ESET Mail Security for Microsoft Exchange Server

Comentarios

Transcripción

ESET Mail Security for Microsoft Exchange Server
ESET MAIL SECURITY
PARA MICROSOFT EXCHANGE SERVER
Manual de instalación y Guía del usuario
Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
Haga clic aquí para descargar la versión más reciente de este documento
ESET MAIL SECURITY
Copyright ©2014 de ESET, spol. s r.o.
ESET Mail Security ha sido desarrollado por ESET, spol. s r.o.
Para obtener más información, visite el sitio www.eset.com.
Todos los derechos reservados. Ninguna parte de esta documentación
podrá reproducirse, almacenarse en un sistema de recuperación o
transmitirse en forma o modo alguno, ya sea por medios electrónicos,
mecánicos, fotocopia, grabación, escaneo o cualquier otro medio sin la
previa autorización por escrito del autor.
ESET, spol. s r.o. se reserva el derecho de modificar cualquier elemento
del software de la aplicación sin previo aviso.
Servicio de atención al cliente: www.eset.com/support
REV. 5/2/2014
Contenido
1. Introducción
..................................................5
1.1
Novedades
........................................................................5
de la versión 4.5
1.2 Requisitos
........................................................................5
del sistema
1.3
Métodos
........................................................................6
utilizados
1.3.1
1.3.2
Análisis
.........................................................................6
del buzón de correo mediante VSAPI
Filtrado
.........................................................................6
de mensajes de nivel de servidor SMTP
1.4 Tipos........................................................................6
de protección
1.4.1
1.4.2
1.4.3
Protección
.........................................................................6
antivirus
Protección
.........................................................................6
Antispam
Aplicación
.........................................................................7
de reglas definidas por el usuario
1.5 Interfaz
........................................................................7
de usuario
2. Instalación
..................................................8
2.1
Instalación
........................................................................8
típica
2.2 Instalación
........................................................................9
personalizada
2.3 Terminal
........................................................................11
Server
2.4 Actualización
........................................................................12
a una versión más reciente
2.5 Roles........................................................................13
de Exchange Server: perimetral y concentrador
2.6 Roles........................................................................13
de Exchange Server 2013
2.7 Instalación
........................................................................13
en un entorno de clúster
2.8 Licencia
........................................................................15
2.9 Configuración
........................................................................17
posterior a la instalación
3. ESET Mail Security: protección de
Microsoft
Exchange Server
..................................................19
3.1
Configuración
........................................................................19
general
3.1.1
3.1.1.1
3.1.1.2
3.1.2
3.1.2.1
3.1.2.2
3.1.3
3.1.4
3.1.4.1
3.1.5
Microsoft
.........................................................................19
Exchange Server
VSAPI (Interfaz de programación de aplicaciones
de análisis
........................................................................19
de virus)
Agente
........................................................................19
de transporte
Reglas
.........................................................................21
Cómo
........................................................................22
agregar reglas nuevas
Acciones
........................................................................23
emprendidas en la aplicación de reglas
Archivos
.........................................................................24
de registro
Cuarentena
.........................................................................25
de mensajes
Cómo
........................................................................26
agregar una nueva regla de cuarentena
Rendimiento
.........................................................................27
3.2 Configuración
........................................................................27
del antivirus y antispyware
3.2.1
3.2.1.1
3.2.1.1.1
3.2.1.1.1.1
3.2.1.1.1.2
3.2.1.1.2
3.2.1.1.2.1
3.2.1.1.2.2
3.2.1.1.3
3.2.1.1.3.1
3.2.1.1.3.2
3.2.1.1.4
3.2.1.1.4.1
3.2.1.1.4.2
3.2.1.1.5
3.2.2
3.2.3
3.2.4
Microsoft
.........................................................................28
Exchange Server
Interfaz de programación de aplicaciones de
análisis
........................................................................28
de virus (VSAPI)
Microsoft
..........................................................................28
Exchange Server 5.5 (VSAPI 1.0)
Acciones
.........................................................................29
Rendimiento
.........................................................................29
Microsoft
..........................................................................29
Exchange Server 2000 (VSAPI 2.0)
Acciones
.........................................................................30
Rendimiento
.........................................................................30
Microsoft
..........................................................................31
Exchange Server 2003 (VSAPI 2.5)
Acciones
.........................................................................31
Rendimiento
.........................................................................32
Microsoft
..........................................................................32
Exchange Server 2007/2010 (VSAPI 2.6)
Acciones
.........................................................................33
Rendimiento
.........................................................................33
Agente
..........................................................................34
de transporte
Acciones
.........................................................................35
Alertas
.........................................................................35
y notificaciones
Exclusiones
.........................................................................36
automáticas
3.3 Protección
........................................................................37
Antispam
3.3.1
3.3.1.1
3.3.1.2
Microsoft
.........................................................................38
Exchange Server
Agente
........................................................................38
de transporte
Protección
........................................................................39
antispam y conector POP3
3.3.2
3.3.2.1
3.3.2.1.1
3.3.2.1.1.1
3.3.2.1.1.2
3.3.2.1.1.1
3.3.2.1.2
3.3.2.1.3
3.3.2.1.3.1
3.3.2.1.3.1
3.3.2.1.3.2
3.3.2.1.3.3
3.3.2.1.3.1
3.3.2.1.3.4
3.3.2.1.4
3.3.2.1.4.1
3.3.2.1.4.2
3.3.2.1.4.3
3.3.2.1.4.4
3.3.2.1.4.5
3.3.2.1.4.6
3.3.2.1.4.7
3.3.2.1.4.8
3.3.2.1.4.9
3.3.2.1.5
3.3.2.1.5.1
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.3
3.3.2.1.5.1
3.3.2.1.6
3.3.2.1.7
3.3.2.1.8
3.3.2.1.8.1
3.3.2.1.8.2
3.3.2.1.9
3.3.2.1.10
3.3.2.1.11
3.3.2.1.11.1
3.3.2.1.11.2
3.3.2.1.11.3
3.3.2.1.11.4
3.3.2.1.12
3.3.2.1.13
3.3.2.1.14
3.3.3
Motor
.........................................................................40
antispam
Configuración
........................................................................40
de parámetros del motor antispam
Análisis
..........................................................................40
Muestras
.........................................................................41
SpamCompiler
.........................................................................41
Lista
.........................................................................41
de archivos de memoria caché
Formación
..........................................................................41
Reglas
..........................................................................42
Valor
.........................................................................43
de regla
Agregar
.........................................................................43
valor de regla
Lista
.........................................................................43
de archivos de reglas descargados
Valor
.........................................................................43
de categoría
Agregar
.........................................................................43
valor de categoría
Lista
.........................................................................43
de reglas personalizadas
Filtrado
..........................................................................44
Remitentes
.........................................................................44
permitidos
Remitentes
.........................................................................44
bloqueados
Direcciones
.........................................................................44
IP permitidas
Direcciones
.........................................................................44
IP ignoradas
Direcciones
.........................................................................44
IP bloqueadas
Dominios
.........................................................................45
permitidos
Dominios
.........................................................................45
ignorados
Dominios
.........................................................................45
bloqueados
Remitentes
.........................................................................45
falsificados
Verificación
..........................................................................45
RBL
.........................................................................45
(lista de bloqueo en tiempo real)
Lista
.........................................................................45
de servidores RBL
LBL
.........................................................................46
(última lista de bloqueo)
Lista
.........................................................................46
de servidores LBL
Lista
.........................................................................46
de direcciones IP omitidas
DNSBL
.........................................................................46
(lista de bloqueados de DNS)
Lista
.........................................................................46
de servidores DNSBL
DNS
..........................................................................46
Nivel
..........................................................................47
Spambait
..........................................................................47
Direcciones
.........................................................................47
de Spambait
Direcciones
.........................................................................47
consideradas no existentes
Comunicación
..........................................................................48
Rendimiento
..........................................................................48
Configuración
..........................................................................48
regional
Lista
.........................................................................49
de idiomas locales
Lista
.........................................................................50
de países
Lista
.........................................................................54
de países bloqueados
Lista
.........................................................................54
de conjuntos de caracteres bloqueados
Archivos
..........................................................................54
de registro
Estadísticas
..........................................................................55
Opciones
..........................................................................55
Alertas
.........................................................................55
y notificaciones
3.4 Preguntas
........................................................................56
frecuentes
4. ESET Mail Security: protección del
servidor
..................................................59
4.1 Protección
........................................................................59
antivirus y antispyware
4.1.1
4.1.1.1
4.1.1.1.1
4.1.1.1.2
4.1.1.1.3
4.1.1.2
4.1.1.3
4.1.1.4
4.1.1.5
4.1.2
4.1.2.1
4.1.2.1.1
4.1.2.2
4.1.2.2.1
4.1.2.3
Protección
.........................................................................59
del sistema de archivos en tiempo real
Configuración
........................................................................59
del control
Objetos
..........................................................................60
a analizar
Analizar
..........................................................................60
(análisis cuando se cumpla la condición)
Opciones
..........................................................................60
avanzadas de análisis
Niveles
........................................................................61
de desinfección
Modificación de la configuración de protección en
tiempo
........................................................................61
real
Análisis
........................................................................62
de protección en tiempo real
¿Qué debo hacer si la protección en tiempo real no
funciona?
........................................................................62
Protección
.........................................................................63
del cliente de correo electrónico
Comprobación
........................................................................63
del protocolo POP3
Compatibilidad
..........................................................................64
Integración
........................................................................64
con clientes de correo electrónico
Agregar mensajes con etiquetas al cuerpo del
mensaje
..........................................................................65
Eliminar
........................................................................65
amenazas
4.1.3
4.1.3.1
4.1.3.1.1
4.1.3.1.2
4.1.4
4.1.4.1
4.1.4.1.1
4.1.4.1.2
4.1.4.2
4.1.4.3
4.1.4.4
4.1.5
4.1.6
4.1.6.1
4.1.6.1.1
4.1.6.1.2
4.1.7
4.1.7.1
4.1.7.2
4.1.7.3
4.1.7.4
4.1.7.5
4.1.7.6
4.1.8
Protección
.........................................................................66
del tráfico de Internet
HTTP,
........................................................................66
HTTPs
Gestión
..........................................................................67
de direcciones
Modo
..........................................................................68
activo
Análisis
.........................................................................69
del ordenador a petición
Tipo
........................................................................70
de análisis
Análisis
..........................................................................70
estándar
Análisis
..........................................................................70
personalizado
Objetos
........................................................................71
de análisis
Perfiles
........................................................................71
de análisis
Línea
........................................................................72
de comandos
Rendimiento
.........................................................................74
Filtrado
.........................................................................74
de protocolos
SSL........................................................................74
Certificados
..........................................................................75
de confianza
Certificados
..........................................................................75
excluidos
Configuración de parámetros del motor
ThreatSense
.........................................................................75
Configuración
........................................................................76
de objetos
Opciones
........................................................................76
Desinfección
........................................................................78
Extensiones
........................................................................79
Límites
........................................................................79
Otros
........................................................................80
Detección
.........................................................................80
de una amenaza
4.2 Actualización
........................................................................81
del programa
4.2.1
4.2.1.1
4.2.1.2
4.2.1.2.1
4.2.1.2.2
4.2.1.2.3
4.2.1.2.4
4.2.1.2.4.1
4.2.1.2.4.2
4.2.2
Configuración
.........................................................................82
de actualizaciones
Perfiles
........................................................................83
de actualización
Configuración
........................................................................83
avanzada de actualizaciones
Tipo
..........................................................................83
de actualización
Servidor
..........................................................................85
Proxy
Conexión
..........................................................................87
a la red local
Creación
..........................................................................88
de copias de actualización: Mirror
Actualización
.........................................................................89
desde el servidor Mirror
Resolución de problemas de actualización del
Mirror
.........................................................................90
Cómo
.........................................................................90
crear tareas de actualización
4.3 Planificador
........................................................................91
de tareas
4.3.1
Finalidad
.........................................................................91
de las tareas programadas
4.3.2
Creación
.........................................................................92
de tareas nuevas
4.4 Cuarentena
........................................................................93
4.4.1
Copiar
.........................................................................93
archivos en cuarentena
4.4.2
Restauración
.........................................................................93
de archivos de cuarentena
4.4.3
Envío
.........................................................................94
de un archivo a cuarentena
4.5 Archivos
........................................................................95
de registro
4.5.1
4.5.2
4.5.3
Filtrado
.........................................................................98
de registros
Buscar
.........................................................................100
en el registro
Mantenimiento
.........................................................................101
de registros
4.6 ESET
........................................................................102
SysInspector
4.6.1
4.6.1.1
4.6.2
4.6.2.1
4.6.2.2
4.6.2.2.1
4.6.2.3
4.6.3
4.6.4
4.6.4.1
4.6.4.2
4.6.4.3
4.6.5
4.6.6
Introducción
.........................................................................102
a ESET SysInspector
Inicio
........................................................................102
de ESET SysInspector
Interfaz
.........................................................................103
de usuario y uso de la aplicación
Controles
........................................................................103
de programa
Navegación
........................................................................104
por ESET SysInspector
Accesos
..........................................................................105
directos del teclado
Comparar
........................................................................107
Parámetros
.........................................................................108
de la línea de comandos
Script
.........................................................................108
de servicio
Generación
........................................................................109
de scripts de servicio
Estructura
........................................................................109
del script de servicio
Ejecución
........................................................................111
de scripts de servicio
Preguntas
.........................................................................111
frecuentes
ESET SysInspector como parte de ESET Mail
Security
.........................................................................113
4.7 ESET
........................................................................113
SysRescue
4.7.1
4.7.2
4.7.3
Requisitos
.........................................................................113
mínimos
Cómo
.........................................................................114
crear un CD de recuperación
Selección
.........................................................................114
de objetivo
4.7.4
4.7.4.1
4.7.4.2
4.7.4.3
4.7.4.4
4.7.4.5
4.7.4.6
4.7.5
4.7.5.1
Configuración
.........................................................................114
Carpetas
........................................................................114
Antivirus
........................................................................115
ESET
Configuración
........................................................................115
adicional
Protocolo
........................................................................115
de Internet
Dispositivo
........................................................................116
de arranque USB
Grabar
........................................................................116
Trabajo
.........................................................................116
con ESET SysRescue
Uso
........................................................................116
de ESET SysRescue
4.8 Opciones
........................................................................117
de la interfaz de usuario
4.8.1
Alertas
.........................................................................118
y notificaciones
4.8.2
Desactivar
.........................................................................119
la GUI en Terminal Server
4.9 eShell
........................................................................120
4.9.1
Uso
.........................................................................121
4.9.2
Comandos
.........................................................................124
4.10 Importar
........................................................................126
y exportar configuración
4.11 ThreatSense.Net
........................................................................126
4.11.1
4.11.2
4.11.3
Archivos
.........................................................................128
sospechosos
Estadísticas
.........................................................................129
Envío
.........................................................................130
de archivos
4.12 Administración
........................................................................131
remota
4.13 Licencias
........................................................................132
5. Glosario
..................................................133
5.1
Tipos
........................................................................133
de amenazas
5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.1.6
5.1.7
5.1.8
Virus
.........................................................................133
Gusanos
.........................................................................133
Caballos
.........................................................................134
troyanos
Rootkits
.........................................................................134
Adware
.........................................................................134
Spyware
.........................................................................135
Aplicaciones
.........................................................................135
potencialmente peligrosas
Aplicaciones
.........................................................................135
potencialmente indeseables
5.2 Correo
........................................................................136
electrónico
5.2.1
5.2.2
5.2.3
5.2.4
5.2.4.1
5.2.4.2
5.2.4.3
5.2.4.4
5.2.4.5
Publicidad
.........................................................................136
Información
.........................................................................136
falsa
Phishing
.........................................................................137
Reconocimiento de correo no deseado no
solicitado
.........................................................................137
Reglas
........................................................................137
Filtro
........................................................................138
Bayesiano
Lista
........................................................................138
blanca
Lista
........................................................................138
negra
Control
........................................................................138
del servidor
1. Introducción
ESET Mail Security 4 para Microsoft Exchange Server es una solución integrada que protege los buzones de correo
ante diversos tipos de contenido malicioso, como archivos adjuntos infectados por gusanos o troyanos,
documentos que contienen scripts dañinos, phishing y spam. ESET Mail Security proporciona tres tipos de
protección: antivirus, antispam y la aplicación de reglas definidas por el usuario. ESET Mail Security elimina el
contenido malicioso en el servidor de correo, antes de que llegue al buzón de entrada del cliente de correo
electrónico del destinatario.
ESET Mail Security es compatible con Microsoft Exchange Server versión 2000 y posteriores, así como con
Microsoft Exchange Server en un entorno de clúster. En las versiones más recientes (Microsoft Exchange Server
2007 y posteriores), también se admiten roles específicos (buzón de correo, concentrador, perimetral). Puede
administrar ESET Mail Security de forma remota en redes más grandes con la ayuda de ESET Remote Administrator.
Además de ofrecer la protección de Microsoft Exchange Server, ESET Mail Security tiene también las herramientas
necesarias para garantizar la protección del servidor (protección residente, protección del tráfico de Internet,
protección del cliente de correo electrónico y protección antispam).
1.1 Novedades de la versión 4.5
En la versión 4.5 se han introducido las siguientes novedades y mejoras con respecto a ESET Mail Security 4.3:
Se puede acceder fácilmente a la configuración antispam desde la GUI para que los administradores realicen los
cambios con mayor comodidad.
Compatible con Microsoft Exchange Server 2013.
Compatible con Microsoft Windows Server 2012 / 2012 R2.
1.2 Requisitos del sistema
Sistemas operativos compatibles:
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 (x86 y x64)
Microsoft Windows Server 2008 (x86 y x64)
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Small Business Server 2003 (x86)
Microsoft Windows Small Business Server 2003 R2 (x86)
Microsoft Windows Small Business Server 2008 (x64)
Microsoft Windows Small Business Server 2011 (x64)
Versiones compatibles de Microsoft Exchange Server:
Microsoft Exchange Server 2000 SP1, SP2 y SP3
Microsoft Exchange Server 2003 SP1 y SP2
Microsoft Exchange Server 2007 SP1, SP2 y SP3
Microsoft Exchange Server 2010 SP1, SP2 y SP3
Microsoft Exchange Server 2013
Los requisitos de hardware dependen de las versiones utilizadas del sistema operativo y de Microsoft Exchange
Server. Recomendamos la lectura de la documentación del producto Microsoft Exchange Server para obtener
información más detallada sobre los requisitos de hardware.
5
1.3 Métodos utilizados
Se utilizan dos métodos independientes para analizar mensajes de correo electrónico:
Análisis del buzón de correo mediante VSAPI 6
Filtrado de mensajes de nivel de servidor SMTP
6
1.3.1 Análisis del buzón de correo mediante VSAPI
El proceso de análisis del buzón de correo se activa y controla con Microsoft Exchange Server. Los mensajes de
correo electrónico de la base de datos de archivos de Microsoft Exchange Server se analizan constantemente. Según
la versión de Microsoft Exchange Server, la versión de la interfaz de VSAPI y la configuración definida por el usuario,
el proceso de análisis se puede activar en cualquiera de estas situaciones:
Cuando el usuario accede al correo electrónico, por ejemplo, en un cliente de correo electrónico (el correo
electrónico se analiza siempre con la base de firmas de virus más reciente).
En segundo plano, cuando se hace poco uso de Microsoft Exchange Server.
Proactivamente (de acuerdo con el algoritmo interno de Microsoft Exchange Server).
Actualmente, la interfaz de VSAPI se utiliza para el análisis antivirus y la protección basada en reglas.
1.3.2 Filtrado de mensajes de nivel de servidor SMTP
El filtrado de nivel de servidor SMTP se garantiza mediante un complemento especializado. En Microsoft Exchange
Server 2000 y 2003, el complemento en cuestión (Receptor de sucesos) se registra en el servidor SMTP como parte de
Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se registra como
agente de transporte en los roles Perimetral o Concentrador de Microsoft Exchange Server.
El filtrado de nivel de servidor SMTP por parte de un agente de transporte ofrece protección en forma de reglas
antivirus, antispam y definidas por usuario. A diferencia del filtrado VSAPI, el filtrado de nivel de servidor SMTP se
realiza antes de que el correo analizado llegue al buzón de correo de Microsoft Exchange Server.
1.4 Tipos de protección
Hay tres tipos de protección:
1.4.1 Protección antivirus
La protección antivirus es una de las funciones básicas del producto ESET Mail Security. La protección antivirus
protege contra ataques maliciosos al sistema mediante el control de las comunicaciones por Internet, el correo
electrónico y los archivos. Si se detecta una amenaza con código malicioso, el módulo antivirus puede bloquearlo
para después desinfectarlo, eliminarlo o ponerlo en cuarentena 93 .
1.4.2 Protección Antispam
La protección antispam integra varias tecnologías (RBL, DNSBL, identificación mediante huellas digitales, análisis
de reputación, análisis de contenido, filtro Bayesiano, reglas, creación manual de listas blancas/negras, etc.) para
alcanzar el máximo nivel de detección de amenazas de correo electrónico. La salida del motor de análisis antispam
es el valor de probabilidad de correo no deseado del mensaje de correo electrónico expresado en forma de
porcentaje (de 0 a 100).
La técnica de creación de listas grises es otro componente del módulo de protección antispam (está desactivada de
forma predeterminada). La técnica se basa en la especificación RFC 821, la cual indica que como SMTP se considera
un transporte poco fiable, todos los agentes de transferencia de mensajes (MTA) deberían intentar entregar un
mensaje de correo electrónico repetidamente cuando detecten un error de entrega temporal. Una parte
importante del correo no deseado consiste en entregas puntuales (mediante herramientas especializadas) a una
lista masiva de direcciones de correo electrónico generada de forma automática. Los servidores que utilizan listas
grises calculan un valor de control (hash) para la dirección del remitente del sobre, la dirección del destinatario del
sobre y la dirección IP del MTA que realiza el envío. Si el servidor no encuentra el valor de control de estas tres
direcciones en la base de datos, rechaza el mensaje y devuelve un código de error temporal (por ejemplo, el error
temporal 451). Un servidor legítimo intentará entregar el mensaje otra vez después de un intervalo de tiempo
6
variable. Cuando se realiza el segundo intento, este valor de control se almacena en la base de datos de conexiones
comprobadas, de manera que a partir de ese momento se entregarán todos los mensajes con las características
pertinentes.
1.4.3 Aplicación de reglas definidas por el usuario
La protección basada en reglas definidas por el usuario está disponible para su análisis con el agente de transporte y
VSAPI. Puede utilizar la interfaz de usuario de ESET Mail Security para crear reglas individuales que, después, puede
combinar. Si una regla utiliza varias condiciones, estas se enlazarán con el operador lógico AND. De esta manera, la
regla solo se ejecutará si se cumplen todas sus condiciones. Si se crean varias reglas, se aplicará el operador lógico
OR, de modo que el programa ejecutará la primera regla cuyas condiciones se cumplan.
En la secuencia de análisis, la primera técnica que se utiliza es la creación de listas grises (si está activada). Los
procedimientos posteriores ejecutarán siempre las siguientes técnicas: protección basada en reglas definidas por el
usuario, análisis antivirus y, por último, análisis antispam.
1.5 Interfaz de usuario
El diseño de la interfaz gráfica de usuario (GUI) de ESET Mail Security pretende ser lo más intuitivo posible. La GUI
proporciona a los usuarios acceso rápido y sencillo a las principales funciones del programa.
Además de la GUI principal, está disponible un árbol de configuración avanzada, al que se puede acceder desde
cualquier punto del programa pulsando la tecla F5.
Al pulsar F5, la ventana del árbol de configuración avanzada se abre y muestra una lista de características
configurables del programa. En esta ventana, puede configurar los ajustes y las opciones según sus necesidades. La
estructura de árbol se divide en dos secciones: Protección del servidor y Protección del ordenador. La sección
Protección del servidor contiene elementos relativos a la configuración de ESET Mail Security que son específicos
de la protección de Microsoft Exchange Server. La sección Protección del ordenador contiene elementos
configurables para la protección del propio servidor.
7
2. Instalación
Después de comprar ESET Mail Security, el instalador se puede descargar del sitio web de ESET (www.eset.com)
como un archivo .msi.
Recuerde que el instalador debe ejecutarse con la cuenta de administrador integrado. Los demás usuarios no
tienen los derechos de acceso suficientes, aunque sean miembros de un grupo de administradores. Por este motivo
debe utilizar la cuenta de administrador integrado, ya que la instalación solo se puede completar con la cuenta de
administrador.
El instalador puede ejecutarse de dos maneras:
Puede iniciar sesión localmente con las credenciales de la cuenta de administrador y ejecutar el instalador.
Si ha iniciado sesión con otro usuario, abra la ventana de símbolo del sistema con Ejecutar como… y escriba las
credenciales de la cuenta de administrador para ejecutar el comando como administrador; a continuación,
escriba el comando de ejecución del instalador (p. ej. msiexec /i emsx_nt64_ENU.msi pero debe reemplazar
emsx_nt64_ENU.msi por el nombre de archivo exacto del instalador msi descargado).
Cuando ejecute el instalador, el asistente de instalación le proporcionará instrucciones para realizar la
configuración básica. Están disponibles dos tipos de instalación con distintos niveles de detalle de configuración:
1. Instalación típica
2. Instalación personalizada
NOTA: si es posible, le recomendamos encarecidamente que instale ESET Mail Security en un sistema operativo
recién instalado o configurado. No obstante, si tiene que instalarlo en un sistema actual, es preferible que primero
desinstale la versión anterior de ESET Mail Security, reinicie el servidor y, a continuación, instale la nueva versión de
ESET Mail Security.
2.1 Instalación típica
El modo de instalación típica instala ESET Mail Security rápidamente y con una configuración mínima durante el
proceso de instalación. La instalación típica es el modo de instalación predeterminado y se recomienda cuando no
es necesaria una configuración específica. Una vez que haya instalado ESET Mail Security en el sistema, podrá
modificar las opciones y la configuración en cualquier momento. En esta guía del usuario, la configuración y la
funcionalidad se describen detalladamente. La configuración del modo de instalación típica proporciona un nivel de
seguridad excelente, es fácil de usar y permite un elevado rendimiento del sistema.
Después de seleccionar el modo de instalación y hacer clic en Siguiente, se le solicitarán su nombre de usuario y
contraseña. Estos datos son importantes para que el sistema esté protegido constantemente, pues el nombre de
usuario y la contraseñan permiten la actualización 81 automática de la base de firmas de virus.
Escriba el nombre de usuario y la contraseña que recibió al adquirir o registrar el producto en los campos
8
correspondientes. Si no tiene un nombre de usuario y una contraseña, puede introducirlos directamente desde el
programa más adelante.
En el paso siguiente (Administrador de licencias), agregue el archivo de licencia que recibió por correo electrónico
tras la compra del producto.
El próximo paso es configurar el sistema de alerta temprana ThreatSense.Net. El sistema de alerta temprana
ThreatSense.Net ayuda a garantizar que ESET se mantenga informado de forma continua e inmediata sobre las
nuevas amenazas con el fin de proteger rápidamente a sus clientes. Este sistema permite el envío de amenazas
nuevas al laboratorio de amenazas de ESET, donde se analizan, procesan y agregan a la base de firmas de virus. De
forma predeterminada, la opción Activar el sistema de alerta temprana ThreatSense.Net está seleccionada.
Haga clic en Configuración avanzada para modificar la configuración detallada para el envío de archivos
sospechosos.
El siguiente paso del proceso de instalación consiste en configurar la Detección de aplicaciones potencialmente
indeseables. Las aplicaciones potencialmente indeseables no tienen por qué ser maliciosas, pero pueden influir
negativamente en el comportamiento del sistema operativo. Consulte el capítulo Aplicaciones potencialmente
indeseables 135 para obtener más información.
Estas aplicaciones suelen instalarse con otros programas y puede resultar difícil detectarlas durante la instalación.
Aunque estas aplicaciones suelen mostrar una notificación durante la instalación, se pueden instalar fácilmente sin
su consentimiento.
Seleccione Activar la detección de aplicaciones potencialmente indeseables para permitir que ESET Mail
Security detecte este tipo de aplicaciones. Si no desea utilizar esta funcionalidad, seleccione No activar la
detección de aplicaciones potencialmente indeseables.
El último paso de la instalación típica es la confirmación de la instalación, para lo que debe hacer clic en el botón
Instalar.
2.2 Instalación personalizada
La instalación personalizada se ha diseñado para usuarios que desean configurar ESET Mail Security durante el
proceso de instalación.
Después de seleccionar el modo de instalación y hacer clic en Siguiente, se le solicitará que seleccione una
ubicación de destino para la instalación. De forma predeterminada, el programa se instala en C:\Archivos de
programa\ESET\ESET Mail Security. Haga clic en Examinar para cambiar esta ubicación (no recomendado).
A continuación, escriba su nombre de usuario y contraseña. Este paso es igual que el paso de instalación típica
(consulte "Instalación típica" 8 ).
En el paso siguiente (administrador de licencias), agregue el archivo de licencia que recibió por correo electrónico
tras la compra del producto.
9
Una vez que haya introducido el nombre de usuario y la contraseña, haga clic en Siguiente para ir al paso Configure
su conexión a Internet.
Si utiliza un servidor proxy, este debe estar configurado correctamente para que las actualizaciones de la base de
firmas de virus funcionen correctamente. Si desea que el servidor Proxy se configure automáticamente, seleccione
la configuración predeterminada Desconozco si es usado un servidor Proxy. Usar las mismas características
establecidas para Internet Explorer (recomendado) y haga clic en Siguiente. Si no utiliza un servidor Proxy,
seleccione la opción No se utiliza un servidor Proxy.
Si lo prefiere, puede introducir los datos de configuración del servidor Proxy manualmente. Para configurar el
servidor Proxy, seleccione Conexión mediante servidor Proxy y haga clic en Siguiente. Introduzca la dirección IP o
URL de su servidor Proxy en el campo Dirección. En el campo Puerto, especifique el puerto donde el servidor Proxy
acepta conexiones (3128 de forma predeterminada). En el caso de que el servidor Proxy requiera autenticación, debe
introducir un nombre de usuario y una contraseña para poder acceder al servidor proxy. La configuración del
servidor Proxy también se puede copiar de Internet Explorer, si se desea Una vez que haya introducido los datos del
servidor Proxy, haga clic en Aplicar y confirme la selección.
Haga clic en Siguiente para ir al paso Configurar los parámetros de las actualizaciones automáticas. Este paso
le permite diseñar la gestión de las actualizaciones automáticas de componentes del programa en el sistema. Haga
clic en Cambiar para acceder a la configuración avanzada.
Si no desea que se actualicen los componentes del programa, seleccione la opción Nunca actualizar los
componentes del programa. Seleccione la opción Preguntar antes de descargar actualizaciones para que se
muestre una ventana de confirmación antes de descargar componentes del programa. Para descargar las
10
actualizaciones de componentes del programa de forma automática, seleccione la opción Actualizar siempre los
componentes del programa.
NOTA: Tras una actualización de componentes del programa, suele ser necesario reiniciar el ordenador. Se
recomienda seleccionar la opción Nunca reiniciar el ordenador. Las actualizaciones de componentes más
recientes se aplicarán la próxima vez que se reinicie el servidor (reinicio programado 91 , manual o de otro tipo).
Seleccione Si es necesario, ofrecer reiniciar el ordenador si desea recibir un recordatorio para reiniciar el servidor
después de actualizar los componentes. Esta configuración le permite reiniciar el servidor inmediatamente o
retrasar el reinicio hasta otro momento.
En la próxima ventana de instalación tiene la opción de definir una contraseña para proteger la configuración del
programa. Seleccione la opción Proteger la configuración con contraseña y seleccione una contraseña para los
campos Contraseña nueva y Confirmar nueva contraseña.
Los dos pasos de instalación siguientes, Sistema de alerta temprana y Detección de aplicaciones
potencialmente indeseables de ThreatSense.Net, son iguales que los pasos del modo de instalación típica
(consulte "Instalación típica" 8 ).
Haga clic en Instalar, en la ventana Preparado para instalar, para completar la instalación.
2.3 Terminal Server
Si ha instalado ESET Mail Security en un servidor Windows Server que actúa como Terminal Server, es preferible que
desactive la GUI de ESET Mail Security para impedir que se inicie cada que vez que se registra un usuario. Consulte el
capítulo Desactivar la GUI en Terminal Server 119 para conocer los pasos de desactivación específicos.
11
2.4 Actualización a una versión más reciente
Las versiones nuevas de ESET Mail Security mejoran o solucionan problemas que no se pueden arreglar con las
actualizaciones automáticas de los módulos de programa. La versión más reciente de ESET Mail Security se puede
instalar con estos métodos:
1. Actualización automática mediante una actualización de componentes del programa (PCU)
Las actualizaciones de componentes del programa se distribuyen a todos los usuarios y pueden afectar a
determinadas configuraciones del sistema, de modo que se envían tras un largo período de pruebas que
garantizan una proceso de actualización sin problemas en todas las configuraciones posibles del sistema.
2. Manualmente. Por ejemplo, si necesita instalar una versión más reciente inmediatamente después de su
lanzamiento o desea actualizar el sistema con la última generación de ESET Mail Security (p. ej., de la versión 4.2
o 4.3 a la versión 4.5).
Puede realizar una actualización manual a una versión más reciente de dos formas: en contexto (la versión más
reciente se instala sobre la versión actual) o mediante una instalación limpia (antes de instalar la versión más
reciente, se desinstala la versión anterior).
Para realizar una actualización manual:
1. Actualización en contexto: Instale la versión más reciente sobre la versión actual ESET Mail Security; para ello,
siga los pasos que se indican en el capítulo Instalación 8 . La configuración existente (incluida la configuración
antispam) se importará automáticamente en la versión más reciente durante la instalación.
2. Instalación limpia:
a) Exporte su configuración a un archivo xml mediante la característica Importar y exportar configuración 126 .
b) Abra este archivo xml en un editor xml dedicado o un editor de texto que admita xml (como WordPad o
Notepad++, entre otros) y, a continuación, cambie el número de SECTION ID de la tercera línea a
"1000404", de modo que tenga el aspecto siguiente:
<SECTION ID="1000404">
c) Descargue la herramienta EMSX AntispamSettingsExport de este artículo de la base de conocimientos.
Guarde EMSX_AntispamSettingsExport.exe en el servidor Exchange Server que vaya a actualizar con la versión
más reciente de ESET Mail Security.
d) Ejecute la herramienta EMSX_AntispamSettingsExport.exe. La herramienta creará un archivo cfg.xml con la
configuración antispam de la instalación actual de ESET Mail Security.
e) Descargue el archivo de instalación msi de la versión más reciente de ESET Mail Security.
f) Copie el archivo cfg.xml creado por la herramienta EMSX AntispamSettingsExport en la misma ubicación
donde guardó el archivo de instalación msi de ESET Mail Security (p. ej. emsx_nt64_ENU.msi).
g) Desinstale la versión actual de ESET Mail Security.
h) Ejecute el archivo de instalación msi de ESET Mail Security 4.5. La configuración antispam que ha exportado
al archivo cfg.xml se importará automáticamente en la nueva versión.
i) Una vez que haya finalizado la instalación, utilice la característica Importar y exportar configuración 126 y
un editor xml para importar la configuración del archivo xml que guardó y modificó en los pasos a) y b), así
podrá utilizar su configuración anterior en la nueva versión de ESET Mail Security.
Una vez que haya realizado los pasos anteriores, tendrá instalada en su sistema la nueva versión de ESET Mail
Security con su configuración personalizada anterior.
Para obtener más información sobre el proceso de actualización, consulte este artículo de la base de conocimientos
.
NOTA: Estos dos procesos de actualización manual (instalación en contexto y limpia) se aplican únicamente a la
actualización desde las versiones 4.2 y 4.3 de ESET Mail Security a la versión 4.5.
12
2.5 Roles de Exchange Server: perimetral y concentrador
De forma predeterminada, los servidores Transporte perimetral tienen las características antispam activadas y los
servidores Concentrador de transporte, desactivadas. Esta es la configuración deseada en las organizaciones de
Exchange que tienen un servidor Transporte perimetral. Se recomienda que el servidor Transporte perimetral donde
se ejecute la protección antispam de ESET Mail Security esté configurado para filtrar los mensajes antes de que se
dirijan a la organización de Exchange.
El rol perimetral es la ubicación preferida para el análisis antispam, ya que permite que ESET Mail Security rechace el
correo no deseado al principio del proceso, de manera que evita poner una carga innecesaria en las capas de red. Al
utilizar esta configuración, ESET Mail Security filtra los mensajes entrantes en el servidor Transporte perimetral, de
modo que se pueden trasladar de forma segura al servidor Concentrador de transporte, sin necesidad de un mayor
filtrado.
Sin embargo, si su organización no utiliza el servidor Transporte perimetral y solo tiene el servidor Concentrador de
transporte, se recomienda activar las características antispam en el servidor Concentrador de transporte que reciba
los mensajes entrantes de Internet mediante SMTP.
2.6 Roles de Exchange Server 2013
La arquitectura de Exchange Server 2013 es diferente de las versiones anteriores de Microsoft Exchange. En
Exchange 2013 solo hay dos funciones de servidor, el servidor de acceso de cliente y el servidor de buzón de correo.
Si tiene previsto proteger Microsoft Exchange 2013 con ESET Mail Security, instálelo en un sistema que ejecute
Microsoft Exchange 2013 con el rol de servidor de buzón de correo. ESET Mail Security no admite el rol de servidor de
acceso de cliente.
La instalación de ESET Mail Security en Windows SBS (Small Business Server) es una excepción. En el caso de
Windows SBS, todos los roles de Exchange se ejecutan en el mismo servidor, por lo que ESET Mail Security se
ejecutarán correctamente y proporcionarán todos los tipos de protección, incluida la protección del servidor de
correo.
Sin embargo, si instala ESET Mail Security en un sistema que solo ejecute el rol de servidor de acceso de cliente
(servidor CAS dedicado), las características más importantes de ESET Mail Security no funcionarán, sobre todo las
del servidor de correo. En este caso, solo funcionará la protección en tiempo real del sistema de archivos y algunos
componentes de Protección del ordenador 59 ; el servidor de correo no contará con ningún tipo de protección. Por
este motivo, no recomendamos la instalación de ESET Mail Security en un servidor con el rol de servidor de acceso
de cliente. Como ya hemos dicho, esto no es aplicable a Windows SBS (Small Business Server).
NOTA: Microsoft Exchange 2013 presenta determinadas restricciones técnicas que impiden la compatibilidad de
ESET Mail Security con el rol de servidor de acceso de cliente (CAS).
2.7 Instalación en un entorno de clúster
Un clúster es un grupo de servidores (un servidor conectado a un clúster se llama "nodo") que funcionan como un
solo servidor. Este tipo de entorno proporciona un elevado nivel de accesibilidad y fiabilidad a los servicios
disponibles. Si uno de los nodos del clúster falla o deja de estar accesible, otro nodo del clúster lo sustituye
automáticamente. ESET Mail Security es totalmente compatible con servidores Microsoft Exchange Server
conectados en clúster. Para que ESET Mail Security funcione correctamente, es importante que todos los nodos de
un clúster contengan la misma configuración. Esto se consigue aplicando una directiva mediante ESET Remote
Administrator (ERA). En los capítulos siguientes se explica cómo instalar y configurar ESET Mail Security en
servidores de un entorno de clúster con ERA.
Instalación
En este capítulo se explica el método de instalación impulsada; aunque no es el único método posible para instalar
un producto en el ordenador de destino. Si desea información sobre otros métodos de instalación, consulte la Guía
del usuario de ESET Remote Administrator.
1) Descargue el paquete de instalación msi de ESET Mail Security del sitio web de ESET al ordenador donde está
instalado ERA. En la ficha ERA > Instalación remota > Ordenadores, haga clic con el botón derecho del ratón sobre
cualquier ordenador de la lista y seleccione Administrar paquetes en el menú contextual. En el menú desplegable
13
Tipo, seleccione Paquete de productos de seguridad de ESET y haga clic en Agregar. En Origen, localice el
paquete de instalación de ESET Mail Security que ha descargado y haga clic en Crear.
2) En Modificar o seleccionar la configuración asociada a este paquete, haga clic en Modificar y configure los
ajustes de ESET Mail Security según sus necesidades. Los ajustes de ESET Mail Security se encuentran en estas
secciones: ESET Smart Security, ESET NOD32 Antivirus > Protección del servidor de correo electrónico y
Protección del servidor de correo electrónico para Microsoft Exchange Server. Aquí también puede definir los
parámetros de otros módulos incluidos en ESET Mail Security (como el módulo de actualización, el análisis del
ordenador, etc.). Se recomienda exportar los ajustes configurados en un archivo .xml que después se puede utilizar
para, por ejemplo, crear el paquete de instalación o aplicar una directiva o tarea de configuración.
3) Haga clic en Cerrar. En el siguiente cuadro de diálogo (¿Desea guardar los paquetes en el servidor?), seleccione
Sí y escriba el nombre del paquete de instalación. El paquete de instalación terminado (con el nombre y la
configuración) se guardará en el servidor. Por lo general, este paquete se utiliza para la instalación impulsada,
aunque también se puede guardar como un paquete de instalación msi estándar para una instalación directa en el
servidor (en el Editor de paquetes de instalación > Guardar como).
4) Ahora que el paquete de instalación está listo, puede iniciar la instalación remota en los nodos de un clúster. En
la ficha ERA > Instalación remota > Ordenadores, seleccione los nodos en los que desea instalar ESET Mail
Security (Ctrl + clic o Shift + clic). Haga clic con el botón derecho del ratón en cualquiera de los ordenadores
seleccionados y elija Instalación impulsada en el menú contextual. Utilice los botones Establecer/Establecer
todas para definir el Nombre de usuario y la Contraseña de un usuario en el ordenador de destino (debe ser un
usuario con derechos de administrador). Haga clic en Siguiente para seleccionar el paquete de instalación y en
Finalizar para iniciar el proceso de instalación remota. El paquete de instalación que contiene los ajustes de
configuración personalizada y de ESET Mail Security se instalará en los ordenadores/nodos de destino
seleccionados. Tras un breve período de tiempo, los clientes que tengan ESET Mail Security se mostrarán en la ficha
ERA > Clientes. Ahora puede gestionar los clientes de forma remota.
NOTA: para que el proceso de instalación remota se ejecute sin problemas, los ordenadores de destino y ERA Server
deben cumplir una serie de condiciones. Encontrará más información en la Guía del usuario de ESET Remote
Administrator.
Configuración
Para que ESET Mail Security funcione correctamente en los nodos de un clúster, los nodos deben tener la misma
configuración en todo momento. Esta condición se cumple si se siguió el método de instalación impulsada arriba
indicado. Sin embargo, existe la posibilidad de que la configuración se modifique por error y aparezcan
incoherencias entre los productos de ESET Mail Security en un clúster. Esto se puede evitar utilizando una directiva
en ERA. Las directivas son muy parecidas a una tarea de configuración estándar: envían al cliente la configuración
definida en el editor de configuración, aunque se diferencian en que las directivas se aplican a los clientes de forma
constante. De este modo, las directivas se pueden definir como una configuración que aplica periódicamente a un
cliente o grupo de clientes.
