumeran los parámetros básicos de un registro (filtro utilizado, tipo de filtro, si el registro es resultado de una comparación, etc.).

4.6.2.1 Controles de programa Esta sección contiene la descripción de todos los controles de programa disponibles en ESET SysInspector. Archivo Al hacer clic en Archivo, puede guardar el estado actual del sistema para examinarlo más tarde o abrir un registro guardado anteriormente. Para la publicación, es recomendable que genere un registro Para enviar. De esta forma, el registro omite la información confidencial (nombre del usuario actual, nombre del ordenador, nombre del dominio, privilegios del usuario actual, variables de entorno, etc.). NOTA: los informes almacenados de ESET SysInspector se pueden abrir previamente arrastrándolos y soltándolos en la ventana principal. Árbol Le permite expandir o cerrar todos los nodos, y exportar las secciones seleccionadas al script de servicio. Lista Contiene funciones para una navegación más sencilla por el programa y otras funciones como, por ejemplo, la búsqueda de información en línea. Ayuda Contiene información sobre la aplicación y sus funciones. Detalle Este ajuste modifica la información mostrada en la ventana principal para que pueda trabajar con ella más fácilmente. El modo "Básico" le permite acceder a la información utilizada para buscar soluciones a problemas comunes del sistema. En el modo "Medio", el programa muestra menos detalles. En el modo "Completo", ESET SysInspector muestra toda la información necesaria para solucionar problemas muy específicos. Filtrado de elementos Es la mejor opción para buscar entradas de registro o archivos sospechosos en el sistema. Ajuste el control deslizante para filtrar los elementos por su nivel de riesgo. Si el control deslizante se coloca lo más a la izquierda posible (nivel de riesgo 1), se mostrarán todos los elementos. Al mover el control deslizante a la derecha, el programa filtra todos los elementos menos los que tienen un nivel de riesgo inferior al actual y muestra solo los elementos con un nivel de sospecha superior al mostrado. Si el control deslizante está colocado lo más a la derecha posible, el programa mostrará solo los elementos dañinos conocidos. Todos los elementos que tengan un nivel de riesgo entre 6 y 9 pueden constituir un riesgo de seguridad. Si utiliza 89

una solución de seguridad de ESET, le recomendamos que analice su sistema con ESET Online Scanner cuando ESET SysInspector encuentre un elemento de este tipo. ESET Online Scanner es un servicio gratuito. NOTA: el nivel de riesgo de un elemento se puede determinar rápidamente comparando el color del elemento con el color del control deslizante de nivel de riesgo. Búsqueda Esta opción se puede utilizar para buscar rápidamente un elemento específico por su nombre completo o parcial. Los resultados de la solicitud de búsqueda aparecerán en la ventana Descripción. Volver Al hacer clic en la flecha hacia atrás o hacia delante, puede volver a la información mostrada previamente en la ventana Descripción. Puede utilizar la tecla Retroceso y la tecla de espacio, en lugar de hacer clic en las flechas atrás y adelante. Sección de estado Muestra el nodo actual en la ventana de navegación. Importante: los elementos destacados en rojo son elementos desconocidos, por eso el programa los marca como potencialmente peligrosos. Que un elemento aparezca marcado en rojo no significa que deba eliminar el archivo. Antes de eliminarlo, asegúrese de que el archivo es realmente peligroso o innecesario. 4.6.2.2 Navegación por ESET SysInspector ESET SysInspector divide los tipos de información en distintas secciones básicas denominadas nodos. Si está disponible, puede encontrar información adicional expandiendo cada uno de los nodos en subnodos. Para abrir o contraer un nodo, haga doble clic en el nombre del nodo o haga clic en o , junto al nombre del nodo. A medida que explora la estructura de árbol de nodos y subnodos en la ventana de navegación, encontrará información variada de cada nodo en la ventana Descripción. Si examina los elementos en la ventana Descripción, es posible que se muestre información adicional de cada uno de los elementos en la ventana Detalles. A continuación, se encuentran las descripciones de los nodos principales de la ventana de navegación e información relacionada en las ventanas Descripción y Detalles. Procesos en ejecución Este nodo contiene información sobre las aplicaciones y los procesos que se ejecutan al generar el registro. En la ventana Descripción, puede encontrar información adicional de cada proceso como, por ejemplo, bibliotecas dinámicas utilizadas por el proceso y su ubicación en el sistema, el nombre del proveedor de la aplicación, el nivel de riesgo del archivo, etc. La ventana Detalles contiene información adicional de los elementos seleccionados en la ventana Descripción como, por ejemplo, el tamaño del archivo o su hash. NOTA: un sistema operativo incluye varios componentes kernel importantes que se ejecutan 24 horas al día, 7 días de la semana, y proporcionan funciones básicas y esenciales para otras aplicaciones de usuario. En determinados casos, estos procesos aparecen en la herramienta ESET SysInspector con una ruta de archivo que comienza por \??\. Estos símbolos proporcionan optimización de prelanzamiento de esos procesos; son seguros para el sistema; son seguros para el sistema. Conexiones de red La ventana Descripción contiene una lista de procesos y aplicaciones que se comunican a través de la red utilizando el protocolo seleccionado en la ventana de navegación (TCP o UDP), así como la dirección remota a la que se conecta la aplicación. También puede comprobar las direcciones IP de los servidores DNS. La ventana Detalles contiene información adicional de los elementos seleccionados en la ventana Descripción como, por ejemplo, el tamaño del archivo o su hash. Entradas de registro importantes Contiene una lista de entradas de registro seleccionadas que suelen estar asociadas a varios problemas del sistema, como las que especifican programas de arranque, objetos auxiliares del navegador (BHO), etc. En la ventana Descripción, puede encontrar los archivos que están relacionados con entradas de registro específicas. Puede ver información adicional en la ventana Detalles. Servicios La ventana Descripción contiene una lista de archivos registrados como Windows Services (Servicios de Windows). En la ventana Detalles, puede consultar el modo de inicio definido para el servicio e información específica del archivo. Controladores Una lista de los controladores instalados en el sistema. Archivos críticos En la ventana Descripción se muestra el contenido de los archivos críticos relacionados con el sistema operativo Microsoft Windows. Información del sistema Contiene información detallada sobre el hardware y el software, así como información sobre las variables de entorno y los derechos de usuario establecidos. 90

Detalles del archivo Una lista de los archivos del sistema importantes y los archivos de la carpeta Archivos de programa. Encontrará información adicional específica de los archivos en las ventanas Descripción y Detalles. Acerca de Información sobre ESET SysInspector. 4.6.2.3 Comparar La característica Comparar permite al usuario comparar dos registros existentes. El resultado de esta característica es un conjunto de elementos no comunes a ambos registros. Esta opción es útil para realizar un seguimiento de los cambios realizados en el sistema; se trata de una herramienta útil para detectar la actividad de código malicioso. Una vez iniciada, la aplicación crea un registro nuevo, que aparecerá en una ventana nueva. Vaya a Archivo -> Guardar registro para guardar un registro en un archivo. Los archivos de registro se pueden abrir y ver posteriormente. Para abrir un registro existente, utilice el menú Archivo > Abrir registro. En la ventana principal del programa, ESET SysInspector muestra siempre un registro a la vez. La comparación de dos registros le permite ver simultáneamente un registro activo y un registro guardado en un archivo. Para comparar registros, utilice la opción Archivo -> Comparar registros y elija Seleccionar archivo. El registro seleccionado se comparará con el registro activo en la ventana principal del programa. El registro comparativo solo muestra las diferencias entre los dos registros. NOTA: si compara dos archivos de registro, seleccione Archivo > Guardar registro para guardarlo como archivo ZIP. Se guardarán ambos archivos. Si abre posteriormente dicho archivo, los registros contenidos en el mismo se compararán automáticamente. Junto a los elementos mostrados, SysInspector muestra símbolos que identifican las diferencias entre los registros comparados. Los elementos marcados con un solo se encuentran en el registro activo y no están presentes en el registro comparativo abierto. Los elementos marcados con un están presentes solo en el registro abierto, no en el registro activo. Descripción de todos los símbolos que pueden aparecer junto a los elementos: Nuevo valor que no se encuentra en el registro anterior. La sección de estructura de árbol contiene valores nuevos. Valor eliminado que solo se encuentra en el registro anterior. La sección de estructura de árbol contiene valores eliminados. Se ha cambiado un valor o archivo. La sección de estructura de árbol contiene valores o archivos modificados. Ha disminuido el nivel de riesgo, o este era superior en el registro anterior. Ha aumentado el nivel de riesgo o era inferior en el registro anterior. La explicación que aparece en la esquina inferior izquierda describe todos los símbolos, además de mostrar los nombres de los registros que se están comparando.

