Microsoft Windows Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 Haga clic aqu para descargar la versin ms reciente de este documento ESET MAIL SECURITY Copyright 2014 de ESET, spol. s r.o. ESET Mail Security ha sido desarrollado por ESET, spol. s r.o. Para obtener ms informacin, visite el sitio www.eset.com. Todos los derechos reservados. Ninguna parte de esta documentacin podr reproducirse, almacenarse en un sistema de recuperacin o transmitirse en forma o modo alguno, ya sea por medios electrnicos, mecnicos, fotocopia, grabacin, escaneo o cualquier otro medio sin la previa autorizacin por escrito del autor. ESET, spol. s r.o. se reserva el derecho de modificar cualquier elemento del software de la aplicacin sin previo aviso. Servicio de atencin al cliente: www.eset.com/support REV. 5/2/2014 Contenido ..................................................5 Introduccin 1. ........................................................................5 Novedades de la versin 4.5 1.1 ........................................................................5 Requisitos del sistema 1.2 ........................................................................6 Mtodos utilizados 1.3 .........................................................................6 Anlisis del buzn de correo mediante VSAPI 1.3.1 .........................................................................6 Filtrado de mensajes de nivel de servidor SMTP 1.3.2 ........................................................................6 Tipos de proteccin 1.4 .........................................................................6 Proteccin antivirus 1.4.1 .........................................................................6 Proteccin Antispam 1.4.2 .........................................................................7 Aplicacin de reglas definidas por el usuario 1.4.3 ........................................................................7 Interfaz de usuario 1.5 ..................................................8 Instalacin 2. ........................................................................8 Instalacin tpica 2.1 ........................................................................9 Instalacin personalizada 2.2 ........................................................................11 Terminal Server 2.3 ........................................................................12 Actualizacin a una versin ms reciente 2.4 ........................................................................13 Roles de Exchange Server: perimetral y concentrador 2.5 ........................................................................13 Roles de Exchange Server 2013 2.6 ........................................................................13 Instalacin en un entorno de clster 2.7 ........................................................................15 Licencia 2.8 ........................................................................17 Configuracin posterior a la instalacin 2.9 ..................................................19 ESET Mail Security: proteccin de Microsoft Exchange Server 3. ........................................................................19 Configuracin general 3.1 .........................................................................19 Microsoft Exchange Server 3.1.1 ........................................................................19 VSAPI (Interfaz de programacin de aplicaciones de anlisis de virus) 3.1.1.1 ........................................................................19 Agente de transporte 3.1.1.2 .........................................................................21 Reglas 3.1.2 ........................................................................22 Cmo agregar reglas nuevas 3.1.2.1 ........................................................................23 Acciones emprendidas en la aplicacin de reglas 3.1.2.2 .........................................................................24 Archivos de registro 3.1.3 .........................................................................25 Cuarentena de mensajes 3.1.4 ........................................................................26 Cmo agregar una nueva regla de cuarentena 3.1.4.1 .........................................................................27 Rendimiento 3.1.5 ........................................................................27 Configuracin del antivirus y antispyware 3.2 .........................................................................28 Microsoft Exchange Server 3.2.1 ........................................................................28 Interfaz de programacin de aplicaciones de anlisis de virus (VSAPI) 3.2.1.1 ..........................................................................28 Microsoft Exchange Server 5.5 (VSAPI 1.0) 3.2.1.1.1 .........................................................................29 Acciones 3.2.1.1.1.1 .........................................................................29 Rendimiento 3.2.1.1.1.2 ..........................................................................29 Microsoft Exchange Server 2000 (VSAPI 2.0) 3.2.1.1.2 .........................................................................30 Acciones 3.2.1.1.2.1 .........................................................................30 Rendimiento 3.2.1.1.2.2 ..........................................................................31 Microsoft Exchange Server 2003 (VSAPI 2.5) 3.2.1.1.3 .........................................................................31 Acciones 3.2.1.1.3.1 .........................................................................32 Rendimiento 3.2.1.1.3.2 ..........................................................................32 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) 3.2.1.1.4 .........................................................................33 Acciones 3.2.1.1.4.1 .........................................................................33 Rendimiento 3.2.1.1.4.2 ..........................................................................34 Agente de transporte 3.2.1.1.5 .........................................................................35 Acciones 3.2.2 .........................................................................35 Alertas y notificaciones 3.2.3 .........................................................................36 Exclusiones automticas 3.2.4 ........................................................................37 Proteccin Antispam 3.3 .........................................................................38 Microsoft Exchange Server 3.3.1 ........................................................................38 Agente de transporte 3.3.1.1 ........................................................................39 Proteccin antispam y conector POP3 3.3.1.2 .........................................................................40 Motor antispam 3.3.2 ........................................................................40 Configuracin de parmetros del motor antispam 3.3.2.1 ..........................................................................40 Anlisis 3.3.2.1.1 .........................................................................41 Muestras 3.3.2.1.1.1 .........................................................................41 SpamCompiler 3.3.2.1.1.2 .........................................................................41 Lista de archivos de memoria cach 3.3.2.1.1.1 ..........................................................................41 Formacin 3.3.2.1.2 ..........................................................................42 Reglas 3.3.2.1.3 .........................................................................43 Valor de regla 3.3.2.1.3.1 .........................................................................43 Agregar valor de regla 3.3.2.1.3.1 .........................................................................43 Lista de archivos de reglas descargados 3.3.2.1.3.2 .........................................................................43 Valor de categora 3.3.2.1.3.3 .........................................................................43 Agregar valor de categora 3.3.2.1.3.1 .........................................................................43 Lista de reglas personalizadas 3.3.2.1.3.4 ..........................................................................44 Filtrado 3.3.2.1.4 .........................................................................44 Remitentes permitidos 3.3.2.1.4.1 .........................................................................44 Remitentes bloqueados 3.3.2.1.4.2 .........................................................................44 Direcciones IP permitidas 3.3.2.1.4.3 .........................................................................44 Direcciones IP ignoradas 3.3.2.1.4.4 .........................................................................44 Direcciones IP bloqueadas 3.3.2.1.4.5 .........................................................................45 Dominios permitidos 3.3.2.1.4.6 .........................................................................45 Dominios ignorados 3.3.2.1.4.7 .........................................................................45 Dominios bloqueados 3.3.2.1.4.8 .........................................................................45 Remitentes falsificados 3.3.2.1.4.9 ..........................................................................45 Verificacin 3.3.2.1.5 .........................................................................45 RBL (lista de bloqueo en tiempo real) 3.3.2.1.5.1 .........................................................................45 Lista de servidores RBL 3.3.2.1.5.1 .........................................................................46 LBL (ltima lista de bloqueo) 3.3.2.1.5.2 .........................................................................46 Lista de servidores LBL 3.3.2.1.5.1 .........................................................................46 Lista de direcciones IP omitidas 3.3.2.1.5.2 .........................................................................46 DNSBL (lista de bloqueados de DNS) 3.3.2.1.5.3 .........................................................................46 Lista de servidores DNSBL 3.3.2.1.5.1 ..........................................................................46 DNS 3.3.2.1.6 ..........................................................................47 Nivel 3.3.2.1.7 ..........................................................................47 Spambait 3.3.2.1.8 .........................................................................47 Direcciones de Spambait 3.3.2.1.8.1 .........................................................................47 Direcciones consideradas no existentes 3.3.2.1.8.2 ..........................................................................48 Comunicacin 3.3.2.1.9 ..........................................................................48 Rendimiento 3.3.2.1.10 ..........................................................................48 Configuracin regional 3.3.2.1.11 .........................................................................49 Lista de idiomas locales 3.3.2.1.11.1 .........................................................................50 Lista de pases 3.3.2.1.11.2 .........................................................................54 Lista de pases bloqueados 3.3.2.1.11.3 .........................................................................54 Lista de conjuntos de caracteres bloqueados 3.3.2.1.11.4 ..........................................................................54 Archivos de registro 3.3.2.1.12 ..........................................................................55 Estadsticas 3.3.2.1.13 ..........................................................................55 Opciones 3.3.2.1.14 .........................................................................55 Alertas y notificaciones 3.3.3 ........................................................................56 Preguntas frecuentes 3.4 ..................................................59 ESET Mail Security: proteccin del servidor 4. ........................................................................59 Proteccin antivirus y antispyware 4.1 .........................................................................59 Proteccin del sistema de archivos en tiempo real 4.1.1 ........................................................................59 Configuracin del control 4.1.1.1 ..........................................................................60 Objetos a analizar 4.1.1.1.1 ..........................................................................60 Analizar (anlisis cuando se cumpla la condicin) 4.1.1.1.2 ..........................................................................60 Opciones avanzadas de anlisis 4.1.1.1.3 ........................................................................61 Niveles de desinfeccin 4.1.1.2 ........................................................................61 Modificacin de la configuracin de proteccin en tiempo real 4.1.1.3 ........................................................................62 Anlisis de proteccin en tiempo real 4.1.1.4 ........................................................................62 Qu debo hacer si la proteccin en tiempo real no funciona? 4.1.1.5 .........................................................................63 Proteccin del cliente de correo electrnico 4.1.2 ........................................................................63 Comprobacin del protocolo POP3 4.1.2.1 ..........................................................................64 Compatibilidad 4.1.2.1.1 ........................................................................64 Integracin con clientes de correo electrnico 4.1.2.2 ..........................................................................65 Agregar mensajes con etiquetas al cuerpo del mensaje 4.1.2.2.1 ........................................................................65 Eliminar amenazas 4.1.2.3 .........................................................................66 Proteccin del trfico de Internet 4.1.3 ........................................................................66 HTTP, HTTPs 4.1.3.1 ..........................................................................67 Gestin de direcciones 4.1.3.1.1 ..........................................................................68 Modo activo 4.1.3.1.2 .........................................................................69 Anlisis del ordenador a peticin 4.1.4 ........................................................................70 Tipo de anlisis 4.1.4.1 ..........................................................................70 Anlisis estndar 4.1.4.1.1 ..........................................................................70 Anlisis personalizado 4.1.4.1.2 ........................................................................71 Objetos de anlisis 4.1.4.2 ........................................................................71 Perfiles de anlisis 4.1.4.3 ........................................................................72 Lnea de comandos 4.1.4.4 .........................................................................74 Rendimiento 4.1.5 .........................................................................74 Filtrado de protocolos 4.1.6 ........................................................................74 SSL 4.1.6.1 ..........................................................................75 Certificados de confianza 4.1.6.1.1 ..........................................................................75 Certificados excluidos 4.1.6.1.2 .........................................................................75 Configuracin de parmetros del motor ThreatSense 4.1.7 ........................................................................76 Configuracin de objetos 4.1.7.1 ........................................................................76 Opciones 4.1.7.2 ........................................................................78 Desinfeccin 4.1.7.3 ........................................................................79 Extensiones 4.1.7.4 ........................................................................79 Lmites 4.1.7.5 ........................................................................80 Otros 4.1.7.6 .........................................................................80 Deteccin de una amenaza 4.1.8 ........................................................................81 Actualizacin del programa 4.2 .........................................................................82 Configuracin de actualizaciones 4.2.1 ........................................................................83 Perfiles de actualizacin 4.2.1.1 ........................................................................83 Configuracin avanzada de actualizaciones 4.2.1.2 ..........................................................................83 Tipo de actualizacin 4.2.1.2.1 ..........................................................................85 Servidor Proxy 4.2.1.2.2 ..........................................................................87 Conexin a la red local 4.2.1.2.3 ..........................................................................88 Creacin de copias de actualizacin: Mirror 4.2.1.2.4 .........................................................................89 Actualizacin desde el servidor Mirror 4.2.1.2.4.1 .........................................................................90 Resolucin de problemas de actualizacin del Mirror 4.2.1.2.4.2 .........................................................................90 Cmo crear tareas de actualizacin 4.2.2 ........................................................................91 Planificador de tareas 4.3 .........................................................................91 Finalidad de las tareas programadas 4.3.1 .........................................................................92 Creacin de tareas nuevas 4.3.2 ........................................................................93 Cuarentena 4.4 .........................................................................93 Copiar archivos en cuarentena 4.4.1 .........................................................................93 Restauracin de archivos de cuarentena 4.4.2 .........................................................................94 Envo de un archivo a cuarentena 4.4.3 ........................................................................95 Archivos de registro 4.5 .........................................................................98 Filtrado de registros 4.5.1 .........................................................................100 Buscar en el registro 4.5.2 .........................................................................101 Mantenimiento de registros 4.5.3 ........................................................................102 ESET SysInspector 4.6 .........................................................................102 Introduccin a ESET SysInspector 4.6.1 ........................................................................102 Inicio de ESET SysInspector 4.6.1.1 .........................................................................103 Interfaz de usuario y uso de la aplicacin 4.6.2 ........................................................................103 Controles de programa 4.6.2.1 ........................................................................104 Navegacin por ESET SysInspector 4.6.2.2 ..........................................................................105 Accesos directos del teclado 4.6.2.2.1 ........................................................................107 Comparar 4.6.2.3 .........................................................................108 Parmetros de la lnea de comandos 4.6.3 .........................................................................108 Script de servicio 4.6.4 ........................................................................109 Generacin de scripts de servicio 4.6.4.1 ........................................................................109 Estructura del script de servicio 4.6.4.2 ........................................................................111 Ejecucin de scripts de servicio 4.6.4.3 .........................................................................111 Preguntas frecuentes 4.6.5 .........................................................................113 ESET SysInspector como parte de ESET Mail Security 4.6.6 ........................................................................113 ESET SysRescue 4.7 .........................................................................113 Requisitos mnimos 4.7.1 .........................................................................114 Cmo crear un CD de recuperacin 4.7.2 .........................................................................114 Seleccin de objetivo 4.7.3 .........................................................................114 Configuracin 4.7.4 ........................................................................114 Carpetas 4.7.4.1 ........................................................................115 Antivirus ESET 4.7.4.2 ........................................................................115 Configuracin adicional 4.7.4.3 ........................................................................115 Protocolo de Internet 4.7.4.4 ........................................................................116 Dispositivo de arranque USB 4.7.4.5 ........................................................................116 Grabar 4.7.4.6 .........................................................................116 Trabajo con ESET SysRescue 4.7.5 ........................................................................116 Uso de ESET SysRescue 4.7.5.1 ........................................................................117 Opciones de la interfaz de usuario 4.8 .........................................................................118 Alertas y notificaciones 4.8.1 .........................................................................119 Desactivar la GUI en Terminal Server 4.8.2 ........................................................................120 eShell 4.9 .........................................................................121 Uso 4.9.1 .........................................................................124 Comandos 4.9.2 ........................................................................126 Importar y exportar configuracin 4.10 ........................................................................126 ThreatSense.Net 4.11 .........................................................................128 Archivos sospechosos 4.11.1 .........................................................................129 Estadsticas 4.11.2 .........................................................................130 Envo de archivos 4.11.3 ........................................................................131 Administracin remota 4.12 ........................................................................132 Licencias 4.13 ..................................................133 Glosario 5. ........................................................................133 Tipos de amenazas 5.1 .........................................................................133 Virus 5.1.1 .........................................................................133 Gusanos 5.1.2 .........................................................................134 Caballos troyanos 5.1.3 .........................................................................134 Rootkits 5.1.4 .........................................................................134 Adware 5.1.5 .........................................................................135 Spyware 5.1.6 .........................................................................135 Aplicaciones potencialmente peligrosas 5.1.7 .........................................................................135 Aplicaciones potencialmente indeseables 5.1.8 ........................................................................136 Correo electrnico 5.2 .........................................................................136 Publicidad 5.2.1 .........................................................................136 Informacin falsa 5.2.2 .........................................................................137 Phishing 5.2.3 .........................................................................137 Reconocimiento de correo no deseado no solicitado 5.2.4 ........................................................................137 Reglas 5.2.4.1 ........................................................................138 Filtro Bayesiano 5.2.4.2 ........................................................................138 Lista blanca 5.2.4.3 ........................................................................138 Lista negra 5.2.4.4 ........................................................................138 Control del servidor 5.2.4.5 5 1. Introduccin ESET Mail Security 4 para Microsoft Exchange Server es una solucin integrada que protege los buzones de correo ante diversos tipos de contenido malicioso, como archivos adjuntos infectados por gusanos o troyanos, documentos que contienen scripts dainos, phishing y spam. ESET Mail Security proporciona tres tipos de proteccin: antivirus, antispam y la aplicacin de reglas definidas por el usuario. ESET Mail Security elimina el contenido malicioso en el servidor de correo, antes de que llegue al buzn de entrada del cliente de correo electrnico del destinatario. ESET Mail Security es compatible con Microsoft Exchange Server versin 2000 y posteriores, as como con Microsoft Exchange Server en un entorno de clster. En las versiones ms recientes (Microsoft Exchange Server 2007 y posteriores), tambin se admiten roles especficos (buzn de correo, concentrador, perimetral). Puede administrar ESET Mail Security de forma remota en redes ms grandes con la ayuda de ESET Remote Administrator. Adems de ofrecer la proteccin de Microsoft Exchange Server, ESET Mail Security tiene tambin las herramientas necesarias para garantizar la proteccin del servidor (proteccin residente, proteccin del trfico de Internet, proteccin del cliente de correo electrnico y proteccin antispam). 1.1 Novedades de la versin 4.5 En la versin 4.5 se han introducido las siguientes novedades y mejoras con respecto a ESET Mail Security 4.3: Se puede acceder fcilmente a la configuracin antispam desde la GUI para que los administradores realicen los cambios con mayor comodidad. Compatible con Microsoft Exchange Server 2013. Compatible con Microsoft Windows Server 2012 / 2012 R2. 1.2 Requisitos del sistema Sistemas operativos compatibles: Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 y x64) Microsoft Windows Server 2008 (x86 y x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) Versiones compatibles de Microsoft Exchange Server: Microsoft Exchange Server 2000 SP1, SP2 y SP3 Microsoft Exchange Server 2003 SP1 y SP2 Microsoft Exchange Server 2007 SP1, SP2 y SP3 Microsoft Exchange Server 2010 SP1, SP2 y SP3 Microsoft Exchange Server 2013 Los requisitos de hardware dependen de las versiones utilizadas del sistema operativo y de Microsoft Exchange Server. Recomendamos la lectura de la documentacin del producto Microsoft Exchange Server para obtener informacin ms detallada sobre los requisitos de hardware. 6 1.3 Mtodos utilizados Se utilizan dos mtodos independientes para analizar mensajes de correo electrnico: Anlisis del buzn de correo mediante VSAPI Filtrado de mensajes de nivel de servidor SMTP 1.3.1 Anlisis del buzn de correo mediante VSAPI El proceso de anlisis del buzn de correo se activa y controla con Microsoft Exchange Server. Los mensajes de correo electrnico de la base de datos de archivos de Microsoft Exchange Server se analizan constantemente. Segn la versin de Microsoft Exchange Server, la versin de la interfaz de VSAPI y la configuracin definida por el usuario, el proceso de anlisis se puede activar en cualquiera de estas situaciones: Cuando el usuario accede al correo electrnico, por ejemplo, en un cliente de correo electrnico (el correo electrnico se analiza siempre con la base de firmas de virus ms reciente). En segundo plano, cuando se hace poco uso de Microsoft Exchange Server. Proactivamente (de acuerdo con el algoritmo interno de Microsoft Exchange Server). Actualmente, la interfaz de VSAPI se utiliza para el anlisis antivirus y la proteccin basada en reglas. 1.3.2 Filtrado de mensajes de nivel de servidor SMTP El filtrado de nivel de servidor SMTP se garantiza mediante un complemento especializado. En Microsoft Exchange Server 2000 y 2003, el complemento en cuestin (Receptor de sucesos) se registra en el servidor SMTP como parte de Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se registra como agente de transporte en los roles Perimetral o Concentrador de Microsoft Exchange Server. El filtrado de nivel de servidor SMTP por parte de un agente de transporte ofrece proteccin en forma de reglas antivirus, antispam y definidas por usuario. A diferencia del filtrado VSAPI, el filtrado de nivel de servidor SMTP se realiza antes de que el correo analizado llegue al buzn de correo de Microsoft Exchange Server. 1.4 Tipos de proteccin Hay tres tipos de proteccin: 1.4.1 Proteccin antivirus La proteccin antivirus es una de las funciones bsicas del producto ESET Mail Security. La proteccin antivirus protege contra ataques maliciosos al sistema mediante el control de las comunicaciones por Internet, el correo electrnico y los archivos. Si se detecta una amenaza con cdigo malicioso, el mdulo antivirus puede bloquearlo para despus desinfectarlo, eliminarlo o ponerlo en cuarentena . 1.4.2 Proteccin Antispam La proteccin antispam integra varias tecnologas (RBL, DNSBL, identificacin mediante huellas digitales, anlisis de reputacin, anlisis de contenido, filtro Bayesiano, reglas, creacin manual de listas blancas/negras, etc.) para alcanzar el mximo nivel de deteccin de amenazas de correo electrnico. La salida del motor de anlisis antispam es el valor de probabilidad de correo no deseado del mensaje de correo electrnico expresado en forma de porcentaje (de 0 a 100). La tcnica de creacin de listas grises es otro componente del mdulo de proteccin antispam (est desactivada de forma predeterminada). La tcnica se basa en la especificacin RFC 821, la cual indica que como SMTP se considera un transporte poco fiable, todos los agentes de transferencia de mensajes (MTA) deberan intentar entregar un mensaje de correo electrnico repetidamente cuando detecten un error de entrega temporal. Una parte importante del correo no deseado consiste en entregas puntuales (mediante herramientas especializadas) a una lista masiva de direcciones de correo electrnico generada de forma automtica. Los servidores que utilizan listas grises calculan un valor de control (hash) para la direccin del remitente del sobre, la direccin del destinatario del sobre y la direccin IP del MTA que realiza el envo. Si el servidor no encuentra el valor de control de estas tres direcciones en la base de datos, rechaza el mensaje y devuelve un cdigo de error temporal (por ejemplo, el error temporal 451). Un servidor legtimo intentar entregar el mensaje otra vez despus de un intervalo de tiempo 6 6 93 7 variable. Cuando se realiza el segundo intento, este valor de control se almacena en la base de datos de conexiones comprobadas, de manera que a partir de ese momento se entregarn todos los mensajes con las caractersticas pertinentes. 1.4.3 Aplicacin de reglas definidas por el usuario La proteccin basada en reglas definidas por el usuario est disponible para su anlisis con el agente de transporte y VSAPI. Puede utilizar la interfaz de usuario de ESET Mail Security para crear reglas individuales que, despus, puede combinar. Si una regla utiliza varias condiciones, estas se enlazarn con el operador lgico AND. De esta manera, la regla solo se ejecutar si se cumplen todas sus condiciones. Si se crean varias reglas, se aplicar el operador lgico OR, de modo que el programa ejecutar la primera regla cuyas condiciones se cumplan. En la secuencia de anlisis, la primera tcnica que se utiliza es la creacin de listas grises (si est activada). Los procedimientos posteriores ejecutarn siempre las siguientes tcnicas: proteccin basada en reglas definidas por el usuario, anlisis antivirus y, por ltimo, anlisis antispam. 1.5 Interfaz de usuario El diseo de la interfaz grfica de usuario (GUI) de ESET Mail Security pretende ser lo ms intuitivo posible. La GUI proporciona a los usuarios acceso rpido y sencillo a las principales funciones del programa. Adems de la GUI principal, est disponible un rbol de configuracin avanzada, al que se puede acceder desde cualquier punto del programa pulsando la tecla F5. Al pulsar F5, la ventana del rbol de configuracin avanzada se abre y muestra una lista de caractersticas configurables del programa. En esta ventana, puede configurar los ajustes y las opciones segn sus necesidades. La estructura de rbol se divide en dos secciones: Proteccin del servidor y Proteccin del ordenador. La seccin Proteccin del servidor contiene elementos relativos a la configuracin de ESET Mail Security que son especficos de la proteccin de Microsoft Exchange Server. La seccin Proteccin del ordenador contiene elementos configurables para la proteccin del propio servidor. 8 2. Instalacin Despus de comprar ESET Mail Security, el instalador se puede descargar del sitio web de ESET (www.eset.com) como un archivo .msi. Recuerde que el instalador debe ejecutarse con la cuenta de administrador integrado. Los dems usuarios no tienen los derechos de acceso suficientes, aunque sean miembros de un grupo de administradores. Por este motivo debe utilizar la cuenta de administrador integrado, ya que la instalacin solo se puede completar con la cuenta de administrador. El instalador puede ejecutarse de dos maneras: Puede iniciar sesin localmente con las credenciales de la cuenta de administrador y ejecutar el instalador. Si ha iniciado sesin con otro usuario, abra la ventana de smbolo del sistema con Ejecutar como y escriba las credenciales de la cuenta de administrador para ejecutar el comando como administrador; a continuacin, escriba el comando de ejecucin del instalador (p. ej. msiexec /i emsx_nt64_ENU.msi pero debe reemplazar emsx_nt64_ENU.msi por el nombre de archivo exacto del instalador msi descargado). Cuando ejecute el instalador, el asistente de instalacin le proporcionar instrucciones para realizar la configuracin bsica. Estn disponibles dos tipos de instalacin con distintos niveles de detalle de configuracin: 1. Instalacin tpica 2. Instalacin personalizada NOTA: si es posible, le recomendamos encarecidamente que instale ESET Mail Security en un sistema operativo recin instalado o configurado. No obstante, si tiene que instalarlo en un sistema actual, es preferible que primero desinstale la versin anterior de ESET Mail Security, reinicie el servidor y, a continuacin, instale la nueva versin de ESET Mail Security. 2.1 Instalacin tpica El modo de instalacin tpica instala ESET Mail Security rpidamente y con una configuracin mnima durante el proceso de instalacin. La instalacin tpica es el modo de instalacin predeterminado y se recomienda cuando no es necesaria una configuracin especfica. Una vez que haya instalado ESET Mail Security en el sistema, podr modificar las opciones y la configuracin en cualquier momento. En esta gua del usuario, la configuracin y la funcionalidad se describen detalladamente. La configuracin del modo de instalacin tpica proporciona un nivel de seguridad excelente, es fcil de usar y permite un elevado rendimiento del sistema. Despus de seleccionar el modo de instalacin y hacer clic en Siguiente, se le solicitarn su nombre de usuario y contrasea. Estos datos son importantes para que el sistema est protegido constantemente, pues el nombre de usuario y la contrasean permiten la actualizacin automtica de la base de firmas de virus. Escriba el nombre de usuario y la contrasea que recibi al adquirir o registrar el producto en los campos 81 9 correspondientes. Si no tiene un nombre de usuario y una contrasea, puede introducirlos directamente desde el programa ms adelante. En el paso siguiente (Administrador de licencias), agregue el archivo de licencia que recibi por correo electrnico tras la compra del producto. El prximo paso es configurar el sistema de alerta temprana ThreatSense.Net. El sistema de alerta temprana ThreatSense.Net ayuda a garantizar que ESET se mantenga informado de forma continua e inmediata sobre las nuevas amenazas con el fin de proteger rpidamente a sus clientes. Este sistema permite el envo de amenazas nuevas al laboratorio de amenazas de ESET, donde se analizan, procesan y agregan a la base de firmas de virus. De forma predeterminada, la opcin Activar el sistema de alerta temprana ThreatSense.Net est seleccionada. Haga clic en Configuracin avanzada para modificar la configuracin detallada para el envo de archivos sospechosos. El siguiente paso del proceso de instalacin consiste en configurar la Deteccin de aplicaciones potencialmente indeseables. Las aplicaciones potencialmente indeseables no tienen por qu ser maliciosas, pero pueden influir negativamente en el comportamiento del sistema operativo. Consulte el captulo Aplicaciones potencialmente indeseables para obtener ms informacin. Estas aplicaciones suelen instalarse con otros programas y puede resultar difcil detectarlas durante la instalacin. Aunque estas aplicaciones suelen mostrar una notificacin durante la instalacin, se pueden instalar fcilmente sin su consentimiento. Seleccione Activar la deteccin de aplicaciones potencialmente indeseables para permitir que ESET Mail Security detecte este tipo de aplicaciones. Si no desea utilizar esta funcionalidad, seleccione No activar la deteccin de aplicaciones potencialmente indeseables. El ltimo paso de la instalacin tpica es la confirmacin de la instalacin, para lo que debe hacer clic en el botn Instalar. 2.2 Instalacin personalizada La instalacin personalizada se ha diseado para usuarios que desean configurar ESET Mail Security durante el proceso de instalacin. Despus de seleccionar el modo de instalacin y hacer clic en Siguiente, se le solicitar que seleccione una ubicacin de destino para la instalacin. De forma predeterminada, el programa se instala en C:\Archivos de programa\ESET\ESET Mail Security. Haga clic en Examinar para cambiar esta ubicacin (no recomendado). A continuacin, escriba su nombre de usuario y contrasea. Este paso es igual que el paso de instalacin tpica (consulte "Instalacin tpica" ). En el paso siguiente (administrador de licencias), agregue el archivo de licencia que recibi por correo electrnico tras la compra del producto. 135 8 10 Una vez que haya introducido el nombre de usuario y la contrasea, haga clic en Siguiente para ir al paso Configure su conexin a Internet. Si utiliza un servidor proxy, este debe estar configurado correctamente para que las actualizaciones de la base de firmas de virus funcionen correctamente. Si desea que el servidor Proxy se configure automticamente, seleccione la configuracin predeterminada Desconozco si es usado un servidor Proxy. Usar las mismas caractersticas establecidas para Internet Explorer (recomendado) y haga clic en Siguiente. Si no utiliza un servidor Proxy, seleccione la opcin No se utiliza un servidor Proxy. Si lo prefiere, puede introducir los datos de configuracin del servidor Proxy manualmente. Para configurar el servidor Proxy, seleccione Conexin mediante servidor Proxy y haga clic en Siguiente. Introduzca la direccin IP o URL de su servidor Proxy en el campo Direccin. En el campo Puerto, especifique el puerto donde el servidor Proxy acepta conexiones (3128 de forma predeterminada). En el caso de que el servidor Proxy requiera autenticacin, debe introducir un nombre de usuario y una contrasea para poder acceder al servidor proxy. La configuracin del servidor Proxy tambin se puede copiar de Internet Explorer, si se desea Una vez que haya introducido los datos del servidor Proxy, haga clic en Aplicar y confirme la seleccin. Haga clic en Siguiente para ir al paso Configurar los parmetros de las actualizaciones automticas. Este paso le permite disear la gestin de las actualizaciones automticas de componentes del programa en el sistema. Haga clic en Cambiar para acceder a la configuracin avanzada. Si no desea que se actualicen los componentes del programa, seleccione la opcin Nunca actualizar los componentes del programa. Seleccione la opcin Preguntar antes de descargar actualizaciones para que se muestre una ventana de confirmacin antes de descargar componentes del programa. Para descargar las 11 actualizaciones de componentes del programa de forma automtica, seleccione la opcin Actualizar siempre los componentes del programa. NOTA: Tras una actualizacin de componentes del programa, suele ser necesario reiniciar el ordenador. Se recomienda seleccionar la opcin Nunca reiniciar el ordenador. Las actualizaciones de componentes ms recientes se aplicarn la prxima vez que se reinicie el servidor (reinicio programado , manual o de otro tipo). Seleccione Si es necesario, ofrecer reiniciar el ordenador si desea recibir un recordatorio para reiniciar el servidor despus de actualizar los componentes. Esta configuracin le permite reiniciar el servidor inmediatamente o retrasar el reinicio hasta otro momento. En la prxima ventana de instalacin tiene la opcin de definir una contrasea para proteger la configuracin del programa. Seleccione la opcin Proteger la configuracin con contrasea y seleccione una contrasea para los campos Contrasea nueva y Confirmar nueva contrasea. Los dos pasos de instalacin siguientes, Sistema de alerta temprana y Deteccin de aplicaciones potencialmente indeseables de ThreatSense.Net, son iguales que los pasos del modo de instalacin tpica (consulte "Instalacin tpica" ). Haga clic en Instalar, en la ventana Preparado para instalar, para completar la instalacin. 2.3 Terminal Server Si ha instalado ESET Mail Security en un servidor Windows Server que acta como Terminal Server, es preferible que desactive la GUI de ESET Mail Security para impedir que se inicie cada que vez que se registra un usuario. Consulte el captulo Desactivar la GUI en Terminal Server para conocer los pasos de desactivacin especficos. 91 8 119 12 2.4 Actualizacin a una versin ms reciente Las versiones nuevas de ESET Mail Security mejoran o solucionan problemas que no se pueden arreglar con las actualizaciones automticas de los mdulos de programa. La versin ms reciente de ESET Mail Security se puede instalar con estos mtodos: 1. Actualizacin automtica mediante una actualizacin de componentes del programa (PCU) Las actualizaciones de componentes del programa se distribuyen a todos los usuarios y pueden afectar a determinadas configuraciones del sistema, de modo que se envan tras un largo perodo de pruebas que garantizan una proceso de actualizacin sin problemas en todas las configuraciones posibles del sistema. 2. Manualmente. Por ejemplo, si necesita instalar una versin ms reciente inmediatamente despus de su lanzamiento o desea actualizar el sistema con la ltima generacin de ESET Mail Security (p. ej., de la versin 4.2 o 4.3 a la versin 4.5). Puede realizar una actualizacin manual a una versin ms reciente de dos formas: en contexto (la versin ms reciente se instala sobre la versin actual) o mediante una instalacin limpia (antes de instalar la versin ms reciente, se desinstala la versin anterior). Para realizar una actualizacin manual: 1. Actualizacin en contexto: Instale la versin ms reciente sobre la versin actual ESET Mail Security; para ello, siga los pasos que se indican en el captulo Instalacin . La configuracin existente (incluida la configuracin antispam) se importar automticamente en la versin ms reciente durante la instalacin. 2. Instalacin limpia: a) Exporte su configuracin a un archivo xml mediante la caracterstica Importar y exportar configuracin . b) Abra este archivo xml en un editor xml dedicado o un editor de texto que admita xml (como WordPad o Notepad++, entre otros) y, a continuacin, cambie el nmero de SECTION ID de la tercera lnea a "1000404", de modo que tenga el aspecto siguiente: <SECTION ID="1000404"> c) Descargue la herramienta EMSX AntispamSettingsExport de este artculo de la base de conocimientos. Guarde EMSX_AntispamSettingsExport.exe en el servidor Exchange Server que vaya a actualizar con la versin ms reciente de ESET Mail Security. d) Ejecute la herramienta EMSX_AntispamSettingsExport.exe. La herramienta crear un archivo cfg.xml con la configuracin antispam de la instalacin actual de ESET Mail Security. e) Descargue el archivo de instalacin msi de la versin ms reciente de ESET Mail Security. f) Copie el archivo cfg.xml creado por la herramienta EMSX AntispamSettingsExport en la misma ubicacin donde guard el archivo de instalacin msi de ESET Mail Security (p. ej. emsx_nt64_ENU.msi). g) Desinstale la versin actual de ESET Mail Security. h) Ejecute el archivo de instalacin msi de ESET Mail Security 4.5. La configuracin antispam que ha exportado al archivo cfg.xml se importar automticamente en la nueva versin. i) Una vez que haya finalizado la instalacin, utilice la caracterstica Importar y exportar configuracin y un editor xml para importar la configuracin del archivo xml que guard y modific en los pasos a) y b), as podr utilizar su configuracin anterior en la nueva versin de ESET Mail Security. Una vez que haya realizado los pasos anteriores, tendr instalada en su sistema la nueva versin de ESET Mail Security con su configuracin personalizada anterior. Para obtener ms informacin sobre el proceso de actualizacin, consulte este artculo de la base de conocimientos . NOTA: Estos dos procesos de actualizacin manual (instalacin en contexto y limpia) se aplican nicamente a la actualizacin desde las versiones 4.2 y 4.3 de ESET Mail Security a la versin 4.5. 8 126 126 13 2.5 Roles de Exchange Server: perimetral y concentrador De forma predeterminada, los servidores Transporte perimetral tienen las caractersticas antispam activadas y los servidores Concentrador de transporte, desactivadas. Esta es la configuracin deseada en las organizaciones de Exchange que tienen un servidor Transporte perimetral. Se recomienda que el servidor Transporte perimetral donde se ejecute la proteccin antispam de ESET Mail Security est configurado para filtrar los mensajes antes de que se dirijan a la organizacin de Exchange.