En ERA > Herramientas > Administrador de directivas, hay varias opciones de uso de una directiva. La opción más
sencilla en la Directiva principal predeterminada, que también funciona como Directiva predeterminada para
clientes principales. Este tipo de directiva se aplica automáticamente a todos los clientes que estén conectados
(en este caso, a todos los productos de ESET Mail Security de un clúster). La directiva se puede configurar haciendo
clic en Modificar o con la configuración guardada en el archivo .xml, si se ha creado uno.
La segunda opción consiste en crear una directiva nueva (Agregar nueva directiva secundaria) y utilizar la opción
Agregar clientes para asignar todos los productos de ESET Mail Security a esta directiva.
Esta configuración garantiza la aplicación de una sola directiva con la misma configuración a todos los clientes. Si
desea modificar la configuración existente de un servidor de ESET Mail Security en un clúster, solo tiene que
modificar la directiva actual. Los cambios se aplicarán a todos los clientes asignados a esta directiva.
NOTA: Consulte la Guía del usuario de ESET Remote Administrator para obtener información detallada sobre las
directivas.
14
2.8 Licencia
La introducción del archivo de licencia de ESET Mail Security for Microsoft Exchange Server es un paso fundamental.
Sin este archivo, la protección del correo electrónico en Microsoft Exchange Server no funcionaría correctamente. Si
no añade el archivo de licencia durante la instalación, puede hacerlo a posteriori en la configuración avanzada, en
Varios > Licencias.
ESET Mail Security le permite utilizar varias licencias al mismo tiempo. Para hacerlo, debe combinarlas como se
indica a continuación:
1) Combinación de dos o más licencias de un cliente (es decir, licencias asignadas al mismo nombre de cliente); el
número de buzones de correo analizados aumenta proporcionalmente. El administrador de licencias sigue
mostrando ambas licencias.
2) Combinación de dos o más licencias de clientes distintos. Esto sucede exactamente igual que en el primer caso,
con la única diferencia de que al menos una de las licencias debe tener un atributo especial. Este atributo es
necesario para combinar licencias de clientes distintos. Si desea utilizar una licencia de este tipo, solicite al
distribuidor local que genere una para usted.
NOTA: el período de validez de la nueva licencia se corresponde con la fecha de expiración de la licencia que antes
caduque de las dos.
ESET Mail Security for Microsoft Exchange Server (EMSX) compara el número de buzones de correo de Active
Directory con el número de licencias que posee. Se comprueban todas las instancias de Active Directory de
Exchange Server para determinar el número total de buzones de correo. El recuento de buzones de correo no
contabiliza los buzones de correo del sistema, los buzones de correo desactivados ni los alias de correo electrónico.
En los entornos de clúster, tampoco se contabilizan los nodos que tienen el rol de buzón de correo en clúster.
Para determinar el número de buzones de correo de Exchange activos que posee, abra Usuarios y equipos de
Active Directory en el servidor. Haga clic en el dominio con el botón derecho del ratón y, a continuación, haga clic
en Buscar. Después, en el menú desplegable Buscar, seleccione Búsqueda personalizada y haga clic en la ficha
Avanzadas. Pegue la siguiente consulta LDAP y haga clic en Buscar ahora:
(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(!
(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!
userAccountControl:1.2.840.113556.1.4.803:=2))
15
Si el número de buzones de correo de Active Directory supera el recuento de licencias, se anotará un mensaje en el
registro de Microsoft Exchange Server para indicarle que el estado de la protección ha cambiado porque se ha
superado el número de buzones de correo que admite su licencia. ESET Mail Security también cambiará el Estado
de la protección a naranja para informarle, y mostrará un mensaje para avisarle de que quedan 42 días para que se
desactive la protección. Si recibe esta notificación, póngase en contacto con el representante de ventas para
adquirir licencias adicionales.
Si ha transcurrido el período de 42 días y no agregó las licencias necesarias para cubrir el exceso de buzones de
correo, el Estado de la protección cambiará a rojo. Un mensaje le informará de que se ha desactivado la
protección. Si recibe esta notificación, póngase en contacto inmediatamente con el representante de ventas para
adquirir licencias adicionales.
16
2.9 Configuración posterior a la instalación
Después de instalar un producto, hay que configurar varias opciones.
Configuración de la protección frente a correo no deseado
En esta sección se describen los ajustes, métodos y técnicas que se pueden utilizar para proteger la red frente al
correo no deseado. Le recomendamos que lea detenidamente las siguientes instrucciones antes de elegir la
combinación de ajustes más adecuada para su red.
Gestión del spam
Con el fin de garantizar un nivel elevado de protección antispam, debe definir las acciones que se realizarán en los
mensajes marcados como SPAM.
Hay tres opciones disponibles:
1. Eliminación del correo no deseado
Los criterios para que ESET Mail Security marque un mensaje como SPAM son bastante altos, de modo que se
reducen las posibilidades de eliminar correos electrónicos legítimos. Cuanto más específica sea la configuración
antispam, menos probable es que se elimine correo legítimo. Entre las ventajas de este método se incluye un
consumo muy bajo de recursos del sistema y menos tareas de administración; la desventaja es que, si se elimina
un mensaje legítimo, no se podrá restaurar localmente.
2. Cuarentena
Con esta opción no existe riesgo de eliminar correo legítimo, ya que los mensajes se pueden restaurar y reenviar a
los destinatarios originales inmediatamente. Las desventajas de esta método son un mayor consumo de recursos
del sistema y la necesidad de tiempo adicional para el mantenimiento de la cuarentena de mensajes de correo
electrónico. Existen dos métodos para poner correo electrónico en cuarentena:
A. Cuarentena interna de Exchange Server (se aplica solo a Microsoft Exchange Server 2007/2010):
- Si desea utilizar la cuarentena interna del servidor, asegúrese de que el campo Cuarentena común de
mensajes disponible en el panel derecho del menú de configuración avanzada (debajo de Protección del
servidor > Cuarentena de mensajes) está vacío. Asegúrese también de que la opción Poner mensaje en
cuarentena en el sistema del servidor de correo está seleccionada en el menú desplegable disponible en
la parte inferior. Este método solo funciona cuando hay una carpeta de cuarentena interna en Exchange. De
forma predeterminada, la cuarentena interna no está activada en Exchange. Si desea activarla, abra la
Consola de administración de Exchange y escriba el comando siguiente:
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(sustituya [email protected] por el buzón de correo real que desea que utilice Microsoft Exchange como
buzón de correo de cuarentena interno, por ejemplo, [email protected])
B. Buzón de correo de cuarentena personalizado:
- Si escribe el buzón de correo que desea en el campo Cuarentena común de mensajes, ESET Mail Security
moverá todos los mensajes no deseados a este buzón personalizado.
Si desea más información sobre la cuarentena y los diferentes métodos, consulte el capítulo Cuarentena de
mensajes 25 .
3. Envío de correo no deseado
El correo no deseado se enviará a su destinatario. Sin embargo, ESET Mail Security añadirá el valor de SCL en el
encabezado MIME pertinente de cada mensaje. En función de este valor de SCL, el IMF (filtro inteligente de
mensajes) de Exchange Server ejecutará la acción pertinente.
Filtrado de correo no deseado
17
Creación de listas grises
El método de listas grises protege a los usuarios frente al correo no deseado mediante la técnica que se indica a
continuación: el agente de transporte envía un valor de retorno SMTP "rechazar temporalmente" (el valor
predeterminado es 451/4.7.1) para los mensajes recibidos que no procedan de un remitente conocido. Un servidor
legítimo intentará entregar el mensaje otra vez. Por lo general, los servidores de spam no intentan enviar el
mensaje otra vez, ya que suelen pasar por miles de direcciones de correo electrónico y no pueden perder el tiempo
con reenvíos.
Cuando evalúa el origen del mensaje, el método tiene en cuenta la configuración de las listas de Direcciones IP
permitidas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP de Exchange Server y la configuración de
No aplicar antispam del buzón de correo del destinatario. Las listas grises deben configurarse exhaustivamente
para evitar fallos operativos no deseados (por ejemplo, retrasos en la entrega de mensajes legítimos, etc.). Estos
efectos negativos desaparecen a medida que el método llena la lista blanca interna con conexiones de confianza. Si
no está familiarizado con este método, o si considera que sus efectos negativos son inaceptables, le recomendamos
que lo desactiva en el menú Configuración avanzada, en Protección Antispam > Microsoft Exchange Server >
Agente de transporte > Activar creación de listas grises.
Le recomendamos que desactive la creación de listas grises si desea probar las funciones básicas del producto y no
va a configurar las características avanzadas del programa.
NOTA: las listas grises son una capa adicional de la protección antispam y no tienen ningún efecto sobre la
capacidad de evaluación del correo no deseado del módulo antispam.
Configuración de la protección antivirus
Cuarentena
En función del modo de desinfección que utilice, le recomendamos que configure la acción que desea que se realice
en los mensajes infectados (no desinfectados). Esta opción se puede definir en la ventana Configuración avanzada,
en Protección del servidor > Antivirus y antispyware > Microsoft Exchange Server > Agente de transporte.
Si está activada la opción de mover mensajes a la cuarentena de mensajes de correo electrónico, debe configurar la
cuarentena en Protección del servidor > Cuarentena de mensajes, en la ventana Configuración avanzada.
Rendimiento
Si no hay más restricciones, nuestra recomendación es que aumente el número de motores de análisis de
ThreatSense en la ventana Configuración avanzada (F5), en Protección del ordenador > Antivirus y antispyware
> Rendimiento, de acuerdo con esta fórmula: número de motores de análisis de ThreatSense = (número de CPU físicas x 2)
+ 1. Además, el número de subprocesos de análisis debe ser igual al número de motores de análisis de ThreatSense. Puede
configurar el número de subprocesos de análisis en Protección del servidor > Antivirus y antispyware >
Microsoft Exchange Server > VSAPI > Rendimiento. Ejemplo:
Supongamos que tiene un servidor con 4 CPU físicas. Según la fórmula anterior, para disfrutar un rendimiento
máximo debería tener 9 subprocesos de análisis y 9 motores de análisis.
NOTA: son aceptables valores entre 1 y 20, de modo que el número máximo de motores de análisis de ThreatSense
que se puede utilizar es 20. El cambio no se aplicará hasta que reinicie el sistema.
NOTA: nuestra recomendación es que defina un número de subprocesos de análisis igual al número de motores de
análisis de ThreatSense utilizados. El rendimiento no se verá afectado si utiliza más subprocesos de análisis que
motores de análisis.
NOTA: si utiliza ESET Mail Security en un servidor Windows Server que actúa como Terminal Server y no desea que
la GUI de ESET Mail Security se inicie cada que vez que se registra un usuario, consulte el capítulo Desactivar la GUI
en Terminal Server 119 para conocer los pasos de desactivación específicos.
18
3. ESET Mail Security: protección de Microsoft Exchange Server
ESET Mail Security proporciona una buena protección para Microsoft Exchange Server. Hay fundamentalmente tres
tipos de protección: Antivirus, Antispam y aplicación de reglas definidas por el usuario. ESET Mail Security ofrece
protección frente a varios tipos de contenido malicioso, como archivos adjuntos infectados por gusanos o troyanos,
documentos que contienen scripts dañinos, phishing y spam. ESET Mail Security elimina el contenido malicioso del
servidor de correo antes de que llegue a la bandeja de entrada del cliente de correo electrónico del destinatario. En
los capítulos siguientes se describen todas las opciones y parámetros disponibles para configurar la protección de
Microsoft Exchange Server.
3.1 Configuración general
En esta sección se explica cómo administrar reglas, archivos de registro, cuarentenas de mensajes y parámetros de
rendimiento.
3.1.1 Microsoft Exchange Server
3.1.1.1 VSAPI (Interfaz de programación de aplicaciones de análisis de virus)
Microsoft Exchange Server proporciona un mecanismo para garantizar que se todos los componentes del mensaje
se comprueba con la base de firmas de virus actual. Si el componente de un mensaje no se analizó, este se envía
para su análisis antes de enviar el mensaje al cliente. Cada una de las versiones compatibles de Microsoft Exchange
Server (2000/2003/2007/2010) ofrece una versión diferente de VSAPI.
Utilice la casilla de verificación para activar o desactivar el inicio automático de la versión de VSAPI que utiliza su
servidor de Exchange.
3.1.1.2 Agente de transporte
En esta sección, puede configurar el agente de transporte para que se inicie automáticamente y definir la prioridad
de carga de agente. En Microsoft Exchange Server 2007 y versiones posteriores solo se puede instalar un agente de
transporte si el servidor tiene uno de estos dos roles: Transporte perimetral o Concentrador de transporte.
NOTA: el agente de transporte no está disponible en Microsoft Exchange Server 5.5 (VSAPI 1.0).
En el menú Configuración de prioridad de agentes, puede definir la prioridad de los agentes de ESET Mail Security.
19
El intervalo de números de prioridad del agente depende de la versión de Microsoft Exchange Server (cuando más
bajo sea el número, mayor será la prioridad).
Anotar el nivel de confianza contra correo no deseado (SCL) en el encabezado de mensaje analizados en
función del nivel de spam: SCL es un valor normalizado asignado a un mensaje que indica la probabilidad de que el
mensaje sea correo no deseado (según las características del encabezado del mensaje, el asunto, el contenido,
etc.). Un valor de 0 indica que es muy poco probable que el mensaje sea spam y un valor de 9, que es muy probable.
Los valores de SCL se pueden procesar también con el filtro inteligente de mensajes de Microsoft Exchange Server (o
el agente del filtro de contenido). Si desea información adicional, consulte la documentación de Microsoft Exchange
Server.
Al eliminar un mensaje, enviar una respuesta SMTP de rechazo
Si esta opción no está seleccionada, el servidor envía una respuesta SMTP de aceptación al Agente de
transferencia de correo (MTA) del remitente con el formato '250 2.5.0 - Aceptación de la acción del correo:
completada' y, a continuación, realiza una colocación silenciosa.
Si está seleccionada, se envía una respuesta SMTP de rechazo al agente MTA del remitente. El mensaje de
respuesta se puede escribir con el formato siguiente:
Código de respuesta
principal
250
Código de respuesta
complementario
2.5.0
Descripción
Aceptación de la acción del correo: completada
451
4.5.1
Se canceló la acción solicitada: error local al procesar
550
5.5.0
No se realizó la acción solicitada: el buzón de correo
no está disponible
Alerta: una sintaxis incorrecta en los códigos de respuesta SMTP podría provocar el mal funcionamiento de los
componentes del programa y disminuir su
NOTA: en la configuración de respuestas SMTP de rechazo también puede utilizar variables del sistema.
20
3.1.2 Reglas
El elemento de menú Reglas permite a los administradores definir manualmente las condiciones de filtrado de
correo electrónico y las acciones que se deben realizar con los mensajes de correo electrónico filtrados. Las reglas se
aplican en función de un grupo de condiciones combinadas. Las condiciones se combinan con el operador lógico
AND, de modo que la regla solo se aplica cuando se cumplen todas las condiciones. En la columna Número
(disponible junto al nombre de regla) se muestra el número de veces que una regla se aplicó con éxito.
Las reglas se cotejan con un mensaje cuando el agente de transporte (AT) o VSAPI lo procesan. Si están activados el
agente de transporte y VSAPI, y el mensaje cumple las condiciones de la regla, el contador de la regla aumentará en
2 o más. Esto se debe a que VSAPI accede a cada parte del mensaje de forma individual (cuerpo, archivo adjunto,
etc.), de modo que las reglas se aplican a cada una de las partes individuales. Las reglas también se aplican durante
el análisis en segundo plano (p. ej., el análisis repetido del almacén de buzones de correo tras la actualización de la
base de firmas de virus), lo cual puede aumentar el contador de la regla.
Agregar: agrega una regla nueva.
Editar: modifica una regla existente.
Quitar: elimina la regla seleccionada.
Borrar: borra el contenido del contador de la regla (la columna Coincidencias).
Subir: sube la posición de la regla seleccionada en la lista.
Bajar: baja la posición de la regla seleccionada en la lista.
Cuando se anula la selección de una casilla de verificación (a la izquierda de cada nombre de regla), se desactiva la
regla actual. Si es necesario, la regla se puede volver a activar con esta casilla.
NOTA: en la configuración de reglas también puede utilizar variables del sistema (p. ej., %PATHEXT%).
NOTA: si se ha agregado una regla nueva o se ha modificado una regla existente, se iniciará automáticamente un
nuevo análisis de mensajes con las reglas nuevas o modificadas.
21
3.1.2.1 Cómo agregar reglas nuevas
Este asistente le ayuda a agregar reglas especificadas por el usuario con condiciones combinadas.
NOTA: cuando el mensaje se analiza con el agente de transporte, no son aplicables todas las condiciones.
Por buzón de correo de destino: se aplica al nombre de un buzón de correo (VSAPI).
Por destinatario del mensaje: se aplica a los mensajes enviados a un destinatario especificado (VSAPI + AT).
Por remitente del mensaje: se aplica a los mensajes enviados por un remitente especificado (VSAPI + AT).
Por asunto del mensaje: se aplica a los mensajes que tienen un asunto específico (VSAPI + AT).
Por cuerpo del mensaje: se aplica a los mensajes cuyo cuerpo contiene un texto específico (VSAPI).
Por nombre de archivo adjunto: se aplica a los mensajes que tienen un adjunto con un nombre específico (VSAPI
en Exchange 2000 y 2003, VSAPI + TA en Exchange 2007 y 2010).
Por tamaño de archivo adjunto: se aplica a los mensajes que tienen un adjunto de un tamaño superior al
definido (VSAPI en Exchange 2000 y 2003, VSAPI + TA en Exchange 2007 y 2010).
Por frecuencia de repetición del archivo en el adjunto: se aplica a objetos (cuerpo del mensaje o archivo
adjunto) cuyo número de repeticiones en el intervalo de tiempo especificado supera el límite especificado (VSAPI).
Esta condición es muy útil cuando se reciben constantemente mensajes no deseados que tienen el mismo cuerpo
del mensaje o archivo adjunto.
Por tipo de archivo adjunto se aplica a un mensaje cuyo archivo adjunto es de un tipo especificado (el tipo de
archivo real se detecta en función de su contenido, independientemente de su extensión) (VSAPI).
Al especificar las condiciones anteriores (salvo la condición Por tamaño de archivo adjunto), si no está
seleccionada la opción Palabras completas, basta con indicar una parte de la frase. Los valores no distinguen
mayúsculas y minúsculas, a no ser que esté seleccionada la opción Distinguir mayúsculas y minúsculas. Si utiliza
caracteres no alfanuméricos, enciérrelos entre paréntesis y comillas. También puede crear condiciones con los
operadores lógicos AND, OR y NOT.
NOTA: la lista de reglas disponibles depende de la versión instalada de Microsoft Exchange Server.
NOTA: Microsoft Exchange Server 2000 (VSAPI 2.0) solo evalúa el nombre del remitente/destinatario mostrado,
no la dirección de correo electrónico. Las direcciones de correo electrónico empezaron a evaluarse en Microsoft
Exchange Server 2003 (VSAPI 2.5) y versiones posteriores.
Ejemplos de introducción de condiciones
Por buzón de correo de
destino:
smith
Por remitente del
mensaje:
[email protected]
Por destinatario del
mensaje:
"J.Smith" o "[email protected]"
Por asunto del mensaje:
""
22
Por nombre de archivo
adjunto:
".com" OR ".exe"
Por cuerpo del mensaje:
("gratis" OR "lotería") AND ("ganar" OR "comprar")
3.1.2.2 Acciones emprendidas en la aplicación de reglas
En esta sección, puede seleccionar las acciones que se deben realizar en los mensajes o archivos adjuntos que
cumplan las condiciones definidas en las reglas. Tiene la opción de no realizar ninguna acción, marcar el mensaje
como si contuviese una amenaza o fuese spam, o eliminar todo el mensaje. De forma predeterminada, cuando un
mensaje o su archivo adjunto cumplen las condiciones de la regla, los módulos antivirus o antispam no lo analizan,
a menos que el análisis se active explícitamente con las correspondientes casillas de verificación (entonces, la
acción realizada depende de la configuración del módulo antivirus o antispam).
Sin acciones: no se realizará ninguna acción en el mensaje.
Realizar acción en amenaza no eliminada: se indicará que el mensaje contiene una amenaza no eliminada
(independientemente de si contiene una amenaza o no).
Realizar acción en correo no solicitado: se indicará que el mensaje es spam (independientemente de si lo es o
no). Esta opción solo funciona si la protección antispam 37 está activada y la acción se realiza en el agente de
transporte. Si no es así, la acción no se realizará.
Eliminar mensaje: elimina todos los mensajes cuyo contenido cumpla las condiciones. Esta acción solo funciona
en VSAPI 2.5 y versiones más recientes (VSAPI 2.0 y las versiones anteriores no pueden realizar esta acción).
Poner archivo en cuarentena: los archivos adjuntos que cumplan los criterios de la regla se pondrán en la
cuarentena de archivos de ESET Mail Security, que no se debe confundir con la cuarentena de correo (para
obtener más información sobre la cuarentena de correo, consulte Cuarentena de mensajes 25 ).
Enviar archivo para su análisis: envía los archivos adjuntos sospechosos al laboratorio de ESET para su análisis.
Enviar notificación de sucesos: envía una notificación al administrador (de acuerdo con la configuración de
Herramientas > Alertas y notificaciones).
Registrar: registra información sobre la regla aplicada en el registro del programa.
Evaluar otras reglas: permite la evaluación de otras reglas, de modo que el usuario puede definir varios
conjuntos de condiciones y varias acciones en función de las condiciones.
Analizar mediante la protección antivirus y antispyware: analiza los mensajes y los archivos adjuntos en
busca de amenazas.
Analizar mediante la protección antispam: analiza el mensaje para detectar la presencia de spam.
NOTA: esta opción solo está disponible en Microsoft Exchange Server 2000 y versiones posteriores cuando el
agente de transporte está activado.
El último paso del asistente de creación de reglas nuevas consiste en asignar un nombre a cada una de las reglas
creadas. También puede agregar un Comentario de regla. Esta información se almacenará en el registro de
Microsoft Exchange Server.
23
3.1.3 Archivos de registro
En la configuración de archivos de registro puede elegir el modo de estructuración del archivo de registro. Un
protocolo más detallado puede contener más información, pero podría ralentizar el rendimiento del servidor.
Si la opción Escritura sincronizada sin utilizar caché está activada, todas las entradas de registro se escribirán
inmediatamente en el archivo de registro y no se almacenarán en la caché de registro. De forma predeterminada,
los componentes de ESET Mail Security que se ejecutan en el archivo de Microsoft Exchange Server registran los
mensajes en su caché interna y los envían al registro de la aplicación periódicamente para que el rendimiento no se
vea afectado. No obstante, en este caso, es posible que las entradas de diagnóstico en el registro no estén
correctamente ordenadas. Se recomienda dejar este parámetro desactivado, a no ser que sea necesario para el
diagnóstico. En el menú Contenido, puede especificar el tipo de información que se almacena en los archivos de
registro.
Aplicación de reglas del registro: si esta opción está activada, ESET Mail Security escribe el nombre de todas las
reglas activadas en el archivo de registro.
Nivel de spam del registro: utilice esta opción para que la actividad relacionada con correo no deseado se anote
en el Registro de antispam 95 . Cuando el servidor de correo recibe un mensaje SPAM, se escribe en el registro
información sobre el mensaje (fecha y hora, remitente, destinatario, asunto, nivel de SPAM, detalle y acción).
Esta función es útil cuando es necesario realizar un seguimiento de los mensajes SPAM recibidos, cuándo se
recibieron y qué acción se ejecutó.
Actividad de creación de listas grises del registro: active esta opción si desea que la actividad relacionada con
la creación de listas grises se anote en el Registro de listas grises 95 . Esta opción proporciona información como
la fecha y la hora, el dominio HELO, la dirección IP, el remitente, el destinatario, la acción, etc.
NOTA: esta opción solo funciona si la creación de listas grises está activada en las opciones del Agente de
transporte 38 , en Protección del servidor > Protección Antispam > Microsoft Exchange Server > Agente de
transporte, en el árbol de configuración avanzada (F5).
Rendimiento del registro: registra información sobre el intervalo de tiempo de una tarea realizada, el tamaño
del objeto analizado, la velocidad de transferencia (kb/s) y el rendimiento.
Información de diagnóstico del registro: registra información de diagnóstico necesaria para ajustar el
programa al protocolo. Esta opción se utiliza principalmente para la depuración e identificación de problemas. No
se recomienda activar esta opción. Para ver la información de diagnóstico que proporciona esta función, defina el
nivel de detalle de registro Mínimo en Registros de diagnóstico en Herramientas > Archivos de registro > Nivel
mínimo de detalle al registrar.
24
3.1.4 Cuarentena de mensajes
El buzón de correo Cuarentena de mensajes es un buzón especial definido por el administrador del sistema para
almacenar mensajes potencialmente infectados y correo no deseado. Los mensajes almacenados en cuarentena se
pueden analizar o desinfectar posteriormente con una base de firmas de virus más reciente.
Se pueden utilizar dos tipos de sistemas de cuarentena de mensajes.
Por un lado, está el sistema de cuarentena de Microsoft Exchange (se aplica únicamente a Microsoft Exchange
Server 2007/2010). En este caso, el mecanismo interno de Exchange se utiliza para almacenar los mensajes
potencialmente infectados y correo no deseado. Además, si es necesario, se pueden añadir buzones de correo de
cuarentena independientes para destinatarios específicos. Esto significa que los mensajes potencialmente
infectados, que originalmente se enviaban a un destinatario específico, se entregarán en un buzón de correo de
cuarentena independiente, y no en el buzón de cuarentena interno de Exchange. Esta función puede ser útil en
algunos casos, para organizar mejor los mensajes potencialmente infectados y el correo no deseado.
Por otro lado, está la Cuarentena común de mensajes. Si utiliza una versión anterior de Microsoft Exchange Server
(5.5, 2000 o 2003), solo tiene que especificar ka Cuarentena común de mensajes, que es un buzón de correo en el
que se almacenarán los mensajes potencialmente infectados. En este caso, no se utiliza el sistema de cuarentena
interna de Exchange, sino un buzón de correo especificado por el administrador del sistema. Al igual que en la
primera opción, se pueden añadir buzones de correo de cuarentena independientes para destinatarios específicos.
El resultado es que los mensajes potencialmente infectados se entregan en un buzón de correo independiente, en
vez de en la cuarentena común de mensajes.
25
Cuarentena común de mensajes: puede especificar la dirección de la cuarentena común de mensajes aquí (por
ejemplo, [email protected]) o utilizar el sistema de cuarentena interna de Microsoft Exchange
Server 2007/2010, en cuyo caso debe dejar este campo en blanco y seleccionar Poner mensaje en cuarentena en
el sistema del servidor de correo (siempre que la cuarentena de Exchange esté disponible en su entorno) en el
menú desplegable situado en la parte inferior. Entonces, el mecanismo interno de Exchange entrega los correos
electrónico en la cuarentena de acuerdo con su configuración.
NOTA: de forma predeterminada, la cuarentena interna no está activada en Exchange. Si desea activarla, abra la
Consola de administración de Exchange y escriba el comando siguiente:
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(sustituya [email protected] por el buzón de correo real que desea que utilice Microsoft Exchange como buzón
de correo de cuarentena interno, por ejemplo, [email protected])
Cuarentena de mensajes por destinatario: esta opción le permite definir buzones de correo de cuarentena de
mensajes para varios destinatarios. Las reglas de cuarentena se pueden activar o desactivar con la casilla de
verificación situada en su fila.
Agregar: para agregar una regla de cuarentena nueva, introduzca la dirección de correo electrónico del
destinatario que desee y la dirección de correo electrónico de cuarentena a la que se enviará el mensaje.
Modificar: modifique una regla de cuarentena seleccionada.
Quitar: elimina la regla de cuarentena seleccionada.
Preferir cuarentena común de mensajes: si se activa esta opción, el mensaje se enviará a la
cuarentena común de mensajes especificada si se cumplen varias reglas de cuarentena (p. ej., si un
mensaje tiene varios destinatarios y algunos se definen en varias reglas de cuarentena).
Mensaje destinado a cuarentena de mensajes no existente: si no especificó una cuarentena común de
mensajes, puede realizar una de las acciones siguientes en los mensajes potencialmente infectados y el correo no
deseado:
Sin acciones: los mensajes se procesarán del modo normal y se entregarán al destinatario (no recomendado).
Eliminar mensaje: los mensajes dirigidos a un destinatario que no tenga ninguna regla de cuarentena ni
cuarentena común de mensajes especificada se eliminarán; es decir, que todos los mensajes potencialmente
infectado y el correo no deseado se eliminarán automáticamente, y no se guardarán en ningún sitio.
Poner mensaje en cuarentena en el sistema del servidor de correo: los mensajes se entregan y almacenan en
el sistema de cuarentena interna de Exchange (no disponible en Microsoft Exchange Server 2003 y versiones
anteriores).
NOTA: en la configuración de los ajustes de la cuarentena de mensajes, también puede utilizar variables del
sistema (p. ej., %USERNAME%).
3.1.4.1 Cómo agregar una nueva regla de cuarentena
Escriba las direcciones de correo electrónico del destinatario y de cuarentena en los campos correspondientes.
Si desea eliminar un mensaje de correo electrónico dirigido a un destinatario que no aplica ninguna regla de
cuarentena, puede seleccionar la opción Eliminar el mensaje del menú desplegable Mensaje destinado a
cuarentena de mensajes no existente.
26
3.1.5 Rendimiento
En esta sección, puede definir una carpeta en la que almacenar los archivos temporales con el fin de mejorar el
rendimiento del programa. Si no se especifica ninguna carpeta, ESET Mail Security creará los archivos temporales
en la carpeta temporal del sistema.
NOTA: para reducir el impacto de la fragmentación y las operaciones de E/S, es recomendable colocar la carpeta
temporal en una unidad de disco duro diferente a la unidad donde está instalado Microsoft Exchange Server. Le
recomendamos encarecidamente que evite la asignación de la carpeta temporal a un medio extraíble, como la
unidad de disquete, USB, DVD, etc.
NOTA: puede utilizar variables del sistema (como %SystemRoot%\TEMP) para configurar los ajustes de rendimiento.
3.2 Configuración del antivirus y antispyware
Si desea activar la protección antivirus y antispyware del servidor de correo, seleccione la opción Activar la
protección antivirus y antispyware del servidor. Tenga en cuenta que la protección antivirus y antispyware se
activa automáticamente después de reiniciar el servicio/ordenador. La configuración de parámetros del motor
ThreatSense se abre con el botón Configuración.
27
3.2.1 Microsoft Exchange Server
ESET Mail Security for Microsoft Exchange Server utiliza dos tipos de análisis para la protección antivirus y
antispyware. Uno de ellos analiza los mensajes mediante VSAPI y el otro utiliza un agente de transporte.
La protección con VSAPI
28
analiza los mensajes directamente en el archivo de Exchange Server.
La protección con el agente de transporte 34 analiza el tráfico SMTP en vez del archivo de Exchange Server. Si se
activa este tipo de protección, todos los mensajes y sus componentes se analizarán durante el transporte, antes
de que lleguen al archivo de Exchange Server o de su envío a través de SMTP. El filtrado de nivel de servidor SMTP
se garantiza mediante un complemento especializado. En Microsoft Exchange Server 2000 y 2003, el
complemento en cuestión (Receptor de sucesos) se registra en el servidor SMTP como parte de Internet
Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se registra como agente de
transporte en los roles Perimetral o Concentrador de Microsoft Exchange Server.
NOTA: el agente de transporte no está disponible en Microsoft Exchange Server 5.5, pero sí en las versiones más
recientes de Microsoft Exchange Server (a partir de la versión 2000).
Puede utilizar la protección antivirus y antispyware del agente de transporte y VSAPI al mismo tiempo (esta es la
configuración predeterminada y recomendada). No obstante, también puede utilizar un solo tipo de protección
(VSAPI o agente de transporte). Estos tipos de protección se pueden activar y desactivar de forma independiente. Le
recomendamos que utilice ambos tipos para garantizar el máximo nivel de protección antivirus y antispyware. No
se recomienda desactivar ambas opciones.
3.2.1.1 Interfaz de programación de aplicaciones de análisis de virus (VSAPI)
Microsoft Exchange Server proporciona un mecanismo para garantizar que se todos los componentes del mensaje
se comprueba con la base de firmas de virus actual. Si un mensaje no se analizó previamente, los componentes
correspondientes se envían para su análisis antes de enviar el mensaje al cliente. Cada una de las versiones
compatibles de Microsoft Exchange Server (5.5/2000/2003/2007/2010) ofrece una versión diferente de VSAPI.
3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0)
Esta versión de Microsoft Exchange Server incluye la versión 1.0 de VSAPI.
Si está activada la opción Análisis en segundo plano, podrá analizar todos los mensajes en segundo plano.
Microsoft Exchange Server decide si se ejecutará un análisis en segundo plano o no en función de varios factores,
como la carga actual del sistema, el número de usuarios activos, etc. Microsoft Exchange Server lleva un registro de
los mensajes analizados y la versión de la base de firmas de virus utilizada. Si va a abrir un mensaje que no se ha
analizado con la base de firmas de virus más actual, Microsoft Exchange Server envía el mensaje a ESET Mail
Security para su análisis antes de abrirlo en el cliente de correo electrónico.
El análisis en segundo plano puede afectar a la carga del sistema (el análisis se realiza cada vez que se actualiza la
base de firmas de virus), por lo que le recomendamos que utilice el análisis programado fuera de las horas de
oficina. El análisis en segundo plano programado se puede configurar con una tarea especial del Planificador de
tareas. Cuando programe una tarea de análisis en segundo plano, puede definir la hora de inicio, el número de
repeticiones y otros parámetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea,
esta aparecerá en la lista de tareas programadas y, al igual que las demás tareas, podrá modificar sus parámetros,
eliminarla o desactivarla de forma temporal.
28
3.2.1.1.1.1 Acciones
En esta sección, puede especificar las acciones que se realizarán cuando un mensaje o archivo adjunto se clasifique
como infectado.
En el campo Acción a emprender si la desinfección no es posible, puede Bloquear el contenido infectado,
Eliminar el mensaje o seleccionar Sin acciones para el contenido infectado del mensaje. Esta acción solo se aplicará
si la desinfección automática (definida en Configuración de parámetros del motor ThreatSense > Desinfección
78 ) no desinfectó el mensaje.
El campo Eliminación le permite definir el Método de eliminación de archivos adjuntos en una de estas opciones:
Reducir el archivo a longitud cero: ESET Mail Security reduce el tamaño del archivo adjunto a cero y permite que
el destinatario vea el nombre y el tipo de archivo.
Sustituir el archivo adjunto con información sobre la acción: ESET Mail Security sustituye el archivo infectado
con un protocolo de virus o una descripción de regla.
Al hacer clic en el botón Analizar de nuevo, se ejecuta otro análisis de los mensajes y archivos ya analizados.
3.2.1.1.1.2 Rendimiento
Durante un análisis, Microsoft Exchange Server le permite definir un tiempo límite para la apertura de archivos
adjuntos. Este tiempo se define en el campo Tiempo límite de respuesta (ms) e indica el período tras el cual el
cliente intentará acceder otra vez al archivo que antes estaba inaccesible a causa del análisis.
3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0)
Esta versión de Microsoft Exchange Server incluye la versión 2.0 de VSAPI.
Si desmarca la opción Activar la protección antivirus y antispyware VSAPI 2.0, el complemento de ESET Mail
Security para Exchange Server no se descargará del proceso de Microsoft Exchange Server, simplemente pasará los
mensajes sin buscar virus. No obstante, los mensajes sí se analizarán para detectar el spam 38 y se aplicarán las
reglas 21 .
Si está activada la opción Análisis proactivo, los nuevos mensajes entrantes se analizarán en el orden de recepción.
Si esta opción está activada y un usuario abre un mensaje que aún no se ha analizado, este mensaje se analizará
antes que los demás mensajes de la cola.
La opción Análisis en segundo plano permite el análisis de todos los mensajes en segundo plano. Microsoft
Exchange Server decide si se ejecutará un análisis en segundo plano o no en función de varios factores, como la
carga actual del sistema, el número de usuarios activos, etc. Si va a abrir un mensaje que no se ha analizado con la
base de firmas de virus más actual, Microsoft Exchange Server envía el mensaje a ESET Mail Security para su análisis
antes de abrirlo en el cliente de correo electrónico.
El análisis en segundo plano puede afectar a la carga del sistema (el análisis se realiza cada vez que se actualiza la
base de firmas de virus), por lo que le recomendamos que utilice el análisis programado fuera de las horas de
oficina. El análisis en segundo plano programado se puede configurar con una tarea especial del Planificador de
tareas. Cuando programe una tarea de análisis en segundo plano, puede definir la hora de inicio, el número de
repeticiones y otros parámetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea,
esta aparecerá en la lista de tareas programadas y, al igual que las demás tareas, podrá modificar sus parámetros,
eliminarla o desactivarla de forma temporal.
Si desea analizar mensajes de texto sin formato, seleccione la opción Analizar mensajes con formato de texto
plano.
Al activar la opción Analizar mensajes con formato RTF, se activa el análisis de los mensajes en formato RTF.
Estos mensajes pueden contener macrovirus.
29
3.2.1.1.2.1 Acciones
En esta sección, puede especificar las acciones que se realizarán cuando un mensaje o archivo adjunto se clasifique
como infectado.
En el campo Acción a emprender si la desinfección no es posible, puede Bloquear el contenido infectado,
Eliminar el mensaje o seleccionar Sin acciones para el contenido infectado del mensaje. Esta acción solo se aplicará
si la desinfección automática (definida en Configuración de parámetros del motor ThreatSense > Desinfección
78 ) no desinfectó el mensaje.
La opción Eliminación le permite definir el Método de eliminación de mensajes y el Método de eliminación de
archivos adjuntos.
El Método de eliminación de mensajes se puede definir en:
Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibirá un mensaje
vacío y los archivos adjuntos que no estén infectados.
Volver a escribir el cuerpo del mensaje con información sobre la acción: vuelve a escribir el cuerpo del
mensaje infectado con información sobre las acciones realizadas.
El Método de eliminación de archivos adjuntos se puede definir en:
Reducir el archivo a longitud cero: ESET Mail Security reduce el tamaño del archivo adjunto a cero y permite que
el destinatario vea el nombre y el tipo de archivo.
Sustituir el archivo adjunto con información sobre la acción: ESET Mail Security sustituye el archivo infectado
con un protocolo de virus o una descripción de regla.
Al hacer clic en el botón Analizar de nuevo, se ejecuta otro análisis de los mensajes y archivos ya analizados.
3.2.1.1.2.2 Rendimiento
En esta sección, puede definir el número de subprocesos de análisis independientes que se utilizan a la vez. Un
mayor número de subprocesos en equipos con varios procesadores puede aumentar la velocidad de análisis. Para
obtener el máximo rendimiento del programa, le recomendamos que utilice un número igual de subprocesos de
análisis y motores de análisis ThreatSense.
La opción Tiempo límite de respuesta (seg.) le permite definir el tiempo máximo que espera un subproceso a que
finalice el análisis de un mensaje. Si el análisis no finaliza en este límite de tiempo, Microsoft Exchange Server
denegará al cliente el acceso al correo electrónico. El análisis no se interrumpirá y, cuando finalice, el acceso al
archivo se permitirá siempre.
SUGERENCIA:: para determinar el Número de subprocesos de análisis, el proveedor de Microsoft Exchange
Server recomienda la fórmula siguiente: [número de procesadores físicos] x 2 + 1.
NOTA: el rendimiento no mejora demasiado si hay más motores de análisis ThreatSense que subprocesos de
análisis.
30
3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5)
Esta versión de Microsoft Exchange Server incluye la versión 2.5 de VSAPI.
Si desmarca la opción Activar la protección antivirus y antispyware VSAPI 2.5, el complemento de ESET Mail
Security para Exchange Server no se descargará del proceso de Microsoft Exchange Server, simplemente pasará los
mensajes sin buscar virus. No obstante, los mensajes sí se analizarán para detectar el spam 38 y se aplicarán las
reglas 21 .
Si está activada la opción Análisis proactivo, los nuevos mensajes entrantes se analizarán en el orden de recepción.
Si esta opción está activada y un usuario abre un mensaje que aún no se ha analizado, este mensaje se analizará
antes que los demás mensajes de la cola.
La opción Análisis en segundo plano permite el análisis de todos los mensajes en segundo plano. Microsoft
Exchange Server decide si se ejecutará un análisis en segundo plano o no en función de varios factores, como la
carga actual del sistema, el número de usuarios activos, etc. Si va a abrir un mensaje que no se ha analizado con la
base de firmas de virus más actual, Microsoft Exchange Server envía el mensaje a ESET Mail Security para su análisis
antes de abrirlo en el cliente de correo electrónico.
El análisis en segundo plano puede afectar a la carga del sistema (el análisis se realiza cada vez que se actualiza la
base de firmas de virus), por lo que le recomendamos que utilice el análisis programado fuera de las horas de
oficina. El análisis en segundo plano programado se puede configurar con una tarea especial del Planificador de
tareas. Cuando programe una tarea de análisis en segundo plano, puede definir la hora de inicio, el número de
repeticiones y otros parámetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea,
esta aparecerá en la lista de tareas programadas y, al igual que las demás tareas, podrá modificar sus parámetros,
eliminarla o desactivarla de forma temporal.
Al activar la opción Analizar mensajes con formato RTF, se activa el análisis de los mensajes en formato RTF.
Estos mensajes pueden contener macrovirus.
La opción Analizar mensajes transportados permite analizar los mensajes que no están almacenados en la
instancia local de Microsoft Exchange Server y se entregan a otros servidores de correo electrónico a través de la
instancia local de Microsoft Exchange Server. Microsoft Exchange Server se puede configurar como una puerta de
enlace que pasa los mensajes a otros servidores de correo electrónico. Si está activado el análisis de mensajes
transportados, ESET Mail Security analiza también estos mensajes. Esta opción solo está disponible cuando el
agente de transporte está desactivado.
NOTA: VSAPI no analiza los mensajes de texto sin formato.
3.2.1.1.3.1 Acciones
En esta sección, puede especificar las acciones que se realizarán cuando un mensaje o archivo adjunto se clasifique
como infectado.
En el campo Acción a emprender si la desinfección no es posible, puede Bloquear el contenido infectado,
Eliminar el contenido infectado del mensaje, Eliminar todo el mensaje, incluido el contenido infectado, o
seleccionar Sin acciones. Esta acción solo se aplicará si la desinfección automática (definida en Configuración de
parámetros del motor ThreatSense > Desinfección 78 ) no desinfectó el mensaje.
La opción Eliminación le permite definir el Método de eliminación de mensajes y el Método de eliminación de
archivos adjuntos.
El Método de eliminación de mensajes se puede definir en:
Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibirá un mensaje
vacío y los archivos adjuntos que no estén infectados.