Los registros comparativos se pueden guardar en un archivo para consultarlos más adelante. Ejemplo Genere y guarde un registro, que incluya información original sobre el sistema, en un archivo con el nombre previo. xml. Tras realizar los cambios en el sistema, abra SysInspector y deje que genere un nuevo registro. Guárdelo en un archivo con el nombre actual.xml. Para realizar un seguimiento de los cambios entre estos dos registros, vaya a Archivo -> Comparar registros. El programa creará un registro comparativo con las diferencias entre ambos registros. Se puede lograr el mismo resultado con la siguiente opción de la línea de comandos: SysIsnpector.exe actual.xml previo.xml

91

4.6.3 Parámetros de la línea de comandos ESET SysInspector admite la generación de informes desde la línea de comandos con estos parámetros: /gen genera un registro directamente desde la línea de comandos, sin ejecutar la interfaz gráfica de usuario /privacy genera un registro que no incluye la información confidencial /zip almacena el registro resultante directamente en el disco, en un archivo comprimido /silent oculta la barra de progreso del proceso de generación del registro /help, /? muestra información acerca de los parámetros de la línea de comandos Ejemplos Para cargar un registro determinado directamente en el navegador, utilice: SysInspector.exe "c:\clientlog.xml" Para generar un registro en una ubicación actual, utilice: SysInspector.exe /gen Para generar un registro en una carpeta específica, utilice: SysInspector.exe /gen="c:\folder\" Para generar un registro en una carpeta o ubicación específica, utilice: SysInspector.exe /gen="c:\folder\mynewlog.xml" Para generar un registro que no incluya la información confidencial directamente como archivo comprimido, utilice: SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip Para comparar dos registros, utilice: SysInspector.exe "current.xml" "original.xml" NOTA: si el nombre del archivo o la carpeta contiene un espacio, debe escribirse entre comillas. 4.6.4 Script de servicio El script de servicio es una herramienta que ayuda a los clientes que utilizan ESET SysInspector eliminando del sistema los objetos no deseados fácilmente. El script de servicio permite al usuario exportar el registro completo de SysInspector o las partes que seleccione. Después de exportarlo, puede marcar los objetos que desea eliminar. A continuación, puede ejecutar el registro modificado para eliminar los objetos marcados. El script de servicio es ideal para los usuarios avanzados con experiencia previa en el diagnóstico de problemas del sistema. Las modificaciones realizadas por usuarios sin experiencia pueden provocar daños en el sistema operativo. Ejemplo Si tiene la sospecha de que el ordenador está infectado por un virus que el antivirus no detecta, siga estas instrucciones: Ejecute ESET SysInspector para generar una nueva instantánea del sistema. Seleccione el primero y el último elemento de la sección de la izquierda (en la estructura de árbol) mientras mantiene pulsada la tecla Ctrl. Haga clic con el botón derecho del ratón en los objetos seleccionados y seleccione la opción del menú contextual Exportar secciones seleccionadas al script de servicio . Los objetos seleccionados se exportarán a un nuevo registro. Este es el paso más importante de todo el procedimiento: abra el registro nuevo y cambie el atributo - a + para todos los objetos que desee eliminar. Asegúrese de que no ha marcado ningún archivo u objeto importante del sistema operativo. Abra ESET SysInspector, haga clic en Archivo > Ejecutar script de servicio y escriba la ruta de acceso al script. Haga clic en Aceptar para ejecutar el script. 4.6.4.1 Generación de scripts de servicio Para generar un script de servicio, haga clic con el botón derecho del ratón en cualquier elemento del árbol de menús (en el panel izquierdo) de la ventana principal de SysInspector. En el menú contextual, seleccione la opción Exportar todas las secciones al script de servicio o la opción Exportar secciones seleccionadas al script de servicio. NOTA: cuando se comparan dos registros, el script de servicio no se puede exportar.

92

4.6.4.2 Estructura del script de servicio En la primera línea del encabezado del script encontrará información sobre la versión del motor (ev), la versión de la interfaz gráfica de usuario (gv) y la versión del registro (lv). Puede utilizar estos datos para realizar un seguimiento de los posibles cambios del archivo .xml que genere el script y evitar las incoherencias durante la ejecución. Esta parte del script no se debe modificar. El resto del archivo se divide en secciones, donde los elementos se pueden modificar (indique los que procesará el script). Para marcar los elementos que desea procesar, sustituya el carácter “-” situado delante de un elemento por el carácter “+”. En el script, las secciones se separan mediante una línea vacía. Cada sección tiene un número y un título. 01) Running processes (Procesos en ejecución) En esta sección se incluye una lista de todos los procesos que se están ejecutando en el sistema. Cada proceso se identifica mediante su ruta UNC y, posteriormente, su código hash CRC16 representado mediante asteriscos (*). Ejemplo: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...]

En este ejemplo se ha seleccionado (marcado con el carácter "+") el proceso module32.exe, que finalizará al ejecutar el script. 02) Loaded modules (Módulos cargados) En esta sección se listan los módulos del sistema que se utilizan actualmente. Ejemplo: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...]

En este ejemplo, se marcó el módulo khbekhb.dll con el signo "+". Cuando se ejecute, el script reconocerá los procesos mediante el módulo específico y los finalizará. 03) TCP connections (Conexiones TCP) En esta sección se incluye información sobre las conexiones TCP existentes. Ejemplo: 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...]

Cuando se ejecute, el script localizará al propietario del socket en las conexiones TCP marcadas y detendrá el socket, liberando así recursos del sistema. 04) UDP endpoints (Puntos finales UDP) En esta sección se incluye información sobre los puntos finales UDP. Ejemplo: 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...]

Cuando se ejecute, el script aislará al propietario del socket en los puntos finales UDP marcados y detendrá el socket. 05) DNS server entries (Entradas del servidor DNS) En esta sección se proporciona información sobre la configuración actual del servidor DNS. Ejemplo: 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...]

Las entradas marcadas del servidor DNS se eliminarán al ejecutar el script. 06) Important registry entries (Entradas de registro importantes) En esta sección se proporciona información sobre las entradas de registro importantes.

93

Ejemplo: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...]

Cuando se ejecute el script, las entradas marcadas se eliminarán, reducirán a valores de 0 bytes o restablecerán en sus valores predeterminados. La acción realizada en cada entrada depende de su categoría y del valor de la clave en el registro específico. 07) Services (Servicios) En esta sección se listan los servicios registrados en el sistema. Ejemplo: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...]

Cuando se ejecute el script, los servicios marcados y los servicios dependientes se detendrán y desinstalarán. 08) Drivers (Controladores) En esta sección se listan los controladores instalados. Ejemplo: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...]

Cuando se ejecuta el script, se anula el registro del sistema de los controladores seleccionados, que después se eliminan. 09) Critical files (Archivos críticos) En esta sección se proporciona información sobre los archivos críticos para el sistema operativo. Ejemplo: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...]

Los elementos seleccionados se eliminarán o restablecerán en sus valores originales. 4.6.4.3 Ejecución de scripts de servicio Seleccione todos los elementos que desee y, a continuación, guarde y cierre el script. Ejecute el script modificado directamente desde la ventana principal de SysInspector, con la opción Ejecutar script de servicio del menú Archivo. Cuando abra un script, el programa mostrará el mensaje siguiente: ¿Está seguro de que desea ejecutar el script de servicio "%Scriptname%"? Una vez que haya confirmado la selección, es posible que se muestre otra advertencia para informarle de que el script de servicio que intenta ejecutar no está firmado. Haga clic en Ejecutar para iniciar el script. Se abrirá un cuadro de diálogo para indicarle que el script se ha ejecutado correctamente. Si el script no se puede procesar por completo, se mostrará un cuadro de diálogo con el mensaje siguiente: El script de servicio se ejecutó parcialmente. ¿Desea ver el informe de errores? Seleccione Sí para ver un informe de errores completo con todas las operaciones que no se ejecutaron. Si no se reconoce el script, aparece un cuadro de diálogo con el mensaje siguiente: No se ha firmado el script de servicio seleccionado. La ejecución de scripts desconocidos y sin firmar podría dañar seriamente los datos del ordenador. ¿Está seguro de que desea ejecutar el script y llevar a cabo las acciones? Esto podría deberse a que el script presenta incoherencias (encabezado dañado, título de sección dañado, falta línea vacía entre secciones, etc.). Vuelva a abrir el archivo del script y corrija los errores o cree un script de servicio nuevo. 94

4.6.5 Accesos directos Los accesos directos que se pueden utilizar en ESET SysInspector son: Archivo Ctrl + O Abrir el registro existente Ctrl + S guarda los registros creados Generar Ctrl + G Comprobación estándar del estado del sistema Ctrl + H realiza una comprobación del sistema que también puede registrar información confidencial Filtrado de elementos 1, O Seguro, se muestran los elementos que tienen un nivel de riesgo de 1 a 9. 2 Seguro, se muestran los elementos que tienen un nivel de riesgo de 2 a 9. 3 Seguro, se muestran los elementos que tienen un nivel de riesgo de 3 a 9. 4, U Desconocido, se muestran los elementos que tienen un nivel de riesgo de 4 a 9. 5 Desconocido, se muestran los elementos que tienen un nivel de riesgo de 5 a 9. 6 Desconocido, se muestran los elementos que tienen un nivel de riesgo de 6 a 9. 7, B Peligroso, se muestran los elementos que tienen un nivel de riesgo de 7 a 9. 8 Peligroso, se muestran los elementos que tienen un nivel de riesgo de 8 a 9. 9 Peligroso, se muestran los elementos que tienen un nivel de riesgo de 9. Disminuir el nivel de riesgo + aumenta el nivel de riesgo Ctrl + 9 modo de filtrado, nivel igual o mayor Ctrl + 0 modo de filtrado, nivel igual únicamente Ver Ctrl + 5 Ver por proveedor, todos los proveedores Ctrl + 6 ver por proveedor, solo Microsoft Ctrl + 7 ver por proveedor, todos los demás proveedores Ctrl + 3 Mostrar todos los detalles Ctrl + 2 Mostrar la mitad de los detalles Ctrl + 1 Visualización básica Retroceso retrocede un espacio Espacio avanza un espacio Ctrl + W Expandir el árbol Ctrl + Q Contraer el árbol Otros controles Ctrl + T Ir a la ubicación original del elemento tras seleccionarlo en los resultados de búsqueda Ctrl + P Mostrar la información básica de un elemento Ctrl + A Mostrar la información completa de un elemento Ctrl + C Copiar el árbol del elemento actual Ctrl + X Copiar elementos Ctrl + B Buscar información en Internet acerca de los archivos seleccionados Ctrl + L Abrir la carpeta en la que se encuentra el archivo seleccionado Ctrl + R Abrir la entrada correspondiente en el editor de registros Ctrl + Z Copiar una ruta de acceso a un archivo (si el elemento está asociado a un archivo) Ctrl + F activa el campo de búsqueda Ctrl + D Cerrar los resultados de búsqueda Ctrl + E ejecuta el script de servicio Comparación Ctrl + Alt + O abre el registro original/comparativo Ctrl + Alt + R Cancelar la comparación Ctrl + Alt + 1 Mostrar todos los elementos Ctrl + Alt + 2 muestra solo los elementos agregados, el registro mostrará los elementos presentes en el registro actual Ctrl + Alt + 3 muestra solo los elementos eliminados, el registro mostrará los elementos presentes en el registro anterior Ctrl + Alt + 4 muestra solo los elementos sustituidos (archivos incluidos) Ctrl + Alt + 5 muestra solo las diferencias entre registros Ctrl + Alt + C muestra la comparación Ctrl + Alt + N Mostrar el registro actual Ctrl + Alt + P Abrir el registro anterior Varios 95