El rol perimetral es la ubicacin preferida para el anlisis antispam, ya que permite que ESET Mail Security rechace el correo no deseado al principio del proceso, de manera que evita poner una carga innecesaria en las capas de red. Al utilizar esta configuracin, ESET Mail Security filtra los mensajes entrantes en el servidor Transporte perimetral, de modo que se pueden trasladar de forma segura al servidor Concentrador de transporte, sin necesidad de un mayor filtrado. Sin embargo, si su organizacin no utiliza el servidor Transporte perimetral y solo tiene el servidor Concentrador de transporte, se recomienda activar las caractersticas antispam en el servidor Concentrador de transporte que reciba los mensajes entrantes de Internet mediante SMTP. 2.6 Roles de Exchange Server 2013 La arquitectura de Exchange Server 2013 es diferente de las versiones anteriores de Microsoft Exchange. En Exchange 2013 solo hay dos funciones de servidor, el servidor de acceso de cliente y el servidor de buzn de correo. Si tiene previsto proteger Microsoft Exchange 2013 con ESET Mail Security, instlelo en un sistema que ejecute Microsoft Exchange 2013 con el rol de servidor de buzn de correo. ESET Mail Security no admite el rol de servidor de acceso de cliente. La instalacin de ESET Mail Security en Windows SBS (Small Business Server) es una excepcin. En el caso de Windows SBS, todos los roles de Exchange se ejecutan en el mismo servidor, por lo que ESET Mail Security se ejecutarn correctamente y proporcionarn todos los tipos de proteccin, incluida la proteccin del servidor de correo. Sin embargo, si instala ESET Mail Security en un sistema que solo ejecute el rol de servidor de acceso de cliente (servidor CAS dedicado), las caractersticas ms importantes de ESET Mail Security no funcionarn, sobre todo las del servidor de correo. En este caso, solo funcionar la proteccin en tiempo real del sistema de archivos y algunos componentes de Proteccin del ordenador ; el servidor de correo no contar con ningn tipo de proteccin. Por este motivo, no recomendamos la instalacin de ESET Mail Security en un servidor con el rol de servidor de acceso de cliente. Como ya hemos dicho, esto no es aplicable a Windows SBS (Small Business Server). NOTA: Microsoft Exchange 2013 presenta determinadas restricciones tcnicas que impiden la compatibilidad de ESET Mail Security con el rol de servidor de acceso de cliente (CAS). 2.7 Instalacin en un entorno de clster Un clster es un grupo de servidores (un servidor conectado a un clster se llama "nodo") que funcionan como un solo servidor. Este tipo de entorno proporciona un elevado nivel de accesibilidad y fiabilidad a los servicios disponibles. Si uno de los nodos del clster falla o deja de estar accesible, otro nodo del clster lo sustituye automticamente. ESET Mail Security es totalmente compatible con servidores Microsoft Exchange Server conectados en clster. Para que ESET Mail Security funcione correctamente, es importante que todos los nodos de un clster contengan la misma configuracin. Esto se consigue aplicando una directiva mediante ESET Remote Administrator (ERA). En los captulos siguientes se explica cmo instalar y configurar ESET Mail Security en servidores de un entorno de clster con ERA. Instalacin En este captulo se explica el mtodo de instalacin impulsada; aunque no es el nico mtodo posible para instalar un producto en el ordenador de destino. Si desea informacin sobre otros mtodos de instalacin, consulte la Gua del usuario de ESET Remote Administrator. 1) Descargue el paquete de instalacin msi de ESET Mail Security del sitio web de ESET al ordenador donde est instalado ERA. En la ficha ERA > Instalacin remota > Ordenadores, haga clic con el botn derecho del ratn sobre cualquier ordenador de la lista y seleccione Administrar paquetes en el men contextual. En el men desplegable 59 14 Tipo, seleccione Paquete de productos de seguridad de ESET y haga clic en Agregar. En Origen, localice el paquete de instalacin de ESET Mail Security que ha descargado y haga clic en Crear. 2) En Modificar o seleccionar la configuracin asociada a este paquete, haga clic en Modificar y configure los ajustes de ESET Mail Security segn sus necesidades. Los ajustes de ESET Mail Security se encuentran en estas secciones: ESET Smart Security, ESET NOD32 Antivirus > Proteccin del servidor de correo electrnico y Proteccin del servidor de correo electrnico para Microsoft Exchange Server. Aqu tambin puede definir los parmetros de otros mdulos incluidos en ESET Mail Security (como el mdulo de actualizacin, el anlisis del ordenador, etc.). Se recomienda exportar los ajustes configurados en un archivo .xml que despus se puede utilizar para, por ejemplo, crear el paquete de instalacin o aplicar una directiva o tarea de configuracin. 3) Haga clic en Cerrar. En el siguiente cuadro de dilogo (Desea guardar los paquetes en el servidor?), seleccione S y escriba el nombre del paquete de instalacin. El paquete de instalacin terminado (con el nombre y la configuracin) se guardar en el servidor. Por lo general, este paquete se utiliza para la instalacin impulsada, aunque tambin se puede guardar como un paquete de instalacin msi estndar para una instalacin directa en el servidor (en el Editor de paquetes de instalacin > Guardar como). 4) Ahora que el paquete de instalacin est listo, puede iniciar la instalacin remota en los nodos de un clster. En la ficha ERA > Instalacin remota > Ordenadores, seleccione los nodos en los que desea instalar ESET Mail Security (Ctrl + clic o Shift + clic). Haga clic con el botn derecho del ratn en cualquiera de los ordenadores seleccionados y elija Instalacin impulsada en el men contextual. Utilice los botones Establecer/Establecer todas para definir el Nombre de usuario y la Contrasea de un usuario en el ordenador de destino (debe ser un usuario con derechos de administrador). Haga clic en Siguiente para seleccionar el paquete de instalacin y en Finalizar para iniciar el proceso de instalacin remota. El paquete de instalacin que contiene los ajustes de configuracin personalizada y de ESET Mail Security se instalar en los ordenadores/nodos de destino seleccionados. Tras un breve perodo de tiempo, los clientes que tengan ESET Mail Security se mostrarn en la ficha ERA > Clientes. Ahora puede gestionar los clientes de forma remota. NOTA: para que el proceso de instalacin remota se ejecute sin problemas, los ordenadores de destino y ERA Server deben cumplir una serie de condiciones. Encontrar ms informacin en la Gua del usuario de ESET Remote Administrator. Configuracin Para que ESET Mail Security funcione correctamente en los nodos de un clster, los nodos deben tener la misma configuracin en todo momento. Esta condicin se cumple si se sigui el mtodo de instalacin impulsada arriba indicado. Sin embargo, existe la posibilidad de que la configuracin se modifique por error y aparezcan incoherencias entre los productos de ESET Mail Security en un clster. Esto se puede evitar utilizando una directiva en ERA. Las directivas son muy parecidas a una tarea de configuracin estndar: envan al cliente la configuracin definida en el editor de configuracin, aunque se diferencian en que las directivas se aplican a los clientes de forma constante. De este modo, las directivas se pueden definir como una configuracin que aplica peridicamente a un cliente o grupo de clientes. En ERA > Herramientas > Administrador de directivas, hay varias opciones de uso de una directiva. La opcin ms sencilla en la Directiva principal predeterminada, que tambin funciona como Directiva predeterminada para clientes principales. Este tipo de directiva se aplica automticamente a todos los clientes que estn conectados (en este caso, a todos los productos de ESET Mail Security de un clster). La directiva se puede configurar haciendo clic en Modificar o con la configuracin guardada en el archivo .xml, si se ha creado uno. La segunda opcin consiste en crear una directiva nueva (Agregar nueva directiva secundaria) y utilizar la opcin Agregar clientes para asignar todos los productos de ESET Mail Security a esta directiva. Esta configuracin garantiza la aplicacin de una sola directiva con la misma configuracin a todos los clientes. Si desea modificar la configuracin existente de un servidor de ESET Mail Security en un clster, solo tiene que modificar la directiva actual. Los cambios se aplicarn a todos los clientes asignados a esta directiva. NOTA: Consulte la Gua del usuario de ESET Remote Administrator para obtener informacin detallada sobre las directivas. 15 2.8 Licencia La introduccin del archivo de licencia de ESET Mail Security for Microsoft Exchange Server es un paso fundamental. Sin este archivo, la proteccin del correo electrnico en Microsoft Exchange Server no funcionara correctamente. Si no aade el archivo de licencia durante la instalacin, puede hacerlo a posteriori en la configuracin avanzada, en Varios > Licencias. ESET Mail Security le permite utilizar varias licencias al mismo tiempo. Para hacerlo, debe combinarlas como se indica a continuacin: 1) Combinacin de dos o ms licencias de un cliente (es decir, licencias asignadas al mismo nombre de cliente); el nmero de buzones de correo analizados aumenta proporcionalmente. El administrador de licencias sigue mostrando ambas licencias. 2) Combinacin de dos o ms licencias de clientes distintos. Esto sucede exactamente igual que en el primer caso, con la nica diferencia de que al menos una de las licencias debe tener un atributo especial. Este atributo es necesario para combinar licencias de clientes distintos. Si desea utilizar una licencia de este tipo, solicite al distribuidor local que genere una para usted. NOTA: el perodo de validez de la nueva licencia se corresponde con la fecha de expiracin de la licencia que antes caduque de las dos. ESET Mail Security for Microsoft Exchange Server (EMSX) compara el nmero de buzones de correo de Active Directory con el nmero de licencias que posee. Se comprueban todas las instancias de Active Directory de Exchange Server para determinar el nmero total de buzones de correo. El recuento de buzones de correo no contabiliza los buzones de correo del sistema, los buzones de correo desactivados ni los alias de correo electrnico. En los entornos de clster, tampoco se contabilizan los nodos que tienen el rol de buzn de correo en clster. Para determinar el nmero de buzones de correo de Exchange activos que posee, abra Usuarios y equipos de Active Directory en el servidor. Haga clic en el dominio con el botn derecho del ratn y, a continuacin, haga clic en Buscar. Despus, en el men desplegable Buscar, seleccione Bsqueda personalizada y haga clic en la ficha Avanzadas. Pegue la siguiente consulta LDAP y haga clic en Buscar ahora: (&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(! (name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(! userAccountControl:1.2.840.113556.1.4.803:=2)) 16 Si el nmero de buzones de correo de Active Directory supera el recuento de licencias, se anotar un mensaje en el registro de Microsoft Exchange Server para indicarle que el estado de la proteccin ha cambiado porque se ha superado el nmero de buzones de correo que admite su licencia. ESET Mail Security tambin cambiar el Estado de la proteccin a naranja para informarle, y mostrar un mensaje para avisarle de que quedan 42 das para que se desactive la proteccin. Si recibe esta notificacin, pngase en contacto con el representante de ventas para adquirir licencias adicionales. Si ha transcurrido el perodo de 42 das y no agreg las licencias necesarias para cubrir el exceso de buzones de correo, el Estado de la proteccin cambiar a rojo. Un mensaje le informar de que se ha desactivado la proteccin. Si recibe esta notificacin, pngase en contacto inmediatamente con el representante de ventas para adquirir licencias adicionales. 17 2.9 Configuracin posterior a la instalacin Despus de instalar un producto, hay que configurar varias opciones. Configuracin de la proteccin frente a correo no deseado En esta seccin se describen los ajustes, mtodos y tcnicas que se pueden utilizar para proteger la red frente al correo no deseado. Le recomendamos que lea detenidamente las siguientes instrucciones antes de elegir la combinacin de ajustes ms adecuada para su red. Gestin del spam Con el fin de garantizar un nivel elevado de proteccin antispam, debe definir las acciones que se realizarn en los mensajes marcados como SPAM. Hay tres opciones disponibles: 1. Eliminacin del correo no deseado Los criterios para que ESET Mail Security marque un mensaje como SPAM son bastante altos, de modo que se reducen las posibilidades de eliminar correos electrnicos legtimos. Cuanto ms especfica sea la configuracin antispam, menos probable es que se elimine correo legtimo. Entre las ventajas de este mtodo se incluye un consumo muy bajo de recursos del sistema y menos tareas de administracin; la desventaja es que, si se elimina un mensaje legtimo, no se podr restaurar localmente. 2. Cuarentena Con esta opcin no existe riesgo de eliminar correo legtimo, ya que los mensajes se pueden restaurar y reenviar a los destinatarios originales inmediatamente. Las desventajas de esta mtodo son un mayor consumo de recursos del sistema y la necesidad de tiempo adicional para el mantenimiento de la cuarentena de mensajes de correo electrnico. Existen dos mtodos para poner correo electrnico en cuarentena: A. Cuarentena interna de Exchange Server (se aplica solo a Microsoft Exchange Server 2007/2010): - Si desea utilizar la cuarentena interna del servidor, asegrese de que el campo Cuarentena comn de mensajes disponible en el panel derecho del men de configuracin avanzada (debajo de Proteccin del servidor > Cuarentena de mensajes) est vaco. Asegrese tambin de que la opcin Poner mensaje en cuarentena en el sistema del servidor de correo est seleccionada en el men desplegable disponible en la parte inferior. Este mtodo solo funciona cuando hay una carpeta de cuarentena interna en Exchange. De forma predeterminada, la cuarentena interna no est activada en Exchange. Si desea activarla, abra la Consola de administracin de Exchange y escriba el comando siguiente:
(sustituya name@domain.com por el buzn de correo real que desea que utilice Microsoft Exchange como buzn de correo de cuarentena interno, por ejemplo, exchangequarantine@company.com)
B. Buzn de correo de cuarentena personalizado: - Si escribe el buzn de correo que desea en el campo Cuarentena comn de mensajes, ESET Mail Security mover todos los mensajes no deseados a este buzn personalizado. Si desea ms informacin sobre la cuarentena y los diferentes mtodos, consulte el captulo Cuarentena de mensajes . 3. Envo de correo no deseado
El correo no deseado se enviar a su destinatario. Sin embargo, ESET Mail Security aadir el valor de SCL en el encabezado MIME pertinente de cada mensaje. En funcin de este valor de SCL, el IMF (filtro inteligente de mensajes) de Exchange Server ejecutar la accin pertinente. Filtrado de correo no deseado 25 18 Creacin de listas grises El mtodo de listas grises protege a los usuarios frente al correo no deseado mediante la tcnica que se indica a continuacin: el agente de transporte enva un valor de retorno SMTP "rechazar temporalmente" (el valor predeterminado es 451/4.7.1) para los mensajes recibidos que no procedan de un remitente conocido. Un servidor legtimo intentar entregar el mensaje otra vez. Por lo general, los servidores de spam no intentan enviar el mensaje otra vez, ya que suelen pasar por miles de direcciones de correo electrnico y no pueden perder el tiempo con reenvos. Cuando evala el origen del mensaje, el mtodo tiene en cuenta la configuracin de las listas de Direcciones IP permitidas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP de Exchange Server y la configuracin de No aplicar antispam del buzn de correo del destinatario. Las listas grises deben configurarse exhaustivamente para evitar fallos operativos no deseados (por ejemplo, retrasos en la entrega de mensajes legtimos, etc.). Estos efectos negativos desaparecen a medida que el mtodo llena la lista blanca interna con conexiones de confianza. Si no est familiarizado con este mtodo, o si considera que sus efectos negativos son inaceptables, le recomendamos que lo desactiva en el men Configuracin avanzada, en Proteccin Antispam > Microsoft Exchange Server > Agente de transporte > Activar creacin de listas grises. Le recomendamos que desactive la creacin de listas grises si desea probar las funciones bsicas del producto y no va a configurar las caractersticas avanzadas del programa. NOTA: las listas grises son una capa adicional de la proteccin antispam y no tienen ningn efecto sobre la capacidad de evaluacin del correo no deseado del mdulo antispam. Configuracin de la proteccin antivirus Cuarentena En funcin del modo de desinfeccin que utilice, le recomendamos que configure la accin que desea que se realice en los mensajes infectados (no desinfectados). Esta opcin se puede definir en la ventana Configuracin avanzada, en Proteccin del servidor > Antivirus y antispyware > Microsoft Exchange Server > Agente de transporte. Si est activada la opcin de mover mensajes a la cuarentena de mensajes de correo electrnico, debe configurar la cuarentena en Proteccin del servidor > Cuarentena de mensajes, en la ventana Configuracin avanzada. Rendimiento Si no hay ms restricciones, nuestra recomendacin es que aumente el nmero de motores de anlisis de ThreatSense en la ventana Configuracin avanzada (F5), en Proteccin del ordenador > Antivirus y antispyware > Rendimiento, de acuerdo con esta frmula: nmero de motores de anlisis de ThreatSense = (nmero de CPU fsicas x 2) + 1. Adems, el nmero de subprocesos de anlisis debe ser igual al nmero de motores de anlisis de ThreatSense. Puede configurar el nmero de subprocesos de anlisis en Proteccin del servidor > Antivirus y antispyware > Microsoft Exchange Server > VSAPI > Rendimiento. Ejemplo: Supongamos que tiene un servidor con 4 CPU fsicas. Segn la frmula anterior, para disfrutar un rendimiento mximo debera tener 9 subprocesos de anlisis y 9 motores de anlisis. NOTA: son aceptables valores entre 1 y 20, de modo que el nmero mximo de motores de anlisis de ThreatSense que se puede utilizar es 20. El cambio no se aplicar hasta que reinicie el sistema. NOTA: nuestra recomendacin es que defina un nmero de subprocesos de anlisis igual al nmero de motores de anlisis de ThreatSense utilizados. El rendimiento no se ver afectado si utiliza ms subprocesos de anlisis que motores de anlisis. NOTA: si utiliza ESET Mail Security en un servidor Windows Server que acta como Terminal Server y no desea que la GUI de ESET Mail Security se inicie cada que vez que se registra un usuario, consulte el captulo Desactivar la GUI en Terminal Server para conocer los pasos de desactivacin especficos. 119 19 3. ESET Mail Security: proteccin de Microsoft Exchange Server ESET Mail Security proporciona una buena proteccin para Microsoft Exchange Server. Hay fundamentalmente tres tipos de proteccin: Antivirus, Antispam y aplicacin de reglas definidas por el usuario. ESET Mail Security ofrece proteccin frente a varios tipos de contenido malicioso, como archivos adjuntos infectados por gusanos o troyanos, documentos que contienen scripts dainos, phishing y spam. ESET Mail Security elimina el contenido malicioso del servidor de correo antes de que llegue a la bandeja de entrada del cliente de correo electrnico del destinatario. En los captulos siguientes se describen todas las opciones y parmetros disponibles para configurar la proteccin de Microsoft Exchange Server. 3.1 Configuracin general En esta seccin se explica cmo administrar reglas, archivos de registro, cuarentenas de mensajes y parmetros de rendimiento. 3.1.1 Microsoft Exchange Server 3.1.1.1 VSAPI (Interfaz de programacin de aplicaciones de anlisis de virus) Microsoft Exchange Server proporciona un mecanismo para garantizar que se todos los componentes del mensaje se comprueba con la base de firmas de virus actual. Si el componente de un mensaje no se analiz, este se enva para su anlisis antes de enviar el mensaje al cliente. Cada una de las versiones compatibles de Microsoft Exchange Server (2000/2003/2007/2010) ofrece una versin diferente de VSAPI. Utilice la casilla de verificacin para activar o desactivar el inicio automtico de la versin de VSAPI que utiliza su servidor de Exchange. 3.1.1.2 Agente de transporte En esta seccin, puede configurar el agente de transporte para que se inicie automticamente y definir la prioridad de carga de agente. En Microsoft Exchange Server 2007 y versiones posteriores solo se puede instalar un agente de transporte si el servidor tiene uno de estos dos roles: Transporte perimetral o Concentrador de transporte. NOTA: el agente de transporte no est disponible en Microsoft Exchange Server 5.5 (VSAPI 1.0). En el men Configuracin de prioridad de agentes, puede definir la prioridad de los agentes de ESET Mail Security. 20 El intervalo de nmeros de prioridad del agente depende de la versin de Microsoft Exchange Server (cuando ms bajo sea el nmero, mayor ser la prioridad). Anotar el nivel de confianza contra correo no deseado (SCL) en el encabezado de mensaje analizados en funcin del nivel de spam: SCL es un valor normalizado asignado a un mensaje que indica la probabilidad de que el mensaje sea correo no deseado (segn las caractersticas del encabezado del mensaje, el asunto, el contenido, etc.). Un valor de 0 indica que es muy poco probable que el mensaje sea spam y un valor de 9, que es muy probable. Los valores de SCL se pueden procesar tambin con el filtro inteligente de mensajes de Microsoft Exchange Server (o el agente del filtro de contenido). Si desea informacin adicional, consulte la documentacin de Microsoft Exchange Server. Al eliminar un mensaje, enviar una respuesta SMTP de rechazo Si esta opcin no est seleccionada, el servidor enva una respuesta SMTP de aceptacin al Agente de transferencia de correo (MTA) del remitente con el formato '250 2.5.0 - Aceptacin de la accin del correo: completada' y, a continuacin, realiza una colocacin silenciosa. Si est seleccionada, se enva una respuesta SMTP de rechazo al agente MTA del remitente. El mensaje de respuesta se puede escribir con el formato siguiente: Cdigo de respuesta principal Cdigo de respuesta complementario Descripcin 250 2.5.0 Aceptacin de la accin del correo: completada 451 4.5.1 Se cancel la accin solicitada: error local al procesar 550 5.5.0 No se realiz la accin solicitada: el buzn de correo no est disponible Alerta: una sintaxis incorrecta en los cdigos de respuesta SMTP podra provocar el mal funcionamiento de los componentes del programa y disminuir su NOTA: en la configuracin de respuestas SMTP de rechazo tambin puede utilizar variables del sistema. 21 3.1.2 Reglas El elemento de men Reglas permite a los administradores definir manualmente las condiciones de filtrado de correo electrnico y las acciones que se deben realizar con los mensajes de correo electrnico filtrados. Las reglas se aplican en funcin de un grupo de condiciones combinadas. Las condiciones se combinan con el operador lgico AND, de modo que la regla solo se aplica cuando se cumplen todas las condiciones. En la columna Nmero (disponible junto al nombre de regla) se muestra el nmero de veces que una regla se aplic con xito. Las reglas se cotejan con un mensaje cuando el agente de transporte (AT) o VSAPI lo procesan. Si estn activados el agente de transporte y VSAPI, y el mensaje cumple las condiciones de la regla, el contador de la regla aumentar en 2 o ms. Esto se debe a que VSAPI accede a cada parte del mensaje de forma individual (cuerpo, archivo adjunto, etc.), de modo que las reglas se aplican a cada una de las partes individuales. Las reglas tambin se aplican durante el anlisis en segundo plano (p. ej., el anlisis repetido del almacn de buzones de correo tras la actualizacin de la base de firmas de virus), lo cual puede aumentar el contador de la regla. Agregar: agrega una regla nueva. Editar: modifica una regla existente. Quitar: elimina la regla seleccionada. Borrar: borra el contenido del contador de la regla (la columna Coincidencias). Subir: sube la posicin de la regla seleccionada en la lista. Bajar: baja la posicin de la regla seleccionada en la lista. Cuando se anula la seleccin de una casilla de verificacin (a la izquierda de cada nombre de regla), se desactiva la regla actual. Si es necesario, la regla se puede volver a activar con esta casilla. NOTA: en la configuracin de reglas tambin puede utilizar variables del sistema (p. ej., %PATHEXT%). NOTA: si se ha agregado una regla nueva o se ha modificado una regla existente, se iniciar automticamente un nuevo anlisis de mensajes con las reglas nuevas o modificadas. 22 3.1.2.1 Cmo agregar reglas nuevas Este asistente le ayuda a agregar reglas especificadas por el usuario con condiciones combinadas. NOTA: cuando el mensaje se analiza con el agente de transporte, no son aplicables todas las condiciones. Por buzn de correo de destino: se aplica al nombre de un buzn de correo (VSAPI). Por destinatario del mensaje: se aplica a los mensajes enviados a un destinatario especificado (VSAPI + AT). Por remitente del mensaje: se aplica a los mensajes enviados por un remitente especificado (VSAPI + AT). Por asunto del mensaje: se aplica a los mensajes que tienen un asunto especfico (VSAPI + AT). Por cuerpo del mensaje: se aplica a los mensajes cuyo cuerpo contiene un texto especfico (VSAPI). Por nombre de archivo adjunto: se aplica a los mensajes que tienen un adjunto con un nombre especfico (VSAPI en Exchange 2000 y 2003, VSAPI + TA en Exchange 2007 y 2010). Por tamao de archivo adjunto: se aplica a los mensajes que tienen un adjunto de un tamao superior al definido (VSAPI en Exchange 2000 y 2003, VSAPI + TA en Exchange 2007 y 2010). Por frecuencia de repeticin del archivo en el adjunto: se aplica a objetos (cuerpo del mensaje o archivo adjunto) cuyo nmero de repeticiones en el intervalo de tiempo especificado supera el lmite especificado (VSAPI). Esta condicin es muy til cuando se reciben constantemente mensajes no deseados que tienen el mismo cuerpo del mensaje o archivo adjunto. Por tipo de archivo adjunto se aplica a un mensaje cuyo archivo adjunto es de un tipo especificado (el tipo de archivo real se detecta en funcin de su contenido, independientemente de su extensin) (VSAPI). Al especificar las condiciones anteriores (salvo la condicin Por tamao de archivo adjunto), si no est seleccionada la opcin Palabras completas, basta con indicar una parte de la frase. Los valores no distinguen maysculas y minsculas, a no ser que est seleccionada la opcin Distinguir maysculas y minsculas. Si utiliza caracteres no alfanumricos, encirrelos entre parntesis y comillas. Tambin puede crear condiciones con los operadores lgicos AND, OR y NOT. NOTA: la lista de reglas disponibles depende de la versin instalada de Microsoft Exchange Server. NOTA: Microsoft Exchange Server 2000 (VSAPI 2.0) solo evala el nombre del remitente/destinatario mostrado, no la direccin de correo electrnico. Las direcciones de correo electrnico empezaron a evaluarse en Microsoft Exchange Server 2003 (VSAPI 2.5) y versiones posteriores. Ejemplos de introduccin de condiciones Por buzn de correo de destino: smith Por remitente del mensaje: smith@mail.com Por destinatario del mensaje: "J.Smith" o "smith@mail.com" Por asunto del mensaje: " " 23 Por nombre de archivo adjunto: ".com" OR ".exe" Por cuerpo del mensaje: ("gratis" OR "lotera") AND ("ganar" OR "comprar") 3.1.2.2 Acciones emprendidas en la aplicacin de reglas En esta seccin, puede seleccionar las acciones que se deben realizar en los mensajes o archivos adjuntos que cumplan las condiciones definidas en las reglas. Tiene la opcin de no realizar ninguna accin, marcar el mensaje como si contuviese una amenaza o fuese spam, o eliminar todo el mensaje. De forma predeterminada, cuando un mensaje o su archivo adjunto cumplen las condiciones de la regla, los mdulos antivirus o antispam no lo analizan, a menos que el anlisis se active explcitamente con las correspondientes casillas de verificacin (entonces, la accin realizada depende de la configuracin del mdulo antivirus o antispam). Sin acciones: no se realizar ninguna accin en el mensaje. Realizar accin en amenaza no eliminada: se indicar que el mensaje contiene una amenaza no eliminada (independientemente de si contiene una amenaza o no). Realizar accin en correo no solicitado: se indicar que el mensaje es spam (independientemente de si lo es o no). Esta opcin solo funciona si la proteccin antispam est activada y la accin se realiza en el agente de transporte. Si no es as, la accin no se realizar. Eliminar mensaje: elimina todos los mensajes cuyo contenido cumpla las condiciones. Esta accin solo funciona en VSAPI 2.5 y versiones ms recientes (VSAPI 2.0 y las versiones anteriores no pueden realizar esta accin). Poner archivo en cuarentena: los archivos adjuntos que cumplan los criterios de la regla se pondrn en la cuarentena de archivos de ESET Mail Security, que no se debe confundir con la cuarentena de correo (para obtener ms informacin sobre la cuarentena de correo, consulte Cuarentena de mensajes ). Enviar archivo para su anlisis: enva los archivos adjuntos sospechosos al laboratorio de ESET para su anlisis. Enviar notificacin de sucesos: enva una notificacin al administrador (de acuerdo con la configuracin de Herramientas > Alertas y notificaciones). Registrar: registra informacin sobre la regla aplicada en el registro del programa. Evaluar otras reglas: permite la evaluacin de otras reglas, de modo que el usuario puede definir varios conjuntos de condiciones y varias acciones en funcin de las condiciones. Analizar mediante la proteccin antivirus y antispyware: analiza los mensajes y los archivos adjuntos en busca de amenazas. Analizar mediante la proteccin antispam: analiza el mensaje para detectar la presencia de spam. NOTA: esta opcin solo est disponible en Microsoft Exchange Server 2000 y versiones posteriores cuando el agente de transporte est activado. El ltimo paso del asistente de creacin de reglas nuevas consiste en asignar un nombre a cada una de las reglas creadas. Tambin puede agregar un Comentario de regla. Esta informacin se almacenar en el registro de Microsoft Exchange Server. 37 25 24 3.1.3 Archivos de registro En la configuracin de archivos de registro puede elegir el modo de estructuracin del archivo de registro. Un protocolo ms detallado puede contener ms informacin, pero podra ralentizar el rendimiento del servidor. Si la opcin Escritura sincronizada sin utilizar cach est activada, todas las entradas de registro se escribirn inmediatamente en el archivo de registro y no se almacenarn en la cach de registro. De forma predeterminada, los componentes de ESET Mail Security que se ejecutan en el archivo de Microsoft Exchange Server registran los mensajes en su cach interna y los envan al registro de la aplicacin peridicamente para que el rendimiento no se vea afectado. No obstante, en este caso, es posible que las entradas de diagnstico en el registro no estn correctamente ordenadas. Se recomienda dejar este parmetro desactivado, a no ser que sea necesario para el diagnstico. En el men Contenido, puede especificar el tipo de informacin que se almacena en los archivos de registro. Aplicacin de reglas del registro: si esta opcin est activada, ESET Mail Security escribe el nombre de todas las reglas activadas en el archivo de registro. Nivel de spam del registro: utilice esta opcin para que la actividad relacionada con correo no deseado se anote en el Registro de antispam . Cuando el servidor de correo recibe un mensaje SPAM, se escribe en el registro informacin sobre el mensaje (fecha y hora, remitente, destinatario, asunto, nivel de SPAM, detalle y accin). Esta funcin es til cuando es necesario realizar un seguimiento de los mensajes SPAM recibidos, cundo se recibieron y qu accin se ejecut. Actividad de creacin de listas grises del registro: active esta opcin si desea que la actividad relacionada con la creacin de listas grises se anote en el Registro de listas grises . Esta opcin proporciona informacin como la fecha y la hora, el dominio HELO, la direccin IP, el remitente, el destinatario, la accin, etc. NOTA: esta opcin solo funciona si la creacin de listas grises est activada en las opciones del Agente de transporte , en Proteccin del servidor > Proteccin Antispam > Microsoft Exchange Server > Agente de transporte, en el rbol de configuracin avanzada (F5). Rendimiento del registro: registra informacin sobre el intervalo de tiempo de una tarea realizada, el tamao del objeto analizado, la velocidad de transferencia (kb/s) y el rendimiento. Informacin de diagnstico del registro: registra informacin de diagnstico necesaria para ajustar el programa al protocolo. Esta opcin se utiliza principalmente para la depuracin e identificacin de problemas. No se recomienda activar esta opcin. Para ver la informacin de diagnstico que proporciona esta funcin, defina el nivel de detalle de registro Mnimo en Registros de diagnstico en Herramientas > Archivos de registro > Nivel mnimo de detalle al registrar. 95 95 38 25 3.1.4 Cuarentena de mensajes El buzn de correo Cuarentena de mensajes es un buzn especial definido por el administrador del sistema para almacenar mensajes potencialmente infectados y correo no deseado. Los mensajes almacenados en cuarentena se pueden analizar o desinfectar posteriormente con una base de firmas de virus ms reciente. Se pueden utilizar dos tipos de sistemas de cuarentena de mensajes. Por un lado, est el sistema de cuarentena de Microsoft Exchange (se aplica nicamente a Microsoft Exchange Server 2007/2010). En este caso, el mecanismo interno de Exchange se utiliza para almacenar los mensajes potencialmente infectados y correo no deseado. Adems, si es necesario, se pueden aadir buzones de correo de cuarentena independientes para destinatarios especficos. Esto significa que los mensajes potencialmente infectados, que originalmente se enviaban a un destinatario especfico, se entregarn en un buzn de correo de cuarentena independiente, y no en el buzn de cuarentena interno de Exchange. Esta funcin puede ser til en algunos casos, para organizar mejor los mensajes potencialmente infectados y el correo no deseado. Por otro lado, est la Cuarentena comn de mensajes. Si utiliza una versin anterior de Microsoft Exchange Server (5.5, 2000 o 2003), solo tiene que especificar ka Cuarentena comn de mensajes, que es un buzn de correo en el que se almacenarn los mensajes potencialmente infectados. En este caso, no se utiliza el sistema de cuarentena interna de Exchange, sino un buzn de correo especificado por el administrador del sistema. Al igual que en la primera opcin, se pueden aadir buzones de correo de cuarentena independientes para destinatarios especficos. El resultado es que los mensajes potencialmente infectados se entregan en un buzn de correo independiente, en vez de en la cuarentena comn de mensajes. 26 Cuarentena comn de mensajes: puede especificar la direccin de la cuarentena comn de mensajes aqu (por ejemplo, main_quarantine@company.com) o utilizar el sistema de cuarentena interna de Microsoft Exchange Server 2007/2010, en cuyo caso debe dejar este campo en blanco y seleccionar Poner mensaje en cuarentena en el sistema del servidor de correo (siempre que la cuarentena de Exchange est disponible en su entorno) en el men desplegable situado en la parte inferior. Entonces, el mecanismo interno de Exchange entrega los correos electrnico en la cuarentena de acuerdo con su configuracin. NOTA: de forma predeterminada, la cuarentena interna no est activada en Exchange. Si desea activarla, abra la Consola de administracin de Exchange y escriba el comando siguiente:
(sustituya name@domain.com por el buzn de correo real que desea que utilice Microsoft Exchange como buzn de correo de cuarentena interno, por ejemplo, exchangequarantine@company.com) Cuarentena de mensajes por destinatario: esta opcin le permite definir buzones de correo de cuarentena de mensajes para varios destinatarios. Las reglas de cuarentena se pueden activar o desactivar con la casilla de verificacin situada en su fila. Agregar: para agregar una regla de cuarentena nueva, introduzca la direccin de correo electrnico del destinatario que desee y la direccin de correo electrnico de cuarentena a la que se enviar el mensaje. Modificar: modifique una regla de cuarentena seleccionada. Quitar: elimina la regla de cuarentena seleccionada. Preferir cuarentena comn de mensajes: si se activa esta opcin, el mensaje se enviar a la cuarentena comn de mensajes especificada si se cumplen varias reglas de cuarentena (p. ej., si un mensaje tiene varios destinatarios y algunos se definen en varias reglas de cuarentena). Mensaje destinado a cuarentena de mensajes no existente: si no especific una cuarentena comn de mensajes, puede realizar una de las acciones siguientes en los mensajes potencialmente infectados y el correo no deseado:
Sin acciones: los mensajes se procesarn del modo normal y se entregarn al destinatario (no recomendado). Eliminar mensaje: los mensajes dirigidos a un destinatario que no tenga ninguna regla de cuarentena ni cuarentena comn de mensajes especificada se eliminarn; es decir, que todos los mensajes potencialmente infectado y el correo no deseado se eliminarn automticamente, y no se guardarn en ningn sitio. Poner mensaje en cuarentena en el sistema del servidor de correo: los mensajes se entregan y almacenan en el sistema de cuarentena interna de Exchange (no disponible en Microsoft Exchange Server 2003 y versiones anteriores). NOTA: en la configuracin de los ajustes de la cuarentena de mensajes, tambin puede utilizar variables del sistema (p. ej., %USERNAME%). 3.1.4.1 Cmo agregar una nueva regla de cuarentena Escriba las direcciones de correo electrnico del destinatario y de cuarentena en los campos correspondientes. Si desea eliminar un mensaje de correo electrnico dirigido a un destinatario que no aplica ninguna regla de cuarentena, puede seleccionar la opcin Eliminar el mensaje del men desplegable Mensaje destinado a cuarentena de mensajes no existente. 27 3.1.5 Rendimiento En esta seccin, puede definir una carpeta en la que almacenar los archivos temporales con el fin de mejorar el rendimiento del programa. Si no se especifica ninguna carpeta, ESET Mail Security crear los archivos temporales en la carpeta temporal del sistema. NOTA: para reducir el impacto de la fragmentacin y las operaciones de E/S, es recomendable colocar la carpeta temporal en una unidad de disco duro diferente a la unidad donde est instalado Microsoft Exchange Server. Le recomendamos encarecidamente que evite la asignacin de la carpeta temporal a un medio extrable, como la unidad de disquete, USB, DVD, etc. NOTA: puede utilizar variables del sistema (como %SystemRoot%\TEMP) para configurar los ajustes de rendimiento. 3.2 Configuracin del antivirus y antispyware Si desea activar la proteccin antivirus y antispyware del servidor de correo, seleccione la opcin Activar la proteccin antivirus y antispyware del servidor. Tenga en cuenta que la proteccin antivirus y antispyware se activa automticamente despus de reiniciar el servicio/ordenador. La configuracin de parmetros del motor ThreatSense se abre con el botn Configuracin. 28 3.2.1 Microsoft Exchange Server ESET Mail Security for Microsoft Exchange Server utiliza dos tipos de anlisis para la proteccin antivirus y antispyware. Uno de ellos analiza los mensajes mediante VSAPI y el otro utiliza un agente de transporte. La proteccin con VSAPI analiza los mensajes directamente en el archivo de Exchange Server. La proteccin con el agente de transporte analiza el trfico SMTP en vez del archivo de Exchange Server. Si se activa este tipo de proteccin, todos los mensajes y sus componentes se analizarn durante el transporte, antes de que lleguen al archivo de Exchange Server o de su envo a travs de SMTP. El filtrado de nivel de servidor SMTP se garantiza mediante un complemento especializado. En Microsoft Exchange Server 2000 y 2003, el complemento en cuestin (Receptor de sucesos) se registra en el servidor SMTP como parte de Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se registra como agente de transporte en los roles Perimetral o Concentrador de Microsoft Exchange Server. NOTA: el agente de transporte no est disponible en Microsoft Exchange Server 5.5, pero s en las versiones ms recientes de Microsoft Exchange Server (a partir de la versin 2000). Puede utilizar la proteccin antivirus y antispyware del agente de transporte y VSAPI al mismo tiempo (esta es la configuracin predeterminada y recomendada). No obstante, tambin puede utilizar un solo tipo de proteccin (VSAPI o agente de transporte). Estos tipos de proteccin se pueden activar y desactivar de forma independiente. Le recomendamos que utilice ambos tipos para garantizar el mximo nivel de proteccin antivirus y antispyware. No se recomienda desactivar ambas opciones. 3.2.1.1 Interfaz de programacin de aplicaciones de anlisis de virus (VSAPI) Microsoft Exchange Server proporciona un mecanismo para garantizar que se todos los componentes del mensaje se comprueba con la base de firmas de virus actual. Si un mensaje no se analiz previamente, los componentes correspondientes se envan para su anlisis antes de enviar el mensaje al cliente. Cada una de las versiones compatibles de Microsoft Exchange Server (5.5/2000/2003/2007/2010) ofrece una versin diferente de VSAPI. 3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0) Esta versin de Microsoft Exchange Server incluye la versin 1.0 de VSAPI. Si est activada la opcin Anlisis en segundo plano, podr analizar todos los mensajes en segundo plano. Microsoft Exchange Server decide si se ejecutar un anlisis en segundo plano o no en funcin de varios factores, como la carga actual del sistema, el nmero de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes analizados y la versin de la base de firmas de virus utilizada. Si va a abrir un mensaje que no se ha analizado con la base de firmas de virus ms actual, Microsoft Exchange Server enva el mensaje a ESET Mail Security para su anlisis antes de abrirlo en el cliente de correo electrnico. El anlisis en segundo plano puede afectar a la carga del sistema (el anlisis se realiza cada vez que se actualiza la base de firmas de virus), por lo que le recomendamos que utilice el anlisis programado fuera de las horas de oficina. El anlisis en segundo plano programado se puede configurar con una tarea especial del Planificador de tareas. Cuando programe una tarea de anlisis en segundo plano, puede definir la hora de inicio, el nmero de repeticiones y otros parmetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea, esta aparecer en la lista de tareas programadas y, al igual que las dems tareas, podr modificar sus parmetros, eliminarla o desactivarla de forma temporal. 28 34 29 3.2.1.1.1.1 Acciones En esta seccin, puede especificar las acciones que se realizarn cuando un mensaje o archivo adjunto se clasifique como infectado. En el campo Accin a emprender si la desinfeccin no es posible, puede Bloquear el contenido infectado, Eliminar el mensaje o seleccionar Sin acciones para el contenido infectado del mensaje. Esta accin solo se aplicar si la desinfeccin automtica (definida en Configuracin de parmetros del motor ThreatSense > Desinfeccin ) no desinfect el mensaje. El campo Eliminacin le permite definir el Mtodo de eliminacin de archivos adjuntos en una de estas opciones: Reducir el archivo a longitud cero: ESET Mail Security reduce el tamao del archivo adjunto a cero y permite que el destinatario vea el nombre y el tipo de archivo. Sustituir el archivo adjunto con informacin sobre la accin: ESET Mail Security sustituye el archivo infectado con un protocolo de virus o una descripcin de regla. Al hacer clic en el botn Analizar de nuevo, se ejecuta otro anlisis de los mensajes y archivos ya analizados. 3.2.1.1.1.2 Rendimiento Durante un anlisis, Microsoft Exchange Server le permite definir un tiempo lmite para la apertura de archivos adjuntos. Este tiempo se define en el campo Tiempo lmite de respuesta (ms) e indica el perodo tras el cual el cliente intentar acceder otra vez al archivo que antes estaba inaccesible a causa del anlisis. 