Volver a escribir el cuerpo del mensaje con información sobre la acción: vuelve a escribir el cuerpo del
mensaje infectado con información sobre las acciones realizadas.
Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la acción que
se realizará el eliminar archivos adjuntos.
31
El Método de eliminación de archivos adjuntos se puede definir en:
Reducir el archivo a longitud cero: ESET Mail Security reduce el tamaño del archivo adjunto a cero y permite que
el destinatario vea el nombre y el tipo de archivo.
Sustituir el archivo adjunto con información sobre la acción: ESET Mail Security sustituye el archivo infectado
con un protocolo de virus o una descripción de regla.
Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la acción que
se realizará el eliminar archivos adjuntos.
Al hacer clic en el botón Analizar de nuevo, se ejecuta otro análisis de los mensajes y archivos ya analizados.
3.2.1.1.3.2 Rendimiento
En esta sección, puede definir el número de subprocesos de análisis independientes que se utilizan a la vez. Un
mayor número de subprocesos en equipos con varios procesadores puede aumentar la velocidad de análisis. Para
obtener el máximo rendimiento del programa, le recomendamos que utilice un número igual de subprocesos de
análisis y motores de análisis ThreatSense.
La opción Tiempo límite de respuesta (seg.) le permite definir el tiempo máximo que espera un subproceso a que
finalice el análisis de un mensaje. Si el análisis no finaliza en este límite de tiempo, Microsoft Exchange Server
denegará al cliente el acceso al correo electrónico. El análisis no se interrumpirá y, cuando finalice, el acceso al
archivo se permitirá siempre.
SUGERENCIA: para determinar el Número de subprocesos de análisis, el proveedor de Microsoft Exchange Server
recomienda la fórmula siguiente: [número de procesadores físicos] x 2 + 1.
NOTA: el rendimiento no mejora demasiado si hay más motores de análisis ThreatSense que subprocesos de
análisis.
3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6)
Esta versión de Microsoft Exchange Server incluye la versión 2.6 de VSAPI.
Si desmarca la opción Activar la protección antivirus y antispyware VSAPI 2.6, el complemento de ESET Mail
Security para Exchange Server no se descargará del proceso de Microsoft Exchange Server, simplemente pasará los
mensajes sin buscar virus. No obstante, los mensajes sí se analizarán para detectar el spam 38 y se aplicarán las
reglas 21 .
Si está activada la opción Análisis proactivo, los nuevos mensajes entrantes se analizarán en el orden de recepción.
Si esta opción está activada y un usuario abre un mensaje que aún no se ha analizado, este mensaje se analizará
antes que los demás mensajes de la cola.
La opción Análisis en segundo plano permite el análisis de todos los mensajes en segundo plano. Microsoft
Exchange Server decide si se ejecutará un análisis en segundo plano o no en función de varios factores, como la
carga actual del sistema, el número de usuarios activos, etc. Si va a abrir un mensaje que no se ha analizado con la
base de firmas de virus más actual, Microsoft Exchange Server envía el mensaje a ESET Mail Security para su análisis
antes de abrirlo en el cliente de correo electrónico. Puede seleccionar la opción Analizar solo mensajes con
archivo adjunto y realizar el filtrado en función de la fecha y hora de recepción con las siguientes opciones de Nivel
de análisis:
Todos los mensajes
Mensajes recibidos el último año
Mensajes recibidos los últimos 6 meses
Mensajes recibidos los últimos 3 meses
Mensajes recibidos el último mes
Mensajes recibidos la última semana
El análisis en segundo plano puede afectar a la carga del sistema (el análisis se realiza cada vez que se actualiza la
base de firmas de virus), por lo que le recomendamos que utilice el análisis programado fuera de las horas de
oficina. El análisis en segundo plano programado se puede configurar con una tarea especial del Planificador de
tareas. Cuando programe una tarea de análisis en segundo plano, puede definir la hora de inicio, el número de
repeticiones y otros parámetros disponibles en el Planificador de tareas. Una vez que haya programado la tarea,
esta aparecerá en la lista de tareas programadas y, al igual que las demás tareas, podrá modificar sus parámetros,
eliminarla o desactivarla de forma temporal.
32
Al activar la opción Analizar mensajes con formato RTF, se activa el análisis de los mensajes en formato RTF.
Estos mensajes pueden contener macrovirus.
NOTA: VSAPI no analiza los mensajes de texto sin formato.
3.2.1.1.4.1 Acciones
En esta sección, puede especificar las acciones que se realizarán cuando un mensaje o archivo adjunto se clasifique
como infectado.
En el campo Acción a emprender si la desinfección no es posible, puede Bloquear el contenido infectado,
Eliminar objeto (el contenido infectado del mensaje), Eliminar todo el mensaje o seleccionar Sin acciones. Esta
acción solo se aplicará si la desinfección automática (definida en Configuración de parámetros del motor
ThreatSense >Desinfección 78 ) no desinfectó el mensaje.
Tal como se explicó mas arriba, Acción a emprender si la desinfección no es posible se puede definir en:
Sin acciones: no realiza ninguna acción en el contenido infectado del mensaje.
Bloquear: bloquea el mensaje antes de que llegue al archivo de Microsoft Exchange Server.
Eliminar objeto: elimina el contenido infectado del mensaje.
Eliminar todo el mensaje: elimina todo el mensaje, incluido el contenido infectado.
La opción Eliminación le permite definir el Método de eliminación del cuerpo de mensajes y el Método de
eliminación de archivos adjuntos.
El Método de eliminación del cuerpo de mensajes se puede definir en:
Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado. El destinatario recibirá un mensaje
vacío y los archivos adjuntos que no estén infectados.
Volver a escribir el cuerpo del mensaje con información sobre la acción: vuelve a escribir el cuerpo del
mensaje infectado con información sobre las acciones realizadas.
Eliminar todo el mensaje: elimina todo el mensaje, archivos adjuntos incluidos. Es posible definir la acción que
se realizará el eliminar archivos adjuntos.
El Método de eliminación de archivos adjuntos se puede definir en:
Reducir el archivo a longitud cero: ESET Mail Security reduce el tamaño del archivo adjunto a cero y permite que
el destinatario vea el nombre y el tipo de archivo.
Sustituir el archivo adjunto con información sobre la acción: ESET Mail Security sustituye el archivo infectado
con un protocolo de virus o una descripción de regla.
Eliminar todo el mensaje: elimina el archivo adjunto.
Si está activada la opción Utilizar cuarentena de VSAPI, los mensajes infectados se almacenarán en la cuarentena
del servidor de correo electrónico. Tenga en cuenta que se trata de la cuarentena administrada de VSAPI del
servidor (no la cuarentena del cliente o el buzón de correo de cuarentena). Los mensajes infectados almacenados en
la cuarentena del servidor de correo no estarán accesibles hasta que se hayan desinfectado con la base de firmas de
virus más reciente.
Al hacer clic en el botón Analizar de nuevo, se ejecuta otro análisis de los mensajes y archivos ya analizados.
3.2.1.1.4.2 Rendimiento
En esta sección, puede definir el número de subprocesos de análisis independientes que se utilizan a la vez. Un
mayor número de subprocesos en equipos con varios procesadores puede aumentar la velocidad de análisis. Para
obtener el máximo rendimiento del programa, le recomendamos que utilice un número igual de subprocesos de
análisis y motores de análisis ThreatSense.
SUGERENCIA: para determinar el Número de subprocesos de análisis, el proveedor de Microsoft Exchange Server
recomienda la fórmula siguiente: [número de procesadores físicos] x 2 + 1.
NOTA: el rendimiento no mejora demasiado si hay más motores de análisis ThreatSense que subprocesos de
análisis.
33
3.2.1.1.5 Agente de transporte
En esta sección, puede activar o desactivar la protección antivirus y antispyware del agente de transporte. En
Microsoft Exchange Server 2007 y versiones posteriores solo se puede instalar un agente de transporte si el servidor
tiene uno de estos dos roles: Transporte perimetral o Concentrador de transporte.
Si no es posible desinfectar un mensaje, este se procesará de acuerdo con la configuración de la sección Agente de
transporte. El mensaje se puede eliminar, enviar al buzón de correo de cuarentena o retener.
Si desmarca la opción Activar la protección antivirus y antispyware mediante agente de transporte, el
complemento de ESET Mail Security para Exchange Server no se descargará del proceso de Microsoft Exchange
Server, simplemente pasará los mensajes sin buscar virus. No obstante, los mensajes sí se analizarán para detectar
el spam 38 y se aplicarán las reglas 21 .
Si selecciona Activar la protección antivirus y antispyware mediante agente de transporte, puede definir la
Acción a emprender si la desinfección no es posible:
Conservar mensaje: retiene los mensajes infectados que no se pudieron desinfectar.
Poner mensaje en cuarentena: envía al buzón de correo de cuarentena los mensajes infectados.
Eliminar mensaje: elimina los mensajes infectados.
Al detectar una amenaza, anotar el nivel de spam en el encabezado de los mensajes analizados (%): defina el
nivel de spam (la probabilidad de que el mensaje sea correo no deseado) en un valor determinado, en forma de
porcentaje.
Esto significa que, si se detecta una amenaza, se indicará un nivel de spam (valor especificado en %) en el mensaje
analizado. Los botnets son los responsables del envío de la mayoría de los mensajes infectados, de modo que los
mensajes distribuidos por este medio deben clasificarse como spam. Para que esta característica sea efectiva, la
opción Anotar el nivel de confianza contra correo no deseado (SCL) en los mensaje analizados en función del
nivel de spam de Protección del servidor > Microsoft Exchange Server > Agente de transporte 19 debe estar
activada.
Si la opción Analizar también los mensajes recibidos de conexiones internas o autenticadas está activada, ESET
Mail Security también analiza los mensajes procedentes de orígenes autenticados o servidores locales. Se
recomienda analizar estos mensajes para así aumentar el nivel de protección, pero es opcional.
34
3.2.2 Acciones
En esta sección, puede agregar un ID de tarea de análisis o información del resultado del análisis al encabezado de
los mensajes analizados.
3.2.3 Alertas y notificaciones
ESET Mail Security le permite añadir texto al asunto o el cuerpo original de los mensajes infectados.
35
Agregar al cuerpo de mensajes analizados: ofrece tres opciones:
No agregar a mensajes
Agregar únicamente a mensajes infectados
Agregar a todos los mensajes analizados (esta operación no se aplica a los mensajes internos)
Si activa la opción Agregar una advertencia en el asunto de los mensajes infectados, ESET Mail Security añadirá
una etiqueta al asunto del mensaje con el valor definido en el campo de texto Etiqueta agregada al asunto de
mensajes infectados (de forma predeterminada, [virus %VIRUSNAME%]). Las modificaciones mencionadas pueden
automatizar el filtrado de mensajes de correo electrónico infectados por asunto (si el cliente de correo electrónico lo
permite) a una carpeta independiente.
NOTA: cuando añada una plantilla al asunto del mensaje, también puede utilizar variables del sistema.
3.2.4 Exclusiones automáticas
Los desarrolladores de aplicaciones de servidor y sistemas operativos recomiendan, en la mayoría de sus productos,
excluir conjuntos de archivos y carpetas de trabajo críticos de los análisis antivirus. Los análisis antivirus pueden
tener un efecto negativo sobre el rendimiento del servidor, provocar conflictos e incluso evitar la ejecución de
determinadas aplicaciones en el servidor. Las exclusiones minimizan el riesgo de sufrir conflictos y aumentan el
rendimiento general del servidor durante la ejecución de software antivirus.
ESET Mail Security identifica las aplicaciones de servidor y los archivos del sistema operativo críticas, y los añade a la
lista de exclusiones. Una vez que se han añadido a la lista, puede activar la aplicación/proceso de servidor (de forma
predeterminada) seleccionando la casilla correspondiente, o desactivarla anulando la selección. Obtendrá el
resultado siguiente:
1) Si la exclusión de una aplicación o un sistema operativo sigue activada, sus archivos y carpetas críticos se
añadirán a la lista de archivos excluidos del análisis (Configuración avanzada > Protección del ordenador >
Antivirus y antispyware > Exclusiones). Cada vez que se reinicia el servidor, el sistema realiza una
comprobación automática de las exclusiones y restaura las exclusiones que se hayan podido eliminar de la lista.
Esta es la configuración recomendada para garantizar que se aplican siempre las exclusiones automáticas
recomendadas.
2) Si el usuario desactiva la exclusión de una aplicación o un sistema operativo, sus archivos y carpetas críticos
permanecerán en la lista de archivos excluidos del análisis (Configuración avanzada > Protección del
ordenador > Antivirus y antispyware > Exclusiones). Sin embargo, no se comprobarán ni renovarán
automáticamente en la lista Exclusiones cada vez que se reinicie el servidor (consulte el punto 1 anterior). Esta
configuración se recomienda a los usuarios avanzados que deseen eliminar o modificar algunas de las exclusiones
estándar. Si desea que las exclusiones se eliminen de la lista sin reiniciar el servidor, quítelas manualmente (
Configuración avanzada > Protección del ordenador > Antivirus y antispyware > Exclusiones).
Los ajustes descritos arriba no afectan a las exclusiones definidas por el usuario que se hayan introducido
manualmente en Configuración avanzada > Protección del ordenador > Antivirus y antispyware > Exclusiones.
Las exclusiones automáticas de aplicaciones de servidor o sistemas operativos se seleccionan de acuerdo con las
recomendaciones de Microsoft. Para obtener más información, consulte los enlaces siguientes:
http://support.microsoft.com/kb/822158
http://support.microsoft.com/kb/245822
http://support.microsoft.com/kb/823166
http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx
http://technet.microsoft.com/en-us/library/bb332342.aspx
36
3.3 Protección Antispam
En la sección Protección Antispam, puede activar o desactivar la protección contra correo no deseado para el
servidor de correo instalado, configurar los parámetros del motor Antispam y definir otros niveles de protección.
NOTA: es necesario actualizar la base de datos Antispam periódicamente para que el módulo antispam
proporcione la mejor protección posible. Para permitir que se realicen actualizaciones periódicas correctas de la
base de datos Antispam, asegúrese de que ESET Mail Security tiene acceso a direcciones IP determinadas en
puertos específicos. Para obtener más información sobre las direcciones IP y los puertos que debe activa en el
cortafuegos de terceros, lea este artículo KB.
NOTA: recuerde también que no se pueden utilizar mirrors 88 para las actualizaciones de la base de datos
Antispam. Para que las actualizaciones de la base de datos Antispam se realicen correctamente, ESET Mail Security
debe tener acceso a las direcciones IP especificadas en el artículo KB mencionado. Si no dispone de acceso a estas
direcciones IP, el módulo antispam no podrá proporcionar los resultados más precisos y, por lo tanto, la mejor
protección posible.
37
3.3.1 Microsoft Exchange Server
3.3.1.1 Agente de transporte
En esta sección, puede configurar las opciones de protección antispam con el agente de transporte.
NOTA: el agente de transporte no está disponible en Microsoft Exchange Server 5.5.
Si selecciona la opción Activar la protección antispam mediante agente de transporte, deberá elegir una de las
siguientes opciones en Acción a emprender en mensajes no deseados:
Conservar mensaje: guarda los mensajes aunque estén marcados como spam.
Poner mensaje en cuarentena: envía los mensajes marcados como spam al buzón de correo de cuarentena.
Eliminar mensaje: elimina los mensajes marcados como spam.
Si desea incluir información sobre el nivel de spam de los mensajes en su encabezado, active la opción Anotar nivel
de spam en el encabezado de los mensajes analizados.
La función Usar listas blancas del servidor Exchange Server para omisión automática de protección antispam
permite que ESET Mail Security utilice "listas blancas" específicas de Exchange. Si está activada, se tendrá en cuenta
lo siguiente:
La dirección IP del servidor de envío se encuentra en la lista Permitir IP de Exchange Server.
El destinatario del mensaje tiene el indicador No aplicar antispam establecido en su buzón de correo.
El destinatario del mensaje tiene la dirección del remitente en la lista Remitentes seguros (asegúrese de que ha
configurado la sincronización de la lista de remitentes seguros en su entorno de Exchange Server, incluido
Agregación de lista segura).
Si alguno de los puntos anteriores se aplica a un mensaje entrante, no se llevará a cabo la comprobación de
antispam en dicho mensaje y, por lo tanto, no se evaluará su nivel de SPAM y se entregará en el buzón de entrada
del destinatario.
La opción Aceptar el indicador antispam establecido en sesión de SMTP es útil cuando hay sesiones SMTP
autenticadas entre servidores Exchange con la configuración de No aplicar antispam. Por ejemplo, si tiene un
servidor Perimetral y un servidor Concentrador, no es necesario realizar el análisis antispam del tráfico entre estos
dos servidores. La opción Aceptar el indicador antispam establecido en sesión de SMTP está activada de forma
predeterminada y se aplica cuando hay un indicador No aplicar antispam configurado para la sesión SMTP en
Exchange Server. Si desactiva la casilla de verificación de la opción Aceptar el indicador antispam establecido en
sesión de SMTP, ESET Mail Security analizará la sesión SMTP en busca de spam, sin tener en cuenta la
38
configuración de No aplicar antispam de Exchange Server.
La función Activar creación de listas grises activa una característica que protege a los usuarios frente al correo no
deseado con la técnica siguiente: El agente de transporte enviará un valor de retorno SMTP "rechazar
temporalmente" (el valor predeterminado es 451/4.7.1) para los mensajes recibidos que no procedan de un
remitente conocido. Los servidores legítimos intentarán enviar el mensaje otra vez tras una demora. Por lo general,
los servidores de spam no intentan enviar el mensaje otra vez, ya que suelen pasar por miles de direcciones de
correo electrónico y no pierden el tiempo con reenvíos. Las listas grises son una capa adicional de la protección
antispam y no tienen ningún efecto sobre la capacidad de evaluación del correo no deseado del módulo antispam.
Cuando evalúa el origen del mensaje, el método tiene en cuenta la configuración de las listas de Direcciones IP
permitidas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP de Exchange Server y la configuración de
No aplicar antispam del buzón de correo del destinatario. El método de detección de listas grises omitirá los correos
electrónicos procedentes de estas listas de remitentes y direcciones IP o entregados a un buzón de correo que tiene
activada la opción No aplicar antispam.
El campo Respuesta SMTP para conexiones bloqueadas temporalmente define la respuesta de rechazo
temporal de SMTP enviada al servidor SMTP cuando se rechaza un mensaje.
Ejemplo de mensaje de respuesta SMTP:
Código de respuesta
principal
Código de respuesta
complementario
Descripción
451
4.7.1
Se canceló la acción solicitada: error local al procesar
Alerta: una sintaxis incorrecta en los códigos de respuesta SMTP podría provocar el mal funcionamiento de la
protección de listas grises. Como resultado, es posible que los mensajes no deseados se entreguen a los clientes o
que los mensajes no se entreguen nunca.
Límite de tiempo para el bloqueo de la conexión inicial (min.): cuando un mensaje se entrega por primera vez y
se rechaza de forma temporal, este parámetro define el período de tiempo durante el que siempre se rechazará el
mensaje (a partir del primer rechazo). Una vez que este período ha transcurrido, el mensaje se recibirá
correctamente. El valor mínimo es 1 minuto.
Duración de las conexiones no verificadas (horas): este parámetro define el intervalo de tiempo mínimo durante
el que se guardarán los datos de los tres elementos. Un servidor válido debe reenviar el mensaje enviado antes de
que finalice este período. Este valor debe ser mayor que el valor de Límite de tiempo para el bloqueo de la
conexión inicial.
Duración de las conexiones verificadas (días): el número mínimo de días que se guardan los datos de los tres
elementos, y durante los cuales los mensajes de correo electrónico de un remitente determinado se reciben sin
demora. Este valor debe ser mayor que el valor de Duración de las conexiones no verificadas.
NOTA: en la definición de respuestas SMTP de rechazo también puede utilizar variables del sistema.
3.3.1.2 Protección antispam y conector POP3
Las versiones de Microsoft Windows Small Business Server (SBS) incluyen el conector POP3, que permite al servidor
capturar mensajes de correo electrónico de servidores POP3 externos. La implementación de este conector POP3
"estándar" varía en función de la versión de SBS.
ESET Mail Security es compatible con el conector POP3 de Microsoft SBS en SBS 2008, y los mensajes descargados
mediante este conector POP3 se analizan para determinar la presencia de spam. El análisis funciona porque los
mensajes se transportan a Microsoft Exchange mediante SMTP. No obstante, el conector POP3 de Microsoft SBS en
SBS 2003 no es compatible con ESET Mail Security, de modo que los mensajes no se analizan en busca de spam.
Esto se debe a que los mensajes omiten la cola SMTP.
También hay varios conectores POP3 de terceros. Los mensajes capturados mediante determinado conector POP3
se analizan en busca de spam o no en función del método que utilice dicho conector POP para la captura de
mensajes. Por ejemplo, GFI POP2Exchange transporta los mensajes a través del directorio de recogida, de modo que
no se buscan spam en los mensajes. En los productos que transportan los mensajes a través de una sesión
autenticada (como IGetMail) también se producen problemas similares, así como cuando Microsoft Exchange los
marca como mensajes internos, que omiten la protección antispam de forma predeterminada. Esta configuración
se puede modificar en el archivo de configuración. Exporte la configuración a un archivo xml, cambie el valor de
AgentASScanSecureZone a "1" y vuelva a importar la configuración (para obtener información sobre cómo importar y
39
exportar el archivo de configuración, consulte el capítulo Importar y exportar configuración 126 ). También puede
desactivar Aceptar el indicador antispam establecido en sesión de SMTP en el árbol de configuración avanzada
F5, en Protección del servidor > Protección antispam > Microsoft Exchange Server > Agente de transporte. Al
hacerlo, ESET Mail Security analizará la sesión SMTP en busca de spam, sin tener en cuenta la opción de omitir la
protección antispam de Exchange Server.
3.3.2 Motor antispam
En esta sección, puede configurar los parámetros del Motor antispam haciendo clic en el botón Configuración.
Este botón abre una ventana donde se pueden configurar los parámetros del motor antispam.
Categorización de mensajes
El motor antispam de ESET Mail Security asigna un nivel de spam de 0 a 100 a todos los mensajes analizados. El
cambio de los límites de niveles de spam en esta sección puede afectar a:
1) si un mensaje se clasifica como SPAM o como correo deseado. Todos los mensajes que tengan un nivel de spam
igual o mayor que el valor de Nivel de spam para tratar un mensaje como spam: se consideran SPAM y, por lo
tanto, las acciones definidas en el Agente de transporte 38 se aplican a estos mensajes.
2) si un mensaje se registra en el registro de antispam 95 (Herramientas > Archivos de registro > Antispam).
Todos los mensajes que tengan un nivel de spam igual o mayor que el valor de Nivel de spam para tratar un
mensaje como posible spam o mensaje desinfectado: se incluyen en el registro.
3) la sección de las estadísticas de correo no deseado en la que incluirá el mensaje (Estado de la protección >
Estadísticas > Protección antispam del servidor de correo).
Mensajes clasificados como SPAM: el nivel de spam del mensaje es igual o mayor que el valor definido en Nivel de
spam para tratar un mensaje como spam.
Mensajes clasificados como posible SPAM: el nivel de spam del mensaje es igual o mayor que el valor definido en
Nivel de spam para tratar un mensaje como posible spam o mensaje desinfectado.
Mensajes clasificados como probablemente CORREO DESEADO:el nivel de spam del mensaje es menor que el
valor definido en Nivel de spam para tratar un mensaje como posible spam o mensaje desinfectado.
Mensajes clasificados como CORREO DESEADO: el nivel de spam del mensaje es igual o mayor que el valor
definido en Nivel de spam para tratar un mensaje como deseado.
3.3.2.1 Configuración de parámetros del motor antispam
3.3.2.1.1 Análisis
En esta sección, puede configurar cuántos mensajes se analizan en busca de spam y, posteriormente, se procesan.
Analizar archivos adjuntos: esta opción le permite elegir si el motor antispam analizará los archivos adjuntos y los
tendrá en cuenta para el cálculo del nivel de spam.
Utilizar ambas secciones MIME: el motor antispam analizará tanto las dos secciones MIME —texto/sin formato y
texto/html— de los mensajes. Si se desea un mayor rendimiento, es posible analizar una sola sección. Si esta opción
no está seleccionada, solo se analizará una sección.
Tamaño de la memoria para el cálculo de nivel (en bytes): esta opción indica al motor antispam que lea un
número máximo de bytes en el búfer de mensajes durante el procesamiento de reglas.
Tamaño de la memoria para el cálculo de muestras (en bytes): esta opción indica al motor antispam que lea el
número máximo de bytes definido durante el cálculo de la huella de los mensajes. Esto es útil para obtener huellas
coherentes.
Utilizar memoria caché LegitRepute:permite utilizar una caché LegitRepute para reducir los falsos positivos,
especialmente en boletines.
Convertir a UNICODE: aumenta la precisión y el rendimiento en los mensajes de correo electrónico con formato
Unicode, especialmente en los idiomas de doble byte, ya que convierte el mensaje en bytes únicos.
Utilizar memoria caché de dominio: activa el uso de una caché de reputación de dominio. Si está activada, se
extraen los dominios de los mensajes y se comparan con una caché de reputación de dominio.
40
3.3.2.1.1.1 Muestras
Utilizar memoria caché: activa el uso de una caché de huellas digitales (activada de forma predeterminada).
Activar MSF: permite utilizar un algoritmo de identificación de huellas digitales alternativo, conocido como MSF. Si
está activada, podrá establecer los siguientes límites y niveles:
Número de mensajes que designan un mensaje en serie: esta opción especifica cuántos mensajes similares se
necesitan para hablar de una serie de mensajes.
Frecuencia de borrado de la memoria caché: esta opción especifica una variable interna que determina la
frecuencia con que se vacía la caché MSF de la memoria.
Dos muestras coinciden con la sensibilidad: esta opción especifica el nivel de porcentaje de coincidencia para
dos huellas digitales. Si el porcentaje de coincidencia supera este límite, los mensajes se consideran iguales.
Número de muestras almacenadas en la memoria: esta opción especifica el número de huellas digitales MSF
que se guardarán en la memoria. Cuanto mayor sea el número, más memoria se utilizará y mayor será la
precisión.
3.3.2.1.1.2 SpamCompiler
Activar SpamCompiler: acelera el procesamiento de reglas, pero requiere un poco más de memoria.
Versión preferida: especifica la versión de SpamCompiler que se debe utilizar. Si se establece en Automático, el
motor antispam elegirá el mejor motor en cada momento.
Utilizar memoria caché: si se activa esta opción, SpamCompiler almacenará los datos compilados en el disco, en
vez de en la memoria, para reducir el uso de memoria.
Lista de archivos de memoria caché: esta opción especifica los archivos de reglas que se compilan en el disco en
vez de en la memoria.
Defina los índices de archivos de reglas que se almacenarán en la memoria caché del disco. Los índices de archivos
de reglas se pueden gestionar con estas funciones:
Agregar
Modificar
Quitar
NOTA: solo se admiten números.
3.3.2.1.2 Formación
Utilizar formación para el nivel de huella de los mensajes: activa la formación para la compensación del nivel de
huella.
Utilizar palabras de formación: esta opción controla si se utiliza el análisis del token de palabra Bayesiana. Esta
opción puede mejorar significativamente la precisión, pero utiliza más memoria y es un poco más lenta.
Número de palabras en memoria caché: esta opción especifica el número de tokens de palabra que se
almacenan en caché en cualquier momento. Cuanto mayor sea el número, más memoria se utilizará y mayor será
la precisión. Para introducir el número, active primero la opción Utilizar palabras de formación.
Utiliza base de datos de formación solo para la lectura: esta opción controla si las bases de datos de formación
de palabras, reglas y huellas se pueden modificar o son de solo lectura tras la carga inicial. La bases de datos de
formación de solo lectura son más rápidas.
Sensibilidad automática de la formación: establece un nivel para la formación automática. Si un mensaje se
califica con el nivel alto o un nivel superior, dicho mensaje se considerará spam sin lugar a dudas y se utilizará
para formar a todos los módulos Bayesianos activos (reglas o palabras), pero no al remitente ni a la huella. Si un
mensaje se califica con el nivel bajo o un nivel inferior, dicho mensaje se considerará correo basura sin lugar a
dudas y se utilizará para formar a todos los módulos Bayesianos activos (reglas o palabras), pero no al remitente
ni a la huella. Para introducir los niveles alto y bajo, active primero la opción Utilizar base de datos de formación
solo para la lectura: .
Cantidad mínima de datos de formación: inicialmente, solo se utilizan los valores de regla para calcular el nivel de
spam. Una vez que se consigue un conjunto mínimo de datos de formación, los datos de formación con reglas/
palabras sustituyen a los valores de regla. El valor mínimo predeterminado es 100. Esto significa que se debe
entrenar en al menos 100 mensajes de correo basura equivalentes y 100 mensajes no deseados equivalentes para
41
alcanzar un total de 200 mensajes antes de que los datos de formación sustituyan a los valores de regla. Si el
número es demasiado bajo, la precisión podría ser reducida debido a la falta de datos. Si el número es demasiado
elevado, no se podría sacar el máximo partido a los datos de formación. Si se establece un valor de 0, los valores de
regla se omitirán siempre.
Utilizar solo datos de formación: determina si se debe delegar todo en los datos de formación. Si se activa esta
opción, la puntuación se basará exclusivamente en los datos de formación. Si esta opción está desactivada, se
utilizarán tanto los datos de formación como las reglas.
Número de mensajes analizados antes de escribirlos en el disco: durante la formación, el motor antispam
procesará una cantidad de mensajes configurable antes de grabar la base de datos de formación en el disco. Esta
opción determina cuántos mensajes se procesarán antes de la grabación en el disco. Si se desea obtener un
rendimiento máximo, este número debe ser lo mayor posible. En el caso poco probable de que un programa se
cierre de forma inesperada antes de que el búfer se haya grabado en el disco, se perderá la formación realizada
desde la última grabación en disco. El búfer se graba en el disco cuando el programa se cierra con normalidad.
Utilizar datos del país para la formación: determina si se debe tener en cuenta la información de
redireccionamiento del país durante la formación y puntuación de mensajes.
3.3.2.1.3 Reglas
Utilizar reglas: esta opción determina si se utilizan reglas heurísticas más lentas. Esta opción puede mejorar
significativamente la precisión, pero utiliza más memoria y es mucho más lenta.
Utilizar extensión del conjunto de reglas: activa el conjunto de reglas extendido.
Utilizar extensión del segundo conjunto de reglas: activa la segunda extensión del conjunto de reglas.
Valor de regla: esta opción permite sobrescribir los valores asociados a reglas individuales.
Lista de archivos de reglas descargados: esta opción especifica qué archivos de reglas se descargan.
Valor de categoría: permite al usuario final ajustar los valores de las categorías utilizadas en sc18 y en los archivos
usados en la lista de reglas personalizadas. Categoría: nombre de la categoría; actualmente se limita a SPAM,
PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD y REPLY. Este campo no distingue mayúsculas y minúsculas.
Nivel: cualquier número entero, BLOCK o APPROVE. El valor de reglas que coincida con la categoría
correspondiente se multiplicará por el factor de escala para producir un nuevo valor eficaz.
Lista de reglas personalizadas: permite al usuario especificar una lista personalizada de reglas (es decir, spam,
correo basura o palabras/frases de phishing). Los archivos de reglas personalizadas contienen frases con el formato
siguiente en líneas separadas: La frase phrase, type, confidence, caseSensitivity puede contener cualquier texto,
salvo comas. Elimine las comas que incluya la frase. El valor de type puede ser SPAM, PHISH, BOUNCE, ADULT o
FRAUD. Si se especifica otro valor, se asumirá automáticamente que el valor de TYPE es SPAM. El valor de
confidence debe estar en el rango de 1 a 100. Si el valor de type es SPAM, un valor de 100 indica un mayor nivel de
seguridad de que se trata de spam. Si el valor de type es PHISH, un valor de 100 indica un mayor nivel de seguridad
de que se trata de phishing. Si el valor de type es BOUNCE, un valor de 100 indica un mayor nivel de seguridad de
que la frase está relacionada con devoluciones. Es más probable que un nivel de confianza elevado afecte a la
puntuación final. El valor 100 es un caso especial. Si el valor de type es SPAM, PHISH o BOUNCE, un valor de 100
asignará al mensaje una puntuación de 100. Como siempre, las listas blancas invalidan cualquier lista negra. Un
valor de 1 para caseSensitivity significa que la frase distinguirá mayúsculas y minúsculas; un valor de 0, que la frase
no distinguirá mayúsculas y minúsculas. Ejemplos:
el spam es divertido, SPAM, 100,0
el phishing es divertido, PHISH, 90,1
devolver al remitente, BOUNCE, 80,0
La primera línea significa que todas las variaciones de "el spam es divertido" se consideran SPAM con una confianza
de 100. La frase no distingue mayúsculas y minúsculas. La segunda línea significa que todas las variaciones de "el
phishing es divertido" se consideran PHISH con una confianza de 90. La frase distingue mayúsculas y minúsculas. La
tercera línea significa que todas las variaciones de "devolver al remitente" se consideran BOUNCE con una confianza
de 80. La frase no distingue mayúsculas y minúsculas.
Borrar reglas antiguas tras su actualización: de forma predeterminada, el motor antispam eliminará los archivos
de reglas más antiguos del directorio de configuración cuando se recupere un archivo nuevo de la red de
SpamCatcher. No obstante, es posible que algunos usuarios del motor antispam deseen guardar los archivos de
reglas antiguos. Para ello, hay que desactivar esta característica de desinfección.
42
Mostrar notificación después de actualizar las reglas correctamente:
3.3.2.1.3.1 Valor de regla
Defina los índices de archivos de reglas y su valor. Para añadir un valor de regla, pulse el botón Agregar. Para
modificar los valores existentes, pulse el botón Modificar. Para eliminar un valor, pulse el botón Quitar.
Especifique los valores de Índice: y Valor: .
3.3.2.1.3.2 Lista de archivos de reglas descargados
Defina los índices de archivos de reglas que deberían descargarse en el disco. Utilice los botones Agregar, Modificar
y Quitar para gestionar los índices de archivos de reglas.
3.3.2.1.3.3 Valor de categoría
Defina las categorías de regla y su valor. Utilice los botones Agregar, Modificar y Quitar para gestionar las
categorías y su valor.
Para agregar un valor de categoría, seleccione una categoría en la lista. Están disponibles las siguientes categorías:
SPAM
Phishing
Informe de no entrega
Mensajes con contenido para adultos
Mensajes fraudulentos
Mensajes vacíos
Reenvío de mensajes
Contestación de mensajes
A continuación, seleccione una acción:
Permitir
Bloquear
Valor:
3.3.2.1.3.4 Lista de reglas personalizadas
Puede utilizar archivos de reglas personalizados que contengan frases. Se trata básicamente de archivos .txt, pero
encontrará más detalles y el formato de la frase en el tema Reglas 42 (sección Lista de reglas personalizadas).
Para utilizar archivos que contengan reglas personalizadas que se emplearán en el análisis de mensajes, debe
colocarlos en la ubicación siguiente:
si utiliza Windows Server 2008 o una versión más reciente, la ruta de acceso es la siguiente:
C:\Datos del programa\ESET\ESET Mail Security\ServerAntispam
si utiliza Windows Server 2003 o una versión anterior, la ruta de acceso es la siguiente:
C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam
Para cargar los archivos, pulse el botón ... (examinar), vaya a la ubicación indicada arriba y seleccione el archivo de
texto (*.txt). Utilice los botones Agregar, Modificar y Quitar para gestionar la lista de reglas personalizadas.
NOTA: El archivo .txt que contiene las reglas personalizadas debe colocarse en la carpeta ServerAntispam, de lo
contrario no se cargará.
43
3.3.2.1.4 Filtrado
En esta sección, puede configurar listas de elementos permitidos, bloqueados e ignorados especificando criterios
como la dirección o el rango de direcciones IP, el nombre de dominio, la dirección de correo electrónico, etc. Para
añadir, modificar o eliminar criterios solo tiene que acceder a la lista que desee gestionar y hacer clic en el botón
correspondiente.
3.3.2.1.4.1 Remitentes permitidos
Los remitentes y dominios incluidos en la lista blanca pueden contener una dirección de correo electrónico o un
dominio. Las direcciones se introducen con el formato "buzó[email protected]" y los dominios, con el formato
"dominio".
NOTA: No se admiten expresiones regulares, y tanto los espacios en blanco a la izquierda y la derecha como el
asterisco "*" se ignoran.
3.3.2.1.4.2 Remitentes bloqueados
Los remitentes y dominios incluidos en la lista negra pueden contener una dirección de correo electrónico o un
dominio. Las direcciones se introducen con el formato "buzó[email protected]" y los dominios, con el formato
"dominio".
NOTA: No se admiten expresiones regulares, y tanto los espacios en blanco a la izquierda y la derecha como el
asterisco "*" se ignoran.
3.3.2.1.4.3 Direcciones IP permitidas
Esta opción le permite especificar las direcciones IP que se deben permitir. Los rangos se pueden especificar de tres
maneras:
a) IP inicial - IP final
b) Dirección IP y máscara de red
c) Dirección IP
Si la primera IP no ignorada de los encabezados Recibido: coincide con alguna de esta lista, el mensaje obtiene un 0
y no se realiza ninguna otra comprobación.
3.3.2.1.4.4 Direcciones IP ignoradas
Esta opción le permite especificar las direcciones IP que se deberían ignorar en las comprobaciones de RBL. Las
direcciones siguientes se ignoran siempre de forma implícita:
10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0
Los rangos se pueden especificar de tres maneras:
a) IP inicial - IP final
b) Dirección IP y máscara de red
c) Dirección IP
3.3.2.1.4.5 Direcciones IP bloqueadas
Esta opción le permite especificar las direcciones IP que se deben bloquear. Los rangos se pueden especificar de tres
maneras:
a) IP inicial - IP final
b) Dirección IP y máscara de red
c) Dirección IP
Si alguna de las direcciones IP de los encabezados Recibido: coincide con alguna de esta lista, el mensaje obtiene un
100 y no se realiza ninguna otra comprobación.
44
3.3.2.1.4.6 Dominios permitidos
Esta opción le permite especificar los dominios e IP que deberían permitirse siempre.
3.3.2.1.4.7 Dominios ignorados
Esta opción le permite especificar los dominios que se deben ignorar y excluir siempre de las comprobaciones de
DNSBL.
3.3.2.1.4.8 Dominios bloqueados
Esta opción le permite especificar los dominios e IP que deberían bloquearse siempre.
3.3.2.1.4.9 Remitentes falsificados
Permite bloquear a los servidores de spam que falsifican su nombre de dominio y otros nombres de dominio. Estos
servidores suelen utilizar, por ejemplo, el nombre de dominio del destinatario como nombre de dominio De: . La
lista le permite especificar los nombres de dominio que puede utilizar cada servidor de correo en el campo de
dirección De:.
3.3.2.1.5 Verificación
La verificación es una característica adicional de la protección antispam que permite verificar los mensajes
mediante servidores externos de acuerdo con unos criterios definidos. Seleccione una lista del árbol de
configuración para configurar estos criterios. Están disponibles las listas siguientes:
RBL (lista de bloqueo en tiempo real)
LBL (última lista de bloqueo)
DNSBL (lista de bloqueados de DNS)
3.3.2.1.5.1 RBL (lista de bloqueo en tiempo real)
Servidores RBL: especifica una lista de servidores de bloqueo en tiempo real (RBL) para la consulta durante el
análisis de mensajes. Encontrará más información en la sección RBL de este documento.
Sensibilidad de la verificación de RBL: las comprobaciones de RBL pueden provocar latencia y reducir el
rendimiento, por lo que esta opción permite ejecutarlas en función del nivel previo a la comprobación. Si el nivel es
superior al valor "alto", solo se consultan los servidores RBL que pueden conseguir un nivel por debajo del valor
"alto". Si el nivel es inferior al valor "bajo", solo se consultan los servidores RBL que pueden conseguir un nivel por
encima del valor "bajo". Si el nivel se encuentra entre "bajo" y "alto", se consultan todos los servidores RBL.
Límite de ejecución de solicitudes RBL (en segundos): esta opción permite definir un tiempo de espera máximo
para finalizar todas las consultas de RBL. Solo se utilizan las respuestas RBL de los servidores RBL que respondieron
a tiempo. Si el valor es "0", no se aplica ningún tiempo de espera.
Número máximo de direcciones verificadas con RBL: esta opción permite limitar el número de direcciones IP que
se consultan en el servidor RBL. Tenga en cuenta que el número total de consultas RBL será el número de
direcciones IP de los encabezados Recibido: (hasta un máximo de direcciones IP de verificación de RBL) multiplicado
por el número de servidores RBL especificado en la lista RBL. Si el valor es "0", se comprobará un número ilimitado
de encabezados recibidos. Recuerde que las direcciones IP que coincidan con la lista de direcciones IP ignoradas no
se computarán para el límite de direcciones IP de RBL.
Para gestionar la lista, utilice los botones Agregar, Modificar o Quitar.
La lista consta de tres columnas:
Dirección
Respuesta
Nivel
45
3.3.2.1.5.2 LBL (última lista de bloqueo)
Servidores LBL: la última IP conectada se consulta en el servidor LBL. Puede especificar una consulta de DNS
diferente para la última IP entrante conectada. En el caso de la última IP entrante conectada, se consulta la lista LBL
en vez de la lista RBL. Por lo demás, también se aplican a la lista LBL las opciones de la lista RBL, como el nivel de
RBL.
Direcciones IP no verificadas con LBL: si la última IP conectada coincide con una IP de la lista, esta se consulta en
los servidores RBL en vez de los servidores LBL.
Para gestionar la lista, utilice los botones Agregar, Modificar o Quitar.
La lista consta de tres columnas:
Dirección
Respuesta
Nivel
Aquí puede especificar las direcciones IP que no se cotejarán con LBL. Para gestionar la lista, utilice los botones
Agregar, Modificar o Quitar.
3.3.2.1.5.3 DNSBL (lista de bloqueados de DNS)
Servidores DNSBL: especifica una lista de servidores DNSBL (lista de bloqueados de DNS) para la consulta sobre
dominios y direcciones IP extraídos del cuerpo del mensaje.
Sensibilidad de la verificación de DNSBL: si el nivel es superior al valor "alto", solo se consultan los servidores
DNSBL que pueden conseguir un nivel por debajo del valor "alto". Si el nivel es inferior al valor "bajo", solo se
consultan los servidores DNSBL que pueden conseguir un nivel por encima del valor "bajo". Si el nivel se encuentra
entre "bajo" y "alto", se consultan todos los servidores DNSBL.
Límite de ejecución de solicitudes DNSBL (en segundos): permite definir un tiempo de espera máximo para
finalizar todas las consultas de DNSBL.
Número máximo de dominios verificados con DNSBL: permite limitar la cantidad de dominios y direcciones IP
que se consultan en el servidor de listas de bloqueados de DNS.
Para gestionar la lista, utilice los botones Agregar, Modificar o Quitar.