F1 Alt + F4 Alt + Shift + F4 Ctrl + I

Ver la Ayuda Cerrar el programa Cerrar el programa sin preguntar Estadísticas del registro

4.6.6 Requisitos del sistema Para un funcionamiento óptimo de ESET SysInspector, el sistema debería cumplir con los siguientes requisitos de hardware y software: Windows 2000, XP y 2003 400 MHz 32 bits (x86)/64 bits (x64) 128 MB RAM de memoria del sistema 10 MB de espacio disponible Super VGA (800 x 600) Windows 7, Vista y 2008 1 GHz 32 bits (x86)/64 bits (x64) 512MB RAM de memoria del sistema 10 MB de espacio disponible Super VGA (800 x 600) 4.6.7 Preguntas frecuentes ¿Es necesario contar con privilegios de administrador para ejecutar ESET SysInspector? ESET SysInspector no requiere privilegios de administrador para su ejecución, pero sí es necesario utilizar una cuenta de administrador para acceder a parte de la información que recopila. Si lo ejecuta como usuario estándar o usuario restringido, se recopilará menos información sobre su entorno operativo. ¿ESET SysInspector crea archivos de registro? ESET SysInspector puede crear un archivo de registro de la configuración de su ordenador. Para guardar uno, seleccione Archivo > Guardar registro en el menú principal. Los registros se guardar con formato XML. Por defecto, los archivos se guardan en el directorio %USERPROFILE%\My Documents\, con una convención de nombre de archivo de "SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML". Si lo desea, puede modificar tanto la ubicación como el nombre del archivo de registro antes de guardarlo. ¿Cómo puedo ver el contenido del archivo de registro de ESET SysInspector? Para visualizar un archivo de registro creado por ESET SysInspector, ejecute la aplicación y seleccione Archivo > Abrir registro en el menú principal. También puede arrastrar y soltar los archivos de registro en la aplicación ESET SysInspector. Si necesita ver los archivos de registro de ESET SysInspector con frecuencia, le recomendamos que cree un acceso directo al archivo SYSINSPECTOR.EXE en su escritorio. Para ver los archivos de registro, arrástrelos y suéltelos en ese acceso directo. Por razones de seguridad, es posible que Windows Vista/7 no permita la opción de arrastrar y soltar entre ventanas con permisos de seguridad distintos. ¿Hay una especificación disponible para el formato de archivo de registro? ¿Y un kit de desarrollo de software? Actualmente, no se encuentra disponible ninguna especificación para el formato del archivo de registro, ni un conjunto de herramientas de programación, ya que la aplicación se encuentra aún en fase de desarrollo. Una vez que se haya lanzado, podremos proporcionar estos elementos en función de la demanda y los comentarios por parte de los clientes. ¿Cómo evalúa ESET SysInspector el riesgo que plantea un objeto determinado? Generalmente, ESET SysInspector asigna un nivel de riesgo a los objetos (archivos, procesos, claves de registro, etc). Para esto, utiliza una serie de reglas heurísticas que examinan las características de cada uno de ellos y, después, pondera el potencial de actividad maliciosa. Según estas heurísticas, a los objetos se les asignará un nivel de riesgo desde el valor "1: SEGURO" (EN COLOR VERDE) hasta "9: PELIGROSO" (EN COLOR ROJO). En el panel de navegación que se encuentra a la izquierda, las secciones estarán coloreadas según el nivel máximo de peligrosidad que presente un objeto en su interior. El nivel de riesgo "6: desconocido (en color rojo)", ¿significa que un objeto es peligroso? Las evaluaciones de ESET SysInspector no garantizan que un objeto sea malicioso. Esta determinación deberá confirmarla un experto en seguridad informática. ESET SysInspector está diseñado para proporcionar una guía rápida a estos expertos, con la finalidad de que conozcan los objetos que deberían examinar en un sistema en busca de algún comportamiento inusual. ¿Por qué ESET SysInspector se conecta a Internet cuando se ejecuta? Como muchas otras aplicaciones, ESET SysInspector contiene una firma digital que actúa a modo de "certificado". Esta firma sirve para garantizar que ESET ha desarrollado la aplicación y que esta no se ha alterado. Con el fin de comprobar la veracidad del certificado, el sistema operativo contacta con una autoridad de certificados para comprobar la identidad del editor del software. Este es el comportamiento normal de todos los programas firmados digitalmente en Microsoft Windows. 96

¿En qué consiste la tecnología Anti-Stealth? La tecnología Anti Stealth proporciona un método efectivo de detección de programas peligrosos (rootkits). Si el sistema recibe el ataque de código malicioso que se comporta como un programa peligroso (rootkit), los datos del usuario podrían dañarse o ser robados. Sin una herramienta especial contra programas peligrosos (rootkit), resulta casi imposible detectar programas peligrosos. ¿Por qué a veces hay archivos con la marca "Firmado por MS" que, al mismo tiempo, tienen una entrada de "Nombre de compañía" diferente? Al intentar identificar la firma digital de un archivo ejecutable, SysInspector comprueba primero si el archivo contiene una firma digital. Si ese fuera el caso, la identificación contenida en el archivo se utilizará para la validación. Por otro lado, si el archivo no contuviese una firma digital, el ESI comenzará a buscar el archivo CAT correspondiente (Security Catalog - %systemroot%\system32\catroot) que contenga información sobre el archivo ejecutable en proceso. Si se encuentra el archivo CAT, la firma digital de dicho archivo se utilizará para el proceso de validación del archivo ejecutable. Esta es la razón por la que a veces encontramos archivos marcados como "Firmados por MS" pero con un "Nombre de compañía" diferente. Ejemplo: Windows 2000 incluye la aplicación HyperTerminal, que se encuentra en C:\Archivos de programa\Windows NT. El archivo ejecutable de la aplicación principal no está firmado digitalmente; sin embargo, SysInspector lo marca como archivo firmado por Microsoft. La razón es la referencia que aparece en C:\WINNT\system32 \CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat que lleva a C:\Archivos de programa\Windows NT\hypertrm. exe (archivo ejecutable principal de la aplicación HyperTerminal), y sp4.cat está digitalmente firmado por Microsoft. 4.6.8 SysInspector como parte de ESET Mail Security Para abrir la sección SysInspector en ESET Mail Security, haga clic en Herramientas > SysInspector. El sistema de administración de la ventana de SysInspector es parecido al de los registros de análisis del ordenador o las tareas programadas. Se puede acceder a todas las operaciones con instantáneas del sistema (como crear, ver, comparar, eliminar y exportar) simplemente haciendo clic una o dos veces. La ventana de SysInspector contiene información básica acerca de las instantáneas creadas como, por ejemplo, la hora de creación, un breve comentario, el nombre del usuario que ha creado la instantánea y el estado de esta. Para Comparar, Crear o Eliminar instantáneas, utilice los botones correspondientes ubicados debajo de la lista de instantáneas de la ventana de SysInspector. Estas opciones también están disponibles en el menú contextual. Para ver la instantánea del sistema seleccionada, utilice la opción del menú contextual Ver. Para exportar la instantánea seleccionada a un archivo, haga clic con el botón derecho del ratón en ella y seleccione Exportar. A continuación, se muestra una descripción detallada de las opciones disponibles: Comparar : le permite comparar dos registros existentes. Esta opción es ideal para realizar un seguimiento de los cambios entre el registro actual y el anterior. Para poder aplicar esta opción, debe seleccionar dos instantáneas con el fin de compararlas. Agregar : crea un registro nuevo. Debe introducir antes un breve comentario acerca del registro. Para ver el progreso de la creación de instantáneas (de la instantánea que se está generando), consulte la columna Estado . Todas las instantáneas completadas aparecen marcadas con el estado Creado . Quitar : elimina entradas de la lista. Exportar: guarda la entrada seleccionada en un archivo XML (y también en una versión comprimida).

4.7 ESET SysRescue ESET SysRescue es una utilidad que le permite crear un disco de inicio que contenga ESET Mail Security. La principal ventaja de ESET SysRescue es que, aun teniendo un acceso directo al disco y a todo el sistema de archivos, ESET Mail Security se puede ejecutar con independencia del sistema operativo host. Gracias a esto, es posible eliminar las amenazas que normalmente no se podrían suprimir como, por ejemplo, cuando el sistema operativo se está ejecutando.

97

4.7.1 Requisitos mínimos ESET SysRescue funciona en el entorno de preinstalación de Microsoft Windows (Windows PE) versión 2.x, que se basa en Windows Vista. Windows PE forma parte del paquete gratuito Kit de instalación automatizada de Windows (Windows AIK), que debe instalarse previamente para poder crear ESET SysRescue (http://go.eset.eu/AIK ). Debido a la compatibilidad con la versión de 32 bits de Windows PE, es necesario utilizar un paquete de instalación de ESET Mail Security de 32 bits para la creación de ESET SysRescue en sistemas de 64 bits. ESET SysRescue es compatible con Windows AIK 1.1 y versiones posteriores. ESET SysRescue está disponible en ESET Mail Security 4.0 y versiones posteriores. Sistemas operativos compatibles Windows 7 Windows Vista Windows Vista Service Pack 1 Windows Vista Service Pack 2 Windows Server 2008 Windows Server 2003 Service Pack 1 con KB926044 Windows Server 2003 Service Pack 2 Windows XP Service Pack 2 con KB926044 Windows XP Service Pack 3 4.7.2 Cómo crear un CD de recuperación Para iniciar el asistente de ESET SysRescue, haga clic en Inicio > Programas > ESET > ESET Mail Security > ESET SysRescue. En primer lugar, el asistente comprueba si está instalado Windows AIK y un dispositivo adecuado para la creación de medios de arranque. Si Windows AIK no está instalado en el ordenador (o está dañado o mal instalado), el asistente le ofrecerá la opción de instalarlo o de escribir la ruta de acceso a la carpeta en la que se encuentre (http:// go.eset.eu/AIK). En el siguiente paso 98 , seleccione el medio de destino donde se ubicará ESET SysRescue. 4.7.3 Selección de objetivo Además de en CD, DVD y USB, también puede guardar ESET SysRescue en un archivo ISO. Posteriormente, puede grabar esta imagen ISO en un CD o DVD, o utilizarla de algún otro modo (por ejemplo, en un entorno virtual como VMware o VirtualBox). Si selecciona USB como medio de destino, es posible que la función de inicio no funcione en determinados ordenadores. En algunas versiones de la BIOS se pueden producir problemas de comunicación entre la administración de arranque y la BIOS (p. ej., en Windows Vista). El arranque tiene lugar con el siguiente mensaje de error: Archivo: \boot\bcd estado: 0xc000000e información: se ha producido un error al intentar leer los datos de la configuración de arranque.

