Manual

Transcripción

Manual

ESET MAIL SECURITY
PARA MICROSOFT EXCHANGE SERVER
Manual de instalación y guía para el usuario
Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
Haga un clic aquí para descargar la versión más reciente de este documento.
ESET MAIL SECURITY
Copyright ©2014 por ESET, spol. s r.o.
ESET Mail Security fue desarrollado por ESET, spol. s r.o.
Para obtener más información, visite www.eset-la.com.
Todos los derechos reservados. Ninguna parte de esta documentación
podrá reproducirse, almacenarse en un sistema de recuperación o
transmitirse en forma o medio alguno, ya sea electrónico, mecánico,
fotocopia, grabación, escaneo o cualquier otro medio sin la previa
autorización por escrito del autor.
ESET, spol. s r.o. se reserva el derecho de modificar cualquier elemento
del software de la aplicación sin previo aviso.
Atención al cliente: www.eset.com/support
REVISADO EN 5/2/2014
Contenido
1. Introducción
..................................................5
1.1
¿Qué ........................................................................5
hay de nuevo en la versión 4.5?
1.2 Requisitos
........................................................................5
del sistema
1.3
Métodos
........................................................................6
usados
1.3.1
1.3.2
Exploración
.........................................................................6
de buzones de correo mediante VSAPI
Filtrado
.........................................................................6
de mensajes en el nivel del servidor SMTP
1.4 Tipos........................................................................6
de protección
1.4.1
1.4.2
1.4.3
Protección
.........................................................................6
antivirus
Protección
.........................................................................6
antispam
Aplicación
.........................................................................7
de reglas definidas por el usuario
1.5 Interfaz
........................................................................7
del usuario
2. Instalación
..................................................8
2.1
Instalación
........................................................................8
típica
2.2 Instalación
........................................................................9
personalizada
2.3 Terminal
........................................................................11
Server
2.4 Reemplazo
........................................................................12
por una versión más nueva
2.5 Roles........................................................................13
de Exchange Server: comparación de Edge y Hub
2.6 Roles........................................................................13
de Exchange Server 2013
2.7 Instalación
........................................................................13
en un entorno de clúster
2.8 Licencia
........................................................................15
2.9 Configuración
........................................................................17
posterior a la instalación
3. ESET Mail Security: protección de
Microsoft
Exchange Server
..................................................19
3.1
Configuración
........................................................................19
general
3.1.1
3.1.1.1
3.1.1.2
3.1.2
3.1.2.1
3.1.2.2
3.1.3
3.1.4
3.1.4.1
3.1.5
Microsoft
.........................................................................19
Exchange Server
VSAPI (Interfaz de programación para aplicaciones
de detección
........................................................................19
de virus)
Agente
........................................................................19
de transporte
Reglas
.........................................................................21
Agregado
........................................................................22
de una nueva regla
Acciones
........................................................................23
emprendidas en la aplicación de reglas
Archivos
.........................................................................24
de registro
Cuarentena
.........................................................................25
de mensajes
Agregado
........................................................................26
de una nueva regla de cuarentena
Rendimiento
.........................................................................27
3.2 Configuración
........................................................................27
antivirus y antispyware
3.4
3.2.1
Microsoft
.........................................................................27
Exchange Server
3.2.1.1
Interfaz de programación para aplicaciones de
4.
detección
........................................................................28
de virus (VSAPI)
3.2.1.1.1
Microsoft
..........................................................................28
Exchange Server 5.5 (VSAPI 1.0)
3.2.1.1.1.1 Acciones
.........................................................................28
4.1
3.2.1.1.1.2 Rendimiento
.........................................................................29
3.2.1.1.2
Microsoft
..........................................................................29
Exchange Server 2000 (VSAPI 2.0)
.........................................................................29
.........................................................................30
3.2.1.1.3
Microsoft
..........................................................................30
Exchange Server 2003 (VSAPI 2.5)
.........................................................................31
.........................................................................31
3.2.1.1.4
Microsoft
..........................................................................32
Exchange Server 2007/2010 (VSAPI 2.6)
.........................................................................32
.........................................................................33
3.2.1.1.5
Agente
..........................................................................34
de transporte
3.2.2
Acciones
.........................................................................35
3.2.3
Alertas
.........................................................................35
y notificaciones
3.2.4
Exclusiones
.........................................................................36
automáticas
3.3 Protección
........................................................................37
antispam
3.3.1
3.3.1.1
3.3.1.2
Microsoft
.........................................................................38
Exchange Server
Agente
........................................................................38
de transporte
Conector
........................................................................39
y antispam POP3
3.3.2
3.3.2.1
3.3.2.1.1
3.3.2.1.1.1
3.3.2.1.1.2
3.3.2.1.1.1
3.3.2.1.2
3.3.2.1.3
3.3.2.1.3.1
3.3.2.1.3.1
3.3.2.1.3.2
3.3.2.1.3.3
3.3.2.1.3.1
3.3.2.1.3.4
3.3.2.1.4
3.3.2.1.4.1
3.3.2.1.4.2
3.3.2.1.4.3
3.3.2.1.4.4
3.3.2.1.4.5
3.3.2.1.4.6
3.3.2.1.4.7
3.3.2.1.4.8
3.3.2.1.4.9
3.3.2.1.5
3.3.2.1.5.1
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.3
3.3.2.1.5.1
3.3.2.1.6
3.3.2.1.7
3.3.2.1.8
3.3.2.1.8.1
3.3.2.1.8.2
3.3.2.1.9
3.3.2.1.10
3.3.2.1.11
3.3.2.1.11.1
3.3.2.1.11.2
3.3.2.1.11.3
3.3.2.1.11.4
3.3.2.1.12
3.3.2.1.13
3.3.2.1.14
3.3.3
Motor
.........................................................................40
antispam
Configuración de los parámetros del motor
antispam
........................................................................40
Análisis
..........................................................................40
Muestras
.........................................................................41
SpamCompiler
.........................................................................41
Lista
.........................................................................41
de archivos de la memoria caché
Entrenamiento
..........................................................................41
Reglas
..........................................................................42
Ponderación
.........................................................................43
de una regla
Agregado
.........................................................................43
de la ponderación de una regla
Lista
.........................................................................43
de archivos de regla descargados
Ponderación
.........................................................................43
de una categoría
Agregado
.........................................................................43
de la ponderación de una categoría
Listas
.........................................................................43
de reglas personalizadas
Filtrado
..........................................................................44
Remitentes
.........................................................................44
permitidos
Remitentes
.........................................................................44
bloqueados
Direcciones
.........................................................................44
IP permitidas
Direcciones
.........................................................................44
IP ignoradas
Direcciones
.........................................................................44
IP bloqueadas
Dominios
.........................................................................45
permitidos
Dominios
.........................................................................45
ignorados
Dominios
.........................................................................45
bloqueados
Remitentes
.........................................................................45
suplantados
Verificación
..........................................................................45
RBL
.........................................................................45
(Listas de bloqueo en tiempo real)
Lista
.........................................................................45
de servidores RBL
LBL
.........................................................................46
(Listas de últimos bloqueos)
Lista
.........................................................................46
de servidores LBL
Lista
.........................................................................46
de direcciones IP omitidas
DNSBL
.........................................................................46
(Listas de bloqueo DNS)
Lista
.........................................................................46
de servidores DNSBL
DNS
..........................................................................46
Puntaje
..........................................................................47
Señuelo
..........................................................................47
para spam
Direcciones
.........................................................................47
señuelo para spam
Direcciones
.........................................................................47
consideradas como inexistentes
Comunicación
..........................................................................48
Rendimiento
..........................................................................48
Configuración
..........................................................................48
regional
Lista
.........................................................................49
de idiomas preferidos
Lista
.........................................................................50
de países de origen
Lista
.........................................................................54
de países bloqueados
Lista
.........................................................................54
de conjunto de caracteres bloqueados
Archivos
..........................................................................54
de registro
Estadísticas
..........................................................................55
Opciones
..........................................................................55
Alertas
.........................................................................55
y notificaciones
Preguntas
........................................................................56
frecuentes
ESET Mail Security: protección del
servidor
..................................................59
Protección
........................................................................59
antivirus y antispyware
4.1.1
4.1.1.1
4.1.1.1.1
4.1.1.1.2
4.1.1.1.3
4.1.1.2
4.1.1.3
4.1.1.4
4.1.1.5
4.1.2
4.1.2.1
4.1.2.1.1
4.1.2.2
4.1.2.2.1
Protección
.........................................................................59
del sistema de archivos en tiempo real
Configuración
........................................................................59
del control
Medios
..........................................................................60
para explorar
Exploración
..........................................................................60
accionada por un suceso
Opciones
..........................................................................60
avanzadas de exploración
Niveles
........................................................................61
de desinfección
Cuándo modificar la configuración de la
protección
........................................................................61
en tiempo real
Verificación
........................................................................62
de la protección en tiempo real
Qué hacer si la protección en tiempo real no
funciona
........................................................................62
Protección
.........................................................................63
del cliente de correo electrónico
Verificación
........................................................................63
de POP3
Compatibilidad
..........................................................................64
Integración
........................................................................64
con los clientes de correo electrónico
Adhesión de mensajes de etiqueta al cuerpo de los
correos
..........................................................................65
electrónicos
4.1.2.3
4.1.3
4.1.3.1
4.1.3.1.1
4.1.3.1.2
4.1.4
4.1.4.1
4.1.4.1.1
4.1.4.1.2
4.1.4.2
4.1.4.3
4.1.4.4
4.1.5
4.1.6
4.1.6.1
4.1.6.1.1
4.1.6.1.2
4.1.7
4.1.7.1
4.1.7.2
4.1.7.3
4.1.7.4
4.1.7.5
4.1.7.6
4.1.8
Eliminación
........................................................................66
de infiltraciones
Protección
.........................................................................66
del acceso a la Web
HTTP,
........................................................................66
HTTPS
Administración
..........................................................................67
de direcciones
Modo
..........................................................................68
activo
Exploración
.........................................................................69
bajo demanda del equipo
Tipo
........................................................................70
de exploración
Exploración
..........................................................................70
inteligente
Exploración
..........................................................................70
personalizada
Objetos
........................................................................71
para explorar
Perfiles
........................................................................71
de exploración
Línea
........................................................................72
de comandos
Rendimiento
.........................................................................74
Filtrado
.........................................................................74
de protocolos
SSL........................................................................74
Certificados
..........................................................................75
de confianza
Certificados
..........................................................................75
excluidos
Configuración de los parámetros del motor
ThreatSense
.........................................................................75
Configuración
........................................................................76
de objetos
Opciones
........................................................................76
Desinfección
........................................................................78
Extensiones
........................................................................79
Límites
........................................................................79
Otros
........................................................................80
Detección
.........................................................................80
de una infiltración
4.3.1
4.3.2
Finalidad
.........................................................................92
de la programación de tareas
Creación
.........................................................................93
de tareas nuevas
4.7.3
4.7.4
4.7.4.1
4.7.4.2
4.7.4.3
4.7.4.4
4.7.4.5
4.7.4.6
4.7.5
4.7.5.1
Selección
.........................................................................115
de objetos
Configuración
.........................................................................115
Carpetas
........................................................................115
ESET
........................................................................116
Antivirus
Configuración
........................................................................116
avanzada
Protocolo
........................................................................116
de Internet
Dispositivo
........................................................................117
USB de inicio
Grabación
........................................................................117
Trabajo
.........................................................................117
con ESET SysRescue
Utilización
........................................................................117
de ESET SysRescue
4.8 Opciones
........................................................................118
de la interfaz del usuario
4.8.1
4.8.2
Alertas
.........................................................................119
y notificaciones
Deshabilitación de la interfaz gráfica del usuario
en
.........................................................................120
Terminal Server
4.9 eShell
........................................................................121
4.9.1
4.9.2
Uso
.........................................................................122
Comandos
.........................................................................125
4.10 Importación
........................................................................127
y exportación de una configuración
4.11 ThreatSense.Net
........................................................................127
4.11.1
4.11.2
4.11.3
Archivos
.........................................................................129
sospechosos
Estadísticas
.........................................................................130
Envío
.........................................................................131
4.12 Administración
........................................................................132
remota
4.13 Licencias
........................................................................133
4.2 Actualización
........................................................................81
del programa
4.2.1
Configuración
.........................................................................83
de la actualización
5. Glosario
..................................................134
4.2.1.1
Perfiles
........................................................................84
de actualización
5.1 Tipos
........................................................................134
de infiltración
4.2.1.2
Configuración
........................................................................84
avanzada de la actualización
4.2.1.2.1
Modo
..........................................................................84
de actualización
5.1.1
Virus
.........................................................................134
4.2.1.2.2 Servidor
..........................................................................86
proxy
5.1.2
Gusanos
.........................................................................134
4.2.1.2.3 Conexión
..........................................................................88
a la red de área local
5.1.3
Troyanos
.........................................................................135
4.2.1.2.4 Creación
..........................................................................89
de copias de actualización: mirror
5.1.4
Rootkits
.........................................................................135
4.2.1.2.4.1 Actualización
.........................................................................90
desde el mirror
5.1.5
Adware
.........................................................................135
4.2.1.2.4.2 Resolución de problemas de actualización desde el
5.1.6
Spyware
.........................................................................136
mirror
.........................................................................91
5.1.7
Aplicaciones
.........................................................................136
potencialmente no seguras
4.2.2
Cómo
.........................................................................91
crear tareas de actualización
5.1.8
Aplicaciones
.........................................................................136
potencialmente no deseadas
4.3 Tareas
........................................................................92
programadas
5.2 Correo
........................................................................137
electrónico
4.4 Cuarentena
........................................................................94
4.4.1
4.4.2
4.4.3
Envío
.........................................................................94
de archivos a cuarentena
Restauración
.........................................................................95
desde cuarentena
Envío
.........................................................................95
de archivos desde cuarentena
4.5 Archivos
........................................................................96
de registro
4.5.1
4.5.2
4.5.3
Filtrado
.........................................................................99
de registros
Búsqueda
.........................................................................101
en el registro
Mantenimiento
.........................................................................102
de registros
4.6 ESET
........................................................................103
SysInspector
4.6.1
4.6.1.1
4.6.2
4.6.2.1
4.6.2.2
4.6.2.2.1
4.6.2.3
4.6.3
4.6.4
4.6.4.1
4.6.4.2
4.6.4.3
4.6.5
4.6.6
Introducción
.........................................................................103
a ESET SysInspector
Inicio
........................................................................103
de ESET SysInspector
Interfaz
.........................................................................104
del usuario y uso de la aplicación
Controles
........................................................................104
de programa
Navegación
........................................................................105
por ESET SysInspector
atajos
..........................................................................106
del teclado
Comparación
........................................................................108
Parámetros
.........................................................................109
de la línea de comandos
Script
.........................................................................109
de servicio
Generación
........................................................................109
de scripts de servicio
Estructura
........................................................................110
del script de servicio
Ejecución
........................................................................112
de scripts de servicio
Preguntas
.........................................................................112
frecuentes
ESET SysInspector como parte de ESET Mail
Security
.........................................................................114
4.7 ESET
........................................................................114
SysRescue
4.7.1
4.7.2
Requisitos
.........................................................................114
mínimos
Cómo
.........................................................................115
crear un CD de recuperación
5.2.1
5.2.2
5.2.3
5.2.4
5.2.4.1
5.2.4.2
5.2.4.3
5.2.4.4
5.2.4.5
Anuncios
.........................................................................137
Mensajes
.........................................................................137
falsos
Phishing
.........................................................................138
Reconocimiento
.........................................................................138
de fraudes de spam
Reglas
........................................................................138
Filtro
........................................................................139
bayesiano
Lista
........................................................................139
blanca
Lista
........................................................................139
negra
Control
........................................................................139
desde el servidor
1. Introducción
ESET Mail Security 4 para Microsoft Exchange Server es una solución integrada que protege los buzones de correo
ante diversos tipos de contenido malicioso, incluyendo archivos adjuntos de correo electrónico infectados por
gusanos o troyanos, documentos que contienen scripts dañinos, phishing y spam. ESET Mail Security proporciona
tres tipos de protección: antivirus, antispam y la aplicación de reglas definidas por el usuario. ESET Mail Security
filtra el contenido malicioso en el nivel del servidor de correo, antes de que llegue al buzón de entrada del
destinatario.
ESET Mail Security es compatible con la versión 2000 de Microsoft Exchange Server y versiones posteriores, así
como con Microsoft Exchange Server en un entorno de clúster. En las versiones más nuevas (Microsoft Exchange
Server 2007 y posteriores), también se soportan los roles específicos (buzón de correo, hub, edge). En redes más
grandes, es posible administrar ESET Mail Security en forma remota con la ayuda de ESET Remote Administrator.
A la vez que proporciona protección para el servidor Microsoft Exchange Server, ESET Mail Security también cuenta
con las herramientas para asegurar la protección del servidor en sí mismo (escudo residente, protección de acceso a
la Web, protección del cliente de correo electrónico y antispam).
1.1 ¿Qué hay de nuevo en la versión 4.5?
Al compararla con la versión 4.3 de ESET Mail Security, la versión 4.5 incluye las novedades y mejoras que se
mencionan a continuación:
Configuración de Antispam: fácilmente accesible en la de la interfaz gráfica de usuario para realizar cambios
mucho más convenientes para los administradores.
Soporte para Microsoft Exchange Server 2013
Soporte para Microsoft Windows Server 2012 / 2012 R2
1.2 Requisitos del sistema
Sistemas operativos compatibles:
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 (x86 y x64)
Microsoft Windows Server 2008 (x86 y x64)
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Small Business Server 2003 (x86)
Microsoft Windows Small Business Server 2003 R2 (x86)
Versiones compatibles de Microsoft Exchange Server:
Microsoft Exchange Server 2000 SP1, SP2, SP3
Microsoft Exchange Server 2003 SP1, SP2
Microsoft Exchange Server 2013
Los requisitos de hardware dependen de la versión del sistema operativo y de la versión utilizada de Microsoft
Exchange Server. Es recomendable leer la documentación del producto Microsoft Exchange Server para obtener
información más detallada sobre los requisitos de hardware.
5
1.3 Métodos usados
Se usan dos métodos independientes para explorar mensajes de correo electrónico:
Exploración de buzones de correo mediante VSAPI 6
Filtrado de mensajes en el nivel del servidor SMTP 6
1.3.1 Exploración de buzones de correo mediante VSAPI
Microsoft Exchange Server activa el proceso de exploración del buzón de correo y lo controla. Los correos
electrónicos en el almacén de Microsoft Exchange Server se exploran constantemente. Dependiendo de la versión
de Microsoft Exchange Server, la versión de la interfaz VSAPI y la configuración definida por el usuario, el proceso de
exploración puede activarse en cualquiera de las siguientes situaciones:
Cuando el usuario accede al correo electrónico, por ej., en un cliente de correo electrónico (el correo electrónico
siempre se explora con la última base de datos de firmas de virus)
En segundo plano, cuando el uso de Microsoft Exchange Server es bajo
En forma proactiva (basándose en el algoritmo interno de Microsoft Exchange Server)
Actualmente, la exploración antivirus y la protección basada en reglas utilizan la interfaz VSAPI.
1.3.2 Filtrado de mensajes en el nivel del servidor SMTP
El filtrado en el nivel del servidor SMTP se asegura mediante el uso de un complemento especial. En Microsoft
Exchange Server 2000 y 2003, el complemento en cuestión (Receptor de sucesos) se registra en el servidor SMTP
como parte de Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se
registra como un agente de transporte en el rol Edge o Hub de Microsoft Exchange Server.
El filtrado en el nivel del servidor SMTP por un agente de transporte ofrece protección antivirus, antispam y
mediante reglas definidas por el usuario. A diferencia del filtrado de VSAPI, el filtrado en el nivel del servidor SMTP se
realiza antes de que el correo electrónico explorado llegue al buzón de correo de Microsoft Exchange Server.
1.4 Tipos de protección
Existen tres tipos de protección:
1.4.1 Protección antivirus
La protección antivirus es una de las funciones básicas del producto ESET Mail Security. La protección antivirus
defiende el sistema ante ataques maliciosos mediante el control de archivos, correos electrónicos y comunicaciones
por Internet. Si se detecta una amenaza con códigos maliciosos, el módulo antivirus la puede eliminar
bloqueándola y luego desinfectándola, eliminándola o enviándola a cuarentena 94 .
1.4.2 Protección antispam
La protección antispam integra varias tecnologías (tales como RBL, DNSBL, huellas digitales, verificación de
reputación, análisis de contenido, filtro bayesiano, reglas, creación manual de listas blancas y negras, etc.) para
alcanzar el nivel máximo de detección de amenazas provenientes del correo electrónico. El resultado que arroja el
motor de exploración antispam es el valor de probabilidad que tiene un mensaje específico de correo electrónico
para ser considerado spam, expresado como un porcentaje (de 0 a 100).
Otro componente del módulo de protección antispam es la técnica de creación de listas grises (que por defecto se
encuentra deshabilitada). La técnica se basa en la especificación RFC 821, que indica que, como el protocolo SMTP
se considera un transporte no confiable, cada agente de transferencia de mensajes (MTA) debe intentar enviar
reiteradamente un correo electrónico al encontrarse con un error temporal en el envío. Una parte sustancial del
spam consiste en envíos que se realizan una sola vez (usando herramientas especializadas) a una lista masiva de
direcciones de correo electrónico generada automáticamente. Cuando un servidor usa listas grises, calcula un valor
de control (hash) para la ruta de retorno del remitente, la ruta de retorno del destinatario y la dirección IP del MTA
que realiza el envío. Si el servidor no logra encontrar el valor de control para el trío en su base de datos, se rehúsa a
recibir el mensaje y devuelve un código de error temporal (por ejemplo, error temporal 451). Un servidor legítimo
intentará volver a enviar el mensaje tras un lapso variable de tiempo. El valor de control del trío se guardará en la
6
base de datos de conexiones verificadas en el segundo intento, permitiendo que cualquier correo electrónico de
características relevantes se distribuya de ese momento en adelante.
1.4.3 Aplicación de reglas definidas por el usuario
La protección basada en reglas definidas por el usuario está disponible para explorar tanto con VSAPI como con el
agente de transporte. Puede utilizar la interfaz del usuario de ESET Mail Security para crear reglas individuales que
también se pueden combinar entre si. Si una regla usa varias condiciones, las condiciones se vincularán usando el
operador lógico AND. En consecuencia, la regla se ejecutará únicamente cuando se cumplan todas sus condiciones.
Si se crean varias reglas, se aplicará el operador lógico OR, lo que significa que el programa ejecutará la primera
regla para la cual se cumplan las condiciones.
En la secuencia de exploración, la primera técnica utilizada es la lista gris, si se encuentra habilitada. Los
procedimientos subsiguientes siempre ejecutarán estas técnicas: protección basada en las reglas definidas por el
usuario, luego, la exploración antivirus y, finalmente, una exploración antispam.
1.5 Interfaz del usuario
ESET Mail Security tiene interfaz gráfica de usuario (GUI) diseñada para ser tan intuitiva como sea posible. La GUI
ofrece a los usuarios acceso fácil y rápido a las funciones principales del programa.
Además de la interfaz gráfica principal, hay un Árbol de configuración avanzada, al que se puede acceder desde
cualquier sección del programa con la tecla F5.
Tras presionar la tecla F5, se abre la ventana del árbol de configuración avanzada y muestra una lista de
características del programa configurables. Desde esta ventana, se pueden configurar las opciones y preferencias
según las necesidades del usuario. La estructura con forma de árbol se divide en dos secciones: Protección del
servidor y Protección del equipo. La sección Protección del servidor contiene elementos relacionados a la
configuración de ESET Mail Security, específicos para la protección del servidor Microsoft Exchange. La sección
Protección del equipo contiene los elementos configurables para la protección del servidor en sí mismo.
7
2. Instalación
Luego de adquirir ESET Mail Security, el programa de instalación puede descargarse desde el sitio Web de ESET (
www.eset-la.com) como un paquete .msi.
Recuerde que no tiene que ejecutar el programa de instalación con la cuenta Administrador incorporado.
Cualquier otro usuario, sin importar si es miembro del grupo de Administradores, no tendrá los derechos de acceso
suficientes. Por esto, necesita usar una cuenta Administrador incorporada, ya que no podrá completar la
instalación exitosamente con otra cuenta de usuario que no sea la de Administrador.
Hay dos modos de ejecutar el programa de instalación:
Puede iniciar sesión localmente con las credenciales de cuenta del Administrador y sólo ejecutar el programa de
instalación
Puede iniciar sesión como otro usuario, pero debe abrir el símbolo de comandos con Ejecutar como... y tipo de
credenciales de cuenta del Administrador para que el comando se ejecute como Administrador, luego escriba en
el comando para ejecutar el programa de instalación (por ejemplo msiexec /i emsx_nt64_ENU.msi pero debe
reemplazar emsx_nt64_ENU.msi con el nombre de archivo exacto del programa de instalación msi que descargó)
Cuando ejecute el programa de instalación, el asistente de instalación lo guiará a través de la configuración básica.
Hay dos tipos de instalación disponibles con distintos niveles de detalles de configuración:
1. Instalación típica
2. Instalación personalizada
NOTA: Se recomienda firmemente instalar ESET Mail Security en un sistema operativo recién instalado y
configurado, de ser posible. Sin embargo, si necesita instalarlo en un sistema existente, la mejor forma de hacerlo
es desinstalar la versión anterior de ESET Mail Security, reiniciar el servidor y luego instalar la versión nueva ESET
Mail Security.
2.1 Instalación típica
El modo de instalación típica instala rápidamente ESET Mail Security con las mínimas opciones de configuración
durante el proceso de instalación. La instalación típica es el modo de instalación predeterminado y se recomienda si
usted aún no tiene requerimientos particulares sobre una configuración específica. Luego de haber instalado ESET
Mail Security en el sistema, puede modificar las opciones y la configuración en cualquier momento. Esta guía para
el usuario describe las opciones de configuración y las funciones en forma detallada. La configuración del modo de
instalación típica proporciona un excelente nivel de seguridad combinado con la facilidad de uso y un alto
rendimiento del sistema.
Tras seleccionar el modo de instalación y hacer clic en Siguiente, el programa le indicará que ingrese su nombre de
usuario y contraseña. Esta acción tiene un rol significativo para que el sistema cuente con protección constante, ya
que el nombre de usuario y la contraseña permiten las Actualizaciones 81 automáticas de la base de datos de
8
firmas de virus.
Ingrese el nombre de usuario y la contraseña recibidos cuando adquirió o registró el producto, en los campos
correspondientes. Si aún no posee un nombre de usuario y una contraseña, pueden ingresarse más tarde
directamente desde el programa.
En el paso siguiente (Administrador de licencias), agregue el archivo de licencia que recibió por correo electrónico
luego de adquirir el producto.
El próximo paso es configurar el Sistema de alerta temprana ThreatSense.Net. El sistema de alerta temprana
ThreatSense.Net ayuda a garantizar que ESET se mantenga informado en forma instantánea y continua sobre las
nuevas infiltraciones para proteger rápidamente a los clientes. El sistema permite enviar las nuevas amenazas al
laboratorio de amenazas de ESET, donde se analizan, procesan y agregan a la base de datos de firmas de virus. En
forma predeterminada se encuentra seleccionada la opción Habilitar el sistema de advertencia temprana
ThreatSense.Net. Haga clic en Configuración avanzada... para modificar las opciones detalladas de configuración
correspondientes al envío de archivos sospechosos.
El paso siguiente en el proceso de instalación consiste en configurar la Detección de aplicaciones potencialmente
no deseadas. Las aplicaciones potencialmente no deseadas no son necesariamente maliciosas, pero pueden
afectar el comportamiento de su equipo en forma negativa. Para más información, consulte el capítulo
Aplicaciones potencialmente no deseadas 136 .
Estas aplicaciones con frecuencia son parte de un paquete junto a otros programas y puede ser difícil advertirlas
durante el proceso de instalación. Aunque por lo general muestran una notificación durante su instalación, pueden
instalarse con facilidad sin el consentimiento del usuario.
Seleccione la opción Habilitar la detección de aplicaciones potencialmente no deseadas para permitir que ESET
Mail Security detecte este tipo de aplicaciones. Si no desea usar esta función, seleccione la opción Deshabilitar la
detección de aplicaciones potencialmente no deseadas.
El paso final en el modo de instalación típica es confirmar la instalación con un clic en el botón Instalar.
2.2 Instalación personalizada
La instalación personalizada está diseñada para los usuarios que desean configurar ESET Mail Security durante el
proceso de instalación.
Luego de seleccionar el modo de instalación y hacer clic en Siguiente, el programa le indicará que seleccione una
ubicación de destino para la instalación. En forma predeterminada, el programa se instala en C:\Archivos de
programa\ESET\ESET Mail Security. Haga clic en Examinar… para cambiar la ubicación (no recomendado).
A continuación, ingrese su Nombre de usuario y Contraseña. Este paso es similar al del modo de instalación típica
(ver Instalación típica 8 ).
En el paso siguiente (Administrador de licencias), agregue el archivo de licencia que recibió por correo electrónico
9
luego de adquirir el producto.
Tras ingresar el nombre de usuario y la contraseña, haga clic en Siguiente para Configurar su conexión aInternet.
Si usa un servidor proxy, debe estar bien configurado para que las actualizaciones de firmas de virus funcionen
correctamente. Si desea que el servidor proxy se configure automáticamente, seleccione la configuración
predeterminada Desconozco si mi conexión a Internet usa un servidor proxy. Use la misma configuración que
el explorador de internet (recomendado) y haga clic en Siguiente. Si no usa un servidor proxy, seleccione la
opción No uso servidor proxy.
Si prefiere ingresar los detalles del servidor proxy usted mismo, puede configurarlos en forma manual. Para
configurar el servidor proxy, seleccione Uso servidor proxy y haga clic en Siguiente. Ingrese la dirección IP o el URL
del servidor proxy en el campo Dirección. En el campo Puerto, especifique el puerto en el que el servidor proxy
aceptará las conexiones (el predeterminado es 3128). Si su servidor proxy requiere autenticación, ingrese un
Nombre de usuario y una Contraseña válidos para tener acceso al servidor proxy. Si lo desea, también puede
copiar la configuración del servidor proxy desde Internet Explorer. Cuando se hayan ingresado los detalles del
servidor proxy, haga clic en Aplicar y confirme la selección.
Haga clic en Siguiente para la configuración Configurar las opciones de actualización automática. Este paso
permite determinar cómo se manejarán las actualizaciones automáticas de componentes del programa en el
sistema. Haga clic en Cambiar... para acceder a la configuración avanzada.
Si no desea que se actualicen los componentes del programa, seleccione la opción Nunca actualizar los
componentes del programa. Seleccione la opción Preguntar antes de descargar componentes del programa
para mostrar una ventana de confirmación antes de descargar componentes del programa. Para descargar los
10
reemplazos de componentes del programa en forma automática, seleccione la opción Siempre actualizar los
componentes del programa.
NOTA: Luego de una actualización de componentes del programa, en general es necesario reiniciar el equipo. Es
recomendable seleccionar la opción Nunca reiniciar el equipo. Las últimas actualizaciones de componentes
tendrán efecto tras el siguiente reinicio del servidor (ya sea programado 92 , manual o de otra forma). Puede elegir
la opción Ofrecer reiniciar el equipo si es necesario si desea que el programa le recuerde reiniciar el servidor luego
de que los componentes se hayan actualizado. Con esta configuración, puede reiniciar el servidor de inmediato o
posponer el reinicio y realizarlo más tarde.
La siguiente ventana de instalación ofrece la opción de establecer una contraseña para proteger la configuración del
programa. Seleccione la opción Proteger las opciones de configuración mediante una contraseña e ingrese una
contraseña de su elección en los campos Nueva contraseña y Confirmar la nueva contraseña.
Los siguientes dos pasos de la instalación, Sistema de advertencia temprana ThreatSense.Net y Detección de
aplicaciones potencialmente no deseadas, son los mismos que los del modo de instalación típica (ver "Instalación
típica" 8 ).
Haga clic en Instalar en la ventana Preparado para instalar para finalizar la instalación.
2.3 Terminal Server
Si instaló ESET Mail Security en un servidor Windows que funciona como Terminal Server, es posible que quiera
deshabilitar la interfaz gráfica del usuario de ESET Mail Security para evitar que se inicie cada vez que se registre un
usuario. Para ver los pasos específicos para deshabilitarla, consulte el capítulo Deshabilitación de la interfaz gráfica
del usuario en Terminal Server 120 .
11
2.4 Reemplazo por una versión más nueva
Las versiones más nuevas de ESET Mail Security se emiten para poder mejorar el programa o para resolver
problemas que no se pueden solucionar mediante actualizaciones automáticas de los módulos del programa.
Puede actualizar a la última versión de ESET Mail Security mediante los siguiente métodos:
1. Reemplazar automáticamente mediante una actualización de componentes del programa (PCU)
Como los reemplazos de componentes del programa por una versión posterior se distribuyen a todos los usuarios
y pueden impactar en las configuraciones del sistema, se emiten luego de un largo período de prueba para
asegurar un proceso de actualización sin inconvenientes en todas las configuraciones de sistema posibles.
2. Manualmente, por ejemplo si necesita una actualización a una versión más nueva inmediatamente luego de su
lanzamiento o si desea una actualización a la próxima generación de ESET Mail Security (p. ej., de la versión 4.2 o
4.3 a la versión 4.5).
Puede realizar una actualización manual a una versión más nueva de dos maneras, en la ubicación (la versión más
reciente se instala encima de la versión existente) o mediante una instalación limpia (la versión anterior se
desinstala primero y luego se instala la versión más reciente).
Para realizar una actualización manual:
1. Actualización en la ubicación: Instale la versión más reciente encima de la versión existente de ESET Mail Security
siguiendo los pasos que se encuentran en el capítulo Instalación 8 . Todas las configuraciones existentes (incluida
la configuración antispam) se importarán automáticamente a la versión más nueva durante la instalación.
2. Inslatación limpia:
a) Exporte su configuración/opciones a un archivo xml mediante la característica Importar y exportar las
configuraciones 127 .
b) Abra este archivo .xml en un editor de xml asignado o en un editor de texto compatible con xml (por ej.
WordPad, Nodepad++, etc.), luego cambie el número de IDENTIFICACIÓN DE LA SECCIÓN en la tercera
línea a "1000404" para que se vea de esta manera:
<SECTION ID="1000404">
c) Descargue la herramienta EMSX AntispamSettingsExport desde este vínculo Artículo de base de
conocimiento . Guardar EMSX_AntispamSettingsExport.exe en el Exchange Server que está actualizando a la
versión más reciente de ESET Mail Security.
d) Ejecute la herramienta EMSX_AntispamSettingsExport.exe . La herramienta creará un archivo cfg.xml que
contiene la configuración antispam de la instalación existente de ESET Mail Security.
e) Descargue el archivo instalador msi para la versión más reciente de ESET Mail Security.
f) Copie el archivo cfg.xml creado por la herramienta EMSX AntispamSettingsExport a la misma ubicación
donde guardó el archivo instalador msi ESET Mail Security (por ej. emsx_nt64_ENU.msi).
g) Desinstale la versión existente de ESET Mail Security.
h) Ejecute el instalador msi para ESET Mail Security 4.5. La configuración antispam exportada a cfg.xml se
importará automáticamente a la nueva versión.
i) Cuando la instalación esté completa, importe la configuración del archivo xml que guardó y modificó en los
pasos a) y b) mediante la función Importar y exportar configuración 127 y un editor de xml para que pueda
utilizar su configuración anterior en la nueva versión de ESET Mail Security.
Después de realizar los pasos anteriores, habrá instalado la nueva versión de ESET Mail Security en su sistema con la
configuración personalizada anterior.
Para obtener más detalles relacionados con el proceso de actualización consulte este Artículo de la base de
conocimientos.
NOTA: Ambos procesos de actualización manual (en la ubicación y la instalación limpia) se aplican a la
actualización de ESET Mail Security la versión 4.2 o 4.3 a ESET Mail Security la versión 4.5 únicamente.
12
2.5 Roles de Exchange Server: comparación de Edge y Hub
En forma predeterminada, un servidor Transporte Edge cuenta con características antispam habilitadas y un
servidor Transporte Hub con características antispam deshabilitadas. En una organización Exchange con servidor
de transporte Edge, esta es la configuración deseada. Recomendamos que el servidor de transporte Edge tenga
activado el ESET Mail Security antispam configurado para filtrar los mensajes antes de que se enruten en la
organización Exchange.
El rol de Edge es la ubicación preferida para la exploración antispam ya que permite a ESET Mail Security rechazar el
spam durante la primera etapa del proceso sin sobrecargar innecesariamente los niveles de red. Con esta
configuración, ESET Mail Security filtra los mensajes entrantes en el servidor de transporte Edge, para que puedan
moverse con seguridad al servidor de transporte Hub sin necesidad de un filtro adicional.
Si su organización no utiliza el servidor Transporte Edge y solo cuenta con el servidor Transporte Hub, se
recomienda habilitar las características antispam en el servidor Transporte Hub que reciba mensajes entrantes
desde Internet a través de SMTP.
2.6 Roles de Exchange Server 2013
La arquitectura de Exchange Server 2013 es diferente a versiones anteriores de Microsoft Exchange. En Exchange
2013 hay solo dos roles de servidor, el servidor de Acceso del cliente y el servidor de Casilla de correo. Si está
planeando proteger Microsoft Exchange 2013 con ESET Mail Security, asegúrese de instalarlo ESET Mail Security en
un sistema que ejecute Microsoft Exchange 2013 con el rol del servidor de la Casilla de correo. El rol del servidor de
Acceso del cliente no es compatible con ESET Mail Security.
Existe una excepción si está planeando instalar ESET Mail Security en Windows SBS (Small Business Server). En el
caso de Windows SBS todos los roles de intercambio se ejecutan en el mismo servidor, además ESET Mail Security
funcionará bien y proporcionará todos sus tipos de protecciones, incluidos los de servidor de correos.
Sin embargo, si instala ESET Mail Security en un sistema solo con el rol del servidor de acceso del cliente en
ejecución, las características más importantes de ESET Mail Security no funcionarán, especialmente los servidores
de correo. En este caso, solo funcionará la protección del sistema de archivos de tiempo real y algunos
componentes que pertenecen a Protección del equipo 59 , entonces no habrá protección del servidor de correos en
absoluto. Esta es la razón por la cual no recomendamos instalar ESET Mail Security en un servidor con el rol de
servidor de acceso para clientes. Esto no se aplica a Windows SBS (Small Business Server) como se menciona más
arriba.
NOTA: Debido a ciertas restricciones técnicas de Microsoft Exchange 2013, ESET Mail Security no es compatible con
el rol del servidor de Acceso del cliente (CAS).
2.7 Instalación en un entorno de clúster
Un clúster es un grupo de servidores (un servidor conectado a un clúster se llama "nodo") que funcionan en forma
conjunta como si fueran un único servidor. Este tipo de entorno proporciona un nivel elevado de accesibilidad y
confiabilidad con respecto a los servicios disponibles. Si uno de los nodos del clúster falla o no se puede acceder a él,
su funcionamiento queda cubierto automáticamente por otro nodo del clúster. ESET Mail Security es
perfectamente compatible con servidores de Microsoft Exchange Server conectados en un clúster. Para que ESET
Mail Security funcione correctamente, es importante que cada nodo del clúster tenga la misma configuración. Esto
puede lograrse aplicando una política mediante ESET Remote Administrator (ERA). En los siguientes capítulos,
describiremos cómo instalar y configurar ESET Mail Security en servidores de un entorno de clúster usando ERA.
Instalación
Este capítulo explica el método de instalación impulsada; no obstante, no es la única manera de instalar un
producto en el equipo de destino. Para obtener más información sobre métodos de instalación adicionales,
consulte la Guía para el usuario de ESET Remote Administrator.
1) Descargue el paquete de instalación msi de ESET Mail Security desde el sitio Web de ESET en el equipo donde está
instalado ERA. En la pestaña Instalación remota de ERA, en Equipos, haga un clic derecho en cualquier equipo de
la lista y elija Administrar paquetes del menú contextual. En el menú desplegable Tipo, seleccione Paquete de
productos de seguridad de ESET y haga clic en Agregar... En Origen, encuentre el paquete de instalación de ESET
13
Mail Security descargado y haga clic en Crear.
2) En Modificar o seleccionar la configuración asociada a este paquete, haga clic en Editar y configure las
opciones de ESET Mail Security según sus necesidades. Las opciones de configuración de ESET Mail Security se
encuentran en las siguientes secciones: ESET Smart Security, ESET NOD32 Antivirus > Protección del servidor
de correo y Protección del servidor de correo para Microsoft Exchange Server. También puede establecer los
parámetros de otros módulos incluidos en ESET Mail Security (por ej., Módulo de actualización, Exploración del
equipo, etc.). Es recomendable exportar la configuración creada a un archivo xml que luego podrá usar, por ej., al
crear un paquete de instalación, aplicar una Tarea de configuración o una Política.
3) Haga clic en Cerrar. En la siguiente ventana de diálogo (¿Desea guardar los paquetes en el servidor?)
seleccione Sí y escriba el nombre del paquete de instalación. El paquete de instalación finalizado (incluyendo el
nombre y la configuración) se guardará en el servidor. En la mayoría de los casos, este paquete se usa para realizar
instalaciones impulsadas, pero también es posible guardarlo como un paquete de instalación msi estándar y usarlo
en una instalación directa en el servidor (en el Editor de paquetes de instalación > Guardar como...).
4) Ahora que ya está listo el paquete de instalación, puede iniciar la instalación remota en los nodos de un clúster.
En la pestaña Instalación remota de ERA, Equipos, seleccione los nodos en donde desea instalar ESET Mail
Security (Ctrl + clic izquierdo o Mayús + clic izquierdo). Haga un clic derecho en cualquier equipo seleccionado y elija
la opciónInstalación impulsada del menú contextual. Usando los botones Establecer/Establecer todos,
establezca el Nombre de usuario y la Contraseña de un usuario en el equipo de destino (debe ser un usuario con
derechos de administrador). Haga clic en Siguiente para elegir el paquete de instalación e inicie el proceso de
instalación remota haciendo clic en Finalizar. El paquete de instalación que contiene ESET Mail Security con las
opciones de configuración personalizadas se instalarán en los equipos o nodos de destino seleccionados. En poco
tiempo, los clientes con ESET Mail Security aparecerán en la pestaña Clientes de ERA. Ahora ya puede administrar
los clientes en forma remota.
