ESET Mail Security for Exchange Server 10.1 Manuel du propriétaire
Ajouter à Mes manuels302 Des pages
ESET Mail Security for Exchange Server 10.1 vous protège contre les menaces de messagerie électronique, telles que les virus, les spams et les attaques d'hameçonnage. Ce logiciel intègre des fonctions de protection antivirus, antispam et anti-hameçonnage pour sécuriser votre serveur Exchange. Il offre une protection multicouche avec des fonctionnalités comme l'analyse des messages entrants et sortants, la quarantaine, la gestion des règles et bien plus encore. Grâce à la protection en temps réel, vous pouvez détecter et bloquer les menaces potentielles avant qu'elles n'atteignent votre serveur.
▼
Scroll to page 2
of
302
ESET Mail Security Guide de l'utilisateur Cliquez ici pour consulter la version de l'aide en ligne de ce document Copyright ©2023 d'ESET, spol. s r.o. ESET Mail Security a été développé par ESET, spol. s r.o. Pour plus d’informations, consultez le site https://www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de restitution ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement, numérisation ou autre) sans l’autorisation écrite de l’auteur. ESET, spol. s r.o. se réserve le droit de modifier les logiciels décrits sans préavis. Assistance technique : https://support.eset.com RÉV. 24/10/2023 1 Présentation ...................................................................................................................................... 1 1.1 Fonctionnalités principales .......................................................................................................... 1 1.2 Nouveautés ............................................................................................................................... 3 1.3 Flux des messages ...................................................................................................................... 4 1.4 Fonctionnalités de ESET Mail Security et rôles d'Exchange Server .................................................... 5 1.5 Rôles d'Exchange Server ............................................................................................................. 6 1.6 Modules de protection ................................................................................................................ 6 1.7 Sécurité multicouche .................................................................................................................. 8 1.7 Protection de la base de données de boîtes aux lettres .............................................................................. 8 1.7 Protection du transport des messages ................................................................................................. 9 1.7 Analyse de base de données de boîtes aux lettres à la demande .................................................................... 9 1.7 L'analyse de base de données de boîtes aux lettres Microsoft 365 ................................................................ 10 2 Configuration système requise ....................................................................................................... 11 3 Préparation de l'installation ............................................................................................................ 12 3.1 Étapes d'installation d'ESET Mail Security ................................................................................... 14 3.1 Exporter les configurations ou supprimer l'installation ............................................................................. 17 3.1 Mise à jour initiale des modules ...................................................................................................... 18 3.2 Installation silencieuse/sans assistance ...................................................................................... 19 3.2 Installation via la ligne de commande ............................................................................................... 20 3.3 Activation du produit ................................................................................................................ 23 3.3 Activation réussie ..................................................................................................................... 25 3.3 Compte ESET HUB .................................................................................................................... 25 3.3 Échec de l'activation .................................................................................................................. 25 3.3 Licence ................................................................................................................................ 26 3.4 Mise à niveau vers la dernière version ........................................................................................ 26 3.4 Mise à niveau via ESET PROTECT .................................................................................................... 27 3.4 Mise à niveau via ESET Cluster ....................................................................................................... 28 3.5 Installation dans un environnement à cluster .............................................................................. 31 3.6 Terminal Server ........................................................................................................................ 31 3.7 Environnement multiserveur/DAG ............................................................................................... 31 4 Prise en main .................................................................................................................................. 32 4.1 Tâches de post-installation ........................................................................................................ 32 4.2 Gérés via ESET PROTECT ........................................................................................................... 33 4.3 Surveillance ............................................................................................................................. 34 4.3 Mise à jour Windows disponible ...................................................................................................... 36 4.3 Isolement réseau ..................................................................................................................... 36 5 Utilisation d'ESET Mail Security ....................................................................................................... 38 5.1 Analyser .................................................................................................................................. 38 5.1 Fenêtre Analyse et journal d'analyse ................................................................................................ 40 5.2 Fichiers journaux ...................................................................................................................... 43 5.2 Filtrage des journaux ................................................................................................................. 46 5.3 Mise à jour ............................................................................................................................... 48 5.4 Quarantaine de messages ......................................................................................................... 50 5.5 Configuration ........................................................................................................................... 53 5.5 Serveur ................................................................................................................................ 54 5.5 Ordinateur ............................................................................................................................. 56 5.5 Réseau ................................................................................................................................ 57 5.5 Assistant de dépannage du réseau .................................................................................................. 58 5.5 Internet et messagerie ............................................................................................................... 59 5.5 Outils - Journalisation des données de diagnostic ................................................................................... 59 ................................................................................................. 60 ...................................................................................................................................... 61 5.6 Processus en cours ................................................................................................................... 62 5.6 Statistiques de protection ............................................................................................................ 64 5.6 Cluster ................................................................................................................................. 66 5.6 Assistant Cluster - Sélectionner des nœuds ......................................................................................... 68 5.6 Assistant Cluster - Paramètres du cluster ........................................................................................... 69 5.6 Assistant Cluster - Paramètres de configuration du cluster ......................................................................... 70 5.6 Assistant Cluster - Vérification des nœuds .......................................................................................... 70 5.6 Assistant Cluster - Installation des nœuds ........................................................................................... 72 5.6 ESET Shell ............................................................................................................................. 74 5.6 Utilisation ............................................................................................................................. 76 5.6 Commandes ........................................................................................................................... 81 5.6 Raccourcis clavier ..................................................................................................................... 84 5.6 Fichiers de commandes/scripts ...................................................................................................... 85 5.6 ESET LiveGuard Advanced ........................................................................................................... 86 5.6 ESET SysInspector .................................................................................................................... 87 5.6 ESET SysRescue Live ................................................................................................................. 88 5.6 Planificateur ........................................................................................................................... 89 5.6 Planificateur - Ajouter une tâche ..................................................................................................... 90 5.6 Type de tâche ......................................................................................................................... 92 5.6 Exécution de tâche ................................................................................................................... 93 5.6 Déclenchée par un événement ...................................................................................................... 93 5.6 Exécuter l’application ................................................................................................................. 94 5.6 Tâche ignorée ......................................................................................................................... 94 5.6 Rapport sur la protection du serveur de messagerie ............................................................................... 94 5.6 Aperçu des tâches planifiées ......................................................................................................... 95 5.6 Soumettre les échantillons pour analyse ............................................................................................ 95 5.6 Fichier suspect ........................................................................................................................ 96 5.6 Site suspect ........................................................................................................................... 97 5.6 Fichier faux positif .................................................................................................................... 97 5.6 Site faux positif ....................................................................................................................... 98 5.6 Autre .................................................................................................................................. 98 5.6 Quarantaine ........................................................................................................................... 98 5.7 Assistant d'analyse des boîtes aux lettres Microsoft 365 ............................................................. 100 5.7 Inscription de l'analyseur ESET Mail Security ...................................................................................... 101 5.7 Annulation de l'inscription de l'analyseur ESET Mail Security .................................................................... 104 6 Paramètres de protection du serveur ............................................................................................ 106 6.1 Configuration de la priorité des agents ..................................................................................... 107 6.2 Antivirus et antispyware ......................................................................................................... 108 6.3 Protection antispam ................................................................................................................ 109 6.3 Filtrage et vérification .............................................................................................................. 111 6.3 Antispam - Configurations avancées ............................................................................................... 113 6.3 Paramètres de mise en liste grise .................................................................................................. 116 6.3 SPF et DKIM ......................................................................................................................... 118 6.3 Protection de rétrodiffusion ........................................................................................................ 120 6.3 Protection contre l'usurpation de l'expéditeur .................................................................................... 121 6.4 Protection antihameçonnage ................................................................................................... 123 6.5 Règles ................................................................................................................................... 124 6.5 Condition de règle .................................................................................................................. 127 6.5 Action de règle ...................................................................................................................... 133 5.5 Importer et exporter les paramètres 5.6 Outils .................................................................................................................. 136 ...................................................................................... 138 6.6 Configurations avancées du transport des messages ............................................................................. 142 6.7 Protection de la base de données de boîtes aux lettres ............................................................... 143 6.7 Analyse en arrière-plan ............................................................................................................. 145 6.8 Analyse de base de données de boîtes aux lettres à la demande .................................................. 145 6.8 Analyse de base de données de boîtes aux lettres ............................................................................... 147 6.8 Analyse des boîtes aux lettres Microsoft 365 ...................................................................................... 149 6.8 Éléments de boîte aux lettres supplémentaires ................................................................................... 150 6.8 Serveur proxy ....................................................................................................................... 151 6.8 Détails du compte d'analyse de base de données ................................................................................ 151 6.9 Types de quarantaine de messages .......................................................................................... 153 6.9 Quarantaine locale .................................................................................................................. 154 6.9 Stockage de fichiers ................................................................................................................ 155 6.9 Interface Web ....................................................................................................................... 155 6.9 Envoyer les rapports de mise en quarantaine des messages - tâche planifiée .................................................. 161 6.9 Interface Web Quarantaine de messages pour les utilisateurs ................................................................... 163 6.9 Boîte aux lettres de quarantaine et quarantaine MS Exchange .................................................................. 164 6.9 Paramètres du gestionnaire de la mise en quarantaine .......................................................................... 165 6.9 Serveur proxy ....................................................................................................................... 166 6.9 Détails du compte du gestionnaire de mise en quarantaine ..................................................................... 166 6.10 Signature DKIM .................................................................................................................... 167 6.11 Test antivirus ....................................................................................................................... 169 6.12 Test antispam ...................................................................................................................... 169 6.13 Test anti-hameçonnage ......................................................................................................... 170 7 Paramètres généraux .................................................................................................................... 170 7.1 Computer .............................................................................................................................. 171 7.1 Détection par l'apprentissage machine ............................................................................................ 173 7.1 Exclusions ........................................................................................................................... 176 7.1 Exclusions de performance ......................................................................................................... 177 7.1 Exclusions de détection ............................................................................................................ 178 7.1 Assistant Créer une exclusion ...................................................................................................... 180 7.1 Options avancées ................................................................................................................... 180 7.1 Exclusions automatiques ........................................................................................................... 181 7.1 Une infiltration est détectée ........................................................................................................ 182 7.1 Protection en temps réel du système de fichiers .................................................................................. 183 7.1 ThreatSenseParamètres ............................................................................................................ 184 7.1 Autres paramètres ThreatSense ................................................................................................... 188 7.1 Extensions de fichier exclues de l'analyse ......................................................................................... 189 7.1 Exclusions des processus ........................................................................................................... 189 7.1 Protection dans le cloud ............................................................................................................ 190 7.1 Filtre d’exclusion .................................................................................................................... 192 7.1 Analyses des logiciels malveillants ................................................................................................ 193 7.1 Gestionnaire de profils .............................................................................................................. 194 7.1 Cibles du profil ...................................................................................................................... 194 7.1 Cibles à analyser .................................................................................................................... 196 7.1 Analyse en cas d'inactivité ......................................................................................................... 198 7.1 Analyse au démarrage .............................................................................................................. 199 7.1 Vérification automatique des fichiers de démarrage .............................................................................. 199 7.1 Supports amovibles ................................................................................................................. 200 7.1 Protection des documents .......................................................................................................... 201 6.5 Exemples de règle 6.6 Protection du transport des messages .................................................................................................................... 201 ................................................................................................................................. 204 7.1 Paramètres de règle HIPS .......................................................................................................... 206 7.1 Configurations avancées de HIPS .................................................................................................. 209 7.2 Configuration des mises à jour ................................................................................................. 209 7.2 Restauration des mises à jour ...................................................................................................... 213 7.2 Tâche planifiée : mise à jour ....................................................................................................... 214 7.2 Miroir de mise à jour ................................................................................................................ 215 7.3 Protection du réseau ............................................................................................................... 216 7.3 Réseaux connus .................................................................................................................... 217 7.3 Ajouter un réseau ................................................................................................................... 217 7.3 Zones ................................................................................................................................ 219 7.4 Protection contre les attaques réseau ....................................................................................... 220 7.4 Exceptions IDS ...................................................................................................................... 221 7.4 Blocage d'un menace soupçonné .................................................................................................. 222 7.4 Liste noire temporaire des adresses IP ............................................................................................ 222 7.4 Protection contre les attaques par force brute .................................................................................... 223 7.4 Règles de Protection contre les attaques par force brute ........................................................................ 223 7.4 Exclusions de la protection contre les attaques par force brute .................................................................. 224 7.5 Internet et messagerie ............................................................................................................ 224 7.5 Filtrage des protocoles ............................................................................................................. 224 7.5 Internet et clients de messagerie .................................................................................................. 225 7.5 SSL/TLS .............................................................................................................................. 225 7.5 Liste des certificats connus ........................................................................................................ 227 7.5 Communication SSL chiffrée ....................................................................................................... 228 7.5 Protection du client de messagerie ................................................................................................ 229 7.5 Protocoles de messagerie .......................................................................................................... 230 7.5 Notifications d'e-mail ............................................................................................................... 230 7.5 Barre d'outils Microsoft Outlook .................................................................................................... 231 7.5 Barre d'outils Outlook Express et Windows Mail ................................................................................... 231 7.5 Boîte de dialogue de confirmation ................................................................................................. 232 7.5 Analyser à nouveau les messages ................................................................................................. 232 7.5 Protection de l’accès Web .......................................................................................................... 232 7.5 Gestion des adresses URL .......................................................................................................... 233 7.5 Créer une liste ...................................................................................................................... 234 7.5 Protection Web antihameçonnage ................................................................................................. 236 7.6 Contrôle de périphérique ......................................................................................................... 237 7.6 Règles de périphérique ............................................................................................................. 238 7.6 Groupe de périphériques ........................................................................................................... 240 7.7 Outils de configuration ............................................................................................................ 242 7.7 Créneaux horaires .................................................................................................................. 242 7.7 Microsoft Windows Update ......................................................................................................... 243 7.7 Analyseur de ligne de commande .................................................................................................. 243 7.7 ESET CMD ........................................................................................................................... 245 7.7 ESET RMM ........................................................................................................................... 247 7.7 Licence .............................................................................................................................. 248 7.7 Fournisseur WMI .................................................................................................................... 248 7.7 Données fournies ................................................................................................................... 249 7.7 Accès aux données fournies ........................................................................................................ 259 7.7 Cibles à analyser de la console de gestion ESET .................................................................................. 260 7.7 Mode de remplacement ............................................................................................................ 260 7.1 Analyse Hyper-V 7.1 HIPS .................................................................................................................... 263 ................................................................................................. 266 7.7 Serveur proxy ....................................................................................................................... 268 7.7 Mode de présentation .............................................................................................................. 269 7.7 Diagnostics .......................................................................................................................... 269 7.7 Assistance technique ............................................................................................................... 270 7.7 Cluster ............................................................................................................................... 271 7.8 Interface utilisateur ................................................................................................................ 272 7.8 Configuration de l'accès ............................................................................................................ 273 7.8 ESET Shell ........................................................................................................................... 274 7.8 Désactivation de l'interface utilisateur graphique sur Terminal Server .......................................................... 275 7.8 Icône dans la zone de notification Windows ....................................................................................... 275 7.9 Notifications .......................................................................................................................... 276 7.9 États d'application .................................................................................................................. 276 7.9 États et messages désactivés ...................................................................................................... 277 7.9 Notifications du Bureau ............................................................................................................. 277 7.9 Personnalisation .................................................................................................................... 278 7.9 Notifications du Bureau ............................................................................................................. 279 7.9 Alertes interactives ................................................................................................................. 279 7.9 Transfert ............................................................................................................................ 280 7.10 Rétablir les paramètres par défaut ......................................................................................... 282 7.11 Aide et assistance ................................................................................................................. 283 7.11 Envoyer une demande d'assistance .............................................................................................. 284 7.11 À propos d'ESET Mail Security .................................................................................................... 284 7.12 Glossaire ............................................................................................................................. 284 8 Contrat de licence de l'utilisateur final .......................................................................................... 285 9 Politique de confidentialité ............................................................................................................ 292 7.7 Fichiers journaux 7.7 Mappage des événements Syslog Présentation ESET Mail Security pour Microsoft Exchange Server est une solution intégrée qui protège les serveurs de messagerie et les boîtes aux lettres des utilisateurs contre différents types de contenu malveillant, notamment les pièces jointes infectées par des vers ou des chevaux de Troie, les documents contenant des scripts malveillants, les plans d'hameçonnage, le courrier indésirable, la falsification d'expéditeur et l'usurpation d'adresse e-mail. ESET Mail Security fournit quatre types de protections : Antivirus, antispam, antihameçonnage et règles. ESET Mail Security filtre le contenu malveillant au niveau des bases de données de boîtes aux lettres et sur la couche de transport des messages, avant qu'il arrive dans la boîte de réception du destinataire. ESET Mail Security prend en charge Microsoft Exchange Server versions 2010 et ultérieures, ainsi que Microsoft Exchange Server dans un environnement en cluster. Les rôles Microsoft Exchange Server spécifiques (mailbox, hub, edge) sont également pris en charge. ESET Mail Security fournit non seulement la protection de Microsoft Exchange Server, mais également tous les fonctionnalités nécessaires à la protection du serveur proprement dit (protection en temps réel du système de fichiers, protection du réseau, protection de l'accès à Internet et protection du client de messagerie). Vous pouvez gérer ESET Mail Security à distance dans des réseaux de grande taille grâce à ESET PROTECT. De plus, ESET Mail Security peut être utilisé avec des outils de surveillance et d'administration à distance (RMM) tiers. Fonctionnalités principales Le tableau ci-dessous présente les fonctionnalités disponibles dans ESET Mail Security. Véritable produit 64 bits Performances et stabilité supérieures des composants principaux du produit. Antimalware Une protection récompensée et innovante contre les logiciels malveillants. Cette technologie de pointe empêche les attaques et élimine tous les types de menaces, notamment les virus, les rançongiciels, les rootkits, les vers et les logiciels espions, grâce à une analyse dans le cloud pour des taux de détection plus élevés. D'un faible encombrement, cette protection utilise peu de ressources système pour ne pas avoir d'impact négatif sur les performances. Elle utilise un modèle de sécurité par couches. Chaque couche, ou phase, possède un certain nombre de technologies de base. La phase de pré-exécution comprend les technologies suivantes : analyseur UEFI, protection contre les attaques réseau, réputation et cache, sandbox intégré au produit, détections ADN. Les technologies de la phase d'exécution sont les suivantes :bloqueur d'exploit, protection antirançongiciels, scanner de mémoire avancé et analyseur de scripts (AMSI). La phase de post-exécution utilise les technologies suivantes : protection anti-botnet, système CMPS et sandboxing. Cet ensemble de technologies riche en fonctionnalités offre un niveau de protection inégalé. 1 Antispam Le composant antispam est essentiel pour n'importe quel serveur de messagerie. ESET Mail Security utilise un moteur antispam de pointe qui empêche les tentatives d'hameçonnage et de remise de courrier indésirable avec des taux de capture très élevés. ESET Mail Security a réussi de manière consécutive un test de filtrage de courrier indésirable de Virus Bulletin, autorité de test de sécurité de premier plan, et a reçu la certification VBSpam+ pendant plusieurs années. Le moteur antispam a atteint un taux de capture de courrier indésirable de 99,99 % sans aucun faux positif, ce qui en fait une technologie de pointe en matière de protection antispam. La fonctionnalité antispam de ESET Mail Security intègre plusieurs technologies (RBL et DNSBL, empreintes digitales, vérification de la réputation, analyse de contenu, règles, création manuelle de liste blanche/noire, protection de rétrodiffusion et validation des messages à l'aide de SPF et DKIM) afin d'optimiser la détection. La protection antispam d'ESET Mail Security est une solution cloud. La plupart des bases de données de cloud sont situées dans les centres de données ESET. Les services cloud Antispam permettent une mise à jour rapide des données, ce qui accélère le temps de réaction en cas d'apparition de nouveau courrier indésirable. Protection antihameçonnage Fonctionnalité qui empêche les utilisateurs d'accéder à des pages Web connues pour le hameçonnage. Les e-mails peuvent contenir des liens menant à des pages Web d'hameçonnage. ESET Mail Security utilise un analyseur sophistiqué qui recherche ces liens (URL) dans le corps et l'objet des e-mails entrants. Les liens sont comparés avec la base de données d'hameçonnage. Règles Les règles permettent aux administrateurs de filtrer les e-mails indésirables et les pièces jointes en fonction de la politique de l'entreprise. Les pièces jointes comprennent les exécutables, les fichiers multimédias, les archives protégées par mot de passe, etc. Les emails filtrés et leurs pièces jointes peuvent faire l'objet de différentes actions, telles que la mise en quarantaine, la suppression, l'envoi de notifications ou l'enregistrement d'événements. Exporter vers le serveur syslog (Arcsight) Permet la duplication du contenu du journal de la protection du serveur de messagerie sur le serveur syslog au format CEF (Common Event Format) en vue d'une utilisation avec des solutions de gestion des journaux telles que Micro Focus ArcSight. Les événements peuvent être alimentés par le biais de SmartConnector vers ArcSight ou exportés vers des fichiers. Vous disposez ainsi d'un moyen pratique de surveillance centralisée et de gestion des événements de sécurité. Vous pouvez tirer parti de cette fonctionnalité, tout particulièrement si vous disposez d'une infrastructure complexe comprenant un grand nombre de serveurs Microsoft Exchange avec la solution ESET Mail Security. Analyse des boîtes aux Pour les entreprises qui utilisent un environnement Exchange hybride, permet d'analyser lettres Microsoft 365 les boîtes aux lettres dans le cloud. ESET LiveGuard Advanced Service ESET Cloud. Lorsque ESET Mail Security évalue un e-mail comme étant suspect, celui-ci est placé temporairement dans la quarantaine ESET LiveGuard Advanced. Un email suspect est automatiquement soumis au serveur ESET LiveGuard Advanced pour analyse à l'aide des moteurs de détection de logiciels malveillants sophistiqués. ESET Mail Security reçoit ensuite le résultat des analyses. L'e-mail suspect est traité en fonction du résultat. Gestionnaire de quarantaine de messages avec interface web L'administrateur peut inspecter les objets mis en quarantaine et choisir de les supprimer ou de les libérer. Cette fonctionnalité offre un outil de gestion facile à utiliser. L'interface web de la quarantaine permet de gérer à distance le contenu. Il est possible de choisir ses administrateurs et/ou de déléguer l'accès. En outre, les utilisateurs peuvent afficher et gérer leur courrier indésirable après s'être connectés à l'interface Web Quarantaine de messages. Ils ont accès uniquement à leurs messages. Rapports de mise en quarantaine de messages Les rapports de mise en quarantaine des messages sont des e-mails envoyés aux utilisateurs ou aux administrateurs sélectionnés afin de leur fournir des informations sur tous les e-mails mis en quarantaine. Ils leur permettent également de gérer à distance le contenu mis en quarantaine. 2 Analyse de base de L'analyse de base de données de boîtes aux lettres à la demande permet aux données de boîtes aux administrateurs d'analyser manuellement des boîtes aux lettres sélectionnées ou de lettres à la demande planifier l'analyse en dehors des heures de bureau. L'analyseur de base de données de boîtes aux lettres utilise l'API des services Web Exchange pour se connecter à Microsoft Exchange Server via les protocoles HTTP/HTTPS. L'analyseur utilise également le parallélisme pendant l'analyse afin d'améliorer les performances. ESET Cluster ESET Cluster permet de gérer plusieurs serveurs à partir d'un seul et même emplacement. À l'instar d'ESET File Security pour Microsoft Windows Server, l'ajout de nœuds de serveur à un cluster facilite la gestion en raison de la distribution possible d'une configuration à tous les membres du cluster. ESET Cluster peut être également utilisé pour synchroniser les bases de données de mise en liste grise et le contenu de la quarantaine locale des messages. Exclusions des processus Exclut des processus spécifiques de l'analyse anti-logiciel malveillant lors de l'accès. L'analyse anti-logiciel malveillant lors de l'accès peut entraîner des conflits dans certaines situations, par exemple lors d'une sauvegarde ou de migrations dynamiques de machines virtuelles. Les exclusions des processus réduisent le risque de conflits potentiels et augmentent les performances des applications exclues, ce qui a un effet positif sur les performances et la stabilité globales du système d'exploitation. L'exclusion d'un processus/d'une application est l'exclusion de son fichier exécutable (.exe). eShell (shell ESET) eShell 2.0 est désormais disponible dans ESET Mail Security. eShell est une interface à ligne de commande qui offre aux utilisateurs expérimentés et aux administrateurs des options plus complètes pour gérer les produits serveur ESET. ESET PROTECT Meilleure intégration à ESET PROTECT, y compris la possibilité de planifier diverses tâches. Pour plus d'informations, voir l'aide en ligne d'ESET PROTECT . Installation basée sur L'installation peut être personnalisée pour ne contenir que des composants sélectionnés les composants du produit. Protection contre l'usurpation de l'expéditeur Nouvelle fonctionnalité qui protège contre une pratique courante qui consiste à falsifier les informations relatives à l'expéditeur d'un e-mail, appelée « usurpation de l'identité de l'expéditeur ». Il est peu probable que le destinataire de l'e-mail fasse la distinction entre un expéditeur valide et un expéditeur dont l'identité a été falsifiée, car l'e-mail semble généralement avoir été envoyé depuis une source légitime. Vous pouvez activer et configurer la protection contre l'usurpation de l'expéditeur dans Configurations avancées ou créer des règles personnalisées. Signature DKIM ESET Mail Security propose une fonctionnalité de signature DKIM pour renforcer encore la sécurité des e-mails sortants. Sélectionnez le certificat client et spécifiez les en-têtes d'e-mail qui sont signés avec la signature DKIM. Vous pouvez configurer la signature DKIM pour chaque domaine séparément pour plusieurs domaines. Nouveautés Nouvelles fonctionnalités et améliorations d'ESET Mail Security : • Véritable produit 64 bits • Analyse des boîtes aux lettres Office 365 • Protection anti-hameçonnage des messages • Protection de rétrodiffusion • Rapports administrateur de mise en quarantaine de messages 3 • Rapport sur la protection du serveur de messagerie • ESET Cluster est désormais disponible dans la Quarantaine des messages • Synchronisation de la quarantaine locale de messages via ESET Cluster • Journal de protection SMTP • ESET LiveGuard Advanced • ESET Inspect assistance technique • ESET RMM • Exporter vers le serveur syslog (Arcsight) • Isolement réseau • Détection par l'apprentissage machine • Journaux d'audit • Micro mises à jour des composants du programme • Protection contre l'usurpation de l'expéditeur • Signature DKIM • Analyse des boîtes aux lettres Microsoft 365 Reportez-vous aux journaux de modifications détaillés pour ESET Mail Security. Flux des messages Le diagramme ci-dessous montre le flux des messages dans Microsoft Exchange Server et ESET Mail Security. Pour plus d'informations sur l'utilisation d'ESET LiveGuard Advanced avec ESET Mail Security, consultez l'aide en ligne ESET LiveGuard Advanced. 4 Fonctionnalités de ESET Mail Security et rôles d'Exchange Server Le tableau ci-dessous permet d'identifier les fonctionnalités disponibles pour chaque version prise en charge de Microsoft Exchange Server et des rôles. L'assistant d'installation de ESET Mail Security vérifie votre environnement pendant l'installation. Une fois installé, ESET Mail Security affiche ses fonctionnalités selon la version détectée d'Exchange Server et des rôles. Version d'Exchange Server et rôle serveur Protection antispam Analyse de Protection Protection base de de la base de Protection du transport données de Règles données de antihameçonnage des boîtes aux boîtes aux messages lettres à la lettres demande Microsoft Exchange Server 2010 (plusieurs rôles) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2010 (Edge) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2010 (Hub) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2010 (boîte aux lettres) ✗ ✓ ✓ ✓ ✓ ✓ 5 Version d'Exchange Server et rôle serveur Protection antispam Analyse de Protection Protection base de de la base de Protection du transport données de Règles données de antihameçonnage des boîtes aux boîtes aux messages lettres à la lettres demande Microsoft Exchange Server 2013 (plusieurs rôles) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2013 (Edge) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2013 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2016(Edge) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2016 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2019 (Edge) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2019 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ Rôles d'Exchange Server Rôle Edge et rôle Hub Par défaut, les fonctionnalités antispam sont désactivées sur les serveurs de transport Edge et Hub. Cette configuration est à privilégier dans une organisation Exchange avec serveur de transport Edge. Il est recommandé que le serveur de transport Edge exécute le filtrage antispam ESET Mail Security sur les messages avant leur transmission dans l'organisation Exchange. Le rôle Edge reste toutefois l'emplacement privilégié de l'analyse antispam, car il permet à ESET Mail Security de rejeter les courriers indésirables dans les premières phases du processus sans charger inutilement les couches réseau. Dans cette configuration, les messages entrants sont filtrés par ESET Mail Security sur le serveur de transport Edge, afin qu'ils puissent être envoyés en toute sécurité au serveur de transport Hub sans nécessiter de filtrage supplémentaire. Supposons que votre organisation n’utilise pas de serveur de transport Edge et ne dispose que d’un serveur de transport Hub. Dans ce cas, nous vous recommandons d’activer les fonctionnalités antispam sur le serveur de transport Hub qui reçoit des messages entrants provenant d’Internet via SMTP. En raison des restrictions techniques de Microsoft Exchange Server 2010 et version ultérieure, ESET Mail Security ne prend pas en charge le déploiement de Microsoft Exchange Server avec le rôle de serveur d'accès au client autonome uniquement (CAS). Modules de protection Les fonctionnalités principales de ESET Mail Security englobent les modules de protection suivants : 6 Antivirus La protection antivirus est l'une des fonctions de base d'ESET Mail Security. La protection antivirus vous prémunit des attaques contre le système en contrôlant les échanges de fichiers et de courrier, ainsi que les communications Internet. Si une menace comportant un code malveillant est détectée, le module Antivirus peut l'éliminer en la bloquant dans un premier temps, puis en la nettoyant, en la supprimant ou en lamettant en quarantaine. Antispam La protection antispam intègre plusieurs technologies (RBL, DNSBL, empreintes digitales, vérification de la réputation, analyse de contenu, règles, création manuelle de liste blanche/noire, etc.) afin d'optimiser la détection des menaces par courrier électronique. La protection antispam d'ESET Mail Security est une solution cloud. La plupart des bases de données de cloud sont situées dans les centres de données ESET. Les services cloud Antispam permettent une mise à jour rapide des données, ce qui accélère le temps de réaction en cas d'apparition de nouveau courrier indésirable. Cela permet également de supprimer des données incorrectes ou fausses des listes noires ESET. Les communications avec les services cloud Antispam sont effectuées via un protocole propriétaire sur le port 53535, dans la mesure du possible. Si les communications ne sont pas possibles via le protocole d'ESET, les services DNS sont utilisés à la place (port 53). L'utilisation de DNS n'est toutefois pas aussi efficace, car elle nécessite l'envoi de plusieurs requêtes lors du processus de classification du courrier indésirable d'un seul message électronique. Il est recommandé d'ouvrir le port TCP/UDP 53535 pour les adresses IP répertoriées dans cet article de la base de connaissances. Ce port est utilisé par ESET Mail Security pour envoyer des requêtes. Normalement, aucun message électronique (ou une partie d'un message) n'est envoyé pendant le processus de classification du courrier indésirable. Supposons toutefois qu'ESET LiveGrid® soit activé et que vous ayez explicitement autorisé l’envoi d’échantillons pour analyse. Dans ce cas, seuls les messages marqués comme étant du courrier indésirable (ou très probablement courrier indésirable) peuvent être envoyés afin de faciliter une analyse approfondie et l’enrichissement de la base de données cloud. Si vous souhaitez signaler un faux positif ou une classification négative, consultez cet article de la base de connaissances pour plus d'informations. En outre, ESET Mail Security peut également utiliser la méthode de mise en liste grise (désactivée par défaut) du filtrage du courrier indésirable. Anti-hameçonnage ESET Mail Security comprend l'anti-hameçonnage qui empêche les utilisateurs d'accéder à des pages Web connues pour le hameçonnage. Les e-mails peuvent contenir des liens menant à des pages Web d'hameçonnage. ESET Mail Security utilise un analyseur sophistiqué qui recherche ces liens (URL) dans le corps et l'objet des emails entrants. Les liens sont comparés avec la base de données d'hameçonnage et les règles avec la condition Corps du message sont évaluées. Règles La disponibilité des règles dans votre système pour la protection de la base de données de boîtes aux lettres, l'analyse de la base de données de boîtes aux lettres à la demande et la protection du transport des messages dépend de la version de Microsoft Exchange Server installée avec ESET Mail Security sur le serveur. Les règles permettent de définir manuellement les conditions de filtrage des messages électroniques et les actions à exécuter sur les messages électroniques filtrés. Il existe différents ensemble de conditions et d'actions. Vous pouvez créer différentes règles qui peuvent être combinées. Si une règle utilise plusieurs conditions, ces dernières sont liées à l'aide de l'opérateur logique AND. Par conséquent, la règle n'est exécutée que si toutes ses conditions sont remplies. Si plusieurs règles sont créées, l'opérateur logique OR est appliqué, ce qui signifie que le programme exécute la première règle dont les conditions sont remplies. La première technique utilisée dans la séquence d’analyse est la mise en liste grise si elle est activée. Les procédures suivantes utilisent toujours les techniques suivantes : protection basée sur des règles définies par l'utilisateur, suivie d'une analyse antivirus et enfin d'une analyse antispam. 7 Sécurité multicouche ESET Mail Security assure une protection complexe à différents niveaux : • Protection de la base de données de boîtes aux lettres • Protection du transport des messages • Analyse de base de données de boîtes aux lettres à la demande • L'analyse de base de données de boîtes aux lettres Microsoft 365 Pour obtenir une vue complète, reportez-vous à la matrice des fonctionnalités ESET Mail Security et des versions de Microsoft Exchange Server et de leurs rôles. Protection de la base de données de boîtes aux lettres L'analyse de boîtes aux lettres est déclenchée et contrôlée par le serveur Microsoft Exchange. Les messages stockés dans la base de données du serveur Microsoft Exchange Server sont analysés en continu. En fonction de la version de Microsoft Exchange Server, de la version de l'interface VSAPI et des paramètres définis par l'utilisateur, l'analyse peut être déclenchée dans l'un des cas suivants : • Lorsque l'utilisateur accède à sa messagerie, dans un client de messagerie par exemple (les messages sont toujours analysés avec le dernier moteur de détection) ; • En arrière-plan, lorsque l'utilisation du serveur Microsoft Exchange Server est faible ; • De manière proactive (en fonction de l'algorithme interne de Microsoft Exchange Server). La protection de la base de données de boîtes aux lettres n'est pas disponible pour Microsoft Exchange Server 2013, 2016 et 2019. La protection de la base de données de boîtes aux lettres est disponible pour les systèmes suivants : Version d'Exchange Protection Server et rôle serveur antispam Protection du Protection Règles transport des antihameçonnage messages Analyse de base de données de boîtes aux lettres à la demande Protection de la base de données de boîtes aux lettres Microsoft Exchange Server 2010 (boîte aux ✗ lettres) ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2010 (plusieurs ✓ rôles) ✓ ✓ ✓ ✓ ✓ Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de boîte aux lettres ou de serveur principal). 8 Protection du transport des messages Le filtrage de messages au niveau du serveur SMTP est assuré par un plugin spécialisé. Dans Microsoft Exchange Server 2010, le plugin est enregistré en tant qu'agent de transport dans les rôles Edge ou Hub du serveur Microsoft Exchange. Le filtrage au niveau du serveur SMTP effectué par un agent de transport offre une protection sous la forme de règles antivirus, antispam et définies par l'utilisateur. Contrairement au filtrage VSAPI, le filtrage au niveau du serveur SMTP est effectué avant l'arrivée des messages analysés dans la boîte aux lettres Microsoft Exchange Server. Anciennement appelée filtrage de messages au niveau du serveur SMTP. Cette protection est assurée par l'agent de transport et est uniquement disponible pour Microsoft Exchange Server 2010 ou version ultérieure avec le rôle serveur de transport Edge ou serveur de transport Hub. Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur indiqués). La protection du transport des messages est disponible pour les systèmes suivants : Version d'Exchange Server Protection et rôle serveur antispam Analyse de Protection Protection base de de la base de Protection du transport données de Règles données de antihameçonnage des boîtes aux boîtes aux messages lettres à la lettres demande Microsoft Exchange Server 2010 (plusieurs rôles) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2013 (plusieurs rôles) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2013 (Edge) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2013 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2016(Edge) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2016 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2019 (Edge) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2019 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ Analyse de base de données de boîtes aux lettres à la demande Permet d'exécuter ou de planifier une analyse de la base de données de boîtes aux lettres Exchange. Cette fonctionnalité est uniquement disponible pour Microsoft Exchange Server 2010 ou version ultérieure avec le rôle 9 serveur de boîte aux lettres ou serveur de transport Hub. Ce type d'analyse s'applique également à une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur indiqués). L'analyse de la base de données de boîtes aux lettres à la demande est disponible pour les systèmes suivants : Version d'Exchange Server Protection et rôle serveur antispam Analyse de Protection de Protection base de la base de Protection du transport données de Règles données de antihameçonnage des boîtes aux boîtes aux messages lettres à la lettres demande Microsoft Exchange Server 2010 (plusieurs rôles) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2010 (Hub) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2010 (boîte aux lettres) ✗ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2013 (plusieurs rôles) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2013 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2016 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ Microsoft Exchange Server 2019 (boîte aux lettres) ✓ ✓ ✓ ✓ ✓ ✓ L'analyse de base de données de boîtes aux lettres Microsoft 365 ESET Mail Security propose une fonctionnalité d'analyse pour les environnements Microsoft 365 hybrides. Elle n'est disponible et visible dans ESET Mail Security que si vous disposez d'un environnement Exchange hybride (sur site et dans le cloud). Les deux scénarios de routage sont pris en charge par Exchange Online ou par le biais de l'organisation sur site. Pour plus d'informations, consultez Routage du transport dans les déploiements hybrides d'Exchange. Pour activer cette fonctionnalité, inscrivez l'analyseur ESET Mail Security. Vous pouvez analyser les boîtes aux lettres distantes et les dossiers publics Microsoft 365 comme vous le feriez avec l'analyse de base de données de boîtes aux lettres à la demande. 10 L'exécution d'une analyse de base de données de messagerie complète peut entraîner une charge système indésirable dans un environnement de grande taille. Pour éviter ce problème, lancez une analyse sur des bases de données ou des boîtes aux lettres spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre temporel en haut de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, vous pouvez sélectionner Analyser les messages modifiés au cours de la semaine dernière. Il est recommandé de configurer Microsoft 365. Appuyez sur la touche F5 et cliquez sur Serveur Analyse de base de données de boîtes aux lettres à la demande. Consultez également les détails du compte d'analyse de base de données. Pour afficher l'activité de l'analyse des boîtes aux lettres Office 365, consultez Fichiers journaux > Analyse de base de données de boîtes aux lettres. Configuration système requise Systèmes d'exploitation pris en charge : • Microsoft Windows Server 2022 (Server Core et Expérience utilisateur) • Microsoft Windows Server 2019 (Server Core et Expérience utilisateur) • Microsoft Windows Server 2016 • Microsoft Windows Server 2012 R2 11 • Microsoft Windows Server 2012 La prise en charge d'Azure Code Signing doit être installée sur tous les systèmes d'exploitation Windows afin de pouvoir installer ou mettre à niveau les produits ESET publiés après juillet 2023. Plus d'informations. Versions de Microsoft Exchange Server prises en charge : • Microsoft Exchange Server 2019 jusqu’à CU13 • Microsoft Exchange Server 2016 jusqu’à CU23 • Microsoft Exchange Server 2013 jusqu’à CU23 (CU1 et CU4 ne sont pas pris en charge) • Microsoft Exchange Server 2010 SP1, SP2, SP3 jusqu'à RU32 Le rôle serveur d'accès au client autonome n'est pas pris en charge. Pour plus d’informations, consultez les rôles serveur Exchange. Il est recommandé de se référer aux fonctionnalités ESET Mail Security et aux rôles Exchange Server pour identifier les fonctionnalités disponibles pour chaque version prise en charge de Microsoft Exchange Server et des rôles. Configuration matérielle minimale requise : Composant Configuration requise Processeur Cœur unique Intel ou AMD x64 Mémoire 256 Mo de mémoire disponible Disque dur 700 Mo d'espace disque disponible Résolution d'écran 800 x 600 pixels ou supérieure La configuration matérielle recommandée d'ESET Mail Security est identique pour Microsoft Exchange Server. Pour plus d'informations, consultez les articles techniques Microsoft suivants : Microsoft Exchange Server 2010 Microsoft Exchange Server 2013 Microsoft Exchange Server 2016 Il est vivement recommandé d'installer le dernier Service Pack du système d'exploitation Microsoft Server et de l'application avant l'installation du produit de sécurité ESET. Il est recommandé d’installer les dernières mises à jour et les correctifs les plus récents de Windows dès qu'ils sont disponibles. Préparation de l'installation Nous vous recommandons de suivre quelques étapes pour préparer l'installation du produit : • Après l'achat d'ESET Mail Security, téléchargez le package d'installation .msi à partir du site Web d'ESET . • Vérifiez que le serveur sur lequel vous envisagez d'installer ESET Mail Security répond aux exigences du système.. 12 • Connectez-vous au serveur à l'aide d'un compte Administrateur. • Si vous allez effectuer une mise à niveau depuis une installation existante de ESET Mail Security, il est recommandé de sauvegarder la configuration actuelle à l'aide de la fonctionnalité Exporter les paramètres. • Supprimez/désinstallez les logiciels tiers de votre système, si nécessaire. Il est conseillé d'utiliser ESET AV Remover . Pour obtenir la liste des logiciels antivirus tiers qu'ESET AV Remover peut supprimer, consultez cet article de la base de connaissances. • Si vous effectuez l'installation ESET Mail Security sous Windows Server 2016, Microsoft recommande de désinstaller les fonctionnalités de Windows Defender (Microsoft Defender Antivirus) et d'annuler l'inscription à Windows Defender ATP afin d'éviter tout problème lié à la présence de plusieurs antivirus sur un ordinateur. • Si vous installez ESET Mail Security sous Windows Server 2019 ou Windows Server 2022, Microsoft recommande de désactiver manuellement Antivirus Windows Defender afin d'éviter tout problème lié à la présence de plusieurs antivirus sur un ordinateur. Si les fonctionnalités de Windows Defender sont présentes sur le serveur Windows Server 2016, 2019 ou 2022 lors de l’installation d'ESET Mail Security, elles sont désactivées par ESET Mail Security pour éviter les collisions entre la protection en temps réel et d'autres produits antivirus. Les fonctionnalités de Windows Defender sont également désactivées par ESET Mail Security à chaque démarrage/redémarrage du système. Il existe une exception à cette situation : si vous effectuez une installation de composant sans le composant Protection en temps réel du système de fichiers, les fonctionnalités de Windows Defender sous Windows Server 2016 ne sont pas désactivées. • Pour obtenir une vue complète, reportez-vous à la matrice des fonctionnalités ESET Mail Security et des versions de Microsoft Exchange Server et de leurs rôles. • Vous pouvez vérifier le nombre de boîtes aux lettres en exécutant l'outil de comptage des boîtes aux lettres (pour plus d'informations, voir cet article de la base de connaissances ). Une fois ESET Mail Security installé, il affiche le nombre actuel de boîtes aux lettres dans la partie inférieure de la fenêtre Supervision. Vous pouvez exécuter le programme d'installation d'ESET Mail Security dans deux modes d'installation : • Fenêtre principale du programme : Il est recommandé d'effectuer l’installation avec l’assistant d’installation. • Installation silencieuse/sans assistance : Outre l'assistant d'installation, vous pouvez choisir d'installer ESET Mail Security de manière silencieuse par le biais d'une ligne de commande. • Mise à niveau vers la dernière version : Si vous utilisez une version antérieure d'ESET Mail Security, vous pouvez choisir la méthode de mise à niveau adaptée. Une fois ESET Mail Security installé ou mis à niveau, les activités suivantes sont présentées ci-dessous. Activation du produit Certains scénarios d'activation proposés dans la fenêtre d'activation peuvent varier en fonction du pays et selon le mode de distribution. Tâches de post-installation 13 Consultez la liste des tâches recommandées que vous pouvez effectuer une fois ESET Mail Security installé. Configuration des paramètres généraux Vous pouvez régler ESET Mail Security en modifiant les configurations avancées de chaque fonctionnalité. Étapes d'installation d'ESET Mail Security Il s’agit d’un assistant d’installation classique de fenêtre principale de programme. Double-cliquez sur le package .msi, puis suivez les étapes pour installer ESET Mail Security : 1. Cliquez sur Suivant pour continuer ou sur Annuler pour interrompre l'installation. 2. L'assistant d'installation s'exécute dans une langue spécifiée en tant qu'emplacement du domicile ou d'un paramètre Zone géographique > Emplacement du système d'exploitation (ou emplacement actuel d'une zone géographique et d'une langue > emplacement dans les anciens systèmes). Dans le menu déroulant, sélectionnez la langue du produit dans laquelle installer ESET Mail Security. La langue sélectionnée pour ESET Mail Security est indépendante de la langue utilisée dans l'assistant d'installation. 3. Cliquez sur Suivant pour afficher le Contrat de Licence de l'Utilisateur Final. Après avoir accepté les termes du Contrat de Licence de l'Utilisateur Final et la Politique de confidentialité, cliquez sur Suivant. 14 4. Choisissez l'un des types d'installation disponibles (la disponibilité dépend du système d'exploitation) : Complète Permet d'installer toutes les fonctionnalités d'ESET Mail Security. Le programme d'installation contient uniquement les modules essentiels. Tous les autres modules seront téléchargés lors de la mise à jour initiale des modules après l'activation du produit. Si vous planifiez d'utiliser l'option Quarantaine locale pour les messages électroniques et si vous ne souhaitez pas que les fichiers des messages en quarantaine soient stockés sur le lecteur C:, remplacez le chemin d'accès au dossier de données par celui souhaité. Sachez toutefois que tous les fichiers de données ESET Mail Security seront stockés à cet emplacement. 15 Personnalisé Permet de sélectionner les fonctionnalités d'ESET Mail Security à installer sur votre système. La liste des modules et des fonctionnalités disponibles du produit s'affiche avant le démarrage de l'installation. Ce type d'installation s'avère utile lorsque vous souhaitez personnaliser ESET Mail Security et installer uniquement les composants dont vous avez besoin. 5. Vous êtes invité à sélectionner l'emplacement d'installation d'ESET Mail Security. Par défaut, le programme 16 s'installe dans le dossier C:\Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour changer d'emplacement (non recommandé). 6. Cliquez sur Installer pour commencer l'installation. Après l'installation, vous êtes invité à activer ESET Mail Security. Exporter les configurations ou supprimer l'installation Vous pouvez exporter et enregistrer les configurations ou supprimer l'installation. Pour ce faire, exécutez le fichier d'installation .msi que vous avez utilisé lors de l'installation initiale ou accédez à Programmes et fonctionnalités (accessible à partir du Panneau de configuration Windows), cliquez avec le bouton droit sur ESET Mail Security, puis sélectionnez Modifier. Vous pouvez exporter vos configurations ESET Mail Security ou supprimer (désinstaller) entièrement ESET Mail Security. 17 Mise à jour initiale des modules Afin de réduire le trafic réseau lié à la taille du programme d'installation et d'économiser les ressources, le programme d'installation ne contient que les modules essentiels. Tous les autres modules seront téléchargés lors de la mise à jour initiale des modules après l'activation du produit. Le principal avantage est un programme d'installation nettement plus petit. De plus, ESET Mail Security ne télécharge que les derniers modules d'application lorsque vous activez le produit. Le programme d’installation des modules minimaux contient les modules suivants : • Loaders • Prise en charge d'Anti-Stealth • Communication Direct Cloud • Prise en charge de la traduction • Configuration • SSL Après l'activation du produit, l'état Initialisation de la protection s’affiche pour vous informer de l’initialisation des fonctionnalités. 18 Si vous rencontrez des problèmes pour télécharger les modules (par exemple, absence de connexion réseau, paramètres de pare-feu ou de proxy), un état d'application d'avertissement Attention requise s’affiche. Cliquez sur Mises à jour > Rechercher des mises à jour dans la fenêtre principale du programme pour recommencer le processus de mise à jour. Après plusieurs tentatives infructueuses, un état d'application rouge Échec de la configuration de la protection s'affiche. Si vous ne parvenez pas à mettre à jour les modules, téléchargez le programme d’installation .msi ESET Mail Security complet. Si votre serveur ne dispose pas d'une connexion Internet et qu'il a besoin de mises à jour, utilisez les méthodes suivantes pour télécharger les fichiers du module de mise à jour depuis les serveurs de mise à jour ESET : • Mise à jour à partir du miroir • Utilisation de l'outil Miroir Installation silencieuse/sans assistance Exécutez la commande suivante pour terminer l'installation via une ligne de commande : msiexec /i <packagename> /qn /l*xv msi.log Utilisez l’Observateur d’événements Windows pour consulter le journal des applications (recherchez les entrées dans Source : MsiInstaller) afin de vérifier que l'installation est correcte ou de passer en revue les problèmes d’installation. 19 Installation complète sous un système 64 bits : msiexec /i emsx_nt64.msi /qn /l*xv msi.log ADDLOCAL=NetworkProtection,RealtimeProtection,^ DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,SysInspector,SysRescue,Rmm,eula Lorsque l'installation est terminée, l'interface utilisateur graphique d'ESET démarre et l'icône de zone de notification Windows s'affiche dans la zone de notification Windows. Installation du produit dans la langue spécifiée (allemand, par exemple) : msiexec /i emsx_nt64.msi /qn ADDLOCAL=NetworkProtection,RealtimeProtection,^ DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,^ SysInspector,SysRescue,Rmm,eula PRODUCT_LANG=1031 PRODUCT_LANG_CODE=de-de Pour plus d’informations et pour afficher la liste des codes de langue, consultez Paramètres de langue dans la rubrique Installation via la ligne de commande. Lorsque vous spécifiez les valeurs du paramètre REINSTALL, vous devez répertorier les fonctionnalités restantes qui ne sont pas utilisées en tant que valeurs du paramètre ADDLOCAL ou REMOVE. Pour que l'installation par ligne de commande s'effectue correctement, vous devez répertorier toutes les fonctionnalités en tant que valeurs des paramètresREINSTALL, ADDLOCAL et REMOVE. Les opérations d'ajout ou de suppression peuvent ne pas réussir si vous n'utilisez pas le paramètre REINSTALL. Pour obtenir la liste complète des fonctionnalités, reportez-vous à la section Installation via la ligne de commande. Suppression complète (désinstallation) d'un système 64 bits : msiexec /x emsx_nt64.msi /qn /l*xv msi.log Après une désinstallation réussie, votre serveur redémarre automatiquement. Installation via la ligne de commande Les paramètres suivants doivent être utilisés uniquement avec le niveau réduit, de base ou néant de l'interface utilisateur. Pour connaître les paramètres de ligne de commande appropriés, reportez-vous à la documentation de la version de msiexec utilisée. Paramètres pris en charge : APPDIR=<path> • chemin : chemin d'accès valide au répertoire • Répertoire d'installation de l'application. • Par exemple : emsx_nt64.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<path> • chemin : chemin d'accès valide au répertoire • Répertoire d'installation des données de l'application. MODULEDIR=<path> • chemin : chemin d'accès valide au répertoire 20 • Répertoire d'installation du module. ADDLOCAL=<list> • Installation du composant : liste des fonctionnalités non obligatoires à installer localement. • Utilisation avec les packages .msi ESET : emsx_nt64.msi /qn ADDLOCAL=<list> • Pour plus d'informations sur la propriété ADDLOCAL, voir https://docs.microsoft.com/en-gb/windows/desktop/Msi/addlocal • La liste ADDLOCAL est une liste séparée par des virgules qui contient toutes les fonctionnalités à installer. • Lors de la sélection d'une fonctionnalité à installer, le chemin d'accès entier (toutes les fonctionnalités parent) doit être explicitement inclus. REMOVE=<list> • Installation de composants : fonctionnalité parente que vous ne souhaitez pas installer localement. • Utilisation avec les packages .msi ESET : emsx_nt64.msi /qn REMOVE=<list> • Pour plus d'informations sur la propriété REMOVE, voir https://docs.microsoft.com/en-gb/windows/desktop/Msi/remove • La liste REMOVE est une liste séparée par des virgules qui contient les fonctionnalités parentes qui ne seront pas installées (ou qui seront retirées en cas d'installation existante). • Elle est suffisante pour spécifier uniquement la fonctionnalité parente. Il n'est pas nécessaire d'inclure explicitement chaque fonctionnalité enfant dans la liste. ADDEXCLUDE=<list> • La liste ADDEXCLUDE est séparée par des virgules et contient les noms de toutes les fonctionnalités à ne pas installer. • Lors de la sélection d'une fonctionnalité à ne pas installer, le chemin d'accès dans son intégralité (c.-à-d., toutes ses sous-fonctionnalités) et les fonctionnalités connexes invisibles doivent être explicitement inclus dans la liste. • Par exemple : emsx_nt64.msi /qn ADDEXCLUDE=<list> ADDEXCLUDE ne peut pas être utilisé avec ADDLOCAL. Présence de la fonctionnalité • Obligatoire : la fonctionnalité est toujours installée. • Facultative : la fonctionnalité peut être désélectionnée pour l'installation. • Invisible : fonctionnalité logique obligatoire pour que les autres fonctionnalités fonctionnent correctement. 21 Liste des fonctionnalités d'ESET Mail Security : Le nom de toutes les fonctionnalités respecte la casse. Par exemple RealtimeProtection n'équivaut pas à REALTIMEPROTECTION. Nom de la fonctionnalité Présence de la fonctionnalité SERVER Obligatoire RealtimeProtection Obligatoire MAILSERVER Obligatoire WMIProvider Obligatoire HIPS Obligatoire Updater Obligatoire eShell Obligatoire UpdateMirror Obligatoire DeviceControl Facultative DocumentProtection Facultative WebAndEmail Facultative ProtocolFiltering Invisible NetworkProtection Facultative IdsAndBotnetProtection Facultative Rmm Facultative WebAccessProtection Facultative EmailClientProtection Facultative MailPlugins Invisible Cluster Facultative _Base eula ShellExt Facultative _FeaturesCore GraphicUserInterface Facultative SysInspector Facultative SysRescue Facultative EnterpriseInspector Facultative Si vous souhaitez supprimer l'une des fonctionnalités suivantes, vous devez supprimer l'ensemble du groupe en spécifiant chaque fonctionnalité appartenant au groupe. Sinon, la fonctionnalité ne sera pas supprimée. Voici deux groupes (chaque ligne représente un groupe) : GraphicUserInterface,ShellExt NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailP lugins,EmailClientProtection 22 Excluez la section NetworkProtection (y compris les fonctionnalités enfant) de l'installation en utilisant le paramètre REMOVE et en spécifiant une fonctionnalité parente uniquement : msiexec /i emsx_nt64.msi /qn ADDLOCAL=ALL REMOVE=NetworkProtection Vous pouvez aussi utiliser le paramètre ADDEXCLUDE, mais vous devez également spécifier toutes les fonctionnalités enfant : msiexec /i emsx_nt64.msi /qn ADDEXCLUDE=NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,^ ProtocolFiltering,MailPlugins,EmailClientProtection Si vous souhaitez qu'ESET Mail Security soit configuré automatiquement après l'installation, vous pouvez spécifier des paramètres de configuration de base dans la commande d'installation. Installation d'ESET Mail Security et désactivation d'ESET LiveGrid® : msiexec /i emsx_nt64.msi /qn /l*xv msi.log CFG_LIVEGRID_ENABLED=0 Liste de toutes les propriétés de configuration : Basculer Valeur CFG_POTENTIALLYUNWANTED_ENABLED=1/0 0 : Désactivé, 1 : Activé CFG_LIVEGRID_ENABLED=1/0 0 : Désactivé, 1 : Activé FIRSTSCAN_ENABLE=1/0 0 : Désactiver, 1 : Activer CFG_PROXY_ENABLED=0/1 0 : Désactivé, 1 : Activé CFG_PROXY_ADDRESS=<ip> Adresse IP du proxy. CFG_PROXY_PORT=<port> Numéro de port du proxy. CFG_PROXY_USERNAME=<user> Nom d'utilisateur pour l'authentification. CFG_PROXY_PASSWORD=<pass> Mot de passe pour l'authentification. Paramètres de langue : Langue du produit (vous devez spécifier les deux paramètres) Basculer PRODUCT_LANG= Valeur LCID décimal (ID de paramètres régionaux), par exemple 1033 pour English - United States. Voir la liste des codes de langue. PRODUCT_LANG_CODE= LCID chaîne (nom de culture de la langue) en minuscule, par exemple en-us pour English - United States. Voir la liste des codes de langue. Activation du produit Une fois l'installation terminée, vous êtes invité à activer le produit. 