Si le aparece este mensaje, le recomendamos que seleccione como medio un CD en lugar de un dispositivo USB. 4.7.4 Configuración Antes de iniciar la creación de ESET SysRescue, el asistente de instalación muestra los parámetros de compilación en el último paso del asistente de ESET SysRescue. Haga clic en el botón Cambiar para modificar estos parámetros. Entre las opciones disponibles están: Carpetas 99 Antivirus ESET 99 Avanzadas 99 Protocolo de Internet 99 Dispositivo de arranque USB 100 (cuando se selecciona el dispositivo USB de destino) Grabación 100 (cuando se selecciona la unidad de CD/DVD de destino) El botón Crear no está activo si no se especifica ningún paquete de instalación MSI, o si no se instala ninguna solución de seguridad ESET en el ordenador. Para seleccionar un paquete de instalación, haga clic en el botón Cambiar y vaya a la ficha ESET Antivirus. Además, si no rellena el nombre de usuario y la contraseña (Cambiar > ESET Antivirus), el botón Crear aparecerá atenuado.

98

4.7.4.1 Carpetas Carpeta temporal es un directorio de trabajo que contiene los archivos necesarios durante la compilación de ESET SysRescue. Carpeta ISO es una carpeta donde el archivo ISO resultante se guarda una vez completada la compilación. La lista de esta ficha muestra todas las unidades de red locales y asignadas, así como el espacio libre disponible. Si alguna de las carpetas se ubica en una unidad con espacio libre insuficiente, le recomendamos que seleccione otra unidad que tenga disponible más espacio libre. De lo contrario, la compilación puede finalizar antes de tiempo por falta de espacio libre en el disco. Aplicaciones externas: le permite especificar programas adicionales que se ejecutarán o instalarán tras el inicio de un medio de ESET SysRescue. Incluir aplicaciones externas: le permite agregar programas externos a la compilación de ESET SysRescue. Carpeta seleccionada: carpeta donde se encuentran los programas que agregarán al disco de ESET SysRescue. 4.7.4.2 Antivirus ESET Para crear un CD de ESET SysRescue, puede seleccionar dos orígenes de archivos ESET para la compilación. Carpeta ESS/EAV: archivos que ya se encuentran en la carpeta del ordenador donde se ha instalado el producto de ESET. Archivo MSI: se utilizan los archivos que se encuentran en el instalador de MSI. A continuación, tiene la posibilidad de actualizar la ubicación de los archivos (.nup). Normalmente, debe establecerse la opción predeterminada: Carpeta ESS/EAV/Archivo MSI. En algunos casos, se puede elegir una Carpeta de actualización personalizada; por ejemplo, para utilizar una versión anterior o más reciente de la base de firmas de virus. Puede utilizar una de las fuentes de nombre de usuario y contraseña que aparecen a continuación: ESS/EAV instalado: el nombre de usuario y la contraseña se copian de la versión instalada actualmente de ESET Mail Security. Del usuario: se utilizan el nombre de usuario y la contraseña introducidos en los cuadros de texto correspondientes. NOTA: la versión de ESET Mail Security presente en el CD de ESET SysRescue se actualiza a través de Internet o mediante la solución ESET Security instalada en el ordenador donde se ejecuta el CD de ESET SysRescue. 4.7.4.3 Configuración adicional En la ficha Avanzadas, puede optimizar el CD de ESET SysRescue en función de la cantidad de memoria del ordenador. Seleccione 576 MB o más para escribir el contenido del CD en la memoria operativa (RAM). Si selecciona menos de 576 MB, se accederá temporalmente al CD de recuperación cuando WinPE se ejecute. En la sección Controladores externos puede insertar controladores para su hardware específico (normalmente, un adaptador de red). WinPE se basa en Windows Vista SP1, que es compatible con un gran abanico de productos de hardware, pero a veces el hardware no se reconoce. Si esto sucede, tendrá que agregar el controlador manualmente. Hay dos maneras de agregar un controlador a la compilación de ESET SysRescue: manualmente (con el botón Agregar) y de forma automática (con el botón Búsq. auto.). Si lo agrega manualmente, debe seleccionar la ruta de acceso al archivo .inf correspondiente (el archivo *.sys aplicable también debe estar presente en esta carpeta). Si lo agrega automáticamente, el controlador se busca de forma automática en el sistema operativo del ordenador en cuestión. La adición automática se recomienda únicamente cuando ESET SysRescue se utiliza en un ordenador que tiene el mismo adaptador de red que el ordenador con el que se creó el CD de ESET SysRescue. Durante la creación de ESET SysRescue, el controlador se agrega a la compilación para que el usuario no tenga que buscarlo posteriormente. 4.7.4.4 Protocolo de Internet En esta sección puede configurar la información básica de la red y conexiones predefinidas según ESET SysRescue. Seleccione Dirección IP privada automática para obtener la dirección IP automáticamente del servidor DHCP (Protocolo de configuración dinámica de host). Esta conexión de red también puede utilizar una dirección IP especificada manualmente (llamada dirección IP estática). Seleccione Personalizar para configurar los ajustes de IP adecuados. Si selecciona esta opción, debe especificar una Dirección IP y, para las conexiones de red local y de Internet de alta velocidad, una Máscara de subred. En Servidor DNS preferido y Servidor DNS alternativo, escriba las direcciones del servidor DNS primario y secundario.

99

4.7.4.5 Dispositivo de arranque USB Si ha seleccionado un dispositivo USB como medio de destino, puede seleccionar uno de los dispositivos USB disponibles en la ficha Dispositivo de arranque USB (en caso de que haya más dispositivos USB). Seleccione el Dispositivo de destino para la instalación de ESET SysRescue. Alerta: el dispositivo USB seleccionado se formateará durante la creación de ESET SysRescue, y se eliminarán todos los datos que contenga. Si selecciona la opción Formato rápido, el proceso de formateo eliminará todos los archivos de la partición, pero no comprobará la presencia de sectores con errores en el disco. Utilice esta opción si el dispositivo USB ya se ha formateado anteriormente y está seguro de que no presenta daños. 4.7.4.6 Grabar Si ha seleccionado CD/DVD como medio de destino, puede especificar los parámetros de grabación adicionales en la ficha Grabar. Eliminar archivo ISO: marque esta opción para eliminar el archivo ISO temporal una vez que se haya creado el CD de ESET SysRescue. Eliminación activada: le permite elegir el borrado rápido o el completo. Dispositivo de grabación: seleccione la unidad que se utilizará para grabar. Alerta: esta es la opción predeterminada. Si se utiliza un CD/DVD regrabable, se borrarán todos los datos contenidos en dicho CD/DVD. La sección Medio contiene información sobre el medio introducido en el dispositivo de CD/DVD. Velocidad de grabación: seleccione la velocidad deseada en el menú desplegable. Las capacidades de su dispositivo de grabación y el tipo de CD/DVD utilizado deben tenerse en cuenta a la hora de seleccionar la velocidad de grabación. 4.7.5 Trabajo con ESET SysRescue Para que el CD/DVD/USB de recuperación funcione eficazmente, debe iniciar el ordenador desde el medio de arranque de ESET SysRescue. La prioridad de arranque se puede modificar en el BIOS. También puede ejecutar el menú de inicio durante el inicio del ordenador. Normalmente, esto se hace con una de las teclas F9-F12, en función de la versión de la placa base/BIOS que utilice. Después de arrancar desde un medio de arranque, ESET Mail Security se iniciará. Como ESET SysRescue solo se utiliza en situaciones específicas, algunos módulos de protección y características del programa presentes en la versión estándar de ESET Mail Security no son necesarios. La lista se limitará a Análisis del ordenador, Actualización y algunas secciones de Configuración. La capacidad para actualizar la base de firmas de virus es la característica más importante de ESET SysRescue, por lo que se recomienda actualizar el programa antes de iniciar un análisis del ordenador. 4.7.5.1 Uso de ESET SysRescue Supongamos que hay ordenadores de la red están infectados por un virus que modifica los archivos ejecutables (. exe). ESET Mail Security puede desinfectar todos los archivos excepto explorer.exe, que no se puede desinfectar ni en el modo seguro. Esto se debe a que explorer.exe, como uno de los procesos esenciales de Windows, se inicia también en modo seguro. ESET Mail Security no podría realizar ninguna acción en al archivo, que seguiría infectado. En esta situación, podría utilizar ESET SysRescue para solucionar el problema. ESET SysRescue no necesita ningún componente del sistema operativo host y, por lo tanto, puede procesar (desinfectar, eliminar, etc.) cualquier archivo del disco.