NOTA: Para un proceso de instalación remota sin problemas, es necesario que tanto los equipos de destino como el
ERA Server cumplan con ciertas condiciones. Para obtener más detalles, consulte la Guía para el usuario de ESET
Remote Administrator.
Configuración
Para que ESET Mail Security funcione correctamente en los nodos de un clúster, todos los nodos siempre deben
tener la misma configuración. Si se siguió el método de instalación impulsada como se explica arriba, se cumple
esta condición. Sin embargo, hay una posibilidad de que se cambie la configuración por error, lo que provoca
inconsistencias entre los productos de ESET Mail Security dentro de un clúster. Puede prevenirlo usando una
política en ERA. Una política es muy similar a una tarea de configuración estándar: envía a los clientes la
configuración definida en el Editor de configuración. Una política difiere de una tarea de configuración porque se
aplica a los clientes en forma continua. Por lo tanto, se puede definir una política como una configuración que se
impone regularmente a un cliente o grupo de clientes.
En ERA > Herramientas > Administrador de políticas..., hay varias opciones sobre cómo usar una política. La
opción más sencilla es usar laPolítica principal predeterminada que también suele servir como Política
predeterminada para clientes principales. Este tipo de política se aplica en forma automática a todos los clientes
actualmente conectados (en este caso, a todos los productos de ESET Mail Security dentro de un clúster). Puede
configurar la política haciendo clic en Editar..., o utilizar la configuración existente guardada en el archivo xml, si ya
ha creado uno.
La segunda opción es crear una nueva política (Agregar nueva política secundaria) y usar la opción Agregar
clientes... para asignar todos los productos de ESET Mail Security a esta política.
Esta configuración asegura que se aplique una única política con la misma configuración a todos los clientes. Si
desea modificar la configuración existente de un servidor de ESET Mail Security en un clúster, será suficiente con
editar la política actual. Los cambios se aplicarán a todos los clientes asignados a esta política.
NOTA: Para obtener información más detallada sobre las políticas, consulte la Guía para el usuario de ESET Remote
Administrator.
14
2.8 Licencia
Un paso muy importante es ingresar la licencia de ESET Mail Security para Microsoft Exchange Server. Sin ella, la
protección del correo electrónico en el servidor Microsoft Exchange Server no funcionará correctamente. Si no
agrega el archivo de licencia durante la instalación, puede hacerlo luego en la configuración avanzada, en Varios >
Licencias.
ESET Mail Security permite usar varias licencias en forma simultánea combinándolas, como se describe a
continuación:
1) Se combinan dos o más licencias del mismo cliente (es decir, licencias asignadas al mismo nombre de cliente) y la
cantidad de buzones de correo explorados se incrementa en dicha cantidad. El administrador de licencias
continuará mostrando ambas licencias.
2) Se combinan dos o más licencias de distintos clientes. Esto ocurre exactamente de la misma forma que en el
primer caso (el punto 1 explicado arriba), con la única diferencia de que al menos una de las licencias en cuestión
debe tener un atributo especial. Dicho atributo se requiere para combinar licencias de distintos clientes. Si está
interesado en usar dicha licencia, pídale a su distribuidor local que la genere para usted.
NOTA: El período de validez de la nueva licencia creada está determinado por la primera fecha de vencimiento entre
todas las licencias que la constituyen.
ESET Mail Security para Microsoft Exchange Server (EMSX) compara la cantidad de buzones de correo para el
directorio activo con la cantidad permitida por la licencia. Cada directorio activo del servidor Exchange Server se
verifica para determinar la cantidad total de buzones de correo. Los buzones de correo del sistema, los buzones de
correo desactivados y los alias de correo electrónico no se incluyen en la cuenta de buzones de correo. En un
entorno de clúster, los nodos con rol de buzón de correo en clúster tampoco se incluyen en la cuenta de buzones de
correo.
Para determinar cuántos buzones de correo habilitados de Exchange tiene, abra Usuarios y equipos de Active
Directory en el servidor. Haga un clic derecho en el dominio y haga clic en Buscar.... A continuación, desde el menú
desplegable Buscar, seleccione Búsqueda personalizada y haga clic en la pestaña Avanzado. Pegue la siguiente
solicitud de Protocolo ligero de acceso a directorios (LDAP) y haga clic en Buscar ahora:
(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(!
(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!
userAccountControl:1.2.840.113556.1.4.803:=2))
15
Si la cantidad de buzones de correo en el directorio activo excede la cantidad permitida por la licencia, se ingresará
el siguiente mensaje en el registro de Microsoft Exchange Server: "Cambió el estado de protección debido a que la
cantidad de buzones de correo (cantidad) excede el límite permitido por su licencia (cantidad)". Asimismo, ESET
Mail Security notificará el problema cambiando el ícono del Estado de protección al color naranja y mostrando un
mensaje donde le informará que le quedan 42 días antes de que se deshabilite la protección. Si recibe esta
notificación, póngase en contacto con su representante de ventas para adquirir las licencias adicionales.
Si transcurre el período de 42 días y no agregó las licencias requeridas para cubrir los buzones de correo excedentes,
el Estado de protección cambiará al color rojo. El mensaje le informará que su protección está deshabilitada. Si
recibe esta notificación, póngase en contacto inmediatamente con su representante de ventas para adquirir las
licencias adicionales.
16
2.9 Configuración posterior a la instalación
Después de la instalación del producto, es necesario configurar varias opciones.
Configuración de la protección antispam
Esta sección describe las opciones de configuración, los métodos y técnicas que se pueden utilizar para proteger su
red del spam. Se recomienda leer cuidadosamente las siguientes instrucciones antes de elegir la combinación de
opciones de configuración más apropiada para su red.
Administración de spam
Para asegurar que el nivel de protección antispam sea alto, debe establecer las acciones que se aplicarán a los
mensajes ya marcados como SPAM.
Hay tres opciones disponibles:
1. Eliminación de los mensajes de spam
Los criterios que usa ESET Mail Security para marcar un mensaje como SPAM son razonablemente estrictos, lo
que reduce las posibilidades de eliminar los correos electrónicos legítimos. Cuanto más específica sea la
configuración del antispam, la probabilidad de eliminar correos electrónicos legítimos será menor. Las ventajas
de este método incluyen un consumo muy bajo de recursos del sistema y menos administración. La desventaja es
que, si se elimina un correo electrónico legítimo, no puede restaurarse en forma local.
2. Cuarentena
Esta opción elimina el riesgo de borrar correos electrónicos legítimos. Los mensajes pueden restaurarse y volver a
enviarse a los destinatarios originales de inmediato. Las desventajas de este método son el mayor consumo de
recursos del sistema y el tiempo adicional requerido para el mantenimiento de la cuarentena de correo
electrónico. Existen dos métodos para poner un correo electrónico en cuarentena:
A. Cuarentena del servidor interno Exchange Server (aplicable solo para Microsoft Exchange Server
2007/2010):
- Si desea usar la cuarentena del servidor interno, asegúrese de que el campo Cuarentena común de
mensajes en el panel derecho del menú de configuración avanzada (debajo de Protección del servidor >
Cuarentena de mensajes) quede vacío. También corrobore que esté seleccionada la opción Poner mensaje
en cuarentena en el sistema del servidor de correo en el menú desplegable ubicado en la parte inferior.
Este método solo funciona si existe la cuarentena interna de Exchange. En forma predeterminada, esta
cuarentena interna de Exchange no está activada. Para activarla, es necesario abrir la Consola de
administración de Exchange y escribir el siguiente comando:
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(reemplace [email protected] por el buzón de correo real que Microsoft Exchange usará como buzón
de correo interno para la cuarentena, p. ej., [email protected])
B. Buzón de correo de cuarentena personalizado:
- Si escribe el buzón de correo deseado en el campo Cuarentena común de mensajes, ESET Mail Security
enviará todos los mensajes nuevos de spam a dicha casilla personalizada.
Para conocer más detalles sobre la Cuarentena y los distintos métodos, consulte el capítulo Cuarentena de
mensajes 25 .
3. Reenvío de spam
El spam se reenviará al destinatario. No obstante, ESET Mail Security completará el encabezado MIME pertinente
de cada mensaje con el valor de SCL. Según el valor de SCL, el filtro de mensajes inteligente (IMF) del servidor
Exchange Server ejecutará la acción relevante.
Filtrado de spam
17
Creación de listas grises
La creación de listas grises es un método para proteger a los usuarios del spam mediante la técnica que se explica a
continuación: El agente de transporte envía un valor devuelto SMTP de "rechazo temporal" (el predeterminado es
451/4.7.1) por cualquier correo electrónico de un remitente que no conozca. Un servidor legítimo intentará volver a
enviar el mensaje. Por lo general, los remitentes de mensajes no deseados no intentan reenviar los mensajes porque
hacen envíos a miles de direcciones de correo electrónico por vez y no suelen perder tiempo extra reenviando el
spam.
Al evaluar la fuente del mensaje, el método tiene en cuenta la configuración de las listas de Direcciones IP
aprobadas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP en el servidor de Exchange, así como la
configuración de la propiedad Omitir antispam para el buzón de correo del destinatario. La función de creación de
listas grises debe configurarse en forma minuciosa; de lo contrario pueden producirse fallas de funcionamiento
(como demoras en las distribuciones de mensajes legítimos, etc.). Los efectos negativos disminuyen a medida que
este método va completando la lista blanca interna con conexiones de confianza. Si no está familiarizado con este
método o si considera que los efectos secundarios negativos son inaceptables, se recomienda deshabilitarlo en el
menú de configuración avanzada, bajo Protección antispam > Microsoft Exchange Server > Agente de
transporte > Habilitar las listas grises.
Es recomendable deshabilitar la creación de listas grises si pretende evaluar las funciones básicas del producto y no
desea configurar las características avanzadas del programa.
NOTA: La creación de listas grises es una capa adicional de protección antispam y no produce ningún efecto en la
capacidad del módulo antispam para evaluar spam.
Configuración de la protección antivirus
Cuarentena
Según el tipo de modo de desinfección que esté utilizando, se recomienda configurar la acción que se realizará con
los mensajes infectados (no desinfectados). La opción se puede configurar en la ventana de configuración avanzada
Protección del servidor > Antivirus y antispyware > Microsoft Exchange Server > Agente de transporte.
Si la opción para mover los mensajes a la cuarentena de correo electrónico está habilitada, debe configurar la
cuarentena desde Protección del servidor > Cuarentena de mensajesen la ventana de configuración avanzada.
Rendimiento
Si no hay otras restricciones, se recomienda incrementar la cantidad de motores de exploración ThreatSense en la
ventana de configuración avanzada (F5), en Protección del equipo > Antivirus y antispyware > Rendimiento,
según la siguiente fórmula: cantidad de motores de exploración ThreatSense = (cantidad de CPU físicas x 2) + 1. Además, la
Cantidad de subprocesos de exploración debe ser igual a la cantidad de motores de exploración ThreatSense. Puede
configurar la cantidad de subprocesos explorados en Protección del equipo > Antivirus y antispyware >
Microsoft Exchange Server > VSAPI > Rendimiento. A continuación se muestra un ejemplo:
Supongamos que usted tiene un servidor con 4 CPU físicas. Para el mejor rendimiento posible, según la fórmula
indicada arriba, debería tener 9 subprocesos de exploración y 9 motores de exploración.
NOTA: El valor aceptable es entre 1 y 20, por lo que la cantidad máxima de motores de exploración ThreatSense que
puede utilizar es 20. El cambio se aplicará solo tras reiniciar el sistema.
NOTA: Es recomendable que establezca la misma cantidad de subprocesos de exploración que la cantidad de
motores de exploración ThreatSense utilizados. Si usa más subprocesos de exploración que motores de
exploración, no tendrá ningún efecto en el rendimiento.
NOTA: Si está utilizando ESET Mail Security en un servidor Windows que funciona como Terminal Server y no quiere
que la interfaz gráfica del usuario de ESET Mail Security se abra cada vez que se registre un usuario, consulte el
capítulo Deshabilitación de la interfaz gráfica del usuario en Terminal Server 120 para ver los pasos específicos para
deshabilitarla.
18
3. ESET Mail Security: protección de Microsoft Exchange Server
ESET Mail Security ofrece una protección significativa para Microsoft Exchange Server. Existen tres tipos esenciales
de protección: antivirus, antispam y la aplicación de reglas definidas por el usuario. ESET Mail Security protege ante
diversos tipos de contenido malicioso, incluyendo archivos adjuntos de correo electrónico infectados por gusanos o
troyanos, documentos que contienen scripts dañinos, phishing y spam. ESET Mail Security filtra el contenido
malicioso en el nivel del servidor de correo, antes de que llegue al cliente de correo electrónico y al buzón de entrada
del destinatario. Los próximos capítulos describen las opciones y configuraciones disponibles para que el usuario
ajuste la protección de Microsoft Exchange Server.
3.1 Configuración general
Esta sección explica cómo administrar las reglas, los archivos de registro, la cuarentena de mensajes y los
parámetros de rendimiento.
3.1.1 Microsoft Exchange Server
3.1.1.1 VSAPI (Interfaz de programación para aplicaciones de detección de virus)
Microsoft Exchange Server proporciona un mecanismo para asegurarse de que cada componente de un mensaje se
explore según la base de datos de firmas de virus actual. Si un componente de un mensaje no está explorado, el
componente correspondiente se envía al módulo de exploración antes de distribuir el mensaje al cliente. Cada
versión compatible con Microsoft Exchange Server (2000/2003/2007/2010) ofrece una versión diferente de VSAPI.
Utilice la casilla de verificación para habilitar/deshabilitar el inicio automático de la versión de VSAPI usada por su
servidor Exchange Server.
3.1.1.2 Agente de transporte
Esta sección permite configurar el agente de transporte para que se inicie automáticamente y establecer la
prioridad de carga del agente. En Microsoft Exchange Server 2007 y versiones posteriores, solo es posible instalar
un agente de transporte si el servidor se encuentra en uno de estos dos roles: Transporte Edge o Transporte Hub.
NOTA: El agente de transporte no está disponible en Microsoft Exchange Server 5.5 (VSAPI 1.0).
En el menú Configuración de la prioridad del agente, puede seleccionar la prioridad de los agentes de ESET Mail
19
Security. El rango del número de la prioridad del agente depende de la versión de Microsoft Exchange Server (cuanto
más bajo es el número, la prioridad es mayor).
Escribir el nivel de confianza contra spam (SCL) en el encabezado de los mensajes explorados según el
puntaje de spam: el SCL es un valor normalizado que se asigna a los mensajes para indicar la probabilidad que
tienen de ser spam (basándose en las características del encabezado, asunto y contenido del mensaje, entre otras
cosas). El valor 0 indica que el mensaje prácticamente no tiene probabilidades de ser spam, mientras que el valor 9
indica que es muy posible que lo sea. El filtro inteligente de mensajes de Microsoft Exchange Server (o el agente de
filtrado de contenido) pueden seguir procesando los valores del SCL. Para obtener más información, consulte la
documentación de Microsoft Exchange Server.
Al eliminar mensajes, enviar una respuesta SMTP de rechazo:
Si esta opción no está seleccionada, el servidor envía una respuesta SMTP de aceptación al Agente de
transferencia de correo (MTA) con el formato '250 2.5.0 - Se aceptó y completó la acción solicitada para el correo'
y luego realiza una colocación silenciosa.
Si esta opción está seleccionada, se envía una respuesta SMTP de rechazo al MTA del remitente. Puede escribir un
mensaje de respuesta con el siguiente formato:
Código de respuesta
primaria
250
Código de estado secundario
Descripción
2.5.0
Se aceptó y completó la acción solicitada para el
correo
451
4.5.1
Se abortó la acción solicitada: error local de
procesamiento
550
5.5.0
No se ejecutó la acción solicitada: buzón de correo no
disponible
Advertencia: La sintaxis incorrecta en los códigos de respuesta SMTP puede provocar que los componentes del
programa no funcionen correctamente y que disminuya la eficacia.
NOTA: Cuando configure las respuestas SMTP de rechazo, también puede utilizar variables del sistema.
20
3.1.2 Reglas
El elemento del menú Reglas permite a los administradores definir manualmente las condiciones de filtrado de
correo electrónico y las acciones que se deben realizar con los mensajes de correo electrónico filtrados. Las reglas se
aplican en función de un grupo de condiciones combinadas. Las condiciones se combinan con el operador lógico
AND, de modo que la regla sólo se aplica cuando se cumplen todas las condiciones. La columna Número (al lado de
cada nombre de regla) muestra la cantidad de veces que se aplicó la regla correctamente.
Las reglas se verifican con respecto a un mensaje cuando el agente de transporte o la interfaz VSAPI lo procesan. Si
tanto el agente de transporte como VSAPI están habilitados y el mensaje concuerda con las condiciones de la regla,
el contador de la regla puede incrementarse en dos o más puntos. Esto se debe a que la interfaz VSAPI accede a
cada parte del mensaje en forma individual (cuerpo, archivo adjunto); en consecuencia, las reglas se aplican a cada
parte independientemente. Las reglas también pueden aplicarse durante una exploración en segundo plano (por
ej., la exploración reiterada del almacén de buzones de correo tras una actualización de la base de datos de firmas
de virus), lo que aumenta el valor del contador de la regla.
Agregar...: agrega una nueva regla
Editar... : modifica una regla existente
Quitar: quita una regla seleccionada
Borrar: borra el contador de reglas (la columna Aciertos)
Subir: mueve la regla seleccionada hacia arriba en la lista
Bajar: mueve la regla seleccionada hacia abajo en la lista
Cuando se anula la selección de una casilla de verificación (a la izquierda de cada nombre de regla), se desactiva la
regla actual. Esto permite que la regla pueda volver a reactivarse si es necesario.
NOTA: En la configuración de las reglas, también puede utilizar variables del sistema (por ej., %PATHEXT%).
NOTA: Si se agregó una nueva regla o se modificó una regla existente, se iniciará en forma automática una nueva
exploración de los mensajes usando las reglas nuevas o modificadas.
21
3.1.2.1 Agregado de una nueva regla
Este asistente lo guiará para agregar reglas especificadas por el usuario con condiciones combinadas.
NOTA: No todas las condiciones son aplicables cuando el agente de transporte explora el mensaje.
Por buzón de correo de destino: se aplica al nombre de un buzón de correo (VSAPI).
Por destinatario del mensaje: se aplica a un mensaje enviado a un destinatario especificado (VSAPI + TA).
Por remitente del mensaje: se aplica a un mensaje enviado por un remitente especificado (VSAPI + TA).
Por asunto del mensaje: se aplica a un mensaje con una línea de asunto especificado (VSAPI + TA).
Por cuerpo del mensaje: se aplica a un mensaje cuyo cuerpo contiene un texto específico (VSAPI).
Por archivo adjunto: se aplica a un mensaje con un nombre de archivo adjunto específico (VSAPI en Exchange
2000 y 2003, VSAPI + TA en Exchange 2007 y 2010)
Por tamaño del archivo adjunto: se aplica a un mensaje con un archivo adjunto que excede un tamaño definido
(VSAPI en Exchange 2000 y 2003, VSAPI + TA en Exchange 2007 y 2010)
Por frecuencia de repetición: se aplica a los objetos (cuerpo del correo electrónico o archivo adjunto) para los
cuales la cantidad de repeticiones dentro del intervalo de tiempo especificado excede el número ingresado
(VSAPI). Esto es especialmente útil si recibe con mucha frecuencia mensajes de spam con el mismo cuerpo del
correo electrónico o archivo adjunto.
Por tipo de archivo adjunto: se aplica a un mensaje con un archivo adjunto de un tipo de archivo específico (el
tipo de archivo se detecta por el contenido independientemente de su extensión) (VSAPI)
Al especificar las condiciones mencionadas arriba (excepto la condición Por tamaño del archivo adjunto), alcanza
con ingresar solo una parte de la frase, siempre y cuando la opción Coincidir palabras completas no esté
seleccionada. Los valores no distinguen mayúsculas de minúsculas, a menos que la opción Coincidir mayúsculas y
minúsculas esté seleccionada. Si utiliza valores que no sean caracteres alfanuméricos, enciérrelos entre paréntesis
y comillas. También puede crear condiciones con los operadores lógicos AND, OR y NOT.
NOTA: La lista de reglas disponibles depende de la versión instalada de Microsoft Exchange Server.
NOTA: Microsoft Exchange Server 2000 (VSAPI 2.0) únicamente evalúa el nombre del remitente/destinatario y no
la dirección de correo electrónico. Las direcciones de correo electrónico se evalúan a partir de Microsoft Exchange
Server 2003 (VSAPI 2.5) y versiones posteriores.
Ejemplo de ingreso de condiciones:
Por buzón de correo de
destino:
perez
Por remitente del
mensaje:
[email protected]
Por destinatario del
mensaje:
"J.Pérez" OR "[email protected]"
Por asunto del mensaje:
""
22
Por nombre de archivo
adjunto:
".com" OR ".exe"
Por cuerpo del mensaje:
("gratis" OR "lotería") AND ("ganar" OR "comprar")
3.1.2.2 Acciones emprendidas en la aplicación de reglas
Esta sección permite seleccionar las acciones que se realizarán con los mensajes y/o archivos adjuntos que
concuerden con las condiciones definidas en las reglas. Es posible no realizar ninguna acción, marcar el mensaje
como si tuviera una amenaza o como si fuera spam, o eliminar el mensaje completo. Cuando un mensaje o su
archivo adjunto coincide con las condiciones de la regla, no se explora con el módulo antivirus o antispam en la
forma predeterminada, a menos que la exploración se habilite expresamente seleccionando las casillas de
verificación respectivas en la parte inferior (entonces, la acción dependerá de la configuración antivirus/antispam).
Sin acción: no se realizará ninguna acción con el mensaje.
Realizar acción para amenazas no desinfectadas: se marcará el mensaje como si tuviera una amenaza no
desinfectada (independientemente de si contiene una amenaza o no).
Realizar acción para el correo electrónico no solicitado: se marcará el mensaje como si fuera spam
(independientemente de si lo es o no). Esta opción solo funcionará si se habilita la protección antispam 37 y si la
acción se realiza en el nivel de agente de transporte. De lo contrario, no se llevará a cabo esta acción
Eliminar mensaje: elimina por completo el mensaje cuyo contenido cumple las condiciones; sin embargo, esta
acción solo funciona con VSAPI 2.5 o posterior (VSAPI 2.0 y versiones posteriores no pueden realizar esta acción)
Poner el archivo en cuarentena: los archivos adjuntos que cumplen con el criterio de la regla serán puestos en la
cuarentena de archivos de ESET Mail Security, no confunda esta opción con la cuarentena de correo (para obtener
más información acerca de la cuarentena de correo, vea Cuarentena de mensajes 25 )
Enviar el archivo para su análisis: envía los archivos adjuntos sospechosos al laboratorio de ESET para su
análisis.
Enviar notificación de sucesos: envía una notificación al administrador (de acuerdo con la configuración en
Herramientas > Alertas y notificaciones).
Registrar: ingresa información sobre la regla aplicada en el registro del programa.
Evaluar otras reglas: permite utilizar otras reglas para la evaluación y habilita al usuario a definir varios grupos
de condiciones y varias acciones a seguir, según las condiciones.
Explorar con la protección antivirus y antispyware: explora el mensaje y sus archivos adjuntos en busca de
amenazas.
Explorar con la protección antispam: explora el mensaje en busca de spam.
NOTA: Esta opción sólo está disponible en Microsoft Exchange Server 2000 y versiones posteriores cuando el
agente de transporte está activado.
El último paso del asistente de creación de reglas nuevas consiste en asignar un nombre a cada regla creada.
También puede agregar un Comentario de regla. Esta información se almacenará en el registro de Microsoft
Exchange Server.
23
3.1.3 Archivos de registro
La configuración de los archivos de registro permite elegir qué datos se recopilarán en el archivo de registro. Aunque
un protocolo más detallado puede contener más información, quizá provoque demoras en el rendimiento del
servidor.
Si la Escritura sincronizada sin usar el caché está habilitada, todas las entradas de registro se escribirán de
inmediato en el archivo de registro sin almacenarse en el registro del caché. En forma predeterminada, los
componentes de ESET Mail Security que se ejecutan en Microsoft Exchange Server almacenan mensajes de registro
en su caché interno y los envían al registro de la aplicación en intervalos periódicos de tiempo para conservar el
rendimiento. Sin embargo, en este caso, es posible que las entradas de diagnóstico en el registro no estén en el
orden correcto. Es recomendable mantener esta configuración desactivada a menos que sea necesaria para
efectuar diagnósticos. Puede especificar el tipo de información almacenada en los archivos de registro en el menú
Contenido.
Registrar la aplicación de la regla: cuando esta opción está habilitada, ESET Mail Security escribe el nombre de
todas las reglas activadas en el archivo de registro.
Registrar el puntaje de spam: use esta opción para que la actividad relacionada con el spam se escriba en el
Registro antispam 96 . Cuando el servidor de correo reciba un mensaje de spam, la información correspondiente
se escribe en el registro, incluyendo detalles como Hora/Fecha, Remitente, Destinatario, Asunto, Puntaje de
SPAM, Motivo y Acción. Resulta útil cuando es necesario conocer qué mensajes de SPAM se recibieron, cuándo y
qué acción se llevó a cabo.
Registrar la actividad de las listas grises: habilite esta opción si desea que la actividad relacionada con las listas
grises se escriba en el Registro de listas grises 96 . Proporciona información como Fecha/Hora, Dominio HELO,
Dirección IP, Remitente, Destinatario, Acción, etc.
NOTA: Esta función solo funciona cuando la creación de listas grises está habilitada en las opciones del Agente de
transporte 38 , que se encuentran en Protección del servidor > Protección antispam > Microsoft Exchange
Server > Agente de transporte, en el árbol de configuración avanzada (F5).
Registrar el rendimiento: registra información sobre el intervalo de tiempo de una tarea realizada, el tamaño del
objeto explorado, la tasa de transferencia (KB/s) y la tasa de rendimiento.
Registrar la información de diagnóstico: registra la información de diagnóstico requerida para ajustar el
programa en conformidad con el protocolo; esta opción sirve principalmente para la depuración y la
identificación de problemas. No se recomienda tener esta opción activada. Para ver la información de diagnóstico
proporcionada por dicha función, deberá establecer el Nivel de detalle mínimo para los registros en Historiales de
24
diagnóstico, en la configuración de Herramientas > Archivos de registro > Nivel de detalle mínimo para los
registros.
3.1.4 Cuarentena de mensajes
La Cuarentena de mensajes es un buzón de correo especial definido por el administrador del sistema para
almacenar mensajes potencialmente infectados y SPAM. Los mensajes almacenados en cuarentena se pueden
explorar o desinfectar posteriormente con una base de datos de firmas de virus más reciente.
Hay dos tipos de sistemas de cuarentena de mensajes que se pueden usar.
Una opción es usar el sistema de cuarentena de Microsoft Exchange (solo se aplica para Microsoft Exchange Server
2007/2010). En este caso, el mecanismo interno de Exchange se usa para almacenar mensajes potencialmente
infectados y SPAM. En forma adicional, si es necesario puede agregar un buzón de correo de cuarentena separado (o
más de uno) para destinatarios específicos. Esto significa que los mensajes potencialmente infectados,
originalmente enviados a un destinatario específico, se remitirán a un buzón de correo de cuarentena separado en
lugar de enviarse al buzón de correo de cuarentena interno de Exchange. En algunos casos, esto puede resultar útil
para mantener más organizados los mensajes potencialmente infectados y el SPAM.
Otra opción es usar la Cuarentena común de mensajes. Si está usando una versión anterior de Microsoft
Exchange Server (5.5, 2000 o 2003), simplemente especifique Cuarentena común de mensajes, que es un buzón
de correo donde se almacenan mensajes potencialmente infectados. En este caso, el sistema de cuarentena interno
de Exchange no se usa. En cambio, se usa un buzón de correo especificado por el administrador del sistema con este
propósito. Como ocurre con la primera opción, se puede agregar un buzón de correo de cuarentena separado (o
más de uno) para destinatarios específicos. El resultado es que los mensajes potencialmente infectados se envían a
un buzón de correo separado en lugar de enviarse a la cuarentena común de mensajes.
25
Cuarentena común de mensajes: aquí puede especificar la dirección de la cuarentena común de mensajes (por
ej., [email protected]), o alternativamente puede usar el sistema de cuarentena interno de
Microsoft Exchange Server 2007/2010 dejando este campo vacío y seleccionando Poner mensaje en cuarentena
en el sistema del servidor de correo en el menú desplegable ubicado en la parte inferior (siempre y cuando
exista la cuarentena de Exchange en el entorno). Luego, los correos electrónicos se envían a la cuarentena
mediante el mecanismo interno de Exchange, usando su propia configuración.
NOTA: En forma predeterminada, esta cuarentena interna de Exchange no está activada. Para activarla, es
necesario abrir la Consola de administración de Exchange y escribir el siguiente comando:
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(reemplace [email protected] por el buzón de correo real que Microsoft Exchange usará como buzón de
correo interno para la cuarentena, por ej., [email protected])
Cuarentena de mensajes por destinatario: al usar esta opción, puede definir los buzones de correo de la
cuarentena de mensajes para varios destinatarios. Todas las reglas de cuarentena se pueden habilitar o
deshabilitar desde la casilla de verificación situada en su fila.
Agregar...: para agregar una regla de cuarentena nueva, ingrese la dirección de correo electrónico del
destinatario y la dirección de correo electrónico de cuarentena a la que se enviará el mensaje.
Editar...: editar una regla de cuarentena seleccionada
Quitar: quitar una regla de cuarentena seleccionada
Preferir cuarentena de mensaje común: si se habilita esta opción, el mensaje se enviará a la
cuarentena común especificada si se cumple más de una regla de cuarentena (p. ej., si un mensaje tiene
varios destinatarios y algunos de ellos se definen en varias reglas de cuarentena).
Mensaje destinado a una cuarentena de mensajes inexistente (si no especificó una cuarentena común de
mensajes, tiene las siguientes opciones con respecto a qué acción se puede llevar a cabo con los mensajes
posiblemente infectados y el SPAM)
Sin acción: el mensaje se procesará de la manera estándar; se enviará al destinatario (no recomendado)
Eliminar mensaje: el mensaje se eliminará si está dirigido a un destinatario sin una regla de cuarentena existente
y si no se especificó la cuarentena común de mensajes; esto significa que todos los mensajes posiblemente
infectados y el SPAM se eliminarán automáticamente sin guardarse en ninguna parte
Poner mensaje en cuarentena en el sistema del servidor de correo: el mensaje se enviará al sistema de
cuarentena interno de Exchange y se guardará allí (no disponible para Microsoft Exchange Server 2003 y
versiones anteriores)
NOTA: Al configurar las opciones de la cuarentena de mensajes, también puede utilizar variables del sistema (por
ej., %USERNAME%).
3.1.4.1 Agregado de una nueva regla de cuarentena
Ingrese la dirección de Correo electrónico del destinatario y la dirección de Correo electrónico para cuarentena en
los campos correspondientes.
Si desea eliminar un mensaje de correo electrónico dirigido a un destinatario que no cuenta con una regla de
cuarentena aplicada, puede seleccionar Eliminar el mensaje en el menú desplegable Mensaje destinado a una
cuarentena de mensajes inexistente:.
26
3.1.5 Rendimiento
En esta sección, puede definir la carpeta donde se almacenarán los archivos temporales para mejorar el
rendimiento del programa. Si no hay ninguna carpeta especificada, ESET Mail Security creará los archivos
temporales en la carpeta temporal del sistema.
NOTA: Para reducir el impacto potencial de la entrada/salida y la fragmentación, se recomienda ubicar la carpeta
temporal en un disco rígido diferente al que tenga instalado Microsoft Exchange Server. Recomendamos
firmemente evitar asignar la carpeta temporal a medios extraíbles, como disquetes, USB, DVD, etc.
NOTA: Puede utilizar variables del sistema al configurar los ajustes de rendimiento, (por ej., %SystemRoot%\TEMP).
3.2 Configuración antivirus y antispyware
Puede habilitar la protección antivirus y antispyware del servidor de correo seleccionando la opción Habilitar la
protección antivirus y antispyware del servidor. Tenga en cuenta que la protección antivirus y antispyware se
activa en forma automática cada vez que se reinicia el servicio/equipo. Se puede acceder a la configuración de los
parámetros del motor ThreatSense haciendo clic en el botón Configuración….
Cuando se trata de la protección antivirus y antispyware, ESET Mail Security para Microsoft Exchange Server usa
dos clases de exploración. Una explora los mensajes a través de VSAPI y la otra usa el agente de transporte.
La protección mediante VSAPI
28
explora los mensajes directamente dentro del almacén de Exchange Server.
La exploración del agente de transporte 34 explora el tráfico SMTP en vez de hacerlo en el almacén de Exchange
Server. Si este tipo de protección está habilitada, significa que todos los mensajes y sus componentes se exploran
durante el transporte, incluso antes de que lleguen al almacén de Exchange Server o antes de que se distribuyan
mediante SMTP. El filtrado en el nivel del servidor SMTP se asegura mediante el uso de un complemento especial.
En Microsoft Exchange Server 2000 y 2003, el complemento en cuestión (Receptor de sucesos) se registra en el
servidor SMTP como parte de Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el
complemento se registra como un agente de transporte en el rol Edge o Hub de Microsoft Exchange Server.
NOTA: El agente de transporte no está disponible en Microsoft Exchange Server 5.5; sin embargo, está disponible
en todas las versiones más actuales de Microsoft Exchange Server (desde la versión 2000 en adelante).
Es posible que la interfaz VSAPI y el agente de transporte de la protección antivirus y antispyware funcionen al
27
mismo tiempo (es la configuración predeterminada y recomendada). Como alternativa, puede elegir usar un sola
protección (ya sea VSAPI o el agente de transporte). Cada una puede habilitarse o deshabilitarse en forma
independiente. Es recomendable usar los dos tipos para asegurar la máxima protección antivirus y antispyware. No
es recomendable que ambos estén deshabilitados.
3.2.1.1 Interfaz de programación para aplicaciones de detección de virus (VSAPI)
Microsoft Exchange Server proporciona un mecanismo para asegurarse de que cada componente de un mensaje se
explore según la base de datos de firmas de virus actual. Si un mensaje no se exploró previamente, los componentes
correspondientes se envían al módulo de exploración antes de distribuir el mensaje al cliente. Cada versión
soportada de Microsoft Exchange Server (5.5/2000/2003/2007/2010) ofrece una versión diferente de VSAPI.
3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0)
Esta versión de Microsoft Exchange Server incluye la versión 1.0 de VSAPI.
Si la opción Exploración en segundo plano está habilitada, permite explorar todos los mensajes como un proceso
en segundo plano en el sistema. Microsoft Exchange Server decide si una exploración en segundo plano se ejecutará
o no basándose en diversos factores, como la carga actual del sistema, la cantidad de usuarios activos, etc.
Microsoft Exchange Server lleva un registro de los mensajes explorados y de la versión de la base de datos de firmas
de virus utilizada. Si está abriendo un mensaje que no se exploró con la base de datos de firmas de virus más actual,
Microsoft Exchange Server envía el mensaje a ESET Mail Security para su exploración antes de que el cliente de
correo electrónico lo abra.
Como la exploración en segundo plano puede afectar la carga del sistema (la exploración se realiza luego de cada
actualización de la base de datos de firmas de virus), es recomendable utilizar las tareas programadas de
exploración fuera de las horas laborales. La exploración en segundo plano programada se puede configurar
mediante la creación de una tarea especial en la sección de Tareas programadas. Cuando programa una tarea de
exploración en segundo plano, puede especificar la hora de inicio, la cantidad de repeticiones y otros parámetros
disponibles en las Tareas programadas. Luego de haber programado la tarea, ésta aparecerá en la lista de tareas
programadas y, como ocurre con las demás, será posible modificar sus parámetros, eliminarlas o desactivarla
temporalmente.
En esta sección puede especificar las acciones que se realizarán cuando un mensaje y/o archivo adjunto se evalúe
como infectado.
El campo Acción para realizar cuando no es posible desinfectar permite Bloquear el contenido infectado,
Eliminar el mensaje o dejar el contenido infectado intacto en el mensaje, Sin acción alguna. Esta acción solo se
aplicará si la desinfección automática (definida en Configuración de los parámetros del motor ThreatSense >
Desinfección 78 ) no desinfectó el mensaje.
El campo Eliminación permite establecer el Método de eliminación de archivos adjuntos para realizar una de las
siguientes opciones:
Truncar el archivo a una longitud de cero: ESET Mail Security trunca el archivo adjunto a un tamaño de cero y
permite que el destinatario vea el nombre y el tipo de archivo adjunto.
Reemplazar el archivo adjunto con información sobre la acción: ESET Mail Security reemplaza el archivo
adjunto con la descripción de una regla o un protocolo de virus.
Al hacer clic en el botón Volver a explorar, se ejecutará otra exploración en los mensajes que ya se habían
explorado.
28
Durante una exploración, Microsoft Exchange Server permite limitar el tiempo empleado en abrir los archivos
adjuntos de los mensajes. Este período se establece en el campo Límite de tiempo de respuesta (ms) y representa
el tiempo tras el cual el cliente volverá a intentar acceder al archivo que antes era inaccesible debido a la exploración
en curso.
3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0)
Si anula la selección de la opción Habilitar la protección antivirus y antispyware VSAPI 2.0, el complemento de
ESET Mail Security para el servidor Exchange Server no se sacará del proceso de Microsoft Exchange Server. Solo
pasará los mensajes sin explorarlos en busca de virus. De todas formas, el mensaje sí se explorará en busca de spam
38 y se aplicarán las reglas 21 .
Si la opción Exploración proactiva está habilitada, los nuevos mensajes entrantes se explorarán en el mismo orden
en que fueron recibidos. Cuando esta opción está habilitada y un usuario abre un mensaje aún no explorado, dicho
mensaje se explorará antes que los demás mensajes de la cola de espera.
La opción Exploración en segundo plano permite explorar todos los mensajes como un proceso en segundo plano
en el sistema. Microsoft Exchange Server decide si una exploración en segundo plano se ejecutará o no basándose
en diversos factores, como la carga actual del sistema, la cantidad de usuarios activos, etc. Microsoft Exchange
Server lleva un registro de los mensajes explorados y de la versión de la base de datos de firmas de virus utilizada. Si
está abriendo un mensaje que no se exploró con la base de datos de firmas de virus más actual, Microsoft Exchange
Server envía el mensaje a ESET Mail Security para su exploración antes de que el cliente de correo electrónico lo
abra.
temporalmente.
Si desea explorar mensajes de texto sin formato, seleccione la opción Explorar el texto sin formato del cuerpo de
los mensajes.
Al habilitar la opción Explorar el cuerpo de los mensajes RTF, se activa la exploración del cuerpo de los mensajes
RTF. El cuerpo de los mensajes RTF pueden contener virus de macro.
como infectado.
Eliminar el mensaje o dejar el contenido infectado intacto en el mensaje, Sin acción alguna. Esta acción solo se
aplicará si la desinfección automática (definida en Configuración de los parámetros del motor ThreatSense >
Desinfección 78 ) no desinfectó el mensaje.
La opción Eliminación permite determinar el Método de eliminación del mensaje y el Método de eliminación de
archivos adjuntos.
Puede configurar el Método de eliminación del mensaje para que realice las siguientes acciones:
Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado; el destinatario recibirá el mensaje vacío
y todos los archivos adjuntos que no estén infectados.
Sobrescribir el cuerpo del mensaje con información sobre la acción: sobrescribe el cuerpo del mensaje
infectado con información sobre las acciones realizadas.
29
Puede configurar el Método de eliminación de archivos adjuntos para que realice las siguientes acciones:
explorado.
En esta sección puede establecer la cantidad de subprocesos de exploración que se usan al mismo tiempo. La
existencia de más subprocesos en equipos con varios procesadores puede incrementar la tasa de exploración. Para
obtener el mejor rendimiento, es recomendable usar la misma cantidad de motores de exploración ThreatSense que
subprocesos de exploración.
El Límite de tiempo de respuesta (seg.) permite establecer el tiempo de espera máximo de un subproceso hasta
que finalice la exploración de un mensaje. Si la exploración no se termina dentro de el límite de tiempo especificado,
Microsoft Exchange Server denegará el acceso del cliente al correo electrónico. La exploración no se interrumpirá, y
cuando se haya finalizado, cada nuevo intento de acceder al archivo será satisfactorio.
SUGERENCIA: Para determinar la Cantidad de subprocesos de exploración recomendada por el proveedor de
Microsoft Exchange Server, utilice la siguiente fórmula: [cantidad de procesadores físicos] x 2 + 1.
NOTA: El rendimiento no mejora en forma significativa si hay más cantidad de motores de exploración ThreatSense
que subprocesos de exploración.
3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5)
abra.
temporalmente.
30
La opción Explorar los mensajes transportados habilita la exploración de mensajes que no están almacenados en
el servidor local Microsoft Exchange Server y que se están distribuyendo a otros servidores de correo electrónico a
través del servidor local Microsoft Exchange Server. El servidor Microsoft Exchange Server se puede configurar como
una puerta de enlace, que luego pasará los mensajes a otros servidores de correo electrónico. Si la exploración para
los mensajes transportados está habilitada, ESET Mail Security también explora dichos mensajes. Esta opción solo
está disponible cuando el agente de transporte se encuentra deshabilitado.
NOTA: VSAPI no explora el cuerpo de los correos electrónicos cuyo texto no tiene formato.
como infectado.
Eliminar el contenido infectado del mensaje, Eliminar el mensaje completo incluyendo el contenido infectado, o
dejar el contenido infectado intacto en el mensaje, Sin acción alguna. Esta acción solo se aplicará si la desinfección
automática (definida en Configuración de los parámetros del motor ThreatSense > Desinfección 78 ) no
desinfectó el mensaje.
La opción Eliminación permite determinar el Método de eliminación del mensaje y el Método de eliminación de
archivos adjuntos.
Puede configurar el Método de eliminación del mensaje para que realice las siguientes acciones:
Eliminar el cuerpo del mensaje: borra el cuerpo del mensaje infectado; el destinatario recibirá el mensaje vacío y
todos los archivos adjuntos que no estén infectados.
Eliminar el mensaje completo: elimina el mensaje completo, incluidos los archivos adjuntos; es posible
determinar qué acción se llevará a cabo al eliminar archivos adjuntos.
explorado.
El Límite de tiempo de respuesta (seg.) permite establecer el tiempo de espera máximo de un subproceso hasta
que finalice la exploración de un mensaje. Si la exploración no se termina dentro de el límite de tiempo especificado,
Microsoft Exchange Server denegará el acceso del cliente al correo electrónico. La exploración no se interrumpirá, y
cuando se haya finalizado, cada nuevo intento de acceder al archivo será satisfactorio.