La lista consta de tres columnas:
Dirección
Respuesta
Nivel
3.3.2.1.6 DNS
Utilizar memoria caché: activa el almacenamiento de solicitudes DNS en la memoria caché interna.
Número de solicitudes DNS almacenadas en la memoria: limita el número de entradas en la caché DNS interna.
Guardar memoria caché en disco: si se activa esta opción, la caché DNS almacenará las entradas en el disco
cuando se apague el equipo y leerá el disco durante la inicialización.
Dirección del servidor DNS: ahora es posible indicar explícitamente los servidores DNS para anular el servidor
predeterminado.
Acceso directo a DNS: si esta opción está establecida en Sí y no se especifica el servidor DNS, el motor antispam
enviará las solicitudes de LiveFeed directamente a los servidores LiveFeed. Esta opción se ignora si se especifica que
el servidor DNS tiene prioridad. Esta opción debe establecerse en Sí cuando las consultas directas son más eficaces
que los servidores DNS predeterminados.
Duración de la solicitud DNS (en segundos): esta opción permite establecer un TTL mínimo para las entradas de
la caché DNS interna del motor antispam. La opción se especifica en segundos. En el caso de las respuestas DNS
cuyo valor de TTL sea inferior al TTL mínimo especificado, la caché interna del motor antispam utilizará el TTL
especificado en vez del valor de TTL de la respuesta DNS.
46
3.3.2.1.7 Nivel
Activar historial de niveles: activa el seguimiento de niveles históricos para remitentes repetidos.
Detener el análisis cuando se alcance el nivel de spam: esta opción le permite indicar al motor antispam que
detenga el análisis del mensaje cuando se alcance un nivel determinado. De esta manera, se puede reducir el
número de reglas y otras comprobaciones realizadas para mejorar el rendimiento.
Usar el análisis acelerado antes de que se alcance el nivel para un mensaje no infectado: esta opción le
permite indicar al motor antispam que omita las comprobaciones de regla lentas si hay posibilidades de que el
mensaje sea correo basura.
Categorización de mensajes
Valor de nivel a partir del cual un mensaje se considera correo no deseado: el motor antispam asigna a los
mensajes analizados un nivel de 0 a 100. El establecimiento de los límites de nivel afecta a la clasificación de
mensajes como spam o como correo deseado. Si se establecen valores incorrectos, la calidad de la detección del
motor antispam podría disminuir.
Valor de nivel que establece el límite en el que un mensaje se trata como probable correo no deseado o
como probable mensaje sin infectar: el motor antispam asigna a los mensajes analizados un nivel de 0 a 100. El
establecimiento de los límites de nivel afecta a la clasificación de mensajes como spam o como correo deseado. Si
se establecen valores incorrectos, la calidad de la detección del motor antispam podría disminuir.
Valor de nivel a partir del cual un mensaje se considera correo no deseado con certeza: el motor antispam
asigna a los mensajes analizados un nivel de 0 a 100. El establecimiento de los límites de nivel afecta a la
clasificación de mensajes como spam o como correo deseado. Si se establecen valores incorrectos, la calidad de la
detección del motor antispam podría disminuir.
3.3.2.1.8 Spambait
Direcciones de correo no deseado: si la dirección A: de RCPT del sobre SMTP coincide con una dirección de correo
electrónico de esta lista, el archivo de estadísticas registrará los tokens del mensaje de correo electrónico como si se
enviasen a una dirección de spambait. Las direcciones deben coincidir exactamente, sin tener en cuenta
mayúsculas y minúsculas. No se admiten comodines.
Direcciones consideradas no existentes: si la dirección A: de RCPT del sobre SMTP coincide con una dirección de
correo electrónico de esta lista, el archivo de estadísticas registrará los tokens del mensaje de correo electrónico
como si se enviasen a una dirección no existente. Las direcciones deben coincidir exactamente, sin tener en cuenta
mayúsculas y minúsculas. No se admiten comodines.
3.3.2.1.8.1 Direcciones de Spambait
Puede definir direcciones de correo electrónico que solo reciban spam. Para agregar una dirección de correo
electrónico, escríbala en un formato estándar y pulse el botón Agregar. Para modificar una dirección de correo
electrónico existente, pulse el botón Modificar. Para eliminar una dirección, pulse el botón Quitar.
3.3.2.1.8.2 Direcciones consideradas no existentes
Puede definir direcciones de correo electrónico que aparezcan como no existentes para los usuarios externos. Para
agregar una dirección de correo electrónico, escríbala en un formato estándar y pulse el botón Agregar. Para
modificar una dirección de correo electrónico existente, pulse el botón Modificar. Para eliminar una dirección, pulse
el botón Quitar.
47
3.3.2.1.9 Comunicación
Límite de duración de solicitud única de SpamLabs (en segundos): limita cuánto puede tardar una sola solicitud
de SpamLabs de la protección antispam. El valor se especifica en unidades de segundos integrales. Un valor de "0"
desactiva esta característica, de modo que no se establecerá ningún límite.
Utilizar protocolo v.4x: se establece la comunicación con la característica SpamLabs de la protección antispam
para determinar la puntuación mediante un protocolo v4.x anterior más lento. Si esta opción se establece en
Automáticamente, el motor antispam puede utilizar automáticamente la característica netcheck como solución
de restauración en las consultas de LiveFeed.
Intervalo de utilización del protocolo v4.x: las redes pueden provocar latencia y reducir el rendimiento, por lo
que esta opción permite ejecutar las comprobaciones de red en función del nivel. La red se consulta únicamente si
el nivel se encuentra entre el rango "bajo" y "alto", o en uno de estos extremos, especificado mediante esta opción.
Dirección del servidor LiveFeed: especifica el servidor que se debe consultar para las solicitudes de LiveFeed.
Duración de la solicitud de LiveFeed (en segundos): esta opción permite establecer un TTL mínimo para las
entradas de la caché LiveFeed interna del motor antispam. La opción se especifica en segundos. En el caso de las
respuestas LiveFeed cuyo valor de TTL sea inferior al TTL mínimo especificado, la caché interna del motor antispam
utilizará el TTL especificado en vez del valor de TTL de la respuesta LiveFeed.
Tipo de autenticación del servidor proxy: especifica el tipo de autenticación de servidor Proxy HTTP que se debe
utilizar.
3.3.2.1.10 Rendimiento
Tamaño máximo de la pila de subprocesos utilizados: define el tamaño máximo de la pila de subprocesos que se
utilizará. Si el tamaño de esta pila está establecido en 64 KB, esta variable debe establecerse en 100 o menos. Si el
tamaño de la pila está establecido en un valor superior a 1 MB, esta variable debe establecerse en 10 000 o menos.
Si dicha variable se establece por debajo de 200, la precisión podría reducirse un par de puntos porcentuales.
Rendimiento requerido (en mensajes por segundo): esta opción le permite especificar el rendimiento deseado en
mensajes por segundo. El motor antispam optimizará las reglas que se ejecutan para intentar alcanzar dicho nivel.
Es posible que la precisión se vea reducida. Un valor de 0 desactiva la opción.
Combinar archivos incrementales en uno: el motor antispam combinará, de forma predeterminada, varios
archivos incr y un archivo completo en un solo archivo completo actualizado. El objetivo de esta operación es
reducir el desorden de los archivos en el directorio de configuración.
Descargar solo archivos incrementales: el motor antispam intentará, de forma predeterminada, descargar la
combinación de archivos incr y archivo completo más eficaz en cuanto a tamaño. Si esta opción se establece en Sí,
se fuerza el motor antispam para que descargue únicamente el archivo incr.
Tamaño máximo de archivos incrementales: para reducir el uso de la CPU durante la actualización de los archivos
de reglas, ya no se vuelven a generar los archivos de caché en disco (sc*.tmp) en cada actualización de una regla. En
vez de eso, se vuelven a generar cuando hay un archivo sc*.bin.full más reciente o cuando la suma de sc*.bin.incr
supera el número de bytes especificados en el tamaño máximo de archivos incrementales.
Ubicación de archivos temporales: este parámetro controla el lugar donde el motor antispam creará los archivos
temporales.
3.3.2.1.11 Configuración regional
Lista de idiomas locales: esta opción le permite definir los idiomas que prefiere utilizar en los mensajes de correo
electrónico. Los códigos de país son códigos de idioma ISO-639 formados por dos caracteres.
Lista de países: esta opción le permite especificar una lista de países que se consideran "casa". Los mensajes
dirigidos a través de un país que no está en la lista se calificarán de forma más agresiva. Si esta opción está vacía, no
habrá ninguna penalización.
Lista de países bloqueados: permite el bloqueo por país. Si una dirección IP de un encabezado Recibido coincide
con una país de la lista, la dirección de correo electrónico se considerará SPAM. Los códigos de país no se aplican a
las direcciones de remitente. Tenga en cuenta que es posible que un mensaje haya pasado por varios países antes
de llegar a su destino final. Además, esta opción tiene una precisión de tan solo el 98 %, por lo que el bloqueo de
países puede generar falsos positivos.
48
Lista de conjuntos de caracteres bloqueados: permite el bloqueo por conjunto de caracteres. El valor
predeterminado de nivel de spam es 100, pero se puede ajustar por separado para cada conjunto de caracteres
bloqueado. Recuerde que la asignación de idioma a conjunto de caracteres no tiene una precisión del 100 %, por lo
que el bloqueo de conjuntos de caracteres puede generar falsos positivos.
3.3.2.1.11.1 Lista de idiomas locales
Defina los idiomas que considera locales y en los que prefiere recibir mensajes. Para agregar un idioma, selecciónelo
en la columna Códigos de idioma: y pulse el botón Agregar. Al hacerlo, el idioma se añadirá a la columna Idiomas
locales. Para quitar el idioma de la columna Idiomas locales, seleccione su código y pulse el botón Quitar.
Bloquear idiomas no locales: esta opción determina si se bloquean o no los idiomas que no aparecen en la
columna de idiomas locales. Existen tres opciones:
Sí
No
Automáticamente
Lista de códigos de idioma (basada en la norma ISO 639):
Afrikáans
Amárico
Árabe
Bielorruso
Búlgaro
Catalán
Checo
Galés
Danés
Alemán
Griego
Inglés
Esperanto
Español
Estonio
Euskera
Persa
Finés
Francés
Frisón
Irlandés
Gaélico
escocés
Hebreo
Hindi
Croata
Húngaro
Armenio
Indonesio
Islandés
Italiano
Japonés
Georgiano
Coreano
Latín
Lituano
Letón
Maratí
Malayo
Nepalí
Holandés
Noruego
Polaco
Portugués
af
am
ar
be
bg
ca
cs
cy
da
de
el
en
eo
es
et
eu
fa
fi
fr
fy
ga
gd
he
hi
hr
hu
hy
id
is
it
ja
ka
ko
la
lt
lv
mr
ms
ne
nl
no
pl
pt
49
Quechua
Retorrománic
o
Rumano
Ruso
Sánscrito
Escocés
Eslovaco
Esloveno
Albanés
Serbio
Sueco
Suajili
Tamil
Tailandés
Tagalo
Turco
Ucraniano
Vietnamita
Yídish
Chino
qu
rm
ro
ru
sa
sco
sk
sl
sq
sr
sv
sw
ta
th
tl
tr
uk
vi
yi
zh
3.3.2.1.11.2 Lista de países
Defina los países que considera "casa" y de los que prefiere recibir mensajes. Para agregar un país, selecciónelo en la
columna Código de país: y pulse el botón Agregar. Al hacerlo, el país se añadirá a la columna Países "casa". Para
quitar el país de la columna Países "casa", seleccione el código de país y pulse el botón Quitar.
Lista de códigos de país (basada en la norma ISO 3166):
AFGANISTÁN
ISLAS ALAND
ALBANIA
ARGELIA
SAMOA AMERICANA
ANDORRA
ANGOLA
ANGUILA
ANTÁRTIDA
ANTIGUA Y BARBUDA
ARGENTINA
ARMENIA
ARUBA
AUSTRALIA
AUSTRIA
AZERBAIYÁN
BAHAMAS
BARÉIN
BANGLADÉS
BARBADOS
BIELORRUSIA
BÉLGICA
BELICE
BENÍN
BERMUDA
BUTÁN
BOLIVIA
BOSNIA Y HERZEGOVINA
BOTSUANA
ISLA BOUVET
BRASIL
TERRITORIO BRITÁNICO DEL OCÉANO
ÍNDICO
BRUNÉI DARUSALAM
50
AF
AX
AL
DZ
AS
AD
AO
AI
AQ
AG
AR
AM
AW
AU
AT
AZ
BS
BH
BD
BB
BY
BE
BZ
BJ
BM
BT
BO
BA
BW
BV
BR
IO
BN
BULGARIA
BURKINA FASO
BURUNDI
CAMBOYA
CAMERÚN
CANADÁ
CABO VERDE
ISLAS CAIMÁN
REPÚBLICA CENTROAFRICANA
CHAD
CHILE
CHINA
ISLA CHRISTMAS
ISLAS COCOS (KEELING)
COLOMBIA
COMORAS
CONGO
CONGO, REPÚBLICA DEMOCRÁTICA DEL
ISLAS COOK
COSTA RICA
COSTA DE MARFIL
CROACIA
CUBA
CHIPRE
REPÚBLICA CHECA
DINAMARCA
YIBUTI
DOMINICA
REPÚBLICA DOMINICANA
ECUADOR
EGIPTO
EL SALVADOR
GUINEA ECUATORIAL
ERITREA
ESTONIA
ETIOPÍA
ISLAS MALVINAS
ISLAS FEROE
FIYI
FINLANDIA
FRANCIA
GUAYANA FRANCESA
POLINESIA FRANCESA
TERRITORIOS FRANCESES DEL SUR
GABÓN
GAMBIA
GEORGIA
ALEMANIA
GHANA
GIBRALTAR
GRECIA
GROENLANDIA
GRANADA
GUADALUPE
GUAM
GUATEMALA
GUINEA
GUINEA-BISÁU
GUYANA
HAITÍ
ISLAS HEARD Y MCDONALD
BG
BF
BI
KH
CM
CA
CV
KY
CF
TD
CL
CN
CX
CC
CO
KM
CG
CD
CK
CR
CI
HR
CU
CY
CZ
DK
DJ
DM
DO
EC
EG
SV
GQ
ER
EE
ET
FK
FO
FJ
FI
FR
GF
PF
TF
GA
GM
GE
DE
GH
GI
GR
GL
GD
GP
GU
GT
GN
GW
GY
HT
HM
51
SANTA SEDE (ESTADO DE LA CIUDAD DEL
VATICANO)
HONDURAS
HONG KONG
HUNGRÍA
ISLANDIA
INDIA
INDONESIA
IRÁN, REPÚBLICA ISLÁMICA DE
IRAK
IRLANDA
ISRAEL
ITALIA
JAMAICA
JAPÓN
JORDANIA
KAZAJISTÁN
KENIA
KIRIBATI
COREA, REPÚBLICA POPULAR
DEMOCRÁTICA DE
COREA, REPÚBLICA DE
KUWAIT
KIRGUISTÁN
REPÚBLICA DEMOCRÁTICA POPULAR LAO
LETONIA
LÍBANO
LESOTO
LIBERIA
JAMAHIRIYA ÁRABE LIBIA
LIECHTENSTEIN
LITUANIA
LUXEMBURGO
MACAO
MACEDONIA, ANTIGUA REPÚBLICA
YUGOSLAVA DE
MADAGASCAR
MALAUI
MALASIA
MALDIVAS
MALI
MALTA
ISLAS MARSHALL
MARTINICA
MAURITANIA
MAURICIO
MAYOTTE
MÉXICO
MICRONESIA, ESTADOS FEDERADOS DE
MOLDAVIA, REPÚBLICA DE
MÓNACO
MONGOLIA
MONTSERRAT
MARRUECOS
MOZAMBIQUE
MYANMAR
NAMIBIA
NAURU
NEPAL
PAÍSES BAJOS
ANTILLAS HOLANDESAS
NUEVA CALEDONIA
52
VA
HN
HK
HU
IS
IN
ID
IR
IQ
IE
IL
IT
JM
JP
JO
KZ
KE
KI
KP
KR
KW
KG
LA
LV
LB
LS
LR
LY
LI
LT
LU
MO
MK
MG
MW
MY
MV
ML
MT
MH
MQ
MR
MU
YT
MX
FM
MD
MC
MN
MS
MA
MZ
MM
NA
NR
NP
NL
AN
NC
NUEVA ZELANDA
NICARAGUA
NÍGER
NIGERIA
NIUE
ISLA NORFOLK
ISLAS MARIANAS DEL NORTE
NORUEGA
OMÁN
PAKISTÁN
PALAOS
TERRITORIO PALESTINO, OCUPADO
PANAMÁ
PAPÚA-NUEVA GUINEA
PARAGUAY
PERÚ
FILIPINAS
PITCAIRN
POLONIA
PORTUGAL
PUERTO RICO
CATAR
REUNIÓN
RUMANÍA
FEDERACIÓN DE RUSIA
RUANDA
SANTA HELENA
SAN CRISTOBAL Y NIEVES
SANTA LUCÍA
SAN PEDRO Y MIQUELÓN
SAN VINCENTE Y LAS GRANADINAS
SAMOA
SAN MARINO
SANTO TOMÉ Y PRÍNCIPE
ARABIA SAUDÍ
SENEGAL
SERBIA Y MONTENEGRO
SEYCHELLES
SIERRA LEONA
SINGAPUR
ESLOVAQUIA
ESLOVENIA
ISLAS SALOMÓN
SOMALIA
SURÁFRICA
GEORGIA DEL SUR E ISLAS SANDWICH DEL
SUR
ESPAÑA
SRI LANKA
SUDÁN
SURINAM
SVALBARD Y JAN MAYEN
SUAZILANDIA
SUECIA
SUIZA
REPÚBLICA ÁRABE SIRIA
TAIWÁN
TAYIKISTÁN
TANZANIA, REPÚBLICA UNIDA DE
TAILANDIA
TIMOR ORIENTAL
TOGO
NZ
NI
NE
NG
NU
NF
MP
NO
OM
PK
PW
PS
PA
PG
PY
PE
PH
PN
PL
PT
PR
QA
RE
RO
RU
RW
SH
KN
LC
PM
VC
WS
SM
ST
SA
SN
CS
SC
SL
SG
SK
SI
SB
SO
ZA
GS
ES
LK
SD
SR
SJ
SZ
SE
CH
SY
TW
TJ
TZ
TH
TL
TG
53
TOKELAU
TONGA
TRINIDAD Y TOBAGO
TÚNEZ
TURQUÍA
TURKMENISTÁN
ISLAS TURCAS Y CAICOS
TUVALU
UGANDA
UCRANIA
EMIRATOS ÁRABES UNIDOS
REINO UNIDO
ESTADOS UNIDOS
ISLAS PERIFÉRICAS MENORES DE LOS EE.
UU.
URUGUAY
UZBEKISTÁN
VANUATU
ESTADO DE LA CIUDAD DEL VATICANO
(SANTA SEDE)
VENEZUELA
VIETNAM
ISLAS VÍRGENES, BRITÁNICAS
ISLAS VÍRGENES, EE. UU.
WALLIS Y FUTUNA
SÁHARA OCCIDENTAL
YEMEN
ZAIRE (CONGO, REPÚBLICA
DEMOCRÁTICA DEL)
ZAMBIA
ZIMBABUE
TK
TO
TT
TN
TR
TM
TC
TV
UG
UA
AE
GB
US
UM
UY
UZ
VU
VA
VE
VN
VG
VI
WF
EH
YE
CD
ZM
ZW
3.3.2.1.11.3 Lista de países bloqueados
Defina los países que desee bloquear y de los que no desee recibir mensajes. Para agregar un país a la lista de países
bloqueados:, selecciónelo en la columna Código de país: y pulse el botón Agregar. Para quitar un país de la lista
de países bloqueados:, seleccione el código de país y pulse el botón Quitar.
Encontrará una lista de códigos de país específicos en el temaLista de países
50
.
3.3.2.1.11.4 Lista de conjuntos de caracteres bloqueados
Defina los conjuntos de caracteres que desea bloquear. Los mensajes de estos conjuntos de caracteres no se
recibirán. Para agregar un conjunto de caracteres, selecciónelo en la columna Conjuntos de caracteres: y pulse el
botón Agregar. Esta acción moverá el conjunto de caracteres a la columna Conjuntos de caracteres bloqueados: .
Para quitar el conjunto de caracteres de la columna de conjuntos de caracteres bloqueados:, seleccione el código
del conjunto de caracteres y pulse el botón Quitar.
Cuando se agrega un conjunto de caracteres a la lista de bloqueados, se puede especificar un valor personalizado de
nivel de spam para dicho conjunto. El valor predeterminado es 100. Puede definir un nivel diferente para cada
conjunto de caracteres.
3.3.2.1.12 Archivos de registro
Activar registro detallado: permite realizar un registro detallado más exhaustivo.
Archivos de redireccionamiento de salida: redirige el archivo de salida del registro al directorio especificado en
este campo. Pulse el botón ... para buscar un directorio, en vez de escribirlo manualmente.
54
3.3.2.1.13 Estadísticas
Activar registro de datos estadísticos: registra las direcciones IP, dominios, URL, palabras sospechosas, etcétera
en el sistema de archivos de configuración. Los registros se pueden cargar automáticamente en los servidores de
análisis del motor antispam. Los registros se pueden convertir a texto sin formato para su visualización.
Enviar datos estadísticos para su análisis: inicia un subproceso para cargar archivos de estadísticas en los
servidores de análisis del motor antispam de forma automática.
Dirección del servidor de análisis: URL donde se cargan los archivos de estadísticas.
3.3.2.1.14 Opciones
Configuración automática: define opciones basadas en los requisitos de recursos, de rendimiento y del sistema
introducidos por el usuario.
Crear archivo de configuración: crea un archivo antispam.cfg que contiene la configuración del motor antispam. Se
puede encontrar en C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server 2008) o C:\Documents
and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows Server 2000 y 2003).
3.3.3 Alertas y notificaciones
Los correos electrónicos que ESET Mail Security analice y marque como correo no deseado se pueden identificar con
una etiqueta en el asunto del mensaje. De forma predeterminada, la etiqueta es [SPAM], aunque se puede utilizar
una cadena definida por el usuario.
NOTA: cuando añada una plantilla al asunto del mensaje, también puede utilizar variables del sistema.
55
3.4 Preguntas frecuentes
P: Después de instalar EMSX con antispam, hemos dejado de recibir mensajes de correo electrónico en nuestros
buzones.
R: Si hay una lista gris activada, ese es el comportamiento esperado. En las primeras horas tras la puesta en marcha
del programa, los correos electrónicos llegan con varias horas de retraso. Si el problema persiste, le recomendamos
que desactive (o vuelva a configurar) la lista gris.
P: Cuando VSAPI analiza archivos adjuntos, ¿también analiza el cuerpo de los mensajes?
R: En Microsoft Exchange Server 2000 SP2 y versiones posteriores, VSAPI analiza también el cuerpo de los
mensajes.
P: ¿Por qué el análisis de mensajes no se detiene al desactivar la opción de VSAPI?
R: Los cambios realizados en la configuración de VSAPI se ejecutan de forma asíncrona; es decir, que Microsoft
Exchange Server debe invocar la configuración modificada de VSAPI para que esta surta efecto. Este proceso cíclico
se ejecuta en intervalos de un minuto, aproximadamente. Esto se aplica también a todos los demás ajustes de
VSAPI.
P: ¿VSAPI puede eliminar en su totalidad un mensaje que contiene un archivo adjunto infectado?
R: Sí, VSAPI puede eliminar todo el mensaje. Sin embargo, para que esto suceda, debe seleccionar la opción
Eliminar todo el mensaje en la sección Acciones de la configuración de VSAPI. Esta opción está disponible en
Microsoft Exchange Server 2003 y versiones posteriores. Las versiones anteriores de Microsoft Exchange Server no
permiten eliminar mensajes enteros.
P: ¿VSAPI también busca virus en el correo electrónico saliente?
R: Sí, VSAPI analiza el correo electrónico saliente, a menos que haya configurado un servidor SMTP en el cliente de
correo que no sea Microsoft Exchange Server. Esta característica se aplica en Microsoft Exchange Server 2000
Service Pack 3 y versiones posteriores.
P: ¿Es posible añadir una notificación a cada mensaje analizado con VSAPI, al igual que con el agente de transporte?
R: En Microsoft Exchange Server, no se permite la adición de texto a los mensajes mediante VSAPI.
P: A veces no puedo abrir un correo electrónico determinado en Microsoft Outlook. ¿A qué se debe?
R: La opción Acción a emprender si la desinfección no es posible de la configuración de VSAPI en la sección
Acciones probablemente esté definida en Bloquear o ha creado una regla que incluye la acción Bloquear.
Cualquiera de estas configuraciones marcará y bloqueará tanto los mensajes infectados como los mensajes sujetos
a la regla mencionada.
P: ¿A qué se refiere el elemento Tiempo límite de respuesta de la sección Rendimiento?
R: Si tiene Microsoft Exchange Server 2000 SP2 o una versión posterior, el valor Tiempo límite de respuesta
especifica el tiempo máximo, en segundos, necesario para terminar el análisis de VSAPI de un subproceso. Si el
análisis no finaliza en este límite de tiempo, Microsoft Exchange Server denegará al cliente el acceso al correo
electrónico. El análisis no se interrumpirá y, cuando finalice, el acceso al archivo se permitirá siempre. Si tiene
Microsoft Exchange Server 5.5 SP3 o SP4, el valor se expresa en milisegundos e indica el período de tiempo tras el
que cliente intentará acceder de nuevo al archivo que antes no estaba disponible a causa del análisis.
P: ¿Qué longitud máxima puede tener la lista de tipos de archivo de una regla?
R: La lista de extensiones de archivo en una sola regla puede contener 255 caracteres como máximo.
P: He activado la opción Análisis en segundo plano de VSAPI. Hasta ahora, los mensajes de Microsoft Exchange
Server se analizaban siempre después de cada actualización de la base de firmas de virus, pero esto no sucedió
después de la última actualización. ¿Cuál es el problema?
R: La decisión de analizar todos los mensajes inmediatamente o cuando el usuario intente acceder a un mensaje
depende de varios factores, como la carga del servidor, el tiempo de CPU necesario para analizar todos los mensajes
a la vez y el número total de mensajes. Microsoft Exchange Server analiza todos los mensajes antes de que lleguen a
la bandeja de entrada del cliente.
56
P: ¿Por qué el contador de la regla aumentó en más de 1 al recibir un solo mensaje?
R:Las reglas se cotejan con un mensaje cuando el agente de transporte (AT) o VSAPI lo procesan. Si están activados
el agente de transporte y VSAPI, y el mensaje cumple las condiciones de la regla, el contador de la regla aumentará
en 2 o más. VSAPI accede a cada parte del mensaje de forma individual (cuerpo, archivo adjunto, etc.), de modo que
las reglas se aplican a cada una de las partes individuales. Además, las reglas se pueden aplicar durante el análisis en
segundo plano (p. ej., el análisis repetido del almacén de buzones de correo tras la actualización de la base de firmas
de virus), lo cual podría aumentar el contador de la regla.
P: ¿ESET Mail Security 4 for Microsoft Exchange Server es compatible con el filtro inteligente de mensajes?
R: Sí, ESET Mail Security 4 for Microsoft Exchange Server (EMSX) es compatible con el filtro inteligente de mensajes
(IMF). El procesamiento de mensajes de correo electrónico cuando un mensaje se clasifica como spam es el
siguiente:
- Si el módulo antispam de ESET Mail Security tiene activada la opción Eliminar mensaje (o Poner mensaje en
cuarentena), la acción se ejecutará independientemente de la acción definida en el IMF de Microsoft Exchange.
- Si el módulo antispam de ESET Mail Security tiene activada la opción Sin acciones, se utilizará la configuración
del IMF de Microsoft Exchange y se ejecutará la acción pertinente (por ejemplo, Eliminar, Rechazar o Archivar).
La opción Anotar el nivel de confianza contra correo no deseado (SCL) en los mensaje analizados en
función del nivel de spam (en Protección del servidor > Microsoft Exchange Server > Agente de transporte
) debe estar activada para que esta característica funcione correctamente.
P: ¿Cómo se configura ESET Mail Security para que mueva el correo no solicitado a la carpeta de spam definida por el
usuario de Microsoft Outlook?
R: En la configuración predeterminada de ESET Mail Security, Microsoft Outlook almacena el correo no deseado en
la carpeta Correo electrónico no deseado. Para que esto funcione, anule la selección de la opción Anotar nivel de
spam en el encabezado del mensaje analizado (en F5 > Protección del servidor > Protección Antispam>
Microsoft Exchange Server > Agente de transporte). Si desea que el correo electrónico no deseado se almacene
en una carpeta diferente, lea las instrucciones siguientes:
1) En ESET Mail Security:
- Vaya al árbol de configuración avanzada F5.
- Vaya a Protección del servidor > Protección Antispam > Microsoft Exchange Server > Agente de
transporte.
- Seleccione Conservar mensaje en el menú desplegable Acción a emprender en mensajes no deseados.
- Anule la selección de la casilla Anotar nivel de spam en el encabezado de los mensajes analizados.
- Vaya a Alertas y notificaciones en Protección Antispam.
- Defina una etiqueta de texto para añadirla al campo de asunto de los mensajes no deseados, por ejemplo,
"[SPAM]", en el campo Etiqueta agregada al asunto de mensajes no deseados
2) En Microsoft Outlook:
- Configure una regla para garantizar que los mensajes que tienen un texto específico en el asunto
("[SPAM]") se muevan a la carpeta deseada.
Para obtener instrucciones más detalladas, consulte este artículo de la base de conocimientos.
57
P: En los datos estadísticos de la protección antispam, hay muchos mensajes en la categoría No analizado. ¿Qué
correo electrónico no analiza la protección antispam?
R: La categoría No analizado incluye:
General:
Todos los mensajes que se analizaron cuando la protección antispam estaba desactivada en cualquiera de las
capas (servidor de correo, agente de transporte).
Microsoft Exchange Server 2003:
Todos los mensajes procedentes de una dirección IP disponible en el IMF de la Lista de aceptación global.
Mensajes de remitentes autenticados.
Microsoft Exchange Server 2007:
Todos los mensajes enviados en la organización (la protección antivirus los analizará todos).
Mensajes de remitentes autenticados.
Mensajes de usuarios configurados para burlar el filtro antispam.
Todos los mensajes enviados al buzón de correo, que tiene activa la opción No aplicar antispam.
Todos los mensajes de remitentes de la lista Remitentes seguros.
NOTA: Las direcciones definidas en la lista blanca y la configuración del motor antispam no entran en la categoría
No analizado, ya que este grupo incluye únicamente los mensajes que no se procesaron con el módulo antispam.
P: Los usuarios descargan los mensajes en sus clientes de correo electrónico mediante el protocolo POP3 (ignorando
Microsoft Exchange Server), pero los buzones de correo se almacenan en Microsoft Exchange Server. ¿El análisis
antivirus y antispam de ESET Mail Security incluirá estos mensajes de correo electrónico?
R: En este tipo de configuración, ESET Mail Security solo analiza los mensajes de correo electrónico almacenados en
Microsoft Exchange Server para detectar la presencia de virus (mediante VSAPI). No se realizará el análisis
antispam, ya que este requiere un servidor SMTP.
P: ¿Puedo definir el nivel de spam que debe tener el mensaje para que se clasifique como SPAM?
R: Sí, este límite se puede definir en ESET Mail Security 4.3 y versiones posteriores (consulte el capítulo Motor
antispam 40 ).
P: ¿El módulo Protección Antispam de ESET Mail Security también analiza los mensajes que se descargan mediante
el conector POP3?
R: ESET Mail Security es compatible con el conector POP3 de Microsoft SBS en SBS 2008, de modo que los mensajes
descargados mediante este conector POP3 se analizan para determinar la presencia de spam. Sin embargo, el
conector POP3 estándar de Microsoft SBS no es compatible con SBS 2003. También hay conectores POP3 de
terceros. Los mensajes capturados mediante estos conectores POP3 de terceros se analizan en busca de spam o no
en función del diseño de cada conector POP3 y del método que utilice para la captura de mensajes. Para obtener
más información, consulte el tema Protección antispam y conector POP3 39 .
58
4. ESET Mail Security: protección del servidor
Además de ofrecer la protección de Microsoft Exchange Server, ESET Mail Security tiene todas las herramientas
necesarias para garantizar la protección del servidor (protección residente, protección del tráfico de Internet,
protección del cliente de correo electrónico y protección antispam).
4.1 Protección antivirus y antispyware
La protección antivirus protege contra ataques maliciosos al sistema mediante el control de las comunicaciones
por Internet, el correo electrónico y los archivos. Si se detecta una amenaza con código malicioso, el módulo
antivirus puede bloquearlo para después desinfectarlo, eliminarlo o ponerlo en cuarentena.
4.1.1 Protección del sistema de archivos en tiempo real
La protección del sistema de archivos en tiempo real controla todos los sucesos relacionados con el antivirus en el
sistema. Todos los archivos se analizan en busca de código malicioso en el momento en que se abren, crean o
ejecutan en el ordenador. La protección del sistema de archivos en tiempo real se inicia al arrancar el sistema.
4.1.1.1 Configuración del control
La protección del sistema de archivos en tiempo real comprueba todos los tipos de medios, y son varios los sucesos
que activan el control. Si se utilizan métodos de detección con la tecnología ThreatSense (tal como se describe en la
sección Configuración de parámetros del motor ThreatSense 75 ), la protección del sistema de archivos en tiempo
real puede ser diferentes para los archivos recién creados y los archivos ya existentes. Para los archivos nuevos, se
puede aplicar un nivel de control más exhaustivo.
Con el fin de que la huella del sistema sea mínima cuando se utiliza la protección en tiempo real, los archivos que ya
se analizaron no se vuelven a analizar (a no ser que se hayan modificado). Los archivos se vuelven a analizar
inmediatamente después de cada actualización de la base de firmas de virus. Este comportamiento se configura
con la optimización inteligente. Si está desactivada, todos los archivos se analizarán cada vez que se acceda a ellos.
Para modificar esta opción, abra la ventana Configuración avanzada y haga clic en Antivirus y antiespía >
Protección del sistema de archivos en tiempo real en el árbol de configuración avanzada. A continuación, haga
clic en el botón Configuración situado junto a Configuración de parámetros del motor ThreatSense, haga clic en
Otros y marque o desmarque la opción Activar optimización inteligente.
La protección en tiempo real comienza de forma predeterminada cuando se inicia el sistema y proporciona un
análisis ininterrumpido. En casos especiales (por ejemplo, si hay un conflicto con otro análisis en tiempo real),
puede interrumpir la protección en tiempo real anulando la selección de la opción Activar la protección en tiempo
real automáticamente.
59
4.1.1.1.1 Objetos a analizar
De forma predeterminada, se buscan posibles amenazas en todos los tipos de objetos.
Discos locales: controla todas las unidades de disco duro del sistema.
Medios extraíbles: disquetes, dispositivos de almacenamiento USB, etc.
Unidades de red: analiza todas las unidades asignadas.
Recomendamos que esta configuración predeterminada se modifique solo en casos específicos, por ejemplo,
cuando el control de ciertos objetos ralentiza significativamente las transferencias de datos.
4.1.1.1.2 Analizar (análisis cuando se cumpla la condición)
De forma predeterminada, todos los archivos se analizan cuando se abren, crean o ejecutan. Le recomendamos que
mantenga la configuración predeterminada, ya que ofrece el máximo nivel de protección en tiempo real para su
ordenador.
La opción Al acceder al disquete controla el sector de inicio del disquete cuando se accede a esta unidad. La opción
Al apagar el ordenador controla los sectores de inicio del disco duro durante el apagado del ordenador. Aunque los
virus de arranque son escasos hoy en día, le recomendamos que deje estas opciones activadas, ya que aún existe la
posibilidad de infección por virus de arranque de fuentes alternativas.
4.1.1.1.3 Opciones avanzadas de análisis
Encontrará opciones de configuración más detalladas en Protección del ordenador > Antivirus y antiespía >
Protección del sistema de archivos en tiempo real > Configuración avanzada.
Parámetros adicionales de ThreatSense para archivos nuevos o modificados: la probabilidad de infección en los
archivos nuevos o modificados es superior que en los archivos existentes, por eso el programa comprueba estos
archivos con parámetros de análisis adicionales. Junto con los métodos de análisis basados en firmas habituales, se
utiliza la heurística avanzada, que mejora en gran medida los índices de detección. Además de los archivos nuevos,
el análisis se realiza también en archivos de autoextracción (.sfx) y empaquetadores en tiempo real (archivos
ejecutables comprimidos internamente). Los archivos se analizan, de forma predeterminada, hasta el 10º nivel de
anidamiento; además, se analizan independientemente de su tamaño real. Para modificar la configuración de
análisis de archivos comprimidos, anule la selección de la opción Configuración por defecto para archivos
comprimidos.
60
Parámetros adicionales de ThreatSense.Net para archivos ejecutados: de forma predeterminada, la heurística
avanzada no se utiliza cuando se ejecutan archivos. Sin embargo, en algunos casos, es aconsejable activar esta
opción (seleccionando Heurística avanzada al ejecutar un archivo). Tenga en cuenta que esta herramienta puede
ralentizar la ejecución de algunos programas debido a los mayores requisitos del sistema.
4.1.1.2 Niveles de desinfección
La protección en tiempo real tiene tres niveles de desinfección. Para seleccionar un nivel de desinfección, haga clic
en el botón Configuración de la sección Protección en tiempo real del sistema de archivos y haga clic en
Desinfección.
El primer nivel, Sin desinfectar, muestra una ventana de alerta con opciones disponibles para cada amenaza
encontrada. El usuario debe elegir una acción para cada una de las amenazas. Este nivel es adecuado para
usuarios avanzados que conocen los pasos necesarios en caso de amenaza.
El nivel predeterminado elige y realiza una acción predefinida automáticamente (dependiendo del tipo de
amenaza). La eliminación y la detección de un archivo infectado se marca mediante un mensaje localizado en la
esquina inferior derecha de la pantalla. Las acciones automáticas no se realizan cuando la amenaza se encuentra
en un archivo comprimido (que también contiene archivos en buen estado) o cuando los objetos infectados no
tienen una acción predefinida.
El tercer nivel, Desinfección exhaustiva, es el más "agresivo", ya que se desinfectan todos los objetos infectados.
Como este nivel puede provocar la pérdida de archivos válidos, recomendamos que se utilice solo en situaciones
específicas.
4.1.1.3 Modificación de la configuración de protección en tiempo real
La protección en tiempo real es el componente más importante para garantizar la seguridad de un sistema, por lo
que debe tener cuidado cuando modifique los parámetros correspondientes. Es aconsejable que los modifique
únicamente en casos concretos. Por ejemplo, si se produce un conflicto con una aplicación determinada o durante
el análisis en tiempo real de otro programa antivirus.
Una vez que haya instalado ESET Mail Security, se optimizará toda la configuración para proporcionar a los usuarios
el nivel máximo de seguridad del sistema. Para restaurar la configuración predeterminada, haga clic en el botón
Predeterminado disponible en la parte inferior derecha de la ventana Protección del sistema de archivos en
tiempo real (Configuración avanzada > Antivirus y antiespía > Protección del sistema de archivos en tiempo
real).
61
4.1.1.4 Análisis de protección en tiempo real
Para verificar que la protección en tiempo real funciona y detecta virus, utilice el archivo de prueba de eicar.com, un
archivo inofensivo especial que todos los programas antivirus pueden detectar. El archivo fue creado por la
compañía EICAR (European Institute for Computer Antivirus Research, Instituto europeo para la investigación de
antivirus de ordenador) para probar la funcionalidad de los programas antivirus. El archivo eicar.com se puede
descargar en http://www.eicar.org/download/eicar.com
NOTA: antes de realizar un análisis de protección en tiempo real, es necesario desactivar el cortafuegos. Si está
activado, detectará el archivo y no dejará que los archivos de prueba se descarguen.
4.1.1.5 ¿Qué debo hacer si la protección en tiempo real no funciona?
En el próximo capítulo, describimos las situaciones en las que puede surgir un problema cuando se utiliza la
protección en tiempo real y cómo resolverlas.
Protección en tiempo real desactivada
Si un usuario desactivó la protección en tiempo real sin darse cuenta, será necesario volver a activarla. Para activar
de nuevo la protección en tiempo real, vaya a Configuración > Antivirus y antiespía y haga clic en Activar en la
sección Protección del sistema de archivos en tiempo real de la ventana principal del programa.
Si la protección en tiempo real no se inicia al arrancar el sistema, probablemente se deba a que la opción Iniciar la
protección automática del sistema de archivos en tiempo real está desactivada. Para activar esta opción, vaya a
Configuración avanzada (F5) y haga clic en Protección del sistema de archivos en tiempo real en el árbol de
configuración avanzada. En la sección Configuración avanzada situada en la parte inferior de la ventana,
asegúrese de que la casilla de verificación Activar la protección del sistema de archivos en tiempo real
automáticamente está seleccionada.
Si la protección en tiempo real no detecta ni desinfecta amenazas
Asegúrese de que no tiene instalados otros programas antivirus en el ordenador. Si están activadas dos
protecciones en tiempo real al mismo tiempo, estas pueden entrar en conflicto. Recomendamos que desinstale del
sistema uno de los programas antivirus.
La protección en tiempo real no se inicia
Si la protección en tiempo real no se activa al iniciar el sistema (y la opción Activar la protección del sistema de
archivos en tiempo real automáticamente está activada), es posible que se deba a conflictos con otros
62
programas. Si este es el caso, consulte a los especialistas del servicio de atención al cliente de ESET.
4.1.2 Protección del cliente de correo electrónico
La protección de correo electrónico proporciona control de las comunicaciones por correo electrónico recibidas a
través del protocolo POP3. Con el programa de complemento para Microsoft Outlook, ESET Mail Security ofrece
control de todas las comunicaciones desde el cliente de correo electrónico (POP3, MAPI, IMAP, HTTP).
Al examinar los mensajes entrantes, el programa utiliza todos los métodos de análisis avanzados que proporciona
el motor de análisis ThreatSense . Esto significa que la detección de programas maliciosos tiene lugar incluso antes
de que se compare con la base de firmas de virus. El análisis de las comunicaciones del protocolo POP3 es
independiente del cliente de correo electrónico utilizado.
4.1.2.1 Comprobación del protocolo POP3
El protocolo POP3 es el más utilizado para recibir comunicaciones por correo electrónico en una aplicación de
cliente de correo. ESET Mail Security proporciona protección para este protocolo, independientemente del cliente
de correo electrónico que se utilice.
El módulo de protección que proporciona este control se inicia automáticamente al arrancar el sistema y, después,
está activo en la memoria. Para que el módulo funcione correctamente, asegúrese de que está activado; la
comprobación del protocolo POP3 se realiza automáticamente sin necesidad de reconfigurar el cliente de correo
electrónico. De forma predeterminada, se analizan todas las comunicaciones en el puerto 110, pero se pueden
agregar otros puertos de comunicación si es necesario. Los números de puerto deben delimitarse con una coma.