4.8 Opciones de la interfaz de usuario Las opciones de configuración de la interfaz de usuario de ESET Mail Security le permiten ajustar el entorno de trabajo según sus necesidades. Estas opciones de configuración están disponibles en la sección Interfaz de usuario del árbol de configuración avanzada de ESET Mail Security. En la sección Elementos de la interfaz de usuario, la opción Modo avanzado permite a los usuarios cambiar al modo avanzado. Este modo incluye controles adicionales y opciones de configuración más detalladas para ESET Mail Security. La interfaz gráfica de usuario debe desactivarse si los elementos gráficos disminuyen el rendimiento del ordenador o provocan otros problemas. Asimismo, es posible desactivar la interfaz gráfica para usuarios con discapacidades visuales, ya que podría entrar en conflicto con aplicaciones especiales que se utilizan para leer el texto que aparece en pantalla. Si desea desactivar la pantalla inicial de ESET Mail Security, desmarque la opción Mostrar pantalla inicial con la 100

carga del sistema. En la parte superior de la ventana principal del programa ESET Mail Security, aparece un menú estándar que se puede activar o desactivar en función de la opción Activar la barra clásica de menús de Windows. Si se activa la opción Mostrar sugerencias y consejos útiles, se mostrará una breve descripción al colocar el cursor sobre una opción. Si se activa la opción Resaltar el elemento de control activo al seleccionar, el sistema resaltará cualquier elemento que se encuentre en el área activa del cursor del ratón. El elemento resaltado se activará al hacer clic con el ratón. Para aumentar o disminuir la velocidad de los efectos animados, seleccione la opción Usar controles animados y mueva la barra deslizante Velocidad a la izquierda o la derecha. Para activar el uso de iconos animados para mostrar el progreso de varias operaciones, seleccione la opción Usar iconos animados para mostrar el progreso. Si desea que el programa emita una alerta sonora cuando se produzca un suceso importante, seleccione la opción Usar efectos de sonido.

Interfaz de usuario incluye características como la protección mediante contraseña de los parámetros de configuración de ESET Mail Security. Esta opción se encuentra en el submenú Protección de la configuración de Interfaz de usuario. Para ofrecer una seguridad máxima para su sistema, es esencial que el programa se haya configurado correctamente. Las modificaciones no autorizadas pueden provocar la pérdida de datos importantes. Para configurar una contraseña para proteger el parámetro de configuración, haga clic en Introduzca la contraseña.

101

4.8.1 Alertas y notificaciones La sección de configuración de alertas y notificaciones de Interfaz de usuario le permite configurar la gestión de las notificaciones del sistema y las alertas de amenaza en ESET Mail Security. El primer elemento es Mostrar alertas como ventanas independientes. Si desactiva esta opción, se cancelarán todas los mensajes de alerta. Solo resulta útil para una serie de situaciones muy específicas. Para la mayoría de los usuarios, se recomienda mantener la configuración predeterminada (activada). Para cerrar las ventanas emergentes automáticamente después de un período de tiempo determinado, seleccione la opción Cerrar automáticamente los cuadros de mensajes después de (seg.). Si no se cierran de forma manual, las ventanas de alerta se cerrarán automáticamente cuando haya transcurrido el período de tiempo especificado. Las notificaciones del escritorio y los globos de sugerencias son medios de información que no requieren ni ofrecen la intervención del usuario. Se muestran en el área de notificación, situada en la esquina inferior derecha de la pantalla. Para activar las notificaciones de escritorio, seleccione la opción Mostrar alertas como notificaciones en el escritorio. Es posible modificar el tiempo de visualización de las notificaciones y la transparencia mediante el botón Configurar notificaciones. Para obtener una vista previa del comportamiento de las notificaciones, haga clic en el botón Vista previa. Para configurar la duración del tiempo de visualización de los globos de sugerencias, consulte la opción Mostrar alertas como globos de sugerencias en la barra de tareas (seg.).

102

Haga clic en Configuración avanzada para acceder a las opciones de configuración de Alertas y notificaciones, que incluye la opción Mostrar solo notificaciones que requieran la interacción del usuario. Esta opción le permite activar o desactivar la visualización de alertas y notificaciones que no requieran la intervención del usuario. Seleccione Mostrar solo las notificaciones en las que se necesite la intervención del usuario cuando se ejecuten aplicaciones a pantalla completa para eliminar todas las notificaciones que no sean interactivas. En el menú desplegable Nivel mínimo de detalle de los eventos a mostrar, puede seleccionar el nivel de gravedad inicial de las alertas y notificaciones que se mostrarán. La última característica de esta sección le permite configurar el destino de las notificaciones en un entorno con varios usuarios. El campo En sistemas multiusuarios, mostrar las notificaciones en el escritorio del usuario: le permite definir quién recibirá notificaciones importantes de ESET Mail Security. Normalmente, se tratará de un administrador de sistemas o de redes. Esta opción resulta especialmente útil para servidores de terminal, siempre que todas las notificaciones del sistema se envíen al administrador. 4.8.2 Desactivar la GUI en Terminal Server En este capítulo se explica cómo desactivar la ejecución de la GUI de ESET Mail Security en Windows Terminal Server para las sesiones de usuario. Normalmente, la GUI de ESET Mail Security se inicia cada vez que un usuario remoto inicia sesión en el servidor y crea una sesión de Terminal; una acción que no suele ser deseable en los servidores Terminal Server. Si desea desactivar la GUI para sesiones de terminal, siga estos pasos: 1. Ejecute regedit.exe 2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Haga clic con el botón derecho del ratón en el valor egui y seleccione Modificar 4. Agregue un modificador /terminal al final de una cadena existente A continuación se proporciona un ejemplo de cómo debería ser el valor de egui: "C:\Archivos de programa\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal

Si desea restaurar esta configuración y activar el inicio automático de la GUI de ESET Mail Security, elimine el conmutador /terminal . Para ir al valor de registro de egui, repita los pasos del 1 al 3.

103

4.9 Línea de comandos El módulo antivirus de ESET Mail Security se puede iniciar manualmente a través de la línea de comandos, con el comando "ecls", o con un archivo por lotes ("bat"). Los siguientes parámetros y modificadores se pueden utilizar al ejecutar el análisis a petición desde la línea de comandos: Opciones generales: --help mostrar ayuda y salir - version mostrar información sobre la versión y salir - base-dir = CARPETA cargar módulos desde una CARPETA - quar-dir = CARPETA CARPETA de cuarentena - aind mostrar indicador de actividad Objetos: - files analizar archivos (predeterminado) - no-files no analizar archivos - boots analizar sectores de inicio (predeterminada) - no-boots no analizar sectores de inicio - arch analizar archivos comprimidos (predeterminado) - no-arch no analizar archivos - max-archive-level = NIVEL NIVEL de anidamiento de archivos máximo - scan-timeout = LÍMITE analizar archivos comprimidos con un LÍMITE máximo de segundos. Si el tiempo de análisis alcanza este límite, el análisis del archivo comprimido se detiene y se pasa al siguiente archivo. - max-arch-size=TAMAÑO analizar solo los primeros TAMAÑO bytes de los archivos (predeterminado 0 = ilimitado) - mail analizar archivos de correo electrónico - no-mail no analizar archivos de correo - sfx analizar archivos comprimidos de autoextracción - no-sfx no analizar archivos comprimidos de autoextracción - rtp analizar empaquetadores en tiempo real - no-rtp no analizar empaquetadores en tiempo real - exclude = CARPETA excluir CARPETA del análisis - subdir analizar subcarpetas (predeterminado) - no-subdir no analizar subcarpetas - max-subdir-level = NIVEL NIVEL de anidamiento de subcarpetas máximo (predeterminado 0 = ilimitado) - symlink seguir enlaces simbólicos (predeterminado) - no-symlink omitir enlaces simbólicos - ext-remove = EXTENSIONES - ext-exclude = EXTENSIONES excluir EXTENSIONES del análisis, separándolas por el signo ":" (dos puntos) Métodos: - adware analizar en busca de adware/spyware/riskware - no-adware no analizar en busca de adware/spyware/riskware - unsafe analizar en busca de aplicaciones potencialmente peligrosas - no-unsafe no analizar en busca de aplicaciones potencialmente peligrosas - unwanted analizar en busca de aplicaciones potencialmente indeseables - no-unwanted no analizar en busca de aplicaciones potencialmente indeseables - pattern usar firmas - no-pattern no usar firmas - heur activar heurística - no-heur desactivar heurística - adv-heur activar heurística avanzada - no-adv-heur desactivar heurística avanzada Desinfección: - action = ACCIÓN realizar ACCIÓN en objetos infectados. Acciones disponibles: none (sin acciones), clean (desinfectar), prompt (preguntar) - quarantine copiar archivos infectados en cuarentena (ACCIÓN opcional) - no-quarantine no copiar archivos infectados a cuarentena Registros:

104

- log-file=ARCHIVO registrar salida en ARCHIVO - log-rewrite sobrescribir el archivo de salida (predeterminado - agregar) - log-all registrar también los archivos sin infectar - no-log-all no registrar archivos sin infectar (predeterminado) Posibles códigos de salida del análisis: 0 no se ha encontrado ninguna amenaza 1 se ha encontrado una amenaza, pero no se ha desinfectado 10 algunos archivos no se desinfectaron 101 error en el archivo comprimido 102 error de acceso 103 Error interno NOTA: los códigos de salida superiores a 100 significan que no se ha analizado el archivo y que, por tanto, puede estar infectado.

4.10 Importar y exportar configuración La opción de importar y exportar configuraciones de ESET Mail Security está disponible en Configuración y se activa haciendo clic en Importar y exportar configuración. Tanto en la importación como en la exportación se utiliza el tipo de archivo .xml. La importación y la exportación son útiles para realizar copias de seguridad de la configuración actual de ESET Mail Security y, así, poder utilizarla más adelante. La opción de exportación de configuración también es de utilidad para los usuarios que desean utilizar su configuración preferida de ESET Mail Security en varios sistemas, ya que les permite importar fácilmente el archivo .xml para transferir los ajustes deseados.