31
3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6)
abra. Puede elegir Explorar solo los mensajes que contienen archivos adjuntos y filtrarlos según el momento en
que se recibieron, mediante las siguientes opciones de Nivel de exploración:
Todos los mensajes
Mensajes recibidos en el último año
Mensajes recibidos en los últimos 6 meses
Mensajes recibidos en los últimos 3 meses
Mensajes recibidos en el último mes
Mensajes recibidos en la última semana
temporalmente.
NOTA: VSAPI no explora el cuerpo de los correos electrónicos cuyo texto no tiene formato.
como infectado.
Eliminar objeto (es decir, el contenido infectado del mensaje), Eliminar el mensaje completo o dejar el contenido
infectado intacto en el mensaje, Sin acción alguna. Esta acción solo se aplicará si la desinfección automática
(definida en Configuración de los parámetros del motor ThreatSense > Desinfección 78 ) no desinfectó el
mensaje.
Como se describió arriba, puede configurar la Acción para realizar cuando no es posible desinfectar para que
realice las siguientes acciones:
Sin acción: no realizar ninguna acción con el contenido infectado del mensaje
Bloquear: bloquear el mensaje antes de que lo reciba el almacén de Microsoft Exchange Server
Eliminar objeto: eliminar el contenido infectado del mensaje
Eliminar el mensaje completo: eliminar el mensaje completo, incluyendo su contenido infectado
La opción Eliminación permite determinar el Método de eliminación del cuerpo del mensaje y el Método de
eliminación de archivos adjuntos.
32
Puede configurar el Método de eliminación del cuerpo del mensaje para que realice las siguientes acciones:
Eliminar el cuerpo del mensaje: elimina el cuerpo del mensaje infectado; el destinatario recibirá el mensaje vacío
y todos los archivos adjuntos que no estén infectados.
Eliminar el mensaje completo: elimina el archivo adjunto.
Si la opción Usar la cuarentena de VSAPI está habilitada, los mensajes infectados se almacenan en la cuarentena
del servidor de correo electrónico. Tenga en cuenta que se trata de la cuarentena del servidor administrada por
VSAPI (no la cuarentena del cliente ni la del buzón de correo). No será posible acceder a los mensajes infectados
almacenados en la cuarentena del servidor de correo hasta que se hayan desinfectado con la última base de datos
de firmas de virus.
explorado.
33
3.2.1.1.5 Agente de transporte
En esta sección, puede habilitar o deshabilitar la protección antivirus y antispyware usando el agente de transporte.
Para Microsoft Exchange Server 2007 y versiones posteriores, solo es posible instalar un agente de transporte si el
servidor se encuentra en uno de estos dos roles: Transporte Edge o Transporte Hub.
Cuando hay un mensaje que no se puede desinfectar, se procesará según la configuración en la sección Agente de
transporte. El mensaje se puede eliminar, enviar a la cuarentena del buzón de correo o conservar.
Si anula la selección de la opción Habilitar la protección antivirus y antispyware por agente de transporte, el
complemento de ESET Mail Security para el servidor Exchange Server no se sacará del proceso de Microsoft
Exchange Server. Solo pasará los mensajes sin explorarlos en busca de virus. De todas formas, el mensaje sí se
explorará en busca de spam 38 y se aplicarán las reglas 21 .
Al Habilitar la protección antivirus y antispyware por agente de transporte, puede determinar la Acción para
realizar cuando no es posible desinfectar:
Conservar mensaje: conservar un mensaje infectado que no se pudo desinfectar
Poner el mensaje en cuarentena: enviar un mensaje infectado a la cuarentena del buzón de correo
Eliminar el mensaje: eliminar el mensaje infectado
Cuando se detecte una amenaza, escribir el puntaje de spam en el encabezado de los mensajes explorados
(%): establecer un valor específico para el puntaje de spam (la probabilidad de que un mensaje sea spam),
expresado como porcentaje
Esto significa que, si se detecta una amenaza, se escribirá un puntaje de spam (valor especificado como %) en el
mensaje explorado. Como los botnets son responsables de enviar la mayoría de los mensajes infectados, los
mensajes distribuidos de esta forma se categorizan directamente como spam. Para que esta característica funcione
en forma efectiva, deberá estar habilitada la opción Escribir el nivel de confianza contra spam (SCL) en los
mensajes explorados según el puntaje de spam en Protección del servidor > Microsoft Exchange Server >
Agente de transporte 19 .
Si la opción También explorar los mensajes recibidos de conexiones autenticadas o internas está habilitada,
ESET Mail Security también explorará los mensajes recibidos de fuentes autenticadas o de servidores locales. Se
recomienda explorar dichos mensajes para incrementar aún más el nivel de protección, aunque es opcional.
34
3.2.2 Acciones
En esta sección puede elegir añadir el número de identificación de una tarea de exploración y/o la información sobre
el resultado de la exploración al encabezado de los mensajes explorados.
3.2.3 Alertas y notificaciones
ESET Mail Security permite añadir un texto en el asunto o el cuerpo original de los mensajes infectados.
35
Agregar al cuerpo de los mensajes explorados ofrece tres opciones:
No añadir a los mensajes
Añadir solo a los mensajes infectados
Añadir a todos los mensajes explorados (no aplica para mensajes internos)
Al habilitar la opción Agregar una nota al asunto de los mensajes infectados, ESET Mail Security añadirá una
etiqueta de notificación al asunto del correo electrónico con el valor definido en el campo de texto Plantilla
añadida al asunto de los mensajes infectados (en forma predeterminada es [virus %VIRUSNAME%]). Las
modificaciones mencionadas pueden automatizar el filtrado de correos electrónicos infectados filtrando los correos
que tengan un asunto específico a una carpeta aparte (siempre y cuando sea compatible con su cliente de correo
electrónico).
NOTA: También puede utilizar variables del sistema al agregar una plantilla al asunto del mensaje.
3.2.4 Exclusiones automáticas
Los desarrolladores de aplicaciones y sistemas operativos para servidores recomiendan excluir de la exploración
antivirus grupos críticos de archivos operativos y carpetas para la mayoría de sus productos. Las exploraciones
antivirus pueden tener un efecto negativo en el rendimiento de un servidor, generar conflictos e incluso impedir la
ejecución de algunas aplicaciones en el servidor. Las exclusiones ayudan a minimizar el riesgo de conflictos
potenciales e incrementar el rendimiento general del servidor mientras se ejecuta un programa antivirus.
ESET Mail Security identifica las aplicaciones críticas del servidor y los archivos críticos del sistema operativo, y los
agrega automáticamente a la lista de Exclusiones. Luego de agregarse a la lista, para habilitar el proceso o la
aplicación del servidor (opción predeterminada), seleccione la casilla correspondiente o, para deshabilitarlos, quite
dicha selección, con el siguiente resultado:
1) Si la exclusión de una aplicación o un sistema operativo permanece habilitada, se agregará cualquiera de sus
archivos o carpetas críticos a la lista de archivos excluidos de la exploración (Configuración avanzada >
Protección del equipo > Antivirus y antispyware > Exclusiones). Cada vez que se reinicie el servidor, el sistema
realizará una verificación automática de las exclusiones y restaurará todas las exclusiones que se hayan
eliminado de la lista. Si quiere asegurarse de que se apliquen siempre las exclusiones automáticas
recomendadas, ésta es la configuración más indicada.
2) Si el usuario deshabilita la exclusión de una aplicación o un sistema operativo, los archivos y carpetas críticos
correspondientes permanecerán en la lista de archivos excluidos de la exploración (Configuración avanzada >
Protección del equipo > Antivirus y antispyware > Exclusiones). No obstante, no se verificarán ni renovarán
automáticamente en la lista de Exclusiones cada vez que se reinicie el equipo (ver el punto 1 arriba). Esta
configuración es recomendable para los usuarios avanzados que deseen eliminar o modificar algunas de las
exclusiones estándar. Si desea eliminar las exclusiones de la lista sin reiniciar el servidor, deberá hacerlo
manualmente (Configuración avanzada > Protección del equipo > Antivirus y antispyware > Exclusiones).
Cualquier exclusión definida por el usuario que se haya ingresado en forma manual en Configuración avanzada >
Protección del equipo > Antivirus y antispyware > Exclusiones no se verá afectada por la configuración detallada
arriba.
Las exclusiones automáticas de aplicaciones o sistemas operativos del servidor se seleccionan basándose en las
recomendaciones de Microsoft. Para obtener más detalles, consulte los siguientes vínculos:
http://support.microsoft.com/kb/822158
http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx
http://technet.microsoft.com/en-us/library/bb332342.aspx
36
3.3 Protección antispam
En la sección Protección antispam, puede habilitar o deshabilitar la protección antispam para el servidor de correo
instalado, configurar los parámetros del motor antispam y establecer otros niveles de protección.
NOTA: Es necesario actualizar con regularidad la base de datos del antispam para que el módulo antispam brinde la
mejor protección posible. Para que las actualizaciones regulares de la base de datos del antispam sean correctas,
deberá asegurarse de que ESET Mail Security tenga acceso a ciertas direcciones IP de puertos determinados. Para
obtener más información sobre qué IP y puertos habilitar en el firewall de terceros, consulte el artículo de KB.
NOTA: Además, los mirrors 89 no pueden utilizarse para las actualizaciones de la base de datos del antispam. Para
un funcionamiento correcto de las actualizaciones de la base de datos del antispam, ESET Mail Security debe
acceder a las direcciones IP enumeradas en el artículo de KB anterior. Si no tiene acceso a estas direcciones IP, el
módulo antispam no podrá brindar resultados más precisos; es decir, la mejor protección posible.
37
3.3.1.1 Agente de transporte
En esta sección, puede configurar las opciones para la protección de spam usando el agente de transporte.
NOTA: El agente de transporte no está disponible en Microsoft Exchange Server 5.5.
Al Habilitar la protección antispam por agente de transporte, puede elegir una de las siguientes opciones como
Acción para los mensajes de spam:
Retener el mensaje: conservar el mensaje aunque esté marcado como spam
Poner el mensaje en cuarentena: envía un mensaje marcado como spam a la cuarentena del buzón de correo
Eliminar el mensaje: elimina un mensaje marcado como spam
Si desea incluir en el encabezado la información sobre el puntaje de spam del mensaje, habilite la opción Escribir el
puntaje de spam en el encabezado de los mensajes explorados.
La función Usar las listas blancas de Exchange Server para omitir automáticamente la protección antispam
permite a ESET Mail Security utilizar las "listas blancas" específicas de Exchange. Si esta opción está habilitada, se
tendrá en cuenta lo siguiente:
La dirección IP del servidor de envío se encuentra en la lista Permitir IP del servidor de Exchange.
El indicador Omitir antispam está configurado en el buzón de correo del destinatario del mensaje.
El destinatario del mensaje cuenta con la dirección del remitente en la lista Remitentes seguros (asegúrese de
haber configurado la sincronización de la lista Remitentes seguros dentro del entorno del servidor de Exchange
que incluye la Agregación de lista segura).
Si se aplica alguno de estos casos en un mensaje entrante, se omitirá la verificación antispam para este mensaje;
por lo tanto, no se evaluará el mensaje en busca de SPAM y se enviará al buzón de correo del destinatario.
La función Aceptar indicador de omisión de antispam configurado en la sesión SMTP es útil cuando ha
autenticado las sesiones de SMTP entre los servidores de Exchange con la configuración de omisión de antispam.
Por ejemplo, cuando cuenta con un servidor Edge y un servidor Hub, no es necesaria la exploración antispam del
tráfico entre estos dos servidores. La función Aceptar indicador de omisión de antispam configurado en la
sesión SMTP se habilita en forma predeterminada y se aplica cuando el indicador de omisión de antispam esté
configurado para la sesión SMTP en el servidor Exchange. Si deshabilita la función Aceptar indicador de omisión
de antispam configurado en la sesión SMTP al desmarcar la casilla de verificación, ESET Mail Security explorará la
sesión SMTP en busca de spam sin tener en cuenta la configuración de la omisión de antispam para el servidor de
38
Exchange.
La función Habilitar las listas grises activa una característica que protege a los usuarios ante el spam mediante la
siguiente técnica: El agente de transporte enviará un valor devuelto SMTP de "rechazo temporal" (el
predeterminado es 451/4.7.1) por cualquier correo electrónico recibido que no pertenezca a un remitente conocido.
Un servidor legítimo intentará volver a enviar el mensaje luego de un tiempo de espera. Por lo general, los
servidores de spam no intentarán reenviar el mensaje, ya que hacen envíos a miles de direcciones de correo
electrónico y no pierden tiempo reenviando el spam. La creación de listas grises es una capa adicional de protección
antispam y no produce ningún efecto en la capacidad del módulo antispam para evaluar spam.
Al evaluar la fuente del mensaje, el método tiene en cuenta la configuración de las listas de Direcciones IP
aprobadas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP en el servidor de Exchange, así como la
configuración de la propiedad Omitir antispam para el buzón de correo del destinatario. Los correos electrónicos de
estas listas de remitentes/direcciones IP o los distribuidos a un buzón de correo con la opción Omitir antispam
habilitada, no serán examinados por el método de detección de listas grises.
El campo Respuesta de SMTP para conexiones denegadas temporalmente define la respuesta de denegación
temporal de SMTP enviada al servidor SMTP si se rechaza un mensaje.
Ejemplo de un mensaje SMTP de respuesta:
Código de respuesta
primaria
Código de estado secundario
Descripción
451
4.7.1
Se abortó la acción solicitada: error local de
procesamiento
Advertencia: La sintaxis incorrecta en los códigos de respuesta SMTP puede provocar que la protección por listas
grises no funcione correctamente. Como resultado, es posible que los mensajes de spam se envíen a los clientes o
que directamente no se envíen.
Límite de tiempo para la denegación de conexión inicial (min.): cuando se envía por primera vez un mensaje y se
rechaza temporalmente, este parámetro define el período durante el cual siempre se rechazará el mensaje
(determinado a partir del tiempo del primer rechazo). Cuando haya transcurrido el período definido, el mensaje se
recibirá correctamente. El valor mínimo para ingresar es de 1 minuto.
Tiempo de vencimiento de las conexiones no verificadas (horas): este parámetro define el intervalo de tiempo
mínimo para guardar el trío de datos. Un servidor válido debe reenviar un mensaje deseado antes de que transcurra
este período. Este valor debe ser mayor que el valor del Límite de tiempo para la denegación de conexión inicial.
Tiempo de vencimiento de las conexiones verificadas (días): la cantidad mínima de días para guardar el trío de
datos, durante la cual los correos electrónicos provenientes de un remitente específico se recibirán sin ninguna
demora. Este valor debe ser mayor que el valor del Tiempo de vencimiento de las conexiones no verificadas.
NOTA:Cuando defina la respuesta SMTP de rechazo, también puede utilizar variables del sistema.
3.3.1.2 Conector y antispam POP3
Las versiones de Microsoft Windows Small Business Server (SBS) incluyen el conector POP3 que le permite al
servidor recolectar mensajes de correo electrónico de servidores POP3 externos. La implementación de dicho
Conector POP3 "estándar" es diferente de una versión de SBS a otra.
ESET Mail Security es compatible con el Conector POP3 de Microsoft SBS en SBS 2008 y los mensajes que se
descargan mediante este Conector POP3 se exploran para detectar la presencia de spam. Esto funciona porque los
mensajes se transportan a Microsoft Exchange mediante SMTP. Sin embargo, el Conector POP3 de Microsoft SBS
en SBS 2003 no es compatible con ESET Mail Security, por lo tanto no se exploran los mensajes en busca de spam.
Esto se debe a que los mensajes en realidad omiten la cola de SMTP.
También existe una cantidad de Conectores POP3 terceros. Los mensajes recolectados mediante determinado
Conector POP3 se exploran en busca de spam o no, dependiendo del método real que dicho Conector POP3 utiliza
para recolectar mensajes. Por ejemplo, GFI POP2Exchange transporta mensajes mediante Pickup Directory, por lo
tanto los mensajes no se exploran en busca de spam. Problemas similares pueden ocurrir con los productos que
transportan mensajes mediante sesiones autenticadas (como por ejemplo IGetMail), otro caso ocurre cuando
Microsoft Exchange los identifica como mensajes internos para los cuales se omite el antispam en forma
predeterminada. Esta configuración puede cambiarse en el archivo de configuración. Exportar configuración a xml,
cambiar el valor de configuración AgentASScanSecureZone a "1" e importar la configuración nuevamente (para
39
obtener detalles acerca de cómo importar y exportar el archivo de configuración, consulte el capítulo Importar y
exportar configuración 127 ). También puede intentar deshabilitando Aceptar indicador de omisión de antispam
configurado en la sesión SMTP en el árbol de configuración avanzada de F5 en Protección del servidor >
Protección antispam > Microsoft Exchange Server > Agente de transporte. Al hacer esto, ESET Mail Security
estará explorando la sesión de SMTP en busca de spam independientemente de la configuración de omisión de
antispam de Exchange Server.
3.3.2 Motor antispam
En esta sección, puede configurar los parámetros del Motor antispam. También puede configurarlos haciendo clic
en el botón Configuración... Se abrirá una ventana desde donde podrá configurar estos Parámetros del motor
antispam.
Categorización de mensajes
El motor antispam de ESET Mail Security le asigna un puntaje de spam de 0 a 100 a cada mensaje explorado. Si
cambia los límites de los puntajes de spam en esta sección, puede afectar:
1) si un mensaje se clasificará como SPAM o NO ES SPAM. Todos los mensajes cuyo puntaje de spam sea igual o
mayor al valor Puntaje de spam para que el mensaje se considere spam: se consideran SPAM. En
consecuencia, se aplicarán a dichos mensajes las acciones establecidas en el Agente de transporte 38 .
2) si un mensaje se registrará en el registro antispam 96 (Herramientas > Archivos de registro > Antispam).
Todos los mensajes cuyo valor de puntaje de spam sea igual o mayor al Límite de puntaje de spam para que un
mensaje sea considerado probablemente como spam o probablemente limpio: se incluirán en el registro.
3) en qué sección de las estadísticas antispam se contabilizará dicho mensaje (Estado de protección > Estadísticas
> Protección antispam del servidor de correo):
Mensajes evaluados como SPAM: el puntaje de spam del mensaje es igual o mayor que el valor especificado para
el Puntaje de spam para que el mensaje se considere spam:
Mensajes evaluados como probablemente SPAM: el puntaje de spam del mensaje es igual o mayor que el valor
especificado para el Límite de puntaje de spam para que un mensaje sea considerado probablemente como
spam o probablemente limpio:
Mensajes evaluados como probablemente NO ES SPAM: el puntaje de spam del mensaje es menor que el valor
especificado para el Límite de puntaje de spam para que un mensaje sea considerado como probablemente
spam o probablemente limpio:
Mensajes evaluados como NO ES SPAM: el puntaje de spam del mensaje es igual o menor que el valor
especificado para el Puntaje de spam para que el mensaje no se considere spam:
3.3.2.1 Configuración de los parámetros del motor antispam
3.3.2.1.1 Análisis
En esta sección, puede configurar el modo en que se analizarán los mensajes en busca de SPAM y los procesos
posteriores.
Explorar los archivos adjuntos de los mensajes: esta opción le permite decidir si el motor antispam debe explorar
y considerar los archivos adjuntos cuando calcule el puntaje de spam.
Usar ambas secciones MIME: el motor antispam analizará las secciones MIME tanto de texto/sin formato como
de texto/html en un mensaje. Si se desea un mejor rendimiento, es posible solo analizar una sección. Si esta opción
no está seleccionada (deshabilitada), se analizará solo una sección.
Tamaño de la memoria para el cálculo del puntaje (en bytes):: esta opción entrena al motor antispam para que
no lea una cantidad de bytes mayor de la configurable desde el buffer de mensajes cuando se procesen las reglas.
Tamaño de la memoria para el cálculo de muestra (en bytes):: esta opción entrena al motor antispam para que
no lea una cantidad de bytes mayor de la definida cuando calcule la huella digital del mensaje. Esto es útil para
obtener huellas digitales consistentes.
Usar memoria caché LegitRepute: permite el uso del caché LegitRepute para reducir los falsos positivos,
especialmente de los boletines informativos.
40
Convertir a UNICODE: mejora la precisión y el rendimiento para los cuerpos de mensajes de correo electrónico en
Unicode, especialmente para los idiomas de doble byte, al convertir el mensaje en byte simple.
Usar la memoria caché del dominio: permite el uso de caché de reputación del dominio. Si se habilita, los
dominios se extraen de los mensajes y se los compara con el caché de reputación del dominio.
3.3.2.1.1.1 Muestras
Usar la memoria caché: permite el uso de un caché de huella digital (habilitado en forma predeterminada).
Activar MSF: permite el uso de un algoritmo alternativo de huellas digitales conocido como MSF. Cuando está
habilitado, podrá establecer los siguientes límites y umbrales:
Cantidad de mensajes que designa un mensaje en bloque:: esta opción especifica la cantidad de mensajes
similares que se requiere para considerarlos como un bloque de mensajes.
Frecuencia de borrado de la memoria caché: : esta opción especifica una variable interna que determina la
frecuencia con la que debe eliminarse el caché MSF en la memoria interna.
Coincidencia de sensibilidad de dos muestras:: esta opción especifica el umbral del porcentaje de coincidencia
para dos huellas digitales. Si el porcentaje de coincidencia es mayor que este umbral, se considera que los
mensajes son los mismos.
Cantidad de muestras almacenadas en la memoria:: esta opción especifica la cantidad de huellas digitales MSF
para conservar en la memoria. Cuanto mayor sea la cantidad, más memoria se usará pero mayor será la
precisión.
3.3.2.1.1.2 SpamCompiler
Activar SpamCompiler: acelera el procesamiento de reglas pero requiere un poco más de memoria.
Versión preferida:: especifica cuál es la versión de SpamCompiler que debe usarse. Si se configura en Automático,
el motor antispam elegirá el mejor motor que pueda usarse.
Usar la memoria caché: si esta opción esta habilitada, SpamCompiler almacenará los datos compilados en el
disco, en lugar de la memoria, para reducir el uso de la memoria.
Lista de archivos de la memoria caché:: esta opción especifica qué archivos de reglas se compilan en el disco en
lugar de la memoria.
Establezca índices de archivos de regla que se almacenarán en la memoria caché del disco. Para administrar los
índices de archivos de regla, usted puede:
Agregar...
Editar...
Quitar
NOTA: Solo los números son caracteres aceptables.
3.3.2.1.2 Entrenamiento
Usar entrenamiento para el puntaje de huellas digitales de mensajes: permite un entrenamiento de
contrapartida para el puntaje de huellas digitales.
Usar palabras de entrenamiento: esta opción controla si se utiliza el análisis de Token de palabra bayesiana. Se
puede observar una mejora considerable en la exactitud, pero ocupa más memoria y es apenas más lento.
Cantidad de palabras en la memoria caché:: esta opción especifica la cantidad de tokens de palabras en la
memoria caché en cualquier momento. Cuanto mayor sea la cantidad, más memoria se usará pero mayor será la
precisión. Para ingresar una cantidad, habilite el primer lugar la opción Usar palabras de entrenamiento.
Usar base de datos de entrenamiento solo para la lectura: esta opción controla si pueden modificarse las
palabras, reglas y bases de datos de entrenamiento de huellas digitales o si son de solo lectura tras la carga inicial.
Una base de datos de entrenamiento de solo lectura es más rápida.
Sensibilidad de entrenamiento automático: establece un umbral para el autoentrenamiento. Si un mensaje
recibe el puntaje del umbral alto, o uno por encima de este, dicho mensaje se considerará definitivamente como
spam y se utilizará para entrenar a todos los módulos bayesianos habilitados (reglas o palabras), pero no a los
remitentes o las huellas digitales. Si un mensaje recibe el puntaje del umbral bajo, o uno por debajo de este, dicho
mensaje se considerará definitivamente como correo deseado y se utilizará para entrenar a todos los módulos
41
bayesianos habilitados (reglas o palabras), pero no a los remitentes o las huellas digitales. Para ingresar el valor
del umbral alto y bajo, habilite la opción Usar base de datos de entrenamiento solo para la lectura: en primer
lugar.
Cantidad mínima de datos de entrenamiento: en principio, solo se usa el peso de las reglas para calcular el
puntaje de spam. Cuando se haya alcanzado una serie mínima de datos de entrenamiento, los datos de
entrenamiento de reglas/palabras reemplazarán el peso de las reglas. El valor mínimo predeterminado es 100, lo
que significa que debe entrenarse con 100 mensajes de correo deseado equivalentes, como mínimo, y 100
mensajes de spam equivalentes para llegar a un total de 200 mensajes antes de que los datos de entrenamiento
reemplacen el peso de las reglas. Si la cantidad es demasiado baja, es posible que la precisión sea menor debido a
los datos insuficientes. Si la cantidad es demasiado alta, no se aprovecharán completamente los datos de
entrenamiento. Un valor de 0 hará que siempre se ignore el peso de las reglas.
Usar solo los datos de entrenamiento: controla si se debe proporcionar la ponderación total a los datos de
entrenamiento. Si esta opción está habilitada, el puntaje solo se basará en los datos de entrenamiento. Si esta
opción está deshabilitada (no seleccionada), se usarán tanto las reglas como los datos de entrenamiento.
Cantidad de mensajes explorados antes de escribirlos en el disco: durante el entrenamiento, el motor antispam
procesará una cantidad configurable de mensajes antes de escribir la base de datos de entrenamiento en el disco.
Esta opción determina cuántos mensajes se procesarán antes de escribir en el disco. Para un máximo rendimiento,
esta cantidad debe ser lo más grande posible. Si se produce un evento excepcional en el que un programa finaliza
inesperadamente antes de que el buffer lo haya escrito en el disco, se perderá el entrenamiento realizado desde la
última escritura en el disco. El buffer se escribe en el disco durante la finalización regular.
Usar datos del país para el entrenamiento: controla si la información de enrutamiento de países debe
considerarse para el entrenamiento y la puntuación de los mensajes.
3.3.2.1.3 Reglas
Usar reglas: esta opción controla si se están usando reglas heurísticas. Se puede observar una mejora considerable
en la exactitud, pero ocupa más memoria y es mucho más lento.
Usar extensión del grupo de reglas: habilita el grupo de reglas extendidas.
Usar extensión del segundo grupo de reglas: habilita el segundo grupo de reglas extendidas.
Ponderación de una regla:: esta opción permite reemplazar los pesos asociados con reglas individuales.
Lista de archivos de regla descargados:: esta opción especifica cuáles son los archivos de regla descargados.
Ponderación de una categoría:: permite al usuario final ajustar los pesos de las categorías usadas en sc18 y en
archivos usados en listas de reglas personalizadas. Categoría: nombre de la categoría, se limita actualmente a
SPAM, PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD y REPLY. Este campo no diferencia entre mayúsculas y
minúsculas. Puntaje: Cualquier número entero, BLOCK o APPROVE. El peso de las reglas que coinciden con la
categoría correspondiente se multiplicará por el factor de escala para producir una nueva ponderación efectiva.
Listas de reglas personalizadas:: permite al usuario especificar listas personalizadas de reglas (p. ej., palabras/
frases de phishing, spam o correo deseado). Los archivos personalizados de reglas contienen frases con el siguiente
formato en líneas separadas: frase, tipo, confianza, distinguir mayúsculas de minúsculas. La frase puede ser
cualquier texto que no contenga comas. Deben eliminarse todas las comas de la frase. El tipo puede ser SPAM,
PHISH, BOUNCE, ADULT o FRAUD. Si se determina un tipo diferente de los especificados, se asume
automáticamente que el Tipo es SPAM. El valor de confianza puede ir del 1 al 100. Si el tipo es SPAM, el puntaje 100
indica un valor de confianza más alto de que sea correo spam. Si el tipo es PHISH, el puntaje 100 indica un valor de
confianza más alto de que sea phishing. Si el tipo es BOUNCE, el puntaje 100 indica un valor de confianza más alto
de que la frase se relacione con mensajes de devolución. Un valor de confianza más alto tiene más probabilidades de
afectar el puntaje final. Un valor de 100 es un caso especial. Si el tipo es SPAM, el valor 100 puntuará al mensaje
como 100. Si el tipo es PHISH, el valor 100 puntuará al mensaje como 100. Si el tipo es BOUNCE, el valor 100
puntuará al mensaje como 100. Como siempre, todas las listas blancas reemplazan cualquier lista negra. El valor 1
de Distinguir mayúsculas de minúsculas significa que dicha frase distinguirá las mayúsculas de las minúsculas; por
otro lado, el valor 0 significa que la frase no distinguirá las mayúsculas de las minúsculas. Ejemplos:
el spam es divertido, SPAM, 100,0
el phishing es Divertido, PHISH, 90,1
devolver al remitente, BOUNCE, 80,0
La primera línea significa que todas las variaciones de "el spam es divertido" serán consideradas SPAM con un valor
de confianza de 100. La frase no diferencia entre mayúsculas y minúsculas. La segunda línea significa que todas las
42
variaciones de "el phishing es Divertido" serán consideradas PHISH con un valor de confianza de 90. La frase
diferencia entre mayúsculas y minúsculas. La tercera línea significa que todas las variaciones de "devolver al
remitente" serán consideradas BOUNCE con un valor de confianza de 80. La frase no diferencia entre mayúsculas y
minúsculas.
Borrar las reglas anteriores tras la actualización: el motor antispam borrará en forma predeterminada los
archivos de reglas anteriores del directorio de configuración cuando se recupere un nuevo archivo de la red
SpamCatcher. Sin embargo, es posible que algunos usuarios del motor antispam deseen conservar los archivos de
reglas anteriores. Esto puede realizarse si se deshabilita la característica de limpieza.
Mostrar notificación tras la actualización correcta de las reglas:
3.3.2.1.3.1 Ponderación de una regla
Establezca los índices de archivos de regla y su ponderación. Para agregar la ponderación de una regla, presione el
botón Agregar... Para modificar el valor existente, presione el botón Editar... Para eliminarlo, presione el botón
Quitar.
Especifique los valores de Índice: y Ponderación: .
3.3.2.1.3.2 Lista de archivos de regla descargados
Defina los índices de archivos de regla que deben descargarse en el disco. Use los botones Agregar, Editar y Quitar
para administrar los índices de archivo de regla.
3.3.2.1.3.3 Ponderación de una categoría
Establezca las categorías de regla y su ponderación. Use los botones Agregar..., Editar... y Quitar... para
administrar las categorías y la ponderación.
Para agregar la ponderación de una categoría, seleccione una Categoría: de la lista. Categorías disponibles:
SPAM
Phishing
Informe de no entrega
Mensajes de contenido adulto
Mensajes fraudulentos
Mensajes vacíos
Mensajes reenviados
Mensajes de respuesta
A continuación, seleccione una acción:
Permitir
Bloquear
Ponderar:
3.3.2.1.3.4 Listas de reglas personalizadas
Puede utilizar reglas personalizadas que contengan frases. Estos archivos son básicamente archivos .txt, para
obtener más información acerca de los detalles y el formato de las frases consulte el tema Reglas 42 (sección Lista
de reglas personalizadas).
Para utilizar archivos que contienen reglas personalizadas que serán utilizados para el análisis de los mensajes,
debe colocarlos en la siguiente ubicación:
en caso de ejecutar Windows Server 2008 o una versión más reciente, la ruta de acceso es:
C:\Datos de programa\ESET\ESET Mail Security\Antispam del servidor
en caso de Windows Server 2003 o una versión anterior, la ruta de acceso es:
C:\Documents and Settings\All Users\Datos de la aplocación\ESET\ESET Mail Security\Antispam del servidor
Para cargar los archivos presione ... el botón (examinar), vaya a la ubicación mencionada arriba y seleccione el
archivo de texto (*.txt). Use los botones Agregar, Editar y Quitar para administrar las listas de reglas
personalizadas.
43
NOTA: El archivo .txt que contiene las reglas personalizadas debe ubicarse en la carpeta Antispam del servidor, de lo
contrario no se cargará el archivo.
3.3.2.1.4 Filtrado
En esta sección, puede configurar las listas permitidas, bloqueadas e ignoradas al especificar los criterios como
rango o dirección IP, nombre del dominio, dirección de correo electrónico, etc. Para agregar, modificar o eliminar los
criterios, simplemente navegue hasta la lista que desea administrar y haga clic en el botón correspondiente para
hacerlo.
3.3.2.1.4.1 Remitentes permitidos
Los remitentes y dominios en listas blancas pueden contener una dirección de correo electrónico o un dominio. Las
direcciones se ingresan con el formato "buzóndecorreo@dominio" y los dominios simplemente con el formato
"dominio".
NOTA: Se ignora el espacio en blanco, tanto inicial como final, no se admiten las expresiones regulares y también se
ignora el asterisco "*".
3.3.2.1.4.2 Remitentes bloqueados
Los remitentes y dominios en listas negras pueden contener una dirección de correo electrónico o un dominio. Las
direcciones se ingresan con el formato "buzóndecorreo@dominio" y los dominios simplemente con el formato
"dominio".
NOTA: Se ignora el espacio en blanco, tanto inicial como final, no se admiten las expresiones regulares y también se
ignora el asterisco "*".
3.3.2.1.4.3 Direcciones IP permitidas
Esta opción le permite especificar las direcciones IP especificas que deben aprobarse. Los rangos pueden
especificarse de tres maneras:
a) IP inicial - IP final
b) Dirección IP y máscara de red
c) Dirección IP
Si la primera dirección IP sin ignorar en el encabezado Recibido: coincide con una de esta lista, el mensaje recibe un
puntaje de 0 y no se realizan otras verificaciones.
3.3.2.1.4.4 Direcciones IP ignoradas
Esta opción le permite especificar direcciones IP que deben ignorarse durante las verificaciones RBL. Las siguientes
direcciones siempre se ignoran de manera implícita:
10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0
Los rangos pueden especificarse de tres maneras:
c) Dirección IP
3.3.2.1.4.5 Direcciones IP bloqueadas
Esta opción le permite especificar las direcciones IP especificas que deben bloquearse. Los rangos pueden
especificarse de tres maneras:
c) Dirección IP
Si alguna dirección IP en el encabezado Recibido: coincide con una de esta lista, el mensaje recibe un puntaje de 100
y no se realizan otras verificaciones.
44
3.3.2.1.4.6 Dominios permitidos
Esta opción le permite especificar los dominios del cuerpo e IP que siempre deben aprobarse.
3.3.2.1.4.7 Dominios ignorados
Esta opción le permite especificar los dominios del cuerpo que deben excluirse siempre de las verificaciones DNSBL
e ignorarse.
3.3.2.1.4.8 Dominios bloqueados
Esta opción le permite especificar los dominios del cuerpo e IP que siempre deben bloquearse.
3.3.2.1.4.9 Remitentes suplantados
Permite bloquear a los remitentes de mensajes no deseados quienes suplantan los nombres de su dominio y de
otros dominios. Por ejemplo, los remitentes de correo no deseado suelen usar el nombre del dominio del
destinatario como el nombre del dominio De:. Esta lista le permite especificar aquellos servidores de correo que
podrán usar ciertos nombres de dominios en la dirección De:.
3.3.2.1.5 Verificación
La verificación es otra característica de la protección antispam. Permite verificar los mensajes mediante servidores
externos según los criterios definidos. Seleccione una lista del árbol de configuración para configurar los criterios.
Las listas son las siguientes:
RBL (Listas de bloqueo en tiempo real)
LBL (Listas de últimos bloqueos)
DNSBL (Lista de bloqueo DNS)
3.3.2.1.5.1 RBL (Listas de bloqueo en tiempo real)
Servidores RBL:: especifican una lista de servidores de Listas de bloqueo en tiempo real (RBL) para consultar
cuando se analizan los mensajes. Consulte la sección de RBL en este documento para obtener más información.
Sensibilidad de la verificación RBL:: debido que las verificaciones RBL pueden presentar latencia y una
disminución en el rendimiento, esta opción permite ejecutar una verificación RBL basadas condicionalmente en el
puntaje antes de dichas verificaciones. Si el puntaje es mayor que el valor "alto", solo se consultan aquellos
servidores RBL que pueden llevar el puntaje por debajo del valor "alto". Si el puntaje es menor que el valor "bajo",
solo se consultan aquellos servidores RBL que pueden llevar el puntaje por encima del valor "bajo". Si el puntaje se
encuentra entre "bajo" y "alto", se consultan todos los servidores RBL.
Límite de ejecución de la solicitud RBL (en segundos):: esta opción permite configurar un tiempo de espera
máximo para finalizar todas las consultas de RBL. Las respuestas RBL solo se usan desde aquellos servidores RBL
que respondieron a tiempo. Si el valor es "0", no se aplicará el tiempo de espera.
Cantidad máxima de direcciones verificadas con RBL:: esta opción permite limitar la cantidad de direcciones IP
que se consultan en el servidor RBL. Tenga en cuenta que la cantidad total de las consultas RBL será la cantidad de
direcciones IP en el encabezado Recibido: (hasta una cantidad máxima de dirección IP en RBL) multiplicada por la
cantidad de servidores RBL determinada en la lista RBL. Si el valor es "0", se verifica la cantidad ilimitada de
encabezados recibidos. Tenga en cuenta que si la dirección IP coincide con la opción de la lista IP ignorada, no se
cuenta para el límite de direcciones IP en RBL.
Para administrar la lista, use los botones Agregar..., Editar... o Quitar.
La lista consiste en tres columnas:
Dirección
Respuesta
Puntaje
45
3.3.2.1.5.2 LBL (Listas de últimos bloqueos)
Servidores LBL:: se consulta la última dirección IP de conexión en el servidor LBL. Puede especificar una búsqueda
DNS diferente para la última dirección IP de conexión entrante. Se consulta la lista LBL, en lugar de la lista RBL, para
la última dirección IP de conexión entrante. De lo contrario, las opciones de la lista RBL, como el umbral RBL,
también se aplican en la lista LBL.
Direcciones IP no verificadas en LBL:: si la última dirección IP de conexión coincide con la dirección IP en la lista, se
consulta dicha dirección IP en los servidores RBL en lugar de los servidores LBL.
Dirección
Respuesta
Puntaje
Aquí podrá especificar las direcciones IP que no se verificarán con LBL. Para administrar la lista, use los botones
Agregar..., Editar... o Quitar.
3.3.2.1.5.3 DNSBL (Listas de bloqueo DNS)
Servidores DNSBL:: especifica una lista de servidores de Lista de bloqueo DNS (DNSBL) para consultar los dominios
y las direcciones IP extraídos del cuerpo del mensaje.
Sensibilidad de la verificación DNSBL:: si el puntaje es mayor que el valor "alto", solo se consultan aquellos
servidores DNSBL que pueden llevar el puntaje por debajo del valor "alto". Si el puntaje es menor que el valor "bajo",
solo se consultan aquellos servidores DNSBL que pueden llevar el puntaje por encima del valor "bajo". Si el puntaje
se encuentra entre "bajo" y "alto", se consultan todos los servidores DNSBL.
Límite de ejecución de la solicitud DNSBL (en segundos):: permite configurar un tiempo de espera máximo para
finalizar todas las consultas de DNSBL.
Cantidad máxima de dominios verificados con DNSBL:: permite restringir la cantidad de dominios y direcciones
IP que se consultan con el servidor de Lista de bloqueo DNS.
Dirección
Respuesta
Puntaje
3.3.2.1.6 DNS
Usar la memoria caché: habilitar el almacenamiento en caché interno de las solicitudes de DNS.
Cantidad de solicitudes DNS almacenadas en la memoria: limita la cantidad de entradas en el caché interno
DNS.
Guardar la memoria caché en el disco: si esta opción está habilitada, el caché DNS almacenará la entradas en el
disco al apagar el equipo y se leerán al iniciarlo.
Dirección del servidor DNS:: los servidores DNS ahora pueden especificarse de forma explícita para reemplazar la
opción predeterminada.
Acceso DNS directo:: si la opción establecida es Sí y no se ha especificado el servidor DNS, el motor antispam
realizará solicitudes LiveFeed directamente a los servidores LiveFeed. Esta opción puede ignorarse si el servidor DNS
se especifica, ya que tiene precedencia. Esta opción debe configurarse en Sí cuando son más eficientes las consultas
directas que los servidores DNS predeterminados.
Duración de solicitud DNS (en segundos):: esta opción permite configurar un TTL mínimo para las entradas en el
caché interno DNS del motor antispam. La opción se especifica en segundos. Para aquellas respuestas DNS cuyo
valor TTL sea menor que el TTL mínimo especificado, el caché interno del motor antispam utilizará el TTL
especificado en lugar del valor TTL de la respuesta DNS.
46
3.3.2.1.7 Puntaje
Activar historial de puntajes: permite realizar un seguimiento de los puntajes históricos para los remitentes
repetidos.
Detener análisis cuando se haya alcanzado el umbral del puntaje de SPAM: esta opción le permite indicar al
motor antispam detener el análisis del mensaje cuando se haya alcanzado el puntaje. Esto puede reducir la
cantidad de reglas y otras verificaciones que se realizan y, de este modo, mejorar el rendimiento.
Usar el análisis acelerado antes de alcanzar el umbral del puntaje de un mensaje limpio: esta opción le permite
indicar al motor antispam omitir las verificaciones de reglas lentas si es posible que el mensaje sea correo deseado.
Categorización de mensajes
Valor del puntaje por el cual un mensaje sea considerado como SPAM:: el motor antispam asigna al mensaje
explorado un puntaje del 0 al 100. La configuración de los límites del valor de puntaje indica cuáles son los
mensajes considerados como SPAM y cuáles no. Si configura valores incorrectos, esto puede disminuir la calidad
de los resultados de detección del motor antispam.
Valor de puntaje que establece el límite para que un mensaje sea considerado probablemente SPAM o
probablemente limpio:: el motor antispam asigna al mensaje explorado un puntaje del 0 al 100. La
configuración de los límites del valor de puntaje indica cuáles son los mensajes considerados como SPAM y cuáles
no. Si configura valores incorrectos, esto puede disminuir la calidad de los resultados de detección del motor
antispam.
Valor de puntaje hasta el cual un mensaje sea considerado definitivamente limpio:: el motor antispam
asigna al mensaje explorado un puntaje del 0 al 100. La configuración de los límites del valor de puntaje indica
cuáles son los mensajes considerados como SPAM y cuáles no. Si configura valores incorrectos, esto puede
disminuir la calidad de los resultados de detección del motor antispam.