Las comunicaciones cifradas no se controlan.
Para poder utilizar el filtrado del protocolo POP3/POP3S, debe activar Filtrado de protocolos. Si las opciones de
POP3/POP3S están desactivadas, vaya a Protección del ordenador > Antivirus y antispyware > Filtrado de
protocolos en el árbol de configuración avanzada y seleccione Activar el control sobre el contenido del protocolo
de la aplicación. Consulte la sección Filtrado de protocolos para obtener más información sobre el filtrado y la
configuración.
63
4.1.2.1.1 Compatibilidad
Determinados programas de correo electrónico pueden experimentar problemas con el filtrado del protocolo POP3
(por ejemplo, si recibe mensajes con una conexión de Internet lenta, pueden producirse tiempos de espera debido al
análisis). Si este es el caso, intente modificar la forma en que se realiza el control. La velocidad del proceso de
desinfección se puede aumentar disminuyendo el nivel de control. Para ajustar el nivel de control del filtrado del
protocolo POP3, en el árbol de configuración avanzada, vaya a Antivirus y antiespía > Protección del correo
electrónico > POP3, POP3s > Compatibilidad.
Si está activada la opción Máxima eficiencia, las amenazas se eliminan de los mensajes infectados y la información
correspondiente se indica antes del asunto del correo electrónico original (las opciones Eliminar o Desinfectar
deben estar activadas, así como el nivel de desinfección Exhaustiva o Predeterminada).
Compatibilidad media modifica la forma en que se reciben los mensajes. Los mensajes se envían al cliente de
correo electrónico de forma gradual. Una vez que se ha transferido el mensaje, este se analizará en busca de
amenazas. El riesgo de infección aumenta con este nivel de control. El nivel de desinfección y el tratamiento de los
mensajes con etiquetas (alertas de notificación agregadas a la línea del asunto y al cuerpo de los correos
electrónicos) son idénticos a la configuración de máximo rendimiento.
Con el nivel Máxima compatibilidad, una ventana de alerta le informa de la recepción de un mensaje infectado. No
se agregará ninguna información sobre los archivos infectados a la línea del asunto o al cuerpo del correo
electrónico de mensajes enviados y las amenazas no se eliminarán automáticamente. Debe eliminar las amenazas
del cliente de correo electrónico.
4.1.2.2 Integración con clientes de correo electrónico
La integración de ESET Mail Security con clientes de correo electrónico aumenta el nivel de protección activa frente
a código malicioso en los mensajes de correo electrónico. Si su cliente de correo electrónico es compatible, esta
integración se puede activar en ESET Mail Security. Al activar la integración, la barra de herramientas de ESET Mail
Security se inserta directamente en el cliente de correo electrónico, aumentando así la eficacia de la protección de
correo electrónico. La configuración de integración está disponible en Configuración > Muestra las opciones
avanzadas de configuración > Varios > Integración con el cliente de correo electrónico. La integración con el
cliente de correo electrónico le permite activar la integración en los clientes de correo electrónico admitidos.
Actualmente, se admiten los siguientes clientes de correo electrónico: Microsoft Outlook, Outlook Express,
Windows Mail, Windows Live Mail y Mozilla Thunderbird.
Seleccione la opción Desactivar el análisis de cambios de contenido de la bandeja de entrada si experimenta
una ralentización del sistema cuando trabaja con su cliente de correo electrónico. Esta situación puede darse
64
cuando descarga correo electrónico de Kerio Outlook Connector Store.
La protección de correo electrónico se activa haciendo clic en Configuración > Muestra las opciones avanzadas
de configuración > Antivirus y antispyware > Protección del cliente de correo electrónico y seleccionando la
opción Activar protección antivirus y antiespía del cliente de correo electrónico.
4.1.2.2.1 Agregar mensajes con etiquetas al cuerpo del mensaje
Los mensajes de correo electrónico analizados por ESET Mail Security se pueden marcar con una etiqueta en el
asunto o el cuerpo del mensaje. Esta característica aumenta la credibilidad ante el destinatario y, si se detecta una
amenaza, proporciona información valiosa sobre el nivel de amenaza de un correo electrónico o remitente
determinado.
Las opciones de esta función están disponibles en Configuración avanzada > Antivirus y antispyware >
Protección del cliente de correo electrónico. Puede seleccionar las opciones Notificar en los mensajes recibidos
y leídos y Notificar en los mensajes enviados. También puede decidir si los mensajes con etiqueta se adjuntan a
todo el correo analizado, solo al correcto infectado o nunca.
ESET Mail Security le permite agregar mensajes al asunto original de los mensajes infectados. Para activar la adición
de mensajes al asunto, seleccione las opciones Agregar una advertencia en el asunto de los mensajes
infectados recibidos y leídos y Agregar una advertencia en el asunto de los mensajes infectados enviados.
El contenido de las notificaciones se puede modificar en el campo En mensajes infectados, agregar en el Asunto
la siguiente etiqueta. Las modificaciones antes mencionadas le ayudan a automatizar el proceso de filtrado de
correo infectado, ya que permiten filtrar los mensajes que tienen un asunto específico (si el cliente de correo
electrónico lo permite) a una carpeta independiente.
4.1.2.3 Eliminar amenazas
Si se recibe un mensaje de correo electrónico infectado, aparecerá una ventana de alerta donde se muestra el
nombre del remitente, el correo electrónico y el nombre de la amenaza. En la parte inferior de la ventana, las
opciones Desinfectar, Eliminar o Sin acciones (informar) están disponibles para el objeto detectado. En casi
todos los casos, recomendamos la selección de Desinfectar o Eliminar. En situaciones especiales, cuando desee
recibir el archivo infectado, seleccione Sin acciones (informar).
Si la opción Desinfección exhaustiva está activada, aparecerá una ventana de información sin opciones
disponibles para objetos infectados.
65
4.1.3 Protección del tráfico de Internet
La conectividad de Internet es una característica estándar de cualquier ordenador personal. Lamentablemente,
también se ha convertido en el principal medio de transferencia de código malicioso; por eso es fundamental
prestar la debida atención a la protección del tráfico de Internet. Le recomendamos encarecidamente que
seleccione la opción Activar protección antivirus y antiespía del tráfico de Internet. Esta opción está disponible
en Configuración avanzada (F5) > Antivirus y antispyware > Protección del tráfico de Internet.
4.1.3.1 HTTP, HTTPs
La protección del tráfico de Internet funciona mediante la supervisión de la comunicación entre navegadores de
Internet y servidores remotos, y cumple con las reglas HTTP (protocolo de transferencia de hipertexto) y HTTPs
(comunicación cifrada). ESET Mail Security está configurado de forma predeterminada para utilizar los estándares
de la mayoría de los navegadores de Internet. No obstante, las opciones de configuración del análisis HTTP se
pueden modificar en Configuración avanzada (F5) > Antivirus y antispyware > Protección del tráfico de
Internet > HTTP, HTTPS. En la ventana principal de filtro HTTP, puede seleccionar o anular la selección de la opción
Activar la comprobación del protocolo HTTP. También puede definir los números de puerto utilizados para la
comunicación HTTP. De forma predeterminada, los números de puerto 80, 8080 y 3128 ya están definidos. La
comprobación del protocolo HTTPS se puede realizar en los siguientes modos:
No utilizar la comprobación del protocolo HTTPS: no se analizará la comunicación cifrada.
Utilizar la comprobación del protocolo HTTPS para los puertos seleccionados: la comprobación del protocolo
HTTPs se aplicará únicamente a los puertos definidos en Puertos utilizados por el protocolo HTTPS.
66
4.1.3.1.1 Gestión de direcciones
En esta sección puede especificar las direcciones HTTP que desea bloquear, permitir o excluir del análisis. Los
botones Agregar, Modificar, Quitar y Exportar se utilizan para gestionar las listas de direcciones. No se podrá
acceder a los sitios Web de la lista de direcciones bloqueadas. Se puede acceder a los sitios web de la lista de
direcciones excluidas sin analizarlos en busca de código malicioso. Si selecciona la opción Permitir el acceso sólo a
las direcciones HTTP de la lista de direcciones permitidas, solo se podrá acceder a las direcciones presentes en la
lista de direcciones permitidas, y todas las demás direcciones HTTP se bloquearán.
En todas las listas, pueden utilizarse los símbolos especiales * (asterisco) y ? (signo de interrogación). El asterisco
sustituye a cualquier cadena de caracteres y el signo de interrogación, a cualquier símbolo. Tenga especial cuidado
al especificar direcciones excluidas, ya que la lista solo debe contener direcciones seguras y de confianza. Del mismo
modo, es necesario asegurarse de que los símbolos * y ? se utilizan correctamente en esta lista. Para activar una
lista, seleccione la opción Lista activa. Si desea que le notifiquen cuando se introduzca una dirección de la lista
actual, seleccione la opción Notificar cuando se empleen direcciones de la lista.
67
4.1.3.1.2 Modo activo
ESET Mail Security incluye también la característica de navegadores de Internet, que le permite definir si la
aplicación específica es un navegador o no. Si una aplicación se marca como navegador, toda la comunicación
desde esta aplicación se supervisa independientemente de los números de puerto implicados.
La característica de navegadores de Internet complementa la característica de comprobación del protocolo HTTP,
ya que ésta solo se produce en puertos predefinidos. Sin embargo, muchos servicios de Internet utilizan números de
puerto desconocidos o cambiantes. Para ello, la característica de navegador de Internet puede establecer el control
de las comunicaciones de puerto independientemente de los parámetros de conexión.
La lista de aplicaciones marcadas como navegadores de Internet está disponible directamente en el submenú
Navegadores de Internet de la sección HTTP, HTTPs. En esta sección, también se incluye el submenú Modo
68
activo, que define el modo de análisis de los navegadores de Internet.
El Modo activo resulta útil porque examina los datos transferidos en su conjunto. Si no está activado, la
comunicación de las aplicaciones se supervisa gradualmente en lotes. Esto reduce la eficacia del proceso de
verificación de datos, pero también ofrece mayor compatibilidad para aplicaciones enumeradas. Si no se produce
ningún problema durante su uso, es recomendable activar el modo de análisis activo mediante la casilla de
verificación situada junto a la aplicación deseada.
4.1.4 Análisis del ordenador a petición
Si sospecha que su ordenador está infectado (se comporta de manera anormal), ejecute un análisis del ordenador a
petición para comprobar la existencia de amenazas. Desde el punto de vista de la seguridad, es esencial que los
análisis del ordenador no se ejecuten únicamente cuando se sospecha que existe una infección, sino que se realicen
periódicamente como parte de las medidas de seguridad rutinarias. Los análisis periódicos ayudan a detectar
amenazas que no se detectaron durante el análisis en tiempo real, cuando se guardaron en el disco. Esto puede
ocurrir si se ha desactivado el análisis en tiempo real en el momento de la infección o si la base de firmas de virus no
estaba actualizada.
Le recomendamos que ejecute un análisis del ordenador a petición una o dos veces al mes como mínimo. El análisis
se puede configurar como una tarea programada en Herramientas > Planificador de tareas.
69
4.1.4.1 Tipo de análisis
Están disponibles dos tipos de análisis del ordenador a petición. El análisis estándar analiza el sistema
rápidamente, sin necesidad de realizar una configuración adicional de los parámetros de análisis. El análisis
personalizado le permite seleccionar perfiles de análisis predefinidos y elegir objetos de análisis específicos.
4.1.4.1.1 Análisis estándar
El análisis estándar le permite iniciar rápidamente un análisis del ordenador y desinfectar los archivos infectados sin
la intervención del usuario. Su principal ventaja es un funcionamiento sencillo, sin configuraciones de análisis
detalladas. El análisis estándar comprueba todos los archivos de los discos locales y desinfecta o elimina
automáticamente las amenazas detectadas. El nivel de desinfección se establece automáticamente en el valor
predeterminado. Para obtener más información detallada sobre los tipos de desinfección, consulte la sección
Desinfección 78 .
4.1.4.1.2 Análisis personalizado
El análisis personalizado es una solución óptima para especificar parámetros de análisis como, por ejemplo, objetos
y métodos de análisis. La ventaja del análisis personalizado es su capacidad para configurar los parámetros
detalladamente. Las diferentes configuraciones se pueden guardar en perfiles de análisis definidos por el usuario,
que pueden resultar útiles si el análisis se realiza varias veces con los mismos parámetros.
Para seleccionar objetos de análisis, seleccione Análisis del ordenador > Análisis personalizado y elija una opción
en el menú desplegable Objetos de análisis, o seleccione objetos específicos en la estructura de árbol. Los objetos
de análisis también se pueden especificar con más precisión introduciendo la ruta a la carpeta o los archivos que se
desean incluir en el análisis. Si únicamente quiere analizar el sistema, sin realizar acciones de desinfección
adicionales, seleccione la opción Analizar sin desinfectar. Además, puede seleccionar uno de los tres niveles de
desinfección haciendo clic en Configuración. > Desinfección.
70
4.1.4.2 Objetos de análisis
En el menú desplegable Objetos de análisis, puede seleccionar los archivos, carpetas y dispositivos (discos) que se
analizarán en busca de virus.
Parámetros según perfil: selecciona los objetos definidos en el perfil de análisis seleccionado.
Medios extraíbles: selecciona los disquetes, dispositivos de almacenamiento USB, CD y DVD.
Discos locales: selecciona todas las unidades de disco duro del sistema.
Unidades de red: selecciona todas las unidades asignadas.
Sin selección: cancela todas las selecciones.
Los objetos de análisis se pueden especificar con más precisión introduciendo la ruta de la carpeta o los archivos
que se desean incluir en el análisis. Seleccione los objetos en la estructura de árbol que incluye todos los dispositivos
disponibles en el ordenador.
4.1.4.3 Perfiles de análisis
Puede guardar sus parámetros de análisis preferidos para próximas sesiones de análisis. Le recomendamos que cree
un perfil diferente (con varios objetos de análisis, métodos de análisis y otros parámetros) para cada uno de los
análisis que realice con frecuencia.
Para crear un perfil nuevo, abra la ventana Configuración avanzada (F5) y haga clic en Análisis del ordenador a
petición > Perfiles. En la ventana Administración de perfiles encontrará un menú desplegable con los perfiles de
análisis existentes y la opción para crear uno nuevo. Si necesita ayuda para crear un perfil de análisis que se adecue
a sus necesidades, consulte la sección Configuración de parámetros del motor ThreatSense 75 para ver una
descripción de cada uno de los parámetros de la configuración del análisis.
EJEMPLO: supongamos que desea crear su propio perfil de análisis y parte de la configuración del análisis estándar
es adecuada; sin embargo, no desea analizar los empaquetadores en tiempo real ni las aplicaciones potencialmente
peligrosas y, además, quiere aplicar Desinfección exhaustiva. En la ventana Administración de perfiles, haga clic
en el botón Agregar. Escriba el nombre del nuevo perfil en el campo Nombre del perfil y seleccione Análisis
estándar en el menú desplegable Copiar parámetros desde el perfil . A continuación, ajuste los demás
parámetros de acuerdo con sus requisitos.
71
4.1.4.4 Línea de comandos
El módulo antivirus de ESET Mail Security se puede iniciar manualmente a través de la línea de comandos, con el
comando "ecls", o con un archivo por lotes ("bat").
Los siguientes parámetros y modificadores se pueden utilizar al ejecutar el análisis a petición desde la línea de
comandos:
Opciones generales:
--help
mostrar ayuda y salir
- version
mostrar información sobre la versión y salir
- base-dir = CARPETA
cargar módulos desde una CARPETA
- quar-dir = CARPETA
CARPETA de cuarentena
- aind
mostrar indicador de actividad
Objetos:
- files
analizar archivos (predeterminado)
- no-files
no analizar archivos
- boots
analizar sectores de inicio (predeterminada)
- no-boots
no analizar sectores de inicio
- arch
analizar archivos comprimidos (predeterminado)
- no-arch
no analizar archivos
- max-archive-level = NIVEL
NIVEL de anidamiento de archivos máximo
- scan-timeout = LÍMITE
analizar archivos comprimidos con un LÍMITE máximo de
segundos. Si el tiempo de análisis alcanza este límite, el
análisis del archivo comprimido se detiene y se pasa al
siguiente archivo.
- max-arch-size=TAMAÑO
analizar solo los primeros TAMAÑO bytes de los archivos
(predeterminado 0 = ilimitado)
- mail
analizar archivos de correo electrónico
- no-mail
no analizar archivos de correo
- sfx
analizar archivos comprimidos de autoextracción
- no-sfx
no analizar archivos comprimidos de autoextracción
- rtp
analizar empaquetadores en tiempo real
- no-rtp
no analizar empaquetadores en tiempo real
- exclude = CARPETA
excluir CARPETA del análisis
- subdir
analizar subcarpetas (predeterminado)
- no-subdir
no analizar subcarpetas
- max-subdir-level = NIVEL
NIVEL de anidamiento de subcarpetas máximo
(predeterminado 0 = ilimitado)
- symlink
seguir enlaces simbólicos (predeterminado)
- no-symlink
omitir enlaces simbólicos
- ext-remove = EXTENSIONES
- ext-exclude = EXTENSIONES
72
excluir EXTENSIONES del análisis, separándolas por el
signo ":" (dos puntos)
Métodos:
- adware
analizar en busca de adware/spyware/riskware
- no-adware
no analizar en busca de adware/spyware/riskware
- unsafe
analizar en busca de aplicaciones potencialmente
peligrosas
- no-unsafe
no analizar en busca de aplicaciones potencialmente
peligrosas
- unwanted
analizar en busca de aplicaciones potencialmente
indeseables
- no-unwanted
no analizar en busca de aplicaciones potencialmente
indeseables
- pattern
usar firmas
- no-pattern
no usar firmas
- heur
activar heurística
- no-heur
desactivar heurística
- adv-heur
activar heurística avanzada
- no-adv-heur
desactivar heurística avanzada
Desinfección:
- action = ACCIÓN
realizar ACCIÓN en objetos infectados. Acciones
disponibles: none (sin acciones), clean (desinfectar),
prompt (preguntar)
- quarantine
copiar archivos infectados en cuarentena (ACCIÓN
opcional)
- no-quarantine
no copiar archivos infectados a cuarentena
Registros:
- log-file=ARCHIVO
registrar salida en ARCHIVO
- log-rewrite
sobrescribir el archivo de salida (predeterminado agregar)
- log-all
registrar también los archivos sin infectar
- no-log-all
no registrar archivos sin infectar (predeterminado)
Posibles códigos de salida del análisis:
0
- no se ha encontrado ninguna amenaza
1
- se ha encontrado una amenaza, pero no se ha
desinfectado
10
- algunos archivos no se desinfectaron
101
- error en el archivo comprimido
102
- error de acceso
103
- error interno
NOTA: los códigos de salida superiores a 100 significan que no se ha analizado el archivo y que, por tanto, puede
73
estar infectado.
4.1.5 Rendimiento
En esta sección, puede definir el número de motores de análisis ThreatSense que se utilizarán para el análisis de
virus. Un mayor número de motores de análisis ThreatSense en equipos con varios procesadores puede aumentar la
velocidad de análisis. Son aceptables los valores entre 1 y 20.
Si no hay más restricciones, nuestra recomendación es que aumente el número de motores de análisis ThreatSense
en la ventana Configuración avanzada (F5), en Protección del ordenador > Antivirus y antiespía > Rendimiento,
de acuerdo con esta fórmula: número de motores de análisis ThreatSense = (número de CPU físicas x 2) + 1. Además, el
número de subprocesos de análisis debe ser igual al número de motores de análisis ThreatSense. Puede configurar el
número de subprocesos de análisis en Protección del servidor > Antivirus y antiespía > Microsoft Exchange
Server > VSAPI > Rendimiento. Ejemplo:
Supongamos que tiene un servidor con 4 CPU físicas. Según la fórmula anterior, para disfrutar de un rendimiento
máximo debería tener 9 subprocesos de análisis y 9 motores de análisis.
NOTA: nuestra recomendación es que defina un número de subprocesos de análisis igual al número de motores de
análisis de ThreatSense utilizados. El rendimiento no se verá afectado si utiliza más subprocesos de análisis que
motores de análisis.
NOTA: los cambios realizados aquí no se aplicarán hasta que se reinicie el sistema.
4.1.6 Filtrado de protocolos
El motor de análisis ThreatSense, que integra a la perfección todas las técnicas avanzadas de análisis de código
malicioso, proporciona la protección antivirus para los protocolos de aplicación POP3 y HTTP. El control funciona de
manera automática, independientemente del navegador de Internet o el cliente de correo electrónico utilizado.
Están disponibles las opciones siguientes para el filtrado de protocolos (si se selecciona la opción Activar el control
sobre el contenido del protocolo de la aplicación):
Puertos HTTP y POP3: limita el análisis de la comunicación a los puertos HTTP y POP3 conocidos.
Aplicaciones marcadas como navegadores de Internet y clientes de correo electrónico: active esta opción
únicamente para filtrar la comunicación de aplicaciones marcadas como navegadores (Protección del tráfico de
Internet > HTTP, HTTPS > Navegadores de Internet) y clientes de correo electrónico (Protección del cliente de
correo electrónico > POP3, POP3s > Clientes de correo electrónico).
Puertos y aplicaciones marcadas como usadas por navegadores de Internet y clientes de correo electrónico:
se comprueba la presencia de código malicioso tanto en los puertos como en los navegadores.
NOTA: desde el lanzamiento de Windows Vista Service Pack 1 y Windows Server 2008, se utiliza un nuevo método
de filtrado de comunicaciones. Consecuentemente, la sección Filtrado de protocolos ya no está disponible.
4.1.6.1 SSL
ESET Mail Security le permite comprobar los protocolos encapsulados en el protocolo SSL. Puede utilizar varios
modos de análisis para las comunicaciones protegidas mediante el protocolo SSL: certificados de confianza,
certificados desconocidos o certificados excluidos del análisis de comunicaciones protegidas mediante el protocolo
SSL.
Analizar siempre el protocolo SSL: seleccione esta opción para analizar todas las comunicaciones protegidas
mediante el protocolo SSL, excepto las protegidas por certificados excluidos del análisis. Si se establece una
comunicación nueva que utiliza un certificado firmado desconocido, no se le informará y la comunicación se filtrará
automáticamente. Si accede a un servidor con un certificado que no sea de confianza pero que usted ha marcado
como de confianza (se ha agregado a la lista de certificados de confianza), se permite la comunicación con el
servidor y se filtra el contenido del canal de comunicación.
Preguntar sobre sitios no visitados (se pueden hacer exclusiones): si introduce un sitio nuevo protegido
mediante SSL (con un certificado desconocido), se muestra un cuadro de diálogo con las acciones posibles. Este
modo le permite crear una lista de certificados SSL que se excluirán del análisis.
No analizar el protocolo SSL: si se selecciona esta opción, el programa no analizará las comunicaciones a través de
SSL.
74
Si no es posible verificar el certificado con el archivo de autoridades certificadoras de confianza (Filtrado de
protocolos > SSL > Certificados):
Preguntar sobre la validez del certificado: le solicita que seleccione la acción que se debe realizar.
Bloquear las comunicaciones que utilicen el certificado: finaliza la conexión con el sitio que utiliza el certificado.
Si el certificado no es válido o está dañado (Filtrado de protocolos > SSL > Certificados):
Preguntar sobre la validez del certificado: le solicita que seleccione la acción que se debe realizar.
Bloquear las comunicaciones que utilicen el certificado: finaliza la conexión con el sitio que utiliza el certificado.
4.1.6.1.1 Certificados de confianza
Además del archivo de autoridades certificadoras de confianza integrado, donde ESET Mail Security almacena los
certificados de confianza, puede crear una lista personalizada de certificados de confianza. Esta lista se puede ver
en Configuración avanzada (F5) > Filtrado del protocolo > SSL > Certificados > Certificados de confianza.
4.1.6.1.2 Certificados excluidos
La sección Certificados excluidos contiene certificados que se consideran seguros. No se buscarán amenazas en el
contenido de las comunicaciones cifradas que utilicen los certificados de la lista. Se recomienda excluir únicamente
los certificados web que tengan una garantía de seguridad y cuya comunicación no sea necesario comprobar.
4.1.7 Configuración de parámetros del motor ThreatSense
ThreatSense es el nombre de una tecnología formada por complejos métodos de detección de amenazas. Esta
tecnología es proactiva, lo que significa que también proporciona protección durante la fase inicial de expansión de
una nueva amenaza, y utiliza una combinación de diferentes métodos (análisis de código, emulación de código,
firmas genéricas y firmas de virus) que funcionan de forma conjunta para mejorar en gran medida la seguridad del
sistema. El motor de análisis es capaz de controlar varios flujos de datos de forma simultánea, de manera que
maximiza la eficacia y la velocidad de detección. Además, la tecnología ThreatSense elimina los rootkits
eficazmente.
Las opciones de configuración de la tecnología ThreatSense permiten al usuario especificar distintos parámetros de
análisis:
Los tipos de archivos y extensiones que se deben analizar.
La combinación de diferentes métodos de detección.
Los niveles de desinfección, etc.
Para acceder a la ventana de configuración, haga clic en el botón Configuración ubicado en la ventana de
configuración de cualquier módulo que utilice la tecnología ThreatSense (ver más abajo). Es posible que cada
escenario de seguridad requiera una configuración diferente. Con esto en mente, ThreatSense se puede configurar
individualmente para los siguientes módulos de protección:
Protección del sistema de archivos en tiempo real
Análisis de archivos durante el inicio del sistema
Protección del correo electrónico 63
Protección del tráfico de Internet 66
Análisis del ordenador a petición 69
59
Los parámetros de ThreatSense están altamente optimizados para cada módulo y su modificación puede afectar al
funcionamiento del sistema de forma significativa. Por ejemplo, la modificación de los parámetros para que
siempre ejecuten aplicaciones en tiempo real o la activación de la heurística avanzada en el módulo de protección
del sistema de archivos en tiempo real podrían implicar la ralentización del sistema (normalmente, solo se analizan
los archivos recién creados mediante estos métodos). Por este motivo, se recomienda que no modifique los
parámetros predeterminados de ThreatSense para ninguno de los módulos, a excepción de Análisis del ordenador a
petición.
75
4.1.7.1 Configuración de objetos
En la sección Objetos se pueden definir los componentes y archivos del ordenador que se analizarán en busca de
amenazas.
Memoria operativa: busca amenazas que ataquen a la memoria operativa del sistema.
Sectores de inicio: analizar los sectores de inicio para detectar virus en el registro de inicio principal.
Archivos: analiza todos los tipos de archivos comunes (programas, fotografías, audio, archivos de vídeo, archivos
de base de datos, etc.).
Archivos de correo: analiza archivos especiales que contengan mensajes de correo electrónico.
Archivos comprimidos: analizar los archivos incluidos en archivos comprimidos (.rar, .zip, .arj, .tar, etc.).
Archivos comprimidos de autoextracción: analiza los archivos incluidos en archivos comprimidos de
autoextracción, normalmente los que tienen una extensión .exe.
Empaquetadores en tiempo real: los empaquetadores en tiempo real (a diferencia de los archivos comprimidos
estándar) se descomprimen en la memoria, además de los empaquetadores estáticos estándar (UPX, yoda, ASPack,
FGS, etc.).
NOTA: cuando se muestra un punto azul junto a un parámetro, significa que el ajuste actual de dicho parámetro es
distinto al de otros módulos que también utilizan ThreatSense. El mismo parámetro se puede configurar de forma
diferente para cada módulo, por lo que este punto azul simplemente le recuerda que un parámetro está
configurado de forma diferente en otros módulos. Si no hay ningún punto azul, significa que el parámetro tiene la
misma configuración en todos los módulos.
4.1.7.2 Opciones
En la sección Opciones, se pueden seleccionar los métodos utilizados durante el análisis del sistema en busca de
amenazas. Están disponibles las opciones siguientes:
Heurística: la tecnología heurística hace referencia a un algoritmo que analiza la actividad (maliciosa) de los
programas. Su principal ventaja es la habilidad para detectar nuevo software malicioso que no existía o que no
estaba incluido en la lista de virus conocidos (base de firmas de virus).
Heurística avanzada: la tecnología heurística avanzada consiste en un algoritmo heurístico exclusivo desarrollado
por ESET, y optimizado para detectar gusanos informáticos y troyanos escritos en lenguajes de programación de
alto nivel. Gracias a la heurística avanzada, la inteligencia de detección del programa es considerablemente
superior.
Aplicaciones potencialmente indeseables: las aplicaciones potencialmente indeseables no tienen por qué ser
maliciosas, pero pueden afectar negativamente al rendimiento del ordenador. Estas aplicaciones suelen necesitar el
76
consentimiento del usuario para su instalación. Si se encuentran en su ordenador, el sistema se comportará de
manera diferente (en comparación con el estado en el que se encontraba antes de la instalación). Entre los cambios
más significativos se destacan las ventanas emergentes no deseadas, la activación y ejecución de procesos ocultos,
el aumento del uso de los recursos del sistema, los cambios en los resultados de búsqueda y las aplicaciones que se
comunican con servidores remotos.
Aplicaciones potencialmente peligrosas: aplicaciones potencialmente peligrosas es la clasificación utilizada para
el software comercial legítimo e incluye programas como, por ejemplo, herramientas de acceso remoto, por eso
esta opción está desactivada de forma predeterminada.
Archivo adjunto potencialmente peligroso
La opción de archivo adjunto potencialmente peligroso ofrece protección contra las amenazas maliciosas que
suelen propagarse como archivos adjuntos de correo electrónico, como los troyanos ransomware. Un ejemplo de
este tipo de amenaza puede ser un archivo ejecutable disfrazado de archivo de documento estándar (por ejemplo,
PDF) que, cuando el usuario lo abre, permite la entrada de la amenaza en el sistema. Entonces, la amenaza
intentará cumplir sus objetivos maliciosos.
NOTA: cuando se muestra un punto azul junto a un parámetro, significa que el ajuste actual de dicho parámetro es
distinto al de otros módulos que también utilizan ThreatSense. El mismo parámetro se puede configurar de forma
diferente para cada módulo, por lo que este punto azul simplemente le recuerda que un parámetro está
configurado de forma diferente en otros módulos. Si no hay ningún punto azul, significa que el parámetro tiene la
misma configuración en todos los módulos.
77
4.1.7.3 Desinfección
Las opciones de desinfección determinan el comportamiento del análisis durante la desinfección de archivos
infectados. Hay 3 niveles de desinfección:
Sin desinfectar: los archivos infectados no se desinfectan automáticamente. El programa mostrará una ventana de
alerta y permitirá que el usuario seleccione una acción.
Desinfección estándar: el programa intentará desinfectar o eliminar los archivos infectados de manera
automática. Si no es posible seleccionar la acción correcta de manera automática, el programa ofrece una selección
de acciones a seguir. La selección de acciones a seguir también aparecerá si una acción predefinida no se puede
completar.
Desinfección exhaustiva: el programa desinfectará o eliminará todos los archivos infectados (incluidos los
archivos comprimidos). Las únicas excepciones son los archivos del sistema. Si no es posible desinfectarlos, se
ofrece al usuario la opción de realizar una acción indicada en una ventana de alerta.
Alerta: en el modo predeterminado, solo se elimina todo el archivo comprimido si todos los archivos que contiene
están infectados. Si el archivo comprimido también contiene archivos legítimos, no se eliminará. Si se detecta un
archivo infectado en el modo de Desinfección exhaustiva, todo el archivo comprimido se eliminará, aunque se
encuentren archivos en buen estado.
NOTA: cuando se muestra un punto azul junto a un parámetro, significa que el ajuste actual de dicho parámetro es
distinto al de otros módulos que también utilizan ThreatSense. El mismo parámetro se puede configurar de forma
diferente para cada módulo, por lo que este punto azul simplemente le recuerda que un parámetro está
configurado de forma diferente en otros módulos. Si no hay ningún punto azul, significa que el parámetro tiene la
misma configuración en todos los módulos.
78
4.1.7.4 Extensiones
Una extensión es una parte del nombre de archivo delimitada por un punto que define el tipo y el contenido del
archivo. En esta sección de la configuración de parámetros de ThreatSense, es posible definir los tipos de archivos
que se desean analizar.
De forma predeterminada, se analizan todos los archivos independientemente de su extensión. Se puede agregar
cualquier extensión a la lista de archivos excluidos del análisis. Si no está seleccionada la opción Analizar todos los
archivos, la lista cambia para mostrar todas las extensiones de archivo analizadas actualmente. Los botones
Agregar y Quitar le permiten activar o prohibir el análisis de las extensiones deseadas.
Para activar el análisis de archivos sin extensión, seleccione la opción Analizar archivos sin extensión.
A veces es necesario excluir archivos del análisis si, por ejemplo, el análisis de determinados tipos de archivo impide
la correcta ejecución del programa que utiliza las extensiones. Por ejemplo, quizás sea aconsejable excluir las
extensiones .edb, .eml y .tmp cuando se utilizan servidores Microsoft Exchange.
NOTA: cuando se muestra un punto azul junto a un parámetro, significa que el ajuste actual de dicho parámetro es
distinto al de otros módulos que también utilizan ThreatSense. El mismo parámetro se puede configurar de forma
diferente para cada módulo, por lo que este punto azul simplemente le recuerda que un parámetro está
configurado de forma diferente en otros módulos. Si no hay ningún punto azul, significa que el parámetro tiene la
misma configuración en todos los módulos.
4.1.7.5 Límites
En la sección Límites se puede especificar el tamaño máximo de los objetos y los niveles de archivos anidados que se
analizarán:
Tamaño máximo del objeto: define el tamaño máximo de los objetos que se van a analizar. El módulo antivirus
analizará solo los objetos que tengan un tamaño menor que el especificado. No recomendamos cambiar el valor
predeterminado, ya que normalmente no hay motivo para hacerlo. Esta opción solo deben cambiarla usuarios
avanzados que tengan motivos específicos para excluir del análisis objetos de mayor tamaño.
Tiempo máximo de análisis para el objeto (seg.): define el tiempo máximo asignado para analizar un objeto. Si se
especifica un valor definido por el usuario, el módulo antivirus detendrá el análisis de un objeto cuando se haya
agotado el tiempo, independientemente de si el análisis ha finalizado o no.
Nivel de anidamiento de archivos: especifica la profundidad máxima del análisis de archivos comprimidos. No
recomendamos cambiar el valor predeterminado de 10; en circunstancias normales, no debería haber motivo para
hacerlo. Si el análisis finaliza antes de tiempo debido al número de archivos anidados, el archivo comprimido
quedará sin analizar.
Tamaño máx. de archivo en el archivo comprimido: esta opción le permite especificar el tamaño máximo de los
archivos incluidos en archivos comprimidos (al extraerlos) que se van a analizar. Si esto provoca la finalización antes
79
de tiempo del análisis de un archivo comprimido, el archivo no se comprobará.
NOTA: cuando se muestra un punto azul junto a un parámetro, significa que el ajuste actual de dicho parámetro es
distinto al de otros módulos que también utilizan ThreatSense. El mismo parámetro se puede configurar de forma
diferente para cada módulo, por lo que este punto azul simplemente le recuerda que un parámetro está
configurado de forma diferente en otros módulos. Si no hay ningún punto azul, significa que el parámetro tiene la
misma configuración en todos los módulos.
4.1.7.6 Otros
Analizar flujos de datos alternativos (ADS): los flujos de datos alternativos (ADS) utilizados por el sistema de
archivos NTFS son asociaciones de carpetas y archivos que no se perciben con técnicas de análisis ordinarias.
Muchas amenazas intentan evitar los sistemas de detección haciéndose pasar por flujos de datos alternativos.
Ejecutar análisis en segundo plano y con baja prioridad: cada secuencia de análisis consume una cierta cantidad
de recursos del sistema. Si trabaja con programas que colocan una gran carga en los recursos del sistema, puede
activar el análisis en segundo plano con prioridad baja y ahorrar recursos para sus aplicaciones.
Registrar todos los objetos: si se selecciona esta opción, el archivo de registro mostrará todos los archivos
analizados, incluso los que no están infectados.
Activar optimización inteligente: seleccione esta opción para que no se vuelvan a analizar los archivos que ya se
analizaron (a no ser que se hayan modificado). Los archivos se vuelven a analizar inmediatamente después de cada
actualización de la base de firmas de virus.
Conservar hora del último acceso: seleccione esta opción para guardar la hora de acceso original de los archivos
analizados en lugar de actualizarla (por ejemplo, para utilizar con sistemas de copia de seguridad de datos).
Desplazar registro: esta opción le permite activar o desactivar el desplazamiento del registro. Si la selecciona, la
información se desplaza hacia arriba dentro de la ventana de visualización.
Al finalizar el análisis, mostrar una notificación en una nueva ventana: abre una ventana independiente que
contiene información sobre los resultados del análisis.
NOTA: cuando se muestra un punto azul junto a un parámetro, significa que el ajuste actual de dicho parámetro es
distinto al de otros módulos que también utilizan ThreatSense. El mismo parámetro se puede configurar de forma
diferente para cada módulo, por lo que este punto azul simplemente le recuerda que un parámetro está
configurado de forma diferente en otros módulos. Si no hay ningún punto azul, significa que el parámetro tiene la
misma configuración en todos los módulos.
4.1.8 Detección de una amenaza
Las amenazas pueden acceder al sistema desde varios puntos de entrada: páginas web, carpetas compartidas,
correo electrónico o dispositivos informáticos extraíbles (USB, discos externos, CD, DVD, disquetes, etc.).
Si el ordenador muestra señales de infección por código malicioso —por ejemplo, se ralentiza, se bloquea con
frecuencia, etc.—, le recomendamos que haga lo siguiente:
Abra ESET Mail Security y haga clic en Análisis del ordenador.
Haga clic en Análisis estándar (para obtener más información, consulte la sección Análisis estándar 70 ).
Una vez que haya finalizado el análisis, revise el registro para consultar el número de archivos analizados,
infectados y desinfectados.
Si solo desea analizar una parte específica del disco, haga clic en Análisis personalizado y seleccione los objetos
que desea incluir en el análisis de virus.
A modo de ejemplo general de cómo se gestionan las amenazas en ESET Mail Security, suponga que el supervisor
del sistema de archivos en tiempo real, que utiliza el nivel de desinfección predeterminado, detecta una amenaza.
El supervisor intentará desinfectar o eliminar el archivo. Si no hay que realizar ninguna tarea predefinida para el
módulo de protección en tiempo real, se le pedirá que seleccione una opción en una ventana de alerta.
Normalmente, están disponibles las opciones Desinfectar, Eliminar y Sin acciones. No se recomienda seleccionar
Sin acciones, ya que los archivos infectados quedarían intactos. La única excepción es cuando está seguro de que el
archivo es inofensivo y se ha detectado por error.
Desinfección y eliminación: aplique esta opción si un archivo ha sido infectado por un virus que le ha añadido
código malicioso. Si este es el caso, primero intente desinfectar el archivo infectado para restaurarlo a su estado
80
original. Si el archivo consta exclusivamente de código malicioso, se eliminará.
Si un proceso del sistema "bloquea" o está utilizando un archivo infectado, por lo general solo se eliminará cuando
se haya publicado (normalmente, tras reiniciar el sistema).
Eliminación de amenazas en archivos comprimidos: en el modo de desinfección predeterminado, solo se
eliminará todo el archivo comprimido si todos los archivos que contiene están infectados. En otras palabras, los
archivos comprimidos no se eliminan si también contienen archivos desinfectados inofensivos. Sin embargo, tenga
cuidado cuando realice un análisis con desinfección exhaustiva, ya que el archivo se eliminará si contiene al menos
un archivo infectado, sin tener en cuenta el estado de los otros archivos.
4.2 Actualización del programa
La actualización periódica de ESET Mail Security es la premisa básica para obtener el máximo nivel de seguridad. El
módulo Actualización garantiza que el programa está siempre actualizado de dos maneras: actualizando la base de
firmas de virus y los componentes del sistema.
Haga clic en Actualización en el menú principal para comprobar el estado de la actualización, así como la fecha y la
hora de la última actualización, y si es necesario actualizar el programa. La ventana principal también indica la
versión de la base de firmas de virus. Esta indicación numérica es un enlace activo al sitio web de ESET, donde se
muestran todas las firmas agregadas en la actualización correspondiente.
Además, están disponibles la opción de inicio manual del proceso de actualización (Actualizar la base de firmas de
virus ahora) y las opciones básicas de configuración de actualización, como el nombre de usuario y la contraseña
de acceso a los servidores de actualización de ESET.
Utilice el enlace Activación del producto para abrir un formulario de registro que active el producto de seguridad
de ESET; entonces, recibirá un mensaje de correo electrónico con los datos de autenticación (nombre de usuario y
contraseña).
81
NOTA: ESET le proporcionará el nombre de usuario y la contraseña una vez que haya adquirido ESET Mail Security.
4.2.1 Configuración de actualizaciones
En la sección de configuración de actualizaciones se especifica la información del origen de la actualización, como
los servidores de actualización y sus datos de autenticación. De forma predeterminada, el menú desplegable
Servidor de actualización está configurado en Selección automática para garantizar que los archivos de
actualización se descargarán del servidor ESET cuando la carga de la red sea menor. Las opciones de configuración
están disponibles en el árbol de configuración avanzada (tecla F5), en Actualización.
Puede acceder a la lista de servidores de actualización disponibles desde el menú desplegable Servidor de
82
actualización. Para agregar un nuevo servidor de actualización, haga clic en Modificar en la sección Parámetros
para el perfil seleccionado y, a continuación, haga clic en el botón Agregar. La autenticación de los servidores de
actualización se basa en el nombre de usuario y la contraseña generados y enviados tras la compra.
4.2.1.1 Perfiles de actualización
Se pueden crear perfiles de actualización para diferentes tareas y configuraciones de actualización. Estos perfiles
son especialmente útiles para los usuarios móviles, ya que les permite crear un perfil alternativo para las
propiedades de conexión a Internet que cambian periódicamente.
El menú desplegable Perfil seleccionado muestra el perfil seleccionado actualmente, definido en Mi perfil de forma
predeterminada. Para crear un perfil nuevo, haga clic en el botón Perfiles y, a continuación, en el botón Agregar;
después, introduzca su nombre de perfil. Cuando cree un perfil nuevo, en el menú desplegable Copiar parámetros
desde el perfil puede seleccionar un perfil existente para copiar su configuración.
En la ventana Configuración de perfil, puede especificar el servidor de actualización de una lista de servidores
disponibles o agregar un servidor nuevo. Puede acceder a la lista de servidores de actualización disponibles desde el
menú desplegable Servidor de actualización . Para agregar un nuevo servidor, haga clic en Modificar en la sección
Parámetros para el perfil seleccionado y, a continuación, haga clic en el botón Agregar.
4.2.1.2 Configuración avanzada de actualizaciones
Para ver la configuración avanzada de actualizaciones, haga clic en el botón Configuración. Las opciones
avanzadas de la configuración de actualizaciones son Tipo de actualización, Servidor Proxy HTTP, LAN y Mirror.
4.2.1.2.1 Tipo de actualización
La ficha Tipo de actualización contiene opciones relacionadas con la actualización de componentes del programa.