23 Pour activer ESET Mail Security, utilisez l'une des méthodes suivantes : Une clé de licence achetée Saisissez ou copiez/collez votre clé de licence émise par ESET dans le champ Clé de licence, puis cliquez sur Continuer. Saisissez la clé de licence telle quelle, en incluant les traits d’union. Si vous copiez/collez la licence, veillez à ne pas sélectionner accidentellement d’espace supplémentaire autour du texte. Compte ESET HUB Vous devez créer un compte ESET HUB. ESET HUB est une passerelle centrale vers la plate-forme de sécurité unifiée ESET PROTECT. Elle fournit une gestion centralisée des identités, des abonnements et des utilisateurs pour tous les modules de la plate-forme ESET. Créez un compte si vous ne disposez pas de compte enregistré dans ESET Hub. Un fichier de licence hors ligne Il s’agit d’un fichier généré automatiquement qui est transféré au produit ESET. Ce fichier de licence hors ligne est généré à partir du portail des licences. Il est utilisé dans les environnements dans lesquelles l'application ne peut pas se connecter à l'autorité de certification. Cliquez sur Activer ultérieurement dans ESET PROTECT si votre ordinateur est membre d'un réseau géré et si votre administrateur effectuera une activation à distance via ESET PROTECT. Vous pouvez également utiliser cette option pour activer ultérieurement un client. Dans la fenêtre principale du programme, sélectionnez Aide et assistance > Changer de licence pour gérer les informations de licence à tout moment. L'ID de licence publique s'affiche ; il sert à identifier votre produit et votre licence. Le nom d'utilisateur sous lequel l'ordinateur est enregistré est stocké dans la section À propos. Il est 24 visible lorsque vous cliquez avec le bouton droit sur l'icône dans la zone de notification Windows. Une fois ESET Mail Security activé, la fenêtre principale du programme s’ouvre et affiche l’état actuel dans la page Supervision. Au début de l'utilisation, vous devrez indiquer si vous souhaitez faire partie de l'initiative ESET LiveGrid®. La fenêtre principale du programme affiche également des notifications sur d'autres éléments tels que les mises à jour du système (Windows Update) ou les mises à jour du moteur de détection. Lorsque tout ce qui nécessite votre attention est résolu, l'état de surveillance devient vert et affiche l'état Vous êtes protégé. Vous pouvez également activer le produit dans le menu principal sous Aide et assistance > Activer le produit ou État de surveillance > Le produit n’est pas activé.. ESET PROTECT peut activer en silence des ordinateurs clients à l'aide des licences fournies par l'administrateur. Activation réussie ESET Mail Security est maintenant activé. À partir de maintenant, ESET Mail Security recevra des mises à jour régulières pour identifier les menaces les plus récentes et protéger votre ordinateur. Cliquez sur Terminé pour terminer l'activation du produit. Compte ESET HUB ESET HUB est une passerelle centrale vers la plate-forme de sécurité unifiée ESET PROTECT. Elle fournit une gestion centralisée des identités, des abonnements et des utilisateurs pour tous les modules de la plate-forme ESET. Activez ESET Mail Security à l'aide des outils de gestion des licences, ESET Business Account ou ESET MSP Administrator. Créez un compte si vous ne disposez pas de compte enregistré dans ESET Hub. Échec de l'activation En cas d'échec de l'activation d'ESET Mail Security, les causes possibles sont les suivantes : • Clé de licence déjà en cours d’utilisation. • Clé de licence non valide : erreur du formulaire d’activation du produit. • Les informations manquantes ou non valides doivent être corrigées. • La communication avec la base de données d’activation a échoué. Réessayez dans 15 minutes. • La connexion aux serveurs d’activation EST n'est pas disponible ou est désactivée. Vérifiez que vous avez saisi la clé de licence correcte ou que vous avez attaché une licence hors ligne, puis 25 réessayez l'activation. Si vous ne parvenez pas à procéder à l'activation, reportez-vous à l'assistant de dépannage d'activation. Licence Vous êtes invité à sélectionner une licence ESET Mail Security associée à votre compte. Cliquez sur Continuer pour passer à l'activation. Mise à niveau vers la dernière version Les nouvelles versions d'ESET Mail Security offrent des améliorations ou apportent des solutions aux problèmes que les mises à jour automatiques des modules ne peuvent pas résoudre. Méthodes de mise à niveau: • Désinstallation/installation : suppression de l'ancienne version avant l'installation de la nouvelle. Téléchargez la dernière version du fichier ESET Mail Security Exportez les paramètres de la version existante de ESET Mail Security si vous souhaitez conserver la configuration. Désinstallez ESET Mail Security et redémarrez le serveur. Effectuez une nouvelle installation avec le programme d'installation que vous avez téléchargé. Importez les paramètres pour charger votre configuration. Cette procédure est recommandée lorsqu'un seul serveur exécute ESET Mail Security. • Sur place : méthode de mise à niveau sans suppression de la version existante et avec installation dessus de la nouvelle version de ESET Mail Security. Il est nécessaire que vous n'ayez aucune mise à jour Windows en attente sur votre serveur, ni aucun redémarrage en attente en raison de Windows Updates ou de toute autre raison. Si vous essayez d'effectuer une mise à niveau sur place avec des mises à jour Windows en attente ou de redémarrer l'ordinateur, la version existante de ESET Mail Security peut ne pas être supprimée correctement. Vous rencontrerez également des problèmes si vous décidez de supprimer manuellement l'ancienne version d'ESET Mail Security. Un redémarrage du serveur sera nécessaire pendant la mise à niveau de ESET Mail Security. • À distance : à utiliser dans des environnements réseau de grande taille administrés par ESET PROTECT. Il s'agit essentiellement d'une nouvelle mise à niveau, mais effectuée à distance. Cette méthode s'avère utile si plusieurs serveurs exécutent ESET Mail Security. • Assistant ESET Cluster : peut être également utilisé en tant que méthode de mise à niveau. Cette méthode est recommandée pour 2 serveurs au minimum avec ESET Mail Security. Il s'agit essentiellement d'une méthode de mise à niveau sur place, mais effectuée via ESET Cluster. Une fois la mise à niveau terminée, vous pouvez continuer à utiliser ESET Cluster et tirer parti de ses fonctionnalités. Vous trouverez ci-dessous les paramètres qui sont conservés des versions précédentes d'ESET Mail Security: • Configuration générale d'ESET Mail Security 26 Paramètres de protection antispam • Tous les paramètres identiques dans les versions précédentes ; les nouveaux paramètres utilisent les valeurs par défaut. • Entrées de liste blanche et de liste noire. Une fois le produit ESET Mail Security mis à niveau, il est recommandé d'examiner tous les paramètres pour vérifier qu'ils sont correctement configurés et qu'ils répondent à vos besoins. Mise à niveau via ESET PROTECT ESET PROTECT permet de mettre à niveau plusieurs serveurs exécutant une version antérieure d'ESET Mail Security. L’avantage de cette méthode est qu’elle permet de mettre simultanément à niveau un grand nombre de serveurs tout en s’assurant qu'ESET Mail Security est configuré de manière identique (si cela est souhaité). La procédure comprend les phases suivantes : • Mettez à niveau le premier serveur manuellement en installant la dernière version d'ESET Mail Security sur votre version existante afin de conserver votre configuration, notamment les règles et les listes blanches/noires multiples. Cette phase est effectuée localement sur le serveur exécutant ESET Mail Security. • Demandez la configuration de la version de ESET Mail Security mise à niveau vers la version 7.x, puis convertissez-la en politique dans ESET PROTECT. La politique sera appliquée ultérieurement à tous les serveurs mis à niveau. Cette phase, comme celles énumérées ci-après, est effectuée à distance à l'aide d'ESET PROTECT. • Exécutez une tâche de désinstallation de logiciel sur tous les serveurs exécutant l'ancienne version de ESET Mail Security. • Exécutez une tâche d'installation de logiciel sur tous les serveurs sur lesquels vous souhaitez avoir la dernière version d'ESET Mail Security. • Affectez la stratégie de configuration à tous les serveurs exécutant la dernière version de ESET Mail Security. Suivez les instructions ci-dessous pour effectuez une mise à niveau via ESET PROTECT 1. Connectez-vous à l'un des serveurs exécutant ESET Mail Security, puis mettez-le à niveau en téléchargeant et en installant la dernière version sur celle existante. Suivez les étapes d'installation normales. Les configurations d'ESET Mail Security d'origine sont conservées pendant l'installation. 2. Ouvrez ESET PROTECT Web Console, sélectionnez un ordinateur client dans un groupe statique ou dynamique, puis cliquez sur Afficher les détails. 3. Sélectionnez l'onglet Configuration et cliquez sur le bouton Demander la configuration pour recueillir les configurations du produit géré. Notez que ce processus prend quelques instants. Une fois que la dernière configuration apparaît dans la liste, cliquez sur Produit de sécurité et choisissez Ouvrir la configuration. 4. Créez une politique de configuration en cliquant sur le bouton Convertir en politique. Saisissez le nom de la nouvelle stratégie, puis cliquez sur Terminer. 27 5. Sélectionnez Tâches client, puis sélectionnez la tâche Désinstaller un logiciel. Lorsque vous créez la tâche de désinstallation, il est recommandé de redémarrer le serveur après la désinstallation en cochant la case Redémarrage automatique si nécessaire. Une fois la tâche créée, ajoutez tous les ordinateurs cibles souhaités pour la désinstallation. 6. Vérifiez que ESET Mail Security est désinstallé sur toutes les cibles. 7. Créez une tâche Installer le logiciel pour installer la dernière version de ESET Mail Security sur toutes les cibles souhaitées. 8. Affectez la stratégie de configuration à tous les serveurs exécutant ESET Mail Security (un groupe dans l'idéal). Mise à niveau via ESET Cluster La création d'un ESET Cluster permet de mettre à niveau plusieurs serveurs dont les versions de ESET Mail Security sont anciennes. Il est recommandé d'utiliser la méthode d'ESET Cluster si votre environnement comprend 2 serveurs ou davantage sur lesquels ESET Mail Security est installé. L'autre avantage de cette méthode de mise à niveau est que vous pouvez continuer à utiliser ESET Cluster pour que la configuration de ESET Mail Security soit synchronisée sur tous les nœuds membres. Pour effectuer une mise à niveau à l'aide de cette méthode, procédez comme suit : 1. Connectez-vous à l'un des serveurs exécutant ESET Mail Security, puis mettez-le à niveau en téléchargeant et en installant la dernière version sur celle existante. Suivez les étapes d'une installation standard. L'intégralité de la configuration d'origine de l'ancienne version de ESET Mail Security est conservée pendant l'installation. 2. Exécutez l'assistant ESET Cluster et ajoutez des nœuds de cluster (serveurs sur lesquels vous souhaitez mettre à niveau ESET Mail Security). Si nécessaire, vous pouvez ajouter d'autres serveurs qui n'exécutent pas encore ESET Mail Security (une installation sera effectuée sur ceux-ci). Il est recommandé de conserver les paramètres par défaut lors de la spécification du nom du cluster et du type d'installation (veillez à ce que l'option Transmettre la licence aux nœuds sans produit activé soit sélectionnée). 3. Examinez l'écran Journal de vérification des nœuds. Il répertorie les serveurs qui disposent d'une ancienne version et pour lesquels le produit sera réinstallé. ESET Mail Security sera également installé sur les serveurs ajoutés sur lesquels il n'est pas déjà installé. 28 4. L'écran Installation des nœuds et activation du cluster indique l'avancement de l'installation. Lorsque celleci est terminée, des résultats similaires aux suivants doivent s'afficher : 29 Si DNS ou le réseau n'est pas correctement configuré, l'erreur suivante peut s'afficher : Échec de l'obtention du jeton d'activation du serveur. Essayez de réexécuter l'assistant ESET Cluster. Il détruit le cluster et en crée un autre (sans réinstaller le produit). L'activation doit alors s'effectuer correctement. Si le problème persiste, vérifiez les paramètres DNS et réseau. 30 Installation dans un environnement à cluster Vous pouvez déployer ESET Mail Security dans un environnement à cluster (un cluster de basculement par exemple). Nous vous recommandons d'installer ESET Mail Security sur un nœud actif et de redistribuer l'installation sur un ou plusieurs nœuds passifs à l'aide de la fonctionnalité ESET Cluster de ESET Mail Security. Outre l'installation, ESET Cluster sert également de réplication de la configuration ESET Mail Security qui garantit la cohérence entre les nœuds de cluster nécessaires au fonctionnement correct. Terminal Server Si vous installez ESET Mail Security sur un serveur Windows Server agissant comme Terminal Server, vous souhaiterez peut-être désactiver l'interface utilisateur graphique ESET Mail Security afin d'empêcher son démarrage à chaque connexion de l'utilisateur. Reportez-vous à la section Désactivation de l'interface utilisateur graphique sur Terminal Server pour accéder aux étapes de désactivation. Environnement multiserveur/DAG ESET Mail Security prend en charge les environnements multiserveur. Si votre infrastructure se compose de plusieurs serveurs, par exemple un groupe de disponibilité de base de données (DAG), vous pouvez installer ESET 31 Mail Security sur chaque serveur Exchange Server avec le rôle de boîte aux lettres. La méthode la plus simple consiste à installer ESET Mail Security sur tous les serveurs à l'aide d'ESET Cluster. Il est aussi recommandé d'activer l'option Utiliser ESET Cluster pour stocker tous les messages en quarantaine sur un nœud dans les paramètres de la quarantaine des messages. Si vous envisagez d'utiliser la mise en liste grise, activez l'option Synchroniser les bases de données de mise en liste grise dans le cluster ESET. Prise en main Les rubriques ci-après vous aident à commencer à utiliser ESET Mail Security. Surveillance Donne une vue d'ensemble rapide de l'état actuel d'ESET Mail Security. Vous pouvez facilement voir si des problèmes nécessitent votre attention. Gérés via ESET PROTECT Vous pouvez utiliser ESET PROTECT pour gérer ESET Mail Security à distance. La section suivante va vous aider à commencer à utiliser ESET Mail Security. Tâches de post-installation Destinée à vous aider pour la configuration initiale. Tâches de post-installation Vous trouverez ci-dessous les tâches recommandées qui couvrent la configuration initiale de ESET Mail Security. Thème Description Activation du produit Vérifiez que ESET Mail Security est activé. Vous pouvez effectuer l’activation de plusieurs manières différentes. Mettre à jour Une fois le produit activé, la mise à jour des modules s'exécute automatiquement. Vérifiez l'état de la mise à jour pour déterminer si la mise à jour a été correctement effectuée. Gestionnaire de quarantaine de messages Familiarisez-vous avec le Gestionnaire de mise en quarantaine des messages, accessible depuis la fenêtre principale du programme. Cette fonctionnalité permet de gérer les messages mis en quarantaine tels que le courrier indésirable, les pièces jointes infectées contenant des logiciels malveillants, les messages d'hameçonnage et les messages filtrés par des règles. Vous pouvez afficher les détails de chaque message et exécuter une action (libérer ou supprimer). Interface Web Quarantaine de messages L'interface Web Quarantaine de messages est une solution que vous pouvez utiliser à la place du gestionnaire de quarantaine de messages pour gérer à distance les éléments mis en quarantaine. L'interface web Quarantaine de messages permet également aux utilisateurs (destinataires des e-mails) de gérer leurs messages mis en quarantaine. Les utilisateurs peuvent être informés du contenu mis en quarantaine grâce aux rapports de mise en quarantaine des messages envoyés par e-mail. Il est recommandé de configurer les rapports. 32 Thème Description Rapports de mise en quarantaine de messages Créez une tâche planifiée pour envoyer les rapports de mise en quarantaine à vousmême et aux utilisateurs sélectionnés afin qu'ils puissent libérer (diffuser) certains types de faux positifs et gérer le contenu mis en quarantaine via l'interface Web Quarantaine de messages. Les utilisateurs peuvent accéder à l'interface web en cliquant sur un lien contenu dans les rapports de mise en quarantaine des messages et en se connectant à l'aide de leurs identifiants de domaine. Antispam - Filtrage et vérification La fonctionnalité Antispam est une fonction sophistiquée basée sur le cloud qui empêche vos utilisateurs (destinataires d'emails) de recevoir du courrier indésirable. Il est recommandé d'utiliser le filtrage et la vérification et d'ajouter vos adresses IP locales à la liste des adresses IP ignorées. Les adresses IP de votre infrastructure réseau seront alors ignorées lors de la classification. Vous pouvez configurer et gérer les listes Approuvés, Bloqués et Ignorés pour personnaliser le filtrage et la vérification. Vous pouvez également activer la mise en liste grise si vous décidez d'utiliser cette fonctionnalité. Règles Fonctionnalité puissante qui permet de filtrer les messages électroniques en fonction de conditions et d'actions définies. Utilisez des règles prédéfinies (modifiez-les si nécessaire) ou créez de nouvelles règles personnalisées pour répondre à vos besoins. Les règles peuvent être configurées pour n'importe quelle couche de protection (protection du transport des messages, protection de la base de données de boîtes aux lettres ou analyse de la base de données de boîtes aux lettres à la demande). Test antivirus Vérifiez que la protection antivirus fonctionne correctement. Test antispam Vérifiez que la protection antispam fonctionne correctement. Test anti-hameçonnage Vérifiez que l'anti-hameçonnage fonctionne correctement. Gérés via ESET PROTECT ESET PROTECT est une application qui permet de gérer les produits ESET de manière centralisée dans un environnement réseau. Le système de gestion des tâches ESET PROTECT permet d'installer les solutions de sécurité ESET sur des ordinateurs distants et de réagir rapidement face aux nouveaux problèmes et menaces. ESET PROTECT n'offre pas de protection contre les codes malveillants ; le produit repose sur la présence des solutions de sécurité ESET sur chaque client. Les solutions de sécurité ESET prennent en charge les réseaux qui comprennent plusieurs types de plateformes. Votre réseau peut comprendre une combinaison de systèmes d'exploitation actuels mobiles, Microsoft, Linux et macOS. 33 Pour plus d'informations, voir l'ESET PROTECTaide en ligne d' . Surveillance L'état de protection indiqué dans la section Supervision vous informe sur le niveau de protection et de sécurité actuel de votre ordinateur. La fenêtre principale affiche un résumé de l'état de fonctionnement d'ESET Mail Security. L'icône verte d'état Vous êtes protégé indique qu'une protection maximale est assurée. L'icône rouge indique des problèmes critiques ; la protection maximale de votre système n'est pas assurée. Les détails du message d'erreur devrait vous permettre de mieux comprendre l'état actuel. Si vous ne parvenez pas à résoudre un problème, effectuez des recherches dans la base de connaissances ESET. Si vous avez besoin d'aide, vous pouvez envoyer une demande d'assistance. L'assistance technique ESET répondra très rapidement à vos questions et vous permettra de trouver une solution. Pour obtenir la liste complète des états, ouvrez Configuration avancée (F5) > Notifications > États d'application, puis cliquez sur Modifier. L'icône orange indique que votre produit ESET nécessite votre attention en raison d'un problème non critique. 34 Une coche verte s'affiche en regard des modules qui fonctionnent correctement. Un point d'exclamation rouge ou une icône de notification orange s'affiche à côté des modules qui ne fonctionnent pas correctement. Des informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de solution pour corriger le module est également affichée. Pour changer l'état d'un module, cliquez sur Configuration dans le menu principal puis sur le module souhaité. La page Supervision contient également des informations sur le système : • Version du produit : numéro de version de ESET Mail Security. • Nom du serveur : nom d'hôte ou nom FQDN de l'ordinateur. • Système : informations sur le système d'exploitation. • Ordinateur : informations sur le matériel. • Durée d'exécution du serveur : indique la durée d'exécution du système. Il s'agit de l'inverse du temps d'arrêt. Nombre de boîtes aux lettres ESET Mail Security détecte le nombre de boîtes aux lettres et affiche le décompte en fonction de la détection : • Domaine : nombre de toutes les boîtes aux lettres d'un domaine spécifique auquel appartient Exchange Server. Ce nombre s'applique également à un environnement DAG et à son nombre total de boîtes aux lettres. 35 • Local : reflète le nombre de boîtes aux lettres sur le serveur Exchange Server avec ESET Mail Security installé. Si le serveur appartient à un DAG, ce nombre correspond au nombre de boîtes aux lettres stockées sur le serveur Exchange Server local par rapport au nombre total de domaines. Si vous ne parvenez pas à résoudre le problème à l'aide des solutions suggérées, cliquez sur Aide et assistance pour accéder aux fichiers d'aide ou pour effectuer des recherches dans la base de connaissances ESET. Si vous avez besoin d'aide, vous pouvez envoyer une demande d'assistance. L'assistance technique ESET répondra très rapidement à vos questions et vous permettra de trouver une solution. Mise à jour Windows disponible La fenêtre Mises à jour système affiche la liste des mises à jour disponibles prêtes pour le téléchargement et l'installation. Le niveau de priorité de chaque mise à jour s'affiche à côté de son nom. Cliquez avec le bouton droit sur une ligne de mise à jour et cliquez sur Informations supplémentaires pour afficher une fenêtre comportant des informations supplémentaires : Cliquez sur Exécuter une mise à jour système pour ouvrir la fenêtre Windows Update et effectuer des mises à jour du système. Isolement réseau ESET Mail Security fournit une option d'isolement réseau pour bloquer la connexion réseau de votre serveur. Dans certains scénarios extrêmes, vous souhaiterez peut-être isoler un serveur du réseau comme mesure préventive. Ce peut être le cas, par exemple, si le serveur a été infecté par un logiciel malveillant ou que 36 l’ordinateur a été compromis. Lorsque l'isolement réseau est activé, l'ensemble du trafic réseau est bloqué à l'exception : • La connexion au contrôleur de domaine est conservée. • ESET Mail Security parvient toujours à communiquer. • S’il sont présents, ESET Management Agent et ESET Inspect Connector peuvent communiquer via le réseau Activez et désactivez l'isolement réseau à l'aide d’une commande eShell ou d’une tâche client ESET PROTECT. eShell En mode interactif : • Activer l’isolement réseau : network advanced set status-isolation enable • Désactiver l’isolement réseau : network advanced set status-isolation disable Vous pouvez également créer un fichier de commandes et l'exécuter à l’aide du mode batch/script. ESET PROTECT • Activez l’isolement réseau via une tâche client. • Désactivez l’isolement réseau via une tâche client. Lorsque l'isolement réseau est activé, l'état d'ESET Mail Security devient rouge et le message Accès réseau bloqué s'affiche. 37 Utilisation d'ESET Mail Security Cette partie contient une description détaillée de l'interface utilisateur du programme et explique comment utiliser ESET Mail Security. L'interface utilisateur permet d'accéder rapidement aux fonctionnalités couramment utilisées : • Surveillance • Fichiers journaux • Analyser • Mettre à jour • Quarantaine de messages • Configuration • Outils Analyser L'analyseur à la demande est un composant important d'ESET Mail Security. Il permet d'analyser des fichiers et des répertoires de votre ordinateur. Pour assurer la protection du réseau, il est essentiel que l'ordinateur soit analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Nous vous recommandons d'effectuer des analyses en profondeur de votre système de façon régulière (une fois par mois, par exemple) afin de détectés les virus qui ne l'ont pas été par la protection en temps réel du système de fichiers. Cela peut se produire si la protection en temps réel du système de fichiers était désactivée au moment de l'infection, si le moteur de détection n'a pas été mis à jour ou si le fichier n'a pas été détecté lors de son enregistrement sur le disque. Sélectionnez les analyses à la demande disponibles pour ESET Mail Security : Analyse de base de données de boîtes aux lettres Permet d'exécuter une analyse de base de données à la demande. Vous pouvez choisir d'analyser des dossiers publics, des serveurs de messagerie et des boîtes aux lettres. Vous pouvez également utiliser le Planificateur pour exécuter une analyse de base de données à un moment spécifique ou lors d'un événement en particulier. Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez choisir entre la protection de la base de données de boîtes aux lettres et une analyse de base de données à la demande. Seul un type de protection peut être activé à la fois. Si vous choisissez d'utiliser l'analyse de base de données à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes aux lettres dans Configuration avancée, sous Serveur. Sinon, l'analyse de base de données à la demande ne sera pas disponible. Analyse des boîtes aux lettres Microsoft 365 38 Permet d'analyser les boîtes aux lettres distantes dans les environnements hybrides Microsoft 365. Analyse du stockage Analyse tous les dossiers partagés sur le serveur local. Si l'option Analyse du stockage n'est pas disponible, aucun dossier partagé ne se trouve sur le serveur. Analyse de l'ordinateur Permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. L'analyse de l'ordinateur présente l'intérêt d'être facile à utiliser et de ne pas nécessiter de configuration détaillée. L'analyse vérifie tous les fichiers des disques locaux, et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé sur sa valeur par défaut. Pour plus d'informations sur les types de nettoyage, reportez-vous à la section Nettoyage. Nous recommandons d'exécuter une analyse d'ordinateur au moins une fois par mois. L'analyse peut être configurée comme tâche planifiée. Analyse personnalisée L'analyse personnalisée est une solution optimale si vous souhaitez spécifier des paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'analyse personnalisée a l'avantage de permettre la configuration précise des paramètres d'analyse. Les configurations peuvent être enregistrées dans des profils d'analyse définis par l'utilisateur, qui sont utiles pour effectuer régulièrement une analyse avec les mêmes paramètres. Analyse de supports amovibles Semblable à l'analyse intelligente, ce type d'analyse lance rapidement une analyse des supports amovibles (par ex. CD/DVD/USB) qui sont connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces potentielles. Pour lancer ce type d'analyse, vous pouvez aussi cliquer sur Analyse personnalisée, puis sélectionner Supports amovibles dans le menu déroulant Cibles à analyser et cliquer sur Analyser. Analyse Hyper-V Cette option s'affiche dans le menu uniquement si Hyper-V Manager est installé sur le serveur qui exécute ESET Mail Security. L'analyse Hyper-V permet d'analyser les disques d'une machine virtuelle sur un serveur Microsoft Hyper-V sans que le moindre agent ne soit installé sur cette machine virtuelle spécifique. Répéter la dernière analyse Répète la dernière opération d'analyse avec les mêmes paramètres. L'option Répéter la dernière analyse n'est pas disponible si l'analyse de base de données à la demande est présente. 39 Vous pouvez utiliser des options et afficher plus d'informations sur les états d'analyse : Glisser-déposer des fichiers Vous pouvez également placer des fichiers par glisser-déposer dans la fenêtre d'analyse de ESET Mail Security. Ces fichiers seront analysés immédiatement à la recherche de virus. Fermer/Fermer tout Fermeture des messages donnés. États d'analyse Permet d'afficher l'état de l'analyse initiale. Cette analyse s'est terminée ou a été interrompue par l'utilisateur. Afficher le journal Affiche des informations détaillées. Plus d\'infos Permet, pendant l'analyse, d'afficher des informations détaillées telles que l'utilisateur qui a exécuté l'analyse, le nombre d'objets analysés et la durée de l'analyse. Si l'analyse de base de données à la demande est en cours, elle indique l'utilisateur qui a exécuté l'analyse, mais pas le compte d'analyse de base de données proprement dit qui est utilisé pour établir la connexion à EWS (Exchange Web Services) pendant l'analyse. Ouvrir la fenêtre d'analyse La fenêtre de progression de l'analyse indique l'état actuel de l'analyse, ainsi que des informations sur le nombre de fichiers contenant du code malveillant qui sont détectés. Fenêtre Analyse et journal d'analyse La fenêtre d'analyse affiche les objets actuellement analysés, y compris leur emplacement, le nombre de menaces détectées (le cas échéant), le nombre d'objets analysés et la durée de l'analyse. La partie inférieure de la fenêtre est un journal d'analyse qui indique le numéro de version du moteur de détection, la date et l'heure du début de l'analyse et la sélection de la cible. 40 Une fois l'analyse en cours, vous pouvez cliquer sur Suspendre si vous souhaitez interrompre temporairement l'analyse. L'option Reprendre est disponible lorsque le processus d'analyse est interrompu. Faire défiler le journal de l’analyse Laissez cette option activée pour que les anciens journaux défilent automatiquement et pour consulter les journaux actifs dans la fenêtre Fichiers journaux. Il est normal que certains fichiers, protégés par mot de passe ou exclusivement utilisés par le système (en général pagefile.sys et certains fichiers journaux), ne puissent pas être analysés. Une fois l'analyse terminée, le journal d'analyse affiche toutes les informations pertinentes liées à l'analyse spécifique. 41 Cliquez sur l'icône du commutateur Filtrage pour ouvrir la fenêtre Filtrage du journal dans laquelle vous pouvez définir des critères de filtrage ou de recherche. Pour afficher le menu contextuel, cliquez avec le bouton droit sur une entrée de journal spécifique : Action Utilisation Filtrer les enregistrements identiques Cette option active le filtrage des journaux et affiche uniquement les enregistrements du même type que celui sélectionné. Filtrer... Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir des critères de filtrage pour des entrées de journal spécifiques. Activer le filtre Active les paramètres du filtre. Lorsque vous activez le filtrage pour la première fois, vous devez définir des paramètres. Désactiver le filtre Désactive le filtrage (cette option revient à cliquer sur le commutateur dans la partie inférieure). Copier Copie les informations des entrées sélectionnées/en surbrillance dans le Presse-papiers. Copier tout Copie des informations de toutes les entrées dans la fenêtre. Exporter... Exporte les informations des entrées sélectionnées/en surbrillance dans un fichier XML. Exporter tout... Exporte toutes les informations de la fenêtre dans un fichier XML. 42 Raccourci Voir aussi Ctrl + Maj + F Filtrage des journaux Ctrl + C Fichiers journaux Les fichiers journaux contiennent les événements importants qui se sont produits, fournissent un aperçu des résultats d'analyse, des menaces détectées, etc. Les journaux constituent un outil puissant pour l'analyse système, la détection de menaces et le dépannage. La consignation est toujours active en arrière-plan sans interaction de l'utilisateur. Les informations sont enregistrées en fonction des paramètres de détail actifs. Il est possible de consulter les messages texte et les journaux directement à partir de l'environnement ESET Mail Security ou de les exporter pour les consulter à un autre endroit. Sélectionnez le type de journal adéquat à partir du menu déroulant. Les journaux suivants sont disponibles : Détections Le journal des menaces contient des informations sur les infiltrations détectées par les modules ESET Mail Security. Ces informations comprennent l'heure de détection, le nom de l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez sur une entrée du journal pour afficher son contenu dans une fenêtre distincte. Au besoin, vous pouvez créer une exclusion de détection : cliquez avec le bouton droit sur une entrée de journal (détection), puis cliquez sur Créer une exclusion. L'assistant d’exclusion s'ouvre alors avec des critères prédéfinis. S’il existe un nom de détection en regard d’un fichier exclu, cela signifie que le fichier n’est exclu que pour la détection indiquée. Si ce fichier est infecté par la suite par d’autres logiciels malveillants, il sera détecté. Événements Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal des événements. Le journal des événements contient des informations sur les événements qui se sont produits dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Les informations qu'il contient peuvent aider à trouver une solution à un problème qui s'est produit dans le programme. Analyse de l'ordinateur Tous les résultats des analyses sont affichés dans cette fenêtre. Chaque ligne correspond à un seul contrôle d'ordinateur. Double-cliquez sur une entrée pour afficher les détails de l'analyse correspondante. Fichiers bloqués Contient les entrées des fichiers ayant été bloqués et inaccessibles. Le protocole indique la raison du blocage et le module source ayant bloqué le fichier, ainsi que l'application et l'utilisateur ayant exécuté le fichier. Fichiers envoyés Contient les entrées des fichiers de la protection dans le cloud, d'ESET LiveGuard Advanced et d'ESET LiveGrid®. Journaux de vérification Contient les entrées des modifications de l'état de la configuration ou de la protection et crée des instantanés pour une référence ultérieure. Cliquez avec le bouton droit de la souris sur une entrée de type Modifications de paramètre, puis sélectionnez Afficher les modifications dans le menu contextuel pour afficher des informations détaillées sur la modification effectuée. Si vous souhaitez rétablir vos paramètres précédents, sélectionnez Restaurer. Vous pouvez également utiliser Supprimer tout pour supprimer les entrées de journal. Si vous 43 souhaitez activer la journalisation d'audit, accédez à Configuration avancée > Outils > Fichiers journaux > Journal d'audit. HIPS Contient des entrées de règles spécifiques qui sont marquées pour enregistrement. Le protocole affiche l'application qui a appelé l'opération, le résultat (si la règle a été autorisée ou bloquée), ainsi que le nom de la règle créée. Protection du réseau Contient les entrées des fichiers qui ont été bloqués par Anti-botnet et le système IDS (protection contre les attaques réseau). Sites Web filtrés Liste des sites Web bloqués par la protection de l'accès Web et la protection anti-hameçonnage des messages. Ces journaux affichent l'heure, l'URL, l'utilisateur et l'application ayant ouvert une connexion au site Web en question. Contrôle de périphérique Contient des enregistrements des supports amovibles ou périphériques qui ont été connectés à l'ordinateur. Seuls les périphériques auxquels correspond une règle de contrôle de périphérique seront enregistrés dans le fichier journal. Si la règle ne correspond pas à un périphérique connecté, aucune entrée de journal ne sera créée pour un périphérique connecté. Des détails figurent également tels que le type de périphérique, le numéro de série, le nom du fournisseur et la taille du support (le cas échéant). Protection du serveur de messagerie Tous les messages détectés par ESET Mail Security comme étant une infiltration ou du courrier indésirable sont enregistrés ici. Ces journaux s'appliquent aux types de protection suivants : antispam, antihameçonnage, règles, protection contre l’usurpation d’identité de l’expéditeur et contre les logiciels malveillants. Lorsque vous doublecliquez sur un élément, une fenêtre contextuelle s'ouvre. Elle contient des informations supplémentaires sur l'e-mail telles que l'adresse IP, le domaine HELO, l'ID de message et le type d'analyse indiquant la couche de protection sur laquelle il a été détecté. Vous pouvez également consulter les résultats de l'analyse anti-logiciel malveillant, antihameçonnage et antispam et voir la raison pour laquelle le message a été détecté et si une règle a été activée. Tous les messages traités ne sont pas enregistrés dans un journal de la protection du serveur de messagerie. Toutefois, tous les messages qui ont été modifiés (pièce jointe supprimée, chaîne personnalisée ajoutée à un en-tête de message, etc.) sont écrits dans le journal. Analyse de base de données de boîtes aux lettres Contient la version du moteur de détection, la date, l'emplacement analysé, le nombre d'objets analysés, le nombre de menaces détectées, le nombre d'applications des règles et l'heure d'achèvement. Protection SMTP Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont enregistrés dans ce journal. Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont enregistrés dans 44 ce journal, ainsi que les messages évalués par la protection de rétrodiffusion et SPF. Chaque entrée contient le domaine HELO, l'adresse IP de l'expéditeur et du destinataire, les états des actions (refusé, refusé (non vérifié) et messages entrants vérifiés). Il existe une nouvelle action pour ajouter un sous-domaine mise en liste grise dans la liste blanche (voir le tableau ci-dessous). Analyse Hyper-V contient la liste des résultats des analyses Hyper-V. Double-cliquez sur une entrée pour afficher les détails de l'analyse correspondante. Le menu contextuel (clic droit) permet de sélectionner une action sur l'entrée de journal sélectionnée : Action Utilisation Afficher Affiche des détails supplémentaires sur le journal sélectionné dans une nouvelle fenêtre (identique à un double-clic). Filtrer les enregistrements identiques Cette option active le filtrage des journaux et affiche uniquement les enregistrements du même type que celui sélectionné. Filtrer... Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir des critères de filtrage pour des entrées de journal spécifiques. Activer le filtre Active les paramètres du filtre. Lorsque vous activez le filtrage pour la première fois, vous devez définir des paramètres. Désactiver le filtre Désactive le filtrage (cette option revient à cliquer sur le commutateur dans la partie inférieure). 45 Raccourci Voir aussi Ctrl + Maj + F Filtrage des journaux Action Utilisation Raccourci Copier Copie les informations des entrées sélectionnées/en surbrillance dans le Presse-papiers. Copier tout Copie des informations de toutes les entrées dans la fenêtre. Supprimer Supprime les entrées sélectionnées/en surbrillance. Cette action requiert des privilèges d'administrateur. Supprimer tout Supprime toutes les entrées de la fenêtre. Cette action requiert des privilèges d'administrateur. Exporter... Exporte les informations des entrées sélectionnées/en surbrillance dans un fichier XML. Exporter tout... Exporte toutes les informations de la fenêtre dans un fichier XML. Rechercher... Ouvre la fenêtre Rechercher dans le journal qui permet de Ctrl + F définir des critères de recherche. Vous pouvez utiliser la fonctionnalité de recherche pour trouver un enregistrement spécifique même lorsque le filtrage est activé. Suivant Recherche l'occurrence suivante des critères de recherche définis. F3 Précédent Recherche l'occurrence précédente. Maj + F3 Créer une exclusion Pour exclure des objets du nettoyage à l'aide du nom de la détection, du chemin d'accès ou du hachage. Voir aussi Ctrl + C Suppr. Rechercher dans le journal Créer une exclusion Ajouter l'adresse IP à la Ajoute l'adresse IP de l'expéditeur à la liste blanche des adresses IP. La liste blanche liste blanche de mise en des adresses IP figure dans la section Mise en liste grise et SPF de l'option Filtrage liste grise et vérification. Cela s'applique aux éléments consignés par la mise en liste grise ou SPF. Ajouter le domaine à la Ajoute le domaine de l'expéditeur à la liste blanche des domaines en adresses IP. liste blanche de mise en Seul le domaine est ajouté, le sous-domaine est ignoré. Par exemple, si l'adresse de liste grise et SPF l'expéditeur est sub.domain.com, seul domain.com est ajouté à la liste blanche. La liste blanche des domaines en adresses IP figure dans la section Mise en liste grise et SPF de l'option Filtrage et vérification. Cela s'applique aux éléments consignés par la mise en liste grise. Ajouter le sous-domaine Ajoute le sous-domaine de l'expéditeur à la liste blanche des domaines en adresses à la liste blanche de mise IP. L'ensemble du domaine est ajouté, y compris le sous-domaine (par exemple, en liste grise et SFP sub.domain.com). Cela vous donne plus de flexibilité pour le filtrage, si nécessaire. La liste blanche des domaines en adresses IP figure dans la section Mise en liste grise et SPF de l'option Filtrage et vérification. Cela s'applique aux éléments consignés par la mise en liste grise. Filtrage des journaux La fonctionnalité de filtrage des journaux vous permet de trouver les informations que vous recherchez, en particulier lorsqu'il existe de nombreuses entrées. Elle permet de limiter les entrées de journal, par exemple, si vous recherchez un type spécifique d'événement, d'état ou de période. Vous pouvez filtrer les entrées de journal en spécifiant certaines options de recherche. Seules les entrées 46 pertinentes (en fonction de ces options de recherche) sont affichées dans la fenêtre Fichiers journaux. Saisissez le mot-clé que vous recherchez dans le champ Rechercher le texte. Utilisez le menu déroulant Rechercher dans les colonnes pour affiner votre recherche. Choisissez une ou plusieurs entrées dans le menu déroulant Types d'entrée de journal. Définissez la Période à partir de laquelle vous souhaitez afficher les résultats. Vous pouvez également utiliser d'autres options de recherche, telles que Mot entier ou Respecter la casse. Rechercher le texte Saisissez une chaîne (mot ou partie de mot). Seuls les enregistrements contenant cette chaîne sont affichés. Les autres enregistrements sont omis. Rechercher dans les colonnes Sélectionnez les colonnes à prendre en compte lors de la recherche. Vous pouvez cocher une ou plusieurs colonnes à utiliser pour la recherche. Types d'enregistrements Choisissez un ou plusieurs types d'entrée de journal dans le menu déroulant : 47 • Diagnostic - Consigne toutes les informations nécessaires au réglage du programme et de toutes les entrées ci-dessus. • Entrées informatives - Enregistre tous les messages d'information, y compris les messages de mises à jour réussies et toutes les entrées ci-dessus. • Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. • Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les erreurs critiques. • Critique - Consigne uniquement les erreurs critiques. Période Définissez la période pour laquelle vous souhaitez afficher les résultats : • Non spécifié (option par défaut) - N'effectue aucune recherche dans la période ; effectue une recherche dans l'intégralité du journal. • Jour antérieur • Dernière semaine • Dernier mois • Période - Vous pouvez indiquer la période exacte (De : et À :) afin de filtrer les enregistrements correspondant à la période indiquée. Mot entier Utilisez cette case à cocher si vous souhaitez rechercher des mots complets afin d'obtenir des résultats plus précis. Respect de la casse Activez cette option s'il est important d'utiliser des majuscules et des minuscules lors du filtrage. Une fois que vous avez configuré vos options de filtrage/recherche, cliquez sur OK pour afficher les entrées de journal filtrées ou sur Rechercher pour lancer la recherche. La recherche dans les fichiers journaux s'effectue de haut en bas, à partir de la position actuelle (de l'enregistrement sélectionné). La recherche s'arrête lorsqu'elle trouve le premier enregistrement correspondant. Appuyez sur F3 pour rechercher l'enregistrement suivant ou cliquez avec le bouton droit et sélectionnez Rechercher pour affiner vos options de recherche. Mettre à jour Dans la section Mise à jour, vous pouvez connaître l'état actuel de la mise à jour de ESET Mail Security, notamment la date et l'heure de la dernière mise à jour. La mise à jour régulière d'ESET Mail Security est la meilleure méthode pour conserver le niveau maximum de sécurité de votre serveur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour le moteur de détection et les composants système. La mise à jour du moteur de détection et celle des composants 48 du programme sont des opérations importantes de la protection totale contre les attaques des codes malveillants. Si vous n'avez pas encore entré la clé de licence, vous ne pourrez pas recevoir de mises à jour et vous serez invité à activer votre produit. Pour ce faire, accédez à Aide et assistance > Activer le produit. Version actuelle Version de la build ESET Mail Security. Dernière mise à jour Dernière mise à jour - Date de la dernière mise à jour. Vérifiez qu'il s'agit d'une date récente indiquant que les modules sont à jour. Dernière recherche de mises à jour Date de la dernière tentative de mise à jour des modules. Afficher tous les modules Permet d'afficher la liste des modules installés. Rechercher des mises à jour La mise à jour des modules est une opération importante de la protection totale contre les attaques des codes malveillants. 49 Modifier la fréquence des mises à jour Vous pouvez modifier la fréquence de la tâche du planificateur Mise à jour automatique régulière. Si vous ne recherchez pas des mises à jour dès que possible, l'un des messages d'erreur suivants s'affiche : Message d'erreur Descriptions La mise à jour des modules n'est plus à jour Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour des modules. Nous vous conseillons de vérifier les paramètres de mise à jour. Cette erreur provient généralement de l'entrée incorrecte de données d'authentification ou de la configuration incorrecte des paramètres de connexion. Échec de la mise à jour des modules : le produit n'est pas activé La clé de licence n'a pas été correctement saisie lors de la configuration des mises à jour. Nous vous recommandons de vérifier vos données d'authentification. La fenêtre Configuration avancée (F5) contient d'autres options de mise à jour. Dans le menu principal, cliquez sur Aide et assistance > Gérer la licence pour saisir une nouvelle clé de licence. Une erreur s'est produite pendant le téléchargement des fichiers de mise à jour Cette erreur peut être due aux paramètres de connexion Internet. Nous vous recommandons de vérifier votre connectivité à Internet en ouvrant un site Web dans votre navigateur. Si le site Web ne s'ouvre pas, cela est probablement dû au fait qu'aucune connexion à Internet n'est établie ou que votre ordinateur a des problèmes de connectivité. Consultez votre fournisseur de services Internet si vous n'avez pas de connexion Internet active. Échec de la mise à jour des modules - Erreur 0073 Cliquez sur Mise à jour > Rechercher des mises à jour. Pour plus d'informations, consultez cet article de la base de connaissances. Les options du serveur proxy peuvent varier selon les profils de mise à jour. Si c'est le cas, configurez les différents profils de mise à jour dans Configuration avancée (F5) en cliquant sur Mise à jour > Profil. Quarantaine de messages Les e-mails et leurs composants, comme les pièces jointes, sont mis dans la Quarantaine des messages au lieu de la quarantaine des fichiers classique. La Quarantaine des messages permet de gérer plus facilement le courrier indésirable, les pièces jointes infectées contenant des logiciels malveillants ou les messages d'hameçonnage. Il existe plusieurs raisons différentes pour lesquelles les e-mails sont mis en quarantaine, en fonction du module de protection ESET Mail Security qui gère le message (Anti-logiciels malveillants, Antispam, Anti-hameçonnage, Protection contre l’usurpation d’identité de l’expéditeur ou Règles). Filtrage par icône Vous pouvez utiliser des icônes pour filtrer les messages afin d'afficher les pièces jointes, les e-mails ou les e-mails contenant des pièces jointes uniquement. Intervalle de temps Sélectionnez l'intervalle de temps pendant lequel vous souhaitez afficher les e-mails en quarantaine. Lorsque vous sélectionnez Personnaliser, vous pouvez spécifier une plage (Date de début et Date de fin). Nœuds du cluster Sélectionnez les nœuds de cluster pour lesquels vous souhaitez afficher les e-mails en quarantaine. Recherche rapide 50 Saisissez une chaîne dans la zone de texte pour filtrer les messages électroniques affichés (toutes les colonnes font l'objet d'une recherche). Type Utilisez les cases à cocher pour filtrer davantage par type (courrier indésirable, logiciel malveillant, règle, hameçonnage ou identité de l'expéditeur usurpée). Les données du gestionnaire de quarantaine de messages ne sont pas automatiquement mises à jour. Il est recommandé de cliquer régulièrement sur Actualiser la quarantaine de messages. pour afficher les éléments les plus récents dans Libérer Libère l'e-mail pour le ou les destinataires d'origine à l'aide du répertoire de lecture et le supprime de la quarantaine. Cliquez sur Oui pour confirmer l'action. Si l'élément mis en quarantaine est une pièce jointe du dossier public ne prenant pas en charge les e-mails, le bouton Libérer n'est pas disponible. Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il peut être facilement usurpé. Il utilise à la place les informations de destinataire d'origine de la commande RCPT TO:, acquises pendant la connexion SMTP. Le destinataire correct reçoit ainsi le message qui est libéré de la quarantaine. 51 Si vous exécutez un environnement en groupe et que vous libérez un message de la quarantaine, ce dernier ne sera pas remis en quarantaine par les autres nœuds ESET Mail Security. Cela est réalisé par la synchronisation des règles entre les nœuds du groupe. Libérer vers Si vous ne souhaitez pas libérer un e-mail pour tous les destinataires, utilisez cette option pour sélectionner des destinataires spécifiques qui recevront l'e-mail libéré. Cette option n'est disponible que pour les messages comportant plusieurs destinataires. Supprimer Supprime les éléments de la quarantaine. Cliquez sur Oui pour confirmer l'action. Les éléments supprimés via la fenêtre principale du programme sont retirés de la vue Quarantaine, mais toujours stockés. Ceux-ci sont automatiquement supprimés ultérieurement (après trois jours par défaut). Supprimer définitivement Supprime les éléments de la vue de quarantaine et les supprime du stockage. Cliquez sur Oui pour confirmer l'action. Détails du message mis en quarantaine Double-cliquez sur le message mis en quarantaine ou cliquez avec le bouton droit et sélectionnez Afficher les détails. Une nouvelle fenêtre s'ouvre. Elle contient des détails sur l'e-mail mis en quarantaine. Vous pouvez également consulter les en-têtes d'e-mail RFC d'origine pour obtenir plus de détails. Détails de la pièce jointe mise en quarantaine Lorsqu'une pièce jointe fait l'objet d'un double-clic, la boîte de dialogue des détails est différente de celle d'un message. Les en-têtes RFC ne sont pas disponibles, mais une zone comportant un texte d'enveloppe de pièce jointe est affichée. Vous pouvez saisir un texte personnalisé d'enveloppe de pièce jointe lorsque vous la libérez de la mise en quarantaine des messages. Ces actions sont également disponibles dans le menu contextuel. Si vous le souhaitez, cliquez sur Libérer, Supprimer ou Supprimer définitivement pour exécuter une action sur un message mis en quarantaine. Cliquez sur Oui pour confirmer l'action. Si vous choisissez Supprimer définitivement, le message est également supprimé du système de fichiers, contrairement à l'option Supprimer qui supprime l'élément de la vue du gestionnaire de quarantaine de messages. 52 Configuration La fenêtre du menu Configuration contient les sections suivantes : • Serveur • Ordinateur • Réseau • Internet et messagerie • Outils - Journalisation des données de diagnostic 53 Pour désactiver temporairement un module, cliquez sur la barre du curseur vert opération peut diminuer le niveau de protection de l'ordinateur. située en regard. Cette Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du curseur rouge située en regard. Le composant revient à un état activé. Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur l'icône représentant un engrenage . Importer/exporter les paramètres Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez les paramètres de configuration actuels dans un fichier de configuration. Configuration avancée Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à l'écran Configuration avancée, appuyez sur F5 depuis n'importe où dans le programme. Serveur La liste des composants que vous pouvez activer/désactiver à l'aide de la barre du curseur s'affiche. Pour configurer les paramètres d'un élément spécifique, cliquez sur l'icône représentant un engrenage . Protection antivirus 54 Vous protège des attaques contre le système en contrôlant les échanges de fichiers et de courrier, ainsi que les communications Internet. Protection antispam Intègre différentes technologies (RBL, DNSBL, empreintes digitales, vérification de la réputation, analyse de contenu, règles, création manuelle de liste blanche/noire, etc.) afin d'optimiser la détection des menaces par email. Protection antihameçonnage Analyse le corps des messages entrants pour les liens de de hameçonnage (URL). L'analyse de base de données de boîtes aux lettres Microsoft 365 Pour activer cette fonctionnalité, enregistrez l'analyseur ESET Mail Security. Exclusions automatiques Identifie les applications serveur et les fichiers du système d'exploitation serveur critiques, puis les ajoute automatiquement à la liste des exclusions. Cette fonctionnalité réduira le risque de conflits potentiels et augmentera les performances globales du serveur lors de l'exécution du logiciel de détection de menaces. Cluster Permet de configurer et activer ESET Cluster. 55 Ordinateur ESET Mail Security possède tous les composants nécessaires pour assurer la protection du serveur en tant qu'ordinateur. Ce module permet d'activer/de désactiver et de configurer les composants suivants : Protection en temps réel du système de fichiers Tous les fichiers ouverts, créés ou exécutés sur l'ordinateur sont analysés pour y rechercher la présence éventuelle de code malveillant. Pour la protection en temps réel du système de fichiers, il existe également une option pour configurer ou modifier les exclusions. Cette option ouvre la fenêtre de configuration des exclusions dans laquelle vous pouvez exclure de l'analyse des fichiers et des dossiers. Contrôle de périphérique Ce module permet d'analyser, de bloquer ou d'ajuster les filtres étendus/autorisations, et de définir les autorisations des utilisateurs à accéder à un périphérique et à l'utiliser. Système HIPS (Host Intrusion Prevention System) Le système surveille les événements qui se produisent dans le système d'exploitation et réagit en fonction d'un ensemble de règles personnalisées. • Advanced Memory Scanner • Bloqueur d'exploit • Protection anti-ransomware Mode de présentation Fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors de l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent réduire les contraintes sur l'UC. Vous recevez un message d'avertissement (risque potentiel de sécurité) et la fenêtre principale devient orange lorsque le mode de présentation est activé. Désactiver la protection antivirus et antispyware Lorsque vous désactivez temporairement la protection antivirus et antispyware, vous pouvez sélectionner la durée de désactivation du composant sélectionné dans le menu déroulant et cliquer sur Appliquer pour désactiver le composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus et antispyware ou utilisez la barre du curseur. 56 Réseau Il autorise ou refuse les différentes connexions réseau en se basant sur vos règles de filtrage. Il fournit une protection contre les attaques en provenance d'ordinateurs distants et permet de bloquer certains services potentiellement dangereux. Le module Réseau permet d'activer/de désactiver et de configurer les composants suivants : Protection contre les attaques réseau (IDS) Analyse le contenu du trafic réseau et protège contre les attaques réseau. Tout trafic considéré comme nuisible sera bloqué.. Protection Anti-Botnet Détection et blocage de la communication du botnet. Détecte rapidement et précisément les logiciels malveillants sur le système. Liste noire temporaire des adresses IP (adresses bloquées) Afficher la liste des adresses IP qui ont été détectées comme source d'attaques et ajoutées à la liste noire pour bloquer les connexions pendant une certaine période Assistant de dépannage (applications ou périphériques récemment bloqués) Permet de résoudre les problèmes de connectivité liés à la protection contre les attaques réseau. 57 Assistant de dépannage réseau L'Assistant de dépannage surveille toutes les connexions bloquées et vous guide tout au long du processus de dépannage pour corriger les problèmes de protection contre les attaques réseau liées à des applications ou des appareils spécifiques. Il vous propose ensuite un nouvel ensemble de règles à appliquer si vous les approuvez. Sélectionnez une période dans le menu déroulant pendant laquelle les communications ont été bloquées. La liste des communications récemment bloquées vous donne une vue d’ensemble du type d'application ou de l’appareil, de la réputation et du nombre total d’applications et d’appareils bloqués pendant cette période. Pour plus d’informations sur les communications bloquées, cliquez sur Détails. L’étape suivante consiste à débloquer l’application ou l’appareil avec lesquels vous rencontrez des problèmes de connectivité. Lorsque vous cliquez sur Débloquer, la communication précédemment bloquée est autorisée. Si vous continuez à rencontrer des problèmes liés à une application ou que votre appareil ne fonctionne pas comme prévu, cliquez sur L’application ne fonctionne toujours pas. Toutes les communications précédemment bloquées pour cet appareil sont à présent autorisées. Si le problème persiste, redémarrez l’ordinateur. Cliquez sur Afficher les modifications pour afficher les règles créées par l’assistant. Cliquez sur Débloquer un(e) autre pour résoudre les problèmes de communication liés à un autre appareil ou une autre application. 58 Internet et messagerie Le module Internet et messagerie permet d'activer/de désactiver et de configurer les composants suivants : Protection de l'accès Web Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé afin d'y rechercher des codes malveillants. Protection antihameçonnage Vous protège des tentatives d'acquisition de mots de passe, de données bancaires ou d'autres informations sensibles par des sites Web non légitimes se faisant passer pour des sites Web dignes de confiance. Protection du client de messagerie Contrôle les communications reçues via les protocoles POP3 et IMAP. Outils - Journalisation des données de diagnostic Vous pouvez activer la journalisation des données de diagnostic lorsque vous avez besoin d'informations détaillées sur le comportement d'une fonctionnalité spécifique de ESET Mail Security, lors de la résolution de problèmes par exemple. Lorsque vous cliquez sur l'icône représentant un engrenage les fonctionnalités pour lesquelles les journaux de diagnostic doivent être collectés. , vous pouvez configurer Vous pouvez choisir la durée de l'activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu’au 59 redémarrage suivant du serveur ou de manière permanente). Une fois la journalisation des données de diagnostic activée, ESET Mail Security collecte des journaux détaillés selon les fonctionnalités activées. Importer et exporter les paramètres La fonctionnalité Importer/Exporter les paramètres s'avère utile si vous devez sauvegarder la configuration actuelle d'ESET Mail Security. Vous pouvez également utiliser la fonctionnalité d'importation pour distribuer/appliquer les mêmes paramètres à d'autre(s) serveur(s) avec ESET Mail Security. Les paramètres sont exportés dans un fichier .xml. 60 Si vous ne disposez pas de suffisamment de droits pour écrire le fichier exporté dans le répertoire spécifié, vous pouvez rencontrer une erreur lors de l'exportation des paramètres. Outils Les fonctionnalités suivantes sont disponibles pour l'administration d'ESET Mail Security : • Processus en cours • Statistiques de protection • Cluster • ESET Shell • ESET LiveGuard Advanced • ESET SysInspector • ESET SysRescue Live • Planificateur • Soumettre un échantillon pour analyse • Quarantaine 61 Processus en cours Les processus en cours affichent les programmes ou processus en cours d'exécution sur votre ordinateur et informe ESET immédiatement et en permanence de l'existence de nouvelles infiltrations. ESET Mail Security fournit des informations détaillées sur l'exécution des processus afin de protéger les utilisateurs à l'aide de la technologie ESET LiveGrid®. 62 Les applications connues marquées Meilleure réputation (vert) sont saines (répertoriées dans la liste blanche) et sont exclues de l'analyse, ce qui améliore la vitesse de l'analyse de l'ordinateur à la demande ou de la protection en temps réel du système de fichiers sur votre ordinateur. Réputation Dans la majorité des cas, ESET Mail Security et la technologie ESET LiveGrid® déterminent la réputation des objets sur la base d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet (fichiers, processus, clés de registre, etc.), puis qui évaluent le potentiel d'activité malveillante. Cette analyse heuristique attribue aux objets un niveau de réputation allant de 9 - meilleure réputation (vert) à 0 - plus mauvaise réputation (rouge). Processus Nom de l'image du programme ou du processus en cours d'exécution sur l'ordinateur. Vous pouvez également utiliser le Gestionnaire de tâches pour afficher tous les processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire de tâches en cliquant avec le bouton droit de la souris sur une zone vide de la barre des tâches, puis en cliquant sur Gestionnaire de tâches ou en appuyant sur les touches Ctrl+Maj+Échap du clavier. PID ID des processus en cours d'exécution dans les systèmes d'exploitation Windows. Nombre d'utilisateurs Nombre d'utilisateurs utilisant une application donnée. Ces informations sont collectées par la technologie ESET LiveGrid®. Heure de la détection Durée écoulée depuis la détection de l'application par la technologie ESET LiveGrid®. Nom de l'application Nom attribué à un programme auquel appartient ce processus. Une application n'est pas nécessairement un logiciel malveillant lorsqu'elle est marquée Inconnu(e) (orange). Il s'agit généralement d'une nouvelle application. Vous pouvez soumettre un échantillon pour analyse au laboratoire ESET si ce fichier vous semble suspect. Si le fichier s'avère être une application malveillante, sa détection sera ajoutée à l'une des prochaines mises à jour du moteur de détection. 63 Afficher les détails Les informations suivantes apparaissent dans la partie inférieure de la fenêtre : • Chemin - Emplacement de l'application sur l'ordinateur. • Taille - Taille du fichier en Ko (kilo-octets) ou Mo (méga-octets). • Description - Caractéristiques du fichier basées sur sa description du système d'exploitation. • Réseaux Sociaux - Nom du fournisseur ou du processus de l'application. • Version - Informations fournies par l'éditeur de l'application. • Produit - Nom de l'application et/ou nom de l'entreprise. • Date de création - Date et heure de création d'une application. • Date de modification - Date et heure de dernière modification d'une application. Ajouter aux exclusions des processus Cliquez avec le bouton droit sur un processus dans la fenêtre Processus en cours pour l'exclure de l'analyse. Son chemin sera ajouté à la liste des exclusions des processus. Statistiques de protection Pour afficher un graphique des données statistiques relatives aux modules de protection de ESET Mail Security, sélectionnez le module de protection applicable dans le menu déroulant. Les statistiques comprennent des informations telles que le nombre total d'objets analysés, le nombre d'objets infectés, le nombre d'objets nettoyés et le nombre d'objets non infectés. Placez le pointeur de la souris sur un objet en regard du graphique pour afficher uniquement les données correspondant à cet objet dans le graphique. Pour effacer les informations de statistique pour le module de protection actuel, cliquez sur Réinitialiser. Pour effacer les données de tous les modules, cliquez sur Réinitialiser tout. 64 Les graphiques statistiques suivants sont disponibles dans ESET Mail Security : Antivirus et antispyware Affiche le nombre d'objets infectés et nettoyés. Protection du système de fichiers Affiche les objets lus ou écrits dans le système de fichiers. Protection Hyper-V Affiche le nombre d'objets infectés, nettoyés et non infectés (sur les systèmes dotés d'Hyper-V uniquement). Protection du client de messagerie Affiche les objets envoyés ou reçus par les clients de messagerie. Protection de l'accès Web et anti-hameçonnage Affiche uniquement les objets téléchargés par des navigateurs Web. Protection du serveur de messagerie Affiche les statistiques du serveur de messagerie anti-logiciels malveillants. 65 Protection antispam du serveur de messagerie Affiche l'historique des statistiques antispam. Le nombre Non analysé fait référence aux objets qui ont été exclus de l'analyse (selon les règles, les messages internes, les connexions authentifiées, etc.). Protection par mise en liste grise du serveur de messagerie Inclut les statistiques de blocage du courrier indésirable générées par la méthode de liste grise. Activité de la protection du transport des messages Affiche les objets vérifiés/bloqués/supprimés par le serveur de messagerie. Performances de la protection du transport des messages Affiche les données traitées par VSAPI/l'agent de transport en o/s. Activité de la protection de la base de données de boîtes aux lettres Affiche les objets traités par VSAPI (nombre d'objets vérifiés, mis en quarantaine et supprimés). Performances de la protection de la base de données de boîtes aux lettres Affiche les données traitées par VSAPI (nombre de moyennes différentes pour aujourd'hui, les 7 derniers jours et moyennes depuis la dernière réinitialisation). Cluster ESET Cluster est une infrastructure de communication P2P de la gamme des produits ESET pour Microsoft Windows Server. ESET Cluster convient particulièrement bien si vous disposez d'une infrastructure Exchange avec plusieurs serveurs tels qu'un DAG. Cette infrastructure permet aux produits serveur d'ESET de communiquer les uns avec les autres et d'échanger des données (configuration et notifications, par exemple), ainsi que de synchroniser les bases de données de mise en liste grise et les données nécessaires pour le fonctionnement correct d'un groupe d'instances de produit. Un exemple de ce type de groupe peut être un groupe de nœuds dans un cluster de basculement Windows ou un cluster d'équilibrage de la charge réseau doté de produits ESET et dans lequel la configuration des produits doit être identique dans l'ensemble du cluster. ESET Cluster assure cette cohérence entre les instances. Les paramètres de l'interface utilisateur et des tâches planifiées ne sont pas synchronisés entre les nœuds d'ESET Cluster. Cela est fait exprès, Par exemple pour empêcher l'exécution d'une analyse planifiée de la base de données à la demande sur tous les nœuds du groupe en même temps, sans entraîner de problèmes de performance inutiles. Les journaux de la protection du serveur de messagerie sont séparés pour chaque nœud du groupe ; les journaux ne sont donc pas synchronisés. Vous pouvez utiliser la fonctionnalité Exporter vers le serveur syslog sur chaque nœud pour que les journaux soit dupliqués sur le serveur Syslog au format CEF ou en vue de leur utilisation avec un outil SIEM. Vous pouvez également utiliser Exporter dans les journaux des applications et des services Windows si vous préférez rassembler les journaux à partir de cet emplacement. 66 La création d'ESET Clusters entre ESET Mail Security et ESET File Security pour Linux n'est pas pris en charge. Lors de la configuration d'ESET Cluster, vous pouvez ajouter des nœuds de deux manières : • Détecter auto : Ajoute automatiquement à ESET Cluster les nœuds déjà membres d'un cluster de basculement Windows/d'équilibrage de la charge réseau. • Parcourir : vous pouvez ajouter manuellement des nœuds en saisissant les noms des serveurs (membres d'un même groupe de travail ou d'un même domaine). Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il peut être facilement usurpé. Il utilise à la place les informations de destinataire d'origine de la commande RCPT TO:, acquises pendant la connexion SMTP. Le destinataire correct reçoit ainsi le message qui est libéré de la quarantaine. Une fois que vous avez ajouté des nœuds à ESET Cluster, l'étape suivante consiste à installer ESET Mail Security sur chaque nœud. Cette installation est effectuée automatiquement lors de la configuration d'ESET Cluster. Informations d'identification nécessaires pour une installation à distance d'ESET Mail Security sur d'autres nœuds du cluster : • Domaine : informations d'identification de l'administrateur du domaine. • Groupe de travail : vous devez veiller à ce que tous les nœuds utilisent les mêmes informations d'identification de compte d'administrateur local. Dans ESET Cluster, vous pouvez également utiliser une combinaison de nœuds automatiquement ajoutés en tant 67 que membres d'un cluster de basculement Windows/d'équilibrage de la charge réseau existant et de nœuds manuellement ajoutés (à condition qu'ils se trouvent dans le même domaine). Vous ne pouvez pas combiner des nœuds de domaine et des nœuds de groupe de travail. L'utilisation d'ESET Cluster exige également que l'option Partage de fichiers et d'imprimantes soit activée dans le Pare-feu Windows avant que ESET Mail Security ne soit poussé sur les nœuds d'ESET Cluster. Vous pouvez ajouter à tout moment de nouveaux nœuds à un ESET Cluster existant en exécutant l'Assistant Cluster. Importer des certificats Les certificats servent à fournir une authentification forte de machine à machine lorsque le protocole HTTPS est utilisé. Il existe une hiérarchie de certificats indépendante pour chaque cluster ESET. La hiérarchie possède un certificat racine et un ensemble de certificats de nœud signés par le certificat racine. La clé privée du certificat racine est détruite après la création de tous les certificats de nœud. Lorsque vous ajoutez un nouveau nœud au cluster, une nouvelle hiérarchie de certificats est créée. Accédez au dossier qui contient les certificats (qui ont été générés pendant l'Assistant Cluster). Sélectionnez le fichier de certificat et cliquez sur Ouvrir. Détruire le cluster Vous pouvez démanteler des ESET Cluster. Chaque nœud écrit alors un enregistrement sur la destruction d'ESET Cluster dans son journal des événements. Ensuite, toutes les règles du pare-feu ESET sont supprimées du Pare-feu Windows. Les anciens nœuds reviennent alors à leur état initial et peuvent être réutilisés dans un autre ESET Cluster, si nécessaire. Assistant Cluster - Sélectionner des nœuds Lors de la configuration d'un ESET Cluster, la première étape consiste à ajouter des nœuds. Vous pouvez utiliser l'option Détection automatique ou la commande Parcourir pour ajouter des nœuds. Vous pouvez également saisir le nom du serveur dans la zone de texte, puis cliquer sur le bouton Ajouter. Détecter auto. Ajoute automatiquement les nœuds d'un Windows Failover Cluster/d'un Network Load Balancing (NLB) Cluster existant. Le serveur à partir duquel vous créez l'ESET Cluster doit être membre de ce Windows Failover Cluster/d'NLB Cluster pour pouvoir ajouter automatiquement les nœuds. La fonctionnalité Autoriser le contrôle à distance doit être activée dans les propriétés du cluster d'équilibrage de la charge réseau afin qu' puisse détecter correctement les nœuds. Une fois que vous disposez de la liste des nœuds nouvellement ajoutés. Parcourir Permet de rechercher des ordinateurs et de les sélectionner dans un Domain ou un Workgroup. Cette méthode permet d'ajouter manuellement des nœuds à ESET Cluster. Une autre méthode pour ajouter des nœuds consiste à saisir le nom d'hôte du serveur à ajouter, puis à cliquer sur Ajouter. Charger Permet d'importer la liste des nœuds depuis le fichier. 68 Pour modifier des nœuds de cluster dans la liste, sélectionnez le nœud que vous souhaitez supprimer, puis cliquez sur Supprimer. Pour effacer entièrement la liste, cliquez sur Supprimer tout. Si vous disposez déjà d'un ESET Cluster, vous pouvez à tout moment y ajouter de nouveaux nœuds. La procédure est identique à celle décrite ci-dessus. Tous les nœuds qui sont conservés dans la liste doivent être en ligne et accessibles. Par défaut, Localhost est ajouté aux nœuds du cluster. Assistant Cluster - Paramètres du cluster Définissez le nom d'un cluster et d'autres paramètres propres au réseau (si nécessaire). Nom du cluster Saisissez un nom pour le cluster, puis cliquez sur Suivant. Port d'écoute - Le port par défaut est 9777 Si vous utilisez déjà le port 9777 dans votre environnement réseau, indiquez un autre numéro de port qui ne sera pas utilisé. Ouvrir le port dans le Pare-feu Windows 69 Lorsque cette option est sélectionnée, une règle est créée dans le Pare-feu Windows. Assistant Cluster - Paramètres de configuration du cluster Définissez le mode de distribution des certificats et l'installation ou non du produit sur les autres nœuds. Distribution de certificats • Automatique à distance : le certificat est installé automatiquement. • Manuelle : cliquez sur Générer et sélectionnez le dossier dans lequel stocker les certificats. Les certificats suivants sont créés : un certificat racine et un certificat pour chaque nœud, notamment pour celui (ordinateur local) à partir duquel vous configurez ESET Cluster. Pour inscrire le certificat sur l'ordinateur local, cliquez sur Oui. Installation du produit sur les autres nœuds • Automatique à distance - ESET Mail Security est installé automatiquement sur chaque nœud (à condition que l'architecture des systèmes d'exploitation soit identique). • Manuelle : installez manuellement ESET Mail Security (lorsque les architectures des systèmes d'exploitation sont différentes sur certains nœuds, par exemple). Transmettre la licence aux nœuds sans produit activé ESET Security active automatiquement les solutions ESET installées sur les nœuds sans licence. Pour créer un ESET Cluster avec une architecture de système d'exploitation mixtes (32 et 64 bits), installez ESET Mail Security manuellement. Les systèmes d'exploitation utilisés sont détectés lors des étapes suivantes. Ces informations sont alors affichées dans la fenêtre de journal. Assistant Cluster - Vérification des nœuds Une fois les informations d'installation spécifiées, une vérification des nœuds est exécutée. Les informations suivantes sont affichées dans le journal de vérification des nœuds : • Tous les nœuds existants sont en ligne. • Les nouveaux nœuds sont accessibles • Le nœud est en ligne. • Le partage administratif est accessible. • Une exécution à distance est possible. • Les versions de produit correctes (ou aucun produit) sont installées. • Les nouveaux certificats sont présents. 70 Le rapport est disponible une fois que la vérification des nœuds est terminée : 71 Assistant Cluster - Installation des nœuds Lors de l'installation sur une machine distante pendant l'initialisation d'ESET Cluster, l'assistant tente de trouver le programme d'installation dans le répertoire %ProgramData%\ESET\ESET Security\Installer. Si le package d'installation ne figure pas dans ce répertoire, le système vous demande de localiser le fichier du programme d'installation. 72 Lorsque vous tentez d'utiliser une installation à distance automatique pour un nœud doté d'une autre architecture (32 bits par rapport à 64 bits), le programme le détecte et vous invite à effectuer une installation manuelle. 73 Une fois que vous avez correctement configuré ESET Cluster, il apparaît comme étant activé dans la page Configuration > Serveur. Si une ancienne version de ESET Mail Security est déjà installée sur certains nœuds, le système vous informe que la version la plus récente est requise sur ces machines. La mise à jour de ESET Mail Security peut entraîner un redémarrage automatique. Vous pouvez en outre vérifier son état actuel dans la page d'état du cluster (Outils > Cluster). ESET Shell eShell (abréviation d'ESET Shell) est une interface à ligne de commande pour ESET Mail Security. eShell S'utilise en remplacement de l'interface utilisateur graphique et dispose de toutes les fonctionnalités et options proposées normalement par cette interface. eShell vous permet de configurer et d'administrer l'intégralité du programme sans avoir à utiliser l'interface utilisateur graphique. Outre les fonctions et fonctionnalités disponible dans l'interface graphique, l'interface à ligne de commande vous permet d'automatiser l'exécution de scripts afin de configurer et de modifier la configuration, ou encore d'effectuer une opération. eShell est également utile pour les utilisateurs qui préfèrent les lignes de commande aux interfaces graphiques. 74 Pour bénéficier de toutes les fonctionnalités, ouvrez eShell en utilisant Exécuter en tant qu'administrateur. Il en va de même pour l'exécution d'une seule commande de l'invite de commande (cmd) de Windows. Ouvrez l'invite de commande en utilisant Exécuter en tant qu'administrateur. Si vous n'exécutez pas l'invite de commande en tant qu'administrateur, vous ne pourrez pas exécuter des commandes en raison d'un manque d'autorisations. Le système eShell peut être exécuté de deux manières : 1. Mode interactif : ce mode est utile lorsque vous souhaitez utiliser régulièrement eShell (pas simplement exécuter une seule commande), par exemple lorsque vous modifiez la configuration, affichez des journaux, etc. Vous pouvez utiliser le mode interactif si vous ne connaissez pas encore toutes les commandes. Le mode interactif simplifie la navigation dans eShell. Il affiche également les commandes que vous pouvez utilisez dans un contexte défini. 