3.3.2.1.8 Señuelo para spam
Direcciones de spam: si la dirección RCPT TO: del paquete SMTP coincide con la dirección de correo electrónico en
esta lista, el archivo de estadísticas registrará los tokens en el mensaje de correo electrónico como enviados a la
dirección de señuelo para spam. Las direcciones deben coincidir plenamente, sin diferenciar mayúsculas de
minúsculas. Las entradas de comodín no son compatibles.
Direcciones consideradas como inexistentes: si la dirección RCPT TO: del paquete SMTP coincide con la dirección
de correo electrónico en esta lista, el archivo de estadísticas registrará los tokens en el mensaje de correo
electrónico como enviados a una dirección inexistente. Las direcciones deben coincidir plenamente, sin diferenciar
mayúsculas de minúsculas. Las entradas de comodín no son compatibles.
3.3.2.1.8.1 Direcciones señuelo para spam
Puede establecer las direcciones de correo electrónico que solo recibirán SPAM. Para agregar una dirección de
correo electrónico, escríbala en un formato estándar y presione el botón Agregar. Para modificar una dirección de
correo electrónico existente, use el botón Editar. Para eliminarlo, presione el botón Quitar.
3.3.2.1.8.2 Direcciones consideradas como inexistentes
Puede definir direcciones de correo electrónico que se mostrarán como inexistentes para los demás. Para agregar
una dirección de correo electrónico, escríbala en un formato estándar y presione el botón Agregar. Para modificar
una dirección de correo electrónico existente, use el botón Editar. Para eliminarlo, presione el botón Quitar.
47
3.3.2.1.9 Comunicación
Duración de solicitud simple SpamLabs (en segundos):: limite el tiempo de duración de las solicitudes simples a
la protección antispam SpamLabs. El valor se especifica en unidades de segundos integrales. El valor "0" deshabilita
esta característica y no se establecerá un límite.
Usar el protocolo v.4x:: comuníquese con la protección antispam SpamLabs para determinar el puntaje mediante
el protocolo v4.x anterior más lento. Cuanto configura esta opción en Automáticamente, permite al motor
antispam usar automáticamente la característica de verificación de red como reserva para las consultas LiveFeed.
Rango del uso de protocolo v4.x:: debido que las redes pueden presentar latencia y una disminución en el
rendimiento, esta opción permite ejecutar verificaciones de redes basadas condicionalmente en el puntaje. Solo
se consulta la red si el puntaje se encuentra entre el rango "bajo" o "alto" especificado mediante esta opción.
Dirección del servidor LiveFeed:: especifica qué servidor consultar para las solicitudes LiveFeed.
Duración de solicitud LiveFeed (en segundos):: esta opción permite configurar un TTL mínimo para las entradas
en el caché interno LiveFeed del motor antispam. La opción se especifica en segundos. Para aquellas respuestas
LiveFeed cuyo valor TTL sea menor que el TTL mínimo especificado, el caché interno del motor antispam utilizará el
TTL especificado en lugar del valor TTL de la respuesta LiveFeed.
Tipo de autenticación del servidor proxy:: especifica qué tipo de autenticación proxy HTTP debe utilizarse.
3.3.2.1.10 Rendimiento
Tamaño máximo de pilas de subprocesos usados:: establece el tamaño máximo de la pila de subprocesos que se
debe usar. Si el tamaño de la pila de subprocesos se configura en 64 KB, esta variable debe configurarse en 100 o
menos. Si el tamaño de la pila de subprocesos se configura en más de 1 MB, esta variable debe configurarse en
10000 o menos. Si esta variable se configura por debajo de 200, la precisión puede disminuir cierto porcentaje.
Rendimiento requerido (en mensajes por segundo):: esta opción le permite especificar el rendimiento deseado
en mensajes por segundo. El motor antispam intentará alcanzar ese nivel al optimizar las reglas que se ejecutan. Es
posible que disminuya la precisión. Un valor 0 deshabilita la opción.
Combinar archivos incrementales en un archivo: el motor antispam fusionará, en forma predeterminada,
diversos archivos incrementales y un archivo completo en un único archivo actualizado y completo. Esto se realiza
para reducir el desorden de archivos en el directorio de configuración.
Descargar solo los archivos incrementales: el motor antispam intentará, en forma predeterminada, descargar la
combinación más eficiente en cuanto el tamaño de archivos incrementales y completos. Se puede hacer que el
motor antispam solo descargue el archivo incremental si se configura esta opción en Sí.
Tamaño máximo de archivos incrementales:: para reducir el uso de la CPU mientras se actualizan los archivos de
regla, los archivos caché en el disco (sc*.tmp) ya no vuelven a generarse en cada actualización de regla. En cambio,
vuelven a generarse cuando existe un archivo completo sc*.bin.full o cuando la suma del archivo incremental sc*.
bin*incr crece por encima de los bytes determinados en el tamaño máximo de los archivos incrementales.
Ubicación de archivos temporales:: este parámetro controla dónde creará el motor antispam los archivos
temporales.
3.3.2.1.11 Configuración regional
Lista de idiomas preferidos: esta opción permite configurar los idiomas preferidos en sus mensajes de correo
electrónico. Los códigos de países están compuestos por dos caracteres según la norma ISO-639.
Lista de países de origen: esta opción permite especificar una lista de países que se consideran como países de
"origen". Los mensajes enrutados a través de un país que no figure en esta lista recibirán un puntaje mediante
métodos más estrictos. Si esta opción está vacía, no se aplicarán penalizaciones.
Lista de países bloqueados: permite el bloqueo por país. Si una dirección IP en los encabezados recibidos coincide
con un país que figure en la lista, el correo electrónico se considerará como SPAM. Los códigos de países no se
aplicarán a las direcciones de los remitentes. Tenga en cuenta que es posible que un mensaje haya viajado por
varios países antes de alcanzar el destino final. Además, esta opción solo cuenta con una exactitud del 98%; por lo
tanto, el bloqueo de países puede generar falsos positivos.
Lista de conjunto de caracteres bloqueados: permite el bloqueo por conjunto de caracteres. El valor del puntaje
48
SPAM predeterminado se establece en 100, pero puede ajustarlo por separado para cada conjunto de caracteres
bloqueado. Tenga en cuenta que la asignación del idioma al conjunto de caracteres no es 100% preciso, por lo que el
bloqueo del conjunto de caracteres puede generar falsos positivos.
3.3.2.1.11.1 Lista de idiomas preferidos
Establezca los idiomas que considera como idiomas preferidos y en los que desea recibir mensajes. Para agregar un
idioma preferido, selecciónelo desde la columna Código de idioma: y presione el botón Agregar. De esta manera, el
idioma aparecerá en la columna Idiomas "preferidos". Para quitar el idioma de la columna Idiomas "preferidos",
seleccione el código y presione el botón Quitar.
Bloquear idiomas no preferidos: Esta opción controla si se bloquearán los idiomas o no, lo cuales se encuentran
en la columna "Preferidos". Hay tres opciones:
Sí
No
Automáticamente
Lista de códigos de idiomas (según el estándar ISO 639):
afrikaans
amárico
árabe
bielorruso
búlgaro
catalán
checo
galés
danés
alemán
griego
(moderno)
inglés
esperanto
español
estonio
euskera
persa
finés
francés
frisón
irlandés
gaélico
escocés
hebreo
hindi
croata
húngaro
armenio
indonesio
islandés
italiano
japonés
georgiano
coreano
latín
lituano
letón
maratí
malayo
nepalí
neerlandés
noruego
polaco
af
am
ar
be
bg
ca
cs
cy
da
de
el
en
eo
es
et
eu
fa
fi
fr
fy
ga
gd
he
hi
hr
hu
hy
id
is
it
ja
ka
ko
la
lt
lv
mr
ms
ne
nl
no
pl
49
portugués
quechua
retorrománic
o
rumano
ruso
sánscrito
escocés
eslovaco
esloveno
albanés
serbio
sueco
suajili
tamil
tailandés
tagalo
turco
ucraniano
vietnamita
yídish
chino
pt
qu
rm
ro
ru
sa
sco
sk
sl
sq
sr
sv
sw
ta
th
tl
tr
uk
vi
yi
zh
3.3.2.1.11.2 Lista de países de origen
Establezca los países que considera como países de origen y de los que prefiere recibir mensajes. Para agregar un
país de origen, selecciónelo desde la columna Código de país: y presione el botón Agregar. De esta manera, el país
aparecerá en la columna Países de "origen". Para quitar el país de la columna Países de "origen", seleccione el
código del país y presione el botón Quitar.
Lista de códigos de países (según el estándar ISO 3166):
AFGANISTÁN
ÅLAND
ALBANIA
ARGELIA
SAMOA AMERICANA
ANDORRA
ANGOLA
ANGUILA
ANTÁRTIDA
ANTIGUA Y BARBUDA
ARGENTINA
ARMENIA
ARUBA
AUSTRALIA
AUSTRIA
AZERBAIYÁN
BAHAMAS
BAHRÉIN
BANGLADESH
BARBADOS
BIELORRUSIA
BÉLGICA
BELICE
BENÍN
BERMUDAS
BUTÁN
BOLIVIA
BOSNIA Y HERZEGOVINA
BOTSUANA
ISLA BOUVET
BRASIL
50
AF
AX
AL
DZ
AS
AD
AO
AI
AQ
AG
AR
AM
AW
AU
AT
AZ
BS
BH
BD
BB
BY
BE
BZ
BJ
BM
BT
BO
BA
BW
BV
BR
TERRITORIO BRITÁNICO DEL OCÉANO
ÍNDICO
BRUNÉI
BULGARIA
BURKINA FASO
BURUNDI
CAMBOYA
CAMERÚN
CANADÁ
CABO VERDE
ISLAS CAIMÁN
REPÚBLICA CENTROAFRICANA
CHAD
CHILE
CHINA
ISLA DE NAVIDAD
ISLAS COCOS
COLOMBIA
COMORAS
REPÚBLICA DEL CONGO
REPÚBLICA DEMOCRÁTICA DEL CONGO
ISLAS COOK
COSTA RICA
COSTA DE MARFIL
CROACIA
CUBA
CHIPRE
REPÚBLICA CHECA
DINAMARCA
YIBUTI
DOMINICA
REPÚBLICA DOMINICANA
ECUADOR
EGIPTO
EL SALVADOR
GUINEA ECUATORIAL
ERITREA
ESTONIA
ETIOPÍA
ISLAS MALVINAS
ISLAS FEROE
FIYI
FINLANDIA
FRANCIA
GUAYANA FRANCESA
POLINESIA FRANCESA
TERRITORIOS AUSTRALES FRANCESES
GABÓN
GAMBIA
GEORGIA
ALEMANIA
GHANA
GIBRALTAR
GRECIA
GROENLANDIA
GRANADA
GUADALUPE
GUAM
GUATEMALA
GUINEA
GUINEA-BISSAU
GUYANA
IO
BN
BG
BF
BI
KH
CM
CA
CV
KY
CF
TD
CL
CN
CX
CC
CO
KM
CG
CD
CK
CR
CI
HR
CU
CY
CZ
DK
DJ
DM
DO
EC
EG
SV
GQ
ER
EE
ET
FK
FO
FJ
FI
FR
GF
PF
TF
GA
GM
GE
DE
GH
GI
GR
GL
GD
GP
GU
GT
GN
GW
GY
51
HAITÍ
ISLAS HEARD Y MCDONALD
CIUDAD DEL VATICANO
HONDURAS
HONG KONG
HUNGRÍA
ISLANDIA
INDIA
INDONESIA
IRÁN
IRAQ
IRLANDA
ISRAEL
ITALIA
JAMAICA
JAPÓN
JORDANIA
KAZAJISTÁN
KENIA
KIRIBATI
COREA DEL NORTE
COREA DEL SUR
KUWAIT
KIRGUISTÁN
LAOS
LETONIA
LÍBANO
LESOTO
LIBERIA
LIBIA
LIECHTENSTEIN
LITUANIA
LUXEMBURGO
MACAO
ARY MACEDONIA
MADAGASCAR
MALAWI
MALASIA
MALDIVAS
MALÍ
MALTA
ISLAS MARSHALL
MARTINICA
MAURITANIA
MAURICIO
MAYOTTE
MÉXICO
MICRONESIA
MOLDAVIA
MÓNACO
MONGOLIA
MONTSERRAT
MARRUECOS
MOZAMBIQUE
MYANMAR
NAMIBIA
NAURU
NEPAL
PAÍSES BAJOS
ANTILLAS NEERLANDESAS
NUEVA CALEDONIA
NUEVA ZELANDA
52
HT
HM
VA
HN
HK
HU
IS
IN
ID
IR
IQ
IE
IL
IT
JM
JP
JO
KZ
KE
KI
KP
KR
KW
KG
LA
LV
LB
LS
LR
LY
LI
LT
LU
MO
MK
MG
MW
MY
MV
ML
MT
MH
MQ
MR
MU
YT
MX
FM
MD
MC
MN
MS
MA
MZ
MM
NA
NR
NP
NL
AN
NC
NZ
NICARAGUA
NÍGER
NIGERIA
NIUE
NORFOLK
ISLAS MARIANAS DEL NORTE
NORUEGA
OMÁN
PAKISTÁN
PALAOS
PALESTINA (ANP)
PANAMÁ
PAPÚA NUEVA GUINEA
PARAGUAY
PERÚ
FILIPINAS
ISLAS PITCAIRN
POLONIA
PORTUGAL
PUERTO RICO
QATAR
REUNIÓN
RUMANIA
RUSIA
RUANDA
SANTA HELENA
SAN CRISTÓBAL Y NIEVES
SANTA LUCÍA
SAN PEDRO Y MIQUELÓN
SAN VICENTE Y LAS GRANADINAS
SAMOA
SAN MARINO
SANTO TOMÉ Y PRÍNCIPE
ARABIA SAUDITA
SENEGAL
SERBIA Y MONTENEGRO
SEYCHELLES
SIERRA LEONA
SINGAPUR
ESLOVAQUIA
ESLOVENIA
ISLAS SALOMÓN
SOMALIA
SUDÁFRICA
ISLAS GEORGIAS DEL SUR Y SANDWICH
DEL SUR
ESPAÑA
SRI LANKA
SUDÁN
SURINAM
SVALBARD Y JAN MAYEN
SUAZILANDIA
SUECIA
SUIZA
SIRIA
TAIWÁN
TAYIKISTÁN
TANZANIA
TAILANDIA
TIMOR ORIENTAL
TOGO
TOKELAU
NI
NE
NG
NU
NF
MP
NO
OM
PK
PW
PS
PA
PG
PY
PE
PH
PN
PL
PT
PR
QA
RE
RO
RU
RW
SH
KN
LC
PM
VC
WS
SM
ST
SA
SN
CS
SC
SL
SG
SK
SI
SB
SO
ZA
GS
ES
LK
SD
SR
SJ
SZ
SE
CH
SY
TW
TJ
TZ
TH
TL
TG
TK
53
TONGA
TRINIDAD Y TOBAGO
TÚNEZ
TURQUÍA
TURKMENISTÁN
ISLAS TURCAS Y CAICOS
TUVALU
UGANDA
UCRANIA
EMIRATOS ÁRABES UNIDOS
REINO UNIDO
ESTADOS UNIDOS
ISLAS ULTRAMARINAS DE ESTADOS
UNIDOS
URUGUAY
UZBEKISTÁN
VANUATU
CIUDAD DEL VATICANO
VENEZUELA
VIETNAM
ISLAS VÍRGENES BRITÁNICAS
ISLAS VÍRGENES ESTADOUNIDENSES
WALLIS Y FUTUNA
SAHARA OCCIDENTAL
YEMEN
REPÚBLICA DEMOCRÁTICA DEL CONGO
ZAMBIA
ZIMBABUE
TO
TT
TN
TR
TM
TC
TV
UG
UA
AE
GB
US
UM
UY
UZ
VU
VA
VE
VN
VG
VI
WF
EH
YE
CD
ZM
ZW
3.3.2.1.11.3 Lista de países bloqueados
Establezca los países que desea bloquear y aquellos de los que no desea recibir mensajes. Para agregar un país a la
lista Países bloqueados:, selecciónelo desde la columna Código de país: y presione el botón Agregar. Para quitar el
país de la lista Países bloqueados:, seleccione el código de país y presione el botón Quitar.
Para obtener una lista de los códigos de países específicos, consulte el tema Lista de países de origen
50
.
3.3.2.1.11.4 Lista de conjunto de caracteres bloqueados
Establezca el conjunto de caracteres que desea bloquear. No se recibirán los mensajes con estos conjuntos de
caracteres. Para agregar un conjunto de caracteres, selecciónelo desde la columna Conjunto de caracteres: y
presione el botón Agregar. De esta manera, el conjunto de caracteres aparecerá en la columna Conjunto de
caracteres bloqueados: . Para quitar el conjunto de caracteres de la columna Conjunto de caracteres
bloqueados:, seleccione el código del conjunto de caracteres y presione el botón Quitar.
Al agregar un conjunto de caracteres a la columna conjunto de caracteres bloqueados, puede especificar su propio
valor para el puntaje de SPAM de este conjunto de caracteres específico. El valor predeterminado es 100. Puede
definir el puntaje para cada conjunto de caracteres por separado.
3.3.2.1.12 Archivos de registro
Activar el registro detallado: permite un registro más detallado.
Desvío de archivos de salida:: redirige el archivo de salida de registro al directorio especificado en este campo.
Presione el botón ... para buscar el directorio en lugar de escribirlo manualmente.
54
3.3.2.1.13 Estadísticas
Activar el registro de datos estadísticos: registra direcciones IP, dominios, URL, palabras sospechosas, entre
otros, en el sistema de archivos de configuración. Los registros pueden cargarse automáticamente en los servidores
de análisis del motor antispam. Estos registros pueden convertirse en texto sin formato para su visualización.
Enviar datos estadísticos para el análisis: inicia un subproceso para cargar automáticamente los archivos
estadísticos en los servidores de análisis del motor antispam.
Dirección del servidor de análisis: URL donde se cargarán los archivos estadísticos.
3.3.2.1.14 Opciones
Configuración automática:: establece las opciones basadas en los requisitos del sistema, el rendimiento y los
recursos determinados por el usuario.
Crear archivo de configuración: crea un archivo antispam.cfg que contiene la configuración del motor antispam.
Puede encontrarse en C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server 2008) o C:
\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows Server 2000 y
2003).
Cada correo electrónico explorado por ESET Mail Security y clasificado como spam puede marcarse añadiéndole una
etiqueta de notificación al asunto del correo electrónico. En forma predeterminada, la etiqueta es [SPAM], aunque
también puede ser una cadena de texto definida por el usuario.
NOTA: También puede utilizar variables del sistema al agregar una plantilla al asunto del mensaje.
55
3.4 Preguntas frecuentes
P: Luego de instalar EMSX con Antispam, los correos electrónicos no se siguieron enviando a los buzones de correo.
R: Es un comportamiento común cuando la creación de listas grises está habilitada. Durante las primeras horas de
funcionamiento a pleno, es posible que los correos electrónicos lleguen con varias horas de retraso. Si el problema
persiste por un período más prolongado, es recomendable desactivar (o volver a configurar) la función de creación
de listas grises.
P: Cuando la interfaz VSAPI explora los archivos adjuntos de los correos electrónicos, ¿explora también el cuerpo de
los mensajes?
R: En Microsoft Exchange Server 2000 SP2 y versiones posteriores, la interfaz VSAPI también explora el cuerpo de
los mensajes.
P: ¿Por qué continúa la exploración de mensajes después de haber deshabilitado la opción de usar VSAPI?
R: Los cambios en la configuración de la interfaz VSAPI se aplican en forma asincrónica, lo que significa que la
configuración modificada de VSAPI debe ser solicitada por Microsoft Exchange Server para tener efecto. Este
proceso cíclico se efectúa en intervalos de aproximadamente 1 minuto. Lo mismo se aplica para todas las demás
configuraciones de VSAPI.
P: ¿Existe la posibilidad de que VSAPI elimine un mensaje completo si contiene un archivo adjunto infectado?
R: Sí, es posible que VSAPI elimine el mensaje completo. No obstante, primero es necesario seleccionar la opción
Eliminar el mensaje completo en la sección Acciones de la configuración de VSAPI. Esta opción está disponible en
Microsoft Exchange Server 2003 y versiones posteriores. Las versiones anteriores de Microsoft Exchange Server no
soportan la opción de eliminar mensajes completos.
P: ¿VSAPI también explora el correo electrónico de salida en busca de virus?
R: Sí, VSAPI explora los correos electrónicos de salida a menos que el servidor SMTP configurado en el cliente de
correo sea distinto a Microsoft Exchange Server. Esta opción se aplica en Microsoft Exchange Server 2000 Service
Pack 3 y versiones posteriores.
P: ¿Se puede agregar un mensaje de etiqueta mediante VSAPI a cada mensaje explorado, de la misma forma que
con el agente de transporte?
R: Microsoft Exchange Server no soporta la función de agregado de texto a los mensajes explorados por VSAPI.
P: A veces no puedo abrir un correo electrónico específico en Microsoft Outlook. ¿A qué se debe?
R: La opción Acción para realizar cuando no es posible desinfectar de la configuración de VSAPI en la sección
Acciones probablemente esté configurada en Bloquear o se creó una regla para Bloquear la acción. Cualquiera de
estas dos configuraciones marcará y bloqueará los mensajes infectados que queden afectados por la regla
mencionada.
P: ¿Qué representa el elemento Límite de tiempo de respuesta en la sección Rendimiento?
R: Si usted tiene Microsoft Exchange Server 2000 SP2 o una versión posterior, el valor del Límite de tiempo de
respuesta representa el tiempo máximo en segundos requerido para finalizar la exploración VSAPI de un
subproceso. Si la exploración no se termina dentro de el límite de tiempo especificado, Microsoft Exchange Server
denegará el acceso del cliente al correo electrónico. La exploración no se interrumpirá, y cuando se haya finalizado,
cada nuevo intento de acceder al archivo será satisfactorio. Si usted tiene Microsoft Exchange Server 5.5 SP3 o SP4,
el valor se expresa en milisegundos y representa el período tras el cual el cliente vuelve a intentar acceder al archivo
cuando no se pudo acceder previamente debido a la exploración.
P: ¿Qué longitud puede tener la lista con tipos de archivos de una regla?
R: La lista con extensiones de archivos puede incluir un máximo de 255 caracteres en una misma regla.
P: Habilité la opción Exploración en segundo plano en VSAPI. Hasta ahora, los mensajes de Microsoft Exchange
Server siempre se exploraban luego de cada actualización de la base de datos de firmas de virus. Pero esto no
ocurrió tras la última actualización. ¿Cuál es el problema?
R: La decisión de explorar todos los mensajes de inmediato o cuando el usuario intenta acceder a un mensaje
depende de varios factores, entre los que se incluyen la carga del servidor, el tiempo requerido por la CPU para
56
explorar todos los mensajes en forma masiva y la cantidad total de mensajes. El servidor Microsoft Exchange Server
explorará cada mensaje antes de que llegue al buzón de entrada del cliente.
P: ¿Por qué el contador de la regla aumenta más de un punto después de recibir un solo mensaje?
R:Las reglas se verifican con respecto a un mensaje cuando el agente de transporte o la interfaz VSAPI lo procesan.
Si tanto el agente de transporte como VSAPI están habilitados y el mensaje concuerda con las condiciones de la
regla, el contador de la regla puede incrementarse en dos o más puntos. La interfaz VSAPI accede a las partes del
mensaje en forma individual (cuerpo, archivo adjunto); en consecuencia, las reglas se aplican a cada parte
independientemente. Lo que es más, las reglas pueden aplicarse durante una exploración en segundo plano (por ej.,
la exploración reiterada del almacén de buzones de correo tras una actualización de la base de datos de firmas de
virus), lo que aumenta el valor del contador de la regla.
P: ¿Es ESET Mail Security 4 para Microsoft Exchange Server compatible con el agente de filtrado de contenido (IMF)?
R: Sí, ESET Mail Security 4 para Microsoft Exchange Server (EMSX) es compatible con el agente de filtrado de
contenido (IMF). El procesamiento de los correos electrónicos en caso de que se marque el mensaje como spam es
el siguiente:
- Si el antispam de ESET Mail Security tiene la opción Eliminar mensaje (o Poner mensaje en cuarentena)
habilitada, la acción se ejecutará independientemente de la acción establecida en el IMF de Microsoft Exchange.
- Si el antispam de ESET Mail Security está configurado en Sin acción, se usará la configuración del IMF de
Microsoft Exchange y se ejecutará la acción relevante (por ej., Eliminar, Rechazar, Archivar...). Escribir el nivel
de confianza contra spam (SCL) en los mensajes explorados según el puntaje de spam (en Protección del
servidor > Microsoft Exchange Server > Agente de transporte): esta opción debe estar habilitada para que la
característica funcione en forma efectiva.
P: ¿Cómo debo configurar ESET Mail Security para mover los correos electrónicos no solicitados a la carpeta de
spam de Microsoft Outlook definida por el usuario?
R: La configuración predeterminada de ESET Mail Security hace que Microsoft Outlook almacene los correos
electrónicos no solicitados en la carpeta Correo no deseado. Para que esto funcione, anule la selección de la
opción Escribir el puntaje de spam en el encabezado de los correos electrónicos explorados (en F5 >
Protección del servidor > Protección antispam > Microsoft Exchange Server > Agente de transporte). Si
prefiere que el correo electrónico no solicitado se almacene en una carpeta distinta, lea las siguientes instrucciones:
1) En ESET Mail Security:
- vaya al árbol de configuración F5,
- vaya a Protección del servidor > Protección Antispam > Microsoft Exchange Server > Agente de
transporte
- seleccioneRetener mensaje en el menú desplegable Acciones a realizar con los mensajes spam
- anule la casilla de verificación Escribir puntaje de spam en el encabezado de los mensajes explorados
- vaya a Alertas y notificaciones en Protección Antispam
- defina una etiqueta de texto que se agregará al campo asunto de los mensajes no deseados, por ejemplo
"[SPAM]", en el campo Plantilla agregada al asunto de los mensajes spam
2) En Microsoft Outlook:
- configure una regla para asegurar que los mensajes cuyo asunto contenga un texto específico ("[SPAM]")
se envíen a la carpeta deseada.
Para obtener instrucciones más detalladas consulte este Artículo de la base de conocimientos.
57
P: En las estadísticas de protección antispam, muchos mensajes entran en la categoría No explorado. ¿Cuáles son
los correos electrónicos que la protección antispam no explora?
R: La categoría No explorado incluye:
General:
Todos los mensajes que se exploraron mientras la protección antispam tenía algún nivel deshabilitado
(servidor de correo, agente de transporte).
Microsoft Exchange Server 2003:
Todos los mensajes entrantes de una dirección IP que figura en el servicio de filtrado de mensajes IMF, en la
Lista de aceptación global
Mensajes de remitentes autenticados
Microsoft Exchange Server 2007:
Todos los mensajes enviados dentro de la organización (se explorarán mediante la protección antivirus)
Mensajes de remitentes autenticados
Mensajes provenientes de usuarios configurados para omitir el antispam
Todos los mensajes enviados al buzón de correo con la opción Omitir antispam habilitada
Todos los mensajes provenientes de remitentes que aparecen en la lista Remitentes seguros.
NOTA: Las direcciones definidas en la lista blanca y la configuración del motor antispam no entran en la categoría
No explorado, ya que este grupo está compuesto únicamente por los mensajes que nunca se procesaron por el
antispam.
P: Los usuarios descargan mensajes a sus clientes de correo electrónico mediante POP3 (evitando el servidor
Microsoft Exchange Server), pero los buzones de correo están guardados en Microsoft Exchange Server. ¿El antivirus
y antispam de ESET Mail Security explora estos correos electrónicos?
R: En este tipo de configuración, ESET Mail Security explorará los correos electrónicos almacenados en el servidor
Microsoft Exchange Server solo en busca de virus (mediante VSAPI). La exploración antispam no se llevará a cabo,
ya que requiere un servidor SMTP.
P: ¿Puedo definir el nivel de puntaje de spam que un mensaje debe tener para ser considerado SPAM?
R: Sí, se puede establecer el límite en la versión 4.3 o posterior de ESET Mail Security (ver el capítulo Motor antispam
40 ).
P:¿El módulo de protección antispam de ESET Mail Security también explora los mensajes descargados mediante un
Conector POP3?
R: ESET Mail Security es compatible con el Conector POP3 de Microsoft SBS en SBS 2008 y por lo tanto los mensajes
que se descargan mediante este Conector POP3 se exploran para detectar la presencia de spam. Sin embargo, el
Conector POP3 de Microsoft SBS en SBS 2003 no es compatible. También existen Conectores POP3 terceros. La
exploración en busca de spam de los mensajes recolectados a través de Conectores POP3 terceros depende de cómo
está diseñado el Conector POP3 y cómo se recolectan los mensajes a través de este Conector POP3. Para obtener
más información consulte el tema Conector POP3 y antispam 39 .
58
4. ESET Mail Security: protección del servidor
A la vez que proporciona protección para el servidor Microsoft Exchange Server, ESET Mail Security cuenta con
todas las herramientas necesarias para asegurar la protección del servidor en sí mismo (escudo residente,
protección de acceso a la Web, protección del cliente de correo electrónico y antispam).
4.1 Protección antivirus y antispyware
La protección antivirus defiende el sistema ante ataques maliciosos mediante el control de archivos, correos
electrónicos y comunicaciones por Internet. Si se detecta una amenaza con códigos maliciosos, el módulo antivirus
la puede eliminar en primer lugar bloqueándola y luego desinfectándola, eliminándola o enviándola a cuarentena.
4.1.1 Protección del sistema de archivos en tiempo real
La protección del sistema de archivos en tiempo real controla todos los sucesos del sistema relacionados con el
antivirus. Se exploran todos los archivos en busca de códigos maliciosos cuando se abren, crean o ejecutan en el
equipo. La protección del sistema de archivos en tiempo real se activa junto con el inicio del sistema.
4.1.1.1 Configuración del control
La protección del sistema de archivos en tiempo real verifica todos los tipos de medios y el control se acciona por
diversos sucesos. Al usar los métodos de detección de la tecnología ThreatSense (descritos en la sección titulada
Configuración de los parámetros del motor ThreatSense 75 ), la protección del sistema de archivos en tiempo real
puede variar entre los nuevos archivos creados y los ya existentes. En el caso de los nuevos archivos creados, es
posible aplicar un nivel más profundo de control.
Para garantizar el mínimo impacto posible en el sistema al usar la protección en tiempo real, los archivos que ya se
exploraron no se vuelven a explorar reiteradamente (a menos que se hayan modificado). Los archivos se vuelven a
explorar de inmediato luego de cada actualización de la base de datos de firmas de virus. Este comportamiento se
configura mediante el uso de la optimización inteligente. Si está deshabilitada, se explorarán todos los archivos
cada vez que se accede a ellos. Para modificar esta opción, abra la ventana de configuración avanzada y haga clic en
Antivirus y antispyware > Protección del sistema de archivos en tiempo real en el árbol de configuración
avanzada. Luego haga clic en el botón Configurar... al lado de Configuración de los parámetros del motor
ThreatSense , haga clic en Otros y seleccione o anule la selección de la opción Habilitar la optimización
inteligente.
En forma predeterminada, la protección en tiempo real se activa junto con el inicio del sistema y proporciona una
exploración ininterrumpida. En algunos casos especiales (por ej., si hay un conflicto con otro módulo de exploración
en tiempo real), es posible finalizar la protección en tiempo real anulando la selección de la opción Iniciar
automáticamente la protección del sistema de archivos en tiempo real.
59
4.1.1.1.1 Medios para explorar
En forma predeterminada, todos los tipos de medios se exploran en busca de amenazas potenciales.
Unidades locales: controla todos los discos rígidos del sistema
Medios extraíbles: disquetes, dispositivos de almacenamiento USB, etc.
Unidades de red: explora todas las unidades asignadas
Es recomendable conservar la configuración predeterminada y solo modificarla en casos específicos, por ej., si al
explorar ciertos medios, se ralentizan significativamente las transferencias de archivos.
4.1.1.1.2 Exploración accionada por un suceso
En forma predeterminada, se exploran todos los archivos cuando se abren, crean o ejecutan. Se recomienda
mantener la configuración predeterminada, ya que provee el máximo nivel de protección en tiempo real del equipo.
La opción Acceder al disquete proporciona la verificación del sector de inicio del disquete al acceder a dicha unidad.
La opción Apagado del equipo proporciona la verificación de los sectores de inicio del disco rígido durante el
apagado del equipo. A pesar de que los virus de inicio hoy en día no son frecuentes, es recomendable dejar estas
opciones habilitadas, ya que todavía existe la posibilidad de infección por un virus de inicio desde diversas fuentes.
4.1.1.1.3 Opciones avanzadas de exploración
Se pueden encontrar opciones más detalladas de configuración en Protección del equipo > Antivirus y
antispyware > Protección del sistema de archivos en tiempo real > Configuración avanzada.
Los parámetros adicionales de ThreatSense para archivos modificados y creados recientemente: la
probabilidad de infección en archivos recién creados o modificados es comparativamente más alta que en los
archivos existentes. Por ese motivo, el programa verifica esos archivos con parámetros adicionales de exploración.
Junto con los métodos de exploración basados en firmas, también se usa la heurística avanzada, que mejora
significativamente las tasas de detección. Además de los nuevos archivos creados, también se exploran los archivos
de autoextracción (.sfx) y los empaquetadores de tiempo de ejecución (archivos ejecutables comprimidos
internamente). En forma predeterminada, los archivos comprimidos se exploran hasta el décimo nivel de anidado y
se verifican independientemente de su tamaño real. Para modificar la configuración de la exploración de archivos
comprimidos, anule la selección de la opción correspondiente a la configuración predeterminada para explorar
archivos comprimidos.
60
Parámetros adicionales de ThreatSense.Net para los archivos ejecutados: en forma predeterminada, la
heurística avanzada no se usa cuando se ejecutan los archivos. No obstante, quizá desee habilitar esta opción en
casos específicos (seleccionando la opción Heurística avanzada para los archivos ejecutados). Tenga en cuenta
que la heurística avanzada puede provocar demoras en la ejecución de algunos programas debido a los mayores
requisitos del sistema.
4.1.1.2 Niveles de desinfección
La protección en tiempo real tiene tres niveles de desinfección. Para seleccionar un nivel de desinfección, haga clic
en el botón Configurar... en la sección Protección del sistema de archivos en tiempo real y luego haga clic en
Desinfección.
El primer nivel, Sin desinfección, muestra una ventana de alerta con opciones disponibles para cada infiltración
detectada. Deberá elegir una acción individualmente para cada infiltración. Este nivel está diseñado para los
usuarios más avanzados que conocen los pasos a seguir en caso de detectar una infiltración.
El nivel predeterminado automáticamente elige y lleva a cabo una acción predefinida (dependiendo del tipo de
infiltración). La detección y eliminación de un archivo infectado se marca con un mensaje en la esquina inferior
derecha de la pantalla. Las acciones automáticas no se realizan cuando la infiltración está ubicada dentro de un
archivo comprimido (que también contiene archivos no infectados) ni cuando los objetos infectados no cuentan
con una acción predefinida.
El tercer nivel, Desinfección estricta, es el más "agresivo", ya que desinfecta todos los objetos infectados. Como
este nivel puede provocar la posible pérdida de archivos válidos, es recomendable utilizarlo únicamente en
situaciones específicas.
4.1.1.3 Cuándo modificar la configuración de la protección en tiempo real
La protección en tiempo real es el componente primordial para mantener un sistema seguro. En consecuencia,
tenga en cuenta que debe ser precavido al modificar sus parámetros. Recomendamos modificar los parámetros
únicamente en casos específicos. Por ejemplo, si existe un conflicto con una aplicación en particular o con el
módulo de exploración en tiempo real de otro programa antivirus.
Luego de la instalación de ESET Mail Security, todas las configuraciones se optimizan para proporcionar el máximo
nivel de seguridad del sistema para los usuarios. Para restaurar la configuración predeterminada, haga clic en el
botón Configuración predeterminada ubicado en el extremo inferior derecho de la ventana Protección del
sistema de archivos en tiempo real (Configuración avanzada > Antivirus y antispyware > Protección del
sistema de archivos en tiempo real).
61
4.1.1.4 Verificación de la protección en tiempo real
Para verificar que la protección en tiempo real funcione y detecte viruses, utilice un archivo de prueba de eicar.com.
Este archivo de prueba es un archivo inofensivo especial que es detectable por todos los programas de antivirus. El
archivo fue creado por la empresa EICAR (Instituto Europeo para la Investigación de los Antivirus Informáticos, por
sus siglas en inglés) para comprobar la eficacia de los programas antivirus. El archivo eicar.com está disponible para
su descarga desde http://www.eicar.org/download/eicar.com
NOTA: Antes de realizar una verificación de la protección en tiempo real, es necesario deshabilitar el firewall. Si el
firewall está habilitado, detectará el archivo e impedirá que los archivos de prueba se descarguen.
4.1.1.5 Qué hacer si la protección en tiempo real no funciona
En la siguiente sección, se describirán situaciones que pueden presentar problemas al utilizar la protección en
tiempo real y se indicará cómo solucionarlas.
La protección en tiempo real está deshabilitada
Si un usuario desactivó la protección en tiempo real sin darse cuenta, será necesario volver a activarla. Para
reactivar la protección en tiempo real, vaya a Configuración > Antivirus y antispyware y haga clic en Habilitar la
protección del sistema de archivos en tiempo real en la ventana principal del programa.
Si la protección en tiempo real no se activa durante el inicio del sistema, es posible que se deba a que la opción
Iniciar automáticamente la protección del sistema de archivos en tiempo real esté deshabilitada. Para habilitar
esta opción, vaya a Configuración avanzada (F5) y haga clic en Protección del sistema de archivos en tiempo real
en el árbol de configuración avanzada. En la sección Configuración avanzada en la parte inferior de la ventana,
compruebe que la casilla de verificación Iniciar automáticamente la protección del sistema de archivos en
tiempo real esté seleccionada.
Si la protección en tiempo real no detecta ni desinfecta infiltraciones
Asegúrese de que no haya otros programas antivirus instalados en el equipo. Si están habilitados dos escudos de
protección en tiempo real al mismo tiempo, es posible que entren en conflicto. Se recomienda desinstalar cualquier
otro programa antivirus que haya en el sistema.
La protección en tiempo real no se inicia
Si la protección en tiempo real no se activa durante el inicio del sistema (y la opción Iniciar automáticamente la
protección del sistema de archivos en tiempo real está habilitada), es posible que se deba a la existencia de
62
conflictos con otros programas. En este caso, consulte a los especialistas de atención al cliente de ESET.
4.1.2 Protección del cliente de correo electrónico
La protección del correo electrónico permite verificar las comunicaciones de correo electrónico recibidas a través del
protocolo POP3. Mediante el complemento del programa para Microsoft Outlook, ESET Mail Security proporciona
el control de todas las comunicaciones desde el cliente de correo electrónico (POP3, MAPI, IMAP, HTTP).
Al examinar los mensajes entrantes, el programa utiliza todos los métodos avanzados de exploración provistos por
el motor de exploración ThreatSense. Esto significa que la detección de programas maliciosos se lleva a cabo incluso
antes de compararse con la base de datos con firmas de virus. La exploración de las comunicaciones del protocolo
POP3 es independiente de la aplicación de correo electrónico que se utilice.
4.1.2.1 Verificación de POP3
El protocolo POP3 es el protocolo usado más extendido para recibir comunicación mediante correo electrónico en
una aplicación de cliente de correo electrónico.ESET Mail Security proporciona protección para este protocolo
independientemente del cliente de correo electrónico usado.
El módulo de protección que proporciona este control se inicia automáticamente al arrancar el sistema operativo y
luego queda activo en la memoria. Para que el módulo funcione correctamente, asegúrese de que está habilitado;
la exploración POP3 se realiza automáticamente sin necesidad de reconfigurar el cliente de correo electrónico. En
forma predeterminada, se exploran todas las comunicaciones en el puerto 110, pero se pueden agregar otros
puertos de comunicación si es necesario. Los números de puerto deben delimitarse con una coma.
Las comunicaciones cifradas no se controlan.
Para poder utilizar el filtrado de POP3/POP3S, primero es necesario habilitar el Filtrado de protocolos. Si las
opciones POP3/POP3S están sombreadas en gris, vaya a Protección del equipo > Antivirus y antispyware >
Filtrado de protocolos desde el interior del árbol de configuración avanzada y seleccione la opción Habilitar el
filtrado del contenido de los protocolos de aplicación. Consulte la sección Filtrado de protocolos para obtener
más detalles sobre el filtrado y la configuración.
63
4.1.2.1.1 Compatibilidad
Determinados programas de correo electrónico pueden experimentar problemas con el filtrado de POP3 (por
ejemplo, al recibir mensajes con una conexión a Internet lenta, se puede exceder el tiempo de espera debido a la
verificación). En este caso, intente modificar la forma en que se realiza el control. Reducir el nivel del control puede
mejorar la velocidad del proceso de desinfección. Para ajustar el nivel de control del filtrado de POP3, desde el árbol
de configuración avanzada, vaya a Antivirus y antispyware > Protección del correo electrónico > POP3, POP3S >
Compatibilidad.
Si la Eficiencia máxima está habilitada, las infiltraciones se eliminan de los mensajes infectados y se inserta
información acerca de la infiltración adelante del asunto original del mensaje (deben estar activadas las opciones
Eliminar o Desinfectar, o debe estar habilitado el nivel de desinfección Estricta o Predeterminada).
El Nivel medio de compatibilidad modifica la forma en que se reciben los mensajes. Los mensajes se envían
gradualmente al cliente de correo electrónico. Después de que se transfiere la última parte del mensaje, se
explorará en busca de infiltraciones. El riesgo de infección aumenta con este nivel de control. El nivel de
desinfección y el tratamiento de los mensajes de etiqueta (alertas de notificación agregadas a la línea del asunto y
al cuerpo de los correos electrónicos) son idénticos a la configuración de eficiencia máxima.
En el Nivel máximo de compatibilidad, una ventana de alerta le advierte al usuario sobre la recepción de un
mensaje infectado. No se agregará ninguna información sobre los archivos infectados a la línea del asunto o al
cuerpo del correo electrónico de los mensajes enviados y las infiltraciones no se eliminarán automáticamente: se
deberán eliminar desde el cliente de correo electrónico.