3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0) Esta versin de Microsoft Exchange Server incluye la versin 2.0 de VSAPI. Si desmarca la opcin Activar la proteccin antivirus y antispyware VSAPI 2.0, el complemento de ESET Mail Security para Exchange Server no se descargar del proceso de Microsoft Exchange Server, simplemente pasar los mensajes sin buscar virus. No obstante, los mensajes s se analizarn para detectar el spam y se aplicarn las reglas . Si est activada la opcin Anlisis proactivo, los nuevos mensajes entrantes se analizarn en el orden de recepcin. Si esta opcin est activada y un usuario abre un mensaje que an no se ha analizado, este mensaje se analizar antes que los dems mensajes de la cola. La opcin Anlisis en segundo plano permite el anlisis de todos los mensajes en segundo plano. Microsoft Exchange Server decide si se ejecutar un anlisis en segundo plano o no en funcin de varios factores, como la carga actual del sistema, el nmero de usuarios activos, etc. Si va a abrir un mensaje que no se ha analizado con la base de firmas de virus ms actual, Microsoft Exchange Server enva el mensaje a ESET Mail Security para su anlisis antes de abrirlo en el cliente de correo electrnico. El anlisis en segundo plano puede afectar a la carga del sistema (el anlisis se realiza cada vez que se actualiza la base de firmas de virus), por lo que le recomendamos que utilice el anlisis programado fuera de las horas de oficina. El anlisis en segundo plano programado se puede configurar con una tarea especial del Planificador de tareas. Cuando programe una tarea de anlisis en segundo plano, puede definir la hora de inicio, el nmero de repeticiones y otros parmetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea, esta aparecer en la lista de tareas programadas y, al igual que las dems tareas, podr modificar sus parmetros, eliminarla o desactivarla de forma temporal. Si desea analizar mensajes de texto sin formato, seleccione la opcin Analizar mensajes con formato de texto plano. Al activar la opcin Analizar mensajes con formato RTF, se activa el anlisis de los mensajes en formato RTF. Estos mensajes pueden contener macrovirus. 78 38 21 30 3.2.1.1.2.1 Acciones En esta seccin, puede especificar las acciones que se realizarn cuando un mensaje o archivo adjunto se clasifique como infectado. En el campo Accin a emprender si la desinfeccin no es posible, puede Bloquear el contenido infectado, Eliminar el mensaje o seleccionar Sin acciones para el contenido infectado del mensaje. Esta accin solo se aplicar si la desinfeccin automtica (definida en Configuracin de parmetros del motor ThreatSense > Desinfeccin ) no desinfect el mensaje. La opcin Eliminacin le permite definir el Mtodo de eliminacin de mensajes y el Mtodo de eliminacin de archivos adjuntos. El Mtodo de eliminacin de mensajes se puede definir en: Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibir un mensaje vaco y los archivos adjuntos que no estn infectados. Volver a escribir el cuerpo del mensaje con informacin sobre la accin: vuelve a escribir el cuerpo del mensaje infectado con informacin sobre las acciones realizadas. El Mtodo de eliminacin de archivos adjuntos se puede definir en: Reducir el archivo a longitud cero: ESET Mail Security reduce el tamao del archivo adjunto a cero y permite que el destinatario vea el nombre y el tipo de archivo. Sustituir el archivo adjunto con informacin sobre la accin: ESET Mail Security sustituye el archivo infectado con un protocolo de virus o una descripcin de regla. Al hacer clic en el botn Analizar de nuevo, se ejecuta otro anlisis de los mensajes y archivos ya analizados. 3.2.1.1.2.2 Rendimiento En esta seccin, puede definir el nmero de subprocesos de anlisis independientes que se utilizan a la vez. Un mayor nmero de subprocesos en equipos con varios procesadores puede aumentar la velocidad de anlisis. Para obtener el mximo rendimiento del programa, le recomendamos que utilice un nmero igual de subprocesos de anlisis y motores de anlisis ThreatSense. La opcin Tiempo lmite de respuesta (seg.) le permite definir el tiempo mximo que espera un subproceso a que finalice el anlisis de un mensaje. Si el anlisis no finaliza en este lmite de tiempo, Microsoft Exchange Server denegar al cliente el acceso al correo electrnico. El anlisis no se interrumpir y, cuando finalice, el acceso al archivo se permitir siempre. SUGERENCIA:: para determinar el Nmero de subprocesos de anlisis, el proveedor de Microsoft Exchange Server recomienda la frmula siguiente: [nmero de procesadores fsicos] x 2 + 1. NOTA: el rendimiento no mejora demasiado si hay ms motores de anlisis ThreatSense que subprocesos de anlisis. 78 31 3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5) Esta versin de Microsoft Exchange Server incluye la versin 2.5 de VSAPI. Si desmarca la opcin Activar la proteccin antivirus y antispyware VSAPI 2.5, el complemento de ESET Mail Security para Exchange Server no se descargar del proceso de Microsoft Exchange Server, simplemente pasar los mensajes sin buscar virus. No obstante, los mensajes s se analizarn para detectar el spam y se aplicarn las reglas . Si est activada la opcin Anlisis proactivo, los nuevos mensajes entrantes se analizarn en el orden de recepcin. Si esta opcin est activada y un usuario abre un mensaje que an no se ha analizado, este mensaje se analizar antes que los dems mensajes de la cola. La opcin Anlisis en segundo plano permite el anlisis de todos los mensajes en segundo plano. Microsoft Exchange Server decide si se ejecutar un anlisis en segundo plano o no en funcin de varios factores, como la carga actual del sistema, el nmero de usuarios activos, etc. Si va a abrir un mensaje que no se ha analizado con la base de firmas de virus ms actual, Microsoft Exchange Server enva el mensaje a ESET Mail Security para su anlisis antes de abrirlo en el cliente de correo electrnico. El anlisis en segundo plano puede afectar a la carga del sistema (el anlisis se realiza cada vez que se actualiza la base de firmas de virus), por lo que le recomendamos que utilice el anlisis programado fuera de las horas de oficina. El anlisis en segundo plano programado se puede configurar con una tarea especial del Planificador de tareas. Cuando programe una tarea de anlisis en segundo plano, puede definir la hora de inicio, el nmero de repeticiones y otros parmetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea, esta aparecer en la lista de tareas programadas y, al igual que las dems tareas, podr modificar sus parmetros, eliminarla o desactivarla de forma temporal. Al activar la opcin Analizar mensajes con formato RTF, se activa el anlisis de los mensajes en formato RTF. Estos mensajes pueden contener macrovirus. La opcin Analizar mensajes transportados permite analizar los mensajes que no estn almacenados en la instancia local de Microsoft Exchange Server y se entregan a otros servidores de correo electrnico a travs de la instancia local de Microsoft Exchange Server. Microsoft Exchange Server se puede configurar como una puerta de enlace que pasa los mensajes a otros servidores de correo electrnico. Si est activado el anlisis de mensajes transportados, ESET Mail Security analiza tambin estos mensajes. Esta opcin solo est disponible cuando el agente de transporte est desactivado. NOTA: VSAPI no analiza los mensajes de texto sin formato. 3.2.1.1.3.1 Acciones En esta seccin, puede especificar las acciones que se realizarn cuando un mensaje o archivo adjunto se clasifique como infectado. En el campo Accin a emprender si la desinfeccin no es posible, puede Bloquear el contenido infectado, Eliminar el contenido infectado del mensaje, Eliminar todo el mensaje, incluido el contenido infectado, o seleccionar Sin acciones. Esta accin solo se aplicar si la desinfeccin automtica (definida en Configuracin de parmetros del motor ThreatSense > Desinfeccin ) no desinfect el mensaje. La opcin Eliminacin le permite definir el Mtodo de eliminacin de mensajes y el Mtodo de eliminacin de archivos adjuntos. El Mtodo de eliminacin de mensajes se puede definir en: Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibir un mensaje vaco y los archivos adjuntos que no estn infectados. Volver a escribir el cuerpo del mensaje con informacin sobre la accin: vuelve a escribir el cuerpo del mensaje infectado con informacin sobre las acciones realizadas. Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la accin que se realizar el eliminar archivos adjuntos. 38 21 78 32 El Mtodo de eliminacin de archivos adjuntos se puede definir en: Reducir el archivo a longitud cero: ESET Mail Security reduce el tamao del archivo adjunto a cero y permite que el destinatario vea el nombre y el tipo de archivo. Sustituir el archivo adjunto con informacin sobre la accin: ESET Mail Security sustituye el archivo infectado con un protocolo de virus o una descripcin de regla. Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la accin que se realizar el eliminar archivos adjuntos. Al hacer clic en el botn Analizar de nuevo, se ejecuta otro anlisis de los mensajes y archivos ya analizados. 3.2.1.1.3.2 Rendimiento En esta seccin, puede definir el nmero de subprocesos de anlisis independientes que se utilizan a la vez. Un mayor nmero de subprocesos en equipos con varios procesadores puede aumentar la velocidad de anlisis. Para obtener el mximo rendimiento del programa, le recomendamos que utilice un nmero igual de subprocesos de anlisis y motores de anlisis ThreatSense. La opcin Tiempo lmite de respuesta (seg.) le permite definir el tiempo mximo que espera un subproceso a que finalice el anlisis de un mensaje. Si el anlisis no finaliza en este lmite de tiempo, Microsoft Exchange Server denegar al cliente el acceso al correo electrnico. El anlisis no se interrumpir y, cuando finalice, el acceso al archivo se permitir siempre. SUGERENCIA: para determinar el Nmero de subprocesos de anlisis, el proveedor de Microsoft Exchange Server recomienda la frmula siguiente: [nmero de procesadores fsicos] x 2 + 1. NOTA: el rendimiento no mejora demasiado si hay ms motores de anlisis ThreatSense que subprocesos de anlisis. 3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) Esta versin de Microsoft Exchange Server incluye la versin 2.6 de VSAPI. Si desmarca la opcin Activar la proteccin antivirus y antispyware VSAPI 2.6, el complemento de ESET Mail Security para Exchange Server no se descargar del proceso de Microsoft Exchange Server, simplemente pasar los mensajes sin buscar virus. No obstante, los mensajes s se analizarn para detectar el spam y se aplicarn las reglas . Si est activada la opcin Anlisis proactivo, los nuevos mensajes entrantes se analizarn en el orden de recepcin. Si esta opcin est activada y un usuario abre un mensaje que an no se ha analizado, este mensaje se analizar antes que los dems mensajes de la cola. La opcin Anlisis en segundo plano permite el anlisis de todos los mensajes en segundo plano. Microsoft Exchange Server decide si se ejecutar un anlisis en segundo plano o no en funcin de varios factores, como la carga actual del sistema, el nmero de usuarios activos, etc. Si va a abrir un mensaje que no se ha analizado con la base de firmas de virus ms actual, Microsoft Exchange Server enva el mensaje a ESET Mail Security para su anlisis antes de abrirlo en el cliente de correo electrnico. Puede seleccionar la opcin Analizar solo mensajes con archivo adjunto y realizar el filtrado en funcin de la fecha y hora de recepcin con las siguientes opciones de Nivel de anlisis: Todos los mensajes Mensajes recibidos el ltimo ao Mensajes recibidos los ltimos 6 meses Mensajes recibidos los ltimos 3 meses Mensajes recibidos el ltimo mes Mensajes recibidos la ltima semana El anlisis en segundo plano puede afectar a la carga del sistema (el anlisis se realiza cada vez que se actualiza la base de firmas de virus), por lo que le recomendamos que utilice el anlisis programado fuera de las horas de oficina. El anlisis en segundo plano programado se puede configurar con una tarea especial del Planificador de tareas. Cuando programe una tarea de anlisis en segundo plano, puede definir la hora de inicio, el nmero de repeticiones y otros parmetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea, esta aparecer en la lista de tareas programadas y, al igual que las dems tareas, podr modificar sus parmetros, eliminarla o desactivarla de forma temporal. 38 21 33 Al activar la opcin Analizar mensajes con formato RTF, se activa el anlisis de los mensajes en formato RTF. Estos mensajes pueden contener macrovirus. NOTA: VSAPI no analiza los mensajes de texto sin formato. 3.2.1.1.4.1 Acciones En esta seccin, puede especificar las acciones que se realizarn cuando un mensaje o archivo adjunto se clasifique como infectado. En el campo Accin a emprender si la desinfeccin no es posible, puede Bloquear el contenido infectado, Eliminar objeto (el contenido infectado del mensaje), Eliminar todo el mensaje o seleccionar Sin acciones. Esta accin solo se aplicar si la desinfeccin automtica (definida en Configuracin de parmetros del motor ThreatSense >Desinfeccin ) no desinfect el mensaje. Tal como se explic mas arriba, Accin a emprender si la desinfeccin no es posible se puede definir en: Sin acciones: no realiza ninguna accin en el contenido infectado del mensaje. Bloquear: bloquea el mensaje antes de que llegue al archivo de Microsoft Exchange Server. Eliminar objeto: elimina el contenido infectado del mensaje. Eliminar todo el mensaje: elimina todo el mensaje, incluido el contenido infectado. La opcin Eliminacin le permite definir el Mtodo de eliminacin del cuerpo de mensajes y el Mtodo de eliminacin de archivos adjuntos. El Mtodo de eliminacin del cuerpo de mensajes se puede definir en: Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibir un mensaje vaco y los archivos adjuntos que no estn infectados. Volver a escribir el cuerpo del mensaje con informacin sobre la accin: vuelve a escribir el cuerpo del mensaje infectado con informacin sobre las acciones realizadas. Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la accin que se realizar el eliminar archivos adjuntos. El Mtodo de eliminacin de archivos adjuntos se puede definir en: Reducir el archivo a longitud cero: ESET Mail Security reduce el tamao del archivo adjunto a cero y permite que el destinatario vea el nombre y el tipo de archivo. Sustituir el archivo adjunto con informacin sobre la accin: ESET Mail Security sustituye el archivo infectado con un protocolo de virus o una descripcin de regla. Eliminar todo el mensaje: elimina el archivo adjunto. Si est activada la opcin Utilizar cuarentena de VSAPI, los mensajes infectados se almacenarn en la cuarentena del servidor de correo electrnico. Tenga en cuenta que se trata de la cuarentena administrada de VSAPI del servidor (no la cuarentena del cliente o el buzn de correo de cuarentena). Los mensajes infectados almacenados en la cuarentena del servidor de correo no estarn accesibles hasta que se hayan desinfectado con la base de firmas de virus ms reciente. Al hacer clic en el botn Analizar de nuevo, se ejecuta otro anlisis de los mensajes y archivos ya analizados. 3.2.1.1.4.2 Rendimiento En esta seccin, puede definir el nmero de subprocesos de anlisis independientes que se utilizan a la vez. Un mayor nmero de subprocesos en equipos con varios procesadores puede aumentar la velocidad de anlisis. Para obtener el mximo rendimiento del programa, le recomendamos que utilice un nmero igual de subprocesos de anlisis y motores de anlisis ThreatSense. SUGERENCIA: para determinar el Nmero de subprocesos de anlisis, el proveedor de Microsoft Exchange Server recomienda la frmula siguiente: [nmero de procesadores fsicos] x 2 + 1. NOTA: el rendimiento no mejora demasiado si hay ms motores de anlisis ThreatSense que subprocesos de anlisis. 78 34 3.2.1.1.5 Agente de transporte En esta seccin, puede activar o desactivar la proteccin antivirus y antispyware del agente de transporte. En Microsoft Exchange Server 2007 y versiones posteriores solo se puede instalar un agente de transporte si el servidor tiene uno de estos dos roles: Transporte perimetral o Concentrador de transporte. Si no es posible desinfectar un mensaje, este se procesar de acuerdo con la configuracin de la seccin Agente de transporte. El mensaje se puede eliminar, enviar al buzn de correo de cuarentena o retener. Si desmarca la opcin Activar la proteccin antivirus y antispyware mediante agente de transporte, el complemento de ESET Mail Security para Exchange Server no se descargar del proceso de Microsoft Exchange Server, simplemente pasar los mensajes sin buscar virus. No obstante, los mensajes s se analizarn para detectar el spam y se aplicarn las reglas . Si selecciona Activar la proteccin antivirus y antispyware mediante agente de transporte, puede definir la Accin a emprender si la desinfeccin no es posible: Conservar mensaje: retiene los mensajes infectados que no se pudieron desinfectar. Poner mensaje en cuarentena: enva al buzn de correo de cuarentena los mensajes infectados. Eliminar mensaje: elimina los mensajes infectados. Al detectar una amenaza, anotar el nivel de spam en el encabezado de los mensajes analizados (%): defina el nivel de spam (la probabilidad de que el mensaje sea correo no deseado) en un valor determinado, en forma de porcentaje. Esto significa que, si se detecta una amenaza, se indicar un nivel de spam (valor especificado en %) en el mensaje analizado. Los botnets son los responsables del envo de la mayora de los mensajes infectados, de modo que los mensajes distribuidos por este medio deben clasificarse como spam. Para que esta caracterstica sea efectiva, la opcin Anotar el nivel de confianza contra correo no deseado (SCL) en los mensaje analizados en funcin del nivel de spam de Proteccin del servidor > Microsoft Exchange Server > Agente de transporte debe estar activada. Si la opcin Analizar tambin los mensajes recibidos de conexiones internas o autenticadas est activada, ESET Mail Security tambin analiza los mensajes procedentes de orgenes autenticados o servidores locales. Se recomienda analizar estos mensajes para as aumentar el nivel de proteccin, pero es opcional. 38 21 19 35 3.2.2 Acciones En esta seccin, puede agregar un ID de tarea de anlisis o informacin del resultado del anlisis al encabezado de los mensajes analizados. 3.2.3 Alertas y notificaciones ESET Mail Security le permite aadir texto al asunto o el cuerpo original de los mensajes infectados. 36 Agregar al cuerpo de mensajes analizados: ofrece tres opciones: No agregar a mensajes Agregar nicamente a mensajes infectados Agregar a todos los mensajes analizados (esta operacin no se aplica a los mensajes internos) Si activa la opcin Agregar una advertencia en el asunto de los mensajes infectados, ESET Mail Security aadir una etiqueta al asunto del mensaje con el valor definido en el campo de texto Etiqueta agregada al asunto de mensajes infectados (de forma predeterminada, [virus %VIRUSNAME%]). Las modificaciones mencionadas pueden automatizar el filtrado de mensajes de correo electrnico infectados por asunto (si el cliente de correo electrnico lo permite) a una carpeta independiente. NOTA: cuando aada una plantilla al asunto del mensaje, tambin puede utilizar variables del sistema. 3.2.4 Exclusiones automticas Los desarrolladores de aplicaciones de servidor y sistemas operativos recomiendan, en la mayora de sus productos, excluir conjuntos de archivos y carpetas de trabajo crticos de los anlisis antivirus. Los anlisis antivirus pueden tener un efecto negativo sobre el rendimiento del servidor, provocar conflictos e incluso evitar la ejecucin de determinadas aplicaciones en el servidor. Las exclusiones minimizan el riesgo de sufrir conflictos y aumentan el rendimiento general del servidor durante la ejecucin de software antivirus. ESET Mail Security identifica las aplicaciones de servidor y los archivos del sistema operativo crticas, y los aade a la lista de exclusiones. Una vez que se han aadido a la lista, puede activar la aplicacin/proceso de servidor (de forma predeterminada) seleccionando la casilla correspondiente, o desactivarla anulando la seleccin. Obtendr el resultado siguiente: 1) Si la exclusin de una aplicacin o un sistema operativo sigue activada, sus archivos y carpetas crticos se aadirn a la lista de archivos excluidos del anlisis (Configuracin avanzada > Proteccin del ordenador > Antivirus y antispyware > Exclusiones). Cada vez que se reinicia el servidor, el sistema realiza una comprobacin automtica de las exclusiones y restaura las exclusiones que se hayan podido eliminar de la lista. Esta es la configuracin recomendada para garantizar que se aplican siempre las exclusiones automticas recomendadas. 2) Si el usuario desactiva la exclusin de una aplicacin o un sistema operativo, sus archivos y carpetas crticos permanecern en la lista de archivos excluidos del anlisis (Configuracin avanzada > Proteccin del ordenador > Antivirus y antispyware > Exclusiones). Sin embargo, no se comprobarn ni renovarn automticamente en la lista Exclusiones cada vez que se reinicie el servidor (consulte el punto 1 anterior). Esta configuracin se recomienda a los usuarios avanzados que deseen eliminar o modificar algunas de las exclusiones estndar. Si desea que las exclusiones se eliminen de la lista sin reiniciar el servidor, qutelas manualmente ( Configuracin avanzada > Proteccin del ordenador > Antivirus y antispyware > Exclusiones). Los ajustes descritos arriba no afectan a las exclusiones definidas por el usuario que se hayan introducido manualmente en Configuracin avanzada > Proteccin del ordenador > Antivirus y antispyware > Exclusiones. Las exclusiones automticas de aplicaciones de servidor o sistemas operativos se seleccionan de acuerdo con las recomendaciones de Microsoft. Para obtener ms informacin, consulte los enlaces siguientes: http://support.microsoft.com/kb/822158 http://support.microsoft.com/kb/245822 http://support.microsoft.com/kb/823166 http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx http://technet.microsoft.com/en-us/library/bb332342.aspx 37 3.3 Proteccin Antispam En la seccin Proteccin Antispam, puede activar o desactivar la proteccin contra correo no deseado para el servidor de correo instalado, configurar los parmetros del motor Antispam y definir otros niveles de proteccin. NOTA: es necesario actualizar la base de datos Antispam peridicamente para que el mdulo antispam proporcione la mejor proteccin posible. Para permitir que se realicen actualizaciones peridicas correctas de la base de datos Antispam, asegrese de que ESET Mail Security tiene acceso a direcciones IP determinadas en puertos especficos. Para obtener ms informacin sobre las direcciones IP y los puertos que debe activa en el cortafuegos de terceros, lea este artculo KB. NOTA: recuerde tambin que no se pueden utilizar mirrors para las actualizaciones de la base de datos Antispam. Para que las actualizaciones de la base de datos Antispam se realicen correctamente, ESET Mail Security debe tener acceso a las direcciones IP especificadas en el artculo KB mencionado. Si no dispone de acceso a estas direcciones IP, el mdulo antispam no podr proporcionar los resultados ms precisos y, por lo tanto, la mejor proteccin posible. 88 38 3.3.1 Microsoft Exchange Server 3.3.1.1 Agente de transporte En esta seccin, puede configurar las opciones de proteccin antispam con el agente de transporte. NOTA: el agente de transporte no est disponible en Microsoft Exchange Server 5.5. Si selecciona la opcin Activar la proteccin antispam mediante agente de transporte, deber elegir una de las siguientes opciones en Accin a emprender en mensajes no deseados: Conservar mensaje: guarda los mensajes aunque estn marcados como spam. Poner mensaje en cuarentena: enva los mensajes marcados como spam al buzn de correo de cuarentena. Eliminar mensaje: elimina los mensajes marcados como spam. Si desea incluir informacin sobre el nivel de spam de los mensajes en su encabezado, active la opcin Anotar nivel de spam en el encabezado de los mensajes analizados. La funcin Usar listas blancas del servidor Exchange Server para omisin automtica de proteccin antispam permite que ESET Mail Security utilice "listas blancas" especficas de Exchange. Si est activada, se tendr en cuenta lo siguiente: La direccin IP del servidor de envo se encuentra en la lista Permitir IP de Exchange Server. El destinatario del mensaje tiene el indicador No aplicar antispam establecido en su buzn de correo. El destinatario del mensaje tiene la direccin del remitente en la lista Remitentes seguros (asegrese de que ha configurado la sincronizacin de la lista de remitentes seguros en su entorno de Exchange Server, incluido Agregacin de lista segura). Si alguno de los puntos anteriores se aplica a un mensaje entrante, no se llevar a cabo la comprobacin de antispam en dicho mensaje y, por lo tanto, no se evaluar su nivel de SPAM y se entregar en el buzn de entrada del destinatario. La opcin Aceptar el indicador antispam establecido en sesin de SMTP es til cuando hay sesiones SMTP autenticadas entre servidores Exchange con la configuracin de No aplicar antispam. Por ejemplo, si tiene un servidor Perimetral y un servidor Concentrador, no es necesario realizar el anlisis antispam del trfico entre estos dos servidores. La opcin Aceptar el indicador antispam establecido en sesin de SMTP est activada de forma predeterminada y se aplica cuando hay un indicador No aplicar antispam configurado para la sesin SMTP en Exchange Server. Si desactiva la casilla de verificacin de la opcin Aceptar el indicador antispam establecido en sesin de SMTP, ESET Mail Security analizar la sesin SMTP en busca de spam, sin tener en cuenta la 39 configuracin de No aplicar antispam de Exchange Server. La funcin Activar creacin de listas grises activa una caracterstica que protege a los usuarios frente al correo no deseado con la tcnica siguiente: El agente de transporte enviar un valor de retorno SMTP "rechazar temporalmente" (el valor predeterminado es 451/4.7.1) para los mensajes recibidos que no procedan de un remitente conocido. Los servidores legtimos intentarn enviar el mensaje otra vez tras una demora. Por lo general, los servidores de spam no intentan enviar el mensaje otra vez, ya que suelen pasar por miles de direcciones de correo electrnico y no pierden el tiempo con reenvos. Las listas grises son una capa adicional de la proteccin antispam y no tienen ningn efecto sobre la capacidad de evaluacin del correo no deseado del mdulo antispam. Cuando evala el origen del mensaje, el mtodo tiene en cuenta la configuracin de las listas de Direcciones IP permitidas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP de Exchange Server y la configuracin de No aplicar antispam del buzn de correo del destinatario. El mtodo de deteccin de listas grises omitir los correos electrnicos procedentes de estas listas de remitentes y direcciones IP o entregados a un buzn de correo que tiene activada la opcin No aplicar antispam. El campo Respuesta SMTP para conexiones bloqueadas temporalmente define la respuesta de rechazo temporal de SMTP enviada al servidor SMTP cuando se rechaza un mensaje. Ejemplo de mensaje de respuesta SMTP: Cdigo de respuesta principal Cdigo de respuesta complementario Descripcin 451 4.7.1 Se cancel la accin solicitada: error local al procesar Alerta: una sintaxis incorrecta en los cdigos de respuesta SMTP podra provocar el mal funcionamiento de la proteccin de listas grises. Como resultado, es posible que los mensajes no deseados se entreguen a los clientes o que los mensajes no se entreguen nunca. Lmite de tiempo para el bloqueo de la conexin inicial (min.): cuando un mensaje se entrega por primera vez y se rechaza de forma temporal, este parmetro define el perodo de tiempo durante el que siempre se rechazar el mensaje (a partir del primer rechazo). Una vez que este perodo ha transcurrido, el mensaje se recibir correctamente. El valor mnimo es 1 minuto. Duracin de las conexiones no verificadas (horas): este parmetro define el intervalo de tiempo mnimo durante el que se guardarn los datos de los tres elementos. Un servidor vlido debe reenviar el mensaje enviado antes de que finalice este perodo. Este valor debe ser mayor que el valor de Lmite de tiempo para el bloqueo de la conexin inicial. Duracin de las conexiones verificadas (das): el nmero mnimo de das que se guardan los datos de los tres elementos, y durante los cuales los mensajes de correo electrnico de un remitente determinado se reciben sin demora. Este valor debe ser mayor que el valor de Duracin de las conexiones no verificadas. NOTA: en la definicin de respuestas SMTP de rechazo tambin puede utilizar variables del sistema. 3.3.1.2 Proteccin antispam y conector POP3 Las versiones de Microsoft Windows Small Business Server (SBS) incluyen el conector POP3, que permite al servidor capturar mensajes de correo electrnico de servidores POP3 externos. La implementacin de este conector POP3 "estndar" vara en funcin de la versin de SBS. ESET Mail Security es compatible con el conector POP3 de Microsoft SBS en SBS 2008, y los mensajes descargados mediante este conector POP3 se analizan para determinar la presencia de spam. El anlisis funciona porque los mensajes se transportan a Microsoft Exchange mediante SMTP. No obstante, el conector POP3 de Microsoft SBS en SBS 2003 no es compatible con ESET Mail Security, de modo que los mensajes no se analizan en busca de spam. Esto se debe a que los mensajes omiten la cola SMTP. Tambin hay varios conectores POP3 de terceros. Los mensajes capturados mediante determinado conector POP3 se analizan en busca de spam o no en funcin del mtodo que utilice dicho conector POP para la captura de mensajes. Por ejemplo, GFI POP2Exchange transporta los mensajes a travs del directorio de recogida, de modo que no se buscan spam en los mensajes. En los productos que transportan los mensajes a travs de una sesin autenticada (como IGetMail) tambin se producen problemas similares, as como cuando Microsoft Exchange los marca como mensajes internos, que omiten la proteccin antispam de forma predeterminada. Esta configuracin se puede modificar en el archivo de configuracin. Exporte la configuracin a un archivo xml, cambie el valor de AgentASScanSecureZone a "1" y vuelva a importar la configuracin (para obtener informacin sobre cmo importar y 40 exportar el archivo de configuracin, consulte el captulo Importar y exportar configuracin ). Tambin puede desactivar Aceptar el indicador antispam establecido en sesin de SMTP en el rbol de configuracin avanzada F5, en Proteccin del servidor > Proteccin antispam > Microsoft Exchange Server > Agente de transporte. Al hacerlo, ESET Mail Security analizar la sesin SMTP en busca de spam, sin tener en cuenta la opcin de omitir la proteccin antispam de Exchange Server. 3.3.2 Motor antispam En esta seccin, puede configurar los parmetros del Motor antispam haciendo clic en el botn Configuracin. Este botn abre una ventana donde se pueden configurar los parmetros del motor antispam. Categorizacin de mensajes El motor antispam de ESET Mail Security asigna un nivel de spam de 0 a 100 a todos los mensajes analizados. El cambio de los lmites de niveles de spam en esta seccin puede afectar a: 1) si un mensaje se clasifica como SPAM o como correo deseado. Todos los mensajes que tengan un nivel de spam igual o mayor que el valor de Nivel de spam para tratar un mensaje como spam: se consideran SPAM y, por lo tanto, las acciones definidas en el Agente de transporte se aplican a estos mensajes. 2) si un mensaje se registra en el registro de antispam (Herramientas > Archivos de registro > Antispam). Todos los mensajes que tengan un nivel de spam igual o mayor que el valor de Nivel de spam para tratar un mensaje como posible spam o mensaje desinfectado: se incluyen en el registro. 3) la seccin de las estadsticas de correo no deseado en la que incluir el mensaje (Estado de la proteccin > Estadsticas > Proteccin antispam del servidor de correo). Mensajes clasificados como SPAM: el nivel de spam del mensaje es igual o mayor que el valor definido en Nivel de spam para tratar un mensaje como spam. Mensajes clasificados como posible SPAM: el nivel de spam del mensaje es igual o mayor que el valor definido en Nivel de spam para tratar un mensaje como posible spam o mensaje desinfectado. Mensajes clasificados como probablemente CORREO DESEADO:el nivel de spam del mensaje es menor que el valor definido en Nivel de spam para tratar un mensaje como posible spam o mensaje desinfectado. Mensajes clasificados como CORREO DESEADO: el nivel de spam del mensaje es igual o mayor que el valor definido en Nivel de spam para tratar un mensaje como deseado. 3.3.2.1 Configuracin de parmetros del motor antispam 3.3.2.1.1 Anlisis En esta seccin, puede configurar cuntos mensajes se analizan en busca de spam y, posteriormente, se procesan. Analizar archivos adjuntos: esta opcin le permite elegir si el motor antispam analizar los archivos adjuntos y los tendr en cuenta para el clculo del nivel de spam. Utilizar ambas secciones MIME: el motor antispam analizar tanto las dos secciones MIME texto/sin formato y texto/html de los mensajes. Si se desea un mayor rendimiento, es posible analizar una sola seccin. Si esta opcin no est seleccionada, solo se analizar una seccin. Tamao de la memoria para el clculo de nivel (en bytes): esta opcin indica al motor antispam que lea un nmero mximo de bytes en el bfer de mensajes durante el procesamiento de reglas. Tamao de la memoria para el clculo de muestras (en bytes): esta opcin indica al motor antispam que lea el nmero mximo de bytes definido durante el clculo de la huella de los mensajes. Esto es til para obtener huellas coherentes. Utilizar memoria cach LegitRepute:permite utilizar una cach LegitRepute para reducir los falsos positivos, especialmente en boletines. Convertir a UNICODE: aumenta la precisin y el rendimiento en los mensajes de correo electrnico con formato Unicode, especialmente en los idiomas de doble byte, ya que convierte el mensaje en bytes nicos. Utilizar memoria cach de dominio: activa el uso de una cach de reputacin de dominio. Si est activada, se extraen los dominios de los mensajes y se comparan con una cach de reputacin de dominio. 126 38 95 41 3.3.2.1.1.1 Muestras Utilizar memoria cach: activa el uso de una cach de huellas digitales (activada de forma predeterminada). Activar MSF: permite utilizar un algoritmo de identificacin de huellas digitales alternativo, conocido como MSF. Si est activada, podr establecer los siguientes lmites y niveles: Nmero de mensajes que designan un mensaje en serie: esta opcin especifica cuntos mensajes similares se necesitan para hablar de una serie de mensajes. Frecuencia de borrado de la memoria cach: esta opcin especifica una variable interna que determina la frecuencia con que se vaca la cach MSF de la memoria. Dos muestras coinciden con la sensibilidad: esta opcin especifica el nivel de porcentaje de coincidencia para dos huellas digitales. Si el porcentaje de coincidencia supera este lmite, los mensajes se consideran iguales. Nmero de muestras almacenadas en la memoria: esta opcin especifica el nmero de huellas digitales MSF que se guardarn en la memoria. Cuanto mayor sea el nmero, ms memoria se utilizar y mayor ser la precisin. 3.3.2.1.1.2 SpamCompiler Activar SpamCompiler: acelera el procesamiento de reglas, pero requiere un poco ms de memoria. Versin preferida: especifica la versin de SpamCompiler que se debe utilizar. Si se establece en Automtico, el motor antispam elegir el mejor motor en cada momento. Utilizar memoria cach: si se activa esta opcin, SpamCompiler almacenar los datos compilados en el disco, en vez de en la memoria, para reducir el uso de memoria. Lista de archivos de memoria cach: esta opcin especifica los archivos de reglas que se compilan en el disco en vez de en la memoria. Defina los ndices de archivos de reglas que se almacenarn en la memoria cach del disco. Los ndices de archivos de reglas se pueden gestionar con estas funciones: Agregar Modificar Quitar NOTA: solo se admiten nmeros. 3.3.2.1.2 Formacin Utilizar formacin para el nivel de huella de los mensajes: activa la formacin para la compensacin del nivel de huella. Utilizar palabras de formacin: esta opcin controla si se utiliza el anlisis del token de palabra Bayesiana. Esta opcin puede mejorar significativamente la precisin, pero utiliza ms memoria y es un poco ms lenta. Nmero de palabras en memoria cach: esta opcin especifica el nmero de tokens de palabra que se almacenan en cach en cualquier momento. Cuanto mayor sea el nmero, ms memoria se utilizar y mayor ser la precisin. Para introducir el nmero, active primero la opcin Utilizar palabras de formacin. Utiliza base de datos de formacin solo para la lectura: esta opcin controla si las bases de datos de formacin de palabras, reglas y huellas se pueden modificar o son de solo lectura tras la carga inicial. La bases de datos de formacin de solo lectura son ms rpidas. Sensibilidad automtica de la formacin: establece un nivel para la formacin automtica. Si un mensaje se califica con el nivel alto o un nivel superior, dicho mensaje se considerar spam sin lugar a dudas y se utilizar para formar a todos los mdulos Bayesianos activos (reglas o palabras), pero no al remitente ni a la huella. Si un mensaje se califica con el nivel bajo o un nivel inferior, dicho mensaje se considerar correo basura sin lugar a dudas y se utilizar para formar a todos los mdulos Bayesianos activos (reglas o palabras), pero no al remitente ni a la huella. Para introducir los niveles alto y bajo, active primero la opcin Utilizar base de datos de formacin solo para la lectura: . Cantidad mnima de datos de formacin: inicialmente, solo se utilizan los valores de regla para calcular el nivel de spam. Una vez que se consigue un conjunto mnimo de datos de formacin, los datos de formacin con reglas/ palabras sustituyen a los valores de regla. El valor mnimo predeterminado es 100. Esto significa que se debe entrenar en al menos 100 mensajes de correo basura equivalentes y 100 mensajes no deseados equivalentes para 42 alcanzar un total de 200 mensajes antes de que los datos de formacin sustituyan a los valores de regla. Si el nmero es demasiado bajo, la precisin podra ser reducida debido a la falta de datos. Si el nmero es demasiado elevado, no se podra sacar el mximo partido a los datos de formacin. Si se establece un valor de 0, los valores de regla se omitirn siempre. Utilizar solo datos de formacin: determina si se debe delegar todo en los datos de formacin. Si se activa esta opcin, la puntuacin se basar exclusivamente en los datos de formacin. Si esta opcin est desactivada, se utilizarn tanto los datos de formacin como las reglas. Nmero de mensajes analizados antes de escribirlos en el disco: durante la formacin, el motor antispam procesar una cantidad de mensajes configurable antes de grabar la base de datos de formacin en el disco. Esta opcin determina cuntos mensajes se procesarn antes de la grabacin en el disco. Si se desea obtener un rendimiento mximo, este nmero debe ser lo mayor posible. En el caso poco probable de que un programa se cierre de forma inesperada antes de que el bfer se haya grabado en el disco, se perder la formacin realizada desde la ltima grabacin en disco. El bfer se graba en el disco cuando el programa se cierra con normalidad. Utilizar datos del pas para la formacin: determina si se debe tener en cuenta la informacin de redireccionamiento del pas durante la formacin y puntuacin de mensajes. 3.3.2.1.3 Reglas Utilizar reglas: esta opcin determina si se utilizan reglas heursticas ms lentas. Esta opcin puede mejorar significativamente la precisin, pero utiliza ms memoria y es mucho ms lenta. Utilizar extensin del conjunto de reglas: activa el conjunto de reglas extendido. Utilizar extensin del segundo conjunto de reglas: activa la segunda extensin del conjunto de reglas. Valor de regla: esta opcin permite sobrescribir los valores asociados a reglas individuales. Lista de archivos de reglas descargados: esta opcin especifica qu archivos de reglas se descargan. Valor de categora: permite al usuario final ajustar los valores de las categoras utilizadas en sc18 y en los archivos usados en la lista de reglas personalizadas. Categora: nombre de la categora; actualmente se limita a SPAM, PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD y REPLY. Este campo no distingue maysculas y minsculas. Nivel: cualquier nmero entero, BLOCK o APPROVE. El valor de reglas que coincida con la categora correspondiente se multiplicar por el factor de escala para producir un nuevo valor eficaz. Lista de reglas personalizadas: permite al usuario especificar una lista personalizada de reglas (es decir, spam, correo basura o palabras/frases de phishing). Los archivos de reglas personalizadas contienen frases con el formato siguiente en lneas separadas: La frase phrase, type, confidence, caseSensitivity puede contener cualquier texto, salvo comas. Elimine las comas que incluya la frase. El valor de type puede ser SPAM, PHISH, BOUNCE, ADULT o FRAUD. Si se especifica otro valor, se asumir automticamente que el valor de TYPE es SPAM. El valor de confidence debe estar en el rango de 1 a 100. Si el valor de type es SPAM, un valor de 100 indica un mayor nivel de seguridad de que se trata de spam. Si el valor de type es PHISH, un valor de 100 indica un mayor nivel de seguridad de que se trata de phishing. Si el valor de type es BOUNCE, un valor de 100 indica un mayor nivel de seguridad de que la frase est relacionada con devoluciones. Es ms probable que un nivel de confianza elevado afecte a la puntuacin final. El valor 100 es un caso especial. Si el valor de type es SPAM, PHISH o BOUNCE, un valor de 100 asignar al mensaje una puntuacin de 100. Como siempre, las listas blancas invalidan cualquier lista negra. Un valor de 1 para caseSensitivity significa que la frase distinguir maysculas y minsculas; un valor de 0, que la frase no distinguir maysculas y minsculas. Ejemplos: el spam es divertido, SPAM, 100,0 el phishing es divertido, PHISH, 90,1 devolver al remitente, BOUNCE, 80,0 La primera lnea significa que todas las variaciones de "el spam es divertido" se consideran SPAM con una confianza de 100. La frase no distingue maysculas y minsculas. La segunda lnea significa que todas las variaciones de "el phishing es divertido" se consideran PHISH con una confianza de 90. La frase distingue maysculas y minsculas. La tercera lnea significa que todas las variaciones de "devolver al remitente" se consideran BOUNCE con una confianza de 80. La frase no distingue maysculas y minsculas. Borrar reglas antiguas tras su actualizacin: de forma predeterminada, el motor antispam eliminar los archivos de reglas ms antiguos del directorio de configuracin cuando se recupere un archivo nuevo de la red de SpamCatcher. No obstante, es posible que algunos usuarios del motor antispam deseen guardar los archivos de reglas antiguos. Para ello, hay que desactivar esta caracterstica de desinfeccin. 43 Mostrar notificacin despus de actualizar las reglas correctamente: 3.3.2.1.3.1 Valor de regla Defina los ndices de archivos de reglas y su valor. Para aadir un valor de regla, pulse el botn Agregar. Para modificar los valores existentes, pulse el botn Modificar. Para eliminar un valor, pulse el botn Quitar. Especifique los valores de ndice: y Valor: . 3.3.2.1.3.2 Lista de archivos de reglas descargados Defina los ndices de archivos de reglas que deberan descargarse en el disco. Utilice los botones Agregar, Modificar y Quitar para gestionar los ndices de archivos de reglas. 3.3.2.1.3.3 Valor de categora Defina las categoras de regla y su valor. Utilice los botones Agregar, Modificar y Quitar para gestionar las categoras y su valor. Para agregar un valor de categora, seleccione una categora en la lista. Estn disponibles las siguientes categoras: SPAM Phishing Informe de no entrega Mensajes con contenido para adultos Mensajes fraudulentos Mensajes vacos Reenvo de mensajes Contestacin de mensajes A continuacin, seleccione una accin: Permitir Bloquear Valor: 3.3.2.1.3.4 Lista de reglas personalizadas Puede utilizar archivos de reglas personalizados que contengan frases. Se trata bsicamente de archivos .txt, pero encontrar ms detalles y el formato de la frase en el tema Reglas (seccin Lista de reglas personalizadas). Para utilizar archivos que contengan reglas personalizadas que se emplearn en el anlisis de mensajes, debe colocarlos en la ubicacin siguiente: si utiliza Windows Server 2008 o una versin ms reciente, la ruta de acceso es la siguiente: C:\Datos del programa\ESET\ESET Mail Security\ServerAntispam si utiliza Windows Server 2003 o una versin anterior, la ruta de acceso es la siguiente: C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam Para cargar los archivos, pulse el botn ... (examinar), vaya a la ubicacin indicada arriba y seleccione el archivo de texto (*.txt). Utilice los botones Agregar, Modificar y Quitar para gestionar la lista de reglas personalizadas. NOTA: El archivo .txt que contiene las reglas personalizadas debe colocarse en la carpeta ServerAntispam, de lo contrario no se cargar. 42 44 3.3.2.1.4 Filtrado En esta seccin, puede configurar listas de elementos permitidos, bloqueados e ignorados especificando criterios como la direccin o el rango de direcciones IP, el nombre de dominio, la direccin de correo electrnico, etc. Para aadir, modificar o eliminar criterios solo tiene que acceder a la lista que desee gestionar y hacer clic en el botn correspondiente. 3.3.2.1.4.1 Remitentes permitidos Los remitentes y dominios incluidos en la lista blanca pueden contener una direccin de correo electrnico o un dominio. Las direcciones se introducen con el formato "buzndecorreo@dominio" y los dominios, con el formato "dominio". NOTA: No se admiten expresiones regulares, y tanto los espacios en blanco a la izquierda y la derecha como el asterisco "*" se ignoran. 