2. Commande unique/mode de traitement par lots : vous pouvez utiliser ce mode si vous avez uniquement besoin d'exécuter une commande sans passer au mode interactif de eShell. Pour ce faire, saisissez eshell avec les paramètres appropriés dans l'invite de commande Windows. eshell get status or eshell computer set real-time status disabled 1h Pour pouvoir exécuter certaines commandes (comme celles du deuxième exemple ci-dessus) en mode de traitement par lots/script, vous devez configurer au préalable certains paramètres. Sinon, un message Accès refusé s'affiche. S'affiche pour des raisons de sécurité. Il est nécessaire de modifier les paramètres pour que les commandes eShell puissent être utilisées dans une invite de commande Windows. En savoir plus sur l'exécution des fichiers de commandes. Vous pouvez entrer en mode interactif de deux manières différentes dans eShell : 1. Par l'intermédiaire du menu Démarrer de Windows : Démarrer > Tous les programmes > ESET > ESET Mail Security > ESET Shell 2. Dans une invite de commande Windows, saisissez eshell, puis appuyez sur la touche Entrée. Si l'erreur 'eshell' not recognized as an internal or external command s'affiche, c'est en raison du non chargement de nouvelles variables d'environnement par votre système après l'installation de ESET Mail Security. Ouvrez une nouvelle invite de commandes et réessayez de démarrer eShell. Si une erreur s'affiche toujours ou si vous avez une installation minimale de ESET Mail Security, démarrez eShell à l'aide d'un chemin absolu, par exemple "%PROGRAMFILES%\ESET\ESET Mail Security\eShell.exe" (vous devez utiliser des "" pour que la commande fonctionne). Lorsque vous exécutez eShell en mode interactif pour la première fois, l'écran de première exécution (guide) s'affiche. Si vous souhaitez afficher ultérieurement cet écran de première exécution, tapez la commande guide. Il présente des exemples de base concernant l'utilisation d'eShell avec une syntaxe, un préfixe, un chemin d'accès à une commande, des formes abrégées, des alias, etc. À la prochaine exécution d'eShell, cet écran s'affiche : 75 Les commandes ne font pas la distinction entre les majuscules et les minuscules : Que vous saisissiez les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière. Personnalisation d'eShell Vous pouvez personnaliser eShell dans le contexte ui eshell. Vous pouvez configurer des alias, des couleurs, un langage, une stratégie d'exécution pour les scripts, des paramètres pour les commandes masquées, etc. Utilisation Syntaxe Pour qu'elles fonctionnent correctement, les commandes doivent avec une syntaxe correcte. Elles peuvent être composées d'un préfixe, d'un contexte, d'arguments, d'options, etc. Voici la syntaxe générale utilisée dans eShell : [<prefix>] [<command path>] <command> [<arguments>] Exemple (cette commande active la protection des documents) : SET COMPUTER SCANS DOCUMENT REGISTER ENABLED SET : préfixe COMPUTER SCANS DOCUMENT - chemin vers une commande particulière, contexte auquel la commande appartient REGISTER : commande proprement dite ENABLED : argument de la commande L'utilisation de la valeur ? en tant qu'argument pour une commande affiche la syntaxe de cette commande. Par exemple, STATUS ?affiche la syntaxe de la commande STATUS : 76 SYNTAXE : [get] status OPÉRATIONS : get : Afficher l'état de tous les modules de protection Vous pouvez constater que [get] est entre crochets. Cela indique que le préfixe getget est l'option par défaut de la commande status. En d'autres termes, lorsque vous exécutez la commande status sans indiquer de préfixe, la commande utilise le préfixe par défaut (dans ce casget status). Vous gagnerez du temps en n'indiquant pas de préfixe. La valeur get est généralement le préfixe par défaut pour la plupart des commandes, mais vous devez effectuer cette vérification pour chaque commande et vous assurer qu'il correspond bien à l'instruction que vous souhaitez exécuter. Les commandes ne font pas la distinction entre les majuscules et les minuscules : Que vous saisissiez les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière. Préfixe/Opération Un préfixe est une opération. Le préfixe GET fournit des informations sur la configuration d'une fonctionnalité de ESET Mail Security ou indique l'état (GET COMPUTER REAL-TIME STATUS affiche l'état de la protection en cours du module en temps réel). La commande SET (préfixe) configure la fonctionnalité ou change son état (SET COMPUTER REAL-TIME STATUS ENABLED active la protection en temps réel). Ce sont les préfixes que eShell permet d'utiliser. Les commandes peuvent prendre en charge ou ne pas prendre en charge les préfixes : GET SET renvoie le parametre/l'état actuel définit la valeur/l'état SELECT sélectionne un élément ADD ajoute un élément REMOVE supprime un élément CLEAR supprime tous les éléments/fichiers START démarre une action STOP arrête une action PAUSE interrompt une action RESUME reprend une action RESTORE restaure les parametres/l'objet/le fichier par défaut SEND envoie un objet/fichier IMPORT importe d'un fichier EXPORT exporte dans un fichier Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes (certaines commandes telles que EXIT n'utilisent pas de préfixe). Chemin/Contexte de la commande Les commandes sont placées dans des contextes qui constituent une arborescence. Le niveau supérieur de l'arborescence est la racine. Lorsque vous exécutez eShell, vous vous trouvez au niveau racine : 77 eShell> Vous pouvez exécuter la commande depuis cet emplacement ou saisir le nom du contexte dans l'arborescence pour y accéder. Par exemple, lorsque vous saisissez le contexte TOOLS, toutes les commandes et sous-contextes disponibles sont répertoriés. Les éléments en jaune correspondent aux commandes que vous pouvez exécuter et les éléments en gris sont des sous-contextes que vous pouvez saisir. Un sous-contexte contient des commandes supplémentaires. Si vous devez remonter d'un niveau, utilisez .. (deux points). Par exemple, imaginons que vous vous trouvez à ce niveau : eShell computer real-time> saisissez .. pour remonter d'un niveau à : eShell computer> Si vous souhaitez retourner au niveau racine depuis eShell computer real-time> (soit deux niveaux en dessous de la racine), tapez simplement .. .. (deux points et deux points séparés par un espace). Vous remontez alors de deux niveaux, ce qui correspond dans ce cas à la racine. Utilisez une barre oblique inverse \ pour retourner directement au niveau racine, quel que soit le niveau auquel vous vous trouvez dans l'arborescence. Si vous souhaitez atteindre un contexte spécifique dans des niveaux supérieurs, utilisez le nombre adéquat de .. pour accéder au niveau souhaité en employant un espace comme séparateur. Si vous souhaitez par exemple remonter de trois niveaux, utilisez .. .. .. Le chemin est relatif au contexte en cours. Si la commande est contenue dans le contexte en cours, n'indiquez pas de chemin. Par exemple, pour exécuter GET COMPUTER REAL-TIME STATUS, saisissez : GET COMPUTER STATUS : si vous êtes dans le contexte racine (la ligne de commande indique eShell>) GET STATUS : si vous êtes dans le contexte COMPUTER (la ligne de commande indique eShell computer>) .. GET STATUS : si vous êtes dans le contexte COMPUTER REAL-TIME (la ligne de commande indique eShell computer real-time>) 78 Vous pouvez utiliser un point . au lieu de deux .., car un point est l'abréviation de deux points. . GET STATUS : si vous êtes dans le contexte COMPUTER REAL-TIME (la ligne de commande indique eShell computer real-time> Argument Un argument est une action effectuée pour une commande spécifique. Par exemple, la commande CLEAN-LEVEL (située dans COMPUTER REAL-TIME ENGINE) peut être utilisée avec les arguments suivants : rigorous : Toujours résoudre la détection safe : Résoudre la détection si cette opération est sûre, sinon conserver normal : Résoudre la détection si cette opération est sûre, sinon demander none : Toujours demander à l'utilisateur final Les arguments ENABLED ou DISABLED permettent d'activer ou de désactiver une fonctionnalité. Forme abrégée/Commandes raccourcies eShell vous permet de raccourcir les contextes, les commandes et les arguments (à condition que l'argument soit un paramètre ou une autre option). Il n'est pas possible de raccourcir un préfixe ou un argument s'il s'agit d'une valeur concrète telle qu'un nombre, un nom ou un chemin. Vous pouvez utiliser les chiffres1 et 0 au lieu des arguments enabled et disabled. computer set real-time status enabled computer set real-time status disabled => => com set real stat 1 com set real stat 0 Voici des exemples de forme raccourcie : computer set real-time status enabled => com set real stat en computer exclusions add detection-excludes object C:\path\file.ext => com excl add det obj C:\path\file.ext computer exclusions remove detection-excludes 1 => com excl rem det 1 Si deux commandes ou contextes commencent par la même lettre, ADVANCED et AUTO-EXCLUSIONS, et que vous saisissez la commande raccourcie A, eShell ne parvient pas à déterminer laquelle de ces deux commandes vous souhaitez exécuter. Un message d'erreur s'affiche et répertorie les commandes commençant par un « A » pour que vous puissiez sélectionner celle à exécuter : eShell>a La commande suivante n'est pas unique : a Les sous-contextes suivants sont disponibles dans le contexte COMPUTER : ADVANCED AUTO-EXCLUSIONS En ajoutant une ou plusieurs lettres (AD au lieu de A), eShell entre le sous-contexte ADVANCED car il est unique. Cela s'applique aussi aux commandes abrégées. 79 afin d'avoir la garantie qu'une commande s'exécute comme vous le souhaitez, il est recommandé de ne pas abréger les commandes, les arguments, etc. et d'utiliser plutôt la forme complète. eShell exécute alors exactement ce que vous souhaitez et vous évite de commettre des erreurs. Ce conseil s'applique notamment pour les fichiers de commandes et les scripts. Saisie semi-automatique Cette nouvelle fonctionnalité introduite avec eShell 2.0 ressemble beaucoup à la fonctionnalité de saisie semiautomatique de l'invite de commande Windows. Alors que l'invite de commande Windows effectue une saisie semi-automatique des chemins d'accès aux fichiers, eShell effectue également une saisie semi-automatique des noms de commande, de contexte et d'opération. La saisie semi-automatique des arguments n'est pas prise en charge. Lorsque vous tapez une commande, appuyez sur Tab pour terminer la saisie ou parcourir les variantes disponibles. Appuyez sur Maj+Tab pour parcourir les variantes dans le sens inverse. Le mélange d'une forme abrégée et de la saisie semi-automatique n'est pas pris en charge. Utilisez une de ces deux options. Par exemple, lorsque vous saisissez computer real-time additional, la frappe de la touche Tab ne donne aucun résultat. Saisissez plutôt com et appuyez sur la touche Tab pour saisir automatiquement computer, tapez ensuite real + Tab et add + Tab et appuyez sur Entrée. Tapez on + Tab et continuez à appuyer sur Tab pour parcourir toutes les variantes disponibles : on-execute-ah, on-execute-ah-removable, on-write-ah, on-write-archive-default, etc. Alias Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à condition que la commande dispose d'un alias). Voici quelques alias par défaut : (global) close : quitter (global) quit : quitter (global) bye : quitter warnlog : tools log events virlog - tools log detections (global) signifie que la commande peut être utilisée dans tous les emplacements, quel que soit le contexte actuel. Plusieurs alias peuvent être attribués à une même commande. Par exemple, la commande EXIT possède les alias CLOSE, QUIT et BYE. Si vous souhaitez quitter eShell, vous pouvez utiliser la commande EXIT proprement dite ou l'un de ses alias. L'alias VIRLOG est attribué à la commande DETECTIONS qui se trouve dans le contexte TOOLS LOG. Les détections de commande sont ainsi disponibles depuis le contexte ROOT, ce qui facilite l'accès (vous n'avez plus à saisir TOOLS puis le contexte LOG et l'exécuter directement depuis ROOT). eShell permet de définir vos alias. La commande ALIAS est accessible dans le contexte UI ESHELL. 80 Paramètres protégés par mot de passe Les paramètres de ESET Mail Security peuvent être protégés par mot de passe. Vous pouvez définir un mot de passe à l'aide de l'interface graphique utilisateur ou d'eShell à l'aide de la commande set ui access lockpassword. Vous devez ensuite saisir ce mot de passe de manière interactive pour certaines commandes (comme celles qui permettent de modifier des paramètres ou des données). Si vous envisagez d'utiliser eShell pendant une longue période et si vous ne souhaitez pas saisir le mot de passe de manière répétée, vous pouvez faire en sorte qu'eShell mémorise le mot de passe à l'aide de la commande set password (exécution depuis root). Votre mot de passe est alors automatiquement saisi pour chaque commande exécutée qui le demande. Le mot de passe est mémorisé jusqu'à ce que vous quittiez eShell. Vous devez donc réutiliser la commande set password lorsque vous démarrez une nouvelle session et que vous souhaitez qu'eShell mémorise le mot de passe. Guide / Aide Lorsque vous exécutez la commande GUIDE ou HELP, l'écran de première exécution apparaît et vous explique comment utiliser eShell. Cette commande est disponible uniquement dans le contexte ROOT (eShell>). Historique de commande eShell conserve un historique des commandes exécutées. Cet historique s'applique uniquement à la session interactive eShell en cours. Lorsque vous quittez eShell, l'historique des commandes est supprimé. Utilisez les touches de direction Haut et Bas de votre clavier pour naviguer dans l’historique. Lorsque vous avez localisé la commande que vous recherchiez, vous pouvez la réexécuter ou la modifier sans avoir à saisir l'intégralité de la commande depuis le début. CLS/Effacement de l'écran La commande CLS peut être utilisée pour effacer le contenu de l'écran. Cette commande fonctionne de la même manière que l'invite de commande Windows ou que toute autre interface à ligne de commande. EXIT/CLOSE/QUIT/BYE Pour fermer ou quitter eShell, vous pouvez utiliser l'une de ces commandes (EXIT, CLOSE, QUIT ou BYE). Commandes Cette section répertorie quelques commandes eShell de base, ainsi que des descriptions. Les commandes ne font pas la distinction entre les majuscules et les minuscules : Que vous saisissiez les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière. Exemples de commandes (contenues dans le contexte ROOT) : ABOUT Répertorie les informations sur le programme. Cette commande permet d'afficher les informations suivantes : • Nom du produit de sécurité ESET installé et numéro de version 81 • Système d'exploitation et informations de base sur le matériel • Nom d'utilisateur (domaine compris), nom complet de l'ordinateur (FQDN si le serveur appartient à un domaine) et nom du siège • Composants du produit de sécurité ESET installés et numéro de version de chaque composant CHEMIN DE CONTEXTE : root MOT DE PASSE Normalement, lorsque vous exécutez des commandes protégées par mot de passe, vous êtes invité à taper un mot de passe pour des raisons de sécurité. Il concerne les commandes qui désactivent la protection et qui peuvent avoir une incidence sur la configuration du produit ESET Mail Security. Vous êtes invité à saisir un mot de passe chaque fois que vous exécutez une commande de ce type. Afin d'éviter d'avoir à saisir un mot de passe à chaque fois, vous pouvez définir ce mot de passe. Il sera mémorisé par eShell et saisi automatiquement à chaque exécution d'une commande protégée par un mot de passe. Le mot de passe ne fonctionne que pour la session interactive eShell en cours. Lorsque vous quittez eShell, ce mot de passe défini est supprimé. Lorsque vous redémarrez eShell, le mot de passe doit être redéfini. Le mot de passe défini peut être également utilisé lors de l'exécution de fichiers de commandes/scripts non signés. Veillez à définir la politique d'exécution du ESET Shell sur Accès complet lors de l'exécution de fichiers de commandes non signés. Voici un exemple de fichier de traitement par lots : eshell set password plain <yourpassword> "&" computer set real-time status disabled La commande concaténée ci-dessus définit un mot de passe et désactive la protection. Il est recommandé d'utiliser des fichiers de commandes signés lorsque cela est possible. Vous évitez ainsi que les mots de passe apparaissent en texte brut dans le fichier de commandes (en cas d'utilisation de la méthode décrite ci-dessus). Pour plus d'informations, voir Fichiers de commandes/scripts (section Fichiers de commandes signés). CHEMIN DE CONTEXTE : root SYNTAXE : [get] | restore password set password [plain <password>] OPÉRATIONS : get : Affiche le mot de passe set- Définit ou efface le mot de passe restore : Efface le mot de passe 82 ARGUMENTS : plain : Permet d'entrer le mot de passe en tant que paramètre. password : Mot de passe set password plain <yourpassword> : Définit un mot de passe qui sera utilisé pour les commandes protégées par mot de passe. restore password : Efface le mot de passe get password : Utilisez cette commande pour définir si le mot de passe est configuré (le mot de passe n'apparaît pas clairement ; il est remplacé par une série d'astérisques "*"). Si vous ne voyez aucun astérisque, cela signifie qu'aucun mot de passe n'est défini. set password plain <yourpassword> : Utilisez cette commande pour configurer le mot de passe défini restore password : Cette commande efface le mot de passe défini. STATUS Affiche des informations sur l'état en cours de la protection en temps réel d'ESET Mail Security et permet également d'interrompre et de reprendre la protection (identique à la fenêtre principale du programme). CHEMIN DE CONTEXTE : computer real-time SYNTAXE : [get] status set status enabled | disabled [ 10m | 30m | 1h | 4h | temporary ] restore status OPÉRATIONS : get : renvoie le paramètre/l'état en cours set : définit la valeur/l'état restore : restaure les paramètres/l'objet/le fichier par défaut ARGUMENTS : enabled : Activer la protection/fonctionnalité disabled : Désactiver la protection/fonctionnalité 10m : Désactiver pendant 10 minutes 30m : Désactiver pendant 30 minutes 1h : Désactiver pendant 1 heure 4h : Désactiver pendant 4 heures 83 temporary : Désactiver jusqu'au redémarrage Vous ne pouvez pas désactiver toutes les fonctionnalités de protection à l’aide d’une seule commande. Vous pouvez gérer les fonctionnalités de protection et les modules un par un à l’aide de la commande status. Chaque fonctionnalité de protection ou module possède sa commande status. Liste des fonctionnalités avec la commande status : Fonctionnalité Exclusions automatiques Contexte et commande COMPUTER AUTO-EXCLUSIONS STATUS Système HIPS (Host Intrusion Prevention System) COMPUTER HIPS STATUS Protection en temps réel du système de fichiers COMPUTER REAL-TIME STATUS Contrôle de périphérique DEVICE STATUS Protection Anti-Botnet NETWORK ADVANCED STATUS-BOTNET Protection contre les attaques réseau (IDS) NETWORK ADVANCED STATUS-IDS Isolement réseau NETWORK ADVANCED STATUS-ISOLATION ESET Cluster TOOLS CLUSTER STATUS Journalisation des données de diagnostic TOOLS DIAGNOSTICS STATUS Mode de présentation TOOLS PRESENTATION STATUS Protection anti-hameçonnage WEB-AND-EMAIL ANTIPHISHING STATUS Protection du client de messagerie WEB-AND-EMAIL MAIL-CLIENT STATUS Protection de l’accès Web WEB-AND-EMAIL WEB-ACCESS STATUS VIRLOG Cette commande est un alias de la commande DETECTIONS. Elle est utile lorsque vous devez afficher des informations sur les infiltrations détectées. WARNLOG Cette commande est un alias de la commande EVENTS. Elle est utile lorsque vous devez afficher des informations sur différents événements. Raccourcis clavier eShell prend en charge les raccourcis clavier (similaires à l'invite de commande cmd.exe de Microsoft Windows). Utilisez certaines touches (combinaisons de touches) de votre clavier pour effectuer des actions dans eShell. Ces actions peuvent être par exemple les suivantes : afficher l'historique des commandes, répéter une partie de la commande d'historique, déplacer un mot ou effacer une ligne. Raccourcis disponibles : F1 : permet d'imprimer les caractères de la commande d'historique actuelle un par un. F2, X : permet de réitérer une partie de la commande d'historique ; jusqu'au caractère X. F3 : permet d'écrire la commande d'historique en cours. F4, X : à partir de la position actuelle du curseur sur la commande en cours ; effacer jusqu'au caractère X. 84 F5 : identique à la touche de direction HAUT. F7 : permet d'afficher l'historique des commandes. ALT + F7 : permet d'effacer l'historique des commandes. F8 : permet de revenir en arrière dans l'historique des commandes, mais n'affiche à l'invite de commande que les commandes correspondant au texte actuel. F9 : permet d'exécuter une commande spécifique à partir de l'historique des commandes. DROITE : identique à F1. CTRL + ORIGINE : permet d'effacer la ligne à gauche. CTRL + FIN : permet d'effacer la ligne à droite. CTRL + GAUCHE : permet de déplacer un mot vers la gauche. CTRL + DROITE : permet de déplacer un mot vers la droite. Fichiers de commandes/scripts Vous pouvez utiliser eShell comme outil de création de scripts puissant pour l'automatisation. Pour utiliser un fichier de commandes dans eShell, créez-en un comportant un eShell et une commande. eshell get computer real-time status Vous pouvez également créer une chaîne de commandes, ce qui est parfois nécessaire. Si vous souhaitez par exemple obtenir le type d'une tâche planifiée spécifique, saisissez la commande suivante : eshell select scheduler task 4 "&" get scheduler action La sélection d'un élément (tâche numéro 4 dans le cas présent) ne s'applique généralement qu'à une instance d'eShell en cours d'exécution. Si vous deviez exécuter ces commandes à la suite, la seconde commande échouerait en affichant l'erreur « "No task selected or selected task no longer exists". » Pour des raisons de sécurité, la stratégie d'exécution est définie par défaut sur Scripts limités. Vous pouvez ainsi utiliser eShell comme outil de surveillance (dans ce cas, vous ne pouvez pas apporter de modifications à la configuration de ESET Mail Security en exécutant un script). Si vous essayez d'exécuter un script avec des commandes qui ont un impact sur la sécurité, comme la désactivation de la protection, le message Accès refusé s'affiche. Il est recommandé d'utiliser des fichiers de commandes signés pour exécuter des commandes qui apportent des modifications de configuration. Pour modifier la configuration à l'aide d'une commande saisie manuellement dans l'invite de commande, vous devez accorder un accès total à eShell (non recommandé). Pour accorder un accès total, utilisez la commande ui eshell shell-execution-policy en mode interactif d'eShell ou via l'interface utilisateur graphique dans Configuration avancée (F5)> Interface utilisateur > ESET Shell. Fichiers de commandes signés eShell vous permet de protéger les fichiers de commandes courants (*.bat) à l'aide d'une signature. Les scripts 85 sont signés à l'aide du mot de passe utilisé pour la protection des paramètres. Pour signer un script, vous devez activer au préalable la protection des paramètres. Vous pouvez le faire dans la fenêtre principale du programme ou dans eShell à l'aide de la commande set ui access lock-password. Une fois que le mot de passe de protection des paramètres est configuré, vous pouvez commencer à signer les fichiers de commandes. Vous devez signer à nouveau tous les scripts si vous modifiez votre mot de passe de protection des paramètres. Dans le cas contraire, les scripts ne s'exécuteront pas suite au changement de mot de passe. Car le mot de passe saisi lors de la signature d'un script doit correspondre au mot de passe de protection des paramètres sur le système cible. Pour signer un fichier de commandes, exécutez sign <script.bat> à partir du contexte racine d'eShell, où script.bat correspond au chemin d'accès au script à signer. Saisissez le mot de passe qui sera utilisé pour la signature, puis confirmez-le. Ce mot de passe doit correspondre au mot de passe de protection des paramètres. Une signature est placée dans la partie inférieure du fichier de commandes sous forme de commentaire. Si le script a déjà été signé, sa signature est remplacée par la nouvelle. Lorsque vous modifiez un fichier de commandes signé, vous devez le resigner. Pour exécuter un fichier de commandes signé à partir de l'invite de commande Windows ou en tant que tâche planifiée, utilisez la commande suivante : eshell run <script.bat> script.bat correspond au chemin d'accès au fichier de commandes. eshell run d:\myeshellscript.bat ESET LiveGuard Advanced ESET LiveGuard Advanced offre une autre couche de sécurité en utilisant la technologie ESET Cloud avancée pour détecter les menaces nouvelles. Il s'agit d'un service payant. Bien qu'il soit similaire à ESET LiveGrid®, ESET LiveGuard Advanced permet d'être protégé contre les conséquences possibles liées aux nouvelles menaces. Si ESET LiveGuard Advanced détecte du code ou un comportement suspect, il empêche toute activité de la menace en la plaçant temporairement dans la quarantaine ESET LiveGuard Advanced. Un échantillon suspect (fichier ou e-mail) est automatiquement soumis au cloud ESET, où le serveur ESET LiveGuard Advanced l'analyse à l'aide des moteurs de détection de logiciels malveillants sophistiqués. Pendant que les fichiers ou les e-mails sont dans la quarantaine ESET LiveGuard Advanced, ESET Mail Security attend les résultats du serveur ESET LiveGuard Advanced. Une fois l'analyse terminée, ESET Mail Security reçoit un rapport comportant un résumé du comportement de l'échantillon observé. Si l'échantillon s'avère inoffensif, il est libéré de la quarantaine ESET LiveGuard Advanced, sinon il y reste. S'il s'agit d'un faux positif et que vous êtes sûr que le fichier ou l'e-mail ne constitue pas une menace, vous pouvez le libérer manuellement de la quarantaine ESET LiveGuard Advanced avant que ESET Mail Security reçoive les résultats du serveur ESET LiveGuard Advanced. Les résultats ESET LiveGuard Advanced pour les échantillons sont généralement donnés en quelques minutes pour les e-mails. Toutefois, l'intervalle d'attente par défaut est défini sur 5 minutes. Dans de rares cas, lorsque les résultats ESET LiveGuard Advanced ne sont pas donnés dans l'intervalle, le message est libéré. Vous pouvez changer l'intervalle selon vos préférences (entre 5 et 60 minutes, par incréments de 1 minute). 86 La fonctionnalité ESET LiveGuard Advanced est visible dans ESET Mail Security, quel que soit son état d'activation. Si vous ne possédez pas de licence, ESET LiveGuard Advanced est inactif. La licence ESET LiveGuard Advanced est gérée par ESET PROTECT et l'activation doit être effectuée dans ESET PROTECT à l'aide d'une politique. Une fois ESET LiveGuard Advanced activé, votre profil ESET LiveGuard Advanced est créé sur le serveur ESET LiveGuard Advanced. Ce profil stocke tous les résultats d'analyse ESET LiveGuard Advanced pour les échantillons envoyés par ESET Mail Security. Pour que la fonction ESET LiveGuard Advanced soit opérationnelle, les critères suivants doivent être respectés : ESET Mail Security gérés via ESET PROTECT ESET Mail Security est activé à l'aide d'une licence ESET LiveGuard Advanced Activez ESET LiveGuard Advanced dans ESET Mail Security à l'aide d'une politique ESET PROTECT Vous pouvez alors tirer parti de ESET LiveGuard Advanced et envoyer manuellement un échantillon pour qu'il soit analysé par ESET LiveGuard Advanced. ESET SysInspector ESET SysInspector est une application qui inspecte méticuleusement votre ordinateur, réunit des informations détaillées sur les composants système, tels que pilotes et applications installés, connexions réseau ou entrées de registre importantes, puis évalue le niveau de risque de chaque composant. Ces informations peuvent aider à déterminer la cause d'un comportement suspect du système pouvant être dû à 87 une incompatibilité logicielle ou matérielle, ou à une infection par un logiciel malveillant. Cliquez sur Créer et entrez un bref commentaire décrivant le journal à créer. Patientez jusqu'à ce que le journal ESET SysInspector soit généré (l'état indique Créé). Selon la configuration matérielle et les données système, la création du journal peut prendre un certain temps. La fenêtre ESET SysInspector affiche les informations suivantes relatives aux journaux créés : • Heure - Heure de création du journal. • Commentaire - Bref commentaire. • Utilisateur - Nom de l'utilisateur qui a créé le journal. • État - État de création du journal. Les actions disponibles sont les suivantes : • Afficher - Ouvre le journal créé. Vous pouvez également cliquer avec le bouton droit sur un journal, puis sélectionner Afficher dans le menu contextuel. • Créer - Crée un journal. Saisissez un bref commentaire décrivant le journal à créer et cliquez sur Créer. Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État indique Créé). • Supprimer - Supprime les journaux sélectionnés de la liste. En cliquant avec le bouton droit de la souris sur un ou plusieurs journaux sélectionnés, vous ouvrez un menu contextuel qui donne accès aux options suivantes : • Afficher - Ouvre le journal sélectionné dans ESET SysInspector (équivaut à double-cliquer sur un journal). • Créer - Crée un journal. Saisissez un bref commentaire décrivant le journal à créer et cliquez sur Créer. Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État indique Créé). • Supprimer - Supprime les journaux sélectionnés de la liste. • Supprimer tout - Supprime tous les journaux. • Exporter - Exporte le journal vers le fichier .esil. Vous pouvez également choisir un fichier .xml ou un fichier compressé .xml. ESET SysRescue Live ESET SysRescue Live est un utilitaire gratuit qui permet de créer un CD/DVD ou un lecteur USB de secours amorçable. Vous pouvez démarrer un ordinateur infecté à partir de votre support de secours pour rechercher des logiciels malveillants et nettoyer les fichiers infectés. Le principal avantage d'ESET SysRescue Live réside dans le fait que la solution est exécutée indépendamment du système d'exploitation hôte, tout en ayant un accès direct au disque et au système de fichiers. Il est par conséquent possible de supprimer les menaces qui ne pourraient normalement pas être supprimées (par exemple lorsque le système d'exploitation est en cours d'exécution, etc.). 88 Planificateur Le Planificateur gère et lance des tâches planifiées en fonction de paramètres définis. Vous pouvez afficher une liste de toutes les tâches planifiées sous la forme d'un tableau qui contient leurs paramètres (type et nom de la tâche, heure de lancement et dernière exécution, par exemple). Vous pouvez créer d'autres tâches planifiées en cliquant sur Ajouter une tâche. Pour modifier la configuration d'une tâche planifiée existante, cliquez sur le bouton Modifier. Restaurez les paramètres par défaut de la liste des tâches planifiées, cliquez sur Par défaut et sur Rétablir les paramètres par défaut. Toutes les modifications apportées seront perdues (cette opération ne peut pas être annulée). Il existe un ensemble de tâches par défaut prédéfinies : • Maintenance des journaux • Mise à jour automatique régulière (utilisez cette tâche pour mettre à jour la fréquence) • Mise à jour automatique après une connexion d’accès à distance • Mise à jour automatique après connexion de l’utilisateur • Vérification des fichiers de démarrage (après l'ouverture de session de l'utilisateur) • Vérification des fichiers de démarrage (après la réussite de la mise à jour des modules) Cochez les cases appropriées pour activer ou désactiver les tâches. 89 Pour effectuer les actions suivantes, cliquez avec le bouton droit sur une tâche : Afficher les détails des tâches Affiche des informations détaillées sur une tâche planifiée lorsque vous doublecliquez ou cliquez avec le bouton droit sur celle-ci. Exécuter maintenant Exécute une tâche de planificateur sélectionnée et l'effectue immédiatement. Ajouter... Lance un assistant qui permet de créer une nouvelle tâche de planificateur. Modifier... Permet de modifier la configuration d'une tâche planifiée existante (par défaut et définie par l'utilisateur). Supprimer Supprime une tâche existante. Planificateur - Ajouter une tâche Pour créer une tâche planifiée : 1. Cliquez sur Ajouter une tâche. 2. Saisissez un nom de tâche et configurez votre tâche planifiée personnalisée. 3. Type de tâche : sélectionnez le type de tâche applicable dans le menu déroulant. Pour désactiver une tâche, cliquez sur la barre du curseur en regard de l'option Activée. Pour activer la tâche ultérieurement, cochez la case de la vue Planificateur. 4. Exécution de la tâche : sélectionnez l'une des options à définir lorsque vous souhaitez exécuter votre tâche. Selon votre choix, vous serez invité à choisir une heure, un jour, un intervalle ou un événement spécifique. 90 5. Tâche ignorée : si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le moment auquel elle doit être exécutée. 6. Exécuter l'application : si la tâche est planifiée pour exécuter une application externe, choisissez un fichier exécutable dans l'arborescence. 91 7. Si vous devez apporter des modifications, cliquez sur Précédent pour revenir aux étapes précédentes et modifier les paramètres. 8. Cliquez sur Terminer pour créer la tâche ou appliquer les modifications. La nouvelle tâche planifiée apparaît dans la vue Planificateur. Type de tâche L'assistant de configuration est différent pour chaque type de tâche d'une tâche planifiée. Saisissez le nom de la tâche, puis sélectionnez le type de tâche de votre choix dans le menu déroulant : • Exécuter une application externe : permet de planifier l'exécution d'une application externe. Vous pouvez utiliser un compte spécifique pour exécuter la tâche planifiée en tant que (option Exécuter la tâche sous un compte spécifique). • Maintenance des journaux : les fichiers journaux contiennent également des éléments provenant d'entrées supprimées. Cette tâche optimise régulièrement les entrées des fichiers journaux pour garantir leur efficacité. • Contrôle des fichiers de démarrage du système : vérifie les fichiers autorisés à s'exécuter au démarrage du système ou lors de l'ouverture de session de l'utilisateur. • Créer un instantané du statut de l'ordinateur : crée un instantané ESET SysInspector de l'ordinateur et collecte des informations détaillées sur les composants système (pilotes, applications) et évalue le niveau de risque de chacun de ces composants. • Analyse de l'ordinateur à la demande : analysez les fichiers et les dossiers stockés localement ou sur un partage réseau (système de stockage partagé, tel qu'un NAS). Utilisez un compte spécifique pour exécuter la tâche planifiée en tant que (option Exécuter la tâche sous un compte spécifique). • Mise à jour : planifie une tâche de mise à jour pour effectuer une mise à jour du moteur de détection et des modules de l'application. • Analyse de base de données de boîtes aux lettres : permet de planifier une analyse de base de données et de choisir les éléments à analyser. C'est une analyse de base de données à la demande. Si la protection de la base de données de boîtes aux lettres est activée, vous pouvez toujours planifier cette tâche, mais le message d'erreur Analyse de base de données de boîtes aux lettres - Analyse interrompue en raison d'une erreur s'affichera dans la section Analyse de l'interface utilisateur graphique principale. Pour éviter cette erreur, assurez-vous que la protection de la base de données de boîtes aux lettres est désactivée pendant la période au cours de laquelle l'analyse de base de données de boîtes aux lettres est planifiée. • Envoyer les rapports de mise en quarantaine des messages : planifie l'envoi d'un rapport de mise en quarantaine des messages par courrier électronique. • Envoyer les rapports administrateur de mise en quarantaine des messages : planifie l'envoi d'un rapport de mise en quarantaine des messages par courrier électronique. • Envoyer le rapport sur la protection du serveur de messagerie : planifie un rapport sur la protection du serveur de messagerie. 92 • Analyse en arrière-plan : permet à Exchange Server d'exécuter une analyse en arrière-plan de base de données si nécessaire. • Analyse Hyper-V : permet de planifier une analyse des disques virtuels dans Hyper-V. • Analyse Office 365 : permet de planifier une analyse des environnements hybrides Office 365. Pour désactiver une tâche lorsqu'elle a été créée, cliquez sur le commutateur en regard de l'option Activée. Pour activer la tâche ultérieurement, cochez la case de la vue Planificateur. Cliquez sur Suivant pour passer à l'étape suivante. Exécution de tâche Sélectionnez l'une des fréquences suivantes : • Une fois : la tâche n'est exécutée qu'une seule fois, à la date et à l'heure spécifiées. Pour exécuter la tâche une seule fois, à un moment donné. Spécifiez la date et l'heure de début dans Exécution de la tâche. • Plusieurs fois : la tâche est exécutée aux intervalles indiqués (exprimés en minutes). Indiquez l'heure à laquelle la tâche sera exécutée tous les jours dans Exécution de la tâche. • Quotidiennement : la tâche est exécutée tous les jours à l'heure définie. • Chaque semaine - La tâche est exécutée une ou plusieurs fois par semaine, au(x) jour(s) et à l'heure indiqués. Pour exécuter la tâche plusieurs fois certains jours de la semaine uniquement en commençant par le jour et l'heure spécifiés. Indiquez l'heure de début dans l'heure d'exécution de la tâche. Sélectionnez le ou les jours de la semaine pendant lesquels la tâche doit être exécutée. • Déclenchée par un événement - La tâche est exécutée après un événement particulier. Si vous activez l'option Ignorer la tâche en cas d’alimentation par batterie, une tâche ne démarre pas si le système est alimenté par batterie au moment de l'exécution prévue. Cela s'applique aux systèmes UPS, par exemple. Exécuter la tâche sous un compte spécifique - Définissez le nom d’utilisateur et le mot de passe d’un compte spécifique pour exécuter la tâche planifiée Exécuter une application externe ou Analyse de l’ordinateur à la demande. Utilisez-la pour exécuter Analyse de l’ordinateur à la demande si vous souhaitez analyser un partage réseau, par exemple, un NAS ou un autre système de stockage partagé. Vérifiez que le compte utilisateur que vous utilisez pour Exécuter la tâche sous un compte spécifique est autorisé à Ouvrir une session en tant que tâche (SeBatchLogonRight). Vous pouvez vérifier les Paramètres de stratégie à l'aide de l'outil Gestion des stratégies de groupe (Paramètres de sécurité > Stratégies locales > Attribution des droits d'utilisateur > Ouvrir une session en tant que tâche). Déclenchée par un événement Lors de la planification d'une tâche déclenchée par un événement, vous pouvez indiquer l'intervalle minimum entre deux exécutions de la tâche. Un des événements suivants peut déclencher la tâche : 93 • Chaque fois que l'ordinateur démarre • Chaque jour au premier démarrage de l'ordinateur • Connexion commutée à Internet/VPN • Mise à jour du module réussie • Mise à jour du produit réussie • Ouverture de session de l'utilisateur : la tâche est déployée lorsque l'utilisateur ouvre une session sur le système. Si vous ouvrez une session sur l'ordinateur plusieurs fois par jour, choisissez un intervalle de 24 heures afin de réaliser la tâche uniquement à la première ouverture de session de la journée, puis le lendemain. • Détection de menaces Exécuter l’application Cette tâche permet de planifier l'exécution d'une application externe. • Fichier exécutable : choisissez un fichier exécutable dans l'arborescence, cliquez sur Parcourir (...) ou saisissez le chemin manuellement. • Dossier de travail - Définissez le répertoire de travail de l'application externe. Tous les fichiers temporaires du fichier exécutable sélectionné sont créés dans ce répertoire. • Paramètres - Paramètres de ligne de commande de l'application (facultatif). Tâche ignorée Si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le moment auquel elle doit être exécutée : • À la prochaine heure planifiée - La tâche est exécutée à l'heure indiquée (après 24 heures, par exemple). • Dès que possible - La tâche s'exécute dès que possible, c'est-à-dire dès que les actions qui empêchent son exécution ne sont plus valides. • Exécuter la tâche immédiatement si le temps écoulé depuis la dernière exécution dépasse l'intervalle spécifié - Durée écoulée depuis la dernière exécution (heures). Lorsque vous sélectionnez cette option, votre tâche est toujours répétée après le nombre d'heures indiqué. Rapport sur la protection du serveur de messagerie Les rapports sur la protection du serveur de messagerie vous informent en vous donnant une vue d'ensemble des statistiques de protection ESET Mail Security. Les rapports statistiques contiennent des informations sur le nombre d'e-mails analysés et de logiciels malveillants, de tentatives d'hameçonnage et de courriers indésirables détectés pour la période spécifiée. Le rapport est généré en fonction de la tâche planifiée et envoyé par e-mail 94 aux destinataires sélectionnés. Au format HTML, il est envoyé comme pièce jointe. La sortie HTML présente les données sous forme de graphique et montre la moyenne à long terme d'une comparaison. Elle comprend également des informations sur le trafic pour chaque type de protection et les principaux destinataires de logiciels malveillants, de tentatives d'hameçonnage et de courriers indésirables. Utilisez le planificateur pour générer le rapport sur la protection du serveur de messagerie à la date et à l'heure spécifiées ou de façon récurrente. Les rapports planifiés sont remis aux destinataires d'e-mail sélectionnés qui recevront les rapports. Accédez à Outils > Planificateur, puis cliquez sur Ajouter une tâche à l'assistant. Saisissez le nom de la tâche, sélectionnez le type de tâche dans le menu déroulant et choisissez tâche de rapport sur la protection du serveur de messagerie. • Nom du rapport : saisissez le nom du rapport. • Périodes : sélectionnez l'une des options comme période pour la génération du rapport. • Destinataires : indiquez les utilisateurs qui recevront le rapport sur la protection du serveur de messagerie. Cliquez sur Modifier pour saisir les boîtes aux lettres de destinataires spécifiques (les boîtes aux lettres liées sont également prises en charge). Indiquez l’adresse e-mail du destinataire du rapport, puis appuyez sur Entrée pour confirmer l’opération. Répétez l’opération pour ajouter plusieurs destinataires. • Adresse de l'expéditeur : indiquez une adresse e-mail à afficher en tant qu'expéditeur du rapport sur la protection du serveur de messagerie (administrator@mydomain.com, par exemple). • Langue du rapport : sélectionnez la langue souhaitée dans le menu déroulant. Le rapport est généré dans la langue sélectionnée. • Agréger les statistiques du groupe : créez un rapport avec les données statistiques générées pour tous les membres du nœud du cluster. Cliquez sur Terminer. Aperçu des tâches planifiées Cette boîte de dialogue affiche des informations détaillées sur une tâche planifiée lorsque vous double-cliquez sur celle-ci dans la vue Planificateur. Vous pouvez également afficher ces informations en cliquant avec le bouton droit sur la tâche et en choisissant Afficher les détails des tâches. Soumettre les échantillons pour analyse La boîte de dialogue de soumission d'échantillons permet d'envoyer un fichier ou un site à ESET pour analyse. Si vous trouvez sur votre ordinateur un fichier dont le comportement est suspect, soumettez-le au laboratoire de recherche sur les menaces d'ESET pour analyse. Si le fichier s'avère être une application malveillante, la détection sera intégrée à une prochaine mise à jour. Pour soumettre le fichier par e-mail, compressez le ou les fichiers à l'aide de WinRAR ou de WinZip, protégez l'archive à l'aide du mot de passe infected et envoyez-la à samples@eset.com. Utilisez un objet descriptif et indiquez le plus d'informations possible sur le fichier (notez par exemple le site Internet à partir duquel vous 95 l'avez téléchargé). Avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à l'un ou les deux critères suivants : • Le fichier ou le site Web n'est pas du tout détecté. • Le fichier ou le site Web est détecté à tort comme une menace. • Nous n’acceptons pas les fichiers personnels (que vous souhaitez qu’ESET analyse en vue de rechercher des logiciels malveillants) comme échantillons (ESET Research Lab n’effectue pas d’analyses à la demande pour les utilisateurs). • Utilisez un objet descriptif et indiquez le plus d'informations possible sur le fichier (notez par exemple le site Internet à partir duquel vous l'avez téléchargé). Si au moins l'une des exigences ci-dessus n'est pas satisfaite, vous ne recevrez pas de réponse tant que des informations complémentaires n'auront pas été fournies. Sélectionnez la description correspondant le mieux à votre message dans le menu déroulant Motif de soumission de l'échantillon : • Fichier suspect • Site suspect (site Web infecté par un logiciel malveillant) • Fichier faux positif (fichier détecté à tort comme infecté) • Site faux positif • Autre Fichier/Site Chemin d'accès au fichier ou au site Web que vous souhaitez soumettre. Adresse de contact L'adresse de contact est envoyée à ESET avec les fichiers suspects. Elle pourra servir à vous contacter si des informations complémentaires sont nécessaires à l'analyse. La spécification d'une adresse de contact est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires sont nécessaires à l'analyse. En effet, nos serveurs reçoivent chaque jour des dizaines de milliers de fichiers, ce qui ne permet pas de répondre à tous les envois. Envoyer de manière anonyme Cochez la case en regard de l'option Envoyer de manière anonyme pour envoyer le fichier ou le site Web suspect sans saisir votre adresse e-mail. Fichier suspect Signes et symptômes observés d'infection par logiciel malveillant Saisissez une description du comportement du fichier suspect que vous avez observé sur votre ordinateur. Origine du fichier (adresse URL ou fournisseur) 96 Indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé. Notes et autres informations Saisissez éventuellement d'autres informations ou une description qui faciliteront l'identification du fichier suspect. le premier paramètre (Signes et symptômes observés d'infection par logiciel malveillant) est obligatoire. Les autres informations faciliteront la tâche de nos laboratoires lors du processus d'identification des échantillons. Site suspect Dans le menu déroulant Pourquoi ce site est-il suspect ?, sélectionnez l'une des options suivantes : Infecté Site Web qui contient des virus ou d'autres logiciels malveillants diffusés par diverses méthodes. Hameçonnage L'hameçonnage est souvent utilisé pour accéder à des données sensibles, telles que des numéros de comptes bancaires, des codes secrets, etc. Pour en savoir plus sur ce type de attaque, consultez le Glossaire . Scam Site d'escroquerie ou frauduleux. Autre Utilisez cette option si aucune des options ci-dessus ne correspond au site que vous allez soumettre. Notes et autres informations Saisissez éventuellement d'autres informations ou une description qui pourront faciliter l'analyse du site Web suspect. Fichier faux positif Nous vous invitons à soumettre les fichiers qui sont signalés comme infectés alors qu'ils ne le sont pas, afin d'améliorer notre moteur de détection et de contribuer à la protection des autres utilisateurs. Les faux positifs (FP) peuvent se produire lorsque le motif d'un fichier correspond à celui figurant dans un moteur de détection. Trois premiers paramètres sont nécessaires pour identifier les applications légitimes et les distinguer des codes malveillants. En fournissant des informations supplémentaires, vous facilitez l'identification et le traitement des échantillons par nos laboratoires. Nom et version de l'application Titre et version du programme (par exemple : numéro, alias et nom de code). 97 Origine du fichier (adresse URL ou fournisseur) Indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé. Objectif de l'application Description générale, type (navigateur, lecteur multimédia, etc.) et fonctionnalité de l'application. Notes et autres informations Saisissez éventuellement d'autres informations ou une description qui faciliteront le traitement du fichier suspect. Site faux positif Nous vous recommandons de soumettre les sites détectés faussement comme infectés ou signalés à tort comme scam ou hameçonnage. Les faux positifs (FP) peuvent se produire lorsque le motif d'un site correspond à celui figurant dans un moteur de détection. Veuillez soumettre ce site Web afin d'améliorer notre moteur de détection et de contribuer à la protection des autres utilisateurs. Notes et autres informations Saisissez éventuellement d'autres informations ou une description qui faciliteront le traitement du fichier suspect. Autre Utilisez ce formulaire si le fichier ne peut pas être classé par catégorie en tant que fichier suspect ou faux positif. Motif de soumission du fichier Décrivez en détail le motif d'envoi du fichier. Quarantaine La principale fonction de la quarantaine est de stocker les fichiers infectés en toute sécurité. Les fichiers doivent être placés en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés erronément par ESET Mail Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Cette action est conseillée si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur de logiciels malveillants. Les fichiers en quarantaine peuvent être soumis pour analyse au laboratoire de recherche d'ESET. 98 Les fichiers du dossier de quarantaine peuvent être visualisés dans un tableau qui affiche la date et l'heure de mise en quarantaine, le chemin d'accès à l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par exemple, objet ajouté par l'utilisateur) et le nombre de menaces (s'il s'agit d'une archive contenant plusieurs infiltrations par exemple). Si des messages sont placés dans la quarantaine des fichiers, un chemin vers la boîte aux lettres/le dossier/le nom de fichier s'affiche. Mise en quarantaine de fichiers ESET Mail Security met automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désactivé cette option dans la fenêtre d'alerte). Pour mettre manuellement en quarantaine tout fichier suspect, cliquez sur Quarantaine. Les fichiers d'origine sont supprimés de leur emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin : cliquez avec le bouton droit dans la fenêtre Quarantaine et sélectionnez l'option Quarantaine. Restauration depuis la quarantaine Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. L'option Restaurer est disponible dans le menu contextuel accessible en cliquant avec le bouton droit sur le fichier dans le fenêtre Quarantaine. Si un fichier est marqué comme étant une application potentiellement indésirable , l'option Restaurer et exclure de l'analyse est également disponible. Le menu contextuel propose également l'option Restaurer vers qui permet de restaurer des fichiers vers un emplacement autre que celui d'origine dont ils ont été supprimés. Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de l'exclure de l'analyse et de l'envoyer au service client d'ESET. 99 Soumission de fichiers mis en quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été considéré par erreur comme étant infecté (par exemple par l'analyse heuristique du code) et placé en quarantaine, envoyez ce fichier au laboratoire d'ESET. Pour soumettre un fichier mis en quarantaine, cliquez avec le bouton droit sur le fichier et sélectionnez l'option Soumettre le fichier pour analyse dans le menu contextuel. Suppression d'un élément de la quarantaine Cliquez avec le bouton droit sur un élément donné, puis sélectionnez Supprimer l'élément en quarantaine. Vous pouvez également sélectionner les éléments applicables, puis appuyer sur Suppr sur votre clavier. Assistant d'analyse des boîtes aux lettres Microsoft 365 ESET Mail Security prend en charge l’analyse des boîtes aux lettres distantes et des dossiers publics Microsoft 365, comme l'analyse de base de données de boîtes aux lettres à la demande classique. Pour activer cette fonctionnalité, inscrivez l’analyseur ESET Mail Security. Liens rapides : • Inscription de l'analyseur ESET Mail Security • Annulation de l'inscription de l'analyseur ESET Mail Security Pour commencer à utiliser l'analyse de base de données de boîtes aux lettres Microsoft 365 d'ESET Mail Security, inscrivez l’application d’analyse ESET Mail Security dans Microsoft Azure. La page de configuration d'analyse des boîtes aux lettres Microsoft 365 affiche le statut de l'inscription. Si vous êtes déjà inscrit, vous verrez les informations d'inscription (ID du tenant, ID de l'application, ID de l'objet et Empreinte du certificat). Vous pouvez inscrire ou annuler l'inscription de l'analyseur ESET Mail Security : 100 Une fois l’inscription effectuée, l’analyse de base de données de boîtes aux lettres Microsoft 365 devient disponible dans le menu Analyser qui affiche la liste des boîtes aux lettres (et des dossiers publics) qui peuvent être sélectionnées pour analyse. Réinscrivez-vous avec un autre compte : Si vous voulez inscrire l'analyseur ESET Mail Security avec un nouveau compte Microsoft 365, vous devez annuler l'inscription de l'analyseur ESET Mail Security que vous utilisiez avec votre compte précédent et effectuer une inscription avec le nouveau compte d'administrateur Microsoft 365. Vous pouvez voir l'analyseur ESET Mail Security inscrit en tant qu’application dans Microsoft Azure. Cliquez sur Azure Active Directory > Inscriptions des applications, puis sur Afficher toutes les applications. L'application d'analyse ESET Mail Security figure dans la liste. Cliquez sur l'application pour voir plus d'informations. Inscription de l'analyseur ESET Mail Security Utilisez le processus suivant pour inscrire l’analyseur ESET Mail Security dans Microsoft Azure afin d’activer l’analyse de base de données de boîtes aux lettres Microsoft 365 : 1. Cliquez sur Inscrire pour commencer l'inscription de l'analyseur ESET Mail Security. Un assistant d’inscription s’ouvre alors. 101 2. Copiez le code fourni, cliquez sur la page d’authentification ouverte et collez le code. 102 3. Un navigateur Web s'ouvre sur la page Microsoft Choisir un compte. Cliquez sur le compte que vous utilisez, le cas échéant, ou saisissez vos informations d'identification de compte d'administrateur Microsoft 365 et cliquez sur Connexion. 4. L'analyseur ESET Mail Security requiert trois types d'autorisations figurant dans le message d'acceptation. Cliquez sur Accepter pour autoriser l'analyseur ESET Mail Security à accéder aux données Microsoft 365. 5. Fermez le navigateur web et attendez que l’inscription d’analyseur d’ESET Mail Security soit terminée. Un message s'affiche pour vous indiquer que l'inscription a été effectuée. 103 6. Dossiers publics (facultatif) Si vous souhaitez analyser les dossiers publics, fournissez le nom du compte d'utilisateur principal (mot de passe non requis) pour l'emprunt d'identité. Vérifiez que la configuration de ce compte d’utilisateur permet d'avoir accès à tous les dossiers publics. Cliquez sur Terminer. Annulation de l'inscription de l'analyseur ESET Mail Security Le processus d'annulation d'inscription vous permet de supprimer le certificat et l'analyseur ESET Mail Security de Microsoft Azure. Ce processus permet également de supprimer les dépendances locales et de rendre l'option Enregistrer à nouveau disponible. 1. Cliquez sur Configuration > Serveur > Analyse des boîtes aux lettres Microsoft 365, puis sur Annuler l'inscription pour commencer le processus de suppression de l’analyseur ESET Mail Security. Un assistant d'annulation d'inscription s'ouvre. 104 2. Cliquez sur Annuler l'inscription pour confirmer la suppression de l'analyseur ESET Mail Security. Attendez que l'annulation de l'inscription sur Microsoft Azure soit terminée. 105 3. Si le processus d'annulation de l'inscription a été correctement effectué, l'assistant d'annulation de l'inscription affiche un message indiquant que l'annulation de l'inscription a été effectuée. Paramètres de protection du serveur Les paramètres de protection du serveur sont la principale option d’intégration. Cliquez sur le bouton bascule pour activer ou désactiver l’intégration de la protection de la base de données de boîtes aux lettres, de la protection du transport des messages ou de la signature DKIM à Exchange Server. Lorsque cette option est activée, vous pouvez configurer des paramètres détaillés pour chaque type de protection dans sa section respective. Vous pouvez également modifier la priorité de l’Agent (veillez à conserver la position de priorité d'ESET DKIM Agent en dernier). Si vous exécutez Microsoft Exchange Server 2010, vous pouvez choisir entre la protection de la base de données de boîtes aux lettres et une analyse de base de données de boîtes aux lettres à la demande. Seul un type de protection peut être activé à la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes aux lettres à la demande, vous devez désactiver la protection de la base de données de boîtes aux lettres. Sinon, l'analyse de base de données de boîtes aux lettres à la demande ne sera pas disponible. ESET Mail Security offre à votre serveur Microsoft Exchange Server une excellente protection grâce aux fonctionnalités suivantes : • Antivirus et antispyware • Protection antispam 106 • Protection antihameçonnage • Règles • Protection du transport des messages (Exchange Server 2010, 2013.2016, 2019) • Protection de la base de données des boîtes aux lettres (Exchange Server 2010) • Analyse de base de données de boîtes aux lettres à la demande (Exchange Server 2010, 2013, 2016, 2019) • Quarantaine de messages (paramètres du type de quarantaine de messages) • Signature DKIM Configuration de la priorité des agents Si cela s'avère nécessaire, vous pouvez spécifier l'ordre dans lequel les Agents ESET Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. Une valeur numérique définit la priorité. Plus la valeur est faible, plus la priorité est élevée. Cette configuration s'applique à Microsoft Exchange Server 2010 et versions ultérieures. Haut/Bas Augmente ou diminue la priorité de l'Agent sélectionné par son déplacement vers le haut dans la liste. Vous 107 pouvez modifier la priorité des agents concernés (mis en évidence en gras). Il est recommandé de conserver la priorité de l'agent ESET DKIM en dernière position, en bas, pour s'assurer que les en-têtes sont signés en dernier après toute modification apportée à ceux-ci par les agents précédents. Antivirus et antispyware Dans cette section, vous pouvez configurer les options Antivirus et antispyware pour votre serveur de messagerie. L’agent de transport assure la protection du transport des messages. Elle est uniquement disponible pour Microsoft Exchange Server 2010 ou version ultérieure. Votre serveur Microsoft Exchange Server doit toutefois avoir le rôle serveur de transport Edge ou serveur de transport Hub. Cela s'applique également à une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de transport Edge ou Hub). Protection du transport des messages Si vous désactivez l'option Activer la protection antivirus et antispyware du transport des messages, le plugin ESET Mail Security du serveur Exchange n'est pas déchargé depuis le processus du serveur Microsoft Exchange. Il passe uniquement en revue les messages sans rechercher les virus sur la couche de transport. Les messages font toujours l'objet d'une recherche de virus et de courrier indésirable sur la couche de base de données et les règles existantes sont appliquées. Protection de la base de données de boîtes aux lettres 108 Si vous désactivez l'option Activer la protection antivirus et antispyware de la base de données de boîtes aux lettres, le plugin ESET Mail Security du serveur Exchange n'est pas déchargé depuis le processus du serveur Microsoft Exchange. Il passe uniquement en revue les messages sans rechercher les virus sur la couche de base de données. Les messages font toujours l'objet d'une recherche de virus et de courrier indésirable sur la couche de transport et les règles existantes sont appliquées. Analyse de base de données de boîtes aux lettres à la demande L’analyse de base de données de boîtes aux lettres à la demande est disponible après avoir désactivé la protection de la base de données des boîtes aux lettres dans la section Serveur. Paramètres ThreatSense Modifiez les paramètres d'analyse pour la protection du transport des messages, la protection de la base de données de boîtes aux lettres et l'analyse de base de données de boîtes aux lettres à la demande. Protection antispam L'antispam de votre serveur de messagerie est activée par défaut. Pour la désactiver, cliquez sur le commutateur en regard de l'option Activer la protection antispam. La désactivation de la protection antispam ne modifie pas l'état de la protection. Bien que l'antispam soit désactivé, l'état Vous êtes protégé vert est toujours affiché dans la section Supervision de la fenêtre principale du programme. La désactivation de la protection antispam n'est pas considérée comme une baisse du niveau de protection. 109 Utiliser les listes blanches Exchange Server pour contourner automatiquement l'antispam ESET Mail Security peut utiliser les listes blanches spécifiques d'Exchange. Lorsqu'elle est activée, les éléments suivants sont à prendre en compte : • L'adresse IP du serveur figure dans la liste des adresses IP autorisées du serveur Exchange Server. • La boîte aux lettres du destinataire du message comporte un indicateur de non-prise en charge de la protection antispam. • Le destinataire du message dispose de l'adresse de l'expéditeur dans la liste des expéditeurs approuvés (vérifiez que vous avez configuré la synchronisation de la liste des expéditeurs approuvés dans l'environnement de serveur Exchange Server, y compris Agrégation de listes fiables). Si l'un des cas ci-dessus s'applique à un message entrant, la vérification antispam est ignorée pour ce message. Par conséquent, l'éventuelle nature INDÉSIRABLE de ce message n'est pas évaluée et il est remis à la boîte aux lettres du destinataire. Accepter l’indicateur de contournement antispam défini sur la session SMTP Est utile si vous avez authentifié les sessions SMTP entre les serveurs Exchange Server avec le paramètre de contournement antispam. Par exemple, si vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire d'exécuter l'analyse sur le trafic entre ces deux serveurs. L'option Accepter l'indicateur de non-prise en charge de la protection antispam défini sur la session SMTP est activée par défaut. Elle n'est toutefois appliquée que si un indicateur de contournement antispam est configuré pour la session SMTP sur le serveur Exchange Server. Si vous désactivez l'option Accepter l'indicateur de non-prise en charge de la protection antispam défini sur la session SMTP, ESET Mail Security analyse la session SMTP pour rechercher du courrier indésirable indépendamment du paramètre de contournement antispam sur le serveur Exchange Server. Vous devez mettre à jour régulièrement la base de données antispam pour que le module antispam offre la meilleure protection possible. Pour mettre à jour régulièrement la base de données antispam, vérifiez que ESET Mail Security a accès aux adresses IP correctes sur les ports nécessaires. Pour plus d'informations sur les adresses IP et les ports à activer sur le pare-feu tiers, reportez-vous à cet article de base de connaissances. Vous trouverez les paramètres des fonctionnalités dans les sections correspondantes : • Filtrage et vérification • Paramètres avancés • Paramètres de mise en liste grise • SPF et DKIM • Protection de rétrodiffusion • Protection contre l'usurpation de l'expéditeur 110 Filtrage et vérification Vous pouvez configurer des listes d'éléments approuvés, bloqués et ignorés en spécifiant des critères tels que l'adresse IP ou la plage, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur Modifier pour la liste à gérer. Les adresses IP ou les domaines inclus dans les listes Ignorés ne seront pas testés par Antispam, mais d'autres techniques de protection antispam seront appliquées. Les listes Ignorés doivent contenir l'ensemble des adresses IP/noms de domaine de l'infrastructure interne. Vous pouvez également inclure les adresses IP/noms de domaine de vos FAI ou serveurs de messagerie externes qui sont actuellement mis en liste noire par l'un des RBL ou DNSBL (liste noire dans le cloud Blackhole List ESET ou tiers). Vous pouvez ainsi recevoir des e-mails de sources incluses dans les listes Ignorés, même si leurs adresses IP sont sur liste noire dans le cloud. Ces messages électroniques entrants sont reçus et leur contenu est davantage inspecté par d'autres techniques de protection antispam. Liste des adresses IP approuvées Met automatiquement en liste blanche les messages électroniques provenant des adresses IP spécifiées. Le contenu de l'e-mail ne sera pas vérifié. Liste des adresses IP bloquées Bloque automatiquement les messages électroniques provenant des adresses IP spécifiées. Liste des adresses IP ignorées Liste des adresses IP qui sont ignorées pendant la classification. Le contenu de l'e-mail sera vérifié. Utilisez la barre du curseur Fait partie de l'infrastructure interne si vous mettez en liste blanche les adresses IP locales du réseau. Voir l'exemple ci-dessous. Liste des domaines de corps bloqués Bloque les messages électroniques qui contiennent le domaine spécifié dans le corps. Seuls les domaines avec un vrai domaine de niveau supérieur sont acceptés. Liste des domaines de corps ignorés Les domaines spécifiés dans le corps des messages sont ignorés pendant la classification. Seuls les domaines avec un vrai domaine de niveau supérieur sont acceptés. Liste des adresses IP de Bloque les messages électroniques qui contiennent une adresse IP spécifiée dans le corps bloquées corps. Liste des adresses IP de Les adresses IP spécifiées dans le corps des messages sont ignorées pendant la corps ignorées classification. Liste des expéditeurs approuvés Ajoute sur liste blanche les e-mails provenant d’un expéditeur spécifique. Une seule adresse d'expéditeur ou un domaine entier est utilisé pour la vérification selon la priorité suivante : 1.SMTP 'MAIL FROM' adresse 2.Champ d'en-tête d'e-mail "Return-Path:" 3.Champ d'en-tête d'e-mail "X-Env-Sender:" 4.Champ d'en-tête d'e-mail "From:" 5.Champ d'en-tête d'e-mail "Sender:" 6.Champ d'en-tête d'e-mail "X-Apparently-From:" Liste des expéditeurs bloqués Bloque les e-mails provenant d'un expéditeur spécifique. Toutes les adresses des expéditeurs identifiées ou des domaines entiers sont utilisés pour la vérification : SMTP 'MAIL FROM' adresse Champ d'en-tête d'e-mail "Return-Path:" Champ d'en-tête d'e-mail "X-Env-Sender:" Champ d'en-tête d'e-mail "From:" Champ d'en-tête d'e-mail "Sender:" Champ d'en-tête d'e-mail "X-Apparently-From:" Liste des domaines approuvés résolus en adresses IP Met en liste blanche les messages électroniques provenant des adresses IP qui sont résolues à partir des domaines spécifiés dans cette liste. Les enregistrements SPF (Sender Policy Framework) sont reconnus lors de la résolution des adresses IP. 111 Liste des domaines bloqués résolus en adresses IP Bloque les messages électroniques provenant des adresses IP qui sont résolues à partir des domaines spécifiés dans cette liste. Les enregistrements SPF sont reconnus lors de la résolution des adresses IP. Liste des domaines ignorés résolus en adresses IP Liste des domaines qui sont résolus en adresses IP qui ne sont pas vérifiées pendant la classification. Les enregistrements SPF sont reconnus lors de la résolution des adresses IP. Liste des pays bloqués Bloque les messages électroniques des pays spécifiés. Le blocage repose sur GeoIP. Si un courrier indésirable est envoyé à partir d'un serveur de messagerie dont l'adresse IP est répertoriée dans la base de données de géolocalisation pour un pays que vous avez sélectionné dans les pays bloqués, il sera automatiquement marqué comme courrier indésirable et une action sera effectuée selon le paramètre Action à entreprendre sur les messages de courrier indésirable sous Protection du transport des messages. Les listes de domaine du corps n'acceptent que les domaines avec un vrai domaine de premier niveau, conformément à la liste officielle Base de données de zones racines de domaines de premier niveau. Si vous souhaitez ajouter plus d'entrées, cliquez sur Entrer plusieurs valeurs dans la fenêtre Ajouter, puis sélectionnez le séparateur à utiliser. Il peut s'agir de Nouvelle ligne, Virgule ou Point-virgule. Objectif : Exclure les adresses IP locales de votre infrastructure de la protection antispam en les ajoutant à la liste des adresses IP ignorées Accédez à Configuration avancée (F5) > Serveur > Protection antispam > Filtrage et vérification. Cliquez sur Modifier en regard de la liste des adresses IP ignorées. Cliquez sur Ajouter et spécifiez la plage d'adresses IP de votre infrastructure réseau (format de la plage d'adresses IP : 1.1.1.1-1.1.1.255). Vous pouvez continuer à ajouter d'autres plages (ou des adresses IP uniques) à la liste, si nécessaire. Utilisez la barre du curseur Fait partie de l'infrastructure interne. Mise en liste grise et SPF Indiquez la liste blanche des domaines en adresses IP ou la liste des adresses IP pour contourner automatiquement la mise en liste grise et SPF Vous pouvez consulter les fichiers journaux dans la section Journal de la protection SMTP. Pour utiliser ces options, vous devez activer Mise en liste grise, SPF. Si vous activez SPF, vous devez activer la configuration Refuser automatiquement les messages en cas d'échec de la vérification SPF et/ou Ignorer automatiquement la mise en liste grise en cas de réussite de la vérification SPF. Utiliser les listes antispam pour contourner automatiquement la mise en liste grise et SPF Lorsque cette option est activée, la liste des adresses IP approuvées et ignorées est utilisée avec les listes blanches des adresses IP et des domaines pour contourner automatiquement la mise en liste grise et SPF. Liste blanche des adresses IP Vous pouvez ajouter une adresse IP, une adresse IP avec un masque et une plage d'adresses IP. Vous pouvez modifier la liste en cliquant sur Ajouter, Modifier ou Supprimer. Vous pouvez aussi importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter chaque entrée manuellement, cliquer sur Importer et accéder au fichier contenant les entrées à ajouter à la liste. De même, si vous devez exporter la liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel. Les listes blanches sont prioritaires par rapport aux listes noires, c’est-à-dire qu'un e-mail contenant une adresse en liste blanche et en liste noire sera mis en liste blanche. Seuls la dernière adresse de l'expéditeur et le nombre maximal d'adresses vérifiées à partir des en-têtes Received: sont vérifiés par rapport aux listes blanches. Toutes les adresses sont vérifiées par rapport aux listes noires locales. 112 Liste blanche des domaines en adresses IP Cette option permet de spécifier des domaines (domainname.local, par exemple). Pour gérer la liste, utilisez les commandes Ajouter, Supprimer ou Supprimer tout. Si vous souhaitez importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter chaque entrée manuellement, cliquez sur Importer et accédez ensuite au fichier contenant les entrées à ajouter à la liste. De même, si vous devez exporter la liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel. La mise en liste grise et SPF sont évalués par la protection du transport de courrier et permettent d'utiliser les listes blanches des adresses IP et des domaines vers les adresses IP, ainsi que la liste des adresses IP approuvées et ignorées. Toutefois, si vous utilisez des règles SPF, aucune de ces listes blanches n'est prise en compte pour les règles. Antispam - Configurations avancées Configurez ces paramètres en vue de la vérification des messages par des serveurs externes (définis comme RBL Realtime Blackhole List, DNSBL - DNS Blocklist) selon des critères prédéfinis. Les serveurs RBL sont interrogés avec des adresses IP extraites des en-têtes Received:. Les serveurs DNSBL, quant à eux, sont interrogés avec des adresses IP et des domaines extraits du corps du message. Pour plus d’explications, voir les articles sur RBL et DNSBL. Nombre maximal d'adresses vérifiées à partir des en-têtes Received Vous pouvez limiter le nombre d'adresses IP vérifiées par l'analyse antispam. Il s'agit des adresses IP écrites dans les en-têtes Received: from. La valeur par défaut est 0, ce qui signifie que seule l'adresse IP du dernier expéditeur identifié est vérifiée. Vérifiez l'adresse de l'expéditeur dans la liste noire des utilisateurs finaux Les e-mails qui ne sont pas envoyés à partir de serveurs de messagerie (ordinateurs qui ne sont pas répertoriés en tant que serveurs de messagerie) sont vérifiés afin de s'assurer que l'expéditeur ne figure pas dans la liste noire. Cette option est activée par défaut. Si nécessaire, vous pouvez la désactiver. Dans ce cas, les messages qui ne sont pas envoyés à partir de serveurs de messagerie ne seront pas vérifiés dans la liste noire. Les résultats des listes de blocage de tiers externes ont la priorité par rapport à la liste noire des utilisateurs finaux pour les adresses IP dans les en-têtes Received: from. Toutes les adresses IP (jusqu’au nombre maximal spécifié d’adresses vérifiées) sont envoyées pour évaluation par des serveurs de tiers externes. Serveurs RBL supplémentaires Il s'agit d'une liste de serveurs RBL (Realtime Blackhole List) qui sont interrogés lors de l'analyse des messages. Lorsque vous ajoutez un serveur RBL supplémentaire, saisissez le nom de domaine du serveur (sbl.spamhaus.org, par exemple). Il fonctionnera avec les codes de retour pris en charge par le serveur. 113 Vous pouvez également spécifier un nom de serveur avec un code de retour dans le format : server:response (for example,. zen.spamhaus.org:127.0.0.4). Lorsque vous utilisez ce format, il est recommandé d'ajouter chaque nom de serveur et code de retour séparément ; vous obtiendrez ainsi une liste complète. Cliquez sur Entrer plusieurs valeurs dans la fenêtre Ajouter pour spécifier tous les noms de serveur avec leur code de retour. Les entrées doivent ressembler à l'exemple suivant (les noms d'hôte des serveurs RBL et les codes de retour peuvent varier) : Vous pouvez aussi importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter chaque entrée manuellement, cliquer sur Importer et accéder au fichier contenant les entrées à ajouter à la liste. De même, si vous devez exporter la liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel. Limite d'exécution de requête RBL (en secondes) Cette option vous permet de définir une durée maximale pour les requêtes RBL. Les réponses RBL utilisées sont celles qui proviennent exclusivement des serveurs RBL qui ont répondu dans les temps. Si la valeur est définie sur 0, aucun délai n'est appliqué. Nombre maximal d'adresses vérifiées dans la liste noire RBL Cette option vous permet de limiter le nombre d'adresses IP qui sont interrogées sur le serveur RBL. Notez que le nombre total d'interrogations RBL correspond au nombre d'adresses IP figurant dans les en-têtes Reçu (jusqu'à un maximum d'adresses IP maxcheck RBL) multiplié par le nombre de serveurs RBL indiqués dans la liste RBL. Si la 114 valeur est définie sur 0, un nombre illimité d'en-têtes reçus est vérifié. Notez que les adresses IP figurant dans la liste des adresses IP ignorées ne sont pas prises en compte dans la limite des adresses IP RBL. Serveurs DNSBL supplémentaires Il s'agit d'une liste de serveurs DNSBL (DNS Blocklist) à interroger, avec les domaines et les adresses IP extraits du corps du message. Lorsque vous ajoutez un serveur DNSBL supplémentaire, saisissez le nom de domaine du serveur (dbl.spamhaus.org, par exemple). Il fonctionnera avec les codes de retour pris en charge par le serveur. Vous pouvez également spécifier un nom de serveur avec un code de retour sous la forme : server:response (for example, zen.spamhaus.org:127.0.0.4). Dans ce cas, il est recommandé d'ajouter chaque nom de serveur et code de retour séparément ; vous obtiendrez ainsi une liste complète. Cliquez sur Entrer plusieurs valeurs dans la fenêtre Ajouter pour spécifier tous les noms de serveur avec leur code de retour. Les entrées doivent ressembler à l'exemple suivant (les noms d'hôte des serveurs DNSBL et les codes de retour peuvent varier) : Limite d'exécution de requête DNSBL (en secondes) Permet de définir un délai maximal pour l'exécution de toutes les requêtes DNSBL. 115 Nombre maximum d'adresses vérifiées par rapport à DNSBL Cette option vous permet de limiter le nombre d'adresses IP qui sont interrogées sur le serveur DNS Blocklist. Nombre maximal de domaines vérifiés dans la liste noire DNSBL Cette option vous permet de limiter le nombre de domaines qui sont interrogés sur le serveur DNS Blocklist. Taille de message maximale à analyser (Ko) Limite l'analyse antispam des messages plus volumineux que la valeur spécifiée. La valeur par défaut 0 signifie une analyse de taille de messages illimitée. Normalement, il n'y a aucune raison de limiter l'analyse antispam. Si vous devez toutefois la limiter dans certaines situations, remplacez la valeur par la taille requise. Une fois cette option définie, le moteur antispam traite les messages dont la taille va jusqu'à celle spécifiée et ignore les messages plus volumineux. La limite la plus petite autorisée est 12 kB. Si vous définissez une valeur de 1 à 12, le moteur antispam continuera toujours à lire les messages dont la taille est supérieure ou égale à 12 kB. Activer le rejet temporaire des messages indéterminés Lorsque le moteur antispam ne parvient pas à déterminer si le message est un COURRIER INDÉSIRABLE ou non, ce qui signifie que le message comporte des caractéristiques de COURRIER INDÉSIRABLE suspects mais pas suffisants pour être marqué comme COURRIER INDÉSIRABLE, (premier courrier électronique d'une campagne ou message provenant d'une plage d'adresses IP avec des évaluations mixtes, par exemple), ce paramètre (s'il est activé) permet à ESET Mail Security de refuser temporairement ce message, comme les listes grises, et de continuer à le refuser jusqu'à ce que : • La période se soit écoulée et que le message soit accepté à la prochaine remise. Ce message conserve la classification initiale (COURRIER INDÉSIRABLE ou MESSAGE SOUHAITÉ). • Le cloud antispam recueille suffisamment de données et soit capable de classer correctement le message avant que la période ne s'écoule. Le message refusé n'est pas conservé par ESET Mail Security et doit être renvoyé par le serveur de messagerie d'envoi, conformément au document RFC SMTP. Activer l'envoi des messages temporairement rejetés pour analyse Le contenu des messages est automatiquement envoyé pour analyse. La classification des messages est ainsi améliorée pour les prochains messages électroniques. Il est possible que les messages temporairement refusés qui sont envoyés pour analyse soient en réalité des MESSAGES SOUHAITÉS. Dans de rares cas, les messages temporairement refusés peuvent être utilisés pour une évaluation manuelle. Activez uniquement cette fonctionnalité lorsqu'il n'y a aucun risque de fuite de données sensibles. Paramètres de mise en liste grise La fonction Activer la mise en liste grise active une fonctionnalité qui protège les utilisateurs du courrier indésirable à l'aide de la technique suivante : L'agent de transport envoie une valeur de retour SMTP indiquant un rejet temporaire (temporarily reject) (la valeur par défaut est 451/4.7.1) pour tout message qui ne provient pas 116 d'un expéditeur reconnu. Un serveur légitime essaie de renvoyer le message après un délai. Les serveurs de courrier indésirable n'essaient généralement pas de renvoyer le message, car ils envoient des messages à des milliers d'adresses électroniques et ne perdent pas de temps à relancer des expéditions. La mise en liste grise est une couche supplémentaire de protection antispam et n'a aucun effet sur les fonctionnalités d'évaluation du module de blocage de courrier indésirable. Lors de l'évaluation de la source du message, la méthode de mise en liste grise prend en compte les listes d'adresses IP approuvées, ignorées, autorisées et d'expéditeurs sûrs sur le serveur Exchange et les paramètres AntispamBypass de la boîte aux lettres du destinataire. Les messages de ces listes d'adresses IP/d'expéditeurs ou ceux remis à une boîte aux lettres dont l'option AntispamBypass est activée sont ignorés par la méthode de détection de mise en liste grise. Utiliser uniquement la partie domaine de l'adresse de l'expéditeur Cette fonctionnalité ignore le nom de l’expéditeur dans l’adresse e-mail ; seul le domaine est pris en compte. Synchroniser les bases de données de mise en liste grise dans le cluster ESET Les entrées de base de données de mise en liste grise sont partagées en temps réel entre les serveurs dans le cluster ESET. Lorsque l'un des serveurs reçoit un message traité par la mise en liste grise, ces informations sont diffusées par ESET Mail Security sur les autres nœuds du cluster ESET. Durée maximale du refus de connexion initiale (min) Lorsqu'un message est remis pour la première fois et qu'il est refusé temporairement, ce paramètre définit la période pendant laquelle le message est toujours refusé (mesuré depuis le premier refus). Une fois la période écoulée, le message est reçu correctement. La valeur minimum que vous entrez est de 1 minute. Heure d’expiration des connexions non vérifiées (heures) Ce paramètre définit l'intervalle minimum pendant lequel les données de triplet sont stockées. Un serveur valide doit renvoyer un message souhaité avant l'expiration de cette période. Cette valeur doit être supérieure à la valeur Durée limite du refus de connexion initial. Délai d’expiration des connexions vérifiées (jours) Nombre minimum de jours pendant lesquels les informations de triplet doivent être stockées et pendant lesquels les messages d'un expéditeur défini sont reçus sans délai. Cette valeur doit être supérieure à la valeur Durée avant expiration des connexions non vérifiées. Réponse SMTP pour les réponses temporairement refusées. Spécifiez un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Exemple de message de réponse de rejet SMTP : Code de réponse Code d'état 451 4.7.1 Message de réponse Réessayez ultérieurement Vous pouvez également utiliser des variables système lors de la définition de la réponse SMTP de rejet. 117 une syntaxe incorrecte des codes de réponses SMTP peut provoquer un dysfonctionnement de la protection par mise en liste grise. En conséquence, les messages de courrier indésirable peuvent être remis à des clients ou des messages ne peuvent pas être délivrés du tout. Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont enregistrés dans le journal de la protection SMTP. SPF et DKIM SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) sont des méthodes de validation qui vérifient que les e-mails entrants provenant de domaines spécifiques sont autorisés par le propriétaire de ce domaine. Les destinataires sont ainsi protégés contre les messages électroniques falsifiés. ESET Mail Security utilise également l'évaluation DMARC (Domain-based Message Authentication, Reporting and Conformance) pour améliorer encore davantage SPF et DKIM. SPF Une vérification SPF permet de vérifier qu’un e-mail a été envoyé par un expéditeur légitime. Une recherche DNS des enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une liste d'adresses IP. Si l'une des adresses IP des enregistrements SPF correspond à l'adresse IP de l'expéditeur, la vérification SPF est réussie. Si l'adresse IP de l'expéditeur ne correspond pas, la vérification a échoué. Tous les domaines n'ont toutefois pas d'enregistrements SPF définis dans DNS. Si DNS ne contient aucun enregistrement DNS, le résultat de la vérification n'est pas disponible. Une demande DNS peut occasionnellement expirer. Dans ce cas, le résultat n'est également pas disponible. DKIM Est utilisé par les organisations pour empêcher l'usurpation des messages électroniques en ajoutant une signature numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique l'utilisation d'une clé de domaine privée pour chiffrer les en-têtes sortants du domaine et l'ajout d'une version publique de la clé pour les enregistrements DNS du domaine. ESET Mail Security peut ensuite récupérer la clé publique pour déchiffrer les en-têtes entrants et vérifier que le message provient véritablement du domaine et que ses en-têtes n'ont pas été modifiés. Exchange Server 2010 et les versions antérieures ne sont pas entièrement compatibles avec DKIM, car les en-têtes inclus dans les messages entrants signés numériquement peuvent être modifiés lors de la validation DKIM. DMARC DMARC s'appuie sur les mécanismes SPF et DKIM existants. Vous pouvez utiliser les règles de la protection du transport des messages pour évaluer le résultat DMARC et l'action Appliquer la stratégie DMARC. 118 Détection automatique des serveurs DNS La détection automatique utilise les paramètres de votre carte réseau. Adresse IP du serveur DNS Si vous souhaitez utiliser un serveur DNS spécifique pour SPF et DKIM, saisissez l'adresse IP (au format IPv4 ou IPv6) du serveur DNS à utiliser. Délai d'expiration des requêtes DNS (en secondes) Spécifiez un délai d’expiration pour la réponse DNS. Refuser automatiquement les messages en cas d'échec de la vérification SPF Si la vérification SPF échoue immédiatement, un message électronique peut être refusé avant son téléchargement. 119 La vérification SPF est effectuée sur la couche SMTP. Elle peut toutefois être refusée automatiquement sur la couche SMTP ou pendant l'évaluation des règles. Les messages rejetés ne peuvent pas être consignés dans le journal des événements lorsque vous utilisez le rejet automatique sur la couche SMTP. En effet, la journalisation est effectuée par une action de règle et le refus automatique est réalisé directement sur la couche SMTP qui a lieu avant l'évaluation des règles. Comme les messages sont refusés avant l'évaluation des règles, il n'y a aucune information à consigner au moment de l'évaluation des règles. Vous pouvez consigner les messages refusés uniquement s'ils ont été refusés par une action de règle. Pour refuser les messages qui n'ont pas réussi la vérification SPF et les consigner, désactivez l'option Refuser automatiquement les messages en cas d'échec de la vérification SPF et créez la règle suivante pour la protection du transport des messages : Condition • Type : Résultat SPF • Opération : est • Paramètre : Échec Actions • Type : Refuser le message • Type : Journaliser les événements Utiliser le domaine Helo dans l’évaluation SPF Cette fonctionnalité utilise le domaine HELO pour l’évaluation SPF. Si le domaine HELO n'est pas spécifié, le nom d’hôte de l'ordinateur est utilisé à la place. Utiliser l'en-tête From : si MAIL FROM est vide L'en-tête MAIL FROM peut être vide. Il peut être aussi falsifié. Lorsque cette option est activée et que MAIL FROM est vide, le message est téléchargé et l'en-tête From: est utilisé à la place. Ignorer automatiquement la mise en liste grise en cas de réussite de la vérification SPF Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite de la vérification SPF. Réponse de refus SMTP Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez saisir un message de réponse au format suivant : Code de réponse Code d'état 550 5.7.1 Message de réponse Échec de la vérification SPF Protection de rétrodiffusion La rétrodiffusion du courrier indésirable est un effet secondaire indésirable du courrier indésirable. Il s'agit de messages de non-remise mal dirigés envoyés par les serveurs de messagerie. Lorsque le serveur de messagerie du destinataire rejette un courrier indésirable, un rapport de non-remise (NDR), également appelé notification de non-remise, est envoyé à un expéditeur supposé (une adresse e-mail falsifiée utilisée en tant qu'expéditeur du courrier indésirable d'origine), et non à l'expéditeur réel du courrier indésirable. Le propriétaire de l’adresse email reçoit un message de notification de non-remise, même s’il n’a pas été impliqué dans le courrier indésirable d’origine. C’est là qu’intervient la protection contre la rétrodiffusion. Vous pouvez empêcher la remise des rapports de non-remise dans les boîtes aux lettres des utilisateurs au sein de votre organisation à l'aide de la 120 protection de rétrodiffusion de ESET Mail Security. Lorsque vous activez la vérification NDR, vous devez indiquer une valeur initiale de signature (chaîne comportant au moins 8 caractères, comme une phrase secrète). La protection de rétrodiffusion de ESET Mail Security écrit la chaîne X-Eset-NDR: <hash> dans l'en-tête de chaque e-mail sortant. La chaîne <hash> est une signature chiffrée qui contient également la valeur initiale de la signature spécifiée. Si un e-mail valable ne peut pas être remis, votre serveur de messagerie reçoit généralement un rapport de nonremise, qui est vérifié par ESET Mail Security en recherchant la chaîne X-Eset-NDR: <hash> dans l'en-tête. Si la chaîne X-Eset-NDR: est présente et que la signature <hash> correspond, le rapport de non-remise est remis au destinataire de l'e-mail valable indiquant l'échec de la remise du message. Si la chaîne Eset-NDR: est absente ou que la signature <hash> est incorrecte, il s'agit d'une rétrodiffusion et le rapport de non-remise est rejeté. Ignorer automatiquement les messages NDR si la vérification échoue Si la vérification NDR échoue immédiatement, un message électronique peut être refusé avant son téléchargement. Vous pouvez consulter l'activité Protection de rétrodiffusion dans la section Journal de la protection SMTP. Protection contre l'usurpation de l'expéditeur L'usurpation d'identité de l'expéditeur d'un e-mail est courante dans laquelle un attaquant falsifie le nom ou l'adresse e-mail de l'expéditeur dans le but de tromper le destinataire. Pour le destinataire de l'e-mail, un e-mail usurpé semble être un e-mail authentique, ce qui constitue un risque. L'arnaque au PDG (CEO fraud) est un type d'usurpation d'identité de l'expéditeur (l'attaquant se fait passer pour le PDG). Les employés ne remettent pas en question ces e-mails, ce qui permet à la personne malveillante de réussir son attaque. Ce n'est pas l'apanage du PDG. L'usurpation d'identité de l'expéditeur consiste souvent à se faire passer pour un véritable expéditeur, généralement une personne de l'annuaire Active Directory de votre entreprise. Le message e-mail usurpé semble alors très convaincant pour un destinataire peu méfiant, et peut facilement gagner sa confiance. ESET Mail Security vous offre une protection contre l'usurpation de l'identité de l'expéditeur d'e-mail. La protection contre l’usurpation de l’expéditeur vérifie si les informations de l’expéditeur sont valides à l’aide de plusieurs méthodes. La protection contre l'usurpation de l'expéditeur recherche le domaine contenu dans le champ d'en-tête de l'email « De : » et l'expéditeur de l'enveloppe, puis compare le domaine trouvé aux listes de domaines. Si le domaine est différent, le message est considéré comme valide (et non usurpé) et est traité par d’autres couches de protection d'ESET Mail Security. Toutefois, si le domaine correspond à un domaine de la liste, il est peut-être usurpé et nécessite une vérification supplémentaire. Selon le paramètre, une vérification supplémentaire est effectuée : une vérification SPF, l'adresse IP de l'enveloppe est vérifiée par rapport aux listes d'adresses IP, ou le message est considéré automatiquement comme usurpé. Si le résultat de la vérification SPF est positif, ou si l'adresse IP de l'enveloppe correspond à une adresse IP de la liste, le message est valide ; sinon, il s'agit d'une usurpation. Une action est exécutée sur le message usurpé. Vous pouvez utiliser la protection contre l'usurpation de l’expéditeur de deux façons différentes : • Activez Protection contre l'usurpation de l'expéditeur, configurez les paramètres et spécifiez 121 éventuellement des domaines et des listes d'adresses IP. L’action par défaut sur les messages e-mail usurpés est Message en quarantaine. Pour modifier l’action exécutée, accédez aux configurations avancées de la protection du transport des messages. • Utilisez les règles de la protection du transport des messages : Résultat SPF - En-tête De ou Résultat de la comparaison entre l’expéditeur de l’enveloppe et l’en-tête De avec une action de votre choix. Les règles vous offrent d’autres options et combinaisons si vous souhaitez obtenir un comportement spécifique en ce qui concerne les messages e-mail usurpés. Lorsque la Protection contre l’usurpation d’identité de l’expéditeur est utilisée ou si un type d'action de règle Journaliser les événements est spécifié, tous les messages qui ont été évalués par la Protection contre l’usurpation d’identité de l’expéditeur sont consignés dans les fichiers journaux. De même, vous pouvez trouver des messages e-mail usurpés dans la Quarantaine de messages lorsqu'une action est définie sur Message en quarantaine dans la protection du transport des messages ou définie dans les règles. Activer la protection contre l'usurpation de l'expéditeur Activez la protection contre l'usurpation de l'expéditeur pour empêcher les attaques par e-mail qui tentent de tromper les destinataires sur l'origine du message (identité de l'expéditeur usurpée). Activer les e-mails entrants avec mon propre domaine dans l’adresse de l’expéditeur Permet aux messages qui contiennent votre propre domaine dans l'en-tête d'e-mail "From:" ou l'expéditeur de l'enveloppe (donc soupçonnés d'être usurpés) d'être vérifiés davantage : • Uniquement en cas de vérification SPF réussie : Uniquement en cas de vérification SPF réussie : repose sur l'activation de SPF. Si le résultat SPF est positif, le message est considéré comme valide et traité pour sa remise. Si le résultat SPF est négatif, le message est usurpé (une action est exécutée). Vous pouvez éventuellement activer l'option Refuser automatiquement les messages en cas d'échec de la vérification SPF. • Uniquement lorsque les adresses IP figurent dans la liste des adresses IP de l’infrastructure : compare l'adresse IP de l'enveloppe par rapport aux listes d'adresses IP (liste de vos propres adresses IP et liste des adresses IP ignorées marquées comme Fait partie de l'infrastructure interne). Si l’adresse IP a une correspondance, le message est valide et traité pour sa remise. Si l’adresse IP n'a pas de correspondance, le message est usurpé et une action est exécutée. • Jamais : si un message entrant contient votre propre domaine dans l’en-tête d'e-mail « De : » ou l’expéditeur de l’enveloppe, il est automatiquement considéré comme étant usurpé sans autre vérification. Une action est exécutée sur le message. Pour plus d'informations sur les options d’action, consultez protection du transport des messages. Charger automatiquement mes propres domaines à partir de la liste des domaines acceptés Il est vivement recommandé d’activer cette option pour conserver le niveau de protection le plus élevé. De cette façon, les domaines et les adresses IP de votre infrastructure sont pris en compte lors de l'évaluation par la protection contre l'usurpation de l'expéditeur. Liste de mes propres domaines Ces domaines sont considérés comme les vôtres. Ajoutez les domaines qui seront utilisés pendant l’évaluation, en plus des domaines chargés automatiquement depuis Active Directory. Le ou les domaines de l’expéditeur seront comparés aux domaines de ces listes. Si le domaine n'a aucune correspondance, le message est valide. Si le 122 domaine a une correspondance, une vérification supplémentaire est effectuée en fonction du paramètre Activer les e-mails entrants avec mon propre domaine dans l’adresse de l’expéditeur. Liste de mes propres adresses IP Adresses IP considérées comme non fiables. Ajoutez les adresses IP qui seront utilisées pendant l’évaluation, en plus des adresses IP de la liste des adresses IP ignorées marquées comme Fait partie de l’infrastructure interne. L’adresse IP de l’enveloppe de l’expéditeur est comparée aux adresses IP de ces listes. Si l’adresse IP de l’enveloppe a une correspondance, le message est valide. Si l’adresse IP n'a pas de correspondance, le message est usurpé et une action est exécutée. Protection antihameçonnage Le terme hameçonnage désigne une activité qui tente d'obtenir des informations sensibles telles que les noms d'utilisateur, les mots de passe, les numéros de compte bancaire ou de carte de crédit par le biais d'e-mail ou de pages web se faisant passer pour une entité digne de confiance. Cette activité est généralement frauduleuse. C'est une forme d'ingénierie sociale (manipulation d'utilisateurs dans le but d'obtenir des informations confidentielles). ESET Mail Security comprend l'anti-hameçonnage qui empêche les utilisateurs d'accéder à des pages Web connues pour le hameçonnage. Les e-mails peuvent contenir des liens menant à des pages Web d'hameçonnage. ESET Mail Security utilise un analyseur sophistiqué qui recherche ces liens dangereux (URL) dans le corps et l'objet des e-mails entrants. Les liens sont comparés avec une base de données d'hameçonnage. Si le résultat de l'évaluation est positif, l'email est considéré comme étant un message d'hameçonnage. ESET Mail Security le traite alors en fonction du paramètre Action à entreprendre sur le message de hameçonnage pour chaque couche de protection (protection du transport des messages, protection de la base de données de boîtes aux lettres et analyse de base de données de boîtes aux lettres à la demande). Les actions de règle sont également exécutées. Normes des formats d'e-mail prises en charge : • Texte brut • HTML uniquement • MIME • MIME à plusieurs parties (e-mail qui comprend une partie HTML et une partie Texte brut) Entités HTML prises en charge : Les messages de hameçonnage peuvent contenir des entités HTML afin de tromper le moteur anti-hameçonnage. L'anti-hameçonnage analyse et traduit également les symboles HTML pour trouver et évaluer correctement les URL obscurcies. Un caractère unique peut être représenté sous des formes différentes. Par exemple, un point peut prendre les formes suivantes : Comment les liens apparaissent généralement dans les e-mails adressés aux utilisateurs http://www.example-phishing-domain.com/Fraud . 123 Valeur Liens obscurcis contenus dans le corps du message http://www.example-phishing-domain.com/Fraud Type caractère Comment les liens apparaissent généralement dans les e-mails adressés aux utilisateurs http://www.example-phishing-domain.com/Fraud Valeur &period; http://www.example-phishing-domain.com/Fraud &#x0002E; http://www.example-phishing-domain.com/Fraud Liens obscurcis contenus dans le corps du message http://www.example-phishing-domain&period;com/Fraud Type nom de l'entité http://www.example-phishing-domain&#x0002E;com/Fraud nombre hexadécimal de l'entité http://www.example-phishing-domain&#46;com/Fraud &#46; nombre décimal de l'entité Pour voir l’activité de la protection anti-hameçonnage, consultez Fichiers journaux > Journal de protection du serveur de messagerie. Le journal contient des informations sur les e-mails et leurs liens d'hameçonnage. Signaler un site d'hameçonnage Vous pouvez cliquer sur Signaler pour informer ESET d’un site web malveillant ou d’hameçonnage. Règles Les règles permettent de définir manuellement les conditions de filtrage des e-mails et d'attribuer des actions à exécuter sur les e-mails filtrés. Vous pouvez également définir des conditions et des actions qui sont différentes pour la protection du transport des messages, la protection de la base de données de boîtes aux lettres et l'analyse de base de données de boîtes aux lettres à la demande. Cela est utile, car chaque type de protection utilise une approche légèrement différente lors du traitement des messages, en particulier la protection du transport des messages. La disponibilité des règles dans votre système pour la protection de la base de données de boîtes aux lettres, l'analyse de base de données de boîtes aux lettres à la demande et la protection du transport des messages dépend de la version de Microsoft Exchange Server installée avec ESET Mail Security sur le serveur. Des règles incorrectement définies pour l'analyse de base de données de boîtes aux lettres à la demande peuvent entraîner des modifications irréversibles dans les bases de données de boîtes aux lettres. Vérifiez toujours que vous disposez des sauvegardes les plus récentes des bases de données de boîtes aux lettres avant d'exécuter l'analyse de base de données de boîtes aux lettres à la demande avec des règles mises en place pour la première fois. Nous vous recommandons vivement de vérifier que les règles sont conformes à vos attentes. Dans le cadre d'une vérification, définissez des règles avec l'action Journaliser les événements uniquement, car toute autre action peut apporter des modifications à vos bases de données de boîtes aux lettres. Lorsque vous êtes satisfait de la vérification, vous pouvez ajouter des actions de règle de destruction telles que Supprimer la pièce jointe. Les règles sont classées dans trois niveaux et évaluées dans cet ordre : • Règles de filtrage (1) : règles évaluées avant l'analyse antispam, antivirus et anti-hameçonnage. • Règles de traitement des pièces jointes (2) : évaluées lors d’une analyse antivirus • Règles de traitement des résultats (3) : règles évaluées avant l'analyse antispam, antivirus et antihameçonnage. Les règles ayant le même niveau d’évaluation sont examinées dans l’ordre affiché dans la fenêtre des règles. Vous ne pouvez modifier l’ordre que pour les règles de même niveau. Si vous disposez de plusieurs règles de filtrage, vous pouvez modifier l'ordre de leur application. Vous ne pouvez pas modifier leur ordre en plaçant les règles de 124 traitement des pièces jointes avant les règles de filtrage (les boutons Monter/Descendre ne sont pas disponibles). Vous ne pouvez pas mélanger des règles de niveaux différents. La colonne Correspondances affiche le nombre de fois que la règle a été appliquée. Si vous décochez une case (à gauche du nom de chaque règle), la règle correspondante est désactivée jusqu'à ce que vous recochiez la case. Cliquez sur Réinitialiser pour réinitialiser le compteur de règles (colonne Correspondances). Sélectionnez Afficher pour afficher une configuration affectée depuis une politique ESET PROTECT. En règle générale, si les conditions d'une règle sont remplies, l'évaluation des règles s'arrête pour les autres règles dont la priorité est inférieure. Toutefois, si cela est nécessaire, vous pouvez utiliser une action de règle spéciale, appelée Évaluer d'autres règles, pour que l'évaluation continue. Les règles permettent de vérifier un message lorsque celui est traité par la protection du transport des messages, la protection de la base de données de boîtes aux lettres ou l'analyse de la base de données de boîtes aux lettres à la demande. Chaque couche de protection possède un ensemble de règles distinct. Lorsque les conditions de la règle Protection de la base de données de boîtes aux lettres ou Analyse de la base de données de boîtes aux lettres à la demande correspondent, le nombre de règles peut augmenter de 2 ou plus. Ces couches de protection accèdent en effet séparément au corps et aux pièces jointes d'un message, ce qui signifie que les règles sont appliquées à chacune de ces parties. Les règles de protection de la base de données de boîtes aux lettres sont également appliquées lors de l'analyse en arrière-plan (lorsque ESET Mail Security effectue par exemple une analyse des boîtes aux lettres suite au téléchargement d'une nouvelle base des signatures de virus), ce qui peut augmenter le compteur de règles (accès). Assistant Règle 1. Cliquez sur Ajouter (au centre) pour afficher la fenêtre Condition de règle dans laquelle vous pouvez sélectionner un type de condition, une opération et une valeur. Définissez d'abord les conditions, puis les 125 actions. Vous pouvez définir plusieurs conditions. Si vous le faites, elles doivent être toutes remplies pour que la règle soit appliquée. Toutes les conditions sont unies à l'aide de l'opérateur logique ET. Lorsque la plupart des conditions sont remplies à l'exception d'une seule, le résultat de l'évaluation des conditions est considéré comme n'étant pas rempli. L'action de la règle ne peut donc pas être exécutée. 2. Cliquez sur Ajouter (au centre) pour ajouter une action de règle. Vous pouvez ajouter plusieurs actions pour une règle. 3. Une fois les conditions et les actions définies, saisissez un nom pour la règle (un nom significatif). Le nom s’affiche dans la liste Règles. Le champ Nom est obligatoire. S'il est surligné en rouge, tapez le nom de la règle dans la zone de texte, puis cliquez sur OK pour créer la règle. La surbrillance rouge ne disparaît pas même si vous avez tapé un nom de règle ; elle disparaît après avoir cliqué sur OK. 4. Si vous souhaitez préparer des règles en vue d'une utilisation ultérieure, vous pouvez cliquer sur le commutateur en regard de l'option Active pour désactiver la règle. Pour activer une règle, cochez la case en regard de celle-ci. Si une nouvelle règle est ajoutée ou une règle existante est modifiée, une nouvelle analyse des messages démarre automatiquement à l'aide des règles créées ou modifiées. Pour découvrir comment utiliser des règles, reportez-vous aux exemples de règles. 126 Condition de règle L'assistant Condition des règles permet d'ajouter des conditions pour une règle. Sélectionnez le Type de condition et une Opération dans le menu déroulant. La liste des opérations change en fonction du type de règle que vous avez choisi. Sélectionnez ensuite un Paramètre. Les champs de paramètre changent en fonction du type de règle et de l'opération. Choisissez par exemple Taille de fichier > est supérieur à , puis, sous Paramètre, spécifiez 10 Mo. Avec ces paramètres, un fichier dont la taille est supérieure à 10 Mo est traité à l'aide des actions de règle que vous avez spécifiées. Pour cette raison, vous devez spécifier une action à entreprendre lorsqu'une règle donnée est déclenchée si vous ne l'avez pas déjà fait lors de la définition des paramètres de cette règle. Si vous souhaitez importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter les entrées manuellement, cliquez avec le bouton droit au milieu de la fenêtre et sélectionnez Importer dans le menu contextuel. Vous pouvez ensuite rechercher le fichier (.xml ou .txt, et contenant des entrées délimitées par de nouvelles lignes) que vous souhaitez ajouter à la liste. De même, si vous devez exporter la liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel. Vous pouvez également spécifier une Expression régulière et sélectionner une opération : correspond à l'expression régulière ou ne correspond pas à l'expression régulière. ESET Mail Security utilise std::regex. Pour créer des expressions régulières, reportez-vous à Syntaxe ECMAScript. La syntaxe des expressions régulières n'est pas sensible à la casse, y compris les résultats de la recherche. Vous pouvez définir plusieurs conditions. Dans ce cas, toutes les conditions doivent être remplies pour appliquer la règle. Toutes les conditions sont unies à l'aide de l'opérateur logique ET. Lorsque la plupart des conditions sont remplies à l'exception d'une seule, le résultat de l'évaluation des conditions est considéré comme n'étant pas rempli. L'action de la règle ne peut donc pas être exécutée. Les types de conditions suivants sont disponibles pour la protection du transport des messages, la protection de la base de données de boîtes aux lettres et l'analyse de base de données de boîtes aux lettres à la demande (certaines options peuvent ne pas s'afficher selon les conditions précédemment sélectionnées) : Nom de la condition Protection Protection de la base du de transport données des de boîtes messages aux lettres Analyse de base de données de boîtes aux lettres à la demande ✓ ✓ ✓ S'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression régulière) dans l'objet. ✓ ✓ ✓ S'applique aux messages envoyés par un expéditeur spécifique. ✓ attribut d'enveloppe MAIL FROM utilisé pendant la connexion SMTP. Également utilisé pour la vérification SPF. Objet Expéditeur Expéditeur de l'enveloppe ✓ (expéditeur SMTP) 127 ✓ Description Protection Protection de la base du de transport données des de boîtes messages aux lettres Analyse de base de données de boîtes aux lettres à la demande ✓ ✓ ✓ S'applique aux messages envoyés par une adresse IP spécifique. Domaine de l'expéditeur de l'enveloppe / domaine ✓ de l'expéditeur ✓ ✓ S'applique aux messages provenant d'un expéditeur avec un domaine spécifique dans son adresse électronique. ✓ ✓ S'applique aux messages provenant d'un expéditeur avec un domaine spécifique dans son adresse électronique. ✓ valeur "From:" contenue dans les en-têtes des messages. Il s'agit de l'adresse visible par le destinataire. Aucune vérification n'est toutefois effectuée pour s'assurer que le système d'envoi est autorisé à envoyé le message de la part de cette adresse. Il est souvent utilisé pour usurper l'identité de l'expéditeur. Nom de la condition Adresse IP de l'expéditeur Domaine de l'expéditeur SMTP ✓ En-tête De - adresse ✓ ✓ En-tête De - nom d'affichage Description ✓ ✓ ✓ valeur "From:" contenue dans les en-têtes des messages. Il s'agit du nom d'affichage visible par le destinataire. Aucune vérification n'est toutefois effectuée pour s'assurer que le système d'envoi est autorisé à envoyé le message de la part de cette adresse. Il est souvent utilisé pour usurper l'identité de l'expéditeur. ✓ ✓ ✓ S'applique aux messages envoyés à un destinataire spécifique. Unités d'organisation du destinataire ✓ ✓ ✓ S'applique aux messages envoyés à un destinataire d'une unité d'organisation spécifique. Résultat de la validation de destinataire ✓ ✓ ✓ S'applique aux messages envoyés à un destinataire validé dans Active Directory. ✓ S'applique aux messages qui contiennent des pièces jointes avec un nom spécifique. Cela inclut les fichiers contenus dans une archive. Évaluer uniquement les pièces jointes de niveau supérieur : lorsque cette option est activée, les fichiers contenus dans une archive ne sont pas évalués. Utiliser le chemin complet pour les objets contenus dans une pièce jointe : lorsque cette option est activée, le chemin d'accès complet de l'objet sera évalué, et pas seulement le nom du fichier. ✓ S'applique aux messages dont la pièce jointe ne correspond pas à la taille spécifiée, se trouve dans la plage de tailles spécifiée ou dépasse la taille spécifiée. Destinataire Nom de la pièce jointe ✓ ✓ Taille de la pièce jointe ✓ 128 ✓ Nom de la condition Protection Protection de la base du de transport données des de boîtes messages aux lettres Analyse de base de données de boîtes aux lettres à la demande Type de la pièce jointe ✓ ✓ ✓ Description S'applique aux messages avec un type de fichier joint spécifique. Les types de fichiers sont classés par groupes pour faciliter la sélection. Vous pouvez sélectionner plusieurs types de fichiers ou des catégories entières. ESET Mail Security détecte le type de fichier réel quelle que soit l'extension de fichier. Il en va de même pour le contenu d'une archive. Évaluer uniquement les pièces jointes de niveau supérieur : lorsque cette option est activée, les fichiers contenus dans une archive ne sont pas évalués. 1 La condition de règle Type de pièce jointe présente une limite connue où le moteur de détection ESET Mail Security ne peut pas détecter les très petits fichiers texte d'une longueur inférieure à 10 octets en codage ASCII/ANSI. Taille du message Boîte aux lettres En-têtes de message ✓ ✓ ✓ S'applique aux messages dont les pièces jointes ne correspondent pas à la taille spécifiée, se trouvent dans la plage de tailles spécifiée ou dépassent la taille spécifiée. ✓ ✓ ✓ S'applique aux messages situés dans une boîte aux lettres spécifique. ✓ ✓ ✓ S'applique aux messages contenant des données spécifiques dans l'en-tête. Corps du message ✓ ✓ ✓ Une expression spécifiée est recherchée dans le corps du message. Vous pouvez utiliser la fonctionnalité Retirer les balises HTML pour retirer les attributs, les valeurs et les balises HTML et conserver le texte uniquement. Le texte du corps fera ensuite l'objet d'une recherche. ✓ ✓ ✓ S'applique selon qu'un message est interne ou non. Message sortant ✓ ✓ ✓ S'applique aux messages sortants. Message signé ✓ ✓ ✓ S'applique aux messages signés. Message chiffré ✓ ✓ ✓ S'applique aux messages chiffrés. Résultat de l'analyse Antispam ✓ ✓ ✓ S'applique aux messages marqués ou non comme étant indésirables ou légitimes. Résultat de l'analyse antivirus ✓ ✓ ✓ S'applique aux messages marqués comme étant malveillants ou non. Résultat de l'analyse anti✓ hameçonnage ✓ ✓ S'applique aux messages ayant été évalués comme des messages d'hameçonnage. Message interne 129 Nom de la condition Protection Protection de la base du de transport données des de boîtes messages aux lettres Analyse de base de données de boîtes aux lettres à la demande Heure de réception Description ✓ ✓ ✓ S'applique aux messages reçus avant ou après une date spécifique ou dans une plage de dates spécifique. ✓ ✓ ✓ S'applique aux messages avec des pièces jointes d'archive qui sont protégées par mot de passe. ✓ ✓ ✓ S'applique aux messages dont les pièces jointes sont endommagées (probablement impossible à ouvrir). La pièce jointe est une archive protégée par mot ✓ de passe. ✓ ✓ S'applique aux pièces jointes protégées par mot de passe. La pièce jointe est une archive endommagée. ✓ ✓ S'applique aux pièces jointes endommagées (probablement impossible à ouvrir). Contient une archive protégée par mot de passe Contient une archive endommagée ✓ Nom du dossier DKIM résultat ✓ ✓ ✓ S'applique aux messages situés dans un dossier spécifique. Si le dossier n'existe pas, il sera créé. Cela ne s'applique pas aux dossiers Public. ✓ ✓ ✓ S'applique aux messages qui ont réussi ou non la vérification par DKIM . ✓ S’applique aux messages dont le résultat de l’évaluation SPF est : • Réussite : l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "+" SPF) • Échec : l'enregistrement SPF ne contient pas le serveur d'envoi ou l'adresse IP (qualificateur "-" SPF) • Erreur récupérable : l'adresse IP peut être autorisée ou non à effectuer des envois depuis le domaine (qualificateur "~" SPF) • Neutre : signifie que le propriétaire du domaine a indiqué dans l'enregistrement SPF qu'il ne veut pas affirmer que l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "?" SPF) • Non disponible : le résultat None SPF indique que le domaine n'a publié aucun enregistrement ou qu'aucun domaine d'expéditeur vérifiable a pu être déterminé pour l'identité donnée. Vous pouvez lire le document RFC 4408 pour plus de détails sur SPF. Si vous utilisez le résultat SPF, les listes blanches dans Filtrage et vérification ne sont pas prises en compte pour les règles. SPF résultat ✓ 130 ✓ Protection Protection de la base du de transport données des de boîtes messages aux lettres Analyse de base de données de boîtes aux lettres à la demande ✓ ✓ ✓ S'applique aux messages qui ont réussi ou non la vérification par SPF ou DKIM les deux. A un enregistrement DNS ✓ inversé ✓ ✓ S'applique aux messages dont le domaine de l'expéditeur a un enregistrement DNS inverse. ✓ ✓ S'applique aux messages pour lesquels la vérification NDR a échoué. ✓ S’applique aux messages dont le résultat de l’évaluation SPF est : • Réussite : l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "+" SPF) • Échec : l'enregistrement SPF ne contient pas le serveur d'envoi ou l'adresse IP (qualificateur "-" SPF) • Erreur récupérable : l'adresse IP peut être autorisée ou non à effectuer des envois depuis le domaine (qualificateur "~" SPF) • Neutre : signifie que le propriétaire du domaine a indiqué dans l'enregistrement SPF qu'il ne veut pas affirmer que l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "?" SPF) • Non disponible : le résultat None SPF indique que le domaine n'a publié aucun enregistrement ou qu'aucun domaine d'expéditeur vérifiable a pu être déterminé pour l'identité donnée. Vous pouvez lire le document RFC 4408 pour plus de détails sur SPF. Si vous utilisez le résultat SPF, les listes blanches dans Filtrage et vérification ne sont pas prises en compte pour les règles. ✓ Compare le ou les domaines contenus dans le champ de l'en-tête d'e-mail "From:" et l’expéditeur de l’enveloppe aux les listes de domaines. Nom de la condition DMARC résultat NDR résultat ✓ résultat SPF - En-tête De ✓ Résultat de la comparaison entre l’expéditeur de l’enveloppe et l’en-tête De 131 ✓ ✓ ✓ Description Nom de la condition Protection Protection de la base du de transport données des de boîtes messages aux lettres Analyse de base de données de boîtes aux lettres à la demande Résultat SPFHELO ✓ ✓ ✓ Description S’applique aux messages dont le résultat de l’évaluation HELO est : • Réussite : l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "+" SPF) • Échec : l'enregistrement SPF ne contient pas le serveur d'envoi ou l'adresse IP (qualificateur "-" SPF) • Erreur récupérable : l'adresse IP peut être autorisée ou non à effectuer des envois depuis le domaine (qualificateur "~" SPF) • Neutre : signifie que le propriétaire du domaine a indiqué dans l'enregistrement SPF qu'il ne veut pas affirmer que l'adresse IP est autorisée à effectuer des envois depuis le domaine (qualificateur "?" SPF) • Non disponible : le résultat None SPF indique que le domaine n'a publié aucun enregistrement ou qu'aucun domaine d'expéditeur vérifiable a pu être déterminé pour l'identité donnée. Vous pouvez lire le document RFC 4408 pour plus de détails sur SPF. Si vous utilisez le résultat SPF, les listes blanches dans Filtrage et vérification ne sont pas prises en compte pour les règles. Le type de condition a les opérations suivantes : • Chaîne : est, n'est pas, contient, ne contient pas, correspond, ne correspond pas, est dans, n'est pas dans, est dans la liste, n'est pas dans la liste, correspond à l'expression régulière, ne correspond pas à l'expression régulière • Nombre : est inférieur à, est supérieur à, est compris entre • Texte : contient, ne contient pas, correspond, ne correspond pas • Date-heure : est inférieur à, est supérieur à, est compris entre • Énumération : est, n'est pas, est dans, n'est pas dans Si le nom de la pièce jointe ou le type de pièce jointe est fichier Microsoft Office, elle est traitée par ESET Mail Security comme une archive. Cela signifie que son contenu est extrait et que chaque fichier contenu dans l'archive de fichiers Office (.docx, .xlsx, .xltx, .pptx, .ppsx, .potx par exemple.) est analysé séparément. De plus, si vous désactivez Protection antivirus dans le menu Configuration ou Paramètres avancés (F5) > Serveur > Antivirus et antispyware pour la couche de protection de la base de données de boîtes aux lettres et de 132 transport des messages, cela aura une incidence sur ces conditions de règle : • Nom de la pièce jointe • Taille de la pièce jointe • Type de la pièce jointe • Résultat de l'analyse antivirus • La pièce jointe est protégée par mot de passe. • La pièce jointe est une archive endommagée. • Contient une archive endommagée • Contient une archive protégée par mot de passe Action de règle Vous pouvez ajouter des actions pour les messages et/ou les pièces jointes qui correspondent aux conditions des règles. Vous pouvez ajouter plusieurs actions pour une règle. Les actions suivantes sont disponibles pour la protection du transport des messages, la protection de la base de données de boîtes aux lettres et l'analyse de base de données de boîtes aux lettres à la demande (certaines options peuvent ne pas s'afficher selon les conditions sélectionnées) : Nom de l'action Protection Protection de du la base de transport données de des boîtes aux messages lettres Analyse de base de données de boîtes aux lettres à la demande Message en quarantaine ✓ ✓ ✓ Le message ne sera pas remis au destinataire et sera déplacé vers la quarantaine des messages. Permet d'autoriser les utilisateurs qui ne sont pas administrateurs de libérer les e-mails mis en quarantaine par cette règle (à l'aide de l'interface Web ou des rapports de mise en quarantaine. Mettre en quarantaine la pièce jointe Supprimer la pièce jointe 133 Description ✓ ✓ ✓ Place la pièce jointe au message dans la quarantaine des fichiers. Le message électronique sera remis au destinataire avec la pièce jointe tronquée à une longueur nulle. ✓ ✓ ✓ Supprime la pièce jointe d'un message. Le message sera remis au destinataire sans la pièce jointe. Nom de l'action Protection Protection de du la base de transport données de des boîtes aux messages lettres Analyse de base de données de boîtes aux lettres à la demande Refuser le message Supprimer le message en silence Définir la valeur SCL Description ✓ ✓ ✓ Supprime un message. Pour les e-mails entrants reçus via SMTP, un rapport de non-remise NDR (Non-Delivery Report) doit être généré par le serveur d'envoi. ✓ ✓ ✓ Supprime un message sans générer de NDR. ✓ ✓ ✓ Modifie ou définit une valeur SCL spécifique. ✓ Envoie des notifications d'événement à un destinataire spécifié dans les notifications par e-mail. Vous devez activer la fonctionnalité Envoyer des notifications d'événement par e-mail. Vous pouvez ensuite personnaliser le format des messages d'événement (pour obtenir des suggestions, utilisez l'info-bulle) pendant la création de la règle. UyhjytggVous pouvez également sélectionner le niveau de détail des messages d'événement. Celui-ci dépend toutefois du paramètre de verbosité minimale dans la section Notifications par e-mail. Envoyer des notifications d'événement à l'administrateur ✓ ✓ Envoyer un courrier électronique de notification Envoie des messages électroniques de notification à un destinataire spécifié dans les notifications par e-mail. Ignorer l'analyse antispam ✓ ✓ ✓ Le message n'est pas analysé par le moteur antispam. Ignorer l'analyse antivirus ✓ ✓ ✓ Le message n'est pas analysé par le moteur antivirus. Ignorer l'analyse antihameçonnage ✓ ✓ ✓ Le message n'est pas analysé par l'antihameçonnage. Ignorer l'analyse ESET LiveGuard Advanced ✓ ✓ ✓ Le message n'est pas validé par la protection ESET LiveGuard Advanced. ✓ Permet l'évaluation d'autres règles afin que l'utilisateur puisse définir plusieurs ensembles de conditions et d'actions à entreprendre en fonction de ces conditions. Évaluer d'autres règles ✓ 134 ✓ Nom de l'action Protection Protection de du la base de transport données de des boîtes aux messages lettres Analyse de base de données de boîtes aux lettres à la demande Journaliser les événements Description ✓ ✓ ✓ Écrit des informations sur la règle appliquée dans le journal du programme et définit le format des messages d'événement (pour obtenir des suggestions, utilisez l'info-bulle). Si vous configurez le type d'action Journaliser les événements pour la protection de la base de données de boîtes aux lettres avec le paramètre %IPAddress%, la colonne Événement des fichiers journaux est vide pour cet événement spécifique. Cette situation se produit, car il n'existe pas d'adresse IP au niveau de la protection de la base de données de boîtes aux lettres. Certaines options ne sont pas disponibles pour tous les niveaux de protection : %IPAddress% : cette option est ignorée par l'analyse de base de données de boîtes aux lettres à la demande et la protection de la base de données de boîtes aux lettres. %Mailbox% : cette option est ignorée par la protection du transport des messages. Les options suivantes s'appliquent uniquement aux Règles de traitement des pièces jointes : %Attname% : cette option est ignorée par les Règles de filtrage et les Règles de traitement des résultats. %Attsize% : cette option est ignorée par les Règles de filtrage et les Règles de traitement des résultats. Ajouter un champ d'en✓ tête ✓ ✓ Ajoute une chaîne personnalisée à un entête de message. Ajouter un préfixe d'objet ✓ ✓ ✓ Ajoute un préfixe à un objet. Remplacer la pièce ✓ jointe par des informations sur l’action ✓ ✓ Remplace la pièce jointe par un fichier texte contenant des informations détaillées sur une action entreprise. Supprimer les champs d'en-tête ✓ ✓ ✓ Supprime les champs de l'en-tête du message selon les paramètres spécifiés. Supprimer le message ✓ ✓ ✓ Supprime un message infecté. Déplacer le message vers le dossier ✓ ✓ ✓ Le message est déplacé vers le dossier spécifique. Déplacer le message vers la corbeille ✓ ✓ ✓ Place un message électronique dans la corbeille du côté du client de messagerie. 135 Nom de l'action Protection Protection de du la base de transport données de des boîtes aux messages lettres Analyse de base de données de boîtes aux lettres à la demande Appliquer la politique DMARC ✓ ✓ ✓ Description Si une condition du résultat DMARC est remplie, le message électronique est géré selon la politique spécifiée dans l'enregistrement DNS DMARC du domaine de l'expéditeur. Si vous désactivez Protection antivirus dans le menu Configuration ou Paramètres avancés (F5) > Serveur > Antivirus et antispyware pour la protection du transport des messages, cela aura une incidence sur ces actions de règle : • Mettre en quarantaine la pièce jointe • Supprimer la pièce jointe Exemples de règle Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe protégée par mot de passe, endommagée ou chiffrée Objectif : Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe protégée par mot de passe, endommagée ou chiffrée Créez la règle suivante pour la protection du transport des messages : Condition • Type : Résultat de l'analyse antivirus • Opération : n'est pas • Paramètre : Nettoyer Action Type : Message en quarantaine Déplacer les messages n'ayant pas réussi la vérification SPF vers un dossier de courrier indésirable Objectif : Déplacer les messages n'ayant pas réussi la vérification SPF vers un dossier de courrier indésirable Créez la règle suivante pour la protection du transport des messages : Condition • Type : Résultat SPF • Opération : est • Paramètre : Échec Action • Type : Définir la valeur SCL • Valeur : 5 Définissez la valeur sn le paramètre SCLJunkThreshold de la cmdlet Get-OrganizationConfig du serveur Exchange Server. Pour plus d'informations, voir l'article sur les actions de seuil SCL.) Vérifier l'e-mail suspect provenant de l’usurpation d'identité de l’expéditeur 136 Objectif : Vérifier l'e-mail suspect provenant de l’usurpation d'identité de l’expéditeur Si le message contient votre propre domaine dans l’en-tête d'e-mail « De : » ou l’expéditeur de l’enveloppe, effectuez une vérification approfondie avec le résultat SPF. Si le résultat SPF est neutre, mettre le message en quarantaine, journaliser les événements et avertir l’administrateur. Condition • Type : Résultat de la comparaison entre l’expéditeur de l’enveloppe et l’en-tête De • Opération : est • Paramètre : Correspondance • Type : résultat SPF - En-tête De • Opération : est • Paramètre : Neutre Action Type : Message en quarantaine, Journaliser les événements et Envoyer des notifications d'événement à l'administrateur Supprimer les messages d'expéditeurs spécifiques Objectif : Supprimer les messages d'expéditeurs spécifiques Créez la règle suivante pour la protection du transport des messages : Condition • Type : Expéditeur • Opération : est / appartient à • Paramètre : spammer1@domain.com, spammer2@domain.com Action Type : Supprimer le message en silence Liste des adresses IP bloquées Objectif : Mettre en quarantaine le message provenant d’une adresse IP figurant sur la liste des adresses IP bloquées, informer l’administrateur et consigner l’événement. Détails : Si un e-mail provient d’une adresse IP figurant sur la liste des adresses IP bloquées, <%PM%> met le message en quarantaine et vous en informe par e-mail. Vous pouvez ensuite libérer le message de la quarantaine ou le supprimer définitivement. Sinon, <%PM%> supprime le message sans possibilité d’action. Ouvrir Protection du transport des messages Condition • Type : Adresse IP de l'expéditeur • Opération : Figure dans la liste • Liste Liste des adresses IP bloquées Action Type : Message en quarantaine, Journaliser les événements et Envoyer des notifications d'événement à l'administrateur Personnaliser une règle prédéfinie 137 Objectif : Personnaliser une règle prédéfinie Détails : Autoriser les pièces jointes d'archive dans les messages provenant d'adresses IP spécifiées (dans le cas de systèmes internes, par exemple) lors de l'utilisation de la règle Fichiers d'archive interdits en pièces jointes Ouvrez l'ensemble de règles Protection du transport des messages, sélectionnez Fichiers d'archive interdits en pièces jointes et cliquez sur Modifier. Condition • Type : Adresse IP de l'expéditeur • Opération : n'est pas / n'est aucun des • Paramètre : 1.1.1.2, 1.1.1.50-1.1.1.99 Corps du message Objectif : Messages en quarantaine contenant une chaîne particulière dans le corps du message Créez la règle suivante pour la protection du transport des messages : Condition • Type : Corps du message • Opération : contient/contient un des, cliquez sur Ajouter, saisissez l'URL du site web ou une partie de celle-ci Action Type : Message en quarantaine Stocker les messages des destinataires qui n'existent pas Objectif : Stocker les messages des destinataires qui n'existent pas Détails : Si vous souhaitez mettre en quarantaine tous les messages envoyés à des destinataires inexistants (indépendamment de leur marquage par la protection antivirus ou antispam) Condition • Type : Résultat de la validation de destinataire • Opération : est • Paramètre : Contient un destinataire non valide Action Type : Message en quarantaine Protection du transport des messages Vous pouvez configurer séparément des actions pour les menaces détectées sur la couche de transport de chaque module ESET Mail Security (antivirus, Anti-hameçonnage et antispam). Action à entreprendre si le nettoyage est impossible : • Aucune action : permet de conserver les messages infectés qui ne peuvent pas être nettoyés. • Message en quarantaine : place les messages infectés dans la boîte aux lettres de quarantaine. • Refuser le message : permet de refuser un message infecté. • Supprimer le message en silence : permet de supprimer les messages sans envoyer de rapport de nonremise. 138 Si vous sélectionnez Aucune action et si l'option Niveau de nettoyage est définie sur Pas de nettoyage dans les paramètres ThreatSense d'antivirus et antispyware, l'état de la protection prend la couleur jaune. Cette combinaison présente un risque pour la sécurité et il n'est pas recommandé de l'utiliser. Modifiez l’un ou l’autre paramètre pour optimiser la protection. Action à exécuter avec un message d’hameçonnage : • Aucune action : permet de conserver les messages. • Message en quarantaine : place les messages marqués comme étant des messages d'hameçonnage dans la boîte aux lettres de quarantaine. • Refuser le message : permet de refuser les messages marqués comme étant des messages de hameçonnage. • Supprimer le message en silence : permet de supprimer les messages sans envoyer de rapport de nonremise. Action à entreprendre sur le courrier indésirable : • Aucune action : permet de conserver les messages. • Message en quarantaine : place les messages marqués comme étant du courrier indésirable dans la boîte aux lettres de quarantaine. • Refuser le message : permet de refuser les messages marqués comme étant indésirables. • Supprimer le message en silence : permet de supprimer les messages sans envoyer de rapport de nonremise. Action à exécuter sur les messages dont le domaine est usurpé : • Aucune action : permet de conserver les messages. • Mettre le message en quarantaine : permet de placer les messages marqués comme étant usurpés dans la boîte aux lettres de quarantaine. • Refuser le message : permet de refuser les messages marqués comme étant usurpés. • Supprimer le message en silence : permet de supprimer les messages sans envoyer de rapport de nonremise. 139 Enregistrer une copie des pièces jointes nettoyées et supprimées dans la quarantaine de messages Une copie du fichier joint d'origine est stockée dans la quarantaine des messages. Utiliser du texte personnalisé pour remplacer les pièces jointes supprimées Lorsque cette option est activée, vous pouvez indiquer le texte personnalisé qui remplace les pièces jointes supprimées. Format du texte utilisé pour remplacer les pièces jointes supprimées Remplace la pièce jointe par un fichier texte contenant des informations détaillées sur une action entreprise. Si vous avez activé le paramètre ci-dessus (Utiliser du texte personnalisé), vous pouvez modifier le texte par défaut avec vos détails personnalisés en utilisant des variables, si vous le souhaitez. 140 Utilisez des variables lors de la personnalisation du texte qui sera utilisé en tant que remplacement des pièces jointes supprimées dans un e-mail. %PRODUCTNAME% %FILENAME% %VIRUSNAME% %DETECTIONNAME% %FILESIZE% %SENDERADDRESS% %FROMADDRESS% %DATETIME% La pièce jointe %FILENAME%, d’une taille de %FILESIZE%, a été supprimée par %PRODUCTNAME% en raison de %DETECTIONNAME%. La sortie visible du format texte personnalisé sera la suivante : La pièce jointe eicar_com.zip, dont la taille est de 184 o, a été supprimée par ESET Mail Security en raison du fichier Eicar test. Réponse de refus SMTP Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez saisir un message de réponse au format suivant : Code de réponse Code d'état Message de réponse 250 2.5.0 Requested mail action okay, completed (Action demandée sur courrier OK, terminée) 451 4.5.1 Requested action aborted:local error in processing (Action demandée abandonnée : erreur locale dans le traitement) 550 5.5.0 Requested action not taken:mailbox unavailable (Action demandée non entreprise : boîte aux lettres indisponible) 554 5.6.0 Invalid content (Contenu non valide) vous pouvez également utiliser des variables système pour configurer des réponses de rejet SMTP. L'option Ajouter une notification au corps des messages analysés propose trois options : • Ne pas ajouter aux messages : les informations ne seront pas ajoutées. • Ajouter uniquement aux messages infectés : est uniquement appliqué aux messages infectés. • Ajouter à tous les messages (ne s'applique pas aux messages internes) : tous les messages seront marqués. Modifier l'objet Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés, des courriers indésirables ou des messages d'hameçonnage. Texte ajouté à l'objet des messages infectés ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie dans le champ de texte Texte ajouté à l'objet des messages infectés (le texte prédéfini par défaut est [found threat %VIRUSNAME%]). Cette modification peut être utilisée pour automatiser le filtrage des messages infectés en 141 filtrant les e-mails avec un objet spécifique, à l'aide par exemple de règles ou du côté client (si cette option est prise en charge par le client de messagerie) pour placer ces messages dans un dossier distinct. Modèle ajouté à l’objet des messages indésirables ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie dans le champ de texte Modèle ajouté à l'objet des messages indésirables (le texte prédéfini par défaut est [SPAM]). Cette modification peut être utilisée pour automatiser le filtrage du courrier indésirable en filtrant les messages avec un objet spécifique, à l'aide par exemple de règles ou du côté client (si cette option est prise en charge par le client de messagerie) pour placer ces messages dans un dossier distinct. Modèle ajouté à l'objet des messages de hameçonnage ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie dans le champ de texte Modèle ajouté à l'objet des messages de hameçonnage (le texte prédéfini par défaut est [PHISH]). Cette modification peut être utilisée pour automatiser le filtrage du courrier indésirable en filtrant les messages avec un objet spécifique, à l'aide par exemple de règles ou du côté client (si cette option est prise en charge par le client de messagerie) pour placer ces messages dans un dossier distinct. Lors de la modification de texte, vous pouvez utiliser des variables système qui seront ajoutées à l'objet. Configurations avancées du transport des messages Vous pouvez personnaliser les paramètres de la protection du transport des messages. Analyser également les messages reçus à partir de connexions internes ou authentifiées par Vous pouvez choisir l'analyse à effectuer sur les messages des sources authentifiées ou des serveurs locaux. L'analyse de ces messages est conseillée car elle optimise la protection. Elle est toutefois nécessaire si vous utilisez le Microsoft SBS POP3 Connector pour récupérer les messages électroniques des serveurs POP3 externes ou des services de messagerie (Gmail.com, Outlook.com, Yahoo.com, gmx.dem, par exemple). Sélectionnez un niveau de protection dans le menu déroulant. Il est recommandé d'utiliser la protection antivirus (paramètre par défaut), tout particulièrement pour les connexions internes, car il est peu probable que des messages de hameçonnage ou de spam soient diffusés via vos serveurs locaux. Vous pouvez toutefois renforcer la protection du Microsoft SBS POP3 Connector en sélectionnant Protection antivirus et anti-hameçonnage ou même Protection antivirus, anti-hameçonnage et antispam. Ce paramètre active ou désactive la protection antispam pour les utilisateurs authentifiés et les connexions internes. Les messages électroniques des connexions non authentifiées sont toujours analysés par l'antivirus, même si l'option Ne pas analyser est sélectionnée. Les messages internes d'Outlook au sein de l'entreprise sont envoyés au format TNEF (Transport Neutral Encapsulation Format). La fonction Antispam ne prend pas en charge TNEF. Par conséquent, les e-mails internes au format TNEF ne seront pas analysés en vue de rechercher du courrier indésirable, indépendamment du paramètre Analyser également les messages reçus à partir de connexions internes ou authentifiées par. Analyser les messages reçus à partir de connexions internes ou authentifiées par ESET LiveGuard Advanced Lorsque cette option est activée, les messages reçus par ESET LiveGuard Advanced des connexions authentifiées 142 ou internes sont également analysés. Ce paramètre n'est disponible que si vous êtes éligible pour ESET LiveGuard Advanced avec la licence adéquate. La licence ESET LiveGuard Advanced est gérée par ESET PROTECT et l'activation doit être effectuée dans ESET PROTECT à l'aide d'une politique. Supprimer l'en-tête SCL existant avant l'analyse Cette option est activée par défaut. Vous pouvez la désactiver si vous devez utiliser l'en-tête SCL (Spam Confidence Level). Écrire les résultats de l'analyse dans les en-têtes de message Lorsque cette option est activée, les résultats de l'analyse sont écrits dans des en-têtes de message. Ces en-têtes de message commencent par X_ESET, ce qui permet de les reconnaître facilement (X_EsetResult ou X_ESET_Antispam, par exemple). Protection de la base de données de boîtes aux lettres Si l'option Analyse proactive est activée, les nouveaux messages entrants sont analysés dans l'ordre dans lequel ils ont été reçus. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé, ce message est analysé avant les autres messages dans la file d'attente. Analyse en arrière-plan Permet l'exécution de l'analyse de tous les messages en arrière-plan (l'analyse s'exécute dans le magasin des boîtes aux lettres et des dossiers publics, comme la base de données Exchange). En fonction de différents facteurs tels que la charge actuelle du système, le nombre d'utilisateurs actifs, etc., Microsoft Exchange Server décide si une analyse en arrière-plan doit s'exécuter ou non. Microsoft Exchange Server conserve la liste des messages 143 analysés et de la version de la base des signatures de virus utilisée. Si vous ouvrez un message qui n'a pas été analysé par la base des signatures de virus la plus à jour, Microsoft Exchange Server envoie le message à ESET Mail Security pour qu'il soit analysé avant d'être ouvert dans le client de messagerie. Vous pouvez choisir d'analyser uniquement les messages avec pièce jointe et de les filtrer en fonction de leur heure de réception à l'aide des options Limite de durée de l'analyse suivantes : • Tous les messages • Messages reçus au cours de l’année dernière • Messages reçus au cours des 6 derniers mois • Messages reçus au cours des 3 derniers mois • Messages reçus au cours du dernier mois • Messages reçus au cours de la semaine dernière L'analyse en arrière-plan pouvant avoir un impact sur la charge du système (elle est effectuée après chaque mise à jour du moteur de détection), il est recommandé de planifier cette analyse en dehors des heures de travail. L'analyse en arrière-plan planifiée peut être configurée par l'intermédiaire d'une tâche spécifique dans le Planificateur. Lorsque vous planifiez une analyse en arrière-plan, vous pouvez définir l'heure de son lancement, le nombre de répétitions et d'autres paramètres disponibles dans le Planificateur. Une fois planifiée, la tâche apparaît dans la liste des tâches planifiées ; vous pouvez modifier ses paramètres, la supprimer ou la désactiver temporairement. Nombre de threads d’analyse Le nombre de threads d'analyse peut être compris entre 1 et 21. Vous pouvez définir le nombre de threads d'analyse indépendants utilisés en même temps. Un nombre de threads supérieur sur des ordinateurs multiprocesseur peut augmenter le taux d'analyse. Pour optimiser les performances du programme, il est conseillé d'utiliser le même nombre de moteurs d'analyse ThreatSense et de threads d'analyse. Analyser le corps des messages au format RTF Active l'analyse des corps de messages RTF. Les corps de ces messages RTF peuvent contenir des macrovirus. les corps des messages en texte brut ne sont pas analysés par VSAPI. Action à entreprendre si le nettoyage est impossible : • Aucune action : aucune modification apportée au message n'est appliquée. • Tronquer à une longueur nulle : la longueur de la pièce jointe sera réduite à zéro. • Remplacer le contenu par des informations sur l'action : le corps d'origine sera remplacé par des informations sur l'action. Le contenu de la pièce jointe sera remplacé par des informations sur l'action. • Supprimer le message : le message sera supprimé. Action à entreprendre sur le message de hameçonnage: 144 • Aucune action : aucune modification apportée au message n'est appliquée. • Supprimer le message : le message sera supprimé. les dossiers publics sont traités comme les boîtes aux lettres. Cela signifie qu'ils sont également analysés. Analyse en arrière-plan Ce type de tâche permet une analyse en arrière-plan de la base de données via VSAPI. Il permet à Exchange Server d'exécuter une analyse en arrière-plan en cas de besoin. L'analyse est déclenchée par Exchange Server, ce qui signifie qu'Exchange Server est responsable de l'exécution de l'analyse dans le délai prévu. Il est recommandé de permettre à cette tâche d'être exécutée en dehors des heures de pointe lorsqu'Exchange Server n'est pas trop occupé (pendant la nuit, par exemple). L'analyse en arrière-plan de la base de données peut en effet ajouter une charge supplémentaire sur le système. De plus, cette tâche ne doit pas être planifiée en même temps que des sauvegardes d'Exchange Server afin d'éviter tout problème de performances ou de disponibilité. La protection de la base de données de boîtes aux lettres doit être activée pour que la tâche planifiée puisse s'exécuter. Ce type de protection est uniquement disponible pour Microsoft Exchange Server 2010 avec le rôle serveur de boîte aux lettres. Délai d'expiration (heures) Indiquez le nombre d'heures durant lesquelles Exchange Server est autorisé à exécuter l'analyse en arrière-plan de la base de données à partir de l'exécution de cette tâche planifiée. Une fois le délai d'expiration atteint, Exchange doit arrêter l'analyse en arrière-plan. Analyse de base de données de boîtes aux lettres à la demande Si vous exécutez Microsoft Exchange Server 2010 ou 2010 vous pouvez choisir entre la protection de la base de données de boîtes aux lettres et une analyse de base de données à la demande. Un seul type de protection peut être actif à la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes aux lettres à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes aux lettres dans Configuration avancée (F5), sous Serveur. Sinon, l'analyse de base de données de boîtes aux lettres à la demande ne sera pas disponible. Adresse de l'hôte : nom ou adresse IP du serveur exécutant les services Web Exchange. Nom d'utilisateur : indiquez les identifiants de l'utilisateur qui dispose d'un accès adéquat à EWS. Mot de passe de l'utilisateur : cliquez sur Définir en regard de Mot de passe de l'utilisateur, puis saisissez le mot de passe de ce compte d'utilisateur. Pour pouvoir analyser les dossiers publics, le compte utilisateur, employé pour l'analyse de base de données de boîtes aux lettres à la demande, doit avoir une boîte aux lettres. Sinon, le message d'erreur Failed to load public folders s'affiche dans le journal d'analyse de base de données, avec un message plus spécifique renvoyé par Exchange. 145 Méthode d’accès aux boîtes aux lettres : permet de sélectionner votre méthode d’accès aux boîtes aux lettres préférée : • Emprunt d'identité : Une configuration plus simple et plus rapide est Rôle ApplicationImpersonation qui doit être affecté au compte d'analyse. Attribuer le rôle ApplicationImpersonation à un utilisateur Si cette option n’est pas disponible, vous devez spécifier un nom d’utilisateur. Cliquez sur Attribuer pour attribuer automatiquement le rôle ApplicationImpersonation à l'utilisateur sélectionné. Vous pouvez également attribuer manuellement le rôle ApplicationImpersonation à un compte d'utilisateur. Une politique de limitation EWS illimitée est créée pour le compte d'utilisateur. Pour plus d'informations, consultez Détails du compte d'analyse de base de données. • Délégation : Utilisez ce type d'accès si vous voulez exiger un ensemble de droits sur chaque boîte aux lettres, mais offrir des performances supérieures en matière de vitesse lors de l'analyse de grandes quantités de données. Attribuer un accès délégué à un utilisateur Si cette option n’est pas disponible, vous devez spécifier un nom d’utilisateur. Cliquez sur Affecter pour accorder automatiquement à l'utilisateur sélectionné un accès complet à toutes les boîtes aux lettres utilisateur et partagées. Une politique de limitation EWS illimitée est créée pour le compte d'utilisateur. Pour plus d'informations, consultez Détails du compte d'analyse de base de données. Utilliser SSL SSL doit être activé si EWS est défini sur Exiger SSL dans IIS. Si SSL est activé, le certificat Exchange Server doit être importé dans le système avec ESET Mail Security (si les rôles Exchange Server se trouvent sur des serveurs différents). Les paramètres des services Web Exchange figurent dans IIS, dans Sites/Default website/EWS/SSL Settings. Désactivez l'option Utiliser SSL uniquement si EWS est configuré pour ne pas exiger SSL dans IIS. Ignorer l'erreur de certificat de serveur : Si vous utilisez un certificat signé automatiquement, vous pouvez ignorer l'erreur de certificat de serveur. Certificat client : doit être défini uniquement si EWS requiert un certificat client. Cliquez sur Sélectionner pour sélectionner un certificat. Action à entreprendre si le nettoyage n'est pas possible : ce champ d'action permet de bloquer le contenu infecté. • Aucune action : aucune action à entreprendre sur le contenu infecté du message. • L'action Déplacer le message vers la corbeille n'est pas prise en charge pour les éléments de dossier public. L'action Supprimer l'objet sera utilisée à la place. • Supprimer l'objet : supprime le contenu infecté du message. • Supprimer le message : supprime l'intégralité du message, y compris son contenu infecté. • Remplacer l’objet par des informations sur l’action : supprime un objet et inclut des informations sur 146 l’objet qui a été supprimé. Action à exécuter sur un message d'hameçonnage : • Aucune action : permet de conserver le message même s'il est marqué comme étant de l'hameçonnage. • L'action Déplacer le message vers la corbeille n'est pas prise en charge pour les éléments de dossier public. L'action Supprimer l'objet sera utilisée à la place. • Supprimer le message : supprime l'intégralité du message, y compris son contenu infecté. Nombre de threads d’analyse Vous pouvez spécifier le nombre de threads qu'ESET Mail Security doit utiliser pendant l'analyse de base de données. Plus le nombre de threads est élevé, plus les performances sont optimales. Cependant, une augmentation des performances utilise plus de ressources. Ajustez ce paramètre à la valeur souhaitée en fonction de vos besoins. La valeur par défaut est de 4 threads d'analyse. Si l'analyse de base de données de boîtes aux lettres à la demande utilise trop de threads, la charge peut être trop élevée sur le système, ce qui peut ralentir d'autres processus ou l'ensemble du système. Le message d'erreur « Trop de connexions simultanées ouvertes » peut alors d'afficher. Microsoft 365 Visible uniquement si vous disposez d'un environnement Microsoft 365 hybride. Compte d'utilisateur pour l'analyse d'un dossier public Si vous souhaitez analyser les dossiers publics, fournissez le nom du compte d'utilisateur principal (mot de passe non requis) pour l'emprunt d'identité. Vérifiez que la configuration de ce compte d’utilisateur permet d'avoir accès à tous les dossiers publics. Analyse de base de données de boîtes aux lettres L'exécution d'une analyse de base de données de messagerie complète peut entraîner une charge système indésirable. Pour éviter ce problème, lancez une analyse sur des bases de données ou des boîtes aux lettres spécifiques. Limitez davantage l'impact sur le système du serveur en filtrant les cibles à analyser à l'aide des horodatages des messages. Des règles incorrectement définies pour l'analyse de base de données de boîtes aux lettres à la demande peuvent entraîner des modifications irréversibles dans les bases de données de boîtes aux lettres. Vérifiez toujours que vous disposez de la sauvegarde la plus récente de vos bases de données de boîtes aux lettres avant d'exécuter l'analyse de base de données de boîtes aux lettres à la demande avec des règles mises en place pour la première fois. Il est aussi vivement recommandé de vérifier que les règles s'exécutent selon les attentes. Dans le cadre d'une vérification, définissez des règles avec l'action Journaliser les événements uniquement, car les autres actions peuvent modifier vos bases de données de boîtes aux lettres. Une fois la vérification terminée, vous pouvez ajouter des actions de règle de destruction telles que Supprimer la pièce jointe. Les types d'élément suivants sont analysés dans les dossiers publics et les boîtes aux lettres des utilisateurs : 147 • Adresse électronique • Publication • Éléments de calendrier (réunions/rendez-vous) • Tâches • Contacts • Journal Use the drop-down list to choose which messages to scan according to their time-stamp. Vous avez également la possibilité d'analyser tous les messages, si cela s'avère nécessaire Pour activer ou désactiver l'analyse des pièces jointes, cochez la case située en regard de l'option Analyser uniquement les messages avec pièce jointe. Cliquez sur Modifier pour sélectionner le dossier public à analyser. Cliquez sur l’icône et modifiez l’intervalle de l'option Arrêtez l’analyse si elle s’exécute pendant plus de [minutes] : en le remplaçant par l'intervalle souhaité (entre 1 et 2 880 minutes). 148 Cochez les cases en regard des bases de données et des boîtes aux lettres du serveur à analyser. Le filtrage vous permet de retrouver rapidement les bases de données et les boîtes aux lettres, tout particulièrement si votre infrastructure Exchange contient un grand nombre de boîtes aux lettres. Cliquez sur Enregistrer pour enregistrer les cibles à analyser et les paramètres dans le profil d'analyse à la demande. Vous pouvez maintenant cliquer sur Analyser. Si vous n'avez pas spécifié auparavant les détails du compte d'analyse de base de données une fenêtre contextuelle s'ouvre pour vous demander les identifiants. Si vous ne les indiquez pas, l'analyse de base de données de boîtes aux lettres à la demande démarrera. Si vous ne voyez pas la boîte aux lettres Administrateur intégré, vérifiez que l'attribut UserPrincipalName n'est pas vide. Si vous exécutez Microsoft Exchange Server 2010, vous pouvez choisir entre la protection de la base de données de boîtes aux lettres et une analyse de base de données de boîtes aux lettres à la demande. Seul un type de protection peut être activé à la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes aux lettres à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes aux lettres dans Configuration avancée, sous Serveur. Sinon, l'analyse de base de données de boîtes aux lettres à la demande ne sera pas disponible. Analyse des boîtes aux lettres Microsoft 365 ESET Mail Security propose une fonctionnalité d'analyse pour les environnements Microsoft 365 hybrides. Elle n'est disponible et visible dans ESET Mail Security que si vous disposez d'un environnement Exchange hybride (sur site et dans le cloud). Les deux scénarios de routage sont pris en charge par Exchange Online ou par le biais de l'organisation sur site. Pour plus d'informations, consultez Routage du transport dans les déploiements hybrides d'Exchange. 149 Pour activer cette fonctionnalité, inscrivez l'analyseur ESET Mail Security. Vous pouvez analyser les boîtes aux lettres distantes et les dossiers publics Microsoft 365 comme vous le feriez avec l'analyse de base de données de boîtes aux lettres à la demande. L'exécution d'une analyse de base de données de messagerie complète peut entraîner une charge système indésirable dans un environnement de grande taille. Pour éviter ce problème, lancez une analyse sur des bases de données ou des boîtes aux lettres spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre temporel en haut de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, vous pouvez sélectionner Analyser les messages modifiés au cours de la semaine dernière. Il est recommandé de configurer Microsoft 365. Appuyez sur la touche F5 et cliquez sur Serveur Analyse de base de données de boîtes aux lettres à la demande. Consultez également les détails du compte d'analyse de base de données. Pour afficher l'activité de l'analyse des boîtes aux lettres Office 365, consultez Fichiers journaux > Analyse de base de données de boîtes aux lettres. Éléments de boîte aux lettres supplémentaires Les paramètres de l'analyseur de base de données de boîtes aux lettres à la demande permettent d'activer ou de désactiver l'analyse d'autres types d'élément de boîte aux lettres : • Analyser le calendrier • Analyser les tâches 150 • Analyser les contacts • Analyser le journal si vous rencontrez des problèmes de performances, vous pouvez désactiver l'analyse de ces éléments. Les analyses durent plus longtemps lorsque ces éléments sont activés. Serveur proxy Si vous utilisez un serveur proxy entre le serveur Exchange Server avec le rôle de serveur d'accès au client et le serveur Exchange Server sur lequel ESET Mail Security est installé, indiquez les paramètres du serveur proxy. Ces paramètres sont obligatoires, car ESET Mail Security se connecte à l'API des services Web via HTTP/HTTPS. Si vous ne les indiquez pas, la boîte aux lettre de quarantaine et la quarantaine Microsoft Exchange ne fonctionneront pas. Serveur proxy Saisissez l'adresse IP ou le nom du serveur proxy utilisé. Port Saisissez le numéro de port du serveur proxy. Nom d'utilisateur, mot de passe Saisissez les informations d'identification si le serveur proxy nécessite une authentification. Détails du compte d'analyse de base de données Cette boîte de dialogue s'affiche si vous devez toujours spécifier un nom d'utilisateur et un mot de passe pour l'analyse de base de données. Indiquez les informations d'identification de l'utilisateur ayant accès aux services Web Exchange dans cette fenêtre indépendante, puis cliquez sur OK. Vous pouvez également accéder à Configuration avancée > Serveur > Analyse de base de données de boîtes aux lettres à la demande. 1. Tapez un nom d'utilisateur, cliquez sur Définir, tapez un mot de passe, puis cliquez sur OK. 2. Cliquez sur la case à cocher située en regard de l'option Enregistrer les informations du compte pour enregistrer les paramètres du compte. Sinon, vous devrez les taper à chaque fois que vous exécutez une analyse de base de données de boîtes aux lettres à la demande. 151 Si un compte d'utilisateur ne dispose pas d'un accès adéquat aux services Web Exchange, vous pouvez sélectionner Créer l'attribution du rôle « ApplicationImpersonation » pour attribuer ce rôle au compte d'utilisateur. Vous pouvez également attribuer manuellement le rôle ApplicationImpersonation. Le compte d'analyse doit disposer du rôle ApplicationImpersonation pour permettre au moteur d'analyse d'analyser les boîtes aux lettres des utilisateurs dans la ou les bases de données de boîtes aux lettres Exchange. Si vous exécutez Exchange Server 2010 ou une version ultérieure, une stratégie de limitation EWS illimitée est créée pour le compte d'utilisateur. Veillez à configurer la stratégie de limitation EWS pour le compte d'analyse afin d'éviter trop de demandes d'opération par ESET Mail Security, ce qui pourrait entraîner l'expiration de certaines demandes. Pour plus d'informations sur les stratégies de limitation, voir les articles Meilleures pratiques EWS et Présentation des stratégies de limitation du client. Pour obtenir des informations détaillées et des exemples, voir aussi Modifier les paramètres de limitation d'utilisateurs pour un utilisateur spécifique. Si vous souhaitez attribuer manuellement le rôle ApplicationImpersonation à un compte d'utilisateur et créer une politique de bande passante EWS pour ce compte, vous pouvez utiliser les commandes suivantes (remplacez ESET-user par un nom de compte dans votre système ; vous pouvez également définir des limites pour la nouvelle politique de bande passante EWS en remplaçant $null par des nombres) : Exchange Server 2010 New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user L'application de cette commande peut prendre quelques instants. New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null EWSPercentTimeInAD $null -EWSPercentTimeInCAS $null EWSPercentTimeInMailboxRPC $null Set-ThrottlingPolicyAssociation -Identity user-ESET -ThrottlingPolicy ESETThrottlingPolicy Exchange Server 2013, 2016 et 2019 152 New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user L'application de cette commande peut prendre quelques instants. New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESETThrottlingPolicy Types de quarantaine de messages Le gestionnaire de quarantaine de messages est disponible pour les trois types de quarantaine : • Quarantaine locale • Boîte aux lettres de quarantaine • Quarantaine Microsoft Exchange Vous pouvez voir le contenu de la quarantaine des messages dans le Gestionnaire de mise en quarantaine de messages. En outre, vous pouvez afficher la quarantaine locale dans l'interface web Quarantaine de messages. Stocker les messages des destinataires qui n'existent pas Ce paramètre s'applique aux messages qui sont marqués comme mis en quarantaine selon des règles, par la protection antivirus ou la protection antispam. Lorsque cette option est activée, les messages qui ont été envoyés aux destinataires qui n'existent pas dans Active Directory sont stockés dans la quarantaine de messages. Désactivez cette fonctionnalité si vous ne souhaitez pas conserver ces messages dans la quarantaine de messages. Lorsque la fonctionnalité est désactivée, les messages destinés à des destinataires inconnus sont supprimés en silence. Voir l'exemple : si vous souhaitez mettre en quarantaine tous les messages envoyés à des destinataires inexistants. Ignorer l'évaluation des règles lors de la libération des messages électroniques Si vous souhaitez libérer un message de la quarantaine, celui-ci n'est pas évalué par des règles. Ainsi, le message ne sera pas replacé dans la quarantaine et il sera remis correctement au destinataire. Cette fonctionnalité est utilisée uniquement lorsque l'administrateur libère le message. Si vous désactivez cette fonctionnalité ou si un message est libéré par un utilisateur autre qu'un administrateur, celui-ci est évalué par des règles. Si vous exécutez un environnement en groupe et que vous libérez un message de la quarantaine, ce dernier ne sera pas remis en quarantaine par les autres nœuds ESET Mail Security. Cela est réalisé par la synchronisation des règles entre les nœuds du groupe. Valeur initiale des signatures de courrier électronique pour un environnement multiserveur Elle permet d'ignorer l'évaluation des règles lors de la diffusion d'e-mails dans un environnement multiserveur. Saisissez la même valeur initiale (chaîne de caractères semblable à une phrase secrète) sur tous les serveurs lorsque vous souhaitez établir une relation de confiance. 