4.1.2.2 Integración con los clientes de correo electrónico
La integración de ESET Mail Security con clientes de correo electrónico incrementa el nivel de protección activa
frente a códigos maliciosos en los mensajes de correo electrónico. Si su cliente de correo electrónico es compatible,
la integración se puede habilitar en ESET Mail Security. Cuando la integración está activada, la barra de
herramientas de ESET Mail Security se inserta directamente en el cliente de correo electrónico, lo que permite una
protección más eficaz del correo electrónico. Las opciones de configuración de la integración están disponibles en
Configuración > Ingresar al árbol completo de configuración avanzada... > Varios > Integración con el cliente
de correo electrónico. La función de integración del cliente de correo electrónico permite activar la integración con
los clientes de correo electrónico compatibles. Entre los clientes de correo electrónico actualmente compatibles, se
incluyen Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail y Mozilla Thunderbird.
Seleccione la opción Deshabilitar la verificación en caso de cambios en el contenido del buzón de entrada si
nota que el sistema funciona con mayor lentitud mientras trabaja con el cliente de correo electrónico. Este tipo de
64
situación puede presentarse al descargar correos electrónicos desde Kerio Outlook Connector Store.
La protección del correo electrónico se activa al hacer un clic en Configuración > Ingresar al árbol completo de
configuración avanzada... > Antivirus y antispyware > Protección del cliente de correo electrónico y
seleccionar la opción Habilitar la protección antivirus y antispyware para el cliente de correo electrónico.
4.1.2.2.1 Adhesión de mensajes de etiqueta al cuerpo de los correos electrónicos
Cada correo electrónico explorado por ESET Mail Security se puede marcar mediante el agregado de un mensaje de
etiqueta al asunto o cuerpo del correo. Esta función aumenta el nivel de credibilidad para el destinatario y, si se
detecta una infiltración, proporciona información valiosa sobre el nivel de amenaza de un correo electrónico o
remitente determinado.
Las opciones para esta funcionalidad están disponibles en Configuración avanzada > Antivirus y antispyware >
Protección del cliente de correo electrónico. Puede elegir Añadir mensajes de etiqueta a los correos
electrónicos recibidos y leídos, así como Añadir mensajes de etiqueta a los correos electrónicos enviados.
También tiene la opción de decidir si los mensajes de etiqueta se agregarán a todos los correos electrónicos
explorados, únicamente al correo electrónico infectado o a ningún correo.
ESET Mail Security también le permite adjuntar mensajes al asunto original de los mensajes infectados. Para
habilitar el adjunto al asunto, selecciones las opciones Adjuntar una nota al asunto del correo electrónico
infectado leído y recibido y Adjuntar una nota al asunto del correo electrónico del correo electrónico
infectado enviado.
El contenido de las notificaciones puede modificarse en el campo Plantilla añadida al asunto del correo
electrónico infectado. Las modificaciones mencionadas pueden ayudar a automatizar el proceso de filtrado de
correo electrónico, ya que permite filtrar mensajes de correo con un asunto específico (si es compatible con su
cliente de correo electrónico) mediante su envío a una carpeta separada.
65
4.1.2.3 Eliminación de infiltraciones
Si recibe un mensaje de correo electrónico infectado, se mostrará una ventana de alerta. La ventana de alerta indica
el nombre del remitente, el correo electrónico y el nombre de la infiltración. En la parte inferior de la ventana, están
disponibles las opciones Desinfectar, Eliminar o Sin acción para el objeto detectado. En casi todos los casos, es
recomendable elegir Desinfectar o Eliminar. En situaciones especiales, si desea recibir el archivo infectado,
seleccione Sin acción.
Si la Desinfección estricta está habilitada, se mostrará una ventana de información sin opciones disponibles para
los objetos infectados.
4.1.3 Protección del acceso a la Web
La conectividad a Internet es una función estándar del equipo personal. Lamentablemente, también se convirtió en
el medio principal para transferir códigos maliciosos. Por ese motivo, es esencial que considere con mucho cuidado
la protección del acceso a la Web. Se recomienda firmemente habilitar la opción Habilitar la protección antivirus y
antispyware para el acceso a la Web. Esta opción está ubicada en Configuración avanzada (F5) > Antivirus y
antispyware > Protección del acceso a la Web.
4.1.3.1 HTTP, HTTPS
La función de la protección del acceso a la Web es supervisar la comunicación entre los navegadores de Internet y
los servidores remotos, según las disposiciones normativas de HTTP (protocolo de transferencia de hipertexto) y
HTTPS (comunicación cifrada). ESET Mail Security está configurado en forma predeterminada para utilizar los
estándares de la mayoría de los navegadores de Internet. No obstante, es posible modificar las opciones de
configuración del módulo de exploración HTTP en Configuración avanzada (F5) > Antivirus y antispyware >
Protección del acceso a la Web > HTTP, HTTPS. En la ventana principal de filtrado HTTP, se puede seleccionar o
quitar la selección de la opción Habilitar la verificación de HTTP. También puede definir los números de puerto
utilizados para la comunicación HTTP. En forma predeterminada, se utilizan los números de puerto 80, 8080 y
3128. La verificación HTTPS puede realizarse en los dos modos siguientes:
No verificar el protocolo HTTPS: no se verificarán las comunicaciones cifradas
Verificar el protocolo HTTPS para los puertos seleccionados: la verificación HTTP únicamente se usará para los
puertos definidos en Puertos utilizados por el protocolo HTTPS
66
4.1.3.1.1 Administración de direcciones
En esta sección podrá indicar las direcciones HTTP que desea bloquear, permitir o excluir de la verificación. Los
botones Agregar..., Editar..., Quitar y Exportar... se usan para administrar las listas de direcciones. No será
posible acceder a los sitios Web incluidos en la lista de direcciones bloqueadas. Se otorgará acceso a los sitios Web
presentes en la lista de direcciones excluidas sin explorarlos en busca de códigos maliciosos. Si selecciona la opción
Solo permitir el acceso a las direcciones HTTP de la lista de direcciones permitidas, únicamente se podrá
acceder a las direcciones presentes en la lista de direcciones permitidas, mientras que las demás direcciones HTTP
se bloquearán.
En todas las listas, pueden utilizarse los símbolos especiales * (asterisco) y ? (signo de interrogación). El asterisco
sustituye a cualquier cadena de caracteres y el signo de interrogación, a cualquier símbolo. Tenga especial cuidado
al especificar direcciones excluidas, ya que la lista solo debe contener direcciones seguras y de confianza. Del mismo
modo, es necesario asegurarse de que los símbolos * y ? se utilicen correctamente en esta lista. Para activar una
lista, seleccione la opción Lista activa. Si desea recibir notificaciones al ingresar una dirección de la lista actual,
seleccione la opción Notificar cuando se empleen direcciones de la lista.
67
4.1.3.1.2 Modo activo
ESET Mail Security también contiene la característica de navegadores Web, que le permite definir si la aplicación
dada es un navegador o no. Si se marca una aplicación como navegador, toda la comunicación de esta aplicación se
monitorea independientemente de los números de puerto involucrados.
La función de navegadores Web complementa la función de verificación de HTTP, ya que ésta solo se realiza en
puertos predefinidos. Sin embargo, muchos servicios de Internet utilizan números de puerto desconocidos o que
varían constantemente. Para ello, la función de navegador Web puede establecer el control de las comunicaciones
de puerto independientemente de los parámetros de conexión.
Se puede acceder a la lista de aplicaciones marcadas como navegadores Web desde el submenú Navegadores Web
de la sección HTTP, HTTPS. Esta sección también contiene el submenú Modo activo, que define el modo de
68
verificación de los navegadores de Internet.
El Modo activo resulta útil porque examina los datos transferidos en forma conjunta. Si no está habilitado, la
comunicación de las aplicaciones se supervisa gradualmente en lotes. Esto disminuye la eficacia del proceso de
verificación de datos, pero también proporciona una mayor compatibilidad para las aplicaciones incluidas en la
lista. Si no surgen problemas durante su uso, es recomendable activar el modo de verificación activa; para ello,
seleccione la casilla de verificación junto a la aplicación deseada.
4.1.4 Exploración bajo demanda del equipo
Si sospecha que el equipo está infectado (se comporta en forma anormal), ejecute una exploración bajo demanda
del equipo para examinarlo en busca de infiltraciones. Desde el punto de vista de la seguridad, es esencial que las
exploraciones del equipo no se ejecuten solo cuando existen sospechas de una infección, sino en forma habitual
como parte de una medida de seguridad de rutina. La exploración de rutina puede detectar infiltraciones que la
exploración en tiempo real no detectó cuando se guardaron en el disco. Esta situación puede ocurrir si la
exploración en tiempo real no estaba habilitada en el momento de la infección o si la base de datos de firmas de
virus no está actualizada.
Se recomienda ejecutar una exploración bajo demanda del equipo al menos una vez al mes. La exploración se puede
configurar como una tarea programada en Herramientas > Tareas programadas.
69
4.1.4.1 Tipo de exploración
Se encuentran disponibles dos tipos de exploración bajo demanda del equipo. Exploración inteligente: explora
rápidamente el sistema sin necesidad de realizar configuraciones adicionales de los parámetros de exploración.
Exploración personalizada...: permite seleccionar cualquiera de los perfiles de exploración predefinidos, así como
elegir objetos específicos para la exploración.
4.1.4.1.1 Exploración inteligente
La exploración inteligente permite iniciar rápidamente una exploración del equipo y desinfectar los archivos
infectados sin necesidad de la intervención del usuario. La ventaja principal es su manejo sencillo, ya que no
requiere una configuración detallada de la exploración. La exploración inteligente verifica todos los archivos de las
unidades locales y desinfecta o elimina en forma automática las infiltraciones detectadas. El nivel de desinfección
está establecido automáticamente en el valor predeterminado. Para obtener información más detallada sobre los
tipos de desinfección, consulte la sección Desinfección 78 .
4.1.4.1.2 Exploración personalizada
La exploración personalizada es una solución ideal si desea especificar los parámetros de exploración, tales como
los objetos para explorar y los métodos de exploración. La ventaja de la exploración personalizada es la capacidad
de configurar los parámetros detalladamente. Es posible guardar las configuraciones en perfiles de exploración
definidos por el usuario, lo que resulta útil si la exploración se efectúa reiteradamente con los mismos parámetros.
Para elegir los objetos para explorar, seleccione Exploración del equipo > Exploración personalizada y elija una
opción en el menú desplegable Objetos para explorar o seleccione objetos específicos desde la estructura con
forma de de árbol. El objeto para explorar también puede definirse con mayor precisión si ingresa la ruta a las
carpetas o archivos que desea incluir. Si solo le interesa explorar el sistema sin realizar acciones adicionales de
desinfección, seleccione la opción Explorar sin desinfectar. Además, puede elegir entre tres niveles de
desinfección; para ello, haga clic en Configuración... > Desinfección.
70
4.1.4.2 Objetos para explorar
El menú desplegable Objetos para explorar permite seleccionar los archivos, carpetas y dispositivos (discos) que se
explorarán en busca de virus.
Por configuración de perfil: selecciona los objetos especificados en el perfil de exploración seleccionado
Medios extraíbles: selecciona disquetes, dispositivos de almacenamiento USB, CD/DVD
Unidades locales: selecciona todos los discos rígidos del sistema
Unidades de red: selecciona todas las unidades asignadas
Sin selección: cancela todas las selecciones
El objeto para explorar también puede definirse con mayor precisión si se ingresa la ruta a las carpetas o archivos
que desea incluir en la exploración. Seleccione los objetos desde la estructura con forma de árbol que incluye la lista
de todos los dispositivos disponibles en el equipo.
4.1.4.3 Perfiles de exploración
Es posible guardar los parámetros preferidos de exploración para usarlos en el futuro. Se recomienda crear un perfil
distinto (con varios objetos para explorar, métodos de exploración y otros parámetros) para cada exploración
utilizada regularmente.
Para crear un nuevo perfil, abra la ventana de configuración avanzada (F5) y haga clic en Exploración bajo
demanda del equipo > Perfiles... La ventana Perfiles de configuración ofrece un menú desplegable con los
perfiles de exploración existentes así como la opción de crear uno nuevo. Para obtener ayuda sobre cómo crear un
perfil de exploración acorde a sus necesidades, consulte la sección Configuración de los parámetros del motor
ThreatSense 75 , donde obtendrá la descripción de cada parámetro de la configuración de la exploración.
EJEMPLO: Imagine que desea crear su propio perfil de exploración y la configuración de la exploración inteligente es
parcialmente adecuada, pero no desea explorar empaquetadores en tiempo real o aplicaciones potencialmente no
seguras y además quiere aplicar una Desinfección estricta. En la ventana Perfiles de configuración, haga clic en el
botón Agregar.... Ingrese el nombre de su nuevo perfil en el campo Nombre del perfil, y seleccione Exploración
inteligente desde el menú desplegable Copiar configuraciones desde el perfil . Finalmente, ajuste los parámetros
restantes según sus necesidades.
71
4.1.4.4 Línea de comandos
El módulo antivirus de ESET Mail Security se puede iniciar mediante una línea de comandos; ya sea en forma
manual (con el comando "ecls") o con un archivo de procesamiento por lotes ("bat").
Se pueden usar los siguientes parámetros y modificadores desde la línea de comandos durante la ejecución del
módulo de exploración bajo demanda:
Opciones generales:
- help
mostrar la ayuda y salir
- version
mostrar información de la versión y salir
- base-dir = FOLDER
cargar módulos desde FOLDER
- quar-dir = FOLDER
FOLDER de cuarentena
- aind
mostrar indicador de actividad
Destinos:
- files
explorar los archivos (predeterminado)
- no-files
no explorar los archivos
- boots
explorar los sectores de inicio (predeterminado)
- no-boots
no explorar los sectores de inicio
- arch
explorar los archivos comprimidos (predeterminado)
- no-arch
no explorar los archivos comprimidos
- max-archive-level = LEVEL
LEVEL máximo de anidado de los archivos comprimidos
- scan-timeout = LIMIT
explorar los archivos comprimidos durante LIMIT
segundos como máximo. Si el tiempo de exploración
alcanza el límite especificado, la exploración del archivo
comprimido se detiene y continúa con el siguiente
archivo.
- max-arch-size=SIZE
explorar solo los primeros bytes de SIZE en archivos
comprimidos (el predeterminado es 0 = ilimitado)
- mail
explorar los archivos de correo electrónico
- no-mail
no explorar los archivos de correo electrónico
- sfx
explorar los archivos comprimidos de autoextracción
- no-sfx
no explorar los archivos comprimidos de autoextracción
- rtp
explorar los empaquetadores de tiempo de ejecución
- no-rtp
no explorar los empaquetadores de tiempo de ejecución
- exclude = FOLDER
excluir FOLDER de la exploración
- subdir
explorar las subcarpetas (predeterminado)
- no-subdir
no explorar las subcarpetas
- max-subdir-level = LEVEL
LEVEL máximo de anidado de las subcarpetas (el
predeterminado es 0 = ilimitado)
- symlink
seguir los vínculos simbólicos (predeterminado)
- no-symlink
saltear los vínculos simbólicos
- ext-remove = EXTENSIONS
72
- ext-exclude = EXTENSIONS
excluir de la exploración las EXTENSIONS delimitadas por
dos puntos
Métodos:
- adware
explorar en búsqueda de adware/spyware/riskware
- no-adware
no explorar en búsqueda de adware/spyware/riskware
- unsafe
explorar en búsqueda de aplicaciones potencialmente no
seguras
- no-unsafe
no explorar en búsqueda de aplicaciones potencialmente
no seguras
- unwanted
explorar en búsqueda de aplicaciones potencialmente no
deseadas
- no-unwanted
no explorar en búsqueda de aplicaciones potencialmente
no deseadas
- pattern
usar firmas
- no-pattern
no usar firmas
- heur
habilitar la heurística
- no-heur
deshabilitar la heurística
- adv-heur
habilitar la heurística avanzada
- no-adv-heur
deshabilitar la heurística avanzada
Desinfección:
- action = ACTION
realizar ACTION en los objetos infectados. Acciones
disponibles: ninguna, desinfectar, alerta
- quarantine
copiar los archivos infectados a cuarentena (suplementa
la ACTION)
- no-quarantine
no copiar los archivos infectados a cuarentena
Registros:
- log-file=FILE
registrar salida en FILE
- log-rewrite
sobrescribir archivo de salida (predeterminado: añadir)
- log-all
también registrar los archivos no infectados
- no-log-all
no registrar los archivos no infectados (predeterminado)
Códigos de salida posibles de la exploración:
0
- ninguna amenaza detectada
1
- amenaza detectada pero no desinfectada
10
- quedaron algunos archivos infectados
101
- error de archivo comprimido
102
- error de acceso
103
- error interno
NOTA: Los códigos de salida mayores que 100 significan que el archivo no se exploró, por lo que puede estar
infectado.
73
4.1.5 Rendimiento
En esta sección, puede establecer la cantidad de motores de exploración ThreatSense que se usarán para la
exploración de virus. La existencia de más motores de exploración ThreatSense en equipos con varios procesadores
puede incrementar la tasa de exploración. El valor aceptable es entre 1 y 20.
Si no hay otras restricciones, se recomienda incrementar la cantidad de motores de exploración ThreatSense en la
ventana de configuración avanzada (F5), en Protección del equipo > Antivirus y antispyware > Rendimiento,
según la siguiente fórmula: cantidad de motores de exploración ThreatSense = (cantidad de CPU físicas x 2) + 1. Además, la
Cantidad de subprocesos de exploración debe ser igual a la cantidad de motores de exploración ThreatSense. Puede
configurar la cantidad de subprocesos explorados en Protección del equipo > Antivirus y antispyware >
Microsoft Exchange Server > VSAPI > Rendimiento. A continuación se muestra un ejemplo:
Supongamos que usted tiene un servidor con 4 CPU físicas. Para el mejor rendimiento, según la formula anterior,
usted debe tener 9 subprocesos de exploración y 9 motores de exploración.
NOTA: Es recomendable que establezca la misma cantidad de subprocesos de exploración que la cantidad de
motores de exploración ThreatSense utilizados. Si usa más subprocesos de exploración que motores de
exploración, no tendrá ningún efecto en el rendimiento.
NOTA: Los cambios que se hagan en esta sección recién se aplicarán tras reiniciar el sistema.
4.1.6 Filtrado de protocolos
El motor de exploración ThreatSense, que integra perfectamente todas las técnicas avanzadas para la exploración
de malware, proporciona la protección antivirus de los protocolos de aplicación POP3 y HTTP. El control funciona en
forma automática, independientemente del navegador de Internet o del cliente de correo electrónico utilizado. Se
encuentran disponibles las siguientes opciones para el filtrado de protocolos (si la opción Habilitar el filtrado del
contenido de los protocolos de aplicación está seleccionada):
Los puertos HTTP y POP3: limita la exploración de la comunicación a puertos HTTP y POP3 conocidos.
Las aplicaciones marcadas como navegadores de Internet y clientes de correo electrónico: habilite esta opción
para filtrar únicamente la comunicación de aplicaciones marcadas como navegadores Web (Protección del acceso
a la Web > HTTP, HTTPS > Navegadores Web) y clientes de correo electrónico (Protección del cliente de correo
electrónico > POP3, POP3S > Clientes de correo electrónico).
Puertos y aplicaciones marcados como navegadores de Internet o clientes de correo electrónico: tanto los
puertos como los navegadores se verifican en busca de malware.
NOTA: Desde Windows Vista Service Pack 1 y Windows Server 2008, se usa un nuevo método para filtrar la
comunicación. Como resultado, la sección de filtrado de protocolos no está disponible.
4.1.6.1 SSL
ESET Mail Security le permite verificar los protocolos encapsulados en el protocolo SSL. Puede usar varios modos de
exploración para las comunicaciones protegidas de SSL con los certificados de confianza, certificados desconocidos
o certificados que se excluyen de la verificación de comunicación protegida de SSL.
Explorar siempre el protocolo SSL: seleccione esta opción para explorar todas las comunicaciones protegidas por
SSL excepto las protegidas por certificados excluidos de la verificación. Si se establece una nueva comunicación que
use un certificado firmado desconocido, no se notificará al usuario y se filtrará la comunicación en forma
automática. Al acceder a un servidor con un certificado no confiable que fue marcado por el usuario como de
confianza (se agrega a la lista de certificados de confianza), se permite la comunicación con el servidor y se filtra el
contenido del canal de comunicación.
Preguntar sobre los sitios no visitados (se pueden establecer exclusiones): si entra en un nuevo sitio protegido
por SSL (con un certificado desconocido), se muestra un cuadro de diálogo con una selección de acciones posibles.
Este modo permite crear una lista de certificados SSL que se excluirán de la exploración.
No explorar el protocolo SSL: si esta opción está seleccionada, el programa no explorará las comunicaciones con el
protocolo SSL.
74
Si el certificado no se puede verificar mediante el almacén de entidades de certificación raíz de confianza (Filtrado
de protocolos > SSL > Certificados):
Preguntar sobre la validez del certificado: le pide al usuario que seleccione una acción para realizar.
Bloquear las comunicaciones que usan el certificado: finaliza la conexión con el sitio que usa el certificado.
Si el certificado no es válido o está dañado (Filtrado de protocolos > SSL > Certificados):
Preguntar sobre la validez del certificado: le pide al usuario que seleccione una acción para realizar.
Bloquear las comunicaciones que usan el certificado: finaliza la conexión con el sitio que usa el certificado.
4.1.6.1.1 Certificados de confianza
Además del almacén integrado de entidades de certificación raíz de confianza donde ESET Mail Security almacena
los certificados confiables, el usuario puede crear una lista personalizada de certificados de confianza que se pueden
ver en Configuración avanzada (F5) > Filtrado de protocolos > SSL > Certificados > Certificados de confianza.
4.1.6.1.2 Certificados excluidos
La sección Certificados excluidos contiene certificados que se consideran seguros. El contenido de las
comunicaciones cifradas que utilicen los certificados de esta lista no se verificarán en busca de amenazas. Es
recomendable excluir solo aquellos certificados Web con garantía de que son seguros y la comunicación que use los
certificados que no necesite verificarse.
4.1.7 Configuración de los parámetros del motor ThreatSense
ThreatSense es el nombre de la tecnología que consiste en métodos complejos de detección de amenazas. Esta
tecnología es proactiva, lo que significa que también proporciona protección durante las primeras horas de
propagación de la nueva amenaza. Utiliza una combinación de diversos métodos (el análisis del código, la
emulación del código, las firmas genéricas, las firmas de virus) que funcionan conjuntamente para mejorar en
forma significativa la seguridad del sistema. El motor de exploración cuenta con la capacidad de controlar varios
flujos de datos simultáneamente, lo que maximiza la eficiencia y la tasa de detección. La tecnología ThreatSense
también elimina con éxito los rootkits.
Las opciones de configuración de la tecnología ThreatSense permiten especificar varios parámetros de exploración:
los tipos de archivos y las extensiones que se van a explorar;
la combinación de diversos métodos de detección;
los niveles de desinfección, etc.
Para ingresar a la ventana de configuración, haga clic en el botón Configurar... ubicado en la ventana de
configuración de cualquier módulo que use la tecnología ThreatSense (ver abajo). Diferentes escenarios de
seguridad pueden requerir distintas configuraciones. Por ese motivo, ThreatSense puede configurarse en forma
individual para cada uno de los siguientes módulos de protección:
Protección del sistema de archivos en tiempo real
Verificación de archivos de inicio del sistema
Protección del correo electrónico 63
Protección del acceso a la Web 66
Exploración bajo demanda del equipo 69
59
Los parámetros de ThreatSense están sumamente optimizados para cada módulo y su modificación puede afectar
el funcionamiento del sistema en forma significativa. Por ejemplo, la modificación de los parámetros para que
siempre se exploren los empaquetadores de tiempo de ejecución, o la habilitación de la heurística avanzada en el
módulo de protección del sistema de archivos en tiempo real podrían ralentizar el sistema (normalmente, solo los
nuevos archivos creados se exploran con estos métodos). En consecuencia, es recomendable mantener los
parámetros predeterminados de ThreatSense sin modificaciones en todos los módulos excepto para la exploración
bajo demanda del equipo.
75
4.1.7.1 Configuración de objetos
La sección Objetos permite definir qué componentes y archivos del equipo se explorarán en busca de infiltraciones.
Memoria operativa: explora en busca de amenazas que atacan la memoria operativa del sistema.
Sectores de inicio: explora los sectores de inicio para detectar la presencia de virus en el Master Boot Record.
Archivos: explora todos los tipos de archivos comunes (programas, imágenes, archivos de audio, de video, de bases
de datos, etc.).
Archivos de correo electrónico: explora archivos especiales que contienen mensajes de correo electrónico.
Archivos comprimidos: proporciona la exploración de los archivos contenidos en archivos comprimidos (.rar, .zip, .
arj, .tar, etc.).
Archivos comprimidos de autoextracción: explora los archivos contenidos en archivos comprimidos de
autoextracción, pero que generalmente se presentan con una extensión .exe.
Empaquetadores de tiempo de ejecución: a diferencia de los tipos estándar de archivos comprimidos, los
empaquetadores de tiempo de ejecución se descomprimen en la memoria, además de los empaquetadores
estándar estáticos (UPX, yoda, ASPack, FGS, etc.).
NOTA: Si se muestra un punto azul junto a un parámetro, significa que la configuración actual para este parámetro
difiere de la configuración de otros módulos que también usan ThreatSense. Ya que es posible configurar el mismo
parámetro de forma diferente para cada módulo, el punto azul sólo le recuerda que el mismo parámetro tiene
configuración diferente que otros módulos. Si no aparece un punto azul, el parámetro de todos los módulos tiene la
misma configuración.
4.1.7.2 Opciones
En la sección Opciones, puede seleccionar los métodos que se usan durante la exploración del sistema en busca de
infiltraciones. Se encuentran disponibles las siguientes opciones:
Heurística: la heurística usa un algoritmo que analiza la actividad de los programas (maliciosos). La ventaja
principal de la detección heurística radica en la capacidad de detectar nuevos programas maliciosos que antes no
existían o que aún no están incluidos en la lista de virus conocidos (base de datos de firmas de virus).
Heurística avanzada: la heurística avanzada comprende un algoritmo heurístico único, desarrollado por ESET,
optimizado para detectar gusanos informáticos y troyanos creados con lenguajes de programación de última
generación. Gracias a la heurística avanzada, las capacidades de detección del programa son significativamente
mayores.
Aplicaciones potencialmente no deseadas: las aplicaciones potencialmente no deseadas no tienen
necesariamente la intención de ser maliciosas, pero pueden afectar el rendimiento de su equipo en forma negativa.
76
Dichas aplicaciones suelen requerir el consentimiento del usuario para su instalación. Si están presentes en el
equipo, el sistema se comporta de manera diferente (al compararlo con el estado antes de su instalación). Los
cambios más significativos incluyen ventanas emergentes no deseadas, la activación y ejecución de procesos
ocultos, un incremento en el uso de los recursos del sistema, cambios en los resultados de las búsquedas y
aplicaciones que se comunican con servidores remotos.
Aplicaciones potencialmente no seguras: esta clasificación es la que se usa para programas comerciales y
legítimos. Incluye programas como herramientas de acceso remoto, razón por la cual la opción se encuentra
desactivada en forma predeterminada.
Archivos adjuntos potencialmente peligrosos
La opción de archivos adjuntos potencialmente peligrosos proporciona protección contra amenazas maliciosas que
normalmente se propagan como un adjunto de correo electrónico, como troyanos de ransomware. Un ejemplo de
dicha amenaza puede ser un archivo ejecutable disfrazado de un archivo de documento estándar (por ej. PDF) que
al ser abierto por el usuario permite que la amenaza se infiltre en el sistema. La amenaza luego intentará cumplir
sus objetivos maliciosos.
77
4.1.7.3 Desinfección
La configuración de la desinfección determina el comportamiento del módulo de exploración durante la
desinfección de los archivos infectados. Existen tres niveles de desinfección:
Sin desinfección: los archivos infectados no se desinfectan automáticamente. El programa mostrará una ventana
de advertencia y le pedirá que seleccione una acción.
Desinfección estándar: el programa intentará desinfectar o eliminar el archivo infectado automáticamente. Si no
es posible seleccionar la acción correcta en forma automática, el programa le ofrecerá las acciones que se pueden
realizar. Estas opciones de acciones posibles también se mostrarán en caso de que una acción predefinida no se
haya completado.
Desinfección estricta: el programa desinfectará o eliminará todos los archivos infectados (incluyendo los archivos
comprimidos). Las únicas excepciones son los archivos del sistema. Si no es posible desinfectarlos, el programa
mostrará una ventana de advertencia para ofrecer una acción.
Advertencia: En el modo predeterminado, solo se eliminará el archivo comprimido completo si todos los archivos
que contiene están infectados. Si el archivo comprimido también contiene archivos legítimos, no se eliminará. Si se
detecta un archivo comprimido infectado en el modo de desinfección estricta, se eliminará el archivo comprimido
completo, incluso si contiene archivos no infectados.
78
4.1.7.4 Extensiones
Una extensión es la parte delimitada por un punto en el nombre de un archivo. La extensión define el tipo de archivo
y su contenido. Esta sección de la configuración de los parámetros de ThreatSense permite definir los tipos de
archivos que se van a explorar.
En forma predeterminada, se exploran todos los archivos independientemente de su extensión. Se puede agregar
cualquier extensión a la lista de archivos excluidos de la exploración. Si la opción Explorar todos los archivos no
está seleccionada, la lista pasa a mostrar todas las extensiones de archivos actualmente explorados. Mediante el
uso de los botones Agregar y Quitar, puede permitir o prohibir la exploración de las extensiones deseadas.
Para habilitar la exploración de archivos sin extensión, seleccione la opción Explorar los archivos sin extensión.
A veces es necesario excluir ciertos tipos de archivos de la exploración cuando dicha exploración impide que el
programa que está usando esas extensiones funcione correctamente. Por ejemplo, puede ser recomendable excluir
las extensiones .edb, .eml y .tmp al usar los servidores de Microsoft Exchange.
4.1.7.5 Límites
La sección Límites permite especificar el tamaño máximo de los objetos y los niveles de los archivos comprimidos
anidados que se explorarán:
Tamaño máximo del objeto: define el tamaño máximo de los objetos que se van a explorar. El módulo antivirus
determinado explorará solamente los objetos con un tamaño inferior al especificado. No se recomienda cambiar el
valor predeterminado, ya que normalmente no existe ninguna razón para modificarlo. Los únicos que deberían
modificar esta opción son los usuarios avanzados que tengan motivos específicos para excluir objetos de mayor
tamaño de la exploración.
Tiempo máximo de exploración del objeto (seg.): define el valor máximo de tiempo permitido para explorar un
objeto. Si en esta opción se ingresó un valor definido por el usuario, el módulo antivirus detendrá la exploración de
un objeto cuando haya transcurrido dicho tiempo, sin importar si finalizó la exploración.
Nivel de anidado de archivos comprimidos: especifica la profundidad máxima de la exploración de
archivos comprimidos. No se recomienda cambiar el valor predeterminado de 10; en circunstancias normales, no
existe ninguna razón para modificarlo. Si la exploración finaliza prematuramente debido a la cantidad de archivos
comprimidos anidados, el archivo comprimido quedará sin verificar.
Tamaño máximo del archivo incluido en el archivo comprimido: esta opción permite especificar el tamaño
79
máximo de los archivos incluidos en archivos comprimidos (al extraerlos) que se explorarán. Si esta configuración
provoca que la exploración de un archivo comprimido finalice antes de tiempo, el archivo comprimido quedará sin
verificarse.
4.1.7.6 Otros
Explorar secuencias de datos alternativas (ADS): las secuencias de datos alternativas (ADS) usadas por el
sistema de archivos NTFS constituyen asociaciones de archivos y carpetas que son invisibles para las técnicas
comunes de exploración. Muchas infiltraciones intentan evitar la detección camuflándose como secuencias de
datos alternativas.
Realizar exploraciones en segundo plano con baja prioridad: cada secuencia de exploración consume una
cantidad determinada de recursos del sistema. Si se trabaja con programas cuyo consumo de recursos constituye
una carga importante para el sistema, es posible activar la exploración en segundo plano con baja prioridad y
reservar los recursos para las aplicaciones.
Registrar todos los objetos: si se selecciona esta opción, el archivo de registro mostrará todos los archivos
explorados, incluso los que no estén infectados.
Habilitar la optimización inteligente: seleccione esta opción para que los archivos que ya se exploraron no se
vuelvan a explorar reiteradamente (a menos que se hayan modificado). Los archivos se vuelven a explorar de
inmediato luego de cada actualización de la base de datos de firmas de virus.
Preservar la última marca de tiempo del acceso: seleccione esta opción para preservar la hora de acceso original
a los archivos explorados en vez de actualizarla (por ej., para usarlos con sistemas que realizan copias de seguridad
de datos).
Desplazar registro: esta opción permite habilitar o deshabilitar el desplazamiento del registro. Si está
seleccionada, la información se desplaza hacia arriba dentro de la ventana de visualización.
Cuando finaliza la exploración, mostrar la notificación en una ventana aparte: abre una ventana
independiente con información sobre los resultados de la exploración.
4.1.8 Detección de una infiltración
Las infiltraciones pueden llegar al sistema desde diversos puntos de entrada: páginas Web, carpetas compartidas,
correo electrónico o dispositivos extraíbles (USB, discos externos, CD, DVD, disquetes, etc.).
Si su equipo muestra signos de infección por malware, por ej., funciona más lento, con frecuencia no responde,
etc., se recomienda hacer lo siguiente:
abra ESET Mail Security y haga clic en Exploración del equipo;
Haga clic en Exploración inteligente (para obtener más información, consulte la sección Exploración inteligente
70 )
una vez finalizada la exploración, consulte el registro para verificar la cantidad de archivos explorados, infectados
y desinfectados.
Si solo desea explorar una parte determinada del disco, haga clic en Exploración personalizada y seleccione los
objetos para explorar en busca de virus.
Como ejemplo general de la forma en que ESET Mail Security maneja las infiltraciones, imagine que el módulo de
control del sistema de archivos en tiempo real, que usa el nivel predeterminado de desinfección, detecta una
infiltración. A continuación, intentará desinfectar o eliminar el archivo. Si no hay ninguna acción predefinida para el
módulo de protección en tiempo real, el programa le pedirá que seleccione una opción en una ventana de alerta.
80
Por lo general, están disponibles las opciones Desinfectar, Eliminar y Sin acción. No se recomienda seleccionar Sin
acción, ya que de esa forma los archivos infectados quedarían intactos. La excepción a este consejo es cuando
usted está seguro de que el archivo es inofensivo y se detectó por error.
Desinfección y eliminación: elija la opción de desinfección si un virus atacó un archivo y le adjuntó códigos
maliciosos. En este caso, primero intente desinfectar el archivo infectado para restaurarlo a su estado original. Si el
archivo está compuesto exclusivamente por códigos maliciosos, será eliminado.
Si un archivo infectado está "bloqueado" u otro proceso del sistema lo está usando, por lo general se elimina cuando
se libera (normalmente tras el reinicio del sistema).
Eliminar archivos en archivos comprimidos: En el modo de desinfección predeterminado, se eliminará el archivo
comprimido completo solo si todos los archivos que lo componen están infectados. En otras palabras, los archivos
comprimidos no se eliminan si también contienen archivos inofensivos no infectados. No obstante, tenga
precaución al realizar una exploración con Desinfección estricta: con la Desinfección estricta, el archivo comprimido
se eliminará si al menos contiene un archivo infectado, sin importar el estado de los demás archivos que lo
componen.
4.2 Actualización del programa
Las actualizaciones de rutina de ESET Mail Security son esenciales para obtener el máximo nivel de seguridad. El
módulo de actualización garantiza que el programa esté siempre al día de dos maneras: mediante la actualización
de la base de datos de firmas de virus y los componentes del sistema.
Al hacer clic en Actualización en el menú principal, encontrará el estado actual de la actualización, incluyendo la
fecha y la hora de la última actualización correcta y si es necesario actualizar. La ventana principal también
contiene la versión de la base de datos de firmas de virus. Este indicador numérico es un vínculo activo al sitio Web
de ESET, donde aparece una lista de todas las firmas agregadas en esa actualización en particular.
Además está disponible la opción de iniciar manualmente el proceso de actualización Actualizar la base de datos
de firmas de virus, así como las opciones básicas de configuración de la actualización, como el nombre de usuario y
la contraseña para acceder a los servidores de actualización de ESET.
Utilice el vínculo Activación del producto para abrir un formulario de registro que activará su producto de
seguridad de ESET y le enviará un correo electrónico con sus datos de autenticación (nombre de usuario y
contraseña).
81
NOTA: ESET proporciona el nombre de usuario y la contraseña tras la adquisición de ESET Mail Security.
82
4.2.1 Configuración de la actualización
En la sección de configuración de la actualización se especifica la información del origen de la actualización, como
los servidores de actualización y sus datos de autenticación. En forma predeterminada, el menú desplegable
Servidor de actualización está establecido en Elegir automáticamente para garantizar que los archivos de
actualización se descarguen automáticamente desde el servidor ESET con la menor carga de tráfico de red. Las
opciones de configuración de la actualización están disponibles en el árbol de configuración avanzada (tecla F5), en
la sección Actualización.
Se puede acceder a la lista de servidores de actualización disponibles por medio del menú desplegable Servidor de
actualización. Para agregar un nuevo servidor de actualización, haga clic en Editar… en la sección Configuración
de la actualización para el perfil seleccionado y luego haga clic en el botón Agregar. La autenticación para los
servidores de actualización está basada en el Nombre de usuario y la Contraseña generados y enviados al usuario
tras la adquisición del producto.
83
4.2.1.1 Perfiles de actualización
Se pueden crear perfiles de actualización para diversas configuraciones y tareas de actualización. La creación de
perfiles de actualización resulta útil en particular para usuarios móviles, que pueden crear un perfil alternativo para
las propiedades de conexión a Internet que cambian con frecuencia.
El menú desplegable Perfil seleccionado muestra el perfil seleccionado actualmente, que en forma predeterminada
está configurado en Mi perfil. Para crear un nuevo perfil, haga clic en el botón Perfiles..., luego en Agregar... e
ingrese su Nombre del perfil. Al crear un nuevo perfil, puede copiar la configuración de uno existente; para ello,
selecciónelo desde el menú desplegable Copiar configuración desde el perfil.
En la ventana de configuración del perfil, puede especificar el servidor de actualización desde la lista de servidores
disponibles o agregar uno nuevo. Se puede acceder a la lista de servidores de actualización existentes por medio del
menú desplegable Servidor de actualización: . Para agregar un nuevo servidor de actualización, haga clic en
Editar... en la sección Configuración de la actualización para el perfil seleccionado y luego haga clic en el botón
Agregar.
4.2.1.2 Configuración avanzada de la actualización
Para ver la configuración avanzada de la actualización, haga clic en el botón Configurar.... Las opciones avanzadas
de configuración de la actualización incluyen la configuración del Modo de actualización, el Proxy HTTP, la LAN y
el Mirror.
4.2.1.2.1 Modo de actualización
La pestaña Modo de actualización contiene las opciones relacionadas a la actualización de componentes del
programa.
En la sección Actualización de componentes del programa, hay tres opciones disponibles:
Nunca actualizar los componentes del programa: Las nuevas actualizaciones de componentes del programa
no se descargarán.
Actualizar siempre los componentes del programa: Las nuevas actualizaciones de componentes del programa
se descargarán automáticamente.
Preguntar antes de descargar los componentes del programa: Es la opción predeterminada. El programa le
solicitará que confirme o rechace las actualizaciones de componentes del programa cuando estén disponibles.
84
Luego de una actualización de componentes del programa, es posible que sea necesario reiniciar el equipo para que
todos los módulos funcionen con su capacidad plena. La sección Reiniciar tras reemplazar componentes del
programa por una versión posterior permite seleccionar una de las siguientes opciones:
Nunca reiniciar el equipo
Ofrecer reiniciar el equipo si es necesario.
Si es necesario, reiniciar el equipo sin notificar
La opción predeterminada es Ofrecer reiniciar el equipo si es necesario. La selección de la opción más apropiada
depende de la estación de trabajo donde se aplicará la configuración. Tenga en cuenta de que existen diferencias
entre las estaciones de trabajo y los servidores; por ej., el reinicio automático de un servidor tras el reemplazo del
programa por una versión posterior podría provocar serios daños.
85
4.2.1.2.2 Servidor proxy
En ESET Mail Security, la configuración del servidor proxy está disponible en dos secciones diferentes del árbol de
configuración avanzada.
Primero, la configuración del servidor proxy puede establecerse en Varios > Servidor proxy. La especificación del
servidor proxy en esta etapa define la configuración global del servidor proxy para todo ESET Mail Security. Todos
los módulos que requieran una conexión a Internet usarán los parámetros aquí ingresados.
Para especificar la configuración del servidor proxy en esta etapa, seleccione la casilla de verificación Usar servidor
proxy y luego ingrese la dirección del servidor proxy en el campo Servidor proxy: , junto con el número de Puerto
del servidor proxy.
Si la comunicación con el servidor proxy requiere autenticación, seleccione la casilla de verificación El servidor
proxy requiere autenticación e ingrese un Nombre de usuario y una Contraseña válidos en los campos
respectivos. Haga clic en el botón Detectar el servidor proxy para detectar e insertar automáticamente la
configuración del servidor proxy. Se copiarán los parámetros especificados en Internet Explorer.
NOTA: Esta característica no recupera los datos de autenticación (nombre de usuario y contraseña); deben ser
ingresados por usted.
La configuración del servidor proxy también se puede establecer en la configuración de las opciones avanzadas. Esta
configuración se aplica al perfil de actualización determinado. Se puede acceder a las opciones de configuración del
servidor proxy para un perfil de actualización haciendo clic en la pestaña Proxy HTTP en Configurar las opciones
avanzadas. Podrá elegir una de las siguientes tres opciones:
Use las configuraciones globales del servidor proxy
No use el servidor proxy
Conexión a través de un servidor proxy (conexión definida por las propiedades de conexión)
Al seleccionar la opción Usar la configuración global del servidor proxy, se usarán las opciones de configuración
del servidor proxy ya especificadas en la sección Varios > Servidor proxy del árbol de configuración avanzada (como
se explicó al comienzo de este documento).
86
Seleccione la opción No usar servidor proxy para especificar que no se usará ningún servidor proxy para actualizar
ESET Mail Security.
La opción Conexión a través de un servidor proxy debe seleccionarse si hay que usar un servidor proxy para
actualizar ESET Mail Security y difiere del servidor proxy especificado en la configuración global (Varios > Servidor
proxy). En ese caso, la configuración debe especificarse aquí: Dirección del Servidor proxy, Puerto de
comunicación, además del Nombre de usuario y la Contraseña para el servidor proxy, si son necesarios.