3.3.2.1.4.2 Remitentes bloqueados Los remitentes y dominios incluidos en la lista negra pueden contener una direccin de correo electrnico o un dominio. Las direcciones se introducen con el formato "buzndecorreo@dominio" y los dominios, con el formato "dominio". NOTA: No se admiten expresiones regulares, y tanto los espacios en blanco a la izquierda y la derecha como el asterisco "*" se ignoran. 3.3.2.1.4.3 Direcciones IP permitidas Esta opcin le permite especificar las direcciones IP que se deben permitir. Los rangos se pueden especificar de tres maneras: a) IP inicial - IP final b) Direccin IP y mscara de red c) Direccin IP Si la primera IP no ignorada de los encabezados Recibido: coincide con alguna de esta lista, el mensaje obtiene un 0 y no se realiza ninguna otra comprobacin. 3.3.2.1.4.4 Direcciones IP ignoradas Esta opcin le permite especificar las direcciones IP que se deberan ignorar en las comprobaciones de RBL. Las direcciones siguientes se ignoran siempre de forma implcita: 10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0 Los rangos se pueden especificar de tres maneras: a) IP inicial - IP final b) Direccin IP y mscara de red c) Direccin IP 3.3.2.1.4.5 Direcciones IP bloqueadas Esta opcin le permite especificar las direcciones IP que se deben bloquear. Los rangos se pueden especificar de tres maneras: a) IP inicial - IP final b) Direccin IP y mscara de red c) Direccin IP Si alguna de las direcciones IP de los encabezados Recibido: coincide con alguna de esta lista, el mensaje obtiene un 100 y no se realiza ninguna otra comprobacin. 45 3.3.2.1.4.6 Dominios permitidos Esta opcin le permite especificar los dominios e IP que deberan permitirse siempre. 3.3.2.1.4.7 Dominios ignorados Esta opcin le permite especificar los dominios que se deben ignorar y excluir siempre de las comprobaciones de DNSBL. 3.3.2.1.4.8 Dominios bloqueados Esta opcin le permite especificar los dominios e IP que deberan bloquearse siempre. 3.3.2.1.4.9 Remitentes falsificados Permite bloquear a los servidores de spam que falsifican su nombre de dominio y otros nombres de dominio. Estos servidores suelen utilizar, por ejemplo, el nombre de dominio del destinatario como nombre de dominio De: . La lista le permite especificar los nombres de dominio que puede utilizar cada servidor de correo en el campo de direccin De:. 3.3.2.1.5 Verificacin La verificacin es una caracterstica adicional de la proteccin antispam que permite verificar los mensajes mediante servidores externos de acuerdo con unos criterios definidos. Seleccione una lista del rbol de configuracin para configurar estos criterios. Estn disponibles las listas siguientes: RBL (lista de bloqueo en tiempo real) LBL (ltima lista de bloqueo) DNSBL (lista de bloqueados de DNS) 3.3.2.1.5.1 RBL (lista de bloqueo en tiempo real) Servidores RBL: especifica una lista de servidores de bloqueo en tiempo real (RBL) para la consulta durante el anlisis de mensajes. Encontrar ms informacin en la seccin RBL de este documento. Sensibilidad de la verificacin de RBL: las comprobaciones de RBL pueden provocar latencia y reducir el rendimiento, por lo que esta opcin permite ejecutarlas en funcin del nivel previo a la comprobacin. Si el nivel es superior al valor "alto", solo se consultan los servidores RBL que pueden conseguir un nivel por debajo del valor "alto". Si el nivel es inferior al valor "bajo", solo se consultan los servidores RBL que pueden conseguir un nivel por encima del valor "bajo". Si el nivel se encuentra entre "bajo" y "alto", se consultan todos los servidores RBL. Lmite de ejecucin de solicitudes RBL (en segundos): esta opcin permite definir un tiempo de espera mximo para finalizar todas las consultas de RBL. Solo se utilizan las respuestas RBL de los servidores RBL que respondieron a tiempo. Si el valor es "0", no se aplica ningn tiempo de espera. Nmero mximo de direcciones verificadas con RBL: esta opcin permite limitar el nmero de direcciones IP que se consultan en el servidor RBL. Tenga en cuenta que el nmero total de consultas RBL ser el nmero de direcciones IP de los encabezados Recibido: (hasta un mximo de direcciones IP de verificacin de RBL) multiplicado por el nmero de servidores RBL especificado en la lista RBL. Si el valor es "0", se comprobar un nmero ilimitado de encabezados recibidos. Recuerde que las direcciones IP que coincidan con la lista de direcciones IP ignoradas no se computarn para el lmite de direcciones IP de RBL. Para gestionar la lista, utilice los botones Agregar, Modificar o Quitar. La lista consta de tres columnas: Direccin Respuesta Nivel 46 3.3.2.1.5.2 LBL (ltima lista de bloqueo) Servidores LBL: la ltima IP conectada se consulta en el servidor LBL. Puede especificar una consulta de DNS diferente para la ltima IP entrante conectada. En el caso de la ltima IP entrante conectada, se consulta la lista LBL en vez de la lista RBL. Por lo dems, tambin se aplican a la lista LBL las opciones de la lista RBL, como el nivel de RBL. Direcciones IP no verificadas con LBL: si la ltima IP conectada coincide con una IP de la lista, esta se consulta en los servidores RBL en vez de los servidores LBL. Para gestionar la lista, utilice los botones Agregar, Modificar o Quitar. La lista consta de tres columnas: Direccin Respuesta Nivel Aqu puede especificar las direcciones IP que no se cotejarn con LBL. Para gestionar la lista, utilice los botones Agregar, Modificar o Quitar. 3.3.2.1.5.3 DNSBL (lista de bloqueados de DNS) Servidores DNSBL: especifica una lista de servidores DNSBL (lista de bloqueados de DNS) para la consulta sobre dominios y direcciones IP extrados del cuerpo del mensaje. Sensibilidad de la verificacin de DNSBL: si el nivel es superior al valor "alto", solo se consultan los servidores DNSBL que pueden conseguir un nivel por debajo del valor "alto". Si el nivel es inferior al valor "bajo", solo se consultan los servidores DNSBL que pueden conseguir un nivel por encima del valor "bajo". Si el nivel se encuentra entre "bajo" y "alto", se consultan todos los servidores DNSBL. Lmite de ejecucin de solicitudes DNSBL (en segundos): permite definir un tiempo de espera mximo para finalizar todas las consultas de DNSBL. Nmero mximo de dominios verificados con DNSBL: permite limitar la cantidad de dominios y direcciones IP que se consultan en el servidor de listas de bloqueados de DNS. Para gestionar la lista, utilice los botones Agregar, Modificar o Quitar. La lista consta de tres columnas: Direccin Respuesta Nivel 3.3.2.1.6 DNS Utilizar memoria cach: activa el almacenamiento de solicitudes DNS en la memoria cach interna. Nmero de solicitudes DNS almacenadas en la memoria: limita el nmero de entradas en la cach DNS interna. Guardar memoria cach en disco: si se activa esta opcin, la cach DNS almacenar las entradas en el disco cuando se apague el equipo y leer el disco durante la inicializacin. Direccin del servidor DNS: ahora es posible indicar explcitamente los servidores DNS para anular el servidor predeterminado. Acceso directo a DNS: si esta opcin est establecida en S y no se especifica el servidor DNS, el motor antispam enviar las solicitudes de LiveFeed directamente a los servidores LiveFeed. Esta opcin se ignora si se especifica que el servidor DNS tiene prioridad. Esta opcin debe establecerse en S cuando las consultas directas son ms eficaces que los servidores DNS predeterminados. Duracin de la solicitud DNS (en segundos): esta opcin permite establecer un TTL mnimo para las entradas de la cach DNS interna del motor antispam. La opcin se especifica en segundos. En el caso de las respuestas DNS cuyo valor de TTL sea inferior al TTL mnimo especificado, la cach interna del motor antispam utilizar el TTL especificado en vez del valor de TTL de la respuesta DNS. 47 3.3.2.1.7 Nivel Activar historial de niveles: activa el seguimiento de niveles histricos para remitentes repetidos. Detener el anlisis cuando se alcance el nivel de spam: esta opcin le permite indicar al motor antispam que detenga el anlisis del mensaje cuando se alcance un nivel determinado. De esta manera, se puede reducir el nmero de reglas y otras comprobaciones realizadas para mejorar el rendimiento. Usar el anlisis acelerado antes de que se alcance el nivel para un mensaje no infectado: esta opcin le permite indicar al motor antispam que omita las comprobaciones de regla lentas si hay posibilidades de que el mensaje sea correo basura. Categorizacin de mensajes Valor de nivel a partir del cual un mensaje se considera correo no deseado: el motor antispam asigna a los mensajes analizados un nivel de 0 a 100. El establecimiento de los lmites de nivel afecta a la clasificacin de mensajes como spam o como correo deseado. Si se establecen valores incorrectos, la calidad de la deteccin del motor antispam podra disminuir. Valor de nivel que establece el lmite en el que un mensaje se trata como probable correo no deseado o como probable mensaje sin infectar: el motor antispam asigna a los mensajes analizados un nivel de 0 a 100. El establecimiento de los lmites de nivel afecta a la clasificacin de mensajes como spam o como correo deseado. Si se establecen valores incorrectos, la calidad de la deteccin del motor antispam podra disminuir. Valor de nivel a partir del cual un mensaje se considera correo no deseado con certeza: el motor antispam asigna a los mensajes analizados un nivel de 0 a 100. El establecimiento de los lmites de nivel afecta a la clasificacin de mensajes como spam o como correo deseado. Si se establecen valores incorrectos, la calidad de la deteccin del motor antispam podra disminuir. 3.3.2.1.8 Spambait Direcciones de correo no deseado: si la direccin A: de RCPT del sobre SMTP coincide con una direccin de correo electrnico de esta lista, el archivo de estadsticas registrar los tokens del mensaje de correo electrnico como si se enviasen a una direccin de spambait. Las direcciones deben coincidir exactamente, sin tener en cuenta maysculas y minsculas. No se admiten comodines. Direcciones consideradas no existentes: si la direccin A: de RCPT del sobre SMTP coincide con una direccin de correo electrnico de esta lista, el archivo de estadsticas registrar los tokens del mensaje de correo electrnico como si se enviasen a una direccin no existente. Las direcciones deben coincidir exactamente, sin tener en cuenta maysculas y minsculas. No se admiten comodines. 3.3.2.1.8.1 Direcciones de Spambait Puede definir direcciones de correo electrnico que solo reciban spam. Para agregar una direccin de correo electrnico, escrbala en un formato estndar y pulse el botn Agregar. Para modificar una direccin de correo electrnico existente, pulse el botn Modificar. Para eliminar una direccin, pulse el botn Quitar. 3.3.2.1.8.2 Direcciones consideradas no existentes Puede definir direcciones de correo electrnico que aparezcan como no existentes para los usuarios externos. Para agregar una direccin de correo electrnico, escrbala en un formato estndar y pulse el botn Agregar. Para modificar una direccin de correo electrnico existente, pulse el botn Modificar. Para eliminar una direccin, pulse el botn Quitar. 48 3.3.2.1.9 Comunicacin Lmite de duracin de solicitud nica de SpamLabs (en segundos): limita cunto puede tardar una sola solicitud de SpamLabs de la proteccin antispam. El valor se especifica en unidades de segundos integrales. Un valor de "0" desactiva esta caracterstica, de modo que no se establecer ningn lmite. Utilizar protocolo v.4x: se establece la comunicacin con la caracterstica SpamLabs de la proteccin antispam para determinar la puntuacin mediante un protocolo v4.x anterior ms lento. Si esta opcin se establece en Automticamente, el motor antispam puede utilizar automticamente la caracterstica netcheck como solucin de restauracin en las consultas de LiveFeed. Intervalo de utilizacin del protocolo v4.x: las redes pueden provocar latencia y reducir el rendimiento, por lo que esta opcin permite ejecutar las comprobaciones de red en funcin del nivel. La red se consulta nicamente si el nivel se encuentra entre el rango "bajo" y "alto", o en uno de estos extremos, especificado mediante esta opcin. Direccin del servidor LiveFeed: especifica el servidor que se debe consultar para las solicitudes de LiveFeed. Duracin de la solicitud de LiveFeed (en segundos): esta opcin permite establecer un TTL mnimo para las entradas de la cach LiveFeed interna del motor antispam. La opcin se especifica en segundos. En el caso de las respuestas LiveFeed cuyo valor de TTL sea inferior al TTL mnimo especificado, la cach interna del motor antispam utilizar el TTL especificado en vez del valor de TTL de la respuesta LiveFeed. Tipo de autenticacin del servidor proxy: especifica el tipo de autenticacin de servidor Proxy HTTP que se debe utilizar. 3.3.2.1.10 Rendimiento Tamao mximo de la pila de subprocesos utilizados: define el tamao mximo de la pila de subprocesos que se utilizar. Si el tamao de esta pila est establecido en 64KB, esta variable debe establecerse en 100 o menos. Si el tamao de la pila est establecido en un valor superior a 1MB, esta variable debe establecerse en 10000 o menos. Si dicha variable se establece por debajo de 200, la precisin podra reducirse un par de puntos porcentuales. Rendimiento requerido (en mensajes por segundo): esta opcin le permite especificar el rendimiento deseado en mensajes por segundo. El motor antispam optimizar las reglas que se ejecutan para intentar alcanzar dicho nivel. Es posible que la precisin se vea reducida. Un valor de 0 desactiva la opcin. Combinar archivos incrementales en uno: el motor antispam combinar, de forma predeterminada, varios archivos incr y un archivo completo en un solo archivo completo actualizado. El objetivo de esta operacin es reducir el desorden de los archivos en el directorio de configuracin. Descargar solo archivos incrementales: el motor antispam intentar, de forma predeterminada, descargar la combinacin de archivos incr y archivo completo ms eficaz en cuanto a tamao. Si esta opcin se establece en S, se fuerza el motor antispam para que descargue nicamente el archivo incr. Tamao mximo de archivos incrementales: para reducir el uso de la CPU durante la actualizacin de los archivos de reglas, ya no se vuelven a generar los archivos de cach en disco (sc*.tmp) en cada actualizacin de una regla. En vez de eso, se vuelven a generar cuando hay un archivo sc*.bin.full ms reciente o cuando la suma de sc*.bin.incr supera el nmero de bytes especificados en el tamao mximo de archivos incrementales. Ubicacin de archivos temporales: este parmetro controla el lugar donde el motor antispam crear los archivos temporales. 3.3.2.1.11 Configuracin regional Lista de idiomas locales: esta opcin le permite definir los idiomas que prefiere utilizar en los mensajes de correo electrnico. Los cdigos de pas son cdigos de idioma ISO-639 formados por dos caracteres. Lista de pases: esta opcin le permite especificar una lista de pases que se consideran "casa". Los mensajes dirigidos a travs de un pas que no est en la lista se calificarn de forma ms agresiva. Si esta opcin est vaca, no habr ninguna penalizacin. Lista de pases bloqueados: permite el bloqueo por pas. Si una direccin IP de un encabezado Recibido coincide con una pas de la lista, la direccin de correo electrnico se considerar SPAM. Los cdigos de pas no se aplican a las direcciones de remitente. Tenga en cuenta que es posible que un mensaje haya pasado por varios pases antes de llegar a su destino final. Adems, esta opcin tiene una precisin de tan solo el 98%, por lo que el bloqueo de pases puede generar falsos positivos. 49 Lista de conjuntos de caracteres bloqueados: permite el bloqueo por conjunto de caracteres. El valor predeterminado de nivel de spam es 100, pero se puede ajustar por separado para cada conjunto de caracteres bloqueado. Recuerde que la asignacin de idioma a conjunto de caracteres no tiene una precisin del 100%, por lo que el bloqueo de conjuntos de caracteres puede generar falsos positivos. 3.3.2.1.11.1 Lista de idiomas locales Defina los idiomas que considera locales y en los que prefiere recibir mensajes. Para agregar un idioma, seleccinelo en la columna Cdigos de idioma: y pulse el botn Agregar. Al hacerlo, el idioma se aadir a la columna Idiomas locales. Para quitar el idioma de la columna Idiomas locales, seleccione su cdigo y pulse el botn Quitar. Bloquear idiomas no locales: esta opcin determina si se bloquean o no los idiomas que no aparecen en la columna de idiomas locales. Existen tres opciones: S No Automticamente Lista de cdigos de idioma (basada en la norma ISO 639): Afrikans af Amrico am rabe ar Bielorruso be Blgaro bg Cataln ca Checo cs Gals cy Dans da Alemn de Griego el Ingls en Esperanto eo Espaol es Estonio et Euskera eu Persa fa Fins fi Francs fr Frisn fy Irlands ga Galico escocs gd Hebreo he Hindi hi Croata hr Hngaro hu Armenio hy Indonesio id Islands is Italiano it Japons ja Georgiano ka Coreano ko Latn la Lituano lt Letn lv Marat mr Malayo ms Nepal ne Holands nl Noruego no Polaco pl Portugus pt 50 Quechua qu Retorromnic o rm Rumano ro Ruso ru Snscrito sa Escocs sco Eslovaco sk Esloveno sl Albans sq Serbio sr Sueco sv Suajili sw Tamil ta Tailands th Tagalo tl Turco tr Ucraniano uk Vietnamita vi Ydish yi Chino zh 3.3.2.1.11.2 Lista de pases Defina los pases que considera "casa" y de los que prefiere recibir mensajes. Para agregar un pas, seleccinelo en la columna Cdigo de pas: y pulse el botn Agregar. Al hacerlo, el pas se aadir a la columna Pases "casa". Para quitar el pas de la columna Pases "casa", seleccione el cdigo de pas y pulse el botn Quitar. Lista de cdigos de pas (basada en la norma ISO 3166): AFGANISTN AF ISLAS ALAND AX ALBANIA AL ARGELIA DZ SAMOA AMERICANA AS ANDORRA AD ANGOLA AO ANGUILA AI ANTRTIDA AQ ANTIGUA Y BARBUDA AG ARGENTINA AR ARMENIA AM ARUBA AW AUSTRALIA AU AUSTRIA AT AZERBAIYN AZ BAHAMAS BS BARIN BH BANGLADS BD BARBADOS BB BIELORRUSIA BY BLGICA BE BELICE BZ BENN BJ BERMUDA BM BUTN BT BOLIVIA BO BOSNIA Y HERZEGOVINA BA BOTSUANA BW ISLA BOUVET BV BRASIL BR TERRITORIO BRITNICO DEL OCANO NDICO IO BRUNI DARUSALAM BN 51 BULGARIA BG BURKINA FASO BF BURUNDI BI CAMBOYA KH CAMERN CM CANAD CA CABO VERDE CV ISLAS CAIMN KY REPBLICA CENTROAFRICANA CF CHAD TD CHILE CL CHINA CN ISLA CHRISTMAS CX ISLAS COCOS (KEELING) CC COLOMBIA CO COMORAS KM CONGO CG CONGO, REPBLICA DEMOCRTICA DEL CD ISLAS COOK CK COSTA RICA CR COSTA DE MARFIL CI CROACIA HR CUBA CU CHIPRE CY REPBLICA CHECA CZ DINAMARCA DK YIBUTI DJ DOMINICA DM REPBLICA DOMINICANA DO ECUADOR EC EGIPTO EG EL SALVADOR SV GUINEA ECUATORIAL GQ ERITREA ER ESTONIA EE ETIOPA ET ISLAS MALVINAS FK ISLAS FEROE FO FIYI FJ FINLANDIA FI FRANCIA FR GUAYANA FRANCESA GF POLINESIA FRANCESA PF TERRITORIOS FRANCESES DEL SUR TF GABN GA GAMBIA GM GEORGIA GE ALEMANIA DE GHANA GH GIBRALTAR GI GRECIA GR GROENLANDIA GL GRANADA GD GUADALUPE GP GUAM GU GUATEMALA GT GUINEA GN GUINEA-BISU GW GUYANA GY HAIT HT ISLAS HEARD Y MCDONALD HM 52 SANTA SEDE (ESTADO DE LA CIUDAD DEL VATICANO) VA HONDURAS HN HONG KONG HK HUNGRA HU ISLANDIA IS INDIA IN INDONESIA ID IRN, REPBLICA ISLMICA DE IR IRAK IQ IRLANDA IE ISRAEL IL ITALIA IT JAMAICA JM JAPN JP JORDANIA JO KAZAJISTN KZ KENIA KE KIRIBATI KI COREA, REPBLICA POPULAR DEMOCRTICA DE KP COREA, REPBLICA DE KR KUWAIT KW KIRGUISTN KG REPBLICA DEMOCRTICA POPULAR LAO LA LETONIA LV LBANO LB LESOTO LS LIBERIA LR JAMAHIRIYA RABE LIBIA LY LIECHTENSTEIN LI LITUANIA LT LUXEMBURGO LU MACAO MO MACEDONIA, ANTIGUA REPBLICA YUGOSLAVA DE MK MADAGASCAR MG MALAUI MW MALASIA MY MALDIVAS MV MALI ML MALTA MT ISLAS MARSHALL MH MARTINICA MQ MAURITANIA MR MAURICIO MU MAYOTTE YT MXICO MX MICRONESIA, ESTADOS FEDERADOS DE FM MOLDAVIA, REPBLICA DE MD MNACO MC MONGOLIA MN MONTSERRAT MS MARRUECOS MA MOZAMBIQUE MZ MYANMAR MM NAMIBIA NA NAURU NR NEPAL NP PASES BAJOS NL ANTILLAS HOLANDESAS AN NUEVA CALEDONIA NC 53 NUEVA ZELANDA NZ NICARAGUA NI NGER NE NIGERIA NG NIUE NU ISLA NORFOLK NF ISLAS MARIANAS DEL NORTE MP NORUEGA NO OMN OM PAKISTN PK PALAOS PW TERRITORIO PALESTINO, OCUPADO PS PANAM PA PAPA-NUEVA GUINEA PG PARAGUAY PY PER PE FILIPINAS PH PITCAIRN PN POLONIA PL PORTUGAL PT PUERTO RICO PR CATAR QA REUNIN RE RUMANA RO FEDERACIN DE RUSIA RU RUANDA RW SANTA HELENA SH SAN CRISTOBAL Y NIEVES KN SANTA LUCA LC SAN PEDRO Y MIQUELN PM SAN VINCENTE Y LAS GRANADINAS VC SAMOA WS SAN MARINO SM SANTO TOM Y PRNCIPE ST ARABIA SAUD SA SENEGAL SN SERBIA Y MONTENEGRO CS SEYCHELLES SC SIERRA LEONA SL SINGAPUR SG ESLOVAQUIA SK ESLOVENIA SI ISLAS SALOMN SB SOMALIA SO SURFRICA ZA GEORGIA DEL SUR E ISLAS SANDWICH DEL SUR GS ESPAA ES SRI LANKA LK SUDN SD SURINAM SR SVALBARD Y JAN MAYEN SJ SUAZILANDIA SZ SUECIA SE SUIZA CH REPBLICA RABE SIRIA SY TAIWN TW TAYIKISTN TJ TANZANIA, REPBLICA UNIDA DE TZ TAILANDIA TH TIMOR ORIENTAL TL TOGO TG 54 TOKELAU TK TONGA TO TRINIDAD Y TOBAGO TT TNEZ TN TURQUA TR TURKMENISTN TM ISLAS TURCAS Y CAICOS TC TUVALU TV UGANDA UG UCRANIA UA EMIRATOS RABES UNIDOS AE REINO UNIDO GB ESTADOS UNIDOS US ISLAS PERIFRICAS MENORES DE LOS EE. UU. UM URUGUAY UY UZBEKISTN UZ VANUATU VU ESTADO DE LA CIUDAD DEL VATICANO (SANTA SEDE) VA VENEZUELA VE VIETNAM VN ISLAS VRGENES, BRITNICAS VG ISLAS VRGENES, EE.UU. VI WALLIS Y FUTUNA WF SHARA OCCIDENTAL EH YEMEN YE ZAIRE (CONGO, REPBLICA DEMOCRTICA DEL) CD ZAMBIA ZM ZIMBABUE ZW 3.3.2.1.11.3 Lista de pases bloqueados Defina los pases que desee bloquear y de los que no desee recibir mensajes. Para agregar un pas a la lista de pases bloqueados:, seleccinelo en la columna Cdigo de pas: y pulse el botn Agregar. Para quitar un pas de la lista de pases bloqueados:, seleccione el cdigo de pas y pulse el botn Quitar. Encontrar una lista de cdigos de pas especficos en el temaLista de pases . 3.3.2.1.11.4 Lista de conjuntos de caracteres bloqueados Defina los conjuntos de caracteres que desea bloquear. Los mensajes de estos conjuntos de caracteres no se recibirn. Para agregar un conjunto de caracteres, seleccinelo en la columna Conjuntos de caracteres: y pulse el botn Agregar. Esta accin mover el conjunto de caracteres a la columna Conjuntos de caracteres bloqueados: . Para quitar el conjunto de caracteres de la columna de conjuntos de caracteres bloqueados:, seleccione el cdigo del conjunto de caracteres y pulse el botn Quitar. Cuando se agrega un conjunto de caracteres a la lista de bloqueados, se puede especificar un valor personalizado de nivel de spam para dicho conjunto. El valor predeterminado es 100. Puede definir un nivel diferente para cada conjunto de caracteres. 3.3.2.1.12 Archivos de registro Activar registro detallado: permite realizar un registro detallado ms exhaustivo. Archivos de redireccionamiento de salida: redirige el archivo de salida del registro al directorio especificado en este campo. Pulse el botn ... para buscar un directorio, en vez de escribirlo manualmente. 50 55 3.3.2.1.13 Estadsticas Activar registro de datos estadsticos: registra las direcciones IP, dominios, URL, palabras sospechosas, etctera en el sistema de archivos de configuracin. Los registros se pueden cargar automticamente en los servidores de anlisis del motor antispam. Los registros se pueden convertir a texto sin formato para su visualizacin. Enviar datos estadsticos para su anlisis: inicia un subproceso para cargar archivos de estadsticas en los servidores de anlisis del motor antispam de forma automtica. Direccin del servidor de anlisis: URL donde se cargan los archivos de estadsticas. 3.3.2.1.14 Opciones Configuracin automtica: define opciones basadas en los requisitos de recursos, de rendimiento y del sistema introducidos por el usuario. Crear archivo de configuracin: crea un archivo antispam.cfg que contiene la configuracin del motor antispam. Se puede encontrar en C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server 2008) o C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows Server 2000 y 2003). 3.3.3 Alertas y notificaciones Los correos electrnicos que ESET Mail Security analice y marque como correo no deseado se pueden identificar con una etiqueta en el asunto del mensaje. De forma predeterminada, la etiqueta es [SPAM], aunque se puede utilizar una cadena definida por el usuario. NOTA: cuando aada una plantilla al asunto del mensaje, tambin puede utilizar variables del sistema. 56 3.4 Preguntas frecuentes P: Despus de instalar EMSX con antispam, hemos dejado de recibir mensajes de correo electrnico en nuestros buzones. R: Si hay una lista gris activada, ese es el comportamiento esperado. En las primeras horas tras la puesta en marcha del programa, los correos electrnicos llegan con varias horas de retraso. Si el problema persiste, le recomendamos que desactive (o vuelva a configurar) la lista gris. P: Cuando VSAPI analiza archivos adjuntos, tambin analiza el cuerpo de los mensajes? R: En Microsoft Exchange Server 2000 SP2 y versiones posteriores, VSAPI analiza tambin el cuerpo de los mensajes. P: Por qu el anlisis de mensajes no se detiene al desactivar la opcin de VSAPI? R: Los cambios realizados en la configuracin de VSAPI se ejecutan de forma asncrona; es decir, que Microsoft Exchange Server debe invocar la configuracin modificada de VSAPI para que esta surta efecto. Este proceso cclico se ejecuta en intervalos de un minuto, aproximadamente. Esto se aplica tambin a todos los dems ajustes de VSAPI. P: VSAPI puede eliminar en su totalidad un mensaje que contiene un archivo adjunto infectado? R: S, VSAPI puede eliminar todo el mensaje. Sin embargo, para que esto suceda, debe seleccionar la opcin Eliminar todo el mensaje en la seccin Acciones de la configuracin de VSAPI. Esta opcin est disponible en Microsoft Exchange Server 2003 y versiones posteriores. Las versiones anteriores de Microsoft Exchange Server no permiten eliminar mensajes enteros. P: VSAPI tambin busca virus en el correo electrnico saliente? R: S, VSAPI analiza el correo electrnico saliente, a menos que haya configurado un servidor SMTP en el cliente de correo que no sea Microsoft Exchange Server. Esta caracterstica se aplica en Microsoft Exchange Server 2000 Service Pack 3 y versiones posteriores. P: Es posible aadir una notificacin a cada mensaje analizado con VSAPI, al igual que con el agente de transporte? R: En Microsoft Exchange Server, no se permite la adicin de texto a los mensajes mediante VSAPI. P: A veces no puedo abrir un correo electrnico determinado en Microsoft Outlook. A qu se debe? R: La opcin Accin a emprender si la desinfeccin no es posible de la configuracin de VSAPI en la seccin Acciones probablemente est definida en Bloquear o ha creado una regla que incluye la accin Bloquear. Cualquiera de estas configuraciones marcar y bloquear tanto los mensajes infectados como los mensajes sujetos a la regla mencionada. P: A qu se refiere el elemento Tiempo lmite de respuesta de la seccin Rendimiento? R: Si tiene Microsoft Exchange Server 2000 SP2 o una versin posterior, el valor Tiempo lmite de respuesta especifica el tiempo mximo, en segundos, necesario para terminar el anlisis de VSAPI de un subproceso. Si el anlisis no finaliza en este lmite de tiempo, Microsoft Exchange Server denegar al cliente el acceso al correo electrnico. El anlisis no se interrumpir y, cuando finalice, el acceso al archivo se permitir siempre. Si tiene Microsoft Exchange Server 5.5 SP3 o SP4, el valor se expresa en milisegundos e indica el perodo de tiempo tras el que cliente intentar acceder de nuevo al archivo que antes no estaba disponible a causa del anlisis. P: Qu longitud mxima puede tener la lista de tipos de archivo de una regla? R: La lista de extensiones de archivo en una sola regla puede contener 255 caracteres como mximo. P: He activado la opcin Anlisis en segundo plano de VSAPI. Hasta ahora, los mensajes de Microsoft Exchange Server se analizaban siempre despus de cada actualizacin de la base de firmas de virus, pero esto no sucedi despus de la ltima actualizacin. Cul es el problema? R: La decisin de analizar todos los mensajes inmediatamente o cuando el usuario intente acceder a un mensaje depende de varios factores, como la carga del servidor, el tiempo de CPU necesario para analizar todos los mensajes a la vez y el nmero total de mensajes. Microsoft Exchange Server analiza todos los mensajes antes de que lleguen a la bandeja de entrada del cliente. 57 P: Por qu el contador de la regla aument en ms de 1 al recibir un solo mensaje? R:Las reglas se cotejan con un mensaje cuando el agente de transporte (AT) o VSAPI lo procesan. Si estn activados el agente de transporte y VSAPI, y el mensaje cumple las condiciones de la regla, el contador de la regla aumentar en 2 o ms. VSAPI accede a cada parte del mensaje de forma individual (cuerpo, archivo adjunto, etc.), de modo que las reglas se aplican a cada una de las partes individuales. Adems, las reglas se pueden aplicar durante el anlisis en segundo plano (p. ej., el anlisis repetido del almacn de buzones de correo tras la actualizacin de la base de firmas de virus), lo cual podra aumentar el contador de la regla. P: ESET Mail Security 4 for Microsoft Exchange Server es compatible con el filtro inteligente de mensajes? R: S, ESET Mail Security 4 for Microsoft Exchange Server (EMSX) es compatible con el filtro inteligente de mensajes (IMF). El procesamiento de mensajes de correo electrnico cuando un mensaje se clasifica como spam es el siguiente: - Si el mdulo antispam de ESET Mail Security tiene activada la opcin Eliminar mensaje (o Poner mensaje en cuarentena), la accin se ejecutar independientemente de la accin definida en el IMF de Microsoft Exchange. - Si el mdulo antispam de ESET Mail Security tiene activada la opcin Sin acciones, se utilizar la configuracin del IMF de Microsoft Exchange y se ejecutar la accin pertinente (por ejemplo, Eliminar, Rechazar o Archivar). La opcin Anotar el nivel de confianza contra correo no deseado (SCL) en los mensaje analizados en funcin del nivel de spam (en Proteccin del servidor > Microsoft Exchange Server > Agente de transporte ) debe estar activada para que esta caracterstica funcione correctamente. P: Cmo se configura ESET Mail Security para que mueva el correo no solicitado a la carpeta de spam definida por el usuario de Microsoft Outlook? R: En la configuracin predeterminada de ESET Mail Security, Microsoft Outlook almacena el correo no deseado en la carpeta Correo electrnico no deseado. Para que esto funcione, anule la seleccin de la opcin Anotar nivel de spam en el encabezado del mensaje analizado (en F5 > Proteccin del servidor > Proteccin Antispam> Microsoft Exchange Server > Agente de transporte). Si desea que el correo electrnico no deseado se almacene en una carpeta diferente, lea las instrucciones siguientes: 1) En ESET Mail Security: - Vaya al rbol de configuracin avanzada F5. - Vaya a Proteccin del servidor > Proteccin Antispam > Microsoft Exchange Server > Agente de transporte. - Seleccione Conservar mensaje en el men desplegable Accin a emprender en mensajes no deseados. - Anule la seleccin de la casilla Anotar nivel de spam en el encabezado de los mensajes analizados. - Vaya a Alertas y notificaciones en Proteccin Antispam. - Defina una etiqueta de texto para aadirla al campo de asunto de los mensajes no deseados, por ejemplo, "[SPAM]", en el campo Etiqueta agregada al asunto de mensajes no deseados
2) En Microsoft Outlook: - Configure una regla para garantizar que los mensajes que tienen un texto especfico en el asunto ("[SPAM]") se muevan a la carpeta deseada. Para obtener instrucciones ms detalladas, consulte este artculo de la base de conocimientos. 58 P: En los datos estadsticos de la proteccin antispam, hay muchos mensajes en la categora No analizado. Qu correo electrnico no analiza la proteccin antispam? R: La categora No analizado incluye: General: Todos los mensajes que se analizaron cuando la proteccin antispam estaba desactivada en cualquiera de las capas (servidor de correo, agente de transporte). Microsoft Exchange Server 2003: Todos los mensajes procedentes de una direccin IP disponible en el IMF de la Lista de aceptacin global. Mensajes de remitentes autenticados. Microsoft Exchange Server 2007: Todos los mensajes enviados en la organizacin (la proteccin antivirus los analizar todos). Mensajes de remitentes autenticados. Mensajes de usuarios configurados para burlar el filtro antispam. Todos los mensajes enviados al buzn de correo, que tiene activa la opcin No aplicar antispam. Todos los mensajes de remitentes de la lista Remitentes seguros. NOTA: Las direcciones definidas en la lista blanca y la configuracin del motor antispam no entran en la categora No analizado, ya que este grupo incluye nicamente los mensajes que no se procesaron con el mdulo antispam. P: Los usuarios descargan los mensajes en sus clientes de correo electrnico mediante el protocolo POP3 (ignorando Microsoft Exchange Server), pero los buzones de correo se almacenan en Microsoft Exchange Server. El anlisis antivirus y antispam de ESET Mail Security incluir estos mensajes de correo electrnico? R: En este tipo de configuracin, ESET Mail Security solo analiza los mensajes de correo electrnico almacenados en Microsoft Exchange Server para detectar la presencia de virus (mediante VSAPI). No se realizar el anlisis antispam, ya que este requiere un servidor SMTP. P: Puedo definir el nivel de spam que debe tener el mensaje para que se clasifique como SPAM? R: S, este lmite se puede definir en ESET Mail Security 4.3 y versiones posteriores (consulte el captulo Motor antispam ). P: El mdulo Proteccin Antispam de ESET Mail Security tambin analiza los mensajes que se descargan mediante el conector POP3? R: ESET Mail Security es compatible con el conector POP3 de Microsoft SBS en SBS 2008, de modo que los mensajes descargados mediante este conector POP3 se analizan para determinar la presencia de spam. Sin embargo, el conector POP3 estndar de Microsoft SBS no es compatible con SBS 2003. Tambin hay conectores POP3 de terceros. Los mensajes capturados mediante estos conectores POP3 de terceros se analizan en busca de spam o no en funcin del diseo de cada conector POP3 y del mtodo que utilice para la captura de mensajes. Para obtener ms informacin, consulte el tema Proteccin antispam y conector POP3 . 40 39 59 4. ESET Mail Security: proteccin del servidor Adems de ofrecer la proteccin de Microsoft Exchange Server, ESET Mail Security tiene todas las herramientas necesarias para garantizar la proteccin del servidor (proteccin residente, proteccin del trfico de Internet, proteccin del cliente de correo electrnico y proteccin antispam). 4.1 Proteccin antivirus y antispyware La proteccin antivirus protege contra ataques maliciosos al sistema mediante el control de las comunicaciones por Internet, el correo electrnico y los archivos. Si se detecta una amenaza con cdigo malicioso, el mdulo antivirus puede bloquearlo para despus desinfectarlo, eliminarlo o ponerlo en cuarentena. 4.1.1 Proteccin del sistema de archivos en tiempo real La proteccin del sistema de archivos en tiempo real controla todos los sucesos relacionados con el antivirus en el sistema. Todos los archivos se analizan en busca de cdigo malicioso en el momento en que se abren, crean o ejecutan en el ordenador. La proteccin del sistema de archivos en tiempo real se inicia al arrancar el sistema. 4.1.1.1 Configuracin del control La proteccin del sistema de archivos en tiempo real comprueba todos los tipos de medios, y son varios los sucesos que activan el control. Si se utilizan mtodos de deteccin con la tecnologa ThreatSense (tal como se describe en la seccin Configuracin de parmetros del motor ThreatSense ), la proteccin del sistema de archivos en tiempo real puede ser diferentes para los archivos recin creados y los archivos ya existentes. Para los archivos nuevos, se puede aplicar un nivel de control ms exhaustivo. Con el fin de que la huella del sistema sea mnima cuando se utiliza la proteccin en tiempo real, los archivos que ya se analizaron no se vuelven a analizar (a no ser que se hayan modificado). Los archivos se vuelven a analizar inmediatamente despus de cada actualizacin de la base de firmas de virus. Este comportamiento se configura con la optimizacin inteligente. Si est desactivada, todos los archivos se analizarn cada vez que se acceda a ellos. Para modificar esta opcin, abra la ventana Configuracin avanzada y haga clic en Antivirus y antiespa > Proteccin del sistema de archivos en tiempo real en el rbol de configuracin avanzada. A continuacin, haga clic en el botn Configuracin situado junto a Configuracin de parmetros del motor ThreatSense, haga clic en Otros y marque o desmarque la opcin Activar optimizacin inteligente. La proteccin en tiempo real comienza de forma predeterminada cuando se inicia el sistema y proporciona un anlisis ininterrumpido. En casos especiales (por ejemplo, si hay un conflicto con otro anlisis en tiempo real), puede interrumpir la proteccin en tiempo real anulando la seleccin de la opcin Activar la proteccin en tiempo real automticamente. 75 60 4.1.1.1.1 Objetos a analizar De forma predeterminada, se buscan posibles amenazas en todos los tipos de objetos. Discos locales: controla todas las unidades de disco duro del sistema. Medios extrables: disquetes, dispositivos de almacenamiento USB, etc. Unidades de red: analiza todas las unidades asignadas. Recomendamos que esta configuracin predeterminada se modifique solo en casos especficos, por ejemplo, cuando el control de ciertos objetos ralentiza significativamente las transferencias de datos. 4.1.1.1.2 Analizar (anlisis cuando se cumpla la condicin) De forma predeterminada, todos los archivos se analizan cuando se abren, crean o ejecutan. Le recomendamos que mantenga la configuracin predeterminada, ya que ofrece el mximo nivel de proteccin en tiempo real para su ordenador. La opcin Al acceder al disquete controla el sector de inicio del disquete cuando se accede a esta unidad. La opcin Al apagar el ordenador controla los sectores de inicio del disco duro durante el apagado del ordenador. Aunque los virus de arranque son escasos hoy en da, le recomendamos que deje estas opciones activadas, ya que an existe la posibilidad de infeccin por virus de arranque de fuentes alternativas. 4.1.1.1.3 Opciones avanzadas de anlisis Encontrar opciones de configuracin ms detalladas en Proteccin del ordenador > Antivirus y antiespa > Proteccin del sistema de archivos en tiempo real > Configuracin avanzada. Parmetros adicionales de ThreatSense para archivos nuevos o modificados: la probabilidad de infeccin en los archivos nuevos o modificados es superior que en los archivos existentes, por eso el programa comprueba estos archivos con parmetros de anlisis adicionales. Junto con los mtodos de anlisis basados en firmas habituales, se utiliza la heurstica avanzada, que mejora en gran medida los ndices de deteccin. Adems de los archivos nuevos, el anlisis se realiza tambin en archivos de autoextraccin (.sfx) y empaquetadores en tiempo real (archivos ejecutables comprimidos internamente). Los archivos se analizan, de forma predeterminada, hasta el 10 nivel de anidamiento; adems, se analizan independientemente de su tamao real. Para modificar la configuracin de anlisis de archivos comprimidos, anule la seleccin de la opcin Configuracin por defecto para archivos comprimidos. 61 Parmetros adicionales de ThreatSense.Net para archivos ejecutados: de forma predeterminada, la heurstica avanzada no se utiliza cuando se ejecutan archivos. Sin embargo, en algunos casos, es aconsejable activar esta opcin (seleccionando Heurstica avanzada al ejecutar un archivo). Tenga en cuenta que esta herramienta puede ralentizar la ejecucin de algunos programas debido a los mayores requisitos del sistema. 4.1.1.2 Niveles de desinfeccin La proteccin en tiempo real tiene tres niveles de desinfeccin. Para seleccionar un nivel de desinfeccin, haga clic en el botn Configuracin de la seccin Proteccin en tiempo real del sistema de archivos y haga clic en Desinfeccin. El primer nivel, Sin desinfectar, muestra una ventana de alerta con opciones disponibles para cada amenaza encontrada. El usuario debe elegir una accin para cada una de las amenazas. Este nivel es adecuado para usuarios avanzados que conocen los pasos necesarios en caso de amenaza. El nivel predeterminado elige y realiza una accin predefinida automticamente (dependiendo del tipo de amenaza). La eliminacin y la deteccin de un archivo infectado se marca mediante un mensaje localizado en la esquina inferior derecha de la pantalla. Las acciones automticas no se realizan cuando la amenaza se encuentra en un archivo comprimido (que tambin contiene archivos en buen estado) o cuando los objetos infectados no tienen una accin predefinida. El tercer nivel, Desinfeccin exhaustiva, es el ms "agresivo", ya que se desinfectan todos los objetos infectados. Como este nivel puede provocar la prdida de archivos vlidos, recomendamos que se utilice solo en situaciones especficas. 4.1.1.3 Modificacin de la configuracin de proteccin en tiempo real La proteccin en tiempo real es el componente ms importante para garantizar la seguridad de un sistema, por lo que debe tener cuidado cuando modifique los parmetros correspondientes. Es aconsejable que los modifique nicamente en casos concretos. Por ejemplo, si se produce un conflicto con una aplicacin determinada o durante el anlisis en tiempo real de otro programa antivirus. Una vez que haya instalado ESET Mail Security, se optimizar toda la configuracin para proporcionar a los usuarios el nivel mximo de seguridad del sistema. Para restaurar la configuracin predeterminada, haga clic en el botn Predeterminado disponible en la parte inferior derecha de la ventana Proteccin del sistema de archivos en tiempo real (Configuracin avanzada > Antivirus y antiespa > Proteccin del sistema de archivos en tiempo real). 62 4.1.1.4 Anlisis de proteccin en tiempo real Para verificar que la proteccin en tiempo real funciona y detecta virus, utilice el archivo de prueba de eicar.com, un archivo inofensivo especial que todos los programas antivirus pueden detectar. El archivo fue creado por la compaa EICAR (European Institute for Computer Antivirus Research, Instituto europeo para la investigacin de antivirus de ordenador) para probar la funcionalidad de los programas antivirus. El archivo eicar.com se puede descargar en http://www.eicar.org/download/eicar.com NOTA: antes de realizar un anlisis de proteccin en tiempo real, es necesario desactivar el cortafuegos. Si est activado, detectar el archivo y no dejar que los archivos de prueba se descarguen. 4.1.1.5 Qu debo hacer si la proteccin en tiempo real no funciona? En el prximo captulo, describimos las situaciones en las que puede surgir un problema cuando se utiliza la proteccin en tiempo real y cmo resolverlas. Proteccin en tiempo real desactivada Si un usuario desactiv la proteccin en tiempo real sin darse cuenta, ser necesario volver a activarla. Para activar de nuevo la proteccin en tiempo real, vaya a Configuracin > Antivirus y antiespa y haga clic en Activar en la seccin Proteccin del sistema de archivos en tiempo real de la ventana principal del programa. Si la proteccin en tiempo real no se inicia al arrancar el sistema, probablemente se deba a que la opcin Iniciar la proteccin automtica del sistema de archivos en tiempo real est desactivada. Para activar esta opcin, vaya a Configuracin avanzada (F5) y haga clic en Proteccin del sistema de archivos en tiempo real en el rbol de configuracin avanzada. En la seccin Configuracin avanzada situada en la parte inferior de la ventana, asegrese de que la casilla de verificacin Activar la proteccin del sistema de archivos en tiempo real automticamente est seleccionada. Si la proteccin en tiempo real no detecta ni desinfecta amenazas Asegrese de que no tiene instalados otros programas antivirus en el ordenador. Si estn activadas dos protecciones en tiempo real al mismo tiempo, estas pueden entrar en conflicto. Recomendamos que desinstale del sistema uno de los programas antivirus. La proteccin en tiempo real no se inicia Si la proteccin en tiempo real no se activa al iniciar el sistema (y la opcin Activar la proteccin del sistema de archivos en tiempo real automticamente est activada), es posible que se deba a conflictos con otros 63 programas. Si este es el caso, consulte a los especialistas del servicio de atencin al cliente de ESET. 4.1.2 Proteccin del cliente de correo electrnico La proteccin de correo electrnico proporciona control de las comunicaciones por correo electrnico recibidas a travs del protocolo POP3. Con el programa de complemento para Microsoft Outlook, ESET Mail Security ofrece control de todas las comunicaciones desde el cliente de correo electrnico (POP3, MAPI, IMAP, HTTP). Al examinar los mensajes entrantes, el programa utiliza todos los mtodos de anlisis avanzados que proporciona el motor de anlisis ThreatSense . Esto significa que la deteccin de programas maliciosos tiene lugar incluso antes de que se compare con la base de firmas de virus. El anlisis de las comunicaciones del protocolo POP3 es independiente del cliente de correo electrnico utilizado. 