153 Format de l'enveloppe de la pièce jointe Lorsqu’un e-mail est libéré de la quarantaine, il est joint à un nouveau message (enveloppe de pièce jointe), qui est ensuite remis au destinataire. Le destinataire reçoit le message d'origine qui est libéré de la quarantaine en tant que pièce jointe. Vous pouvez utiliser le format d’enveloppe prédéfini ou le modifier selon vos besoins à l’aide des variables disponibles. Utiliser ESET Cluster pour stocker tous les messages en quarantaine sur un nœud Si vous utilisez ESET Cluster, cette option est disponible. Il est recommandé d'utiliser cette fonction, car elle permet de conserver stocké le fichier de quarantaine locale à un seul emplacement, le nœud principal. Nœud principal Spécifiez quel serveur est le nœud principal d'ESET Cluster. Vous accéderez et gérerez alors la quarantaine locale sur le nœud principal (vous pouvez utiliser le gestionnaire de quarantaine de messages à partir de l'interface utilisateur graphique principale ou l'interface Web Quarantaine de messages). Quarantaine locale La quarantaine locale utilise votre système de fichiers local pour stocker les messages électroniques mis en quarantaine et une base de données SQLite en tant qu'index. Les fichiers de base de données et les fichiers des messages électroniques mis en quarantaine stockés sont chiffrés pour des raisons de sécurité. Ces fichiers figurent dans C:\ProgramData\ESET\ESET Mail Security\MailQuarantine (sous Windows Server 2012). Si vous souhaitez que les fichiers en quarantaine soient stockés sur un disque autre que le lecteur par défaut, remplacez le chemin d'accès du dossier de données pendant l'installation de ESET Mail Security. Fonctionnalités de la quarantaine locale : • Le courrier indésirable et les messages électroniques en quarantaine sont stockés dans un système de fichiers local, et non dans une base de données de boîtes aux lettres Exchange. • Chiffre et compresse des fichiers des e-mails mis en quarantaine stockés localement. • Solution Interface Web Quarantaine de messages utilisée à la place du gestionnaire de quarantaine de messages. • Envoie des rapports de mise en quarantaine en tant que tâche planifiée à une adresse e-mail spécifiée. • Supprime les fichiers des e-mails mis en quarantaine de la fenêtre de quarantaine (au terme de 21 jours par défaut) et les stocke dans un système de fichiers jusqu'à ce que la suppression automatique ait lieu après un nombre spécifié de jours. • Supprime automatiquement des anciens fichiers d'e-mails (au terme de trois jours par défaut). Pour plus d'informations, consultez les paramètres de stockage des fichiers. • Vous pouvez restaurer les fichiers des messages électroniques mis en quarantaine supprimés à l'aide d'eShell (à condition qu'ils n'aient pas encore été supprimés du système de fichiers). • Inspectez les messages électroniques mis en quarantaine et décidez de les supprimer ou de les libérer. Pour afficher et gérer de manière locale les messages électroniques mis en quarantaine, vous pouvez utiliser 154 le gestionnaire de quarantaine de messages à partir de le fenêtre principale du programme ou l'interface Web Quarantaine de messages. L'option Quarantaine locale présente un désavantage : si vous exécutez plusieurs serveurs ESET Mail Security dotés du rôle Serveur de transport Hub, vous devez gérer séparément la quarantaine locale de chaque serveur. Plus vous disposez de serveurs de messagerie, plus le nombre de mises en quarantaine à gérer sera important. Stockage de fichiers Dans cette section, vous pouvez modifier les paramètres du stockage des fichiers utilisé par la quarantaine locale. Compresser les fichiers mis en quarantaine Les fichiers mis en quarantaine compressés occupent moins d'espace disque. Si vous décidez toutefois de ne pas compresser les fichiers, vous pouvez cliquer sur le bouton pour désactiver la compression. Effacer les anciens fichiers après (jours) Après avoir été conservés pendant un nombre de jours spécifié, les messages sont supprimés de la fenêtre de quarantaine. Ils ne sont toutefois pas supprimés du disque. Étant donné que les fichiers ne sont pas supprimés du système de fichiers, vous pouvez les récupérer à l’aide d'eShell. Effacer les fichiers supprimés après (jours) Ce paramètre supprime les fichiers du disque après le nombre de jours spécifié, et vous ne pouvez pas les récupérer après leur suppression (sauf si vous disposez d'une solution de sauvegarde du système de fichiers). Interface Web L'interface Web Quarantaine de messages est une solution que vous pouvez utiliser à la place du gestionnaire de quarantaine de messages. Elle n'est toutefois disponible que pour la quarantaine locale. L'interface Web Quarantaine de messages n'est pas disponible sur un serveur avec le rôle serveur de transport Edge, car Active Directory n'est pas accessible pour l'authentification. L'interface Web Quarantaine de messages permet d'afficher l'état de la quarantaine des messages. Elle permet également de gérer les objets des e-mails mis en quarantaine. Cette interface Web est accessible par le biais des liens contenus dans les rapports de mise en quarantaine ou en saisissant un lien dans votre navigateur web. Pour accéder à l'interface Web Quarantaine de messages, vous devez vous authentifier à l'aide des informations d'identification du domaine. Edge effectue automatiquement l'authentification pour un utilisateur du domaine. Toutefois, le certificat de la page web doit être valide, la connexion automatique doit être activée dans Microsoft Internet Explorer et vous devez ajouter le site web de l'interface web Quarantaine de messages aux sites de l'intranet local. Tout utilisateur d’Active Directory peut accéder à l’interface web Quarantaine de messages, mais il ne verra que les éléments mis en quarantaine envoyés à son adresse e-mail (y compris les alias de l’utilisateur). L'administrateur peut afficher tous les éléments mis en quarantaine de tous les destinataires. 155 ESET Mail Security n'utilise pas IIS pour exécuter l'interface Web Quarantaine de messages. L'application utilise à la place l'API Serveur HTTP qui prend en charge SSL pour permettre les échanges de données via des connexions HTTP sécurisées. URL de l'interface web Il s'agit de l'URL où l'interface web Quarantaine des messages est disponible. Par défaut, il s’agit du nom de domaine complet du serveur avec /quarantine (par exemple, mailserver.company.com/quarantine). Vous pouvez spécifier votre propre répertoire virtuel au lieu du répertoire /quarantine par défaut. Vous pouvez modifier l'URL Web à tout moment en changeant sa valeur. La valeur web doit être spécifiée sans schéma (HTTP, HTTPS) ou numéro de port. Utilisez uniquement la forme fqdn/virtualdirectory. Vous pouvez également utiliser des caractères génériques au lieu d'un nom de domaine complet. Après avoir modifié l’URL web, vous ne pouvez pas revenir à la valeur par défaut en cliquant sur l’icône de rétablissement . Supprimez l'entrée et laissez la zone de texte vide. Redémarrez votre serveur. Lorsque ESET Mail Security démarre et constate que l'URL Web est vide, il remplit automatiquement le champ avec la valeur fqdn/quarantine par défaut. ESET Mail Security prend en charge des URL Web sous quatre formes différentes : Caractère générique fort (+/quarantine) Explicite (mydomain.com/quarantine) Caractère générique faible lié à IP (192.168.0.0/quarantine) Caractère générique faible (*/quarantine) Pour plus d'informations, voir la section Host-Specifier Categories de l'article UrlPrefix Strings (en anglais). Langue des rapports et Web Cette fonctionnalité vous permet de définir la langue de l’interface web Quarantaine de messages et des rapports de mise en quarantaine. Port HTTPS Le port HTTPS est utilisé pour l'interface web. Le numéro de port par défaut est 443. Port HTTP Port HTTP : utilisé pour libérer les messages électroniques de la quarantaine via des rapports sur les messages électroniques. Si un certificat SSL n'est pas installé sur IIS, configurez la liaison de port HTTPS. Si vous modifiez le numéro de port pour HTTPS ou HTTP, veillez à ajouter la liaison de port correspondante dans IIS. Consigner l'action de version dans les événements Lors de la libération d'éléments de la quarantaine des messages, cette action est écrite dans les fichiers journaux. Autoriser les administrateurs par défaut Par défaut, les membres du groupe d'administrateurs se voient accorder un accès administrateur à l'interface web Quarantaine de messages. Un accès administrateur n'a aucune limite et permet à l'administrateur d'afficher tous les éléments mis en quarantaine de tous les destinataires. Si vous désactivez cette option, seuls les 156 utilisateurs répertoriés dans Droits d'accès supplémentaires (voir ci-dessous) peuvent accéder à l'interface web Quarantaine des messages. Droits d'accès supplémentaires Cette fonctionnalité permet aux utilisateurs de gérer la quarantaine de messages d’autres utilisateurs. Vous pouvez nommer des administrateurs de quarantaine en accordant à un utilisateur (ou à un groupe) un accès supplémentaire à l'interface web Quarantaine de messages d'un autre utilisateur (ou de tous les membres du groupe) pour gérer les éléments mis en quarantaine. 1. Pour ouvrir la fenêtre des droits d'accès supplémentaires, cliquez sur Modifier, puis cliquez sur Ajouter. 2. Cliquez sur Sélectionner et utilisez le sélecteur d’objets Active Directory pour choisir un utilisateur ou un groupe dont les membres seront autorisés à accéder à la quarantaine de messages. 3. Sélectionnez le type d’accès dans le menu déroulant : • Administrateur : l'utilisateur dispose d'un accès administrateur à l'interface Web Quarantaine de messages. • Accès délégué : l’utilisateur (délégué) est autorisé à afficher et à gérer les messages mis en quarantaine pour un autre destinataire. Indiquez l'adresse du destinataire en saisissant l'adresse électronique d'un utilisateur dont les messages mis en quarantaine seront gérés par le délégué. Si un utilisateur possède des alias dans Active Directory, vous pouvez ajouter des droits d'accès à chaque alias, si vous le souhaitez. • Utilisateur ou groupe délégué : identique à l'accès délégué. L'utilisateur peut également utiliser le sélecteur d'objets Active Directory pour choisir un utilisateur ou un groupe dont la quarantaine des membres sera gérée. 157 4. Cliquez sur Sélectionner et choisissez un utilisateur ou un groupe cible. Utilisez le sélecteur d'objets d'Active Directory pour choisir un utilisateur ou un groupe dont la quarantaine du membre sera gérée par le délégué sélectionné à l’étape 2. Exemple d'utilisateurs à qui des droits d'accès supplémentaires ont été accordés pour l'interface Web Quarantaine de messages : Pour accéder à l'interface Web Quarantaine de messages, ouvrez votre navigateur Web et utilisez l'URL spécifiée dans la zone Configuration avancée (F5) > Serveur > Quarantaine de messages > Interface Web > URL Web. Libérer 158 Libère le ou les messages électroniques pour le ou les destinataires d'origine à l'aide du répertoire de lecture et le supprime de la quarantaine. Cliquez sur Soumettre pour confirmer l'action. Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il peut être facilement usurpé. Il utilise à la place les informations de destinataire d'origine de la commande RCPT TO:, acquises pendant la connexion SMTP. Le destinataire correct reçoit ainsi le message qui est libéré de la quarantaine. Si vous exécutez un environnement en groupe et que vous libérez un message de la quarantaine, ce dernier ne sera pas remis en quarantaine par les autres nœuds ESET Mail Security. Cela est réalisé par la synchronisation des règles entre les nœuds du groupe. Libérer vers Si vous ne souhaitez pas libérer un e-mail pour tous les destinataires, utilisez cette option pour sélectionner des destinataires spécifiques qui recevront l'e-mail libéré. Cette option n'est disponible que pour les messages comportant plusieurs destinataires. Supprimer Cette fonctionnalité supprime les éléments de la quarantaine. Cliquez sur Soumettre pour confirmer l'action. Lorsque vous cliquez sur Objet, une fenêtre indépendante s'ouvre. Elle contient des détails sur le message électronique mis en quarantaine tels que le type, le motif, l'expéditeur, la date, les pièces jointes, etc. Cliquez sur Afficher les en-têtes pour consulter l'en-tête des e-mails mis en quarantaine. 159 Si vous le souhaitez, cliquez sur Libérer ou Supprimer pour exécuter une action sur un message électronique mis en quarantaine. Vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement de l'interface web Quarantaine de messages. Sinon, cliquez sur Atteindre la vue de quarantaine pour revenir à l'écran précédent. Si vous rencontrez des problèmes pour accéder à l'interface Web Quarantaine de messages à partir de votre navigateur ou si l'erreur HTTP Error 403.4 - Forbidden (ou une erreur similaire) s'affiche, vérifiez quel type de quarantaine est sélectionné et assurez-vous que les options Quarantaine locale et Activer l'interface Web sont activées. 160 Envoyer les rapports de mise en quarantaine des messages - tâche planifiée Les rapports de mise en quarantaine des messages sont des e-mails de notification envoyés aux utilisateurs et aux administrateurs sélectionnés afin de les informer de la mise en quarantaine de leurs e-mails par ESET Mail Security. Ces rapports contiennent des liens qui vous permettent, ainsi qu'aux utilisateurs qui reçoivent les rapports de mise en quarantaine des messages, de supprimer ou de libérer (envoyer) directement les faux positifs. La diffusion de certains messages filtrés par des règles ou mis en quarantaine par la protection antivirus n'est pas autorisée pour les utilisateurs standard. Pour commencer à envoyer les rapports de mise en quarantaine, créez une tâche planifiée (Outils > Planificateur > Ajouter une tâche) et sélectionnez Envoyer les rapports de mise en quarantaine des messages ou Envoyer les rapports administrateur de mise en quarantaine des messages. Lors de la sélection des destinataires, les boîtes aux lettres liées sont incluses dans la liste des boîtes aux lettres disponibles. La tâche Envoyer les rapports de mise en quarantaine des messages / Envoyer les rapports administrateur de mise en quarantaine des messages envoie un rapport de mise en quarantaine des messages par e-mail selon la tâche planifiée spécifiée. Voici un exemple de rapport de mise en quarantaine des messages utilisateur : 161 Le rapport de mise en quarantaine des messages contient aussi un lien vers l'interface Web Quarantaine de messages pour les utilisateurs (ouvrir la visionneuse en ligne). La tâche Envoyer les rapports de mise en quarantaine des messages n'est disponible que lorsque vous utilisez l'option Quarantaine locale. Vous ne pouvez pas l'utiliser avec la boîte aux lettres de quarantaine et la quarantaine MS Exchange. Adresse de l’expéditeur Indiquez une adresse électronique à afficher en tant qu'expéditeur du rapport de mise en quarantaine des messages. Nombre maximal d'entrées dans le rapport Vous pouvez limiter le nombre d'entrées par rapport. Le nombre par défaut est défini sur 50. URL du site Web Cette URL est incluse dans le rapport de mise en quarantaine des messages afin que le destinataire puisse simplement cliquer sur le lien pour accéder à l'interface web Quarantaine de messages. Destinataires Sélectionnez les utilisateurs qui recevront les rapports de mise en quarantaine des messages. Cliquez sur Modifier pour sélectionner les boîtes aux lettres de destinataires spécifiques (les boîtes aux lettres liées sont également prises en charge). Le rapport de mise en quarantaine de messages n'est envoyé que si des messages ont été mis en quarantaine. Si la quarantaine est vide ou s'il n'y a pas de nouveaux éléments depuis le dernier rapport, le rapport ne sera pas envoyé. Lorsque le rapport de mise en quarantaine de messages est envoyé, il ne contient que les éléments nouvellement ajoutés depuis le dernier rapport (et non l’intégralité du contenu de la quarantaine). Objectif : Créer une tâche planifiée pour vous envoyer régulièrement des rapports de mise en quarantaine des messages en tant qu'administrateur ou pour informer les utilisateurs du courrier indésirable stocké dans la quarantaine des messages Accédez à Outils > Planificateur > Ajouter une tâche, puis ouvrez l'assistant. Saisissez le nom de la tâche et sélectionnez le type de tâche dans le menu déroulant. Envoyer les rapports de mise en quarantaine des messages (le rapport ne contient que le courrier indésirable d'un utilisateur spécifique) ou Envoyer les rapports administrateur de mise en quarantaine des messages (le rapport contient tous les messages, à savoir la totalité de la quarantaine), puis cliquez sur Suivant. Sélectionnez l'une des options pour définir lorsque vous souhaitez exécuter la tâche. Par exemple, Hebdomadaire à 10.00.00 le Vendredi. Indiquez l'adresse de l'expéditeur (administrateur@mondomaine.com). Cliquez sur Modifier pour ajouter des destinataires à partir de la liste Sélectionnez les boîtes aux lettres des utilisateurs qui recevront les rapports de mise en quarantaine des messages. Interface Web Quarantaine de messages pour les 162 utilisateurs Vous avez accès à une interface Web où vous pouvez gérer les messages mis en quarantaine tels que le courrier indésirable, les messages de hameçonnage ou dont l'identité a été usurpée, ainsi que les messages filtrés par des règles définies par l'administrateur. Normalement, vous pouvez uniquement afficher les messages envoyés à votre adresse e-mail et mis en quarantaine. Toutefois, si la gestion des messages mis en quarantaine d'autres utilisateurs vous a été déléguée, vous les afficherez également. Vous pouvez distinguer les messages en fonction des destinataires. Utilisez la fonction de recherche pour filtrer les messages par destinataire, par exemple. Vous pouvez choisir une action à exécuter sur un message ou plusieurs messages, telle que libérer, supprimer ou aucune action. La disponibilité des actions dépend du niveau d'accès et des paramètres de la règle. Par exemple, vous ne pourrez peut-être pas libérer ou supprimer certains types de messages. Si un accès administrateur vous a été accordé, vous verrez tous les messages mis en quarantaine pour tous les utilisateurs et pourrez effectuer n'importe quelle action. Gestion des messages en quarantaine L'interface Web Quarantaine de messages permet d'afficher ce qui a été mis en quarantaine. Si vous disposez d'un accès délégué ou du rôle d'administrateur, vous afficherez aussi les autres messages mis en quarantaine. 163 Vous pouvez modifier le nombre d'entrées par page (taille de la page) dans le coin inférieur gauche de la fenêtre. Si les messages sont trop nombreux, utilisez la fonctionnalité de recherche dans la barre supérieure pour rechercher un e-mail spécifique ou filtrez le contenu par Objet, Expéditeur ou Destinataire (l'option Destinataire est uniquement disponible pour les utilisateurs qui disposent d'un accès délégué ou administrateur). En outre, vous pouvez utiliser les cases à cocher pour afficher uniquement un message d'un certain type (courrier indésirable, logiciel malveillant, règle, hameçonnage, expéditeur usurpé). Pour libérer (remettre) un message qui a été mis en quarantaine parce qu'il a été marqué comme faux positif pendant la classification, utilisez les boutons radio sur la droite et sélectionnez Libérer. Pour supprimer un message, sélectionnez l'action Supprimer. Vous pouvez sélectionner plusieurs messages en même temps. Une fois votre sélection terminée, cliquez sur Envoyer. Les messages marqués comme devant être libérés sont ensuite remis dans votre boîte aux lettres ou dans celle du destinataire d'origine si vous disposez d'un accès délégué et libérez des messages pour d'autres utilisateurs. Les messages marqués comme devant être supprimés sont définitivement supprimés de la quarantaine. Une fois que vous avez cliqué sur Envoyer, les deux actions Libérer et Supprimer sont irréversibles. L'affichage est actualisé automatiquement lorsque vous cliquez sur Envoyer. Vous pouvez aussi l'actualiser manuellement à l'aide du bouton d'actualisation de votre navigateur Web ou en appuyant sur la touche F5 du clavier. Seuls le courrier indésirable et les messages falsifiés peuvent être libérés. La libération des messages contenant des logiciels malveillants, de hameçonnage et de type règle n’est pas autorisée. Si vous devez libérer un message de ce type, demandez de l'aide à votre administrateur. Il n'est pas nécessaire de supprimer régulièrement les messages mis en quarantaine. Ils sont supprimés automatiquement après une période spécifiée par l'administrateur. Vous devez fermer la fenêtre de votre navigateur Web pour vous déconnecter complètement de l'interface Web Quarantaine de messages. Sinon, cliquez sur Atteindre la vue de quarantaine pour revenir à l'écran précédent. Boîte aux lettres de quarantaine et quarantaine Microsoft Exchange Si vous choisissez de ne pas utiliser l'option Quarantaine locale, vous disposez de deux autres options : Boîte aux lettres de quarantaine et Quarantaine MS Exchange. Quelle que soit l'option choisie, vous devez créer un utilisateur dédié avec une boîte aux lettres (par exemple quarantaine principale@entreprise.com) qui sera utilisée pour stocker les messages électroniques mis en quarantaine. Cet utilisateur et la boîte aux lettres seront également utilisés par le gestionnaire de mise en quarantaine de messages pour afficher et gérer les éléments en quarantaine. Vous devez indiquer les détails du compte de cet utilisateur dans les Paramètres du gestionnaire de mise en quarantaine. 164 L'avantage de l'utilisation des options Boîte aux lettres de quarantaine/ Quarantaine Microsoft Exchange par rapport à l'option Quarantaine locale réside dans le fait que les éléments de quarantaine de messages sont gérés à partir d'un seul et même emplacement, indépendamment du nombre de serveurs dotés du rôle Serveur de transport Hub. Contrairement à la quarantaine locale, le courrier indésirable et les messages électroniques en quarantaine des options Boîte aux lettres de quarantaine/ Quarantaine MS Exchange sont stockés dans la ou les bases de données de boîtes aux lettres Exchange. Toute personne disposant d'un accès à la boîte aux lettres de quarantaine peut gérer les messages en quarantaine. Lorsque l'on compare Boîte aux lettres de quarantaine et Quarantaine MS Exchange, les deux options utilisent une boîte aux lettres dédiée comme mécanisme sous-jacent pour stocker les messages mis en quarantaine, mais diffèrent légèrement dans la façon dont les messages électroniques sont remis dans la boîte aux lettres. Boîte aux lettres de quarantaine et Quarantaine MS Exchange : Boîte aux lettres de quarantaine ESET Mail Security crée un courrier électronique de wrapper distinct avec des informations supplémentaires et les messages électroniques d'origine sous forme de pièce jointe et les envoie à la boîte aux lettres. Indiquez l'adresse de quarantaine des messages (par exemple quarantaine principale@entreprise.com). Il n'est pas recommandé d'utiliser le compte d'utilisateur Administrateur en tant que boîte aux lettres de quarantaine. Quarantaine MS Exchange Microsoft Exchange Server est chargé d'envoyer le courrier électronique à la boîte aux lettres. La boîte aux lettres doit être définie en tant que quarantaine au niveau de l'organisation dans Active Directory (par une commande PowerShell indiquée ci-dessous). Par défaut, cette quarantaine interne n'est pas activée dans Microsoft Exchange Server. S'il n'est pas activé, ouvrez l'environnement de ligne de commande Exchange Management Shell et entrer la commande suivante (remplacez Name@domain.com par l'adresse réelle de la boîte aux lettres dédiée) : SetContentFilterConfig -QuarantineMailbox name@domain.com ESET Mail Security utilise le système de quarantaine Microsoft Exchange (cela s'applique à Microsoft Exchange Server 2010 et version ultérieure). Dans ce cas, le mécanisme interne Exchange stocke les messages potentiellement infectés et le courrier potentiellement indésirable. Paramètres du gestionnaire de la mise en quarantaine Adresse de l'hôte Apparaît automatiquement si le serveur Exchange Server avec le rôle de serveur d'accès au client est présent localement. Si le rôle de serveur d'accès au client n'est pas présent sur le serveur sur lequel ESET Mail Security est installé mais s'il peut être détecté dans Active Directory, l'adresse de l'hôte apparaît aussi automatiquement. Si elle n'apparaît pas, vous pouvez saisir manuellement le nom de l'hôte. La détection automatique ne fonctionne pas avec le rôle de serveur de transport Edge. L'adresse IP n'est pas prise en charge. Vous devez utiliser le nom de l'hôte du serveur d'accès au client. Nom d'utilisateur Compte d'utilisateur de quarantaine dédié que vous avez créé pour stocker les messages mis en quarantaine (ou 165 compte ayant accès à cette boîte aux lettres via la délégation d'accès). Pour le rôle de serveur de transport Edge qui n'appartient pas au domaine, il est nécessaire d'utiliser l'adresse électronique complète (main_quarantine@company.com, par exemple). Mot de passe Saisissez le mot de passe de votre compte de quarantaine. Utilliser SSL Cette option doit être activée si les services Web Exchange sont définis sur Exiger SSL dans IIS. Si SSL est activé, le certificat Exchange Server doit être importé dans le système avec ESET Mail Security (si les rôles Exchange Server se trouvent sur des serveurs différents). Les paramètres des services Web Exchange figurent dans IIS, sous Sites/Default web site/EWS/SSL Settings. Désactivez l'option Utiliser SSL uniquement si les services Web Exchange sont configurés pour ne pas exiger SSL dans IIS. Ignorer les erreurs de certificat de serveur Ignore les états suivants : self-signed, wrong name in certificate, wrong usage, expired. Serveur proxy Si vous utilisez un serveur proxy entre le serveur Exchange Server avec le rôle de serveur d'accès au client et le serveur Exchange Server sur lequel ESET Mail Security est installé, indiquez les paramètres du serveur proxy. Ces paramètres sont obligatoires, car ESET Mail Security se connecte à l'API des services Web via HTTP/HTTPS. Si vous ne les indiquez pas, la boîte aux lettre de quarantaine et la quarantaine Microsoft Exchange ne fonctionneront pas. Serveur proxy Saisissez l'adresse IP ou le nom du serveur proxy utilisé. Port Saisissez le numéro de port du serveur proxy. Nom d'utilisateur, mot de passe Saisissez les informations d'identification si le serveur proxy nécessite une authentification. Détails du compte du gestionnaire de mise en quarantaine Cette boîte de dialogue s'affiche si vous n'avez pas spécifié de détails de compte (nom d'utilisateur et mot de passe) pour le Gestionnaire de mise en quarantaine. Indiquez les informations d'identification d'un utilisateur disposant d'un accès à la boîte aux lettres de quarantaine, puis cliquez sur OK. Vous pouvez également appuyer sur F5 pour accéder à Configuration avancée et atteindre Serveur > Quarantaine des messages > Paramètres du 166 gestionnaire de la mise en quarantaine. Saisissez le nom d'utilisateur et le mot de passe de la boîte aux lettres de quarantaine. Cliquez sur la case à cocher située en regard de l'option Enregistrer les informations du compte pour enregistrer les paramètres du compte pour une utilisation ultérieure lors de l'accès au gestionnaire de mise en quarantaine. Signature DKIM La signature DKIM (DomainKeys Identified Mail) est une méthode permettant de sécuriser les e-mails sortants et qui simplifie les vérifications. Cette méthode permet aux serveurs de messagerie récepteurs de faire une distinction précise entre les messages authentiques et le courrier indésirable. L'authentification DKIM fonctionne de la manière suivante : • Les en-têtes des e-mails sortants sont signés avec une clé privée DKIM. • Le serveur de messagerie récepteur vérifie l'enregistrement DNS DKIM contenant une clé publique. • Si la signature avec la clé privée dans les en-têtes de message correspond à la clé publique de l'enregistrement DNS DKIM, l'e-mail est considéré comme authentique et est remis au(x) destinataire(s). • Si la signature et la clé publique ne correspondent pas, le sort de l'e-mail dépend de la configuration du serveur de messagerie de réception (il peut avoir des règles spécifiques mises en place, par exemple ESET Mail Security utilise la condition de règle de résultat DKIM à cette fin). Pour utiliser la fonctionnalité de signature DKIM ESET Mail Security, veillez à ce que l'enregistrement DNS DKIM soit configuré pour votre domaine. Pour plus d'informations sur la création d'un enregistrement DKIM, consultez l'article Qu'est-ce qu'un enregistrement DKIM et comment le créer ?. L'article comprennent également un exemple d'enregistrement DKIM. Vous pouvez également utiliser un générateur DKIM en ligne pour générer des clés publiques et privées DKIM. Lorsque vous avez terminé, nous vous suggérons d'utiliser l'outil DKIM Record Checker ou MXToolBox pour vérifier que la clé DKIM publique est présente et que la syntaxe est correctement mise en œuvre. Configurez la signature DKIM dans ESET Mail Security en spécifiant les domaines DKIM et la liste des en-têtes d'email à signer. La signature DKIM est ajoutée aux en-têtes de message sélectionnés. Chaque signature DKIM contient des informations que les serveurs de messagerie peuvent utiliser pour vérifier l’authenticité d’un e-mail lorsqu’ils le transmettent à sa destination finale. Si vous utilisez plusieurs domaines pour les messages sortants, 167 vous pouvez configurer la signature DKIM pour chaque domaine séparément. Activez Signature DKIM sous Serveur > Intégration dans Configuration avancée. Pour la configuration de la priorité de l'agent, il est recommandé de conserver la priorité de l'agent ESET DKIM en dernière position, en bas, pour s'assurer que les en-têtes sont signés en dernier après toute modification apportée à ceux-ci par les agents précédents. Domaines DKIM Définissez les paramètres de chaque domaine pour la signature DKIM. Cliquez sur Modifier pour ouvrir la fenêtre des domaines DKIM. Cliquez sur Ajouter pour créer de Nouveaux paramètres DKIM ou sur Modifier pour modifier les paramètres existants. • Domaine : saisissez le domaine (par exemple domainname.local). • Sélecteur : spécifiez un sélecteur pour un attribut de signature DKIM. Il est ensuite enregistré dans le champ d’en-tête DKIM-Signature. • Certificat client : cliquez sur Sélectionner, puis choisissez le certificat client utilisé pour la signature DKIM. Liste des en-têtes d'e-mail à signer Cliquez sur Modifier pour ouvrir la fenêtre Liste des en-têtes d'e-mail à signer. Cliquez ensuite sur Ajouter pour ajouter de nouveaux en-têtes ou sur Modifier pour modifier les en-têtes existants dans la liste. 168 Test antivirus Pour vérifier que la protection en temps réel fonctionne et détecte les virus, utilisez un fichier de test d'eicar.com. Il s’agit d’un fichier inoffensif détectable par tous les programmes antivirus créés par la société EICAR (European Institute for Computer Antivirus Research). Pour tester la fonctionnalité antivirus, créez un fichier texte contenant la chaîne suivante : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Pour plus d’informations et pour télécharger des fichiers de test, accédez à https://www.eicar.org/download-anti-malware-testfile/ Test antispam À l’aide d’une chaîne de test GTUBE (Generic Test for Unsolicited Bulk Email), vous pouvez vérifier que la fonctionnalité antispam d’ESET Mail Security détecte le courrier indésirable entrant. Pour tester la fonctionnalité antispam, envoyez un e-mail avec la chaîne de 68 octets suivante dans le corps du message : XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X 169 Utilisez la chaîne telle quelle (une seule ligne, sans espace ni saut de ligne). Vous pouvez télécharger un e-mail adéquat au format RFC-822. Test anti-hameçonnage Pour tester la fonctionnalité anti-hameçonnage, envoyez un e-mail avec le lien (URL) suivant dans le corps ou l'objet du message : https://www.amtso.org/check-desktop-phishing-page/ Pour voir l’activité de la protection anti-hameçonnage, consultez Fichiers journaux > Journal de protection du serveur de messagerie. Ce journal contient des informations sur les e-mails et les liens d'hameçonnage trouvés. Paramètres généraux Vous pouvez configurer des paramètres généraux et des options en fonction de vos besoins. Le menu situé à gauche se compose des catégories suivantes : Computer Permet d'activer ou de désactiver la détection des applications potentiellement indésirables, suspectes et susceptibles d'être dangereuses et la protection Anti-Stealth. Spécifiez les exclusions des processus ou des fichiers et dossiers. Configurez la protection en temps réel du système de fichiers, les paramètres de ThreatSense, la protection dans le cloud (ESET LiveGrid®), les analyses des logiciels malveillants (analyse de l'ordinateur à la demande et autres options d'analyse), analyse Hyper-V et HIPS. Mettre à jour Configurez les options de mise à jour telles que les profils, l'âge du moteur de détection, les captures instantanées pour la restauration des modules, le type de mise à jour, le serveur de mise à jour personnalisé, le serveur de connexion/proxy, le miroir de mise à jour, l'accès aux fichiers de mise à jour, le serveur HTTP, les détails du compte utilisateur pour la connexion réseau, etc. Protection du réseau Gérez la protection du réseau : réseaux connus, zones, protection contre les attaques réseau (IDS), protection contre les attaques par force brute et anti-botnet. Internet et messagerie Permet de configurer le filtrage des protocoles et les exclusions (applications et adresses IP exclues), les options de filtrage du protocole SSL/TLS, la protection du client de messagerie (intégration, protocoles de messagerie, alertes et notifications), la protection de l'accès Web (protocoles web HTTP/HTTPS et gestion des adresses URL) ) et l'anti-hameçonnage du client de messagerie. Contrôle de périphérique Permet l'intégration ainsi que la configuration du contrôle de périphérique, des règles et des groupes. Outils de configuration 170 Permet de personnaliser des outils tels que ESET CMD, ESET RMM, le fournisseur WMI, les cibles à analyser ESET PROTECT, les notifications Windows Update, les fichiers journaux, le serveur proxy, les notifications par e-mail, les diagnostics, le cluster, etc. Notifications Configurez les notifications à afficher sur le Bureau ou à envoyer par e-mail pour les états d'application, les notifications sur le Bureau, les alertes interactives et le transfert. Interface utilisateur Configurez la fenêtre principale du programme, les informations de licence, la protection par mot de passe, la politique d’exécution d'eShell, etc. Computer Le moteur de détection vous protège des attaques malveillantes contre le système en analysant les échanges de fichiers et d'e-mails, ainsi que les communications Internet. Si un objet classé comme logiciel malveillant est détecté, la correction commencera. Le moteur de détection peut l'éliminer en le bloquant dans un premier temps, puis en exécutant une action comme le nettoyage, la suppression ou la mise en quarantaine. Protection en temps réel et par apprentissage machine L’apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue couche avancée de protection qui améliore la détection basée sur l’apprentissage machine. Pour en savoir plus sur ce type de protection, consultez le glossaire. Vous pouvez configurer les niveaux de protection et de rapport des catégories suivantes : Logiciel malveillant Un virus informatique est un fragment de code malveillant ajouté à des fichiers qui sont sur votre ordinateur. Le terme « virus » est souvent utilisé de manière incorrecte. Le terme « logiciel malveillant » (malware, en anglais) est plus précis. La détection des logiciels malveillants est effectuée par le module du moteur de détection associé au composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire. Applications potentiellement indésirables Une application potentiellement indésirable est un logiciel dont l'objectif n'est pas nécessairement malveillant. Il peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de l'appareil numérique, effectuer des activités non approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs flous. Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, etc. Pour en savoir plus sur ces types d'applications, consultez le glossaire. Applications potentiellement suspectes Une application suspecte est un logiciel compressé par des compresseurs ou des programmes de protection qui est souvent utilisée pour décourager l'ingénierie inverse ou pour obfusquer le contenu de l'exécutable (pour masquer la présence de logiciels malveillants par exemple) par des méthodes propriétaires de compression et/ou chiffrement. 171 Cette catégorie comprend les éléments suivants : toutes les applications inconnues compressées à l'aide d'un compresseur ou d'un programme de protection fréquemment utilisées pour compresser les logiciels malveillants. Applications potentiellement dangereuses Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles d'être utilisés à des fins malveillantes. Les applications dangereuses sont des logiciels commerciaux authentiques susceptibles d'être utilisés à des fins malveillantes. Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les outils de piratage, les programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes qui enregistrent chaque frappe au clavier de l'utilisateur). Cette option est désactivée par défaut. Pour en savoir plus sur ces types d'applications, consultez le glossaire. Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour les rapports ou la protection d'une catégorie : Rapports La création de rapports est effectuée par le moteur de détection et le composant d'apprentissage machine. Vous pouvez définir le seuil des rapports pour les adapter à votre environnement et à vos besoins. Il n'y a pas qu'une seule configuration correcte. Il est donc recommandé de surveiller le comportement dans votre environnement et de déterminer décider si une configuration différente des rapports est plus appropriée. Les rapports n'exécutent pas des actions sur les objets. Ils transmettent les informations à une couche de protection. C'est celle-ci qui prend des mesures en conséquence. Offensif Rapports configurés sur une sensibilité maximale. D’autres détections sont signalées. Alors que le paramètre Offensif peut sembler être le plus sûr, il peut souvent être trop sensible, ce qui peut être contre-productif. Le paramètre Offensif peut identifier à tort des objets comme étant malveillants. Des actions seront alors exécutées sur ces objets (selon les paramètres de protection). Équilibré Cette configuration offre un équilibre optimal entre les performances et la précision des taux de détection et le nombre d'objets signalés à tort. Prudent Rapports configurés pour réduire le nombre d'objets identifiés à tort tout en maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et correspond à un comportement malveillant. Désactivée La création de rapports n’est pas active. Aucune détection n’est effectuée, signalée ou nettoyée. Les rapports sur les logiciels malveillants ne peuvent pas être désactivés. Le paramètre Désactivée n’est donc pas disponible pour les logiciels malveillants. Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues. Protection 172 Lorsqu’un objet est signalé en fonction de la configuration ci-dessus et des résultats de l’apprentissage machine, il est bloqué. Une action est en outre exécutée (nettoyé, supprimé ou déplacé vers la quarantaine). Offensif Les détections du niveau Offensif (ou d'un niveau inférieur) signalées sont bloquées et la correction automatique (le nettoyage) est commencée. Équilibré Les détections du niveau Équilibré (ou d'un niveau inférieur) signalées sont bloquées et la correction automatique (le nettoyage) est commencée. Prudent Les détections du niveau Prudent signalées sont bloquées et la correction automatique (le nettoyage) est commencée. Désactivée La création de rapports n’est pas active. Aucune détection n’est effectuée, signalée ou nettoyée. Les rapports sur les logiciels malveillants ne peuvent pas être désactivés. Le paramètre Désactivée n’est donc pas disponible pour les logiciels malveillants. Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues. Par défaut, les paramètres ci-dessous de la protection par apprentissage machine s’appliquent également à l’analyse de l’ordinateur à la demande. Au besoin, vous pouvez configurer séparément les paramètres de la protection par apprentissage machine et à la demande. Cliquez sur l’icône de bouton bascule pour désactiver l’option Utiliser les configurations de protection en temps réel et continuez la configuration. Détection par l'apprentissage machine Le moteur de détection vous protège des attaques malveillantes contre le système en analysant les échanges de fichiers et d'e-mails, ainsi que les communications Internet. Si un objet classé comme logiciel malveillant est détecté, la correction commencera. Le moteur de détection peut l'éliminer en le bloquant dans un premier temps, puis en exécutant une action comme le nettoyage, la suppression ou la mise en quarantaine. Protection en temps réel et par apprentissage machine L’apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue couche avancée de protection qui améliore la détection basée sur l’apprentissage machine. Pour en savoir plus sur ce type de protection, consultez le glossaire. Vous pouvez configurer les niveaux de protection et de rapport des catégories suivantes : Logiciel malveillant Un virus informatique est un fragment de code malveillant ajouté à des fichiers qui sont sur votre ordinateur. Le terme « virus » est souvent utilisé de manière incorrecte. Le terme « logiciel malveillant » (malware, en anglais) est plus précis. La détection des logiciels malveillants est effectuée par le module du moteur de détection associé au composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire. Applications potentiellement indésirables Une application potentiellement indésirable est un logiciel dont l'objectif n'est pas nécessairement malveillant. Il peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de l'appareil numérique, effectuer des activités non approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs flous. Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, etc. Pour en savoir plus sur ces types d'applications, consultez le glossaire. 173 Applications potentiellement suspectes Une application suspecte est un logiciel compressé par des compresseurs ou des programmes de protection qui est souvent utilisée pour décourager l'ingénierie inverse ou pour obfusquer le contenu de l'exécutable (pour masquer la présence de logiciels malveillants par exemple) par des méthodes propriétaires de compression et/ou chiffrement. Cette catégorie comprend les éléments suivants : toutes les applications inconnues compressées à l'aide d'un compresseur ou d'un programme de protection fréquemment utilisées pour compresser les logiciels malveillants. Applications potentiellement dangereuses Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles d'être utilisés à des fins malveillantes. Les applications dangereuses sont des logiciels commerciaux authentiques susceptibles d'être utilisés à des fins malveillantes. Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les outils de piratage, les programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes qui enregistrent chaque frappe au clavier de l'utilisateur). Cette option est désactivée par défaut. Pour en savoir plus sur ces types d'applications, consultez le glossaire. Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour les rapports ou la protection d'une catégorie : Rapports La création de rapports est effectuée par le moteur de détection et le composant d'apprentissage machine. Vous pouvez définir le seuil des rapports pour les adapter à votre environnement et à vos besoins. Il n'y a pas qu'une seule configuration correcte. Il est donc recommandé de surveiller le comportement dans votre environnement et de déterminer décider si une configuration différente des rapports est plus appropriée. Les rapports n'exécutent pas des actions sur les objets. Ils transmettent les informations à une couche de protection. C'est celle-ci qui prend des mesures en conséquence. Offensif Rapports configurés sur une sensibilité maximale. D’autres détections sont signalées. Alors que le paramètre Offensif peut sembler être le plus sûr, il peut souvent être trop sensible, ce qui peut être contre-productif. Le paramètre Offensif peut identifier à tort des objets comme étant malveillants. Des actions seront alors exécutées sur ces objets (selon les paramètres de protection). Équilibré Cette configuration offre un équilibre optimal entre les performances et la précision des taux de détection et le nombre d'objets signalés à tort. Prudent Rapports configurés pour réduire le nombre d'objets identifiés à tort tout en maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et correspond à un comportement malveillant. Désactivée La création de rapports n’est pas active. Aucune détection n’est effectuée, signalée ou nettoyée. Les rapports sur les logiciels malveillants ne peuvent pas être désactivés. Le paramètre Désactivée n’est donc pas disponible pour les logiciels malveillants. Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues. Protection du transport des messages et par apprentissage machine 174 Rapports Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives). Protection Configurez les paramètres de la protection du transport des messages pour influencer l’action exécutée sur les objets signalés. Vous pouvez également configurer une règle personnalisée : Exemple d'installation minimale : Objectif : Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe protégée par mot de passe, endommagée ou chiffrée Créez la règle suivante pour la protection du transport des messages : Condition Type : Résultat de l'analyse antivirus Opération : est Paramètre : Infecté - nettoyage non effectué Action Type : Message en quarantaine Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues. Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP : server av transport mlp Déterminez les paramètres de rapports actuels pour les applications suspectes : get suspicious-reporting Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent : set suspicious-reporting cautious Protection de base de données de boîtes aux lettres et par apprentissage machine 175 Rapports Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives). Protection Configurez les paramètres de la protection de base de données de boîtes aux lettres pour influencer l’action exécutée sur les objets signalés. Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues. Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP : server av database mlp Déterminez les paramètres de rapports actuels pour les applications suspectes : get suspicious-reporting Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent : set suspicious-reporting cautious Analyse de base de données de boîtes aux lettres à la demande et protection par apprentissage machine Rapports Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives). Protection Configurez les paramètres de l'analyse de base de données de boîtes aux lettres à la demande pour influencer l’action exécutée sur les objets signalés. Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section seront perdues. Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP : server av on-demand mlp Déterminez les paramètres de rapports actuels pour les applications suspectes : get suspicious-reporting Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent : set suspicious-reporting cautious Exclusions Les exclusions permettent d'exclure des fichiers et dossiers de l'analyse. Pour que la détection des menaces s'applique bien à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela s'avère absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir le serveur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le logiciel et l'analyse (par exemple, logiciel de sauvegarde). À ne pas confondre avec les extensions exclues, les exclusions des processus et le filtre d'exclusion. 176 une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers en temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères d'exclusion de l'analyse. Sélectionnez le type d'exclusion, puis cliquez sur Modifier pour en ajouter un autre ou modifier un type existant : • Exclusions de performance : permet d'exclure des fichiers et des dossiers de l’analyse. • Exclusions de détection : permet d'exclure les objets de l’analyse à l’aide de critères spécifiques : chemin, hachage du fichier ou nom de la détection. Exclusions de performance Cette fonctionnalité permet d’exclure des fichiers et des dossiers de l’analyse. Les exclusions de performance s'avèrent utiles pour exclure de l'analyse au niveau des fichiers des applications critiques ou en cas de comportement anormal du système ou de baisse de performances lors de l'analyse. Chemin d'accès Exclut un chemin d'accès spécifique (fichier ou répertoire) pour cet ordinateur. N'utilisez pas de caractères génériques ni d'astérisque (*) au milieu d'un chemin. Pour plus d'informations, consultez cet article de la base de connaissances . Pour exclure le contenu d'un dossier, n'oubliez pas d'ajouter un astérisque (*) à la fin du chemin (C:\Tools\*). C:\Tools ne sera pas exclu, car du point de vue de l'analyseur, Tools peut être également un nom de fichier. Commentaire Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir. Exclusions de chemin utilisant un astérisque : C:\Tools\* : le chemin doit se terminer par une barre oblique inverse (*) et un astérisque (\) pour indiquer qu'il s'agit d'un dossier. Tout le contenu du dossier (fichiers et sous-dossiers) sera exclu. C:\Tools\*.* : même comportement que C:\Tools\*, ce qui signifie un fonctionnement récursif. C:\Tools\*.dat : exclura les fichiers dat du dossier Tools. C:\Tools\sg.dat : exclura ce fichier spécifique, situé sur le chemin exact. Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le masque « *.* ». Pour exclure les fichiers doc uniquement, utilisez le masque *.doc. Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant : D????.exe (Les points d'interrogation remplacent les caractères manquants/inconnus.) 177 Utilisez des variables système telles que %PROGRAMFILES% pour définir des exclusions d'analyse. Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin d'accès %PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux exclusions). Pour exclure tous les fichiers d'un sous-répertoire %HOMEDRIVE%, utilisez le chemin d'accès %HOMEDRIVE%\Excluded_Directory\*.* Les variables suivantes peuvent être utilisées au format d'exclusion de chemin : %ALLUSERSPROFILE% %COMMONPROGRAMFILES% %COMMONPROGRAMFILES(X86)% %COMSPEC% %HOMEDRIVE% %HOMEPATH% %PROGRAMFILES% %PROGRAMFILES(X86)% %SystemDrive% %SystemRoot% %WINDIR% %PUBLIC% Les variables système spécifiques à l'utilisateur (comme %TEMP% ou %USERPROFILE%) et les variables d'environnement (comme %PATH%) ne sont pas prises en charge. Exclusions de détection Il s'agit d'une autre méthode pour exclure des objets de l'analyse, à l'aide du nom de la détection, du chemin ou du hachage. Les exclusions de détection n'excluent pas les fichiers et les dossiers de l'analyse (comme le font les exclusions de performance). Elles excluent les objets uniquement lorsqu'ils sont détectés par le moteur de détection et que la liste des exclusions contient une règle appropriée. La méthode la plus simple pour créer une exclusion basée sur la détection consiste à utiliser une détection existante à partir de Fichiers journaux > Détections. Cliquez avec le bouton droit sur une entrée de journal (détection), puis cliquez sur Créer une exclusion. L'assistant d’exclusion s'ouvre alors avec des critères prédéfinis. Pour créer manuellement une exclusion de détection, cliquez sur Modifier > Ajouter (ou Modifier lors de la modification d'une exclusion existante), puis spécifiez l'un ou plusieurs des critères suivants (ils peuvent être combinés) : Chemin d'accès Exclut un chemin d'accès spécifique (fichier ou répertoire). Vous pouvez rechercher un emplacement/fichier spécifique ou saisir la chaîne manuellement. N'utilisez pas de caractères génériques ni d'astérisque (*) au milieu d'un chemin. Pour plus d'informations, consultez cet article de la base de connaissances . Pour exclure le contenu d'un dossier, n'oubliez pas d'ajouter un astérisque (*) à la fin du chemin (C:\Tools\*). C:\Tools ne sera pas exclu, car du point de vue de l'analyseur, Tools peut être également un nom de fichier. Hachage Exclut un fichier selon le hachage spécifié (SHA1), indépendamment du type, de l'emplacement, du nom ou de l'extension du fichier. 178 Nom de la détection Entrez un nom de détection (menace) valide. La création d’une exclusion basée uniquement sur le nom de la détection peut présenter un risque de sécurité. Il est conseillé de combiner le nom de la détection avec le chemin d’accès. Ce critère d’exclusion ne peut être utilisé que pour certains types de détections. Commentaire Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir. ESET PROTECT comprend la gestion des exclusions de détection qui permet de créer des exclusions de détection et des les appliquer à d’autres ordinateurs/groupes. Vous pouvez utiliser des caractères génériques pour indiquer un groupe de fichiers. Un point d'interrogation (?) représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère ou plus. Exclusions de chemin utilisant un astérisque : C:\Tools\* : le chemin doit se terminer par une barre oblique inverse (*) et un astérisque (\) pour indiquer qu'il s'agit d'un dossier. Tout le contenu du dossier (fichiers et sous-dossiers) sera exclu. C:\Tools\*.* : même comportement que C:\Tools\*, ce qui signifie un fonctionnement récursif. C:\Tools\*.dat : exclura les fichiers dat du dossier Tools. C:\Tools\sg.dat : exclura ce fichier spécifique, situé sur le chemin exact. Pour exclure une menace, entrez un nom de détection valide au format suivant : @NAME=Win32/Adware.Optmedia @NAME=Win32/TrojanDownloader.Delf.QQI @NAME=Win32/Bagle.D Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le masque « *.* ». Pour exclure les fichiers doc uniquement, utilisez le masque *.doc Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant : D????.exe (Les points d'interrogation remplacent les caractères manquants/inconnus.) 179 Utilisez des variables système telles que %PROGRAMFILES% pour définir des exclusions d'analyse. Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin d'accès %PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux exclusions). Pour exclure tous les fichiers d'un sous-répertoire %HOMEDRIVE%, utilisez le chemin d'accès %HOMEDRIVE%\Excluded_Directory\*.* Les variables suivantes peuvent être utilisées au format d'exclusion de chemin : %ALLUSERSPROFILE% %COMMONPROGRAMFILES% %COMMONPROGRAMFILES(X86)% %COMSPEC% %HOMEDRIVE% %HOMEPATH% %PROGRAMFILES% %PROGRAMFILES(X86)% %SystemDrive% %SystemRoot% %WINDIR% %PUBLIC% Les variables système spécifiques à l'utilisateur (comme %TEMP% ou %USERPROFILE%) et les variables d'environnement (comme %PATH%) ne sont pas prises en charge. Assistant Créer une exclusion L’exclusion recommandée est présélectionnée en fonction du type de détection, mais vous pouvez spécifier des critères d’exclusion pour les détections. Cliquez sur Modifier les critères : • Fichiers exacts : permet d'exclure chaque fichier par son hachage SHA-1. • Détection : spécifiez le nom de la détection pour exclure chaque fichier contenant celle-ci. • Chemin d’accès + détection : spécifiez le nom et le chemin d’accès de la détection (y compris le nom du fichier) pour exclure chaque fichier contenant une détection située à l’emplacement spécifié. Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir. Options avancées Technologie Anti-Stealth Système sophistiqué qui détecte les programmes dangereux, comme les rootkits, qui peuvent se cacher du système d'exploitation. Ces types de programmes sont généralement indétectables à l'aide de techniques standard. AMSI Permet de laisser l'interface AMSI (Antimalware Scan Interface) analyser des scripts PowerShell exécutés par l'environnement d'exécution de scripts WSH (Windows Script Host). 180 Exclusions automatiques Les développeurs d'applications et de systèmes d'exploitation serveur recommandent d'exclure des analyses des logiciels malveillants les ensembles de dossiers et fichiers de travail critiques pour la plupart de leurs produits. Les analyses des logiciels malveillants peuvent avoir une influence négative sur les performances d'un serveur, ce qui peut provoquer des conflits et même empêcher l'exécution de certaines applications sur le serveur. Les exclusions permettent de réduire le risque de conflits potentiels et d'augmenter les performances globales du serveur lors de l'exécution du logiciel anti-logiciels malveillants. Consultez la liste complète des fichiers exclus de l'analyse des produits serveur ESET. La fonctionnalité d'exclusion automatique est activée lorsque vous activez ESET Mail Security avec une licence valide et que vous effectuez la mise à jour initiale afin d’inclure les derniers modules. Les exclusions automatiques pour les fichiers de base de données Microsoft SQL Server fonctionnent pour l’emplacement par défaut. Si vous avez des bases de données Microsoft SQL Server à des emplacements différents (autres que l’emplacement par défaut), vous avez deux possibilités. Ajoutez manuellement les exclusions ou excluez automatiquement les fichiers de base de données. Pour l’exclusion automatique, ESET Mail Security nécessite un accès en lecture à l’instance Microsoft SQL Server pour rechercher les chemins d’accès utilisés pour les fichiers de base de données. Si ESET Mail Security affiche un message d’erreur en raison de droits insuffisants, résolvez-le en accordant l’autorisation Afficher n'importe quelle définition du compte NO_AUTHORITY\SYSTEM à chaque instance Microsoft SQL Server que vous exécutez sur le serveur avec ESET Mail Security. Pour plus d’informations, consultez l’article de la base de connaissances sur la façon d'ajouter l’autorisation d’obtenir des emplacements de données de base de données pour générer des exclusions automatiques pour Microsoft SQL Server. ESET Mail Security identifie les applications serveur et les fichiers du système d’exploitation serveur critiques, puis les ajoute automatiquement à la liste des exclusions. Toutes les exclusions automatiques sont activées par défaut. Vous pouvez désactiver/activer chaque exclusion d'applications serveur à l’aide de la barre du curseur afin d'obtenir le résultat suivant : • Lorsque cette option est activée, les fichiers et dossiers critiques sont ajoutés à la liste des fichiers exclus de l’analyse. À chaque redémarrage du serveur, le système vérifie automatiquement les exclusions et met à jour la liste en cas de modification du système ou des applications (lors de l’installation d’une nouvelle application serveur, par exemple). Ce paramètre garantit que les exclusions automatiques recommandées sont toujours appliquées. • Lorsque cette option est désactivée, les fichiers et dossiers exclus automatiquement sont supprimés de la liste. Les exclusions définies par l’utilisateur et saisies manuellement ne seront pas affectées. Les exclusions automatiques pour les serveurs Exchange Server reposent sur les recommandations de Microsoft. ESET Mail Security applique uniquement des exclusions de répertoire/fichier (les exclusions des processus et les exclusions des extensions de nom de fichier ne sont pas appliquées). Pour plus d'informations, consultez les articles suivants de la base de connaissances Microsoft : Update on the Exchange Server Antivirus Exclusions (article en anglais) Recommandations d'analyse antivirus pour les ordinateurs d'entreprise qui exécutent les versions de Windows prises en charge Analyse antivirus au niveau fichier sur Exchange 2010 181 Logiciel antivirus du système d'exploitation sur les serveurs Exchange (Exchange 2013) Exécution d'un logiciel antivirus Windows sur les serveurs Exchange 2016 Il existe également des exclusions de fichier de base de données Exchange pour les bases de données actives et passives du groupe de disponibilité de base de données hébergé sur le serveur local. La liste des exclusions automatiques est mise à jour toutes les 30 minutes. Si un fichier de base de données Exchange est créé, il est automatiquement exclu indépendamment de son état, qu'il soit actif ou passif. Pour identifier et générer des exclusions automatiques, ESET Mail Security utilise une application dédiée, eAutoExclusions.exe, située dans le dossier d’installation. Aucune interaction n’est nécessaire, mais vous pouvez utiliser la ligne de commande pour répertorier les applications serveur détectées sur votre système en exécutant la commande eAutoExclusions.exe -servers. Pour afficher la syntaxe complète, utilisez la commande eAutoExclusions.exe -?. Une infiltration est détectée Des infiltrations peuvent atteindre le système à partir de différents points d'entrée : pages Web, dossiers partagés, courrier électronique ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.). Comportement standard Pour illustrer de manière générale la prise en charge des infiltrations par ESET Mail Security, celles-ci peuvent être détectées à l'aide de : • Protection en temps réel du système de fichiers • Protection de l'accès Web • Protection du client de messagerie • Analyse de l’ordinateur à la demande Chaque fonction utilise le niveau de nettoyage standard et tente de nettoyer le fichier et de le déplacer en Quarantaine ou met fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans l'angle inférieur droit de l'écran. Pour plus d'informations sur les niveaux et le comportement de nettoyage, voir Nettoyage. Nettoyage et suppression Si aucune action n'est prédéfinie pour le module de protection en temps réel du système de fichiers, vous êtes invité à sélectionner une option dans une fenêtre d'avertissement. Généralement, les options Nettoyer, Supprimer et Aucune action sont disponibles. Il n'est pas recommandé de sélectionner Aucune action, car cette option laissera les fichiers infectés non nettoyés. La seule exception concerne les situations où vous êtes sûr qu'un fichier est inoffensif et qu'il a été détecté par erreur. Utilisez le nettoyage si un fichier sain a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, essayez de nettoyer le fichier infecté pour le restaurer dans son état d'origine. Si le fichier se compose uniquement de code malveillant, il est supprimé. Si un fichier infecté est « verrouillé » ou utilisé par un processus système, il n'est généralement supprimé qu'après avoir été déverrouillé (normalement, après un redémarrage du système). 182 Menaces multiples Si des fichiers infectés n'ont pas été nettoyés durant une analyse de l'ordinateur (ou si le niveau de nettoyage a été défini sur Pas de nettoyage), une fenêtre d'alerte s'affiche ; elle vous invite à sélectionner des actions pour ces fichiers. Vous pouvez également utiliser l'option Sélectionnez une action pour toutes les menaces répertoriées, choisir dans la liste une action à exécuter sur toutes les menaces et cliquer sur Terminer. Suppression de fichiers dans les archives En mode de nettoyage par défaut, l'archive complète n'est supprimée que si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent également des fichiers sains. Soyez prudent si vous choisissez un nettoyage strict ; dans ce mode, une archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. Protection en temps réel du système de fichiers La protection en temps réel du système de fichiers contrôle tous les événements liés à l'antivirus dans le système. Lorsque ces fichiers sont ouverts, créés ou exécutés sur l'ordinateur, elle les analyse pour y rechercher la présence éventuelle de code malveillant. La protection en temps réel du système de fichiers est lancée au démarrage du système. Dans certains cas particuliers (par exemple, en cas de conflit avec un autre scanner en temps réel), la protection en temps réel peut être désactivée en désélectionnant Démarrer automatiquement la protection en temps réel du système de fichiers sous Protection en temps réel du système de fichiers > Général dans Configuration avancée (F5). ESET Mail Security est compatible avec les ordinateurs utilisant l'agent Azure File Sync avec la hiérarchisation cloud activée. ESET Mail Security reconnaît les fichiers avec l'attribut FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS. Supports à analyser Par défaut, tous les types de supports font l'objet de recherches de menaces potentielles : • Disques locaux - Contrôle tous les disques durs système. • Supports amovibles - Contrôle les CD/DVD, les périphériques USB, les périphériques Bluetooth, etc. • Disques réseau - Analyse tous les lecteurs mappés. Il est recommandé d'utiliser les paramètres par défaut et de ne les modifier que dans des cas spécifiques, par exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données. Analyser quand Par défaut, tous les fichiers sont analysés lors de leur ouverture, création ou exécution. Il est recommandé de conserver ces paramètres par défaut, car ils offrent le niveau maximal de protection en temps réel pour votre ordinateur : 183 • Ouverture de fichier - L'analyse est effectuée lorsque des fichiers sont ouverts. • Création de fichier - L'analyse est effectuée lorsque des fichiers sont créés. • Exécution de fichier - L'analyse est effectuée lorsque des fichiers sont exécutés. • Accès aux appareils amovibles - L'analyse est effectuée lors de l'accès à des supports de stockage amovibles. Lorsqu'un appareil amovible contenant un secteur d'amorçage est inséré dans l'appareil, le secteur d'amorçage est immédiatement analysé. Cette option n'active pas l'analyse des fichiers des appareils amovibles. Pour l'activer, accédez à Supports à analyser > Appareils amovibles. Pour que l'accès au secteur de démarrage des appareils amovibles fonctionne correctement, conservez l'option Secteurs d'amorçage/UEFI activée dans les paramètres ThreatSense. Exclusions des processus Permet d'exclure des processus spécifiques. Vous pouvez par exemple exclure les processus de la solution de sauvegarde. Toutes les opérations sur les fichiers de ces processus exclus sont ainsi ignorées et considérées comme étant sûres, ce qui limite l'interférence avec le processus de sauvegarde. Paramètres ThreatSense La protection en temps réel du système de fichiers vérifie tous les types de supports. Elle est déclenchée par différents événements système, tels que l'accès à un fichier. La protection du système de fichiers en temps réel peut être configurée pour traiter différemment les nouveaux fichiers et les fichiers existants. Par exemple, vous pouvez configurer la protection en temps réel du système de fichiers pour surveiller plus étroitement les nouveaux fichiers. Pour garantir un impact minimal de la protection en temps réel sur le système, les fichiers déjà analysés ne sont pas analysés plusieurs fois (sauf s'ils ont été modifiés). Les fichiers sont immédiatement réanalysés après chaque mise à jour de la base du moteur de détection. Ce comportement est contrôlé à l'aide de l'optimisation intelligente. Si l'optimisation intelligente est désactivée, tous les fichiers sont analysés à chaque accès. Pour modifier ce paramètre, appuyez sur F5 pour ouvrir Configuration avancée, puis développez Computer > Protection en temps réel du système de fichiers. Cliquez ensuite sur Paramètres ThreatSense > Autre, puis sélectionnez ou désélectionnez Activer l'optimisation intelligente. Autres paramètres ThreatSense Vous pouvez modifier des options détaillées des Autres paramètres ThreatSense pour les nouveaux fichiers et les fichiers modifiés ou des Autres paramètres ThreatSense pour les fichiers exécutés. ThreatSenseParamètres ThreatSense est une technologie constituée de nombreuses méthodes complexes de détection de menaces. C'est une technologie proactive : elle fournit une protection dès le début de la propagation d'une nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler plusieurs flux de données simultanément, ce qui maximise l'efficacité et le taux de détection. La technologie ThreatSense élimine avec succès les rootkits. 184 pour plus de détails sur la vérification automatique des fichiers au démarrage, consultez la section Analyse au démarrage. Les options de configuration du moteur ThreatSense permettent de spécifier plusieurs paramètres d'analyse : • Les types de fichiers et les extensions à analyser • la combinaison de plusieurs méthodes de détection ; • Les niveaux de nettoyage, etc. Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du moteur ThreatSense dans la fenêtre Configuration avancée (F5) de chaque module utilisant la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration différente. ThreatSense est configurable individuellement pour les modules de protection suivants : • Protection du transport des messages • Protection de la base de données de boîtes aux lettres à la demande • Protection de la base de données de boîtes aux lettres • Analyse Hyper-V • Protection en temps réel du système de fichiers • Analyses des logiciels malveillants • Analyse en cas d’inactivité • Analyse au démarrage • Protection des documents • Protection du client de messagerie • Protection de l'accès Web Les paramètres ThreatSense sont spécifiquement optimisés pour chaque module et leur modification peut avoir une incidence significative sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser les fichiers exécutables compressés par un compresseur d'exécutables ou pour autoriser l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez dégrader les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est donc recommandé de ne pas modifier les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur. Objets à analyser 185 Cette section permet de définir les fichiers et les composants de l'ordinateur qui vont faire l'objet d'une analyse visant à rechercher une éventuelle infiltration. Mémoire vive Lance une analyse visant à rechercher les menaces qui attaquent la mémoire vive du système. Secteurs d'amorçage/UEFI Analyse les secteurs d'amorçage afin de détecter la présence éventuelle de virus dans le MBR (Master Boot Record, enregistrement d'amorçage principal). Dans le cas d'une machine virtuelle Hyper-V, le MBR du disque est analysé en mode lecture seule. Base de données WMI Analyse la base de données WMI complète, à la recherche de références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données. Registre système Analyse le registre système, toutes les clés et les sous-clés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données. Fichiers de courrier électronique Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML. Archives Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et de nombreuses autres extensions. Archives auto-extractibles Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés, archives, pour être décompressées. Fichiers exécutables compressés Contrairement aux archiveurs standard, ces fichiers se décompressent en mémoire. Outre les compacteurs statiques standard (UPX, yoda, ASPack, FSG, etc.), l'analyseur peut reconnaître plusieurs autres types de compacteurs via l'utilisation de l'émulation de code. Pour la fonctionnalité de protection de la base de données de boîtes aux lettres, les fichiers joints aux messages électroniques (.eml files, par exemple) sont analysés quel que soit le paramètre sous Objets à analyser. En effet, Exchange Server analyse un fichier .eml joint avant qu'il ne soit soumis pour analyse par ESET Mail Security. Le plug-in VSAPI obtient les fichiers extraits de la pièce jointe .eml au lieu de recevoir le fichier .eml d'origine. Options d'analyse Sélectionnez les méthodes à utiliser lors de la recherche d'infiltrations dans le système. Les options disponibles sont les suivantes : Heuristique La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Elle présente l'avantage d'identifier un code malveillant qui n'existait pas ou qui n'était pas connu par le moteur de détection précédent. Heuristique avancée/Signatures ADN La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la détection des vers informatiques et des chevaux de Troie, et écrit dans un langage de programmation de haut niveau. L'utilisation de la méthode heuristique avancée accroît de manière significative les possibilités de détection des menaces des produits ESET. Les signatures peuvent détecter et identifier les virus avec grande efficacité. Grâce au système de mise à jour automatique, les nouvelles signatures peuvent être disponibles dans les quelques heures qui suivent la détection des menaces. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles connaissent (ou leurs versions légèrement modifiées). Nettoyage 186 Les paramètres de nettoyage déterminent le comportement de l’analyseur lors du nettoyage des fichiers infectés. La protection en temps réel et les autres modules de protection ont les niveaux de correction (c'est-à-dire de nettoyage) ci-après. Toujours résoudre la détection Tentative de correction de la détection tout en nettoyant les objets sans aucune intervention de l’utilisateur. Les fichiers système sont une exception : ces objets sont laissés à leur emplacement d'origine si la détection ne peut pas être corrigée. Résoudre la détection si cette opération est sûre, sinon conserver Tentative de correction de la détection tout en nettoyant les objets sans aucune intervention de l’utilisateur. Si une détection ne peut pas être corrigée pour des fichiers système ou des archives (avec des fichiers on infectés et infectés), l'objet signalé est conservé à son emplacement d'origine. Résoudre la détection si cette opération est sûre, sinon demander Tentative de correction de la détection lors du nettoyage des objets. Dans certains cas, si ESET Mail Security ne peut pas effectuer d'action automatique, vous serez invité à en choisir une (supprimer ou ignorer). Ce paramètre est recommandé dans la plupart des cas. Toujours demander à l'utilisateur final Aucune action automatique ne sera effectuée par ESET Mail Security. Vous serez invité à en choisir une. Exclusions L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de l'analyse. Autre Lorsque vous configurez les paramètres du moteur ThreatSense pour l'analyse à la demande d'un ordinateur, vous disposez également des options de la section Autre suivantes : Analyser les flux de données alternatifs (ADS) Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs. Exécuter les analyses en arrière-plan avec une priorité faible Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des programmes qui exigent une grande quantité de ressources système, vous pouvez activer l’analyse en arrièreplan à faible priorité de manière à réserver des ressources pour vos applications. Consigner tous les objets Si cette option est sélectionnée, le fichier journal affiche tous les fichiers analysés, même ceux qui ne sont pas infectés. Activer l’optimisation intelligente Lorsque cette option est sélectionnée, les paramètres optimaux sont utilisés de manière à garantir le niveau d'analyse le plus efficace tout en conservant la meilleure vitesse d'analyse. Les différents modules de protection proposent une analyse intelligente en utilisant différentes méthodes et en les appliquant à des types de fichiers spécifiques. Si l'option Optimisation intelligente est désactivée, seuls les paramètres définis par l'utilisateur dans le noyau ThreatSense de ces modules particuliers sont appliqués lors de la réalisation d'une analyse. Conserver la date et l’heure du dernier accès Sélectionnez cette option pour conserver l'heure d'accès d'origine des fichiers analysés au lieu de les mise à jour (par exemple, pour les utiliser avec des systèmes de sauvegarde de données). Limites 187 La section Limites permet de spécifier la taille maximale des objets et les niveaux d'imbrication des archives à analyser : Paramètres d'objet par défaut Permet d'utiliser les paramètres par défaut (aucune limite). ESET Mail Security ignorera les paramètres personnalisés. Taille d’objet maximale Définit la taille maximale des objets à analyser. Le module de protection n'analyse que les objets d'une taille inférieure à celle spécifiée. Cette option ne doit être modifiée que par des utilisateurs expérimentés et qui ont des raisons particulières d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimité. Durée d'analyse maximale par l'objet Définit la durée maximum attribuée à l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module de protection cesse d'analyser un objet une fois ce temps écoulé, que l'analyse soit terminée ou non. Valeur par défaut : illimité. Configuration de l'analyse d'archive Pour modifier les paramètres d'analyse d'archive, désélectionnez l'option Paramètres d'analyse d'archive par défaut. Niveau d’imbrication des archives Niveau d'imbrication des archives - Spécifie la profondeur maximale d'analyse des archives. Valeur par défaut : 10. Pour les objets détectés par la protection du transport des messages, le niveau d'imbrication actuel est +1, car la pièce jointe d'archive dans un message est considérée comme étant du premier niveau. Si le niveau d'imbrication est défini sur 3, un fichier d'archive avec un niveau d'imbrication de 3 ne sera analysé sur une couche de transport que jusqu'à son niveau 2. Par conséquent, si vous souhaitez que les archives soient analysées jusqu'au niveau 3, définissez la valeur de Niveau d'imbrication des archives sur 4. Taille maximale du fichier dans l'archive Cette option permet de spécifier la taille maximale des fichiers (après extraction) à analyser contenus dans les archives. Valeur par défaut : illimité. il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune raison de le faire. Autres paramètres ThreatSense Autres paramètres ThreatSense pour les nouveaux fichiers et les fichiers modifiés La probabilité d'infection des nouveaux fichiers ou des fichiers modifiés est comparativement plus élevée que dans les fichiers existants. C'est la raison pour laquelle le programme vérifie ces fichiers avec des paramètres d'analyse supplémentaires. Outre les méthodes d'analyse basées sur les signatures, le système utilise également l'heuristique avancée qui permet de détecter les nouvelles menaces avant la mise à disposition de la mise à jour des modules. Outre les nouveaux fichiers, l'analyse porte également sur les fichiers auto-extractibles (.sfx) et les compresseurs (fichiers exécutables compressés en interne). Par défaut, les archives sont analysées jusqu'au dixième niveau d'imbrication et sont contrôlées indépendamment de leur taille réelle. Pour modifier les paramètres de l'analyse des archives, désactivez Paramètres de l'analyse des archives par défaut. Autres paramètres ThreatSense pour les fichiers exécutés Par défaut, l'heuristique avancée n'est pas utilisée lors de l'exécution des fichiers. Lorsque ce paramètre est activé, il est vivement recommandé de conserver les options Optimisation intelligente et ESET LiveGrid® activées pour limiter l'impact sur les performances système. 188 Extensions de fichier exclues de l'analyse L'extension est la partie du nom de fichier située après le point. Elle définit le type du fichier. Normalement, tous les fichiers sont analysés. Si vous devez toutefois exclure des fichiers dotés d'une extension spécifique, la configuration du paramètre ThreatSense permet d'exclure des fichiers de l'analyse selon leur extension. L'exclusion peut être utile si l'analyse de certains types de fichiers provoque un dysfonctionnement de l'application. Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter. Tapez l'extension dans le champ correspondant (tmp, par exemple), puis cliquez sur OK. Lorsque vous sélectionnez Entrer plusieurs valeurs, vous pouvez ajouter plusieurs extensions de fichier en les séparant par des lignes, des virgules ou des points-virgules (sélectionnez par exemple Point-virgule en tant que séparateur dans le menu déroulant, puis tapez edb;eml;tmp). Vous pouvez utiliser le symbole spécial ? (point d'interrogation). Le point d'interrogation symbolise n'importe quel caractère (?db, par exemple). Pour afficher l'extension (type de fichier) de tous les fichiers sous un système d'exploitation Windows, décochez Masquer les extensions des fichiers dont le type est connu dans Panneau de configuration > Options des dossiers > Affichage. Exclusions des processus La fonctionnalité Exclusions des processus permet d'exclure des processus d'application de l'analyse des logiciels malveillants lors de l'accès uniquement. En raison du rôle essentiel que jouent les serveurs dédiés (serveur d'applications, serveur de stockage, etc.), des sauvegardes régulières sont obligatoires pour garantir une reprise après incident dans les meilleurs délais. Pour accélérer les sauvegardes et garantir l'intégrité du processus et la disponibilité du service, certaines techniques, qui entrent en conflit avec la protection contre les logiciels malveillants au niveau des fichiers, sont utilisées pendant les sauvegardes. Des problèmes identiques peuvent se produire lors des migrations dynamiques de machines virtuelles. La seule solution efficace pour éviter ces situations consiste à désactiver le logiciel de protection contre les programmes malveillants. En excluant des processus spécifiques (ceux de la solution de sauvegarde, par exemple), toutes les opérations sur les fichiers de ces processus exclus sont ainsi ignorées et considérées comme étant sûres, ce qui limite l'interférence avec le processus de sauvegarde. Il est recommandé de faire preuve de prudence lors de la création des exclusions. En effet, un outil de sauvegarde qui a été exclus peut accéder à des fichiers infectés sans déclencher d'alerte. C'est d'ailleurs la raison pour laquelle des autorisations étendues ne sont permises que dans le module de protection en temps réel. Les exclusions des processus réduisent le risque de conflits potentiels et augmentent les performances des applications exclues, ce qui a un effet positif sur les performances et la stabilité globales du système d'exploitation. L'exclusion d'un processus/d'une application est l'exclusion de son fichier exécutable (.exe). Vous pouvez ajouter des fichiers exécutables à la liste des processus exclus via Configuration avancée (F5) > Computer > Protection en temps réel du système de fichiers > Général > Exclusion des processus ou en utilisant la liste des processus en cours dans le menu principal Outils > Processus en cours. Cette fonctionnalité a été conçue pour exclure les outils de sauvegarde. L'exclusion de l'outil de sauvegarde du processus d'analyse garantit non seulement la stabilité du système, mais aussi les performances de la sauvegarde, 189 car celle-ci n'est pas ralentie pendant son exécution. Cliquez sur Modifier pour ouvrir la fenêtre de gestion Exclusions des processus, dans laquelle vous pouvez ajouter des exclusions et recherchez un fichier exécutable (Backup-tool.exe, par exemple) qui sera exclu de l'analyse. Dès que le fichier .exe est ajouté aux exclusions, l'activité du processus exclu n'est pas surveillée par ESET Mail Security et aucune analyse n'est effectuée sur les opérations sur les fichiers exécutées par ce processus. Si vous n'utilisez pas la fonction de navigation lorsque vous sélectionnez un exécutable de processus, vous devez entrer manuellement un chemin d'accès complet à l'exécutable. Sinon, l'exclusion ne fonctionnera pas correctement. De plus, HIPS peut signaler des erreurs. Vous pouvez également modifier des processus existants ou les retirer des exclusions. La protection de l'accès Web ne prend pas en compte ces exclusions. Par conséquent, si vous excluez le fichier exécutable de votre navigateur Web, les fichiers téléchargés sont toujours analysés. Une infiltration peut ainsi être toujours détectée. Ce scénario est utilisé à titre d'exemple uniquement. Il n'est pas recommandé de créer des exclusions pour les navigateurs Web. Protection dans le cloud ESET LiveGrid® est un système avancé d'avertissement anticipé constitué de plusieurs technologies de cloud. Il contribue à la détection des nouvelles menaces en s'appuyant sur l'évaluation de la réputation et améliore les performances d'analyse par la mise en liste blanche. Les informations sur les nouvelles menaces sont envoyées en temps réel dans le cloud, ce qui permet aux laboratoires d'ESET de lutte contre les logiciels malveillants d'assurer en permanence une protection à jour et constante. Les utilisateurs peuvent s'informer de la réputation des processus et des fichiers en cours d'exécution depuis l'interface du programme ou à partir d'un menu contextuel comprenant des informations supplémentaires mises à disposition par ESET LiveGrid®. Lors de l'installation d'ESET Mail Security, sélectionnez l'une des options suivantes : • Vous pouvez décider de ne pas activer ESET LiveGrid®. Le logiciel ne perd aucune fonctionnalité, mais ESET Mail Security peut répondre dans certains cas plus lentement aux nouvelles menaces que la mise à jour de la base du moteur de détection. • Vous pouvez configurer ESET LiveGrid® afin d'envoyer des informations anonymes qui concernent les nouvelles menaces et indiquent l'endroit où a été détecté le code dangereux. Ce fichier peut être envoyé à ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore ses capacités à détecter les 190 menaces. Le système ESET LiveGrid® collecte sur votre ordinateur des informations concernant les nouvelles menaces détectées. Ces informations comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin et le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et des informations sur le système d'exploitation de votre ordinateur. Par défaut, ESET Mail Security est configuré pour soumettre les fichiers suspects au laboratoire d'ESET pour analyse. Les fichiers ayant une extension définie (.docx ou .xlsx par exemple) sont toujours exclus. Vous pouvez également ajouter d'autres extensions si vous ou votre entreprise souhaitez éviter d'envoyer certains fichiers. Activer le système de réputation ESET LiveGrid® (recommandé) Le système de réputation ESET LiveGrid® améliore l'efficacité des solutions de protection contre les logiciels malveillants en comparant les fichiers analysés à une base de données d'éléments mis en liste blanche et noire dans le cloud. Activer le système de commentaires ESET LiveGrid® Les données seront envoyées au ESET Research Lab pour analyse. Envoyer les rapports de défaillance et les données de diagnostic Permet d'envoyer des données telles que des rapports de défaillance, des modules ou des images mémoire. Soumettre des statistiques anonymes Autorise ESET à collecter des informations anonymes concernant les nouvelles menaces détectées (nom, date et l'heure de détection, méthode de détection et métadonnées associées), les fichiers analysés (hachage, nom du fichier, origine du fichier, télémétrie), les URL suspectes et bloquées et la version et la configuration du produit, notamment des informations sur votre système. Courriel de contact (facultative) Votre adresse électronique peut être incluse avec les fichiers suspects. Nous pourrons l'utiliser pour vous contacter si des informations complémentaires sont nécessaires pour l'analyse. Notez que vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires s'avèrent nécessaires. Soumission des échantillons 191 Soumission automatique des échantillons infectés Cette option permet de soumettre tous les échantillons infectés à ESET pour analyse afin d'améliorer les prochaines détections. • Tous les échantillons infectés • Tous les échantillons à l'exception des documents • Ne pas envoyer Soumission automatique des échantillons suspects Les échantillons suspects ressemblant à des menaces et/ou des échantillons aux caractéristiques ou au comportement inhabituels peuvent être envoyés pour analyse à ESET. • Exécutable : comprend les fichiers exécutables suivants : .exe, .dll, .sys • Archives : comprend les types de fichier d'archive suivants : .zip, .rar, .7z, .arch, .arj, .bzip2, .gzip, .ace, .arc, .cab • Scripts : comprend les types de fichier de script suivants : .bat, .cmd, .hta, .js, .vbs, .js, .ps1 • Autre : comprend les types de fichier suivants : .jar, .reg, .msi, .swf, .lnk • Courrier indésirable possible : améliore la détection globale du courrier indésirable. • Documents : Comprend des documents Microsoft Office ou des fichiers PDF avec du contenu actif. Exclusions L'option Modifier en regard d'Exclusions dans ESET LiveGrid® permet de configurer le mode de soumission des menaces au laboratoire des virus d'ESET pour analyse. Taille maximale des échantillons (Mo) Définissez la taille maximale des échantillons à analyser. ESET LiveGuard Advanced Pour activer le service ESET LiveGuard Advanced sur une machine cliente à l'aide de la console web ESET PROTECT Web Console. Dans la console web ESET PROTECT Web Console, créez une politique ou modifiez une politique existante et affectez-la aux machines sur lesquelles vous souhaitez utiliser ESET LiveGuard Advanced. Filtre d’exclusion Cette option permet d'exclure certains fichiers/dossiers de la soumission. Par exemple, il peut être utile d'exclure des fichiers qui peuvent comporter des informations confidentielles, tels que des documents ou des feuilles de calcul. Les fichiers répertoriés ne seront jamais envoyés aux laboratoires ESET pour analyse, même s'ils contiennent du code suspect. Les fichiers les plus ordinaires sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à la liste des fichiers exclus si vous le souhaitez. Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des paquets de données à envoyer. Même après la désactivation, ces paquets sont envoyés à ESET. Une fois toutes les informations actuelles envoyées, plus aucun paquet ne sera créé. 192 Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire de recherche sur les menaces pour analyse. S'il s'agit d'une application malveillante, sa détection est ajoutée à la prochaine mise à jour du module de détection. Analyses des logiciels malveillants Cette section indique les options pour sélectionner les paramètres d'analyse. Ce sélecteur de profil d'analyse s'applique à l'analyse à la demande et à l'analyse Hyper-V. Profil sélectionné Ensemble spécifique de paramètres utilisés par l'analyse à la demande. Vous pouvez utiliser l'un des profils d'analyse prédéfinis ou créer un nouveau profil. Les profils d'analyse utilisent différents paramètres du moteur ThreatSense. Liste des profils Pour créer un profil, cliquez sur Modifier. Saisissez le nom du profil et cliquez sur Ajouter. Le nouveau profil sera affiché dans le menu déroulant Profil sélectionné qui répertorie les profils d'analyse existants. Cibles à analyser Pour analyser une cible spécifique, cliquez sur Modifier, puis sélectionnez une option dans le menu déroulant ou choisissez des cibles spécifiques dans la structure (arborescence) des dossiers. Paramètres ThreatSense Permet de modifier les paramètres d'analyse pour l'analyse de l'ordinateur à la demande. Protection à la demande et par apprentissage machine La création de rapports est effectuée par le moteur de détection et le composant d’apprentissage machine. 193 Gestionnaire de profils Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis. • Analyse intelligente • Analyse via le menu contextuel • Analyse approfondie • Mon profil (s'applique à Analyse Hyper-V, Profils de mise à jour) Pour plus d'informations sur la création d'un profil d'analyse correspondant à vos besoins, reportez-vous à la section ThreatSenseConfiguration du moteur ; vous y trouverez une description de chaque paramètre de configuration de l'analyse. Le gestionnaire de profils est utilisé à trois emplacements différents dans ESET Mail Security. Analyse de l’ordinateur à la demande Vos paramètres d'analyse préférés peuvent être enregistrés pour les prochaines analyses. Il est recommandé de créer autant de profils (avec différentes cibles et méthodes, et d'autres paramètres d'analyse) que d'analyses utilisées régulièrement. Mettre à jour L'éditeur de profils permet aux utilisateurs de créer de nouveaux profils de mise à jour. Vous devez créer des profils de mise à jour personnalisés uniquement si votre ordinateur utilise plusieurs moyens de connexion aux serveurs de mise à jour. Analyse Hyper-V Créez un profil, sélectionnez Modifier en regard de Liste des profils. Le nouveau profil sera affiché dans le menu déroulant Profil sélectionné qui répertorie les profils d'analyse existants. Cibles du profil Vous pouvez spécifier les cibles qui seront analysées pour les infiltrations. Choisissez des objets (mémoire, secteurs d'amorçage et UEFI, lecteurs, fichiers et dossiers ou réseau) dans l'arborescence qui répertorie toutes les cibles disponibles sur votre système. Cliquez sur l'icône représentant un engrenage dans le coin supérieur gauche pour accéder aux menus déroulants Cibles à analyser et Profil d'analyse. Ce sélecteur de profil d'analyse s'applique à l'analyse à la demande et à l'analyse Hyper-V. Mémoire vive Secteurs d'amorçage/UEFI 194 Analyse l'ensemble des processus et des données actuellement utilisés par la mémoire vive. Analyse les secteurs d’amorçage et UEFI pour rechercher la présence de logiciels malveillants. Pour en savoir plus sur le Scanner UEFI, consultez le glossaire. Mémoire vive Analyse l'ensemble des processus et des données actuellement utilisés par la mémoire vive. Base de données WMI Analyse la totalité de la base de données WMI (Windows Management Instrumentation), tous les espaces de noms, toutes les instances de classe et toutes les propriétés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données. Registre système Analyse la totalité du registre système, toutes les clés et les sous-clés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données. Lors du nettoyage des détections, la référence est conservée dans le registre pour s’assurer qu’aucune donnée importante ne sera perdue. Pour accéder rapidement à une cible à analyser ou ajouter un dossier ou des fichiers cibles, entrez le répertoire cible dans le champ vide sous la liste de dossiers. Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies : Par les paramètres de profil Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné. Supports amovibles Permet de sélectionner les disquettes, les périphériques USB, les CD/DVD, etc. Lecteurs locaux Permet de sélectionner tous les disques durs du système. Lecteurs réseau Analyse tous les lecteurs réseau mappés. Dossiers partagés Sélectionne tous les dossiers partagés sur le serveur local. 195 Par les paramètres de profil Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné. Sélection personnalisée Efface toutes les sélections. Une fois qu'elles ont été effacées, vous pouvez effectuer votre sélection personnalisée. Pour accéder rapidement à une cible à analyser (fichier ou dossier) afin de l'inclure dans l'analyse, entrez son chemin dans le champ de texte sous l'arborescence. L'entrée de chemin respecte la casse. Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis : • Analyse intelligente • Analyse via le menu contextuel • Analyse approfondie • Analyse de l'ordinateur Ces profils d'analyse utilisent différents paramètres de moteur ThreatSense. Afficher la progression de l'analyse Si vous souhaitez effectuer uniquement une analyse du système sans actions de nettoyage supplémentaires, sélectionnez Analyse sans nettoyage. Cette option s'avère utile lorsque vous souhaitez obtenir une vue d'ensemble des éléments infectés et des informations détaillées sur ces infections, le cas échéant. Vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense > Nettoyage. Les informations de l'analyse sont enregistrées dans un journal d'analyse. Ignorer les exclusions L'option Ignorer les exclusions permet d'effectuer une analyse tout en ignorant les exclusions qui s'appliquent autrement. Cibles à analyser Si vous souhaitez uniquement analyser une cible spécifique, vous pouvez utiliser une Analyse personnalisée et sélectionner une option dans le menu déroulant Cibles à analyser ou choisir des cibles spécifiques dans la structure (arborescence) des dossiers. Le sélecteur de profil des cibles à analyser s'applique à : • Analyse à la demande • Analyse Hyper-V Pour accéder rapidement à une cible à analyser ou ajouter un dossier ou un fichier cible, entrez cet élément dans le champ vide sous la liste de dossiers. Aucune cible ne doit être sélectionnée dans la structure arborescente et le menu Cibles à analyser doit être défini sur Aucune sélection. Mémoire vive Secteurs d'amorçage/UEFI 196 Analyse l'ensemble des processus et des données actuellement utilisés par la mémoire vive. Analyse les secteurs d’amorçage et UEFI pour rechercher la présence de logiciels malveillants. Pour en savoir plus sur le Scanner UEFI, consultez le glossaire. Mémoire vive Analyse l'ensemble des processus et des données actuellement utilisés par la mémoire vive. Base de données WMI Analyse la totalité de la base de données WMI (Windows Management Instrumentation), tous les espaces de noms, toutes les instances de classe et toutes les propriétés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données. Registre système Analyse la totalité du registre système, toutes les clés et les sous-clés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données. Lors du nettoyage des détections, la référence est conservée dans le registre pour s’assurer qu’aucune donnée importante ne sera perdue. Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies. Par les paramètres de profil Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné. Supports amovibles Permet de sélectionner les disquettes, les périphériques USB, les CD/DVD, etc. Lecteurs locaux Permet de sélectionner tous les disques durs du système. Lecteurs réseau Analyse tous les lecteurs réseau mappés. Dossiers partagés Sélectionne tous les dossiers partagés sur le serveur local. Sélection personnalisée Efface toutes les sélections. Une fois qu'elles ont été effacées, vous pouvez effectuer votre sélection personnalisée. Vous pouvez choisir un profil à utiliser pour l'analyse des cibles sélectionnées dans le menu déroulant Profil d'analyse Le profil par défaut est Analyse intelligente. Le profil par défaut est Analyse intelligente. Il existe deux autres profils d'analyse prédéfinis nommés : Analyse approfondie et Analyse par le menu contextuel. Ces profils d'analyse utilisent différents paramètres de moteur ThreatSense. Fenêtre Analyse personnalisée : 197 Analyse sans nettoyage : Si vous souhaitez effectuer uniquement une analyse du système sans actions de nettoyage supplémentaires, sélectionnez Analyse sans nettoyage. Cette option s'avère utile lorsque vous souhaitez obtenir une vue d'ensemble des éléments infectés et des informations détaillées sur ces infections, le cas échéant. Vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense > Nettoyage. Les informations de l'analyse sont enregistrées dans un journal d'analyse. Ignorer les exclusions : Vous pouvez effectuer une analyse tout en ignorant les exclusions qui s'appliquent autrement. Action après l'analyse : choisissez dans le menu déroulant l'action à exécuter une fois l'analyse terminée. Impossible d'interrompre l'analyse : pour ne pas autoriser les utilisateurs sans privilège à interrompre les actions exécutées après l'analyse. L'analyse peut être suspendue par l'utilisateur pendant (min) : permet à l'utilisateur avec des privilèges limités de suspendre l'analyse de l'ordinateur pendant la durée spécifiée. Interrompre l'analyse automatiquement après (min) : pour annuler l'analyse si elle prend plus de temps que la limite de temps spécifiée. Analyser en tant qu'administrateur : Permet d'exécuter l'analyse sous le compte administrateur. Cliquez sur cette option si l'utilisateur actuel ne dispose pas des privilèges suffisants pour accéder aux fichiers à analyser. Remarquez que ce bouton n'est pas disponible si l'utilisateur actuel ne peut pas appeler d'opérations UAC en tant qu'administrateur. Analyse en cas d'inactivité Lorsque l'ordinateur n'est pas utilisé, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques locaux. La détection en cas d'inactivité s'exécute lorsque votre ordinateur se trouve dans l'un des états suivants : • Écran ou économiseur d'écran désactivé • Ordinateur verrouillé • Utilisateur déconnecté Exécuter même si l’ordinateur est alimenté par batterie Par défaut, l'analyse en cas d'inactivité n'est pas exécutée lorsque l'ordinateur (portable) fonctionne sur batterie. Activer la journalisation Permet d'enregistrer les sorties d'analyse d'ordinateur dans la section Fichiers journaux (dans la fenêtre principale du programme, cliquez sur Fichiers journaux et sélectionnez Analyse de l'ordinateur dans le menu déroulant). Paramètres ThreatSense Modifiez les paramètres d'analyse pour l'analyse en cas d'inactivité. 198 Analyse au démarrage Par défaut, la vérification automatique des fichiers au démarrage est effectuée au démarrage du système (ouverture de session de l'utilisateur) et après une mise à jour des modules. Cette analyse dépend de la configuration et des tâches du Planificateur. Les options d'analyse au démarrage font partie de la tâche planifiée Contrôle des fichiers de démarrage du système. Pour modifier les paramètres d'analyse au démarrage, accédez à Outils > Planificateur, sélectionnez l'une des tâches appelées Vérification automatique des fichiers de démarrage (ouverture de session de l'utilisateur ou mise à jour des modules), puis sur Modifier. À la dernière étape de l'assistant, vous pouvez modifier les options détaillées de Vérification des fichiers de démarrage. Vérification automatique des fichiers de démarrage Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options s'offrent à vous pour définir les paramètres suivants : Le menu déroulant Cible à analyser indique le niveau d'analyse appliqué aux fichiers exécutés au démarrage du système. Les fichiers sont organisés par ordre croissant suivant ces critères : • Tous les fichiers enregistrés (la plupart des fichiers sont analysés) • Fichiers rarement utilisés • Fichiers couramment utilisés • Fichiers fréquemment utilisés • Seulement les fichiers utilisés fréquemment (nombre minimum de fichiers analysés) Il existe en outre deux groupes de Cible à analyser : Fichiers exécutés avant la connexion de l'utilisateur Contient des fichiers situés à des emplacements accessibles sans qu'une session ait été ouverte par l'utilisateur (englobe pratiquement tous les emplacements de démarrage tels que services, objets Application d'assistance du navigateur, notification Winlogon, entrées de planificateur Windows, DLL connues, etc.). Fichiers exécutés après la connexion de l’utilisateur Contient des fichiers situés à des emplacements accessibles uniquement après l'ouverture d'une session par l'utilisateur (englobe des fichiers qui ne sont exécutés que pour un utilisateur spécifique, généralement les fichiers de HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Les listes des fichiers à analyser sont fixes pour chaque groupe précité. 199 Priorité de l'analyse Niveau de priorité servant à déterminer le démarrage d'une analyse : • Normale - lorsque le système est moyennement chargé, • Faible - lorsque le système est faiblement chargé, • La plus faible - lorsque la charge du système est la plus faible possible, • En période d'inactivité - la tâche n'est accomplie que lorsque le système n'est pas utilisé. Supports amovibles ESET Mail Security permet d'analyser automatiquement les supports amovibles (CD/DVD/USB). Ce module permet d'analyser un support inséré. Cela peut être utile si l'administrateur souhaite empêcher les utilisateurs d'utiliser des supports amovibles avec du contenu non sollicité. Lorsqu'un support amovible est inséré, la boîte de dialogue suivante s'affiche : • Analyser maintenant - Cette option déclenche l'analyse du support amovible. • Ne pas analyser : les supports amovibles ne seront pas analysés. • Configuration - Ouvre la boîte de dialogue Configuration avancée. • Toujours utiliser l'option sélectionnée - Lorsque cette option est sélectionnée, la même action sera exécutée lorsqu'un support amovible sera inséré plus tard. En outre, ESET Mail Security offre le contrôle des appareils qui permet de définir des règles d'utilisation de périphériques externes sur un ordinateur donné. 200 Pour accéder aux paramètres de l’analyse de supports amovibles, ouvrez Configuration avancée (F5) Notifications > Alertes interactives > Modifier. Si l'option Demander à l'utilisateur n'est pas sélectionnée, choisissez l’action à exécuter lorsqu'un support amovible est inséré dans l’ordinateur : • Ne pas analyser - Aucune action n'est exécutée et la fenêtre Nouveau périphérique détecté se ferme. • Analyse automatique de périphérique - Le support amovible inséré fait l'objet d'une analyse à la demande. • Analyse forcée de l’appareil : une analyse de l’ordinateur du support amovible inséré est effectuée et ne peut pas être annulée. • Afficher les options d’analyse : ouvre la section de configuration Alertes interactives. Protection des documents La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, ainsi que les fichiers téléchargés automatiquement par Internet Explorer, tels que des éléments Microsoft ActiveX. La protection des documents fournit une couche de protection supplémentaire qui vient s'ajouter à la protection en temps réel du système de fichiers. Elle peut être désactivée pour améliorer la performance des systèmes qui ne sont pas exposés à un grand nombre de documents Microsoft Office. Intégrer dans le système Cette option renforce la protection des documents Microsoft Office (elle n’est pas requise dans des conditions normales). Paramètres ThreatSense Modifiez les paramètres de la protection des documents. Cette fonctionnalité est activée par des applications utilisant Microsoft Antivirus API (par exemple Microsoft Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures). Analyse Hyper-V La version actuelle de l'analyse Hyper-V prend en charge l'analyse du système virtuel en ligne et hors ligne dans Hyper-V. Les types d'analyses pris en charge selon le système Windows Hyper-V hébergé et l'état du système virtuel sont indiqués ci-dessous : Systèmes virtuels avec la fonctionnalité Hyper-V Machine virtuelle en ligne Machine virtuelle hors ligne Windows Server 2022 Hyper-V lecture seule lecture seule/nettoyage Windows Server 2019 Hyper-V lecture seule lecture seule/nettoyage Windows Server 2016 Hyper-V lecture seule lecture seule/nettoyage Windows Server 2012 R2 Hyper-V lecture seule lecture seule/nettoyage Windows Server 2012 Hyper-V lecture seule lecture seule/nettoyage Configuration matérielle requise Le serveur ne doit pas rencontrer de problèmes de performance lorsqu'il exécute des machines virtuelles. 201 L'activité d'analyse utilise principalement des ressources processeur. Pour analyser les machines virtuelles en ligne, de l'espace disque disponible est nécessaire. L'espace disque disponible doit être au moins deux fois supérieur à l'espace utilisé par les points de contrôle/instantanés et les disques virtuels. Limites spécifiques • En raison de la nature des disques dynamiques, l'analyse des systèmes de stockage RAID, des volumes fractionnés et des disques dynamiques n'est pas prise en charge. Il est donc recommandé d'éviter, si possible, d'utiliser des disques dynamiques dans les machines virtuelles. • L'analyse est toujours effectuée sur la machine virtuelle actuelle et n'a aucun impact sur les points de contrôle ou les instantanés. • La configuration dans laquelle Hyper-V s'exécute sur un hôte dans un cluster n'est actuellement pas prise en charge par ESET Mail Security. Bien qu'ESET Security prenne en charge l'analyse des MBR des disques virtuels, seule une analyse en lecture seule est prise en charge pour ces cibles. Ce paramètre peut être modifié dans Configuration avancée (F5) > Computer > Analyse Hyper-V > Paramètres ThreatSense > Secteurs d’amorçage. La machine virtuelle à analyser est hors ligne - État Désactivée ESET Mail Security utilise Hyper-V Management pour détecter les disques virtuels et pour s'y connecter. Ainsi, ESET Mail Security accède au contenu des disques virtuels comme il le ferait pour les données et fichiers des disques génériques. La machine virtuelle à analyser est en ligne - État En cours d'exécution, En pause, Enregistrée ESET Mail Security utilise Hyper-V Management pour détecter les disques virtuels. Une connexion à ces disques n'est pas possible. ESET Mail Security créée un point de contrôle/instantané de la machine virtuelle, puis se connecte à ce dernier. Lorsque l'analyse est terminée, le point de contrôle/instantané est supprimé. Cela signifie qu'une analyse en lecture seule peut être effectuée, car la ou les machines virtuelles en cours d'exécution ne sont pas affectées par l'activité d'analyse. ESET Mail Security a besoin d'une minute pour créer un instantané ou un point de contrôle lors de l'analyse. Il serait utile d'en tenir compte lorsque vous exécutez une analyse Hyper-V sur un grand nombre de machines virtuelles. Convention d'affectation de noms Le module de l'analyse Hyper-V utilise la convention d'affectation de noms suivante : VirtualMachineName\DiskX\VolumeY Où X correspond au nombre de disques et Y au nombre de volumes. Par exemple : Computer\Disk0\Volume1 Le suffixe du nombre est ajouté en fonction de l'ordre de détection, qui est identique à l'ordre que l'on retrouve dans le Gestionnaire de disques de la machine virtuelle. Cette convention d'affectation de noms est utilisée dans le menu déroulant arborescent des cibles à analyser, dans la barre de progression et dans les fichiers journaux. 202 Exécution d'une analyse • À la demande - Cliquez sur Analyse Hyper-V pour afficher la liste des machines virtuelles et des volumes disponibles à analyser. Sélectionnez les machines virtuelles, disques ou volumes à analyser, puis cliquez sur Analyser. • Pour créer une tâche du planificateur. • Via ESET PROTECT en tant que tâche client appelée Analyse du serveur. • Une analyse Hyper-V peut être gérée et lancée via eShell. Il est possible d'exécuter simultanément plusieurs analyses Hyper-V. Lorsqu'une analyse est terminée, vous recevez une notification comportant un lien vers des fichiers journaux. Problèmes éventuels • Lors de l’exécution de l’analyse d’une machine virtuelle en ligne, un point de contrôle/instantané de cette machine virtuelle spécifique doit être créé. Lors de la création d’un point de contrôle/instantané, certaines actions génériques de la machine virtuelle peuvent être limitées ou désactivées. • Si une machine virtuelle hors ligne est analysée, elle ne peut pas être mise en ligne avant la fin de l'analyse. • Hyper-V Manager vous permet de donner un nom identique à deux machines virtuelles, ce qui peut s'avérer problématique pour distinguer les machines pendant la consultation des journaux d'analyse. Pour créer un profil, sélectionnez Modifier en regard de Liste des profils, saisissez un nom dans Nom du profil, puis cliquez sur Ajouter. Le nouveau profil sera affiché dans le menu déroulant Profil sélectionné qui répertorie les profils d'analyse existants. Le menu déroulant Cibles à analyser pour Hyper -V permet de sélectionner des cibles à analyser prédéfinies : Par les paramètres de profil Toutes les machines virtuelles Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné. Permet de sélectionner toutes les machines virtuelles. Machines virtuelles sous tension Permet de sélectionner toutes les machines virtuelles en ligne. Machines virtuelles hors tension Permet de sélectionner toutes les machines virtuelles hors ligne. Aucune sélection Efface toutes les sélections. Cliquez sur l’icône et modifiez l’intervalle de l'option Arrêtez l’analyse si elle s’exécute pendant plus de [minutes] : en le remplaçant par l'intervalle souhaité (entre 1 et 2 880 minutes). Cliquez sur Analyser pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. Une fois que toutes les analyses sont terminées, cliquez sur Fichiers journaux > Analyse Hyper-V. Protection Hyper-V et par apprentissage machine La création de rapports est effectuée par le moteur de détection et le composant d’apprentissage machine. 203 Paramètres ThreatSense Permet de modifier les paramètres d’analyse pour l’analyse Hyper-V. HIPS Le système HIPS (Host Intrusion Prevention System) protège votre système des logiciels malveillants et de toute activité non souhaitée qui pourrait avoir une incidence sur votre ordinateur. Il utilise l'analyse avancée des comportements, associée aux fonctionnalités de détection du filtre réseau qui surveille les processus en cours, les fichiers et les clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation. Les modifications apportées aux paramètres HIPS ne sont effectuées que par un utilisateur expérimenté. Une configuration incorrecte des paramètres HIPS peut en effet entraîner une instabilité du système. Activer l’auto-défense ESET Mail Security intègre la technologie Auto-défense qui empêche les logiciels malveillants d'endommager ou de désactiver la protection contre les logiciels malveillants ; vous avez la garantie que votre système est protégé en permanence. Les modifications apportées aux paramètres Activer HIPS et Activer l'auto-défense entrent en vigueur après le redémarrage du système d'exploitation Windows. La désactivation de l'intégralité du système HIPS nécessite également un redémarrage de l'ordinateur. Activer le service protégé Microsoft a introduit un concept de services protégés avec Microsoft Windows Server 2012 R2. Il protège un service contre les attaques de logiciels malveillants. Le noyau de ESET Mail Security fonctionne en tant que service protégé par défaut. Cette fonctionnalité est disponible sous Microsoft Windows Server 2012 R2 et les nouveaux systèmes d'exploitation serveur. Active moteur d'analyse de mémoire avancé Fonctionne avec le bloqueur d'exploit afin de renforcer la protection contre les logiciels malveillants qui ne sont pas détectés par les produits anti-logiciels malveillants grâce à l'obscurcissement ou au chiffrement. Le scanner de mémoire avancé est désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire. Activer le bloqueur d'exploit Est conçu pour renforcer les types d'applications connues pour être très vulnérables aux exploits (navigateurs, lecteurs de fichiers PDF, clients de messagerie et composants Microsoft Office). Le bloqueur d'exploit est désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire. Activer le bouclier anti-ransomwares Pour utiliser cette fonctionnalité, activez HIPS et ESET Live Grid. Lisez des informations supplémentaires sur les ransomwares dans le glossaire. Mode de filtrage Vous pouvez choisir l'un des modes de filtrage suivants : 204 • Mode automatique - Les opérations sont autorisées, à l'exception de celles bloquées par des règles prédéfinies qui protègent votre système. Tout est autorisé, à l'exception des actions refusées par la règle. • Mode intelligent - L'utilisateur n'est averti que lors d'événements très suspects. • Mode interactif - L'utilisateur est invité à confirmer les opérations. Autoriser/refuser l'accès, Créer une règle, Mémoriser temporairement cette action. • Mode basé sur des politiques - Les opérations sont bloquées. Accepte uniquement les règles utilisateur/prédéfinies. • Mode d'apprentissage - Les opérations sont autorisées et une règle est créée après chaque opération. Les règles créées dans ce mode peuvent être affichées dans l'éditeur de règles, mais leur niveau de priorité est inférieur à celui des règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez l'option Mode d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Le mode d'apprentissage prend fin le devient disponible. Sélectionnez la durée du mode d'apprentissage. La durée maximale est de 14 jours. Lorsque la durée spécifiée est arrivée à son terme, vous êtes invité à modifier les règles créées par HIPS en mode d'apprentissage. Vous pouvez également choisir un autre mode de filtrage ou continuer à utiliser le mode d'apprentissage. Règles Les règles déterminent les applications qui auront accès aux fichiers, parties du Registre ou autres applications. Le système HIPS surveille les événements dans le système d'exploitation et réagit en fonction de règles qui sont semblables à celles utilisées par le pare-feu personnel. Cliquez sur Modifier pour ouvrir la fenêtre de gestion des règles HIPS. Si l'action par défaut d'une règle est définie sur Demander, une boîte de dialogue apparaît à chaque déclenchement de la règle. Vous pouvez choisir de refuser ou d'autoriser l'opération. Si vous ne choisissez aucune action dans la période donnée, une nouvelle action est sélectionnée en fonction des règles. La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS, puis de définir les conditions dans lesquelles autoriser ou bloquer cette action. Cliquez sur Détails pour afficher des informations supplémentaires. Les règles créées de cette manière sont équivalentes aux règles créées manuellement ; la règle créée à partir d'une boîte de dialogue peut être moins spécifique que celle qui a déclenché l'affichage de la boîte de dialogue. En d'autres termes, après la création d'une règle, la même opération peut déclencher la même fenêtre. 205 Demander à chaque fois Une boîte de dialogue apparaît à chaque déclenchement de la règle. Vous pouvez choisir de refuser ou d'autoriser l'opération. Mémoriser jusqu'à la fermeture de l'application Choisir une action Refuser ou Autoriser crée une règle HIPS temporaire qui sera utilisée jusqu'à la fermeture de l'application en question. Si vous modifiez le mode de filtrage, modifiez les règles ou que le module HIPS est mis à jour, et si vous redémarrez le système, les règles temporaires sont supprimées. Créer une règle et l'enregistrer de manière permanente Créez une nouvelle règle HIPS. Vous pouvez la modifier ultérieurement dans la section Gestion des règles HIPS. Paramètres de règle HIPS Cette fenêtre vous donne une vue d'ensemble des règles HIPS existantes. Règle Activé(e) 206 Nom de règle défini par l'utilisateur ou sélectionné automatiquement. Désactivez ce commutateur si vous souhaitez conserver la règle dans la liste, mais ne souhaitez pas l'utiliser. Règle Nom de règle défini par l'utilisateur ou sélectionné automatiquement. Action La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont remplies. Sources La règle est utilisée uniquement si l'événement est déclenché par une ou des applications. Cibles La règle est utilisée uniquement si l'opération est liée à un fichier, une application ou une entrée de registre spécifique. Gravité journalisée Si vous activez cette option, les informations sur cette règle sont écrites dans lejournal HIPS. Notifier Une petite fenêtre apparaît dans la zone de notification Windows si un événement est déclenché. Créez une règle, cliquez sur Ajouter de nouvelles règles HIPS ou sur Modifier les entrées sélectionnées. Nom de la règle Nom de règle défini par l'utilisateur ou sélectionné automatiquement. Action La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont remplies. Opérations affectant Vous devez sélectionner le type d'opération auquel s'applique la règle. La règle est utilisée uniquement pour ce type d'opération et pour la cible sélectionnée. La règle est composée d'éléments qui décrivent les conditions déclenchant cette règle. Applications source La règle est utilisée uniquement si l'événement est déclenché par ces applications. Dans le menu déroulant, sélectionnez des applications spécifiques, puis cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications. Le fonctionnement de certaines règles prédéfinies par HIPS ne peut pas être bloqué et est autorisé par défaut. En outre, les opérations système ne sont pas toutes surveillées par le système HIPS. Ce système surveille les opérations qui peuvent être considérées comme dangereuses. Description des opérations importantes : Opérations sur le fichier Supprimer le fichier L'application demande l'autorisation de supprimer le fichier cible. Écrire dans le fichier L'application demande l'autorisation d'écrire dans le fichier cible. Accès direct au disque L'application essaie de lire des informations du disque ou d'écrire sur le disque d'une manière inhabituelle, non conforme aux procédures Windows classiques. Les fichiers peuvent être modifiés sans que les règles correspondantes soient appliquées. Cette opération peut provenir d'un logiciel malveillant qui essaie de contourner la détection, d'un logiciel de sauvegarde qui tente de faire une copie exacte d'un disque ou encore d'un gestionnaire de partition qui essaie de réorganiser les volumes du disque. Installer l'élément hook global Fait référence à l'appel de la fonction SetWindowsHookEx depuis la bibliothèque MSDN. 207 Supprimer le fichier Charger le pilote L'application demande l'autorisation de supprimer le fichier cible. Installation et chargement de pilotes dans le système. La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Fichiers spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications. Opérations sur l'application Déboguer une autre application Ajout d'un système de débogage au processus. Lors du débogage d'une application, de nombreux détails concernant son comportement peuvent être affichés et modifiés. Vous pouvez également accéder à ses données. Intercepter les événements d'une autre application L'application source essaie de récupérer les événements destinés à une application spécifique (il peut s'agir par exemple d'un programme keylogger d'enregistrement des touches qui essaie de capturer les événements d'un navigateur). Terminer/Mettre en attente une autre application Met un processus en attente, le reprend ou l'arrête (accessible directement depuis l'explorateur des processus ou la fenêtre des processus). Démarrer une nouvelle application Démarrage de nouvelles applications et de nouveaux processus. Modifier l'état d'une autre application L'application source essaie d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application importante : vous la configurez en tant qu'application cible dans une règle qui bloque l'utilisation de cette opération. La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Applications spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications. Opérations sur le Registre Modifier les paramètres de démarrage Toute modification apportée aux paramètres qui définissent les applications à exécuter au démarrage de Windows. Elles peuvent notamment être recherchées à l'aide de la clé Run du registre Windows. Supprimer du registre Suppression d'une clé de registre ou de sa valeur. Renommer la clé de registre Changement du nom des clés de registre. Modifier le registre Création de nouvelles valeurs de clés de registre, modification de valeurs existantes, déplacement de données dans l'arborescence de base de données ou configuration des droits d'utilisateur ou de groupe pour les clés de registre. La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Entrées spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications. Vous pouvez utiliser des caractères génériques qui peuvent présenter des restrictions lors le la saisie d'un dossier. Au lieu d'utiliser une clé particulière, vous pouvez utiliser un astérisque (*) dans les chemins de registre. Par exemple HKEY_USERS\*\software can mean HKEY_USER\.default\software, mais pas HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* n'est pas un chemin valide de clé de registre. Un chemin de clé de registre contenant le symbole \* signifie « ce chemin ou tout autre niveau après ce symbole ». C'est le seul moyen d'utiliser des caractères génériques pour les cibles séjour. L'évaluation porte tout d'abord sur la partie spécifique du chemin, puis sur celle figurant après le symbole (*). 208 Une notification peut s'afficher si vous créez une règle trop générique. Configurations avancées de HIPS Les options suivantes sont utiles au débogage et à l'analyse d'un comportement d'application : Pilotes dont le chargement est toujours autorisé Le chargement des pilotes sélectionnés est toujours autorisé, quel que soit le mode de filtrage configuré, excepté en cas de blocage explicite par une règle utilisateur. Le chargement des pilotes répertoriés dans cette liste est toujours autorisé quel que soit le mode de filtrage HIPS, sauf s'il est bloqué explicitement par une règle de l'utilisateur. Vous pouvez ajouter un nouveau pilote, modifier un pilote sélectionné dans la liste ou le retirer. cliquez sur Réinitialiser si vous ne souhaitez pas que les pilotes que vous avez ajoutés manuellement soient inclus. Cette commande peut s'avérer utile lorsque vous avez ajouté plusieurs pilotes et que vous ne pouvez pas les supprimer manuellement de la liste. Consigner toutes les connexions bloquées Toutes les opérations bloquées sont inscrites dans le journal HIPS. N'utilisez cette fonctionnalité qu'en cas de dépannage ou à la demande de l'assistance technique d'ESET, car elle risque de générer un fichier journal volumineux et de ralentir le système. Avertir en cas de changements dans les applications de démarrage Affiche une notification sur le Bureau chaque fois qu'une application est ajoutée au démarrage du système ou en est supprimée. Configuration des mises à jour Cette section fournit des informations sur la source des mises à jour telles que les serveurs de mise à jour utilisés et les données d'authentification pour ces serveurs. Il est essentiel de remplir tous les paramètres de mise à jour avec précision afin de télécharger correctement les mises à jour. Si vous utilisez un pare-feu, vérifiez que le programme ESET est autorisé à accéder à Internet (communication HTTP, par exemple). Général 209 Sélectionner le profil de mise à jour par défaut Sélectionnez un profil existant ou créez-en un qui sera appliqué par défaut pour les mises à jour. Changement automatique de profil Attribuez un profil de mise à jour en fonction des réseaux connus dans le parefeu. Le changement automatique de profil permet de changer le profil d’un réseau spécifique en fonction de la configuration du planificateur. Pour plus d’informations, consultez les pages d’aide. Configurer les notifications de mise à jour Cliquez sur Modifier pour sélectionner les notifications d’application qui doivent s’afficher. Vous pouvez choisir si les notifications doivent s'afficher sur un bureau ou être transférées vers une adresse e-mail. Effacer le cache de mise à jour En cas de problème de mise à jour, cliquez sur Effacer pour effacer le cache de mise à jour temporaire. Mises à jour du produit Mises à jour automatiques Option activée par défaut. Utilisez le curseur pour désactiver les mises à jour automatiques si vous devez arrêter temporairement la mise à jour d'ESET Mail Security. Il est recommandé de garder ce paramètre activé pour s’assurer qu'ESET Mail Security dispose des dernières mises à jour des composants du programme (PCU), et des micro-mises à jour des composants du programme (μPCU) appliquées lorsqu'une nouvelle mise à jour est disponible. Les mises à jour sont appliquées après le prochain redémarrage du serveur. Alertes de moteur de détection obsolètes Définir automatiquement l'âge maximal du moteur de détection / Âge maximal du moteur de détection (jours) Utilisez le curseur pour désactiver l'âge automatique du moteur de détection et définir manuellement le délai maximum (en jours) après lequel l'âge du moteur de détection sera signalé comme périmé. La valeur par défaut est de 7. Restauration du module Si vous pensez qu'une mise à jour du moteur de détection ou des modules du programme est instable ou endommagée, vous pouvez restaurer la version précédente et désactiver les mises à jour pendant une période donnée. Il est également possible d'activer les mises à jour précédemment désactivées si vous les avez reportées pour une durée indéterminée. ESET Mail Security enregistre des instantanés de moteur de détection et de modules du programme à utiliser avec la fonctionnalité de restauration. Pour permettre la création d'instantanés de moteur de détection, conservez l'option Créer des instantanés des modules activés. Nombre d’instantanés stockés localement Définit le nombre d'instantanés précédents de module qui sont stockés. Restaurer les modules précédents Cliquez sur Restaurer pour rétablir la version précédente des modules du Profils programme et désactiver temporairement les mises à jour. Pour créer un profil de mise à jour personnalisé, sélectionnez Modifier en regard de Liste des profils. Saisissez un nom dans Nom du profil, puis cliquez sur Ajouter. Sélectionnez le profil à modifier et changez les paramètres pour les types des mises à jour de module ou créez un miroir de mise à jour. Mises à jour 210 Sélectionnez le type de mise à jour à utiliser dans le menu déroulant : • Mise à jour régulière - Par défaut, l'option Type de mise à jour est définie sur Mise à jour régulière pour que les fichiers de mise à jour soient téléchargés automatiquement du serveur ESET lorsque le trafic réseau est le moins surchargé. • Mise à jour préliminaire - Ces mises à jour ont subi des tests internes poussés et seront disponibles très prochainement. Vous pouvez activer ces versions bêta afin d'accéder aux dernières méthodes de détection et aux derniers correctifs. Toutefois, ces versions ne sont peut-être pas suffisamment stables pour être utilisées en permanence et NE DOIVENT PAS être utilisées sur des serveurs de production et des stations de travail qui exigent les plus grandes disponibilité et stabilité. • Mise à jour retardée : permet d'effectuer la mise à jour à partir de serveurs de mise à jour spéciaux fournissant les nouvelles versions de bases de virus après un délai d'au moins X heures (bases testées dans un environnement réel et donc considérées comme stables). Activer l'optimisation de la diffusion des mises à jour Lorsque cette option est activée, les fichiers de mise à jour sont téléchargés à partir d'un CDN. La désactivation de ce paramètre peut entraîner des interruptions et des ralentissements de téléchargement lorsque les serveurs de mise à jour ESET dédiés sont surchargés. La désactivation est utile lorsqu'un pare-feu est limité à l'accès aux adresses IP du serveur de mise à jour ESET uniquement ou qu'une connexion aux services CDN ne fonctionne pas. Demander avant de télécharger une mise à jour Lorsqu'une nouvelle mise à jour est disponible, le système vous demande si vous souhaitez la télécharger. Demander si un fichier de mise à jour a une taille supérieure à (Ko) Si la taille du fichier de mise à jour est supérieure à la valeur spécifiée dans le champ, une notification s'affiche. Mises à jour des modules Les mises à jour des modules sont définies par défaut sur Choisir automatiquement. Le serveur de mise à jour est l'emplacement où sont stockées les mises à jour. Si vous utilisez un serveur ESET, il est recommandé de conserver l'option par défaut. Si un serveur local HTTP, appelé également miroir, est utilisé, le serveur de mise à jour doit être configuré comme suit : http://computer_name_or_its_IP_address:2221 Si vous utilisez un serveur local HTTP avec SSL, le serveur de mise à jour doit être configuré comme suit : https://computer_name_or_its_IP_address:2221 Si vous utilisez un dossier partagé local, le serveur de mise à jour doit être configuré comme suit : \\computer_name_or_its_IP_address\shared_folder Permettre des mises à jour plus fréquentes des signatures de détection Le moteur de détection sera mis à jour à un intervalle plus fréquent. La désactivation de cette option peut avoir un impact négatif sur le taux de détection. Autoriser les mises à jour des modules à partir des supports amovibles Permet d'effectuer une mise à jour à partir de supports amovibles s'ils contiennent un miroir créé. Lorsque l'option Automatique est sélectionnée, les mises à jour s'exécutent en arrière-plan. Si vous souhaitez afficher les boîtes de dialogue de mise à jour, sélectionnez l'option Toujours demander. Mises à jour du produit La suspension des mises à jour automatiques pour des profils de mise à jour spécifiques désactive temporairement les mises à jour automatiques du produit, par exemple lorsque vous êtes connecté à Internet en utilisant d'autres réseaux ou des connexions limitées. Conservez ce paramètre activé pour bénéficier d'un accès permanent aux dernières fonctionnalités et de la meilleure protection possible. Dans certains cas, un redémarrage du serveur peut être nécessaire pour que les mises à jour aient lieu. Options de connexion 211 Serveur proxy Pour accéder aux options de configuration du serveur proxy pour un profil de mise à jour donné. Cliquez sur l'onglet Mode proxyet sélectionnez l'une des trois options suivantes : • Ne pas utiliser de serveur proxy : aucun serveur proxy ne sera utilisé par ESET Mail Security lors des mises à jour. • Utiliser les paramètres globaux de serveur proxy : la configuration de serveur proxy indiquée dans Configuration avancée (F5) > Outils > Serveur proxy sera utilisée. • Connexion via un serveur proxy : utilisez cette option si : Un serveur proxy doit être utilisé pour mettre à jour ESET Mail Security et ce serveur doit être différent de celui indiqué dans les paramètres globaux (Outils > Serveur proxy). Si c'est le cas, des paramètres supplémentaires doivent être spécifiés : l'adresse du serveur proxy, le port de communication (3128 par défaut), ainsi que le nom d'utilisateur et le mot de passe du serveur proxy si nécessaire. Les paramètres de serveur proxy n'ont pas été définis globalement, mais ESET Mail Security se connecte à un serveur proxy pour les mises à jour. Votre ordinateur est connecté à Internet par l'intermédiaire d'un serveur proxy. Les paramètres sont pris d'Internet Explorer pendant l'installation du programme, mais s'ils sont modifiés par la suite (par exemple, en cas de changement de fournisseur de services Internet), vérifiez que les paramètres du proxy HTTP figurant dans la fenêtre sont corrects. Dans le cas contraire, le programme ne pourra pas se connecter aux serveurs de mise à jour. Les données d'authentification telles que Nom d'utilisateur et Mot de passe permettent d'accéder au serveur proxy. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis. Notez que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur d'ESET Mail Security et ne doivent être remplis que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet via un serveur proxy. Utiliser une connexion directe si le serveur proxy n'est pas disponible Si un produit est configuré pour utiliser le proxy HTTP et que ce dernier est injoignable, le produit ignore le proxy et communique directement avec les serveurs ESET. Partages Windows Lors d'une mise à jour depuis un serveur local exécutant Windows, une authentification est par défaut exigée pour chaque connexion réseau. Se connecter au reseau local en tant que Pour configurer votre compte, sélectionnez l'une des options suivantes : • Compte système (par défaut) : permet d'utiliser le compte système pour l'authentification. En règle générale, aucun traitement d'authentification n'a lieu si les données d'authentification ne sont pas fournies dans la section de configuration des mises à jour. • Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à l'aide du compte de l'utilisateur connecté. L'inconvénient de cette solution est que le programme ne peut pas se connecter au serveur de mise à jour si aucun utilisateur n'est connecté. • Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour l'authentification. Utilisez cette méthode en cas d'échec de la connexion avec le compte système. Notez que le compte de l'utilisateur spécifié doit avoir accès au dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme serait incapable d'établir une connexion ou de télécharger les mises à jour. Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se produire en cas de changement de l'identité du programme pour l'utilisateur souhaité. C'est pour cette raison que nous recommandons d'entrer les données d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section de configuration des mises à jour, les données d'authentification doivent être entrées comme suit : domain_name\user (dans le cas d'un groupe de travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification. Se déconnecter du serveur après la mise à jour Permet de forcer une déconnexion si la connexion au serveur reste active, même après le téléchargement des Miroir de mise à jour mises à jour. 212 Les options de configuration du serveur Miroir local se trouvent dans Configuration avancée (F5), sous l'onglet Mise à jour > Profils > Miroir de mise à jour. Restauration des mises à jour Si vous pensez qu’une nouvelle mise à jour du moteur de détection ou des modules du programme peut être instable ou endommagée, vous pouvez revenir à la version précédente et désactiver temporairement les mises à jour. Vous pouvez également activer des mises à jour précédemment désactivées si vous les aviez reportées indéfiniment. ESET Mail Security enregistre des instantanés du moteur de détection et des modules du programme pour les utiliser avec la fonctionnalité de restauration. Pour créer des instantanés de la base de données des virus, conservez l'option Créer des instantanés des modules activée. Lorsque l'option Créer des instantanés des modules est activée, le premier instantané est créé pendant la première mise à jour. Le prochain est créé après 48 heures. Le champ Nombre d’instantanés stockés localement définit le nombre d’instantanés du moteur de détection stockés. Lorsque le nombre maximal d’instantanés est atteint (trois, par exemple), l’instantané le plus ancien est remplacé par un nouvel instantané toutes les 48 heures. ESET Mail Security restaure l'instantané le plus ancien des versions de mise à jour du moteur de détection et du module du programme. Si vous cliquez sur Restaurer, vous devez sélectionner une durée dans le menu déroulant qui représente la période durant laquelle les mises à jour de la base du moteur de détection et celles des modules du programme sont suspendues. 213 Sélectionnez Jusqu'à son retrait pour différer indéfiniment les mises à jour régulières jusqu'à ce que vous restauriez manuellement cette fonctionnalité. Comme elle représente un risque potentiel pour la sécurité, nous vous recommandons de ne pas sélectionner cette option. Si une restauration est effectuée, le bouton Restaurer se transforme en Autoriser les mises à jour. Les mises à jour ne sont pas autorisées pendant l’intervalle de temps sélectionné dans le menu déroulant Suspendre les mises à jour. La base du moteur de détection revient à la version la plus ancienne disponible, stockée sous forme d'instantané dans le système de fichiers de l'ordinateur local. Tâche planifiée : mise à jour Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer deux profils de mise à jour distincts. Si le premier ne permet pas de télécharger les fichiers de mise à jour, le programme bascule automatiquement vers le second. Ce procédé est notamment adapté aux portables dont la mise à jour s'effectue normalement depuis un serveur de mise à jour du réseau local, mais dont les propriétaires se connectent souvent à Internet à partir d'autres réseaux. Par conséquent, en cas d'échec du premier profil, le second télécharge automatiquement les fichiers de mise à jour à partir des serveurs de mise à jour d'ESET. 214 La procédure décrite ci-après vous permet d'utiliser une tâche pour modifier une mise à jour automatique régulière existante. 1. Dans l'écran principal Planificateur, sélectionnez la tâche de mise à jour portant le nom Mise à jour automatique régulière et cliquez sur Modifier pour ouvrir l'assistant de configuration. 2. Définissez la tâche du planificateur à exécuter et sélectionnez l'une des options de fréquence suivantes à définir lorsque vous souhaitez exécuter la tâche planifiée : 3. Si vous souhaitez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (système UPS, par exemple), cliquez sur le commutateur situé en regard de l'option Ignorer la tâche en cas d’alimentation par batterie. 4. Sélectionnez le profil de mise à jour à utiliser pour la mise à jour. Sélectionnez une action à effectuer en cas de non-exécution de la tâche planifiée, quel qu'en soit le motif. 5. Cliquez sur Terminer pour appliquer la tâche. Miroir de mise à jour ESET Mail Security permet de créer des copies des fichiers de mises à jour afin de les utiliser pour la mise à jour d'autres postes de travail du réseau. L'utilisation d'un miroir, copie des fichiers de mise à jour dans l'environnement du réseau local, s'avère pratique puisque les fichiers de mise à jour doivent être téléchargés du serveur de mise à jour du fournisseur de manière répétée, pour toutes les stations de travail. Les mises à jour sont téléchargées sur le serveur miroir local puis distribuées à toutes les stations de travail pour éviter tout risque de surcharge du réseau. La mise à jour de postes de travail à partir d'un miroir optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet. Pour minimiser le trafic Internet sur les réseaux sur lesquels ESET PROTECT est utilisé pour gérer de nombreux clients, il est recommandé d'utiliser ESET Bridge plutôt que de configurer un client comme miroir. ESET Bridge peut être installé avec ESET PROTECT à l’aide du programme d’installation tout-en-un ou en tant que composant autonome. Pour plus d’informations et pour connaître les différences entre ESET Bridge, Apache HTTP Proxy, Mirror Tool et la connectivité directe, consultez la page d'aide en ligne ESET PROTECT. Miroir de mise à jour Créer un miroir de mise à jour Active les options de configuration du miroir. Accéder aux fichiers de mise à jour Activer le serveur HTTP Si cette option est activée, les fichiers de mise à jour sont accessibles via un serveur HTTP. Aucune identifiant n'est requis. Dossier de stockage Cliquez sur Modifier pour accéder à un dossier sur l'ordinateur local ou à un dossier réseau partagé. Si une autorisation pour le dossier spécifié est requise, les données d'authentification doivent être entrées dans les champs Nom d'utilisateur et Mot de passe. Cliquez sur Effacer si vous souhaitez changer un dossier par défaut défini pour stocker des fichiers en miroir C:\ProgramData\ESET\ESET Security\mirror. Serveur HTTP 215 Port du serveur Le port par défaut est 2221. Changez cette valeur si vous utilisez un autre port. Authentification Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options disponibles sont les suivantes : Aucune, Général et NTLM. • Sélectionnez Général pour utiliser le codage base64 avec l'authentification de base du nom d'utilisateur et mot de passe. • L'option NTLM fournit un codage utilisant une méthode de codage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour est utilisé pour l'authentification. • L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification. L'accès aux fichiers des mises à jour au moyen du serveur HTTP exige que le dossier miroir soit sur le même ordinateur que l'instance ESET Mail Security qui l'a créé. SSL pour serveur HTTP Ajoutez votre fichier de chaîne de certificat ou générez un certificat signé automatiquement si vous souhaitez exécuter le serveur HTTP avec la prise en charge HTTPS (SSL). Les types de certificats suivants sont disponibles : PEM, PFX et ASN. Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est pratiquement impossible d'identifier des transferts de données et des informations de connexion lorsque ce protocole est utilisé. L'option Type de clé privée est définie sur Intégrée par défaut (ainsi, l'option Fichier de clé privée est désactivée par défaut). Ce qui signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné. Options de connexion Partages Windows Lors d'une mise à jour depuis un serveur local exécutant Windows, une authentification est par défaut exigée pour chaque connexion réseau. Se connecter au reseau local en tant que Pour configurer votre compte, sélectionnez l'une des options suivantes : • Compte système (par défaut) : permet d'utiliser le compte système pour l'authentification. Normalement, aucun traitement d'authentification n'a lieu si les données d'authentification ne sont pas fournies dans la section de configuration des mises à jour. • Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à l'aide du compte de l'utilisateur connecté. L'inconvénient de cette solution est que le programme ne peut pas se connecter au serveur de mise à jour si aucun utilisateur n'est connecté. • Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour l'authentification. Utilisez cette méthode en cas d'échec de la connexion avec le compte système. Notez que le compte de l'utilisateur spécifié doit avoir accès au dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme ne pourrait pas établir de connexion et télécharger les mises à jour. Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se produire en cas de changement de l'identité du programme pour l'utilisateur souhaité. C'est pour cette raison que nous recommandons d'entrer les données d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section de configuration des mises à jour, les données d'authentification doivent être entrées comme suit : domain_name\user (dans le cas d'un groupe de travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification. Se déconnecter du serveur après la mise à jour Permet de forcer une déconnexion si la connexion au serveur reste active, même après le téléchargement des mises à jour. Protection du réseau Gérez la protection du réseau, cliquez sur Modifier pour en ajouter une autre ou modifier celle existante : • Réseaux connus 216 • Zones Réseaux connus Lorsque vous utilisez un ordinateur qui se connecte fréquemment à des réseaux publics ou à des réseaux en dehors de votre réseau professionnel normal, nous vous recommandons de vérifier la crédibilité des nouveaux réseaux auxquels vous vous connectez. Une fois les réseaux définis, ESET Mail Security vous pouvez reconnaître les réseaux fiables (domestique/professionnel) en utilisant divers paramètres de réseau configurés dans Identification du réseau. Les ordinateurs entrent souvent dans des réseaux dont les adresses IP sont similaires à celles du réseau approuvé. Dans de tels cas, ESET Mail Security peut considérer un réseau inconnu comme étant fiable (domestique/professionnel). Nous vous recommandons d'utiliser l'authentification réseau pour éviter ce type de situation. Lorsqu’une carte réseau est connectée à un réseau ou que ses paramètres réseau sont reconfigurés, ESET Mail Security recherche dans la liste des réseaux connus un enregistrement qui correspond au nouveau réseau. Si l'identification du réseau et l'authentification réseau (facultatif) correspondent, le réseau est marqué connecté dans cette interface. Lorsqu'aucun réseau connu n'est trouvé, la configuration de l'identification du réseau créera une connexion réseau pour identifier le réseau la prochaine fois que vous vous y connecterez. Par défaut, la nouvelle connexion réseau utilise le type de protection réseau Public. La fenêtre de dialogue Nouvelle connexion réseau détectée vous invite à choisir entre le type de protection Réseau public, Réseau domestique ou professionnel ou Utiliser le paramètre Windows. Si une carte réseau est connectée à un réseau connu et que ce réseau est marqué comme réseau domestique ou professionnel, les sousréseaux locaux de la carte seront ajoutés à la zone Fiable. Type de protection des nouveaux réseaux Sélectionnez quelle option suivante : Utiliser le paramètre Windows, Demander à l’utilisateur ou Marquer comme public est utilisée par défaut pour les nouveaux réseaux. Lorsque vous sélectionnez Utiliser le paramètre Windows, une boîte de dialogue n'apparaît pas et le réseau auquel vous êtes connecté est automatiquement marqué en fonction de vos paramètres Windows. Ainsi, certaines fonctionnalités (par exemple le partage de fichiers et le bureau à distance) deviendront accessibles à partir de nouveaux réseaux. Les réseaux connus peuvent être configurés manuellement dans la fenêtre Éditeur de réseaux connus. Ajouter un réseau Les paramètres de configuration réseau sont organisés dans les onglets suivants : Réseau Vous pouvez définir le nom du réseau et sélectionner le type de protection du réseau. Indique si le réseau est défini sur Réseau approuvé, Réseau non approuvé ou Utiliser le paramètre Windows. De plus, les adresses ajoutées en dessous Autres adresses fiables sont toujours ajoutées à la zone Fiable des cartes connectées à ce réseau (quel que soit le type de protection du réseau). 217 • Avertir en cas de chiffrement Wi-Fi faible : ESET Mail Security vous informe lorsque vous vous connectez à un réseau sans fil non protégé ou à un réseau dont la protection est faible. • Le profil de pare-feu sera hérité de la carte réseau. • Profil de mise à jour : sélectionnez le profil de mise à jour qui sera utilisé lors de la connexion à ce réseau. Identification du réseau Est effectuée sur la base des paramètres de la carte réseau locale. Tous les paramètres sélectionnés sont comparés aux paramètres réels des connexions réseau actives. Les adresses IPv4 et IPv6 sont autorisées. Authentification réseau Recherche un serveur spécifique sur le réseau et utilise un chiffrement asymétrique (RSA) pour authentifier ce serveur. Le nom du réseau en cours d'authentification doit correspondre à celui de la zone défini dans les paramètres du serveur d'authentification. Le nom est sensible à la casse. Spécifiez un nom de serveur, un port d'écoute du serveur et une clé publique qui correspond à la clé privée du serveur. Le nom du peut être saisi sous la forme d'une adresse IP, d'un nom DNS ou NetBios. Il peut être suivi d’un chemin d’accès spécifiant l’emplacement de la clé sur le serveur (par exemple, server_name_/directory1/directory2/authentication). Vous pouvez spécifier d'autres serveurs à utiliser en les ajoutant au chemin, séparés par des points-virgules. La clé publique peut être importée en utilisant l'un des types de fichiers suivants : 218 • Clé publique chiffrée PEM (.pem). Celle-ci peut être générée à l’aide d'ESET Authentication Server. • Clé publique chiffrée • Fichier de certificat de clé publique (.crt) Cliquez sur Tester pour tester vos paramètres. Si l'authentification est réussie, le message Authentification du serveur réussie s'affiche. Si l'authentification n'est pas configurée correctement, les messages d'erreur suivants s'affichent : Échec de l'authentification du serveur. Signature non valide ou non correspondante. Échec de l'authentification du serveur. Le nom du réseau ne correspond pas. La signature du serveur ne correspond pas à la clé publique saisie. Désactivez ce commutateur si vous souhaitez conserver la règle dans la liste, mais ne souhaitez pas l'utiliser. Échec de l’authentification du serveur. Réponse Aucune réponse n'est reçue si le serveur ne fonctionne pas ou non valide ou inexistante du serveur. est inaccessible. Une réponse non valide peut être reçue si un autre serveur HTTP est en cours d'exécution sur l'adresse spécifiée. Clé publique non valide. Vérifiez que le fichier de clé publique que vous avez saisi n'est pas endommagé. Zones Une zone représente un ensemble d'adresses réseau qui créent un groupe logique d'adresses IP, utile lorsque vous devez réutiliser le même ensemble d'adresses dans plusieurs règles. Chaque adresse d'un groupe donné se voit attribuer des règles similaires définies de manière centralisée pour l'ensemble du groupe. Un exemple d'un tel groupe est une zone Fiable. Une zone Fiable représente un groupe d'adresses réseau qui ne sont en aucun cas bloquées par le pare-feu. Pour ajouter une zone Fiable : 1. Ouvrez Configuration avancée (F5) > Protection du réseau > Général > Zones. 2. Cliquez sur Modifier en regard de Zones. 3. Cliquez sur Ajouter, saisissez le nom et une description de la nouvelle zone, puis ajoutez une adresse IP distante dans le champ Adresse de l’ordinateur distant (IPv4/IPv6, plage, masque). 4. Cliquez sur OK. Colonnes • Nom : nom d’un groupe d’ordinateurs distants. • Adresses IP : adresses IP distantes qui appartiennent à une zone. Éléments de commande Lorsque vous ajoutez ou modifiez une zone, les champs suivants sont disponibles : • Nom : nom d’un groupe d’ordinateurs distants. 219 • Description : description générale du groupe. • Adresse de l’ordinateur distant (IPv4, IPv6, plage, masque) : adresse distante, plage d’adresses ou sousréseau. • Supprimer : supprime une zone de la liste. Les zones prédéfinies ne peuvent pas être supprimées. Protection contre les attaques réseau Activer la protection contre les attaques réseau (IDS) Permet de configurer l'accès à certains services exécutés sur votre ordinateur à partir de la zone Fiable et d'activer/désactiver la détection de plusieurs types d'attaques pouvant être utilisés pour porter atteinte à votre ordinateur. Activer la protection anti-botnet Détecte et bloque les communications avec des serveurs de contrôle et de commande malveillants selon les modèles classiques lorsque l'ordinateur est infecté et qu'un robot tente de communiquer. Exceptions IDS Vous pouvez comparer les exceptions IDS (Intrusion Detection System) à des règles de protection du réseau. Cliquez sur modifier pour définir des exceptions IDS. Si votre environnement utilise un réseau à haut débit (10 GbE et plus), lisez l'article de la base de connaissances pour obtenir des informations sur les performances de vitesse réseau et ESET Mail Security. Protection contre les attaques par force brute ESET Mail Security inspecte le contenu du trafic réseau et bloque les tentatives d’attaques par devinette de mot de passe. Options avancées Configurez les options de filtrage avancées pour détecter les différents types d’attaques et de vulnérabilités pouvant toucher votre ordinateur. Détection d’intrusion: Protocole SMB : détecte et bloque divers problèmes de sécurité dans le protocole SMB. Protocole RPC : détecte et bloque divers CVE dans le système d'appel des procédures à distance développé pour l'environnement Distributed Computing Environment (DCE). Protocole RDP : détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus). Bloquer l'adresse non sûre après une détection d'attaque : les adresses IP qui ont été identifiées comme sources d'attaques sont ajoutées à la liste noire pour prévenir toute connexion pendant une certaine période. Afficher une notification après la détection d'une attaque : active les notifications qui apparaissent dans la zone de notification Windows, dans l'angle inférieur droit de l'écran. 220 Protocole SMB : détecte et bloque divers problèmes de sécurité dans le protocole SMB. Afficher également des notifications pour les attaques entrantes contre les trous de sécurité : vous avertit si des attaques contre des trous de sécurité sont détectées ou si une menace tente d'accéder au système de cette manière. Vérification des paquets: Autoriser les connexions entrantes aux partages administratifs du protocole SMB : les partages administratifs sont les partages réseau par défaut qui partagent les partitions de disque dur (C$, D$, ...) au sein du système, ainsi que le répertoire système (ADMIN$). Désactiver la connexion aux partages administratifs peut limiter de nombreux risques de sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se connecter aux partages administratifs. Refuser les dialectes SMB anciens (non pris en charge) : refuse des sessions SMB qui utilisent un ancien dialecte SMB non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation tels que Windows 95. Le pirate peut utiliser un ancien dialecte dans une session SMB dans le but d'échapper à l'inspection du trafic. Refusez les anciens dialectes SMB si votre ordinateur n'a pas besoin de partager des fichiers (ou d'utiliser des communications SMB en général) avec un ordinateur équipé d'une ancienne version de Windows. Refuser les sessions SMB sans sécurité étendue : la sécurité étendue peut être utilisée au cours de la négociation de session SMB, afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par challenge/réponse du gestionnaire LAN (LM). Le schéma LM est considéré comme faible et son utilisation n'est pas recommandée. Autoriser la communication avec le service Security Account Manager : pour plus d'informations sur ce service, voir [MS-SAMR]. Autoriser la communication avec le service Local Security Authority : pour plus d'informations sur ce service, voir [MS-LSAD] et [MS-LSAT]. Autoriser la communication avec le service Remote Registry : pour plus d'informations sur ce service, voir [MSRRP]. Autoriser la communication avec le service Service Control Manager : pour plus d'informations sur ce service, voir [MS-SCMR]. Autoriser la communication avec le service Server : pour plus d'informations sur ce service, voir [MS-SRVS]. Autoriser la communication avec les autres services : autres services MSRPC. Exceptions IDS Les exceptions IDS (Intrusion Detection System) sont essentiellement des règles de protection du réseau. Elles sont évaluées de haut en bas. L'éditeur d'exceptions IDS permet de personnaliser le comportement de la protection réseau en fonction de différentes exceptions IDS. La première exception correspondante est appliquée, pour chaque type d'action (Bloquer, Notifier, Consigner) séparément. Haut/Monter/Bas/Descendrepermet d'ajuster le niveau de priorité des exceptions. Pour créer une exception, cliquez sur Ajouter. Cliquez sur Modifier pour modifier une exception IDS ou sur Supprimer pour la retirer. Sélectionnez le type Alerte dans la liste déroulante. Indiquez le nom de la menace et la direction. Accédez à l'application pour laquelle vous souhaitez créer l'exception. Indiquez une liste d'adresses IP (IPv4 ou IPv6) ou de sous-réseaux. Pour plusieurs entrées, utilisez une virgule comme délimiteur. Configurez l'action de l'exception IDS en sélectionnant une des options dans le menu déroulant (Par défaut, Oui, Non). Effectuez cette opération pour chaque type d'action (Bloquer, Notifier, Consigner). 221 Si vous souhaitez qu'une notification soit affichée en cas d'alerte d'exception IDS et que l'heure de l'événement soit enregistrée, laissez le type d'action, conservez le type d'action Bloquer sur Par défaut. Pour les deux autres types d'actions (Notifier et Consigner), sélectionnez Oui dans le menu déroulant. Blocage d'un menace soupçonné Cette situation peut se produire lorsqu'une application sur votre ordinateur tente de transmettre un trafic malveillant à un autre ordinateur du réseau, en exploitant une faille de sécurité ou si quelqu'un tente d'analyser des ports sur votre réseau. • Menace : Nom de la menace. • Source : adresse du réseau source. • Cible : adresse du réseau cible. • Arrêter le blocage : crée une règle IDS pour la menace présumée avec des paramètres permettant la communication. • Continuer le blocage : bloque la menace détectée. Pour créer une règle IDS avec des paramètres pour bloquer la communication pour cette menace, sélectionnez Ne plus m’informer. Les informations affichées dans cette fenêtre de notification peuvent varier en fonction du type de menace détectée. Pour plus d'informations sur les menaces et d'autres termes associés, voir Types d’attaques distantes ou Types de détections. Liste noire temporaire des adresses IP Affichez la liste des adresses IP qui ont été détectées comme source d'attaques et ajoutées à la liste noire pour bloquer les connexions pendant une certaine période (jusqu'à une heure). Cette option permet d'afficher l'adresse IP qui a été bloquée. Motif du blocage Indique le type d'attaque qui a été empêché à partir de l'adresse (par exemple, attaque par scan de port TCP). Délai dépassé Indique l'heure et la date auxquelles l'adresse arrivera à expiration dans la liste noire. Supprimer/Supprimer tout Supprime l'adresse IP sélectionnée de la liste noire temporaire avant son expiration ou supprime immédiatement toutes les adresses de la liste noire. Ajouter une exception Ajoute une exception de pare-feu dans le filtrage IDS pour l'adresse IP sélectionnée. 222 Protection contre les attaques par force brute La protection contre les attaques par force brute bloque les attaques par devinette de mot de passe pour les services RDP et SMB. Une attaque par force brute est une méthode permettant de deviner un mot de passe ciblée en essayant systématiquement toutes les combinaisons possibles de lettres, de chiffres et de symboles. • Activez la protection contre les attaques par force brute : ESET Mail Security inspecte le contenu du trafic réseau et bloque les tentatives d’attaques par devinette de mot de passe. • Règles : permettent de créer, de modifier et d’afficher des règles pour les connexions réseau entrantes et sortantes. • Exclusions : Liste des détections exclues définies par une adresse IP ou un chemin d’accès d’application. Vous pouvez créer et modifier des exclusions dans votre Console web ESET PROTECT. Règles de Protection contre les attaques par force brute Les règles de protection contre les attaques par force brute permettent de créer, de modifier et d’afficher des règles pour les connexions réseau entrantes et sortantes. Les règles prédéfinies ne peuvent pas être modifiées ni supprimées. Créez une règle, cliquez sur Ajouter une nouvelle règle de protection contre les attaques par force brute ou sur Modifier les entrées sélectionnées. Cette fenêtre vous donne une vue d'ensemble des règles de protection contre les attaques par force brute existantes. Nom Nom de règle défini par l'utilisateur ou sélectionné automatiquement. Activé(e) Désactivez ce commutateur si vous souhaitez conserver la règle dans la liste, mais ne souhaitez pas l'utiliser. Action La règle spécifie une action (Autoriser ou Refuser) à exécuter, si les conditions sont remplies. Protocole Protocole de communication inspectée par cette règle. Profil Des règles personnalisées peuvent être définies et appliquées pour des profils spécifiques. Nombre maximale de tentatives Nombre maximal de tentatives autorisées de répétition d'attaques jusqu'à ce que l'adresse IP soit bloquée et ajoutée à la liste noire. Période de Définit le délai d’expiration de l'adresse dans la liste noire. La période par défaut pour conservation de la liste compter le nombre de tentatives est de 30 minutes. noire (min) IP source Liste des sous-réseaux, des plages et des adresses IP. Plusieurs adresses doivent être séparées par une virgule. Zones sources Permet d'ajouter ici une zone prédéfinie ou créée avec une plage d'adresses IP en cliquant sur Ajouter. 