Esta opción también debe estar seleccionada si la configuración del servidor proxy no se estableció en forma global,
pero ESET Mail Security se conectará a un servidor proxy para descargar las actualizaciones.
La configuración predeterminada para el servidor proxy es Usar la configuración global del servidor proxy.
87
4.2.1.2.3 Conexión a la red de área local
Cuando se lleva a cabo una actualización desde un servidor local basado en el sistema operativo Windows NT, se
requiere autenticar cada conexión de red en forma predeterminada. En la mayoría de los casos, la cuenta del
sistema local no tiene los permisos suficientes para acceder a la carpeta mirror (la carpeta que contiene las copias
de los archivos de actualización). En este caso, ingrese el nombre de usuario y la contraseña en la sección de
configuración de la actualización o especifique una cuenta existente a través de la cual el programa pueda acceder
al servidor de actualización (mirror).
Para configurar dicha cuenta, haga clic en la pestaña LAN. La sección Conectarse a la LAN como ofrece las
opciones Cuenta del sistema (predeterminado), Usuario actual y Usuario especificado.
Seleccione la opción Cuenta del sistema (predeterminado) si desea utilizar la cuenta del sistema para la
autenticación. Normalmente, no se lleva a cabo ningún proceso de autenticación si no se proporcionan los datos de
autenticación en la sección principal correspondiente a la configuración de la actualización.
Para asegurar que el programa realice la autenticación mediante la cuenta de un usuario actualmente registrado,
seleccione Usuario actual. La desventaja de esta solución es que el programa no podrá conectarse al servidor de
actualización cuando no haya ningún usuario registrado.
Seleccione Usuario especificado si desea que el programa use la cuenta de un usuario específico para realizar la
autenticación.
Advertencia: Cuando esté seleccionado el Usuario actual o el Usuario especificado, puede aparecer un error al
cambiar la identidad del programa según el usuario deseado. Es recomendable ingresar los datos de autenticación
de la LAN en la sección principal correspondiente a la configuración de la actualización. En esta sección de
configuración de la actualización, la información de autenticación se debe ingresar de la siguiente forma:
dominio_nombre\usuario (si es un grupo de trabajo, ingrese grupodetrabajo_nombre\nombre) y contraseña.
Cuando se actualiza desde la versión HTTP del servidor local, no se necesita realizar ninguna autenticación.
88
4.2.1.2.4 Creación de copias de actualización: mirror
ESET Mail Security permite crear copias de archivos de actualización que pueden usarse para actualizar otras
estaciones de trabajo ubicadas en la red. La actualización de las estaciones de trabajo de los clientes desde un
Mirror optimiza el equilibrio de carga de la red y ahorra el ancho de banda de la conexión a Internet.
Después de haber agregado una clave de licencia válida en el administrador de licencias (ubicado en la sección de
configuración avanzada de ESET Mail Security), se puede acceder a las opciones de configuración del servidor mirror
local en la sección Configurar las opciones avanzadas: . Para acceder a esta sección, presione F5 y haga clic en
Actualización en el árbol de configuración avanzada; luego haga clic en el botón Configurar... al lado de
Configurar las opciones avanzadas: y seleccione la pestaña Mirror).
El primer paso para configurar el mirror es seleccionar la opción Crear mirror de actualización. Al seleccionarla, se
activan otras opciones de configuración del mirror, tales como la forma de acceder a los archivos de actualización y
la ruta de actualización a los archivos replicados.
Los métodos para activar el mirror se describen en forma detallada en la sección Actualización desde el mirror 90 .
Por ahora, tenga en cuenta que existen dos métodos básicos para acceder al mirror: la carpeta con los archivos de
actualización puede presentarse como una carpeta compartida de red o como un servidor HTTP.
La carpeta destinada a almacenar los archivos de actualización para el mirror se define en la sección Carpeta para
almacenar los archivos replicados:. Haga clic en Carpeta... para buscar una carpeta en el equipo local o una
carpeta compartida en la red. Si la carpeta especificada requiere una autorización, deberá proporcionar los datos de
autenticación en los campos Nombre de usuario y Contraseña. El nombre de usuario y la contraseña se deben
ingresar con el formato Dominio/Usuario o Grupo de trabajo/Usuario. Recuerde que debe proporcionar las contraseñas
correspondientes.
Al configurar el mirror, también puede especificar las versiones de idiomas para las que desea descargar las copias
de actualización. La configuración de la versión de idioma se encuentra en la sección Archivos > Versiones
disponibles:.
NOTA: No es posible actualizar la base de datos del antispam desde el mirror. Para obtener más información sobre
cómo habilitar las actualizaciones de la base de datos del antispam en forma correcta, haga clic aquí 37 .
89
4.2.1.2.4.1 Actualización desde el mirror
Existen dos métodos básicos para configurar el mirror: la carpeta con los archivos de actualización puede
presentarse como una carpeta compartida de red o como un servidor HTTP.
Acceso al mirror mediante un servidor HTTP interno
Esta es la configuración predeterminada, especificada en la configuración predefinida del programa. Para permitir el
acceso al mirror mediante el servidor HTTP, vaya a Configurar las opciones avanzadas (la pestaña Mirror) y
seleccione la opción Crear mirror de actualización.
En la sección Configuración avanzada de la pestaña Mirror, puede especificar el Puerto del servidor donde
escuchará el servidor HTTP, así como el tipo de Autenticación que usa el servidor HTTP. En forma predeterminada,
el puerto del servidor está establecido en 2221. La opción Autenticación define el método de autenticación
utilizado para acceder a los archivos de actualización. Se encuentran disponibles las siguientes opciones: NONE,
BASIC y NTLM. Seleccione la opción BASIC para utilizar la codificación de Base64 con la autenticación básica del
nombre de usuario y la contraseña. La opción NTLM proporciona una codificación obtenida mediante un método
seguro. Para la autenticación, se utiliza el usuario creado en la estación de trabajo que comparte los archivos de
actualización. La configuración predeterminada es NONE, que otorga acceso a los archivos de actualización sin
necesidad de autenticar.
Advertencia: Si desea permitir el acceso a los archivos de actualización a través del servidor HTTP, la carpeta mirror
debe estar ubicada en el mismo equipo que la instancia de ESET Mail Security que la crea.
Cuando la configuración del mirror esté completa, vaya a las estaciones de trabajo y agregue un nuevo servidor de
actualización con el formato http://dirección_IP_de_su_servidor:2221. Para hacerlo, siga estos pasos:
Abra ESET Mail Security y luego Configuración avanzada y haga clic en la sección Actualización.
Haga clic en Editar… a la derecha del menú desplegable Servidor de actualización y agregue un nuevo servidor
usando el siguiente formato: http://dirección_IP_de_su_servidor:2221.
Seleccione el servidor recién agregado de la lista de servidores de actualización.
Acceder al mirror mediante el uso compartido del sistema
En primer lugar, se debe crear una carpeta compartida en un dispositivo local o de red. Cuando se crea la carpeta
para el mirror, se deberá proporcionar el acceso de “escritura” para el usuario que guardará los archivos de
actualización en la carpeta y el acceso de “lectura” para todos los usuarios que actualizarán ESET Mail Securitydesde
la carpeta del mirror.
A continuación, configure el acceso al mirror en la sección Configurar las opciones avanzadas (pestaña Mirror)
deshabilitando la opción Proporcionar archivos de actualización mediante el servidor HTTP interno. Esta
opción está habilitada en forma predeterminada en el paquete de instalación del programa.
Si la carpeta compartida se ubica en otro equipo de la red, es necesario especificar los datos de autenticación para
acceder al otro equipo. Para especificar los datos de autenticación, abra la Configuración avanzada de ESET Mail
90
Security (F5) y haga clic en la sección Actualización. Haga clic en el botón Configurar... y luego en la pestaña LAN.
Esta configuración es la misma que se usa para actualizar, como se describe en la sección Conexión a la red de área
local 88 .
Cuando la configuración del mirror esté completa, vaya a las estaciones de trabajo y establezca \\UNC\RUTA como
el servidor de actualización. Para completar la operación, siga estas indicaciones:
Abra la Configuración avanzada de ESET Mail Security y haga clic en Actualización
Haga clic en Editar… al lado de Servidor de actualización y agregue un nuevo servidor usando el formato \
\UNC\RUTA.
Seleccione el servidor recién agregado de la lista de servidores de actualización.
NOTA: Para un funcionamiento correcto, deberá especificar la ruta a la carpeta mirror como una ruta UNC. Es
posible que no funcionen las actualizaciones de las unidades asignadas.
4.2.1.2.4.2 Resolución de problemas de actualización desde el mirror
En la mayoría de los casos, los problemas durante una actualización desde un servidor Mirror son causados por una
o más de las siguientes: especificaciones incorrectas de las opciones de la carpeta Mirror, información de
autenticación incorrecta a la carpeta Mirror, configuración incorrecta en las estaciones de trabajo locales que
pretenden descargar los archivos de actualización del Mirror, o por una combinación de las razones de arriba. A
continuación, se muestra información general sobre los problemas más frecuentes que pueden surgir durante una
actualización desde el mirror:
ESET Mail Security informa un error al conectar con el servidor Mirror: probablemente causado por una
especificación incorrecta del servidor de actualización (ruta de red hacia la carpeta Mirror) desde donde las
estaciones de trabajo descargan las actualizaciones. Para verificar la carpeta, haga clic en el menú de Windows
Comenzar, haga clic en Ejecutar, inserte el nombre de la carpeta y haga clic en Aceptar. Se debe mostrar el
contenido de la carpeta.
ESET Mail Security requiere un nombre de usuario y una contraseña: Probablemente causado por información de
autenticación incorrecta (nombre de usuario y contraseña) en la sección de actualización. Se usan el nombre de
usuario y la contraseña para otorgar acceso al servidor de actualización, desde donde el programa se actualizará.
Asegúrese que la información de autenticación sea correcta y se haya ingresado en el formato correcto. Por
ejemplo, Dominio/Nombre de usuario, o Grupo de trabajo/Nombre de usuario, más las contraseñas correspondientes. Si
cualquier persona puede acceder al servidor Mirror, esté al tanto que esto no significa que cualquier usuario tiene
acceso. "Cualquier persona" no significa cualquier usuario no autorizado, sólo significa que todos los usuarios del
dominio pueden acceder a la carpeta. Como resultado, si "Cualquier persona" puede acceder a la carpeta, el nombre
de usuario y la contraseña del dominio deberá ingresarse en la sección de configuración de la actualización.
ESET Mail Security informa que se produjo un error al conectarse con el servidor mirror: la comunicación en el
puerto definido para acceder a la versión HTTP del mirror está bloqueada.
4.2.2 Cómo crear tareas de actualización
Las actualizaciones pueden accionarse manualmente al hacer clic en Actualizar la base de datos de firmas de
virus en la ventana principal que se muestra al hacer clic en Actualización, en el menú principal.
Las actualizaciones también pueden ejecutarse como tareas programadas. Para configurar una tarea programada,
haga clic en Herramientas > Tareas programadas. Las siguientes tareas se encuentran activas en forma
predeterminada en ESET Mail Security:
Actualización automática de rutina
Actualización automática tras conexión de acceso telefónico
Actualización automática tras el registro del usuario
Cada tarea de actualización puede modificarse acorde a sus necesidades. Además de las tareas de actualización
predeterminadas, puede crear nuevas tareas de actualización con una configuración definida por el usuario. Para
obtener más detalles sobre la creación y la configuración de tareas de actualización, consulte la sección Tareas
programadas 92 .
91
4.3 Tareas programadas
Las Tareas programadas están disponibles si se encuentra activado el modo avanzado en ESET Mail Security. Puede
encontrar las Tareas programadas en el menú principal de ESET Mail Security, en la sección Herramientas. La
sección de Tareas programadas contiene una lista de todas las tareas programadas y propiedades de configuración,
como la fecha y la hora predefinidas y el perfil de exploración utilizado.
En forma predeterminada, se muestran las siguientes tareas programadas:
Actualización automática de rutina
Actualización automática tras conexión de acceso telefónico
Actualización automática tras el registro del usuario
Verificación de archivos de inicio automática (tras el registro del usuario)
Verificación de archivos de inicio automática (tras la actualización correcta de la base de datos de firmas
de virus)
Para editar la configuración de una tarea programada existente (ya sea predeterminada o definida por el usuario),
haga un clic derecho en la tarea y luego en Editar... o seleccione la tarea que desea modificar y haga clic en el botón
Editar....
4.3.1 Finalidad de la programación de tareas
Desde la sección de tareas programadas, se gestionan y ejecutan tareas programadas según la configuración y las
propiedades predefinidas. La configuración y las propiedades contienen información, como la fecha y la hora,
además de perfiles especificados para utilizarse durante la ejecución de la tarea.
92
4.3.2 Creación de tareas nuevas
Para crear una nueva tarea programada, haga clic en el botón Agregar... o haga un clic derecho y seleccione
Agregar... en el menú contextual. Hay cinco tipos de tareas programadas disponibles:
Ejecutar aplicación externa
Verificación de archivos de inicio del sistema
Creación de una instantánea de estado del equipo
Exploración bajo demanda del equipo
Actualización
Como la tarea programada de Actualización es una de las usadas con mayor frecuencia, a continuación se
explicará cómo agregar una nueva tarea de actualización.
Desde el menú desplegable Tarea programada: seleccione Actualización. Haga clic en Siguiente e ingrese el
nombre de la tarea en el campo Nombre de la tarea: . Seleccione la frecuencia de la tarea. Se encuentran
disponibles las siguientes opciones: Una vez, Repetidamente, Diariamente, Semanalmente y Cuando se cumpla
cierta condición. De acuerdo con la frecuencia seleccionada, el programa le ofrecerá distintos parámetros de
actualización. A continuación, defina la acción que se realizará en caso de que la tarea no se pueda ejecutar o
completar en el momento programado. Se encuentran disponibles las siguientes opciones:
Esperar hasta la próxima hora programada
Ejecutar la tarea lo antes posible
Ejecutar la tarea inmediatamente si el tiempo transcurrido desde la última ejecución supera el intervalo
especificado (se puede definir el intervalo con el cuadro de desplazamiento Intervalo de la tarea)
En el paso siguiente, se muestra una ventana de resumen con información acerca de la tarea programada
actualmente; la opción Ejecutar la tarea con parámetros específicos debería estar habilitada en forma
automática. Haga clic en el botón Finalizar.
Aparecerá una ventana de diálogo, desde donde es posible seleccionar los perfiles que se usarán para la tarea
programada. Aquí puede especificar un perfil principal y otro alternativo, que se usará en caso de que la tarea no
pueda completarse con el perfil principal. Confirmar al hacer clic en Aceptar en la ventana Actualizar perfiles. La
nueva tarea programada se agregará a la lista de tareas programadas actuales.
93
4.4 Cuarentena
La tarea principal de la cuarentena consiste en almacenar los archivos infectados en forma segura. Los archivos
deben ponerse en cuarentena cuando no se pueden limpiar, cuando no es seguro o recomendable eliminarlos o en
caso de que ESET Mail Security los esté detectado erróneamente.
Puede elegir poner cualquier archivo en cuarentena. Esta acción es recomendable cuando un archivo se comporta
de manera sospechosa pero la exploración antivirus no lo detecta. Los archivos en cuarentena se pueden enviar
para su análisis al laboratorio de amenazas de ESET.
Los archivos almacenados en la carpeta de cuarentena pueden visualizarse en una tabla que muestra la fecha y la
hora en que se pusieron en cuarentena, la ruta a la ubicación original de los archivos infectados, su tamaño en
bytes, el motivo (por ejemplo, agregado por el usuario...) y la cantidad de amenazas (por ej., si se trata de un
archivo comprimido que contiene varias infiltraciones).
4.4.1 Envío de archivos a cuarentena
ESET Mail Security pone automáticamente en cuarentena los archivos eliminados (si no ha cancelado esta opción
en la ventana de alerta). Si desea, puede enviar a cuarentena cualquier archivo sospechoso en forma manual al
hacer clic en el botón Cuarentena.... En este caso, el archivo original no se quita de su ubicación inicial. También se
puede utilizar el menú contextual con este propósito. Para ello, haga un clic derecho en la ventana Cuarentena y
luego seleccione Agregar...
94
4.4.2 Restauración desde cuarentena
Los archivos puestos en cuarentena pueden restaurarse a su ubicación original. Utilice la función Restaurar con
este propósito. Restaurar está disponible desde el menú contextual tras hacer un clic derecho en el archivo
determinado, en la ventana Cuarentena. Asimismo, el menú contextual ofrece la opción Restaurar a, que permite
restaurar un archivo en una ubicación diferente a la que tenía cuando fue eliminado.
NOTA: Si el programa puso en cuarentena un archivo no infectado por error, restáurelo, exclúyalo de la exploración
y envíelo a atención al cliente de ESET.
4.4.3 Envío de archivos desde cuarentena
Si puso en cuarentena un archivo sospechoso que el programa no detectó o si un archivo fue catalogado
erróneamente como infectado (por ej., tras la exploración heurística del código) y luego se puso en cuarentena,
envíe el archivo al laboratorio de amenazas de ESET. Para enviar un archivo desde cuarentena, haga un clic derecho
en el archivo y seleccione Enviar para su análisis en el menú contextual.
95
4.5 Archivos de registro
Los registros almacenan información sobre sucesos importantes: infiltraciones detectadas, registros del módulo de
exploración bajo demanda, registros de los módulos de exploración residentes e información del sistema.
Los registros de antispam y listas grises (que se encuentran junto a otros registros en Herramientas > Archivos de
registro) contienen información detallada sobre los mensajes explorados y las acciones realizadas con dichos
mensajes. Los registros pueden ser muy útiles al buscar correos electrónicos no enviados, al tratar de determinar
por qué un mensaje específico se marcó como spam, etc.
Antispam
Aquí se guardan todos los mensajes que ESET Mail Security categoriza como spam o probablemente spam.
96
Descripción de las columnas:
Hora: hora de ingreso en el registro antispam
Remitente: dirección del remitente
Destinatario: dirección del destinatario
Asunto: asunto del mensaje
Puntaje: puntaje de spam asignado al mensaje (en un rango de 0 a 100)
Motivo: indica qué provocó que el mensaje se clasificara como spam. Se mostrará el indicador de mayor relevancia.
Si desea ver los demás indicadores, haga doble clic en la entrada. Como resultado, se abrirá la ventana Motivo con
los indicadores restantes ordenados de mayor a menor importancia.
URL con reputación de spam
Muchas veces, las direcciones URL en los mensajes pueden ser un
indicador de spam.
Formato HTML (fuentes, colores, etc.) El formato de los elementos en la sección HTLM del mensaje muestra
signos característicos de spam (el tipo de fuente, su tamaño, su color,
etc.)
Trucos de spam: Ofuscación
Las palabras típicas de los mensajes de spam suelen enmascararse
mediante el uso de otros caracteres. Un ejemplo típico es la palabra
"Viagra", que muchas veces se escribe "V1agra" para evadir la detección
antispam.
Spam en formato de imagen HTML
Los mensajes de spam con frecuencia toman el formato de imagen como
otra estrategia evasiva que aplican contra los métodos de detección
antispam. Dichas imágenes suelen contener vínculos interactivos a
páginas Web.
Formato de URL para el dominio de
servicio de hosting
La dirección URL contiene el dominio de servicio de hosting.
Palabra clave de spam...
El mensaje contiene palabras típicas de spam.
Inconsistencia en el encabezado del
correo electrónico
Se altera la información en el encabezado del mensaje para hacerse pasar
por una fuente distinta a la real.
Virus
El mensaje contiene un archivo adjunto sospechoso.
Phishing
El mensaje contiene un texto típico de los mensajes de phishing.
Réplica
El mensaje contiene un texto típico de una categoría de spam orientada a
ofrecer réplicas.
Indicador de spam genérico
Mensaje que incluye palabras o caracteres típicos de spam, como por ej.,
"Querido amigo", "hola ganador", "!!!", etc.
Indicador de correo deseado
Este indicador tiene la función opuesta a la de los otros indicadores de la
lista. Analiza elementos característicos de los correos electrónicos
comunes que fueron solicitados. Reduce el puntaje de spam general.
Indicador de spam no específico
El mensaje contiene otros elementos de spam, como la codificación de
Base64.
Frases de la exploración personalizada Otras frases de spam típicas.
El URL figura en la lista negra
El URL del mensaje aparece en una lista negra.
La dirección IP %s está en RBL
La dirección IP ... aparece en una lista RBL.
La dirección URL %s está en DNSBL
La dirección URL... aparece en una lista DNSBL.
URL %s está en RBL o el servidor no
está autorizado a enviar correos
La dirección URL ... aparece en una lista RBL o el servidor no cuenta con
los privilegios requeridos para enviar mensajes de correo electrónico. Las
direcciones que formaban parte de la ruta del correo electrónico se
97
verifican con la lista RBL. La última dirección se prueba en relación a sus
derechos de conectividad a los servidores de correo públicos. Cuando es
imposible detectar si los derechos de conectividad son válidos, la
dirección aparece en la lista LBL. Los mensajes marcados como spam
debido a un indicador LBL muestran el siguiente texto en el campo
Motivo: "el servidor no está autorizado a enviar correos".
Acción: acción realizada con el mensaje. Acciones posibles:
Retenido
No se realizó ninguna acción con el mensaje.
Puesto en cuarentena
El mensaje se envió a cuarentena.
Desinfectado y puesto en
cuarentena
El virus se quitó del mensaje y el mensaje se envió a cuarentena.
Rechazado
Se denegó el mensaje y se envió una respuesta SMTP de rechazo
Eliminado
El mensaje se eliminó usando una colocación silenciosa
19
19
al remitente.
.
Recibido: la hora en que el servidor recibió el mensaje.
NOTA: Si los correos se reciben por medio de un servidor de correo electrónico, las horas correspondientes a los
campos Hora y Recibido son casi idénticas.
Creación de listas grises
Todos los mensajes que se han evaluado usando el método de creación de listas grises se guardan en este registro.
Descripción de las columnas:
Hora: hora de ingreso en el registro antispam
Dominio HELO: nombre de dominio que el servidor de envío usa para identificarse ante el servidor de destino
Dirección IP: dirección IP del remitente
Remitente: dirección del remitente
Destinatario: dirección del destinatario
Acción: puede contener los siguientes estados:
Rechazado
Se denegó el mensaje entrante usando el precepto básico de la lista gris (primer
intento de entrega).
Rechazado (aún no verificado) El servidor de envío volvió a enviar el mensaje entrante, pero el límite de tiempo
98
para denegar la conexión aún no transcurrió (Límite de tiempo para la
denegación de conexión inicial).
Verificado
El servidor de envío volvió a enviar varias veces el mensaje entrante, pero
transcurrió el Límite de tiempo para la denegación de conexión inicial y el
mensaje se verificó correctamente y se entregó. Ver también Agente de transporte
38 .
Tiempo restante: el tiempo que queda hasta llegar al Límite de tiempo para la denegación de conexión inicial.
Se detectaron amenazas
El registro de amenazas ofrece información detallada sobre las infiltraciones detectadas por los módulos de ESET
Mail Security. La información incluye la hora de detección, el tipo de módulo de exploración, el nombre del objeto, el
nombre de la infiltración, la ubicación, la acción realizada y el nombre del usuario registrado cuando se detectó la
infiltración. Para copiar o eliminar una o más líneas del registro (o para eliminar el registro completo), use el menú
contextual (haciendo un clic derecho en el elemento).
Sucesos
El registro de sucesos contiene información sobre sucesos y errores que se produjeron en el programa. Muchas
veces, la información aquí encontrada puede servir de ayuda para encontrar la solución a un problema del
programa.
Exploración bajo demanda del equipo
El registro del módulo de exploración almacena información sobre los resultados de las exploraciones manuales o
planificadas. Cada línea corresponde a un control individual de un equipo. Enumera los siguientes datos: fecha y
hora de la exploración, cantidad total de archivos explorados, infectados y desinfectados, y el estado actual de la
exploración.
En los registros del Módulo de exploración bajo demanda, haga doble clic en la entrada de registro para mostrar
su contenido detallado en una ventana separada.
Utilice el menú contextual (con un clic derecho) para copiar una o más entradas marcadas (en todos los tipos de
registros).
4.5.1 Filtrado de registros
El filtrado de registros es una función útil que ayuda a encontrar historiales en los archivos de registro, en particular
cuando hay demasiados historiales y es difícil encontrar la información específica que se busca.
Cuando se usa el filtro, es posible escribir una cadena de Texto para buscar, especificar las columnas en la opción
Buscar en columnas, seleccionar los Tipos de historiales y establecer un Período para restringir la cantidad de
historiales en el resultado. Al especificar ciertas opciones de filtrado, solo se mostrarán los historiales relevantes
(según esas opciones de filtrado) en la ventana Archivos de registro, para un acceso fácil y rápido.
Para abrir la ventana Filtrado de registros, haga un clic en el botón Filtrar... en Herramientas > Archivos de
registro, o utilice las teclas de acceso directo Ctrl + Mayús + F.
NOTA: Para buscar un historial en particular, también puede usar la función Buscar en el registro 101 , o usarla en
combinación con el Filtrado de registros.
99
Al especificar ciertas opciones de filtrado, solo se mostrarán los historiales relevantes (según esas opciones de
filtrado) en la ventana Archivos de registro. De esta forma, se filtrarán o restringirán los historiales, de modo que
será más fácil encontrar lo que busca. Cuanto más específicas sean las opciones que use, más se restringirán los
resultados.
Texto: escriba una cadena de texto (una palabra o parte de una palabra). Solo se mostrarán los historiales que
contengan la cadena de texto especificada. El resto de los historiales quedarán ocultos para una lectura más
sencilla.
Buscar en columnas: seleccione qué columnas se tendrán en cuenta durante el filtrado. Se pueden seleccionar una
o más columnas para usar durante el filtrado. De forma predeterminada, se seleccionan todas las columnas.
Hora
Módulo
Suceso
Usuario
Tipos de historiales: permite elegir qué tipos de historiales se mostrarán. Se puede elegir mostrar un tipo de
historial en particular, varios tipos a la vez o todos los tipos existentes (opción predeterminada):
Diagnóstico
Información
Advertencia
Error
Crítico
Período: use esta opción para filtrar los historiales según el período. Se puede elegir una de las siguientes opciones:
Registro completo (predeterminado): no filtra por período porque muestra el registro completo
Ayer
La semana pasada
El mes pasado
Intervalo: al seleccionar el intervalo, es posible especificar el período exacto (con fecha y hora) para mostrar solo
los historiales de los sucesos ocurridos en dicho período.
Además de la configuración de filtrado detallada arriba, también hay varias Opciones:
Solo coincidir palabras completas: muestra únicamente los historiales que contienen palabras completas
coincidentes con la cadena de texto ingresada en el campo Texto.
Coincidir mayúsculas y minúsculas: muestra únicamente los historiales que contienen palabras coincidentes con
la cadena de texto ingresada en el campo Texto, respetando el uso de mayúsculas y minúsculas.
Habilitar el filtrado inteligente: use esta opción para permitir que ESET Mail Security realice el filtrado mediante
sus propios métodos.
Cuando haya terminado de configurar las opciones de filtrado, seleccione el botón Aceptar para aplicar el filtro. La
100
ventana Archivos de registro solo mostrará los historiales correspondientes a las opciones de filtrado.
4.5.2 Búsqueda en el registro
Además del Filtrado de registros 99 , se puede utilizar la función de búsqueda dentro de los archivos de registro,
aunque también puede usarse en forma independiente al filtrado de registros. Esta función es útil cuando se están
buscando historiales específicos en los registros. Al igual que el Filtrado de registros, esta característica de
búsqueda lo ayudará a encontrar la información que busca, en particular cuando hay demasiados historiales.
Cuando se usa la función Buscar en el registro, es posible escribir una cadena de Texto para buscar, especificar las
columnas en la opción Buscar en columnas, seleccionar los Tipos de historiales y establecer un Período para
buscar solo los historiales de los sucesos ocurridos en dicho intervalo de tiempo. Al especificar ciertas opciones de
búsqueda, solo se buscarán los historiales relevantes (según esas opciones de búsqueda) en la ventana Archivos de
registro.
Para buscar en los registros, abra la ventana Buscar en el registro con las teclas Ctrl + F.
NOTA: Puede usar la función Buscar en el registro en combinación con el Filtrado de registros 99 . Primero se
restringe la cantidad de historiales con el Filtrado de registros y luego se comienza a buscar solo entre los resultados
filtrados.
Texto: escriba una cadena de texto (una palabra o parte de una palabra). Solo se buscarán los historiales que
contengan la cadena de texto especificada. El resto de los historiales se omitirán.
Buscar en columnas: seleccione qué columnas se tendrán en cuenta durante la búsqueda. Se pueden seleccionar
una o más columnas para usar en la búsqueda. De forma predeterminada, se seleccionan todas las columnas.
Hora
Módulo
Suceso
Usuario
Tipos de historiales: permite elegir qué tipos de historiales se buscarán. Se puede elegir buscar un tipo de historial
en particular, varios tipos a la vez o todos los tipos existentes (opción predeterminada):
Diagnóstico
Información
Advertencia
Error
Crítico
101
Período: use esta opción para buscar únicamente los historiales pertenecientes al período especificado. Se puede
elegir una de las siguientes opciones:
Registro completo (predeterminado): no busca en el período especificado, ya que busca en el registro completo
Ayer
La semana pasada
El mes pasado
Intervalo: al seleccionar el intervalo, es posible especificar el período exacto (con fecha y hora) para buscar solo
los historiales de los sucesos ocurridos en dicho período.
Además de la configuración de búsqueda detallada arriba, también hay varias Opciones:
Solo coincidir palabras completas: encuentra únicamente los historiales que contienen palabras completas
coincidentes con la cadena de texto ingresada en el campo Texto.
Coincidir mayúsculas y minúsculas: encuentra únicamente los historiales que contienen palabras coincidentes
con la cadena de texto ingresada en el campo Texto, respetando el uso de mayúsculas y minúsculas.
Buscar hacia arriba: busca desde la posición actual hacia arriba.
Cuando haya configurado las opciones de búsqueda, haga clic en el botón Buscar para iniciar la búsqueda. La
búsqueda se detiene al encontrar el primer historial coincidente. Haga clic nuevamente en el botón Buscar para
continuar con la búsqueda. Los archivos de registro se buscan desde arriba hacia abajo, comenzando desde la
posición actual (el historial resaltado).
4.5.3 Mantenimiento de registros
Se puede acceder a la configuración de la emisión de registros de ESET Mail Security desde la ventana principal del
programa. Haga clic en Configuración > Ingresar al árbol completo de configuración avanzada... >
Herramientas > Archivos de registro. Especifique las siguientes opciones para los archivos de registro:
Eliminar registros automáticamente: Se eliminan automáticamente las entradas de registro anteriores a la
cantidad de días especificada
Optimizar los Archivos de registro automáticamente: Permite la desfragmentación automática de archivos de
registro si se excedió el porcentaje especificado de historiales sin usar
Nivel de detalle mínimo para los registros: Especifica el nivel de detalle de los registros. Las opciones
disponibles son:
- Historiales de diagnóstico: registra toda la información necesaria para ajustar el programa y todos los historiales
mencionados arriba
- Historiales informativos: registra todos los mensajes de información, incluyendo los mensajes de actualizaciones
correctas, y todos los historiales mencionados arriba
- - Advertencias: registra errores críticos y mensajes de advertencia
- Errores: sólo se mostrarán los mensajes de error como "Error al descargar el archivo" y los errores críticos
- Advertencias críticas: registra solo los errores críticos, (como por ejemplo, un error al iniciar la protección
antivirus)
102
4.6 ESET SysInspector
4.6.1 Introducción a ESET SysInspector
ESET SysInspector es una aplicación que inspecciona su equipo a fondo y muestra los datos recolectados de una
manera exhaustiva. Información como las aplicaciones y los controladores instalados, las conexiones de red o
entradas de registro importantes ayudan en la investigación del comportamiento sospechoso del sistema debido a
incompatibilidades del software o hardware o una infección de malware.
Puede acceder a ESET SysInspector de dos maneras: Desde la versión integrada en las soluciones ESET Security o
mediante la descarga de la versión autosostenible (SysInspector.exe) sin cargo desde el sitio Web de ESET. Ambas
versiones tienen una función idéntica y cuentan con los mismos controles del programa. La única diferencia radica
en el manejo de los resultados. Tanto la versión descargada como la integrada permiten exportar instantáneas del
sistema a un archivo .xml y guardarlas en el disco. No obstante, la versión integrada también le permite almacenar
las instantáneas del sistema directamente en Herramientas > ESET SysInspector (salvo el ESET Remote
Administrator). Para obtener más información, consulte la sección ESET SysInspector como parte de ESET Mail
Security 114 .
Aguarde un momento mientras ESET SysInspector inspecciona el equipo. Puede tardar de 10 segundos a unos
minutos según la configuración del hardware, el sistema operativo y la cantidad de aplicaciones instaladas en el
equipo.
4.6.1.1 Inicio de ESET SysInspector
Para iniciar ESET SysInspector simplemente tiene que ejecutar el archivo SysInspector.exe que descargó del sitio Web
de ESET. Si ya tiene instalado alguna de las soluciones ESET Security, puede ejecutar ESET SysInspector
directamente desde el menú Inicio (Programas > ESET > ESET Mail Security).
Espere mientras la aplicación examina el sistema. El proceso de inspección puede tardar varios minutos en función
del hardware de su equipo y de los datos que se van a recopilar.
103
4.6.2 Interfaz del usuario y uso de la aplicación
Para lograr una mayor claridad, la ventana principal se divide en cuatro secciones principales: la sección de
controles de programa, situada en la parte superior de la ventana principal; la ventana de navegación, situada a la
izquierda; la ventana de descripción, situada en la parte central derecha; y la ventana de detalles, situada en la
parte inferior derecha de la ventana principal. La sección Estado de registros muestra una lista de los parámetros
básicos de un registro (filtro utilizado, tipo de filtro, si el registro es el resultado de una comparación, etc.).
4.6.2.1 Controles de programa
Esta sección contiene la descripción de todos los controles de programa disponibles en ESET SysInspector.
Archivo
Al hacer clic en Archivo, puede guardar el estado actual del sistema para examinarlo más tarde o abrir un registro
guardado anteriormente. Para la publicación, es recomendable generar un registro Apropiado para su envío. De
esta forma, el registro omite la información confidencial (nombre del usuario actual, nombre del equipo, nombre
del dominio, privilegios del usuario actual, variables de entorno, etc.).
NOTA: Para abrir los informes de ESET SysInspector almacenados previamente, simplemente arrástrelos y suéltelos
en la ventana principal.
Árbol
Le permite expandir o cerrar todos los nodos, y exportar las secciones seleccionadas al script de servicio.
Lista
Contiene funciones para una navegación más sencilla por el programa y otras funciones como, por ejemplo, la
búsqueda de información en línea.
Ayuda
Contiene información sobre la aplicación y sus funciones.
104
Detalle
Esta configuración afecta la información mostrada en la ventana principal para que resulte más sencillo trabajar
con dicha información. En el modo "Básico", el usuario tiene acceso a información utilizada para buscar soluciones a
problemas comunes del sistema. En el modo "Medio", el programa muestra detalles menos usados. En el modo
"Completo", ESET SysInspector muestra toda la información necesaria para solucionar problemas muy específicos.
Filtrado de elementos
Es la mejor opción para buscar entradas de registro o archivos sospechosos en el sistema. Mediante el ajuste del
control deslizante, puede filtrar elementos por su nivel de riesgo. Si el control deslizante se encuentra en el extremo
izquierdo (nivel de riesgo 1), se muestran todos los elementos. Al mover el control deslizante a la derecha, el
programa filtra todos los elementos menos peligrosos que el nivel de riesgo actual y muestra solo los elementos
con un nivel de sospecha superior al mostrado. Si el control deslizante se encuentra en el extremo derecho, el
programa muestra únicamente los elementos dañinos conocidos.
Todos los elementos cuyo riesgo designado está entre 6 y 9 pueden suponer un riesgo para la seguridad. Si no está
utilizando una solución de seguridad de ESET, es recomendable explorar su sistema con ESET Online Scanner
cuando ESET SysInspector encuentre un elemento de este tipo. ESET Online Scanner es un servicio gratuito.
NOTA: el nivel de riesgo de un elemento se puede determinar rápidamente al comparar el color del elemento con el
color del control deslizante del nivel de riesgo.
Buscar
Esta opción se puede utilizar para buscar rápidamente un elemento específico por su nombre o parte del nombre.
Los resultados de la solicitud de búsqueda aparecerán en la ventana de descripción.
Volver
Al hacer clic en la flecha hacia atrás o hacia delante, puede volver a la información mostrada previamente en la
ventana de descripción. Puede utilizar la tecla Retroceso y la tecla Barra espaciadora, en lugar de hacer clic en las
flechas Atrás y Adelante.
Sección de estado
Muestra el nodo actual en la ventana de navegación.
Importante: los elementos destacados en rojo son elementos desconocidos, por eso el programa los marca como
potencialmente peligrosos. Que un elemento aparezca marcado en rojo no significa que sea necesario eliminar el
archivo. Antes de eliminarlo, asegúrese de que el archivo es realmente peligroso o innecesario.
4.6.2.2 Navegación por ESET SysInspector
ESET SysInspector divide varios tipos de información en distintas secciones básicas denominadas nodos. Si está
disponible, puede encontrar información adicional al expandir los subnodos de cada nodo. Para abrir o contraer un
nodo, sólo tiene que hacer doble clic en el nombre del nodo o en o junto al nombre del nodo. Cuando examine la
estructura con forma de árbol de nodos y subnodos en la ventana de navegación, puede encontrar diversos detalles
de cada nodo en la ventana de descripción. Si examina los elementos en la ventana de descripción, es posible que se
muestre información adicional de cada uno de los elementos en la ventana de detalles.
A continuación, se encuentran las descripciones de los nodos principales de la ventana Navegación e información
relacionada en las ventanas Descripción y Detalles.
Procesos en ejecución
Este nodo contiene información sobre aplicaciones y procesos que se ejecutan al generar el registro. En la ventana
Descripción, puede encontrar información adicional de cada proceso como, por ejemplo, bibliotecas dinámicas
utilizadas por el proceso y su ubicación en el sistema, el nombre del proveedor de la aplicación y el nivel de riesgo del
archivo.
La ventana Detalles contiene información adicional de los elementos seleccionados en la ventana Descripción
como, por ejemplo, el tamaño del archivo o su hash.
NOTA: Un sistema operativo incluye varios componentes importantes del núcleo que se ejecutan de forma
ininterrumpida y que proporcionan funciones básicas y esenciales para otras aplicaciones de usuario. En
determinados casos, dichos procesos aparecen en la herramienta ESET SysInspector con una ruta de archivo que
105
comienza con \??\. Estos símbolos optimizan el inicio previo de dichos procesos; son seguros para el sistema.
Conexiones de red
La ventana Descripción contiene una lista de procesos y aplicaciones que se comunican a través de la red mediante
el protocolo seleccionado en la ventana Navegación (TCP o UDP), así como la dirección remota a la que se conecta
la aplicación. También puede comprobar las direcciones IP de los servidores DNS.
La ventana Detalles contiene información adicional de los elementos seleccionados en la ventana Descripción
como, por ejemplo, el tamaño del archivo o su hash.
Entradas de registro importantes
Contiene una lista de entradas de registro seleccionadas que suelen estar asociadas a varios problemas del sistema,
como las que especifican programas de inicio, objetos auxiliares del navegador (BHO), etc.
En la ventana Descripción, puede encontrar los archivos que están relacionados con entradas de registro
específicas. Puede ver información adicional en la ventana Detalles.
Servicios
La ventana Descripción contiene una lista de archivos registrados como Servicios de Windows. En la ventana
Detalles, puede consultar la forma de inicio establecida para el servicio e información específica del archivo.
Controladores
Una lista de los controladores instalados en el sistema.
Archivos críticos
En la ventana Descripción, se muestra el contenido de los archivos críticos relacionados con el sistema operativo
Microsoft Windows.
Tareas programadas del sistema
Contiene una lista de tareas accionadas por Tareas programadas de Windows en un momento/intervalo
especificado.
Información del sistema
Contiene información detallada acerca del hardware y el software, así como información sobre las variables de
entorno, derechos del usuario y registros de sucesos del sistema.
Detalles del archivo
Una lista de los archivos del sistema y los archivos importantes de la carpeta Archivos de programa. Se puede
encontrar información adicional específica de los archivos en las ventanas Descripción y Detalles.
Acerca de
Información acerca de la versión de ESET SysInspector y la lista de módulos del programa.