4.1.2.1 Comprobacin del protocolo POP3 El protocolo POP3 es el ms utilizado para recibir comunicaciones por correo electrnico en una aplicacin de cliente de correo. ESET Mail Security proporciona proteccin para este protocolo, independientemente del cliente de correo electrnico que se utilice. El mdulo de proteccin que proporciona este control se inicia automticamente al arrancar el sistema y, despus, est activo en la memoria. Para que el mdulo funcione correctamente, asegrese de que est activado; la comprobacin del protocolo POP3 se realiza automticamente sin necesidad de reconfigurar el cliente de correo electrnico. De forma predeterminada, se analizan todas las comunicaciones en el puerto 110, pero se pueden agregar otros puertos de comunicacin si es necesario. Los nmeros de puerto deben delimitarse con una coma. Las comunicaciones cifradas no se controlan. Para poder utilizar el filtrado del protocolo POP3/POP3S, debe activar Filtrado de protocolos. Si las opciones de POP3/POP3S estn desactivadas, vaya a Proteccin del ordenador > Antivirus y antispyware > Filtrado de protocolos en el rbol de configuracin avanzada y seleccione Activar el control sobre el contenido del protocolo de la aplicacin. Consulte la seccin Filtrado de protocolos para obtener ms informacin sobre el filtrado y la configuracin. 64 4.1.2.1.1 Compatibilidad Determinados programas de correo electrnico pueden experimentar problemas con el filtrado del protocolo POP3 (por ejemplo, si recibe mensajes con una conexin de Internet lenta, pueden producirse tiempos de espera debido al anlisis). Si este es el caso, intente modificar la forma en que se realiza el control. La velocidad del proceso de desinfeccin se puede aumentar disminuyendo el nivel de control. Para ajustar el nivel de control del filtrado del protocolo POP3, en el rbol de configuracin avanzada, vaya a Antivirus y antiespa > Proteccin del correo electrnico > POP3, POP3s > Compatibilidad. Si est activada la opcin Mxima eficiencia, las amenazas se eliminan de los mensajes infectados y la informacin correspondiente se indica antes del asunto del correo electrnico original (las opciones Eliminar o Desinfectar deben estar activadas, as como el nivel de desinfeccin Exhaustiva o Predeterminada). Compatibilidad media modifica la forma en que se reciben los mensajes. Los mensajes se envan al cliente de correo electrnico de forma gradual. Una vez que se ha transferido el mensaje, este se analizar en busca de amenazas. El riesgo de infeccin aumenta con este nivel de control. El nivel de desinfeccin y el tratamiento de los mensajes con etiquetas (alertas de notificacin agregadas a la lnea del asunto y al cuerpo de los correos electrnicos) son idnticos a la configuracin de mximo rendimiento. Con el nivel Mxima compatibilidad, una ventana de alerta le informa de la recepcin de un mensaje infectado. No se agregar ninguna informacin sobre los archivos infectados a la lnea del asunto o al cuerpo del correo electrnico de mensajes enviados y las amenazas no se eliminarn automticamente. Debe eliminar las amenazas del cliente de correo electrnico. 4.1.2.2 Integracin con clientes de correo electrnico La integracin de ESET Mail Security con clientes de correo electrnico aumenta el nivel de proteccin activa frente a cdigo malicioso en los mensajes de correo electrnico. Si su cliente de correo electrnico es compatible, esta integracin se puede activar en ESET Mail Security. Al activar la integracin, la barra de herramientas de ESET Mail Security se inserta directamente en el cliente de correo electrnico, aumentando as la eficacia de la proteccin de correo electrnico. La configuracin de integracin est disponible en Configuracin > Muestra las opciones avanzadas de configuracin > Varios > Integracin con el cliente de correo electrnico. La integracin con el cliente de correo electrnico le permite activar la integracin en los clientes de correo electrnico admitidos. Actualmente, se admiten los siguientes clientes de correo electrnico: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail y Mozilla Thunderbird. Seleccione la opcin Desactivar el anlisis de cambios de contenido de la bandeja de entrada si experimenta una ralentizacin del sistema cuando trabaja con su cliente de correo electrnico. Esta situacin puede darse 65 cuando descarga correo electrnico de Kerio Outlook Connector Store. La proteccin de correo electrnico se activa haciendo clic en Configuracin > Muestra las opciones avanzadas de configuracin > Antivirus y antispyware > Proteccin del cliente de correo electrnico y seleccionando la opcin Activar proteccin antivirus y antiespa del cliente de correo electrnico. 4.1.2.2.1 Agregar mensajes con etiquetas al cuerpo del mensaje Los mensajes de correo electrnico analizados por ESET Mail Security se pueden marcar con una etiqueta en el asunto o el cuerpo del mensaje. Esta caracterstica aumenta la credibilidad ante el destinatario y, si se detecta una amenaza, proporciona informacin valiosa sobre el nivel de amenaza de un correo electrnico o remitente determinado. Las opciones de esta funcin estn disponibles en Configuracin avanzada > Antivirus y antispyware > Proteccin del cliente de correo electrnico. Puede seleccionar las opciones Notificar en los mensajes recibidos y ledos y Notificar en los mensajes enviados. Tambin puede decidir si los mensajes con etiqueta se adjuntan a todo el correo analizado, solo al correcto infectado o nunca. ESET Mail Security le permite agregar mensajes al asunto original de los mensajes infectados. Para activar la adicin de mensajes al asunto, seleccione las opciones Agregar una advertencia en el asunto de los mensajes infectados recibidos y ledos y Agregar una advertencia en el asunto de los mensajes infectados enviados. El contenido de las notificaciones se puede modificar en el campo En mensajes infectados, agregar en el Asunto la siguiente etiqueta. Las modificaciones antes mencionadas le ayudan a automatizar el proceso de filtrado de correo infectado, ya que permiten filtrar los mensajes que tienen un asunto especfico (si el cliente de correo electrnico lo permite) a una carpeta independiente. 4.1.2.3 Eliminar amenazas Si se recibe un mensaje de correo electrnico infectado, aparecer una ventana de alerta donde se muestra el nombre del remitente, el correo electrnico y el nombre de la amenaza. En la parte inferior de la ventana, las opciones Desinfectar, Eliminar o Sin acciones (informar) estn disponibles para el objeto detectado. En casi todos los casos, recomendamos la seleccin de Desinfectar o Eliminar. En situaciones especiales, cuando desee recibir el archivo infectado, seleccione Sin acciones (informar). Si la opcin Desinfeccin exhaustiva est activada, aparecer una ventana de informacin sin opciones disponibles para objetos infectados. 66 4.1.3 Proteccin del trfico de Internet La conectividad de Internet es una caracterstica estndar de cualquier ordenador personal. Lamentablemente, tambin se ha convertido en el principal medio de transferencia de cdigo malicioso; por eso es fundamental prestar la debida atencin a la proteccin del trfico de Internet. Le recomendamos encarecidamente que seleccione la opcin Activar proteccin antivirus y antiespa del trfico de Internet. Esta opcin est disponible en Configuracin avanzada (F5) > Antivirus y antispyware > Proteccin del trfico de Internet. 4.1.3.1 HTTP, HTTPs La proteccin del trfico de Internet funciona mediante la supervisin de la comunicacin entre navegadores de Internet y servidores remotos, y cumple con las reglas HTTP (protocolo de transferencia de hipertexto) y HTTPs (comunicacin cifrada). ESET Mail Security est configurado de forma predeterminada para utilizar los estndares de la mayora de los navegadores de Internet. No obstante, las opciones de configuracin del anlisis HTTP se pueden modificar en Configuracin avanzada (F5) > Antivirus y antispyware > Proteccin del trfico de Internet > HTTP, HTTPS. En la ventana principal de filtro HTTP, puede seleccionar o anular la seleccin de la opcin Activar la comprobacin del protocolo HTTP. Tambin puede definir los nmeros de puerto utilizados para la comunicacin HTTP. De forma predeterminada, los nmeros de puerto 80, 8080 y 3128 ya estn definidos. La comprobacin del protocolo HTTPS se puede realizar en los siguientes modos: No utilizar la comprobacin del protocolo HTTPS: no se analizar la comunicacin cifrada. Utilizar la comprobacin del protocolo HTTPS para los puertos seleccionados: la comprobacin del protocolo HTTPs se aplicar nicamente a los puertos definidos en Puertos utilizados por el protocolo HTTPS. 67 4.1.3.1.1 Gestin de direcciones En esta seccin puede especificar las direcciones HTTP que desea bloquear, permitir o excluir del anlisis. Los botones Agregar, Modificar, Quitar y Exportar se utilizan para gestionar las listas de direcciones. No se podr acceder a los sitios Web de la lista de direcciones bloqueadas. Se puede acceder a los sitios web de la lista de direcciones excluidas sin analizarlos en busca de cdigo malicioso. Si selecciona la opcin Permitir el acceso slo a las direcciones HTTP de la lista de direcciones permitidas, solo se podr acceder a las direcciones presentes en la lista de direcciones permitidas, y todas las dems direcciones HTTP se bloquearn. En todas las listas, pueden utilizarse los smbolos especiales * (asterisco) y ? (signo de interrogacin). El asterisco sustituye a cualquier cadena de caracteres y el signo de interrogacin, a cualquier smbolo. Tenga especial cuidado al especificar direcciones excluidas, ya que la lista solo debe contener direcciones seguras y de confianza. Del mismo modo, es necesario asegurarse de que los smbolos * y ? se utilizan correctamente en esta lista. Para activar una lista, seleccione la opcin Lista activa. Si desea que le notifiquen cuando se introduzca una direccin de la lista actual, seleccione la opcin Notificar cuando se empleen direcciones de la lista. 68 4.1.3.1.2 Modo activo ESET Mail Security incluye tambin la caracterstica de navegadores de Internet, que le permite definir si la aplicacin especfica es un navegador o no. Si una aplicacin se marca como navegador, toda la comunicacin desde esta aplicacin se supervisa independientemente de los nmeros de puerto implicados. La caracterstica de navegadores de Internet complementa la caracterstica de comprobacin del protocolo HTTP, ya que sta solo se produce en puertos predefinidos. Sin embargo, muchos servicios de Internet utilizan nmeros de puerto desconocidos o cambiantes. Para ello, la caracterstica de navegador de Internet puede establecer el control de las comunicaciones de puerto independientemente de los parmetros de conexin. La lista de aplicaciones marcadas como navegadores de Internet est disponible directamente en el submen Navegadores de Internet de la seccin HTTP, HTTPs. En esta seccin, tambin se incluye el submen Modo 69 activo, que define el modo de anlisis de los navegadores de Internet. El Modo activo resulta til porque examina los datos transferidos en su conjunto. Si no est activado, la comunicacin de las aplicaciones se supervisa gradualmente en lotes. Esto reduce la eficacia del proceso de verificacin de datos, pero tambin ofrece mayor compatibilidad para aplicaciones enumeradas. Si no se produce ningn problema durante su uso, es recomendable activar el modo de anlisis activo mediante la casilla de verificacin situada junto a la aplicacin deseada. 4.1.4 Anlisis del ordenador a peticin Si sospecha que su ordenador est infectado (se comporta de manera anormal), ejecute un anlisis del ordenador a peticin para comprobar la existencia de amenazas. Desde el punto de vista de la seguridad, es esencial que los anlisis del ordenador no se ejecuten nicamente cuando se sospecha que existe una infeccin, sino que se realicen peridicamente como parte de las medidas de seguridad rutinarias. Los anlisis peridicos ayudan a detectar amenazas que no se detectaron durante el anlisis en tiempo real, cuando se guardaron en el disco. Esto puede ocurrir si se ha desactivado el anlisis en tiempo real en el momento de la infeccin o si la base de firmas de virus no estaba actualizada. Le recomendamos que ejecute un anlisis del ordenador a peticin una o dos veces al mes como mnimo. El anlisis se puede configurar como una tarea programada en Herramientas > Planificador de tareas. 70 4.1.4.1 Tipo de anlisis Estn disponibles dos tipos de anlisis del ordenador a peticin. El anlisis estndar analiza el sistema rpidamente, sin necesidad de realizar una configuracin adicional de los parmetros de anlisis. El anlisis personalizado le permite seleccionar perfiles de anlisis predefinidos y elegir objetos de anlisis especficos. 4.1.4.1.1 Anlisis estndar El anlisis estndar le permite iniciar rpidamente un anlisis del ordenador y desinfectar los archivos infectados sin la intervencin del usuario. Su principal ventaja es un funcionamiento sencillo, sin configuraciones de anlisis detalladas. El anlisis estndar comprueba todos los archivos de los discos locales y desinfecta o elimina automticamente las amenazas detectadas. El nivel de desinfeccin se establece automticamente en el valor predeterminado. Para obtener ms informacin detallada sobre los tipos de desinfeccin, consulte la seccin Desinfeccin . 4.1.4.1.2 Anlisis personalizado El anlisis personalizado es una solucin ptima para especificar parmetros de anlisis como, por ejemplo, objetos y mtodos de anlisis. La ventaja del anlisis personalizado es su capacidad para configurar los parmetros detalladamente. Las diferentes configuraciones se pueden guardar en perfiles de anlisis definidos por el usuario, que pueden resultar tiles si el anlisis se realiza varias veces con los mismos parmetros. Para seleccionar objetos de anlisis, seleccione Anlisis del ordenador > Anlisis personalizado y elija una opcin en el men desplegable Objetos de anlisis, o seleccione objetos especficos en la estructura de rbol. Los objetos de anlisis tambin se pueden especificar con ms precisin introduciendo la ruta a la carpeta o los archivos que se desean incluir en el anlisis. Si nicamente quiere analizar el sistema, sin realizar acciones de desinfeccin adicionales, seleccione la opcin Analizar sin desinfectar. Adems, puede seleccionar uno de los tres niveles de desinfeccin haciendo clic en Configuracin. > Desinfeccin. 78 71 4.1.4.2 Objetos de anlisis En el men desplegable Objetos de anlisis, puede seleccionar los archivos, carpetas y dispositivos (discos) que se analizarn en busca de virus. Parmetros segn perfil: selecciona los objetos definidos en el perfil de anlisis seleccionado. Medios extrables: selecciona los disquetes, dispositivos de almacenamiento USB, CD y DVD. Discos locales: selecciona todas las unidades de disco duro del sistema. Unidades de red: selecciona todas las unidades asignadas. Sin seleccin: cancela todas las selecciones. Los objetos de anlisis se pueden especificar con ms precisin introduciendo la ruta de la carpeta o los archivos que se desean incluir en el anlisis. Seleccione los objetos en la estructura de rbol que incluye todos los dispositivos disponibles en el ordenador. 4.1.4.3 Perfiles de anlisis Puede guardar sus parmetros de anlisis preferidos para prximas sesiones de anlisis. Le recomendamos que cree un perfil diferente (con varios objetos de anlisis, mtodos de anlisis y otros parmetros) para cada uno de los anlisis que realice con frecuencia. Para crear un perfil nuevo, abra la ventana Configuracin avanzada (F5) y haga clic en Anlisis del ordenador a peticin > Perfiles. En la ventana Administracin de perfiles encontrar un men desplegable con los perfiles de anlisis existentes y la opcin para crear uno nuevo. Si necesita ayuda para crear un perfil de anlisis que se adecue a sus necesidades, consulte la seccin Configuracin de parmetros del motor ThreatSense para ver una descripcin de cada uno de los parmetros de la configuracin del anlisis. EJEMPLO: supongamos que desea crear su propio perfil de anlisis y parte de la configuracin del anlisis estndar es adecuada; sin embargo, no desea analizar los empaquetadores en tiempo real ni las aplicaciones potencialmente peligrosas y, adems, quiere aplicar Desinfeccin exhaustiva. En la ventana Administracin de perfiles, haga clic en el botn Agregar. Escriba el nombre del nuevo perfil en el campo Nombre del perfil y seleccione Anlisis estndar en el men desplegable Copiar parmetros desde el perfil . A continuacin, ajuste los dems parmetros de acuerdo con sus requisitos. 75 72 4.1.4.4 Lnea de comandos El mdulo antivirus de ESET Mail Security se puede iniciar manualmente a travs de la lnea de comandos, con el comando "ecls", o con un archivo por lotes ("bat"). Los siguientes parmetros y modificadores se pueden utilizar al ejecutar el anlisis a peticin desde la lnea de comandos: Opciones generales: --help mostrar ayuda y salir - version mostrar informacin sobre la versin y salir - base-dir = CARPETA cargar mdulos desde una CARPETA - quar-dir = CARPETA CARPETA de cuarentena - aind mostrar indicador de actividad Objetos: - files analizar archivos (predeterminado) - no-files no analizar archivos - boots analizar sectores de inicio (predeterminada) - no-boots no analizar sectores de inicio - arch analizar archivos comprimidos (predeterminado) - no-arch no analizar archivos - max-archive-level = NIVEL NIVEL de anidamiento de archivos mximo - scan-timeout = LMITE analizar archivos comprimidos con un LMITE mximo de segundos. Si el tiempo de anlisis alcanza este lmite, el anlisis del archivo comprimido se detiene y se pasa al siguiente archivo. - max-arch-size=TAMAO analizar solo los primeros TAMAO bytes de los archivos (predeterminado 0 = ilimitado) - mail analizar archivos de correo electrnico - no-mail no analizar archivos de correo - sfx analizar archivos comprimidos de autoextraccin - no-sfx no analizar archivos comprimidos de autoextraccin - rtp analizar empaquetadores en tiempo real - no-rtp no analizar empaquetadores en tiempo real - exclude = CARPETA excluir CARPETA del anlisis - subdir analizar subcarpetas (predeterminado) - no-subdir no analizar subcarpetas - max-subdir-level = NIVEL NIVEL de anidamiento de subcarpetas mximo (predeterminado 0 = ilimitado) - symlink seguir enlaces simblicos (predeterminado) - no-symlink omitir enlaces simblicos - ext-remove = EXTENSIONES - ext-exclude = EXTENSIONES excluir EXTENSIONES del anlisis, separndolas por el 73 signo ":" (dos puntos) Mtodos: - adware analizar en busca de adware/spyware/riskware - no-adware no analizar en busca de adware/spyware/riskware - unsafe analizar en busca de aplicaciones potencialmente peligrosas - no-unsafe no analizar en busca de aplicaciones potencialmente peligrosas - unwanted analizar en busca de aplicaciones potencialmente indeseables - no-unwanted no analizar en busca de aplicaciones potencialmente indeseables - pattern usar firmas - no-pattern no usar firmas - heur activar heurstica - no-heur desactivar heurstica - adv-heur activar heurstica avanzada - no-adv-heur desactivar heurstica avanzada Desinfeccin: - action = ACCIN realizar ACCIN en objetos infectados. Acciones disponibles: none (sin acciones), clean (desinfectar), prompt (preguntar) - quarantine copiar archivos infectados en cuarentena (ACCIN opcional) - no-quarantine no copiar archivos infectados a cuarentena Registros: - log-file=ARCHIVO registrar salida en ARCHIVO - log-rewrite sobrescribir el archivo de salida (predeterminado - agregar) - log-all registrar tambin los archivos sin infectar - no-log-all no registrar archivos sin infectar (predeterminado) Posibles cdigos de salida del anlisis: 0 - no se ha encontrado ninguna amenaza 1 - se ha encontrado una amenaza, pero no se ha desinfectado 10 - algunos archivos no se desinfectaron 101 - error en el archivo comprimido 102 - error de acceso 103 - error interno NOTA: los cdigos de salida superiores a 100 significan que no se ha analizado el archivo y que, por tanto, puede 74 estar infectado. 4.1.5 Rendimiento En esta seccin, puede definir el nmero de motores de anlisis ThreatSense que se utilizarn para el anlisis de virus. Un mayor nmero de motores de anlisis ThreatSense en equipos con varios procesadores puede aumentar la velocidad de anlisis. Son aceptables los valores entre 1 y 20. Si no hay ms restricciones, nuestra recomendacin es que aumente el nmero de motores de anlisis ThreatSense en la ventana Configuracin avanzada (F5), en Proteccin del ordenador > Antivirus y antiespa > Rendimiento, de acuerdo con esta frmula: nmero de motores de anlisis ThreatSense = (nmero de CPU fsicas x 2) + 1. Adems, el nmero de subprocesos de anlisis debe ser igual al nmero de motores de anlisis ThreatSense. Puede configurar el nmero de subprocesos de anlisis en Proteccin del servidor > Antivirus y antiespa > Microsoft Exchange Server > VSAPI > Rendimiento. Ejemplo: Supongamos que tiene un servidor con 4 CPU fsicas. Segn la frmula anterior, para disfrutar de un rendimiento mximo debera tener 9 subprocesos de anlisis y 9 motores de anlisis. NOTA: nuestra recomendacin es que defina un nmero de subprocesos de anlisis igual al nmero de motores de anlisis de ThreatSense utilizados. El rendimiento no se ver afectado si utiliza ms subprocesos de anlisis que motores de anlisis. NOTA: los cambios realizados aqu no se aplicarn hasta que se reinicie el sistema. 4.1.6 Filtrado de protocolos El motor de anlisis ThreatSense, que integra a la perfeccin todas las tcnicas avanzadas de anlisis de cdigo malicioso, proporciona la proteccin antivirus para los protocolos de aplicacin POP3 y HTTP. El control funciona de manera automtica, independientemente del navegador de Internet o el cliente de correo electrnico utilizado. Estn disponibles las opciones siguientes para el filtrado de protocolos (si se selecciona la opcin Activar el control sobre el contenido del protocolo de la aplicacin): Puertos HTTP y POP3: limita el anlisis de la comunicacin a los puertos HTTP y POP3 conocidos. Aplicaciones marcadas como navegadores de Internet y clientes de correo electrnico: active esta opcin nicamente para filtrar la comunicacin de aplicaciones marcadas como navegadores (Proteccin del trfico de Internet > HTTP, HTTPS > Navegadores de Internet) y clientes de correo electrnico (Proteccin del cliente de correo electrnico > POP3, POP3s > Clientes de correo electrnico). Puertos y aplicaciones marcadas como usadas por navegadores de Internet y clientes de correo electrnico: se comprueba la presencia de cdigo malicioso tanto en los puertos como en los navegadores. NOTA: desde el lanzamiento de Windows Vista Service Pack 1 y Windows Server 2008, se utiliza un nuevo mtodo de filtrado de comunicaciones. Consecuentemente, la seccin Filtrado de protocolos ya no est disponible. 4.1.6.1 SSL ESET Mail Security le permite comprobar los protocolos encapsulados en el protocolo SSL. Puede utilizar varios modos de anlisis para las comunicaciones protegidas mediante el protocolo SSL: certificados de confianza, certificados desconocidos o certificados excluidos del anlisis de comunicaciones protegidas mediante el protocolo SSL. Analizar siempre el protocolo SSL: seleccione esta opcin para analizar todas las comunicaciones protegidas mediante el protocolo SSL, excepto las protegidas por certificados excluidos del anlisis. Si se establece una comunicacin nueva que utiliza un certificado firmado desconocido, no se le informar y la comunicacin se filtrar automticamente. Si accede a un servidor con un certificado que no sea de confianza pero que usted ha marcado como de confianza (se ha agregado a la lista de certificados de confianza), se permite la comunicacin con el servidor y se filtra el contenido del canal de comunicacin. Preguntar sobre sitios no visitados (se pueden hacer exclusiones): si introduce un sitio nuevo protegido mediante SSL (con un certificado desconocido), se muestra un cuadro de dilogo con las acciones posibles. Este modo le permite crear una lista de certificados SSL que se excluirn del anlisis. No analizar el protocolo SSL: si se selecciona esta opcin, el programa no analizar las comunicaciones a travs de SSL. 75 Si no es posible verificar el certificado con el archivo de autoridades certificadoras de confianza (Filtrado de protocolos > SSL > Certificados): Preguntar sobre la validez del certificado: le solicita que seleccione la accin que se debe realizar. Bloquear las comunicaciones que utilicen el certificado: finaliza la conexin con el sitio que utiliza el certificado. Si el certificado no es vlido o est daado (Filtrado de protocolos > SSL > Certificados): Preguntar sobre la validez del certificado: le solicita que seleccione la accin que se debe realizar. Bloquear las comunicaciones que utilicen el certificado: finaliza la conexin con el sitio que utiliza el certificado. 4.1.6.1.1 Certificados de confianza Adems del archivo de autoridades certificadoras de confianza integrado, donde ESET Mail Security almacena los certificados de confianza, puede crear una lista personalizada de certificados de confianza. Esta lista se puede ver en Configuracin avanzada (F5) > Filtrado del protocolo > SSL > Certificados > Certificados de confianza. 4.1.6.1.2 Certificados excluidos La seccin Certificados excluidos contiene certificados que se consideran seguros. No se buscarn amenazas en el contenido de las comunicaciones cifradas que utilicen los certificados de la lista. Se recomienda excluir nicamente los certificados web que tengan una garanta de seguridad y cuya comunicacin no sea necesario comprobar. 4.1.7 Configuracin de parmetros del motor ThreatSense ThreatSense es el nombre de una tecnologa formada por complejos mtodos de deteccin de amenazas. Esta tecnologa es proactiva, lo que significa que tambin proporciona proteccin durante la fase inicial de expansin de una nueva amenaza, y utiliza una combinacin de diferentes mtodos (anlisis de cdigo, emulacin de cdigo, firmas genricas y firmas de virus) que funcionan de forma conjunta para mejorar en gran medida la seguridad del sistema. El motor de anlisis es capaz de controlar varios flujos de datos de forma simultnea, de manera que maximiza la eficacia y la velocidad de deteccin. Adems, la tecnologa ThreatSense elimina los rootkits eficazmente. Las opciones de configuracin de la tecnologa ThreatSense permiten al usuario especificar distintos parmetros de anlisis: Los tipos de archivos y extensiones que se deben analizar. La combinacin de diferentes mtodos de deteccin. Los niveles de desinfeccin, etc. Para acceder a la ventana de configuracin, haga clic en el botn Configuracin ubicado en la ventana de configuracin de cualquier mdulo que utilice la tecnologa ThreatSense (ver ms abajo). Es posible que cada escenario de seguridad requiera una configuracin diferente. Con esto en mente, ThreatSense se puede configurar individualmente para los siguientes mdulos de proteccin: Proteccin del sistema de archivos en tiempo real Anlisis de archivos durante el inicio del sistema Proteccin del correo electrnico Proteccin del trfico de Internet Anlisis del ordenador a peticin Los parmetros de ThreatSense estn altamente optimizados para cada mdulo y su modificacin puede afectar al funcionamiento del sistema de forma significativa. Por ejemplo, la modificacin de los parmetros para que siempre ejecuten aplicaciones en tiempo real o la activacin de la heurstica avanzada en el mdulo de proteccin del sistema de archivos en tiempo real podran implicar la ralentizacin del sistema (normalmente, solo se analizan los archivos recin creados mediante estos mtodos). Por este motivo, se recomienda que no modifique los parmetros predeterminados de ThreatSense para ninguno de los mdulos, a excepcin de Anlisis del ordenador a peticin. 59 63 66 69 76 4.1.7.1 Configuracin de objetos En la seccin Objetos se pueden definir los componentes y archivos del ordenador que se analizarn en busca de amenazas. Memoria operativa: busca amenazas que ataquen a la memoria operativa del sistema. Sectores de inicio: analizar los sectores de inicio para detectar virus en el registro de inicio principal. Archivos: analiza todos los tipos de archivos comunes (programas, fotografas, audio, archivos de vdeo, archivos de base de datos, etc.). Archivos de correo: analiza archivos especiales que contengan mensajes de correo electrnico. Archivos comprimidos: analizar los archivos incluidos en archivos comprimidos (.rar, .zip, .arj, .tar, etc.). Archivos comprimidos de autoextraccin: analiza los archivos incluidos en archivos comprimidos de autoextraccin, normalmente los que tienen una extensin .exe. Empaquetadores en tiempo real: los empaquetadores en tiempo real (a diferencia de los archivos comprimidos estndar) se descomprimen en la memoria, adems de los empaquetadores estticos estndar (UPX, yoda, ASPack, FGS, etc.). NOTA: cuando se muestra un punto azul junto a un parmetro, significa que el ajuste actual de dicho parmetro es distinto al de otros mdulos que tambin utilizan ThreatSense. El mismo parmetro se puede configurar de forma diferente para cada mdulo, por lo que este punto azul simplemente le recuerda que un parmetro est configurado de forma diferente en otros mdulos. Si no hay ningn punto azul, significa que el parmetro tiene la misma configuracin en todos los mdulos. 4.1.7.2 Opciones En la seccin Opciones, se pueden seleccionar los mtodos utilizados durante el anlisis del sistema en busca de amenazas. Estn disponibles las opciones siguientes: Heurstica: la tecnologa heurstica hace referencia a un algoritmo que analiza la actividad (maliciosa) de los programas. Su principal ventaja es la habilidad para detectar nuevo software malicioso que no exista o que no estaba incluido en la lista de virus conocidos (base de firmas de virus). Heurstica avanzada: la tecnologa heurstica avanzada consiste en un algoritmo heurstico exclusivo desarrollado por ESET, y optimizado para detectar gusanos informticos y troyanos escritos en lenguajes de programacin de alto nivel. Gracias a la heurstica avanzada, la inteligencia de deteccin del programa es considerablemente superior. Aplicaciones potencialmente indeseables: las aplicaciones potencialmente indeseables no tienen por qu ser maliciosas, pero pueden afectar negativamente al rendimiento del ordenador. Estas aplicaciones suelen necesitar el 77 consentimiento del usuario para su instalacin. Si se encuentran en su ordenador, el sistema se comportar de manera diferente (en comparacin con el estado en el que se encontraba antes de la instalacin). Entre los cambios ms significativos se destacan las ventanas emergentes no deseadas, la activacin y ejecucin de procesos ocultos, el aumento del uso de los recursos del sistema, los cambios en los resultados de bsqueda y las aplicaciones que se comunican con servidores remotos. Aplicaciones potencialmente peligrosas: aplicaciones potencialmente peligrosas es la clasificacin utilizada para el software comercial legtimo e incluye programas como, por ejemplo, herramientas de acceso remoto, por eso esta opcin est desactivada de forma predeterminada. Archivo adjunto potencialmente peligroso La opcin de archivo adjunto potencialmente peligroso ofrece proteccin contra las amenazas maliciosas que suelen propagarse como archivos adjuntos de correo electrnico, como los troyanos ransomware. Un ejemplo de este tipo de amenaza puede ser un archivo ejecutable disfrazado de archivo de documento estndar (por ejemplo, PDF) que, cuando el usuario lo abre, permite la entrada de la amenaza en el sistema. Entonces, la amenaza intentar cumplir sus objetivos maliciosos. NOTA: cuando se muestra un punto azul junto a un parmetro, significa que el ajuste actual de dicho parmetro es distinto al de otros mdulos que tambin utilizan ThreatSense. El mismo parmetro se puede configurar de forma diferente para cada mdulo, por lo que este punto azul simplemente le recuerda que un parmetro est configurado de forma diferente en otros mdulos. Si no hay ningn punto azul, significa que el parmetro tiene la misma configuracin en todos los mdulos. 78 4.1.7.3 Desinfeccin Las opciones de desinfeccin determinan el comportamiento del anlisis durante la desinfeccin de archivos infectados. Hay 3 niveles de desinfeccin: Sin desinfectar: los archivos infectados no se desinfectan automticamente. El programa mostrar una ventana de alerta y permitir que el usuario seleccione una accin. Desinfeccin estndar: el programa intentar desinfectar o eliminar los archivos infectados de manera automtica. Si no es posible seleccionar la accin correcta de manera automtica, el programa ofrece una seleccin de acciones a seguir. La seleccin de acciones a seguir tambin aparecer si una accin predefinida no se puede completar. Desinfeccin exhaustiva: el programa desinfectar o eliminar todos los archivos infectados (incluidos los archivos comprimidos). Las nicas excepciones son los archivos del sistema. Si no es posible desinfectarlos, se ofrece al usuario la opcin de realizar una accin indicada en una ventana de alerta. Alerta: en el modo predeterminado, solo se elimina todo el archivo comprimido si todos los archivos que contiene estn infectados. Si el archivo comprimido tambin contiene archivos legtimos, no se eliminar. Si se detecta un archivo infectado en el modo de Desinfeccin exhaustiva, todo el archivo comprimido se eliminar, aunque se encuentren archivos en buen estado. NOTA: cuando se muestra un punto azul junto a un parmetro, significa que el ajuste actual de dicho parmetro es distinto al de otros mdulos que tambin utilizan ThreatSense. El mismo parmetro se puede configurar de forma diferente para cada mdulo, por lo que este punto azul simplemente le recuerda que un parmetro est configurado de forma diferente en otros mdulos. Si no hay ningn punto azul, significa que el parmetro tiene la misma configuracin en todos los mdulos. 79 4.1.7.4 Extensiones Una extensin es una parte del nombre de archivo delimitada por un punto que define el tipo y el contenido del archivo. En esta seccin de la configuracin de parmetros de ThreatSense, es posible definir los tipos de archivos que se desean analizar. De forma predeterminada, se analizan todos los archivos independientemente de su extensin. Se puede agregar cualquier extensin a la lista de archivos excluidos del anlisis. Si no est seleccionada la opcin Analizar todos los archivos, la lista cambia para mostrar todas las extensiones de archivo analizadas actualmente. Los botones Agregar y Quitar le permiten activar o prohibir el anlisis de las extensiones deseadas. Para activar el anlisis de archivos sin extensin, seleccione la opcin Analizar archivos sin extensin. A veces es necesario excluir archivos del anlisis si, por ejemplo, el anlisis de determinados tipos de archivo impide la correcta ejecucin del programa que utiliza las extensiones. Por ejemplo, quizs sea aconsejable excluir las extensiones .edb, .eml y .tmp cuando se utilizan servidores Microsoft Exchange. NOTA: cuando se muestra un punto azul junto a un parmetro, significa que el ajuste actual de dicho parmetro es distinto al de otros mdulos que tambin utilizan ThreatSense. El mismo parmetro se puede configurar de forma diferente para cada mdulo, por lo que este punto azul simplemente le recuerda que un parmetro est configurado de forma diferente en otros mdulos. Si no hay ningn punto azul, significa que el parmetro tiene la misma configuracin en todos los mdulos. 4.1.7.5 Lmites En la seccin Lmites se puede especificar el tamao mximo de los objetos y los niveles de archivos anidados que se analizarn: Tamao mximo del objeto: define el tamao mximo de los objetos que se van a analizar. El mdulo antivirus analizar solo los objetos que tengan un tamao menor que el especificado. No recomendamos cambiar el valor predeterminado, ya que normalmente no hay motivo para hacerlo. Esta opcin solo deben cambiarla usuarios avanzados que tengan motivos especficos para excluir del anlisis objetos de mayor tamao. Tiempo mximo de anlisis para el objeto (seg.): define el tiempo mximo asignado para analizar un objeto. Si se especifica un valor definido por el usuario, el mdulo antivirus detendr el anlisis de un objeto cuando se haya agotado el tiempo, independientemente de si el anlisis ha finalizado o no. Nivel de anidamiento de archivos: especifica la profundidad mxima del anlisis de archivos comprimidos. No recomendamos cambiar el valor predeterminado de 10; en circunstancias normales, no debera haber motivo para hacerlo. Si el anlisis finaliza antes de tiempo debido al nmero de archivos anidados, el archivo comprimido quedar sin analizar. Tamao mx. de archivo en el archivo comprimido: esta opcin le permite especificar el tamao mximo de los archivos incluidos en archivos comprimidos (al extraerlos) que se van a analizar. Si esto provoca la finalizacin antes 80 de tiempo del anlisis de un archivo comprimido, el archivo no se comprobar. NOTA: cuando se muestra un punto azul junto a un parmetro, significa que el ajuste actual de dicho parmetro es distinto al de otros mdulos que tambin utilizan ThreatSense. El mismo parmetro se puede configurar de forma diferente para cada mdulo, por lo que este punto azul simplemente le recuerda que un parmetro est configurado de forma diferente en otros mdulos. Si no hay ningn punto azul, significa que el parmetro tiene la misma configuracin en todos los mdulos. 4.1.7.6 Otros Analizar flujos de datos alternativos (ADS): los flujos de datos alternativos (ADS) utilizados por el sistema de archivos NTFS son asociaciones de carpetas y archivos que no se perciben con tcnicas de anlisis ordinarias. Muchas amenazas intentan evitar los sistemas de deteccin hacindose pasar por flujos de datos alternativos. Ejecutar anlisis en segundo plano y con baja prioridad: cada secuencia de anlisis consume una cierta cantidad de recursos del sistema. Si trabaja con programas que colocan una gran carga en los recursos del sistema, puede activar el anlisis en segundo plano con prioridad baja y ahorrar recursos para sus aplicaciones. Registrar todos los objetos: si se selecciona esta opcin, el archivo de registro mostrar todos los archivos analizados, incluso los que no estn infectados. Activar optimizacin inteligente: seleccione esta opcin para que no se vuelvan a analizar los archivos que ya se analizaron (a no ser que se hayan modificado). Los archivos se vuelven a analizar inmediatamente despus de cada actualizacin de la base de firmas de virus. Conservar hora del ltimo acceso: seleccione esta opcin para guardar la hora de acceso original de los archivos analizados en lugar de actualizarla (por ejemplo, para utilizar con sistemas de copia de seguridad de datos). Desplazar registro: esta opcin le permite activar o desactivar el desplazamiento del registro. Si la selecciona, la informacin se desplaza hacia arriba dentro de la ventana de visualizacin. Al finalizar el anlisis, mostrar una notificacin en una nueva ventana: abre una ventana independiente que contiene informacin sobre los resultados del anlisis. NOTA: cuando se muestra un punto azul junto a un parmetro, significa que el ajuste actual de dicho parmetro es distinto al de otros mdulos que tambin utilizan ThreatSense. El mismo parmetro se puede configurar de forma diferente para cada mdulo, por lo que este punto azul simplemente le recuerda que un parmetro est configurado de forma diferente en otros mdulos. Si no hay ningn punto azul, significa que el parmetro tiene la misma configuracin en todos los mdulos. 4.1.8 Deteccin de una amenaza Las amenazas pueden acceder al sistema desde varios puntos de entrada: pginas web, carpetas compartidas, correo electrnico o dispositivos informticos extrables (USB, discos externos, CD, DVD, disquetes, etc.). Si el ordenador muestra seales de infeccin por cdigo malicioso por ejemplo, se ralentiza, se bloquea con frecuencia, etc., le recomendamos que haga lo siguiente: Abra ESET Mail Security y haga clic en Anlisis del ordenador. Haga clic en Anlisis estndar (para obtener ms informacin, consulte la seccin Anlisis estndar ). Una vez que haya finalizado el anlisis, revise el registro para consultar el nmero de archivos analizados, infectados y desinfectados. Si solo desea analizar una parte especfica del disco, haga clic en Anlisis personalizado y seleccione los objetos que desea incluir en el anlisis de virus. A modo de ejemplo general de cmo se gestionan las amenazas en ESET Mail Security, suponga que el supervisor del sistema de archivos en tiempo real, que utiliza el nivel de desinfeccin predeterminado, detecta una amenaza. El supervisor intentar desinfectar o eliminar el archivo. Si no hay que realizar ninguna tarea predefinida para el mdulo de proteccin en tiempo real, se le pedir que seleccione una opcin en una ventana de alerta. Normalmente, estn disponibles las opciones Desinfectar, Eliminar y Sin acciones. No se recomienda seleccionar Sin acciones, ya que los archivos infectados quedaran intactos. La nica excepcin es cuando est seguro de que el archivo es inofensivo y se ha detectado por error. Desinfeccin y eliminacin: aplique esta opcin si un archivo ha sido infectado por un virus que le ha aadido cdigo malicioso. Si este es el caso, primero intente desinfectar el archivo infectado para restaurarlo a su estado 70 81 original. Si el archivo consta exclusivamente de cdigo malicioso, se eliminar. Si un proceso del sistema "bloquea" o est utilizando un archivo infectado, por lo general solo se eliminar cuando se haya publicado (normalmente, tras reiniciar el sistema). Eliminacin de amenazas en archivos comprimidos: en el modo de desinfeccin predeterminado, solo se eliminar todo el archivo comprimido si todos los archivos que contiene estn infectados. En otras palabras, los archivos comprimidos no se eliminan si tambin contienen archivos desinfectados inofensivos. Sin embargo, tenga cuidado cuando realice un anlisis con desinfeccin exhaustiva, ya que el archivo se eliminar si contiene al menos un archivo infectado, sin tener en cuenta el estado de los otros archivos. 4.2 Actualizacin del programa La actualizacin peridica de ESET Mail Security es la premisa bsica para obtener el mximo nivel de seguridad. El mdulo Actualizacin garantiza que el programa est siempre actualizado de dos maneras: actualizando la base de firmas de virus y los componentes del sistema. Haga clic en Actualizacin en el men principal para comprobar el estado de la actualizacin, as como la fecha y la hora de la ltima actualizacin, y si es necesario actualizar el programa. La ventana principal tambin indica la versin de la base de firmas de virus. Esta indicacin numrica es un enlace activo al sitio web de ESET, donde se muestran todas las firmas agregadas en la actualizacin correspondiente. Adems, estn disponibles la opcin de inicio manual del proceso de actualizacin (Actualizar la base de firmas de virus ahora) y las opciones bsicas de configuracin de actualizacin, como el nombre de usuario y la contrasea de acceso a los servidores de actualizacin de ESET. Utilice el enlace Activacin del producto para abrir un formulario de registro que active el producto de seguridad de ESET; entonces, recibir un mensaje de correo electrnico con los datos de autenticacin (nombre de usuario y contrasea). 82 NOTA: ESET le proporcionar el nombre de usuario y la contrasea una vez que haya adquirido ESET Mail Security. 4.2.1 Configuracin de actualizaciones En la seccin de configuracin de actualizaciones se especifica la informacin del origen de la actualizacin, como los servidores de actualizacin y sus datos de autenticacin. De forma predeterminada, el men desplegable Servidor de actualizacin est configurado en Seleccin automtica para garantizar que los archivos de actualizacin se descargarn del servidor ESET cuando la carga de la red sea menor. Las opciones de configuracin estn disponibles en el rbol de configuracin avanzada (tecla F5), en Actualizacin. Puede acceder a la lista de servidores de actualizacin disponibles desde el men desplegable Servidor de 83 actualizacin. Para agregar un nuevo servidor de actualizacin, haga clic en Modificar en la seccin Parmetros para el perfil seleccionado y, a continuacin, haga clic en el botn Agregar. La autenticacin de los servidores de actualizacin se basa en el nombre de usuario y la contrasea generados y enviados tras la compra. 4.2.1.1 Perfiles de actualizacin Se pueden crear perfiles de actualizacin para diferentes tareas y configuraciones de actualizacin. Estos perfiles son especialmente tiles para los usuarios mviles, ya que les permite crear un perfil alternativo para las propiedades de conexin a Internet que cambian peridicamente. El men desplegable Perfil seleccionado muestra el perfil seleccionado actualmente, definido en Mi perfil de forma predeterminada. Para crear un perfil nuevo, haga clic en el botn Perfiles y, a continuacin, en el botn Agregar; despus, introduzca su nombre de perfil. Cuando cree un perfil nuevo, en el men desplegable Copiar parmetros desde el perfil puede seleccionar un perfil existente para copiar su configuracin. En la ventana Configuracin de perfil, puede especificar el servidor de actualizacin de una lista de servidores disponibles o agregar un servidor nuevo. Puede acceder a la lista de servidores de actualizacin disponibles desde el men desplegable Servidor de actualizacin . Para agregar un nuevo servidor, haga clic en Modificar en la seccin Parmetros para el perfil seleccionado y, a continuacin, haga clic en el botn Agregar. 