223 Exclusions de la protection contre les attaques par force brute Les exclusions des attaques par force brute peuvent être utilisées pour supprimer la détection des attaques par force brute pour des critères spécifiques. Ces exclusions sont créées dans ESET PROTECT sur la base de la détection des attaques par force brute. Les exclusions sont affichées si un administrateur crée des exclusions d'attaques de force brute dans la console web ESET PROTECT Web Console . Les exclusions peuvent contenir uniquement des règles d'autorisation et sont évaluées avant les règles IDS. • Détection : Type de détection. • Application : sélectionnez le chemin d’accès au fichier d’une application exceptée en cliquant sur ... (par exemple C:\Program Files\Firefox\Firefox.exe). Ne saisissez pas le nom de l’application. • IP distante : liste d'adresses IPv4 ou IPv6/plages/sous-réseaux distants. Plusieurs adresses doivent être séparées par une virgule. Internet et messagerie Vous pouvez configurer le filtrage des protocoles, la protection du client de messagerie, la protection de l'accès Web et l'anti-hameçonnage pour protéger votre serveur lors des communications Internet. Protection du client de messagerie Contrôle toute la communication par e-mail, protège des codes malveillants et vous permet de choisir l'action à entreprendre en cas de détection d'infection. Protection de l'accès Web Surveille la communication entre les navigateurs Internet et les serveurs distants, conformément aux règles des protocoles HTTP et HTTPS. Cette fonctionnalité permet également de bloquer, d'autoriser et d'exclure certaines adresses URL. Filtrage des protocoles Offre une protection avancée destinée aux protocoles d'application et fournie par le moteur d'analyse ThreatSense. Ce contrôle fonctionne automatiquement, que le programme utilisé soit un navigateur Internet ou un client de messagerie. Il fonctionne également pour la communication chiffrée (SSL/TLS). Protection antihameçonnage Permet de bloquer les pages Web connues pour diffuser du contenu d'hameçonnage. Filtrage des protocoles La protection contre les logiciels malveillants des protocoles d'application est fournie par le moteur d'analyse ThreatSense qui intègre plusieurs techniques avancées d'analyse des logiciels malveillants. Le filtrage des protocoles fonctionne automatiquement, indépendamment du navigateur Internet ou du client de messagerie 224 utilisés. Si le filtrage des protocoles est activé, ESET Mail Security vérifie les communications qui utilisent le protocole SSL/TSL. Accédez à Internet et messagerie > SSL/TLS. Activer le filtrage de contenu des protocoles d'application Si vous désactivez le filtrage des protocoles, notez que la plupart des composants d'ESET Mail Security (protection de l'accès Web, protection des protocoles de messagerie et protection antihameçonnage) dépendent de ce filtrage et que leurs fonctionnalités ne seront pas disponibles. Applications exclues Pour exclure du filtrage de contenu la communication de certaines applications sensibles au réseau, sélectionnez ces applications dans la liste. Aucune recherche de menace n'est effectuée sur la communication HTTP/POP3 des applications sélectionnées. Cette option permet d'exclure des applications spécifiques du filtrage des protocoles. Cliquez sur Modifier et Ajouter pour sélectionner un exécutable dans la liste des applications afin de l'exclure du filtrage des protocoles. Il est recommandé d'utiliser cette option uniquement pour les applications qui ne fonctionnent pas correctement lorsque leur communication est vérifiée. Adresses IP exclues Permet d'exclure des adresses distantes spécifiques du filtrage des protocoles. Les adresses IP figurant dans cette liste sont exclues du filtrage du contenu des protocoles. Les menaces ne sont pas détectées sur les communications HTTP/POP3/IMAP liées aux adresses sélectionnées. Il est recommandé d'utiliser cette option uniquement pour les adresses que vous savez être fiables. Cliquez sur Modifier et Ajouter pour indiquer l'adresse IP, la plage d'adresses ou le sous-réseau auquel l'exclusion sera appliquée. Lorsque vous sélectionnez Entrer plusieurs valeurs, vous pouvez ajouter plusieurs adresses IP en les séparant par des nouvelles lignes, des virgules ou des points-virgules. Lorsque la sélection multiple est activée, les adresses s'affichent dans la liste des adresses IP exclues. Les exclusions s'avèrent utiles lorsque le filtrage des protocoles entraîne des problèmes de compatibilité. Internet et clients de messagerie À cause du nombre considérable de codes malveillants circulant sur Internet, la sécurisation de la navigation sur Internet est un aspect très important de la protection des ordinateurs. Les vulnérabilités des navigateurs Internet et les liens frauduleux contribuent à faciliter l'accès imperceptible au système par des codes malveillants. C'est pourquoi ESET Mail Security se concentre sur la sécurité des navigateurs Internet. Chaque application accédant au réseau peut être marquée comme étant un navigateur Internet. Les applications qui ont déjà utilisé des protocoles pour les communications ou les applications des chemins d'accès sélectionnés peuvent être ajoutées à la liste Internet et clients de messagerie. SSL/TLS ESET Mail Security peut rechercher des menaces dans les communications qui utilisent le protocole SSL (Secure Sockets Layer)/TLS (Transport Layer Security). 225 Vous pouvez utiliser plusieurs modes d'analyse pour examiner les communications SSL protégées à l'aide de certificats approuvés, de certificats inconnus ou de certificats exclus de la vérification des communications SSL protégées. Activer le filtrage du protocole SSL/TLS Si le filtrage des protocoles est désactivé, le programme n'analyse pas les communications sur le protocole SSL/TLS. Le mode de filtrage du protocole SSL/TLS est disponible dans les options suivantes : • Mode automatique - Sélectionnez cette option pour analyser toutes les communications SSL/TLS protégées, à l'exception de celles protégées par des certificats exclus de la vérification. Si une nouvelle communication utilisant un certificat signé inconnu est établie, vous n'êtes pas informé et la communication est automatiquement filtrée. Lorsque vous accédez à un serveur disposant d'un certificat non approuvé indiqué comme fiable (il figure dans la liste des certificats approuvés), la communication vers le serveur est autorisée et le contenu du canal de communication est filtré. • Mode interactif - Si vous entrez un nouveau site protégé par SSL/TLS (avec un certificat inconnu), une boîte de dialogue de sélection d'action s'affiche. Ce mode vous permet de créer la liste des certificats SSL/TLS qui seront exclus de l'analyse. • Mode de politique - Toutes les connexions SSL/TLS sont filtrées, à l'exception des exclusions configurées. Liste des applications filtrées par le protocole SSL/TLS Ajoutez une application filtrée et définissez l'une des actions d'analyse. La liste des applications filtrées SSL/TSL peut être utilisée pour personnaliser le comportement d'ESET Mail Security pour des applications SSL/TLS spécifiques et mémoriser les actions choisies en cas de sélection du mode interactif dans le mode de filtrage de protocole SSL/TLS. Liste des certificats connus Permet de personnaliser le comportement d'ESET Mail Security pour des certificats SSL spécifiques. Pour afficher et gérer la liste, cliquez sur l'option Modifier située en regard de Liste des certificats connus. Exclure la communication avec les domaines approuvés Permet d'exclure les communications utilisant les certificats de validation étendue de la vérification des protocoles (banque en ligne). Bloquer les communications chiffrées à l’aide du protocole obsolète SSL v2 Les communications utilisant cette version antérieure du protocole SSL sont automatiquement bloquées. Certificat racine Sélectionnez cette option pour ajouter automatiquement le certificat racine d'ESET aux navigateurs connus (Opera et Firefox par exemple). L'option Ajouter le certificat racine aux navigateurs connus doit être activée. Sélectionnez cette option pour ajouter automatiquement le certificat racine d'ESET aux navigateurs connus (Opera et Firefox par exemple). Pour les navigateurs utilisant le magasin de certification système, le certificat est ajouté automatiquement (Internet Explorer par exemple). Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > 226 Copier dans un fichier, puis importez-le manuellement dans le navigateur. Validité du certificat S'il est impossible de vérifier le certificat à l'aide de la bibliothèque de certificats TRCA Dans certains cas, il est impossible de vérifier le certificat d'un site Web à l'aide du magasin d'Autorités de certification racine de confiance. Cela signifie que le certificat est signé par un utilisateur (l'administrateur d'un serveur Web ou d'une petite entreprise, par exemple) et que le fait de le considérer comme fiable n'est pas toujours un risque. La plupart des grandes entreprises (les banques par exemple) utilisent un certificat signé par TRCA. Si l'option Interroger sur la validité du certificat est activée (sélectionnée par défaut), l'utilisateur est invité à sélectionner une action à entreprendre lorsque la communication chiffrée est établie. Vous pouvez sélectionner Bloquer toute communication utilisant le certificat pour mettre toujours fin aux connexions chiffrées aux sites avec des certificats non vérifiés. Si le certificat est non valide ou endommagé Cela signifie qu'il est arrivé à expiration ou que sa signature est incorrecte. Dans ce cas, il est recommandé de conserver l'option Bloquer toute communication utilisant le certificat activée. Liste des certificats connus Permet de personnaliser le comportement d'ESET Mail Security pour des certificats SSL/TLS spécifiques et de mémoriser les actions choisies en cas de sélection du mode interactif dans le mode de filtrage de protocole SSL/TLS. Vous pouvez configurer un certificat sélectionné ou ajouter un certificat depuis une URL ou un fichier. Dans la fenêtre Ajouter un certificat, cliquez sur URL ou Fichier, puis indiquez l'URL du certificat ou accédez à un fichier de certificat. Les champs suivants seront automatiquement renseignés avec les données du certificat : • Nom du certificat : nom du certificat. • Émetteur du certificat : nom du créateur du certificat. • Objet du certificat : le champ d'objet identifie l'entité associée à la clé publique stockée dans le champ d'objet de la clé publique. Action d’accès • Automatique : permet d'autoriser les certificats approuvés et demander quelle action effectuer pour les certificats non approuvés. • Autoriser ou Bloquer : permet d'autoriser/bloquer les communications sécurisées par ce certificat indépendamment de sa fiabilité. • Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré. Action d’analyse • Automatique : permet d'effectuer une analyse en mode automatique et de demander quelle action 227 entreprendre en mode interactif. • Analyser ou Ignorer : permet d'analyser ou d'ignorer les communications sécurisées par ce certificat. • Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré. Communication SSL chiffrée Si votre système est configuré pour utiliser l'analyse du protocole SSL, une boîte de dialogue vous invitant à choisir une action peut s'afficher dans les deux cas suivants : Lorsqu'un site Web utilise un certificat non valide ou ne pouvant pas être vérifié et qu'ESET Mail Security est configuré pour demander à l'utilisateur l'action à effectuer dans ce cas (par défaut, oui pour les certificats ne pouvant pas être vérifiés, non pour les certificats non valides), une boîte de dialogue s'affiche pour autoriser ou bloquer la connexion. Lorsque l'option Mode de filtrage du protocole SSL est définie sur Mode interactif, une boîte de dialogue demande pour chaque site Web d'analyser ou d'ignorer le trafic. Certaines applications vérifient que le trafic SSL n'est ni modifié ni inspecté par quelqu'un. Dans ce cas, ESET Mail Security doit ignorer ce trafic pour que les applications continuent de fonctionner. Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions enregistrées sont stockées dans la liste des certificats connus. 228 Protection du client de messagerie L'intégration d'ESET Mail Security aux clients de messagerie augmente le niveau de protection active contre les codes malveillants dans les messages électroniques. Si votre client de messagerie est pris en charge, l'intégration peut être activée dans ESET Mail Security. Lorsque l'intégration est activée, la barre d'outils d'ESET Mail Security est insérée directement dans le client de messagerie (la barre d'outils pour les nouvelles versions de Windows Live Mail n'est pas insérée), ce qui permet une protection plus efficace des messages. Intégration aux clients de messagerie Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et Windows Live Mail. Ce module fonctionne comme un plug-in pour ces programmes. L'avantage principal du plugin réside dans le fait qu'il est indépendant du protocole utilisé. Lorsqu'un client de messagerie reçoit un message chiffré, il le déchiffre et l'envoie au scanner de virus. Même si l'intégration n'est pas activée, les communications par e-mail sont toujours protégées par le module de protection du client de messagerie (POP3, IMAP). Pour obtenir la liste complète des clients de messagerie pris en charge et leurs versions, reportez-vous à cet article de la base de connaissances. Désactiver la vérification au changement de contenu de la boîte aux lettres Si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie (Microsoft Outlook uniquement). Ce cas de figure peut survenir lors de la récupération d'un e-mail à partir du magasin Kerio Outlook Connector. Activer la protection de messagerie par les plug-ins clients Permet de désactiver la protection du client de messagerie sans supprimer l'intégration dans votre client de messagerie. Vous pouvez désactiver tous les plug-ins à la fois ou désactiver les éléments suivants de manière sélective : • Courrier reçu - Active/désactive la vérification des messages reçus. • Courrier envoyé - Active/désactive la vérification des messages envoyés. • Courrier lu - Active/désactive la vérification des messages lus. Action à exécuter sur le courrier électronique infecté • Aucune action - Si cette option est activée, le programme identifie les pièces jointes infectées, mais n'entreprend aucune action sur les messages concernés. • Supprimer les courriers - Le programme avertit l'utilisateur à propos d'une infiltration et supprime le message. • Déplacer les courriers vers le dossier Éléments supprimés - Les courriers infectés sont automatiquement placés dans le dossier Éléments supprimés. • Déplacer les courriers vers le dossier : Les courriers infectés sont automatiquement placés dans le dossier spécifié. • Dossier - Spécifiez le dossier personnalisé vers lequel les messages infectés doivent être déplacés lorsqu'ils 229 sont détectés. Répéter l’analyse après mise à jour Active/désactive une nouvelle analyse après la mise à jour du moteur de détection. Accepter les résultats d’analyse d’autres modules Si cette option est activée, le module de protection de messages accepte les résultats d'analyse d'autres modules de protection (analyse des protocoles IMAP, POP3). Protocoles de messagerie Activer la protection de messagerie par le filtrage de protocoles Les protocoles IMAP et POP3 sont les protocoles les plus répandus pour la réception de messages dans un client de messagerie. ESET Mail Security protège ces protocoles, quel que soit le client de messagerie utilisé. ESET Mail Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent un canal chiffré pour transférer des informations entre un serveur et un client. ESET Mail Security contrôle la communication à l'aide des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analyse uniquement le trafic sur les ports définis dans les ports utilisés par le protocole IMAPS/POP3S, quelle que soit la version du système d'exploitation. Configuration du moteur d'analyse IMAPS/POP3S Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer l'analyse des communications chiffrées, accédez à l'option Contrôle de protocole SSL/TLS. Le numéro de port identifie le type du port. Voici les ports de messagerie par défaut pour : Nom du port Numéros de port Description POP3 110 Port non chiffré POP3 par défaut. IMAP 143 Port non chiffré IMAP par défaut. IMAP sécurisé (IMAP4SSL) 585 Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports doivent être séparés par une virgule. IMAP4 sur SSL (IMAPS) 993 Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports doivent être séparés par une virgule. POP3 sécurisé (SSL-POP) 995 Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports doivent être séparés par une virgule. Notifications d'e-mail La protection de la messagerie permet de contrôler les communications reçues via les protocoles POP3 et IMAP. ESET Mail Security utilise le plug-in pour Microsoft Outlook et d'autres clients de messagerie pour contrôler toutes les communications impliquant le client de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancées comprises dans le moteur d'analyse ThreatSense. Autrement dit, la détection des programmes malveillants s'effectue avant 230 la comparaison avec la base de détection de virus. L'analyse des communications via le protocole POP3 et IMAP est indépendante du client de messagerie utilisé. Après la vérification d'un courrier, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous pouvez sélectionner Ajouter une notification aux messages reçus et lus ou Ajouter une notification aux messages envoyés. Gardez à l'esprit qu'en de rares occasions, les notifications peuvent être omises en cas de messages HTML problématiques ou de messages élaborés par un logiciel malveillant. Les notifications peuvent être ajoutées aux messages reçus et lus, aux messages envoyés, ou aux deux catégories. Les options disponibles sont les suivantes : • Jamais - Aucune notification n'est ajoutée. • Lorsqu'une détection se produit – Seuls les messages contenant un code malveillant sont marqués comme contrôlés (valeur par défaut). • À tous les e-mails lors de l'analyse - Le programme ajoute des messages à tout e-mail analysé. Texte à ajouter à l'objet d'un e-mail détecté Modifiez ce texte si vous souhaitez modifier le format du préfixe de l'objet d'un courrier infecté. Cette fonction remplace l'objet du message Hello au format suivant : "[detection %DETECTIONNAME%] Bonjour. La variable %DETECTIONNAME% représente la détection. Barre d'outils Microsoft Outlook La protection Microsoft Outlook fonctionne comme un module plugin. Après l'installation d'ESET Mail Security, cette barre d'outils contenant les options de protection contre les logiciels malveillants est ajoutée à Microsoft Outlook : ESET Mail Security Cliquez sur l'icône pour ouvrir la fenêtre principale du programme ESET Mail Security. Analyser à nouveau les messages Permet de lancer manuellement la vérification des messages. Vous pouvez indiquer les messages à vérifier et activer une nouvelle analyse du message reçu. Pour plus d'informations, consultez la section Protection du client de messagerie. Configuration de l'analyseur Affiche les options de configuration de la Protection du client de messagerie. Barre d'outils Outlook Express et Windows Mail La protection pour Outlook Express et Windows Mail fonctionne comme un module plugin. Après l'installation d'ESET Mail Security, cette barre d'outils contenant les options de protection contre les logiciels malveillants est ajoutée à Outlook Express ou à Windows Mail : 231 ESET Mail Security Cliquez sur l'icône pour ouvrir la fenêtre principale du programme ESET Mail Security. Analyser à nouveau les messages Permet de lancer manuellement la vérification des messages. Vous pouvez indiquer les messages à vérifier et activer une nouvelle analyse du message reçu. Pour plus d'informations, consultez la section Protection du client de messagerie. Configuration de l'analyseur Affiche les options de configuration de la Protection du client de messagerie. Personnaliser l'apparence Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie. Désactivez cette option pour personnaliser l'apparence indépendamment des paramètres du programme de messagerie. • Afficher le texte - Affiche des descriptions des icônes. • Texte à droite - Les descriptions d'options sont déplacées du bas vers le côté droit des icônes. • Grandes icônes - Affiche des icônes de grande taille pour les options de menu. Boîte de dialogue de confirmation Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce qui devrait éliminer des erreurs possibles. La boîte de dialogue offre également la possibilité de désactiver les confirmations. Analyser à nouveau les messages La barre d'outils d'ESET Mail Security intégrée dans les clients de messagerie permet aux utilisateurs de spécifier plusieurs options pour la vérification du courrier électronique. L'option Analyser à nouveau les messages offre deux modes d'analyse : • Tous les messages du dossier en cours : analyse les messages du dossier affiché. • Messages sélectionnés uniquement : analyse uniquement les messages marqués par l'utilisateur. • Réanalyser les messages déjà analysés : permet d'exécuter une autre analyse sur des messages déjà analysés. Protection de l'accès Web La protection de l'accès Web opère par surveillance des communications entre les navigateurs Internet et les serveurs distants pour vous protéger des menaces en ligne, conformément aux règles des protocoles HTTP et HTTPS (communications chiffrées). L'accès aux pages Web connues pour comporter du contenu malveillant est bloqué avant le téléchargement du 232 contenu. Toutes les autres pages Web sont analysées par le moteur d'analyse ThreatSense lors de leur chargement et sont bloquées en cas de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de protection : un blocage par liste noire et un blocage par contenu. Général Il est vivement recommandé de conserver l'option de protection de l'accès Web activée. Cette option est accessible dans la fenêtre principale de ESET Mail Security depuis Configuration > Internet et messagerie > Protection de l'accès Web. Activer l'analyse avancée des scripts de navigateur Par défaut, tous les programmes JavaScript exécutés par les navigateurs web sont contrôlés par le moteur de détection. Protocoles Web Permet de configurer le contrôle de ces protocoles standard qui sont utilisés par la plupart des navigateurs Internet. Par défaut, ESET Mail Security est configuré pour contrôler le protocole HTTP utilisé par la plupart des navigateurs Internet. ESET Mail Security prend également en charge le contrôle de protocole HTTPS. Les communications HTTPS utilisent un canal chiffré pour transférer des informations entre un serveur et un client. ESET Mail Security contrôle les communications à l'aide des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analyse uniquement le trafic sur les ports définis dans les ports utilisés par le protocole HTTPS, quelle que soit la version du système d'exploitation. Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer l'analyse des communications chiffrées, accédez à Configuration avancée (F5) > Internet et messagerie > SSL/TLS. Paramètres ThreatSense Permet de configurer des paramètres tels que les types d'analyses (courriers électroniques, archives, exclusions, limites, etc.) et les méthodes de détection pour la protection de l'accès Web. Gestion des adresses URL La gestion d'adresse URL permet de spécifier des listes d'adresses HTTP qui seront bloquées, autorisées ou exclues de la vérification. Les sites Web qui figurent dans la liste des adresses bloquées ne sont pas accessibles, sauf s'ils sont également inclus dans la liste des adresses autorisées. Les sites Web qui se trouvent dans la liste des adresses exclues de la vérification ne font pas l'objet d'une analyse de code malveillant lors de leur accès. L'option Filtrage du protocole SSL/TLS doit être activée si vous souhaitez filtrer les adresses HTTPS en plus des pages Web HTTP. Sinon, seuls les domaines des sites HTTPS que vous avez visités sont ajoutés et non l'URL complète. Une liste d'adresses bloquées peut contenir les adresses d'une liste noire publique externe et une autre liste peut comporter votre propre liste noire, ce qui simplifie la mise à jour de la liste externe tout en conservant la vôtre intacte. Cliquez sur Modifier et Ajouter pour créer une liste d'adresses en plus des listes prédéfinies. Cela peut s'avérer utile si vous souhaitez diviser de manière logique des groupes différents d'adresses. Par défaut, les trois listes suivantes sont disponibles : • Liste des adresses exclues de la vérification - Aucune vérification de la présence de code malveillant n'est effectuée pour les adresses répertoriées dans la liste. • Liste des adresses autorisées - Si l'option N'autoriser l'accès qu'aux adresses HTTP figurant dans la liste des adresses autorisées est activée et si la liste des adresses bloquées contient un astérisque (correspond à tout), l'utilisateur n'est autorisé à accéder qu'aux adresses répertoriées dans cette liste. Les adresses de 233 cette liste sont autorisées même si elles sont incluses dans la liste des adresses bloquées. • Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses répertoriées dans cette liste, à moins qu'elles ne figurent également dans la liste des adresses autorisées. Vous pouvez ajouter une nouvelle adresse URL à la liste. Vous pouvez également saisir plusieurs valeurs avec un séparateur. Cliquez sur Modifier pour changer une adresse existante dans la liste ou sur Supprimer pour la supprimer. La suppression n'est possible que pour les adresses créées avec l'option Ajouter, pas pour celles ayant été importées. Dans toutes les listes, vous pouvez utiliser les symboles spéciaux « * » (astérisque) et « ? » (point d'interrogation). L'astérisque représente n'importe quel chiffre ou caractère, alors que le point d'interrogation symbolise un seul caractère. Un soin particulier doit être apporté à la spécification des adresses exclues, car la liste ne doit contenir que des adresses sûres et fiables. De la même manière, veillez à employer correctement les symboles « * » et « ? » dans cette liste. Si vous souhaitez bloquer toutes les adresses HTTP, à l'exception des adresses figurant dans la liste active des adresses autorisées, ajoutez un astérisque (*) à la liste active des adresses bloquées. Créer une liste La liste contiendra les masques d'URL/de domaine souhaités qui seront bloqués, autorisés ou exclus de la vérification. Lors de la création d'une liste, indiquez les paramètres suivants : • Type de liste d’adresses : sélectionnez le type (Exclues de la vérification, Bloquées ou Autorisées) de la liste déroulante. • Nom de liste : indiquez le nom de la liste. Ce champ apparaît grisé lors de la modification de l'une des trois listes prédéfinies. 234 • Description de la liste : tapez une brève description de la liste (facultatif). Ce champ apparaît en grisé lors de la modification de l'une des trois listes prédéfinies. • List active : utilisez le commutateur pour désactiver la liste. Vous pouvez la réactiver ultérieurement en cas de besoin. • Notifier lors de l'application : si vous souhaitez être averti lorsqu'une liste est utilisée pour l'évaluation d'un site HTTP/HTTPS visité. Une notification est émise lorsqu'un site Web est bloqué ou autorisé en raison de son inclusion dans la liste des adresses bloquées ou autorisées. La notification contient le nom de la liste dans laquelle figure le site Web spécifié. • Niveau de verbosité : sélectionnez le niveau de verbosité (Aucun, Diagnostic, Informations ou Avertissement) dans la liste déroulante. Les entrées avec le niveau de verbosité Avertissement peuvent être collectées par ESET PROTECT. ESET Mail Security permet de bloquer l'accès à des sites Web spécifiques et d'empêcher le navigateur Internet d'en afficher le contenu. Par ailleurs, il permet à l'utilisateur de spécifier des adresses à exclure de la vérification. Si l'utilisateur ignore le nom complet du serveur distant ou s'il souhaite spécifier un groupe de serveurs distants, il peut employer des « masques ». Ces masques peuvent contenir les symboles « ? » et « * » : • utilisez ? pour représenter un caractère quelconque ; • utilisez * pour représenter une chaîne de caractères. *.c?m désigne toutes les adresses dont la dernière partie commence par la lettre c et se termine par la lettre m, avec un caractère inconnu entre les deux (.com, .cam, etc.). Une séquence initiale « *. » est traitée spécialement si elle est utilisée au début d'un nom de domaine. Pour commencer, le caractère générique * ne peut pas représenter un caractère barre oblique (« / ») dans ce cas. Par exemple, le masque *.domaine.com ne correspondra pas à http://toutdomaine.com/toutchemin#.domaine.com (un tel suffixe peut être ajouté à toute adresse URL sans affecter le téléchargement). Ensuite, le « *. » correspond également à une chaîne vide dans ce cas spécial. Elle vise à permettre une correspondance avec tout le domaine, y compris tous les éventuels sous-domaines en utilisant un seul et unique masque. Par exemple, le masque *.domaine.com correspond également à http://domaine.com. L'utilisation de *domaine.com serait incorrecte, car ce masque correspondrait aussi à http://unautredomaine.com. Entrez plusieurs valeurs 235 Ajoutez plusieurs adresses URL en les séparant par des nouvelles lignes, des virgules ou des points-virgules. Lorsque la sélection multiple est activée, les adresses s'affichent dans la liste. Importer Fichier texte comportant des adresses URL à importer (séparez les valeurs par un saut de ligne, par exemple *.txt utilisant le codage UTF-8). Protection Web antihameçonnage Le terme d'hameçonnage (phishing en anglais) désigne une activité frauduleuse qui consiste à manipuler les utilisateurs pour obtenir des informations confidentielles. L'hameçonnage est souvent utilisé pour accéder à des données sensibles, telles que des numéros de comptes bancaires, des codes secrets, etc. ESET Mail Security comprend la protection antihameçonnage qui bloque les pages Web connues pour diffuser ce type de contenu. Il est vivement recommandé d'activer la fonctionnalité antihameçonnage dabs ESET Mail Security. Pour plus d'informations sur la protection antihameçonnage dans ESET Mail Security, consultez notre article de la base de connaissances . Lorsque vous accédez à un site Web d'hameçonnage reconnu, la boîte de dialogue suivante s'affiche dans votre navigateur Web. Si vous souhaitez toujours accéder au site Web, cliquez sur Ignorer la menace (non recommandé). 236 Par défaut, les sites Web d'hameçonnage potentiels que vous avez ajoutés à la liste blanche expirent plusieurs heures après. Pour autoriser un site Web de manière permanente, utilisez l'outil Gestion des adresses URL. Signaler un site d'hameçonnage Si vous rencontrez un site Web suspect qui semble effectuer des activités d'hameçonnage ou malveillantes, vous pouvez le signaler à ESET pour analyse. Avant de soumettre un site Web à ESET, assurez-vous qu'il répond à au moins l'un des critères suivants : • Le site Web n'est pas du tout détecté. • Le site Web est détecté à tort comme une menace. Dans ce cas, vous pouvez signaler un site faux positif de hameçonnage. Vous pouvez également soumettre le site Web par e-mail. Envoyez votre message à l'adresse samples@eset.com. Veillez à utiliser un objet descriptif et indiquez le plus d'informations possible sur le site Web (notez, par exemple, le site Web référant, comment vous avez appris l'existence du site Web, etc.). Contrôle de périphérique ESET Mail Security permet un contrôle automatique des appareils (CD/DVD/USB). Ce module permet d'analyser, de bloquer ou d'ajuster les filtres étendus/autorisations, et de définir les autorisations des utilisateurs à accéder à un périphérique et à l'utiliser. Ce procédé peut être utile si l'administrateur souhaite empêcher l'utilisation de appareils avec du contenu indésirable. 237 Lorsque vous activez le contrôle des appareils à l'aide du commutateur Intégrer au système, la fonctionnalité de contrôle de ESET Mail Security est activée. Vous devrez toutefois redémarrer votre ordinateur pour que cette modification soit prise en compte Le contrôle des appareils devient actif, ce qui vous permet de modifier les paramètres. Si un appareil bloqué par une règle existante est détecté, une fenêtre de notification s'affiche et l'accès au appareil n'est pas accordé. Règles Une règle de contrôle des appareils définit l'action qui sera exécutée lorsqu'un appareil répondant aux critères de la règle est connecté à l'ordinateur. Groupes Lorsque vous cliquez sur Modifier, vous pouvez gérer les groupes de appareils. Créez un groupe de appareils ou sélectionnez un groupe existant pour ajouter ou supprimer des appareils dans la liste. Vous pouvez consulter les entrées du journal du contrôle des appareils dans Fichiers journaux. Règles de périphérique Des périphériques spécifiques peuvent être autorisés ou bloqués par utilisateur, groupe d'utilisateurs ou tout autre paramètre supplémentaire pouvant être spécifié dans la configuration des règles. La liste des règles contient plusieurs éléments descriptifs des règles, comme leur nom, le type de périphérique externe, l'action à réaliser lorsqu'un nouveau périphérique est détecté et la gravité journalisée. Vous pouvez ajouter une nouvelle règle ou modifier les paramètres d'une règle existante. Entrez une description de la règle dans le champ Nom afin de mieux l'identifier. Cliquez sur le bouton bascule situé en regard de l'option Règle activée pour désactiver ou activer cette règle ; cette option peut être utile si vous ne souhaitez pas retirer la règle de façon définitive. Appliquer pendant Vous pouvez limiter des règles en créant des créneaux horaires. Créez un créneau horaire ; il apparaîtra ensuite dans le menu déroulant. Type de périphérique Choisissez le type de périphérique externe dans le menu déroulant (Stockage disque/Périphérique portable/Bluetooth/FireWire...). Les types de périphériques sont hérités du système d'exploitation et sont visibles dans le Gestionnaire de périphériques système si le périphérique est connecté à l'ordinateur. Les appareils de stockage comprennent les disques externes ou les lecteurs de carte mémoire classiques connectés via USB ou FireWire. Les lecteurs de carte à puce regroupent tous les lecteurs de carte avec circuit intégré embarqué, telles que les cartes SIM ou d'authentification. Les scanners ou les appareils photo constituent des exemples de périphériques d'imagerie. Ces périphériques ne fournissent pas d'informations sur les utilisateurs, uniquement sur leurs actions. Cela signifie que les périphériques d'imagerie peuvent être bloqués uniquement de façon globale. Action L'accès aux périphériques autres que ceux de stockage peut être autorisé ou bloqué. En revanche, les règles 238 s'appliquant aux périphériques de stockage permettent de sélectionner l'un des paramètres des droits suivants : • Lire/Écrire - L'accès complet au périphérique est autorisé. • Bloquer - L'accès au périphérique est bloqué. • Lecture seule - L'accès en lecture seule au périphérique est autorisé. • Avertir - À chaque connexion d'un périphérique, l'utilisateur est averti s'il est autorisé/bloqué, et une entrée est enregistrée dans le journal. Comme les périphériques ne sont pas mémorisés, une notification s'affiche lors des connexions suivantes d'un même périphérique. Notez que tous les droits (actions) ne sont pas disponibles pour tous les périphériques. Si un périphérique comprend un espace de stockage, les quatre actions sont disponibles. Pour les périphériques sans stockage, seules deux options sont disponibles (par exemple, l'action Lecture seule n'étant pas disponible pour Bluetooth, un tel périphérique ne peut être qu'autorisé ou bloqué). Type de critère Les autres paramètres indiqués ci-dessous peuvent être utilisés pour optimiser les règles et les adapter à des périphériques. Tous les paramètres respectent la casse et prennent en charge les caractères génériques (*, ?) : • Fabricant – Permet de filtrer par nom ou ID de fabricant. • Modèle – Nom du périphérique. • N° de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas d'un CD/DVD, Il s'agit du numéro de série du support et pas du lecteur. Si ces paramètres ne sont pas définis, la règle ignore ces champs lors de la recherche de correspondances. Les paramètres de filtrage de tous les champs de texte respectent la casse et prennent en charge les caractères génériques (un point d’interrogation (?) représente un seul caractère, tandis qu’un astérisque (*) représente une chaîne de zéro caractère ou plus). Pour déterminer les paramètres d'un périphérique, créez une règle d'autorisation pour ce type de périphérique, connectez le périphérique à votre ordinateur, puis vérifiez les détails du périphérique dans le journal du contrôle de périphérique. Sélectionner le Niveau de verbosité dans la liste déroulante : • Toujours - Consigne tous les événements. • Diagnostic - Consigne les informations nécessaires au réglage du programme. • Informations – Enregistre tous les messages d'information, y compris les messages de mises à jour réussies et toutes les entrées ci-dessus. • Avertissement - Enregistre les erreurs critiques et les messages d'avertissement. • Aucun - Aucun journal n'est enregistré. Les règles peuvent être limitées à certains utilisateurs ou groupes d'utilisateurs en les ajoutant à la Liste des utilisateurs. Cliquez sur Modifier pour gérer la liste des utilisateurs. 239 • Ajouter - Ouvre la boîte de dialogue Types d'objet : utilisateurs ou groupes qui permet de sélectionner les utilisateurs voulus. • Supprimer - Supprime l'utilisateur sélectionné du filtre. tous les périphériques peuvent être filtrés par les règles de l'utilisateur (par exemple, les périphériques d'image ne fournissent pas d'informations sur les utilisateurs, uniquement sur les actions effectuées). Les fonctions disponibles sont les suivantes : Modifier Permet de modifier le nom de la règle sélectionnée ou les paramètres de l'appareil inséré (fabricant, modèle, numéro de série, etc.). Copier Crée une règle à partir des paramètres de la règle sélectionnée. Supprimer Permet de supprimer la règle sélectionnée. Vous pouvez également utiliser la case à cocher située en regard d'une règle donnée pour la désactiver. La désactivation d'une règle peut s'avérer utile si vous ne souhaitez pas la supprimer définitivement en vue de la réutiliser ultérieurement. Renseigner Permet de donner une vue d'ensemble de tous les périphériques actuellement connectés avec les informations suivantes : le type de périphérique, le fournisseur, le modèle et le numéro de série (le cas échéant). Si vous sélectionnez un périphérique (dans la liste des périphériques détectés) et cliquez sur OK, une fenêtre d'éditeur de règles s'affiche avec des informations prédéfinies (vous pouvez ajuster tous les paramètres). Les règles sont classées par ordre de priorité ; les règles de priorité supérieure sont dans la partie supérieure de la liste. Vous pouvez sélectionner plusieurs règles et appliquer des actions, par exemple les supprimer ou les déplacer vers le haut ou le bas de la liste, en cliquant sur Haut/Monter/Bas/Descendre (boutons fléchés). Groupe de périphériques La fenêtre Groupes de périphériques se divise en deux parties. La partie droite de la fenêtre contient la liste des périphériques appartenant à un groupe donné. La partie gauche répertorie la liste des groupes existants. Sélectionnez le groupe contenant les périphériques que vous souhaitez afficher dans le volet droit. Vous pouvez créer des groupes de périphériques différents auxquels différentes règles sont appliquées. Vous pouvez également créer un groupe unique de périphériques définis sur Lire/Écrire ou Lecture seule. Les périphériques non reconnus sont ainsi bloqués par le contrôle de périphérique lorsqu'ils sont connectés à votre ordinateur. Un périphérique connecté à votre ordinateur peut présenter un risque de sécurité. Les fonctions disponibles sont les suivantes : 240 Ajouter Créez un groupe de périphériques en saisissant son nom ou ajoutez un périphérique à un groupe existant. Vous pouvez éventuellement indiquer des informations détaillées (le nom du fabricant, le modèle et le numéro de série, par exemple) selon l'endroit de la fenêtre sur lequel vous avez cliqué. Modifier Permet de modifier le nom du groupe sélectionné ou les paramètres du périphérique inséré (fabricant, modèle, numéro de série, etc.). Supprimer Permet de supprimer le groupe ou le périphérique sélectionné en fonction de l'emplacement sur lequel vous avez cliqué dans la fenêtre. Vous pouvez également utiliser la case à cocher située en regard d'une règle donnée pour la désactiver. La désactivation d'une règle peut s'avérer utile si vous ne souhaitez pas la supprimer définitivement en vue de la réutiliser ultérieurement. Importer Permet d'importer la liste des numéros de série des périphériques à partir d'un fichier. Chaque appareil figure sur une nouvelle ligne. Le fournisseur, le modèle et la série doivent apparaître pour chaque appareils. Ils doivent être séparés par une virgule. Kingston,DT 101 G2,001CCE0DGRFC0371 04081-0009432,USB2.0 HD WebCam,20090101 Renseigner Permet de donner une vue d'ensemble de tous les périphériques actuellement connectés avec les informations suivantes : le type de périphérique, le fournisseur, le modèle et le numéro de série (le cas échéant). Si vous sélectionnez un périphérique (dans la liste des périphériques détectés) et cliquez sur OK, une fenêtre d'éditeur de règles s'affiche avec des informations prédéfinies (vous pouvez ajuster tous les paramètres). Ajouter un appareil Cliquez sur Ajouter dans la fenêtre de droite pour ajouter un appareil à un groupe existant. Les autres paramètres présentés ci-dessous peuvent être utilisés afin d'affiner les règles pour différents appareils. Tous les paramètres respectent la casse et prennent en charge les caractères génériques (*, ?) : • Fabricant - Permet de filtrer par nom ou ID de fabricant. • Modèle - Nom du périphérique. • N° de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas d'un CD/DVD, Il s'agit du numéro de série du support et pas du lecteur. • Description : description de l'appareil pour une meilleure organisation. 241 Si ces paramètres ne sont pas définis, la règle ignore ces champs lors de la recherche de correspondances. Les paramètres de filtrage de tous les champs de texte respectent la casse et prennent en charge les caractères génériques (un point d’interrogation (?) représente un seul caractère, tandis qu’un astérisque (*) représente une chaîne de zéro caractère ou plus). Une fois le groupe d'appareils créé, vous devez ajouter une nouvelle règle de contrôle des appareils pour celui-ci et sélectionner l’action à réaliser. Une fois la personnalisation terminée, cliquez sur OK. Cliquez sur Annuler pour fermer la fenêtre Groupes de périphériques sans enregistrer les modifications. Notez que tous les droits (actions) ne sont pas disponibles pour tous les périphériques. Si un périphérique comprend un espace de stockage, les quatre actions sont disponibles. Pour les périphériques sans stockage, seules deux options sont disponibles (par exemple, l'action Lecture seule n'étant pas disponible pour Bluetooth, un tel périphérique ne peut être qu'autorisé ou bloqué). Outils de configuration Vous pouvez personnaliser les paramètres avancés des éléments suivants : • Créneaux horaires • Microsoft Windows® Update • ESET CMD • ESET RMM • Licence • Fournisseur WMI • Cibles à analyser de la console de gestion ESET • Fichiers journaux • Serveur proxy • Mode de présentation • Diagnostics • Cluster Créneaux horaires Les créneaux horaires sont utilisés au sein des règles du contrôle de périphériques, ce qui limite celles-ci lors de leur application. Créez un fuseau horaire et sélectionnez-le lors de l'ajout de nouvelles règles ou de la modification de règles existantes (paramètre Appliquer pendant). Vous pouvez ainsi définir des créneaux horaires couramment utilisés (heure de travail, week-end, etc.) et les réutiliser facilement sans avoir à redéfinir les périodes pour chaque règle. Un créneau horaire doit être applicable à n'importe quel type de règle adéquat 242 prenant en charge le contrôle temporel. Microsoft Windows Update Les mises à jour de Windows apportent des corrections importantes aux vulnérabilités potentiellement dangereuses et améliorent le niveau général de sécurité de votre ordinateur. C'est pourquoi il est essentiel d'installer les mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Mail Security vous informe des mises à jour manquantes en fonction du niveau que vous spécifiez. Les niveaux suivants sont disponibles : • Pas de mise à jour - Aucune mise à jour système n'est proposée au téléchargement. • Mises à jour optionnelles - Les mises à jour marquées comme étant faiblement prioritaires et au-dessus sont proposées au téléchargement. • Mises à jour recommandées - Les mises à jour marquées comme étant courantes et au-dessus sont proposées au téléchargement. • Mises à jour importantes - Les mises à jour marquées comme étant importantes et au-dessus sont proposées au téléchargement. • Mises à jour critiques - Seules les mises à jour critiques sont proposées pour le téléchargement. Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après la vérification de l'état à l'aide du serveur de mise à jour. Les informations de mise à jour système ne sont peut-être pas immédiatement disponibles après l'enregistrement des modifications. Analyseur de ligne de commande Comme alternative à eShell, vous pouvez exécuter l'analyseur à la demande ESET Mail Security via la ligne de commande en utilisant ecls.exe situé dans le dossier d'installation. Voici la liste des paramètres et des commutateurs : Options : /base-dir=FOLDER charger les modules depuis le DOSSIER /quar-dir=FOLDER DOSSIER de quarantaine /exclude=MASK exclure les fichiers correspondant à MASQUE de l'analyse /subdir analyser les sous-dossiers (valeur par défaut) /no-subdir ne pas analyser les sous-dossiers /max-subdir-level=LEVEL sous-niveau maximal de sous-dossiers dans les dossiers à analyser /symlink suivre les liens symboliques (valeur par défaut) /no-symlink ignorer les liens symboliques /ads analyser ADS (valeur par défaut) /no-ads ne pas analyser ADS /log-file=FILE journaliser les résultats dans un FICHIER /log-rewrite écraser le fichier de résultats (valeur par défaut - ajouter) 243 /log-console journaliser les résultats sur la console (valeur par défaut) /no-log-console ne pas journaliser les résultats sur la console /log-all également journaliser les fichiers nettoyés /no-log-all ne pas journaliser les fichiers nettoyés (valeur par défaut) /aind afficher l'indicateur d'activité /auto analyser et automatiquement nettoyer tous les disques locaux Options de l'analyseur : /files analyser les fichiers (valeur par défaut) /no-files ne pas analyser les fichiers /memory mémoire scan /boots analyser les secteurs d'amorçage /no-boots ne pas analyser les secteurs d'amorçage (valeur par défaut) /arch analyser les archives (valeur par défaut) /no-arch ne pas analyser les archives /max-obj-size=SIZE analyser uniquement les fichiers plus petits que TAILLE Mo (valeur par défaut 0 = illimité) /max-arch-level=LEVEL sous-niveau maximal d'archives à analyser dans les archives (archives imbriquées) /scan-timeout=LIMIT analyser les archives pendant un maximum de LIMITE secondes /max-arch-size=SIZE n'analyser les fichiers contenus dans une archive que s'ils sont plus petits que TAILLE (valeur par défaut 0 = illimité) /max-sfx-size=SIZE n'analyser les fichiers d'une archive auto-extractible que s'ils sont plus petits que TAILLE Mo (valeur par défaut 0 = illimité) /mail analyser les fichiers des courriers électroniques (valeur par défaut) /no-mail ne pas analyser les fichiers des courriers électroniques /mailbox analyser les boîtes aux lettres (valeur par défaut) /no-mailbox ne pas analyser les boîtes aux lettres /sfx analyser les archives auto-extractibles (valeur par défaut) /no-sfx ne pas analyser les archives auto-extractibles /rtp analyser les fichiers exécutables compressés (valeur par défaut) /no-rtp ne pas analyser les fichiers exécutables compressés /unsafe rechercher les applications potentiellement dangereuses /no-unsafe ne pas rechercher les applications potentiellement dangereuses (valeur par défaut) /unwanted rechercher les applications potentiellement indésirables /no-unwanted ne pas rechercher les applications potentiellement indésirables (valeur par défaut) /suspicious rechercher les applications suspectes (par défaut) /no-suspicious ne pas rechercher les applications suspectes /pattern utiliser les signatures (valeur par défaut) /no-pattern ne pas utiliser les signatures 244 /heur activer l'heuristique (valeur par défaut) /no-heur désactiver l'heuristique /adv-heur activer l'heuristique avancée (valeur par défaut) /no-adv-heur désactiver l'heuristique avancée /ext-exclude=EXTENSIONS exclure de l'analyse les EXTENSIONS de fichier délimitées par deux-points /clean-mode=MODE utiliser le MODE de nettoyage pour les objets infectés Les options disponibles sont les suivantes : • none (valeur par défaut) – Aucun nettoyage automatique ne sera effectué. • standard – ecls.exe tente de nettoyer ou de supprimer automatiquement les fichiers infectés. • strict – ecls.exe tente de nettoyer ou de supprimer automatiquement les fichiers infectés sans l'intervention de l'utilisateur (vous ne serez pas averti avant la suppression des fichiers). • rigorous – ecls.exe supprime les fichiers sans essayer de les nettoyer, quel que soit le type de fichier. • delete – ecls.exe supprime les fichiers sans tenter de les nettoyer, mais s’abstient de supprimer les fichiers sensibles tels que les fichiers système de Windows. /quarantine copier les fichiers infectés (si nettoyés) vers Quarantaine (complète l’action effectuée lors du nettoyage) /no-quarantine ne pas copier les fichiers infectés vers Quarantaine Options générales : /help afficher l'aide et quitter /version afficher les informations de version et quitter /preserve-time conserver la date et l'heure du dernier accès Codes de sortie : 0 aucune menace détectée 1 menace détectée et nettoyée 10 certains fichiers n'ont pas pu être analysés (peuvent être des menaces) 50 menace détectée 100 erreur (les codes de sortie supérieurs à 100 signifient que le fichier n'a pas été analysé et ne peut pas être considéré comme étant non infecté) ESET CMD Il s'agit d'une fonctionnalité qui permet d'utiliser des commandes ecmd avancées. Elle vous offre la possibilité d'exporter et d'importer des paramètres à l'aide d'une ligne de commande (ecmd.exe). Auparavant, il n'était possible d'exporter et d'importer des paramètres que dans l'interface utilisateur graphique. La configuration de ESET Mail Security peut être exportée dans un fichier .xml. Lorsqu'ESET CMD est activé, deux méthodes d'autorisation sont disponibles : • Aucun : aucune autorisation. Il n'est pas recommandé d'utiliser cette méthode car elle permet l'importation de n'importe quelle configuration non signée, ce qui constitue un risque potentiel. 245 • Mot de passe de configuration avancée : un mot de passe est nécessaire pour importer une configuration à partir d'un fichier .xml devant être signé (reportez-vous à la section relative à la signature d'un fichier de configuration .xml plus bas). Le mot de passe spécifié dans la configuration de l'accès doit être fourni avant l'importation d'une nouvelle configuration. Si la configuration de l'accès n'est pas activée, que le mot de passe ne correspond pas ou que le fichier de configuration .xml n'est pas signé, la configuration n'est pas importée. Une fois qu'ESET CMD est activé, vous pouvez utiliser la ligne de commande pour exporter ou importer des configurations de ESET Mail Security. Vous pouvez le faire manuellement ou créer un script pour l'automatisation. Pour utiliser les commandes ecmd avancées, vous devez les exécuter avec des privilèges d'administrateur ou ouvrir une invite de commandes Windows (cmd) à l'aide de la commande Exécuter en tant qu'administrateur. Si vous ne procédez pas ainsi, le message Erreur lors de l'exécution de la commande s'affiche. Le dossier de destination doit aussi exister lors de l'exportation d'une configuration. La commande d'exportation fonctionne toujours lorsque le paramètre ESET CMD est désactivé. Commande d'exportation des paramètres : ecmd /getcfg c:\config\settings.xml Commande d'importation des paramètres : ecmd /setcfg c:\config\settings.xml Les commandes ecmd ne peuvent être exécutées que localement. L'exécution de la tâche client Exécuter une commande à l'aide d'ESET PROTECT ne fonctionnera pas. Signature d'un fichier de configuration .xml : 1. Téléchargez l'exécutable XmlSignTool. 2. Ouvrez une invite de commandes Windows (cmd) en utilisant Exécuter en tant qu'administrateur. 3. Accédez à l'emplacement de xmlsigntool.exe 4. Exécutez une commande pour signer le fichier de configuration .xml : xmlsigntool /version 1|2 <xml_file_path> La valeur du paramètre /version dépend de la version de ESET Mail Security. Utilisez /version 2 pour ESET Mail Security 7 et les versions ultérieures. 5. Lorsque l'utilitaire XmlSignTool vous y invite, saisissez le mot de passe de la configuration avancée et saisissez-le de nouveau. Le fichier de configuration .xml est à présent signé. Il peut être utilisé pour importer une autre instance de ESET Mail Security avec ESET CMD à l'aide de la méthode d'autorisation du mot de passe. 246 Commande de signature du fichier de configuration exporté : xmlsigntool /version 2 c:\config\settings.xml Si le mot de passe de la configuration de l'accès change et si vous souhaitez importer une configuration qui a été signée avec un ancien mot de passe, vous pouvez signer de nouveau le fichier de configuration .xml à l'aide du mot de passe actuel. Vous pouvez ainsi utiliser un ancien fichier de configuration sans l'exporter sur un autre ordinateur exécutant ESET Mail Security avant l'importation. ESET RMM La surveillance et l'administration à distance (RMM, Remote Monitoring and Management) est le processus qui consiste à surveiller et contrôler les systèmes logiciels (comme ceux des postes de travail, serveurs et périphériques mobiles) à l'aide d'un agent installé localement qui est accessible par un fournisseur de services d'administration. Activer RMM Active la surveillance et l'administration à distance. Vous devez disposer des droits d'administrateur pour utiliser l'utilitaire RMM. Mode de fonctionnement Sélectionnez le mode de fonctionnement de RMM dans le menu déroulant : • Séparation sûre uniquement : si vous souhaitez activer l’interface RMM pour les opérations en lecture seule et sûres • Toutes les opérations : si vous souhaitez activer l’interface RMM pour toutes les opérations Méthode d'autorisation Définissez la méthode d'autorisation RMM à partir du menu déroulant : • Aucune : aucune vérification de chemin d'application ne sera effectuée. Vous pouvez exécuter ermm.exe 247 depuis n'importe quelle application. • Chemin de l'application : indiquez l'application qui est autorisée à exécuter ermm.exe. L'installation d'ESET Mail Security par défaut contient le fichier ermm.exe situé dans ESET Mail Security (chemin d'accès par défaut : c:\Program Files\ESET\ESET Mail Security ). ermm.exe échange des données avec RMM Plugin, qui communique avec RMM Agent, associé à un serveur RMM Server. • ermm.exe : utilitaire de ligne de commande développé par ESET qui permet de gérer les produits Endpoint et les communications avec un RMM Plugin. • RMM Plugin : application tierce exécutée localement sur le système du terminal Windows. Le plugin a été conçu pour communiquer avec un RMM Agent spécifique (Kaseya, par exemple) et ermm.exe. • RMM Agent : application tierce (de Kaseya, par exemple) exécutée localement sur le système du terminal Windows. L'Agent communique avec RMM Plugin et RMM Server. • RMM Server : s'exécute en tant que service sur un serveur tiers. Les systèmes RMM pris en charge le sont par Kaseya, Labtech, Autotask, Max Focus et Solarwinds N-able. Pour plus d'informations sur ESET RMM dans ESET Mail Security, consultez notre article de la base de connaissances. Modules d'extension ESET Direct Endpoint Management pour les solutions RMM tierces RMM Server s'exécute en tant que service sur un serveur tiers. Pour plus d’informations, reportez-vous aux guides de l'utilisateur en ligne d’ESET Direct Endpoint Management suivants : • Module d'extension ESET Direct Endpoint Management pour ConnectWise Automate • Module d'extension ESET Direct Endpoint Management pour DattoRMM • Module d'extension ESET Direct Endpoint Management pour Solarwinds N-Central • Module d'extension ESET Direct Endpoint Management pour NinjaRMM Licence ESET Mail Security se connecte au serveur de licences ESET plusieurs fois par heure pour effectuer des vérifications. Le paramètre Vérification de l'intervalle est défini par défaut sur Automatique. Si vous souhaitez réduire le trafic réseau lié aux vérifications de licence, définissez l'intervalle de vérification sur Limité. La vérification des licences ne sera alors effectuée qu'une fois par jour (également après le redémarrage du serveur). Lorsque l’intervalle de vérification est défini sur Limité, toutes les modifications de licence apportées à ESET Mail Security via ESET Business Account et ESET MSP Administrator peuvent prendre jusqu’à une journée pour être prises en compte. Fournisseur WMI Windows Management Instrumentation (WMI) est la mise en œuvre Microsoft de WBEM (Web-Based Enterprise Management), l'initiative du secteur visant à développer une norme de technologie pour l'accès aux informations 248 de gestion dans les environnements d'entreprise. Pour plus d'informations sur WMI, reportez-vous à la page http://msdn.microsoft.com/en-us/library/windows/desktop/aa384642(v=vs.85).aspx Fournisseur WMI ESET Le fournisseur WMI d'ESET a pour objectif de permettre la surveillance à distance des produits ESET dans un environnement d'entreprise sans exiger de logiciel ou d'outils ESET. En soumettant le produit de base, l'état et les statistiques par l'intermédiaire de WMI, nous améliorons considérablement la capacité de surveillance des produits ESET par les administrateurs d'entreprise. Les administrateurs peuvent profiter des différentes méthodes d'accès proposées par WMI (ligne de commande, scripts et outils de surveillance d'entreprise tiers) pour surveiller l'état de leurs produits ESET. La mise en œuvre actuelle fournit un accès en lecture seule aux informations de base sur les produits et les fonctionnalités installées, l'état et les statistiques de protection des différents scanners, ainsi que les fichiers journaux du produit. Le fournisseur WMI permet d'utiliser les outils et l'infrastructure WMI Windows standard pour lire l'état du produit et les journaux correspondants. Données fournies Toutes les classes WMI liées au produit ESET se trouvent dans l'espace de noms « root\ESET ». Les classes suivantes, décrites plus en détail ci-dessous, sont actuellement mises en œuvre : Général • ESET_Product • ESET_Features • ESET_Statistics Journaux • ESET_ThreatLog • ESET_EventLog • ESET_ODFileScanLogs • ESET_ODFileScanLogRecords • ESET_ODServerScanLogs • ESET_ODServerScanLogRecords • ESET_HIPSLog • ESET_URLLog 249 • ESET_DevCtrlLog • ESET_GreylistLog • ESET_MailServeg • ESET_HyperVScanLogs • ESET_HyperVScanLogRecords Classe ESET_Product Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Pour connaître les propriétés de cette classe, reportez-vous aux informations générales concernant le produit ESET installé : • ID - Identifiant du type de produit, par exemple « emsl » • Name - Nom du produit, « ESET Mail Security » par exemple • FullName - Nom complet du produit, « ESET Mail Security pour IBM Domino » par exemple • Version - Version du produit, « 6.5.14003.0 » par exemple • VirusDBVersion - Version de la base des virus, « 14533 (20161201) » par exemple • VirusDBLastUpdate - Horodatage de la dernière mise à jour de la base des virus. La chaîne contient l'horodatage au format WMI, par exemple « 20161201095245.000000+060 » • LicenseExpiration - Expiration de la licence. La chaîne contient l'horodatage au format WMI • KernelRunning - Valeur booléenne indiquant si le service ekrn est en cours d'exécution sur la machine, par exemple « TRUE » • StatusCode - Nombre indiquant l'état de protection du produit : 0 - Vert (OK), 1 - Jaune (avertissement), 2 Rouge (erreur) • StatusText - Message indiquant la raison d'un code d'état différent de zéro ; dans les autres cas, la valeur est Null Classe ESET_Features La classe ESET_Features comporte plusieurs instances en fonction du nombre de fonctionnalités du produit. Chaque instance contient : • Name - Nom de la fonctionnalité (les noms sont répertoriés ci-dessous) • Status - État de la fonctionnalité : 0 - Inactif, 1 - Désactivé, 2 - Activé La liste des chaînes représente les fonctionnalités du produit actuellement reconnues : • CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichiers • CLIENT_WEB_AV - Protection antivirus Web du client 250 • CLIENT_DOC_AV - Protection antivirus des documents du client • CLIENT_NET_FW - Pare-feu personnel du client • CLIENT_EMAIL_AV - Protection antivirus de la messagerie du client • CLIENT_EMAIL_AS - Protection antispam de la messagerie du client • SERVER_FILE_AV - Protection antivirus en temps réel des fichiers stockés sur le serveur de fichiers protégé, par exemple les fichiers d'une base de données de contenus SharePoint dans le cas d'ESET Mail Security • SERVER_EMAIL_AV - Protection antivirus de la messagerie du serveur protégé, par exemple courriers dans Microsoft Exchange ou dans IBM Domino • SERVER_EMAIL_AS - Protection antispam de la messagerie du serveur protégé, par exemple couriers dans Microsoft Exchange ou dans IBM Domino • SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la passerelle • SERVER_GATEWAY_AS - Protection antispam des protocoles réseau protégés sur la passerelle Classe ESET_Statistics La classe ESET_Statistics comporte plusieurs instances en fonction du nombre de scanners du produit. Chaque instance contient : • Analyseur - Code chaîne de l'analyseur, par exemple « CLIENT_FILE » • Total - Nombre total de fichiers analysés • Infected - Nombre de fichiers infectés détectés • Cleaned - Nombre de fichiers nettoyés • Timestamp - Horodatage de la dernière modification des statistiques. Format WMI, par exemple « 20130118115511.000000+060 » • ResetTime - Horodatage de la dernière réinitialisation des compteurs statistiques. Format WMI, par exemple « 20130118115511.000000+060 » La liste des chaînes représente les scanners actuellement reconnus : • CLIENT_FILE • CLIENT_EMAIL • CLIENT_WEB • SERVER_FILE • SERVER_EMAIL • SERVER_WEB 251 Classe ESET_ThreatLog La classe ESET_ThreatLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Menaces détectées. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal d'analyse • Timestamp - Horodatage de création du journal (au format WMI). • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Scanner - Nom du scanner qui a créé cet événement de journal. • ObjectType - Type de l'objet qui a produit cet événement de journal. • ObjectName - Nom de l'objet qui a produit cet événement de journal. • Threat - Nom de la menace qui a été détectée dans l'objet décrit par les propriétés ObjectName et ObjectType • Action - Action exécutée après l'identification de la menace • User - Compte utilisateur qui a provoqué la génération de cet événement de journal • Information - Description complémentaire de l'événement • Hash - Hachage de l'objet qui a produit cet événement de journal. ESET_EventLog La classe ESET_EventLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Événements. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal d'analyse • Timestamp - Horodatage de création du journal (au format WMI). • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Module - Nom du module qui a créé cet événement de journal. • Event - Description de l'événement. • User - Compte utilisateur qui a provoqué la génération de cet événement de journal ESET_ODFileScanLogs La classe ESET_ODFileScanLogs comporte plusieurs instances, chacune d'entre elles représentant une entrée d'analyse de fichier à la demande. Elle équivaut à la liste de journaux Analyse de l'ordinateur à la demande de l'interface utilisateur graphique. Chaque instance contient : 252 • ID - Identifiant unique de cette entrée de journal d'analyse • Timestamp - Horodatage de création du journal (au format WMI). • Targets - Dossiers/Objets cibles de l'analyse • TotalScanned - Nombre total d'objets analysés • Infected - Nombre d'objets infectés détectés • Cleaned - Nombre d'objets nettoyés • Status - État de l'analyse ESET_ODFileScanLogRecords La classe ESET_ODFileScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_ODFileScanLogs. Les instances de cette classe fournissent les entrées de journal de toutes les analyses à la demande/tous les journaux. Lorsqu'une seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque instance de classe contient : • LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances de la classe ESET_ODFileScanLogs) • ID - Identifiant unique de cette entrée de journal d'analyse • Timestamp - Horodatage de création du journal (au format WMI). • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Log - Message proprement dit du journal ESET_ODServerScanLogs La classe ESET_ODServerScanLogs comporte plusieurs instances, chacune d'entre elles représentant une exécution de l'analyse de serveur à la demande. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal d'analyse • Timestamp - Horodatage de création du journal (au format WMI). • Targets - Dossiers/Objets cibles de l'analyse • TotalScanned - Nombre total d'objets analysés • Infected - Nombre d'objets infectés détectés • Cleaned - Nombre d'objets nettoyés • RuleHits - Nombre total d'applications des règles 253 • Status - État de l'analyse ESET_ODServerScanLogRecords La classe ESET_ODServerScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_ODServerScanLogs. Les instances de cette classe fournissent les entrées de journal de toutes les analyses à la demande/tous les journaux. Lorsqu'une seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque instance de classe contient : • LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances de la classe ESET_ ODServerScanLogs) • ID - Identifiant unique de cette entrée de journal d'analyse • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Log - Message proprement dit du journal ESET_SmtpProtectionLog La classe ESET_SmtpProtectionLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Protection SMTP. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal d'analyse • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • HELODomain - Nom du domaine HELO • IP - Adresse IP de la source • Sender - Expéditeur du courrier électronique • Recipient - Destinataire du courrier électronique • ProtectionType - Type de protection utilisé • Action - Action effectuée • Reason - Motif de l'action • TimeToAccept - Nombre de minutes après lesquelles le courrier électronique est accepté ESET_HIPSLog 254 La classe ESET_HIPSLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal HIPS. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Application - Application source • Target - Type d'opération • Action - Action entreprise par HIPS (autoriser, refuser, etc.) • Rule - Nom de la règle responsable de l'action • AdditionalInfo ESET_URLLog La classe ESET_URLLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Sites Web filtrés. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • URL - URL • Status - Ce qui est arrivé à l'URL, par exemple « Bloqué par le filtrage web » "Bloqué par le filtrage web" • Application - Application ayant essayé d'accéder à l'URL • User - Compte utilisateur sous lequel l'application était exécutée ESET_DevCtrlLog La classe ESET_DevCtrlLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Contrôle de périphérique. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical 255 • Device - Nom de l'appareil • User - Nom du compte utilisateur • UserSID - SID du compte utilisateur • Group - Nom du groupe d'utilisateurs • GroupSID - SID du groupe d'utilisateurs • Status - Ce qui est arrivé à l'appareil, par exemple « Écriture bloquée » "Écriture bloquée" • DeviceDetails - Informations supplémentaires sur l'appareil • EventDetails - Informations supplémentaires sur l'événement ESET_MailServerLog La classe ESET_MailServerLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Serveur de messagerie. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • IPAddr - Adresse IP de la source • HELODomain - Nom du domaine HELO • Sender - Expéditeur du courrier électronique • Recipient - Destinataire du courrier électronique • Subject - Objet de l'e-mail • ProtectionType - Type de protection effectué par l'action décrite par l'entrée de journal actuel, à savoir contre les logiciels malveillant, antispam ou règles. • Action - Action effectuée • Reason - Raison pour laquelle l'action a été effectuée sur l'objet par le type de protection donné. ESET_HyperVScanLogs La classe ESET_HyperVScanLogs comporte plusieurs instances, chacune d'entre elles représentant une exécution de l'analyse de fichier Hyper-V. Elle équivaut à la liste de journaux analyse Hyper-V de l'interface utilisateur graphique. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal 256 • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • Targets - Machines/disques/volumes cibles de l'analyse • TotalScanned - Nombre total d'objets analysés • Infected - Nombre d'objets infectés détectés • Cleaned - Nombre d'objets nettoyés • Status - État de l'analyse ESET_HyperVScanLogRecords La classe ESET_HyperVScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_HyperVScanLogs. Les instances de cette classe fournissent les entrées de journal de toutes les analyses Hyper-V/tous les journaux. Lorsqu'une seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque instance de classe contient : • LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances de la classe ESET_HyperVScanLogs) • ID - Identifiant unique de cette entrée de journal • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Log - Message proprement dit du journal ESET_NetworkProtectionLog La classe ESET_NetworkProtectionLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Protection du réseau. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Event - Événement déclenchant une action de protection du réseau • Action - Action effectuée par la protection du réseau • Source - Adresse source du périphérique réseau • Target - Adresse cible du périphérique réseau 257 • Protocol - Protocole de communication réseau • RuleOrWormName - Nom du ver ou de la règle associé à l'événement • Application - Application ayant initié la communication réseau • User - Compte utilisateur qui a provoqué la génération de cet événement de journal ESET_SentFilesLog La classe ESET_SentFilesLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Fichiers envoyés. Chaque instance contient : • ID - Identifiant unique de cette entrée de journal • Timestamp - Horodatage de création de l'entrée de journal (au format WMI) • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Sha1 - Hachage Sha-1 du fichier envoyé • File - Fichier envoyé • Size - Taille du fichier envoyé • Category - Catégorie du fichier envoyé • Reason - Motif de l'envoi du fichier • SentTo - Service ESET auquel le fichier a été envoyé • User - Compte utilisateur qui a provoqué la génération de cet événement de journal ESET_OneDriveScanLogs La classe ESET_OneDriveScanLogs comporte plusieurs instances, chacune d'entre elles représentant une exécution du scan de OneDrive. Elle équivaut à la liste de journaux Scan de OneDrive de l'interface utilisateur graphique. Chaque instance contient : • ID - Identifiant unique de ce journal OneDrive • Timestamp - Horodatage de création du journal (au format WMI). • Targets - Dossiers/Objets cibles de l'analyse • TotalScanned - Nombre total d'objets analysés • Infected - Nombre d'objets infectés détectés • Cleaned - Nombre d'objets nettoyés • Status - État de l'analyse 258 ESET_OneDriveScanLogRecords La classe ESET_OneDriveScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_OneDriveScanLogs. Les instances de cette classe fournissent les entrées de journal de tous les scans/journaux OneDrive. Lorsqu'une seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque instance contient : • LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances de la classe ESET_OneDriveScanLogs) • ID - Identifiant unique de ce journal OneDrive • Timestamp - Horodatage de création du journal (au format WMI). • LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical • Log - Message proprement dit du journal Accès aux données fournies Voici quelques exemples indiquant comment accéder aux données WMI ESET depuis la ligne de commande Windows et PowerShell. Ces méthodes devraient fonctionner sur n'importe quel système d'exploitation Windows actuel. Il existe néanmoins de nombreuses autres manières d'accéder aux données depuis d'autres outils et langages de script. Ligne de commande sans script wmic peut être utilisé pour accéder à différentes classes VMI prédéfinies ou personnalisées. Pour afficher les informations complètes sur le produit sur la machine locale : wmic /namespace:\\root\ESET Path ESET_Product Pour afficher uniquement la version du produit sur la machine locale : wmic /namespace:\\root\ESET Path ESET_Product Get Version Pour afficher les informations complètes sur le produit sur une machine distante dont l'adresse IP est IP 10.1.118.180 : wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product PowerShell Pour obtenir et afficher les informations complètes sur le produit sur la machine locale : Get-WmiObject ESET_Product -namespace 'root\ESET' 259 Pour obtenir et afficher les informations complètes sur le produit sur une machine distante dont l'adresse IP est IP 10.1.118.180 : $cred = GetCredential # promts the user for credentials and stores it in the variable Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' cred $cred Cibles à analyser de la console de gestion ESET Cette fonctionnalité permet à ESET PROTECT d'utiliser des cibles à analyser (analyse de base de données de boîtes aux lettres à la demande et analyse Hyper-V) lors de l'exécution de la tâche client Analyse du serveur sur un serveur à l'aide de ESET Mail Security. La configuration des cibles d'analyse ESET PROTECT n'est disponible que si ESET Management Agent est installé. Lorsque vous activez Générer la liste des cibles, ESET Mail Security crée une liste de cibles à analyser disponibles. Cette liste est régulièrement générée, en fonction de la Période de mise à jour. Lorsque vous utilisez l'option Générer la liste des cibles pour la première fois, ESET PROTECT a besoin d'environ la moitié de la période de mise à jour spécifiée pour obtenir la liste. Par exemple, si la période de mise à jour est définie sur 60 minutes, ESET PROTECT aura besoin d'environ 30 minutes pour recevoir la liste des cibles à analyser. Si ESET PROTECT doit obtenir la liste plus rapidement, définissez la période de mise à jour sur une valeur inférieure. Vous pourrez toujours l'augmenter ultérieurement. Lorsque ESET PROTECT exécute une tâche client Analyse du serveur, il va collecter la liste et vous demander de sélectionner des cibles à analyser pour l'analyse Hyper-V sur ce serveur spécifique. Mode de remplacement Si une stratégie ESET PROTECT est appliquée à ESET Mail Security, une icône représentant un verrou s'affiche à la place du commutateur Activer/désactiver sur la page de configuration et d'une icône représentant un verrou en regard du commutateur dans la fenêtre Configuration avancée. 260 Normalement, les paramètres configurés via la stratégie ESET PROTECT ne peuvent pas être modifiés. Le mode de remplacement permet de déverrouiller temporairement ces paramètres. Vous devez toutefois activer le mode de remplacement à l'aide d'une stratégie ESET PROTECT. Connectez-vous à la console Web ESET PROTECT Web Console , accédez à Politiques, sélectionnez la politique appliquée à ESET Mail Security et modifiez-la ou créez-en une autre. Dans Paramètres, cliquez sur Mode de remplacement, activez ce mode et configurez les paramètres restants, notamment le type d'authentification (Utilisateur Active Directory ou Mot de passe). Une fois que la stratégie est modifiée ou qu'une nouvelle stratégie est appliquée à ESET Mail Security, le bouton Remplacer la stratégie apparaît dans la fenêtre Configuration avancée. 