En la sección Actualización de componentes del programa hay tres opciones disponibles:
Nunca actualizar los componentes del programa: no se descargarán las nuevas actualizaciones de
componentes del programa.
Actualizar siempre los componentes del programa: las nuevas actualizaciones de componentes del programa
se aplican automáticamente.
Avisar antes de descargar los componentes del programa: esta es la opción predeterminada. Se le solicitará
que confirme o rechace las actualizaciones de componentes del programa cuando estén disponibles.
83
Tras una actualización de componentes del programa, es posible que deba reiniciar el ordenador para que los
módulos dispongan de todas las funciones. En la sección Reiniciar después de actualizar los componentes del
programa puede seleccionar una de las opciones siguientes:
Nunca reiniciar el ordenador
Si es necesario, ofrecer reiniciar el ordenador
Si es necesario, reiniciar el ordenador sin avisar
La opción predeterminada es Si es necesario, ofrecer reiniciar el ordenador. La selección de la opción más
adecuada depende de la estación de trabajo donde se vaya a aplicar la configuración. Tenga en cuenta que existen
ciertas diferencias entre estaciones de trabajo y servidores, por ejemplo, el reinicio automático del servidor tras una
actualización del programa podría causar daños graves.
84
4.2.1.2.2 Servidor Proxy
En ESET Mail Security, el servidor Proxy se puede configurar en dos secciones diferentes del árbol de configuración
avanzada.
La configuración del servidor Proxy se puede establecer en Varios > Servidor proxy. Al especificar el servidor Proxy
en este nivel, se define la configuración global del servidor Proxy para ESET Mail Security. Todos los módulos que
requieran conexión a Internet utilizarán estos parámetros.
Para especificar la configuración del servidor Proxy en este nivel, seleccione la casilla de verificación Conexión
mediante servidor Proxy y, a continuación, introduzca la dirección del servidor Proxy en el campo Servidor Proxy,
así como el número de puerto del servidor Proxy.
Si la comunicación con el servidor Proxy requiere autenticación, seleccione la casilla de verificación El servidor
Proxy requiere autenticación e introduzca un nombre de usuario y una contraseña válidos en los campos
correspondientes. Haga clic en el botón Detectar servidor Proxy para detectar y especificar la configuración del
servidor Proxy de forma automática. Se copiarán los parámetros especificados en Internet Explorer.
NOTA: esta característica no recupera los datos de autenticación (nombre de usuario y contraseña), de modo que
el usuario debe proporcionarlos.
La configuración del servidor Proxy también se puede establecer en Configuración avanzada de actualizaciones.
Este ajuste se aplica al perfil de actualización especificado. Las opciones de configuración del servidor Proxy de un
perfil de actualización determinado están disponibles en la ficha Proxy HTTP de Configuración avanzada de
actualizaciones. Tiene estas tres opciones:
Utilizar la configuración predeterminada
No usar servidor Proxy
Conexión a través de un servidor Proxy específico (conexión definida por las propiedades de conexión)
Si selecciona la opción Utilizar la configuración predeterminada, se utilizarán las opciones de configuración del
servidor Proxy ya especificadas en la sección Varios > Servidor Proxy del árbol de configuración avanzada (tal como
se describe en la parte superior de este artículo).
85
Seleccione la opción No usar servidor Proxy para especificar que no se utilice ningún servidor Proxy para actualizar
ESET Mail Security.
Seleccione la opción Conexión a través de un servidor Proxy específico si desea actualizar ESET Mail Security con
un servidor Proxy diferente al especificado en la configuración global (Varios > Servidor proxy). En este caso, será
necesario especificar la configuración aquí: Dirección del servidor Proxy, Puerto de comunicación y Nombre de
usuario y Contraseña para el servidor Proxy, si es necesario.
Esta opción también se debe seleccionar si la configuración del servidor Proxy no se ha establecido globalmente,
pero ESET Mail Security se conectará a un servidor Proxy para buscar actualizaciones.
La configuración predeterminada del servidor Proxy es Utilizar la configuración predeterminada.
86
4.2.1.2.3 Conexión a la red local
Para realizar una actualización desde un servidor local en el que se ejecute un sistema operativo basado en NT, es
necesario autenticar todas las conexiones de red de forma predeterminada. En la mayoría de los casos, las cuentas
de sistema local no disponen de los derechos suficientes para la carpeta Mirror (que contiene copias de archivos de
actualización). En este caso, escriba su nombre de usuario y contraseña en la sección de configuración de
actualizaciones o especifique una cuenta con la que el programa pueda acceder al servidor de actualización
(Mirror).
Para configurar este tipo de cuenta, haga clic en la ficha Red local. La sección Conectarse a la red local como
ofrece las opciones Cuenta de sistema (predeterminada), Usuario actual y Especificar usuario.
Seleccione la opción Cuenta de sistema (predeterminada) para utilizar la cuenta de sistema para la autenticación.
Normalmente, no se realiza ningún proceso de autenticación si no se proporcionan datos en la sección de
configuración de actualizaciones.
Para garantizar que el programa se autentique con la cuenta de un usuario registrado actualmente, seleccione
Usuario actual. El inconveniente de esta solución es que el programa no se puede conectar al servidor de
actualizaciones si no hay ningún usuario registrado.
Seleccione Especificar usuario si desea que el programa utilice una cuenta de usuario específica para la
autenticación.
Alerta: cuando se activa la opción Usuario actual o Especificar usuario, puede producirse un error al cambiar la
identidad del programa para el usuario deseado. Por este motivo, se recomienda que inserte los datos de
autenticación de la red local en la sección principal de configuración de actualizaciones, donde los datos de
autenticación se deben introducir de la forma siguiente: nombre_dominio\usuario (si es un grupo de trabajo,
escriba nombre_grupo de trabajo\nombre) y la contraseña. Cuando se actualiza desde la versión HTTP del servidor
local, no es necesaria ninguna autenticación.
87
4.2.1.2.4 Creación de copias de actualización: Mirror
ESET Mail Security le permite crear copias de los archivos de actualización, que puede utilizar para actualizar otras
estaciones de trabajo disponibles en la red. La actualización de estaciones de trabajo cliente desde un servidor
Mirror optimiza el equilibrio de carga de la red y ahorra ancho de banda de la conexión a Internet.
Las opciones de configuración del servidor Mirror local están disponibles (después de agregar una clave de licencia
válida en el administrador de licencias, que se encuentra en la sección Configuración avanzada de ESET Mail
Security) en la sección Configuración avanzada de actualizaciones . Para acceder a esta sección, pulse F5 y haga
clic en Actualización en el árbol de configuración avanzada; a continuación, haga clic en el botón Configuración
situado junto a Configuración avanzada de actualizaciones y seleccione la ficha Mirror).
El primer paso para configurar el Mirror es seleccionar la opción Crear copias de las actualizaciones. Al activar dicha
opción, se activan otras opciones de configuración del Mirror, como la forma de acceder a los archivos actualizados
y la ruta de actualización de los archivos replicados.
Los métodos de activación del Mirror se describen detalladamente en la sección Actualización desde el servidor
Mirror 89 . Recuerde que existen dos métodos básicos para configurar el servidor Mirror: la carpeta que contiene los
archivos de actualización se puede presentar como una carpeta de red compartida o como un servidor HTTP.
La carpeta destinada a almacenar los archivos de actualización para el Mirror se define en la sección Carpeta para
almacenar archivos replicados. Haga clic en Carpeta para buscar una carpeta en el ordenador local o en la carpeta
de red compartida. Si es necesaria una autorización para la carpeta especificada, deberá proporcionar los datos de
autenticación en los campos Nombre de usuario y Contraseña. El nombre de usuario y la contraseña deben
introducirse con el formato Dominio/ Usuario o Grupo de trabajo/Usuario. No olvide que debe introducir las
contraseñas correspondientes.
Cuando configure el Mirror, el usuario también puede establecer las versiones de idioma en las que desee descargar
las copias de actualización. La configuración de la versión de idioma se encuentra en la sección Archivos >
Versiones disponibles.
NOTA: la base de datos Antispam no se puede actualizar desde el servidor Mirror. Para obtener más información
sobre cómo permitir la actualización de la base de datos Antispam, haga clic aquí 37 .
88
4.2.1.2.4.1 Actualización desde el servidor Mirror
Existen dos métodos básicos para configurar el servidor Mirror: la carpeta que contiene los archivos de
actualización se puede presentar como una carpeta de red compartida o como un servidor HTTP.
Acceso al servidor Mirror mediante un servidor HTTP interno
Esta es la configuración predeterminada, especificada en la configuración predefinida del programa. Para permitir el
acceso al Mirror mediante el servidor HTTP, vaya a Configuración avanzada de actualizaciones (ficha Mirror) y
seleccione la opción Crear mirror de actualización.
En la sección Configuración avanzada de la ficha Mirror puede especificar el puerto del servidor donde el servidor
HTTP estará a la escucha, así como el tipo de autenticación que debe utilizar dicho servidor. El valor
predeterminado del puerto del servidor es 2221. La opción Autenticación define el método de autenticación
utilizado para acceder a los archivos de actualización. Están disponibles las opciones siguientes: NINGUNA, Básica
y NTLM. Seleccione la opción Básica para utilizar la codificación base64 con la autenticación básica de nombre de
usuario y contraseña. La opción NTLM proporciona la codificación a través de un método seguro. Para la
autenticación, se utilizará el usuario creado en la estación de trabajo que comparte los archivos actualizados. La
configuración predeterminada es NINGUNA y concede acceso a los archivos de actualización sin necesidad de
autenticación.
Alerta: Si desea permitir el acceso a los archivos de actualización a través del servidor HTTP, la carpeta Mirror debe
encontrarse en el mismo ordenador que la instancia de ESET Mail Security que vaya a crearla.
Cuando la configuración del servidor Mirror esté completa, vaya a las estaciones de trabajo y agregue un servidor de
actualización nuevo con el formato http://dirección IP de_su_servidor:2221. Para hacerlo, siga estos pasos:
Abra la Configuración avanzada de ESET Mail Security y haga clic en la sección Actualización.
Haga clic en Modificar, a la derecha del menú desplegable Servidor de actualización, y agregue un servidor
nuevo con el formato siguiente: http://IP_dirección_de_su_servidor:2221.
Seleccione el servidor que acaba de agregar de la lista de servidores de actualización.
Acceso al servidor Mirror mediante el uso compartido del sistema
En primer lugar, es necesario crear una carpeta compartida en un dispositivo local o de red. A la hora de crear la
carpeta para el servidor Mirror, es necesario proporcionar acceso de "escritura" al usuario que va a guardar los
archivos en la carpeta y acceso de "lectura" para todos los usuarios que van a actualizar ESET Mail Security desde la
carpeta Mirror.
A continuación, configure el acceso al servidor Mirror en la sección Configuración avanzada de actualizaciones
89
(ficha Mirror) y desactive la opción Proporcionar archivos actualizados mediante un servidor HTTP interno. Esta
opción se activa, de forma predeterminada, en el paquete de instalación del programa.
Si la carpeta compartida se encuentra en otro ordenador de la red, debe especificar los datos de autenticación para
acceder al otro ordenador. Para especificar los datos de autenticación, abra la Configuración avanzada de ESET Mail
Security (F5) y haga clic en la sección Actualización. Haga clic en el botón Configuración y, a continuación, en la
ficha LAN. Esta configuración es la misma que se aplica a las actualizaciones, tal como se describe en la sección
Conexión a la red local 87 .
Cuando haya terminado de configurar el servidor Mirror, continúe con las estaciones de trabajo y establezca \
\UNC\RUTA como servidor de actualización. Esta operación se puede completar con los pasos siguientes:
Abra la Configuración avanzada de ESET Mail Security y haga clic en Actualización.
Haga clic en Modificar junto al servidor de actualización y agregue un nuevo servidor con el formato \\UNC\RUTA.
Seleccione el servidor que acaba de agregar en la lista de servidores de actualización.
NOTA: para un correcto funcionamiento, es necesario especificar la ruta a la carpeta Mirror como una ruta UNC. Es
posible que las actualizaciones de las unidades asignadas no funcionen.
4.2.1.2.4.2 Resolución de problemas de actualización del Mirror
En la mayoría de los casos, los problemas durante la actualización desde un servidor Mirror se deben a una de estas
causas: la especificación incorrecta de las opciones de la carpeta Mirror, la introducción de datos de autenticación
no válidos para la carpeta Mirror, la configuración incorrecta de las estaciones de trabajo que intentan descargar
archivos de actualización del Mirror o una combinación de los casos anteriores. A continuación, se ofrece
información general acerca de los problemas más frecuentes durante la actualización desde el Mirror:
ESET Mail Security notifica un error al conectarse al servidor Mirror: probablemente se deba a una especificación
incorrecta del servidor de actualización (ruta de acceso de red a la carpeta Mirror) del que se descargan las
actualizaciones las estaciones de trabajo locales. Para verificar la carpeta, haga clic en el menú Inicio de Windows y
en Ejecutar, especifique el nombre de la carpeta y haga clic en Aceptar. A continuación, debe mostrarse el
contenido de la carpeta.
ESET Mail Security requiere un nombre de usuario y una contraseña: probablemente se deba a la presencia de
datos de autenticación incorrectos (nombre de usuario y contraseña) en la sección de actualización. El nombre de
usuario y la contraseña se utilizan para conceder acceso al servidor de actualización desde el que se actualiza el
programa. Asegúrese de que los datos de autenticación son correctos y se introducen en el formato adecuado. Por
ejemplo, Dominio/Nombre de usuario o Grupo de trabajo/Nombre de usuario, más las contraseñas correspondientes. Si
"Todos" pueden acceder al servidor Mirror, debe ser consciente de que esto no quiere decir que cualquier usuario
tenga acceso. "Todos" no hace referencia a cualquier usuario no autorizado, tan solo significa que todos los usuarios
del dominio pueden acceder a la carpeta. Como resultado, si "Todos" pueden acceder a la carpeta, será igualmente
necesario introducir un nombre de usuario y una contraseña en la sección de configuración de actualizaciones.
ESET Mail Security notifica un error al conectarse al servidor Mirror: la comunicación del puerto definido para el
acceso a la versión HTTP del Mirror está bloqueada.
4.2.2 Cómo crear tareas de actualización
Las actualizaciones se pueden activar manualmente haciendo clic en Actualizar la base de firmas de virus ahora,
en la ventana principal que se muestra al hacer clic en la opción Actualización del menú principal.
Las actualizaciones también se pueden ejecutar como tareas programadas. Para configurar una tarea programada,
haga clic en Herramientas > Planificador de tareas. Las siguientes tareas están activadas de forma
predeterminada en ESET Mail Security:
Actualización automática de rutina
Actualización automática al detectar la conexión por módem
Actualización automática después del registro del usuario
Todas las tareas de actualización se pueden modificar en función de sus necesidades. Además de las tareas de
actualización predeterminadas, se pueden crear nuevas tareas de actualización con una configuración definida por
el usuario. Para obtener más información acerca de la creación y la configuración de tareas de actualización,
consulte la sección Planificador de tareas 91 .
90
4.3 Planificador de tareas
El Planificador de tareas está disponible si ESET Mail Security tiene activado el modo avanzado. El Planificador de
tareas se puede encontrar en el menú principal de ESET Mail Security, en Herramientas, y contiene una lista de
todas las tareas programadas y sus propiedades de configuración, como la fecha, la hora y el perfil de análisis
predefinidos utilizados.
De forma predeterminada, en el Planificador de tareas se muestran las siguientes tareas programadas:
Actualización automática de rutina
Actualización automática al detectar la conexión por módem
Actualización automática después del registro del usuario
Verificación de la ejecución de archivos en el inicio (tras el registro del usuario)
Verificación de la ejecución de archivos en el inicio (tras la correcta actualización de la base de firmas de
virus)
Para modificar la configuración de una tarea programada existente (tanto predeterminada como definida por el
usuario), haga clic con el botón derecho en la tarea y, a continuación, haga clic en Modificar; o seleccione la tarea
que desea modificar y haga clic en el botón Modificar.
4.3.1 Finalidad de las tareas programadas
El planificador de tareas administra e inicia las tareas programadas con la configuración y las propiedades
predefinidas. La configuración y las propiedades contienen información como la fecha y la hora, así como los
perfiles especificados que se van a utilizar durante la ejecución de la tarea.
91
4.3.2 Creación de tareas nuevas
Para crear una tarea nueva en el Planificador de tareas, haga clic en el botón Agregar o haga clic con el botón
derecho y seleccione Agregar en el menú contextual. Están disponibles cinco tipos de tareas programadas:
Ejecutar aplicación externa
Análisis de archivos durante el inicio del sistema
Crear un informe del estado del sistema
Análisis del ordenador a petición
Actualización
La actualización es una de las tareas programadas más frecuentes, por lo que explicaremos cómo se agrega una
nueva tarea de actualización.
En el menú desplegable Tarea programada, seleccione Actualización. Haga clic en Siguiente para introducir el
nombre de la tarea en el campo Nombre de la tarea . Seleccione la frecuencia de la tarea Están disponibles las
opciones siguientes: Una vez, Reiteradamente, Diariamente, Semanalmente y Cuando se cumpla la condición.
Según la frecuencia seleccionada, se le solicitarán diferentes parámetros de actualización. A continuación, defina la
acción que debe llevarse a cabo si la tarea no se puede realizar o completar a la hora programada. Están disponibles
las tres opciones siguientes:
Esperar a la próxima hora programada
Ejecutar la tarea tan pronto como sea posible
Ejecutar la tarea inmediatamente si el tiempo transcurrido desde la última ejecución supera el intervalo
especificado (el intervalo se puede definir en el cuadro Intervalo de la tarea).
En el paso siguiente, se muestra una ventana de resumen con información sobre la tarea programada actual; la
opción Ejecutar tarea con parámetros específicos debería activarse automáticamente. Haga clic en el botón
Finalizar.
Aparecerá un cuadro de diálogo que permite al usuario elegir los perfiles que desea utilizar para la tarea
programada. En este paso, el usuario puede especificar un perfil principal y otro alternativo, que se utilizará si la
tarea no se puede completar con el perfil principal. Para confirmar, haga clic en Aceptar en la ventana Perfiles de
actualización. La nueva tarea se agregará a la lista de tareas programadas actualmente.
92
4.4 Cuarentena
La tarea fundamental de la cuarentena es almacenar de forma segura los archivos infectados. Los archivos deben
ponerse en cuarentena si no es posible desinfectarlos, si no es seguro ni aconsejable eliminarlos o si ESET Mail
Security los detecta incorrectamente como infectados.
Es posible poner en cuarentena cualquier archivo. La cuarentena se recomienda cuando el comportamiento de un
archivo es sospechoso y el análisis no lo ha detectado. Los archivos en cuarentena se pueden enviar para su análisis
a los laboratorios de ESET.
Los archivos almacenados en la carpeta de cuarentena se pueden ver en una tabla que muestra la fecha y la hora en
que se pusieron en cuarentena, la ruta a la ubicación original del archivo infectado, su tamaño en bytes, el motivo (
agregado por el usuario) y el número de amenazas (por ejemplo, si se trata de un archivo que contiene varias
amenazas).
4.4.1 Copiar archivos en cuarentena
ESET Mail Security pone los archivos eliminados en cuarentena automáticamente (si no ha cancelado esta opción
en la ventana de alerta). Si lo desea, puede poner en cuarentena cualquier archivo sospechoso de forma manual;
para ello, haga clic en el botón Poner en cuarentena. En este caso, el archivo original no se elimina de su ubicación
original. El menú contextual también se puede utilizar con este fin: haga clic con el botón derecho en la ventana
Cuarentena y seleccione Agregar.
4.4.2 Restauración de archivos de cuarentena
Los archivos puestos en cuarentena se pueden restaurar a su ubicación original. Utilice la característica Restaurar
para restaurar dichos archivos. Restaurar está disponible en el menú contextual que se abre al hacer clic con el
botón derecho del ratón en la ventana Cuarentena. El menú contextual también ofrece la opción Restaurar a, que
le permite restaurar un archivo en una ubicación distinta a la original.
NOTA: si el programa ha puesto en cuarentena un archivo no dañino por error, exclúyalo del análisis después de
restaurarlo y enviarlo al servicio de atención al cliente de ESET.
93
4.4.3 Envío de un archivo a cuarentena
Si ha puesto en cuarentena un archivo sospechoso que el programa no ha detectado o si un archivo se ha evaluado
incorrectamente como infectado (por ejemplo, por el análisis heurístico del código) y, consecuentemente, este se
ha puesto en cuarentena, envíe el archivo al laboratorio de ESET. Para enviar un archivo de cuarentena, haga clic
con el botón derecho del ratón en el archivo y seleccione Enviar para su análisis en el menú contextual.
94
4.5 Archivos de registro
Los registros almacenan información sobre sucesos importantes: amenazas detectadas, registros de los análisis a
petición y residentes e información del sistema.
Los registros de protección antispam y de listas grises (situados debajo de otros registros en Herramientas >
Archivos de registro) contienen información detallada sobre los mensajes que se analizaron y las acciones
realizadas en dichos mensajes. Los registros pueden ser muy útiles cuando se buscan mensajes de correo
electrónico no entregados, para averiguar por qué un mensaje se marcó como spam, etc.
Antispam
Todos los mensajes que ESET Mail Security clasifique como spam o posible spam se registran aquí.
95
Descripción de las columnas:
Fecha y hora: fecha y hora de la entrada en el registro de antispam.
Remitente: dirección del remitente.
Destinatario: dirección del destinatario.
Asunto: asunto del mensaje.
Nivel: nivel de spam asignado al mensaje (de 0 a 100).
Detalle: es el indicador que provocó la clasificación como spam del mensaje. Se muestra el indicador más fuerte. Si
desea ver otros indicadores, haga doble clic en la entrada. Se abrirá la ventana Detalle con los demás indicadores
organizados en orden descendente según su fuerza.
La URL es conocida como emisora de
spam
Las direcciones URL de los mensajes son, a menudo, una indicación de
spam.
Formato HTML (fuentes, colores, etc.) El formato de los elementos de la parte HTML del mensaje muestra
signos característicos del spam (tipo y tamaño de fuente, color, etc.).
Consejos sobre spam: Ofuscación
Las palabras típicas del corre no deseado suelen enmascararse con otros
caracteres. Un ejemplo típico es la palabra "Viagra", que a menudo se
escribe como "V1agra" para burlar la detección de antispam.
Spam con tipo de imagen HTML
Es frecuente que los mensajes no deseados se envíen como imágenes
para evitar la aplicación de métodos de detección de spam. Por lo
general, estas imágenes contienen enlaces interactivos a páginas web.
Dominio de servicio de alojamiento con La dirección URL contiene el dominio de servicio de alojamiento.
formato de URL
Palabra clave propia del spam
El mensaje contiene palabras típicas del correo no deseado.
Incoherencia en el encabezado del
correo electrónico
La información del encabezado se modifica para que el origen no coincida
con el remitente original.
Virus
El mensaje contiene un archivo adjunto sospechoso.
Phish
El mensaje contiene texto típico de los mensajes de phishing.
Réplica
El mensaje contiene texto típico de una categoría de spam que se dedica
a ofrecer imitaciones.
Indicador de spam general
El mensaje contiene palabras o caracteres típicos del spam, como
"Querido amigo", "hola, ganador", "!!!", etc.
Indicador de correo basura
Este indicador tiene la función opuesta a los demás indicadores de la
lista: analiza los elementos característicos del correo solicitado normal.
Baja el nivel general de spam.
Indicador de spam no específico
El mensaje contiene otros elementos de spam, como la codificación
base64.
Frases de spam personalizadas
Otras frases de spam típicas.
La URL está en la lista negra
La dirección URL del mensaje está en una lista negra.
La IP %s está en la lista negra en
tiempo real
La dirección IP ... está en una lista negra en tiempo real (RBL).
La URL %s está en la lista negra basada La dirección URL ... está en una lista negra basada en DNS (DNSBL).
en DNS
La URL %s está en la lista negra en
tiempo real o el servidor no está
autorizado para enviar correo
96
La dirección URL ... está en una lista negra en tiempo real, o el servidor
no tiene los privilegios necesarios para enviar mensajes de correo
electrónico. Las direcciones que formaban parte de la ruta del correo
electrónico se cotejan con la lista RBL. Se comprueban los derechos de
conexión a servidores de correo públicos de la última dirección. Si no es
posible detectar derechos de conexión válidos, significa que la dirección
está en la lista LBL. Los mensajes marcados como spam a causa de un
indicador LBL muestran el texto siguiente en el campo Detalle: "el
servidor no está autorizado para enviar correo".
Acción: acción realizada en el mensaje. Posibles acciones:
Retenido
No se ha realizado ninguna acción en el mensaje.
En cuarentena
El mensaje se ha movido a la carpeta de cuarentena.
Desinfectado y en cuarentenaEl virus se ha eliminado del mensaje, que se ha puesto en cuarentena.
Rechazado
Se ha denegado el mensaje y se ha enviado una respuesta SMTP de rechazo
remitente.
Eliminado
El mensaje se ha eliminado con el método de colocación silenciosa
19
19
al
.
Recibido: fecha y hora en que el servidor recibió el mensaje.
NOTA: si los mensajes se reciben a través de un servidor de correo electrónico, los datos indicados en los campos
Fecha y hora y Recibido son prácticamente iguales.
Creación de listas grises
Todos los mensajes evaluados con el método de listas grises se incluyen en este registro.
Descripción de las columnas:
Fecha y hora: fecha y hora de la entrada en el registro de antispam.
Dominio HELO: nombre de dominio que utiliza el servidor de envío para identificarse ante el servidor receptor.
Dirección IP: dirección IP del remitente.
Remitente: dirección del remitente.
Destinatario: dirección del destinatario.
Acción: puede contener los estados siguientes:
Rechazado
El mensaje entrante se rechazó con el precepto básico de la lista gris (primer
intento de entrega).
Rechazado (sin comprobar)
El servidor de envío entregó el mensaje entrante de nuevo, pero aún no ha
transcurrido el límite de tiempo para denegar la conexión (Límite de tiempo para
97
el bloqueo de la conexión inicial).
Comprobado
El servidor de envío entregó el mensaje entrante varias veces, ha transcurrido el
Límite de tiempo para el bloqueo de la conexión inicial y el mensaje se ha
comprobado y entregado correctamente. Consulte también la sección Agente de
transporte 38 .
Tiempo restante: tiempo que falta para alcanzar el Límite de tiempo para el bloqueo de la conexión inicial.
Amenazas detectadas
El registro de amenazas ofrece información detallada sobre las amenazas detectadas por los módulos de ESET Mail
Security. La información incluye el momento de la detección, el tipo de análisis, el tipo de objeto, el nombre del
objeto, el nombre de la amenaza, la ubicación, la acción ejecutada y el nombre del usuario registrado en el
momento en que se detectó la amenaza. Para copiar o borrar una o más líneas del registro (o para borrar el registro
completo), utilice el menú contextual (clic con el botón derecho en el elemento).
Sucesos
El registro de sucesos contiene información sobre sucesos y errores que se produjeron en el programa. Con
frecuencia, la información aquí disponible puede ayudarle a encontrar una solución para un problema del
programa.
Análisis del ordenador a petición
El registro de análisis guarda información sobre los resultados de análisis manuales o planeados. Cada línea se
corresponde con un control informático individual. Incluye la siguiente información: fecha y hora del análisis,
número total de archivos analizados, infectados y desinfectados, y estado actual del análisis.
En Registros de análisis a petición, haga doble clic en la entrada del registro para mostrar su contenido detallado
en una ventana independiente.
Utilice el menú contextual (clic con el botón derecho) para copiar una o más entradas marcadas (en todos los tipos
de registros).
4.5.1 Filtrado de registros
El filtrado de registros es una característica útil para encontrar registros en los archivos de registro, sobre todo
cuando hay muchos registros y resulta complicado encontrar información específica.
El filtrado le permite escribir una cadena de caracteres con lo que desea filtrar, especificar las columnas que desea
consultar, seleccionar los tipos de registro y definir un período de tiempo para reducir el número de registros. Al
especificar determinadas opciones de filtro, en la ventana Archivos de registro solo se muestran los registros
pertinentes (según estas opciones de filtro), de modo que el acceso es más rápido y sencillo.
Para abrir la ventana Filtrado de registros, pulse el botón Filtrar en Herramientas > Archivos de registro o utilice
las teclas de acceso directo Ctrl + Shift + F.
NOTA: para buscar un registro determinado, también puede utilizar la funcionalidad Buscar en el registro 100 , o
combinarla con Filtrado de registros.
98
Al especificar determinadas opciones de filtro, en la ventana Archivos de registro solo se muestran los registros
pertinentes (según estas opciones de filtro). Esta función delimita la búsqueda de registros y, por lo tanto, le
permite encontrar lo que busca con mayor facilidad. Cuanto más específicas sean las opciones de filtro, más
concretos serán los resultados.
Qué: escriba lo que desea buscar en una cadena de caracteres (palabra completa o parcial). Solo se mostrarán los
registros que contengan dicha cadena. Los demás registros no se mostrarán, para así facilitar la lectura.
Buscar en columnas: seleccione las columnas que se tendrán en cuenta en el filtrado. Puede seleccionar las
columnas que desee para el filtrado. De forma predeterminada, están seleccionadas todas las columnas:
Tiempo
Módulo
Suceso
Usuario
Tipos de registro: le permite seleccionar el tipo de registros que desea ver. Puede seleccionar un tipo de registro
determinado, varios tipos de registro al mismo tiempo o todos los registros (opción predeterminada):
Diagnóstico
Información
Alerta
Error
Grave
Período de tiempo: utilice esta opción para filtrar los registros por período de tiempo. Puede elegir una de estas
opciones:
Registro completo (predeterminada): no filtra por período de tiempo, muestra todo el registro.
Último día
Última semana
Último mes
Intervalo: esta opción le permite especificar el período de tiempo exacto (fecha y hora) para que se muestren
únicamente los registros realizados en un período de tiempo determinado.
Además de las opciones de filtrado anteriores, están disponibles las siguientes opciones:
Solo palabras completas: muestra únicamente los registros que coinciden totalmente con la cadena especificada
en el cuadro de texto Qué.
Distinguir mayúsculas y minúsculas: muestra únicamente los registros que coinciden con la cadena especificada
en el cuadro de texto Qué y utilizan las mismas mayúsculas y minúsculas.
Activar filtrado inteligente: utilice esta opción para permitir que ESET Mail Security utilice sus propios métodos de
filtrado.
Cuando haya terminado de configurar las opciones de filtrado, pulse el botón Aceptar para aplicar el filtro. En la
99
ventana Archivos de registro se muestran únicamente los registros pertinentes según las opciones de filtro.
4.5.2 Buscar en el registro
La opción Filtrado de registros 98 se puede combinar con la función de búsqueda en archivos de registro, aunque
esta última también se puede utilizar por separado. Esta función es útil cuando se buscan registros específicos. Al
igual que el filtrado de registros, esta función de búsqueda le ayuda a encontrar la información que busca y es
especialmente útil cuando hay demasiados registros.
La opción Buscar en el registro le permite escribir una cadena de caracteres con lo que desea filtrar, especificar las
columnas que desea consultar, seleccionar los tipos de registro y definir un período de tiempo para buscar
únicamente los registros realizados en dicho período de tiempo. Al especificar determinadas opciones de búsqueda,
en la ventana Archivos de registro solo se buscan los registros pertinentes (según estas opciones de búsqueda).
Para realizar búsquedas en los registros, pulse las teclas Ctrl + F para abrir la ventana Buscar en el registro.
NOTA: la característica Buscar en el registro se puede combinar con Filtrado de registros 98 . Puede empezar
delimitando el número de registros con Filtrado de registros para, a continuación, realizar la búsqueda únicamente
en los registros filtrados.
Qué: escriba lo que desea buscar en una cadena de caracteres (palabra completa o parcial). Solo se buscarán los
registros que contengan dicha cadena; los demás se omitirán.
Buscar en columnas: seleccione las columnas que se tendrán en cuenta en la búsqueda. Puede seleccionar las
columnas que desee para la búsqueda. De forma predeterminada, están seleccionadas todas las columnas:
Tiempo
Módulo
Suceso
Usuario
Tipos de registro: le permite seleccionar el tipo de registros que desea buscar. Puede seleccionar un tipo de registro
determinado, varios tipos de registro al mismo tiempo o todos los registros (opción predeterminada):
Diagnóstico
Información
Alerta
Error
Grave
100
Período de tiempo: utilice esta opción para buscar únicamente los registros de un período de tiempo específico.
Puede elegir una de estas opciones:
Registro completo (predeterminada): no busca en un período de tiempo determinado, sino en todo el registro.
Último día
Última semana
Último mes
Intervalo: esta opción le permite especificar el período de tiempo exacto (fecha y hora) para que se busquen
únicamente los registros realizados en un período de tiempo determinado.
Además de las opciones de búsqueda anteriores, están disponibles las siguientes opciones:
Solo palabras completas: busca únicamente los registros que coinciden totalmente con la cadena especificada en
el cuadro de texto Qué.
Distinguir mayúsculas y minúsculas: busca únicamente los registros que coinciden con la cadena especificada en
el cuadro de texto Qué y utilizan las mismas mayúsculas y minúsculas.
Buscar hacia arriba: busca de la posición actual hacia arriba.
Una vez que haya configurado las opciones de búsqueda, haga clic en el botón Buscar para iniciar la búsqueda. La
búsqueda se detiene cuando se encuentra el primer registro coincidente. Vuelva a hacer clic en el botón Buscar para
seguir buscando. La búsqueda en los archivos de registro se realiza de arriba abajo, a partir de la posición actual
(registro resaltado).
4.5.3 Mantenimiento de registros
La configuración de registros de ESET Mail Security está disponible en la ventana principal del programa. Haga clic
en Configuración > Muestra las opciones avanzadas de configuración > Herramientas > Archivos de registro.
Puede especificar las siguientes opciones para los archivos de registro:
Eliminar registros automáticamente: las entradas de registro anteriores al número de días especificado se
eliminan de forma automática.
Optimizar los archivos de registro automáticamente: activa la desfragmentación automática de los archivos
de registro si se supera el porcentaje especificado de registros sin utilizar.
Nivel mínimo de detalle al registrar: especifica el nivel de detalle del registro. Opciones disponibles:
- Registros de diagnóstico: registra la información necesaria para ajustar el programa y todos los registros
anteriores.
- Registros informativos: registra los mensajes informativos, incluidos los mensajes de las actualizaciones
realizadas con éxito y todos los registros anteriores.
- Alertas: registra errores graves y mensajes de alerta.
- Errores: solo registra los mensajes "Error al descargar el archivo" y los errores graves.
- Alertas críticas: solo registra los errores graves (errores al iniciar la protección antivirus, etc.).
101
4.6 ESET SysInspector
4.6.1 Introducción a ESET SysInspector
ESET SysInspector es una aplicación que examina el ordenador a fondo y muestra los datos recopilados de forma
exhaustiva. Información como los controladores y aplicaciones instalados, las conexiones de red o entradas de
registro importantes pueden ayudarle a investigar el comportamiento sospechoso del sistema debido a la
incompatibilidad de software o hardware o a la infección de código malicioso.
Puede acceder a ESET SysInspector de dos formas: Desde la versión integrada en soluciones de ESET Security o
descargando la versión independiente (SysInspector.exe) del sitio web de ESET de forma gratuita. Las dos versiones
tiene una función idéntica y los mismos controles del programa. Solo se diferencian en el modo de gestión de los
resultados. Tanto la versión independiente como la versión integrada le permiten exportar instantáneas del
sistema en un archivo .xml y guardarlas en el disco. No obstante, la versión integrada también le permite almacenar
las instantáneas del sistema directamente en Herramientas > ESET SysInspector (salvo ESET Remote
Administrator). Para obtener más información, consulte la sección ESET SysInspector como parte de ESET Mail
Security 113 .
ESET SysInspector tardará un rato en analizar el ordenador; el tiempo necesario puede variar entre 10 segundos y
unos minutos, según la configuración de hardware, el sistema operativo y el número de aplicaciones instaladas en
el ordenador.
4.6.1.1 Inicio de ESET SysInspector
Para iniciar ESET SysInspector simplemente tiene que ejecutar el archivo SysInspector.exe que descargó del sitio web
de ESET. Si ya tiene instalado alguna de las soluciones de seguridad de ESET Security, puede ejecutar ESET
SysInspector directamente desde el menú Inicio (Programas > ESET > ESET Mail Security).
Espere mientras la aplicación examina el sistema. El proceso de inspección puede tardar varios minutos, en función
del hardware de su ordenador y de los datos que se vayan a recopilar.
102
4.6.2 Interfaz de usuario y uso de la aplicación
Para un uso sencillo, la ventana principal se divide en cuatro secciones: Controles de programa, en la parte superior
de la ventana principal; la ventana de navegación, situada a la izquierda; la ventana Descripción, situada a la
derecha en el medio; y la ventana Detalles, situada a la derecha, en la parte inferior de la ventana principal. En la
sección Estado de registro se enumeran los parámetros básicos de un registro (filtro utilizado, tipo de filtro, si el
registro es resultado de una comparación, etc.).
4.6.2.1 Controles de programa
Esta sección contiene la descripción de todos los controles de programa disponibles en ESET SysInspector.
Archivo
Al hacer clic en Archivo, puede guardar el estado actual del sistema para examinarlo más tarde o abrir un registro
guardado anteriormente. Para la publicación, es recomendable que genere un registro Para enviar. De esta forma,
el registro omite la información confidencial (nombre del usuario actual, nombre del ordenador, nombre del
dominio, privilegios del usuario actual, variables de entorno, etc.).
NOTA: los informes almacenados de ESET SysInspector se pueden abrir previamente arrastrándolos y soltándolos
en la ventana principal.
Árbol
Le permite expandir o cerrar todos los nodos, y exportar las secciones seleccionadas al script de servicio.
Lista
Contiene funciones para una navegación más sencilla por el programa y otras funciones como, por ejemplo, la
búsqueda de información en línea.
Ayuda
Contiene información sobre la aplicación y sus funciones.
103
Detalle
Este ajuste modifica la información mostrada en la ventana principal para que pueda trabajar con ella más
fácilmente. El modo "Básico" le permite acceder a la información utilizada para buscar soluciones a problemas
comunes del sistema. En el modo "Medio", el programa muestra menos detalles. En el modo "Completo", ESET
SysInspector muestra toda la información necesaria para solucionar problemas muy específicos.
Filtrado de elementos
Es la mejor opción para buscar entradas de registro o archivos sospechosos en el sistema. Ajuste el control
deslizante para filtrar los elementos por su nivel de riesgo. Si el control deslizante se coloca lo más a la izquierda
posible (nivel de riesgo 1), se mostrarán todos los elementos. Al mover el control deslizante a la derecha, el
programa filtra todos los elementos menos los que tienen un nivel de riesgo inferior al actual y muestra solo los
elementos con un nivel de sospecha superior al mostrado. Si el control deslizante está colocado lo más a la derecha
posible, el programa mostrará solo los elementos dañinos conocidos.
Todos los elementos que tengan un nivel de riesgo entre 6 y 9 pueden constituir un riesgo de seguridad. Si utiliza
una solución de seguridad de ESET, le recomendamos que analice su sistema con ESET Online Scanner cuando ESET
SysInspector encuentre un elemento de este tipo. ESET Online Scanner es un servicio gratuito.
NOTA: el nivel de riesgo de un elemento se puede determinar rápidamente comparando el color del elemento con el
color del control deslizante de nivel de riesgo.
Búsqueda
Esta opción se puede utilizar para buscar rápidamente un elemento específico por su nombre completo o parcial.
Los resultados de la solicitud de búsqueda aparecerán en la ventana Descripción.
Volver
Al hacer clic en la flecha hacia atrás o hacia delante, puede volver a la información mostrada previamente en la
ventana Descripción. Puede utilizar la tecla Retroceso y la tecla de espacio, en lugar de hacer clic en las flechas atrás
y adelante.
Sección de estado
Muestra el nodo actual en la ventana de navegación.
Importante: los elementos destacados en rojo son elementos desconocidos, por eso el programa los marca como
potencialmente peligrosos. Que un elemento aparezca marcado en rojo no significa que deba eliminar el archivo.
Antes de eliminarlo, asegúrese de que el archivo es realmente peligroso o innecesario.
4.6.2.2 Navegación por ESET SysInspector
ESET SysInspector divide los tipos de información en distintas secciones básicas denominadas nodos. Si está
disponible, puede encontrar información adicional expandiendo cada uno de los nodos en subnodos. Para abrir o
contraer un nodo, haga doble clic en el nombre del nodo o haga clic en o , junto al nombre del nodo. A medida
que explora la estructura de árbol de nodos y subnodos en la ventana de navegación, encontrará información
variada de cada nodo en la ventana Descripción. Si examina los elementos en la ventana Descripción, es posible que
se muestre información adicional de cada uno de los elementos en la ventana Detalles.
A continuación, se encuentran las descripciones de los nodos principales de la ventana de navegación e información
relacionada en las ventanas Descripción y Detalles.
Procesos en ejecución
Este nodo contiene información sobre las aplicaciones y los procesos que se ejecutan al generar el registro. En la
ventana Descripción, puede encontrar información adicional de cada proceso como, por ejemplo, bibliotecas
dinámicas utilizadas por el proceso y su ubicación en el sistema, el nombre del proveedor de la aplicación, el nivel de
riesgo del archivo, etc.
La ventana Detalles contiene información adicional de los elementos seleccionados en la ventana Descripción
como, por ejemplo, el tamaño del archivo o su hash.
NOTA: un sistema operativo incluye varios componentes kernel importantes que se ejecutan 24 horas al día, 7 días
de la semana, y proporcionan funciones básicas y esenciales para otras aplicaciones de usuario. En determinados
casos, estos procesos aparecen en la herramienta ESET SysInspector con una ruta de archivo que comienza por \??\.
104
Estos símbolos proporcionan optimización de prelanzamiento de esos procesos; son seguros para el sistema; son
seguros para el sistema.
Conexiones de red
La ventana Descripción contiene una lista de procesos y aplicaciones que se comunican a través de la red utilizando
el protocolo seleccionado en la ventana de navegación (TCP o UDP), así como la dirección remota a la que se
conecta la aplicación. También puede comprobar las direcciones IP de los servidores DNS.
La ventana Detalles contiene información adicional de los elementos seleccionados en la ventana Descripción
como, por ejemplo, el tamaño del archivo o su hash.
Entradas de registro importantes
Contiene una lista de entradas de registro seleccionadas que suelen estar asociadas a varios problemas del sistema,
como las que especifican programas de arranque, objetos auxiliares del navegador (BHO), etc.
En la ventana Descripción, puede encontrar los archivos que están relacionados con entradas de registro
específicas. Puede ver información adicional en la ventana Detalles.
Servicios
La ventana Descripción contiene una lista de archivos registrados como Windows Services (Servicios de Windows).
En la ventana Detalles, puede consultar el modo de inicio definido para el servicio e información específica del
archivo.
Controladores
Una lista de los controladores instalados en el sistema.