4.2.1.2 Configuracin avanzada de actualizaciones Para ver la configuracin avanzada de actualizaciones, haga clic en el botn Configuracin. Las opciones avanzadas de la configuracin de actualizaciones son Tipo de actualizacin, Servidor Proxy HTTP, LAN y Mirror. 4.2.1.2.1 Tipo de actualizacin La ficha Tipo de actualizacin contiene opciones relacionadas con la actualizacin de componentes del programa. En la seccin Actualizacin de componentes del programa hay tres opciones disponibles: Nunca actualizar los componentes del programa: no se descargarn las nuevas actualizaciones de componentes del programa. Actualizar siempre los componentes del programa: las nuevas actualizaciones de componentes del programa se aplican automticamente. Avisar antes de descargar los componentes del programa: esta es la opcin predeterminada. Se le solicitar que confirme o rechace las actualizaciones de componentes del programa cuando estn disponibles. 84 Tras una actualizacin de componentes del programa, es posible que deba reiniciar el ordenador para que los mdulos dispongan de todas las funciones. En la seccin Reiniciar despus de actualizar los componentes del programa puede seleccionar una de las opciones siguientes: Nunca reiniciar el ordenador Si es necesario, ofrecer reiniciar el ordenador Si es necesario, reiniciar el ordenador sin avisar La opcin predeterminada es Si es necesario, ofrecer reiniciar el ordenador. La seleccin de la opcin ms adecuada depende de la estacin de trabajo donde se vaya a aplicar la configuracin. Tenga en cuenta que existen ciertas diferencias entre estaciones de trabajo y servidores, por ejemplo, el reinicio automtico del servidor tras una actualizacin del programa podra causar daos graves. 85 4.2.1.2.2 Servidor Proxy En ESET Mail Security, el servidor Proxy se puede configurar en dos secciones diferentes del rbol de configuracin avanzada. La configuracin del servidor Proxy se puede establecer en Varios > Servidor proxy. Al especificar el servidor Proxy en este nivel, se define la configuracin global del servidor Proxy para ESET Mail Security. Todos los mdulos que requieran conexin a Internet utilizarn estos parmetros. Para especificar la configuracin del servidor Proxy en este nivel, seleccione la casilla de verificacin Conexin mediante servidor Proxy y, a continuacin, introduzca la direccin del servidor Proxy en el campo Servidor Proxy, as como el nmero de puerto del servidor Proxy. Si la comunicacin con el servidor Proxy requiere autenticacin, seleccione la casilla de verificacin El servidor Proxy requiere autenticacin e introduzca un nombre de usuario y una contrasea vlidos en los campos correspondientes. Haga clic en el botn Detectar servidor Proxy para detectar y especificar la configuracin del servidor Proxy de forma automtica. Se copiarn los parmetros especificados en Internet Explorer. NOTA: esta caracterstica no recupera los datos de autenticacin (nombre de usuario y contrasea), de modo que el usuario debe proporcionarlos. La configuracin del servidor Proxy tambin se puede establecer en Configuracin avanzada de actualizaciones. Este ajuste se aplica al perfil de actualizacin especificado. Las opciones de configuracin del servidor Proxy de un perfil de actualizacin determinado estn disponibles en la ficha Proxy HTTP de Configuracin avanzada de actualizaciones. Tiene estas tres opciones: Utilizar la configuracin predeterminada No usar servidor Proxy Conexin a travs de un servidor Proxy especfico (conexin definida por las propiedades de conexin) Si selecciona la opcin Utilizar la configuracin predeterminada, se utilizarn las opciones de configuracin del servidor Proxy ya especificadas en la seccin Varios > Servidor Proxy del rbol de configuracin avanzada (tal como se describe en la parte superior de este artculo). 86 Seleccione la opcin No usar servidor Proxy para especificar que no se utilice ningn servidor Proxy para actualizar ESET Mail Security. Seleccione la opcin Conexin a travs de un servidor Proxy especfico si desea actualizar ESET Mail Security con un servidor Proxy diferente al especificado en la configuracin global (Varios > Servidor proxy). En este caso, ser necesario especificar la configuracin aqu: Direccin del servidor Proxy, Puerto de comunicacin y Nombre de usuario y Contrasea para el servidor Proxy, si es necesario. Esta opcin tambin se debe seleccionar si la configuracin del servidor Proxy no se ha establecido globalmente, pero ESET Mail Security se conectar a un servidor Proxy para buscar actualizaciones. La configuracin predeterminada del servidor Proxy es Utilizar la configuracin predeterminada. 87 4.2.1.2.3 Conexin a la red local Para realizar una actualizacin desde un servidor local en el que se ejecute un sistema operativo basado en NT, es necesario autenticar todas las conexiones de red de forma predeterminada. En la mayora de los casos, las cuentas de sistema local no disponen de los derechos suficientes para la carpeta Mirror (que contiene copias de archivos de actualizacin). En este caso, escriba su nombre de usuario y contrasea en la seccin de configuracin de actualizaciones o especifique una cuenta con la que el programa pueda acceder al servidor de actualizacin (Mirror). Para configurar este tipo de cuenta, haga clic en la ficha Red local. La seccin Conectarse a la red local como ofrece las opciones Cuenta de sistema (predeterminada), Usuario actual y Especificar usuario. Seleccione la opcin Cuenta de sistema (predeterminada) para utilizar la cuenta de sistema para la autenticacin. Normalmente, no se realiza ningn proceso de autenticacin si no se proporcionan datos en la seccin de configuracin de actualizaciones. Para garantizar que el programa se autentique con la cuenta de un usuario registrado actualmente, seleccione Usuario actual. El inconveniente de esta solucin es que el programa no se puede conectar al servidor de actualizaciones si no hay ningn usuario registrado. Seleccione Especificar usuario si desea que el programa utilice una cuenta de usuario especfica para la autenticacin. Alerta: cuando se activa la opcin Usuario actual o Especificar usuario, puede producirse un error al cambiar la identidad del programa para el usuario deseado. Por este motivo, se recomienda que inserte los datos de autenticacin de la red local en la seccin principal de configuracin de actualizaciones, donde los datos de autenticacin se deben introducir de la forma siguiente: nombre_dominio\usuario (si es un grupo de trabajo, escriba nombre_grupo de trabajo\nombre) y la contrasea. Cuando se actualiza desde la versin HTTP del servidor local, no es necesaria ninguna autenticacin. 88 4.2.1.2.4 Creacin de copias de actualizacin: Mirror ESET Mail Security le permite crear copias de los archivos de actualizacin, que puede utilizar para actualizar otras estaciones de trabajo disponibles en la red. La actualizacin de estaciones de trabajo cliente desde un servidor Mirror optimiza el equilibrio de carga de la red y ahorra ancho de banda de la conexin a Internet. Las opciones de configuracin del servidor Mirror local estn disponibles (despus de agregar una clave de licencia vlida en el administrador de licencias, que se encuentra en la seccin Configuracin avanzada de ESET Mail Security) en la seccin Configuracin avanzada de actualizaciones . Para acceder a esta seccin, pulse F5 y haga clic en Actualizacin en el rbol de configuracin avanzada; a continuacin, haga clic en el botn Configuracin situado junto a Configuracin avanzada de actualizaciones y seleccione la ficha Mirror). El primer paso para configurar el Mirror es seleccionar la opcin Crear copias de las actualizaciones. Al activar dicha opcin, se activan otras opciones de configuracin del Mirror, como la forma de acceder a los archivos actualizados y la ruta de actualizacin de los archivos replicados. Los mtodos de activacin del Mirror se describen detalladamente en la seccin Actualizacin desde el servidor Mirror . Recuerde que existen dos mtodos bsicos para configurar el servidor Mirror: la carpeta que contiene los archivos de actualizacin se puede presentar como una carpeta de red compartida o como un servidor HTTP. La carpeta destinada a almacenar los archivos de actualizacin para el Mirror se define en la seccin Carpeta para almacenar archivos replicados. Haga clic en Carpeta para buscar una carpeta en el ordenador local o en la carpeta de red compartida. Si es necesaria una autorizacin para la carpeta especificada, deber proporcionar los datos de autenticacin en los campos Nombre de usuario y Contrasea. El nombre de usuario y la contrasea deben introducirse con el formato Dominio/ Usuario o Grupo de trabajo/Usuario. No olvide que debe introducir las contraseas correspondientes. Cuando configure el Mirror, el usuario tambin puede establecer las versiones de idioma en las que desee descargar las copias de actualizacin. La configuracin de la versin de idioma se encuentra en la seccin Archivos > Versiones disponibles. NOTA: la base de datos Antispam no se puede actualizar desde el servidor Mirror. Para obtener ms informacin sobre cmo permitir la actualizacin de la base de datos Antispam, haga clic aqu . 89 37 89 4.2.1.2.4.1 Actualizacin desde el servidor Mirror Existen dos mtodos bsicos para configurar el servidor Mirror: la carpeta que contiene los archivos de actualizacin se puede presentar como una carpeta de red compartida o como un servidor HTTP. Acceso al servidor Mirror mediante un servidor HTTP interno Esta es la configuracin predeterminada, especificada en la configuracin predefinida del programa. Para permitir el acceso al Mirror mediante el servidor HTTP, vaya a Configuracin avanzada de actualizaciones (ficha Mirror) y seleccione la opcin Crear mirror de actualizacin. En la seccin Configuracin avanzada de la ficha Mirror puede especificar el puerto del servidor donde el servidor HTTP estar a la escucha, as como el tipo de autenticacin que debe utilizar dicho servidor. El valor predeterminado del puerto del servidor es 2221. La opcin Autenticacin define el mtodo de autenticacin utilizado para acceder a los archivos de actualizacin. Estn disponibles las opciones siguientes: NINGUNA, Bsica y NTLM. Seleccione la opcin Bsica para utilizar la codificacin base64 con la autenticacin bsica de nombre de usuario y contrasea. La opcin NTLM proporciona la codificacin a travs de un mtodo seguro. Para la autenticacin, se utilizar el usuario creado en la estacin de trabajo que comparte los archivos actualizados. La configuracin predeterminada es NINGUNA y concede acceso a los archivos de actualizacin sin necesidad de autenticacin. Alerta: Si desea permitir el acceso a los archivos de actualizacin a travs del servidor HTTP, la carpeta Mirror debe encontrarse en el mismo ordenador que la instancia de ESET Mail Security que vaya a crearla. Cuando la configuracin del servidor Mirror est completa, vaya a las estaciones de trabajo y agregue un servidor de actualizacin nuevo con el formato http://direccin IP de_su_servidor:2221. Para hacerlo, siga estos pasos: Abra la Configuracin avanzada de ESET Mail Security y haga clic en la seccin Actualizacin. Haga clic en Modificar, a la derecha del men desplegable Servidor de actualizacin, y agregue un servidor nuevo con el formato siguiente: http://IP_direccin_de_su_servidor:2221. Seleccione el servidor que acaba de agregar de la lista de servidores de actualizacin. Acceso al servidor Mirror mediante el uso compartido del sistema En primer lugar, es necesario crear una carpeta compartida en un dispositivo local o de red. A la hora de crear la carpeta para el servidor Mirror, es necesario proporcionar acceso de "escritura" al usuario que va a guardar los archivos en la carpeta y acceso de "lectura" para todos los usuarios que van a actualizar ESET Mail Security desde la carpeta Mirror. A continuacin, configure el acceso al servidor Mirror en la seccin Configuracin avanzada de actualizaciones 90 (ficha Mirror) y desactive la opcin Proporcionar archivos actualizados mediante un servidor HTTP interno. Esta opcin se activa, de forma predeterminada, en el paquete de instalacin del programa. Si la carpeta compartida se encuentra en otro ordenador de la red, debe especificar los datos de autenticacin para acceder al otro ordenador. Para especificar los datos de autenticacin, abra la Configuracin avanzada de ESET Mail Security (F5) y haga clic en la seccin Actualizacin. Haga clic en el botn Configuracin y, a continuacin, en la ficha LAN. Esta configuracin es la misma que se aplica a las actualizaciones, tal como se describe en la seccin Conexin a la red local . Cuando haya terminado de configurar el servidor Mirror, contine con las estaciones de trabajo y establezca \ \UNC\RUTA como servidor de actualizacin. Esta operacin se puede completar con los pasos siguientes: Abra la Configuracin avanzada de ESET Mail Security y haga clic en Actualizacin. Haga clic en Modificar junto al servidor de actualizacin y agregue un nuevo servidor con el formato \\UNC\RUTA. Seleccione el servidor que acaba de agregar en la lista de servidores de actualizacin. NOTA: para un correcto funcionamiento, es necesario especificar la ruta a la carpeta Mirror como una ruta UNC. Es posible que las actualizaciones de las unidades asignadas no funcionen. 4.2.1.2.4.2 Resolucin de problemas de actualizacin del Mirror En la mayora de los casos, los problemas durante la actualizacin desde un servidor Mirror se deben a una de estas causas: la especificacin incorrecta de las opciones de la carpeta Mirror, la introduccin de datos de autenticacin no vlidos para la carpeta Mirror, la configuracin incorrecta de las estaciones de trabajo que intentan descargar archivos de actualizacin del Mirror o una combinacin de los casos anteriores. A continuacin, se ofrece informacin general acerca de los problemas ms frecuentes durante la actualizacin desde el Mirror: ESET Mail Security notifica un error al conectarse al servidor Mirror: probablemente se deba a una especificacin incorrecta del servidor de actualizacin (ruta de acceso de red a la carpeta Mirror) del que se descargan las actualizaciones las estaciones de trabajo locales. Para verificar la carpeta, haga clic en el men Inicio de Windows y en Ejecutar, especifique el nombre de la carpeta y haga clic en Aceptar. A continuacin, debe mostrarse el contenido de la carpeta. ESET Mail Security requiere un nombre de usuario y una contrasea: probablemente se deba a la presencia de datos de autenticacin incorrectos (nombre de usuario y contrasea) en la seccin de actualizacin. El nombre de usuario y la contrasea se utilizan para conceder acceso al servidor de actualizacin desde el que se actualiza el programa. Asegrese de que los datos de autenticacin son correctos y se introducen en el formato adecuado. Por ejemplo, Dominio/Nombre de usuario o Grupo de trabajo/Nombre de usuario, ms las contraseas correspondientes. Si "Todos" pueden acceder al servidor Mirror, debe ser consciente de que esto no quiere decir que cualquier usuario tenga acceso. "Todos" no hace referencia a cualquier usuario no autorizado, tan solo significa que todos los usuarios del dominio pueden acceder a la carpeta. Como resultado, si "Todos" pueden acceder a la carpeta, ser igualmente necesario introducir un nombre de usuario y una contrasea en la seccin de configuracin de actualizaciones. ESET Mail Security notifica un error al conectarse al servidor Mirror: la comunicacin del puerto definido para el acceso a la versin HTTP del Mirror est bloqueada. 4.2.2 Cmo crear tareas de actualizacin Las actualizaciones se pueden activar manualmente haciendo clic en Actualizar la base de firmas de virus ahora, en la ventana principal que se muestra al hacer clic en la opcin Actualizacin del men principal. Las actualizaciones tambin se pueden ejecutar como tareas programadas. Para configurar una tarea programada, haga clic en Herramientas > Planificador de tareas. Las siguientes tareas estn activadas de forma predeterminada en ESET Mail Security: Actualizacin automtica de rutina Actualizacin automtica al detectar la conexin por mdem Actualizacin automtica despus del registro del usuario Todas las tareas de actualizacin se pueden modificar en funcin de sus necesidades. Adems de las tareas de actualizacin predeterminadas, se pueden crear nuevas tareas de actualizacin con una configuracin definida por el usuario. Para obtener ms informacin acerca de la creacin y la configuracin de tareas de actualizacin, consulte la seccin Planificador de tareas . 87 91 91 4.3 Planificador de tareas El Planificador de tareas est disponible si ESET Mail Security tiene activado el modo avanzado. El Planificador de tareas se puede encontrar en el men principal de ESET Mail Security, en Herramientas, y contiene una lista de todas las tareas programadas y sus propiedades de configuracin, como la fecha, la hora y el perfil de anlisis predefinidos utilizados. De forma predeterminada, en el Planificador de tareas se muestran las siguientes tareas programadas: Actualizacin automtica de rutina Actualizacin automtica al detectar la conexin por mdem Actualizacin automtica despus del registro del usuario Verificacin de la ejecucin de archivos en el inicio (tras el registro del usuario) Verificacin de la ejecucin de archivos en el inicio (tras la correcta actualizacin de la base de firmas de virus) Para modificar la configuracin de una tarea programada existente (tanto predeterminada como definida por el usuario), haga clic con el botn derecho en la tarea y, a continuacin, haga clic en Modificar; o seleccione la tarea que desea modificar y haga clic en el botn Modificar. 4.3.1 Finalidad de las tareas programadas El planificador de tareas administra e inicia las tareas programadas con la configuracin y las propiedades predefinidas. La configuracin y las propiedades contienen informacin como la fecha y la hora, as como los perfiles especificados que se van a utilizar durante la ejecucin de la tarea. 92 4.3.2 Creacin de tareas nuevas Para crear una tarea nueva en el Planificador de tareas, haga clic en el botn Agregar o haga clic con el botn derecho y seleccione Agregar en el men contextual. Estn disponibles cinco tipos de tareas programadas: Ejecutar aplicacin externa Anlisis de archivos durante el inicio del sistema Crear un informe del estado del sistema Anlisis del ordenador a peticin Actualizacin La actualizacin es una de las tareas programadas ms frecuentes, por lo que explicaremos cmo se agrega una nueva tarea de actualizacin. En el men desplegable Tarea programada, seleccione Actualizacin. Haga clic en Siguiente para introducir el nombre de la tarea en el campo Nombre de la tarea . Seleccione la frecuencia de la tarea Estn disponibles las opciones siguientes: Una vez, Reiteradamente, Diariamente, Semanalmente y Cuando se cumpla la condicin. Segn la frecuencia seleccionada, se le solicitarn diferentes parmetros de actualizacin. A continuacin, defina la accin que debe llevarse a cabo si la tarea no se puede realizar o completar a la hora programada. Estn disponibles las tres opciones siguientes: Esperar a la prxima hora programada Ejecutar la tarea tan pronto como sea posible Ejecutar la tarea inmediatamente si el tiempo transcurrido desde la ltima ejecucin supera el intervalo especificado (el intervalo se puede definir en el cuadro Intervalo de la tarea). En el paso siguiente, se muestra una ventana de resumen con informacin sobre la tarea programada actual; la opcin Ejecutar tarea con parmetros especficos debera activarse automticamente. Haga clic en el botn Finalizar. Aparecer un cuadro de dilogo que permite al usuario elegir los perfiles que desea utilizar para la tarea programada. En este paso, el usuario puede especificar un perfil principal y otro alternativo, que se utilizar si la tarea no se puede completar con el perfil principal. Para confirmar, haga clic en Aceptar en la ventana Perfiles de actualizacin. La nueva tarea se agregar a la lista de tareas programadas actualmente. 93 4.4 Cuarentena La tarea fundamental de la cuarentena es almacenar de forma segura los archivos infectados. Los archivos deben ponerse en cuarentena si no es posible desinfectarlos, si no es seguro ni aconsejable eliminarlos o si ESET Mail Security los detecta incorrectamente como infectados. Es posible poner en cuarentena cualquier archivo. La cuarentena se recomienda cuando el comportamiento de un archivo es sospechoso y el anlisis no lo ha detectado. Los archivos en cuarentena se pueden enviar para su anlisis a los laboratorios de ESET. Los archivos almacenados en la carpeta de cuarentena se pueden ver en una tabla que muestra la fecha y la hora en que se pusieron en cuarentena, la ruta a la ubicacin original del archivo infectado, su tamao en bytes, el motivo ( agregado por el usuario) y el nmero de amenazas (por ejemplo, si se trata de un archivo que contiene varias amenazas). 4.4.1 Copiar archivos en cuarentena ESET Mail Security pone los archivos eliminados en cuarentena automticamente (si no ha cancelado esta opcin en la ventana de alerta). Si lo desea, puede poner en cuarentena cualquier archivo sospechoso de forma manual; para ello, haga clic en el botn Poner en cuarentena. En este caso, el archivo original no se elimina de su ubicacin original. El men contextual tambin se puede utilizar con este fin: haga clic con el botn derecho en la ventana Cuarentena y seleccione Agregar. 4.4.2 Restauracin de archivos de cuarentena Los archivos puestos en cuarentena se pueden restaurar a su ubicacin original. Utilice la caracterstica Restaurar para restaurar dichos archivos. Restaurar est disponible en el men contextual que se abre al hacer clic con el botn derecho del ratn en la ventana Cuarentena. El men contextual tambin ofrece la opcin Restaurar a, que le permite restaurar un archivo en una ubicacin distinta a la original. NOTA: si el programa ha puesto en cuarentena un archivo no daino por error, exclyalo del anlisis despus de restaurarlo y enviarlo al servicio de atencin al cliente de ESET. 94 4.4.3 Envo de un archivo a cuarentena Si ha puesto en cuarentena un archivo sospechoso que el programa no ha detectado o si un archivo se ha evaluado incorrectamente como infectado (por ejemplo, por el anlisis heurstico del cdigo) y, consecuentemente, este se ha puesto en cuarentena, enve el archivo al laboratorio de ESET. Para enviar un archivo de cuarentena, haga clic con el botn derecho del ratn en el archivo y seleccione Enviar para su anlisis en el men contextual. 95 4.5 Archivos de registro Los registros almacenan informacin sobre sucesos importantes: amenazas detectadas, registros de los anlisis a peticin y residentes e informacin del sistema. Los registros de proteccin antispam y de listas grises (situados debajo de otros registros en Herramientas > Archivos de registro) contienen informacin detallada sobre los mensajes que se analizaron y las acciones realizadas en dichos mensajes. Los registros pueden ser muy tiles cuando se buscan mensajes de correo electrnico no entregados, para averiguar por qu un mensaje se marc como spam, etc. Antispam Todos los mensajes que ESET Mail Security clasifique como spam o posible spam se registran aqu. 96 Descripcin de las columnas: Fecha y hora: fecha y hora de la entrada en el registro de antispam. Remitente: direccin del remitente. Destinatario: direccin del destinatario. Asunto: asunto del mensaje. Nivel: nivel de spam asignado al mensaje (de 0 a 100). Detalle: es el indicador que provoc la clasificacin como spam del mensaje. Se muestra el indicador ms fuerte. Si desea ver otros indicadores, haga doble clic en la entrada. Se abrir la ventana Detalle con los dems indicadores organizados en orden descendente segn su fuerza. La URL es conocida como emisora de spam Las direcciones URL de los mensajes son, a menudo, una indicacin de spam. Formato HTML (fuentes, colores, etc.) El formato de los elementos de la parte HTML del mensaje muestra signos caractersticos del spam (tipo y tamao de fuente, color, etc.). Consejos sobre spam: Ofuscacin Las palabras tpicas del corre no deseado suelen enmascararse con otros caracteres. Un ejemplo tpico es la palabra "Viagra", que a menudo se escribe como "V1agra" para burlar la deteccin de antispam. Spam con tipo de imagen HTML Es frecuente que los mensajes no deseados se enven como imgenes para evitar la aplicacin de mtodos de deteccin de spam. Por lo general, estas imgenes contienen enlaces interactivos a pginas web. Dominio de servicio de alojamiento con formato de URL La direccin URL contiene el dominio de servicio de alojamiento. Palabra clave propia del spam El mensaje contiene palabras tpicas del correo no deseado. Incoherencia en el encabezado del correo electrnico La informacin del encabezado se modifica para que el origen no coincida con el remitente original. Virus El mensaje contiene un archivo adjunto sospechoso. Phish El mensaje contiene texto tpico de los mensajes de phishing. Rplica El mensaje contiene texto tpico de una categora de spam que se dedica a ofrecer imitaciones. Indicador de spam general El mensaje contiene palabras o caracteres tpicos del spam, como "Querido amigo", "hola, ganador", "!!!", etc. Indicador de correo basura Este indicador tiene la funcin opuesta a los dems indicadores de la lista: analiza los elementos caractersticos del correo solicitado normal. Baja el nivel general de spam. Indicador de spam no especfico El mensaje contiene otros elementos de spam, como la codificacin base64. Frases de spam personalizadas Otras frases de spam tpicas. La URL est en la lista negra La direccin URL del mensaje est en una lista negra. La IP %s est en la lista negra en tiempo real La direccin IP ... est en una lista negra en tiempo real (RBL). La URL %s est en la lista negra basada en DNS La direccin URL ... est en una lista negra basada en DNS (DNSBL). La URL %s est en la lista negra en tiempo real o el servidor no est autorizado para enviar correo La direccin URL ... est en una lista negra en tiempo real, o el servidor no tiene los privilegios necesarios para enviar mensajes de correo electrnico. Las direcciones que formaban parte de la ruta del correo electrnico se cotejan con la lista RBL. Se comprueban los derechos de 97 conexin a servidores de correo pblicos de la ltima direccin. Si no es posible detectar derechos de conexin vlidos, significa que la direccin est en la lista LBL. Los mensajes marcados como spam a causa de un indicador LBL muestran el texto siguiente en el campo Detalle: "el servidor no est autorizado para enviar correo". Accin: accin realizada en el mensaje. Posibles acciones: Retenido No se ha realizado ninguna accin en el mensaje. En cuarentena El mensaje se ha movido a la carpeta de cuarentena. Desinfectado y en cuarentenaEl virus se ha eliminado del mensaje, que se ha puesto en cuarentena. Rechazado Se ha denegado el mensaje y se ha enviado una respuesta SMTP de rechazo al remitente. Eliminado El mensaje se ha eliminado con el mtodo de colocacin silenciosa . Recibido: fecha y hora en que el servidor recibi el mensaje. NOTA: si los mensajes se reciben a travs de un servidor de correo electrnico, los datos indicados en los campos Fecha y hora y Recibido son prcticamente iguales. Creacin de listas grises Todos los mensajes evaluados con el mtodo de listas grises se incluyen en este registro. Descripcin de las columnas: Fecha y hora: fecha y hora de la entrada en el registro de antispam. Dominio HELO: nombre de dominio que utiliza el servidor de envo para identificarse ante el servidor receptor. Direccin IP: direccin IP del remitente. Remitente: direccin del remitente. Destinatario: direccin del destinatario. Accin: puede contener los estados siguientes: Rechazado El mensaje entrante se rechaz con el precepto bsico de la lista gris (primer intento de entrega). Rechazado (sin comprobar) El servidor de envo entreg el mensaje entrante de nuevo, pero an no ha transcurrido el lmite de tiempo para denegar la conexin (Lmite de tiempo para 19 19 98 el bloqueo de la conexin inicial). Comprobado El servidor de envo entreg el mensaje entrante varias veces, ha transcurrido el Lmite de tiempo para el bloqueo de la conexin inicial y el mensaje se ha comprobado y entregado correctamente. Consulte tambin la seccin Agente de transporte . Tiempo restante: tiempo que falta para alcanzar el Lmite de tiempo para el bloqueo de la conexin inicial. Amenazas detectadas El registro de amenazas ofrece informacin detallada sobre las amenazas detectadas por los mdulos de ESET Mail Security. La informacin incluye el momento de la deteccin, el tipo de anlisis, el tipo de objeto, el nombre del objeto, el nombre de la amenaza, la ubicacin, la accin ejecutada y el nombre del usuario registrado en el momento en que se detect la amenaza. Para copiar o borrar una o ms lneas del registro (o para borrar el registro completo), utilice el men contextual (clic con el botn derecho en el elemento). Sucesos El registro de sucesos contiene informacin sobre sucesos y errores que se produjeron en el programa. Con frecuencia, la informacin aqu disponible puede ayudarle a encontrar una solucin para un problema del programa. Anlisis del ordenador a peticin El registro de anlisis guarda informacin sobre los resultados de anlisis manuales o planeados. Cada lnea se corresponde con un control informtico individual. Incluye la siguiente informacin: fecha y hora del anlisis, nmero total de archivos analizados, infectados y desinfectados, y estado actual del anlisis. En Registros de anlisis a peticin, haga doble clic en la entrada del registro para mostrar su contenido detallado en una ventana independiente. Utilice el men contextual (clic con el botn derecho) para copiar una o ms entradas marcadas (en todos los tipos de registros). 4.5.1 Filtrado de registros El filtrado de registros es una caracterstica til para encontrar registros en los archivos de registro, sobre todo cuando hay muchos registros y resulta complicado encontrar informacin especfica. El filtrado le permite escribir una cadena de caracteres con lo que desea filtrar, especificar las columnas que desea consultar, seleccionar los tipos de registro y definir un perodo de tiempo para reducir el nmero de registros. Al especificar determinadas opciones de filtro, en la ventana Archivos de registro solo se muestran los registros pertinentes (segn estas opciones de filtro), de modo que el acceso es ms rpido y sencillo. Para abrir la ventana Filtrado de registros, pulse el botn Filtrar en Herramientas > Archivos de registro o utilice las teclas de acceso directo Ctrl + Shift + F. NOTA: para buscar un registro determinado, tambin puede utilizar la funcionalidad Buscar en el registro , o combinarla con Filtrado de registros. 38 100 99 Al especificar determinadas opciones de filtro, en la ventana Archivos de registro solo se muestran los registros pertinentes (segn estas opciones de filtro). Esta funcin delimita la bsqueda de registros y, por lo tanto, le permite encontrar lo que busca con mayor facilidad. Cuanto ms especficas sean las opciones de filtro, ms concretos sern los resultados. Qu: escriba lo que desea buscar en una cadena de caracteres (palabra completa o parcial). Solo se mostrarn los registros que contengan dicha cadena. Los dems registros no se mostrarn, para as facilitar la lectura. Buscar en columnas: seleccione las columnas que se tendrn en cuenta en el filtrado. Puede seleccionar las columnas que desee para el filtrado. De forma predeterminada, estn seleccionadas todas las columnas: Tiempo Mdulo Suceso Usuario Tipos de registro: le permite seleccionar el tipo de registros que desea ver. Puede seleccionar un tipo de registro determinado, varios tipos de registro al mismo tiempo o todos los registros (opcin predeterminada): Diagnstico Informacin Alerta Error Grave Perodo de tiempo: utilice esta opcin para filtrar los registros por perodo de tiempo. Puede elegir una de estas opciones: Registro completo (predeterminada): no filtra por perodo de tiempo, muestra todo el registro. ltimo da ltima semana ltimo mes Intervalo: esta opcin le permite especificar el perodo de tiempo exacto (fecha y hora) para que se muestren nicamente los registros realizados en un perodo de tiempo determinado. Adems de las opciones de filtrado anteriores, estn disponibles las siguientes opciones: Solo palabras completas: muestra nicamente los registros que coinciden totalmente con la cadena especificada en el cuadro de texto Qu. Distinguir maysculas y minsculas: muestra nicamente los registros que coinciden con la cadena especificada en el cuadro de texto Qu y utilizan las mismas maysculas y minsculas. Activar filtrado inteligente: utilice esta opcin para permitir que ESET Mail Security utilice sus propios mtodos de filtrado. Cuando haya terminado de configurar las opciones de filtrado, pulse el botn Aceptar para aplicar el filtro. En la 100 ventana Archivos de registro se muestran nicamente los registros pertinentes segn las opciones de filtro. 4.5.2 Buscar en el registro La opcin Filtrado de registros se puede combinar con la funcin de bsqueda en archivos de registro, aunque esta ltima tambin se puede utilizar por separado. Esta funcin es til cuando se buscan registros especficos. Al igual que el filtrado de registros, esta funcin de bsqueda le ayuda a encontrar la informacin que busca y es especialmente til cuando hay demasiados registros. La opcin Buscar en el registro le permite escribir una cadena de caracteres con lo que desea filtrar, especificar las columnas que desea consultar, seleccionar los tipos de registro y definir un perodo de tiempo para buscar nicamente los registros realizados en dicho perodo de tiempo. Al especificar determinadas opciones de bsqueda, en la ventana Archivos de registro solo se buscan los registros pertinentes (segn estas opciones de bsqueda). Para realizar bsquedas en los registros, pulse las teclas Ctrl + F para abrir la ventana Buscar en el registro. NOTA: la caracterstica Buscar en el registro se puede combinar con Filtrado de registros . Puede empezar delimitando el nmero de registros con Filtrado de registros para, a continuacin, realizar la bsqueda nicamente en los registros filtrados. Qu: escriba lo que desea buscar en una cadena de caracteres (palabra completa o parcial). Solo se buscarn los registros que contengan dicha cadena; los dems se omitirn. Buscar en columnas: seleccione las columnas que se tendrn en cuenta en la bsqueda. Puede seleccionar las columnas que desee para la bsqueda. De forma predeterminada, estn seleccionadas todas las columnas: Tiempo Mdulo Suceso Usuario Tipos de registro: le permite seleccionar el tipo de registros que desea buscar. Puede seleccionar un tipo de registro determinado, varios tipos de registro al mismo tiempo o todos los registros (opcin predeterminada): Diagnstico Informacin Alerta Error Grave 98 98 101 Perodo de tiempo: utilice esta opcin para buscar nicamente los registros de un perodo de tiempo especfico. Puede elegir una de estas opciones: Registro completo (predeterminada): no busca en un perodo de tiempo determinado, sino en todo el registro. ltimo da ltima semana ltimo mes Intervalo: esta opcin le permite especificar el perodo de tiempo exacto (fecha y hora) para que se busquen nicamente los registros realizados en un perodo de tiempo determinado. Adems de las opciones de bsqueda anteriores, estn disponibles las siguientes opciones: Solo palabras completas: busca nicamente los registros que coinciden totalmente con la cadena especificada en el cuadro de texto Qu. Distinguir maysculas y minsculas: busca nicamente los registros que coinciden con la cadena especificada en el cuadro de texto Qu y utilizan las mismas maysculas y minsculas. Buscar hacia arriba: busca de la posicin actual hacia arriba. Una vez que haya configurado las opciones de bsqueda, haga clic en el botn Buscar para iniciar la bsqueda. La bsqueda se detiene cuando se encuentra el primer registro coincidente. Vuelva a hacer clic en el botn Buscar para seguir buscando. La bsqueda en los archivos de registro se realiza de arriba abajo, a partir de la posicin actual (registro resaltado). 4.5.3 Mantenimiento de registros La configuracin de registros de ESET Mail Security est disponible en la ventana principal del programa. Haga clic en Configuracin > Muestra las opciones avanzadas de configuracin > Herramientas > Archivos de registro. Puede especificar las siguientes opciones para los archivos de registro: Eliminar registros automticamente: las entradas de registro anteriores al nmero de das especificado se eliminan de forma automtica. Optimizar los archivos de registro automticamente: activa la desfragmentacin automtica de los archivos de registro si se supera el porcentaje especificado de registros sin utilizar. Nivel mnimo de detalle al registrar: especifica el nivel de detalle del registro. Opciones disponibles: - Registros de diagnstico: registra la informacin necesaria para ajustar el programa y todos los registros anteriores. - Registros informativos: registra los mensajes informativos, incluidos los mensajes de las actualizaciones realizadas con xito y todos los registros anteriores. - Alertas: registra errores graves y mensajes de alerta. - Errores: solo registra los mensajes "Error al descargar el archivo" y los errores graves. - Alertas crticas: solo registra los errores graves (errores al iniciar la proteccin antivirus, etc.). 102 4.6 ESET SysInspector 4.6.1 Introduccin a ESET SysInspector ESET SysInspector es una aplicacin que examina el ordenador a fondo y muestra los datos recopilados de forma exhaustiva. Informacin como los controladores y aplicaciones instalados, las conexiones de red o entradas de registro importantes pueden ayudarle a investigar el comportamiento sospechoso del sistema debido a la incompatibilidad de software o hardware o a la infeccin de cdigo malicioso. Puede acceder a ESET SysInspector de dos formas: Desde la versin integrada en soluciones de ESET Security o descargando la versin independiente (SysInspector.exe) del sitio web de ESET de forma gratuita. Las dos versiones tiene una funcin idntica y los mismos controles del programa. Solo se diferencian en el modo de gestin de los resultados. Tanto la versin independiente como la versin integrada le permiten exportar instantneas del sistema en un archivo .xml y guardarlas en el disco. No obstante, la versin integrada tambin le permite almacenar las instantneas del sistema directamente en Herramientas > ESET SysInspector (salvo ESET Remote Administrator). Para obtener ms informacin, consulte la seccin ESET SysInspector como parte de ESET Mail Security . ESET SysInspector tardar un rato en analizar el ordenador; el tiempo necesario puede variar entre 10 segundos y unos minutos, segn la configuracin de hardware, el sistema operativo y el nmero de aplicaciones instaladas en el ordenador. 4.6.1.1 Inicio de ESET SysInspector Para iniciar ESET SysInspector simplemente tiene que ejecutar el archivo SysInspector.exe que descarg del sitio web de ESET. Si ya tiene instalado alguna de las soluciones de seguridad de ESET Security, puede ejecutar ESET SysInspector directamente desde el men Inicio (Programas > ESET > ESET Mail Security). Espere mientras la aplicacin examina el sistema. El proceso de inspeccin puede tardar varios minutos, en funcin del hardware de su ordenador y de los datos que se vayan a recopilar. 113 103 4.6.2 Interfaz de usuario y uso de la aplicacin Para un uso sencillo, la ventana principal se divide en cuatro secciones: Controles de programa, en la parte superior de la ventana principal; la ventana de navegacin, situada a la izquierda; la ventana Descripcin, situada a la derecha en el medio; y la ventana Detalles, situada a la derecha, en la parte inferior de la ventana principal. En la seccin Estado de registro se enumeran los parmetros bsicos de un registro (filtro utilizado, tipo de filtro, si el registro es resultado de una comparacin, etc.). 4.6.2.1 Controles de programa Esta seccin contiene la descripcin de todos los controles de programa disponibles en ESET SysInspector. Archivo Al hacer clic en Archivo, puede guardar el estado actual del sistema para examinarlo ms tarde o abrir un registro guardado anteriormente. Para la publicacin, es recomendable que genere un registro Para enviar. De esta forma, el registro omite la informacin confidencial (nombre del usuario actual, nombre del ordenador, nombre del dominio, privilegios del usuario actual, variables de entorno, etc.). NOTA: los informes almacenados de ESET SysInspector se pueden abrir previamente arrastrndolos y soltndolos en la ventana principal. rbol Le permite expandir o cerrar todos los nodos, y exportar las secciones seleccionadas al script de servicio. Lista Contiene funciones para una navegacin ms sencilla por el programa y otras funciones como, por ejemplo, la bsqueda de informacin en lnea. Ayuda Contiene informacin sobre la aplicacin y sus funciones. 104 Detalle Este ajuste modifica la informacin mostrada en la ventana principal para que pueda trabajar con ella ms fcilmente. El modo "Bsico" le permite acceder a la informacin utilizada para buscar soluciones a problemas comunes del sistema. En el modo "Medio", el programa muestra menos detalles. En el modo "Completo", ESET SysInspector muestra toda la informacin necesaria para solucionar problemas muy especficos. Filtrado de elementos Es la mejor opcin para buscar entradas de registro o archivos sospechosos en el sistema. Ajuste el control deslizante para filtrar los elementos por su nivel de riesgo. Si el control deslizante se coloca lo ms a la izquierda posible (nivel de riesgo 1), se mostrarn todos los elementos. Al mover el control deslizante a la derecha, el programa filtra todos los elementos menos los que tienen un nivel de riesgo inferior al actual y muestra solo los elementos con un nivel de sospecha superior al mostrado. Si el control deslizante est colocado lo ms a la derecha posible, el programa mostrar solo los elementos dainos conocidos. Todos los elementos que tengan un nivel de riesgo entre 6 y 9 pueden constituir un riesgo de seguridad. Si utiliza una solucin de seguridad de ESET, le recomendamos que analice su sistema con ESET Online Scanner cuando ESET SysInspector encuentre un elemento de este tipo. ESET Online Scanner es un servicio gratuito. NOTA: el nivel de riesgo de un elemento se puede determinar rpidamente comparando el color del elemento con el color del control deslizante de nivel de riesgo. Bsqueda Esta opcin se puede utilizar para buscar rpidamente un elemento especfico por su nombre completo o parcial. Los resultados de la solicitud de bsqueda aparecern en la ventana Descripcin. Volver Al hacer clic en la flecha hacia atrs o hacia delante, puede volver a la informacin mostrada previamente en la ventana Descripcin. Puede utilizar la tecla Retroceso y la tecla de espacio, en lugar de hacer clic en las flechas atrs y adelante. Seccin de estado Muestra el nodo actual en la ventana de navegacin. Importante: los elementos destacados en rojo son elementos desconocidos, por eso el programa los marca como potencialmente peligrosos. Que un elemento aparezca marcado en rojo no significa que deba eliminar el archivo. Antes de eliminarlo, asegrese de que el archivo es realmente peligroso o innecesario. 4.6.2.2 Navegacin por ESET SysInspector ESET SysInspector divide los tipos de informacin en distintas secciones bsicas denominadas nodos. Si est disponible, puede encontrar informacin adicional expandiendo cada uno de los nodos en subnodos. Para abrir o contraer un nodo, haga doble clic en el nombre del nodo o haga clic en o , junto al nombre del nodo. A medida que explora la estructura de rbol de nodos y subnodos en la ventana de navegacin, encontrar informacin variada de cada nodo en la ventana Descripcin. Si examina los elementos en la ventana Descripcin, es posible que se muestre informacin adicional de cada uno de los elementos en la ventana Detalles. A continuacin, se encuentran las descripciones de los nodos principales de la ventana de navegacin e informacin relacionada en las ventanas Descripcin y Detalles. Procesos en ejecucin Este nodo contiene informacin sobre las aplicaciones y los procesos que se ejecutan al generar el registro. En la ventana Descripcin, puede encontrar informacin adicional de cada proceso como, por ejemplo, bibliotecas dinmicas utilizadas por el proceso y su ubicacin en el sistema, el nombre del proveedor de la aplicacin, el nivel de riesgo del archivo, etc. La ventana Detalles contiene informacin adicional de los elementos seleccionados en la ventana Descripcin como, por ejemplo, el tamao del archivo o su hash. NOTA: un sistema operativo incluye varios componentes kernel importantes que se ejecutan 24 horas al da, 7 das de la semana, y proporcionan funciones bsicas y esenciales para otras aplicaciones de usuario. En determinados casos, estos procesos aparecen en la herramienta ESET SysInspector con una ruta de archivo que comienza por \??\. 