4.6.2.2.1 atajos del teclado
Los accesos directos que se pueden utilizar durante el trabajo con ESET SysInspector son:
Archivo
Ctrl+O
Ctrl+S
abrir el registro existente
guardar los registros creados
Generar
Ctrl+G
Ctrl+H
genera una instantánea de estado del equipo estándar.
genera una instantánea de estado del equipoque también podrá registrar información confidencial
Filtrado de elementos
1, O
106
seguro, se muestran los elementos que tienen un nivel de riesgo de 1 a 9
2
3
4, U
5
6
7, B
8
9
+
Ctrl+9
Ctrl+0
desconocido, se muestran los elementos que tienen un nivel de riesgo de 4 a 9
peligroso, se muestran los elementos que tienen un nivel de riesgo de 7 a 9
peligroso, se muestran los elementos que tienen un nivel de riesgo de 8 a 9
peligroso, se muestran los elementos que tienen un nivel de riesgo de 9
disminuir el nivel de riesgo
aumentar el nivel de riesgo
modo de filtrado, mismo nivel o superior
modo de filtrado, solo mismo nivel
Ver
Ctrl+5
Ctrl+6
Ctrl+7
Ctrl+3
Ctrl+2
Ctrl+1
Retroceso
Espacio
Ctrl+W
Ctrl+Q
ver por proveedor, todos los proveedores
ver por proveedor, solo Microsoft
ver por proveedor, resto de proveedores
mostrar todos los detalles
mostrar la mitad de los detalles
visualización básica
volver un paso atrás
continuar con el paso siguiente
expandir el árbol
contraer el árbol
Otros controles
Ctrl+T
Ctrl+P
Ctrl+A
Ctrl+C
Ctrl+X
Ctrl+B
Ctrl+L
Ctrl+R
Ctrl+Z
Ctrl+F
Ctrl+D
Ctrl+E
ir a la ubicación original del elemento tras seleccionarlo en los resultados de búsqueda
mostrar la información básica de un elemento
mostrar la información completa de un elemento
copiar el árbol del elemento actual
copiar elementos
buscar información en Internet acerca de los archivos seleccionados
abrir la carpeta en la que se encuentra el archivo seleccionado
abrir la entrada correspondiente en el editor de registros
copiar una ruta de acceso a un archivo (si el elemento está asociado a un archivo)
activar el campo de búsqueda
cerrar los resultados de búsqueda
ejecutar el script de servicio
Comparación
Ctrl+Alt+O
Ctrl+Alt+R
Ctrl+Alt+1
Ctrl+Alt+2
Ctrl+Alt+3
Ctrl+Alt+4
Ctrl+Alt+5
Ctrl+Alt+C
Ctrl+Alt+N
Ctrl+Alt+P
abrir el registro original/comparativo
cancelar la comparación
mostrar todos los elementos
mostrar solo los elementos agregados, el registro incluirá los elementos presentes en el registro
actual
mostrar solo los elementos eliminados, el registro incluirá los elementos presentes en el registro
anterior
mostrar solo los elementos sustituidos (archivos incluidos)
mostrar solo las diferencias entre los registros
mostrar la comparación
mostrar el registro actual
abrir el registro anterior
Varios
F1
Alt+F4
Alt+Mayús+F4
Ctrl+I
ver la ayuda
cerrar el programa
cerrar el programa sin preguntar
estadísticas del registro
107
4.6.2.3 Comparación
La característica Comparar le permite al usuario comparar dos registros existentes. El resultado es un conjunto de
elementos no comunes a ambos registros. Esta opción es adecuada para realizar un seguimiento de los cambios
realizados en el sistema; constituye una herramienta útil para detectar la actividad de códigos maliciosos.
Una vez iniciada, la aplicación crea un nuevo registro, que aparecerá en una ventana nueva. Vaya a Archivo >
Guardar registro para guardar un registro en un archivo. Los archivos de registro se pueden abrir y ver
posteriormente. Para abrir un registro existente, vaya a Archivo > Abrir registro. En la ventana principal del
programa, ESET SysInspector muestra siempre un registro a la vez.
La ventaja de comparar dos registros es que permite ver un registro actualmente activo y un registro guardado en
un archivo. Para comparar registros, utilice la opción Archivo > Comparar registros y elija Seleccionar archivo. El
registro seleccionado se comparará con el registro activo en la ventana principal del programa. El registro
resultante solo mostrará las diferencias entre esos dos registros.
NOTA: Si compara dos archivos de registro, seleccione Archivo > Guardar registro y guárdelo como un archivo ZIP.
Se guardarán ambos archivos. Si abre posteriormente dicho archivo, se compararán automáticamente los registros
que contiene.
Junto a los elementos mostrados, ESET SysInspector muestra símbolos que identifican las diferencias entre los
registros comparados.
Los elementos marcados con un solo se encuentran en el registro activo y no están presentes en el registro
comparativo abierto. Los elementos marcados con un solamente están presentes en el registro abierto, no en el
registro activo.
Descripción de todos los símbolos que pueden aparecer junto a los elementos:
nuevo valor que no se encuentra en el registro anterior
la sección de estructura con forma de árbol contiene nuevos valores
valor eliminado que solo se encuentra en el registro anterior
la sección de estructura con forma de árbol contiene valores eliminados
se cambió un valor o un archivo
la sección de estructura con forma de árbol contiene valores o archivos modificados
disminuyó el nivel de riesgo o era superior en el registro anterior
aumentó el nivel de riesgo o era inferior en el registro anterior
La explicación que aparece en la esquina inferior izquierda describe todos los símbolos y muestra los nombres de los
registros que se están comparando.
Se puede guardar cualquier registro comparativo en un archivo y abrirlo posteriormente.
Ejemplo
Genere y guarde un registro, que grabe información original acerca del sistema, en un archivo denominado
previous.xml. Luego de que se hayan efectuado los cambios al sistema, abra ESET SysInspector y aguarde a que
genere un nuevo registro. Guárdelo en un archivo con el nombre actual.xml.
Para realizar un seguimiento de los cambios entre estos dos registros, vaya a Archivo > Comparar registros. El
programa creará un registro comparativo con las diferencias entre ambos registros.
Se puede lograr el mismo resultado si utiliza la siguiente opción de la línea de comandos:
SysIsnpector.exe actual.xml anterior.xml
108
4.6.3 Parámetros de la línea de comandos
ESET SysInspector admite la generación de informes desde la línea de comandos con estos parámetros:
/gen
/privacy
/zip
/silent
/help, /?
genera un registro directamente desde la línea de comandos, sin ejecutar la interfaz gráfica de
usuario
genera un registro en el que se excluye la información confidencial
almacena el registro resultante directamente en el disco, en un archivo comprimido
oculta la barra de progreso del proceso de generación del registro
muestra información acerca de los parámetros de la línea de comandos
Ejemplos
Para cargar un registro determinado directamente en el navegador, utilice: SysInspector.exe "c:\clientlog.xml"
Para generar un registro en una ubicación actual, utilice: SysInspector.exe /gen
Para generar un registro en una carpeta específica, utilice: SysInspector.exe /gen="c:\folder\"
Para generar un registro en una carpeta o ubicación específica, utilice: SysInspector.exe /gen="c:\folder\mynewlog.xml"
Para generar un registro en el que se excluya la información confidencial directamente como archivo comprimido,
utilice: SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip
Para comparar dos registros, utilice: SysInspector.exe "actual.xml" "original.xml"
NOTA: si el nombre del archivo o la carpeta contiene un espacio, debe escribirse entre comillas.
4.6.4 Script de servicio
El script de servicio es una herramienta que ofrece ayuda a los clientes que utilizan ESET SysInspector mediante la
eliminación de objetos no deseados del sistema.
El script de servicio le permite al usuario exportar el registro completo de ESET SysInspector o únicamente las
partes seleccionadas. Tras la exportación, puede marcar los objetos que desee eliminar. A continuación, puede
ejecutar el registro modificado para eliminar los objetos marcados.
El script de servicio es útil para usuarios avanzados con experiencia previa en el diagnóstico de problemas del
sistema. Las modificaciones realizadas por usuarios sin experiencia pueden provocar daños en el sistema operativo.
Ejemplo
Si tiene la sospecha de que el equipo está infectado por un virus que el antivirus no detecta, siga las instrucciones
siguientes:
Ejecute ESET SysInspector para generar una nueva instantánea del sistema.
Seleccione el primer elemento de la sección que se encuentra a la izquierda (en la estructura con forma de árbol),
presione Ctrl y seleccione el último elemento para marcarlos todos.
Haga un clic derecho en los objetos seleccionado y elija la opción Exportar secciones seleccionadas al Script de
servicio del menú contextual.
Los objetos seleccionados se exportarán a un nuevo registro.
Este es el paso más importante de todo el procedimiento: abra el registro nuevo y cambie el atributo a + para
todos los objetos que desee quitar. Asegúrese de no marcar ningún archivo u objeto importante del sistema
operativo.
Abra ESET SysInspector, haga clic en Archivo > Ejecutar el Script de servicio e ingrese la ruta en el script.
Haga clic en Aceptar para ejecutar el script.
4.6.4.1 Generación de scripts de servicio
Para generar un script, haga clic con el botón derecho en cualquier elemento del árbol de menús (en el panel
izquierdo) de la ventana principal de ESET SysInspector. En el menú contextual, seleccione la opción Exportar
todas las secciones al script de servicio o la opción Exportar las secciones seleccionadas al script de servicio.
NOTA: cuando se comparan dos registros, el script de servicio no se puede exportar.
109
4.6.4.2 Estructura del script de servicio
En la primera línea del encabezado del script, encontrará información sobre la versión del motor (ev), la versión de
la interfaz gráfica de usuario (gv) y la versión del registro (lv). Puede utilizar estos datos para realizar un
seguimiento de los posibles cambios del archivo .xml que genere el script y evitar las incoherencias durante la
ejecución. Esta parte del script no se debe modificar.
El resto del archivo se divide en secciones, donde los elementos se pueden modificar (indique los que procesará el
script). Para marcar los elementos que desea procesar, sustituya el carácter “-” situado delante de un elemento por
el carácter “+”. En el script, las secciones se separan mediante una línea vacía. Cada sección tiene un número y un
título.
01) Running processes (Procesos en ejecución)
En esta sección se incluye una lista de todos los procesos que se están ejecutando en el sistema. Cada proceso se
identifica mediante su ruta UNC y, posteriormente, su código hash CRC16 representado mediante asteriscos (*).
Ejemplo:
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
En este ejemplo se seleccionó (marcado con el carácter "+") el proceso module32.exe, que finalizará al ejecutar el
script.
02) Loaded modules (Módulos cargados)
En esta sección se listan los módulos del sistema que se utilizan actualmente.
Ejemplo:
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
En este ejemplo, se marcó el módulo khbekhb.dll con el signo "+". Cuando se ejecute, el script reconocerá los
procesos mediante el módulo específico y los finalizará.
03) TCP connections (Conexiones TCP)
En esta sección se incluye información sobre las conexiones TCP existentes.
Ejemplo:
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]
Cuando se ejecute, el script localizará al propietario del socket en las conexiones TCP marcadas y detendrá el
socket, por lo que se liberarán recursos del sistema.
04) UDP endpoints (Terminales UDP)
En esta sección se incluye información sobre los puntos finales UDP.
Ejemplo:
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
Cuando se ejecute, el script aislará al propietario del socket en los puntos finales UDP marcados y detendrá el
socket.
110
05) DNS server entries (Entradas del servidor DNS)
En esta sección se proporciona información sobre la configuración actual del servidor DNS.
Ejemplo:
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Las entradas marcadas del servidor DNS se eliminarán al ejecutar el script.
06) Important registry entries (Entradas de registro importantes)
En esta sección se proporciona información sobre las entradas de registro importantes.
Ejemplo:
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
Cuando se ejecute el script, las entradas marcadas se eliminarán, reducirán a valores de 0 bytes o restablecerán en
sus valores predeterminados. La acción realizada en cada entrada depende de su categoría y del valor de la clave en
el registro específico.
07) Services (Servicios)
En esta sección se listan los servicios registrados en el sistema.
Ejemplo:
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup:
Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup:
Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup:
Manual
[...]
Cuando se ejecute el script, los servicios marcados y los servicios dependientes se detendrán y desinstalarán.
08) Drivers (Controladores)
En esta sección se listan los controladores instalados.
Ejemplo:
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32
\drivers\adihdaud.sys, state: Running, startup: Manual
[...]
Al ejecutar el script, se detendrán los controladores seleccionados. Tenga en cuenta que algunos controladores no
podrán ser detenidos.
09) Critical files (Archivos críticos)
En esta sección se proporciona información sobre los archivos críticos para el correcto funcionamiento del sistema
operativo.
111
Ejemplo:
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
Los elementos seleccionados se eliminarán o restablecerán en sus valores originales.
4.6.4.3 Ejecución de scripts de servicio
Seleccione todos los elementos que desee y, a continuación, guarde y cierre el script. Ejecute el script modificado
directamente desde la ventana principal de ESET SysInspector, con la opción Ejecutar el script de servicio del
menú Archivo. Cuando abra un script, el programa mostrará el siguiente mensaje: ¿Está seguro de que desea
ejecutar el script de servicio "%Scriptname%"? Luego de confirmar la selección, es posible que se muestre otra
advertencia para informarle que el script de servicio que intenta ejecutar no está firmado. Haga clic en Ejecutar
para iniciar el script.
Se mostrará una ventana de diálogo para confirmar que el script se ejecutó correctamente.
Si el script no se puede procesar por completo, se mostrará una ventana de diálogo con el siguiente mensaje: El
script de servicio se ejecutó en forma parcial. ¿Desea ver el informe de errores? Seleccione Sí para ver un
informe de errores completo con todas las operaciones que no se ejecutaron.
Si no se reconoce el script, aparece una ventana de diálogo con el siguiente mensaje: El script de servicio
seleccionado no está firmado. La ejecución de scripts no firmados y desconocidos pueden perjudicar
gravemente los datos del equipo. ¿Está seguro de que desea ejecutar el script y realizar las acciones? Esto
podría deberse a que el script presenta inconsistencias (encabezado dañado, título de sección dañado, falta línea
vacía entre secciones, etc.). Vuelva a abrir el archivo del script y corrija los errores o cree un nuevo script de servicio.
4.6.5 Preguntas frecuentes
¿Es necesario contar con privilegios de administrador para ejecutar ESET SysInspector?
Aunque ESET SysInspector no requiere privilegios de administrador para su ejecución, sí es necesario utilizar una
cuenta de administrador para acceder a parte de la información que recopila. Si lo ejecuta como usuario normal o
restringido, se recopilará menor cantidad de información acerca de su entorno operativo.
¿ESET SysInspector crea archivos de registro?
ESET SysInspector puede crear un archivo de registro de la configuración de su equipo. Para guardarlo, seleccione
desde el menú principal Archivo > Guardar registro. Los registros se guardan en formato XML. En forma
predeterminada, los archivos se guardan en el directorio %USERPROFILE%\Mis Documentos\, con una convención de
nomenclatura del tipo "SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML". Si lo desea, puede modificar
tanto la ubicación como el nombre del archivo de registro antes de guardarlo.
¿Cómo puedo ver el contenido del archivo de registro de ESET SysInspector?
Para visualizar un archivo de registro creado por ESET SysInspector, ejecute la aplicación y seleccione Archivo >
Abrir registro en el menú principal. También puede arrastrar y soltar los archivos de registro en la aplicación ESET
SysInspector. Si necesita ver los archivos de registro de ESET SysInspector con frecuencia, es recomendable crear un
acceso directo al archivo SYSINSPECTOR.EXE en su escritorio. Para ver los archivos de registro, arrástrelos y
suéltelos en ese acceso directo. Por razones de seguridad, es posible que Windows Vista o 7 no permita la acción de
arrastrar y soltar entre ventanas que cuentan con permisos de seguridad diferentes.
112
¿Existe alguna especificación disponible para el formato del archivo de registro? ¿Y algún conjunto de
herramientas para el desarrollo de aplicaciones (SDK)?
Actualmente, no se encuentra disponible ninguna especificación para el formato del archivo de registro, ni un
conjunto de herramientas de programación, ya que la aplicación se encuentra aún en fase de desarrollo. Una vez
que se haya lanzado, podremos proporcionar estos elementos en función de la demanda y los comentarios por
parte de los clientes.
¿Cómo evalúa ESET SysInspector el riesgo que plantea un objeto en particular?
Generalmente, ESET SysInspector asigna un nivel de riesgo a los objetos (archivos, procesos, claves de registro,
etc.). Para ello, utiliza una serie de reglas heurísticas que examinan las características de cada uno de los objetos y
luego estiman el potencial de actividad maliciosa. Según estas heurísticas, a los objetos se les asignará un nivel de
riesgo desde el valor 1: seguro (en color verde) hasta 9: peligroso" (en color rojo). En el panel de navegación que se
encuentra a la izquierda, las secciones estarán coloreadas según el nivel máximo de peligrosidad que presente un
objeto en su interior.
El nivel de riesgo "6: desconocido (en color rojo)", ¿significa que un objeto es peligroso?
Las evaluaciones de ESET SysInspector no garantizan que un objeto sea malicioso. Esta determinación deberá
confirmarla un experto en seguridad informática. ESET SysInspector está diseñado para proporcionar una guía
rápida a estos expertos, con la finalidad de que conozcan los objetos que deberían examinar en un sistema en busca
de algún comportamiento inusual.
¿Por qué ESET SysInspector se conecta a Internet cuando se ejecuta?
Como muchas otras aplicaciones, ESET SysInspector contiene una firma digital que actúa a modo de "certificado".
Esta firma ayuda a garantizar que ESET desarrolló la aplicación y que no se alteró. Para comprobar la autenticidad
del certificado, el sistema operativo debe contactarse con la autoridad certificadora, que verificará la identidad del
desarrollador de la aplicación. Este es un comportamiento normal para todos los programas firmados digitalmente
que se ejecutan en Microsoft Windows.
¿En qué consiste la tecnología Anti Stealth?
La tecnología Anti-Stealth proporciona un método efectivo de detección de rootkit.
Si un código malicioso que se comporta como un rootkit ataca el sistema, el usuario se expone a pérdida o robo de
información. Si no se dispone de una herramienta antirootkit especial, es prácticamente imposible detectar los
rootkits.
¿Por qué a veces hay archivos con la marca "Firmado por MS" que, al mismo tiempo, tienen una entrada de
"Nombre de compañía" diferente?
Al intentar identificar la firma digital de un archivo ejecutable, ESET SysInspector comprueba en primer lugar si el
archivo contiene una firma digital integrada. Si se encuentra una firma digital, se validará el archivo con esa
información. En caso de que no se encuentre ninguna firma digital, ESI comienza a buscar el archivo CAT
correspondiente (Catálogo de seguridad: %systemroot%\system32\catroot), que contiene información acerca del
archivo ejecutable procesado. Si se encuentra el archivo CAT relevante, la firma digital de dicho archivo CAT será la
que se aplique en el proceso de validación del archivo ejecutable.
Esa es la razón por la cual a veces hay archivos marcados como "Firmado por MS", pero que tienen una entrada
"Nombre de compañía" diferente.
Ejemplo:
Windows 2000 incluye la aplicación HyperTerminal, que se encuentra en C:\Archivos de programa\Windows NT. El
archivo ejecutable de la aplicación principal no está firmado digitalmente; sin embargo, ESET SysInspector lo marca
como archivo firmado por Microsoft. La razón es la referencia que aparece en C:\WINNT\system32
\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat que lleva a C:\Archivos de programa\Windows NT\hypertrm.
exe (archivo ejecutable principal de la aplicación HyperTerminal), y sp4.cat está digitalmente firmado por Microsoft.
113
4.6.6 ESET SysInspector como parte de ESET Mail Security
Para abrir la sección ESET SysInspector en ESET Mail Security, haga clic en Herramientas > ESET SysInspector. El
sistema de administración de la ventana ESET SysInspector es parecido al de los registros de exploración del equipo
o las tareas programadas. Se puede obtener acceso a todas las operaciones con instantáneas del sistema (como
crear, ver, comparar, eliminar y exportar) con tan solo un par de clics.
La ventana ESET SysInspectorcontiene información básica acerca de las instantáneas creadas como, por ejemplo, la
hora de creación, un breve comentario, el nombre del usuario que creó la instantánea y el estado de la misma.
Para comparar, crear o eliminar instantáneas, utilice los botones correspondientes ubicados debajo de la lista de
instantáneas de la ventana ESET SysInspector. Estas opciones también están disponibles en el menú contextual.
Para ver la instantánea seleccionada del sistema, utilice la opción del menú contextual Mostrar. Para exportar la
instantánea seleccionada a un archivo, haga clic con el botón secundario en ella y seleccione Exportar....
Abajo se muestra una descripción detallada de las opciones disponibles:
Comparar: le permite comparar dos registros existentes. Esta opción es ideal para realizar un seguimiento de los
cambios entre el registro actual y el anterior. Para poder aplicar esta opción, debe seleccionar dos instantáneas
con el fin de compararlas.
Crear...: crea un nuevo registro. Antes debe ingresar un breve comentario acerca del registro. Para obtener
información sobre el progreso de la creación de la instantánea (que se está generando en ese momento), consulte
la columna Estado. Todas las instantáneas completadas aparecen marcadas con el estado Creada.
Eliminar/Eliminar todo: remueve entradas de la lista.
Exportar...: guarda la entrada seleccionada en un archivo XML (y también en una versión comprimida).
4.7 ESET SysRescue
ESET SysRescue es una utilidad que le permite crear un disco de inicio que contiene una de las soluciones ESET
Security. Puede ser ESET NOD32 Antivirus, ESET Smart Security o hasta algunos de los productos orientados al
servidor. La ventaja principal de ESET SysRescue radica en que la solución ESET Security se ejecuta en forma
independiente del sistema operativo del host, a la vez que cuenta con acceso directo al disco y al sistema de
archivos completo. De esta forma, es posible quitar infiltraciones que normalmente no se podían eliminar, por ej.,
mientras el sistema operativo está activo, etc.
4.7.1 Requisitos mínimos
ESET SysRescue funciona en la versión 2.x del Entorno de preinstalación de Microsoft Windows (Windows PE), que
se basa en Windows Vista.
Windows PE forma parte de los paquetes gratuitos del Kit de instalación automatizada de Windows (AIK de
Windows) o del Kit de implementación y evaluación de Windows (ADK de Windows), y por lo tanto es necesario que
se instale el AIK o ADK de Windows previo a la creación de ESET SysRescue (<%http://go.eset.eu/AIK%>) o (<%
http://go.eset.eu/ADK%>). Cuál de estos kits se debe instalar en su sistema depende de la versión del sistema
operativo que usa. Debido al soporte de la versión de 32 bits del PE de Windows, se debe utilizar un paquete de
instalación de 32 bits de la solución ESET Security al crear ESET SysRescue en los sistemas de 64 bits. ESET
SysRescue soporta la versión 1.1 de AIK de Windows, y posteriores así como ADK de Windows.
NOTA: Ya que el AIK de Windows pesa más de 1 GB y el ADK de Windows, más de 1,3 GB, se requiere una conexión
de internet de alta velocidad para la descarga regular.
ESET SysRescue está disponible en las versiones 4.0 y posteriores de las soluciones ESET Security.
ESET SysRescue soporta los siguientes sistemas operativos:
Windows Server 2003 Service Pack 1 con KB926044
Windows Server 2003 Service Pack 2
Windows Server 2008
Windows Server 2012
El AIK de Windows soporta:
Windows Server 2003
Windows Server 2008
114
El ADK de Windows soporta:
Windows Server 2012
4.7.2 Cómo crear un CD de recuperación
Para iniciar el asistente de ESET SysRescue, haga clic en Inicio > Programas > ESET > ESET Mail Security > ESET
SysRescue.
Primero, el asistente verifica la presencia del AIK o ADK de Windows y que haya un dispositivo adecuado para la
creación de medios de inicio. Si el AIK o ADK de Windows no está instalado en el equipo (o si está dañado o no se
instaló correctamente), el asistente le ofrecerá la opción de instalarlo o ingresar la ruta a la carpeta AIK de Windows
(<%http://go.eset.eu/AIK%>) o ADK de Windows (<%http://go.eset.eu/ADK%>).
NOTA: Ya que el AIK de Windows pesa más de 1 GB y el ADK de Windows, más de 1,3 GB, se requiere una conexión
de internet de alta velocidad para la descarga regular.
En el paso siguiente 115 , seleccione el medio de destino donde se ubicará ESET SysRescue.
4.7.3 Selección de objetos
Además de un CD, DVD y USB, puede elegir guardar ESET SysRescue en un archivo ISO. Más tarde, puede grabar la
imagen ISO en un CD o DVD, o usarla de alguna otra forma (por ej., en un entorno virtual como VMWare o
Virtualbox).
Si selecciona USB como medio de destino, el inicio no funcionará en algunos equipos. Algunas versiones del BIOS
pueden informar que hay problemas con el BIOS; se comunica con el administrador del inicio (por ej., en Windows
Vista) y sale del proceso de inicio con el siguiente mensaje de error:
archivo: \boot\bcd
estado: 0xc000000e
información: se produjo un error al intentar leer los datos de configuración del inicio
Si encuentra este mensaje, se recomienda seleccionar como medio una unidad de CD en vez de USB.
4.7.4 Configuración
Antes de iniciar la creación de ESET SysRescue, el asistente de instalación muestra los parámetros de la compilación
en el último paso del asistente de ESET SysRescue. Se pueden modificar con un clic en el botón Cambiar.... Entre las
opciones disponibles están:
Carpetas 115
ESET Antivirus 116
Avanzado 116
Protocolo de Internet 116
Dispositivo USB de inicio 117 (cuando se selecciona el dispositivo USB de destino)
Grabación 117 (cuando se selecciona la unidad de CD o DVD de destino)
El botón Crear aparece inactivo si no se especificó ningún paquete de instalación MSI o si no hay ninguna solución
ESET Security instalada en el equipo. Para seleccionar un paquete de instalación, haga clic en el botón Cambiar y
vaya a la pestaña ESET Antivirus. Asimismo, si no completa el nombre de usuario y la contraseña (Cambiar > ESET
Antivirus), el botón Crear aparecerá inactivo, sombreado en gris.
4.7.4.1 Carpetas
Carpeta temporal: es un directorio activo que se usa para los archivos requeridos durante la compilación de ESET
SysRescue.
Carpeta ISO: es la carpeta donde se guarda el archivo ISO resultante tras completar la compilación.
La lista de esta pestaña muestra todas las unidades de red asignadas junto con el espacio libre disponible. Si
algunas de estas carpetas están ubicadas en una unidad con espacio en disco insuficiente, es recomendable
seleccionar otra unidad con más espacio disponible. De lo contrario, es posible que la compilación finalice antes de
tiempo debido a espacio libre en disco insuficiente.
Aplicaciones externas: permite especificar programas adicionales que se ejecutarán o instalarán tras el inicio
desde un medio de ESET SysRescue.
115
Incluir aplicaciones externas: permite agregar programas externos a la compilación de ESET SysRescue.
Carpeta seleccionada: carpeta donde se ubican los programas que se agregarán al disco de ESET SysRescue.
4.7.4.2 ESET Antivirus
Cuando crea el CD de ESET SysRescue, puede seleccionar dos fuentes de archivos ESET para que se usen en la
compilación.
Carpeta ESS/EAV: archivos ya incluidos en la carpeta donde se instaló la solución ESET Securityen el equipo.
Archivo MSI: se usan los archivos incluidos en el programa de instalación MSI
A continuación, puede elegir actualizar la ubicación de los archivos de actualización (.nup). Normalmente, debería
estar seleccionada la opción predeterminada carpeta ESS/EAV/archivo MSI. En ciertos casos, se puede elegir una
Carpeta de actualización personalizada, por ej., para usar una base de datos de firmas de virus anterior o
posterior.
Puede utilizar una de las siguientes dos fuentes de nombre de usuario y contraseña:
ESS/EAV instalado: el nombre de usuario y la contraseña se copian de la solución ESET Security actualmente
instalada.
Del usuario: se utilizan el nombre de usuario y la contraseña ingresados en los cuadros de texto correspondientes.
NOTA: La solución ESET Security presente en el CD de ESET SysRescue se actualiza por Internet o mediante la
solución ESET Security instalada en el equipo donde se ejecuta el CD de ESET SysRescue.
4.7.4.3 Configuración avanzada
La pestaña <Avanzado permite optimizar el CD de ESET SysRescue según la cantidad de memoria de su equipo.
Seleccione 576 MB o más para escribir el contenido del CD en la memoria operativa (RAM). Si selecciona menor
que 576 MB, se accederá en forma permanente al CD de recuperación cuando WinPE se esté ejecutando.
En la sección Controladores externos, puede insertar controladores para hardware específico (generalmente
adaptadores de red). Aunque WinPE se basa en Windows Vista SP1, que es compatible con una amplia variedad de
hardware, el hardware a veces no se reconoce. En este caso, es necesario agregar el controlador en forma manual.
Hay dos formas de introducir un controlador en la compilación de ESET SysRescue: manual (con el botón Agregar) y
automática (con el botón Búsqueda automática). En el caso de la inclusión manual, debe seleccionar la ruta al
archivo .inf correspondiente (en esta carpeta también debe estar presente el archivo *.sys aplicable). En el caso de la
introducción automática, el controlador se busca automáticamente en el sistema operativo del equipo dado. Es
recomendable usar la inclusión automática solo si ESET SysRescue se usa en un equipo que tiene el mismo
adaptador de red que el equipo donde se creó el CD de ESET SysRescue. Durante la creación, el controlador de ESET
SysRescue se introduce en la compilación, por lo que el usuario no necesitará buscarlo más tarde.
4.7.4.4 Protocolo de Internet
Esta sección permite configurar la información de red básica y establecer las conexiones predefinidas tras el inicio
de ESET SysRescue.
Seleccione Dirección IP privada automática para obtener la dirección IP en forma automática desde el servidor
DHCP (Protocolo de configuración dinámica de host, por sus siglas en inglés).
Como alternativa, esta conexión de red puede usar una dirección IP especificada manualmente (también conocida
como dirección IP estática). Seleccione Personalizado para configurar los valores IP apropiados. Si selecciona esta
opción, debe especificar una Dirección IP y, para las conexiones de la LAN y las de Internet de alta velocidad, una
Máscara de subred. En Servidor DNS preferido y Servidor DNS secundario, escriba las direcciones del servidor
DNS primario y alternativo.
116
4.7.4.5 Dispositivo USB de inicio
Si seleccionó los dispositivos USB como medio de destino, puede elegir uno de los dispositivos USB disponibles en la
pestaña Dispositivo USB de inicio (en caso de que haya más de uno).
Seleccione el Dispositivo de destino apropiado donde se instalará ESET SysRescue.
Advertencia: El dispositivo USB seleccionado se formateará durante el proceso de creación de ESET SysRescue.
Como consecuencia, se eliminarán todos los datos del dispositivo.
Si elige la opción Formato rápido, se eliminarán todos los archivos de la partición formateada, pero no se explorará
el disco en busca de sectores defectuosos Utilice esta opción si el dispositivo USB ya se formateó anteriormente y
usted está seguro de que no se encuentra dañado.
4.7.4.6 Grabación
Si seleccionó como medio de destino un CD o DVD, puede especificar parámetros adicionales de grabación en la
pestaña Grabar.
Eliminar archivo ISO: seleccione esta opción para eliminar el archivo temporal ISO luego de la creación del CD de
ESET SysRescue.
Eliminación habilitada: permite seleccionar entre el borrado rápido y el borrado completo.
Dispositivo de grabación: seleccione la unidad que usará para grabar.
Advertencia: Esta opción es la predeterminada. Si se usa un CD o DVD regrabable, se eliminarán todos los datos del
CD o DVD.
La sección Medio contiene información sobre el medio que se encuentra insertado en el dispositivo de CD o DVD.
Velocidad de grabación: seleccione la velocidad deseada en el menú desplegable. A la hora de seleccionar la
velocidad de grabación, deben tenerse en cuenta las capacidades de su dispositivo de grabación y el tipo de CD o
DVD utilizado.
4.7.5 Trabajo con ESET SysRescue
Para que el CD/DVD/USB de recuperación sea eficaz, debe iniciar el equipo desde el medio de arranque de ESET
SysRescue. Se puede modificar la prioridad de arranque desde el BIOS. Alternativamente, puede usar el menú de
arranque durante el inicio del equipo (en general, mediante una de las teclas entre F9 y F12, dependiendo de la
versión de la placa base o del BIOS).
Una vez efectuado el arranque desde los medios de inicio, se iniciará la solución ESET Security. Como ESET
SysRescue sólo se utiliza en situaciones específicas, algunos módulos de protección y características del programa
presentes en la versión estándar de la solución ESET Security no son necesarios; la lista se limitará a la Exploración
del equipo, la Actualización y algunas secciones de la Configuración. La capacidad de actualizar la base de datos
de firmas de virus es la característica más importante de ESET SysRescue; por lo tanto, se recomienda actualizar el
programa antes de iniciar una exploración del equipo.
4.7.5.1 Utilización de ESET SysRescue
Si se supone que los equipos en la red están infectados por un virus que modifica los archivos ejecutables (.exe). La
solución ESET Security puede desinfectar todos los archivos infectados; el único que no puede desinfectarse ni en el
Modo seguro es explorer.exe. Esto sucede debido a que explorer.exe, como uno de los procesos esenciales de
Windows, se introduce en Modo seguro también. La solución ESET Security no podrá desempeñar ninguna acción
con el archivo y seguirá infectado.
En este caso, podría usar ESET SysRescue para solucionar el problema. ESET SysRescue no requiere ningún
componente del sistema operativo del host, y por lo tanto, puede procesar (desinfectar, eliminar) cualquier archivo
en el disco.
117
4.8 Opciones de la interfaz del usuario
Las opciones de configuración de ESET Mail Security permiten ajustar el entorno de trabajo conforme a sus
necesidades. Puede acceder a estas opciones de configuración desde la sección Interfaz del usuario en el árbol de
configuración avanzada de ESET Mail Security.
En la sección Elementos de la interfaz del usuario, la opción Modo avanzado les da a los usuarios la posibilidad de
cambiar al modo avanzado. El modo avanzado muestra opciones de configuración más detalladas y controles
adicionales de ESET Mail Security.
La opción Interfaz gráfica del usuario debe deshabilitarse si los elementos gráficos disminuyen el rendimiento del
equipo o provocan otros problemas. También es posible que sea necesario desactivar la interfaz gráfica para
usuarios con discapacidades visuales, ya que podría entrar en conflicto con aplicaciones especiales utilizadas para
leer el texto que aparece en pantalla.
Si desea deshabilitar la pantalla de bienvenida de ESET Mail Security, quite la selección de la opción Mostrar la
pantalla de bienvenida al inicio del programa.
En la parte superior de la ventana principal del programa ESET Mail Security, aparece un menú estándar que se
puede activar o deshabilitar de acuerdo con la opción Usar el menú estándar.
Si se habilita la opción Mostrar la descripción emergente, cuando el cursor pase sobre una opción, se mostrará
una breve descripción sobre ella. Si se activa la opción Seleccionar el elemento de control activo, el sistema
resaltará el elemento que se encuentre actualmente bajo el área activa del cursor del mouse. El elemento resaltado
se activará con un clic del mouse.
Para reducir o incrementar la velocidad de los efectos animados, seleccione la opción Usar controles animados y
mueva la barra de control deslizante Velocidad hacia la izquierda o derecha.
Si desea habilitar el uso de íconos animados para mostrar el progreso de diversas operaciones, seleccione la opción
Usar íconos animados para indicar el progreso. Para que el programa emita una señal de advertencia cuando
ocurre un suceso importante, seleccione la opción Usar señal sonora.
Las características de la Interfaz de usuario también incluyen la opción de proteger los parámetros de
configuración de ESET Mail Security por contraseña. Esta opción puede encontrarse en el submenú Protección de
la configuración, en Interfaz de usuario. Para proporcionarle a su sistema la máxima seguridad, es esencial que el
programa esté configurado correctamente. Las modificaciones no autorizadas pueden conllevar la pérdida de datos
importantes. Si desea establecer una contraseña para proteger el parámetro de configuración, haga clic en
118
Establecer contraseña...
La sección Configuración de alertas y notificaciones en la Interfaz de usuario permite configurar cómo ESET Mail
Security gestionará las alertas ante amenazas y las notificaciones del sistema.
El primer elemento es Mostrar alertas. Si deshabilita esta opción, se cancelarán todas las ventanas de alerta, lo
que es apropiado únicamente para una cantidad limitada de situaciones específicas. Para la mayoría de los
usuarios, se recomienda dejar esta opción en su configuración predeterminada (es decir, habilitada).
Para cerrar las ventanas emergentes automáticamente después de un período de tiempo determinado, seleccione
la opción Cerrar las casillas de mensajes automáticamente después de (seg.). Si no se cierran manualmente, las
ventanas de alerta se cerrarán en forma automática una vez transcurrido el período especificado.
Las notificaciones en el escritorio y los globos de sugerencias son solo informativos y no necesitan ni ofrecen
interacción con el usuario. Se muestran en el área de notificaciones en la esquina inferior derecha de la pantalla.
Para activar la visualización de notificaciones en el escritorio, seleccione la opción Mostrar notificaciones en el
escritorio. Se pueden modificar opciones con mayor nivel de detalle (como el tiempo de visualización de las
notificaciones y la transparencia de la ventana) haciendo clic en el botón Configurar notificaciones....
Para obtener una vista previa de los criterios de filtrado, haga clic en el botón Vista previa. Para configurar la
duración del tiempo de visualización de los globos de sugerencias, consulte la opción Mostrar globos de
sugerencias en la barra de tareas (durante seg.).
119
Haga clic en Configuración avanzada... para ingresar Alertas y notificación adicionales en la configuración, que
incluyen la opción Solo mostrar las notificaciones que requieren la interacción del usuario. Esta opción permite
activar o desactivar la visualización de alertas y notificaciones que no requieran la intervención del usuario
Seleccione Solo mostrar las notificaciones que requieren la interacción del usuario al ejecutar aplicaciones en
modo de pantalla completa para suprimir todas las notificaciones no interactivas. Desde el menú desplegable
Cantidad mínima de nivel de detalle de sucesos para mostrar puede seleccionar el nivel inicial de gravedad de
alertas y notificación que se mostrarán.
La última característica de esta sección permite especificar el destino de las notificaciones en un entorno con varios
usuarios. El campo En sistemas con varios usuarios, mostrar notificaciones en la pantalla del siguiente usuario
: permite definir quién recibirá las notificaciones importantes de ESET Mail Security. Normalmente, se tratará de un
administrador del sistema o de la red. Esta opción resulta especialmente útil para servidores de terminal, siempre y
cuando todas las notificaciones del sistema se envíen al administrador.
4.8.2 Deshabilitación de la interfaz gráfica del usuario en Terminal Server
Este capítulo describe cómo deshabilitar la interfaz gráfica del usuario de ESET Mail Security cuando se ejecuta en
Windows Terminal Server para sesiones de usuario.
Normalmente, la interfaz gráfica del usuario de ESET Mail Security se inicia cada vez que un usuario remoto se
registra en el servidor y crea una sesión de terminal. Por lo general, esto no es deseable en servidores Terminal
Server. Si desea desactivar la interfaz gráfica del usuario para sesiones de terminal, siga estos pasos:
1. Ejecute regedit.exe
2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Haga un clic derecho en el valor egui y seleccione Modificar...
4. Agregue el modificador /terminal al final de la cadena de texto existente
Abajo se muestra un ejemplo de cómo deben ser los datos del valor egui:
"C:\Archivos de programa\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal
Si desea revertir esta configuración y habilitar el inicio automático de la interfaz gráfica del usuario de ESET Mail
Security, quite el modificador /terminal . Para abrir el valor de registro de egui, repita los pasos 1. a 3.
120
4.9 eShell
eShell (abreviación de Shell de ESET) es una interfaz de línea de comandos para ESET Mail Security. Constituye una
alternativa a la interfaz gráfica de usuario (GUI). eShell cuenta con todas las características y opciones que la GUI
normalmente le proporciona al usuario. eShell permite configurar y administrar el programa completo sin
necesidad de utilizar la GUI.
Además de todas las funciones y funcionalidades disponibles en la GUI, también ofrece la opción de automatizar
tareas mediante la ejecución de scripts para configurar, modificar o realizar una acción. Asimismo, eShell puede
resultar útil para quienes prefieren utilizar la línea de comandos en lugar de la GUI.
NOTA: Puede encontrar otro manual de eShell disponible para su descarga aquí. Ofrece una lista de todos los
comandos con sintaxis y descripciones.
Esta sección explica cómo navegar y usar eShell y también muestra la lista de todos los comandos con la
descripción de su uso y su función.
eShell se puede ejecutar en dos modos:
Modo interactivo: es útil cuando desea trabajar con eShell (no solamente ejecutar un único comando), por
ejemplo, para aquellas tareas como cambiar la configuración, visualizar registros, etc. También puede usar el
modo interactivo si aún no se familiarizó con los comandos. El modo interactivo hace que el desplazamiento por
eShell sea más sencillo. Además, muestra los comandos disponibles que puede usar dentro de un contexto
determinado.
Comando simple/modo de procesamiento por lotes: puede usar este modo si solamente necesita ingresar un
comando sin ingresar al modo interactivo de eShell. Esto puede realizarlo desde el Símbolo de comandos de
Windows tras escribir eshell con los parámetros apropiados. Por ejemplo:
eshell set av document status enabled
NOTA: Para ejecutar los comandos de eShell desde el Símbolo de comandos de Windows o para ejecutar archivos
de procesamiento por lotes, antes es necesario que esta función esté habilitada (el comando set general access
batch always se ejecutará en el modo interactivo). Para obtener más información sobre cómo establecer el comando
de procesamiento por lotes, haga clic aquí 125 .
Para ingresar al modo interactivo en eShell, puede usar una de los siguientes dos métodos:
Desde el menú de inicio de Windows: Inicio > Todos los programas > ESET > ESET File Security > Shell de ESET
Desde el Símbolo de comandos de Windows, tras escribir eshell y presionar la tecla Entrar.
Al ejecutar eShell en modo interactivo por primera vez, se mostrará la pantalla de primera vista.
121
Muestra algunos ejemplos básicos sobre cómo usar eShell con Sintaxis, Prefijo, Ruta del comando, Formas
abreviadas, Alias, etc. Básicamente, consiste en una guía rápida para usar eShell.
NOTA: Si en el futuro desea mostrar la pantalla de primera vista, escriba el comando guide .
NOTA: Los comandos no distinguen mayúsculas de minúsculas; puede utilizar letras en mayúscula o en minúscula
y el comando igualmente se ejecutará.
4.9.1 Uso
Sintaxis
Los comandos deben formatearse con la sintaxis correcta para que funcionen y pueden estar compuesto por
prefijos, contextos, argumentos, opciones, etc. Esta es la sintaxis general que se utiliza en eShell:
[<prefijo>] [<ruta del comando>] <comando> [<argumentos>]
Ejemplo (para activar la protección de documentos):
SET AV DOCUMENT STATUS ENABLED
SET : un prefijo
AV DOCUMENT : ruta a un comando en particular, un contexto al cual pertenece dicho comando
STATUS : el comando en sí
ENABLED : un argumento para el comando
Al usar HELP o ? con un comando, se mostrará la sintaxis para ese comando específico. Por ejemplo, el prefijo
CLEANLEVEL HELP mostrará la sintaxis para el comando CLEANLEVEL :
SINTAXIS:
[get] | restore cleanlevel
set cleanlevel none | normal | strict
Como puede ver, [get] está entre paréntesis. Esto indica que el prefijo get es el predeterminado para el comando
cleanlevel . Significa que, al ejecutar cleanlevel sin especificar ningún prefijo, en realidad se usará el prefijo
predeterminado (en este caso, get cleanlevel). El uso de comandos sin prefijo ahorra tiempo de escritura.
Generalmente, get es el prefijo predeterminado para la mayoría de los comandos, pero asegurarse cuál es el
predeterminado para que funcione con ese comando en particular y que es exactamente lo que usted desea
ejecutar.