261 Cliquez sur le bouton Remplacer la stratégie, définissez la durée et cliquez sur Appliquer. Si vous sélectionnez Mot de passe comme type d'authentification, saisissez le mot de passe de remplacement de 262 la stratégie. Une fois que mode de remplacement est arrivé à expiration, toute modification de configuration effectuée est remplacée par les paramètres de la stratégie ESET PROTECT d'origine. Une notification s'affiche avant l'expiration du mode de remplacement. Vous pouvez arrêter le mode de remplacement à tout moment avant son expiration dans la page Supervision ou dans la fenêtre Configuration avancée. Fichiers journaux Cette section permet de modifier la configuration de la journalisation ESET Mail Security. Entrées du journal Les entrées sont écrites dans le journal des événements (C:\ProgramData\ESET\ESET Security\Logs) et peuvent être affichées dans la visionneuse des fichiers journaux. Utilisez les commutateurs pour activer ou désactiver une fonctionnalité spécifique : Consigner les erreurs de transport des messages Si cette option est activée et si un problème se produit sur la couche de transport des messages, les messages d'erreur sont écrits dans le journal des événements. Consigner les exceptions de transport des messages Si une exception est levée sur la couche de transport des messages, les détails de celle-ci sont écrits dans le journal des événements. Filtre de journalisation 263 Produit une quantité importante de données, car toutes les options de journalisation sont activées par défaut. Il est recommandé de désactiver de manière sélective les composants qui ne sont pas utiles ou liés au problème. Pour démarrer la journalisation, vous devez activer la journalisation des données de diagnostic générale au niveau du produit dans le menu principal Configuration > Outils. Une fois la journalisation activée, ESET Mail Security collecte des journaux détaillés selon les fonctionnalités de cette section qui sont activées. Utilisez les commutateurs pour activer ou désactiver une fonctionnalité spécifique. Ces options peuvent aussi être combinées selon la disponibilité de chaque composant dans ESET Mail Security. • Journalisation des données de diagnostic du transport des messages Si l'analyse de base de données s'exécute normalement pendant la résolution des problèmes, il est recommandé de désactiver l'option Journalisation des données de diagnostic du transport des messages. Sinon, le journal obtenu peut comprendre un trop grand nombre d'entrées, ce qui peut le rendre difficile à analyser. • Journalisation des données de diagnostic des analyses de base de données à la demande : écrit des informations détaillées dans les journaux, notamment lorsqu'un dépannage est nécessaire. • Journalisation des données de diagnostic du cluster - La journalisation des clusters est incluse dans la journalisation des données générales de diagnostic. • Journalisation des diagnostics OneDrive - La journalisation OneDrive est incluse dans la journalisation des diagnostics généraux. • Journalisation des données de diagnostic du moteur antispam : lorsque vous devez résoudre des problèmes, vous trouverez des informations détaillées sur le moteur antispam dans les journaux. Écrit des informations détaillées sur le moteur antispam dans le fichier journal à des fins de diagnostic. Le moteur antispam n'utilise pas le journal des événements (fichier warnlog.dat) et ne peut donc pas être affiché dans la visionneuse des fichiers journaux. Il écrit des entrées directement dans un fichier dédié (C:\ProgramData\ESET\ESET Mail Security\Logs\antispam.0.log, par exemple) afin que les données de diagnostic du moteur antispam soient conservées à un seul emplacement. Ainsi, les performances de ESET Mail Security ne sont diminuées en cas de trafic important de messages. Fichiers journaux 264 Permettent de définir le mode de gestion des journaux. Cette option est importante, principalement pour éviter toute utilisation excessive du disque. Les paramètres par défaut permettent la suppression automatique des anciens journaux pour économiser de l'espace disque. Supprimer automatiquement les entrées Les entrées des journaux plus anciennes que le nombre de jours spécifié (ci-dessous) sont supprimées. Supprimer les entrées vieilles de plus de (jours) Indiquez le nombre de jours. Supprimer automatiquement les anciennes entrées si la taille du journal est dépassée Lorsque la taille du journal dépasse Taille maximale du journal [Mo], les anciennes entrées sont supprimées jusqu'à ce que la taille Taille réduite du journal [Mo] soit atteinte. Sauvegarder automatiquement les entrées effacées Les entrées de journal et les fichiers effacés automatiquement sont sauvegardés dans le répertoire spécifié et, éventuellement, compressés au format ZIP. Sauvegarder les journaux de diagnostic Les journaux de diagnostic supprimés sont sauvegardés automatiquement. Si cette option n'est pas activée, les entrées de journal de diagnostic ne sont pas sauvegardées. Dossier de sauvegarde Dossier dans lequel les sauvegardes du journal sont stockées. Vous pouvez activer les sauvegardes de journal compressées à l'aide de l'outil ZIP. Optimiser automatiquement les fichiers journaux Lorsque cette option est activée, les fichiers journaux sont automatiquement défragmentés si le pourcentage de fragmentation est supérieur à la valeur spécifiée dans le champs Si le nombre d'entrées inutilisées dépasse (%). Cliquez sur Optimiser pour démarrer la défragmentation des fichiers journaux. Toutes les entrées vides des journaux sont supprimées pour améliorer les performances et accélérer le traitement des journaux. Cette amélioration se constate notamment si les journaux comportent un grand nombre d'entrées. Activer le protocole texte Permet le stockage des journaux dans un autre format de fichier séparé des fichiers journaux : • Répertoire cible - Répertoire dans lequel les fichiers journaux sont stockés (s'applique uniquement aux formats Texte/CSV). Chaque section de journal dispose de son propre fichier avec un nom de fichier prédéfini (par exemple virlog.txt pour la section Menaces détectées des fichiers journaux si vous utilisez le format de fichier texte brut pour stocker les journaux). • Type - Si vous sélectionnez le format de fichier Texte, les journaux sont stockés dans un fichier texte dans lequel les données sont séparées par des tabulations. Le même processus s'applique au format de fichier CSV (fichier séparé par des virgules). Si vous choisissez Événement, les journaux sont stockés dans le journal des événements Windows (qui peut être affiché dans Observateur d'événements accessible à partir du Panneau de configuration) au lieu d'un fichier. • Supprimer tous les fichiers journaux : efface tous les fichiers journaux sélectionnés dans le menu déroulant Type. Pour résoudre les problèmes plus rapidement, l'assistance technique ESET peut vous demander de fournir les journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires. Pour plus d'informations sur ESET Log Collector, consultez l'article de la base de connaissances. Journal d’audit Permet de suivre les modifications dans la configuration ou de protection d'. Étant donné que la modification de la configuration du produit peut avoir une incidence considérable sur le fonctionnement de celui-ci, vous pouvez suivre les modifications à des fins d'audit. Vous pourrez consulter les entrées des modifications dans la section Fichiers journaux > Journal d'audit. Exportation des journaux 265 Exporter vers les journaux des applications et des services Windows Permet de dupliquer les entrées du Journal de la protection du serveur de messagerie dans les journaux des applications et des services. Pour consulter le journal de la protection du serveur de messagerie, ouvrez l'Observateur d'événements Windows, puis accédez à Journaux des applications et des services > ESET > Sécurité > ExchangeServer > MailProtection. Les journaux des applications et des services sont pris en charge sous Microsoft Windows Server 2012 ou version ultérieure. Exporter vers le serveur syslog Il est possible de dupliquer les journaux de la protection du serveur de messagerie sur le serveur syslog au format CEF (Common Event Format). Le format CEF est un format texte normalisé extensible qui peut être utilisé pour faciliter la collecte et l'agrégation de données en vue d'une analyse ultérieure par un système de gestion d'entreprise. Dans ce cas, vous pouvez l'utiliser avec les solutions SIEM (Security Information and Event Management) et de gestion des journaux telles que Micro Focus ArcSight. Pour plus d'informations sur les champs d'événement exportés et leur description, voir Mappage des événements Syslog. Adresse du serveur Saisissez l'adresse IP ou le nom d'hôte du serveur. Dans le cas d'ArcSight, spécifiez le serveur sur lequel SmartConnector est installé. Protocole Sélectionnez le protocole à utiliser : TCP ou UDP. Port La valeur par défaut est 514 pour les deux protocoles. Exporter vers un fichier Permet l'exportation locale des journaux dans un fichier au format CEF. La capacité de stockage de la journalisation étant limitée, une journalisation circulaire est utilisée. Les entrées sont écrites séquentiellement dans les fichiers (de mailserver.0.log à mailserver.9.log). Les dernières entrées sont stockées dans mailserver.0.log. Une fois sa taille limite atteint, le fichier le plus ancien mailserver.9.log est supprimé et les autres fichiers journaux sont renommés en séquence (mailserver.0.log est renommé en mailserver.1.log, etc.). Chemin d'accès au fichier Le chemin d'accès par défaut est C:\ProgramData\ESET\ESET Security\Logs. Vous pouvez modifier l'emplacement si nécessaire. Mappage des événements Syslog Les tableaux ci-après montrent le mappage des événements ESET Mail Security sur les champs de données ArcSight. Vous pouvez utiliser ces tableaux comme référence de ce qui est envoyé à ArcSight via SmartConnector. Header Device Vendor "ESET" Device Product "EMSX" Device Version e.g. "7.1.10005.0" Device Event Class ID e.g. "101" Event Name 266 "EMSX" or "ESET Mail Security for MS Exchange Server" Device Event Category unique identifier: 100-199 malware 200-299 phish 300-399 spam 400-499 policy A brief description of what happened in the event: MailScanResult: malware e.g. "MailScanResult: malware" MailScanResult: phishing link MailScanResult: spam MailScanResult: policy CEF Key Name CEF Key Full Name (Size) Field Description Detailed Field Description rt deviceReceiptTime Time event was generated The time at which the event was generated, in milliseconds since Jan 1st 1970 src sourceAddress Sender's IP IP address of the sending mail server shost sourceHostName (1023) Sender's HELO domain HELO domain of the sending mail server flexString1 flexString1 Message-ID Message-ID header from the email dhost destinationHostName (1023) Receiving server Hostname of the machine that received the communication msg message (1023) Message subject Subject of the message, from the RFC5233 header "Subject:" suser sourceUserName (1023) SMTP sender SMTP sender of the email (MAIL FROM) duser destinationUserName (1023) SMTP recipient(s) SMTP recipient(s) of the email (RCPT TO) act deviceAction (63) Action taken (cleaned, quarantined, etc.) cat deviceEventCategory (1023) Detection category Action taken Most significant detection (malware >> phish >> spam >> SPF/DKIM >> policy) sourceServiceName sourceServiceName Type of protection SMTP Transport agent, Ondemand database scan deviceExternalId deviceExternalId Engine version Anti-Malware engine version, Antispam engine version, e.g. "18620,7730" cs1 deviceCustomString1 Anti-Malware result Result of Anti-Malware scan, including threat name cs1Label deviceCustomString1Label "Anti-Malware result" cs2 deviceCustomString2 Antispam result cs2Label deviceCustomString2Label "Antispam result" cs3 deviceCustomString3 Anti-Phishing result cs3Label deviceCustomString3Label "Anti-Phishing result" cs4 deviceCustomString4 SPF/DKIM/DMARC result cs4Label deviceCustomString4Label "SPF/DKIM/DMARC result" cs5 deviceCustomString5 "From:" sender cs5Label deviceCustomString5Label "From header" cs6 deviceCustomString6 cs6Label deviceCustomString6Label "To and Cc headers" fname filename (1023) Attachment name 267 "To:" and "Cc:" recipients Result of Antispam scan, including reason for marking as spam Result of Anti-Phishing scan, including detected URL Result of SPF/DKIM/DMARC check, in RFC7601 format Sender address from RFC5322 header "From:" Recipients addresses from RFC5322 headers "To:" and "Cc:" Name of the first detected attachment CEF Key Name CEF Key Full Name (Size) Field Description Detailed Field Description fileHash fileHash (255) Attachment hash Hash of the first detected attachment fsize fileSize Attachment size Size of the first detected attachment reason reason (1023) Rule/policy activated Name of the policy triggered by the email or it's content File details Information about all detected attachments, their names, hashes and sizes ESETEMSXFileDetails ESETEMSXFileDetails Optional CEF Key Name CEF Key Full Name (Size) Field Description end endTime Time event has ended dtz deviceTimeZone (255) Timezone of the server request requestURL Detected URL Detailed Field Description The time at which the activity ended, in milliseconds since Jan 1st 1970. Useful only if sand boxing technology is used ESET LiveGuard Advanced. Malign or blacklisted URL extracted from mail body or mail headers. ESET Mail Security does not provide single URL in logs due to the fact that multiple URL's can be detected in email messages by various detection components. Serveur proxy Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par l'intermédiaire d'un serveur proxy. Si c'est le cas, les paramètres suivants doivent être définis. Si vous ne définissez pas les paramètres, le programme ne pourra pas se mettre à jour automatiquement. Dans ESET Mail Security, il est possible de configurer le serveur proxy à partir de deux sections dans la fenêtre Configuration avancée (F5). 1. Configuration avancée (F5) > Mise à jour > Profils > Mises à jour > Options de connexion > Proxy HTTP. Ce paramètre s'applique au profil de mise à jour donné et est recommandé pour les ordinateurs portables, car il permet de recevoir les mises à jour des modules depuis différents emplacements. 2. Configuration avancée (F5) > Outils > Serveur proxy. La spécification du serveur proxy à ce niveau définit les paramètres de serveur proxy globaux pour l'intégralité d'ESET Mail Security. Les paramètres définis ici seront utilisés par tous les modules qui se connectent à Internet. Pour spécifier des paramètres de serveur proxy à ce niveau, activez l'option Utiliser un serveur proxy, puis entrez l'adresse du serveur proxy dans le champ Serveur proxy, ainsi que le numéro de port de celui-ci. Le serveur proxy exige une authentification Si la communication réseau via le serveur proxy exige une authentification, activez cette option et indiquez le nom d'utilisateur et le mot de passe. Détecter le serveur proxy 268 Cliquez sur Détecter pour détecter et renseigner automatiquement les paramètres du serveur proxy. Les paramètres indiqués dans Internet Explorer sont copiés. Cette fonctionnalité ne récupère pas les données d'authentification (nom d'utilisateur et mot de passe) ; vous devez donc les fournir. Utiliser une connexion directe si le serveur proxy n'est pas disponible Si un produit est configuré pour utiliser le proxy HTTP et que ce dernier est injoignable, le produit ignore le proxy et communique directement avec les serveurs ESET. Mode de présentation Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors de l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent réduire les contraintes sur l'UC. Il peut également être utilisé au cours de présentations qui ne peuvent pas être interrompues par l'activité d'ESET Mail Security. Lorsqu'il est activé, toutes les fenêtres de notification sont désactivées et les tâches planifiées ne sont pas exécutées. La protection du système continue à fonctionner en arrière-plan, mais n'exige aucune interaction de la part de l'utilisateur. Activer automatiquement le mode de présentation lors de l’exécution d’applications en mode plein écran Le mode de présentation est automatiquement activé lorsque vous exécutez une application en mode plein écran. Lorsque ce mode est activé, vous n'êtes plus en mesure d'afficher les notifications ou le changement d'état de ESET Mail Security. Désactiver automatiquement le mode de présentation après Permet de définir une durée en minutes après laquelle le mode de présentation est automatiquement désactivé. Diagnostics L'option Diagnostics fournit un fichier d'image mémoire en cas de défaillance d'une application lors des processus ESET (par exemple ekrn). Dès qu’une application présente une défaillance, un fichier d’image mémoire est généré. Ce fichier permet aux développeurs de déboguer et de résoudre différents ESET Mail Security problèmes. Cliquez sur le menu déroulant en regard de l'option Type de fichier d'image mémoire, puis sélectionnez l'une des trois options disponibles : • Désactiver - Permet de désactiver cette fonctionnalité. • Mini - (Valeur par défaut) Enregistre le plus petit ensemble d'informations utiles qui peut permettre d'identifier les raisons de l'arrêt inopiné de l'application. Ce type de fichier d'image mémoire peut être utile lorsque l'espace disponible est limité. Toutefois, en raison des informations limitées qui figurent dans ce fichier, les erreurs qui n'étaient pas directement provoquées par la menace (car cette dernière ne s'exécutait pas au moment du problème) risquent de ne pas être détectées par l'analyse de ce fichier. • Complet - Enregistre tout le contenu de la mémoire système en cas d'arrêt inopiné de l'application. Un fichier d'image mémoire complet peut contenir des données provenant des processus en cours au moment de sa collecte. 269 Répertoire cible Répertoire dans lequel est généré le fichier d’image mémoire lors de la défaillance. Ouvrir le dossier de diagnostics Cliquez sur " Ouvrir " pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur Windows. Créer un fichier d'image mémoire de diagnostics Cliquez sur Créer pour créer des fichiers d'image mémoire de diagnostics dans le répertoire cible. Journalisation avancée Activer la journalisation avancée du scanner d'ordinateur : Enregistrez tous les événements qui se produisent lors de l’analyse des fichiers et des dossiers par l’analyse de l’ordinateur ou la protection en temps réel du système de fichiers. Activer la journalisation avancée du contrôle des appareils : Enregistrez tous les événements qui se produisent dans le contrôle des appareils pour permettre un diagnostic et la résolution des problèmes. Activer la journalisation avancée de Direct Cloud : Enregistrez toutes les communications du produit entre celuici et les serveurs Direct Cloud. Activer la journalisation avancée de la protection des documents : Enregistrez tous les événements qui se produisent dans la protection des documents pour permettre un diagnostic et la résolution des problèmes. Activer la journalisation avancée du noyau : Enregistrez tous les événements qui se produisent dans le service de noyau ESET (ekrn) pour permettre un diagnostic et la résolution des problèmes. Activer la journalisation avancée des licences : enregistrez toutes les communications du produit avec le serveur de licences. Activer le suivi de la mémoire : Enregistrez tous les événements qui permettront aux développeurs de diagnostiquer les fuites de mémoire. Activer la journalisation avancée de la protection du réseau : Enregistrez toutes les données réseau qui passent par la protection du réseau au format PCAP. Les développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés à la protection du réseau. Activer la journalisation du système d'exploitation : Des informations supplémentaires sur le système d'exploitation telles que les processus en cours, l'activité de l'UC et les opérations du disque sont recueillies. Celles-ci peuvent aider les développeurs à diagnostiquer et résoudre les problèmes liés au produit ESET s'exécutant sur votre système d'exploitation. Activer la journalisation avancée du filtrage des protocoles : Enregistrez toutes les données qui passent par le moteur de filtrage des protocoles au format PCAP. Les développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés au filtrage des protocoles. Activer la journalisation avancée des messages Push : Enregistrez tous les événements pendant les messages Push pour permettre les diagnostics et la résolution des problèmes. Activer la journalisation avancée de la protection en temps réel du système de fichiers : enregistrez tous les événements qui se produisent dans la protection en temps réel du système de fichiers pour permettre un diagnostic et la résolution des problèmes. Activer la journalisation avancée du moteur de mise à jour : Enregistrez tous les événements qui se produisent pendant le processus de mise à jour. Les développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés au moteur de mise à jour. Emplacement des fichiers journaux C:\ProgramData\ESET\ESET Security\Diagnostics\ Assistance technique Envoyer les données de configuration système 270 Sélectionnez Toujours soumettre pour que le système ne vous demande pas si vous souhaitez soumettre les données de configuration d'ESET Mail Security au service client. Utilisez sinon Demander avant soumission. Cluster L'option Activer le cluster est activée automatiquement lorsqu'ESET Cluster est configuré. Vous pouvez la désactiver manuellement dans la fenêtre Configuration avancée (F5) en cliquant sur l'icône de commutateur (lorsque vous devez modifier la configuration sans affecter les autres nœuds d'ESET Cluster, par exemple). Ce commutateur active ou désactive uniquement la fonctionnalité ESET Cluster. Pour configurer ou détruire le cluster, utilisez l'Assistant Cluster ou la commande Détruire le cluster située dans la section Outils > Cluster de la fenêtre principale du programme. Fonctionnalité ESET Cluster non configurée et désactivée : Fonctionnalité ESET Cluster correctement configurée avec ses informations et options : 271 Interface utilisateur Configurez le comportement de l'interface utilisateur graphique (GUI) de ESET Mail Security. Vous pouvez ajuster l'apparence du programme et l'utilisation des effets. Utilisez le menu déroulant Mode de démarrage de l'interface utilisateur graphique pour sélectionner un mode de démarrage de l'interface utilisateur graphique (GUI) parmi les suivants : • Complet - L’interface utilisateur graphique complète sera affichée. • Terminal - Aucune notification ni alerte n'est affichée. L'interface utilisateur graphique peut être uniquement démarrée par l'administrateur. L'interface utilisateur doit être définie sur le mode Terminal si les éléments graphiques ralentissent les performances de votre ordinateur ou entraînent d'autres problèmes. Vous souhaiterez peut-être également désactiver l'interface utilisateur graphique sur un serveur Terminal Server. Pour plus d'informations sur l'installation de ESET Mail Security sur un serveur Terminal Server, reportez-vous à la rubriqueDésactiver l'interface utilisateur graphique sur un serveur Terminal Server. Mode couleur Sélectionnez le modèle de couleurs de l’interface utilisateur graphique (GUI) d'ESET Mail Security dans le menu déroulant : • Identique à la couleur du système - Le modèle de couleurs d'ESET Mail Security repose sur les paramètres du système d’exploitation. • Sombre - ESET Mail Security utilise un modèle de couleurs foncées (mode sombre). 272 • Clair - ESET Mail Security utilise un modèle de couleurs claires (standard). Afficher l’écran de démarrage : Désactivez cette option si vous préférez ne pas afficher l'écran de démarrage lorsque la fenêtre principale du programme ESET Mail Security démarre, par exemple lors de la connexion au système. Émettre un signal sonore : ESET Mail Security émet un signal sonore en cas d'événement important lors d'une analyse, par exemple lorsqu'une menace est découverte ou lorsque l'analyse est terminée. Intégrer dans le menu contextuel - Lorsque cette option est activée, les éléments de commande de ESET Mail Security sont intégrés dans le menu contextuel. Le menu contextuel est le menu qui s'affiche lorsque vous cliquez avec le bouton droit sur un objet (fichier). Il répertorie toutes les actions que vous pouvez effectuer sur un objet. Informations sur la licence Lorsque cette option est activée, des messages et des notifications concernant votre licence s'affichent. Afficher les informations de la licence : Lorsque cette option est désactivée, la date d’expiration de la licence dans l'état de la protection et l’écran Aide et assistance ne s’affiche pas. Configurer les statuts d’application liés aux licences - Ouvre la liste des états d’application liés aux licences. Configurer les notifications de licence : Lorsque cette option est désactivée, les notifications et messages ne s’affichent que lorsque la licence arrive à expiration. Configuration de l'accès - Vous pouvez empêcher toute modification non autorisée à l'aide de l'outil Configuration de l'accès afin d'assurer un niveau élevé de sécurité. ESET Shell - Vous pouvez configurer les droits d'accès aux données, fonctionnalités et paramètres du produit par l'intermédiaire d'eShell en changeant la Politique d'exécution du Shell ESET. Icône dans la zone de notification Windows Rétablir tous les paramètres de cette section Configuration de l'accès Il est essentiel que ESET Mail Security soit correctement configuré pour garantir la sécurité maximale du système. Tout changement inapproprié peut entraîner des problèmes, voire même la perte de données importantes. Pour éviter des modifications non autorisées, la configuration de ESET Mail Security peut être protégée par mot de passe. Si vous désinstallez ESET Mail Security alors que vous utilisez la protection par mot de passe de la configuration d'accès, vous serez invité à saisir le mot de passe. Si vous ne le saisissez pas, vous ne pourrez pas désinstaller ESET Mail Security. Protéger les paramètres par un mot de passe Verrouille ou déverrouille les paramètres de configuration du programme. Cliquez sur cette option pour ouvrir la fenêtre Configuration du mot de passe. Définir le mot de passe 273 Pour définir ou modifier un mot de passe visant à protéger les paramètres de configuration, cliquez sur Définir. Pour protéger les paramètres de configuration d'ESET Mail Security afin d'éviter toute modification non autorisée, vous devez définir un nouveau mot de passe. Si vous souhaitez modifier un mot de passe existant, tapez votre ancien mot de passe dans le champ Ancien mot de passe, saisissez votre nouveau mot de passe dans les champs Nouveau mot de passe et Confirmer le mot de passe, puis cliquez sur OK. Ce mot de passe sera nécessaire à toute modification apportée à ESET Mail Security. Demander des droits d’administrateur complets pour des comptes Administrateur limités Sélectionnez cette option pour inviter l'utilisateur actuel (qui ne possède pas les autorisations d'administrateur) à saisir les informations d'identification du compte administrateur lors de la modification de certains paramètres du système, comme la désactivation des modules de protection. Si le mot de passe de la configuration de l'accès change et si vous souhaitez importer un fichier de configuration .xml existant (qui a été signé avant la modification du mot de passe) à l'aide de la ligne de commande ESET CMD, veillez à signer de nouveau le fichier à l'aide du mot de passe actuel. Vous pouvez ainsi utiliser un ancien fichier de configuration sans avoir besoin de l'exporter sur un autre ordinateur exécutant ESET Mail Security avant l'importation. ESET Shell Vous pouvez configurer les droits d'accès aux données, fonctionnalités et paramètres du produit par l'intermédiaire d'eShell en changeant la Politique d'exécution du ESET Shell. Le paramètre par défaut est Scripts limités, mais vous pouvez le modifier et choisir Désactivé, Lecture seule ou Accès complet, si nécessaire. Désactivé eShell ne peut pas être utilisé. Seule la configuration d'eShell est autorisée dans le contexte ui eshell. Vous pouvez personnaliser l'aspect d'eShell, mais vous ne pouvez pas accéder aux paramètres ou données du produit. Lecture seule eShell peut être utilisé comme outil de surveillance. Vous pouvez afficher tous les paramètres dans les modes de traitement par lots et interactif. Vous ne pouvez toutefois pas modifier les paramètres, les fonctionnalités ni les données. Scripts limités En mode interactif, vous pouvez afficher l'ensemble des paramètres, des fonctionnalités et des données. En mode de traitement par lots, eShell fonctionne comme si vous étiez en mode de lecture seule. Toutefois, si vous utilisez des fichiers de commandes signés, vous ne pouvez pas modifier les paramètres ni les données. Accès complet L'accès à tous les paramètres est illimité dans les modes interactif et de traitement par lots (lors de l'exécution de fichiers de commandes). Vous pouvez afficher et modifier les paramètres. Pour exécuter eShell avec un accès complet, vous devez utiliser un compte d'administrateur. Si la fonctionnalité Contrôle de compte d'utilisateur (UAC) est activée, une élévation est également requise. 274 Désactivation de l'interface utilisateur graphique sur Terminal Server Ce chapitre indique comment désactiver l'interface utilisateur graphique d'ESET Mail Security sur Windows Terminal Server pour les sessions utilisateur. Normalement, l'interface utilisateur graphique d'ESET Mail Security démarre chaque fois qu'un utilisateur distant se connecte au serveur et crée une session de terminal. Cet affichage n'est généralement pas conseillé sur les serveurs Terminal Server. Si vous souhaitez désactiver l'interface utilisateur graphique pour les sessions de terminal, vous pouvez le faire par le biais d'eShell en exécutant la commande set ui ui gui-start-mode none. L'interface utilisateur graphique passe ainsi en mode terminal. Il existe deux modes pour le démarrage de l'interface utilisateur graphique : set ui ui gui-start-mode full set ui ui gui-start-mode none Si vous souhaitez connaître le mode actuellement utilisé, exécutez la commande get ui ui gui-start-mode. Si vous avez installé ESET Mail Security sur un serveur Citrix, il est recommandé d'utiliser les paramètres décrits dans cet article de la base de connaissances . Icône dans la zone de notification Windows Pour accéder aux fonctionnalités et options de configuration les plus importantes, cliquez avec le bouton droit sur l'icône dans la partie système de la barre des tâches (zone de notification Windows). Pour accéder au menu icône de la partie système de la barre des tâches (zone de notification Windows), veillez à ce que le mode de démarrage des éléments de l’interface utilisateur soit défini sur Complet. Plus d'informations Permet d'afficher la page Supervision pour montrer l'état actuel de la protection et les messages. Désactiver la protection Affiche la boîte de dialogue de confirmation qui désactive l'antivirus et antispyware ; ce dernier protège des attaques malveillantes en contrôlant les fichiers et les communications par messagerie et Internet. Le menu déroulant Intervalles de temps permet de spécifier la durée de désactivation de la protection. Configuration avancée Ouvre la configuration avancée d'ESET Mail Security. Fichiers journaux Contiennent tous les événements importants qui se sont produits et fournissent un aperçu des menaces détectées. 275 Réinitialiser la présentation des fenêtres Rétablit la taille et la position par défaut de la fenêtre ESET Mail Security. Mode couleur Ouvre les paramètres de l’interface utilisateur où vous pouvez changer la couleur de l’interface utilisateur graphique. Rechercher des mises à jour Commence la mise à jour des modules afin de garantir un niveau optimal de protection contre les codes malveillants. À propos Les informations système fournissent des détails sur la version installée d'ESET Mail Security, sur les modules installés et sur la date d'expiration de votre licence. Des informations sur votre système d'exploitation et les ressources système figurent dans la partie inférieure de la page. Notifications Les notifications sur le Bureau et les info-bulles sont fournies à titre d'information uniquement et n'exigent aucune interaction avec l'utilisateur. Elles s'affichent dans la partie système de la barre d'état, dans l'angle inférieur droit de l'écran. D'autres options détaillées (la durée d'affichage des notifications et la transparence de la fenêtre) peuvent être modifiées en dessous. Gérez les notifications ESET Mail Security. Ouvrez Configurations avancées (F5) > Notifications. Vous pouvez configurer les types suivants : États d’application : cliquez sur Modifier pour sélectionner les états d’application qui seront affichés dans la section d'accueil de la fenêtre principale du programme. Notifications du Bureau : petites fenêtres contextuelles en regard de la barre des tâches système. Alertes interactives : fenêtres d’alerte et boîtes de message qui nécessitent une interaction de l’utilisateur. Transfert (notifications par e-mail) : les notifications sont envoyées à une adresse e-mail spécifiée. États d'application Cette boîte de dialogue permet de sélectionner les états d'application à afficher ou non. Par exemple lorsque vous interrompez la protection antivirus et antispyware, ce qui entraînera une modification de l'état de la protection dans la page Supervision. Un état d'application est également affiché si votre produit n'est pas activé ou si la licence est arrivée à expiration. Les états d'application peuvent être modifiés par le biais des stratégies d'ESET PROTECT. 276 États et messages désactivés Messages de confirmation Affiche la liste des messages de confirmation que vous pouvez choisir d'afficher ou non. États d'application Activez ou désactivez l'affichage de l'état dans la page Supervision du menu principal. Notifications du Bureau La notification du Bureau est représentée par une petite fenêtre de notification en regard de la barre des tâches système. Elle est définie par défaut pour s'afficher pendant 10 secondes, puis elle disparaît lentement. ESET Mail Security communique avec l’utilisateur en l’informant des mises à jour du produit, des nouveaux appareils connectés, des analyses antivirus, de l’achèvement d'une tâche ou des nouvelles détections effectuées. Afficher les notifications du Bureau Il est recommandé de garder cette option activée afin que le produit puisse vous informer lorsqu’un nouvel événement se produit. Notifications du Bureau Cliquez sur Modifier pour sélectionner les notifications du Bureau afin de communiquer différents événements. Activez l'option Ne pas afficher les notifications en cas d'exécution d'applications en mode plein écran pour 277 supprimer toutes les notifications non interactives. Afficher le temps en secondes Définissez la durée de visibilité de la notification. La valeur doit être comprise entre 3 et 30 secondes. Transparence Définissez le pourcentage de transparence des notifications. La plage prise en charge est de 0 (pas de transparence) à 80 (transparence très élevée). Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité des alertes et notifications. Les options disponibles sont les suivantes : • Diagnostic - Consigne toutes les informations nécessaires au réglage du programme et de toutes les entrées ci-dessus. • Entrées informatives - Enregistre tous les messages d'information, y compris les messages de mises à jour réussies et toutes les entrées ci-dessus. • Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. • Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les erreurs critiques. • Critique - Consigne uniquement les erreurs critiques. Le champ Sur les systèmes multi-utilisateurs, afficher les notifications sur l'écran de l'utilisateur suivant indique l'utilisateur qui recevra les notifications système et les autres notifications lorsque le système autorise la connexion simultanée de plusieurs utilisateurs. Normalement, il doit s'agir de l'administrateur système ou de l'administrateur réseau. Cette option est particulièrement utile pour les serveurs Terminal Server, à condition que toutes les notifications système soient envoyées à l'administrateur. Autoriser les notifications à occuper l'écran - Les notifications occupent l'écran et sont accessibles en appuyant sur Alt+Tab. Personnalisation Cette fenêtre vous permet de personnaliser les messages utilisés dans les notifications. Message de notification : Message par défaut à afficher dans le pied de page des notifications. Détection Ne pas fermer automatiquement les notifications de détection Les notifications de détection restent affichées à l'écran jusqu'à ce qu'elles soient fermées manuellement. Utiliser le message défaut Vous pouvez désactiver le message par défaut et spécifier le message de notification de détection personnalisé qui sera affiché lors du blocage d'une détection. 278 Message de notification de détection Saisissez un message personnalisé à afficher lorsqu'une détection est bloquée. Notifications du Bureau Vous pouvez configurer des notifications ESET Mail Security à afficher sur le bureau. Alertes interactives Vous pouvez configurer la manière dont ESET Mail Security traite les alertes de menace et les notifications système (messages indiquant une mise à jour réussie, par exemple). Vous pouvez par exemple configurer la Durée et la Transparence des notifications dans la zone de notification Windows (cela ne s'applique qu'aux systèmes prenant en charge les notifications). Afficher les alertes interactives Désactivez cette fonctionnalité si vous souhaitez empêcher ESET Mail Security d'afficher des alertes dans la zone de notification Windows. Liste des alertes interactives Utile pour l'automatisation. Désactivez l'option Demander à l'utilisateur pour les éléments que vous souhaitez automatiser et choisissez l'action à exécuter au lieu que la fenêtre d'alerte attende votre action. Les zones de message servent à afficher de courts messages de texte ou des questions. 279 Fermer automatiquement les zones de message Permet de fermer automatiquement les fenêtres de notification après un certain délai. Si les fenêtres d'alerte ne sont pas fermées manuellement, le système les ferme automatiquement une fois le laps de temps écoulé. Messages de confirmation Lorsque vous cliquez sur Modifier, une fenêtre contextuelle s'affiche. Elle contient la liste des messages de confirmation que ESET Mail Security affiche avant l'exécution d'une action. Utilisez les cases à cocher pour personnaliser vos préférences pour les messages de confirmation. Transfert ESET Mail Security peut automatiquement envoyer des courriers électroniques de notification si un événement avec le niveau de verbosité sélectionné se produit. Activez l'option Envoyer des notifications d'événement par email pour activer les notifications par e-mail. Transférer vers l'adresse e-mail Activez Transférer les notifications vers l'adresse e-mail pour activer les notifications par e-mail. Notifications transférées Sélectionnez quelles notifications du Bureau sont transférées vers l'adresse e-mail. Configurations des e-mails Verbosité minimale des notifications - Spécifie le niveau minimum de verbosité des notifications à envoyer. • Diagnostic - Consigne toutes les informations nécessaires au réglage du programme et de toutes les entrées ci-dessus. • Entrées informatives - Consigne tous les messages d'information comme les événements de réseau non standard, y compris les messages de mises à jour réussies et toutes les entrées ci-dessus. • Avertissements - Consigne les erreurs critiques et les messages d’avertissement (Antistealth ne s’exécute pas correctement ou la mise à jour a échoué). • Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les erreurs critiques. • Critique - Consigne uniquement les erreurs critiques. Envoyer chaque notification dans un e-mail séparé Lorsque cette option est activée, le destinataire recevra un nouvel e-mail pour chaque notification spécifique. Cela peut se traduire par la réception d'un nombre important d'e-mails dans une courte période de temps. Intervalle après lequel les nouveaux e-mails de notification seront envoyés (min) Intervalle en minutes après lequel de nouvelles notifications seront envoyées par e-mail. Définissez cette valeur sur 0 si vous souhaitez envoyer ces notifications immédiatement. 280 Adresse de l’expéditeur Adresse de l'expéditeur - Saisissez l'adresse de l'expéditeur qui apparaît dans l'en-tête des mails de notification. Il s'agit de l'adresse que le destinataire pourra voir dans le champ De. Adresse du destinataire Spécifiez l’adresse e-mail du destinataire qui sera affichée dans l’en-tête des e-mails de notification. Utilisez un point-virgule « ; » pour séparer plusieurs adresses e-mail. Serveur SMTP Nom du serveur SMTP utilisé pour envoyer des alertes et des notifications. Il s'agit généralement du nom de votre serveur de messagerie. Les serveurs SMTP avec chiffrement TLS sont pris en charge par ESET Mail Security. Nom d'utilisateur et mot de passe Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un mot de passe valides donnant accès au serveur SMTP. Activer TLS Permet d'activer les messages d'alerte et de notification pris en charge par le chiffrement TLS. Tester la connexion SMTP Un message de test sera envoyé à l’adresse e-mail du destinataire. Format des messages Les communications entre le programme et l'utilisateur ou l'administrateur système distants se font via la messagerie ou le réseau local (au moyen du service Windows Messenger). Le format des messages d’alerte et des notifications par défaut est optimal dans la plupart des situations. Dans certaines situations, le format des messages d'événement doit être changé. Format des messages d’événement Spécifiez le format des messages de notification d'événement envoyés par e-mail. Format des messages d’avertissement de menace Messages d'alerte et de notification de menace dont le format par défaut est prédéfini. Il est déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé de traitement des messages), vous serez peut-être amené à modifier le format des messages. Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les informations réelles spécifiées. Les mots-clés suivants sont disponibles : • %TimeStamp% - Date et heure de l'événement. • %Scanner% - Module concerné. 281 • %ComputerName% - Nom de l'ordinateur sur lequel l'alerte s'est produite. • %ProgramName% - Programme ayant généré l'alerte. • %DetectionObject% - Nom du fichier, message infecté, etc. • %DetectionName% - Identification de l'infection. • %ErrorDescription% - Description d'un événement autre qu'un virus. Les mots-clés %DetectionObject% et %DetectionName% ne sont utilisés que dans les messages d'alerte de menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement. Jeu de caractères Vous pouvez choisir le codage dans le menu déroulant. L'e-mail sera converti en fonction du codage de caractères sélectionné. Convertit le message e-mail au codage ANSI sur la base des paramètres régionaux de Windows (par exemple, windows-1250, Unicode (UTF-8), ACSII 7 bits ou japonais (ISO-2022-JP). Ainsi, « á » sera changé en « a » et un symbole inconnu en « ? ». Utiliser le codage Quoted-printable L'e-mail source est codé au format Quoted-printable (QP) qui utilise les caractères ASCII et peut correctement transmettre les caractères spéciaux par e-mail au format 8 bits (áéíóú). Rétablir les paramètres par défaut Vous pouvez rétablir les valeurs par défaut des paramètres dans Configuration avancée. Deux options sont disponibles. Vous pouvez rétablir les valeurs par défaut de tous les paramètres ou ce ceux d'une section spécifique uniquement (les paramètres des autres sections ne sont pas modifiés). Rétablir tous les paramètres : Tous les paramètres de toutes les sections de la configuration avancée seront restaurés à l'état qu'ils avaient après l'installation de ESET Mail Security. Cette option peut être comparée à Restaurer les paramètres d'usine. Une fois que vous cliquez sur Rétablir les paramètres par défaut, les modifications apportées sont perdues. Cette action ne peut pas être annulée. Rétablir tous les paramètres de cette section : rétablit les valeurs des paramètres du module dans la section sélectionnée. Toutes les modifications que vous avez apportées dans cette section seront perdues. 282 Rétablir le contenu des tables : Lorsque cette option est activée, les règles, les tâches ou les profils ajoutés automatiquement ou manuellement sont perdus. Aide et assistance ESET Mail Security contient des outils de dépannage et des informations d'assistance qui vous aideront à résoudre les problèmes que vous pouvez rencontrer. Produit installé Informations sur le produit et la licence • À propos de ESET Mail Security - Affiche des informations sur votre copie de ESET Mail Security. • Résolution des problèmes liés aux produits - Permet de trouver les solutions aux problèmes les plus fréquents. Nous vous recommandons de lire cette section avant de contacter le service d'assistance technique. • Résolution des problèmes liés aux licences - Permet de trouver des solutions aux problèmes liés à l’activation ou au changement de licence. • Changer de licence - Cliquez sur cette option pour ouvrir la fenêtre d’activation et activer votre produit. Pages d'aide Lance les pages d'aide en ligne de ESET Mail Security. Base de connaissances Rechercher la base de connaissances ESET - La base de connaissances ESET contient des réponses aux questions les plus fréquentes et les solutions recommandées pour résoudre divers problèmes. Régulièrement mise à jour par les spécialistes techniques d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents types de problèmes. 283 Assistance technique • Journalisation avancée : Créez des journaux avancés pour toutes les fonctionnalités disponibles. Les développeurs pourront ainsi diagnostiquer et résoudre les problèmes éventuels. • Demander une assistance - Si vous ne trouvez pas de réponse à votre problème, contactez notre service d’assistance technique. • Informations détaillées pour l'assistance technique : Affiche des informations détaillées (nom du produit, version du produit, etc.) pour l'assistance technique. • ESET Log Collector : ESET Log Collector est une application qui collecte automatiquement les informations de configuration et les journaux d'un serveur pour permettre de résoudre plus rapidement les problèmes. Envoyer une demande d'assistance Pour offrir l'assistance adéquate le plus rapidement possible, ESET requiert des informations sur la configuration de ESET Mail Security, sur le système et les processus en cours (fichier journal ESET SysInspector), ainsi que les données du Registre. ESET utilise ces données uniquement pour fournir une assistance technique au client. Ce paramètre peut être également configuré dans Configuration avancée (F5) > Outils > Diagnostics > Assistance technique. Si vous choisissez d'envoyer les données système, vous devez remplir le formulaire Web et l'envoyer. Sinon, votre ticket n'est pas créé et vos données système sont perdues. Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont également envoyées à ESET. Sélectionnez Toujours envoyer ces informations si vous souhaitez mémoriser cette action pour ce processus. Ne pas envoyer les données : Utilisez cette option si vous ne souhaitez pas envoyer de données. Vous serez redirigé vers la page Web de l'assistance technique ESET. À propos d'ESET Mail Security Cette fenêtre fournit des informations sur la version installée de ESET Mail Security. La partie supérieure de la fenêtre contient des informations sur le système d'exploitation et les ressources système, ainsi que sur l'utilisateur actuellement connecté et le nom de l'ordinateur. Composants installés Permet d'obtenir des informations sur les modules, d'afficher la liste des composants installés et les informations associées. Cliquez sur Copier pour copier la liste dans le Presse-papiers. Ce procédé peut être utile pour la résolution des problèmes ou lorsque vous contactez l'assistance technique. Glossaire Pour plus d'informations sur les termes techniques, les menaces et la sécurité sur Internet, consultez la page du glossaire. 284 Contrat de licence de l'utilisateur final En vigueur à compter du 19 octobre 2021. IMPORTANT : Veuillez lire soigneusement les termes et conditions d’application du produit stipulés ci-dessous avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, INSTALLANT, COPIANT OU UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES TERMES ET CONDITIONS ET RECONNAISSEZ AVOIR PRIS CONNAISSANCE DE LA POLITIQUE DE CONFIDENTIALITÉ. Contrat de licence de l'utilisateur final Selon les termes du présent Contrat de Licence pour l'Utilisateur Final (« Contrat ») signé par et entre ESET, spol. s r. o., dont le siège social se situe au Einsteinova 24, 85101 Bratislava, Slovak Republic, inscrite au Registre du Commerce du tribunal de Bratislava I. Section Sro, Insertion No 3586/B, numéro d'inscription des entreprises : 31333532 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (« vous » ou « Utilisateur Final »), vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre des modalités indiquées ci-dessous, le Logiciel défini à l'article 1 du présent Contrat peut être enregistré sur un support de données, envoyé par courrier électronique, téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur ou obtenu à partir d'autres sources. CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage commercial, et de toutes les copies du Logiciel que l’Utilisateur Final est autorisé à faire dans le cadre du présent Contrat. En cliquant sur « J’accepte » ou « J’accepte... » lorsque vous téléchargez, installez, copiez ou utilisez le Logiciel, vous acceptez les termes et conditions du présent Contrat et reconnaissez avoir pris connaissance de la Politique de confidentialité. Si vous n’êtes pas d’accord avec tous les termes et conditions du présent Contrat et/ou de la Politique de confidentialité, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement ou l'installation, détruisez ou renvoyez le Logiciel, le support d'installation, la documentation connexe et une facture au Fournisseur ou à l'endroit où vous avez obtenu le Logiciel. VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE PRÉSENT CONTRAT ET ACCEPTÉ D’EN RESPECTER LES TERMES ET CONDITIONS. 1. Logiciel. Dans le cadre du présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique et tous ses composants ; (ii) le contenu des disques, des CD-ROM, des DVD, des courriers électroniques et de leurs pièces jointes, ou de tout autre support auquel le présent Contrat est attaché, dont le formulaire de code objet fourni sur un support de données, par courrier électronique ou téléchargé par le biais d’Internet ; (iii) tous documents explicatifs écrits et toute documentation relative au Logiciel, en particulier, toute description du Logiciel, ses caractéristiques, description des propriétés, description de l’utilisation, description de l’interface du système d’exploitation sur lequel le Logiciel est utilisé, guide d’installation ou d’utilisation du Logiciel ou description de l’utilisation correcte du Logiciel (« Documentation ») ; (iv) les copies du Logiciel, les correctifs d’erreurs du Logiciel, les ajouts au Logiciel, ses extensions, ses versions modifiées et les mises à jour des parties du Logiciel, si elles sont fournies, au titre desquels le Fournisseur vous octroie la Licence conformément à l’article 3 du présent Contrat. Le Logiciel est fourni exclusivement sous la forme d'un code objet exécutable. 2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de données, envoyé par courrier électronique, téléchargé à partir d'Internet ou de serveurs du Fournisseur ou obtenu à partir d'autres sources nécessite une installation. Vous devez installer le Logiciel sur un Ordinateur correctement configuré, qui doit au moins satisfaire les exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la 285 Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout programme ou matériel susceptible de nuire au bon fonctionnement du Logiciel. Le terme Ordinateur désigne le matériel, notamment les ordinateurs personnels, ordinateurs portables, postes de travail, ordinateurs de poche, smartphones, appareils électroniques portatifs ou autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera installé et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres, chiffres ou signes spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du Logiciel, de sa version spécifique ou de l'extension de la durée de la Licence conformément au présent Contrat. 3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous respectiez tous les termes et conditions stipulés dans le présent Contrat, le Fournisseur vous accorde les droits suivants (« Licence ») : a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel. b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs Finaux. On entend par « Utilisateur Final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si l’étendue de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur Final désigne un utilisateur d’ordinateur qui reçoit un courrier électronique par le biais d’un client de messagerie. Si le client de messagerie accepte du courrier électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre d’Utilisateurs Finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courrier électronique est distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre d’Utilisateurs Finaux est égal au nombre de serveurs de messagerie pour lesquels la passerelle fournit des services. Si un certain nombre d’adresses de messagerie sont affectées à un seul et même utilisateur (par l’intermédiaire d’alias) et que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du côté du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas utiliser la même Licence au même moment sur plusieurs ordinateurs. L'Utilisateur Final n'est autorisé à saisir la Clé de licence du Logiciel que dans la mesure où il a le droit d'utiliser le Logiciel conformément à la limite découlant du nombre de licences accordées par le Fournisseur. La Clé de licence est confidentielle. Vous ne devez pas partager la Licence avec des tiers ni autoriser des tiers à utiliser la Clé de licence, sauf si le présent Contrat ou le Fournisseur le permet. Si votre Clé de licence est endommagée, informez-en immédiatement le Fournisseur. c) Home/Business Edition. Une version Home Edition du Logiciel doit être utilisée exclusivement dans des environnements privés et/ou non commerciaux, pour un usage domestique et familial uniquement. Une version Business Edition du Logiciel est requise pour l'utiliser dans un environnement commercial ainsi que pour utiliser le Logiciel sur des serveurs de messagerie, relais de messagerie, passerelles de messagerie ou passerelles Internet. d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps. e) Logiciel acheté à un fabricant d’équipement informatique. Les logiciels classés comme achetés à un fabricant d'équipement informatique sont limités à l'ordinateur avec lequel vous les avez obtenus. Elle ne peut pas être transférée à un autre ordinateur. f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou d’évaluation des caractéristiques du Logiciel. g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le 286 Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la résiliation de la Licence, le Fournisseur est en droit de mettre fin au droit de l'Utilisateur final à l'utilisation des fonctions du Logiciel, qui nécessitent une connexion aux serveurs du Fournisseur ou à des serveurs tiers. 4. Fonctions avec des exigences en matière de connexion Internet et de collecte de données. Pour fonctionner correctement, le Logiciel nécessite une connexion Internet et doit se connecter à intervalles réguliers aux serveurs du Fournisseur ou à des serveurs tiers et collecter des données en conformité avec la Politique de confidentialité. Une connexion Internet et une collecte de données sont requises pour les fonctions suivantes du Logiciel : a) Mises à jour du Logiciel. Le Fournisseur est autorisé de temps à autre à publier des mises à jour ou des mises à niveau du Logiciel (« Mises à jour »), mais n’en a pas l’obligation. Cette fonction est activée dans la configuration standard du Logiciel ; les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur Final a désactivé l’installation automatique des Mises à jour. Pour la mise à disposition de Mises à jour, une vérification de l'authenticité de la Licence est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur et/ou la plate-forme sur lesquels le Logiciel est installé, en conformité avec la Politique de confidentialité. La fourniture des mises à jour peut être soumise à la Politique de fin de vie (« Politique de fin de vie »), qui est disponible à l'adresse suivante : https://go.eset.com/eol. Aucune mise à jour ne sera fournie après que le Logiciel ou l'une de ses fonctionnalités ait atteint la date de fin de vie telle que définie dans la Politique de fin de vie. b) Réacheminement des infiltrations et des données au Fournisseur. Le Logiciel contient des fonctions qui collectent des échantillons de virus, d'autres programmes informatiques également nuisibles et d'objets problématiques, suspects, potentiellement indésirables ou dangereux tels que des fichiers, des URL, des paquets IP et des trames Ethernet (« Infiltrations »), puis les envoient au Fournisseur, en incluant, sans s'y limiter, des informations sur le processus d'installation, l'Ordinateur ou la plateforme hébergeant le Logiciel et des informations sur les opérations et fonctions du Logiciel (« Informations »). Les Informations et les Infiltrations sont susceptibles de contenir des données (y compris des données personnelles obtenues par hasard ou accidentellement) concernant l’Utilisateur final et/ou d’autres usagers de l’ordinateur sur lequel le Logiciel est installé et les fichiers affectés par les Infiltrations et les métadonnées associées. Les informations et les infiltrations peuvent être collectées pat les fonctions suivantes du Logiciel : i. La fonction Système de réputation LiveGrid collecte et envoie les hachages unidirectionnelles liés aux Infiltrations au Fournisseur. Cette fonction est activée dans les paramètres standard du Logiciel. ii. La fonction Système de commentaires LiveGrid collecte et envoie les Infiltrations avec les Informations et les métadonnées associées au Fournisseur. Cette fonction peut être activée par l'Utilisateur Final pendant le processus d'installation du Logiciel. Le Fournisseur utilisera les Informations et Infiltrations reçues uniquement pour effectuer des analyses et des recherches sur les Infiltrations et améliorer le Logiciel et la vérification de l'authenticité de la Licence. Il prendra en outre les mesures adéquates afin de protéger les Infiltrations et Informations reçues. Si vous activez cette fonction du Logiciel, les Infiltrations et Informations peuvent être collectées et traitées par le Fournisseur, comme stipulé dans la Politique de confidentialité et conformément aux réglementations en vigueur. Vous pouvez désactiver ces fonctions à tout moment. Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données permettant au Fournisseur de vous identifier conformément à la Politique de confidentialité. Vous acceptez que le Fournisseur vérifie à l'aide de ses propres moyens si vous utilisez le Logiciel conformément aux dispositions du présent Contrat. Vous reconnaissez qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées pendant les communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de ses partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, afin de garantir les fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur. 287 Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, sont autorisés à transférer, à traiter et à stocker des données essentielles vous identifiant, aux fins de facturation, d'exécution du présent Contrat et de transmission de notifications sur votre Ordinateur. Des informations détaillées sur la vie privée, la protection des données personnelles et Vos droits en tant que personne concernée figurent dans la Politique de confidentialité, disponible sur le site Web du Fournisseur et directement accessible à partir de l'installation. Vous pouvez également la consulter depuis la section d'aide du Logiciel. 5. Exercice des droits de l’Utilisateur Final. Vous devez exercer les droits de l'Utilisateur Final en personne ou par l'intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos opérations et protéger les Ordinateurs ou systèmes informatiques pour lesquels vous avez obtenu une Licence. 6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel : a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat. b) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du Logiciel ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat. c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour offrir des services commerciaux. d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi. e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits de propriété intellectuelle. f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la possibilité des autres Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services fournis à chacun des Utilisateurs Finaux, pour permettre l'utilisation des services au plus grand nombre possible d'Utilisateurs Finaux. Le fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations présentes sur les serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une fonction particulière du Logiciel. g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui soit contraire aux termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute personne n'étant pas autorisée à utiliser le logiciel (comme le transfert d'une Clé de licence utilisée ou non utilisée ou la distribution de Clés de licence dupliquées ou générées ou l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une source autre que le Fournisseur). 7. Droit d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. ESET est protégée par les dispositions des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel, sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent 288 Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel. Si vous rétroconcevez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès que de telles données sont connues, indépendamment des droits du Fournisseur relativement à la violation du présent Contrat. 8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui vous sont expressément garantis en vertu des termes du présent Contrat en tant qu’Utilisateur final du Logiciel. 9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le Logiciel est utilisé sur plusieurs plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des versions ou des copies du Logiciel que vous n’utilisez pas. 10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée remise par le Fournisseur ou ses partenaires commerciaux. Votre droit d'utiliser le Logiciel et l'une de ses fonctionnalités peut être soumis à la Politique de fin de vie. Lorsque le logiciel ou l'une de ses fonctionnalités atteint la date de fin de vie définie dans la Politique de fin de vie, votre droit d'utiliser le logiciel prend fin. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée illimitée. 11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS. 12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence. 13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR, SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE. 289 14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant comme client si l’exécution y est contraire. 15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur discrétion, sans garantie ni déclaration solennelle. Aucune assistance technique ne sera fournie après que le Logiciel ou l'une de ses fonctionnalités ait atteint la date de fin de vie telle que définie dans la Politique de fin de vie. L’Utilisateur Final devra peut-être sauvegarder toutes les données, logiciels et programmes existants avant que l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en aucun cas tenus responsables d’un quelconque dommage ou d’une quelconque perte de données, de biens, de logiciels ou de matériel, ou d’une quelconque perte de profit en raison de la fourniture de l’assistance technique. ESET et/ou les tiers mandatés par ESET se réservent le droit de décider si l’assistance technique couvre la résolution du problème. ESET se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa discrétion. Des informations de licence, d'autres informations et des données conformes à la Politique de confidentialité peuvent être requises en vue de fournir une assistance technique. 16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur Final n’est autorisé qu’à transférer de façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur Final avec l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i) l’Utilisateur Final d’origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits est direct, c’est-à-dire qu’il s’effectue directement de l’Utilisateur Final original au nouvel Utilisateur Final ; (iii) le nouvel Utilisateur Final assume tous les droits et devoirs de l’Utilisateur Final d’origine en vertu du présent Contrat ; (iv) l’Utilisateur Final d’origine transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier l’authenticité du Logiciel, conformément à l’article 17. 17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d'utiliser le Logiciel de l'une des façons suivantes : (i) au moyen d'un certificat de licence émis par le Fournisseur ou un tiers mandaté par le Fournisseur ; (ii) au moyen d'un contrat de licence écrit, si un tel contrat a été conclu ; (iii) en présentant un courrier électronique envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur et mot de passe). Des informations de licence et des données d'identification de l'Utilisateur Final conformes à la Politique de confidentialité peuvent être requises en vue de vérifier l'authenticité du Logiciel. 18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans le présent Contrat. 19. Conformité aux contrôles à l'exportation. a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter, transférer ou mettre le Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou participer à un acte qui pourrait entraîner ESET ou ses sociétés de holding, ses filiales et les filiales de l'une de ses sociétés de holding, ainsi que les entités contrôlées par ses sociétés de holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour l'exportation, la réexportation ou le transfert de marchandises, de logiciels, de technologies ou de services, émises ou adoptées par un gouvernement, un état ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou mène ses activités et ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction, embargo, interdiction d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou 290 mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou mène ses activités. (les actes juridiques mentionnés aux points i, et ii. ci-dessus étant appelés ensemble « Lois sur le contrôle à l'exportation »). b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y mettre fin avec effet immédiat dans le cas où : i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la disposition de l'Article 19 a) du Contrat ; ou ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation et, par conséquent, ESET estime raisonnablement que l'exécution continue de ses obligations en vertu de l'accord pourrait entraîner ESET ou ses affiliés à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des Lois sur le contrôle à l'exportation. c) Rien dans le Contrat ne vise, et rien ne doit être interprété comme incitant ou obligeant l'une des parties à agir ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir) d'une manière qui soit incompatible, pénalisée ou interdite en vertu de toute loi sur le contrôle à l'exportation applicable. 20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être adressés à : ESET, spol. s r. o., Einsteinova 24, 85101 Bratislava, Slovak Republic, sans préjudice du droit d'ESET de Vous communiquer toute modification du présent Contrat, des Politiques de confidentialité, de la Politique de fin de vie et de la documentation conformément à l'article 22 du Contrat. ESET peut Vous envoyer des e-mails, des notifications intégrés à l’application via le Logiciel ou publier la communication sur son site web. Vous acceptez de recevoir des communications légales d'ESET sous forme électronique, y compris toute communication sur la modification des Conditions, des Conditions particulières ou des Politiques de confidentialité, toute proposition/acceptation de contrat ou invitation à traiter, avis ou autres communications légales. Ces communications électroniques sont réputées avoir été reçues par écrit, sauf si les lois applicables exigent spécifiquement une autre forme de communication. 21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à celle-ci. L’Utilisateur Final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable et la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent pas. Vous acceptez expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction pour de tels litiges ou conflits. 22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera pas la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu des conditions stipulées dans le présent Contrat. Le présent Contrat a été signé en anglais. Si une traduction du Contrat est préparée pour des raisons de commodité ou pour toute autre raison, ou en cas de discordance entre les versions linguistiques du présent Contrat, seule la version en langue anglaise fait foi. ESET se réserve le droit d'apporter des modifications au Logiciel ainsi que de réviser les conditions du présent Contrat, des Annexes, des Addendums, de la Politique de confidentialité, de la Politique de fin de vie et de la Documentation ou toute partie de celle-ci à tout moment en mettant à jour le document approprié (i) pour refléter les modifications apportées au Logiciel ou dans la façon dont ESET mène ses activités, (ii) pour des raisons légales, réglementaires ou de sécurité, ou (iii) pour éviter tout abus ou dommage. Vous serez averti de toute révision du Contrat par e-mail, par le biais d'une notification intégrée à l'application ou par d’autres moyens 291 électroniques. Si vous n'êtes pas d'accord avec les modifications proposées au Contrat, vous pouvez le résilier conformément à l'article 10, dans les 30 jours suivant la réception d'une notification de la modification. À moins que Vous ne résiliez le Contrat dans ce délai, les modifications proposées seront considérées comme acceptées et prendront effet à Votre égard à la date à laquelle vous avez reçu une notification de la modification. Cela constitue l'intégralité du Contrat entre le Fournisseur et vous en relation avec le Logiciel, et il remplace toute représentation, discussion, entreprise, communication ou publicité antérieure en relation avec le Logiciel. EULAID: EULA-PRODUCT-LG; 3537.0 Politique de confidentialité La protection des données personnelles revêt une importance particulière pour ESET, spol. s r.o., dont le siège social est établi au Einsteinova 24, 851 01 Bratislava, Slovak Republic, inscrite au registre du commerce administré par le Tribunal de district de Bratislava I, Section Sro, Entrée No 3586/B, Numéro d'identification de l'entreprise : 31333532 en tant que Responsable du traitement des données ("ESET" ou « Nous"). Nous souhaitons nous conformer à l'exigence de transparence telle qu'elle est légalement normalisée par le Règlement général sur la protection des données de l'UE ("RGPD"). Pour atteindre cet objectif, nous publions la présente Politique de confidentialité dans le seul but d'informer notre client ("Utilisateur final" ou "Vous"), en tant que personne concernée, des sujets suivants relatifs à la protection des données personnelles : Base juridique du traitement des données personnelles, Partage des données et confidentialité, Sécurité des données, Vos Droits en tant que Personne concernée, Traitement de Vos données personnelles Coordonnées. Traitement de Vos données personnelles Les services ESET qui sont implémentés dans le produit sont fournis selon les termes du CLUF, mais certains d'entre eux peuvent nécessiter une attention particulière. Nous souhaitons Vous donner plus de détails sur la collecte de données liée à la fourniture de nos services. Nous proposons différents services qui sont décrits dans le Contrat de Licence de l'utilisateur final et la documentation. Pour que tous ces services soient fonctionnels, Nous devons collecter les informations suivantes : Mise à jour et autres statistiques relatives aux informations concernant l'installation et votre ordinateur, notamment la plate-forme sur laquelle notre produit est installé, et informations sur les opérations et fonctionnalités de nos produits (système d'exploitation, informations matérielles, identifiants d'installation, identifiants de licence, adresse IP, adresse MAC, paramètres de configuration du produit). Hachages unidirectionnels liés aux infiltrations dans le cadre du système de réputation ESET LiveGrid® qui améliore l'efficacité de nos solutions contre les logiciels malveillants en comparant les fichiers analysés à une base de données d'éléments en liste blanche et liste noire dans le cloud. Échantillons suspects et métadonnées génériques dans le cadre du système de commentaires ESET LiveGrid® qui permet à ESET de réagir immédiatement face aux besoins des utilisateurs finaux et de rester réactifs face aux dernières menaces. Nous dépendons de Vous pour l'envoi d'infiltrations (échantillons potentiels de virus et d'autres programmes malveillants et suspects), d'objets problématiques, potentiellement indésirables ou potentiellement dangereux (fichiers exécutables), de messages électroniques que Vous avez signalés comme spam ou détectés par notre produit ; 292 d'informations sur les appareils du réseau local, telles que le type, le fabricant, le modèle et/ou le nom de l'appareil ; d'informations concernant l'utilisation d'Internet, telles que l'adresse IP et des informations géographiques, les paquets IP, les URL et les trames Ethernet ; de fichiers de vidage sur incident et des informations qu'ils contiennent. Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais cela s'avère parfois impossible. Des données collectées accidentellement peuvent être incluses dans des logiciels malveillants (informations collectées à votre insu ou sans votre consentement) ou dans des noms de fichier ou des URL. Nous ne souhaitons pas que ces données fassent partie de nos systèmes ni qu'elles soient traitées dans le but déclaré dans la présente Politique de confidentialité. Des informations de licence, telles que l'identifiant de la licence, et des données personnelles comme le nom, le prénom, l'adresse, l'adresse e-mail sont nécessaires pour la facturation, la vérification de l'authenticité de la licence et la fourniture de nos services. Des coordonnées et des données contenues dans vos demandes d'assistance sont requises pour la fourniture du service d'assistance. Selon le canal que Vous choisissez pour nous contacter, Nous pouvons collecter votre adresse e-mail, votre numéro de téléphone, des informations sur la licence, des détails sur le produit et la description de votre demande d'assistance. Nous pouvons Vous demander de nous fournir d'autres informations pour faciliter la fourniture du service d'assistance. Partage des données et confidentialité Nous ne partageons pas vos données avec des tiers. Cependant, ESET est une entreprise présente dans le monde entier par le biais de sociétés affiliées et de partenaires du réseau de vente, de service et d'assistance ESET. Les informations relatives aux licences, à la facturation et à l'assistance technique traitées par ESET peuvent être transférées depuis et vers les sociétés affiliées ou les partenaires dans le but de respecter le Contrat de licence pour l'utilisateur final (pour la fourniture de services ou l'assistance, par exemple). ESET préfère traiter ses données dans l’Union européenne (EU). Toutefois, en fonction de votre localisation (utilisation de nos produits et/ou services en dehors de l'UE) et/ou du service que vous choisissez, il peut être nécessaire de transférer vos données vers un pays situé en dehors de l'UE. Nous utilisons par exemple des services tiers dans le cadre du cloud computing. Dans ces cas, nous sélectionnons soigneusement nos fournisseurs de services et garantissons un niveau approprié de protection des données par des mesures contractuelles, techniques et organisationnelles. En règle générale, nous nous mettons d'accord sur les clauses contractuelles types de l'UE et, si nécessaire, sur des dispositions contractuelles complémentaires. Pour certains pays hors de l'UE, comme le Royaume-Uni et la Suisse, l'UE a déjà déterminé un niveau comparable de protection des données. En raison du niveau comparable de protection des données, le transfert de données vers ces pays ne nécessite aucune autorisation ou accord particulier. Droits des personnes concernées Les droits de chaque Utilisateur final sont importants et Nous aimerions vous informer que tous les Utilisateurs finaux (de n'importe quel pays de l'UE ou hors de l'UE) ont les droits ci-après garantis chez ESET. Pour exercer les droits de la personne concernée, vous pouvez nous contacter par le biais du formulaire d'assistance ou par e-mail à l'adresse suivante : dpo@eset.sk. À des fins d'identification, nous vous demandons les informations suivantes : Nom, adresse e-mail et - le cas échéant - clé de licence ou numéro de client et affiliation à la société. Veuillez vous abstenir de nous envoyer d'autres données personnelles, telles que votre date de naissance. Nous tenons à souligner que pour pouvoir traiter votre demande, ainsi qu'à des fins d'identification, nous traiterons vos données personnelles. 293 Droit de retirer le consentement. Le droit de retirer le consentement est applicable en cas de traitement fondé sur le consentement uniquement. Si Nous traitons vos données personnelles sur la base de votre consentement, vous avez le droit de retirer ce consentement à tout moment sans donner de raisons. Le retrait de votre consentement n'est effectif que pour l'avenir et n'affecte pas la légalité des données traitées avant le retrait. Droit d'opposition. Le droit de s'opposer au traitement est applicable en cas de traitement fondé sur l'intérêt légitime d'ESET ou d'un tiers. Si Nous traitons vos données personnelles pour protéger un intérêt légitime, Vous, en tant que personne concernée, avez le droit de vous opposer à l'intérêt légitime nommé par nous et au traitement de vos données personnelles à tout moment. Votre opposition n'a d'effet que pour l'avenir et n'affecte pas la licéité des données traitées avant l'opposition. Si nous traitons vos données personnelles à des fins de marketing direct, il n'est pas nécessaire de motiver votre objection. Il en est de même pour le profilage, dans la mesure où il est lié au marketing direct. Dans tous les autres cas, nous vous demandons de nous informer brièvement de vos plaintes contre l'intérêt légitime d'ESET à traiter vos données personnelles. Veuillez noter que dans certains cas, malgré le retrait de votre consentement, nous avons le droit de traiter ultérieurement vos données personnelles sur la base d'une autre base juridique, par exemple, pour l'exécution d'un contrat. Droit d'accès. En tant que personne concernée, vous avez le droit d'obtenir gratuitement et à tout moment des informations sur vos données stockées par ESET. Droit à la rectification. Si nous traitons par inadvertance des données personnelles incorrectes vous concernant, vous avez le droit de les faire corriger. Droit à l'effacement et droit à la restriction du traitement. En tant que personne concernée, vous avez le droit de demander la suppression ou la restriction du traitement de vos données personnelles. Si nous traitons vos données personnelles, par exemple avec votre consentement, que vous le retirez et qu'il n'existe pas d'autre base juridique, par exemple un contrat, nous supprimons immédiatement vos données personnelles. Vos données personnelles seront également supprimées dès qu'elles ne seront plus nécessaires aux fins énoncées à la fin de notre période de conservation. Si nous utilisons vos données personnelles dans le seul but de marketing direct et que vous avez révoqué votre consentement ou que vous vous êtes opposé à l'intérêt légitime sous-jacent d'ESET, Nous limiterons le traitement de vos données personnelles dans la mesure où nous inclurons vos coordonnées dans notre liste noire interne afin d'éviter tout contact non sollicité. Dans le cas contraire, vos données personnelles seront supprimées. Veuillez noter que Nous pouvons être tenus de conserver vos données jusqu'à l'expiration des obligations et périodes de conservation émises par le législateur ou les autorités de contrôle. Les obligations et les périodes de conservation peuvent également résulter de la législation slovaque. Par la suite, les données correspondantes seront systématiquement supprimées. Droit à la portabilité des données. Nous sommes heureux de vous fournir, en tant que personne concernée, les données personnelles traitées par ESET au format xls. Droit de porter plainte. En tant que personne concernée, Vous avez le droit de déposer une plainte auprès d'une autorité de contrôle à tout moment. ESET est soumise à la réglementation des lois slovaques et est tenue de respecter la législation en matière de protection des données de l'Union européenne. L'autorité de contrôle des données compétente est l'Office pour la protection des données personnelles de la République slovaque, situé à Hraničná 12, 82007 Bratislava 27, Slovak Republic. 294 Coordonnées Si vous souhaitez exercer vos droits en tant que personne concernée ou si vous avez une question ou un doute, envoyez-nous un message à l'adresse suivante : ESET, spol. s r.o. Data Protection Officer Einsteinova 24 85101 Bratislava Slovak Republic dpo@eset.sk 295
Fonctionnalités clés
- Protection antivirus
- Protection antispam
- Protection anti-hameçonnage
- Quarantaine
- Gestion des règles
- Analyse des messages
- Protection multicouche
Manuels associés
Réponses et questions fréquentes
Quel est le rôle d'ESET Mail Security for Exchange Server 10.1 ?
Ce logiciel assure la sécurité de votre serveur Exchange en protégeant contre les menaces de messagerie électronique telles que les virus, les spams et les attaques d'hameçonnage.
Comment ESET Mail Security for Exchange Server 10.1 protège-t-il contre les spams ?
Il utilise des technologies de filtrage avancées pour identifier et bloquer les messages indésirables. Vous pouvez également personnaliser les règles antispam pour un contrôle accru.
Comment configurer les règles dans ESET Mail Security for Exchange Server 10.1 ?
Utilisez l'interface utilisateur du logiciel pour créer des règles qui définissent les actions à entreprendre sur les messages en fonction de critères spécifiques, tels que l'expéditeur, le destinataire ou le contenu.