Archivos críticos
En la ventana Descripción se muestra el contenido de los archivos críticos relacionados con el sistema operativo
Microsoft Windows.
Tareas del programador del sistema
Contiene una lista de tareas desencadenadas por el Programador de tareas de Windows a una hora o con un
intervalo de tiempo especificados.
Información del sistema
Contiene información detallada sobre el hardware y el software, así como información sobre las variables de
entorno, los derechos de usuario y los registros de sucesos del sistema establecidos.
Detalles del archivo
Una lista de los archivos del sistema importantes y los archivos de la carpeta Archivos de programa. Encontrará
información adicional específica de los archivos en las ventanas Descripción y Detalles.
Acerca de
Información sobre la versión de ESET SysInspector y lista de módulos de programa.
4.6.2.2.1 Accesos directos del teclado
Los accesos directos que se pueden utilizar en ESET SysInspector son:
Archivo
Ctrl + O
Ctrl + S
Abrir el registro existente
guarda los registros creados
Generar
Ctrl + G
Ctrl + H
genera una instantánea estándar del estado del ordenador
genera una instantánea del estado del ordenador que también puede registrar información
confidencial
105
Filtrado de elementos
1, O
2
3
4, U
5
6
7, B
8
9
+
Ctrl + 9
Ctrl + 0
Seguro, se muestran los elementos que tienen un nivel de riesgo de 1 a 9.
Seguro, se muestran los elementos que tienen un nivel de riesgo de 2 a 9.
Seguro, se muestran los elementos que tienen un nivel de riesgo de 3 a 9.
Desconocido, se muestran los elementos que tienen un nivel de riesgo de 4 a 9.
Desconocido, se muestran los elementos que tienen un nivel de riesgo de 5 a 9.
Desconocido, se muestran los elementos que tienen un nivel de riesgo de 6 a 9.
Peligroso, se muestran los elementos que tienen un nivel de riesgo de 7 a 9.
Peligroso, se muestran los elementos que tienen un nivel de riesgo de 8 a 9.
Peligroso, se muestran los elementos que tienen un nivel de riesgo de 9.
Disminuir el nivel de riesgo
aumenta el nivel de riesgo
modo de filtrado, nivel igual o mayor
modo de filtrado, nivel igual únicamente
Ver
Ctrl + 5
Ctrl + 6
Ctrl + 7
Ctrl + 3
Ctrl + 2
Ctrl + 1
Retroceso
Espacio
Ctrl + W
Ctrl + Q
Ver por proveedor, todos los proveedores
ver por proveedor, solo Microsoft
ver por proveedor, todos los demás proveedores
Mostrar todos los detalles
Mostrar la mitad de los detalles
Visualización básica
retrocede un espacio
avanza un espacio
Expandir el árbol
Contraer el árbol
Otros controles
Ctrl + T
Ctrl + P
Ctrl + A
Ctrl + C
Ctrl + X
Ctrl + B
Ctrl + L
Ctrl + R
Ctrl + Z
Ctrl + F
Ctrl + D
Ctrl + E
Ir a la ubicación original del elemento tras seleccionarlo en los resultados de búsqueda
Mostrar la información básica de un elemento
Mostrar la información completa de un elemento
Copiar el árbol del elemento actual
Copiar elementos
Buscar información en Internet acerca de los archivos seleccionados
Abrir la carpeta en la que se encuentra el archivo seleccionado
Abrir la entrada correspondiente en el editor de registros
Copiar una ruta de acceso a un archivo (si el elemento está asociado a un archivo)
activa el campo de búsqueda
Cerrar los resultados de búsqueda
ejecuta el script de servicio
Comparación
Ctrl + Alt + O
Ctrl + Alt + R
Ctrl + Alt + 1
Ctrl + Alt + 2
Ctrl + Alt + 3
Ctrl + Alt + 4
Ctrl + Alt + 5
Ctrl + Alt + C
Ctrl + Alt + N
Ctrl + Alt + P
abre el registro original/comparativo
Cancelar la comparación
Mostrar todos los elementos
muestra solo los elementos agregados, el registro mostrará los elementos presentes en el registro
actual
muestra solo los elementos eliminados, el registro mostrará los elementos presentes en el registro
anterior
muestra solo los elementos sustituidos (archivos incluidos)
muestra solo las diferencias entre registros
muestra la comparación
Mostrar el registro actual
Abrir el registro anterior
Varios
F1
Alt + F4
Alt + Shift + F4
106
Ver la Ayuda
Cerrar el programa
Cerrar el programa sin preguntar
Ctrl + I
Estadísticas del registro
4.6.2.3 Comparar
La característica Comparar permite al usuario comparar dos registros existentes. El resultado de esta característica
es un conjunto de elementos no comunes a ambos registros. Esta opción es útil para realizar un seguimiento de los
cambios realizados en el sistema; se trata de una herramienta útil para detectar la actividad de código malicioso.
Una vez iniciada, la aplicación crea un registro nuevo, que aparecerá en una ventana nueva. Vaya a Archivo ->
Guardar registro para guardar un registro en un archivo. Los archivos de registro se pueden abrir y ver
posteriormente. Para abrir un registro existente, utilice el menú Archivo > Abrir registro. En la ventana principal
del programa, ESET SysInspector muestra siempre un registro a la vez.
La comparación de dos registros le permite ver simultáneamente un registro activo y un registro guardado en un
archivo. Para comparar registros, utilice la opción Archivo -> Comparar registros y elija Seleccionar archivo. El
registro seleccionado se comparará con el registro activo en la ventana principal del programa. El registro
comparativo solo muestra las diferencias entre los dos registros.
NOTA: si compara dos archivos de registro, seleccione Archivo > Guardar registro para guardarlo como archivo
ZIP. Se guardarán ambos archivos. Si abre posteriormente dicho archivo, los registros contenidos en el mismo se
compararán automáticamente.
Junto a los elementos mostrados, ESET SysInspector muestra símbolos que identifican las diferencias entre los
registros comparados.
Los elementos marcados con un solo se encuentran en el registro activo y no están presentes en el registro
comparativo abierto. Los elementos marcados con un están presentes solo en el registro abierto, no en el registro
activo.
Descripción de todos los símbolos que pueden aparecer junto a los elementos:
Nuevo valor que no se encuentra en el registro anterior.
La sección de estructura de árbol contiene valores nuevos.
Valor eliminado que solo se encuentra en el registro anterior.
La sección de estructura de árbol contiene valores eliminados.
Se ha cambiado un valor o archivo.
La sección de estructura de árbol contiene valores o archivos modificados.
Ha disminuido el nivel de riesgo, o este era superior en el registro anterior.
Ha aumentado el nivel de riesgo o era inferior en el registro anterior.
La explicación que aparece en la esquina inferior izquierda describe todos los símbolos, además de mostrar los
nombres de los registros que se están comparando.
Los registros comparativos se pueden guardar en un archivo para consultarlos más adelante.
Ejemplo
Genere y guarde un registro, que incluya información original sobre el sistema, en un archivo con el nombre previo.
xml. Tras realizar los cambios en el sistema, abra ESET SysInspector y deje que genere un nuevo registro. Guárdelo
en un archivo con el nombre actual.xml.
Para realizar un seguimiento de los cambios entre estos dos registros, vaya a Archivo -> Comparar registros. El
programa creará un registro comparativo con las diferencias entre ambos registros.
Se puede lograr el mismo resultado con la siguiente opción de la línea de comandos:
107
SysIsnpector.exe actual.xml previo.xml
4.6.3 Parámetros de la línea de comandos
ESET SysInspector admite la generación de informes desde la línea de comandos con estos parámetros:
/gen
/privacy
/zip
/silent
/help, /?
genera un registro directamente desde la línea de comandos, sin ejecutar la interfaz gráfica de
usuario
genera un registro que no incluye la información confidencial
almacena el registro resultante directamente en el disco, en un archivo comprimido
oculta la barra de progreso del proceso de generación del registro
muestra información acerca de los parámetros de la línea de comandos
Ejemplos
Para cargar un registro determinado directamente en el navegador, utilice: SysInspector.exe "c:\clientlog.xml"
Para generar un registro en una ubicación actual, utilice: SysInspector.exe /gen
Para generar un registro en una carpeta específica, utilice: SysInspector.exe /gen="c:\folder\"
Para generar un registro en una carpeta o ubicación específica, utilice: SysInspector.exe /gen="c:\folder\mynewlog.xml"
Para generar un registro que no incluya la información confidencial directamente como archivo comprimido,
utilice: SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip
Para comparar dos registros, utilice: SysInspector.exe "current.xml" "original.xml"
NOTA: si el nombre del archivo o la carpeta contiene un espacio, debe escribirse entre comillas.
4.6.4 Script de servicio
El script de servicio es una herramienta que ayuda a los clientes que utilizan ESET SysInspector eliminando
fácilmente del sistema los objetos no deseados.
El script de servicio permite al usuario exportar el registro completo de ESET SysInspector o las partes que
seleccione. Después de exportarlo, puede marcar los objetos que desea eliminar. A continuación, puede ejecutar el
registro modificado para eliminar los objetos marcados.
El script de servicio es ideal para los usuarios avanzados con experiencia previa en el diagnóstico de problemas del
sistema. Las modificaciones realizadas por usuarios sin experiencia pueden provocar daños en el sistema operativo.
Ejemplo
Si tiene la sospecha de que el ordenador está infectado por un virus que el antivirus no detecta, siga estas
instrucciones:
Ejecute ESET SysInspector para generar una nueva instantánea del sistema.
Seleccione el primero y el último elemento de la sección de la izquierda (en la estructura de árbol) mientras
mantiene pulsada la tecla Ctrl.
Haga clic con el botón derecho del ratón en los objetos seleccionados y seleccione la opción del menú contextual
Exportar secciones seleccionadas al script de servicio.
Los objetos seleccionados se exportarán a un nuevo registro.
Este es el paso más importante de todo el procedimiento: abra el registro nuevo y cambie el atributo - a + para
todos los objetos que desee eliminar. Asegúrese de que no ha marcado ningún archivo u objeto importante del
sistema operativo.
Abra ESET SysInspector, haga clic en Archivo > Ejecutar script de servicio e introduzca la ruta de acceso al
script.
Haga clic en Aceptar para ejecutar el script.
108
4.6.4.1 Generación de scripts de servicio
Para generar un script, haga clic con el botón derecho del ratón en cualquier elemento del árbol de menús (en el
panel izquierdo) de la ventana principal de ESET SysInspector. En el menú contextual, seleccione la opción Exportar
todas las secciones al script de servicio o la opción Exportar secciones seleccionadas al script de servicio.
NOTA: cuando se comparan dos registros, el script de servicio no se puede exportar.
4.6.4.2 Estructura del script de servicio
En la primera línea del encabezado del script encontrará información sobre la versión del motor (ev), la versión de la
interfaz gráfica de usuario (gv) y la versión del registro (lv). Puede utilizar estos datos para realizar un seguimiento
de los posibles cambios del archivo .xml que genere el script y evitar las incoherencias durante la ejecución. Esta
parte del script no se debe modificar.
El resto del archivo se divide en secciones, donde los elementos se pueden modificar (indique los que procesará el
script). Para marcar los elementos que desea procesar, sustituya el carácter “-” situado delante de un elemento por
el carácter “+”. En el script, las secciones se separan mediante una línea vacía. Cada sección tiene un número y un
título.
01) Running processes (Procesos en ejecución)
En esta sección se incluye una lista de todos los procesos que se están ejecutando en el sistema. Cada proceso se
identifica mediante su ruta UNC y, posteriormente, su código hash CRC16 representado mediante asteriscos (*).
Ejemplo:
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
En este ejemplo se ha seleccionado (marcado con el carácter "+") el proceso module32.exe, que finalizará al ejecutar
el script.
02) Loaded modules (Módulos cargados)
En esta sección se listan los módulos del sistema que se utilizan actualmente.
Ejemplo:
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
En este ejemplo, se marcó el módulo khbekhb.dll con el signo "+". Cuando se ejecute, el script reconocerá los
procesos mediante el módulo específico y los finalizará.
03) TCP connections (Conexiones TCP)
En esta sección se incluye información sobre las conexiones TCP existentes.
Ejemplo:
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]
Cuando se ejecute, el script localizará al propietario del socket en las conexiones TCP marcadas y detendrá el
socket, liberando así recursos del sistema.
04) UDP endpoints (Puntos finales UDP)
En esta sección se incluye información sobre los puntos finales UDP.
109
Ejemplo:
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
Cuando se ejecute, el script aislará al propietario del socket en los puntos finales UDP marcados y detendrá el
socket.
05) DNS server entries (Entradas del servidor DNS)
En esta sección se proporciona información sobre la configuración actual del servidor DNS.
Ejemplo:
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Las entradas marcadas del servidor DNS se eliminarán al ejecutar el script.
06) Important registry entries (Entradas de registro importantes)
En esta sección se proporciona información sobre las entradas de registro importantes.
Ejemplo:
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
Cuando se ejecute el script, las entradas marcadas se eliminarán, reducirán a valores de 0 bytes o restablecerán en
sus valores predeterminados. La acción realizada en cada entrada depende de su categoría y del valor de la clave en
el registro específico.
07) Services (Servicios)
En esta sección se listan los servicios registrados en el sistema.
Ejemplo:
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup:
Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup:
Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup:
Manual
[...]
Cuando se ejecute el script, los servicios marcados y los servicios dependientes se detendrán y desinstalarán.
08) Drivers (Controladores)
En esta sección se listan los controladores instalados.
Ejemplo:
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32
\drivers\adihdaud.sys, state: Running, startup: Manual
[...]
Al ejecutar el script, las unidades seleccionadas se detendrán. Tenga en cuenta que algunas unidades no permiten
su detención.
110
09) Critical files (Archivos críticos)
En esta sección se proporciona información sobre los archivos críticos para el sistema operativo.
Ejemplo:
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
Los elementos seleccionados se eliminarán o restablecerán en sus valores originales.
4.6.4.3 Ejecución de scripts de servicio
Seleccione todos los elementos que desee y, a continuación, guarde y cierre el script. Ejecute el script modificado
directamente desde la ventana principal de ESET SysInspector, con la opción Ejecutar script de servicio del menú
Archivo. Cuando abra un script, el programa mostrará el mensaje siguiente: ¿Está seguro de que desea ejecutar el
script de servicio "%Scriptname%"? Una vez que haya confirmado la selección, es posible que se muestre otra
advertencia para informarle de que el script de servicio que intenta ejecutar no está firmado. Haga clic en Ejecutar
para iniciar el script.
Se abrirá un cuadro de diálogo para indicarle que el script se ha ejecutado correctamente.
Si el script no se puede procesar por completo, se mostrará un cuadro de diálogo con el mensaje siguiente: El script
de servicio se ejecutó parcialmente. ¿Desea ver el informe de errores? Seleccione Sí para ver un informe de
errores completo con todas las operaciones que no se ejecutaron.
Si no se reconoce el script, aparece un cuadro de diálogo con el mensaje siguiente: No se ha firmado el script de
servicio seleccionado. La ejecución de scripts desconocidos y sin firmar podría dañar seriamente los datos del
ordenador. ¿Está seguro de que desea ejecutar el script y llevar a cabo las acciones? Esto podría deberse a que
el script presenta incoherencias (encabezado dañado, título de sección dañado, falta línea vacía entre secciones,
etc.). Vuelva a abrir el archivo del script y corrija los errores o cree un script de servicio nuevo.
4.6.5 Preguntas frecuentes
¿Es necesario contar con privilegios de administrador para ejecutar ESET SysInspector?
ESET SysInspector no requiere privilegios de administrador para su ejecución, pero sí es necesario utilizar una
cuenta de administrador para acceder a parte de la información que recopila. Si lo ejecuta como usuario estándar o
usuario restringido, se recopilará menos información sobre su entorno operativo.
¿ESET SysInspector crea archivos de registro?
ESET SysInspector puede crear un archivo de registro de la configuración de su ordenador. Para guardar uno,
seleccione Archivo > Guardar registro en el menú principal. Los registros se guardar con formato XML. Por defecto,
los archivos se guardan en el directorio %USERPROFILE%\My Documents\, con una convención de nombre de archivo
de "SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML". Si lo desea, puede modificar tanto la ubicación
como el nombre del archivo de registro antes de guardarlo.
¿Cómo puedo ver el contenido del archivo de registro de ESET SysInspector?
Para visualizar un archivo de registro creado por ESET SysInspector, ejecute la aplicación y seleccione Archivo >
Abrir registro en el menú principal. También puede arrastrar y soltar los archivos de registro en la aplicación ESET
SysInspector. Si necesita ver los archivos de registro de ESET SysInspector con frecuencia, le recomendamos que
cree un acceso directo al archivo SYSINSPECTOR.EXE en su escritorio. Para ver los archivos de registro, arrástrelos y
suéltelos en ese acceso directo. Por razones de seguridad, es posible que Windows Vista/7 no permita la opción de
arrastrar y soltar entre ventanas con permisos de seguridad distintos.
111
¿Hay una especificación disponible para el formato de archivo de registro? ¿Y un kit de desarrollo de
software?
Actualmente, no se encuentra disponible ninguna especificación para el formato del archivo de registro, ni un
conjunto de herramientas de programación, ya que la aplicación se encuentra aún en fase de desarrollo. Una vez
que se haya lanzado, podremos proporcionar estos elementos en función de la demanda y los comentarios por
parte de los clientes.
¿Cómo evalúa ESET SysInspector el riesgo que plantea un objeto determinado?
Generalmente, ESET SysInspector asigna un nivel de riesgo a los objetos (archivos, procesos, claves de registro, etc).
Para esto, utiliza una serie de reglas heurísticas que examinan las características de cada uno de ellos y, después,
pondera el potencial de actividad maliciosa. Según estas heurísticas, a los objetos se les asignará un nivel de riesgo
desde el valor "1: seguro" (en color verde) hasta "9: peligroso" (en color rojo). En el panel de navegación que se
encuentra a la izquierda, las secciones estarán coloreadas según el nivel máximo de peligrosidad que presente un
objeto en su interior.
El nivel de riesgo "6: desconocido (en color rojo)", ¿significa que un objeto es peligroso?
Las evaluaciones de ESET SysInspector no garantizan que un objeto sea malicioso. Esta determinación deberá
confirmarla un experto en seguridad informática. ESET SysInspector está diseñado para proporcionar una guía
rápida a estos expertos, con la finalidad de que conozcan los objetos que deberían examinar en un sistema en busca
de algún comportamiento inusual.
¿Por qué ESET SysInspector se conecta a Internet cuando se ejecuta?
Como muchas otras aplicaciones, ESET SysInspector contiene una firma digital que actúa a modo de "certificado".
Esta firma sirve para garantizar que ESET ha desarrollado la aplicación y que esta no se ha alterado. Con el fin de
comprobar la veracidad del certificado, el sistema operativo contacta con una autoridad de certificados para
comprobar la identidad del editor del software. Este es el comportamiento normal de todos los programas firmados
digitalmente en Microsoft Windows.
¿En qué consiste la tecnología Anti-Stealth?
La tecnología Anti Stealth proporciona un método efectivo de detección de programas peligrosos (rootkits).
Si el sistema recibe el ataque de código malicioso que se comporta como un programa peligroso (rootkit), los datos
del usuario podrían dañarse o ser robados. Sin una herramienta especial contra programas peligrosos (rootkit),
resulta casi imposible detectar programas peligrosos.
¿Por qué a veces hay archivos con la marca "Firmado por MS" que, al mismo tiempo, tienen una entrada de
"Nombre de compañía" diferente?
Al intentar identificar la firma digital de un archivo ejecutable, ESET SysInspector comprueba primero si el archivo
contiene una firma digital. Si se encuentra una firma digital, se validará el archivo utilizando esa información. Si no
se encuentra ninguna firma digital, el ESI comenzará a buscar el archivo CAT correspondiente (Security Catalog - %
systemroot%\system32\catroot) que contenga información sobre el archivo ejecutable en proceso. Si se encuentra el
archivo CAT, la firma digital de dicho archivo se utilizará para el proceso de validación del archivo ejecutable.
Esta es la razón por la que a veces encontramos archivos marcados como "Firmados por MS" pero con un "Nombre
de compañía" diferente.
Ejemplo:
Windows 2000 incluye la aplicación HyperTerminal, que se encuentra en C:\Archivos de programa\Windows NT. El
archivo ejecutable de la aplicación principal no está firmado digitalmente; sin embargo, ESET SysInspector lo marca
como archivo firmado por Microsoft. La razón es la referencia que aparece en C:\WINNT\system32
\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat que lleva a C:\Archivos de programa\Windows NT\hypertrm.
exe (archivo ejecutable principal de la aplicación HyperTerminal), y sp4.cat está digitalmente firmado por Microsoft.
112
4.6.6 ESET SysInspector como parte de ESET Mail Security
Para abrir la sección ESET SysInspector en ESET Mail Security, haga clic en Herramientas > ESET SysInspector. El
sistema de administración de la ventana de ESET SysInspector es parecido al de los registros de análisis del
ordenador o las tareas programadas. Se puede acceder a todas las operaciones con instantáneas del sistema (como
crear, ver, comparar, eliminar y exportar) simplemente haciendo clic una o dos veces.
La ventana de ESET SysInspector contiene información básica acerca de las instantáneas creadas, como la hora de
creación, un breve comentario, el nombre del usuario que ha creado la instantánea y el estado de esta.
Para comparar, crear o eliminar instantáneas, utilice los botones correspondientes ubicados debajo de la lista de
instantáneas de la ventana de ESET SysInspector. Estas opciones también están disponibles en el menú contextual.
Para ver la instantánea del sistema seleccionada, utilice la opción del menú contextual Mostrar. Para exportar la
instantánea seleccionada a un archivo, haga clic con el botón derecho del ratón en ella y seleccione Exportar.
A continuación, se muestra una descripción detallada de las opciones disponibles:
Comparar: le permite comparar dos registros existentes. Esta opción es ideal para realizar un seguimiento de los
cambios entre el registro actual y el anterior. Para poder aplicar esta opción, debe seleccionar dos instantáneas
con el fin de compararlas.
Crear: crea un registro nuevo. Debe introducir antes un breve comentario acerca del registro. Para ver el progreso
de la creación de instantáneas (de la instantánea que se está generando), consulte la columna Estado. Todas las
instantáneas completadas aparecen marcadas con el estado Creado.
Eliminar/Eliminar todo: elimina entradas de la lista.
Exportar: guarda la entrada seleccionada en un archivo XML (y también en una versión comprimida).
4.7 ESET SysRescue
ESET SysRescue es una utilidad que le permite crear un disco de inicio que contenga una de las soluciones de ESET
Security, ya sea ESET NOD32 Antivirus, ESET Smart Security o incluso alguno de los productos orientados al
servidor. La principal ventaja de ESET SysRescue es que, aun teniendo un acceso directo al disco y a todo el sistema
de archivos, la solución ESET Security se puede ejecutar con independencia del sistema operativo host. Gracias a
esto, es posible eliminar las amenazas que normalmente no se podrían suprimir como, por ejemplo, cuando el
sistema operativo se está ejecutando.
4.7.1 Requisitos mínimos
ESET SysRescue funciona en el entorno de preinstalación de Microsoft Windows (Windows PE) versión 2.x, que se
basa en Windows Vista.
Windows PE forma parte de los paquetes gratuitos Kit de instalación automatizada de Windows (Windows AIK) o
Windows Assessment and Deployment Kit (Windows ADK), por lo que es necesario instalar Windows AIK o ADK
antes de crear ESET SysRescue (<%http://go.eset.eu/AIK%>) o (<%http://go.eset.eu/ADK%>). Se necesita un kit u
otro en función de la versión utilizada del sistema operativo. Debido a la compatibilidad con la versión de 32 bits de
Windows PE, es necesario utilizar un paquete de instalación de ESET Security de 32 bits para la creación de ESET
SysRescue en sistemas de 64 bits. ESET SysRescue es compatible con Windows AIK 1.1 y versiones posteriores, así
como con Windows ADK.
NOTA: como el tamaño de Windows AIK es superior a 1 GB y el de Windows ADK superior a 1,3 GB, se requiere una
conexión a Internet de alta velocidad para que no haya problemas en la descarga.
ESET SysRescue está disponible en las soluciones de ESET Security versión 4.0 y versiones posteriores.
ESET SysRescue es compatible con los siguientes sistemas operativos:
Windows Server 2003 Service Pack 1 con KB926044
Windows Server 2003 Service Pack 2
Windows Server 2008
Windows Server 2012
Windows AIK admite:
Windows Server 2003
Windows Server 2008
113
Windows ADK admite:
Windows Server 2012
4.7.2 Cómo crear un CD de recuperación
Para iniciar el asistente de ESET SysRescue, haga clic en Inicio > Programas > ESET > ESET Mail Security > ESET
SysRescue.
En primer lugar, el asistente comprueba si están instalados Windows AIK o Windows ADK y un dispositivo
adecuado para la creación de medios de arranque. Si Windows AIK o Windows ADK no están instalados en el
ordenador (o están dañados o mal instalados), el asistente le ofrecerá la opción de instalarlos o de escribir la ruta de
acceso a la carpeta de Windows AIK (<%http://go.eset.eu/AIK%>) o Windows ADK (<%http://go.eset.eu/ADK%>).
NOTA: como el tamaño de Windows AIK es superior a 1 GB y el de Windows ADK superior a 1,3 GB, se requiere una
conexión a Internet de alta velocidad para que no haya problemas en la descarga.
En el siguiente paso 114 , seleccione el medio de destino donde se ubicará ESET SysRescue.
4.7.3 Selección de objetivo
Además de en CD, DVD y USB, también puede guardar ESET SysRescue en un archivo ISO. Posteriormente, puede
grabar esta imagen ISO en un CD o DVD, o utilizarla de algún otro modo (por ejemplo, en un entorno virtual como
VMware o VirtualBox).
Si selecciona USB como medio de destino, es posible que la función de inicio no funcione en determinados
ordenadores. En algunas versiones de la BIOS se pueden producir problemas de comunicación entre la
administración de arranque y la BIOS (p. ej., en Windows Vista). El arranque tiene lugar con el siguiente mensaje de
error:
Archivo: \boot\bcd
estado: 0xc000000e
información: se ha producido un error al intentar leer los datos de la configuración de arranque.
Si le aparece este mensaje, le recomendamos que seleccione como medio un CD en lugar de un dispositivo USB.
4.7.4 Configuración
Antes de iniciar la creación de ESET SysRescue, el asistente de instalación muestra los parámetros de compilación
en el último paso del asistente de ESET SysRescue. Haga clic en el botón Cambiar para modificar estos parámetros.
Entre las opciones disponibles están:
Carpetas 114
Antivirus ESET 115
Avanzadas 115
Protocolo de Internet 115
Dispositivo de arranque USB 116 (cuando se selecciona el dispositivo USB de destino)
Grabación 116 (cuando se selecciona la unidad de CD/DVD de destino)
El botón Crear no está activo si no se especifica ningún paquete de instalación MSI, o si no se instala ninguna
solución de seguridad de ESET Security en el ordenador. Para seleccionar un paquete de instalación, haga clic en el
botón Cambiar y vaya a la ficha ESET Antivirus. Además, si no rellena el nombre de usuario y la contraseña (
Cambiar > ESET Antivirus), el botón Crear aparecerá atenuado.
4.7.4.1 Carpetas
Carpeta temporal es un directorio de trabajo que contiene los archivos necesarios durante la compilación de ESET
SysRescue.
Carpeta ISO es una carpeta donde el archivo ISO resultante se guarda una vez completada la compilación.
La lista de esta ficha muestra todas las unidades de red locales y asignadas, así como el espacio libre disponible. Si
alguna de las carpetas se ubica en una unidad con espacio libre insuficiente, le recomendamos que seleccione otra
unidad que tenga disponible más espacio libre. De lo contrario, la compilación puede finalizar antes de tiempo por
falta de espacio libre en el disco.
Aplicaciones externas: le permite especificar programas adicionales que se ejecutarán o instalarán tras el inicio de
114
un medio de ESET SysRescue.
Incluir aplicaciones externas: le permite agregar programas externos a la compilación de ESET SysRescue.
Carpeta seleccionada: carpeta donde se encuentran los programas que agregarán al disco de ESET SysRescue.
4.7.4.2 Antivirus ESET
Para crear un CD de ESET SysRescue, puede seleccionar dos orígenes de archivos ESET para la compilación.
Carpeta ESS/EAV: archivos que ya se encuentran en la carpeta del ordenador donde se ha instalado la solución
ESET Security.
Archivo MSI: se utilizan los archivos que se encuentran en el instalador de MSI.
A continuación, tiene la posibilidad de actualizar la ubicación de los archivos (.nup). Normalmente, debe
establecerse la opción predeterminada: Carpeta ESS/EAV/Archivo MSI. En algunos casos, se puede elegir una
Carpeta de actualización personalizada; por ejemplo, para utilizar una versión anterior o más reciente de la base
de firmas de virus.
Puede utilizar una de las fuentes de nombre de usuario y contraseña que aparecen a continuación:
ESS/EAV instalado: el nombre de usuario y la contraseña se copian de la versión instalada actualmente de la
solución ESET Security.
Del usuario: se utilizan el nombre de usuario y la contraseña introducidos en los cuadros de texto
correspondientes.
NOTA: la solución ESET Security presente en el CD de ESET SysRescue se actualiza a través de Internet o mediante
la solución ESET Security instalada en el ordenador donde se ejecuta el CD de ESET SysRescue.
4.7.4.3 Configuración adicional
En la ficha Avanzadas, puede optimizar el CD de ESET SysRescue en función de la cantidad de memoria del
ordenador. Seleccione 576 MB o más para escribir el contenido del CD en la memoria operativa (RAM). Si
selecciona menos de 576 MB, se accederá temporalmente al CD de recuperación cuando WinPE se ejecute.
En la sección Controladores externos puede insertar controladores para su hardware específico (normalmente, un
adaptador de red). WinPE se basa en Windows Vista SP1, que es compatible con un gran abanico de productos de
hardware, pero a veces el hardware no se reconoce. Si esto sucede, tendrá que agregar el controlador
manualmente. Hay dos maneras de agregar un controlador a la compilación de ESET SysRescue: manualmente
(con el botón Agregar) y de forma automática (con el botón Búsq. auto.). Si lo agrega manualmente, debe
seleccionar la ruta de acceso al archivo .inf correspondiente (el archivo *.sys aplicable también debe estar presente
en esta carpeta). Si lo agrega automáticamente, el controlador se busca de forma automática en el sistema
operativo del ordenador en cuestión. La adición automática se recomienda únicamente cuando ESET SysRescue se
utiliza en un ordenador que tiene el mismo adaptador de red que el ordenador con el que se creó el CD de ESET
SysRescue. Durante la creación de ESET SysRescue, el controlador se agrega a la compilación para que el usuario no
tenga que buscarlo posteriormente.
4.7.4.4 Protocolo de Internet
En esta sección puede configurar la información básica de la red y conexiones predefinidas según ESET SysRescue.
Seleccione Dirección IP privada automática para obtener la dirección IP automáticamente del servidor DHCP
(Protocolo de configuración dinámica de host).
Esta conexión de red también puede utilizar una dirección IP especificada manualmente (llamada dirección IP
estática). Seleccione Personalizar para configurar los ajustes de IP adecuados. Si selecciona esta opción, debe
especificar una Dirección IP y, para las conexiones de red local y de Internet de alta velocidad, una Máscara de
subred. En Servidor DNS preferido y Servidor DNS alternativo, escriba las direcciones del servidor DNS primario y
secundario.
115
4.7.4.5 Dispositivo de arranque USB
Si ha seleccionado un dispositivo USB como medio de destino, puede seleccionar uno de los dispositivos USB
disponibles en la ficha Dispositivo de arranque USB (en caso de que haya más dispositivos USB).
Seleccione el Dispositivo de destino para la instalación de ESET SysRescue.
Alerta: el dispositivo USB seleccionado se formateará durante la creación de ESET SysRescue, y se eliminarán todos
los datos que contenga.
Si selecciona la opción Formato rápido, el proceso de formateo eliminará todos los archivos de la partición, pero no
comprobará la presencia de sectores con errores en el disco. Utilice esta opción si el dispositivo USB ya se ha
formateado anteriormente y está seguro de que no presenta daños.
4.7.4.6 Grabar
Si ha seleccionado CD/DVD como medio de destino, puede especificar los parámetros de grabación adicionales en la
ficha Grabar.
Eliminar archivo ISO: marque esta opción para eliminar el archivo ISO temporal una vez que se haya creado el CD
de ESET SysRescue.
Eliminación activada: le permite elegir el borrado rápido o el completo.
Dispositivo de grabación: seleccione la unidad que se utilizará para grabar.
Alerta: esta es la opción predeterminada. Si se utiliza un CD/DVD regrabable, se borrarán todos los datos
contenidos en dicho CD/DVD.
La sección Medio contiene información sobre el medio introducido en el dispositivo de CD/DVD.
Velocidad de grabación: seleccione la velocidad deseada en el menú desplegable. Las capacidades de su dispositivo
de grabación y el tipo de CD/DVD utilizado deben tenerse en cuenta a la hora de seleccionar la velocidad de
grabación.
4.7.5 Trabajo con ESET SysRescue
Para que el CD/DVD/USB de recuperación funcione eficazmente, debe iniciar el ordenador desde el medio de
arranque de ESET SysRescue. La prioridad de arranque se puede modificar en el BIOS. También puede ejecutar el
menú de inicio durante el inicio del ordenador. Normalmente, esto se hace con una de las teclas F9-F12, en función
de la versión de la placa base/BIOS que utilice.
Después de arrancar desde un medio de arranque, la solución ESET Security se iniciará. Como ESET SysRescue solo
se utiliza en situaciones específicas, algunos módulos de protección y características del programa presentes en la
versión estándar de la solución ESET Security no son necesarios. La lista se limitará a Análisis del ordenador,
Actualización y algunas secciones de Configuración. La capacidad para actualizar la base de firmas de virus es la
característica más importante de ESET SysRescue, por lo que se recomienda actualizar el programa antes de iniciar
un análisis del ordenador.
4.7.5.1 Uso de ESET SysRescue
Supongamos que hay ordenadores de la red infectados por un virus que modifica los archivos ejecutables (.exe). La
solución ESET Security puede desinfectar todos los archivos excepto explorer.exe, que no se puede desinfectar ni en
modo seguro. Esto se debe a que explorer.exe, como uno de los procesos esenciales de Windows, se inicia también en
modo seguro. La solución ESET Security no podría realizar ninguna acción en al archivo, que seguiría infectado.
En esta situación, podría utilizar ESET SysRescue para solucionar el problema. ESET SysRescue no necesita ningún
componente del sistema operativo host y, por lo tanto, puede procesar (desinfectar, eliminar, etc.) cualquier
archivo del disco.
116
4.8 Opciones de la interfaz de usuario
Las opciones de configuración de la interfaz de usuario de ESET Mail Security le permiten ajustar el entorno de
trabajo según sus necesidades. Estas opciones de configuración están disponibles en la sección Interfaz de usuario
del árbol de configuración avanzada de ESET Mail Security.
En la sección Elementos de la interfaz de usuario, la opción Modo avanzado permite a los usuarios cambiar al
modo avanzado. Este modo incluye controles adicionales y opciones de configuración más detalladas para ESET
Mail Security.
La interfaz gráfica de usuario debe desactivarse si los elementos gráficos disminuyen el rendimiento del ordenador
o provocan otros problemas. Asimismo, es posible desactivar la interfaz gráfica para usuarios con discapacidades
visuales, ya que podría entrar en conflicto con aplicaciones especiales que se utilizan para leer el texto que aparece
en pantalla.
Si desea desactivar la pantalla inicial de ESET Mail Security, desmarque la opción Mostrar pantalla inicial con la
carga del sistema.
En la parte superior del programa principal de ESET Mail Security, aparece un menú estándar que se puede activar o
desactivar en función de la opción Activar la barra clásica de menús de Windows.
Si se activa la opción Mostrar sugerencias y consejos útiles, se mostrará una breve descripción al colocar el cursor
sobre una opción. Si se activa la opción Resaltar el elemento de control activo al seleccionar, el sistema resaltará
cualquier elemento que se encuentre en el área activa del cursor del ratón. El elemento resaltado se activará al
hacer clic con el ratón.
Para aumentar o disminuir la velocidad de los efectos animados, seleccione la opción Usar controles animados y
mueva la barra deslizante Velocidad a la izquierda o la derecha.
Para activar el uso de iconos animados para mostrar el progreso de varias operaciones, seleccione la opción Usar
iconos animados para mostrar el progreso. Si desea que el programa emita una alerta sonora cuando se produzca
un suceso importante, seleccione la opción Usar efectos de sonido.
Interfaz de usuario incluye características como la protección mediante contraseña de los parámetros de
configuración de ESET Mail Security. Esta opción se encuentra en el submenú Protección de la configuración de
Interfaz de usuario. Para ofrecer una seguridad máxima para su sistema, es esencial que el programa se haya
configurado correctamente. Las modificaciones no autorizadas pueden provocar la pérdida de datos importantes.
Para configurar una contraseña para proteger el parámetro de configuración, haga clic en Introduzca la
117
contraseña.
4.8.1 Alertas y notificaciones
La sección de configuración de alertas y notificaciones de Interfaz de usuario le permite configurar la gestión de
las notificaciones del sistema y las alertas de amenaza en ESET Mail Security.
El primer elemento es Mostrar alertas. Si desactiva esta opción, se cancelarán todas los mensajes de alerta. Solo
resulta útil para una serie de situaciones muy específicas. Para la mayoría de los usuarios, se recomienda mantener
la configuración predeterminada (activada).
Para cerrar las ventanas emergentes automáticamente después de un período de tiempo determinado, seleccione
la opción Cerrar automáticamente los cuadros de mensajes después de (seg.). Si no se cierran de forma manual,
las ventanas de alerta se cerrarán automáticamente cuando haya transcurrido el período de tiempo especificado.
Las notificaciones del escritorio y los globos de sugerencias son medios de información que no requieren ni ofrecen
la intervención del usuario. Se muestran en el área de notificación, situada en la esquina inferior derecha de la
pantalla. Para activar las notificaciones de escritorio, seleccione la opción Mostrar notificaciones en el escritorio.
Es posible modificar el tiempo de visualización de las notificaciones y la transparencia de las ventanas mediante el
botón Configurar notificaciones.
Para obtener una vista previa del comportamiento de las notificaciones, haga clic en el botón Vista previa. Para
configurar la duración del tiempo de visualización de los globos de sugerencias, consulte la opción Mostrar alertas
como globos de sugerencias (seg.).
118
Haga clic en Configuración avanzada para especificar opciones de configuración de Alertas y notificación
adicionales, incluida Mostrar solo notificaciones que requieran la interacción del usuario. Esta opción le permite
activar o desactivar la visualización de alertas y notificaciones que no requieran la intervención del usuario.
Seleccione Mostrar solo las notificaciones en las que se necesite la intervención del usuario cuando se
ejecuten aplicaciones a pantalla completa para eliminar todas las notificaciones que no sean interactivas. En el
menú desplegable Nivel mínimo de detalle de los eventos a mostrar, se puede seleccionar el nivel de gravedad
inicial de las alertas y notificaciones que se mostrarán.
La última característica de esta sección le permite configurar el destino de las notificaciones en un entorno con
varios usuarios. En el campo En sistemas con varios usuarios, mostrar las notificaciones en la pantalla de este
usuario le permite definir quién recibirá notificaciones importantes de ESET Mail Security. Normalmente, se tratará
de un administrador de sistemas o de redes. Esta opción resulta especialmente útil para servidores de terminal,
siempre que todas las notificaciones del sistema se envíen al administrador.
4.8.2 Desactivar la GUI en Terminal Server
En este capítulo se explica cómo desactivar la ejecución de la GUI de ESET Mail Security en Windows Terminal
Server para las sesiones de usuario.
Normalmente, la GUI de ESET Mail Security se inicia cada vez que un usuario remoto inicia sesión en el servidor y
crea una sesión de Terminal; una acción que no suele ser deseable en los servidores Terminal Server. Si desea
desactivar la GUI para sesiones de terminal, siga estos pasos:
1. Ejecute regedit.exe
2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Haga clic con el botón derecho del ratón en el valor egui y seleccione Modificar
4. Agregue un modificador /terminal al final de una cadena existente
A continuación se proporciona un ejemplo de cómo debería ser el valor de egui:
"C:\Archivos de programa\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal
Si desea restaurar esta configuración y activar el inicio automático de la GUI de ESET Mail Security, elimine el
conmutador /terminal . Para ir al valor de registro de egui, repita los pasos del 1 al 3.
119
4.9 eShell
eShell (abreviación de ESET Shell) es una interfaz de línea de comandos para ESET Mail Security. Se trata de una
alternativa a la interfaz gráfica de usuario (GUI). eShell tiene todas las características y opciones que suele ofrecer
una interfaz gráfica de usuario; además, le permite configurar y administrar todo el programa sin necesidad de
utilizar la GUI.
Además de todas las funciones y características disponibles en la GUI, también le ofrece una función de
automatización mediante la ejecución de scripts para configurar, modificar una configuración o realizar una acción.
eShell también puede ser de utilidad para aquellos que prefieren utilizar la línea de comandos en vez de la GUI.
NOTA: aquí encontrará un manual de eShell que puede descargar. Este incluye una lista de todos los comandos,
con su sintaxis y una descripción.
En esta sección se explica cómo desplazarse por eShell y cómo utilizarla, y se proporciona una lista de todos los
comandos con la descripción pertinente (para qué se usa el comando y qué hace).
eShell se puede ejecutar en dos modos:
Modo interactivo: es útil para trabajar con eShell (no simplemente ejecutar un comando); por ejemplo, para
realizar tareas como cambiar la configuración o ver los registros. También puede utilizar el modo interactivo si
aún no está familiarizado con todos los comandos, ya que facilita la navegación por eShell. En este modo, se
muestran los comandos disponibles para un contexto determinado.
Modo por lotes/un solo comando: utilice este modo sin tan solo necesita ejecutar un comando, sin acceder al
modo interactivo de eShell. Puede hacer esto desde la ventana de símbolo del sistema de Windows, escribiendo
eshell y los parámetros adecuados. Por ejemplo:
eshell set av document status enabled
NOTA: para ejecutar comandos de eShell desde la ventana de símbolo del sistema de Windows o ejecutar archivos
por lotes, esta función debe estar activada (debe ejecutar el comando set general access batch always en el modo
interactivo). Si desea más información sobre el comando set batch, haga clic aquí 124 .
Puede acceder al modo interactivo de eShell con estos dos métodos:
Desde el menú Inicio de Windows: Inicio > Todos los programas > ESET > ESET File Security > ESET shell.
Desde la ventana de símbolo del sistema de Windows, escribiendo eshell y pulsando la tecla Intro.
La primera vez que ejecute eShell en modo interactivo, se mostrará la pantalla de primera ejecución.
En esta pantalla se muestran varios ejemplos sencillos de cómo utilizar eShell con sintaxis, prefijos, rutas de
comandos, formas abreviadas, alias, etc. Básicamente, es una guía rápida sobre eShell.