Prefijo/operación
Un prefijo es una operación. El prefijo GET le dará información sobre cómo está configurada una característica
determinada de ESET Mail Security, o le mostrará un estado ( GET AV STATUS le mostrará el estado actual de
protección). El prefijo SET configurará la funcionalidad o cambiará su estado (SET AV STATUS ENABLED activará la
protección).
Estos son los prefijos que eShell le permite usar. Un comando puede soportar, o no, alguno de los siguientes
prefijos:
GET : devuelve la configuración o el estado actual.
SET : establece el valor o el estado.
SELECT : selecciona un elemento.
ADD : agrega un elemento.
REMOVE : quita un elemento.
CLEAR : borra todos los elementos o archivos.
START : inicia una acción.
STOP : detiene una acción.
PAUSE : pone una acción en pausa.
RESUME : reanuda una acción.
RESTORE : restaura la configuración predeterminada, el objeto o el archivo.
SEND : envía un objeto o un archivo.
IMPORT : importa desde un archivo.
EXPORT : exporta a un archivo.
Los prefijos como GET y SET se usan con muchos comandos; pero algunos comandos (como EXIT) no usan prefijos.
122
Ruta del comando/contexto
Los comandos se ubican en contextos que conforman una estructura con forma de árbol. El nivel superior del árbol
es "root". Cuando ejecuta eShell, está en el nivel root:
eShell>
Puede ejecutar un comando desde allí o ingresar el nombre del contexto para navegar dentro del árbol. Por ejemplo,
al ingresar el contexto TOOLS , mostrará una lista de todos los comandos y subcontextos que están disponibles desde
ese nivel.
Los elementos amarillos son los comandos que se pueden ejecutar y los grises son los subcontextos que se pueden
ingresar. Un subcontexto contiene más comandos.
Si necesita volver a un nivel superior, use .. (dos puntos seguidos). Por ejemplo, si usted se encuentra aquí:
eShell av options>
escriba .. y lo llevará a un nivel superior, es decir, a:
eShell av>
Si desea volver a root desde eShell av options> (que está dos niveles más abajo que root), simplemente escriba
.. .. (dos puntos seguidos y dos puntos seguidos separados por un espacio). De esta manera, subirá dos niveles,
que en este caso es root. Puede utilizar este método independientemente de la profundidad del árbol del contexto
en la que se encuentre. Use la cantidad apropiada de .. correspondiente al nivel al que desee llegar.
La ruta es relativa al contexto actual. Si el comando está incluido en el contexto actual, no ingrese una ruta. Por
ejemplo, para ejecutar GET AV STATUS ingrese:
GET AV STATUS : si usted está en el nivel root (la línea de comandos muestra eShell>)
GET STATUS : si usted está en el contexto AV (la línea de comandos muestra eShell av>)
.. GET STATUS : si usted está en el contexto AV OPTIONS (la línea de comandos muestra eShell av options>)
Argumento
Un argumento es una acción que se realiza para un comando en particular. Por ejemplo, el comando CLEANLEVEL
puede usarse con los siguientes argumentos:
none : no desinfectar
normal : desinfección estándar
strict : desinfección estricta
Otro ejemplo son los argumentos ENABLED o DISABLED, que se usan para habilitar o deshabilitar ciertas características
o funcionalidades.
Forma simplificada/comandos abreviados
eShell permite abreviar los contextos, los comandos y los argumentos (siempre y cuando el argumento sea un
modificador o una opción alternativa). No es posible abreviar un prefijo o un argumento que sea un valor concreto,
como un número, un nombre o una ruta.
123
Ejemplos de la forma abreviada:
set status enabled
=> set stat en
add av exclusions C:\path\file.ext => add av exc C:\path\file.ext
En caso de que dos comandos o contextos comiencen con las mismas letras (por ejemplo, ABOUT y AV, y usted escribe
A como un comando abreviado), eShell no podrá decidir cuál de estos dos comandos desea ejecutar. Aparecerá un
mensaje de error y la lista de los comandos que comienzan con "A", desde donde usted podrá elegir uno.
eShell>a
El siguiente comando no es único: a
Los siguientes comandos están disponibles en este contexto:
ABOUT: muestra información sobre el programa.
AV: cambia al contexto del av.
Al agregar una o más letras (por ej., AB en lugar de solamente A) ) eShell ejecutará el comando ABOUT , ya que ahora es
único.
NOTA: Para estar seguro de que el comando se ejecute como lo necesita, es recomendable no abreviar los
comandos, los argumentos, etc. y usar la forma completa. De esta manera, se ejecutará exactamente como usted
lo requiere y se evitarán errores no deseados. Es recomendable en particular para archivos o scripts de
procesamiento por lotes.
Alias
Un alias es un nombre alternativo que se puede utilizar para ejecutar un comando (siempre y cuando el comando
tenga un alias asignado). Hay algunos alias predeterminados:
(global) help - ?
(global) close : exit
(global) quit : exit
(global) bye : exit
warnlog : tools log events
virlog : tools log detections
"(global)" significa que el comando puede usarse en cualquier parte sin importar el contexto actual. Un comando
puede tener varios alias asignados, por ejemplo, el comando EXIT tiene el alias CLOSE, QUIT y BYE. Cuando desea salir
de eShell, puede usar el comando EXIT o cualquiera de sus alias. Alias VIRLOG es un alias para el comando DETECTIONS ,
que se ubica en el contexto TOOLS LOG . De esta forma, el comando DETECTIONS está disponible desde el contexto
ROOT , por lo que es más fácil acceder a este (no es necesario ingresar TOOLS y luego el contexto LOG para ejecutarlo
directamente desde ROOT).
eShell le permite definir su propio alias.
Comandos protegidos
Algunos comandos están protegidos y únicamente se pueden ejecutar luego de haber ingresado una contraseña.
Guía
Cuando ejecuta el comando GUIDE , mostrará la pantalla de "primera vista" donde se explica cómo usar eShell. El
comando está disponible desde el contexto ROOT (eShell>).
Ayuda
Cuando el comando HELP se usa solo, muestra una lista de todos los comandos disponibles con los prefijos así como
los subcontextos del contexto actual. También proporciona una breve descripción para cada comando/
subcontexto. Cuando usa el comando HELP como un argumento con un comando en particular (por ej., CLEANLEVEL
HELP), dará detalles para ese comando. Mostrará la SINTAXIS, las OPERACIONES, los ARGUMENTOS y los ALIAS
para el comando con una breve descripción de cada uno.
Historial de comandos
eShell mantiene un historial de los comandos ejecutados previamente. Solo se aplica a los comandos de la sesión
interactiva de eShell actual. Cuando haya salido de eShell, el historial de comandos quedará vacío. Utilice las flechas
Arriba y Abajo del teclado para desplazarse por el historial. Al encontrar el comando que buscaba, puede ejecutarlo
nuevamente o modificarlo sin necesidad de escribir el comando completo desde el comienzo.
CLS/Borrar los datos de la pantalla
El comando CLS puede usarse para borrar los datos de la pantalla. Funciona de la misma manera que con el Símbolo
de comandos de Windows o interfaces de línea de comandos similares.
124
EXIT/CLOSE/QUIT/BYE
Para cerrar o salir de eShell, puede usar cualquiera de estos comandos (EXIT, CLOSE, QUIT o BYE).
4.9.2 Comandos
Esta sección enumera algunos comandos eShell básicos con descripciones como ejemplo. Para obtener una lista
completa de comandos, consulte el manual de eShell que puede descargar aquí.
Comandos incluidos en el contexto ROOT:
ABOUT
Presenta una lista informativa sobre el programa. Muestra el nombre del producto instalado, el número de versión,
los componentes instalados (incluido el número de versión de cada componente) y la información básica sobre el
servidor y el sistema operativo en el que se está ejecutando ESET Mail Security.
RUTA CONTEXTUAL:
root
BATCH
Inicia eShell en el modo de procesamiento por lotes. Resulta muy útil al ejecutar archivos o scripts de
procesamiento por lotes y se recomienda su uso para los archivos de procesamiento por lotes. Escriba START BATCH
como primer comando en el archivo o script de procesamiento por lotes para habilitar el modo de procesamiento
por lotes. Cuando habilita esta función, no se solicitará ninguna entrada interactiva (por ej., el ingreso de una
contraseña) y los argumentos faltantes se reemplazan por los predeterminados. Esto asegura que el archivo de
procesamiento por lotes no se detenga en la mitad debido a que eShell está esperando una acción por parte del
usuario. De esta manera, el archivo de procesamiento por lotes debería ejecutarse sin parar (a menos que haya un
error o que los comandos del archivo sean incorrectos).
RUTA CONTEXTUAL:
root
SINTAXIS:
[start] batch
OPERACIONES:
start : inicia eShell en el modo de procesamiento por lotes.
RUTA CONTEXTUAL:
root
EJEMPLOS:
start batch : inicia eShell en el modo de procesamiento por lotes.
GUIDE
Muestra la pantalla de primera vista.
RUTA CONTEXTUAL:
root
PASSWORD
Normalmente, para ejecutar comandos protegidos por contraseña, el programa le solicita ingresar una contraseña
por razones de seguridad. Esto se aplica a los comandos que deshabilitan la protección antivirus y a los que pueden
afectar el funcionamiento de ESET Mail Security. Cada vez que ejecute este tipo de comandos, se le solicitará que
ingrese una contraseña. Puede definir la contraseña para evitar tener que ingresar la contraseña todas las veces.
eShell la recordará y se usará en forma automática cuando se ejecute un comando protegido por contraseña. De
esta forma, usted no necesitará ingresar la contraseña todo el tiempo.
125
NOTA: La contraseña definida funciona únicamente para la sesión interactiva actual de eShell. Al salir de eShell, la
contraseña definida perderá su vigencia. Cuando vuelva a iniciar eShell, deberá definir nuevamente la contraseña.
Esta contraseña definida también es muy útil cuando se ejecutan archivos o scripts de procesamiento por lotes.
Aquí se muestra un ejemplo de un archivo de procesamiento por lotes de ese tipo:
eshell start batch "&" set password plain <yourpassword> "&" set status disabled
Este comando concatenado inicia el modo de procesamiento por lotes, define la contraseña que se va a usar y
deshabilita la protección.
RUTA CONTEXTUAL:
root
SINTAXIS:
[get] | restore password
set password [plain <password>]
OPERACIONES:
get : mostrar la contraseña
set : establecer o borrar la contraseña
restore : borrar la contraseña
ARGUMENTOS:
plain : cambiar al ingreso de la contraseña como un parámetro
password : contraseña
EJEMPLOS:
set password plain <yourpassword> : establece la contraseña que se usará para los comandos protegidos por
contraseña.
restore password : borra la contraseña.
EJEMPLOS:
get password : use este comando para ver si la contraseña está configurada o no (se indica mediante una estrella "*",
pero no muestra la contraseña), cuando no hay ninguna estrella visible, significa que la contraseña no está
establecida.
set password plain <yourpassword> : use este comando para establecer la contraseña definida.
restore password : este comando borra la contraseña definida.
STATUS
Muestra información sobre el estado de protección actual de ESET Mail Security (similar a la interfaz gráfica de
usuario).
RUTA CONTEXTUAL:
root
SINTAXIS:
[get] | restore status
set status disabled | enabled
OPERACIONES:
get : mostrar el estado de la protección antivirus
set : deshabilitar/habilitar la protección antivirus
restore : restaurar la configuración predeterminada
126
ARGUMENTOS:
disabled : deshabilitar la protección antivirus
enabled : habilitar la protección antivirus
EJEMPLOS:
get status : muestra el estado de protección actual.
set status disabled : deshabilita la protección.
restore status : restaura la protección a la configuración predeterminada (habilitada).
VIRLOG
Es un alias del comando DETECTIONS . Es útil cuando se necesita ver información sobre las infiltraciones detectadas.
WARNLOG
Es un alias del comando EVENTS . Es útil cuando se necesita ver información sobre diversos sucesos.
4.10 Importación y exportación de una configuración
La importación y exportación de configuraciones de ESET Mail Security se encuentran disponibles en Configuración
al hacer clic en Importar y exportar configuraciones.
Tanto la función de importar como la de exportar usan el tipo de archivo .xml. La importación y la exportación
resultan útiles cuando es necesario realizar una copia de seguridad con la configuración actual de ESET Mail
Security para poder utilizarla más tarde. La opción para exportar la configuración también es conveniente para
usuarios que desean usar su configuración preferida de ESET Mail Security en varios sistemas: pueden importar
fácilmente un archivo .xml para transferir las opciones de configuración deseadas.
4.11 ThreatSense.Net
El sistema de alerta temprana ThreatSense.Net mantiene a ESET informado en forma instantánea y continua sobre
las nuevas infiltraciones. El sistema bidireccional de alerta temprana ThreatSense.Net tiene un único propósito:
mejorar la protección que le ofrecemos al usuario. La mejor forma de asegurarnos de ver las nuevas amenazas ni
bien aparecen es establecer un "vínculo" con la mayor cantidad posible de clientes, que cumplirán el papel de
exploradores de amenazas. Hay dos opciones:
1. Decidir que no desea habilitar el sistema de alerta temprana ThreatSense.Net. Se mantendrán las mismas
funciones del programa y usted seguirá recibiendo la mejor protección que le podemos ofrecer.
2. Configurar el sistema de alerta temprana ThreatSense.Net para enviar información anónima sobre nuevas
amenazas y sobre el contexto donde se encuentra dicho código. Es posible enviar este archivo a ESET para su
análisis detallado. El estudio de estos códigos ayudará a ESET a actualizar su capacidad de detección de amenazas.
El sistema de alerta temprana ThreatSense.Net recopilará información sobre el equipo en relación con las nuevas
amenazas detectadas. Dicha información puede incluir una muestra o copia del archivo donde apareció la
amenaza, la ruta a ese archivo, el nombre del archivo, la fecha y la hora, el proceso mediante el cual apareció la
amenaza e información sobre el sistema operativo del equipo.
Aunque cabe la posibilidad de que ocasionalmente este proceso revele cierta información acerca del usuario o del
127
equipo (nombres de usuario en la ruta a un directorio, etc.) al laboratorio de amenazas de ESET, la información no
será utilizada BAJO NINGUNA CIRCUNSTANCIA con otro propósito que no sea para ayudar a responder de
inmediato a nuevas amenazas.
En forma predeterminada, ESET Mail Security está configurado para preguntar antes de enviar archivos
sospechosos al laboratorio de amenazas de ESET para su análisis detallado. Los archivos con ciertas extensiones,
como .doc o .xls, siempre se excluyen. También puede agregar otras extensiones si hay archivos específicos que
usted o su empresa prefieren no enviar.
Puede acceder a la configuración de ThreatSense.Net desde el árbol de configuración avanzada en Herramientas >
ThreatSense.Net. Seleccione la opción Habilitar el sistema de advertencia temprana ThreatSense para activarlo
y luego haga clic en el botón Configuración avanzada....
128
4.11.1 Archivos sospechosos
La opción Archivos sospechosos permite configurar la manera en que las amenazas se envían al laboratorio de
amenazas de ESET para su análisis.
Si encuentra un archivo sospechoso, puede enviarlo a nuestro laboratorio de amenazas para su análisis. Si se trata
de una aplicación maliciosa, se agregará su detección en la siguiente actualización de firmas de virus.
Se puede configurar el envío de archivos para que se realice en forma automática o seleccionar la opción Preguntar
antes de enviar si desea conocer qué archivos se prepararon para enviar para su análisis, y confirmar el envío.
Si no desea que se envíe ningún archivo, seleccione la opción No enviar para su análisis. Si selecciona no enviar los
archivos para su análisis, no afectará el envío de la información estadística, lo que se configura en una sección
aparte (ver la sección Estadísticas 130 ).
Cuándo enviar: de forma predeterminada, se selecciona la opción Lo antes posible para enviar los archivos
sospechosos al laboratorio de amenazas de ESET. Es la opción recomendada si hay una conexión permanente a
Internet disponible y los archivos sospechosos se pueden enviar sin demoras. Seleccione la opción Durante la
actualización para que los archivos sospechosos se carguen a ThreatSense.Net durante la siguiente actualización.
Filtro de exclusión: el filtro de exclusión permite excluir ciertos archivos o carpetas del envío. Por ejemplo, quizá
resulte útil excluir archivos que puedan contener información confidencial, como documentos u hojas de cálculo.
Los tipos de archivos más comunes se excluyen en forma predeterminada (.doc, etc.). Si lo desea, puede agregar
archivos a la lista de archivos excluidos.
Correo electrónico de contacto: puede enviar su Correo electrónico de contacto (opcional) junto con los
archivos sospechosos, así podrá utilizarse para contactarlo en caso de que se requiera información adicional para el
análisis. Recuerde que no recibirá ninguna respuesta de ESET a menos que se necesite información adicional.
129
4.11.2 Estadísticas
El sistema de alerta temprana ThreatSense.Net recopila información anónima sobre el equipo en relación con las
nuevas amenazas detectadas. Esta información puede incluir el nombre de la infiltración, la fecha y la hora en que
fue detectada, la versión del producto de seguridad de ESET, la versión del sistema operativo y la configuración de la
ubicación. Normalmente, las estadísticas se envían a los servidores de ESET una o dos veces por día.
A continuación se muestra un ejemplo de un paquete estadístico enviado:
#
#
#
#
#
#
#
#
#
utc_time=2005-04-14 07:21:28
country="Argentina"
language="ESPAÑOL"
osver=5.1.2600 NT
engine=5417
components=2.50.2
moduleid=0x4e4f4d41
filesize=28368
filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1
Cuándo enviar: permite definir cuándo se enviará la información estadística. Si elige enviar Lo antes posible, la
información estadística se enviará de inmediato tras su creación. Esta configuración es apropiada si existe una
conexión permanente a Internet. Si se encuentra habilitada la opción Durante la actualización, toda la
información estadística se enviará en forma masiva durante la siguiente actualización.
130
4.11.3 Envío
El usuario tiene la posibilidad de seleccionar la manera en que los archivos y la información estadística se enviarán a
ESET. Seleccione la opción Por medio de ESET Remote Administrator o directamente a ESET para que se envíen
los archivos y las estadísticas por cualquier medio disponible. Seleccione la opción Por medio de ESET Remote
Administrator para enviar los archivos y las estadísticas al servidor de administración remota, que luego se
asegurará de que se reenvíen al laboratorio de amenazas de ESET. Si se encuentra seleccionada la opción
Directamente a ESET, todos los archivos sospechosos y la información estadística se enviarán al laboratorio de
virus de ESET directamente desde el programa.
Cuando hay archivos pendientes para su envío, el botón Enviar ahora estará activo. Haga clic en el botón para
enviar los archivos y la información estadística de inmediato.
Seleccione la opción Habilitar registro para crear un registro con los archivos y la información estadística de los
envíos.
131
4.12 Administración remota
El administrador remoto ESET Remote Administrator (ERA) es una poderosa herramienta para gestionar las
políticas de seguridad y obtener una visión general de la seguridad global dentro de una red. Resulta especialmente
útil al aplicarla en grandes redes. ERA no solo proporciona un incremento en el nivel de seguridad, sino que también
permite la gestión sencilla de ESET Mail Security en las estaciones de trabajo cliente.
Las opciones de configuración de la administración remota se encuentran disponibles en la ventana principal del
programa ESET Mail Security. Haga clic en Configuración > Ingresar al árbol completo de configuración
avanzada... > Varios > Administración remota.
Activar la administración remota seleccionando la opción Conectarse al servidor ESET de administración remota
. A continuación, puede acceder a las demás opciones detalladas abajo:
Intervalo entre conexiones al servidor (min.): Esta opción establece la frecuencia con que ESET Mail Security se
conectará al ERA Server. Si esta opción está configurada en 0, se enviará la información cada 5 segundos.
Dirección del servidor: Dirección de red del servidor donde está instalado el ERA Server.
Puerto: Este campo contiene un puerto de servidor predefinido utilizado para la conexión. Se recomienda
mantener la configuración del puerto predeterminada en 2222
El servidor de administración remota requiere autenticación: Permite ingresar una contraseña para
conectarse al ERA Server, si es necesario.
Haga clic en Aceptar para confirmar los cambios y aplicar las configuraciones. ESET Mail Security usará estas
configuraciones para conectarse con el Servidor ERA.
132
4.13 Licencias
La sección Licencias permite administrar las claves de licencia para ESET Mail Security y otros productos de ESET,
como ESET Mail Security, etc. Luego de la adquisición, las claves de licencia se distribuyen junto con el nombre de
usuario y la contraseña correspondientes. Para Agregar/Eliminar una clave de licencia, haga clic en el botón
correspondiente de la ventana de administración de licencias. Puede acceder al administrador de licencias desde el
árbol de configuración avanzada en Varios > Licencias.
La clave de licencia es un archivo de texto que contiene información acerca del producto adquirido: el propietario, la
cantidad de licencias y la fecha de vencimiento.
La ventana del administrador de licencias permite cargar y visualizar el contenido de la clave de licencia mediante el
botón Agregar...; la información incluida se muestra en el administrador. Para eliminar los archivos de licencia de la
lista, haga clic en Quitar.
Si una clave de licencia está vencida y desea adquirir una renovación, haga clic en el botón Pedir...; será redirigido a
nuestra tienda en línea.
133
5. Glosario
5.1 Tipos de infiltración
Una infiltración es un programa con códigos maliciosos que intenta ingresar al equipo del usuario y/o dañarlo.
5.1.1 Virus
Un virus informático es una infiltración que daña los archivos existentes en el equipo. Se denominaron así por los
virus biológicos, ya que utilizan técnicas similares para propagarse desde un equipo a otro.
Los virus informáticos atacan principalmente a los archivos ejecutables y los documentos. Para replicarse, el virus
adjunta su “cuerpo” al final del archivo de destino. En breve, así es cómo funciona el virus de un equipo: luego de la
ejecución del archivo infectado, el virus se activa (antes de la aplicación original) y desempeña la tarea predefinida.
Recién cuando termina de hacerlo, permite que se ejecute la aplicación original. Un virus no puede infectar un
equipo a menos que un usuario, ya sea en forma accidental o deliberada, ejecute o abra el programa malicioso.
Los virus informáticos pueden variar en su objetivo y gravedad. Algunos son extremadamente peligrosos debido a
su capacidad de eliminar archivos del disco duro en forma deliberada. Por otra parte, otros no provocan ningún
daño: solo sirven para molestar al usuario y demostrar las habilidades técnicas de sus creadores.
Es importante destacar que los virus (al compararlos con los troyanos o los spyware) cada vez son menos
frecuentes, ya que los autores de programas maliciosos no los encuentran comercialmente atrayentes. Además, el
término “virus” se suele utilizar de manera incorrecta para abarcar todos los tipos de infiltraciones. El uso indebido
del término se está superando gradualmente y se lo está reemplazando por el nuevo término, más apropiado,
“malware” (programa malicioso).
Si su equipo está infectado con un virus, será necesario restaurar los archivos infectados a su estado original, es
decir, desinfectarlos mediante un programa antivirus.
Algunos ejemplos de virus son: OneHalf, Tenga y Yankee Doodle.
5.1.2 Gusanos
Un gusano informático es un programa que contiene códigos maliciosos que atacan a los equipos host y se
propagan a través de una red. La diferencia básica entre un virus y un gusano es que los gusanos tienen la capacidad
de replicarse y viajar por sí mismos; no dependen de archivos host (o de sectores de inicio). Los gusanos se propagan
por medio de mensajes de correo electrónico a la lista de contactos del usuario o aprovechan vulnerabilidades de
seguridad en aplicaciones de red.
Como consecuencia, los gusanos son mucho más viables que los virus informáticos. Debido a la alta disponibilidad
de Internet, pueden propagarse alrededor del mundo en cuestión de horas e incluso minutos desde su lanzamiento.
Esta capacidad de replicarse en forma independiente y rápida los hace más peligrosos que otros tipos de malware.
Un gusano activado en un sistema puede provocar una serie de inconvenientes: eliminar archivos, afectar
perjudicialmente el rendimiento del sistema o incluso desactivar programas. La naturaleza del gusano informático
le permite servir de “medio de transporte” para otros tipos de infiltraciones.
Si su equipo está infectado con un gusano, se recomienda eliminar los archivos infectados, ya que probablemente
contengan códigos maliciosos.
Algunos ejemplos de gusanos conocidos son:: Lovsan/Blaster, Stration/Warezov, Bagle y Netsky.
134
5.1.3 Troyanos
Históricamente, los troyanos (o caballos de Troya) informáticos se definieron como una clase de infiltración que
intenta pasar por un programa útil y engañar a los usuarios para que los dejen ejecutarse. Sin embargo, es
importante aclarar que esto era cierto para los troyanos en el pasado; hoy en día ya no tienen la necesidad de
disfrazarse. Su único propósito es infiltrarse lo más fácilmente posible y cumplir sus objetivos maliciosos. "Troyano”
se convirtió en un término muy general para describir cualquier infiltración que no entre en ninguna otra
clasificación específica.
Como se trata de una categoría muy amplia, a menudo se divide en muchas subcategorías:
Descargador: es un programa malicioso con capacidad de descargar otras infiltraciones desde Internet
Lanzador: es un tipo de troyano diseñado para lanzar otros tipos de malware a equipos expuestos
Programa de puerta trasera: es una aplicación que se comunica con atacantes remotos, lo que les permite
obtener acceso a un sistema y controlarlo
Registrador de pulsaciones: es un programa que registra cada pulsación que el usuario hace en el teclado y
envía la información a atacantes remotos
Marcador: es un programa diseñado para conectar el equipo a números con tarifas más elevadas de lo normal.
Resulta casi imposible que el usuario advierta que se creó una nueva conexión. Los marcadores solo pueden
perjudicar a los usuarios que se conectan a Internet a través de un módem de discado telefónico, lo que está
dejando de ser habitual.
Los troyanos por lo general adoptan la forma de archivos ejecutables con extensión .exe. Si un archivo de su equipo
se identifica como un troyano, se aconseja eliminarlo, ya que lo más probable es que contenga códigos maliciosos.
Algunos ejemplos de troyanos conocidos son: NetBus, Trojandownloader. Small.ZL, Slapper
5.1.4 Rootkits
Los rootkits son programas maliciosos que les garantizan a los atacantes por Internet acceso ilimitado a un
sistema, a la vez que ocultan su presencia. Los rootkits, luego de acceder al sistema (usualmente explotando la
vulnerabilidad de un sistema), usan las funciones en el sistema operativo para evitar la detección del programa
antivirus: ocultan procesos, archivos y datos del registro de Windows, etc. Por esta razón, es casi imposible
detectarlos por medio de técnicas comunes de evaluación.
Existen dos niveles de detección para prevenir rootkits:
1) Cuando intentan acceder al sistema. Todavía no están presentes, por lo tanto están inactivos. La mayoría de los
sistemas antivirus pueden eliminar rootkits en este nivel (asumiendo que realmente detectan dichos archivos
como infectados).
2) Cuando se ocultan de la evaluación común, los usuarios de ESET Mail Security tienen la ventaja de contar con la
tecnología Anti-Stealth, que también es capaz de detectar y eliminar rootkits activos.
5.1.5 Adware
Adware es el término abreviado correspondiente a un programa relacionado con la publicidad. Los programas que
muestran material publicitario se incluyen en esta categoría. Las aplicaciones de adware suelen abrir
automáticamente una nueva ventana emergente con avisos publicitarios en un navegador de Internet o cambian la
página de inicio del navegador. Con frecuencia, el adware forma parte de un paquete junto con programas de
distribución gratuita, lo que les permite a sus creadores cubrir los gastos del desarrollo de las aplicaciones
(normalmente útiles).
El adware no constituye un peligro en sí mismo: solo puede llegar a molestar a los usuarios con las publicidades. El
peligro reside en el hecho de que el adware también puede realizar funciones de seguimiento (al igual que el
spyware).
Si decide utilizar un producto de distribución gratuita, preste especial atención durante su instalación. Lo más
probable es que el programa de instalación le informe acerca de la instalación de un programa de adware adicional.
En muchas ocasiones se le permitirá cancelar esa opción e instalar el programa sin el adware.
Sin embargo, otros programas no se instalarán sin el adware o sus funciones serán limitadas. Esto significa que el
135
adware a menudo puede obtener acceso al sistema en forma “legal”, ya que los usuarios dieron su consentimiento
para instalarlo. En este caso, es mejor prevenir que lamentarse luego. Si se detecta un archivo como adware en el
equipo, se recomienda eliminarlo, ya que existe una gran probabilidad de que contenga códigos maliciosos.
5.1.6 Spyware
Esta categoría abarca todas las aplicaciones que envían información privada sin el consentimiento o el
conocimiento del usuario. El spyware utiliza funciones de seguimiento para enviar diversos datos estadísticos, tales
como una lista de sitios Web visitados, direcciones de correo electrónico de la lista de contactos del usuario o una
lista de las pulsaciones del teclado registradas.
Los creadores del spyware afirman que el propósito de estas técnicas es averiguar más sobre las necesidades y los
intereses de los usuarios y mejorar la orientación de las publicidades. El problema es que no existe una clara
distinción entre las aplicaciones útiles y las maliciosas, y nadie puede asegurar que la información recuperada no se
usará inadecuadamente. Los datos obtenidos por las aplicaciones spyware pueden contener códigos de seguridad,
números de identificación PIN, números de cuentas bancarias, etc. El spyware suele estar incluido en un paquete
junto a versiones gratuitas de programas del mismo creador con el objetivo de generar ingresos o como un
incentivo para que el usuario luego adquiera el programa. Con frecuencia, se les informa a los usuarios sobre la
presencia del spyware durante la instalación del programa para incentivarlos a reemplazar el producto por la
versión paga, que no incluye spyware.
Algunos ejemplos de productos de distribución gratuita conocidos que incluyen spyware son las aplicaciones de
cliente de redes P2P (redes de pares). Spyfalcon o Spy Sheriff (entre muchas otras) pertenecen a una subcategoría
específica de spyware: aparentan ser programas antispyware, pero en realidad ellos mismos son programas
spyware.
Si se detecta un archivo como spyware en el equipo, se recomienda eliminarlo, ya que existe una gran probabilidad
de que contenga códigos maliciosos.
5.1.7 Aplicaciones potencialmente no seguras
Existen muchos programas legítimos cuya función es simplificar la gestión de los equipos en red. No obstante, en
las manos equivocadas, pueden ser utilizados con propósitos maliciosos. ESET Mail Security proporciona la opción
de detectar esas amenazas.
"Aplicaciones potencialmente no seguras" es la clasificación usada para programas comerciales y legítimos. Esta
clasificación incluye programas como herramientas de acceso remoto, aplicaciones para adivinar contraseñas y
registradores de pulsaciones 135 (programas que registran las pulsaciones del teclado por parte del usuario).
Si descubre que hay una aplicación potencialmente no segura presente y activa en su equipo (y que usted no
instaló), consulte a su administrador de red o elimine la aplicación.
5.1.8 Aplicaciones potencialmente no deseadas
Las aplicaciones potencialmente no deseadas no tienen necesariamente la intención de ser maliciosas, pero pueden
afectar el rendimiento de su equipo en forma negativa. Dichas aplicaciones suelen requerir el consentimiento del
usuario para su instalación. Si están presentes en el equipo, el sistema se comporta de manera diferente (al
compararlo con el estado antes de su instalación). Los cambios más significativos son:
Apertura de nuevas ventanas nunca antes vistas
Activación y ejecución de procesos ocultos
Incremento en el uso de los recursos del sistema
Cambios en los resultados de las búsquedas
La aplicación establece comunicaciones con servidores remotos.
136
5.2 Correo electrónico
El correo electrónico (o email) es una forma moderna de comunicación que tiene muchas ventajas. Es flexible,
rápido y directo, y desempeñó un papel crucial en la proliferación de Internet a principios de la década de 1990.
Lamentablemente, debido a su alto grado de anonimato, el correo electrónico e Internet dejan un margen para las
actividades ilegales como el envío de spam. El spam incluye avisos no solicitados, mensajes falsos y la proliferación
de software malicioso (o malware). La desventaja y el peligro para el usuario se ven incrementados por el hecho de
que el costo de enviar spam es mínimo y de que los creadores de spam cuentan con muchas herramientas para
obtener nuevas direcciones de correo electrónico. Por otro lado, el volumen y la diversidad del spam lo hacen muy
difícil de controlar. Cuanto más se use una dirección de correo electrónico, hay más probabilidades de que termine
en la base de datos de un motor de spam. Algunos consejos para la prevención:
Si es posible, no publique su dirección de correo electrónico en Internet
Solo dé su dirección de correo electrónico a personas de confianza
Si es posible, no use alias comunes; con alias más complejos, hay menos probabilidades de realizar un
seguimiento
No conteste los mensajes de spam que ya llegaron a su buzón de entrada
Sea precavido al completar formularios de Internet; tenga un cuidado especial con opciones como "Sí, deseo
recibir información."
Use direcciones de correo electrónico "especializadas"; por ejemplo, una para el trabajo, otra para comunicarse
con las amistades, etc.
De cuando en cuando, cambie su dirección de correo electrónico
Use una solución antispam
5.2.1 Anuncios
Los anuncios por Internet constituyen una de las formas de publicidad de crecimiento más rápido. Sus principales
ventajas de marketing son los costos mínimos y el alto nivel de direccionamiento; además, los mensajes se
distribuyen casi de inmediato. Muchas empresas usan herramientas de marketing por correo electrónico para
comunicarse en forma efectiva con sus clientes actuales y potenciales.
Este tipo de publicidad es legítima, ya que el destinatario puede estar interesado en recibir información comercial
sobre ciertos productos. No obstante, muchas empresas envían mensajes comerciales masivos no solicitados. En
esos casos, la publicidad por correo electrónico cruza la línea y se convierte en spam.
La cantidad de correo electrónico no solicitado comenzó a ser un problema y no muestra signos de desacelerar. Los
creadores de los correos electrónicos no solicitados suelen tratar de disfrazar el spam, haciéndolos pasar por
mensajes legítimos.
5.2.2 Mensajes falsos
Un mensaje falso (o hoax) es información falsa que se propaga por Internet. Los mensajes falsos generalmente se
envían a través del correo electrónico o de herramientas de comunicación como ICQ y Skype. El mensaje en sí suele
ser una broma o una leyenda urbana.
Los mensajes falsos propagados por virus informáticos tienen el propósito de provocar miedo, incertidumbre y
duda en los destinatarios, haciéndoles creer que un "virus no detectable" presente en su equipo está borrando
archivos y recuperando contraseñas, o realizando otras actividades perjudiciales para el sistema.
Para perpetuarse, algunos mensajes falsos le piden al destinatario que los reenvíen a sus contactos. Hay una gran
variedad de mensajes falsos: los transmitidos por telefonía móvil, pedidos de ayuda, personas que ofrecen enviarle
al destinatario dinero desde el exterior, etc. Es prácticamente imposible determinar el propósito de su creador.
Cuando un mensaje instiga al destinatario a reenviarlo a todos sus conocidos, es muy probable que se trate de un
mensaje falso. Existen muchos sitios Web en Internet para verificar si un correo electrónico es legítimo. Antes de
reenviar dichos mensajes, el usuario debe realizar una búsqueda en Internet sobre todos los que sospeche que
puedan ser falsos.
137
5.2.3 Phishing
El término phishing define una actividad criminal que utiliza técnicas de ingeniería social (manipula a los usuarios
para obtener información confidencial). Su propósito es obtener el acceso a datos confidenciales, como números de
cuentas bancarias, códigos de identificación personal, etc.
Muchas veces logran el acceso mediante el envío de correos electrónicos encubiertos como correos legítimos de
personas o empresas confiables (por ej., una institución financiera, una compañía de seguros, etc.). El correo puede
parecer realmente genuino y suele incluir gráficos y contenidos tomados originalmente de la fuente real por la que
se hace pasar. Le solicita al usuario que ingrese, por diversas excusas (verificación de datos, operaciones
financieras), ciertos datos personales, como números de cuentas bancarias, nombres de usuario y contraseñas, etc.
Si ingresa estos datos, pueden ser robados y malversados con facilidad.
Hay que tener en cuenta que los bancos, compañías de seguros y otras empresas legítimas nunca solicitarán
nombres de usuario o contraseñas en un correo electrónico no solicitado.
5.2.4 Reconocimiento de fraudes de spam
En general, existen varios indicadores que ayudan a identificar mensajes de spam (correo no solicitado) en su buzón
de entrada. Si el mensaje cumple con al menos alguno de los siguientes criterios, probablemente se trate de un
mensaje de spam:
La dirección del remitente no pertenece a una persona de su lista de contactos
Se le ofrece una gran cantidad de dinero, pero antes usted tiene que enviar una pequeña cantidad
Le solicitan que ingrese, por diversas excusas (verificación de datos, operaciones financieras), ciertos datos
personales, como números de cuentas bancarias, nombres de usuario y contraseñas, etc.
Está escrito en un idioma extranjero
Le ofrecen que adquiera un producto en el que usted no está interesado. Si igual lo desea comprar, antes verifique
que el remitente del mensaje sea un proveedor confiable (consulte al fabricante original del producto)
Algunas palabras tienen errores de ortografía para engañar el filtro del programa antispam. Por ejemplo, “vaigra”
en lugar de “viagra”, etc.
5.2.4.1 Reglas
En el contexto de las soluciones antispam y los clientes de correo electrónico, las reglas son herramientas para
manipular funciones de correo electrónico. Consisten en dos partes lógicas:
1) Condición (por ej., un mensaje entrante de una dirección determinada)
2) Acción (por ej., eliminación del mensaje, moviéndolo a una carpeta específica)
La cantidad y combinación de reglas varía según la solución antispam. Estas reglas sirven como medidas contra el
spam (correo electrónico no solicitado). Ejemplos típicos:
Condición: Un mensaje de correo electrónico entrante contiene algunas palabras que normalmente aparecen en
los mensajes de spam 2. Acción: Eliminar el mensaje
Condición: Un mensaje de correo electrónico entrante contiene un archivo adjunto con una extensión .exe 2.
Acción: Eliminar el archivo adjunto y enviar el mensaje al buzón de correo
Condición: Llega un mensaje de correo electrónico entrante enviado por su jefe 2. Acción: Mover el mensaje a la
carpeta "Trabajo"
Es recomendable usar una combinación de reglas en programas antispam para facilitar la administración y filtrar el
spam de manera más eficaz.
138
5.2.4.2 Filtro bayesiano
El filtro bayesiano para spam es una forma efectiva de filtrado de correo electrónico utilizada por casi todos los
productos antispam. Tiene la capacidad de identificar el correo electrónico no solicitado con un alto grado de
precisión y puede funcionar en forma individual para cada usuario.
Esta funcionalidad se basa en el siguiente principio: En la primera etapa, se lleva a cabo el proceso de aprendizaje. El
usuario marca en forma manual una cantidad suficiente de mensajes como mensajes legítimos o como spam (en
general, 200 y 200). El filtro analiza ambas categorías y aprende, por ejemplo, que el spam generalmente contiene
las palabras "rolex" o "viagra" y que los mensajes legítimos son los que envían los miembros de la familia o desde las
direcciones que se encuentran en la lista de contactos del usuario. Siempre y cuando se procese una cantidad
suficiente de mensajes, el filtro bayesiano será capaz de asignarle a cada mensaje un "índice de spam" específico con
el objetivo de determinar si es spam o no.
La ventaja principal del filtro bayesiano es su flexibilidad. Por ejemplo, si el usuario es biólogo, todos los correos
electrónicos entrantes relacionados a la biología o a ámbitos de estudio afines por lo general recibirán un índice de
probabilidad menor. Si un mensaje incluye palabras que normalmente corresponderían a mensajes no solicitados,
pero que se envió desde una dirección incluida en la lista de contactos del usuario, se marcará como legítimo, ya
que los remitentes de la lista de contactos disminuyen la probabilidad general de que el mensaje sea spam.
5.2.4.3 Lista blanca
En general, una lista blanca es una lista de elementos o personas aceptados o que tienen acceso permitido. El
término “lista blanca de correos electrónicos” representa una lista de contactos de quienes el usuario desea recibir
mensajes. Dichas listas blancas se basan en palabras clave que se buscan en las direcciones de correo electrónico,
nombres de dominio o direcciones IP.
Si una lista blanca funciona en “modo exclusivo”, los mensajes provenientes de cualquier otra dirección, dominio o
dirección IP no se recibirán. Por el contrario, si no está en modo exclusivo, dichos mensajes no se eliminarán; se
filtrarán de alguna otra forma.
La lista blanca se basa en el principio opuesto que la lista negra 139 . Las listas blancas son relativamente fáciles de
mantener, mucho más sencillas que las listas negras. Es recomendable el uso tanto de la lista blanca como de la
negra para filtrar el spam de manera más eficiente.
5.2.4.4 Lista negra
En general, una lista negra es una lista de elementos o personas no aceptados o prohibidos. En el mundo virtual, es
una técnica por medio de la cual se aceptan los mensajes provenientes de todos los usuarios que no figuran en
dicha lista.
Hay dos tipos de listas negras. Las creadas por los usuarios desde su aplicación antispam y las profesionales, que
son listas negras actualizadas regularmente y creadas por instituciones especializadas, que se pueden descargar
desde Internet.
Es imprescindible usar listas negras para bloquear el spam satisfactoriamente, pero es difícil mantenerlas, ya que
todos los días aparecen nuevos elementos para bloquear. Es recomendable usar a la vez una lista blanca 139 y una
lista negra para filtrar el spam de la manera más eficaz.
5.2.4.5 Control desde el servidor
El control desde el servidor es una técnica para identificar correos electrónicos masivos basándose en la cantidad de
mensajes recibidos y en la reacción de los usuarios. Cada mensaje deja una “huella” digital única en el servidor según
el contexto del mensaje. Se trata de un número único de identificación que no revela nada sobre el contenido del
correo electrónico. Dos mensajes idénticos tendrán la misma huella, mientras que dos mensajes diferentes tendrán
huellas distintas.
Cuando un mensaje se marca como spam, su huella se envía al servidor. Si el servidor recibe otras huellas idénticas
(correspondientes a cierto mensaje de spam), la huella se guarda en la base de datos con huellas de spam. Al
analizar los mensajes entrantes, el programa envía las huellas de los mensajes al servidor. El servidor devuelve
información sobre las huellas correspondientes a los mensajes que ya fueron identificados por los usuarios como
spam.
139

Manual

Transcripción

Documentos relacionados

ESET Mail Security for Microsoft Exchange Server

Manual

Building - 32BJ SEIU

P2P File Sharing Protocols

Guía de administración SaaS Email Protection

comercio - especiesPRO

Security and Defense Studies Review 2010 Fall-Winter

JABRA XPRESS