4.11 ThreatSense.Net El sistema de alerta temprana ThreatSense.Net informa a ESET de manera constate e inmediata acerca de nuevas amenazas. El sistema de alerta temprana bidireccional ThreatSense.Net tiene una sola finalidad: mejorar la protección que le ofrecemos. La mejor forma de garantizar la detección de nuevas amenazas en cuanto aparecen es un "enlace" al mayor número posible de clientes que funcionen como exploradores de amenazas. Existen dos opciones: 1. Puede optar por no activar el sistema de alerta temprana ThreatSense.Net. El software no perderá funcionalidad y seguirá recibiendo la mejor protección que ofrecemos. 2. Puede configurar el sistema de alerta temprana ThreatSense.Net para enviar información anónima acerca de nuevas amenazas y sobre la ubicación del nuevo código malicioso. Este archivo se puede enviar a ESET para que realice un análisis detallado. El estudio de estas amenazas ayudará a ESET a actualizar sus funciones de detección de amenazas. El sistema de alerta temprana ThreatSense.Net recopilará información anónima del ordenador relacionada con las amenazas detectadas recientemente. Esta información puede incluir una muestra o copia del archivo donde haya aparecido la amenaza, la ruta a ese archivo, el nombre de archivo, la fecha y la hora, el proceso por el que apareció la amenaza en el ordenador e información sobre el sistema operativo del ordenador. Aunque existe la posibilidad de que este proceso pueda revelar cierta información acerca del usuario o su ordenador (nombres de usuario en una ruta al directorio, etc.) al laboratorio de ESET, esta información no se utilizará con NINGÚN propósito que no esté relacionado con la ayuda necesaria para responder inmediatamente a nuevas amenazas. De forma predeterminada, ESET Mail Security está configurado para confirmar el envío de archivos sospechosos para su análisis detallado en los laboratorios de ESET. Los archivos con determinadas extensiones, como .doc o .xls, se excluyen siempre. También puede agregar otras extensiones para excluir los archivos que usted o su empresa no deseen enviar.

105

La configuración de ThreatSense.Net está disponible en la ventana Configuración avanzada, en Herramientas > ThreatSense.Net. Seleccione la opción Activar el sistema de alerta temprana ThreatSense para activarla y haga clic en el botón Configuración avanzada.

4.11.1 Archivos sospechosos La opción Archivos sospechosos le permite configurar el modo de envío de amenazas al laboratorio de ESET para su análisis. Si encuentra un archivo sospechoso, puede enviarlo a nuestros laboratorios para su análisis. Si resulta ser una aplicación maliciosa, su detección se agregará a la siguiente actualización de la base de firmas de virus. Puede configurar el envío de archivos para que se realice automáticamente o seleccionar la opción Avisar antes de enviar si desea saber qué archivos se envían y confirmar el envío.

Si no desea que se envíe ningún archivo, seleccione la opción No enviar para su análisis. La selección de la opción de no enviar archivos no afecta al envío de datos estadísticos, que se configura de forma independiente (consulte la sección Estadísticas 107 ). Envío de archivos: de forma predeterminada, la opción Tan pronto como sea posible está seleccionada para que los archivos sospechosos se envíen al laboratorio de amenazas de ESET. Esta acción es aconsejable si se dispone de 106

una conexión a Internet permanente y es posible entregar los archivos sospechosos sin retrasos. Seleccione la opción Durante la actualización para que los archivos sospechosos se carguen en ThreatSense.Net durante la próxima actualización. Filtro de exclusión: esta opción le permite excluir del envío determinados archivos o carpetas. Esta opción puede ser útil, por ejemplo, para excluir archivos que puedan contener información confidencial, como documentos u hojas de cálculo. Los tipos de archivos más comunes se excluyen de manera predeterminada (.doc, etc.). Si lo desea, puede añadir elementos a la lista de archivos excluidos. Correo electrónico de contacto: Your Correo electrónico de contacto [opcional] se puede enviar con cualquier archivo sospechoso y se utilizará para solicitarle información adicional para el análisis, en caso de que sea necesaria. Tenga en cuenta que no recibirá una respuesta de ESET, a no ser que sea necesaria más información. 4.11.2 Estadísticas El sistema de alerta temprana ThreatSense.Net recopilará información anónima del ordenador relacionada con amenazas detectadas recientemente. Esta información puede incluir el nombre de la amenaza, la fecha y la hora en que se detectó, la versión del producto de seguridad de ESET, la versión del sistema operativo de su ordenador y la configuración regional. Normalmente, las estadísticas se envían a los servidores de ESET una o dos veces al día. A continuación, se proporciona un ejemplo de paquete de información estadística enviado: # # # # # # # # #

utc_time=2005-04-14 07:21:28 country="Slovakia" language="ENGLISH" osver=5.1.2600 NT engine=5417 components=2.50.2 moduleid=0x4e4f4d41 filesize=28368 filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1

Envío de archivos: puede indicar cuándo desea que se envíen los datos estadísticos. Si opta por enviarla Tan pronto como sea posible, la información estadística se enviará inmediatamente después de su creación. Esta configuración es aconsejable si se dispone de una conexión a Internet permanente. Si selecciona la opción Durante la actualización, los datos estadísticos se enviarán todos juntos cuando se realice la próxima actualización.

107

4.11.3 Envío de archivos Puede especificar cómo se enviarán a ESET los archivos y la información estadística. Seleccione la opción Mediante administración remota o directamente a ESET para que los archivos y la información estadística se envíen de todas las formas posibles. Seleccione la opción Mediante administración remota para entregar los archivos y las estadísticas al servidor de administración remota, que garantizará su posterior entrega a los laboratorios de ESET. Si se selecciona la opción Directamente a ESET, todos los archivos sospechosos y la información estadística se envían a los laboratorios virtuales de ESET directamente desde el programa.

Cuando hay archivos pendientes de enviar, el botón Enviar ahora está activo. Haga clic en este botón para enviar los archivos y la información estadística inmediatamente. Seleccione la opción Activar el registro de sucesos para crear un registro en el que anotar los envíos de archivos e información estadística.

108

4.12 Administración remota ESET Remote Administrator (ERA) es una potente herramienta que sirve para gestionar las directivas de seguridad y obtener información general sobre la seguridad global en una red. Es especialmente útil cuando se aplica a redes de gran tamaño. ERA no se limita a aumentar la seguridad, sino que también facilita la administración de ESET Mail Security en estaciones de trabajo cliente. Las opciones de configuración de la administración remota están disponibles en la ventana principal del programa ESET Mail Security. Haga clic en Configuración > Muestra las opciones avanzadas de configuración > Varios > Administración remota.

Para activar la administración remota, seleccione la opción Conectar al servidor de administración remota. Así, podrá acceder a las opciones que se describen a continuación: Intervalo entre conexiones al servidor (min.): designa la frecuencia con que ESET Mail Security se conectará al ERA Server. Si se establece en 0, la información se enviará cada 5 segundos. Dirección del servidor: dirección de red del servidor donde está instalado ERA Server. Puerto: este campo contiene un puerto de servidor predefinido que se utiliza para la conexión. Se recomienda dejar la configuración predeterminada del puerto en 2222. El servidor de administración remota requiere autenticación: esta opción le permite escribir una contraseña para conectarse a ERA Server, si es necesario. Haga clic en Aceptar para confirmar los cambios y aplicar la configuración. ESET Mail Security utilizará esta configuración para conectarse a ERA Server.

109

4.13 Licencias En la sección Licencias, puede administrar las claves de licencia de ESET Mail Security y otros productos de ESET, como ESET Mail Security. Las claves de licencia se proporcionan después de la compra, junto con el nombre de usuario y la contraseña. Para agregar/quitar una clave de licencia, haga clic en el botón correspondiente de la ventana del administrador de licencias. Puede acceder al administrador de licencias desde el árbol de configuración avanzada disponible debajo de Varios > Licencias.

La clave de licencia es un archivo de texto que contiene información acerca del producto adquirido: su propietario, número de licencias y fecha de expiración. La ventana del administrador de licencias le permite cargar y ver el contenido de una clave de licencia mediante el botón Agregar, de modo que puede ver su información en el administrador. Para eliminar los archivos de licencia de la lista, seleccione Quitar. Si una clave de licencia ha expirado y desea renovarla, haga clic en el botón Comprar para acceder a la tienda en línea.

110

5. Glosario 5.1 Tipos de amenazas Una amenaza es un software malicioso que intenta entrar en el ordenador de un usuario y dañarlo. 5.1.1 Virus Un virus informático es una amenaza que daña los archivos del ordenador. Su nombre se debe a los virus biológicos, ya que usan técnicas similares para pasar de un ordenador a otro. Los virus informáticos atacan principalmente a los archivos y documentos ejecutables. Para reproducirse, un virus adjunta su "cuerpo" al final de un archivo de destino. En resumen, así es cómo funciona un virus informático: después de la ejecución del archivo infectado, el virus se activa (antes de la aplicación original) y realiza la tarea que tiene predefinida. Después, se ejecuta la aplicación original. Un virus no puede infectar un ordenador a menos que un usuario (bien accidental o deliberadamente) ejecute o abra el programa malintencionado. Los virus informáticos pueden tener diversos fines y niveles de gravedad. Algunos son muy peligrosos, debido a su capacidad para eliminar archivos del disco duro de forma deliberada. Sin embargo, otros virus no causan daños reales, solo sirven para molestar al usuario y demostrar las capacidades técnicas de sus autores. Es importante mencionar que los virus (si se comparan con los troyanos o el spyware) son cada vez menos habituales, ya que no son atractivos desde un punto de vista comercial para los autores de software malintencionado. Además, el término "virus" se utiliza incorrectamente con mucha frecuencia para abarcar todo tipo de amenazas. Este término está desapareciendo gradualmente y se está sustituyendo por el término "malware" (software malicioso), que es más preciso. Si su ordenador se infecta con un virus, debe restaurar los archivos infectados a su estado original, es decir, desinfectarlos con un programa antivirus. Ejemplos de virus:: OneHalf, Tenga y Yankee Doodle. 5.1.2 Gusanos Un gusano informático es un programa que contiene código malicioso que ataca a los ordenadores host y se extiende a través de una red. La principal diferencia entre un virus y un gusano es que los gusanos tienen la capacidad de reproducirse y viajar solos, no dependen de archivos host (o sectores de inicio). Los gusanos se extienden por las direcciones de correo electrónico de la lista de contactos o explotan las vulnerabilidades de seguridad de las aplicaciones de red. Los gusanos son mucho más viables que los virus informáticos; dada la gran disponibilidad de Internet, se pueden extender por todo el mundo en cuestión de horas, o incluso minutos, desde su lanzamiento. Esta capacidad para reproducirse de forma independiente y rápida los hace más peligrosos que otros tipos de código malicioso. Un gusano activado en un sistema puede causar una serie de problemas: puede eliminar archivos, degradar el rendimiento del sistema o incluso desactivar algunos programas. Además, su naturaleza le permite servir de "medio de transporte" para otros tipos de amenazas. Si el ordenador está infectado con un gusano, es recomendable eliminar los archivos infectados, pues podrían contener código malicioso. Ejemplos de gusanos conocidos: Lovsan/Blaster, Stration/Warezov, Bagle y Netsky. 5.1.3 Caballos troyanos Históricamente, los troyanos informáticos se han definido como una clase de amenaza que intenta presentarse como un programa útil, engañando así a los usuarios para que permitan su ejecución. Sin embargo, es importante señalar que esto era así en el caso de los caballos troyanos del pasado; hoy en día, ya no necesitan disfrazarse. Su único fin es infiltrarse lo más fácilmente posible y cumplir sus malintencionados objetivos. "Troyano" se ha convertido en un término muy general para describir cualquier amenaza que no entre en ninguna clase de amenaza específica. Dado que se trata de una categoría muy amplia, con frecuencia se divide en muchas subcategorías: Descargador: programa malintencionado con capacidad para descargar otras amenazas de Internet. Lanzador: troyano diseñado para lanzar otros tipos de código malicioso en ordenadores vulnerables. Puerta trasera: aplicación que se comunica con atacantes remotos y les permite acceder a los sistemas para tomar su control. Registrador de pulsaciones: programa que registra cada pulsación que escribe el usuario y envía la información a atacantes remotos. Marcador: los marcadores son programas diseñados para conectar con números de tarifa con recargo. Es casi imposible que un usuario note que se ha creado una conexión. Los marcadores solo pueden causar daño a los usuarios que tienen módems de marcación, que ya casi no se utilizan. 111