105 Estos smbolos proporcionan optimizacin de prelanzamiento de esos procesos; son seguros para el sistema; son seguros para el sistema. Conexiones de red La ventana Descripcin contiene una lista de procesos y aplicaciones que se comunican a travs de la red utilizando el protocolo seleccionado en la ventana de navegacin (TCP o UDP), as como la direccin remota a la que se conecta la aplicacin. Tambin puede comprobar las direcciones IP de los servidores DNS. La ventana Detalles contiene informacin adicional de los elementos seleccionados en la ventana Descripcin como, por ejemplo, el tamao del archivo o su hash. Entradas de registro importantes Contiene una lista de entradas de registro seleccionadas que suelen estar asociadas a varios problemas del sistema, como las que especifican programas de arranque, objetos auxiliares del navegador (BHO), etc. En la ventana Descripcin, puede encontrar los archivos que estn relacionados con entradas de registro especficas. Puede ver informacin adicional en la ventana Detalles. Servicios La ventana Descripcin contiene una lista de archivos registrados como Windows Services (Servicios de Windows). En la ventana Detalles, puede consultar el modo de inicio definido para el servicio e informacin especfica del archivo. Controladores Una lista de los controladores instalados en el sistema. Archivos crticos En la ventana Descripcin se muestra el contenido de los archivos crticos relacionados con el sistema operativo Microsoft Windows. Tareas del programador del sistema Contiene una lista de tareas desencadenadas por el Programador de tareas de Windows a una hora o con un intervalo de tiempo especificados. Informacin del sistema Contiene informacin detallada sobre el hardware y el software, as como informacin sobre las variables de entorno, los derechos de usuario y los registros de sucesos del sistema establecidos. Detalles del archivo Una lista de los archivos del sistema importantes y los archivos de la carpeta Archivos de programa. Encontrar informacin adicional especfica de los archivos en las ventanas Descripcin y Detalles. Acerca de Informacin sobre la versin de ESET SysInspector y lista de mdulos de programa. 4.6.2.2.1 Accesos directos del teclado Los accesos directos que se pueden utilizar en ESET SysInspector son: Archivo Ctrl + O Abrir el registro existente Ctrl + S guarda los registros creados Generar Ctrl + G genera una instantnea estndar del estado del ordenador Ctrl + H genera una instantnea del estado del ordenador que tambin puede registrar informacin confidencial 106 Filtrado de elementos 1, O Seguro, se muestran los elementos que tienen un nivel de riesgo de 1 a 9. 2 Seguro, se muestran los elementos que tienen un nivel de riesgo de 2 a 9. 3 Seguro, se muestran los elementos que tienen un nivel de riesgo de 3 a 9. 4, U Desconocido, se muestran los elementos que tienen un nivel de riesgo de 4 a 9. 5 Desconocido, se muestran los elementos que tienen un nivel de riesgo de 5 a 9. 6 Desconocido, se muestran los elementos que tienen un nivel de riesgo de 6 a 9. 7, B Peligroso, se muestran los elementos que tienen un nivel de riesgo de 7 a 9. 8 Peligroso, se muestran los elementos que tienen un nivel de riesgo de 8 a 9. 9 Peligroso, se muestran los elementos que tienen un nivel de riesgo de 9. - Disminuir el nivel de riesgo + aumenta el nivel de riesgo Ctrl + 9 modo de filtrado, nivel igual o mayor Ctrl + 0 modo de filtrado, nivel igual nicamente Ver Ctrl + 5 Ver por proveedor, todos los proveedores Ctrl + 6 ver por proveedor, solo Microsoft Ctrl + 7 ver por proveedor, todos los dems proveedores Ctrl + 3 Mostrar todos los detalles Ctrl + 2 Mostrar la mitad de los detalles Ctrl + 1 Visualizacin bsica Retroceso retrocede un espacio Espacio avanza un espacio Ctrl + W Expandir el rbol Ctrl + Q Contraer el rbol Otros controles Ctrl + T Ir a la ubicacin original del elemento tras seleccionarlo en los resultados de bsqueda Ctrl + P Mostrar la informacin bsica de un elemento Ctrl + A Mostrar la informacin completa de un elemento Ctrl + C Copiar el rbol del elemento actual Ctrl + X Copiar elementos Ctrl + B Buscar informacin en Internet acerca de los archivos seleccionados Ctrl + L Abrir la carpeta en la que se encuentra el archivo seleccionado Ctrl + R Abrir la entrada correspondiente en el editor de registros Ctrl + Z Copiar una ruta de acceso a un archivo (si el elemento est asociado a un archivo) Ctrl + F activa el campo de bsqueda Ctrl + D Cerrar los resultados de bsqueda Ctrl + E ejecuta el script de servicio Comparacin Ctrl + Alt + O abre el registro original/comparativo Ctrl + Alt + R Cancelar la comparacin Ctrl + Alt + 1 Mostrar todos los elementos Ctrl + Alt + 2 muestra solo los elementos agregados, el registro mostrar los elementos presentes en el registro actual Ctrl + Alt + 3 muestra solo los elementos eliminados, el registro mostrar los elementos presentes en el registro anterior Ctrl + Alt + 4 muestra solo los elementos sustituidos (archivos incluidos) Ctrl + Alt + 5 muestra solo las diferencias entre registros Ctrl + Alt + C muestra la comparacin Ctrl + Alt + N Mostrar el registro actual Ctrl + Alt + P Abrir el registro anterior Varios F1 Ver la Ayuda Alt + F4 Cerrar el programa Alt + Shift + F4 Cerrar el programa sin preguntar 107 Ctrl + I Estadsticas del registro 4.6.2.3 Comparar La caracterstica Comparar permite al usuario comparar dos registros existentes. El resultado de esta caracterstica es un conjunto de elementos no comunes a ambos registros. Esta opcin es til para realizar un seguimiento de los cambios realizados en el sistema; se trata de una herramienta til para detectar la actividad de cdigo malicioso. Una vez iniciada, la aplicacin crea un registro nuevo, que aparecer en una ventana nueva. Vaya a Archivo -> Guardar registro para guardar un registro en un archivo. Los archivos de registro se pueden abrir y ver posteriormente. Para abrir un registro existente, utilice el men Archivo > Abrir registro. En la ventana principal del programa, ESET SysInspector muestra siempre un registro a la vez. La comparacin de dos registros le permite ver simultneamente un registro activo y un registro guardado en un archivo. Para comparar registros, utilice la opcin Archivo -> Comparar registros y elija Seleccionar archivo. El registro seleccionado se comparar con el registro activo en la ventana principal del programa. El registro comparativo solo muestra las diferencias entre los dos registros. NOTA: si compara dos archivos de registro, seleccione Archivo > Guardar registro para guardarlo como archivo ZIP. Se guardarn ambos archivos. Si abre posteriormente dicho archivo, los registros contenidos en el mismo se compararn automticamente. Junto a los elementos mostrados, ESET SysInspector muestra smbolos que identifican las diferencias entre los registros comparados. Los elementos marcados con un solo se encuentran en el registro activo y no estn presentes en el registro comparativo abierto. Los elementos marcados con un estn presentes solo en el registro abierto, no en el registro activo. Descripcin de todos los smbolos que pueden aparecer junto a los elementos: Nuevo valor que no se encuentra en el registro anterior. La seccin de estructura de rbol contiene valores nuevos. Valor eliminado que solo se encuentra en el registro anterior. La seccin de estructura de rbol contiene valores eliminados. Se ha cambiado un valor o archivo. La seccin de estructura de rbol contiene valores o archivos modificados. Ha disminuido el nivel de riesgo, o este era superior en el registro anterior. Ha aumentado el nivel de riesgo o era inferior en el registro anterior. La explicacin que aparece en la esquina inferior izquierda describe todos los smbolos, adems de mostrar los nombres de los registros que se estn comparando. Los registros comparativos se pueden guardar en un archivo para consultarlos ms adelante. Ejemplo Genere y guarde un registro, que incluya informacin original sobre el sistema, en un archivo con el nombre previo. xml. Tras realizar los cambios en el sistema, abra ESET SysInspector y deje que genere un nuevo registro. Gurdelo en un archivo con el nombre actual.xml. Para realizar un seguimiento de los cambios entre estos dos registros, vaya a Archivo -> Comparar registros. El programa crear un registro comparativo con las diferencias entre ambos registros. Se puede lograr el mismo resultado con la siguiente opcin de la lnea de comandos: 108 SysIsnpector.exe actual.xml previo.xml 4.6.3 Parmetros de la lnea de comandos ESET SysInspector admite la generacin de informes desde la lnea de comandos con estos parmetros: /gen genera un registro directamente desde la lnea de comandos, sin ejecutar la interfaz grfica de usuario /privacy genera un registro que no incluye la informacin confidencial /zip almacena el registro resultante directamente en el disco, en un archivo comprimido /silent oculta la barra de progreso del proceso de generacin del registro /help, /? muestra informacin acerca de los parmetros de la lnea de comandos Ejemplos Para cargar un registro determinado directamente en el navegador, utilice: SysInspector.exe "c:\clientlog.xml" Para generar un registro en una ubicacin actual, utilice: SysInspector.exe /gen Para generar un registro en una carpeta especfica, utilice: SysInspector.exe /gen="c:\folder\" Para generar un registro en una carpeta o ubicacin especfica, utilice: SysInspector.exe /gen="c:\folder\mynewlog.xml" Para generar un registro que no incluya la informacin confidencial directamente como archivo comprimido, utilice: SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip Para comparar dos registros, utilice: SysInspector.exe "current.xml" "original.xml" NOTA: si el nombre del archivo o la carpeta contiene un espacio, debe escribirse entre comillas. 4.6.4 Script de servicio El script de servicio es una herramienta que ayuda a los clientes que utilizan ESET SysInspector eliminando fcilmente del sistema los objetos no deseados. El script de servicio permite al usuario exportar el registro completo de ESET SysInspector o las partes que seleccione. Despus de exportarlo, puede marcar los objetos que desea eliminar. A continuacin, puede ejecutar el registro modificado para eliminar los objetos marcados. El script de servicio es ideal para los usuarios avanzados con experiencia previa en el diagnstico de problemas del sistema. Las modificaciones realizadas por usuarios sin experiencia pueden provocar daos en el sistema operativo. Ejemplo Si tiene la sospecha de que el ordenador est infectado por un virus que el antivirus no detecta, siga estas instrucciones: Ejecute ESET SysInspector para generar una nueva instantnea del sistema. Seleccione el primero y el ltimo elemento de la seccin de la izquierda (en la estructura de rbol) mientras mantiene pulsada la tecla Ctrl. Haga clic con el botn derecho del ratn en los objetos seleccionados y seleccione la opcin del men contextual Exportar secciones seleccionadas al script de servicio. Los objetos seleccionados se exportarn a un nuevo registro. Este es el paso ms importante de todo el procedimiento: abra el registro nuevo y cambie el atributo - a + para todos los objetos que desee eliminar. Asegrese de que no ha marcado ningn archivo u objeto importante del sistema operativo. Abra ESET SysInspector, haga clic en Archivo > Ejecutar script de servicio e introduzca la ruta de acceso al script. Haga clic en Aceptar para ejecutar el script. 109 4.6.4.1 Generacin de scripts de servicio Para generar un script, haga clic con el botn derecho del ratn en cualquier elemento del rbol de mens (en el panel izquierdo) de la ventana principal de ESET SysInspector. En el men contextual, seleccione la opcin Exportar todas las secciones al script de servicio o la opcin Exportar secciones seleccionadas al script de servicio. NOTA: cuando se comparan dos registros, el script de servicio no se puede exportar. 4.6.4.2 Estructura del script de servicio En la primera lnea del encabezado del script encontrar informacin sobre la versin del motor (ev), la versin de la interfaz grfica de usuario (gv) y la versin del registro (lv). Puede utilizar estos datos para realizar un seguimiento de los posibles cambios del archivo .xml que genere el script y evitar las incoherencias durante la ejecucin. Esta parte del script no se debe modificar. El resto del archivo se divide en secciones, donde los elementos se pueden modificar (indique los que procesar el script). Para marcar los elementos que desea procesar, sustituya el carcter - situado delante de un elemento por el carcter +. En el script, las secciones se separan mediante una lnea vaca. Cada seccin tiene un nmero y un ttulo. 01) Running processes (Procesos en ejecucin) En esta seccin se incluye una lista de todos los procesos que se estn ejecutando en el sistema. Cada proceso se identifica mediante su ruta UNC y, posteriormente, su cdigo hash CRC16 representado mediante asteriscos (*). Ejemplo: 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] En este ejemplo se ha seleccionado (marcado con el carcter "+") el proceso module32.exe, que finalizar al ejecutar el script. 02) Loaded modules (Mdulos cargados) En esta seccin se listan los mdulos del sistema que se utilizan actualmente. Ejemplo: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] En este ejemplo, se marc el mdulo khbekhb.dll con el signo "+". Cuando se ejecute, el script reconocer los procesos mediante el mdulo especfico y los finalizar. 03) TCP connections (Conexiones TCP) En esta seccin se incluye informacin sobre las conexiones TCP existentes. Ejemplo: 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Cuando se ejecute, el script localizar al propietario del socket en las conexiones TCP marcadas y detendr el socket, liberando as recursos del sistema. 04) UDP endpoints (Puntos finales UDP) En esta seccin se incluye informacin sobre los puntos finales UDP. 110 Ejemplo: 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...] Cuando se ejecute, el script aislar al propietario del socket en los puntos finales UDP marcados y detendr el socket. 05) DNS server entries (Entradas del servidor DNS) En esta seccin se proporciona informacin sobre la configuracin actual del servidor DNS. Ejemplo: 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...] Las entradas marcadas del servidor DNS se eliminarn al ejecutar el script. 06) Important registry entries (Entradas de registro importantes) En esta seccin se proporciona informacin sobre las entradas de registro importantes. Ejemplo: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...] Cuando se ejecute el script, las entradas marcadas se eliminarn, reducirn a valores de 0 bytes o restablecern en sus valores predeterminados. La accin realizada en cada entrada depende de su categora y del valor de la clave en el registro especfico. 07) Services (Servicios) En esta seccin se listan los servicios registrados en el sistema. Ejemplo: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Cuando se ejecute el script, los servicios marcados y los servicios dependientes se detendrn y desinstalarn. 08) Drivers (Controladores) En esta seccin se listan los controladores instalados. Ejemplo: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Al ejecutar el script, las unidades seleccionadas se detendrn. Tenga en cuenta que algunas unidades no permiten su detencin. 111 09) Critical files (Archivos crticos) En esta seccin se proporciona informacin sobre los archivos crticos para el sistema operativo. Ejemplo: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...] Los elementos seleccionados se eliminarn o restablecern en sus valores originales. 4.6.4.3 Ejecucin de scripts de servicio Seleccione todos los elementos que desee y, a continuacin, guarde y cierre el script. Ejecute el script modificado directamente desde la ventana principal de ESET SysInspector, con la opcin Ejecutar script de servicio del men Archivo. Cuando abra un script, el programa mostrar el mensaje siguiente: Est seguro de que desea ejecutar el script de servicio "%Scriptname%"? Una vez que haya confirmado la seleccin, es posible que se muestre otra advertencia para informarle de que el script de servicio que intenta ejecutar no est firmado. Haga clic en Ejecutar para iniciar el script. Se abrir un cuadro de dilogo para indicarle que el script se ha ejecutado correctamente. Si el script no se puede procesar por completo, se mostrar un cuadro de dilogo con el mensaje siguiente: El script de servicio se ejecut parcialmente. Desea ver el informe de errores? Seleccione S para ver un informe de errores completo con todas las operaciones que no se ejecutaron. Si no se reconoce el script, aparece un cuadro de dilogo con el mensaje siguiente: No se ha firmado el script de servicio seleccionado. La ejecucin de scripts desconocidos y sin firmar podra daar seriamente los datos del ordenador. Est seguro de que desea ejecutar el script y llevar a cabo las acciones? Esto podra deberse a que el script presenta incoherencias (encabezado daado, ttulo de seccin daado, falta lnea vaca entre secciones, etc.). Vuelva a abrir el archivo del script y corrija los errores o cree un script de servicio nuevo. 4.6.5 Preguntas frecuentes Es necesario contar con privilegios de administrador para ejecutar ESET SysInspector? ESET SysInspector no requiere privilegios de administrador para su ejecucin, pero s es necesario utilizar una cuenta de administrador para acceder a parte de la informacin que recopila. Si lo ejecuta como usuario estndar o usuario restringido, se recopilar menos informacin sobre su entorno operativo. ESET SysInspector crea archivos de registro? ESET SysInspector puede crear un archivo de registro de la configuracin de su ordenador. Para guardar uno, seleccione Archivo > Guardar registro en el men principal. Los registros se guardar con formato XML. Por defecto, los archivos se guardan en el directorio %USERPROFILE%\My Documents\, con una convencin de nombre de archivo de "SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML". Si lo desea, puede modificar tanto la ubicacin como el nombre del archivo de registro antes de guardarlo. Cmo puedo ver el contenido del archivo de registro de ESET SysInspector? Para visualizar un archivo de registro creado por ESET SysInspector, ejecute la aplicacin y seleccione Archivo > Abrir registro en el men principal. Tambin puede arrastrar y soltar los archivos de registro en la aplicacin ESET SysInspector. Si necesita ver los archivos de registro de ESET SysInspector con frecuencia, le recomendamos que cree un acceso directo al archivo SYSINSPECTOR.EXE en su escritorio. Para ver los archivos de registro, arrstrelos y sultelos en ese acceso directo. Por razones de seguridad, es posible que Windows Vista/7 no permita la opcin de arrastrar y soltar entre ventanas con permisos de seguridad distintos. 112 Hay una especificacin disponible para el formato de archivo de registro? Y un kit de desarrollo de software? Actualmente, no se encuentra disponible ninguna especificacin para el formato del archivo de registro, ni un conjunto de herramientas de programacin, ya que la aplicacin se encuentra an en fase de desarrollo. Una vez que se haya lanzado, podremos proporcionar estos elementos en funcin de la demanda y los comentarios por parte de los clientes. Cmo evala ESET SysInspector el riesgo que plantea un objeto determinado? Generalmente, ESET SysInspector asigna un nivel de riesgo a los objetos (archivos, procesos, claves de registro, etc). Para esto, utiliza una serie de reglas heursticas que examinan las caractersticas de cada uno de ellos y, despus, pondera el potencial de actividad maliciosa. Segn estas heursticas, a los objetos se les asignar un nivel de riesgo desde el valor "1: seguro" (en color verde) hasta "9: peligroso" (en color rojo). En el panel de navegacin que se encuentra a la izquierda, las secciones estarn coloreadas segn el nivel mximo de peligrosidad que presente un objeto en su interior. El nivel de riesgo "6: desconocido (en color rojo)", significa que un objeto es peligroso? Las evaluaciones de ESET SysInspector no garantizan que un objeto sea malicioso. Esta determinacin deber confirmarla un experto en seguridad informtica. ESET SysInspector est diseado para proporcionar una gua rpida a estos expertos, con la finalidad de que conozcan los objetos que deberan examinar en un sistema en busca de algn comportamiento inusual. Por qu ESET SysInspector se conecta a Internet cuando se ejecuta? Como muchas otras aplicaciones, ESET SysInspector contiene una firma digital que acta a modo de "certificado". Esta firma sirve para garantizar que ESET ha desarrollado la aplicacin y que esta no se ha alterado. Con el fin de comprobar la veracidad del certificado, el sistema operativo contacta con una autoridad de certificados para comprobar la identidad del editor del software. Este es el comportamiento normal de todos los programas firmados digitalmente en Microsoft Windows. En qu consiste la tecnologa Anti-Stealth? La tecnologa Anti Stealth proporciona un mtodo efectivo de deteccin de programas peligrosos (rootkits). Si el sistema recibe el ataque de cdigo malicioso que se comporta como un programa peligroso (rootkit), los datos del usuario podran daarse o ser robados. Sin una herramienta especial contra programas peligrosos (rootkit), resulta casi imposible detectar programas peligrosos. Por qu a veces hay archivos con la marca "Firmado por MS" que, al mismo tiempo, tienen una entrada de "Nombre de compaa" diferente? Al intentar identificar la firma digital de un archivo ejecutable, ESET SysInspector comprueba primero si el archivo contiene una firma digital. Si se encuentra una firma digital, se validar el archivo utilizando esa informacin. Si no se encuentra ninguna firma digital, el ESI comenzar a buscar el archivo CAT correspondiente (Security Catalog - % systemroot%\system32\catroot) que contenga informacin sobre el archivo ejecutable en proceso. Si se encuentra el archivo CAT, la firma digital de dicho archivo se utilizar para el proceso de validacin del archivo ejecutable. Esta es la razn por la que a veces encontramos archivos marcados como "Firmados por MS" pero con un "Nombre de compaa" diferente. Ejemplo: Windows 2000 incluye la aplicacin HyperTerminal, que se encuentra en C:\Archivos de programa\Windows NT. El archivo ejecutable de la aplicacin principal no est firmado digitalmente; sin embargo, ESET SysInspector lo marca como archivo firmado por Microsoft. La razn es la referencia que aparece en C:\WINNT\system32 \CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat que lleva a C:\Archivos de programa\Windows NT\hypertrm. exe (archivo ejecutable principal de la aplicacin HyperTerminal), y sp4.cat est digitalmente firmado por Microsoft. 113 4.6.6 ESET SysInspector como parte de ESET Mail Security Para abrir la seccin ESET SysInspector en ESET Mail Security, haga clic en Herramientas > ESET SysInspector. El sistema de administracin de la ventana de ESET SysInspector es parecido al de los registros de anlisis del ordenador o las tareas programadas. Se puede acceder a todas las operaciones con instantneas del sistema (como crear, ver, comparar, eliminar y exportar) simplemente haciendo clic una o dos veces. La ventana de ESET SysInspector contiene informacin bsica acerca de las instantneas creadas, como la hora de creacin, un breve comentario, el nombre del usuario que ha creado la instantnea y el estado de esta. Para comparar, crear o eliminar instantneas, utilice los botones correspondientes ubicados debajo de la lista de instantneas de la ventana de ESET SysInspector. Estas opciones tambin estn disponibles en el men contextual. Para ver la instantnea del sistema seleccionada, utilice la opcin del men contextual Mostrar. Para exportar la instantnea seleccionada a un archivo, haga clic con el botn derecho del ratn en ella y seleccione Exportar. A continuacin, se muestra una descripcin detallada de las opciones disponibles: Comparar: le permite comparar dos registros existentes. Esta opcin es ideal para realizar un seguimiento de los cambios entre el registro actual y el anterior. Para poder aplicar esta opcin, debe seleccionar dos instantneas con el fin de compararlas. Crear: crea un registro nuevo. Debe introducir antes un breve comentario acerca del registro. Para ver el progreso de la creacin de instantneas (de la instantnea que se est generando), consulte la columna Estado. Todas las instantneas completadas aparecen marcadas con el estado Creado. Eliminar/Eliminar todo: elimina entradas de la lista. Exportar: guarda la entrada seleccionada en un archivo XML (y tambin en una versin comprimida). 4.7 ESET SysRescue ESET SysRescue es una utilidad que le permite crear un disco de inicio que contenga una de las soluciones de ESET Security, ya sea ESET NOD32 Antivirus, ESET Smart Security o incluso alguno de los productos orientados al servidor. La principal ventaja de ESET SysRescue es que, aun teniendo un acceso directo al disco y a todo el sistema de archivos, la solucin ESET Security se puede ejecutar con independencia del sistema operativo host. Gracias a esto, es posible eliminar las amenazas que normalmente no se podran suprimir como, por ejemplo, cuando el sistema operativo se est ejecutando. 4.7.1 Requisitos mnimos ESET SysRescue funciona en el entorno de preinstalacin de Microsoft Windows (Windows PE) versin 2.x, que se basa en Windows Vista. Windows PE forma parte de los paquetes gratuitos Kit de instalacin automatizada de Windows (Windows AIK) o Windows Assessment and Deployment Kit (Windows ADK), por lo que es necesario instalar Windows AIK o ADK antes de crear ESET SysRescue (<%http://go.eset.eu/AIK%>) o (<%http://go.eset.eu/ADK%>). Se necesita un kit u otro en funcin de la versin utilizada del sistema operativo. Debido a la compatibilidad con la versin de 32 bits de Windows PE, es necesario utilizar un paquete de instalacin de ESET Security de 32 bits para la creacin de ESET SysRescue en sistemas de 64 bits. ESET SysRescue es compatible con Windows AIK 1.1 y versiones posteriores, as como con Windows ADK. NOTA: como el tamao de Windows AIK es superior a 1GB y el de Windows ADK superior a 1,3GB, se requiere una conexin a Internet de alta velocidad para que no haya problemas en la descarga. ESET SysRescue est disponible en las soluciones de ESET Security versin 4.0 y versiones posteriores. ESET SysRescue es compatible con los siguientes sistemas operativos: Windows Server 2003 Service Pack 1 con KB926044 Windows Server 2003 Service Pack 2 Windows Server 2008 Windows Server 2012 Windows AIK admite: Windows Server 2003 Windows Server 2008 114 Windows ADK admite: Windows Server 2012 4.7.2 Cmo crear un CD de recuperacin Para iniciar el asistente de ESET SysRescue, haga clic en Inicio > Programas > ESET > ESET Mail Security > ESET SysRescue. En primer lugar, el asistente comprueba si estn instalados Windows AIK o Windows ADK y un dispositivo adecuado para la creacin de medios de arranque. Si Windows AIK o Windows ADK no estn instalados en el ordenador (o estn daados o mal instalados), el asistente le ofrecer la opcin de instalarlos o de escribir la ruta de acceso a la carpeta de Windows AIK (<%http://go.eset.eu/AIK%>) o Windows ADK (<%http://go.eset.eu/ADK%>). NOTA: como el tamao de Windows AIK es superior a 1GB y el de Windows ADK superior a 1,3GB, se requiere una conexin a Internet de alta velocidad para que no haya problemas en la descarga. En el siguiente paso , seleccione el medio de destino donde se ubicar ESET SysRescue. 4.7.3 Seleccin de objetivo Adems de en CD, DVD y USB, tambin puede guardar ESET SysRescue en un archivo ISO. Posteriormente, puede grabar esta imagen ISO en un CD o DVD, o utilizarla de algn otro modo (por ejemplo, en un entorno virtual como VMware o VirtualBox). Si selecciona USB como medio de destino, es posible que la funcin de inicio no funcione en determinados ordenadores. En algunas versiones de la BIOS se pueden producir problemas de comunicacin entre la administracin de arranque y la BIOS (p. ej., en Windows Vista). El arranque tiene lugar con el siguiente mensaje de error: Archivo: \boot\bcd estado: 0xc000000e informacin: se ha producido un error al intentar leer los datos de la configuracin de arranque. Si le aparece este mensaje, le recomendamos que seleccione como medio un CD en lugar de un dispositivo USB. 4.7.4 Configuracin Antes de iniciar la creacin de ESET SysRescue, el asistente de instalacin muestra los parmetros de compilacin en el ltimo paso del asistente de ESET SysRescue. Haga clic en el botn Cambiar para modificar estos parmetros. Entre las opciones disponibles estn: Carpetas Antivirus ESET Avanzadas Protocolo de Internet Dispositivo de arranque USB (cuando se selecciona el dispositivo USB de destino) Grabacin (cuando se selecciona la unidad de CD/DVD de destino) El botn Crear no est activo si no se especifica ningn paquete de instalacin MSI, o si no se instala ninguna solucin de seguridad de ESET Security en el ordenador. Para seleccionar un paquete de instalacin, haga clic en el botn Cambiar y vaya a la ficha ESET Antivirus. Adems, si no rellena el nombre de usuario y la contrasea ( Cambiar > ESET Antivirus), el botn Crear aparecer atenuado. 4.7.4.1 Carpetas Carpeta temporal es un directorio de trabajo que contiene los archivos necesarios durante la compilacin de ESET SysRescue. Carpeta ISO es una carpeta donde el archivo ISO resultante se guarda una vez completada la compilacin. La lista de esta ficha muestra todas las unidades de red locales y asignadas, as como el espacio libre disponible. Si alguna de las carpetas se ubica en una unidad con espacio libre insuficiente, le recomendamos que seleccione otra unidad que tenga disponible ms espacio libre. De lo contrario, la compilacin puede finalizar antes de tiempo por falta de espacio libre en el disco. Aplicaciones externas: le permite especificar programas adicionales que se ejecutarn o instalarn tras el inicio de 114 114 115 115 115 116 116 115 un medio de ESET SysRescue. Incluir aplicaciones externas: le permite agregar programas externos a la compilacin de ESET SysRescue. Carpeta seleccionada: carpeta donde se encuentran los programas que agregarn al disco de ESET SysRescue. 4.7.4.2 Antivirus ESET Para crear un CD de ESET SysRescue, puede seleccionar dos orgenes de archivos ESET para la compilacin. Carpeta ESS/EAV: archivos que ya se encuentran en la carpeta del ordenador donde se ha instalado la solucin ESET Security. Archivo MSI: se utilizan los archivos que se encuentran en el instalador de MSI. A continuacin, tiene la posibilidad de actualizar la ubicacin de los archivos (.nup). Normalmente, debe establecerse la opcin predeterminada: Carpeta ESS/EAV/Archivo MSI. En algunos casos, se puede elegir una Carpeta de actualizacin personalizada; por ejemplo, para utilizar una versin anterior o ms reciente de la base de firmas de virus. Puede utilizar una de las fuentes de nombre de usuario y contrasea que aparecen a continuacin: ESS/EAV instalado: el nombre de usuario y la contrasea se copian de la versin instalada actualmente de la solucin ESET Security. Del usuario: se utilizan el nombre de usuario y la contrasea introducidos en los cuadros de texto correspondientes. NOTA: la solucin ESET Security presente en el CD de ESET SysRescue se actualiza a travs de Internet o mediante la solucin ESET Security instalada en el ordenador donde se ejecuta el CD de ESET SysRescue. 4.7.4.3 Configuracin adicional En la ficha Avanzadas, puede optimizar el CD de ESET SysRescue en funcin de la cantidad de memoria del ordenador. Seleccione 576 MB o ms para escribir el contenido del CD en la memoria operativa (RAM). Si selecciona menos de 576 MB, se acceder temporalmente al CD de recuperacin cuando WinPE se ejecute. En la seccin Controladores externos puede insertar controladores para su hardware especfico (normalmente, un adaptador de red). WinPE se basa en Windows Vista SP1, que es compatible con un gran abanico de productos de hardware, pero a veces el hardware no se reconoce. Si esto sucede, tendr que agregar el controlador manualmente. Hay dos maneras de agregar un controlador a la compilacin de ESET SysRescue: manualmente (con el botn Agregar) y de forma automtica (con el botn Bsq. auto.). Si lo agrega manualmente, debe seleccionar la ruta de acceso al archivo .inf correspondiente (el archivo *.sys aplicable tambin debe estar presente en esta carpeta). Si lo agrega automticamente, el controlador se busca de forma automtica en el sistema operativo del ordenador en cuestin. La adicin automtica se recomienda nicamente cuando ESET SysRescue se utiliza en un ordenador que tiene el mismo adaptador de red que el ordenador con el que se cre el CD de ESET SysRescue. Durante la creacin de ESET SysRescue, el controlador se agrega a la compilacin para que el usuario no tenga que buscarlo posteriormente. 4.7.4.4 Protocolo de Internet En esta seccin puede configurar la informacin bsica de la red y conexiones predefinidas segn ESET SysRescue. Seleccione Direccin IP privada automtica para obtener la direccin IP automticamente del servidor DHCP (Protocolo de configuracin dinmica de host). Esta conexin de red tambin puede utilizar una direccin IP especificada manualmente (llamada direccin IP esttica). Seleccione Personalizar para configurar los ajustes de IP adecuados. Si selecciona esta opcin, debe especificar una Direccin IP y, para las conexiones de red local y de Internet de alta velocidad, una Mscara de subred. En Servidor DNS preferido y Servidor DNS alternativo, escriba las direcciones del servidor DNS primario y secundario. 116 4.7.4.5 Dispositivo de arranque USB Si ha seleccionado un dispositivo USB como medio de destino, puede seleccionar uno de los dispositivos USB disponibles en la ficha Dispositivo de arranque USB (en caso de que haya ms dispositivos USB). Seleccione el Dispositivo de destino para la instalacin de ESET SysRescue. Alerta: el dispositivo USB seleccionado se formatear durante la creacin de ESET SysRescue, y se eliminarn todos los datos que contenga. Si selecciona la opcin Formato rpido, el proceso de formateo eliminar todos los archivos de la particin, pero no comprobar la presencia de sectores con errores en el disco. Utilice esta opcin si el dispositivo USB ya se ha formateado anteriormente y est seguro de que no presenta daos. 4.7.4.6 Grabar Si ha seleccionado CD/DVD como medio de destino, puede especificar los parmetros de grabacin adicionales en la ficha Grabar. Eliminar archivo ISO: marque esta opcin para eliminar el archivo ISO temporal una vez que se haya creado el CD de ESET SysRescue. Eliminacin activada: le permite elegir el borrado rpido o el completo. Dispositivo de grabacin: seleccione la unidad que se utilizar para grabar. Alerta: esta es la opcin predeterminada. Si se utiliza un CD/DVD regrabable, se borrarn todos los datos contenidos en dicho CD/DVD. La seccin Medio contiene informacin sobre el medio introducido en el dispositivo de CD/DVD. Velocidad de grabacin: seleccione la velocidad deseada en el men desplegable. Las capacidades de su dispositivo de grabacin y el tipo de CD/DVD utilizado deben tenerse en cuenta a la hora de seleccionar la velocidad de grabacin. 4.7.5 Trabajo con ESET SysRescue Para que el CD/DVD/USB de recuperacin funcione eficazmente, debe iniciar el ordenador desde el medio de arranque de ESET SysRescue. La prioridad de arranque se puede modificar en el BIOS. Tambin puede ejecutar el men de inicio durante el inicio del ordenador. Normalmente, esto se hace con una de las teclas F9-F12, en funcin de la versin de la placa base/BIOS que utilice. Despus de arrancar desde un medio de arranque, la solucin ESET Security se iniciar. Como ESET SysRescue solo se utiliza en situaciones especficas, algunos mdulos de proteccin y caractersticas del programa presentes en la versin estndar de la solucin ESET Security no son necesarios. La lista se limitar a Anlisis del ordenador, Actualizacin y algunas secciones de Configuracin. La capacidad para actualizar la base de firmas de virus es la caracterstica ms importante de ESET SysRescue, por lo que se recomienda actualizar el programa antes de iniciar un anlisis del ordenador. 4.7.5.1 Uso de ESET SysRescue Supongamos que hay ordenadores de la red infectados por un virus que modifica los archivos ejecutables (.exe). La solucin ESET Security puede desinfectar todos los archivos excepto explorer.exe, que no se puede desinfectar ni en modo seguro. Esto se debe a que explorer.exe, como uno de los procesos esenciales de Windows, se inicia tambin en modo seguro. La solucin ESET Security no podra realizar ninguna accin en al archivo, que seguira infectado. En esta situacin, podra utilizar ESET SysRescue para solucionar el problema. ESET SysRescue no necesita ningn componente del sistema operativo host y, por lo tanto, puede procesar (desinfectar, eliminar, etc.) cualquier archivo del disco. 117 4.8 Opciones de la interfaz de usuario Las opciones de configuracin de la interfaz de usuario de ESET Mail Security le permiten ajustar el entorno de trabajo segn sus necesidades. Estas opciones de configuracin estn disponibles en la seccin Interfaz de usuario del rbol de configuracin avanzada de ESET Mail Security. En la seccin Elementos de la interfaz de usuario, la opcin Modo avanzado permite a los usuarios cambiar al modo avanzado. Este modo incluye controles adicionales y opciones de configuracin ms detalladas para ESET Mail Security. La interfaz grfica de usuario debe desactivarse si los elementos grficos disminuyen el rendimiento del ordenador o provocan otros problemas. Asimismo, es posible desactivar la interfaz grfica para usuarios con discapacidades visuales, ya que podra entrar en conflicto con aplicaciones especiales que se utilizan para leer el texto que aparece en pantalla. Si desea desactivar la pantalla inicial de ESET Mail Security, desmarque la opcin Mostrar pantalla inicial con la carga del sistema. En la parte superior del programa principal de ESET Mail Security, aparece un men estndar que se puede activar o desactivar en funcin de la opcin Activar la barra clsica de mens de Windows. Si se activa la opcin Mostrar sugerencias y consejos tiles, se mostrar una breve descripcin al colocar el cursor sobre una opcin. Si se activa la opcin Resaltar el elemento de control activo al seleccionar, el sistema resaltar cualquier elemento que se encuentre en el rea activa del cursor del ratn. El elemento resaltado se activar al hacer clic con el ratn. Para aumentar o disminuir la velocidad de los efectos animados, seleccione la opcin Usar controles animados y mueva la barra deslizante Velocidad a la izquierda o la derecha. Para activar el uso de iconos animados para mostrar el progreso de varias operaciones, seleccione la opcin Usar iconos animados para mostrar el progreso. Si desea que el programa emita una alerta sonora cuando se produzca un suceso importante, seleccione la opcin Usar efectos de sonido. Interfaz de usuario incluye caractersticas como la proteccin mediante contrasea de los parmetros de configuracin de ESET Mail Security. Esta opcin se encuentra en el submen Proteccin de la configuracin de Interfaz de usuario. Para ofrecer una seguridad mxima para su sistema, es esencial que el programa se haya configurado correctamente. Las modificaciones no autorizadas pueden provocar la prdida de datos importantes. Para configurar una contrasea para proteger el parmetro de configuracin, haga clic en Introduzca la 118 contrasea. 4.8.1 Alertas y notificaciones La seccin de configuracin de alertas y notificaciones de Interfaz de usuario le permite configurar la gestin de las notificaciones del sistema y las alertas de amenaza en ESET Mail Security. El primer elemento es Mostrar alertas. Si desactiva esta opcin, se cancelarn todas los mensajes de alerta. Solo resulta til para una serie de situaciones muy especficas. Para la mayora de los usuarios, se recomienda mantener la configuracin predeterminada (activada). Para cerrar las ventanas emergentes automticamente despus de un perodo de tiempo determinado, seleccione la opcin Cerrar automticamente los cuadros de mensajes despus de (seg.). Si no se cierran de forma manual, las ventanas de alerta se cerrarn automticamente cuando haya transcurrido el perodo de tiempo especificado. Las notificaciones del escritorio y los globos de sugerencias son medios de informacin que no requieren ni ofrecen la intervencin del usuario. Se muestran en el rea de notificacin, situada en la esquina inferior derecha de la pantalla. Para activar las notificaciones de escritorio, seleccione la opcin Mostrar notificaciones en el escritorio. Es posible modificar el tiempo de visualizacin de las notificaciones y la transparencia de las ventanas mediante el botn Configurar notificaciones. Para obtener una vista previa del comportamiento de las notificaciones, haga clic en el botn Vista previa. Para configurar la duracin del tiempo de visualizacin de los globos de sugerencias, consulte la opcin Mostrar alertas como globos de sugerencias (seg.). 119 Haga clic en Configuracin avanzada para especificar opciones de configuracin de Alertas y notificacin adicionales, incluida Mostrar solo notificaciones que requieran la interaccin del usuario. Esta opcin le permite activar o desactivar la visualizacin de alertas y notificaciones que no requieran la intervencin del usuario. Seleccione Mostrar solo las notificaciones en las que se necesite la intervencin del usuario cuando se ejecuten aplicaciones a pantalla completa para eliminar todas las notificaciones que no sean interactivas. En el men desplegable Nivel mnimo de detalle de los eventos a mostrar, se puede seleccionar el nivel de gravedad inicial de las alertas y notificaciones que se mostrarn. La ltima caracterstica de esta seccin le permite configurar el destino de las notificaciones en un entorno con varios usuarios. En el campo En sistemas con varios usuarios, mostrar las notificaciones en la pantalla de este usuario le permite definir quin recibir notificaciones importantes de ESET Mail Security. Normalmente, se tratar de un administrador de sistemas o de redes. Esta opcin resulta especialmente til para servidores de terminal, siempre que todas las notificaciones del sistema se enven al administrador. 4.8.2 Desactivar la GUI en Terminal Server En este captulo se explica cmo desactivar la ejecucin de la GUI de ESET Mail Security en Windows Terminal Server para las sesiones de usuario. Normalmente, la GUI de ESET Mail Security se inicia cada vez que un usuario remoto inicia sesin en el servidor y crea una sesin de Terminal; una accin que no suele ser deseable en los servidores Terminal Server. Si desea desactivar la GUI para sesiones de terminal, siga estos pasos: 1. Ejecute regedit.exe 2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Haga clic con el botn derecho del ratn en el valor egui y seleccione Modificar 4. Agregue un modificador /terminal al final de una cadena existente A continuacin se proporciona un ejemplo de cmo debera ser el valor de egui: "C:\Archivos de programa\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal Si desea restaurar esta configuracin y activar el inicio automtico de la GUI de ESET Mail Security, elimine el conmutador /terminal . Para ir al valor de registro de egui, repita los pasos del 1 al 3. 120 4.9 eShell eShell (abreviacin de ESET Shell) es una interfaz de lnea de comandos para ESET Mail Security. Se trata de una alternativa a la interfaz grfica de usuario (GUI). eShell tiene todas las caractersticas y opciones que suele ofrecer una interfaz grfica de usuario; adems, le permite configurar y administrar todo el programa sin necesidad de utilizar la GUI. Adems de todas las funciones y caractersticas disponibles en la GUI, tambin le ofrece una funcin de automatizacin mediante la ejecucin de scripts para configurar, modificar una configuracin o realizar una accin. eShell tambin puede ser de utilidad para aquellos que prefieren utilizar la lnea de comandos en vez de la GUI. NOTA: aqu encontrar un manual de eShell que puede descargar. Este incluye una lista de todos los comandos, con su sintaxis y una descripcin. En esta seccin se explica cmo desplazarse por eShell y cmo utilizarla, y se proporciona una lista de todos los comandos con la descripcin pertinente (para qu se usa el comando y qu hace). eShell se puede ejecutar en dos modos: Modo interactivo: es til para trabajar con eShell (no simplemente ejecutar un comando); por ejemplo, para realizar tareas como cambiar la configuracin o ver los registros. Tambin puede utilizar el modo interactivo si an no est familiarizado con todos los comandos, ya que facilita la navegacin por eShell. En este modo, se muestran los comandos disponibles para un contexto determinado. Modo por lotes/un solo comando: utilice este modo sin tan solo necesita ejecutar un comando, sin acceder al modo interactivo de eShell. Puede hacer esto desde la ventana de smbolo del sistema de Windows, escribiendo eshell y los parmetros adecuados. Por ejemplo: eshell set av document status enabled NOTA: para ejecutar comandos de eShell desde la ventana de smbolo del sistema de Windows o ejecutar archivos por lotes, esta funcin debe estar activada (debe ejecutar el comando set general access batch always en el modo interactivo). Si desea ms informacin sobre el comando set batch, haga clic aqu . Puede acceder al modo interactivo de eShell con estos dos mtodos: Desde el men Inicio de Windows: Inicio > Todos los programas > ESET > ESET File Security > ESET shell. Desde la ventana de smbolo del sistema de Windows, escribiendo eshell y pulsando la tecla Intro. La primera vez que ejecute eShell en modo interactivo, se mostrar la pantalla de primera ejecucin. En esta pantalla se muestran varios ejemplos sencillos de cmo utilizar eShell con sintaxis, prefijos, rutas de comandos, formas abreviadas, alias, etc. Bsicamente, es una gua rpida sobre eShell. NOTA: si desea ver otra vez la pantalla de primera ejecucin, introduzca el comando guide . NOTA: los comandos no distinguen maysculas y minsculas, por lo que el uso de unas u otras no afectar a su ejecucin. 