NOTA: si desea ver otra vez la pantalla de primera ejecución, introduzca el comando guide .
NOTA: los comandos no distinguen mayúsculas y minúsculas, por lo que el uso de unas u otras no afectará a su
ejecución.
120
4.9.1 Uso
Sintaxis
Los comandos deben presentar una sintaxis correcta para funcionar y pueden constar de un prefijo, contexto,
argumentos, opciones, etc. Esta es la sintaxis general que se utiliza en eShell:
[<prefijo>] [<ruta del comando>] <comando> [<argumentos>]
Ejemplo (este ejemplo activa la protección de documentos):
SET AV DOCUMENT STATUS ENABLED
SET: un prefijo
AV DOCUMENT: ruta de acceso a un comando determinado, contexto al que pertenece dicho comando
STATUS: el comando propiamente dicho
ENABLED: un argumento del comando
Si se utiliza HELP o ? con un comando, se mostrará la sintaxis de dicho comando. Por ejemplo, el prefijo CLEANLEVEL
HELP mostrará la sintaxis del comando CLEANLEVEL :
SINTAXIS:
[get] | restore cleanlevel
set cleanlevel none | normal | strict
Verá que [get] se encierra entre corchetes. Esto indica que el prefijo get es el predeterminado para el comando
cleanlevel . De este modo, si se ejecuta cleanlevel sin especificar ningún prefijo, se utilizará el prefijo
predeterminado (en este caso, get cleanlevel). El uso de comandos sin prefijos ahorra tiempo a la hora de escribir.
Normalmente, get es el prefijo predeterminado para la mayoría de los comandos; compruebe cuál es el prefijo
predeterminado de un comando concreto para asegurarse de que es el que desea ejecutar.
NOTA: los comandos no distinguen mayúsculas y minúsculas, por lo que el uso de unas u otras no afectará a su
ejecución.
Prefijo/Operación
Un prefijo es una operación. El prefijo GET proporciona información sobre la configuración de una característica
determinada de ESET Mail Security o muestra el estado (por ejemplo, GET AV STATUS muestra el estado actual de la
protección). El prefijo SET configura la funcionalidad o cambia su estado (SET AV STATUS ENABLED activa la
protección).
Estos son los prefijos que permite utilizar eShell. No todos los comandos admiten todos los prefijos:
GET: devuelve el estado o la configuración actual
SET: define el valor o el estado
SELECT: selecciona un elemento
ADD: añade un elemento
REMOVE: elimina un elemento
CLEAR: elimina todos los elementos o archivos
START: inicia una acción
STOP: detiene una acción
PAUSE: pone en pausa una acción
RESUME: reanuda una acción
RESTORE: restaura la configuración, el objeto o el archivo predeterminado
SEND: envía un objeto o archivo
IMPORT: importa desde un archivo
EXPORT: exporta a un archivo
Algunos prefijos, como GET y SET se utilizan con muchos comandos; y algunos comandos, como EXIT, no utilizan
ningún prefijo.
Ruta/contexto del comando
Los comandos se colocan en contextos que conforman una estructura de árbol. El nivel superior del árbol es la raíz.
Cuando ejecuta eShell, el usuario está en el nivel raíz:
eShell>
Puede ejecutar el comando desde este nivel o introducir el nombre de contexto para desplazarse por el árbol. Por
ejemplo, si introduce el contexto TOOLS , se mostrará una lista con todos los comandos y subcontextos disponibles
desde este nivel.
121
Los elementos amarillos son comandos que el usuario puede ejecutar y los elementos grises, subcontextos que
puede especificar. Un subcontexto contiene más comandos.
Si desea subir un nivel, escriba .. (dos puntos). Por ejemplo, si se encuentra aquí:
eShell av options>
escriba .. para subir un nivel, a:
eShell av>
Si desea volver al nivel raíz desde eShell av options> (dos niveles por debajo del nivel raíz), simplemente escriba
.. .. (dos puntos, un espacio y otros dos puntos). Así, subirá dos niveles, hasta el nivel raíz en este caso. Los dos
puntos se pueden utilizar en cualquier nivel del árbol de contexto. Utilice el número de .. que necesite para ir al
nivel deseado.
La ruta de acceso es relativa al contexto actual. Si el comando se encuentra en el contexto actual, no especifique
una ruta. Por ejemplo, para ejecutar GET AV STATUS escriba:
GET AV STATUS, si se encuentra el contexto raíz (en la línea de comandos se muestra eShell>)
GET STATUS, si se encuentra en el contexto AV (la línea de comandos muestra eShell av>)
.. GET STATUS, si se encuentra en el contexto AV OPTIONS (la línea de comandos muestra eShell av options>)
Argumento
Un argumento es una acción que se realiza para un comando determinado. Por ejemplo, el comando CLEANLEVEL se
puede utilizar con los argumentos siguientes:
none: no desinfectar
normal: desinfección estándar
strict desinfección exhaustiva
Otro ejemplo son los argumentos ENABLED o DISABLED,que se utilizan para activar o desactivar una función o
característica determinadas.
Forma abreviada/comandos abreviados
eShell le permite acortar los contextos, comandos y argumentos (siempre que el argumento sea un modificador o
una opción alternativa). Los argumentos o prefijos que sean un valor concreto, como un número, un nombre o una
ruta de acceso, no se pueden acortar.
Ejemplos de formas abreviadas:
set status enabled
=> set stat en
add av exclusions C:\path\file.ext => add av exc C:\path\file.ext
122
Si dos comandos o contextos empiezan con las mismas letras (por ejemplo ABOUT y AV, y escribe A como comando
abreviado), eShell no podrá decidir cuál de los dos comandos desea ejecutar y mostrará un mensaje de error con los
comandos que empiezan por "A" que puede elegir:
eShell>a
El comando siguiente no es único: a
Los comandos siguientes están disponibles en este contexto:
ABOUT: muestra información sobre el programa
AV: cambia al contexto av
Al añadir una o más letras (por ejemplo, AB en vez de solo A) eShell ejecutará el comando ABOUT , que ahora es único.
NOTA: para asegurarse de que un comando se ejecuta tal como lo necesita, es preferible que no abrevie los
comandos, argumentos y demás, sino que utilice la forma completa. De esta manera, el comando se ejecutará tal
como desea y no se producirán errores inesperados. Este consejo es especialmente útil para los scripts y archivos
por lotes.
Alias
Un alias es un nombre alternativo que se puede utilizar para ejecutar un comando (siempre que el comando tenga
un alias asignado). Hay varios alias predeterminados:
(global) help: - ?
(global) close: cerrar
(global) quit: cerrar
(global) bye: cerrar
warnlog: sucesos de registro de herramientas
virlog: detecciones de registro de herramientas
"(global)" significa que el comando se puede utilizar en cualquier sitio, independientemente del contexto actual. Un
comando puede tener varios alias asignados; por ejemplo, el comando EXIT tiene los alias CLOSE, QUIT y BYE. Si desea
cerrar eShell, puede utilizar el comando EXIT o cualquiera de sus alias. El alias VIRLOG es para el comando DETECTIONS ,
que se encuentra en el contexto TOOLS LOG . De esta manera, el comando detections está disponible en el contexto
ROOT y, por lo tanto, es más fácil acceder a él (no es necesario especificar TOOLS y, después, el contexto LOG para
ejecutarlo directamente desde ROOT).
eShell le permite definir sus propios alias.
Comandos protegidos
Algunos comandos están protegidos y es necesario especificar una contraseña para ejecutarlos.
Guía
Al ejecutar el comando GUIDE , se muestra la pantalla de primera ejecución, donde se explica cómo utilizar eShell.
Este comando está disponible en el contexto ROOT (eShell>).
Ayuda
Cuando se utiliza el comando HELP solo, se muestra una lista con todos los comandos disponibles con prefijos y
subcontextos en el contexto actual. También se proporciona una breve descripción de cada comando y
subcontexto. Si HELP se utiliza como argumento con un comando dado (por ejemplo, CLEANLEVEL HELP), se mostrarán
los datos de dicho comando. Se proporcionarán la sintaxis, las operaciones, los argumentos y los alias del comando
con una breve descripción de cada uno de ellos.
Historial de comandos
eShell guarda el historial de los comandos ejecutados anteriormente. Este historial solo incluye la sesión interactiva
actual de eShell, y se borrará cuando salga de eShell. Utilice las teclas de flecha arriba y abajo del teclado para
desplazarse por el historial. Una vez que haya encontrando el comando que buscaba, puede volver a ejecutarlo o
modificarlo sin necesidad de escribir el comando completo desde el principio.
CLS/Borrar pantalla
El comando CLS se puede utilizar para borrar la pantalla; funciona igual que la ventana de símbolo del sistema de
Windows u otras interfaces de línea de comandos similares.
EXIT/CLOSE/QUIT/BYE
Para cerrar o salir de eShell, puede utilizar cualquiera de estos comandos (EXIT, CLOSE, QUIT o BYE).
123
4.9.2 Comandos
En esta sección se ofrece una lista de algunos comandos básicos de eShell con su descripción a modo de ejemplo.
Para ver la lista completa de comandos, consulte el manual de eShell que se puede descargar aquí.
NOTA: los comandos no distinguen mayúsculas y minúsculas, por lo que el uso de unas u otras no afectará a su
ejecución.
Comandos del contexto ROOT:
ABOUT
Muestra información sobre el programa. Indica el nombre del producto instalado, el número de versión, los
componentes instalados (incluido el número de versión de cada componente) e información básica sobre el servidor
y el sistema operativo en el que se está ejecutando ESET Mail Security.
RUTA DE ACCESO AL CONTEXTO:
root
BATCH
Inicia el modo por lotes de eShell. Es muy útil cuando se ejecutan scripts o archivos por lotes; se recomienda su uso
con archivos por lotes. Escriba START BATCH como primer comando del script o archivo por lotes para activar el modo
por lotes. Si activa esta función, no se solicitará ninguna entrada interactiva (como la introducción de una
contraseña) y los argumentos que faltan se sustituirán por los predeterminados. De esta manera, se garantiza que
el archivo por lotes no se detendrá a mitad de la operación porque eShell está esperando la intervención del usuario.
El archivo por lotes se ejecutará sin interrupciones (a menos que haya un error o los comandos del archivo sean
incorrectos).
RUTA DE ACCESO AL CONTEXTO:
root
SINTAXIS:
[start] batch
OPERACIONES:
start: inicia el modo por lotes de eShell
RUTA DE ACCESO AL CONTEXTO:
root
EJEMPLOS:
start batch: inicia el modo por lotes de eShell
GUIDE
Muestra la pantalla de primera ejecución.
RUTA DE ACCESO AL CONTEXTO:
root
PASSWORD
Normalmente, para ejecutar comandos protegidos mediante contraseña es necesario introducir una contraseña
por cuestiones de seguridad. Esto es así en comandos como, por ejemplo, los que desactivan la protección antivirus
o los que pueden afectar a la funcionalidad de ESET Mail Security. La contraseña se le solicitará cada vez que ejecute
el comando. Puede definir esta contraseña para no tener que introducirla cada vez. eShell recordará la contraseña y
la utilizará automáticamente cuando se ejecute un comando protegido con contraseña. De esta manera, no tendrá
que introducir la contraseña cada vez.
NOTA: la contraseña definida solo sirve para la sesión interactiva actual de eShell; se borrará cuando salga de
eShell. La próxima vez que inicie eShell, tendrá que definir la contraseña de nuevo.
Esta contraseña definida también es muy útil a la hora de ejecutar scripts o archivos por lotes. A continuación se
124
proporciona un ejemplo de archivo por lotes:
eshell start batch "&" set password plain <yourpassword> "&" set status disabled
Este comando concatenado inicia el modo por lotes, define la contraseña y desactiva la protección.
RUTA DE ACCESO AL CONTEXTO:
root
SINTAXIS:
[get] | restore password
set password [plain <password>]
OPERACIONES:
get: muestra la contraseña
set: establece o borra la contraseña
restore: borra la contraseña
ARGUMENTOS:
plain: cambia al modo de introducción de contraseña como parámetro
password: contraseña
EJEMPLOS:
set password plain <yourpassword>: establece una contraseña para los comandos protegidos mediante contraseña
restore password: borra la contraseña
EJEMPLOS:
get password: utilice este comando para comprobar si hay una contraseña configurada (solo se muestran asteriscos
"*", no la contraseña); si no se muestra ningún asterisco, significa que no hay ninguna contraseña definida
set password plain <yourpassword>: utilice este comando para establecer la contraseña definida
restore password: este comando borra la contraseña definida
STATUS
Muestra información sobre el estado de la protección actual de ESET Mail Security (similar a la GUI).
RUTA DE ACCESO AL CONTEXTO:
root
SINTAXIS:
[get] | restore status
set status disabled | enabled
OPERACIONES:
get: muestra el estado de la protección antivirus
set: activa o desactiva la protección antivirus
restore: restaura la configuración predeterminada
ARGUMENTOS:
disabled: desactiva la protección antivirus
enabled: activa la protección antivirus
EJEMPLOS:
get status: muestra el estado de la protección actual
125
set status disabled: desactiva la protección
restore status: restaura la configuración predeterminada de la protección (Activada)
VIRLOG
Este es un alias del comando DETECTIONS . Es útil cuando se necesita ver información sobre las amenazas detectadas.
WARNLOG
Este es un alias del comando EVENTS . Es útil cuando se necesita ver información sobre varios sucesos.
4.10 Importar y exportar configuración
La opción de importar y exportar configuraciones de ESET Mail Security está disponible en Configuración y se activa
haciendo clic en Importar y exportar configuración.
Tanto en la importación como en la exportación se utiliza el tipo de archivo .xml. La importación y la exportación
son útiles para realizar copias de seguridad de la configuración actual de ESET Mail Security y, así, poder utilizarla
más adelante. La opción de exportación de configuración también es de utilidad para los usuarios que desean
utilizar su configuración preferida de ESET Mail Security en varios sistemas, ya que les permite importar fácilmente
el archivo .xml para transferir los ajustes deseados.
4.11 ThreatSense.Net
El sistema de alerta temprana ThreatSense.Net informa a ESET de manera constate e inmediata acerca de nuevas
amenazas. El sistema de alerta temprana bidireccional ThreatSense.Net tiene una sola finalidad: mejorar la
protección que le ofrecemos. La mejor forma de garantizar la detección de nuevas amenazas en cuanto aparecen es
un "enlace" al mayor número posible de clientes que funcionen como exploradores de amenazas. Existen dos
opciones:
1. Puede optar por no activar el sistema de alerta temprana ThreatSense.Net. El software no perderá funcionalidad
y seguirá recibiendo la mejor protección que ofrecemos.
2. Puede configurar el sistema de alerta temprana ThreatSense.Net para enviar información anónima acerca de
nuevas amenazas y sobre la ubicación del nuevo código malicioso. Este archivo se puede enviar a ESET para que
realice un análisis detallado. El estudio de estas amenazas ayudará a ESET a actualizar sus funciones de detección
de amenazas.
El sistema de alerta temprana ThreatSense.Net recopilará información anónima del ordenador relacionada con las
amenazas detectadas recientemente. Esta información puede incluir una muestra o copia del archivo donde haya
aparecido la amenaza, la ruta a ese archivo, el nombre de archivo, la fecha y la hora, el proceso por el que apareció
la amenaza en el ordenador e información sobre el sistema operativo del ordenador.
Aunque existe la posibilidad de que este proceso pueda revelar cierta información acerca del usuario o su ordenador
(nombres de usuario en una ruta al directorio, etc.) al laboratorio de ESET, esta información no se utilizará con
NINGÚN propósito que no esté relacionado con la ayuda necesaria para responder inmediatamente a nuevas
amenazas.
De forma predeterminada, ESET Mail Security está configurado para confirmar el envío de archivos sospechosos
para su análisis detallado en los laboratorios de ESET. Los archivos con determinadas extensiones, como .doc o .xls,
se excluyen siempre. También puede agregar otras extensiones para excluir los archivos que usted o su empresa no
126
deseen enviar.
La configuración de ThreatSense.Net está disponible en la ventana Configuración avanzada, en Herramientas >
ThreatSense.Net. Seleccione la opción Activar el sistema de alerta temprana ThreatSense para activar el
sistema y, a continuación, haga clic en el botón Configuración avanzada.
127
4.11.1 Archivos sospechosos
La opción Archivos sospechosos le permite configurar el modo de envío de amenazas al laboratorio de ESET para
su análisis.
Si encuentra un archivo sospechoso, puede enviarlo a nuestros laboratorios para su análisis. Si resulta ser una
aplicación maliciosa, su detección se agregará a la siguiente actualización de la base de firmas de virus.
Puede configurar el envío de archivos para que se realice automáticamente o seleccionar la opción Avisar antes de
enviar si desea saber qué archivos se envían y confirmar el envío.
Si no desea que se envíe ningún archivo, seleccione la opción No enviar para su análisis. La selección de la opción
de no enviar archivos no afecta al envío de datos estadísticos, que se configura de forma independiente (consulte la
sección Estadísticas 129 ).
Envío de archivos: de forma predeterminada, la opción Tan pronto como sea posible está seleccionada para que
los archivos sospechosos se envíen al laboratorio de amenazas de ESET. Esta acción es aconsejable si se dispone de
una conexión a Internet permanente y es posible entregar los archivos sospechosos sin retrasos. Seleccione la
opción Durante la actualización para que los archivos sospechosos se carguen en ThreatSense.Net durante la
próxima actualización.
Filtro de exclusión: esta opción le permite excluir del envío determinados archivos o carpetas. Esta opción puede
ser útil, por ejemplo, para excluir archivos que puedan contener información confidencial, como documentos u
hojas de cálculo. Los tipos de archivos más comunes se excluyen de manera predeterminada (.doc, etc.). Si lo desea,
puede añadir elementos a la lista de archivos excluidos.
Correo electrónico de contacto: su Correo electrónico de contacto [opcional] se puede enviar con cualquier
archivo sospechoso y se utilizará para solicitarle información adicional para el análisis, en caso de que sea
necesaria. Tenga en cuenta que no recibirá una respuesta de ESET, a no ser que sea necesaria más información.
128
4.11.2 Estadísticas
El sistema de alerta temprana ThreatSense.Net recopilará información anónima del ordenador relacionada con
amenazas detectadas recientemente. Esta información puede incluir el nombre de la amenaza, la fecha y la hora en
que se detectó, la versión del producto de seguridad de ESET, la versión del sistema operativo de su ordenador y la
configuración regional. Normalmente, las estadísticas se envían a los servidores de ESET una o dos veces al día.
A continuación, se proporciona un ejemplo de paquete de información estadística enviado:
#
#
#
#
#
#
#
#
#
utc_time=2005-04-14 07:21:28
country="Slovakia"
language="ENGLISH"
osver=5.1.2600 NT
engine=5417
components=2.50.2
moduleid=0x4e4f4d41
filesize=28368
filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1
Envío de archivos: puede indicar cuándo desea que se envíen los datos estadísticos. Si opta por enviarlos Tan
pronto como sea posible, los datos estadísticos se enviarán en cuanto se creen. Esta configuración es aconsejable
si se dispone de una conexión a Internet permanente. Si selecciona la opción Durante la actualización, los datos
estadísticos se enviarán todos juntos cuando se realice la próxima actualización.
129
4.11.3 Envío de archivos
Puede especificar cómo se enviarán a ESET los archivos y la información estadística. Seleccione la opción Mediante
administración remota o directamente a ESET para que los archivos y la información estadística se envíen de
todas las formas posibles. Seleccione la opción Mediante administración remota para entregar los archivos y las
estadísticas al servidor de administración remota, que garantizará su posterior entrega a los laboratorios de ESET.
Si se selecciona la opción Directamente a ESET, todos los archivos sospechosos y la información estadística se
envían a los laboratorios de ESET directamente desde el programa.
Cuando hay archivos pendientes de enviar, el botón Enviar ahora está activo. Haga clic en este botón para enviar
los archivos y la información estadística inmediatamente.
Seleccione la opción Activar el registro de sucesos para crear un registro en el que anotar los envíos de archivos e
información estadística.
130
4.12 Administración remota
ESET Remote Administrator (ERA) es una potente herramienta que sirve para gestionar las directivas de seguridad y
obtener información general sobre la seguridad global en una red. Es especialmente útil cuando se aplica a redes de
gran tamaño. ERA no se limita a aumentar la seguridad, sino que también facilita la administración de ESET Mail
Security en estaciones de trabajo cliente.
Las opciones de configuración de la administración remota están disponibles en la ventana principal del programa
ESET Mail Security. Haga clic en Configuración > Muestra las opciones avanzadas de configuración > Varios >
Administración remota.
Para activar la administración remota, seleccione la opción Conectar al servidor remoto de control. Así, podrá
acceder a las opciones que se describen a continuación:
Intervalo entre conexiones al servidor (min.): designa la frecuencia con que ESET Mail Security se conectará al
ERA Server. Si se establece en 0, la información se enviará cada 5 segundos.
Dirección del servidor: dirección de red del servidor donde está instalado ERA Server.
Puerto: este campo contiene un puerto de servidor predefinido que se utiliza para la conexión. Se recomienda
dejar la configuración predeterminada del puerto en 2222.
El servidor de administración remota requiere autenticación: esta opción le permite escribir una contraseña
para conectarse a ERA Server, si es necesario.
Haga clic en Aceptar para confirmar los cambios y aplicar la configuración. ESET Mail Security utilizará esta
configuración para conectarse a ERA Server.
131
4.13 Licencias
En la sección Licencias, puede administrar las claves de licencia de ESET Mail Security y otros productos de ESET,
como ESET Mail Security. Las claves de licencia se proporcionan después de la compra, junto con el nombre de
usuario y la contraseña. Para agregar/quitar una clave de licencia, haga clic en el botón correspondiente de la
ventana del administrador de licencias. Puede acceder al administrador de licencias desde el árbol de configuración
avanzada disponible debajo de Varios > Licencias.
La clave de licencia es un archivo de texto que contiene información acerca del producto adquirido: su propietario,
número de licencias y fecha de expiración.
La ventana del administrador de licencias le permite cargar y ver el contenido de una clave de licencia mediante el
botón Agregar, de modo que puede ver su información en el administrador. Para eliminar los archivos de licencia de
la lista, seleccione Quitar.
Si una clave de licencia ha expirado y desea renovarla, haga clic en el botón Comprar para acceder a la tienda en
línea.
132
5. Glosario
5.1 Tipos de amenazas
Una amenaza es un software malicioso que intenta entrar en el ordenador de un usuario y dañarlo.
5.1.1 Virus
Un virus informático es una amenaza que daña los archivos del ordenador. Su nombre se debe a los virus biológicos,
ya que usan técnicas similares para pasar de un ordenador a otro.
Los virus informáticos atacan principalmente a los archivos y documentos ejecutables. Para reproducirse, un virus
adjunta su "cuerpo" al final de un archivo de destino. En resumen, así es cómo funciona un virus informático:
después de la ejecución del archivo infectado, el virus se activa (antes de la aplicación original) y realiza la tarea que
tiene predefinida. Después, se ejecuta la aplicación original. Un virus no puede infectar un ordenador a menos que
un usuario (bien accidental o deliberadamente) ejecute o abra el programa malintencionado.
Los virus informáticos pueden tener diversos fines y niveles de gravedad. Algunos son muy peligrosos, debido a su
capacidad para eliminar archivos del disco duro de forma deliberada. Sin embargo, otros virus no causan daños
reales, solo sirven para molestar al usuario y demostrar las capacidades técnicas de sus autores.
Es importante mencionar que los virus (si se comparan con los troyanos o el spyware) son cada vez menos
habituales, ya que no son atractivos desde un punto de vista comercial para los autores de software
malintencionado. Además, el término "virus" se utiliza incorrectamente con mucha frecuencia para abarcar todo
tipo de amenazas. Este término está desapareciendo gradualmente y se está sustituyendo por el término
"malware" (software malicioso), que es más preciso.
Si su ordenador se infecta con un virus, debe restaurar los archivos infectados a su estado original, es decir,
desinfectarlos con un programa antivirus.
Ejemplos de virus:: OneHalf, Tenga y Yankee Doodle.
5.1.2 Gusanos
Un gusano informático es un programa que contiene código malicioso que ataca a los ordenadores host y se
extiende a través de una red. La principal diferencia entre un virus y un gusano es que los gusanos tienen la
capacidad de reproducirse y viajar solos, no dependen de archivos host (o sectores de inicio). Los gusanos se
extienden por las direcciones de correo electrónico de la lista de contactos o explotan las vulnerabilidades de
seguridad de las aplicaciones de red.
Los gusanos son mucho más viables que los virus informáticos; dada la gran disponibilidad de Internet, se pueden
extender por todo el mundo en cuestión de horas, o incluso minutos, desde su lanzamiento. Esta capacidad para
reproducirse de forma independiente y rápida los hace más peligrosos que otros tipos de código malicioso.
Un gusano activado en un sistema puede causar una serie de problemas: puede eliminar archivos, degradar el
rendimiento del sistema o incluso desactivar algunos programas. Además, su naturaleza le permite servir de "medio
de transporte" para otros tipos de amenazas.
Si el ordenador está infectado con un gusano, es recomendable eliminar los archivos infectados, pues podrían
contener código malicioso.
Ejemplos de gusanos conocidos: Lovsan/Blaster, Stration/Warezov, Bagle y Netsky.
133
5.1.3 Caballos troyanos
Históricamente, los troyanos informáticos se han definido como una clase de amenaza que intenta presentarse
como un programa útil, engañando así a los usuarios para que permitan su ejecución. Sin embargo, es importante
señalar que esto era así en el caso de los caballos troyanos del pasado; hoy en día, ya no necesitan disfrazarse. Su
único fin es infiltrarse lo más fácilmente posible y cumplir sus malintencionados objetivos. "Troyano" se ha
convertido en un término muy general para describir cualquier amenaza que no entre en ninguna clase de amenaza
específica.
Dado que se trata de una categoría muy amplia, con frecuencia se divide en muchas subcategorías:
Descargador: programa malintencionado con capacidad para descargar otras amenazas de Internet.
Lanzador: troyano diseñado para lanzar otros tipos de código malicioso en ordenadores vulnerables.
Puerta trasera: aplicación que se comunica con atacantes remotos y les permite acceder a los sistemas para
tomar su control.
Registrador de pulsaciones: programa que registra cada pulsación que escribe el usuario y envía la información
a atacantes remotos.
Marcador: los marcadores son programas diseñados para conectar con números de tarifa con recargo. Es casi
imposible que un usuario note que se ha creado una conexión. Los marcadores solo pueden causar daño a los
usuarios que tienen módems de marcación, que ya casi no se utilizan.
Normalmente, los troyanos adoptan la forma de archivos ejecutables con la extensión .exe. Si se detecta un archivo
como troyano en su ordenador, es recomendable que lo elimine, ya que lo más probable es que contenga código
malicioso.
Ejemplos de troyanos conocidos:: NetBus, Trojandownloader, Small.ZL y Slapper.
5.1.4 Rootkits
Los rootkits son programas malintencionados que conceden a los atacantes de Internet acceso ilimitado a un
sistema, al tiempo que ocultan su presencia. Una vez que han accedido al sistema (normalmente explotando
alguna vulnerabilidad del mismo), usan funciones del sistema operativo para evitar su detección por parte del
antivirus: ocultan procesos, archivos y datos de registro de Windows, etc. Por este motivo, es casi imposible
detectarlos con las técnicas de detección normales.
Hay dos niveles de detección disponibles para evitar los rootkits:
1) Cuando intentan acceder a un sistema. Aún no están presentes y, por tanto, están inactivos. La mayoría de los
sistemas antivirus pueden eliminar rootkits en este nivel (suponiendo que realmente detectan dichos archivos
como infectados).
2) Cuando se ocultan en el proceso normal de análisis. Los usuarios de ESET Mail Security tienen la ventaja de la
tecnología Anti-Stealth, que también puede detectar y eliminar rootkits activos.
5.1.5 Adware
Adware es la abreviatura del término inglés utilizado para el software relacionado con publicidad. Los programas
que muestran material publicitario se incluyen en esta categoría. Normalmente, las aplicaciones de adware abren
automáticamente una ventana emergente nueva con anuncios en el navegador de Internet o cambian la página de
inicio del navegador. La aplicación de adware suele instalarse con programas gratuitos, lo que permite a los
creadores de esos programas gratuitos cubrir los costes de desarrollo de sus aplicaciones (normalmente útiles).
La aplicación de adware no es peligrosa en sí, pero molesta a los usuarios con publicidad. El peligro reside en el
hecho de que la aplicación de adware también puede realizar funciones de seguimiento (al igual que las
aplicaciones de spyware).
Si decide utilizar un producto gratuito, preste especial atención al programa de instalación. La mayoría de los
programas de instalación le informarán sobre la instalación de un programa de adware adicional. Normalmente,
podrá cancelarlo e instalar el programa sin esta aplicación de adware.
Sin embargo, algunos programas no se instalarán sin la aplicación de adware, o su funcionalidad será limitada. Esto
significa que la aplicación de adware puede acceder al sistema de manera "legal" a menudo, pues los usuarios así lo
134
han aceptado. En estos casos, es mejor prevenir que curar. Si se detecta un archivo de adware en el ordenador, es
recomendable eliminarlo, pues existen muchas probabilidades de que contenga código malicioso.
5.1.6 Spyware
Esta categoría abarca todas las aplicaciones que envían información privada sin el consentimiento o conocimiento
del usuario. El spyware usa funciones de seguimiento para enviar diversos datos estadísticos, como una lista de
sitios web visitados, direcciones de correo electrónico de la lista de contactos del usuario o una lista de palabras
escritas.
Los autores de spyware afirman que el objetivo de estas técnicas es averiguar más sobre las necesidades y los
intereses de los usuarios, así como mejorar la gestión de la publicidad. El problema es que no existe una distinción
clara entre las aplicaciones útiles y las malintencionadas, de modo que nadie puede estar seguro de que no se hará
un mal uso de la información recuperada. Los datos obtenidos por aplicaciones spyware pueden contener códigos
de seguridad, códigos PIN, números de cuentas bancarias, etc. Con frecuencia, el spyware se envía junto con
versiones gratuitas de programas para generar ingresos o para ofrecer un incentivo para comprar el software. A
menudo, se informa a los usuarios sobre la presencia de spyware durante la instalación de un programa para
ofrecerles un incentivo para la adquisición de una versión de pago.
Algunos ejemplos de productos gratuitos conocidos que se envían junto con spyware son las aplicaciones cliente de
redes P2P (peer to peer). Spyfalcon o Spy Sheriff (y muchos más) pertenecen a una subcategoría específica de
spyware: parecen programas antispyware, pero en realidad son aplicaciones de spyware.
Si se detecta un archivo de spyware en su ordenador, es aconsejable que lo elimine, ya que es muy posible que
contenga código malicioso.
5.1.7 Aplicaciones potencialmente peligrosas
Existen muchos programas legítimos que sirven para simplificar la administración de ordenadores en red. Sin
embargo, si caen en las manos equivocadas, podrían utilizarse con fines maliciosos. ESET Mail Security proporciona
una opción para detectar estas amenazas.
"Aplicaciones potencialmente peligrosas" es la clasificación utilizada para el software comercial legítimo. Esta
clasificación incluye programas como herramientas de acceso remoto, aplicaciones para detectar contraseñas y
registradores de pulsaciones 134 (programas que graban todas las teclas pulsadas por un usuario).
Si averigua que hay una aplicación potencialmente peligrosa ejecutándose en su ordenador (y no la ha instalado
usted), consulte al administrador de la red o elimine la aplicación.
5.1.8 Aplicaciones potencialmente indeseables
Las aplicaciones potencialmente indeseables no tienen por qué ser maliciosas, pero pueden afectar al rendimiento
del ordenador de forma negativa. Estas aplicaciones suelen necesitar el consentimiento del usuario para su
instalación. Si se encuentran en su ordenador, el sistema se comportará de manera diferente (en comparación con
el estado en el que se encontraba antes de la instalación). Los cambios más importantes son:
Se abren ventanas nuevas que no se habían visto anteriormente.
Activación y ejecución de procesos ocultos.
Mayor uso de los recursos del sistema.
Cambios en los resultados de búsqueda.
La aplicación se comunica con servidores remotos.
135
5.2 Correo electrónico
El correo electrónico es una forma de comunicación moderna que ofrece muchas ventajas: es flexible, rápido y
directo; y tuvo un papel fundamental en la expansión de Internet a principios de los años 90.
Lamentablemente, a causa de su alto nivel de anonimato, el correo electrónico e Internet dan cabida a actividades
ilegales como la distribución de correo no deseado. El correo no deseado incluye anuncios no solicitados,
información falsa y la difusión de software malicioso (código malicioso). Sus inconvenientes y peligros para el
usuario son mayores porque el envío de correo no deseado tiene un coste mínimo, y los autores de este tipo de
correo disponen de muchas herramientas para obtener nuevas direcciones de correo electrónico. Además, la
cantidad y la variedad de correo no deseado dificulta en gran medida su regulación. Cuanto más utilice su dirección
de correo electrónico, mayores serán las posibilidades de que acabe en la base de datos de un motor de correo no
deseado. A continuación, le ofrecemos algunos consejos para su prevención:
Si es posible, no publique su dirección de correo electrónico en Internet.
Proporcione su dirección de correo electrónico únicamente a personas de confianza.
Si es posible, no utilice alias muy comunes; cuanto más complicados sean, menor será la posibilidad de que
puedan obtenerlos.
No conteste a mensajes de correo no deseado que hayan llegado a su buzón de correo.
Tenga cuidado cuando rellene formularios en Internet, preste especial atención a casillas como "Sí, deseo recibir
información".
Utilice direcciones de correo electrónico "especializadas”; por ejemplo, una para el trabajo, otra para comunicarse
con sus amigos, etc.
Cambie su dirección de correo electrónico periódicamente.
Utilice una solución antispam.
5.2.1 Publicidad
La publicidad en Internet es una de las formas de publicidad que presentan un crecimiento más rápido. Sus
principales ventajas de marketing son los costes mínimos, un contacto muy directo y, lo más importante, el hecho
de que los mensajes se entregan de forma casi inmediata. Muchas empresas utilizan herramientas de marketing
por correo electrónico para comunicarse eficazmente con sus clientes actuales y potenciales.
Este tipo de publicidad es legítimo, ya que es posible que el usuario esté interesado en recibir información comercial
sobre algunos productos. No obstante, son muchas las empresas que envían mensajes publicitarios no deseados en
serie. En estos casos, la publicidad por correo electrónico cruza la línea y se convierte en correo no deseado.
Actualmente, la enorme cantidad de correo no solicitado constituye un problema y no tiene visos de disminuir. Los
autores de correos electrónicos no solicitados intentan disfrazar el correo no deseado como mensajes legítimos.
5.2.2 Información falsa
La información falsa se extiende a través de Internet. Normalmente, la información falsa se envía mediante
herramientas de comunicación o correo electrónico como ICQ y Skype. El mensaje en sí suele ser una broma o una
leyenda urbana.
La información falsa sobre virus de ordenador pretende generar miedo, incertidumbre y duda en los destinatarios,
haciéndoles creer que existe un "virus indetectable" que elimina archivos y recupera contraseñas, o que realiza
ciertas acciones que pueden provocar daños en el sistema.
Algunos elementos de información falsa solicitan a los destinatarios que reenvíen los mensajes a sus contactos,
divulgando así dicha información. La información falsa también se transmite a través de teléfonos móviles,
peticiones de ayuda, personas que se ofrecen a enviarle dinero desde países extranjeros, etc. Por lo general, es
imposible averiguar la intención del creador.
Si recibe un mensaje donde se le solicita que lo reenvíe a todas las personas que conozca, es muy probable que se
trate de información falsa. En Internet encontrará muchos sitios web que pueden verificar la legitimidad de un
mensaje de correo electrónico. Antes de reenviarlo, realice una búsqueda en Internet sobre cualquier mensaje que
136
sospeche que contiene información falsa.
5.2.3 Phishing
El término phishing define una actividad delictiva que usa técnicas de ingeniería social (manipulación de los
usuarios para obtener información confidencial). Su objetivo es acceder a datos confidenciales como números de
cuentas bancarias, códigos PIN, etc.
Normalmente, el acceso se consigue enviando correos electrónicos con remitentes disfrazados de personas o
empresas serias (instituciones financieras, compañías de seguros, etc.). La apariencia del correo electrónico puede
ser muy genuina, y contener gráficos y texto originales de la fuente por la que desean hacerse pasar. En el mensaje
se le pide que escriba, con varios pretextos (verificación de datos, operaciones financieras), algunos de sus datos
personales: números de cuentas bancarias o nombres de usuario y contraseñas. Dichos datos, si se envían, pueden
ser fácilmente sustraídos o utilizados de forma fraudulenta.
Los bancos, las compañías de seguros y otras empresas legítimas nunca le pedirían sus nombres de usuario y
contraseña en un correo electrónico no solicitado.
5.2.4 Reconocimiento de correo no deseado no solicitado
Por lo general, existen pocos indicadores que puedan ayudarle a identificar el correo no deseado (spam) en su buzón
de correo. Si un mensaje cumple, como mínimo, una de las siguientes condiciones, es muy probable que se trate de
un mensaje de correo no deseado:
La dirección del remitente no pertenece a ninguna persona de su lista de contactos.
El mensaje le ofrece una gran cantidad de dinero, pero tiene que proporcionar una pequeña cantidad
previamente.
El mensaje le solicita que introduzca, con varios pretextos (verificación de datos, operaciones financieras),
algunos de sus datos personales (números de cuentas bancarias, nombres de usuario y contraseñas, etc.).
Está escrito en otro idioma.
Le solicita que adquiera un producto en el que no está interesado. Si decide comprarlo de todos modos,
compruebe que el remitente del mensaje es un proveedor fiable (consulte al fabricante del producto original).
Algunas palabras están mal escritas para intentar engañar a su filtro de correo no deseado. Por ejemplo, "vaigra”
en lugar de “viagra”, entre otros.
5.2.4.1 Reglas
En el contexto de las soluciones antispam y los clientes de correo electrónico, las reglas son herramientas para
manipular funciones de correo electrónico que constan de dos partes lógicas:
1) Condición (por ejemplo, un mensaje entrante de una dirección concreta).
2) Acción (por ejemplo, la eliminación del mensaje o su transferencia a una carpeta específica).
El número y la combinación de reglas varía en función de la solución antispam. Estas reglas sirven como medidas
contra el correo no deseado. Ejemplos típicos:
Condición: un correo electrónico entrante contiene algunas palabras que suelen aparecer en los mensajes de
correo no deseado 2. Acción: eliminar el mensaje.
Condición: un correo electrónico entrante contiene un archivo adjunto con una extensión .exe 2. Acción: eliminar
el archivo adjunto y enviar el mensaje al buzón de correo.
Condición: recibe un correo electrónico entrante de su jefe 2. Acción: mover el mensaje a la carpeta "Trabajo".
Es recomendable que, en los programas antispam, use una combinación de reglas para facilitar la administración y
filtrar el correo no deseado de forma más eficaz.
137
5.2.4.2 Filtro Bayesiano
El filtro Bayesiano de correo no deseado es una forma efectiva de filtrar correo electrónico que utilizan casi todos los
productos antispam. Este filtro identifica el correo no solicitado con una gran precisión y funciona de forma
individual para cada usuario.
La funcionalidad se basa en el principio siguiente: el proceso de aprendizaje tiene lugar en la primera fase. El usuario
marca manualmente un número suficiente de mensajes como mensajes legítimos o como correo no deseado
(normalmente 200/200). El filtro analiza ambas categorías y aprende, por ejemplo, que el correo no deseado
contiene las palabras "rolex" o "viagra" y que los mensajes legítimos proceden de familiares o de direcciones
incluidas en la lista de contactos del usuario. Si se procesa un número adecuado de mensajes, el filtro Bayesiano
puede asignar un "índice de correo no deseado" a cada mensaje para determinar si es spam o no.
La principal ventaja del filtro Bayesiano es su flexibilidad. Por ejemplo, si un usuario es biólogo, normalmente todos
los correos electrónicos entrantes sobre biología o campos de estudio relacionados recibirán un índice de
probabilidad inferior. Si un mensaje incluye palabras que normalmente lo clasificarían como no solicitado, pero lo
envía alguien de la lista de contactos del usuario, este se marcará como legítimo, ya que los remitentes de una lista
de contactos reducen la probabilidad general de correo no deseado.
5.2.4.3 Lista blanca
Por lo general, una lista blanca es una lista de elementos o personas aceptados o a los que se ha concedido permiso.
El término "lista blanca de correo electrónico" es una lista de contactos de los que el usuario desea recibir mensajes.
Estas listas blancas se basan en palabras clave que se buscan en direcciones de correo electrónico, nombres de
dominios o direcciones IP.
Si una lista blanca funciona en "modo de exclusividad", no se recibirán los mensajes procedentes de otras
direcciones, dominios o direcciones IP. Si la lista no es exclusiva, estos mensajes no se eliminarán, sino que se
filtrarán de alguna otra forma.
Las listas blancas se basan en el principio opuesto al de las listas negras 138 . Las listas blancas son relativamente
fáciles de mantener, más que las listas negras. Es recomendable que use tanto una lista blanca como una lista
negra para filtrar el correo no deseado de forma más eficaz.
5.2.4.4 Lista negra
Por lo general, una lista negra es una lista de personas o elementos prohibidos o no aceptados. En el mundo virtual,
es una técnica que permite aceptar mensajes de todos los usuarios que no se incluyan en dicha lista.
Existen dos tipos de listas negras: las que crean los usuarios con su aplicación antispam y las profesionales, creadas
por instituciones especializadas que las actualizan periódicamente y que se pueden encontrar en Internet.
Las listas negras son esenciales para bloquear con éxito el correo no deseado; sin embargo, son difíciles de
mantener, ya que todos los días aparecen nuevos elementos que se deben bloquear. Le recomendamos que utilice
una lista blanca 138 y un lista negra para filtrar con mayor eficacia el correo no deseado.
5.2.4.5 Control del servidor
El control del servidor es una técnica que sirve para identificar correo electrónico no deseado en masa a partir del
número de mensajes recibidos y las reacciones de los usuarios. Cada mensaje deja una "huella" digital única basada
en el contenido del mensaje. El número de identificación exclusivo no indica nada sobre el contenido del mensaje de
correo electrónico. Dos mensajes idénticos tendrán huellas idénticas, mientras que los mensajes diferentes tendrán
huellas diferentes.
Si se marca un mensaje como no deseado, su huella se envía al servidor. Si el servidor recibe más huellas idénticas
(correspondientes a un determinado mensaje no deseado), la huella se guarda en la base de datos de huellas de
correo no deseado. Al analizar mensajes entrantes, el programa envía las huellas de los mensajes al servidor que, a
su vez, devuelve información sobre las huellas correspondientes a los mensajes ya marcados por los usuarios como
no deseados.
138

Documentos relacionados

Manual

Manual PARA MICROSOFT EXCHANGE SERVER Manual de instalación y guía para el usuario Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2

Más detalles