Normalmente, los troyanos adoptan la forma de archivos ejecutables con la extensión .exe. Si se detecta un archivo como troyano en su ordenador, es recomendable que lo elimine, ya que lo más probable es que contenga código malicioso. Ejemplos de troyanos conocidos:: NetBus, Trojandownloader, Small.ZL y Slapper. 5.1.4 Rootkits Los rootkits son programas malintencionados que conceden a los atacantes de Internet acceso ilimitado a un sistema, al tiempo que ocultan su presencia. Una vez que han accedido al sistema (normalmente explotando alguna vulnerabilidad del mismo), usan funciones del sistema operativo para evitar su detección por parte del antivirus: ocultan procesos, archivos y datos de registro de Windows, etc. Por este motivo, es casi imposible detectarlos con las técnicas de detección normales. Hay dos niveles de detección disponibles para evitar los rootkits: 1) Cuando intentan acceder a un sistema. Aún no están presentes y, por tanto, están inactivos. La mayoría de los sistemas antivirus pueden eliminar rootkits en este nivel (suponiendo que realmente detectan dichos archivos como infectados). 2) Cuando se ocultan en el proceso normal de análisis. Los usuarios de ESET Mail Security tienen la ventaja de la tecnología Anti-Stealth, que también puede detectar y eliminar rootkits activos. 5.1.5 Adware Adware es la abreviatura del término inglés utilizado para el software relacionado con publicidad. Los programas que muestran material publicitario se incluyen en esta categoría. Normalmente, las aplicaciones de adware abren automáticamente una ventana emergente nueva con anuncios en el navegador de Internet o cambian la página de inicio del navegador. La aplicación de adware suele instalarse con programas gratuitos, lo que permite a los creadores de esos programas gratuitos cubrir los costes de desarrollo de sus aplicaciones (normalmente útiles). La aplicación de adware no es peligrosa en sí, pero molesta a los usuarios con publicidad. El peligro reside en el hecho de que la aplicación de adware también puede realizar funciones de seguimiento (al igual que las aplicaciones de spyware). Si decide utilizar un producto gratuito, preste especial atención al programa de instalación. La mayoría de los programas de instalación le informarán sobre la instalación de un programa de adware adicional. Normalmente, podrá cancelarlo e instalar el programa sin esta aplicación de adware. Sin embargo, algunos programas no se instalarán sin la aplicación de adware, o su funcionalidad será limitada. Esto significa que la aplicación de adware puede acceder al sistema de manera "legal" a menudo, pues los usuarios así lo han aceptado. En estos casos, es mejor prevenir que curar. Si se detecta un archivo de adware en el ordenador, es recomendable eliminarlo, pues existen muchas probabilidades de que contenga código malicioso. 5.1.6 Spyware Esta categoría abarca todas las aplicaciones que envían información privada sin el consentimiento o conocimiento del usuario. El spyware usa funciones de seguimiento para enviar diversos datos estadísticos, como una lista de sitios web visitados, direcciones de correo electrónico de la lista de contactos del usuario o una lista de palabras escritas. Los autores de spyware afirman que el objetivo de estas técnicas es averiguar más sobre las necesidades y los intereses de los usuarios, así como mejorar la gestión de la publicidad. El problema es que no existe una distinción clara entre las aplicaciones útiles y las malintencionadas, de modo que nadie puede estar seguro de que no se hará un mal uso de la información recuperada. Los datos obtenidos por aplicaciones spyware pueden contener códigos de seguridad, códigos PIN, números de cuentas bancarias, etc. Con frecuencia, el spyware se envía junto con versiones gratuitas de programas para generar ingresos o para ofrecer un incentivo para comprar el software. A menudo, se informa a los usuarios sobre la presencia de spyware durante la instalación de un programa para ofrecerles un incentivo para la adquisición de una versión de pago. Algunos ejemplos de productos gratuitos conocidos que se envían junto con spyware son las aplicaciones cliente de redes P2P (peer to peer). Spyfalcon o Spy Sheriff (y muchos más) pertenecen a una subcategoría específica de spyware: parecen programas antispyware, pero en realidad son aplicaciones de spyware. Si se detecta un archivo de spyware en su ordenador, es aconsejable que lo elimine, ya que es muy posible que contenga código malicioso.

112

5.1.7 Aplicaciones potencialmente peligrosas Existen muchos programas legítimos que sirven para simplificar la administración de ordenadores en red. Sin embargo, si caen en las manos equivocadas, podrían utilizarse con fines maliciosos. ESET Mail Security proporciona una opción para detectar estas amenazas. "Aplicaciones potencialmente peligrosas" es la clasificación utilizada para el software comercial legítimo. Esta clasificación incluye programas como herramientas de acceso remoto, aplicaciones para detectar contraseñas y registradores de pulsaciones 111 (programas que graban todas las teclas pulsadas por un usuario). Si averigua que hay una aplicación potencialmente peligrosa ejecutándose en su ordenador (y no la ha instalado usted), consulte al administrador de la red o elimine la aplicación. 5.1.8 Aplicaciones potencialmente indeseables Las aplicaciones potencialmente indeseables no tienen por qué ser maliciosas, pero pueden afectar al rendimiento del ordenador de forma negativa. Estas aplicaciones suelen necesitar el consentimiento del usuario para su instalación. Si se encuentran en su ordenador, el sistema se comportará de manera diferente (en comparación con el estado en el que se encontraba antes de la instalación). Los cambios más importantes son: Se abren ventanas nuevas que no se habían visto anteriormente. Activación y ejecución de procesos ocultos. Mayor uso de los recursos del sistema. Cambios en los resultados de búsqueda. La aplicación se comunica con servidores remotos.

5.2 Correo electrónico El correo electrónico es una forma de comunicación moderna que ofrece muchas ventajas: es flexible, rápido y directo; y tuvo un papel fundamental en la expansión de Internet a principios de los años 90. Lamentablemente, a causa de su alto nivel de anonimato, el correo electrónico e Internet dan cabida a actividades ilegales como la distribución de correo no deseado. El correo no deseado incluye anuncios no solicitados, información falsa y la difusión de software malicioso (código malicioso). Sus inconvenientes y peligros para el usuario son mayores porque el envío de correo no deseado tiene un coste mínimo, y los autores de este tipo de correo disponen de muchas herramientas para obtener nuevas direcciones de correo electrónico. Además, la cantidad y la variedad de correo no deseado dificulta en gran medida su regulación. Cuanto más utilice su dirección de correo electrónico, mayores serán las posibilidades de que acabe en la base de datos de un motor de correo no deseado. A continuación, le ofrecemos algunos consejos para su prevención: Si es posible, no publique su dirección de correo electrónico en Internet. Proporcione su dirección de correo electrónico únicamente a personas de confianza. Si es posible, no utilice alias muy comunes; cuanto más complicados sean, menor será la posibilidad de que puedan obtenerlos. No conteste a mensajes de correo no deseado que hayan llegado a su buzón de correo. Tenga cuidado cuando rellene formularios en Internet, preste especial atención a casillas como "Sí, deseo recibir información". Utilice direcciones de correo electrónico "especializadas”; por ejemplo, una para el trabajo, otra para comunicarse con sus amigos, etc. Cambie su dirección de correo electrónico periódicamente. Utilice una solución antispam. 5.2.1 Publicidad La publicidad en Internet es una de las formas de publicidad que presentan un crecimiento más rápido. Sus principales ventajas de marketing son los costes mínimos, un contacto muy directo y, lo más importante, el hecho de que los mensajes se entregan de forma casi inmediata. Muchas empresas utilizan herramientas de marketing por correo electrónico para comunicarse eficazmente con sus clientes actuales y potenciales. Este tipo de publicidad es legítimo, ya que es posible que el usuario esté interesado en recibir información comercial sobre algunos productos. No obstante, son muchas las empresas que envían mensajes publicitarios no deseados en serie. En estos casos, la publicidad por correo electrónico cruza la línea y se convierte en correo no deseado. Actualmente, la enorme cantidad de correo no solicitado constituye un problema y no tiene visos de disminuir. Los autores de correos electrónicos no solicitados intentan disfrazar el correo no deseado como mensajes legítimos.