124 121 4.9.1 Uso Sintaxis Los comandos deben presentar una sintaxis correcta para funcionar y pueden constar de un prefijo, contexto, argumentos, opciones, etc. Esta es la sintaxis general que se utiliza en eShell: [<prefijo>] [<ruta del comando>] <comando> [<argumentos>] Ejemplo (este ejemplo activa la proteccin de documentos): SET AV DOCUMENT STATUS ENABLED SET: un prefijo AV DOCUMENT: ruta de acceso a un comando determinado, contexto al que pertenece dicho comando STATUS: el comando propiamente dicho ENABLED: un argumento del comando Si se utiliza HELP o ? con un comando, se mostrar la sintaxis de dicho comando. Por ejemplo, el prefijo CLEANLEVEL HELP mostrar la sintaxis del comando CLEANLEVEL : SINTAXIS: [get] | restore cleanlevel set cleanlevel none | normal | strict Ver que [get] se encierra entre corchetes. Esto indica que el prefijo get es el predeterminado para el comando cleanlevel . De este modo, si se ejecuta cleanlevel sin especificar ningn prefijo, se utilizar el prefijo predeterminado (en este caso, get cleanlevel). El uso de comandos sin prefijos ahorra tiempo a la hora de escribir. Normalmente, get es el prefijo predeterminado para la mayora de los comandos; compruebe cul es el prefijo predeterminado de un comando concreto para asegurarse de que es el que desea ejecutar. NOTA: los comandos no distinguen maysculas y minsculas, por lo que el uso de unas u otras no afectar a su ejecucin. Prefijo/Operacin Un prefijo es una operacin. El prefijo GET proporciona informacin sobre la configuracin de una caracterstica determinada de ESET Mail Security o muestra el estado (por ejemplo, GET AV STATUS muestra el estado actual de la proteccin). El prefijo SET configura la funcionalidad o cambia su estado (SET AV STATUS ENABLED activa la proteccin). Estos son los prefijos que permite utilizar eShell. No todos los comandos admiten todos los prefijos: GET: devuelve el estado o la configuracin actual SET: define el valor o el estado SELECT: selecciona un elemento ADD: aade un elemento REMOVE: elimina un elemento CLEAR: elimina todos los elementos o archivos START: inicia una accin STOP: detiene una accin PAUSE: pone en pausa una accin RESUME: reanuda una accin RESTORE: restaura la configuracin, el objeto o el archivo predeterminado SEND: enva un objeto o archivo IMPORT: importa desde un archivo EXPORT: exporta a un archivo Algunos prefijos, como GET y SET se utilizan con muchos comandos; y algunos comandos, como EXIT, no utilizan ningn prefijo. Ruta/contexto del comando Los comandos se colocan en contextos que conforman una estructura de rbol. El nivel superior del rbol es la raz. Cuando ejecuta eShell, el usuario est en el nivel raz: eShell> Puede ejecutar el comando desde este nivel o introducir el nombre de contexto para desplazarse por el rbol. Por ejemplo, si introduce el contexto TOOLS , se mostrar una lista con todos los comandos y subcontextos disponibles desde este nivel. 122 Los elementos amarillos son comandos que el usuario puede ejecutar y los elementos grises, subcontextos que puede especificar. Un subcontexto contiene ms comandos. Si desea subir un nivel, escriba .. (dos puntos). Por ejemplo, si se encuentra aqu: eShell av options> escriba .. para subir un nivel, a: eShell av> Si desea volver al nivel raz desde eShell av options> (dos niveles por debajo del nivel raz), simplemente escriba .. .. (dos puntos, un espacio y otros dos puntos). As, subir dos niveles, hasta el nivel raz en este caso. Los dos puntos se pueden utilizar en cualquier nivel del rbol de contexto. Utilice el nmero de .. que necesite para ir al nivel deseado. La ruta de acceso es relativa al contexto actual. Si el comando se encuentra en el contexto actual, no especifique una ruta. Por ejemplo, para ejecutar GET AV STATUS escriba: GET AV STATUS, si se encuentra el contexto raz (en la lnea de comandos se muestra eShell>) GET STATUS, si se encuentra en el contexto AV (la lnea de comandos muestra eShell av>) .. GET STATUS, si se encuentra en el contexto AV OPTIONS (la lnea de comandos muestra eShell av options>) Argumento Un argumento es una accin que se realiza para un comando determinado. Por ejemplo, el comando CLEANLEVEL se puede utilizar con los argumentos siguientes: none: no desinfectar normal: desinfeccin estndar strict desinfeccin exhaustiva Otro ejemplo son los argumentos ENABLED o DISABLED,que se utilizan para activar o desactivar una funcin o caracterstica determinadas. Forma abreviada/comandos abreviados eShell le permite acortar los contextos, comandos y argumentos (siempre que el argumento sea un modificador o una opcin alternativa). Los argumentos o prefijos que sean un valor concreto, como un nmero, un nombre o una ruta de acceso, no se pueden acortar. Ejemplos de formas abreviadas: set status enabled => set stat en add av exclusions C:\path\file.ext => add av exc C:\path\file.ext 123 Si dos comandos o contextos empiezan con las mismas letras (por ejemplo ABOUT y AV, y escribe A como comando abreviado), eShell no podr decidir cul de los dos comandos desea ejecutar y mostrar un mensaje de error con los comandos que empiezan por "A" que puede elegir: eShell>a El comando siguiente no es nico: a Los comandos siguientes estn disponibles en este contexto: ABOUT: muestra informacin sobre el programa AV: cambia al contexto av Al aadir una o ms letras (por ejemplo, AB en vez de solo A) eShell ejecutar el comando ABOUT , que ahora es nico. NOTA: para asegurarse de que un comando se ejecuta tal como lo necesita, es preferible que no abrevie los comandos, argumentos y dems, sino que utilice la forma completa. De esta manera, el comando se ejecutar tal como desea y no se producirn errores inesperados. Este consejo es especialmente til para los scripts y archivos por lotes. Alias Un alias es un nombre alternativo que se puede utilizar para ejecutar un comando (siempre que el comando tenga un alias asignado). Hay varios alias predeterminados: (global) help: - ? (global) close: cerrar (global) quit: cerrar (global) bye: cerrar warnlog: sucesos de registro de herramientas virlog: detecciones de registro de herramientas "(global)" significa que el comando se puede utilizar en cualquier sitio, independientemente del contexto actual. Un comando puede tener varios alias asignados; por ejemplo, el comando EXIT tiene los alias CLOSE, QUIT y BYE. Si desea cerrar eShell, puede utilizar el comando EXIT o cualquiera de sus alias. El alias VIRLOG es para el comando DETECTIONS , que se encuentra en el contexto TOOLS LOG . De esta manera, el comando detections est disponible en el contexto ROOT y, por lo tanto, es ms fcil acceder a l (no es necesario especificar TOOLS y, despus, el contexto LOG para ejecutarlo directamente desde ROOT). eShell le permite definir sus propios alias. Comandos protegidos Algunos comandos estn protegidos y es necesario especificar una contrasea para ejecutarlos. Gua Al ejecutar el comando GUIDE , se muestra la pantalla de primera ejecucin, donde se explica cmo utilizar eShell. Este comando est disponible en el contexto ROOT (eShell>). Ayuda Cuando se utiliza el comando HELP solo, se muestra una lista con todos los comandos disponibles con prefijos y subcontextos en el contexto actual. Tambin se proporciona una breve descripcin de cada comando y subcontexto. Si HELP se utiliza como argumento con un comando dado (por ejemplo, CLEANLEVEL HELP), se mostrarn los datos de dicho comando. Se proporcionarn la sintaxis, las operaciones, los argumentos y los alias del comando con una breve descripcin de cada uno de ellos. Historial de comandos eShell guarda el historial de los comandos ejecutados anteriormente. Este historial solo incluye la sesin interactiva actual de eShell, y se borrar cuando salga de eShell. Utilice las teclas de flecha arriba y abajo del teclado para desplazarse por el historial. Una vez que haya encontrando el comando que buscaba, puede volver a ejecutarlo o modificarlo sin necesidad de escribir el comando completo desde el principio. CLS/Borrar pantalla El comando CLS se puede utilizar para borrar la pantalla; funciona igual que la ventana de smbolo del sistema de Windows u otras interfaces de lnea de comandos similares. EXIT/CLOSE/QUIT/BYE Para cerrar o salir de eShell, puede utilizar cualquiera de estos comandos (EXIT, CLOSE, QUIT o BYE). 124 4.9.2 Comandos En esta seccin se ofrece una lista de algunos comandos bsicos de eShell con su descripcin a modo de ejemplo. Para ver la lista completa de comandos, consulte el manual de eShell que se puede descargar aqu. NOTA: los comandos no distinguen maysculas y minsculas, por lo que el uso de unas u otras no afectar a su ejecucin. Comandos del contexto ROOT: ABOUT Muestra informacin sobre el programa. Indica el nombre del producto instalado, el nmero de versin, los componentes instalados (incluido el nmero de versin de cada componente) e informacin bsica sobre el servidor y el sistema operativo en el que se est ejecutando ESET Mail Security. RUTA DE ACCESO AL CONTEXTO: root BATCH Inicia el modo por lotes de eShell. Es muy til cuando se ejecutan scripts o archivos por lotes; se recomienda su uso con archivos por lotes. Escriba START BATCH como primer comando del script o archivo por lotes para activar el modo por lotes. Si activa esta funcin, no se solicitar ninguna entrada interactiva (como la introduccin de una contrasea) y los argumentos que faltan se sustituirn por los predeterminados. De esta manera, se garantiza que el archivo por lotes no se detendr a mitad de la operacin porque eShell est esperando la intervencin del usuario. El archivo por lotes se ejecutar sin interrupciones (a menos que haya un error o los comandos del archivo sean incorrectos). RUTA DE ACCESO AL CONTEXTO: root SINTAXIS: [start] batch OPERACIONES: start: inicia el modo por lotes de eShell RUTA DE ACCESO AL CONTEXTO: root EJEMPLOS: start batch: inicia el modo por lotes de eShell GUIDE Muestra la pantalla de primera ejecucin. RUTA DE ACCESO AL CONTEXTO: root PASSWORD Normalmente, para ejecutar comandos protegidos mediante contrasea es necesario introducir una contrasea por cuestiones de seguridad. Esto es as en comandos como, por ejemplo, los que desactivan la proteccin antivirus o los que pueden afectar a la funcionalidad de ESET Mail Security. La contrasea se le solicitar cada vez que ejecute el comando. Puede definir esta contrasea para no tener que introducirla cada vez. eShell recordar la contrasea y la utilizar automticamente cuando se ejecute un comando protegido con contrasea. De esta manera, no tendr que introducir la contrasea cada vez. NOTA: la contrasea definida solo sirve para la sesin interactiva actual de eShell; se borrar cuando salga de eShell. La prxima vez que inicie eShell, tendr que definir la contrasea de nuevo. Esta contrasea definida tambin es muy til a la hora de ejecutar scripts o archivos por lotes. A continuacin se 125 proporciona un ejemplo de archivo por lotes: eshell start batch "&" set password plain <yourpassword> "&" set status disabled Este comando concatenado inicia el modo por lotes, define la contrasea y desactiva la proteccin. RUTA DE ACCESO AL CONTEXTO: root SINTAXIS: [get] | restore password set password [plain <password>] OPERACIONES: get: muestra la contrasea set: establece o borra la contrasea restore: borra la contrasea ARGUMENTOS: plain: cambia al modo de introduccin de contrasea como parmetro password: contrasea EJEMPLOS: set password plain <yourpassword>: establece una contrasea para los comandos protegidos mediante contrasea restore password: borra la contrasea EJEMPLOS: get password: utilice este comando para comprobar si hay una contrasea configurada (solo se muestran asteriscos "*", no la contrasea); si no se muestra ningn asterisco, significa que no hay ninguna contrasea definida set password plain <yourpassword>: utilice este comando para establecer la contrasea definida restore password: este comando borra la contrasea definida STATUS Muestra informacin sobre el estado de la proteccin actual de ESET Mail Security (similar a la GUI). RUTA DE ACCESO AL CONTEXTO: root SINTAXIS: [get] | restore status set status disabled | enabled OPERACIONES: get: muestra el estado de la proteccin antivirus set: activa o desactiva la proteccin antivirus restore: restaura la configuracin predeterminada ARGUMENTOS: disabled: desactiva la proteccin antivirus enabled: activa la proteccin antivirus EJEMPLOS: get status: muestra el estado de la proteccin actual 126 set status disabled: desactiva la proteccin restore status: restaura la configuracin predeterminada de la proteccin (Activada) VIRLOG Este es un alias del comando DETECTIONS . Es til cuando se necesita ver informacin sobre las amenazas detectadas. WARNLOG Este es un alias del comando EVENTS . Es til cuando se necesita ver informacin sobre varios sucesos. 4.10 Importar y exportar configuracin La opcin de importar y exportar configuraciones de ESET Mail Security est disponible en Configuracin y se activa haciendo clic en Importar y exportar configuracin. Tanto en la importacin como en la exportacin se utiliza el tipo de archivo .xml. La importacin y la exportacin son tiles para realizar copias de seguridad de la configuracin actual de ESET Mail Security y, as, poder utilizarla ms adelante. La opcin de exportacin de configuracin tambin es de utilidad para los usuarios que desean utilizar su configuracin preferida de ESET Mail Security en varios sistemas, ya que les permite importar fcilmente el archivo .xml para transferir los ajustes deseados. 4.11 ThreatSense.Net El sistema de alerta temprana ThreatSense.Net informa a ESET de manera constate e inmediata acerca de nuevas amenazas. El sistema de alerta temprana bidireccional ThreatSense.Net tiene una sola finalidad: mejorar la proteccin que le ofrecemos. La mejor forma de garantizar la deteccin de nuevas amenazas en cuanto aparecen es un "enlace" al mayor nmero posible de clientes que funcionen como exploradores de amenazas. Existen dos opciones: 1. Puede optar por no activar el sistema de alerta temprana ThreatSense.Net. El software no perder funcionalidad y seguir recibiendo la mejor proteccin que ofrecemos. 2. Puede configurar el sistema de alerta temprana ThreatSense.Net para enviar informacin annima acerca de nuevas amenazas y sobre la ubicacin del nuevo cdigo malicioso. Este archivo se puede enviar a ESET para que realice un anlisis detallado. El estudio de estas amenazas ayudar a ESET a actualizar sus funciones de deteccin de amenazas. El sistema de alerta temprana ThreatSense.Net recopilar informacin annima del ordenador relacionada con las amenazas detectadas recientemente. Esta informacin puede incluir una muestra o copia del archivo donde haya aparecido la amenaza, la ruta a ese archivo, el nombre de archivo, la fecha y la hora, el proceso por el que apareci la amenaza en el ordenador e informacin sobre el sistema operativo del ordenador. Aunque existe la posibilidad de que este proceso pueda revelar cierta informacin acerca del usuario o su ordenador (nombres de usuario en una ruta al directorio, etc.) al laboratorio de ESET, esta informacin no se utilizar con NINGN propsito que no est relacionado con la ayuda necesaria para responder inmediatamente a nuevas amenazas. De forma predeterminada, ESET Mail Security est configurado para confirmar el envo de archivos sospechosos para su anlisis detallado en los laboratorios de ESET. Los archivos con determinadas extensiones, como .doc o .xls, se excluyen siempre. Tambin puede agregar otras extensiones para excluir los archivos que usted o su empresa no 127 deseen enviar. La configuracin de ThreatSense.Net est disponible en la ventana Configuracin avanzada, en Herramientas > ThreatSense.Net. Seleccione la opcin Activar el sistema de alerta temprana ThreatSense para activar el sistema y, a continuacin, haga clic en el botn Configuracin avanzada. 128 4.11.1 Archivos sospechosos La opcin Archivos sospechosos le permite configurar el modo de envo de amenazas al laboratorio de ESET para su anlisis. Si encuentra un archivo sospechoso, puede enviarlo a nuestros laboratorios para su anlisis. Si resulta ser una aplicacin maliciosa, su deteccin se agregar a la siguiente actualizacin de la base de firmas de virus. Puede configurar el envo de archivos para que se realice automticamente o seleccionar la opcin Avisar antes de enviar si desea saber qu archivos se envan y confirmar el envo. Si no desea que se enve ningn archivo, seleccione la opcin No enviar para su anlisis. La seleccin de la opcin de no enviar archivos no afecta al envo de datos estadsticos, que se configura de forma independiente (consulte la seccin Estadsticas ). Envo de archivos: de forma predeterminada, la opcin Tan pronto como sea posible est seleccionada para que los archivos sospechosos se enven al laboratorio de amenazas de ESET. Esta accin es aconsejable si se dispone de una conexin a Internet permanente y es posible entregar los archivos sospechosos sin retrasos. Seleccione la opcin Durante la actualizacin para que los archivos sospechosos se carguen en ThreatSense.Net durante la prxima actualizacin. Filtro de exclusin: esta opcin le permite excluir del envo determinados archivos o carpetas. Esta opcin puede ser til, por ejemplo, para excluir archivos que puedan contener informacin confidencial, como documentos u hojas de clculo. Los tipos de archivos ms comunes se excluyen de manera predeterminada (.doc, etc.). Si lo desea, puede aadir elementos a la lista de archivos excluidos. Correo electrnico de contacto: su Correo electrnico de contacto [opcional] se puede enviar con cualquier archivo sospechoso y se utilizar para solicitarle informacin adicional para el anlisis, en caso de que sea necesaria. Tenga en cuenta que no recibir una respuesta de ESET, a no ser que sea necesaria ms informacin. 129 129 4.11.2 Estadsticas El sistema de alerta temprana ThreatSense.Net recopilar informacin annima del ordenador relacionada con amenazas detectadas recientemente. Esta informacin puede incluir el nombre de la amenaza, la fecha y la hora en que se detect, la versin del producto de seguridad de ESET, la versin del sistema operativo de su ordenador y la configuracin regional. Normalmente, las estadsticas se envan a los servidores de ESET una o dos veces al da. A continuacin, se proporciona un ejemplo de paquete de informacin estadstica enviado: # utc_time=2005-04-14 07:21:28 # country="Slovakia" # language="ENGLISH" # osver=5.1.2600 NT # engine=5417 # components=2.50.2 # moduleid=0x4e4f4d41 # filesize=28368 # filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1463[1].exe Envo de archivos: puede indicar cundo desea que se enven los datos estadsticos. Si opta por enviarlos Tan pronto como sea posible, los datos estadsticos se enviarn en cuanto se creen. Esta configuracin es aconsejable si se dispone de una conexin a Internet permanente. Si selecciona la opcin Durante la actualizacin, los datos estadsticos se enviarn todos juntos cuando se realice la prxima actualizacin. 130 4.11.3 Envo de archivos Puede especificar cmo se enviarn a ESET los archivos y la informacin estadstica. Seleccione la opcin Mediante administracin remota o directamente a ESET para que los archivos y la informacin estadstica se enven de todas las formas posibles. Seleccione la opcin Mediante administracin remota para entregar los archivos y las estadsticas al servidor de administracin remota, que garantizar su posterior entrega a los laboratorios de ESET. Si se selecciona la opcin Directamente a ESET, todos los archivos sospechosos y la informacin estadstica se envan a los laboratorios de ESET directamente desde el programa. Cuando hay archivos pendientes de enviar, el botn Enviar ahora est activo. Haga clic en este botn para enviar los archivos y la informacin estadstica inmediatamente. Seleccione la opcin Activar el registro de sucesos para crear un registro en el que anotar los envos de archivos e informacin estadstica. 131 4.12 Administracin remota ESET Remote Administrator (ERA) es una potente herramienta que sirve para gestionar las directivas de seguridad y obtener informacin general sobre la seguridad global en una red. Es especialmente til cuando se aplica a redes de gran tamao. ERA no se limita a aumentar la seguridad, sino que tambin facilita la administracin de ESET Mail Security en estaciones de trabajo cliente. Las opciones de configuracin de la administracin remota estn disponibles en la ventana principal del programa ESET Mail Security. Haga clic en Configuracin > Muestra las opciones avanzadas de configuracin > Varios > Administracin remota. Para activar la administracin remota, seleccione la opcin Conectar al servidor remoto de control. As, podr acceder a las opciones que se describen a continuacin: Intervalo entre conexiones al servidor (min.): designa la frecuencia con que ESET Mail Security se conectar al ERA Server. Si se establece en 0, la informacin se enviar cada 5 segundos. Direccin del servidor: direccin de red del servidor donde est instalado ERA Server. Puerto: este campo contiene un puerto de servidor predefinido que se utiliza para la conexin. Se recomienda dejar la configuracin predeterminada del puerto en 2222. El servidor de administracin remota requiere autenticacin: esta opcin le permite escribir una contrasea para conectarse a ERA Server, si es necesario. Haga clic en Aceptar para confirmar los cambios y aplicar la configuracin. ESET Mail Security utilizar esta configuracin para conectarse a ERA Server. 132 4.13 Licencias En la seccin Licencias, puede administrar las claves de licencia de ESET Mail Security y otros productos de ESET, como ESET Mail Security. Las claves de licencia se proporcionan despus de la compra, junto con el nombre de usuario y la contrasea. Para agregar/quitar una clave de licencia, haga clic en el botn correspondiente de la ventana del administrador de licencias. Puede acceder al administrador de licencias desde el rbol de configuracin avanzada disponible debajo de Varios > Licencias. La clave de licencia es un archivo de texto que contiene informacin acerca del producto adquirido: su propietario, nmero de licencias y fecha de expiracin. La ventana del administrador de licencias le permite cargar y ver el contenido de una clave de licencia mediante el botn Agregar, de modo que puede ver su informacin en el administrador. Para eliminar los archivos de licencia de la lista, seleccione Quitar. Si una clave de licencia ha expirado y desea renovarla, haga clic en el botn Comprar para acceder a la tienda en lnea. 133 5. Glosario 5.1 Tipos de amenazas Una amenaza es un software malicioso que intenta entrar en el ordenador de un usuario y daarlo. 5.1.1 Virus Un virus informtico es una amenaza que daa los archivos del ordenador. Su nombre se debe a los virus biolgicos, ya que usan tcnicas similares para pasar de un ordenador a otro. Los virus informticos atacan principalmente a los archivos y documentos ejecutables. Para reproducirse, un virus adjunta su "cuerpo" al final de un archivo de destino. En resumen, as es cmo funciona un virus informtico: despus de la ejecucin del archivo infectado, el virus se activa (antes de la aplicacin original) y realiza la tarea que tiene predefinida. Despus, se ejecuta la aplicacin original. Un virus no puede infectar un ordenador a menos que un usuario (bien accidental o deliberadamente) ejecute o abra el programa malintencionado. Los virus informticos pueden tener diversos fines y niveles de gravedad. Algunos son muy peligrosos, debido a su capacidad para eliminar archivos del disco duro de forma deliberada. Sin embargo, otros virus no causan daos reales, solo sirven para molestar al usuario y demostrar las capacidades tcnicas de sus autores. Es importante mencionar que los virus (si se comparan con los troyanos o el spyware) son cada vez menos habituales, ya que no son atractivos desde un punto de vista comercial para los autores de software malintencionado. Adems, el trmino "virus" se utiliza incorrectamente con mucha frecuencia para abarcar todo tipo de amenazas. Este trmino est desapareciendo gradualmente y se est sustituyendo por el trmino "malware" (software malicioso), que es ms preciso. Si su ordenador se infecta con un virus, debe restaurar los archivos infectados a su estado original, es decir, desinfectarlos con un programa antivirus. Ejemplos de virus:: OneHalf, Tenga y Yankee Doodle. 5.1.2 Gusanos Un gusano informtico es un programa que contiene cdigo malicioso que ataca a los ordenadores host y se extiende a travs de una red. La principal diferencia entre un virus y un gusano es que los gusanos tienen la capacidad de reproducirse y viajar solos, no dependen de archivos host (o sectores de inicio). Los gusanos se extienden por las direcciones de correo electrnico de la lista de contactos o explotan las vulnerabilidades de seguridad de las aplicaciones de red. Los gusanos son mucho ms viables que los virus informticos; dada la gran disponibilidad de Internet, se pueden extender por todo el mundo en cuestin de horas, o incluso minutos, desde su lanzamiento. Esta capacidad para reproducirse de forma independiente y rpida los hace ms peligrosos que otros tipos de cdigo malicioso. Un gusano activado en un sistema puede causar una serie de problemas: puede eliminar archivos, degradar el rendimiento del sistema o incluso desactivar algunos programas. Adems, su naturaleza le permite servir de "medio de transporte" para otros tipos de amenazas. Si el ordenador est infectado con un gusano, es recomendable eliminar los archivos infectados, pues podran contener cdigo malicioso. Ejemplos de gusanos conocidos: Lovsan/Blaster, Stration/Warezov, Bagle y Netsky. 134 5.1.3 Caballos troyanos Histricamente, los troyanos informticos se han definido como una clase de amenaza que intenta presentarse como un programa til, engaando as a los usuarios para que permitan su ejecucin. Sin embargo, es importante sealar que esto era as en el caso de los caballos troyanos del pasado; hoy en da, ya no necesitan disfrazarse. Su nico fin es infiltrarse lo ms fcilmente posible y cumplir sus malintencionados objetivos. "Troyano" se ha convertido en un trmino muy general para describir cualquier amenaza que no entre en ninguna clase de amenaza especfica. Dado que se trata de una categora muy amplia, con frecuencia se divide en muchas subcategoras: Descargador: programa malintencionado con capacidad para descargar otras amenazas de Internet. Lanzador: troyano diseado para lanzar otros tipos de cdigo malicioso en ordenadores vulnerables. Puerta trasera: aplicacin que se comunica con atacantes remotos y les permite acceder a los sistemas para tomar su control. Registrador de pulsaciones: programa que registra cada pulsacin que escribe el usuario y enva la informacin a atacantes remotos. Marcador: los marcadores son programas diseados para conectar con nmeros de tarifa con recargo. Es casi imposible que un usuario note que se ha creado una conexin. Los marcadores solo pueden causar dao a los usuarios que tienen mdems de marcacin, que ya casi no se utilizan. Normalmente, los troyanos adoptan la forma de archivos ejecutables con la extensin .exe. Si se detecta un archivo como troyano en su ordenador, es recomendable que lo elimine, ya que lo ms probable es que contenga cdigo malicioso. Ejemplos de troyanos conocidos:: NetBus, Trojandownloader, Small.ZL y Slapper. 5.1.4 Rootkits Los rootkits son programas malintencionados que conceden a los atacantes de Internet acceso ilimitado a un sistema, al tiempo que ocultan su presencia. Una vez que han accedido al sistema (normalmente explotando alguna vulnerabilidad del mismo), usan funciones del sistema operativo para evitar su deteccin por parte del antivirus: ocultan procesos, archivos y datos de registro de Windows, etc. Por este motivo, es casi imposible detectarlos con las tcnicas de deteccin normales. Hay dos niveles de deteccin disponibles para evitar los rootkits: 1) Cuando intentan acceder a un sistema. An no estn presentes y, por tanto, estn inactivos. La mayora de los sistemas antivirus pueden eliminar rootkits en este nivel (suponiendo que realmente detectan dichos archivos como infectados). 2) Cuando se ocultan en el proceso normal de anlisis. Los usuarios de ESET Mail Security tienen la ventaja de la tecnologa Anti-Stealth, que tambin puede detectar y eliminar rootkits activos. 5.1.5 Adware Adware es la abreviatura del trmino ingls utilizado para el software relacionado con publicidad. Los programas que muestran material publicitario se incluyen en esta categora. Normalmente, las aplicaciones de adware abren automticamente una ventana emergente nueva con anuncios en el navegador de Internet o cambian la pgina de inicio del navegador. La aplicacin de adware suele instalarse con programas gratuitos, lo que permite a los creadores de esos programas gratuitos cubrir los costes de desarrollo de sus aplicaciones (normalmente tiles). La aplicacin de adware no es peligrosa en s, pero molesta a los usuarios con publicidad. El peligro reside en el hecho de que la aplicacin de adware tambin puede realizar funciones de seguimiento (al igual que las aplicaciones de spyware). Si decide utilizar un producto gratuito, preste especial atencin al programa de instalacin. La mayora de los programas de instalacin le informarn sobre la instalacin de un programa de adware adicional. Normalmente, podr cancelarlo e instalar el programa sin esta aplicacin de adware. Sin embargo, algunos programas no se instalarn sin la aplicacin de adware, o su funcionalidad ser limitada. Esto significa que la aplicacin de adware puede acceder al sistema de manera "legal" a menudo, pues los usuarios as lo 135 han aceptado. En estos casos, es mejor prevenir que curar. Si se detecta un archivo de adware en el ordenador, es recomendable eliminarlo, pues existen muchas probabilidades de que contenga cdigo malicioso. 5.1.6 Spyware Esta categora abarca todas las aplicaciones que envan informacin privada sin el consentimiento o conocimiento del usuario. El spyware usa funciones de seguimiento para enviar diversos datos estadsticos, como una lista de sitios web visitados, direcciones de correo electrnico de la lista de contactos del usuario o una lista de palabras escritas. Los autores de spyware afirman que el objetivo de estas tcnicas es averiguar ms sobre las necesidades y los intereses de los usuarios, as como mejorar la gestin de la publicidad. El problema es que no existe una distincin clara entre las aplicaciones tiles y las malintencionadas, de modo que nadie puede estar seguro de que no se har un mal uso de la informacin recuperada. Los datos obtenidos por aplicaciones spyware pueden contener cdigos de seguridad, cdigos PIN, nmeros de cuentas bancarias, etc. Con frecuencia, el spyware se enva junto con versiones gratuitas de programas para generar ingresos o para ofrecer un incentivo para comprar el software. A menudo, se informa a los usuarios sobre la presencia de spyware durante la instalacin de un programa para ofrecerles un incentivo para la adquisicin de una versin de pago. Algunos ejemplos de productos gratuitos conocidos que se envan junto con spyware son las aplicaciones cliente de redes P2P (peer to peer). Spyfalcon o Spy Sheriff (y muchos ms) pertenecen a una subcategora especfica de spyware: parecen programas antispyware, pero en realidad son aplicaciones de spyware. Si se detecta un archivo de spyware en su ordenador, es aconsejable que lo elimine, ya que es muy posible que contenga cdigo malicioso. 5.1.7 Aplicaciones potencialmente peligrosas Existen muchos programas legtimos que sirven para simplificar la administracin de ordenadores en red. Sin embargo, si caen en las manos equivocadas, podran utilizarse con fines maliciosos. ESET Mail Security proporciona una opcin para detectar estas amenazas. "Aplicaciones potencialmente peligrosas" es la clasificacin utilizada para el software comercial legtimo. Esta clasificacin incluye programas como herramientas de acceso remoto, aplicaciones para detectar contraseas y registradores de pulsaciones (programas que graban todas las teclas pulsadas por un usuario). Si averigua que hay una aplicacin potencialmente peligrosa ejecutndose en su ordenador (y no la ha instalado usted), consulte al administrador de la red o elimine la aplicacin. 5.1.8 Aplicaciones potencialmente indeseables Las aplicaciones potencialmente indeseables no tienen por qu ser maliciosas, pero pueden afectar al rendimiento del ordenador de forma negativa. Estas aplicaciones suelen necesitar el consentimiento del usuario para su instalacin. Si se encuentran en su ordenador, el sistema se comportar de manera diferente (en comparacin con el estado en el que se encontraba antes de la instalacin). Los cambios ms importantes son: Se abren ventanas nuevas que no se haban visto anteriormente. Activacin y ejecucin de procesos ocultos. Mayor uso de los recursos del sistema. Cambios en los resultados de bsqueda. La aplicacin se comunica con servidores remotos. 134 136 5.2 Correo electrnico El correo electrnico es una forma de comunicacin moderna que ofrece muchas ventajas: es flexible, rpido y directo; y tuvo un papel fundamental en la expansin de Internet a principios de los aos 90. Lamentablemente, a causa de su alto nivel de anonimato, el correo electrnico e Internet dan cabida a actividades ilegales como la distribucin de correo no deseado. El correo no deseado incluye anuncios no solicitados, informacin falsa y la difusin de software malicioso (cdigo malicioso). Sus inconvenientes y peligros para el usuario son mayores porque el envo de correo no deseado tiene un coste mnimo, y los autores de este tipo de correo disponen de muchas herramientas para obtener nuevas direcciones de correo electrnico. Adems, la cantidad y la variedad de correo no deseado dificulta en gran medida su regulacin. Cuanto ms utilice su direccin de correo electrnico, mayores sern las posibilidades de que acabe en la base de datos de un motor de correo no deseado. A continuacin, le ofrecemos algunos consejos para su prevencin: Si es posible, no publique su direccin de correo electrnico en Internet. Proporcione su direccin de correo electrnico nicamente a personas de confianza. Si es posible, no utilice alias muy comunes; cuanto ms complicados sean, menor ser la posibilidad de que puedan obtenerlos. No conteste a mensajes de correo no deseado que hayan llegado a su buzn de correo. Tenga cuidado cuando rellene formularios en Internet, preste especial atencin a casillas como "S, deseo recibir informacin". Utilice direcciones de correo electrnico "especializadas; por ejemplo, una para el trabajo, otra para comunicarse con sus amigos, etc. Cambie su direccin de correo electrnico peridicamente. Utilice una solucin antispam. 5.2.1 Publicidad La publicidad en Internet es una de las formas de publicidad que presentan un crecimiento ms rpido. Sus principales ventajas de marketing son los costes mnimos, un contacto muy directo y, lo ms importante, el hecho de que los mensajes se entregan de forma casi inmediata. Muchas empresas utilizan herramientas de marketing por correo electrnico para comunicarse eficazmente con sus clientes actuales y potenciales. Este tipo de publicidad es legtimo, ya que es posible que el usuario est interesado en recibir informacin comercial sobre algunos productos. No obstante, son muchas las empresas que envan mensajes publicitarios no deseados en serie. En estos casos, la publicidad por correo electrnico cruza la lnea y se convierte en correo no deseado. Actualmente, la enorme cantidad de correo no solicitado constituye un problema y no tiene visos de disminuir. Los autores de correos electrnicos no solicitados intentan disfrazar el correo no deseado como mensajes legtimos. 5.2.2 Informacin falsa La informacin falsa se extiende a travs de Internet. Normalmente, la informacin falsa se enva mediante herramientas de comunicacin o correo electrnico como ICQ y Skype. El mensaje en s suele ser una broma o una leyenda urbana. La informacin falsa sobre virus de ordenador pretende generar miedo, incertidumbre y duda en los destinatarios, hacindoles creer que existe un "virus indetectable" que elimina archivos y recupera contraseas, o que realiza ciertas acciones que pueden provocar daos en el sistema. Algunos elementos de informacin falsa solicitan a los destinatarios que reenven los mensajes a sus contactos, divulgando as dicha informacin. La informacin falsa tambin se transmite a travs de telfonos mviles, peticiones de ayuda, personas que se ofrecen a enviarle dinero desde pases extranjeros, etc. Por lo general, es imposible averiguar la intencin del creador. Si recibe un mensaje donde se le solicita que lo reenve a todas las personas que conozca, es muy probable que se trate de informacin falsa. En Internet encontrar muchos sitios web que pueden verificar la legitimidad de un mensaje de correo electrnico. Antes de reenviarlo, realice una bsqueda en Internet sobre cualquier mensaje que 137 sospeche que contiene informacin falsa. 5.2.3 Phishing El trmino phishing define una actividad delictiva que usa tcnicas de ingeniera social (manipulacin de los usuarios para obtener informacin confidencial). Su objetivo es acceder a datos confidenciales como nmeros de cuentas bancarias, cdigos PIN, etc. Normalmente, el acceso se consigue enviando correos electrnicos con remitentes disfrazados de personas o empresas serias (instituciones financieras, compaas de seguros, etc.). La apariencia del correo electrnico puede ser muy genuina, y contener grficos y texto originales de la fuente por la que desean hacerse pasar. En el mensaje se le pide que escriba, con varios pretextos (verificacin de datos, operaciones financieras), algunos de sus datos personales: nmeros de cuentas bancarias o nombres de usuario y contraseas. Dichos datos, si se envan, pueden ser fcilmente sustrados o utilizados de forma fraudulenta. Los bancos, las compaas de seguros y otras empresas legtimas nunca le pediran sus nombres de usuario y contrasea en un correo electrnico no solicitado. 5.2.4 Reconocimiento de correo no deseado no solicitado Por lo general, existen pocos indicadores que puedan ayudarle a identificar el correo no deseado (spam) en su buzn de correo. Si un mensaje cumple, como mnimo, una de las siguientes condiciones, es muy probable que se trate de un mensaje de correo no deseado: La direccin del remitente no pertenece a ninguna persona de su lista de contactos. El mensaje le ofrece una gran cantidad de dinero, pero tiene que proporcionar una pequea cantidad previamente. El mensaje le solicita que introduzca, con varios pretextos (verificacin de datos, operaciones financieras), algunos de sus datos personales (nmeros de cuentas bancarias, nombres de usuario y contraseas, etc.). Est escrito en otro idioma. Le solicita que adquiera un producto en el que no est interesado. Si decide comprarlo de todos modos, compruebe que el remitente del mensaje es un proveedor fiable (consulte al fabricante del producto original). Algunas palabras estn mal escritas para intentar engaar a su filtro de correo no deseado. Por ejemplo, "vaigra en lugar de viagra, entre otros. 5.2.4.1 Reglas En el contexto de las soluciones antispam y los clientes de correo electrnico, las reglas son herramientas para manipular funciones de correo electrnico que constan de dos partes lgicas: 1) Condicin (por ejemplo, un mensaje entrante de una direccin concreta). 2) Accin (por ejemplo, la eliminacin del mensaje o su transferencia a una carpeta especfica). El nmero y la combinacin de reglas vara en funcin de la solucin antispam. Estas reglas sirven como medidas contra el correo no deseado. Ejemplos tpicos: Condicin: un correo electrnico entrante contiene algunas palabras que suelen aparecer en los mensajes de correo no deseado 2. Accin: eliminar el mensaje. Condicin: un correo electrnico entrante contiene un archivo adjunto con una extensin .exe 2. Accin: eliminar el archivo adjunto y enviar el mensaje al buzn de correo. Condicin: recibe un correo electrnico entrante de su jefe 2. Accin: mover el mensaje a la carpeta "Trabajo". Es recomendable que, en los programas antispam, use una combinacin de reglas para facilitar la administracin y filtrar el correo no deseado de forma ms eficaz. 138 5.2.4.2 Filtro Bayesiano El filtro Bayesiano de correo no deseado es una forma efectiva de filtrar correo electrnico que utilizan casi todos los productos antispam. Este filtro identifica el correo no solicitado con una gran precisin y funciona de forma individual para cada usuario. La funcionalidad se basa en el principio siguiente: el proceso de aprendizaje tiene lugar en la primera fase. El usuario marca manualmente un nmero suficiente de mensajes como mensajes legtimos o como correo no deseado (normalmente 200/200). El filtro analiza ambas categoras y aprende, por ejemplo, que el correo no deseado contiene las palabras "rolex" o "viagra" y que los mensajes legtimos proceden de familiares o de direcciones incluidas en la lista de contactos del usuario. Si se procesa un nmero adecuado de mensajes, el filtro Bayesiano puede asignar un "ndice de correo no deseado" a cada mensaje para determinar si es spam o no. La principal ventaja del filtro Bayesiano es su flexibilidad. Por ejemplo, si un usuario es bilogo, normalmente todos los correos electrnicos entrantes sobre biologa o campos de estudio relacionados recibirn un ndice de probabilidad inferior. Si un mensaje incluye palabras que normalmente lo clasificaran como no solicitado, pero lo enva alguien de la lista de contactos del usuario, este se marcar como legtimo, ya que los remitentes de una lista de contactos reducen la probabilidad general de correo no deseado. 5.2.4.3 Lista blanca Por lo general, una lista blanca es una lista de elementos o personas aceptados o a los que se ha concedido permiso. El trmino "lista blanca de correo electrnico" es una lista de contactos de los que el usuario desea recibir mensajes. Estas listas blancas se basan en palabras clave que se buscan en direcciones de correo electrnico, nombres de dominios o direcciones IP. Si una lista blanca funciona en "modo de exclusividad", no se recibirn los mensajes procedentes de otras direcciones, dominios o direcciones IP. Si la lista no es exclusiva, estos mensajes no se eliminarn, sino que se filtrarn de alguna otra forma. Las listas blancas se basan en el principio opuesto al de las listas negras . Las listas blancas son relativamente fciles de mantener, ms que las listas negras. Es recomendable que use tanto una lista blanca como una lista negra para filtrar el correo no deseado de forma ms eficaz. 5.2.4.4 Lista negra Por lo general, una lista negra es una lista de personas o elementos prohibidos o no aceptados. En el mundo virtual, es una tcnica que permite aceptar mensajes de todos los usuarios que no se incluyan en dicha lista. Existen dos tipos de listas negras: las que crean los usuarios con su aplicacin antispam y las profesionales, creadas por instituciones especializadas que las actualizan peridicamente y que se pueden encontrar en Internet. Las listas negras son esenciales para bloquear con xito el correo no deseado; sin embargo, son difciles de mantener, ya que todos los das aparecen nuevos elementos que se deben bloquear. Le recomendamos que utilice una lista blanca y un lista negra para filtrar con mayor eficacia el correo no deseado. 5.2.4.5 Control del servidor El control del servidor es una tcnica que sirve para identificar correo electrnico no deseado en masa a partir del nmero de mensajes recibidos y las reacciones de los usuarios. Cada mensaje deja una "huella" digital nica basada en el contenido del mensaje. El nmero de identificacin exclusivo no indica nada sobre el contenido del mensaje de correo electrnico. Dos mensajes idnticos tendrn huellas idnticas, mientras que los mensajes diferentes tendrn huellas diferentes. Si se marca un mensaje como no deseado, su huella se enva al servidor. Si el servidor recibe ms huellas idnticas (correspondientes a un determinado mensaje no deseado), la huella se guarda en la base de datos de huellas de correo no deseado. Al analizar mensajes entrantes, el programa enva las huellas de los mensajes al servidor que, a su vez, devuelve informacin sobre las huellas correspondientes a los mensajes ya marcados por los usuarios como no deseados. 138 138