113

5.2.2 Información falsa La información falsa se extiende a través de Internet. Normalmente, la información falsa se envía mediante herramientas de comunicación o correo electrónico como ICQ y Skype. El mensaje en sí suele ser una broma o una leyenda urbana. La información falsa sobre virus de ordenador pretende generar miedo, incertidumbre y duda en los destinatarios, haciéndoles creer que existe un "virus indetectable" que elimina archivos y recupera contraseñas, o que realiza ciertas acciones que pueden provocar daños en el sistema. Algunos elementos de información falsa solicitan a los destinatarios que reenvíen los mensajes a sus contactos, divulgando así dicha información. La información falsa también se transmite a través de teléfonos móviles, peticiones de ayuda, personas que se ofrecen a enviarle dinero desde países extranjeros, etc. Por lo general, es imposible averiguar la intención del creador. Si recibe un mensaje donde se le solicita que lo reenvíe a todas las personas que conozca, es muy probable que se trate de información falsa. En Internet encontrará muchos sitios web que pueden verificar la legitimidad de un mensaje de correo electrónico. Antes de reenviarlo, realice una búsqueda en Internet sobre cualquier mensaje que sospeche que contiene información falsa. 5.2.3 Phishing El término phishing define una actividad delictiva que usa técnicas de ingeniería social (manipulación de los usuarios para obtener información confidencial). Su objetivo es acceder a datos confidenciales como números de cuentas bancarias, códigos PIN, etc. Normalmente, el acceso se consigue enviando correos electrónicos con remitentes disfrazados de personas o empresas serias (instituciones financieras, compañías de seguros, etc.). La apariencia del correo electrónico puede ser muy genuina, y contener gráficos y texto originales de la fuente por la que desean hacerse pasar. En el mensaje se le pide que escriba, con varios pretextos (verificación de datos, operaciones financieras), algunos de sus datos personales: números de cuentas bancarias o nombres de usuario y contraseñas. Dichos datos, si se envían, pueden ser fácilmente sustraídos o utilizados de forma fraudulenta. Los bancos, las compañías de seguros y otras empresas legítimas nunca le pedirían sus nombres de usuario y contraseña en un correo electrónico no solicitado. 5.2.4 Reconocimiento de correo no deseado no solicitado Por lo general, existen pocos indicadores que puedan ayudarle a identificar el correo no deseado (spam) en su buzón de correo. Si un mensaje cumple, como mínimo, una de las siguientes condiciones, es muy probable que se trate de un mensaje de correo no deseado: La dirección del remitente no pertenece a ninguna persona de su lista de contactos. El mensaje le ofrece una gran cantidad de dinero, pero tiene que proporcionar una pequeña cantidad previamente. El mensaje le solicita que introduzca, con varios pretextos (verificación de datos, operaciones financieras), algunos de sus datos personales (números de cuentas bancarias, nombres de usuario y contraseñas, etc.). Está escrito en otro idioma. Le solicita que adquiera un producto en el que no está interesado. Si decide comprarlo de todos modos, compruebe que el remitente del mensaje es un proveedor fiable (consulte al fabricante del producto original). Algunas palabras están mal escritas para intentar engañar a su filtro de correo no deseado. Por ejemplo, "vaigra” en lugar de “viagra”, entre otros. 5.2.4.1 Reglas En el contexto de las soluciones antispam y los clientes de correo electrónico, las reglas son herramientas para manipular funciones de correo electrónico que constan de dos partes lógicas: 1) Condición (por ejemplo, un mensaje entrante de una dirección concreta). 2) Acción (por ejemplo, la eliminación del mensaje o su transferencia a una carpeta específica). El número y la combinación de reglas varía en función de la solución antispam. Estas reglas sirven como medidas contra el correo no deseado. Ejemplos típicos: Condición: un correo electrónico entrante contiene algunas palabras que suelen aparecer en los mensajes de correo no deseado 2. Acción: eliminar el mensaje. Condición: un correo electrónico entrante contiene un archivo adjunto con una extensión .exe 2. Acción: eliminar el archivo adjunto y enviar el mensaje al buzón de correo. Condición: recibe un correo electrónico entrante de su jefe 2. Acción: mover el mensaje a la carpeta "Trabajo". Es recomendable que, en los programas antispam, use una combinación de reglas para facilitar la administración y filtrar el correo no deseado de forma más eficaz.

114

5.2.4.2 Filtro Bayesiano El filtro Bayesiano de correo no deseado es una forma efectiva de filtrar correo electrónico que utilizan casi todos los productos antispam. Este filtro identifica el correo no solicitado con una gran precisión y funciona de forma individual para cada usuario. La funcionalidad se basa en el principio siguiente: el proceso de aprendizaje tiene lugar en la primera fase. El usuario marca manualmente un número suficiente de mensajes como mensajes legítimos o como correo no deseado (normalmente 200/200). El filtro analiza ambas categorías y aprende, por ejemplo, que el correo no deseado contiene las palabras "rolex" o "viagra" y que los mensajes legítimos proceden de familiares o de direcciones incluidas en la lista de contactos del usuario. Si se procesa un número adecuado de mensajes, el filtro Bayesiano puede asignar un "índice de correo no deseado" a cada mensaje para determinar si es spam o no. La principal ventaja del filtro Bayesiano es su flexibilidad. Por ejemplo, si un usuario es biólogo, normalmente todos los correos electrónicos entrantes sobre biología o campos de estudio relacionados recibirán un índice de probabilidad inferior. Si un mensaje incluye palabras que normalmente lo clasificarían como no solicitado, pero lo envía alguien de la lista de contactos del usuario, este se marcará como legítimo, ya que los remitentes de una lista de contactos reducen la probabilidad general de correo no deseado. 5.2.4.3 Lista blanca Por lo general, una lista blanca es una lista de elementos o personas aceptados o a los que se ha concedido permiso. El término "lista blanca de correo electrónico" es una lista de contactos de los que el usuario desea recibir mensajes. Estas listas blancas se basan en palabras clave que se buscan en direcciones de correo electrónico, nombres de dominios o direcciones IP. Si una lista blanca funciona en "modo de exclusividad", no se recibirán los mensajes procedentes de otras direcciones, dominios o direcciones IP. Si la lista no es exclusiva, estos mensajes no se eliminarán, sino que se filtrarán de alguna otra forma. Las listas blancas se basan en el principio opuesto al de las listas negras 115 . Las listas blancas son relativamente fáciles de mantener, más que las listas negras. Es recomendable que use tanto una lista blanca como una lista negra para filtrar el correo no deseado de forma más eficaz. 5.2.4.4 Lista negra Por lo general, una lista negra es una lista de personas o elementos prohibidos o no aceptados. En el mundo virtual, es una técnica que permite aceptar mensajes de todos los usuarios que no se incluyan en dicha lista. Existen dos tipos de listas negras: las que crean los usuarios con su aplicación antispam y las profesionales, creadas por instituciones especializadas que las actualizan periódicamente y que se pueden encontrar en Internet. Las listas negras son esenciales para bloquear con éxito el correo no deseado; sin embargo, son difíciles de mantener, ya que todos los días aparecen nuevos elementos que se deben bloquear. Le recomendamos que utilice una lista blanca 115 y un lista negra para filtrar con mayor eficacia el correo no deseado. 5.2.4.5 Control del servidor El control del servidor es una técnica que sirve para identificar correo electrónico no deseado en masa a partir del número de mensajes recibidos y las reacciones de los usuarios. Cada mensaje deja una "huella" digital única basada en el contenido del mensaje. El número de identificación exclusivo no indica nada sobre el contenido del mensaje de correo electrónico. Dos mensajes idénticos tendrán huellas idénticas, mientras que los mensajes diferentes tendrán huellas diferentes. Si se marca un mensaje como no deseado, su huella se envía al servidor. Si el servidor recibe más huellas idénticas (correspondientes a un determinado mensaje no deseado), la huella se guarda en la base de datos de huellas de correo no deseado. Al analizar mensajes entrantes, el programa envía las huellas de los mensajes al servidor que, a su vez, devuelve información sobre las huellas correspondientes a los mensajes ya marcados por los usuarios como no deseados.

115

Suggest Documents

Symantec Mail Security for Microsoft Exchange

Symantec Mail Security for Microsoft Exchange
Read more
Microsoft Exchange Server Configuration

Microsoft Exchange Server Configuration
Read more
Microsoft Exchange Server 2016

Microsoft Exchange Server 2016
Read more
Administering Microsoft Exchange Server 2016

Administering Microsoft Exchange Server 2016
Read more
MSXFORUM - Exchange Server 2003 > AUDT - Mail push mit Exchange

MSXFORUM - Exchange Server 2003 > AUDT - Mail push mit Exchange
Read more
Advanced Solutions of Microsoft Exchange Server 2013

Advanced Solutions of Microsoft Exchange Server 2013
Read more
Data Protection for Microsoft Exchange Server Nachrichten

Data Protection for Microsoft Exchange Server Nachrichten
Read more
Core Solutions of Microsoft Exchange Server 2013

Core Solutions of Microsoft Exchange Server 2013
Read more
BlackBerry Enterprise Server for Microsoft Exchange

BlackBerry Enterprise Server for Microsoft Exchange
Read more
Microsoft SVVP Server Virtualization Validation Program. Virtualising Microsoft Exchange 2007

Microsoft SVVP Server Virtualization Validation Program. Virtualising Microsoft Exchange 2007
Read more
ESET SMART SECURITY 8

ESET SMART SECURITY 8
Read more
ESET SMART SECURITY 6

ESET SMART SECURITY 6
Read more
ESET INTERNET SECURITY 10

ESET INTERNET SECURITY 10
Read more
ESET ENDPOINT SECURITY

ESET ENDPOINT SECURITY
Read more
ESET SMART SECURITY 9

ESET SMART SECURITY 9
Read more
ESET ENDPOINT SECURITY 6

ESET ENDPOINT SECURITY 6
Read more
ESET GATEWAY SECURITY

ESET GATEWAY SECURITY
Read more
ESET SMART SECURITY 6

ESET SMART SECURITY 6
Read more
ESET SMART SECURITY 8

ESET SMART SECURITY 8
Read more
ESET INTERNET SECURITY 10

ESET INTERNET SECURITY 10
Read more
ESET SMART SECURITY 10

ESET SMART SECURITY 10
Read more
ESET SMART SECURITY 8

ESET SMART SECURITY 8
Read more
ESET INTERNET SECURITY 10

ESET INTERNET SECURITY 10
Read more
ESET SMART SECURITY 7

ESET SMART SECURITY 7
Read more